EUROPA-KOMMISSIONEN

Bruxelles, den 24.1.2018

COM(2018) 43 final

MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET

Stærkere beskyttelse, nye muligheder – Kommissionens vejledning om den direkte anvendelse af den generelle forordning om databeskyttelse fra den 25. maj 2018

Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet

Stærkere beskyttelse, nye muligheder – Kommissionens vejledning om den direkte anvendelse af den generelle forordning om databeskyttelse fra den 25. maj 2018

Indledning

Den 6. april 2016 nåede EU til enighed om en omfattende reform af sin databeskyttelsesramme ved at vedtage databeskyttelsesreformpakken, der omfatter den generelle forordning om databeskyttelse (databeskyttelsesforordningen) 1 , som afløser det tyve år gamle direktiv 95/46/EF 2 ("databeskyttelsesdirektivet") og politidirektivet 3 . Det nye EU-dækkende databeskyttelsesinstrument, den generelle forordning om databeskyttelse ("forordningen"), anvendes direkte fra den 25. maj 2018, to år efter dets vedtagelse og ikrafttrædelse 4 .

Den nye forordning vil styrke beskyttelsen af personers ret til beskyttelse af personoplysninger, hvilket afspejler databeskyttelsens karakter af grundlæggende rettighed i Den Europæiske Union 5 .

Ved at tilvejebringe et fælles sæt regler, der finder direkte anvendelse i medlemsstaternes retssystemer, vil den sikre fri udveksling af personoplysninger mellem EU's medlemsstater og styrke forbrugernes tillid og sikkerhed, der er to uundværlige elementer i et reelt digitalt indre marked. På denne måde vil forordningen åbne nye muligheder for virksomheder, navnlig mindre virksomheder, og fastsætte klarere regler for internationale overførsler af oplysninger.

Selv om den nye databeskyttelsesramme bygger på den eksisterende lovgivning, vil den have vidtrækkende følger og kræve betydelige tilpasninger i visse henseender. Derfor er der i forordningen fastsat en overgangsperiode på to år, nemlig indtil den 25. maj 2018, for at give medlemsstaterne og interessenterne tid til at forberede sig grundigt på den nye retlige ramme.

I løbet af de seneste to år har alle interessenter, lige fra nationale administrationer og nationale databeskyttelsesmyndigheder til dataansvarlige og databehandlere, deltaget i en række aktiviteter for at sikre, at betydningen og omfanget af de ændringer, der følger af den nye databeskyttelse, forstås fuldt ud, og at alle aktører er klar til at anvende den. Da fristen den 25. maj nærmer sig, mener Kommissionen, at det er nødvendigt at gøre status over dette arbejde og undersøge eventuelle yderligere foranstaltninger, der kan være nyttige for at sikre, at alt er på plads, således at den nye ramme kan træde i kraft med vellykket resultat 6 .

I denne meddelelse:

·opsummeres de vigtigste nyskabelser og muligheder, der følger af den nye EU-lovgivning om databeskyttelse

·gøres der status over det forberedende arbejde, der hidtil er gjort på EU-plan

·skitseres det, hvad Europa-Kommissionen, de nationale databeskyttelsesmyndigheder og de nationale administrationer mangler at gøre, for at forberedelsen kan afsluttes på vellykket vis

·fastsættes de foranstaltninger, som Kommissionen agter at træffe i de kommende måneder.

Sideløbende med vedtagelsen af denne meddelelse lancerer Kommissionen endvidere et onlineværktøjssæt for at hjælpe interessenterne med at forberede sig på anvendelsen af forordningen samt – med støtte fra repræsentationskontorerne – en oplysningskampagne i alle medlemsstater.

1.DEN NYE EU-DATABESKYTTELSESRAMME — STÆRKERE BESKYTTELSE og NYE MULIGHEDER

Forordningen vil fortsat følge tilgangen i databeskyttelsesdirektivet, men præciserer og moderniserer databeskyttelsesreglerne på grundlag af 20 års EU-databeskyttelseslovgivning og relevant retspraksis. Med forordningen indføres en række nye elementer, der styrker beskyttelsen af individuelle rettigheder og åbner muligheder for virksomhederne og erhvervslivet, navnlig:

·En harmoniseret retlig ramme, der fører til en ensartet anvendelse af reglerne til gavn for EU's digitale indre marked. Dette indebærer ét sæt regler for borgere og virksomheder. Det vil afhjælpe situationen i dag, hvor EU's medlemsstater har gennemført direktivets bestemmelser forskelligt. For at sikre en ensartet og konsekvent anvendelse i alle medlemsstater er der blevet indført en one-stop-shop-mekanisme.

·Lige vilkår for alle virksomheder, der opererer i det indre marked. Ifølge forordningen skal virksomheder, der er etableret uden for EU, anvende de samme regler som virksomheder, der er etableret i EU, hvis de tilbyder varer og tjenesteydelser, der er knyttet til personoplysninger, eller overvåger personers adfærd i EU. Virksomheder, der opererer fra områder uden for EU og er aktive i det indre marked, skal under visse omstændigheder udpege en repræsentant i EU, som borgere og myndigheder kan henvende sig til ud over eller i stedet for den virksomhed, der er etableret i udlandet.

·Principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger, der skaber incitamenter for innovative løsninger til håndtering af databeskyttelsesspørgsmål lige fra starten.

·Stærkere rettigheder for den enkelte person. Med forordningen indføres nye krav om gennemsigtighed, styrkede rettigheder til oplysninger, adgang til og sletning af oplysninger ("retten til at blive glemt"), og tavshed eller inaktivitet vil ikke længere blive betragtet som gyldigt samtykke, da det kræves, at samtykke skal udtrykkes ved en klar bekræftelse, og beskyttelse af børn på internettet.

·Mere kontrol med personoplysninger. Med forordningen indføres en ny ret til dataportabilitet, der giver borgerne mulighed for at kræve personoplysninger, som vedkommende har givet en virksomhed eller organisation på grundlag af samtykke eller kontrakt, udleveret. Den giver også mulighed for, at sådanne personoplysninger kan fremsendes direkte til en anden virksomhed eller organisation, når det er teknisk muligt. Da denne ret giver mulighed for direkte videregivelse af personoplysninger fra én virksomhed eller organisation til en anden, vil den også støtte fri udveksling af personoplysninger i EU, forhindre "fastlåsning" af personoplysninger og fremme konkurrencen mellem virksomhederne. I og med at det bliver lettere for borgerne at skifte mellem forskellige tjenesteydere, vil det fremme udviklingen af nye tjenester inden for rammerne af strategien for det digitale indre marked.

