31995L0046

Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger

EF-Tidende nr. L 281 af 23/11/1995 s. 0031 - 0050


EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR -

under henvisning til traktaten om oprettelse af Det Europæiske Fællesskab, særlig artikel 100 A,

under henvisning til forslag fra Kommissionen (1),

under henvisning til udtalelse fra Det Økonomiske og Sociale Udvalg (2),

i henhold til fremgangsmåden i traktatens artikel 189 B, stk.3 (3), og

ud fra følgende betragtninger:

(1) Fællesskabets målsætninger, der er nedfældet i traktaten, som ændret ved traktaten om Den Europæiske Union, er at gennemføre en stadig snævrere sammenslutning mellem de europæiske folk, at skabe snævrere forbindelser mellem de stater, som det forener, gennem fælles handling at sikre økonomiske og sociale fremskridt ved at fjerne de skranker, der deler Europa, stadig at forbedre dets folks levevilkår, at bevare og styrke freden og friheden samt at fremme demokratiet på grundlag af de grundlæggende rettigheder, der er anerkendt i medlemsstaternes forfatninger og love, samt i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder;

(2) databehandlingssystemer er til for menneskets skyld; de skal være i overensstemmelse med de grundlæggende rettigheder og frihedsrettigheder, der gælder for fysiske personer, uanset statsborgerskab og bopæl, herunder retten til privatlivets fred, og bidrage til at sikre økonomiske og sociale fremskridt og til at fremme samhandelen og det enkelte menneskes velfærd;

(3) det indre markeds oprettelse og funktion, som i henhold til traktatens artikel 7 A indebærer fri bevægelighed for varer, personer, tjenesteydelser, og kapital, forudsætter ikke blot, at personoplysninger kan cirkulere frit fra én medlemsstat til en anden, men også, at det enkelte menneskes grundlæggende rettigheder beskyttes;

(4) personoplysninger benyttes stadigt hyppigere inden for de forskellige områder af det økonomiske liv og samfundslivet i Fællesskabet; fremskridtene på det informationsteknologiske område gør det betydeligt nemmere at behandle og udveksle sådanne oplysninger;

(5) den økonomiske og sociale integration, der er en følge af det indre markeds oprettelse og funktion efter traktatens artikel 7 A, vil uvægerligt medføre en kraftig vækst i strømmen af personoplysninger på tværs af landegrænserne mellem alle aktører i medlemsstaternes økonomiske liv og samfundslivet, både inden for den private og den offentlige sektor; udvekslingen af personoplysninger mellem virksomheder i de forskellige medlemsstater kan ikke undgå at tage til i omfang; medlemsstaternes myndigheder vil som led i gennemførelsen af fællesskabsretten skulle samarbejde og udveksle personoplysninger indbyrdes for at kunne varetage deres opgaver og udføre hverv på vegne af en anden medlemsstats myndighed inden for det område uden indre grænser, som det indre marked indebærer;

(6) udbygningen af det teknisk-videnskabelige samarbejde og den koordinerede etablering af nye telekommunikationsnet i Fællesskabet gør det endvidere nødvendigt og nemmere at udveksle personoplysninger på tværs af landegrænserne;

(7) forskellen i den beskyttelse af personers rettigheder og frihedsrettigheder, og navnlig retten til privatlivets fred, som de enkelte medlemsstater yder i forbindelse med behandling af personoplysninger, kan forhindre, at oplysninger af denne art videregives fra én medlemsstats område til en anden medlemsstats område; denne forskel kan derved udgøre en hindring for udøvelsen af en række økonomiske aktiviteter på fællesskabsplan, virke konkurrencefordrejende og hindre de nationale myndigheder i at udføre de opgaver, som påhviler dem i henhold til fællesskabsretten; denne forskel i beskyttelsesniveauet hidrører fra forskellene i de nationale love og administrative bestemmelser;

(8) for at hindringerne for udveksling af personoplysninger kan fjernes, skal beskyttelsen af det enkelte menneskes rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstaterne; denne målsætning er af grundlæggende betydning for det indre marked, men kan ikke realiseres af medlemsstaterne alene, navnlig på grund af omfanget af de nuværende forskelle mellem de nationale love på området, og fordi det er nødvendigt at samordne medlemsstaternes lovgivninger, så udveksling af personoplysninger på tværs af landegrænserne underlægges et samlet regelsæt, der er i overensstemmelse med målsætningen om det indre marked som fastsat i traktatens artikel 7 A; det er derfor nødvendigt, at Fællesskabet tager skridt til at gennemføre en indbyrdes tilnærmelse af lovgivningerne;

(9) med den ensartede beskyttelse, som vil følge af den indbyrdes tilnærmelse af de nationale lovgivninger, vil medlemsstaterne ikke længere under henvisning til det enkelte menneskes rettigheder og frihedsrettigheder, navnlig retten til privatlivets fred, kunne lægge hindringer i vejen for den frie udveksling af personoplysninger medlemsstaterne imellem; medlemsstaterne vil få en manøvremargen, som erhvervslivet og arbejdsmarkedets parter kan benytte sig af i forbindelse med direktivets gennemførelse; de vil således i deres nationale lovgivning kunne fastsætte de generelle betingelser for lovlig behandling af personoplysninger; medlemsstaterne skal derved tilsigte en forbedring af den beskyttelse, som deres nuværende lovgivning sikrer; inden for rammerne af denne manøvremargen og i overensstemmelse med fællesskabsretten kan der forekomme forskelle i gennemførelsen af direktivet, og dette kan få konsekvenser for udvekslingen af oplysninger såvel inden for den enkelte medlemsstat som på fællesskabsplan;

(10) medlemsstaternes lovgivning om behandling af personoplysninger skal sikre overholdelsen af de grundlæggende rettigheder og frihedsrettigheder, navnlig den ret til privatlivets fred, der er fastslået i artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder og i fællesskabsrettens generelle principper; af denne grund må en indbyrdes tilnærmelse af lovgivningerne ikke medføre en forringelse af den beskyttelse, disse yder, men skal tværtimod have til formål at sikre et højt beskyttelsesniveau overalt i Fællesskabet;

(11) dette direktivs princip om beskyttelse af personers rettigheder og frihedsrettigheder, og navnlig retten til privatlivets fred, er en præcisering og udvidelse af principperne i Europarådets konvention af 28. januar 1981 om beskyttelse af det enkelte menneske i forbindelse med databehandling af personoplysninger;

(12) principperne om beskyttelse skal finde anvendelse på enhver behandling af personoplysninger, foretaget af en person, hvis aktiviteter falder ind under fællesskabsrettens anvendelsesområde; en fysisk persons behandling af oplysninger som led i rent personlige eller familiemæssige aktiviteter som f.eks. korrespondance og føring af en adressefortegnelse, bør dog ikke være omfattet;

(13) aktiviteterne i afsnit V og VI i traktaten om Den Europæiske Union vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og statens aktiviteter på det strafferetlige område hører ikke under fællesskabsrettens anvendelsesområde, uden at dette berører de forpligtelser, der påhviler medlemsstaterne i henhold til traktatens artikel 56, stk. 2, artikel 57 og artikel 100 A; den behandling af personoplysninger, som kræves for at beskytte statens økonomiske interesser, er ikke omfattet af dette direktiv, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed;

(14) der gøres for tiden betydelige fremskridt inden for informationssamfundet med hensyn til udvikling af metoder til at registrere, udsende, bearbejde, lagre, opbevare og videresende oplysninger om fysiske personer via lyd og billede, og det er derfor nødvendigt, at dette direktiv finder anvendelse på behandling af sådanne oplysninger;

(15) behandling af sådanne oplysninger er kun omfattet af dette direktiv, hvis den foregår ved hjælp af elektronisk databehandling, eller hvis de pågældende oplysninger er indeholdt i eller skal indgå i et register, der er struktureret efter bestemte kriterier vedrørende personerne for at lette adgangen til de pågældende personoplysninger;

(16) behandling af lyd- og billeddata, som f.eks. i forbindelse med video-overvågning, er ikke omfattet af dette direktiv, hvis den iværksættes med henblik på den offentlige sikkerhed, forsvar, statens sikkerhed eller statens aktiviteter på det strafferetlige område eller andre aktiviteter, der ikke falder ind under fællesskabsretten;

(17) med hensyn til behandling af lyd- og billeddata, der finder sted i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed, navnlig på det audiovisuelle område, finder direktivets principper begrænset anvendelse i henhold til bestemmelserne i artikel 9;

(18) for at forhindre, at en person unddrages den beskyttelse, der sikres ved dette direktiv, skal enhver behandling af personoplysninger inden for Fællesskabet være i overensstemmelse med lovgivningen i en af medlemsstaterne; med henblik herpå bør enhver behandling af oplysninger være underkastet lovgivningen i den medlemsstat, hvor den registeransvarlige, under hvis myndighed behandlingen udføres, er etableret;

(19) ved etablering på en medlemsstats område forstås faktisk udøvelse af aktiviteter gennem en mere permanent struktur; den pågældende strukturs retlige form, hvad enten det blot er en filial eller et datterselskab med status som juridisk person, har ikke afgørende betydning i denne forbindelse; en registeransvarlig, som er etableret på flere medlemsstaters område, især i form af datterselskaber, skal, navnlig for at undgå omgåelse, sikre sig, at hver enkelt struktur opfylder kravene i den gældende nationale lovgivning;

