(1)

Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (»Chartret«) og artikel 16, stk. 1, i traktaten fastsættes det, at enhver har ret til beskyttelse af personoplysninger om vedkommende selv.

(2)

Personoplysninger behandles for menneskets skyld; principperne og reglerne for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger bør, uanset de fysiske personers nationalitet eller bopæl, respektere deres grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger. Behandlingen af personoplysninger bør bidrage til skabelsen af et område med frihed, sikkerhed og retfærdighed samt en økonomisk union og til økonomiske og sociale fremskridt, styrkelse af og konvergens mellem økonomierne i det indre marked og fysiske personers velfærd.

(3)

Europa-Parlamentets og Rådets direktiv 95/46/EF (4) har til formål at harmonisere beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger og at garantere fri udveksling af personoplysninger mellem medlemsstaterne.

(4)

Den økonomiske og sociale integration, der er en følge af det indre markeds funktion, har medført en kraftig vækst i strømmen af personoplysninger på tværs af landegrænserne. Udvekslingen af oplysninger mellem økonomiske og sociale offentlige og private aktører i Unionen er steget. Medlemsstaternes myndigheder opfordres i EU-retten til at samarbejde og udveksle personoplysninger indbyrdes for at kunne varetage deres opgaver og udføre hverv på vegne af en anden medlemsstats myndighed.

(5)

Den hastige teknologiske udvikling og globaliseringen har skabt nye udfordringer, hvad angår beskyttelsen af personoplysninger. Omfanget af datadeling og -indsamling er steget drastisk. Teknologien giver både private virksomheder og offentlige myndigheder mulighed for at udnytte personoplysninger i et hidtil uset omfang, når de udøver deres aktiviteter. Fysiske personer udbreder i stigende grad deres personoplysninger offentligt og globalt. Teknologien har ændret både økonomien og samfundslivet og skal yderligere fremme den frie udveksling af oplysninger inden for Unionen og videregivelsen af oplysninger til tredjelande og internationale organisationer, samtidig med at der sikres et højt niveau for beskyttelse af personoplysninger.

(6)

Denne udvikling kræver, at der opbygges en stærk og mere sammenhængende databeskyttelsesramme i Unionen, som understøttes af en effektiv håndhævelse, fordi det er vigtigt, at der skabes den tillid, der er nødvendig for, at den digitale økonomi kan udvikle sig på tværs af det indre marked. Fysiske personer bør have kontrol over deres egne personoplysninger, og sikkerheden både retligt og praktisk bør styrkes for enkeltpersoner, erhvervsdrivende og offentlige myndigheder.

(7)

Målsætningerne og principperne i direktiv 95/46/EF er stadig gyldige, men direktivet har ikke forhindret en fragmentering af den måde, hvorpå databeskyttelse gennemføres i Unionens forskellige medlemsstater, manglende retssikkerhed og en udbredt offentlig opfattelse af, at der er betydelige risici for beskyttelsen af fysiske personer i forbindelse med navnlig onlineaktivitet. Forskelle i beskyttelsen af fysiske personers rettigheder og frihedsrettigheder, navnlig retten til beskyttelse af personoplysninger, som de enkelte medlemsstater yder i forbindelse med behandling af personoplysninger, kan forhindre fri udveksling af personoplysninger i Unionen. Disse forskelle kan derfor udgøre en hindring for udøvelsen af en række økonomiske aktiviteter på EU-plan, virke konkurrenceforvridende og hindre myndighederne i at varetage de opgaver, de er pålagt i medfør af EU-retten. Denne forskel i beskyttelsesniveauet skyldes forskelle i gennemførelsen og anvendelsen af direktiv 95/46/EF.

(8)

For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger bør niveauet for beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen.

(9)

For at sikre en effektiv beskyttelse af personoplysninger i Unionen er det nødvendigt at styrke og præcisere de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler og træffer afgørelse om behandling af personoplysninger, men der skal også gives tilsvarende beføjelser til at kontrollere og sikre overholdelse af reglerne om beskyttelse af personoplysninger og indføres tilsvarende sanktioner over for dem, som ikke overholder bestemmelserne i medlemsstaterne.

(10)

Artikel 16, stk. 2, i traktaten giver Europa-Parlamentet og Rådet beføjelse til at fastsætte regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

(11)

For at sikre et ensartet beskyttelsesniveau for fysiske personer i hele Unionen og for at forhindre forskelle, der kan hæmme den frie udveksling af data i det indre marked, bør der vedtages en forordning, som kan skabe retssikkerhed og gennemsigtighed for erhvervsdrivende, herunder mikrovirksomheder og små og mellemstore virksomheder, og give fysiske personer i alle medlemsstater de samme pligter og rettigheder, der kan håndhæves retsligt, samt pålægge dataansvarlige og databehandlere et ansvar med det formål at sikre ensartet kontrol med behandlingen af personoplysninger og ensartede sanktioner i alle medlemsstater samt et effektivt samarbejde mellem tilsynsmyndighederne i de forskellige medlemsstater. For at tage hensyn til den særlige situation for mikrovirksomheder og små og mellemstore virksomheder indeholder denne forordning en række undtagelser. Derudover opfordres EU-institutionerne og -organerne, medlemsstaterne og deres tilsynsmyndigheder til at tage hensyn til mikrovirksomheders og små og mellemstore virksomheders særlige behov ved anvendelsen af denne forordning. Begreberne mikrovirksomheder og små og mellemstore virksomheder bør baseres på Kommissionens henstilling 2003/361/EF (5).

(12)

Den beskyttelse, som denne forordning sikrer, vedrører fysiske personer uanset nationalitet eller bopæl i forbindelse med behandling af personoplysninger. Hvad angår behandling af oplysninger, der vedrører juridiske personer, navnlig virksomheder, der er etableret som juridiske personer, herunder den juridiske persons navn, form og kontaktoplysninger, bør ingen personer ikke kunne kræve beskyttelse under denne forordning. Det bør også gælde, når den juridiske persons navn indeholder navnene på en eller flere fysiske personer.

(13)

Beskyttelsen af fysiske personer bør være teknologineutral og må ikke afhænge af de anvendte teknikker, da der ellers vil være alvorlig risiko for omgåelse. Beskyttelsen af fysiske personer bør gælde for både automatisk og manuel behandling af personoplysninger, hvis oplysningerne er indeholdt eller påtænkes indeholdt i et register. Sagsmapper eller samlinger af sagsmapper eller deres forsider, som ikke er struktureret efter bestemte kriterier, hører ikke under denne forordnings anvendelsesområde.

(14)

Denne forordning omhandler ikke spørgsmål vedrørende beskyttelse af grundlæggende rettigheder og frihedsrettigheder eller fri udveksling af data, der vedrører aktiviteter, som falder uden for EU-retten, og den omhandler ikke behandling af personoplysninger, der foretages af Unionens institutioner, organer, kontorer og agenturer, der er omfattet af . Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001  (6) , eller behandling af personoplysninger, der foretages af medlemsstaterne, når de udfører aktiviteter vedrørende Unionens fælles udenrigs- og sikkerhedspolitik bør rettes ind efter og anvendes i overensstemmelse med nærværende forordning . [Ændring 1]

(15)

Denne forordning bør ikke gælde for en fysisk persons behandling af oplysninger som led i rent personlige familiemæssige , familiemæssige eller private aktiviteter, som f.eks. korrespondance og udarbejdelse af en adressefortegnelse eller et privat salg , som ikke er led i lønnet arbejde og dermed ikke har forbindelse til erhvervsmæssige eller kommercielle aktiviteter. Undtagelsen bør heller ikke Denne forordning bør dog gælde for registeransvarlige eller registerførere dataansvarlige og databehandlere , som tilvejebringer midlerne til behandling af personoplysninger til sådanne personlige eller familiemæssige private aktiviteter. [Ændring 2]

(16)

Beskyttelsen af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og fri udveksling af sådanne oplysninger er genstand for en specifik retsakt på EU-plan. Denne forordning bør derfor ikke gælde for behandlingsaktiviteter med sådanne formål. Offentlige myndigheders behandling af personoplysninger i henhold til denne forordning bør imidlertid være genstand for et mere specifikt retligt instrument på EU-plan (Europa-Parlamentets og Rådets direktiv 2014/…/EU om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger), når behandlingen af personoplysninger sker med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner.

(17)

Denne forordning bør ikke berøre anvendelsen af Europa-Parlamentets og Rådets direktiv 2000/31/EF (7), navnlig formidleransvaret for tjenesteydere, der er fastsat i artikel 12-15 i dette direktiv.

(18)

Denne forordning giver mulighed for, at der ved gennemførelsen af de principper, der er fastsat heri, kan tages hensyn til princippet om aktindsigt i offentlige dokumenter. Personoplysninger i dokumenter, som en offentlig myndighed eller et offentligt organ er i besiddelse af, kan videregives af denne myndighed eller dette organ i henhold til EU- eller medlemsstatslovgivning om aktindsigt i offentlige dokumenter, som forener retten til beskyttelse af personoplysninger med retten til aktindsigt i offentlige dokumenter og sikrer, at der er en passende balance mellem de forskellige interesser. [Ændring 3]

(19)

Behandling af personoplysninger, der foretages som led i en virksomheds eller et organs aktiviteter inden for Unionen, hvor den dataansvarlige eller databehandleren er etableret, bør gennemføres i overensstemmelse med denne forordning, uanset om behandlingen finder sted i Unionen eller ej. Ved etablering forstås en effektiv og reel udøvelse af aktiviteter gennem en mere permanent struktur. Den pågældende strukturs retlige form, hvad enten det blot er en filial eller et datterselskab med status som juridisk person, har ikke afgørende betydning i denne forbindelse.

(20)

For at forhindre, at en fysisk person unddrages den beskyttelse, der sikres ved vedkommende har ret til i henhold til denne forordning, bør behandling af personoplysninger om registrerede, der er bosiddende i Unionen, som foretages af en registeransvarlig dataansvarlig , der ikke er etableret i Unionen, være omfattet af denne forordning, hvis behandlingsaktiviteterne vedrører udbud af varer eller tjenester til sådanne registrerede , uanset om disse er forbundet med betaling eller ej, eller overvågning af sådanne registreredes adfærd registrerede . Med henblik på at fastslå, om en sådan dataansvarlig tilbyder varer eller tjenester til sådanne registrerede i Unionen, bør det fastslås, om det er åbenbart, at den dataansvarlige påtænker at tilbyde tjenesteydelser til registrerede, der er bosiddende i en eller flere af Unionens medlemsstater. [Ændring 4]

(21)

For at afgøre, om en behandlingsaktivitet kan betragtes som »overvågning af registreredes adfærd registrerede «, bør det kontrolleres, om personer spores , uanset hvor oplysningerne stammer fra, eller om der indsamles andre oplysninger om vedkommende, herunder fra offentlige registre og meddelelser i Unionen, som er tilgængelige uden for Unionen, herunder med henblik på internettet ved hjælp brug eller muligheden for senere brug af databehandlingsaktiviteter, hvor der anvendes en »profil«anvendes på en person, navnlig med det formål at træffe beslutninger om den pågældende eller analysere eller forudsige den pågældendes præferencer, adfærd og holdninger. [Ændring 5]

(22)

Hvis en medlemsstats lovgivning gælder i medfør af folkeretten, bør denne forordning også gælde for en dataansvarlig, der ikke er etableret i Unionen, som f.eks. i en medlemsstats diplomatiske eller konsulære repræsentation.