·Stærkere beskyttelse mod brud på datasikkerheden. Forordningen fastsætter et omfattende sæt regler om brud på persondatasikkerheden. Det defineres klart, hvad der forstås ved et "brud på persondatasikkerheden", og der indføres en forpligtelse til at anmelde bruddet til tilsynsmyndigheden inden 72 timer, når bruddet på persondatasikkerheden efter al sandsynlighed vil udgøre en risiko for den pågældende persons rettigheder og frihedsrettigheder. Under visse omstændigheder indeholder forordningen en forpligtelse til at underrette den person, hvis oplysninger er berørt af bruddet. Dette styrker i høj grad beskyttelsen sammenlignet med den nuværende situation i EU, hvor kun udbydere af elektroniske kommunikationstjenester, operatører af væsentlige tjenester og udbydere af digitale tjenester er forpligtet til at anmelde brud på datasikkerheden i henhold til henholdsvis direktivet om beskyttelse af privatlivets fred i den elektroniske kommunikationssektor ("e-databeskyttelsesdirektivet") 7 og direktivet om net- og informationssikkerhed (NIS) 8 .

·Forordningen giver alle databeskyttelsesmyndigheder beføjelse til at pålægge dataansvarlige og databehandlere bøder. For øjeblikket er det ikke alle, der har disse beføjelser. Dette vil give mulighed for en bedre gennemførelse af reglerne. Bøderne kan gå op til 20 mio. EUR eller, hvis det drejer sig om en virksomhed, 4 % af den globale årlige omsætning.

·Mere fleksibilitet for dataansvarlige og databehandlere, der behandler personoplysninger, på grund af utvetydige bestemmelser om ansvar (ansvarlighedsprincippet). Forordningen bevæger sig væk fra et anmeldelsessystem i retning af et ansvarlighedsprincip. Sidstnævnte gennemføres via skalérbare forpligtelser afhængigt af risikoen (f.eks. tilstedeværelse af en databeskyttelsesrådgiver eller en forpligtelse til at udføre konsekvensanalyser vedrørende databeskyttelse). Der indføres et nyt værktøj for at bidrage til vurderingen af risikoen, inden behandlingen påbegyndes, nemlig konsekvensanalysen vedrørende databeskyttelse. Dette er påkrævet, når behandlingen sandsynligvis vil medføre en høj risiko for de pågældende personers rettigheder og frihedsrettigheder. I forordningen er der specifikt nævnt tre sådanne situationer, nemlig når en virksomhed foretager en systematisk og omfattende vurdering af de personlige aspekter vedrørende en person (herunder profilering), når den behandler følsomme data i stort omfang, eller når den systematisk overvåger offentlige områder i stort omfang. De nationale databeskyttelsesmyndigheder skal offentliggøre lister over tilfælde, der kræver en konsekvensanalyse vedrørende databeskyttelse 9 .

·Større klarhed om databehandlernes forpligtelser og de dataansvarliges ansvar ved udvælgelsen af en databehandler

·Et moderne forvaltningssystem til sikring af, at reglerne håndhæves mere konsekvent og strengt. Dette omfatter harmoniserede beføjelser for databeskyttelsesmyndighederne, bl.a. til at pålægge bøder, og nye mekanismer for disse myndigheder, så de kan indgå i et netværkssamarbejde.

·Den beskyttelse af personoplysninger, der er sikret ved forordningen, gælder også ved videregivelse af oplysninger til lande uden for EU, hvilket sikrer et højt beskyttelsesniveau 10 . Selv om forordningens regler om internationale overførsler i det væsentlige er opbygget på samme måde som i 1995-direktivet, præciseres og forenkles deres anvendelse med reformen, og der indføres nye værktøjer for overførsler. Med hensyn til afgørelser om et tilstrækkeligt beskyttelsesniveau indføres der med forordningen et nøjagtigt og detaljeret katalog over de forhold, som Kommissionen skal tage i betragtning ved vurderingen af, om et udenlandsk system beskytter personoplysninger i tilstrækkelig grad. Forordningen formaliserer og udvider også antallet af alternative overførselsinstrumenter såsom standardkontraktbestemmelser og bindende virksomhedsregler.

Den reviderede forordning vedrørende EU's institutioner, organer, kontorer og agenturer 11 og forordningen om databeskyttelse inden for elektronisk kommunikation ("e-databeskyttelsesforordningen") 12 , der for øjeblikket er genstand for forhandlinger, vil, når de er vedtaget, sikre et stærkt og omfattende sæt databeskyttelsesregler i EU 13 .

2.Det forberedende arbejde, der hidtil er gjort på EU-plan

Vellykket anvendelse af denne forordning kræver samarbejde mellem alle, der er involveret i databeskyttelse, dvs. medlemsstater, herunder offentlige administrationer, nationale databeskyttelsesmyndigheder, virksomheder, organisationer, der behandler personoplysninger, personer og Kommissionen.

2.1 Foranstaltninger, som er gennemført af Europa-Kommissionen

Kort tid efter, at forordningen trådte i kraft i midten af 2016, tog Kommissionen kontakt til medlemsstaternes myndigheder, databeskyttelsesmyndigheder og interessenter med henblik på at forberede anvendelsen af forordningen og yde støtte og rådgivning.

a) Støtte til medlemsstaterne og deres myndigheder

Kommissionen har arbejdet meget tæt sammen med medlemsstaterne for at støtte deres arbejde i overgangsperioden med henblik på at sikre den bedst mulige sammenhæng. Med henblik herpå har Kommissionen nedsat en ekspertgruppe, der skal støtte medlemsstaterne i deres bestræbelser på at forberede sig på forordningen. Gruppen, der allerede har holdt 13 møder, fungerer som et forum, hvor medlemsstaterne kan udveksle erfaringer og ekspertise 14 . Kommissionen deltog også i bilaterale møder med medlemsstaternes myndigheder for at drøfte spørgsmål, der var opstået på nationalt plan.

b) Støtte til de enkelte databeskyttelsesmyndigheder og oprettelsen af Det Europæiske Databeskyttelsesråd

Kommissionen har aktivt støttet arbejdet i Artikel 29-Gruppen, også med henblik på at sikre en gnidningsløs overgang til Det Europæiske Databeskyttelsesråd 15 .

c) International indsats

Forordningen vil yderligere styrke EU's evne til aktivt at fremme sine databeskyttelsesværdier og lette grænseoverskridende dataudveksling ved at tilskynde til konvergens mellem retssystemer på globalt plan 16 . EU's databeskyttelsesregler anerkendes i stigende grad på internationalt plan for at fastsætte de højeste databeskyttelsesstandarder i verden. Europarådets konvention 108, det eneste juridisk bindende multilaterale instrument inden for beskyttelse af personoplysninger, er også ved at blive moderniseret. Kommissionen arbejder på, at det skal afspejle de samme principper som dem, der er forankret i EU's nye databeskyttelsesregler, og således bidrage til at etablere et ensartet sæt af høje databeskyttelsesstandarder. Kommissionen vil aktivt fremme en hurtig vedtagelse af den moderniserede tekst til konventionen, således at EU kan blive part i den 17 . Kommissionen opfordrer ikke-EU-lande til at ratificere Europarådets konvention 108 og dens tillægsprotokol.