(20) den omstændighed, at den registeransvarlige er etableret i et tredjeland, må ikke hindre personer i at nyde den beskyttelse, der fastsættes ved dette direktiv; den pågældende behandling bør i så fald underkastes lovgivningen i den medlemsstat, hvor de hjælpemidler, der benyttes til behandlingen, befinder sig, og der bør stilles garanti for, at de rettigheder og forpligtelser, der følger af dette direktiv, også overholdes;

(21) dette direktiv berører ikke de territorialbestemmelser, der gælder i straffesager;

(22) medlemsstaterne fastsætter i deres lovgivning eller i de bestemmelser i øvrigt, der vedtages til gennemførelse af dette direktiv, nærmere bestemmelser om, på hvilke generelle betingelser en behandling er lovlig; især artikel 5 giver i forbindelse med artikel 7 og 8 medlemsstaterne mulighed for uafhængigt af de generelle regler at fastsætte særlige betingelser for databehandling på specifikke områder og med hensyn til de særlige kategorier af de oplysninger, der omhandles i artikel 8;

(23) medlemsstaterne er bemyndigede til at gennemføre beskyttelsen af personer såvel ved en generel lov om beskyttelse af personer i forbindelse med behandling af personoplysninger som ved særlove, f.eks. for statistikinstitutter;

(24) dette direktiv berører ikke national lovgivning, der beskytter juridiske personer i forbindelse med behandlingen af oplysninger, som vedrører dem;

(25) principperne om beskyttelse skal dels afspejles i de forskellige forpligtelser, der påhviler personer, offentlige myndigheder, virksomheder, organer eller andre databehandlingsansvarlige, navnlig for så vidt angår oplysningernes pålidelighed, den tekniske sikkerhed, anmeldelse til tilsynsmyndigheden og de omstændigheder, hvorunder behandlingen må udføres, og dels i de rettigheder, der tilkommer de personer, hvis personoplysninger gøres til genstand for behandling, bl.a. retten til at blive underrettet om en behandling, til indsigt, til at kunne kræve oplysninger berigtiget, men også til under visse omstændigheder at gøre indsigelse mod en behandling;

(26) beskyttelsesprincipperne skal gælde enhver oplysning om en identificeret eller identificerbar person; for at afgøre, om en person er identificerbar, tages alle de hjælpemidler i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den registeransvarlige eller af enhver anden person; beskyttelsesprincipperne gælder ikke oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres; adfærdskodekser i henhold til artikel 27 kan være et nyttigt instrument til at angive måder, hvorpå oplysningerne kan gøres anonyme og opbevares i en sådan form, at den registrerede ikke længere kan identificeres;

(27) fysiske personer skal beskyttes såvel i forbindelse med elektronisk databehandling af oplysninger som i forbindelse med ikke-elektronisk behandling; omfanget af beskyttelsen må i praksis ikke afhænge af de anvendte teknikker, da der ellers vil være alvorlig risiko for omgåelse; for så vidt angår manuel behandling omfatter dette direktiv dog kun registre og ikke sagsmapper, der ikke er strukturerede; navnlig skal indholdet af et register være struktureret efter bestemte kriterier vedrørende personer for at lette adgangen til personoplysningerne; i overensstemmelse med definitionen i artikel 2, litra c), kan de forskellige kriterier, der gør det muligt at bestemme de enkelte dele i en struktureret samling af personoplysninger, samt de forskellige kriterier for adgang til denne samling af oplysninger defineres af hver enkelt medlemsstat; sagsmapper eller samlinger af sagsmapper eller deres forsider, som ikke er struktureret efter bestemte kriterier, hører under ingen omstændigheder ind under dette direktivs anvendelsesområde;

(28) enhver behandling af personoplysninger skal udføres rimeligt og lovligt i forhold til de registrerede; oplysninger, der behandles, skal være tilstrækkelige, relevante og nødvendige i forhold til behandlingsformålene; behandlingsformålene skal være udtrykkeligt angivet, legitime og skal fastlægges ved indsamlingen af oplysningerne; behandlingsformål, der fastlægges senere end indsamlingen, må ikke være uforenelige med de oprindeligt angivne formål;

(29) senere behandling af personoplysninger navnlig i historisk, statistisk eller videnskabeligt øjemed er generelt ikke uforenelig med de formål, som den tidligere indsamling af oplysningerne havde, såfremt medlemsstaterne giver de fornødne garantier; disse garantier skal især udelukke, at oplysningerne bliver anvendt til at underbygge foranstaltninger eller afgørelser, der træffes over for en bestemt person;

(30) for at være lovlig skal en behandling af personoplysninger desuden bero på den registreredes samtykke eller være nødvendig med henblik på indgåelse eller opfyldelse af en kontrakt, der har bindende virkning for den registrerede, eller være begrundet i et lovkrav, i udførelsen af opgaver i almenhedens interesse, i udøvelsen af embedsmyndighed eller i en persons legitime interesse, medmindre den registreredes interesser, grundlæggende rettigheder og frihedsrettigheder går forud herfor; med særligt henblik på at tilgodese de involverede interesser ligeligt og samtidig sikre en effektiv konkurrence kan medlemsstaterne fastsætte nærmere bestemmelser om, på hvilke betingelser anvendelse og videregivelse af personoplysninger til tredjemand kan finde sted i forbindelse med legitime aktiviteter udøvet af virksomheder og andre organer som led i den daglige drift; de kan ligeledes fastsætte nærmere bestemmelser om, på hvilke betingelser videregivelse af personoplysninger til tredjemand kan finde sted i forbindelse med markedsføring eller markedsundersøgelser, der udføres af velgørende organisationer eller andre sammenslutninger eller stiftelser, f.eks. af politisk karakter, under overholdelse af bestemmelser, som har til formål at give den registrerede mulighed for uden begrundelse og udgifter at gøre indsigelse mod, at sådanne oplysninger behandles;

(31) behandling af personoplysninger, der har til formål at beskytte et hensyn af fundamental betydning for den registreredes liv, anses ligeledes for lovlig;

(32) medlemsstaterne træffer afgørelse om, hvorvidt den registeransvarlige, der udfører en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, skal være en offentlig myndighed eller en anden offentligretlig eller privatretlig person, f.eks. en faglig sammenslutning;

(33) oplysninger, som ifølge deres art kan krænke de grundlæggende frihedsrettigheder eller privatlivets fred, må ikke gøres til genstand for behandling uden den registreredes udtrykkelige samtykke; der skal dog udtrykkeligt gives mulighed for undtagelser fra dette forbud for at imødekomme visse behov, navnlig i sådanne tilfælde, hvor databehandlingen udføres med bestemte sundhedsmæssige formål og af personer, der er underkastet tavshedspligt, eller i forbindelse med visse foreningers eller stiftelsers legitime aktiviteter, hvis formål er at sikre udøvelsen af grundlæggende frihedsrettigheder;

(34) når hensynet til vigtige samfundsmæssige interesser berettiger det, skal medlemsstaterne ligeledes kunne fravige forbuddet mod at behandle følsomme kategorier af data på områder som f.eks. folkesundhed og social sikring - navnlig for at sikre kvaliteten og rentabiliteten af de procedurer, der anvendes i forbindelse med ansøgninger om ydelser og tjenester inden for en sygesikringsordning - videnskabelig forskning og offentlig statistik; det påhviler imidlertid medlemsstaterne at sørge for de fornødne specifikke garantier for beskyttelsen af det enkelte menneskes grundlæggende rettigheder og privatliv;

(35) offentlige myndigheders behandling af personoplysninger for officielt anerkendte religiøse sammenslutninger for at opfylde mål, der er fastsat i forfatningsretten eller i folkeretten, udføres af hensyn til vigtige samfundsmæssige interesser;

(36) hvis det i forbindelse med afholdelse af valg i visse medlemsstater er nødvendigt, for at det demokratiske system kan fungere, at politiske partier indsamler oplysninger om enkeltpersoners politiske holdning, kan behandling af sådanne oplysninger tillades af hensyn til varetagelsen af vigtige samfundsmæssige interesser, forudsat, at der fastsættes bestemmelser om de fornødne garantier;

(37) der bør fastsættes undtagelser fra eller begrænsninger af visse bestemmelser i dette direktiv i forbindelse med behandling af personoplysninger i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed, navnlig på det audiovisuelle område, for så vidt sådanne undtagelser er nødvendige for at forene det enkelte menneskes grundlæggende rettigheder med ytringsfriheden, herunder retten til at modtage og give oplysninger, som fastslået bl.a. i artikel 10 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder; det påhviler derfor medlemsstaterne med henblik på afvejning mellem de grundlæggende rettigheder at fastsætte de nødvendige undtagelser og begrænsninger for så vidt angår de generelle foranstaltninger vedrørende lovligheden af behandling af oplysninger, foranstaltningerne til overførsel af oplysninger til tredjelande samt tilsynsmyndighedernes beføjelser. Dette må dog ikke føre til, at medlemsstaterne fastsætter undtagelser fra de foranstaltninger, der tager sigte på at garantere behandlingssikkerheden. Der bør endvidere gives den kontrolmyndighed, der er ansvarlig for dette område, i det mindste visse efterfølgende beføjelser, som f.eks. beføjelsen til med jævne mellemrum at offentliggøre en rapport eller at indbringe sager for de retslige myndigheder;