(23)

Principperne om databeskyttelse bør gælde for alle former for oplysninger om en identificeret eller identificerbar fysisk person. For at afgøre, om en person er identificerbar, bør alle de hjælpemidler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere eller udpege den pågældende direkte eller indirekte enten af den registeransvarlige dataansvarlige eller af enhver anden person. For at fastslå, om midler med rimelighed kan tænkes bragt i anvendelse til at identificere en fysisk person, bør alle objektive forhold tages i betragtning, såsom omkostningerne ved og den tid, der er nødvendig til identifikationen, under hensyn til såvel den tilgængelige teknologi på behandlingstidspunktet som den teknologiske udvikling. Beskyttelsesprincipperne bør derfor ikke gælde for anonyme oplysninger, som er gjort oplysninger, der ikke relaterer til en identificeret eller identificerbar fysisk person. Denne forordning vedrører derfor ikke behandling af sådanne anonyme på en sådan måde, at den registrerede ikke længere kan identificeres oplysninger, herunder til statistiske og forskningsmæssige formål . [Ændring 6]

(24)

Når fysiske personer bruger onlinetjenester, kan de forbindes med onlineidentifikatorer, Denne forordning finder anvendelse på databehandling , der involverer identifikatorer, som leveres af deres enheder, applikationer, værktøjer og protokoller, som f.eks. IP-adresser eller cookie-id'er Dette kan efterlade spor, der kombineret med unikke id'er og andre oplysninger, som serverne modtager, kan bruges til at oprette profiler af de fysiske personer og identificere dem. Id-numre, lokaliseringsdata, online-id'er eller andre specifikke faktorer bør derfor ikke som sådan betragtes som personoplysninger under alle omstændigheder. og radiofrekvensidentifikationsmærker, med mindre disse identifikatorer ikke relaterer til en identificeret eller identificerbar person . [Ændring 7]

(25)

Der bør gives udtrykkeligt samtykke ved hjælp af en passende metode, der muliggør en frivillig, specifik og informeret viljetilkendegivelse fra den registrerede enten ved en erklæring eller en klar bekræftelse , som er resultatet af et valg fra den registrerede registreredes side , for at sikre, at den pågældende er bekendt med, at han eller hun giver sit samtykke til behandlingen af personoplysninger, herunder ved at markere . En klar bekræftelse kan f.eks. omfatte markering af et afkrydsningsfelt, når han eller hun besøger ved besøg på et websted, eller en anden erklæring eller handling, der i denne forbindelse tydeligt tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed , den blotte anvendelse af en tjeneste eller inaktivitet kan derfor ikke indebære samtykke. Samtykke bør dække alle behandlingsaktiviteter, der foretages til det eller de samme formål. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, præcis og ikke unødigt forstyrre brugen af den tjeneste, det gives til. [Ændring 8]

(26)

Personlige helbredsoplysninger bør navnlig omfatte alle oplysninger om den registreredes helbredstilstand, oplysninger om registrering af personen med henblik på modtagelse af sundhedsydelser, oplysninger om betaling for eller berettigelse til sundhedsydelser for så vidt angår personen, et nummer, symbol eller særligt mærke, der tildeles en person for entydigt at identificere personen i sundhedsanliggender, enhver oplysning om personen, som indsamles i tilknytning til leveringen af sundhedsydelser til personen, oplysninger, der hidrører fra prøver eller undersøgelser af en legemsdel eller legemlig substans, herunder biologiske prøver, identifikation af en person som leverandør af sundhedsydelser til en person og alle oplysninger om f.eks. en sygdom, et handicap, en sygdomsrisiko, sygehistorie, hospitalsbehandling eller den registreredes faktiske fysiologiske eller biomedicinske tilstand uafhængigt af, hvad kilden til oplysningerne er, f.eks. en læge eller andet lægeligt personale, et hospital, medicinsk udstyr eller en in vitro-diagnostik.

(27)

En dataansvarligs eller databehandlers hovedvirksomhed i Unionen bør fastlægges ud fra objektive kriterier og bør forstås som en effektiv og reel udøvelse af ledelsesaktiviteter, der afgør de vigtigste elementer, som f.eks. formål og behandlingsmetoder, gennem permanente strukturer. Dette kriterium afhænger ikke af, om behandlingen af personoplysninger faktisk udføres på dette sted; det forhold, at der findes og anvendes tekniske og teknologiske hjælpemidler til behandling af personoplysninger eller behandlingsaktiviteter, medfører ikke i sig selv, at der er etableret en hovedvirksomhed, og er derfor ikke afgørende for kriteriet om hovedvirksomhed. Registerførerens hovedvirksomhed er stedet for dennes centrale administration i Unionen.

(28)

En koncern bør omfatte en virksomhed, der udøver kontrol, og de af denne kontrollerede virksomheder, hvor den kontrollerende virksomhed er den virksomhed, der kan udøve bestemmende indflydelse på de øvrige virksomheder f.eks. i kraft af ejendomsret, finansiel deltagelse eller de regler, den er underlagt, eller beføjelsen til at få gennemført regler om beskyttelse af personoplysninger.

(29)

Børn bør nyde særlig beskyttelse af deres personoplysninger, eftersom de ofte er mindre bevidste om risici, konsekvenser, garantier og rettigheder, for så vidt angår behandling af personoplysninger.For at afgøre, om en person er Hvis databehandling er baseret på samtykke fra den behandledes side i forbindelse med varer eller serviceydelser, der tilbydes direkte til et barn, bør denne forordning benytte definitionen i FN's konvention om barnets rettigheder samtykket gives eller godkendes af barnets forælder eller værge i tilfælde, hvor barnet er under 13 år gammelt . Der bør anvendes et alderssvarende sprog, hvis det tilsigtede publikum er børn. Andre kriterier for lovlig behandling, såsom hensynet til samfundets interesse, bør fortsat være gældende, som f.eks. behandling i forbindelse med forebyggende eller rådgivende tjenester, der tilbydes direkte til et barn. [Ændring 9]

(30)

Enhver behandling af personoplysninger bør udføres lovligt, loyalt og gennemsigtigt i forhold til de berørte personer. De specifikke formål med behandlingen af oplysningerne bør navnlig være udtrykkelige og legitime og fremgå, når oplysningerne indsamles. Oplysningerne bør være passende, relevante og begrænset til det minimum, der er nødvendigt til formålene med behandlingen af oplysningerne; det kræver navnlig, at det sikres, at de indsamlede oplysninger ikke er for omfattende, og at perioden for opbevaring af oplysningerne begrænses til et strengt minimum. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke kan opfyldes på anden måde. Der bør træffes enhver rimelig foranstaltning for at sikre, at personoplysninger, som ikke er nøjagtige, berigtiges eller slettes. For at sikre, at oplysningerne ikke opbevares i længere tid end nødvendigt, bør den dataansvarlige indføre tidsfrister for sletning eller periodisk gennemgang.

(31)

For at behandling kan betragtes som lovlig, bør personoplysninger behandles på grundlag af den berørte persons samtykke eller et andet legitimt grundlag, der er fastlagt ved lov enten i denne forordning eller i anden EU-ret eller medlemsstatslovgivning, der henvises til i denne forordning. Hvis der er tale om et barn eller en person, der ikke er myndig, bør relevant EU- eller medlemsstatslovgivning fastsætte de betingelser, hvorunder samtykke gives eller godkendes af denne person. [Ændring 10]

(32)

Når behandlingen er baseret på den registreredes samtykke, bør den registeransvarlige bevise dataansvarlige bære bevisbyrden for , at den registrerede har givet sit samtykke til behandlingen. I forbindelse med navnlig skriftlige erklæringer om andre forhold bør garantier sikre, at den registrerede er bekendt med, at og i hvilket omfang der afgives samtykke og med rækkevidden heraf . Med henblik på overholdelse af princippet om dataminimering bør bevisbyrden ikke omfatte positiv identifikation af registrerede, medmindre det er nødvendigt. På linje med de civilretlige bestemmelser (f.eks. Rådets direktiv 93/13/EØF  (8) ) bør databeskyttelsespolitikker være så klare og gennemsigtige som muligt. De bør ikke indeholde skjulte eller ufordelagtige bestemmelser. Der kan ikke gives samtykke til behandling af en tredjepersons personoplysninger. [Ændring 11]

(33)

For at sikre frivilligt samtykke bør det præciseres, at samtykke ikke udgør et gyldigt retligt grundlag, hvor personen ikke har et reelt og frit valg og efterfølgende ikke kan afvise eller tilbagetrække sit samtykke, uden at det er til skade for den pågældende. Dette er navnlig tilfældet, hvis databehandleren er en offentlig myndighed, som kan pålægge nogen en forpligtelse i kraft af sine relevante offentligretlige beføjelser, og hvis samtykket ikke kan betragtes som frit afgivet. Standardindstillinger, som den registrerede skal ændre for at gøre indsigelse mod behandlingen, såsom forudmarkerede afkrydsningsfelter, er ikke udtryk for frivilligt samtykke. Samtykke til behandling af supplerende personoplysninger, som ikke er nødvendige for leveringen af en tjenesteydelse, bør ikke være et krav for at benytte ydelsen. Når et samtykke trækkes tilbage, kan det gøre, at en tjenesteydelse, som er afhængig af oplysningerne afbrydes eller ikke gennemføres. Hvis det er uklart, hvornår det ønskede formål er opfyldt, bør den dataansvarlige med jævne mellemrum informere den registrerede om behandlingen og anmode den registrerede om at genbekræfte sit oprindelige samtykke. [Ændring 12]

(34)

Samtykke bør ikke udgøre et gyldigt retligt grundlag, hvis der er en klar skævhed mellem den registrerede og den registeransvarlige. Dette er navnlig tilfældet, når den registrerede befinder sig i et afhængighedsforhold til den registeransvarlige, bl.a. når personoplysninger behandles af arbejdsgiveren som led i behandlingen af ansattes personoplysninger i et ansættelsesforhold. Hvis den registeransvarlige er en offentlig myndighed, vil der kun være en skævhed i forbindelse med den specifikke databehandling, hvis den offentlige myndighed som følge af dens relevante offentlige beføjelser kan pålægge en forpligtelse, og samtykket ikke kan skønnes at være afgivet frivilligt under hensyntagen til den registreredes interesser. [Ændring 13]

(35)

Behandling bør anses for lovlig, når den er nødvendig i forbindelse med en kontrakt eller den påtænkte indgåelse af en kontrakt.