Endvidere er en række lande og regionale organisationer uden for EU, fra vores umiddelbare nabolande til Asien, Latinamerika og Afrika, ved at vedtage ny lovgivning om databeskyttelse eller ajourføre den eksisterende lovgivning for at udnytte mulighederne i den globale digitale økonomi og reagere på det voksende krav om større datasikkerhed og beskyttelse af privatlivets fred. Selv om landene adskiller sig fra hinanden med hensyn til deres tilgang og lovgivningsmæssige udvikling, er der tegn på, at forordningen i stigende grad anvendes som reference og inspirationskilde 18 .

I denne forbindelse fortsætter Kommissionen sin internationale indsats i overensstemmelse med sin meddelelse fra januar 2017 19 ved aktivt at samarbejde med centrale handelspartnere, navnlig i Øst- og Sydøstasien og Latinamerika, med det formål at undersøge muligheden for at vedtage afgørelser om et tilstrækkeligt beskyttelsesniveau 20 .

Kommissionen arbejder især sammen med Japan hen imod en samtidig konstatering af et tilstrækkeligt beskyttelsesniveau hos begge parter senest i begyndelsen af 2018, sådan som det blev bekendtgjort af kommissionsformand Jean-Claude Juncker og premierminister Shinzo Abe i deres fælles erklæring af 6. juli 2017 21 . Der er også blevet indledt drøftelser med Sydkorea med henblik på en eventuel afgørelse om et tilstrækkeligt beskyttelsesniveau. Vedtagelsen af en afgørelse om et tilstrækkeligt beskyttelsesniveau ville sikre fri dataudveksling med de berørte tredjelande og samtidig sikre et højt beskyttelsesniveau, når der overføres personoplysninger fra EU til disse lande.

Samtidig samarbejder Kommissionen med interessenter for at udnytte det fulde potentiale af det af den generelle forordning om databeskyttelse omfattede værktøjssæt til internationale overførsler ved at udvikle alternative overførselsmekanismer, der er tilpasset bestemte industriers og/eller erhvervsdrivendes særlige behov 22 .

d) Samarbejde med interessenter

Kommissionen har afholdt en række arrangementer for at nå ud til interessenterne 23 . En ny workshop, der tager sigte på forbrugere, er planlagt til første kvartal 2018. Der har også fundet særlige sektorspecifikke drøftelser sted på områder som forskning og finansielle tjenesteydelser.

Kommissionen har også oprettet en flerpartsgruppe vedrørende forordningen bestående af repræsentanter for civilsamfundet og for erhvervslivet, akademikere og fagfolk. Denne gruppe skal navnlig rådgive Kommissionen om, hvordan man skaber passende bevidsthed om forordningen blandt aktørerne 24 .

Endelig har Europa-Kommissionen gennem sit rammeprogram for forskning og innovation (Horisont 2020) 25 finansieret foranstaltninger til udvikling af værktøjer, der støtter den effektive anvendelse af forordningens bestemmelser vedrørende samtykke og metoder til beskyttelse af privatlivets fred i forbindelse med dataanalyser såsom flerpartsberegninger og homomorfisk kryptering.

2.2 Foranstaltninger truffet af Artikel 29-Gruppen/Det Europæiske Databeskyttelsesråd

Artikel 29-Gruppen, der samler alle de nationale databeskyttelsesmyndigheder, herunder Den Europæiske Tilsynsførende for Databeskyttelse, spiller en vigtig rolle i forbindelse med forberedelsen af anvendelsen af forordningen ved at udstede retningslinjer til virksomheder og andre interessenter. De nationale databeskyttelsesmyndigheder har som håndhævere af forordningen og interessenternes direkte kontaktpunkt de bedste forudsætninger for at tilvejebringe yderligere retssikkerhed vedrørende fortolkningen af forordningen.

Artikel 29-Gruppen arbejder på at opdatere eksisterende udtalelser, herunder om værktøjer til overførsel af oplysninger til ikke-EU-lande.

Da det er vigtigt for erhvervsdrivende at have ét sammenhængende sæt retningslinjer, skal de nuværende retningslinjer på nationalt plan enten ophæves eller bringes i overensstemmelse med dem, der er vedtaget af Artikel 29-Gruppen/Det Europæiske Databeskyttelsesråd om samme emne.

Kommissionen lægger stor vægt på, at disse retningslinjer gøres til genstand for offentlig høring inden deres endelige udformning. Det er vigtigt, at interessenternes input til denne proces er så præcise og konkrete som muligt, da dette vil bidrage til at identificere bedste praksis og gøre Artikel 29-Gruppen opmærksom på de særlige forhold, der kendetegner industrien og de forskellige sektorer. Det endelige ansvar for disse retningslinjer ligger fortsat hos Artikel 29-Gruppen og det kommende Europæiske Databeskyttelsesråd, og databeskyttelsesmyndighederne vil henvise til dem ved håndhævelsen af forordningen.

Det burde være muligt at ændre retningslinjerne i lyset af udviklingen og praksis. Med henblik herpå er det afgørende for databeskyttelsesmyndighederne at fremme en kultur præget af dialog med alle interessenter, herunder virksomhederne.

Det er vigtigt at minde om, at når der opstår spørgsmål vedrørende fortolkningen og anvendelsen af forordningen, er det op til domstolene på nationalt plan og EU-plan at give den endelige fortolkning af forordningen.

3.De resterende skridt hen imod en vellykket forberedelse

3.1 Medlemsstaterne skal afslutte etableringen af den retlige ramme på nationalt plan

Forordningen finder direkte anvendelse i alle medlemsstater 27 . Dette betyder, at den træder i kraft og finder anvendelse uanset eventuelle nationale foranstaltninger. Bestemmelserne i forordningen kan normalt påberåbes direkte af borgere, virksomheder, offentlige administrationer og andre organisationer, der behandler personoplysninger. Ifølge forordningen skal medlemsstaterne dog træffe de nødvendige foranstaltninger for at tilpasse deres lovgivning ved at ophæve og ændre eksisterende love og oprette nationale databeskyttelsesmyndigheder 28 , vælge et akkrediteringsorgan 29 og fastsætte bestemmelser om forening af retten til ytringsfrihed med retten til beskyttelse af personoplysninger 30 .