(38) en rimelig behandling af oplysninger forudsætter, at de registrerede kan få kendskab til en behandlings eksistens og, når der indsamles oplysninger hos dem, kan få nøjagtig og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen;

(39) visse behandlinger vedrører oplysninger, som den ansvarlige ikke har indsamlet direkte hos den registrerede; endvidere kan der berettiget videregives oplysninger til tredjemand, selv om dette ikke var hensigten, da oplysningerne blev indsamlet hos den registrerede; i disse tilfælde skal den pågældende underrettes, når oplysningerne registreres, eller senest når oplysningerne første gang videregives til tredjemand;

(40) det er imidlertid ikke nødvendigt at pålægge en sådan underretningspligt, hvis den registrerede allerede er bekendt med de registrerede oplysninger, eller hvis registreringen eller videregivelsen udtrykkeligt er fastsat i loven, eller hvis det viser sig umuligt eller uforholdsmæssigt vanskeligt at underrette den pågældende, hvilket kan være tilfældet i forbindelse med behandlinger i historisk, statistisk eller videnskabeligt øjemed; i denne forbindelse kan der tages hensyn til antallet af registrerede, oplysningernes alder samt de kompensatoriske foranstaltninger, der kan træffes;

(41) enhver skal have ret til indsigt i de oplysninger om sig selv, som gøres til genstand for behandling, så den pågældende kan forvisse sig om oplysningernes rigtighed og behandlingens lovlighed; af samme årsag skal enhver have ret til at kende den logik, der ligger bag edb-behandlingen af oplysningerne om sig selv, i det mindste i forbindelse med edb-baserede afgørelser, som omhandlet i artikel 15, stk. 1; denne ret må ikke krænke forretningshemmeligheden eller den intellektuelle ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af; dette må dog ikke resultere i, at den registrerede nægtes alle oplysninger;

(42) medlemsstaterne kan af hensyn til den registreredes interesser eller med henblik på at beskytte andres rettigheder og frihedsrettigheder begrænse retten til indsigt og til underretning; de kan f.eks. fastsætte, at adgang til medicinske oplysninger kun kan finde sted via en person, der udøver en profession inden for sundhedsvæsenet;

(43) medlemsstaterne kan ligeledes indskrænke retten til indsigt og underretning samt visse af den registeransvarliges forpligtelser, såfremt dette er nødvendigt af hensyn til statens sikkerhed, forsvaret, den offentlige sikkerhed eller væsentlige økonomiske og finansielle interesser i medlemsstaten eller Unionen samt efterforskning og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv; undtagelser og begrænsninger bør omfatte kontrol-, tilsyns- og reguleringsopgaver, der er nødvendige på de tre sidstnævnte områder vedrørende den offentlige sikkerhed, de økonomiske og finansielle interesser og retsforfølgning i straffesager; dette berører ikke det berettigede i undtagelser og begrænsninger af hensyn til statens sikkerhed eller forsvaret;

(44) medlemsstaterne kan i medfør af fællesskabsrettens bestemmelser blive nødt til at fravige bestemmelserne i dette direktiv vedrørende indsigt, underretning af de registrerede og oplysningernes kvalitet for at sikre visse af ovenstående mål;

(45) hvor behandling af personoplysninger kan foregå fuldt lovligt i almenvellets interesse, af hensyn til offentlig myndighedsudøvelse eller i en persons legitime interesse, bør enhver ikke desto mindre være berettiget til, hvis han på grund af egne særlige forhold har tungtvejende og legitime grunde hertil, at gøre indsigelse mod, at oplysningerne om ham selv gøres til genstand for behandling; medlemsstaterne har imidlertid mulighed for at vedtage nationale bestemmelser om det modsatte;

(46) beskyttelsen af de registreredes rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger forudsætter, at der træffes de fornødne tekniske og organisatoriske foranstaltninger både under selve udformningen og under iværksættelsen af en behandling, navnlig for at varetage sikkerheden og derved forhindre enhver form for ubeføjet behandling; det påhviler medlemsstaterne at sørge for, at de registeransvarlige overholder disse foranstaltninger; disse foranstaltninger skal under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de oplysninger, der skal beskyttes;

(47) når en meddelelse, der indeholder personoplysninger, fremsendes via en telekommunikations- eller elektronisk posttjeneste, hvis eneste formål er at sende meddelelser af denne type, er det den person, som er ophavsmand til meddelelsen, og ikke den person, der tilbyder tjenesten, der normalt vil blive betragtet som ansvarlig for behandlingen af de personoplysninger, der er indeholdt i meddelelsen; de personer, som udbyder disse tjenester, vil dog normalt blive betragtet som ansvarlige for behandlingen af de supplerende personoplysninger, der er nødvendige for tjenestens udførelse;

(48) anmeldelsesprocedurerne tager sigte på at gøre en behandlings formål samt dens vigtigste karakteristika offentlig kendt med henblik på kontrol af behandlingens overholdelse af de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv;

(49) for at undgå overflødige administrative formaliteter kan medlemsstaterne fastsætte fritagelser for og lempelser af anmeldelsespligten for behandlinger, der ikke vil kunne krænke de registreredes rettigheder og frihedsrettigheder, og som er i overensstemmelse med en retsakt, der er udstedt af en medlemsstat, og som fastsætter begrænsningerne herfor; medlemsstaten kan ligeledes give mulighed for forenklet anmeldelse eller fritagelse for anmeldelse, hvor en person med ansvar for databeskyttelse, der udpeges af den registeransvarlige, har kunnet fastslå, at den foretagne behandling ikke vil kunne krænke de registreredes rettigheder og frihedsrettigheder; den person, der har ansvar for databeskyttelse, skal, uanset om han er ansat hos den registeransvarlige eller ej, være i stand til at udøve sit hverv i fuld uafhængighed;

(50) der kan fastsættes fritagelse for anmeldelse eller forenklet anmeldelse i forbindelse med behandlinger, hvis eneste formål er at føre registre, som er udarbejdet i henhold til national ret med henblik på at stille oplysninger til rådighed for offentligheden eller for personer, der kan godtgøre en legitim interesse heri;

(51) den omstændighed, at den registeransvarlige er omfattet af den forenklede anmeldelsespligt eller fritaget for anmeldelsespligt, fritager ikke den registeransvarlige for de øvrige forpligtelser, der følger af dette direktiv;

(52) efterfølgende kontrol fra myndighedernes side skal i den forbindelse generelt betragtes som tilstrækkelig;

(53) dog vil visse behandlinger på grund af deres art, omfang eller formål kunne indebære en særlig risiko for at krænke de registreredes rettigheder og frihedsrettigheder, f.eks. behandlinger, der har til formål at udelukke den registrerede fra at udøve en ret, modtage en ydelse eller opnå en kontrakt, eller som indebærer anvendelse af ny teknologi; medlemsstaterne må, hvis de ønsker det, præcisere denne risiko i deres lovgivning;

(54) i forhold til alle de behandlinger, der iværksættes i samfundet, skulle det antal behandlinger, der indebærer en særlig risiko, være meget begrænset; medlemsstaterne skal fastsætte bestemmelser om, at tilsynsmyndigheden eller den person, der har ansvar for databeskyttelse, i samråd med tilsynsmyndigheden skal foretage en kontrol af disse behandlinger, inden de iværksættes; tilsynsmyndigheden kan, efter at kontrollen er foretaget, og i overensstemmelse med den nationale lovgivning udtale sig om eller give tilladelse til den pågældende behandling; den forudgående kontrol kan også foretages som led i udarbejdelsen af en lov, der vedtages af det nationale parlament, eller af en anden foranstaltning med hjemmel i en sådan lov, som fastlægger karakteren af behandlingen og fastsætter de fornødne garantier;

(55) krænker den registeransvarlige en registrerets rettigheder, skal der i medlemsstaternes lovgivning gives adgang til at indbringe sagen for en retsinstans; personer, som lider skade som følge af en ulovlig behandling, skal have ret til erstatning fra den registeransvarlige; denne kan fritages for erstatningsansvar, hvis det bevises, at han ikke er skyld i den forvoldte skade, navnlig hvis der kan henvises til en fejl fra den registreredes side eller et tilfælde af force majeure; der skal iværksættes sanktioner over for såvel privatretlige som offentlige personer, der overtræder nationale bestemmelser vedtaget med henblik på gennemførelsen af dette direktiv;

(56) strømmen af personoplysninger på tværs af landegrænserne er nødvendig af hensyn til udbygningen af den internationale samhandel; den beskyttelse, der ved dette direktiv garanteres personer inden for Fællesskabet, er ikke til hinder for, at der videregives personoplysninger til tredjelande, for så vidt disse sikrer et tilstrækkeligt beskyttelsesniveau; vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, skal foretages på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger;

(57) hvis et tredjeland derimod ikke sikrer et tilstrækkeligt beskyttelsesniveau, skal videregivelse af personoplysninger til det pågældende land forbydes;

(58) der skal dog kunne undtages fra dette forbud under bestemte omstændigheder, hvor den registrerede har meddelt sit samtykke, hvor videregivelsen er nødvendig i forbindelse med en kontrakt eller en retssag, hvor beskyttelsen af væsentlige samfundsinteresser kræver det, f.eks. ved international udveksling af oplysninger mellem skatte- eller toldforvaltninger eller mellem socialsikringsmyndigheder, eller hvor videregivelsen sker fra et register, der er oprettet ved lov, og som offentligheden eller personer med en legitim interesse heri skal kunne konsultere; en sådan videregivelse bør ikke omfatte alle oplysningerne eller hele kategorier af oplysninger i dette register; når et register er beregnet til at blive konsulteret af personer, der har en legitim interesse heri, bør videregivelse kun ske på anmodning af disse personer, eller hvis de selv er modtageren;