(36)

Når behandling foretages i overensstemmelse med en retlig forpligtelse, som den registeransvarlige dataansvarlige er underlagt, eller når behandling er nødvendig for at udføre en opgave, der udføres i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, bør behandlingen have sit retsgrundlag i EU-retten eller medlemsstatens lovgivning, som opfylder kravene i chartret, for så vidt angår enhver begrænsning af rettigheder og frihedsrettigheder. Dette bør også omfatte kollektive aftaler, der bør anerkendes i henhold til national lov som havende generel gyldighed EU-retten eller den nationale lovgivning afgør, hvorvidt den registeransvarlige dataansvarlige , der udfører en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, bør være en offentlig myndighed eller en offentligretlig eller privatretlig person, f.eks. en faglig sammenslutning. [Ændring 14]

(37)

Behandling af personoplysninger, der har til formål at beskytte et hensyn af fundamental betydning for den registreredes liv, bør ligeledes anses for lovlig.

(38)

En registeransvarligs Den dataansvarliges legitime interesser eller — i tilfælde af videregivelse til tredjepart — denne tredjeparts legitime interesser kan udgøre et retligt grundlag for behandling, forsat at de lever op til den registreredes rimelige forventninger på baggrund af hans eller hendes forhold til den dataansvarlige og medmindre den registreredes interesser, grundlæggende rettigheder og frihedsrettigheder går forud herfor. Dette kræver omhyggelig vurdering, navnlig hvis den registrerede er et barn, idet børn bør nyde særlig beskyttelse. Forudsat at den registreredes grundlæggende rettigheder og frihedsrettigheder er ikke går forud herfor, bør behandling, der er begrænset til pseudonyme oplysninger formodes at leve op til den registreredes rimelige forventninger på baggrund af hans eller hendes forhold til den dataansvarlige. Den registrerede bør have ret til at gøre indsigelse mod behandlingen af grunde, der vedrører den pågældendes særlige situation, og uden udgifter. For at sikre gennemsigtigheden bør den registeransvarlige dataansvarlige forpligtes til udtrykkeligt at oplyse den registrerede om de legitime interesser, der forfølges, og om retten til indsigelse og til at dokumentere disse legitime interesser. Den registreredes grundlæggende rettigheder og frihedsrettigheder kan navnlig gå forud for den dataansvarliges interesser, hvis personoplysninger behandles under forhold, hvor registrerede ikke med rimelighed vil forvente yderligere behandling. Det er lovgiveren, der i henhold til lovgivningen fastsætter retsgrundlaget for offentlige myndigheders behandling af oplysninger, og derfor bør dette retsgrundlag ikke gælde for den behandling, offentlige myndigheder foretager som led i udførelsen af deres opgaver. [Ændring 15]

(39)

Behandling af oplysninger i det omfang, det er strengt nødvendigt for og tilstrækkeligt til at sikre net- og informationssikkerhed, dvs. et nets eller et informationssystems evne til på et givet sikkerhedsniveau at modstå hændelige tildragelser eller ulovlige eller skadelige handlinger, som er til fare for tilgængeligheden, autenticiteten, integriteten og fortroligheden af lagrede og videresendte oplysninger, og sikkerheden ved hermed forbundne tjenester udbudt af eller tilgængelige via disse net og systemer, der foretages af offentlige myndigheder, CERT'er (Computer Emergency Response Teams — it-udrykningshold), CSIRT'er (Computer Security Incident Response Teams), udbydere af elektroniske kommunikationsnet og -tjenester og udbydere af sikkerhedsteknologier og -tjenester, udgør en legitim interesse for den berørte registeransvarlige dataansvarlige . Behandlingen kunne f.eks. have til formål at forhindre uautoriseret adgang til elektroniske kommunikationsnet og skadelig distribution af koder og at sætte en stopper for målrettede overbelastninger af servere (»denial of service«-angreb) og beskadigelser af computere og elektroniske kommunikationssystemer. Dette princip gælder også for behandling af personoplysninger for at begrænse krænkende adgang til og anvendelse af offentligt tilgængelige netværk eller informationssystemer, herunder sortlistning af elektroniske identifikatorer. [Ændring 16]

(39a)

Forudsat at den registreredes grundlæggende rettigheder og frihedsrettigheder ikke går forud herfor, bør skadesforebyggelse eller -begrænsning fra den dataansvarliges side formodes at være gennemført i den dataansvarliges legitime interesse, eller — i tilfælde af videregivelse til tredjepart — i denne tredjeparts legitime interesse samt at leve op til den registreredes rimelige forventninger på baggrund af hans eller hendes forhold til den dataansvarlige. Samme princip gælder også for håndhævelsen af retskrav over for en registreret, herunder gældsinddrivelse eller civile klage- og retsmidler. [Ændring 17]

(39b)

Forudsat at den registreredes grundlæggende rettigheder og frihedsrettigheder ikke går forud herfor, bør behandlingen af personoplysninger med henblik på direkte markedsføring af egne eller lignende produkter og tjenesteydelser eller med henblik på direkte markedsføring pr. post formodes at være gennemført i den dataansvarliges legitime interesse, eller — i tilfælde af videregivelse til tredjepart — i denne tredjeparts legitime interesse samt at leve op til den registreredes rimelige forventninger på baggrund af hans eller hendes forhold til den dataansvarlige, hvis der er angivet meget synlige oplysninger om retten til at gøre indsigelse og om kilden til personoplysningerne. Behandling af forretningskontaktoplysninger bør generelt anses for at være gennemført i den dataansvarliges legitime interesse, eller — i tilfælde af videregivelse til tredjepart — i denne tredjeparts legitime interesse samt at leve op til den registreredes rimelige forventninger på baggrund af hans eller hendes forhold til den dataansvarlige. Det samme bør gælde for behandlingen af personoplysninger, som tydeligvis er offentliggjort af den registrerede. [Ændring 18]

(40)

Behandlingen af personoplysninger til andre formål bør kun tillades, hvis behandlingen er forenelig med de formål, som oplysningerne oprindelig var indsamlet til, navnlig hvis behandlingen er nødvendig til historiske, statistiske eller videnskabelige forskningsformål. Hvis det andet formål ikke er foreneligt med det formål, som oplysningerne oprindeligt var indsamlet til, bør den registeransvarlige indhente den registreredes samtykke til dette andet formål eller basere behandlingen på en anden legitim grund til lovlig behandling, navnlig hvis det kræves i EU-retten eller medlemsstatens lovgivning, som den registeransvarlige er underlagt. Under alle omstændigheder bør det sikres, at de principper, der fastsættes ved denne forordning, og navnlig den registreredes oplysninger om disse andre formål anvendes. [Ændring 19]

(41)

Personoplysninger, der i kraft af deres karakter er særligt følsomme i forbindelse med grundlæggende rettigheder eller beskyttelse af privatlivets fred, bør nyde særlig beskyttelse. Sådanne oplysninger bør ikke behandles, medmindre den registrerede giver sit udtrykkelige samtykke. Der bør dog udtrykkeligt gives mulighed for undtagelser fra dette forbud for at imødekomme visse behov, navnlig når behandlingen udføres i forbindelse med visse sammenslutningers eller stiftelsers legitime aktiviteter, hvis formål er at sikre udøvelsen af grundlæggende frihedsrettigheder. [Ændring 20]

(42)

Der bør også gives mulighed for at fravige forbuddet mod at behandle følsomme kategorier af data, hvis det sker i henhold til loven og er omfattet af de fornødne garantier, der sikrer beskyttelse af personoplysninger og andre grundlæggende rettigheder, når hensynet til samfundsmæssige interesser berettiger det, navnlig til sundhedsformål, herunder folkesundhed og social sikring samt forvaltning af læge- og sundhedstjenester, for især at sikre kvaliteten og rentabiliteten af de procedurer, der anvendes i forbindelse med ansøgninger om ydelser og tjenester inden for en sygesikringsordning, eller til historiske, statistiske eller og videnskabelige forskningsformål eller for arkivtjenester . [Ændring 21]

(43)

Offentlige myndigheders behandling af personoplysninger for officielt anerkendte religiøse sammenslutninger for at opfylde mål, der er fastsat i forfatningsretten eller i folkeretten, udføres af hensyn til samfundsmæssige interesser.

(44)

Hvis det i forbindelse med afholdelse af valg i en medlemsstat er nødvendigt, for at det demokratiske system kan fungere, at politiske partier indsamler oplysninger om enkeltpersoners politiske holdning, kan behandling af sådanne oplysninger tillades af hensyn til varetagelsen af samfundsinteresser, såfremt der fastsættes bestemmelser om de fornødne garantier.

(45)

Hvis de oplysninger, der behandles af en registeransvarlig dataansvarlig , ikke sætter den registeransvarlige dataansvarlige i stand til at identificere en fysisk person, bør den registeransvarlige dataansvarlige ikke være forpligtet til at indhente yderligere oplysninger for at identificere den registrerede udelukkende med det formål at overholde bestemmelserne i denne forordning. I tilfælde af en anmodning om indsigt bør den registeransvarlige dataansvarlige være berettiget til at anmode den registrerede om yderligere oplysninger, således at den registeransvarlig dataansvarlige kan finde de personoplysninger, som den pågældende efterspørger. Hvis det er muligt for den registrerede at fremkomme med sådanne oplysninger, bør dataansvarlige ikke kunne påberåbe sig manglende oplysninger som begrundelse for at afvise en anmodning om adgang. [Ændring 22]

(46)

Princippet om gennemsigtighed kræver, at alle oplysninger, som er rettet til det offentlige og den registrerede, bør være nemt tilgængelige og letforståelige, og at der benyttes et klart og forståeligt sprog. Dette er især relevant inden for f.eks. annoncering på internettet, hvor såvel den store vækst i udbydere af annoncering på internettet som den anvendte teknologis kompleksitet gør det vanskeligt for den registrerede at vide og forstå, om der indsamles personoplysninger om vedkommende, af hvem og til hvilket formål. Eftersom børn bør nyde særlig beskyttelse, bør alle oplysninger og meddelelser, hvor behandling specifikt er rettet mod et barn, være i et klart og enkelt sprog, som barnet let kan forstå.