Forordningen giver endvidere medlemsstaterne mulighed for yderligere at præcisere anvendelsen af databeskyttelsesreglerne på specifikke områder, nemlig den offentlige sektor 31 , beskæftigelse og social sikring 32 , forebyggende medicin og arbejdsmedicin, folkesundhed 33 , behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål 34 , nationalt identifikationsnummer 35 , aktindsigt i officielle dokumenter 36 og tavshedspligt 37 . Med hensyn til genetiske data, biometriske data og helbredsoplysninger bemyndiger forordningen endvidere medlemsstaterne til at opretholde eller indføre yderligere betingelser, herunder begrænsninger 38 .

Der gælder to retsgrundlag for medlemsstaternes foranstaltninger i denne forbindelse:

1.artikel 8 i chartret, hvilket betyder, at en eventuel national præciserende lov skal opfylde kravene i artikel 8 i chartret (og forordningen, der bygger på artikel 8 i chartret)

2.artikel 16, stk. 2, i TEUF, hvorefter national lovgivning ikke kan gribe ind i den frie udveksling af personoplysninger inden for EU.

Forordningen giver mulighed for at forenkle den retlige ramme, så der kræves færre nationale regler og skabes større klarhed for de erhvervsdrivende.

Medlemsstaterne skal ved tilpasningen af deres nationale lovgivning tage hensyn til, at eventuelle nationale foranstaltninger, der ville føre til skabelse af en hindring for forordningens direkte anvendelse og bringe dens samtidige og ensartede anvendelse i hele EU i fare, er i strid med traktaterne 39 .

Det er også forbudt at gentage teksten til forordninger i national lovgivning (f.eks. gentage definitioner eller personers rettigheder), medmindre sådanne gentagelser er strengt nødvendige af hensyn til sammenhængen og for at gøre de nationale love forståelige for dem, de finder anvendelse på 40 . En ordret gengivelse af teksten til forordningen i national præciserende lovgivning bør kun finde sted undtagelsesvist og skal være begrundet og kan ikke anvendes til at tilføje yderligere betingelser eller fortolkninger af forordningens tekst.

Fortolkningen af forordningen overlades til de europæiske domstole (de nationale domstole og i sidste ende Den Europæiske Unions Domstol) og ikke til medlemsstaternes lovgivere. Den nationale lovgiver kan derfor hverken kopiere teksten til forordningen, hvis det ikke er nødvendigt i lyset af de kriterier, der gælder ifølge retspraksis, eller fortolke den eller tilføje supplerende betingelser til de bestemmelser, der finder direkte anvendelse i henhold til forordningen. Hvis de gjorde det, ville de erhvervsdrivende i hele EU igen opleve fragmentering og ikke vide, hvilke regler de skulle overholde.

På nuværende tidspunkt har kun to medlemsstater vedtaget den relevante nationale lovgivning 41 , mens de resterende medlemsstater befinder sig på forskellige stadier af deres lovgivningsprocedurer 42 og har planlagt at vedtage lovgivningen inden den 25. maj 2018. Det er vigtigt at give de erhvervsdrivende tilstrækkelig tid til at forberede sig på alle de bestemmelser, de skal overholde.

Hvis medlemsstaterne ikke træffer de foranstaltninger, der kræves i henhold til forordningen, træffer dem for sent eller gør brug af de præciserende bestemmelser, der er omhandlet i forordningen, på en måde, der er i strid med forordningen, vil Kommissionen gøre brug af alle de værktøjer, den har til sin rådighed, herunder anvendelse af traktatbrudsproceduren.

3.2 Databeskyttelsesmyndighederne skal sikre, at det nye uafhængige Europæiske Databeskyttelsesråd er fuldt operationelt

Det er af afgørende betydning, at det nye organ, der oprettes ved forordningen, nemlig Det Europæiske Databeskyttelsesråd 43 , efterfølgeren til Artikel 29-Gruppen, er fuldt operationelt pr. 25. maj 2018.

Den Europæiske Tilsynsførende for Databeskyttelse, der er den databeskyttelsesmyndighed, som er ansvarlig for at føre tilsyn med EU's institutioner og organer, vil fungere som sekretariat for Det Europæiske Databeskyttelsesråd med henblik på at forbedre synergierne og effektiviteten. Den Europæiske Tilsynsførende for Databeskyttelse har i de seneste måneder påbegyndt de nødvendige forberedelser med henblik herpå.

Det Europæiske Databeskyttelsesråd vil stå i centrum for databeskyttelsen i Europa. Det vil bidrage til en konsekvent anvendelse af databeskyttelseslovgivningen og skabe et solidt grundlag for samarbejde mellem databeskyttelsesmyndighederne, herunder Den Europæiske Tilsynsførende for Databeskyttelse. Det Europæiske Databeskyttelsesråd vil ikke kun udstede retningslinjer for fortolkningen af centrale begreber i forordningen, men vil også blive anmodet om at træffe bindende afgørelser om tvister i forbindelse med grænseoverskridende behandling. Dette vil sikre en ensartet anvendelse af EU's regler og forhindre, at den samme sag behandles forskelligt i forskellige medlemsstater.

Et smidigt og effektivt fungerende europæisk databeskyttelsesråd er derfor en betingelse for, at systemet som helhed kan fungere godt. Det Europæiske Databeskyttelsesråd skal mere end nogensinde før skabe en fælles databeskyttelseskultur blandt alle de nationale databeskyttelsesmyndigheder for at sikre, at forordningens bestemmelser fortolkes ensartet. Forordningen fremmer samarbejdet mellem databeskyttelsesmyndighederne ved at give dem værktøjerne til at samarbejde effektivt. De vil navnlig kunne udføre fælles aktiviteter, træffe afgørelse i enighed og løse uoverensstemmelser, som de måtte have vedrørende fortolkningen af forordningen i Databeskyttelsesrådet, ved hjælp af udtalelser og bindende afgørelser. Kommissionen opfordrer databeskyttelsesmyndighederne til at acceptere disse ændringer og tilpasse deres funktion, finansiering og arbejdskultur, så de kan få gavn af de nye rettigheder og opfylde de nye forpligtelser.

3.3 Medlemsstaterne skal afsætte de nødvendige finansielle og menneskelige ressourcer til de nationale databeskyttelsesmyndigheder

Det er vigtigt at oprette helt uafhængige tilsynsmyndigheder i hver medlemsstat for at sikre beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i EU 44 . Tilsynsmyndighederne kan ikke effektivt beskytte individuelle rettigheder og frihedsrettigheder, medmindre de handler helt uafhængigt. Hvis deres uvildighed og beføjelser ikke sikres, får det vidtrækkende negative konsekvenser for håndhævelsen af lovgivningen om databeskyttelse 45 .