(59) der kan træffes særlige foranstaltninger til at afhjælpe et utilstrækkeligt beskyttelsesniveau i et tredjeland, hvis den registeransvarlige stiller de fornødne garantier; endvidere skal der fastsættes bestemmelser om forhandlingsprocedurer mellem Fællesskabet og de pågældende tredjelande;

(60) videregivelse til tredjelande må under alle omstændigheder kun finde sted under fuld overholdelse af de bestemmelser, som medlemsstaterne vedtager i medfør af dette direktiv, særlig artikel 8;

(61) medlemsstaterne og Kommissionen skal inden for deres respektive kompetenceområder opfordre de berørte erhvervskredse til at udarbejde adfærdskodekser med henblik på, under hensyn til de særlige former for behandling, der udføres i bestemte sektorer, at fremme iværksættelsen af dette direktiv under overholdelse af de bestemmelser, medlemsstaterne har truffet til gennemførelse deraf;

(62) oprettelsen af en uafhængig tilsynsmyndighed i hver medlemsstat har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger;

(63) denne myndighed skal tildeles de fornødne beføjelser til at varetage denne opgave, herunder undersøgelses- og interventionsbeføjelser, navnlig når det drejer sig om klager, samt beføjelse til at indbringe sager for en retsinstans; myndigheden skal bidrage til at tilvejebringe gennemsigtighed i de databehandlinger, der udføres i den medlemsstat, hvorunder den hører;

(64) tilsynsmyndighederne i de enkelte medlemsstater skal yde hinanden bistand i forbindelse med varetagelsen af deres opgaver for at sikre, at beskyttelsesreglerne overholdes fuldt ud overalt i Den Europæiske Union;

(65) der skal på fællesskabsplan nedsættes en arbejdsgruppe om beskyttelse af personer i forbindelse med behandling af personoplysninger; gruppen skal være fuldt uafhængig i udøvelsen af sine funktioner; i kraft af denne uafhængighed skal den rådgive Kommissionen og navnlig bidrage til, at de nationale regler, der vedtages til gennemførelse af dette direktiv, anvendes ensartet;

(66) for så vidt angår videregivelse af oplysninger til tredjelande, er det nødvendigt at tillægge Kommissionen beføjelse til at udstede gennemførelsesbestemmelser og indføre en procedure i henhold til retningslinjerne i Rådets afgørelse nr. 87/373/EØF (4) for at kunne anvende dette direktiv;

(67) Europa-Parlamentet, Rådet og Kommissionen nåede den 20. december 1994 til enighed om en modus vivendi vedrørende gennemførelsesforanstaltningerne til retsakter vedtaget efter fremgangsmåden i artikel 189 B i EF-traktaten;

(68) de principper om beskyttelse af personers rettigheder og frihedsrettigheder, og navnlig retten til privatlivets fred, i forbindelse med behandling af personoplysninger, som opstilles i dette direktiv, vil for visse sektorers vedkommende kunne suppleres med eller præciseres i særregler, der skal være i overensstemmelse med disse principper;

(69) der bør gives medlemsstaterne en frist på højst tre år regnet fra datoen for ikrafttrædelsen af de nationale foranstaltninger, der træffes til gennemførelse af dette direktiv, for at de gradvis kan bringe de nye nationale bestemmelser i anvendelse på samtlige behandlinger, der allerede er iværksat; af hensyn til en omkostningsbevidst gennemførelse indrømmes der medlemsstaterne en yderligere periode, der udløber tolv år efter datoen for vedtagelsen af dette direktiv, til at sikre, at eksisterende ikke-elektroniske registre bringes i overensstemmelse med visse af direktivets bestemmelser; data, der er indeholdt i disse registre, og som behandles manuelt i denne udvidede overgangsperiode, skal dog på det tidspunkt, hvor de er genstand for en sådan yderligere behandling, være bragt i overensstemmelse med disse bestemmelser;

(70) den registrerede skal ikke på ny give sit samtykke, for at den registeransvarlige efter ikrafttrædelsen af de nationale bestemmelser i forbindelse med gennemførelsen af dette direktiv kan fortsætte behandlingen af følsomme oplysninger, når denne er nødvendig for udførelsen af en kontrakt, der er indgået på grundlag af frit og informeret samtykke inden ikrafttrædelsen af ovennævnte bestemmelser;

(71) dette direktiv er ikke til hinder for, at en medlemsstat vedtager regler for markedsføring, der henvender sig til forbrugere, der er bosiddende på dens område, for så vidt sådanne regler ikke berører beskyttelsen af personer i forbindelse med behandlingen af personoplysninger;

(72) dette direktiv giver mulighed for, at der i gennemførelsen af dets bestemmelser kan tages hensyn til princippet om aktindsigt i offentlige dokumenter -

UDSTEDT FØLGENDE DIREKTIV:

KAPITEL I ALMINDELIGE BESTEMMELSER

Artikel 1

Direktivets formål

1. Medlemsstaterne sikrer i overensstemmelse med dette direktiv beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger.

2. Medlemsstaterne må ikke af grunde, der har forbindelse med den i stk. 1 foreskrevne beskyttelse, indskrænke eller forbyde fri udveksling af personoplysninger mellem medlemsstaterne.

Artikel 2

Definitioner

I dette direktiv forstås ved:

a) »personoplysninger« enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar person forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet

b) »behandling af personoplysninger« (»behandling«) enhver operation eller række af operationer - med eller uden brug af elektronisk databehandling - som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse

c) »register med personoplysninger« (»register«) enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag

d) »den registeransvarlige« den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; er formålet med og hjælpemidlerne ved behandlingen fastlagt ved nationale love eller forskrifter eller på fællesskabsplan, kan den registeransvarlige, eller de specifikke kriterier for udpegelse af denne, angives i den pågældende nationale ret eller i fællesskabsretten

e) »registerfører« den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler personoplysninger på den registeransvarliges vegne

f) »tredjemand« enhver anden fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede, den registeransvarlige, registerføreren og de personer under den registeransvarliges eller registerførerens direkte myndighed, der er beføjet til at behandle oplysningerne

g) »modtager« den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, hvortil oplysningerne meddeles, uanset om der er tale om en tredjemand; myndigheder, som vil kunne få meddelt oplysninger som led i en isoleret forespørgsel, betragtes ikke som modtagere

h) »den registreredes samtykke« enhver frivillig, specifik og informeret viljetilkendegivelse, hvorved den registrerede indvilliger i, at personoplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.

Artikel 3

Anvendelsesområde

1. Dette direktivs bestemmelser anvendes på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af edb, samt på ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

2. Dette direktiv gælder ikke for sådan behandling af personoplysninger,

- som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, som f.eks. de aktiviteter, der er fastsat i afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område

- som foretages af en fysisk person med henblik på udøvelse af rent personlige eller familiemæssige aktiviteter.

Artikel 4

Gældende national ret

1. Medlemsstaterne anvender de nationale bestemmelser, de vedtager til gennemførelse af dette direktiv, på behandling af personoplysninger:

a) der foretages som led i en virksomheds eller et organs aktiviteter inden for den medlemsstats område, hvor den registeransvarlige er etableret; en registeransvarlig, som er etableret på flere medlemsstaters område, skal træffe de nødvendige foranstaltninger til at sikre, at hver af disse virksomheder eller organer opfylder kravene i den gældende nationale lovgivning

b) der foretages af en registeransvarlig, der ikke er etableret på den pågældende medlemsstats område, men på et sted, hvor dens nationale lovgivning gælder i henhold til folkeretten

c) der foretages af en registeransvarlig, der ikke er etableret på Fællesskabets område, og som med henblik på behandling af personoplysninger anvender midler, det være sig elektroniske eller ikke-elektroniske, som befinder sig på den pågældende medlemsstats område, medmindre disse midler kun benyttes med henblik på forsendelse gennem Det Europæiske Fællesskabs område.

2. I det i stk. 1, litra c), omhandlede tilfælde udpeger den registeransvarlige en repræsentant, der er etableret på den pågældende medlemsstats område, uden at dette i øvrigt berører eventuelle retslige skridt mod den registeransvarlige selv.

KAPITEL II ALMINDELIGE BETINGELSER FOR LOVLIG BEHANDLING AF PERSONOPLYSNINGER

Artikel 5

Medlemsstaterne præciserer i henhold til bestemmelserne i dette kapitel, på hvilke betingelser behandling af personoplysninger er lovlig.