(47)

Der bør fastsættes nærmere bestemmelser, som kan lette de registreredes udøvelse af deres rettigheder i overensstemmelse med denne forordning, herunder systemer til gratis at anmode om opnå indsigt, berigtigelse og sletning og til at udøve retten til indsigelse. Den registeransvarlige dataansvarlige bør være forpligtet til at besvare sådanne anmodninger fra den registrerede inden for en fast rimelig tidsfrist og begrunde det, hvis vedkommende ikke imødekommer den registreredes anmodning. [Ændring 23]

(48)

Principperne om en loyal og gennemsigtig behandling kræver, at den registrerede informeres om navnlig behandlingens eksistens og dens formål, hvor længe oplysningerne opbevares forventes opbevaret til det enkelte formål , hvorvidt oplysningerne videregives til tredjepart eller tredjelande, om eksistensen af foranstaltninger til at gøre indsigelse og om retten til indsigt, berigtigelse eller sletning og retten til at indgive klage. Hvis oplysningerne indsamles fra den registrerede, bør den registrerede også oplyses om, hvorvidt han eller hun er forpligtet til at afgive sådanne oplysninger, og om konsekvenserne, hvis vedkommende ikke afgiver sådanne oplysninger. Disse oplysninger bør afgives til den registrerede, hvilket også kan betyde gøres umiddelbart tilgængelige for vedkommende, efter afgivelse af simplificerede oplysninger i form af standardiserede ikoner. Dette bør også betyde, at personoplysninger behandles på en måde, der giver den registrerede mulighed for at udøve sine rettigheder. [Ændring 24]

(49)

Informationen om behandlingen af personoplysninger bør gives til den registrerede på tidspunktet for indsamlingen, eller, hvis oplysningerne ikke indsamles fra den registrerede, inden for en rimelig periode afhængigt af de konkrete omstændigheder. Hvis oplysninger legitimt kan videregives til en anden modtager, bør den registrerede informeres, når oplysningerne første gang videregives til modtageren.

(50)

Det er imidlertid ikke nødvendigt at pålægge en sådan forpligtelse, hvis den registrerede allerede er bekendt med kender de registrerede oplysninger, eller hvis registreringen eller videregivelsen udtrykkeligt er fastsat ved lov, eller hvis det viser sig umuligt eller uforholdsmæssigt vanskeligt at underrette den pågældende. Sidstnævnte kan være tilfældet i forbindelse med behandling til historiske, statistiske eller videnskabelige forskningsformål; i denne forbindelse kan der tages hensyn til antallet af registrerede, oplysningernes alder og de kompensatoriske foranstaltninger, der kan træffes. [Ændring 25]

(51)

Enhver bør have ret til indsigt i oplysninger, der er indsamlet om den pågældende, og til let at udøve denne ret med henblik på at forvisse sig om oplysningernes eksistens og behandlingens lovlighed. Enhver registreret bør derfor have ret til at kende og blive underrettet om navnlig det formål, hvortil oplysningerne behandles, hvor lang tid de gemmes forventes gemt , og hvem modtagerne af oplysningerne er, den overordnede logik, der ligger bag behandlingen af oplysningerne, og om de mulige konsekvenser af denne behandling, i hvert fald når behandlingen er baseret på profilering. Denne ret må ikke krænke andres rettigheder og frihedsrettigheder, herunder forretningshemmeligheder eller den intellektuelle ejendomsret, navnlig f.eks. i forbindelse med den ophavsret, som programmerne er beskyttet af. Dette må dog ikke resultere i, at den registrerede nægtes alle oplysninger. [Ændring 26]

(52)

Den dataansvarlige bør træffe alle rimelige foranstaltninger for at bekræfte identiteten af en registreret, som anmoder om indsigt, navnlig i forbindelse med onlinetjenester og online-id'er. En dataansvarlig må ikke opbevare personoplysninger alene for at kunne reagere på mulige anmodninger.

(53)

Enhver person bør have ret til at få berigtiget personoplysninger om vedkommende og »ret til at blive glemt sletning «, hvis opbevaringen af sådanne oplysninger ikke er i overensstemmelse med denne forordning. En registreret bør navnlig have ret til at få sine personoplysninger slettet og ikke længere behandlet, hvis oplysningerne ikke længere er nødvendige til de formål, hvortil de blev indsamlet eller på anden måde behandlet, hvis den registrerede har trukket sit samtykke til behandling tilbage, hvis den registrerede gør indsigelse mod behandlingen af personoplysninger om vedkommende, eller hvis behandlingen af vedkommendes personoplysninger i øvrigt ikke er i overensstemmelse med denne forordning. Denne ret er særlig relevant, når den registrerede har givet sit samtykke som barn, da denne ikke fuldt ud var bekendt med risiciene i forbindelse med behandlingen, og senere ønsker at fjerne sådanne personoplysninger, navnlig fra internettet. Yderligere opbevaring af oplysningerne bør dog tillades, hvis det er nødvendigt til historiske, statistiske eller videnskabelige forskningsformål, af hensyn til samfundsinteresser på folkesundhedsområdet, med henblik på at udøve retten til ytringsfrihed, når det kræves i henhold til lovgivningen, eller hvis der er grund til at begrænse behandlingen af oplysninger i stedet for at slette dem. Retten til sletning bør heller ikke gælde i de tilfælde, hvor opbevaring af personoplysninger er nødvendig for at opfylde en kontrakt med den registrerede, eller hvor der findes et lovkrav om, at oplysningerne skal opbevares. [Ændring 27]

(54)

For at styrke »retten til at blive glemt sletning « i onlinemiljøet bør retten til sletning udvides, så den registeransvarlige en dataansvarlig , der uden retligt grundlag har offentliggjort personoplysningerne, forpligtes til at underrette tredjeparter træffe de foranstaltninger , der behandler sådanne oplysninger, om, at en registreret har anmodet dem om at er nødvendige for at slette alle link til, kopier af eller gengivelser af de pågældende personoplysninger. For at sikre disse oplysninger bør den registeransvarlige træffe alle rimelige foranstaltninger, oplysningerne , herunder tekniske foranstaltninger, vedrørende de oplysninger, hvis offentliggørelse den registeransvarlige er ansvarlig for. I forhold til en tredjeparts offentliggørelse af personoplysninger betragtes den registeransvarlige som ansvarlig for offentliggørelsen, hvis den registeransvarlige har godkendt tredjepartens offentliggørelse. af tredjepart, uden at dette berører den registreredes ret til at kræve erstatning. [Ændring 28]

(54a)

Oplysninger, der anfægtes af den registrerede, og hvis rigtighed eller urigtighed ikke kan afgøres, bør spærres, indtil sagen er afklaret. [Ændring 29]

(55)

For at give de registrerede øget kontrol over deres egne personoplysninger og deres ret til indsigt bør de, når personoplysninger behandles elektronisk og i et struktureret og almindeligt anvendt format, have ret til at få en kopi af oplysningerne om dem i et almindeligt anvendt elektronisk format. Den registrerede bør også kunne videregive de oplysninger, vedkommende har udleveret, fra en automatisk applikation, f.eks. et socialt netværk, til et andet. Dataansvarlige bør tilskyndes til at udvikle interoperable formater, som muliggør dataportabilitet. Dette bør gælde, hvis den registrerede har udleveret oplysningerne til databehandlingssystemet, baseret på dennes samtykke eller under opfyldelsen af en kontrakt. Udbydere af informationssamfundstjenester bør ikke gøre videregivelsen af disse oplysninger til en obligatorisk forudsætning for levering af deres tjenester. [Ændring 30]

(56)

Hvis behandlingen af personoplysninger kan udføres fuldt lovligt for at beskytte den registreredes vitale interesser eller af hensyn til samfundsmæssige interesser, af hensyn til offentlig myndighedsudøvelse eller i en registeransvarligs dataansvarligs legitime interesse, bør en registreret alligevel have ret til gratis og på en måde, der let og effektivt kan gøres gældende, at gøre indsigelse mod behandlingen af oplysninger om vedkommende selv. Det bør være den dataansvarlige, der beviser, at dennes legitime interesser har forrang for den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder. [Ændring 31]

(57)

Hvis personoplysninger behandles med henblik på direkte markedsføring den registrerede har ret til indsigelse , bør den dataansvarlige eksplicit give den registrerede have ret til gratis og mulighed herfor på en letforståelig måde, der let og effektivt kan gøres gældende, at gøre indsigelse mod en sådan behandling og i letforståelig form under anvendelse af klart og enkelt sprog og klart adskilt fra de øvrige oplysninger . [Ændring 32]

(58)

Uden at dette berører lovligheden af databehandlingen, bør enhver fysisk person bør have ret til ikke at blive gjort til genstand for en foranstaltning at gøre indsigelse mod profilering. Profilering , der er baseret på profilering ved hjælp af automatisk databehandling. En sådan foranstaltning bør dog fører til foranstaltninger, der har retsvirkning for den registrerede eller som på lignende betydelig vis indvirker på den pågældende registreredes interesser, rettigheder eller frihedsrettigheder bør kun tillades, når den udtrykkeligt er tilladt i loven, når den gennemføres som led i indgåelsen eller opfyldelsen af en kontrakt, eller når den registrerede har givet sit samtykke. En sådan behandling bør under alle omstændigheder ledsages af de fornødne garantier, herunder specifik underretning af den registrerede og ret til menneskelig indgriben vurdering , og sådanne foranstaltninger må ikke vedrøre et barn. Sådanne foranstaltninger må ikke medføre forskelsbehandling af fysiske personer på grundlag af race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, seksuel orientering eller kønsidentitet. [Ændring 33]

(58a)

Profilering udelukkende på basis af pseudonyme oplysninger bør formodes ikke i betydelig grad at indvirke på den registreredes interesser, frihedsrettigheder eller andre rettigheder. Hvis profilering — uanset om den er baseret på én enkelt kilde af pseudonyme oplysninger eller på sammenlægning af pseudonyme oplysninger fra forskellige kilder — giver den dataansvarlige mulighed for at henføre pseudonyme oplysninger til en bestemt registreret, bør de behandlede oplysninger ikke længer betragtes som pseudomyme. [Ændring 34]

(59)

Specifikke principper og retten til oplysninger, til indsigt, berigtigelse og sletning af oplysninger, eller retten til dataportabilitet indsigt og til at skaffe oplysninger , retten til indsigelse, foranstaltninger baseret på profilering og meddelelse af et brud på persondatasikkerheden til en registreret og visse tilknyttede forpligtelser for de registeransvarlige dataansvarlige kan indskrænkes af EU-retten eller medlemsstatslovgivning, for så vidt det er nødvendigt og hensigtsmæssigt i et demokratisk samfund og af hensyn til den offentlige sikkerhed, herunder beskyttelse af menneskeliv som reaktion på navnlig naturkatastrofer eller menneskeskabte katastrofer, forebyggelse, efterforskning og retsforfølgning af straffelovsovertrædelser, eller brud på de etiske regler for lovregulerede erhverv, andre af Unionens eller en medlemsstats specifikke og veldefinerede samfundsinteresser, navnlig Unionens eller en medlemsstats væsentlige økonomiske eller finansielle interesser eller beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder. En sådan indskrænkning bør opfylde kravene i chartret og den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder. [Ændring 35]

(60)

Der bør fastsættes bestemmelser om den registeransvarliges dataansvarliges overordnede ansvar, herunder erstatningsansvar, for den behandling af personoplysninger, der foretages af den registeransvarlige dataansvarlige eller på vegne af den registeransvarlige dataansvarlige, navnlig for så vidt angår dokumentation, datasikkerhed, konsekvensanalyse samt den databeskyttelsesansvarlige og databeskyttelsesmyndighedernes tilsyn . Den registeransvarlige dataansvarlige bør navnlig sikre og være forpligtet i stand til at påvise, at hver behandlingsaktivitet gennemføres i overensstemmelse med denne forordning. Dette bør kontrolleres af uafhængige interne eller eksterne revisorer. [Ændring 36]