Forordningen kodificerer kravet om, at enhver databeskyttelsesmyndighed skal handle fuldstændig uafhængigt 46 . Den styrker de nationale databeskyttelsesmyndigheders uafhængighed og sikrer dem ensartede beføjelser i hele EU, således at de er godt rustede til effektivt at håndtere klager, foretage effektive efterforskninger, træffe bindende afgørelser og pålægge effektive og afskrækkende sanktioner. Den giver dem også beføjelse til at pålægge dataansvarlige eller databehandlere administrative bøder på op til 20 mio. EUR, eller hvis det drejer sig om en virksomhed, op til 4 % af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere.

Databeskyttelsesmyndighederne er de naturlige samtalepartnere og det første kontaktpunkt for offentligheden, virksomhederne og de offentlige administrationer for spørgsmål vedrørende forordningen. Databeskyttelsesmyndighedernes rolle er bl.a. at orientere de dataansvarlige og databehandlerne om deres forpligtelser og at øge offentlighedens bevidsthed om og forståelse af risici, regler, garantier og rettigheder i forbindelse med databehandling. Det betyder dog ikke, at dataansvarlige og databehandlere skal forvente, at databeskyttelsesmyndighederne yder dem den type skræddersyet, individuelt tilpasset juridisk rådgivning, som kun en advokat eller en databeskyttelsesrådgiver kan yde.

De nationale databeskyttelsesmyndigheder spiller derfor en central rolle, men den relative ubalance mellem de menneskelige og finansielle ressourcer, der er afsat til dem i de forskellige medlemsstater, kan bringe deres effektivitet i fare og i sidste ende den fulde uafhængighed, der kræves i henhold til forordningen. Det kan også have en negativ indvirkning på den måde, hvorpå databeskyttelsesmyndighederne kan udøve deres beføjelser, herunder undersøgelsesbeføjelser. Medlemsstaterne opfordres til at opfylde deres retlige forpligtelse til at sikre, at deres nationale databeskyttelsesmyndighed råder over de nødvendige menneskelige, tekniske og finansielle ressourcer samt lokaler og infrastruktur til effektivt at kunne udføre sine opgaver og udøve sine beføjelser 47 .

3.4 Virksomheder, offentlige administrationer og andre organisationer, der behandler oplysninger, skal forberede sig på anvendelsen af de nye bestemmelser

Forordningen har ikke i væsentlig grad ændret de centrale begreber og principper i databeskyttelseslovgivningen, der blev indført i 1995. Dette skulle betyde, at de fleste dataansvarlige og databehandlere, forudsat at de allerede overholder de gældende EU-love om databeskyttelse, ikke behøver at foretage væsentlige ændringer i deres databehandlingsaktiviteter for at overholde forordningen.

Forordningen påvirker mest erhvervsdrivende, hvis hovedaktivitet er databehandling og/eller behandling af følsomme oplysninger. Den påvirker også dem, der regelmæssigt og systematisk overvåger personer i stort omfang. Disse erhvervsdrivende vil højst sandsynligt være nødt til at udnævne en databeskyttelsesrådgiver, foretage en konsekvensanalyse vedrørende databeskyttelse og anmelde brud på datasikkerheden, hvis der er en risiko for krænkelse af personers rettigheder og frihedsrettigheder. Derimod vil erhvervsdrivende, især SMV'er, der ikke har højrisikodatabehandling som deres hovedaktivitet, normalt ikke være omfattet af disse specifikke forpligtelser i forordningen.

Det er vigtigt, at de dataansvarlige og databehandlerne foretager en grundig gennemgang af deres datapolitiske cyklus for klart at identificere, hvilke data de er i besiddelse af, og til hvilket formål og på hvilket retsgrundlag (f.eks. cloudmiljøer og erhvervsdrivende i finanssektoren). De skal også vurdere eksisterende kontrakter, navnlig kontrakter mellem dataansvarlige og databehandlere, mulighederne for internationale overførsler og den overordnede forvaltning (hvilket IT-system og hvilke organisatoriske foranstaltninger, de skal have), herunder udpegelse af en databeskyttelsesrådgiver. Et vigtigt element i denne proces er at sikre, at det højeste ledelsesniveau er involveret i en sådan gennemgang, kommer med input og jævnligt opdateres og høres om ændringer i virksomhedens datapolitik.

Med henblik herpå benytter nogle erhvervsdrivende sig af overholdelsestjeklister (enten internt eller eksternt), søger rådgivning hos konsulent- og advokatfirmaer og søger efter produkter, der kan opfylde kravene om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger. Hver sektor skal udarbejde mekanismer, der er tilpasset de særlige træk ved deres område og forretningsmodel.

Virksomheder og andre organisationer, der behandler oplysninger, vil også kunne drage fordel af de nye værktøjer i forordningen som et middel til at påvise overensstemmelse såsom adfærdskodekser og certificeringsmekanismer. Disse udgør bottom-up-tilgange fra erhvervslivet, foreninger eller andre organisationer, der repræsenterer kategorier af dataansvarlige eller databehandlere, og som afspejler bedste praksis og vigtige udviklingstendenser i en given sektor, eller som kan informere om det databeskyttelsesniveau, der kræves i forbindelse med visse varer og tjenesteydelser. Forordningen indeholder et strømlinet sæt regler for sådanne mekanismer under hensyntagen til de faktiske forhold på markedet (f.eks. certificering gennem et certificeringsorgan eller en databeskyttelsesmyndighed).

Mens store virksomheder er i fuld gang med at forberede sig på anvendelsen af de nye regler, er mange SMV'er endnu ikke fuldt ud bekendt med de kommende databeskyttelsesregler.

Kort sagt bør de erhvervsdrivende forberede sig på og tilpasse sig til de nye regler og betragte forordningen som:

·en mulighed for at bringe orden i eget hus med hensyn til, hvilke personoplysninger de behandler, og hvordan de håndterer dem

·en forpligtelse til at udvikle databeskyttelsesvenlige produkter, der beskytter privatlivets fred, og opbygge et nyt forhold til deres kunder baseret på gennemsigtighed og tillid

·en mulighed for at tage deres forbindelser med databeskyttelsesmyndighederne op til revision og basere sig på ansvarlighed og proaktiv overholdelse.

3.5 Orientering af interessenter, navnlig borgere og små og mellemstore virksomheder

Forordningens succes afhænger af, at alle, der er berørt af de nye regler (erhvervslivet og andre organisationer, der behandler oplysninger, den offentlige sektor og borgerne), er ordentligt informeret. På nationalt plan er det primært databeskyttelsesmyndighederne, der skal varetage opgaven med at bevidstgøre og være det første kontaktpunkt for dataansvarlige, databehandlere og enkeltpersoner. Databeskyttelsesmyndighederne har som håndhævere af databeskyttelsesreglerne på deres område også de bedste forudsætninger for at forklare de ændringer, der indføres med forordningen, for erhvervslivet og den offentlige sektor og for at gøre borgerne bekendt med deres rettigheder.