AFDELING I PRINCIPPER VEDRØRENDE OPLYSNINGERNES PÅLIDELIGHED

Artikel 6

1. Medlemsstaterne fastsætter bestemmelser om, at personoplysninger

a) skal behandles rimeligt og lovligt

b) skal indsamles til udtrykkeligt angivne og legitime formål, samt at senere behandling heraf ikke må være uforenelig med disse formål; senere behandling af oplysninger i historisk, statistisk eller videnskabeligt øjemed anses ikke for at være uforenelig med disse formål, såfremt medlemsstaterne giver de fornødne garantier

c) skal være relevante og tilstrækkelige og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil de indsamles, og til de formål, hvortil de senere behandles

d) skal være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt til at slette eller berigtige oplysninger, der er urigtige eller ufuldstændige i forhold til det formål, hvortil de indsamles, eller i forbindelse med hvilke de behandles på et senere tidspunkt

e) ikke må opbevares på en måde, der giver mulighed for at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil de indsamles, eller i forbindelse med hvilke de behandles på et senere tidspunkt. Medlemsstaterne fastsætter de fornødne garantier for personoplysninger, der i historisk, statistisk eller videnskabeligt øjemed opbevares længere end i ovennævnte periode.

2. Det påhviler den registeransvarlige at sikre, at bestemmelserne i stk. 1 overholdes.

AFDELING II PRINCIPPER VEDRØRENDE GRUNDLAGET FOR BEHANDLING AF OPLYSNINGER

Artikel 7

Medlemsstaterne fastsætter bestemmelser om, at behandling af personoplysninger kun må finde sted hvis:

a) der ikke hersker tvivl om, at den registrerede har givet sit samtykke, eller

b) behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på dennes anmodning forud for indgåelsen af en sådan kontrakt, eller

c) behandlingen er nødvendig for at overholde en retlig forpligtelse, som gælder for den registeransvarlige, eller

d) behandlingen er nødvendig for at beskytte den registreredes vitale interesser, eller

e) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, som den registeransvarlige eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt, eller

f) behandlingen er nødvendig, for at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse, medmindre den registreredes interesser eller de grundlæggende rettigheder og frihedsrettigheder, der skal beskyttes i henhold til artikel 1, stk. 1, i dette direktiv, går forud herfor.

AFDELING III SÆRLIGE KATEGORIER AF BEHANDLINGER

Artikel 8

Behandlinger, der vedrører særlige kategorier af oplysninger

1. Medlemsstaterne forbyder behandling af personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger om helbredsforhold og seksuelle forhold.

2. Stk. 1 finder ikke anvendelse, hvis

a) den registrerede udtrykkeligt har givet sit samtykke til en sådan behandling, medmindre det i medlemsstatens lovgivning fastsættes, at det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke, eller

b) behandlingen er nødvendig for overholdelsen af den registeransvarliges arbejdsretlige forpligtelser og specifikke rettigheder, for så vidt den er tilladt ifølge nationale lovbestemmelser, som fastsætter de fornødne garantier, eller

c) behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke, eller

d) behandlingen foretages af en stiftelse, en forening eller et andet almennyttigt organ, hvis sigte er af politisk, filosofisk, religiøs eller faglig art, som led i organets legitime aktiviteter og med de fornødne garantier, på betingelse af, at behandlingen alene vedrører organets medlemmer eller personer, der på grund af organets formål er i regelmæssig kontrakt hermed, og at oplysningerne ikke videregives til tredjemand uden den registreredes samtykke, eller

e) behandlingen vedrører oplysninger, som klart offentliggøres af den registrerede, eller er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.

3. Stk. 1 finder ikke anvendelse, hvis behandlingen af oplysningerne er nødvendig med henblik på forebyggende medicin, medicinsk diagnose, sygepleje eller patientbehandling eller forvaltning af læge- og sundhedstjenester, og hvis behandlingen af disse oplysninger foretages af en erhvervsudøvende i sundhedssektoren, der i henhold til den nationale lovgivning eller til regler, der er fastsat af kompetente nationale organer, har tavshedspligt, eller af en anden person med tilsvarende tavshedspligt.

4. Med forbehold af, at der gives tilstrækkelige garantier, kan medlemsstaterne af grunde, der vedrører hensynet til vigtige samfundsmæssige interesser, fastsætte andre undtagelser end dem, der er nævnt i stk. 2, enten ved national lovgivning eller ved en afgørelse truffet af tilsynsmyndigheden.

5. Behandling af oplysninger om lovovertrædelser, straffedomme eller sikkerhedsforanstaltninger må kun foretages under kontrol af en offentlig myndighed, eller hvis der gælder tilstrækkelige, specifikke garantier i medfør af den nationale lovgivning med forbehold af de undtagelser, som medlemsstaten kan fastsætte på grundlag af nationale lovbestemmelser, hvorefter der gives tilstrækkelige, specifikke garantier. Et fuldstændigt register over straffedomme må dog kun føres under kontrol af en offentlig myndighed.

Medlemsstaterne kan fastsætte bestemmelser om, at behandling af oplysninger vedrørende administrative sanktioner eller civile retssager ligeledes skal foretages under en offentlig myndigheds kontrol.

6. Undtagelser fra stk. 1 som omhandlet i stk. 4 og 5 meddeles til Kommissionen.

7. Medlemsstaterne bestemmer, på hvilke betingelser et nationalt identifikationsnummer eller andre almene midler til identifikation kan gøres til genstand for behandling.

Artikel 9

Behandling af personoplysninger og ytringsfriheden

Medlemsstaterne fastsætter i forbindelse med behandling af personoplysninger, der udelukkende finder sted i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed, kun fritagelser eller undtagelser fra bestemmelserne i dette kapitel og i kapitel IV og VI, for så vidt som de er nødvendige for at forene retten til privatlivets fred med reglerne for ytringsfrihed.

AFDELING IV OPLYSNINGSPLIGT OVER FOR DEN REGISTREREDE

Artikel 10

Oplysningspligt ved indsamling af oplysninger hos den registrerede

Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller dennes repræsentant skal give den person, hos og om hvem der indsamles oplysninger, mindst følgende informationer, medmindre den pågældende allerede er bekendt hermed, og for så vidt som disse yderligere informationer, under hensyn til de særlige omstændigheder hvorunder oplysningerne indsamles, er nødvendige for at sikre den registrerede en rimelig behandling af oplysningerne:

a) den registeransvarliges og eventuelt dennes repræsentants identitet

b) formålene med den behandling, hvortil oplysningerne er bestemt

c) alle yderligere informationer som f.eks.

- modtagerne eller kategorierne af modtagere

- om det er obligatorisk eller frivilligt at besvare spørgsmålene samt mulige følger af ikke at svare

- hvorvidt der gives ret til at få indsigt i og foretage berigtigelse af de oplysninger, der vedrører den registrerede.

Artikel 11

Oplysningspligt, når oplysningerne ikke er indsamlet hos den registrerede

1. Når oplysningerne ikke er indsamlet hos den registrerede, fastsætter medlemsstaterne bestemmelser om, at den registeransvarlige eller dennes repræsentant allerede ved registreringen af oplysningerne, eller senest når oplysningerne første gang videregives til tredjemand, skal give den registrerede mindst følgende informationer, medmindre den pågældende allerede er bekendt hermed, og for så vidt som disse yderligere informationer, under hensyn til de særlige omstændigheder hvorunder oplysningerne indsamles, er nødvendige for at sikre den registrerede en rimelig behandling af oplysningerne:

a) den registeransvarliges og eventuelt dennes repræsentants identitet

b) formålene med behandlingen

c) alle yderligere informationer som f.eks.

- hvilken type oplysninger det drejer sig om

- modtagerne eller kategorierne af modtagere

- hvorvidt der gives ret til at få indsigt i og foretage berigtigelse af de oplysninger, der vedrører den registrerede.

2. Bestemmelserne i stk. 1 finder ikke anvendelse, navnlig ikke når behandlingen foretages i statistisk øjemed eller til historiske eller videnskabelige forskningsformål, hvis underretning af den registrerede viser sig umulig eller er uforholdsmæssig vanskelig, eller registreringen eller videregivelsen af oplysningerne er udtrykkeligt fastsat ved lov. I sådanne tilfælde fastsætter medlemsstaterne de fornødne garantier.

AFDELING V DEN REGISTREREDES RET TIL INDSIGT

Artikel 12

Ret til indsigt

Medlemsstaterne sikrer enhver registreret ret til hos den registeransvarlige

a) frit og uhindret, med rimelige mellemrum og uden større ventetid eller større udgifter

- at få oplyst, om der behandles personoplysninger om den pågældende selv, samt mindst formålene med behandlingen, hvilken type oplysninger det drejer sig om, og modtagerne eller kategorierne af modtagere af oplysningerne

- at få meddelt letforståelig information om, hvilke oplysninger der er omfattet af behandlingerne, samt enhver tilgængelig information om, hvorfra disse oplysninger stammer

- at få at vide, hvilken logik der ligger bag edb-behandlingen af oplysningerne om den pågældende, i det mindste i forbindelse med edb-baserede afgørelser som omhandlet i artikel 15, stk. 1

b) efter omstændighederne at få oplysninger, som ikke er blevet behandlet i overensstemmelse med dette direktiv, berigtiget, slettet eller blokeret, navnlig hvis de er ufuldstændige eller urigtige

c) at få udvirket, at tredjemand, til hvem sådanne oplysninger er blevet videregivet, underrettes om enhver berigtigelse, sletning eller blokering, der er foretaget i overensstemmelse med litra b), medmindre underretning viser sig umulig eller er uforholdsmæssig vanskelig.