(61)

Beskyttelsen af de registreredes rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger forudsætter, at der træffes de fornødne tekniske og organisatoriske foranstaltninger, både under udformningen af behandlingen og under selve behandlingen, med henblik på at sikre, at denne forordnings krav opfyldes. For at sikre og påvise overensstemmelse med denne forordning bør den registeransvarlige dataansvarlige indføre interne regler og gennemføre passende foranstaltninger, som navnlig er i overensstemmelse med principperne om indbygget databeskyttelse og databeskyttelse gennem indstillinger. Princippet om indbygget databeskyttelse indebærer, at hensynet til databeskyttelse indarbejdes i alle faser af en teknologis livscyklus, fra den første udformning til indførelsen på markedet, brugen og bortskaffelsen. Dette bør også omfatte ansvaret for produkter og tjenesteydelser, der anvendes af den dataansvarlige eller databehandleren. Princippet om databeskyttelse gennem indstillinger kræver privatlivsbeskyttende indstillinger i tjenester og produkter, som bør være i overensstemmelse med de generelle principper om databeskyttelse, f.eks. dataminimering og formålsbegrænsning. [Ændring 37]

(62)

Beskyttelsen af registreredes rettigheder og frihedsrettigheder samt registeransvarliges og registerføreres dataansvarliges og databehandleres ansvar, også i forbindelse med tilsynsmyndighedernes kontrol overvågning og foranstaltninger, kræver en klar fordeling af ansvarsområderne under denne forordning, herunder når en registeransvarlig dataansvarlig fastlægger formålene med og metoderne til behandlingen sammen med andre registeransvarlige dataansvarlige , eller når en behandling foretages på vegne af en registeransvarlig dataansvarlig . Aftalen mellem de fælles dataansvarlige bør afspejle de fælles dataansvarliges faktiske roller og forhold. Behandlingen af personoplysninger i henhold til denne forordning bør omfatte en dataansvarligs tilladelse til at videregive oplysninger til en fælles dataansvarlig eller –behandler med henblik på behandling af oplysninger på vedkommendes vegne. [Ændring 38]

(63)

Når en registeransvarlig dataansvarlig , som ikke er etableret i Unionen, behandler personoplysninger vedrørende registrerede, der er bosiddende i Unionen, og hvis behandlingsaktiviteter vedrører udbud af varer eller tjenester til sådanne registrerede eller overvågning af deres adfærd, bør den registrerede udpege en repræsentant i Unionen, medmindre den registeransvarlige dataansvarlige er etableret i et tredjeland, som sikrer et tilstrækkeligt beskyttelsesniveau, eller den registeransvarlige er behandlingen vedrører færre end 5 000 registrerede over en lille eller mellemstor virksomhed, en sammenhængende periode på 12 måneder og ikke gennemføres på en særlig kategori af personoplysninger, eller er en offentlig myndighed eller et offentligt organ, eller den registeransvarlige dataansvarlige kun lejlighedsvis udbyder varer eller tjenester til sådanne registrerede. Repræsentanten handler bør handle på den registeransvarliges dataansvarliges vegne og kan kontaktes af tilsynsmyndigheden. [Ændring 39]

(64)

For at afgøre, om en registeransvarlig dataansvarlig kun lejlighedsvis udbyder varer eller tjenester til registrerede med bopæl i Unionen, bør det kontrolleres, om det fremgår af den registeransvarliges dataansvarliges overordnede aktiviteter, at udbuddet af varer eller tjenester til sådanne registrerede er en aktivitet i tilknytning til hovedaktiviteterne. [Ændring 40]

(65)

For at kunne påvise overensstemmelse med denne forordning bør den registeransvarlige dataansvarlige eller registerføreren dokumentere hver behandlingsaktivitet databehandleren bevare den dokumentation, der er nødvendig for at leve op til kravene i denne forordning . Hver registeransvarlig og registerfører dataansvarlig og databehandler bør have pligt til at samarbejde med tilsynsmyndigheden og efter anmodning stille denne dokumentation til rådighed for tilsynsmyndigheden, så den kan bruges til at kontrollere sådan behandling vurdere overholdelsen af denne forordning . Der bør imidlertid lægges ligelig vægt på god praksis og forenelighed og ikke kun på tilvejebringelse af dokumentation. [Ændring 41]

(66)

For at opretholde sikkerheden og forhindre behandling i strid med denne forordning bør den registeransvarlige dataansvarlige eller databehandleren registerføreren vurdere de risici, som behandlingen indebærer, og gennemføre foranstaltninger, der kan mindske disse risici. Disse foranstaltninger bør under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til risiciene og karakteren af de oplysninger, der bør beskyttes. Kommissionen bør Ved fastsættelsen af tekniske standarder og organisatoriske foranstaltninger for til at sikre databehandlingssikkerheden fremme bør teknologisk neutralitet, interoperabilitet og innovation fremmes og, når det er relevant, samarbejde bør samarbejde med tredjelande opmuntres . [Ændring 42]

(67)

Et brud på persondatasikkerheden kan, hvis det ikke afhjælpes tilstrækkeligt og rettidigt, påføre den berørte person betydelige økonomiske tab og sociale problemer, herunder identitetsbedrageri. Så snart den registeransvarlige bliver bekendt med, at et sådant brud har fundet sted, bør vedkommende Den dataansvarlige bør derfor anmelde bruddet til tilsynsmyndigheden uden unødig forsinkelse og om muligt , hvilket bør anses for at være senest inden for 24 72 timer. Hvis dette ikke kan nås inden for 24 timers det bliver aktuelt , bør anmeldelsen ledsages af en begrundelse for forsinkelsen. Fysiske personer, hvis personoplysninger kan blive krænket af bruddet, bør underrettes uden unødig forsinkelse, så de kan træffe de nødvendige forholdsregler. Et brud bør betragtes som krænkende for en registrerets personoplysninger eller beskyttelsen af vedkommendes privatliv, hvis det kan indebære f.eks. identitetstyveri eller svig, fysisk skade, betydelig tort eller skade af omdømme. Underretningen bør beskrive arten af bruddet på persondatasikkerheden og indeholde anbefalinger til den berørte person med henblik på at afhjælpe de mulige skadevirkninger. Underretninger til registrerede bør gives så snart, det er rimeligt muligt, og i tæt samarbejde med tilsynsmyndigheden og bør overholde retningslinjer, der er givet af denne eller andre relevante myndigheder (f.eks. de retshåndhævende myndigheder). Registreredes mulighed for at afhjælpe en umiddelbar risiko for skade kræver f.eks. omgående underretning af de registrerede, mens behovet for at gennemføre fornødne foranstaltninger mod fortsatte eller lignende brud kan begrunde en længere forsinkelse. [Ændring 43]

(68)

For at afgøre, om et brud på persondatasikkerheden skal meddeles tilsynsmyndigheden og den registrerede uden unødig forsinkelse, bør det kontrolleres, om den dataansvarlige har gennemført og anvendt fornøden teknologi og fornødne organisatoriske foranstaltninger til omgående at fastslå, om et brud på persondatasikkerheden har fundet sted, og til omgående at underrette tilsynsmyndigheden og den registrerede, inden der opstår skade for personlige og økonomiske interesser, under hensyntagen til navnlig karakteren og alvoren af bruddet på persondatasikkerheden og dets konsekvenser og skadevirkninger for den registrerede.

(69)

Når der fastsættes nærmere regler for, hvilket format og hvilke procedurer der skal anvendes ved anmeldelse af brud på persondatasikkerheden, bør der tages hensyn til omstændighederne ved sikkerhedsbruddet, herunder til om personoplysningerne var beskyttet ved passende tekniske beskyttelsesforanstaltninger, der effektivt begrænser sandsynligheden for identitetsmisbrug eller andre former for misbrug. Sådanne regler og procedurer bør endvidere tage hensyn til de retshåndhævende myndigheders legitime interesser, hvis tidlig meddelelse unødigt kan hæmme undersøgelsen af omstændighederne ved et brud.

(70)

Ved direktiv 95/46/EF blev der fastsat en generel forpligtelse til at anmelde behandling af personoplysninger til tilsynsmyndighederne. Denne forpligtelse medførte en administrativ og finansiel byrde, men den bidrog ikke i alle tilfælde til at forbedre beskyttelsen af personoplysninger. En så vilkårlig og generel anmeldelsespligt bør derfor afskaffes og erstattes med effektive procedurer og systemer, som i stedet fokuserer på behandling, der sandsynligvis kan indebære specifikke risici for registreredes rettigheder og frihedsrettigheder i medfør af deres karakter, omfang eller formål. I sådanne tilfælde bør den dataansvarlige eller databehandleren inden behandlingen foretage en konsekvensanalyse vedrørende databeskyttelse, der navnlig omhandler de planlagte foranstaltninger, garantier og systemer, der skal sikre beskyttelsen af personoplysninger og overensstemmelsen med denne forordning.

(71)

Dette er især relevant i forbindelse med nye omfattende registre til behandling af meget store mængder personoplysninger på regionalt, nationalt eller overnationalt plan, der kan berøre mange registrerede.

(71a)

Konsekvensanalyser udgør et centralt element i enhver bæredygtig databeskyttelsesramme og sikrer, at virksomhederne fra start af får kendskab til de mulige konsekvenser af deres databehandlingsaktiviteter. Hvis konsekvensanalyserne gennemføres grundigt, kan brud på datasikkerheden eller midler, der griber ind i privatlivets fred, begrænses betydeligt. Konsekvensanalyserne vedrørende databeskyttelse bør følgelig vedrøre hele livscyklussen for behandlingen af personoplysninger, fra indsamling over behandling til sletning, og bør i detaljer beskrive den planlagte behandling, risiciene for registreredes rettigheder og frihedsrettigheder samt de foranstaltninger, der er indført med henblik på at afhjælpe disse risici, samt garantier, sikkerhedsforanstaltninger og mekanismer, der skal sikre overensstemmelse med denne forordning. [Ændring 44]

(71b)

De dataansvarlige bør fokusere på beskyttelse af personoplysninger i alle faser af et produkts livscyklus, fra indsamling over behandling til sletning, ved fra starten at sikre en bæredygtig dataforvaltningsramme og ved at følge op med en omfattende overholdelsesmekanisme. [Ændring 45]

(72)

Der kan være tilfælde, hvor det kan være fornuftigt og økonomisk at foretage en konsekvensanalyse vedrørende databeskyttelse, som omhandler andet end ét enkelt projekt, f.eks. hvis offentlige myndigheder eller organer har planer om at indføre en fælles applikation eller behandlingsplatform, eller hvis flere dataansvarlige planlægger at indføre en fælles applikation eller behandlingsplatform på tværs af en industrisektor eller et industrisegment eller for en udbredt horisontal aktivitet.