Databeskyttelsesmyndighederne er begyndt at informere interessenterne i overensstemmelse med den specifikke nationale tilgang. Nogle afholder seminarer med offentlige administrationer, herunder på regionalt og lokalt plan, og afholder workshopper med forskellige erhvervssektorer for at øge kendskabet til de vigtigste bestemmelser i forordningen. Nogle gennemfører specifikke uddannelsesprogrammer for databeskyttelsesrådgivere. De fleste af dem stiller oplysningsmateriale i forskellige formater til rådighed på deres websteder (tjeklister, videoer osv.).

Der er dog endnu ikke et tilstrækkeligt udbredt kendskab blandt borgerne til de ændringer og styrkede rettigheder, som de nye databeskyttelsesregler vil medføre. De uddannelses- og bevidstgørelsesinitiativer, som databeskyttelsesmyndighederne har sat i gang, bør fortsættes og intensiveres med særligt fokus på SMV'er. Endvidere kan de nationale administrationer inden for forskellige sektorer støtte databeskyttelsesmyndighedernes aktiviteter og på grundlag af deres input udføre deres eget opsøgende arbejde blandt de forskellige interessenter.

4.Næste skridt

I de kommende måneder vil Kommissionen fortsætte med aktivt at støtte alle aktører med forberedelserne til anvendelsen af forordningen.

a) Samarbejde med medlemsstaterne

Kommissionen vil fortsat samarbejde med medlemsstaterne frem til maj 2018. Fra maj 2018 og frem vil den overvåge, hvordan medlemsstaterne anvender de nye regler, og om nødvendigt træffe passende foranstaltninger.

b) Ny onlinevejledning på alle EU-sprog og oplysningsaktiviteter

Kommissionen stiller praktisk vejledningsmateriale 48 til rådighed for at hjælpe virksomheder, især SMV'er, offentlige myndigheder og offentligheden med at overholde og drage fordel af de nye databeskyttelsesregler.

Vejledningen har form af et praktisk onlineværktøj, som er tilgængeligt på alle EU-sprog. Onlineværktøjet vil blive ajourført regelmæssigt og skal være til rådighed for tre vigtige målgrupper, nemlig borgerne, virksomhederne (navnlig SMV'er) og andre organisationer samt offentlige administrationer. Det omfatter spørgsmål og svar, der er udvalgt på grundlag af feedback fra interessenter, med praktiske eksempler og links til forskellige informationskilder (f.eks. artikler i forordningen, retningslinjer fra Artikel 29-Gruppen/Det Europæiske Databeskyttelsesråd og materiale udviklet på nationalt plan).

Kommissionen vil regelmæssigt opdatere værktøjet, tilføje spørgsmål og opdatere svar på grundlag af modtaget feedback og eventuelle nye spørgsmål, der er opstået i forbindelse med gennemførelsen.

Vejledningen vil blive fremmet gennem en oplysningskampagne og formidlingsaktiviteter i alle medlemsstaterne, navnlig over for virksomheder og offentligheden.

Idet forordningen sikrer stærkere individuelle rettigheder, vil Kommissionen også gennemføre oplysningsaktiviteter og deltage i arrangementer i medlemsstaterne for at informere borgerne om forordningens fordele og indvirkning.

c) Finansiel støtte til nationale kampagner og oplysningskampagner

Kommissionen støtter oplysningskampagner og den indsats, der gøres på nationalt plan for at overholde reglerne, ved at yde tilskud, der kan anvendes til kurser for databeskyttelsesmyndigheder, offentlige administrationer, juridiske erhverv og databeskyttelsesrådgivere 49 og til at gøre dem bekendt med forordningen.

Ca. 1,7 mio. EUR vil blive tildelt seks støttemodtagere, der dækker mere end halvdelen af EU's medlemsstater. Finansieringen vil være målrettet lokale offentlige myndigheder, herunder databeskyttelsesrådgivere hos lokale offentlige myndigheder, offentlige myndigheder og fra den private sektor, dommere og advokater. Tilskuddene vil blive anvendt til at udvikle undervisningsmateriale til databeskyttelsesmyndigheder, databeskyttelsesrådgivere og andre fagfolk samt "train-the-trainer"-programmer.

Kommissionen har også iværksat en indkaldelse af forslag med særligt fokus på databeskyttelsesmyndigheder. Det samlede budget bliver på op til 2 mio. EUR og vil hjælpe databeskyttelsesmyndighederne med at nå ud til interessenterne 50 . Målet er at yde 80 % medfinansiering til foranstaltninger, der træffes af databeskyttelsesmyndighederne i 2018-2019, med henblik på at øge bevidstheden blandt virksomheder, navnlig SMV'er, og besvare deres spørgsmål. Denne finansiering kan også anvendes til at øge bevidstheden i offentligheden.

d) Vurdering af behovet for at gøre brug af Kommissionens beføjelser

Forordningen 51 giver Kommissionen mulighed for at udstede gennemførelsesretsakter eller delegerede retsakter for yderligere at støtte gennemførelsen af de nye regler. Kommissionen vil kun gøre brug af disse beføjelser, når der er en klart påvist merværdi, og på basis af feedback fra høringen af interessenterne. Kommissionen vil navnlig undersøge spørgsmålet om certificering på grundlag af en undersøgelse, der er blevet outsourcet til eksterne eksperter, og input og rådgivning om dette spørgsmål fra den flerpartsgruppe vedrørende forordningen, som blev nedsat ved udgangen af 2017. Det arbejde, der udføres af Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA) inden for cybersikkerhed, vil også være relevant i denne sammenhæng.

e) Indarbejdelse af forordningen i EØS-aftalen

Kommissionen vil fortsætte sit arbejde med de tre EFTA-stater (Island, Liechtenstein og Norge) i Det Europæiske Økonomiske Samarbejdsområde (EØS) med henblik på at indarbejde forordningen i EØS-aftalen 52 . Det er først, når indarbejdelsen af forordningen i EØS-aftalen er trådt i kraft, at personoplysninger kan udveksles frit mellem EU og EØS-landene på samme måde som mellem EU-medlemsstaterne.

f) Det Forenede Kongeriges udtræden af EU

I forbindelse med forhandlingerne om udtrædelsesaftalen mellem EU og Det Forenede Kongerige på grundlag af artikel 50 i traktaten om Den Europæiske Union vil Kommissionen bestræbe sig på at sikre, at EU-rettens bestemmelser om beskyttelse af personoplysninger, der gælder på dagen før udtrædelsesdatoen, fortsat gælder for personoplysninger i Det Forenede Kongerige, som er behandlet før udtrædelsesdatoen 53 . De pågældende personer bør f.eks. fortsat have ret til at blive underrettet, ret til aktindsigt, ret til berigtigelse, til sletning, til begrænsning af behandling, til dataportabilitet samt ret til indsigelse mod behandling af oplysninger og til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, på grundlag af de relevante bestemmelser i gældende EU-ret på udtrædelsesdatoen. Ovennævnte personoplysninger bør ikke opbevares i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger blev behandlet.