AFDELING VI UNDTAGELSER OG BEGRÆNSNINGER

Artikel 13

Undtagelser og begrænsninger

1. Medlemsstaterne kan træffe lovmæssige foranstaltninger med henblik på at begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 6, stk. 1, artikel 10, artikel 11, stk. 1, samt artikel 12 og 21, hvis en sådan begrænsning er en nødvendig foranstaltning af hensyn til:

a) statens sikkerhed

b) forsvaret

c) den offentlige sikkerhed

d) forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv

e) væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender

f) en kontrol-, tilsyns- eller reguleringsopgave, selv af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i litra c), d) og e) nævnte områder

g) beskyttelsen af den registreredes interesser eller andres rettigheder og frihedsrettigheder.

2. Medlemsstaterne kan med forbehold af de fornødne lovhjemlede garantier, navnlig for at oplysningerne ikke anvendes til at træffe foranstaltninger eller afgørelser vedrørende bestemte personer, i tilfælde, hvor der klart ikke er nogen risiko for, at den registreredes ret til privatlivets fred krænkes, ved lov begrænse de i artikel 12 omhandlede rettigheder, hvis oplysningerne udelukkende behandles med videnskabelig forskning for øje eller kun opbevares i form af personoplysninger i det tidsrum, som kræves for at udarbejde statistikker.

AFDELING VII DEN REGISTREREDES INDSIGELSESRET

Artikel 14

Den registreredes indsigelsesret

Medlemsstaterne indrømmer den registrerede ret til

a) i det mindste i de i artikel 7, litra e) og f), omhandlede tilfælde af vægtige legitime grunde, der vedrører den pågældendes særlige situation, til enhver tid at gøre indsigelse mod, at personoplysninger om ham selv gøres til genstand for behandling, medmindre andet er bestemt i den nationale lovgivning; i tilfælde af berettiget indsigelse må den af den registeransvarlige iværksatte behandling ikke længere omfatte de pågældende oplysninger

b) efter anmodning og uden udgifter at modsætte sig en behandling af personoplysninger, der vedrører den pågældende, og som den registeransvarlige agter at foretage med henblik på markedsføring, eller at blive underrettet, inden personoplysningerne første gang videregives til tredjemand eller anvendes på tredjemands vegne med henblik på markedsføring, og udtrykkelig få tilbud om uden udgifter at gøre indsigelse mod en sådan videregivelse eller anvendelse.

Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at de registrerede er bekendt med den i litra b), første afsnit, omhandlede ret.

Artikel 15

Edb-behandlede individuelle afgørelser

1. Medlemsstaterne indrømmer enhver person ret til ikke at være undergivet afgørelser, der har retsvirkning for ham, eller som berører ham i væsentlig grad, og som alene er truffet på grundlag af edb-behandling af oplysninger, der er bestemt til at vurdere bestemte personlige forhold, såsom erhvervsevne, kreditværdighed, pålidelighed, adfærd osv.

2. Uden at dette berører de øvrige bestemmelser i dette direktiv, fastsætter medlemsstaterne bestemmelser om, at en person kan undergives en afgørelse af den art, der er omhandlet i stk. 1, når:

a) den pågældende afgørelse træffes som led i indgåelsen eller opfyldelsen af en kontrakt, såfremt den registreredes anmodning om indgåelse eller opfyldelse af kontrakten er blevet efterkommet, eller der findes passende foranstaltninger til at beskytte den registreredes legitime interesser, som f.eks. mulighed for denne til at gøre sit synspunkt gældende, eller når

b) den pågældende afgørelse er hjemlet i en lov, der indeholder bestemmelser til beskyttelse af den registreredes legitime interesser.

AFDELING VIII FORTROLIGHED OG BEHANDLINGSSIKKERHED

Artikel 16

Behandlingernes fortrolige karakter

Enhver, der udfører arbejde under den registeransvarlige eller registerføreren, herunder registerføreren selv, og som får adgang til personoplysninger, må kun behandle disse efter instruks fra den registeransvarlige, bortset fra tilfælde der er fastsat i lovgivningen.

Artikel 17

Behandlingssikkerhed

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal iværksætte de fornødne tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, mod hændeligt tab, mod forringelse, ubeføjet udbredelse eller ikke-autoriseret adgang, navnlig hvis behandlingen omfatter fremsendelser af oplysninger i et net, samt mod enhver anden form for ulovlig behandling.

Disse foranstaltninger skal under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de oplysninger, som skal beskyttes.

2. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige, hvis oplysninger behandles for dennes regning, skal vælge en registerfører, som frembyder den fornødne garanti med hensyn til de tekniske sikkerhedsforanstaltninger og organisatoriske foranstaltninger, der skal træffes, og skal påse, at disse foranstaltninger overholdes.

3. Gennemførelse af en behandling ved en registerfører skal ske i henhold til en kontrakt eller et andet retligt bindende dokument mellem registerføreren og den registeransvarlige, hvori det navnlig fastsættes

- at registerføreren alene handler efter instruks fra den registeransvarlige

- at forpligtelserne i henhold til stk. 1, som fastlagt i lovgivningen i den medlemsstat, hvor registerføreren er etableret, ligeledes påhviler denne.

4. Med henblik på opbevaring af beviserne skal de dele i kontrakten eller det retlige dokument, der vedrører beskyttelse af oplysninger, og de krav, der vedrører de i stk. 1 omhandlede foranstaltninger, foreligge skriftligt eller i en anden tilsvarende form.

AFDELING IX ANMELDELSE

Artikel 18

Anmeldelsespligt over for tilsynsmyndigheden

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller dennes eventuelle repræsentant forud for iværksættelsen af en behandling, der helt eller delvis udføres ved brug af elektronisk databehandling, eller en række sådanne behandlinger, hvis formål er identiske eller indbyrdes relaterede, skal foretage anmeldelse til den i artikel 28 omhandlede tilsynsmyndighed.

2. Medlemsstaterne må kun give mulighed for forenklet anmeldelse eller fritagelse for anmeldelse i følgende tilfælde og på følgende betingelser:

- medlemsstaterne anfører for de typer behandling, hvor det i betragtning af de behandlede oplysninger ikke er sandsynligt, at de registreredes rettigheder eller frihedsrettigheder krænkes, behandlingens formål, hvilke oplysninger eller typer oplysninger der behandles, hvilke registrerede eller kategorier af registrerede der er tale om, til hvilke modtagere eller kategorier af modtagere oplysningerne videregives, samt hvor længe oplysningerne opbevares, og/eller

- de registeransvarlige udpeger i overensstemmelse med den nationale lovgivning, som de er underlagt, en person med ansvar for beskyttelse af personoplysninger, som bl.a. har til opgave

- i fuld uafhængighed at sikre den interne anvendelse af de nationale bestemmelser, der er truffet i medfør af direktivet

- at føre et register over de behandlinger, der gennemføres af den registeransvarlige, og som omfatter de i artikel 21, stk. 2, omhandlede oplysninger

for på denne måde at sikre, at det er ikke sandsynligt, at de registreredes rettigheder og frihedsrettigheder vil kunne krænkes som følge af behandlingen.

3. Medlemsstaterne kan fastsætte, at stk. 1 ikke finder anvendelse på behandlinger, hvis eneste formål er at føre et register, der ifølge love eller administrative bestemmelser er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri.

4. Medlemsstaterne kan fritage de behandlinger, der er omhandlet i artikel 8, stk. 2, litra d), for anmeldelsespligt eller fastsætte en forenklet anmeldelse.

5. Medlemsstaterne kan bestemme, at ikke-elektroniske behandlinger af personoplysninger eller nogle af disse behandlinger skal anmeldes, eller foreskrive forenklet anmeldelse af sådanne behandlinger.

Artikel 19

Anmeldelsens indhold

1. Medlemsstaterne præciserer, hvilke oplysninger anmeldelsen skal indeholde. Anmeldelsen skal mindst indeholde følgende oplysninger:

a) navn og adresse på den registeransvarlige og dennes eventuelle repræsentant

b) behandlingens formål

c) en beskrivelse af kategorien eller kategorierne af registrerede og af de oplysninger eller typer af oplysninger, der vedrører dem

d) de modtagere eller kategorier af modtagere, som oplysningerne kan videregives

e) påtænkte overførsler af oplysninger til tredjelande

f) en generel beskrivelse, der giver mulighed for foreløbigt at vurdere, om foranstaltningerne med henblik på behandlingssikkerheden i henhold til artikel 17 er passende.

2. Medlemsstaterne præciserer, efter hvilke procedurer ændringer i de i stk. 1 omhandlede oplysninger skal anmeldes til tilsynsmyndigheden.

Artikel 20

Forudgående kontrol

1. Medlemsstaterne præciserer, hvilke behandlinger der kan indebære særlige risici for personers rettigheder og frihedsrettigheder, og sikrer, at disse behandlinger kontrolleres, inden de iværksættes.

2. En sådan forudgående kontrol foretages af tilsynsmyndigheden efter modtagelsen af anmeldelsen fra den registeransvarlige, eller den foretages af den person, der har ansvar for databeskyttelse, som i tvivlstilfælde skal høre tilsynsmyndigheden.

3. Medlemsstaterne kan også gennemføre en sådan kontrol som led i udarbejdelsen af en foranstaltning, der vedtages af det nationale parlament, eller af en anden foranstaltning med hjemmel i en sådan lov, som fastlægger karakteren af behandlingen og fastsætter de fornødne garantier.