(73)

Konsekvensanalyser vedrørende databeskyttelse bør foretages af en offentlig myndighed eller et offentligt organ, hvis en sådan analyse ikke allerede er blevet foretaget i forbindelse med vedtagelsen af den nationale lovgivning, der udgør grundlaget for den offentlige myndigheds eller det offentlige organs udøvelse af opgaver, og som regulerer den pågældende specifikke behandling. [Ændring 46]

(74)

Hvis en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen involverer en høj grad af specifikke risici for registreredes rettigheder og frihedsrettigheder, som f.eks. at personer fratages en rettighed, eller ved brug af bestemte nye teknologier, bør den databeskyttelsesansvarlige eller tilsynsmyndigheden inden iværksættelse af behandlingsaktiviteter høres om en risikobehæftet behandling, der muligvis ikke er i overensstemmelse med denne forordning, og bør fremsætte forslag om afhjælpning af en sådan situation. En sådan høring af tilsynsmyndigheden bør ligeledes gennemføres som led i udarbejdelsen af en lovgivningsmæssig foranstaltning, der vedtages af det nationale parlament, eller af en anden foranstaltning med hjemmel i en sådan lovgivningsmæssig foranstaltning, som fastlægger karakteren af behandlingen og indfører de fornødne garantier. [Ændring 47]

(74a)

Konsekvensanalyser er kun nyttige, hvis de dataansvarlige sikrer, at de overholder de løfter, der oprindeligt blev fastlagt i dem. De dataansvarlige bør derfor med jævne mellemrum gennemføre en evaluering af opfyldelsen af kravene til databeskyttelse, der skal vise, at de databehandlingsmekanismer, der er oprettet, overholder de forsikringer, der blev fastlagt i konsekvensanalysen vedrørende databeskyttelse. Den skal ligeledes demonstrere den dataansvarliges evne til at respektere den registreredes egne valg. Hvis undersøgelsen påviser mangel på konsekvens i overholdelse, bør dette desuden fremhæves, og der bør fremsættes anbefalinger, som kan sikre fuldstændig overholdelse. [Ændring 48]

(75)

Hvis behandlingen foretages i den offentlige sektor, eller hvis behandlingen i den private sektor foretages omfatter mere end 5000 registrerede i løbet af en stor virksomhed periode på 12 måneder , eller hvis virksomhedens kerneaktiviteter — uanset dens størrelse — omfatter behandling af følsomme oplysninger eller behandlinger , som kræver regelmæssig og systematisk overvågning, bør en person hjælpe den registeransvarlige dataansvarlige eller registerføreren databehandleren med at kontrollere, at denne forordning overholdes internt. Når det fastslås, om der behandles oplysninger vedrørende et stort antal registrerede, bør arkiverede oplysninger, som er begrænset således, at de ikke er underlagt den dataansvarliges normale procedure for dataadgang og -behandling og ikke længere kan ændres, ikke medtages. Den person, der har ansvar for databeskyttelse, bør, uanset om han eller hun er ansat hos den registeransvarlige dataansvarlige eller ej, og uanset om vedkommende udøver sit hverv på fuldtid, være i stand til at udøve sit hverv i fuld uafhængighed og nyde godt af en særlig opsigelsesbeskyttelse . Det endelige ansvar bør ligge hos organisationens ledelse. Den databeskyttelsesansvarlige bør navnlig høres forud for udformningen, indkøbet, udviklingen og oprettelsen af systemer til automatisk behandling af personoplysninger for at sikre principperne om indbygget databeskyttelse og databeskyttelse gennem indstillinger. [Ændring 49]

(75a)

Den databeskyttelsesansvarlige bør mindst besidde følgende kvalifikationer: omfattende viden om databeskyttelseslovgivningens indhold og anvendelse, herunder tekniske og organisatoriske foranstaltninger og procedurer; kendskab til de tekniske krav til indbygget databeskyttelse, databeskyttelse gennem indstillinger og datasikkerhed; virksomhedsspecifik viden i overensstemmelse med den dataansvarliges eller databehandlerens størrelse og oplysningernes følsomhed; evnen til at gennemføre inspektioner, høringer, dokumentation og logfilanalyser og evnen til at samarbejde med medarbejderrepræsentationer. Den dataansvarlige bør give den databeskyttelsesansvarlige mulighed for at deltage i videreuddannelseskurser for at vedligeholde den specialviden, der er nødvendig for udførelsen af hans eller hendes opgaver. Udpegelsen som databeskyttelsesansvarlig kræver ikke nødvendigvis fuldtidsbeskæftigelse af den pågældende medarbejder. [Ændring 50]

(76)

Sammenslutninger eller andre organer, der repræsenterer kategorier af registeransvarlige dataansvarlige , bør opfordres til efter høring af medarbejderrepræsentanterne at udarbejde adfærdskodekser inden for rammerne af denne forordning med henblik på at fremme den effektive anvendelse af denne forordning under hensyntagen til de særlige former for behandling, der foretages i visse sektorer. Sådanne kodekser burde gøre det lettere for erhvervslivet at overholde bestemmelserne i nærværende forordning. [Ændring 51]

(77)

For at forbedre gennemsigtigheden og overholdelsen af denne forordning bør fastlæggelsen af certificeringsordninger og databeskyttelsesmærkninger og -mærker standardiserede mærker fremmes, så registrerede hurtigt , pålideligt og beviseligt kan vurdere databeskyttelsesniveauet i forbindelse med relevante produkter og tjenester. Der bør indføres en europæisk databeskyttelsesmærkning for at skabe tillid blandt de registrerede, retssikkerhed for dataansvarlige og samtidig udbrede de europæiske databeskyttelsesstandarder ved at gøre det lettere for ikke-europæiske virksomheder at komme ind på de europæiske markeder og opnå certificering. [Ændring 52]

(78)

Strømmen af personoplysninger på tværs af landegrænserne er nødvendig af hensyn til udbygningen af den internationale samhandel og det internationale samarbejde. Udvidelsen af denne strøm har skabt nye udfordringer og bekymringer med hensyn til beskyttelsen af personoplysninger. Når personoplysninger videregives fra Unionen til tredjelande eller til internationale organisationer, må det beskyttelsesniveau, som fysiske personer garanteres i Unionen i medfør af denne forordning, dog ikke undermineres. Videregivelse til tredjelande må under alle omstændigheder kun finde sted under fuld overholdelse af denne forordning.

(79)

Denne forordning berører ikke internationale aftaler indgået mellem Unionen og tredjelande om videregivelse af personoplysninger, herunder de fornødne garantier for registrerede , som sikrer et tilstrækkeligt beskyttelsesniveau for borgernes grundlæggende rettigheder . [Ændring 53]

(80)

Kommissionen kan med virkning for hele Unionen fastslå, at visse tredjelande, et område, en behandlingssektor i et tredjeland eller en international organisation har et tilstrækkeligt databeskyttelsesniveau, og dermed skabe retssikkerhed og ensartethed i hele Unionen, hvad angår tredjelande eller internationale organisationer, der vurderes at tilbyde et sådant beskyttelsesniveau. I disse tilfælde kan personoplysninger videregives til disse lande uden krav om yderligere godkendelse. Kommissionen kan, efter at have varslet og fyldestgørende begrundet det over for tredjelandet, desuden beslutte at tilbagekalde en sådan beslutning. [Ændring 54]

(81)

I overensstemmelse med de grundlæggende værdier, som Unionen bygger på, navnlig beskyttelsen af menneskerettighederne, bør Kommissionen i sin vurdering af tredjelandet overveje, hvorvidt det pågældende tredjeland respekterer retsstatsprincippet, adgangen til klage samt internationale menneskerettighedsnormer og -standarder.

(82)

Kommissionen kan ligeledes fastslå, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation ikke har et tilstrækkeligt databeskyttelsesniveau. En lovgivning, som giver ekstraterritorial adgang til personoplysninger, der behandles i Unionen, uden tilladelse i henhold til EU-lovgivningen eller en medlemsstats lovgivning, bør anses for en indikation på et utilstrækkeligt niveau. Som følge deraf bør videregivelsen af personoplysninger til det pågældende tredjeland forbydes. Der bør fastlægges bestemmelser for procedurer for forhandling mellem Kommissionen og sådanne tredjelande eller internationale organisationer. [Ændring 55]

(83)

Hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, bør den registeransvarlige dataansvarlige eller registerføreren databehandleren iværksætte foranstaltninger, som kan kompensere for den manglende beskyttelse i tredjelandet, i form af de fornødne garantier for den registrerede. Sådanne fornødne garantier kan bestå af anvendelse af bindende virksomhedsregler, standardbestemmelser om databeskyttelse vedtaget af Kommissionen, standardbestemmelser om databeskyttelse vedtaget af en tilsynsmyndighed eller kontraktbestemmelser godkendt af en tilsynsmyndighed eller andre . Disse fornødne garantier bør give de registrerede samme rettigheder, som gives i forbindelse med den interne behandling i Unionen, navnlig vedrørende formålsbegrænsning og forholdsmæssige foranstaltninger, der er begrundet retten til indsigt, berigtigelse, sletning og erstatning. Disse garantier bør navnlig sikre overholdelsen af omstændighederne ved en videregivelse af principperne for behandling af personoplysninger eller en serie af videregivelser af personoplysninger, sikre registreredes rettigheder og som er godkendt sikre effektiv klageadgang samt sikre overholdelse af principperne om indbygget databeskyttelse og databeskyttelse gennem indstillinger og sikre tilstedeværelsen af en tilsynsmyndighed databeskyttelsesansvarlig . [Ændring 56]

(84)

Den registeransvarliges dataansvarliges eller registerførerens databehandlerens mulighed for at bruge standardbestemmelser om databeskyttelse vedtaget af Kommissionen eller af en tilsynsmyndighed, bør ikke udelukke muligheden for, at den registeransvarlige dataansvarlige eller registerføreren databehandleren medtager standardbestemmelser om databeskyttelse i en bredere kontrakt eller medtager andre bestemmelser eller supplerende garantier , såfremt de hverken direkte eller indirekte er i strid med de standardkontraktbestemmelser, der er vedtaget af Kommissionen eller en tilsynsmyndighed, eller berører de registreredes grundlæggende rettigheder eller frihedsrettigheder. De standardbestemmelser om databeskyttelse, som Kommissionen vedtager, kan dække forskellige situationer, navnlig videregivelse af oplysninger fra dataansvarlige, der er etableret i Unionen, til dataansvarlige, der er etableret uden for Unionen, og fra dataansvarlige, der er etableret i Unionen, til databehandlere, herunder underleverandører, der er etableret uden for Unionen. Dataansvarlige og –behandlere bør tilskyndes til at tilvejebringe endnu mere holdbare garantier gennem yderligere kontaktmæssige forpligtelser, der supplerer standardbeskyttelsesbestemmelserne. [Ændring 57]

(85)