Fra udtrædelsesdatoen og med forbehold af en overgangsordning, der måtte være indeholdt i en eventuel udtrædelsesaftale, vil forordningens regler om overførsel af personoplysninger til tredjelande finde anvendelse på Det Forenede Kongerige 54 .

g) Status i maj 2019

Efter den 25. maj 2018 vil Kommissionen nøje overvåge anvendelsen af de nye regler og være rede til at gribe ind, hvis der opstår væsentlige problemer. Et år efter, at forordningen tages i anvendelse (2019), vil Kommissionen afholde et arrangement for at gøre status over de forskellige interessenters erfaringer med gennemførelsen af forordningen. Dette vil også indgå i den rapport, som Kommissionen skal fremlægge senest i maj 2020, om evalueringen og gennemgangen af forordningen. Denne rapport vil især fokusere på internationale overførsler og bestemmelserne om samarbejde og sammenhæng, der vedrører det arbejde, som udføres af databeskyttelsesmyndighederne.

Konklusion

Den 25. maj tages et nyt fælles sæt EU-databeskyttelsesregler i anvendelse i hele EU. Den nye ramme vil medføre betydelige fordele for personer, virksomheder, offentlige administrationer og andre organisationer. Den giver også EU mulighed for at blive førende på globalt plan inden for beskyttelse af personoplysninger. Reformen kan dog kun blive vellykket, hvis alle involverede parter tager pakken af forpligtelser og rettigheder til sig.

Siden vedtagelsen af forordningen i maj 2016 har Kommissionen aktivt samarbejdet med alle berørte aktører – regeringer, nationale myndigheder, erhvervslivet, civilsamfundet – på baggrund af anvendelsen af de nye regler. Der er gjort et stort stykke arbejde med at sikre udbredt kendskab og fuldstændig forberedelse, men der er stadig arbejde, der skal gøres. Forberedelserne skrider frem i forskellige tempi i medlemsstaterne og blandt de forskellige aktører. Endvidere er kendskabet til de fordele og muligheder, som de nye regler giver, ikke det samme overalt. Der er især et behov for at øge bevidstheden og støtte SMV'ernes bestræbelser på at overholde lovgivningen.

Kommissionen opfordrer derfor alle berørte parter til at intensivere det igangværende arbejde med at sikre ensartet anvendelse og fortolkning af de nye regler i hele EU og øge bevidstheden blandt virksomheder og borgere. Kommissionen vil støtte disse bestræbelser med økonomisk og administrativ bistand og bidrage til at øge den generelle bevidsthed, bl.a. ved at lancere det onlinebaserede vejledningsværktøjssæt.

Data bliver mere og mere værdifulde for nutidens økonomi og er væsentlige for borgernes dagligdag. De nye regler er en enestående mulighed for virksomhederne og offentligheden. Virksomhederne, herunder især de mindre virksomheder, vil kunne drage fordel af det innovationsvenlige fælles sæt regler og bringe orden i eget hus for så vidt angår personoplysninger med henblik på at genoprette forbrugernes tillid og udnytte det som en konkurrencefordel i hele EU. Borgerne vil kunne drage fordel af en bedre beskyttelse af personoplysninger og få bedre kontrol med, hvordan dataene behandles af virksomheder.

I en moderne verden med en blomstrende digital økonomi skal Den Europæiske Union, dens borgere og virksomheder være fuldt rustede til at udnytte fordelene ved og forstå konsekvenserne af dataøkonomien. Den nye forordning indeholder de nødvendige værktøjer til at gøre Europa klar til det 21. århundrede.

(1) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016).

(2) Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995).

(3) Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).

(4) Forordningen har været i kraft siden den 24. maj 2016 og vil blive anvendt fra den 25. maj 2018.

(5) Artikel 8 i EU's charter om grundlæggende rettigheder og artikel 16 i traktaten om Den Europæiske Unions funktionsmåde (TEUF).

(6)   https://ec.europa.eu/commission/sites/beta-political/files/letter-of-intent-2017_da.pdf .

(7) Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om privatlivets fred og elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37). I henhold til artikel 95 i den generelle forordning om databeskyttelse indføres der med denne forordning ikke yderligere forpligtelser for fysiske eller juridiske personer for så vidt angår spørgsmål, hvor de er underlagt specifikke forpligtelser med samme formål som det, der er fastsat i direktiv 2002/58/EF. Dette betyder f.eks., at enheder, der er omfattet af e-databeskyttelsesdirektivet, er underlagt den i dette direktiv fastsatte forpligtelse til at anmelde brud på persondatasikkerheden, hvis bruddet vedrører en tjeneste, der materielt er omfattet af e-databeskyttelsesdirektivet. I denne henseende indføres der ikke yderligere forpligtelser for dem i henhold til den generelle forordning om databeskyttelse.

(8) Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (EUT L 194 af 19.7.2016, s. 1). Enheder, der henhører under NIS-direktivet, bør anmelde hændelser, som har en betydelig eller væsentlig indvirkning på ydelsen af nogle af deres tjenester. Anmeldelse af hændelser i henhold til NIS-direktivet berører ikke anmeldelse af brud på persondatasikkerheden i henhold til forordningen.

(9) Artikel 35 i forordningen.

(10) Kommissionens meddelelse om udveksling og beskyttelse af personoplysninger i en globaliseret verden (COM(2017)7 final).

(11) Forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (COM(2017) 8 final).

(12) Forslag til Europa-Parlamentets og Rådets forordning om respekt for privatliv og beskyttelse af personoplysninger i forbindelse med elektroniske kommunikation og om ophævelse af direktiv 2002/58/EF (forordning om databeskyttelse inden for elektronisk kommunikation) (COM(2017) 10 final).

(13) Indtil e-databeskyttelsesforordningen er vedtaget og trådt i kraft, finder direktiv 2002/58/EF anvendelse som lex specialis i forhold til forordningen.

(14) For en fuldstændig liste over møder, dagsordener, resuméer af drøftelser og status over lovgivningen i de forskellige medlemsstater henvises til http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461 .