Artikel 21

Behandlingernes offentlige tilgængelighed

1. Medlemsstaterne træffer foranstaltninger til at sikre, at behandlingerne er offentligt tilgængelige.

2. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden fører et register over de behandlinger, der er anmeldt i henhold til artikel 18.

Registret omfatter mindst de oplysninger, der er anført i artikel 19, stk. 1, litra a) e).

Registret er offentligt tilgængeligt.

3. For så vidt angår behandlinger, som ikke er omfattet af anmeldelsespligt, fastsætter medlemsstaterne bestemmelser om, at de registeransvarlige eller enhver anden myndighed, som medlemsstaterne udpeger, på passende måde mindst skal stille de i artikel 19, stk. 1, litra a) e), omhandlede oplysninger til rådighed for enhver person, der anmoder herom.

Medlemsstaterne kan fastsætte, at denne bestemmelse ikke finder anvendelse på behandlinger, hvis eneste formål er at føre et register, der ifølge love eller administrative bestemmelser er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri.

KAPITEL III RETSMIDLER, ANSVAR OG SANKTIONER

Artikel 22

Klageadgang

Uden at foregribe muligheden for at iværksætte administrativ klage, herunder for den tilsynsmyndighed, der er nævnt i artikel 28, inden forelæggelse for retsinstanser, fastsætter medlemsstaterne bestemmelser om, at enhver har ret til for en domstol at indbringe en klage over krænkelser af de rettigheder, der garanteres i henhold til de nationale love, der gælder for den pågældende behandling.

Artikel 23

Ansvar

1. Medlemsstaterne fastsætter bestemmelser om, at enhver, som har lidt skade som følge af en ulovlig behandling eller enhver anden handling, der er uforenelig med de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, har ret til erstatning for den forvoldte skade fra den registeransvarlige.

2. Den registeransvarlige kan helt eller delvis fritages for erstatningsansvar for skade, hvis han beviser, at han ikke er skyld i den begivenhed, der medførte skaden.

Artikel 24

Sanktioner

Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at dette direktiv gennemføres i fuldt omfang, og de fastsætter bl.a. de sanktioner, der skal finde anvendelse i tilfælde af overtrædelse af de bestemmelser, der vedtages til dette direktivs gennemførelse.

KAPITEL IV VIDEREGIVELSE AF PERSONOPLYSNINGER TIL TREDJELANDE

Artikel 25

Principper

1. Medlemsstaterne fastsætter bestemmelser om, at videregivelse til et tredjeland af personoplysninger, der gøres til genstand for behandling, eller som skal gøres til genstand for behandling efter videregivelsen, kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og forudsat at de nationale bestemmelser, der vedtages til gennemførelse af direktivets øvrige bestemmelser, overholdes.

2. Vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger; til grund for vurderingen lægges navnlig oplysningernes art, den eller de påtænkte behandlingers formål og varighed, oprindelseslandet og det endelige bestemmelsesland, de retsregler - almindelige regler eller sektorregler - der er i kraft i det pågældende tredjeland, samt de regler for god forretningsskik og de sikkerhedsforanstaltninger, der gælder i landet.

3. Medlemsstaterne og Kommissionen underretter gensidigt hinanden, hvis de mener, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med stk. 2.

4. Konstaterer Kommissionen efter proceduren i artikel 31, stk. 2, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, træffer medlemsstaterne de foranstaltninger, der er nødvendige for at hindre enhver videregivelse af oplysninger af samme art til det pågældende tredjeland.

5. Kommissionen indleder på det rette tidspunkt forhandlinger med henblik på at afhjælpe den situation, der opstår som følge af en konstatering efter stk. 4.

6. Kommissionen kan efter proceduren i artikel 31, stk. 2, fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, på grundlag af dets nationale lovgivning eller dets internationale forpligtelser med henblik på at beskytte privatlivet og personers grundlæggende rettigheder og frihedsrettigheder, herunder de forpligtelser, der er indgået efter de i stk. 5 nævnte forhandlinger.

Medlemsstaterne træffer de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.

Artikel 26

Undtagelser

1. Som undtagelse fra bestemmelserne i artikel 25, fastsætter medlemsstaterne, medmindre andet er bestemt i deres nationale lovgivning, at videregivelse eller en type videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 25, stk. 2, kan finde sted, hvis

a) der ikke hersker tvivl om, at den registrerede har givet sit samtykke, eller

b) videregivelsen er nødvendig af hensyn til opfyldelsen af en kontrakt mellem den registrerede og den registeransvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en sådan kontrakt, eller

c) videregivelsen er nødvendig af hensyn til indgåelsen eller udførelsen af en kontrakt, der i den registreredes interesse er indgået mellem den registeransvarlige og tredjemand, eller

d) videregivelsen er nødvendig eller følger af lov eller bestemmelser fastsat med hjemmel i lov for at beskytte en vigtig samfundsinteresse eller for, at et retskrav kan fastlægges, gøres gældende eller forsvares, eller

e) videregivelsen er nødvendig for at beskytte den registreredes vitale interesser, eller

f) videregivelsen finder sted fra et offentligt register, der ifølge love eller administrative bestemmelser er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri, i det omfang de ved lov fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde.

2. Med forbehold af stk. 1, kan en medlemsstat give tilladelse til videregivelse eller en type videregivelse af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 25, stk. 2, hvis den registeransvarlige yder tilstrækkelige garantier for beskyttelse af privatlivets fred, personers grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder; sådanne garantier kan især fremgå af passende kontraktbestemmelser.

3. Den pågældende medlemsstat underretter Kommissionen og de øvrige medlemsstater om de tilladelser, den giver i henhold til stk. 2.

Rejses der indsigelse herimod fra en anden medlemsstat eller Kommissionen, og er denne berettiget ud fra hensynet til beskyttelse af privatlivets fred eller personers grundlæggende rettigheder og frihedsrettigheder, vedtager Kommissionen passende foranstaltninger efter proceduren i artikel 31, stk. 2.

Medlemsstaterne træffer de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.

4. Fastslår Kommissionen efter proceduren i artikel 31, stk. 2, at visse standardkontraktbestemmelser frembyder tilstrækkelige garantier i henhold til stk. 2, træffer medlemsstaterne de foranstaltninger, der er nødvendige for at efterkomme Kommissionens afgørelse.

KAPITEL V ADFÆRDSKODEKSER

Artikel 27

1. Medlemsstaterne og Kommissionen tilskynder til udarbejdelsen af adfærdskodekser, der afhængigt af de særlige forhold i de forskellige sektorer skal bidrage til en korrekt anvendelse af de nationale bestemmelser, medlemsstaterne vedtager til gennemførelse af dette direktiv.

2. Medlemsstaterne fastsætter bestemmelser om, at de brancheforeninger eller andre organer, som repræsenterer andre kategorier af registeransvarlige, som har udarbejdet udkast til nationale adfærdskodekser, eller som agter at ændre eller forlænge gældende nationale kodekser, skal kunne forelægge dem for den nationale myndighed til udtalelse.

Medlemsstaterne fastsætter bestemmelser om, at denne myndighed bl.a. skal kontrollere, at de udkast, den får forelagt, er i overensstemmelse med de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv. Hvis myndigheden finder det hensigtsmæssigt, kan den indhente bemærkninger fra de registrerede eller disses repræsentanter.

3. Udkast til EF-kodeks og forslag til ændring eller forlængelse af eksisterende EF-kodekser kan forelægges den i artikel 29 omhandlede gruppe. Denne udtaler sig bl.a. om, hvorvidt de udkast, den har fået forelagt, er i overensstemmelse med de nationale bestemmelser til gennemførelse af dette direktiv. Hvis den finder det nødvendigt, indhenter den bemærkninger fra de registrerede eller disses repræsentanter. Kommissionen kan tilse, at de kodekser, som gruppen har godkendt, offentliggøres på passende vis.

KAPITEL VI TILSYNSMYNDIGHED SAMT GRUPPE TIL BESKYTTELSE AF PERSONER I FORBINDELSE MED BEHANDLING AF PERSONOPLYSNINGER

Artikel 28

Tilsynsmyndighed

1. Hver medlemsstat drager omsorg for, at der udpeges en eller flere offentlige myndigheder, der har til opgave på dens område at påse overholdelsen af de bestemmelser, medlemsstaten vedtager til gennemførelse af dette direktiv.

Disse myndigheder udøver i fuld uafhængighed de funktioner, der tillægges dem.

2. Hver medlemsstat drager omsorg for, at tilsynsmyndighederne høres ved udarbejdelsen af administrative foranstaltninger eller retsforskrifter om beskyttelse af personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger.

3. Hver tilsynsmyndighed skal bl.a. kunne:

- iværksætte undersøgelser og bl.a. have adgang til de oplysninger, der gøres til genstand for en behandling, og til at indsamle alle oplysninger, der er nødvendige for at varetage dens tilsynsopgaver

- gribe effektivt ind ved f.eks. at afgive udtalelser forud for iværksættelsen af behandlingerne i henhold til artikel 20 og sikre en passende offentliggørelse af disse udtalelser, at beordre oplysninger blokeret, slettet eller tilintetgjort, midlertidigt eller definitivt at forbyde en behandling, at udstede en advarsel til den registeransvarlige eller påtale en overtrædelse over for den registeransvarlige eller ved at høre parlamenter eller andre nationale politiske institutioner

- indbringe overtrædelser af de nationale bestemmelser, som vedtages til gennemførelse af dette direktiv, for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser.