En koncern bør kunne benytte godkendte bindende virksomhedsregler for sine internationale videregivelser fra Unionen til organisationer inden for samme koncern, såfremt sådanne virksomhedsregler omfatter alle væsentlige principper og rettigheder, der kan håndhæves, med henblik på at sikre de fornødne garantier for videregivelser eller kategorier af videregivelser af personoplysninger. [Ændring 58]

(86)

Videregivelse bør tillades under bestemte omstændigheder, hvor den registrerede har meddelt sit samtykke, hvor videregivelsen er nødvendig i forbindelse med en kontrakt eller et retskrav, hvor beskyttelsen af væsentlige samfundsinteresser i henhold til EU-retten eller medlemsstatslovgivning kræver det, eller hvor videregivelsen sker fra et register, der er oprettet ved lov, og som offentligheden eller personer med en legitim interesse heri bør kunne konsultere. I sidstnævnte tilfælde bør en sådan videregivelse ikke omfatte alle oplysningerne eller hele kategorier af oplysninger i dette register, og når et register er beregnet til at blive konsulteret af personer, der har en legitim interesse heri, bør videregivelse kun ske på anmodning af disse personer, eller hvis de selv er modtageren , samtidig med at der fuldt ud tages hensyn til den registreredes interesser og grundlæggende rettigheder . [Ændring 59]

(87)

Disse undtagelser bør navnlig gælde for videregivelse af oplysninger, der udføres af hensyn til vigtige samfundsinteresser, f.eks. ved international udveksling af oplysninger mellem konkurrencemyndigheder, skatte- eller toldforvaltninger, finansielle tilsynsmyndigheder, socialsikringsmyndigheder socialsikrings- eller folkesundhedsmyndigheder eller de kompetente offentlige myndigheder for forebyggelse, efterforskning, opdagelse og retsforfølgning af straffelovsovertrædelser , herunder forebyggelse af hvidvaskning af penge og bekæmpelse af finansiering af terrorisme . Videregivelse af personoplysninger bør ligeledes anses for lovlig, hvis den er nødvendig for at beskytte et hensyn af fundamental betydning for den registreredes eller en anden persons liv, og den registrerede er ude af stand til at give sit samtykke. Videregivelse af personoplysninger, der udføres af hensyn til sådanne vigtige samfundsinteresser, bør kun finde sted lejlighedsvist. I hvert enkelt tilfælde skal der foretages en nøje vurdering af alle forhold omkring videregivelsen. [Ændring 60]

(88)

Videregivelser, der ikke kan betegnes som hyppige eller omfattende, kan begrundes af den registeransvarliges eller registerførerens legitime interesse, men først efter at de har vurderet og dokumenteret alle omstændigheder ved videregivelserne. I forbindelse med behandling til historiske, statistiske eller videnskabelige forskningsformål bør samfundets legitime forventninger om øget viden tages med i overvejelserne. [Ændring 61]

(89)

Hvis Kommissionen ikke har truffet en afgørelse om tilstrækkeligheden af databeskyttelsesniveauet i et tredjeland, bør den registeransvarlige dataansvarlige eller registerføreren databehandleren under alle omstændigheder benytte løsninger, der giver de registrerede en juridisk bindende garanti for, at de fortsat vil nyde godt af de grundlæggende rettigheder og garantier, hvad angår behandling af deres personoplysninger i Unionen, når disse oplysninger er blevet videregivet og forudsat, at behandlingen ikke er af massiv og strukturel art eller har karakter af gentagelser . Denne garanti bør indebære økonomisk erstatning i tilfælde af tab eller uautoriseret adgang til og behandling af oplysningerne samt en forpligtelse til, uanset national lovgivning, at give fuldstændige oplysninger om et tredjelands offentlige myndigheders adgang til oplysningerne. [Ændring 62]

(90)

Visse tredjelande vedtager love, bestemmelser og andre retlige instrumenter med det formål at regulere databehandlingsaktiviteter vedrørende fysiske og juridiske personer direkte under medlemsstaternes jurisdiktion. Ekstraterritorial anvendelse af disse love, bestemmelser og andre retsakter kan være i strid med folkeretten og kan hindre virkeliggørelsen af den beskyttelse af fysiske personer, der garanteres i Unionen af denne forordning. Videregivelser af oplysninger bør kun tillades, hvis denne forordnings betingelser for videregivelser til tredjelande er opfyldt. Det kan bl.a. være tilfældet, hvis videregivelsen er nødvendig af hensyn til vigtige samfundsinteresser, der anerkendes i EU-retten eller en medlemsstats lovgivning, som den registeransvarlige dataansvarlige er omfattet af. Kommissionen bør i en delegeret retsakt yderligere præcisere betingelserne for, at der er tale om vigtige samfundsinteresser. Hvis de dataansvarlige eller databehandlerne møder forskellige tilsynskrav mellem Unionens jurisdiktion på den ene side og et tredjelands på den anden, bør Kommissionen sikre, at EU-retten til enhver tid har forrang. Kommissionen bør vejlede og bistå den dataansvarlige og databehandleren og bør sammen med det pågældende tredjeland forsøge at løse den jurisdiktionelle tvist. [Ændring 63]

(91)

Når personoplysninger overføres på tværs af grænser, kan det medføre yderligere risici for fysiske personers mulighed for at udøve deres databeskyttelsesrettigheder og beskytte sig mod ulovlig brug eller videregivelse af disse oplysninger. Samtidig må tilsynsmyndighederne i nogle tilfælde konstatere, at de ikke kan indgive klager eller gennemføre undersøgelser vedrørende aktiviteter uden for deres grænser. Samarbejdet på tværs af grænserne kan også hæmmes af utilstrækkelige forebyggende eller afhjælpende beføjelser, uensartede retlige ordninger og praktiske hindringer som f.eks. ressourcebegrænsninger. Der er derfor et behov for tættere samarbejde mellem datatilsynsmyndigheder, så de bedre kan udveksle oplysninger og gennemføre undersøgelser sammen med de tilsvarende internationale organer.

(92)

Oprettelsen af tilsynsmyndigheder i medlemsstaterne, som udøver deres hverv i fuld uafhængighed, har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger. Medlemsstaterne kan oprette mere end én tilsynsmyndighed for at afspejle deres forfatningsmæssige, organisatoriske og administrative struktur. En myndighed skal sikres tilstrækkelige finansielle og menneskelige ressourcer til at kunne udøve sin rolle under hensyntagen til befolkningens størrelse og omfanget af behandlede personoplysninger. [Ændring 64]

(93)

Hvis en medlemsstat opretter flere tilsynsmyndigheder, bør den ved lov fastlægge ordninger, der sikrer disse tilsynsmyndigheders effektive deltagelse i sammenhængsmekanismen. Den pågældende medlemsstat bør navnlig udpege den tilsynsmyndighed, der fungerer som fælles kontaktpunkt for disse myndigheders effektive deltagelse i mekanismen, med henblik på at sikre et hurtigt og smidigt samarbejde med andre tilsynsmyndigheder, Det Europæiske Databeskyttelsesråd og Kommissionen.

(94)

Hver tilsynsmyndighed bør have tilstrækkelige finansielle og menneskelige ressourcer, navnlig med henblik på at sikre personalets tilstrækkelige tekniske og juridiske kvalifikationer, lokaler og infrastrukturer til effektivt at udføre sine opgaver, herunder opgaver vedrørende gensidig bistand og samarbejde med andre tilsynsmyndigheder i Unionen. [Ændring 65]

(95)

De generelle betingelser for tilsynsmyndighedens medlemmer bør fastsættes ved lov i hver medlemsstat, og det bør navnlig fastsættes, om at disse medlemmer bør udpeges af parlamentet eller regeringen i den pågældende medlemsstat under behørig opmærksomhed omkring en mindskelse af risikoen for politisk indblanding , og der bør ligeledes fastsættes regler om medlemmernes personlige kvalifikationer , undgåelsen af interessekonflikter og om medlemmernes stilling. [Ændring 66]

(96)

Tilsynsmyndighederne bør kontrollere anvendelsen af bestemmelserne i henhold til denne forordning og bidrage til dens ensartede anvendelse i hele Unionen med det formål at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger og lette fri udveksling af personoplysninger på det indre marked. Til det formål bør tilsynsmyndighederne samarbejde med hinanden og med Kommissionen.

(97)

Når behandlingen af personoplysninger i forbindelse med aktiviteter, der gennemføres af en registeransvarligs dataansvarligs eller registerførers databehandlers virksomhed i Unionen, finder sted i mere end én medlemsstat, bør en enkelt tilsynsmyndighed være ansvarlig for at kontrollere den registeransvarliges eller registerførerens aktiviteter fungere som den dataansvarliges eller databehandlerens fælles kontaktpunkt og ledende myndighed med ansvar for kontrol i hele Unionen og for at træffe de relaterede beslutninger med henblik på at styrke en ensartet anvendelse, sikre retssikkerheden og mindske den administrative byrde for sådanne registeransvarlige og registerførere dataansvarlige og databehandlere . [Ændring 67]

(98)

Den kompetente ledende myndighed, som udgør et sådant centralt kontaktpunkt, bør være tilsynsmyndigheden i den medlemsstat, hvor den registeransvarlige dataansvarlige eller registerføreren databehandleren har sin hovedvirksomhed eller en repræsentant for denne . Det Europæiske Databeskyttelsesråd kan i visse tilfælde udpege den ledende myndighed gennem sammenhængsmekanismen efter anmodning fra en kompetent myndighed. [Ændring 68]

(98a)

Registrerede, hvis personoplysninger behandles af en dataansvarlig eller databehandler i en anden medlemsstat, bør kunne klage til en tilsynsmyndighed efter eget valg. Den ledende databeskyttelsesmyndighed bør koordinere sit arbejde med de andre involverede myndigheders arbejde. [Ændring 69]

(99)

Selv om denne forordning også gælder for de nationale domstoles aktiviteter, bør der af hensyn til domstolenes uafhængighed, når de udfører deres retslige opgaver, ikke tillægges tilsynsmyndighederne kompetence til at behandle personoplysninger, når domstolene handler som led i deres retspleje. Denne undtagelse bør dog alene begrænses til egentlige retslige aktiviteter i forbindelse med retssager og ikke gælde for andre aktiviteter, som dommere kan inddrages i efter national lovgivning.

(100)

For at sikre ensartet kontrol med og håndhævelse af denne forordning i hele Unionen bør tilsynsmyndighederne i hver medlemsstat have samme opgaver og effektive beføjelser, herunder undersøgelsesbeføjelser, beføjelser til retligt bindende indgriben og beføjelser til at træffe afgørelser og fastsætte sanktioner, navnlig i tilfælde af klager fra fysiske personer, og til at deltage i retssager. Tilsynsmyndighedernes undersøgelsesbeføjelser, hvad angår adgang til lokaler, bør udøves i overensstemmelse med EU-retten og national ret. Det gælder bl.a. kravet om en forudgående retskendelse.