(15) Kommissionen vil f.eks. give Det Europæiske Databeskyttelsesråd mulighed for at benytte informationssystemet for det indre marked (IMI) til kommunikation mellem dets medlemmer.

(16) Oplæg om styring af globaliseringen (COM(2017) 240 af 10. maj 2017).

(17) Europarådets konvention af 28. januar 1981 om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (ETS nr. 108) og tillægsprotokol af 8. november 2001 om tilsynsmyndigheder og grænseoverskridende dataudveksling til konventionen om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (ETS nr. 181). Konventionen, der kan tiltrædes af stater, som ikke er medlemmer af Europarådet, er allerede blevet ratificeret af 51 lande (herunder af Uruguay, Mauritius, Senegal og Tunesien).

(18) Se f.eks. databeskyttelsesstandarderne i de iberoamerikanske stater, http://www.redipd.es/documentacion/common/Estandares_eng_Con_logo_RIPD.pdf .

(19) COM(2017) 7 final.

(20) COM(2017) 7 final, s. 10-11.

(21)   http://europa.eu/rapid/press-release_STATEMENT-17-1917_en.htm .

(22) COM(2017) 7 final, s. 10-11.

(23)

To workshopper med industrien i juli 2016 og april 2017, to rundbordsdrøftelser for erhvervsfolk i december 2016 og maj 2017, en workshop om helbredsoplysninger i oktober 2017 og en workshop med repræsentanter for SMV'er i november 2017.

(24)   http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537 .

(25) https://ec.europa.eu/programmes/horizon2020/h2020-sections.

(26) Alle vedtagne retningslinjer findes på: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

(27) Artikel 288 i TEUF.

(28) Artikel 54, stk. 1, i forordningen.

(29) I henhold til artikel 43, stk. 1, i forordningen kan medlemsstaterne tilbyde to mulige metoder til akkreditering af certificeringsorganer, dvs. akkreditering ved den nationale tilsynsmyndighed for databeskyttelse, der er oprettet i overensstemmelse med lovgivningen om databeskyttelse, og/eller ved det nationale akkrediteringsorgan, der er oprettet i henhold til forordning (EF) nr. 765/2008 om akkreditering og markedsovervågning. Den Europæiske Organisation for Akkreditering ("EA", der er anerkendt i henhold til forordning (EF) nr. 765/2008), som samler nationale akkrediteringsorganer, og de tilsynsmyndigheder, der er omhandlet i den generelle forordning om databeskyttelse, bør arbejde tæt sammen med henblik herpå.

(30) Artikel 85, stk. 1, i forordningen.

(31) Artikel 6, stk. 2, i forordningen.

(32) Artikel 88 og artikel 9, stk. 2, litra b), i forordningen. Det hedder også i den europæiske søjle for sociale rettigheder, at "Arbejdstagere har ret til at få deres personoplysninger beskyttet i et ansættelsesforhold" (2017/C 428/09, EUT C 428 af 13.12.2017, s. 10).

(33) Artikel 9, stk. 2, litra h) og i), i forordningen.

(34) Artikel 9, stk. 2, litra j), i forordningen.

(35) Artikel 87 i forordningen.

(36) Artikel 86 i forordningen.

(37) Artikel 90 i forordningen.

(38) Artikel 9, stk. 4, i forordningen.

(39) Sag 94/77, Fratelli Zerbone Snc mod Amministrazione delle finanze dello Stato, ECLI:EU:C:1978:17 og 101.

(40) Betragtning 8 i forordningen.

(41) Østrig ( http://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf ).
Tyskland ( https://www.bgbl.de/xaver/bgbl/start.xav?start=%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D__1513091793362 ).

(42) Er overblik over, hvor langt man er nået i lovgivningsprocessen i de forskellige medlemsstater, findes på http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461 .

(43) Det Europæiske Databeskyttelsesråd bliver et EU-organ med status som juridisk person, der får ansvaret for at sikre konsekvent anvendelse af forordningen. Det vil bestå af lederen af hver databeskyttelsesmyndighed og Den Europæiske Tilsynsførende for Databeskyttelse eller deres repræsentanter.

(44) Betragtning 117 og allerede tidligere anført i betragtning 62 i direktiv 95/46.

(45) Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet om opfølgning på arbejdsprogrammet for en bedre gennemførelse af databeskyttelsesdirektivet (COM(2007) 87 final af 7.3.2007).

(46) Artikel 52 i forordningen.

(47) Artikel 52, stk. 4, i forordningen.

(48) Vejledningen vil bidrage til en bedre forståelse af EU's databeskyttelsesregler, men kun teksten til forordningen har retskraft. Som følge heraf er det kun forordningen, der kan skabe rettigheder og forpligtelser for personer.

(49)  Tilskud, der ydes under programmet for rettigheder og unionsborgerskab for 2016 ( https://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/calls/rec-data-2016.html#c,topics=callIdentifier/t/REC-DATA-2016/1/1/1/default-group&callStatus/t/Forthcoming/1/1/0/default-group&callStatus/t/Open/1/1/0/default-group&callStatus/t/Closed/1/1/0/default-group&+identifier/desc ).

(50) http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/topics/rec-rdat-trai-ag-2017.html .

(51) Delegeret retsakt om oplysninger, der skal fremgå af ikoner, og procedurerne for tilvejebringelse af standardiserede ikoner (artikel 12, stk. 8, i forordningen), delegeret retsakt om krav, der skal tages betragtning i forbindelse med certificeringsmekanismer (artikel 43, stk. 8 i forordningen), gennemførelsesretsakt om fastsættelse af tekniske standarder for certificeringsmekanismer og databeskyttelsesmærkninger og -mærker samt ordninger, der har til formål at fremme og anerkende disse certificeringsmekanismer, mærkninger og -mærker (artikel 43, stk. 9, i forordningen), gennemførelsesretsakt om format og procedurer for videregivelse af oplysninger mellem dataansvarlige, databehandlere og tilsynsmyndigheder vedrørende bindende virksomhedsregler (artikel 47, stk. 3, i forordningen), gennemførelsesretsakter vedrørende formatet og procedurerne for gensidig bistand og for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder (artikel 61, stk. 9, og artikel 67 i forordningen).

(52) For oplysninger om situationen henvises til http://www.efta.int/eea-lex/32016R0679.

(53) https://ec.europa.eu/commission/publications/position-paper-use-data-and-protection-information-obtained-or-processed-withdrawal-date_en.

(54) Se Kommissionens meddelelse til interessenterne: Det Forenede Kongeriges udtrædelse og EU-reglerne for databeskyttelse (http://ec.europa.eu/newsroom/just/document.cfm?action=display&doc_id=49245).