Afgørelser truffet af tilsynsmyndigheden, som går en involveret part imod, kan indbringes for en retsinstans.

4. Enhver kan, eventuelt repræsenteret ved en sammenslutning, til tilsynsmyndigheden indgive en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger. Den pågældende underrettes om, hvorledes sagen følges op.

Enhver kan til tilsynsmyndigheden især indgive en anmodning om at få kontrolleret en behandlings lovlighed, når de nationale bestemmelser, der er truffet i henhold til artikel 13 i dette direktiv, finder anvendelse. Den pågældende underrettes i alle tilfælde om, at der er blevet foretaget en kontrol.

5. Hver tilsynsmyndighed udarbejder med regelmæssige mellemrum en rapport om sin virksomhed. Denne rapport offentliggøres.

6. Den enkelte tilsynsmyndighed er, uanset hvilken national lov der måtte gælde for den pågældende behandling, kompetent til på sin medlemsstats område at udøve de beføjelser, der tillægges den i overensstemmelse med stk. 3 i denne artikel. Myndigheden kan blive anmodet om at udøve sine beføjelser af en myndighed i en anden medlemsstat.

Tilsynsmyndighederne samarbejder med hinanden i det omfang, det er nødvendigt for at opfylde deres pligter, navnlig ved at udveksle alle nyttige oplysninger.

7. Medlemsstaterne fastsætter bestemmelser i deres lovgivning om, at tilsynsmyndighedernes medlemmer og ansatte også efter deres aktiviteters ophør har tavshedspligt for så vidt angår de fortrolige oplysninger, de har adgang til.

Artikel 29

Gruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger

1. Der nedsættes en gruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger, i det følgende benævnt »gruppen«.

Denne gruppe er rådgivende og uafhængig.

2. Gruppen består af en repræsentant for den eller de tilsynsmyndigheder, hver medlemsstat har udpeget, og af en repræsentant for den eller de myndigheder, der er oprettet for fællesskabsinstitutionerne og -organerne, samt af en repræsentant for Kommissionen.

Hvert medlem af gruppen udpeges af den institution eller den eller de myndigheder, det repræsenterer. Når en medlemsstat har udpeget flere tilsynsmyndigheder, udnævner disse en fælles repræsentant. Det samme gælder de myndigheder, der er oprettet for fællesskabsinstitutionerne og -organerne.

3. Gruppen træffer sine afgørelser med simpelt flertal blandt repræsentanterne for tilsynsmyndighederne.

4. Gruppen vælger selv sin formand. Formandens mandat gælder for en periode af to år. Mandatet kan fornyes.

5. Gruppens sekretariatsopgaver varetages af Kommissionen.

6. Gruppen fastsætter selv sin forretningsorden.

7. Gruppen behandler de spørgsmål, der sættes på dagsordenen af dens formand, enten på dennes initiativ, efter anmodning fra en repræsentant for tilsynsmyndighederne eller efter anmodning fra Kommissionen.

Artikel 30

1. Gruppen har til opgave:

a) at undersøge ethvert spørgsmål vedrørende anvendelse af de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, med henblik på at bidrage til en ensartet anvendelse heraf

b) at give Kommissionen en udtalelse om beskyttelsesniveauet i Fællesskabet og i tredjelande

c) at rådgive Kommissionen om ethvert udkast til ændring af dette direktiv og om, hvilke supplerende eller specifikke foranstaltninger der bør træffes for at sikre fysiske personers rettigheder og frihedsrettigheder for så vidt angår behandling af personoplysninger, samt om ethvert andet udkast til fællesskabsforanstaltninger, der har indvirkning på sådanne rettigheder og frihedsrettigheder

d) at afgive udtalelse om de adfærdskodekser, der udarbejdes på fællesskabsplan.

2. Konstaterer gruppen forskelle mellem medlemsstaternes lovgivning eller praksis, der kan være til fare for en ensartet beskyttelse af personer i forbindelse med behandling af personoplysninger inden for Fællesskabet, underretter den Kommissionen herom.

3. Gruppen kan på eget initiativ fremsætte henstillinger om ethvert spørgsmål vedrørende beskyttelsen af personer i forbindelse med behandling af personoplysninger inden for Fællesskabet.

4. Gruppens udtalelser og henstillinger forelægges for Kommissionen og for det i artikel 31 omhandlede udvalg.

5. Kommissionen underretter gruppen om, hvorledes den har taget hensyn til dens udtalelser og henstillinger. Kommissionen udarbejder med henblik herpå en beretning, som også forelægges for Europa-Parlamentet og Rådet. Denne beretning offentliggøres.

6. Gruppen udarbejder en årsberetning om situationen vedrørende beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger inden for Fællesskabet og i tredjelande; den forelægger beretningen for Europa-Parlamentet, Rådet og Kommissionen. Beretningen offentliggøres.

KAPITEL VII EF-GENNEMFØRELSESFORANSTALTNINGER

Artikel 31

Udvalget

1. Kommissionen bistås af et udvalg, der består af repræsentanter for medlemsstaternes regeringer, og som har Kommissionens repræsentant som formand.

2. Kommissionens repræsentant forelægger udvalget et udkast til de foranstaltninger, der skal træffes. Udvalget afgiver en udtalelse om dette udkast inden for en frist, som formanden kan fastsætte under hensyn til, hvor meget det pågældende spørgsmål haster.

Udtalelsen afgives med det flertal, som er fastsat i traktatens artikel 148, stk. 2. Ved afstemninger i udvalget tildeles medlemsstaternes stemmer den vægt, som er fastsat i nævnte artikel. Formanden deltager ikke i afstemningen.

Kommissionen vedtager foranstaltninger, der straks finder anvendelse. Hvis de ikke er i overensstemmelse med den afgivne udtalelse, underrettes Rådet dog straks af Kommissionen om disse foranstaltninger. I så fald gælder følgende:

- Kommissionen udsætter gennemførelsen af de foranstaltninger, den har truffet afgørelse om, i et tidsrum på tre måneder regnet fra datoen for underretningen

- Rådet kan med kvalificeret flertal træffe en anden afgørelse inden for det tidsrum, der er nævnt i ovenstående led.

AFSLUTTENDE BESTEMMELSER

Artikel 32

1. Medlemsstaterne sætter de nødvendige love og administrative bestemmelser i kraft for at efterkomme dette direktiv senest tre år efter dets vedtagelse.

Når medlemsstaterne vedtager disse love og administrative bestemmelser, skal de indeholde en henvisning til dette direktiv, eller de skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for denne henvisning fastsættes af medlemsstaterne.

2. Medlemsstaterne påser, at behandlinger, der allerede er iværksat på ikrafttrædelsesdatoen for de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, bringes i overensstemmelse med disse bestemmelser senest tre år efter denne dato. Som en undtagelse fra foregående afsnit kan medlemsstaterne fastsætte, at behandlingen af oplysninger, som allerede findes i manuelle registre, der føres på ikrafttrædelsesdatoen for de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, senest tolv år efter vedtagelsen af direktivet skal bringes i overensstemmelse med direktivets artikel 6, 7 og 8. Medlemsstaterne indrømmer dog den registrerede ret til efter anmodning og navnlig i forbindelse med udøvelse af retten til indsigt at få berigtiget, slettet eller blokeret oplysninger, der er ufuldstændige eller urigtige, eller som opbevares på en måde, der er uforenelig med de legitime formål, som den registeransvarlige forfølger.

3. Som en undtagelse fra stk. 2 kan medlemsstaterne, hvis der gives passende garantier, fastsætte, at oplysninger, der kun opbevares med henblik på historisk forskning, ikke skal bringes i overensstemmelse med artikel 6, 7 og 8 i dette direktiv.

4. Medlemsstaterne meddeler Kommissionen teksten til de nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.

Artikel 33

Kommissionen forelægger med jævne mellemrum, første gang senest tre år efter det i artikel 32, stk. 1, nævnte tidspunkt, Europa-Parlamentet og Rådet en beretning om anvendelsen af dette direktiv, eventuelt ledsaget af passende ændringsforslag. Beretningen offentliggøres.

Kommissionen undersøger navnlig direktivets anvendelse på behandling af lyd og billeddata om fysiske personer og forelægger passende forslag, der måtte være nødvendige i betragtning af udviklingen inden for informationsteknologien og informationssamfundet.

Artikel 34

Dette direktiv er rettet til medlemsstaterne.

Udfærdiget i Luxembourg, den 24. oktober 1995.

For Europa-Parlamentet

K. HÄNSCH

Formand

For Rådet

L. ATIENZA SERNA

Formand

(1) EFT nr. C 277 af 5. 11. 1990, s. 3, og EFT nr. C 311 af 27. 11. 1992, s. 30.

(2) EFT nr. C 159 af 17. 6. 1991, s. 38.

(3) Europa-Parlamentets udtalelse af 11. 3. 1992 (EFT nr. C 94 af 13. 4. 1992, s. 198), bekræftet den 2. december 1993 (EFT nr. C 342 af 20. 12. 1993, s. 30);Rådets fælles holdning af 20. 2. 1995 (EFT nr. C 93 af 13. 4. 1995, s. 1) og Europa-Parlamentets afgørelse af 15. 6. 1995 (EFT nr. C 166 af 3. 7. 1995).

(4) EFT nr. L 197 af 18. 7. 1987, s. 33.