(101)

Hver tilsynsmyndighed bør behandle klager, der indgives af registrerede eller sammenslutninger , der handler i samfundets interesse, og undersøge sagen. Undersøgelsen af en klage bør gennemføres med forbehold af domstolsprøvelse, i det omfang det er relevant i det konkrete tilfælde. Tilsynsmyndigheden bør underrette den registrerede eller sammenslutningen om gennemførelsen og resultatet af klagen inden for en rimelig frist. Hvis sagen kræver yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed, bør den registrerede underrettes herom. [Ændring 70]

(102)

Tilsynsmyndigheders oplysningskampagner over for offentligheden bør omfatte specifikke foranstaltninger rettet mod dataansvarlige, databehandlere, herunder mikrovirksomheder og små og mellemstore virksomheder, og registrerede.

(103)

Tilsynsmyndighederne bør bistå hinanden i udøvelsen af deres opgaver og yde gensidig bistand med det formål at sikre ensartet anvendelse og håndhævelse af denne forordning på det indre marked.

(104)

Hver tilsynsmyndighed bør have ret til at deltage i fælles aktiviteter sammen med andre tilsynsmyndigheder. Den tilsynsmyndighed, der modtager anmodningen, bør være forpligtet til at besvare anmodningen inden for en bestemt frist.

(105)

For at sikre en ensartet anvendelse af denne forordning i hele Unionen indføres der en sammenhængsmekanisme for samarbejdet mellem tilsynsmyndighederne og Kommissionen. Denne mekanisme bør navnlig anvendes, når en tilsynsmyndighed agter at iværksætte en foranstaltning med hensyn til behandling, der vedrører udbud af varer eller tjenester til registrerede i flere medlemsstater eller overvågning af sådanne registrerede, eller som i væsentlig grad kan påvirke den frie udveksling af personoplysninger. Den bør også anvendes, hvis en tilsynsmyndighed eller Kommissionen ønsker, at sagen håndteres inden for sammenhængsmekanismen. De registrerede bør endvidere have ret til denne sammenhæng, hvis de skønner, at en foranstaltning pålagt af en medlemsstats datatilsynsmyndighed ikke opfylder dette kriterium. Denne mekanisme berører ikke foranstaltninger, som Kommissionen iværksætter som led i udøvelsen af sine beføjelser i henhold til traktaterne. [Ændring 71]

(106)

Ved anvendelsen af sammenhængsmekanismen bør Det Europæiske Databeskyttelsesråd inden for en bestemt frist afgive en udtalelse, hvis det besluttes af et simpelt flertal af dets medlemmer, eller hvis en tilsynsmyndighed eller Kommissionen anmoder herom.

(106a)

Med henblik på at sikre en sammenhængende anvendelse af denne forordning kan Det Europæiske Databeskyttelsesråd i individuelle sager vedtage en afgørelse, der er bindende for de kompetente tilsynsmyndigheder. [Ændring 72]

(107)

For at sikre overensstemmelse med denne forordning kan Kommissionen vedtage en udtalelse om denne sag eller en afgørelse, som kræver, at tilsynsmyndigheden suspenderer sin foreslåede foranstaltning. [Ændring 73]

(108)

Det kan være nødvendigt at handle omgående for at beskytte registreredes interesser, navnlig hvis der er alvorlig risiko for en begrænsning af håndhævelsen af en registrerets rettigheder. En tilsynsmyndighed bør derfor kunne vedtage foreløbige foranstaltninger med en angivet gyldighedsperiode, når sammenhængsmekanismen anvendes.

(109)

Anvendelsen af denne mekanisme bør være en forudsætning for den retlige gyldighed og en tilsynsmyndigheds håndhævelse af den pågældende afgørelse. I andre tilfælde af tværnational relevans kan gensidig bistand og fælles undersøgelser gennemføres mellem de berørte tilsynsmyndigheder på et bilateralt eller multilateralt grundlag, uden at det udløser sammenhængsmekanismen.

(110)

På EU-plan bør der oprettes et europæisk databeskyttelsesråd. Det bør erstatte Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger, der er nedsat ved direktiv 95/46/EF. Det bør sammensættes af chefen for tilsynsmyndigheden en tilsynsmyndighed i hver medlemsstat og Den Europæiske Tilsynsførende for Databeskyttelse. Kommissionen bør deltage i rådets aktiviteter. Det Europæiske Databeskyttelsesråd bør bidrage til den ensartede anvendelse af denne forordning i hele Unionen, herunder ved at rådgive Kommissionen Unionens institutioner og fremme samarbejdet mellem tilsynsmyndighederne i hele Unionen , herunder koordinering af fælles aktiviteter . Det Europæiske Databeskyttelsesråd bør handle uafhængigt, når det udfører sine opgaver. Det Europæiske Databeskyttelsesråd bør styrke dialogen med de berørte interessenter, som f.eks. sammenslutninger af registrerede, forbrugerorganisationer, dataansvarlige og andre relevante interessenter og eksperter. [Ændring 74]

(111)

Alle Registrerede bør have ret til at indgive klage til tilsynsmyndighederne i alle medlemsstater og adgang til effektiv domstolsprøvelse i overensstemmelse med artikel 47 i chartret , hvis de finder, at deres rettigheder i henhold til denne forordning er blevet krænket, eller hvis tilsynsmyndigheden ikke reagerer på en klage eller ikke vil handle, hvis dette er nødvendigt for at beskytte den registreredes rettigheder. [Ændring 75]

(112)

Alle organer, organisationer eller sammenslutninger, der har til formål at beskytte registreredes rettigheder og interesser i forbindelse med beskyttelsen af deres personoplysninger handler i samfundets interesse , og som er etableret i overensstemmelse med en medlemsstats lovgivning, bør have ret til at indgive en klage til en tilsynsmyndighed på vegne af registrerede og med deres samtykke eller udøve retten til domstolsprøvelse på vegne af , hvis den registrerede har givet bemyndigelse hertil, eller til uafhængigt af en registrerets klage på egne vegne at indgive en klage, hvis de vurderer, at et brud på persondatasikkerheden en overtrædelse af denne forordning har fundet sted. [Ændring 76]

(113)

Enhver fysisk eller juridisk person bør have adgang til domstolsprøvelse af afgørelser truffet af en tilsynsmyndighed vedrørende vedkommende. En sag mod en tilsynsmyndighed bør anlægges ved domstolen i den medlemsstat, hvor tilsynsmyndigheden er etableret.

(114)

For at styrke den retlige beskyttelse af den registrerede i situationer, hvor den kompetente tilsynsmyndighed er etableret i en anden medlemsstat end den medlemsstat, hvor den registrerede er bosiddende, kan den registrerede anmode bemyndige et organ, en organisation eller en sammenslutning, der har til formål handler i samfundets interesse, til at beskytte registreredes rettigheder og interesser i forbindelse med beskyttelsen af deres personoplysninger, om at anlægge den registreredes sag mod den pågældende tilsynsmyndighed ved den kompetente domstol i den anden medlemsstat. [Ændring 77]

(115)

I situationer, hvor den kompetente tilsynsmyndighed, der er etableret i en anden medlemsstat, undlader at handle eller har iværksat utilstrækkelige foranstaltninger i forbindelse med en klage, kan den registrerede anmode tilsynsmyndigheden i den medlemsstat, hvor han eller hun har sit sædvanlige opholdssted, om at anlægge sag mod den pågældende tilsynsmyndighed ved den kompetente domstol i den anden medlemsstat. Dette gælder ikke for ikke-EU-borgere. Den tilsynsmyndighed, der har modtaget en sådan anmodning, kan med forbehold af domstolsprøvelse afgøre, om anmodningen bør efterkommes. [Ændring 78]

(116)

Ved sager mod en registeransvarlig dataansvarlig eller registerfører databehandler bør sagsøgeren have mulighed for at indbringe sagen for domstolene i de medlemsstater, hvor den registeransvarlige dataansvarlige eller registerføreren databehandleren er etableret, eller – hvis vedkommende har bopæl i EU – hvor den registrerede er bosiddende, medmindre den registeransvarlige dataansvarlige er en offentlig EU-myndighed eller en myndighed i en medlemsstat , der udøver offentligretlige beføjelser. [Ændring 79]

(117)

Hvis det viser sig, at der verserer parallelle sager for domstolene i forskellige medlemsstater, bør domstolene have pligt til at kontakte hinanden. Domstolene bør have mulighed for at udsætte en sag, hvis en parallel sag verserer i en anden medlemsstat. Medlemsstaterne bør sikre, at domstolssager — for at være effektive — kan føre til hurtig vedtagelse af foranstaltninger, der kan afhjælpe eller forhindre en overtrædelse af denne forordning.

(118)

Personer, der lider skade , uanset om den er økonomisk eller ej, som følge af en ulovlig behandling, bør have ret til erstatning fra den registeransvarlige dataansvarlige eller registerføreren. Denne databehandleren, som kun kan fritages for erstatningsansvar, hvis det bevises denne kan bevise , at han ikke er skyld i den forvoldte skade, navnlig særlig hvis der kan henvises til en fejl fra den registreredes side den pågældende fastslår, at fejlen ligger hos den registrerede, eller et i tilfælde af force majeure. [Ændring 80]

(119)

Personer, der overtræder denne forordning, bør kunne pålægges sanktioner, uanset om de er omfattet af privat- eller offentligretlig lovgivning. Medlemsstaterne bør sikre, at sanktionerne er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, og bør træffe alle foranstaltninger for at gennemføre sanktionerne. Reglerne om sanktioner bør være underlagt tilstrækkelige proceduremæssige sikkerhedsforanstaltninger i overensstemmelse med de generelle principper i EU-lovgivningen og chartret, herunder retten til effektive retsmidler, en retfærdig rettergang og respekt for ne bis in idem-princippet. [Ændring 81]

(119a)

Ved pålæggelse af sanktioner bør medlemsstaterne udvise fuld respekt for tilstrækkelige proceduremæssige sikkerhedsforanstaltninger, herunder retten til effektive retsmidler, en retfærdig rettergang og respekt for ne bis in idem-princippet. [Ændring 82]

(120)

For at styrke og harmonisere de administrative sanktioner for overtrædelse af denne forordning bør hver tilsynsmyndighed have beføjelse til at sanktionere administrative overtrædelser. Denne forordning bør angive disse overtrædelser og maksimumsbeløb for de tilknyttede administrative bøder, der bør fastsættes i hver sag i forhold til den konkrete situation med behørig hensyntagen til karakteren, alvoren og varigheden af hver overtrædelse. Sammenhængsmekanismen kan også anvendes til at dække forskelle i anvendelsen af administrative sanktioner.

(121)

Der bør fastsættes Det bør om nødvendigt være muligt at fastsætte undtagelser eller fravigelser fra visse bestemmelser i denne forordning i forbindelse med behandling af personoplysninger alene i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed, for at forene retten til beskyttelse af personoplysninger med retten til ytringsfrihed, herunder retten til at modtage og give oplysninger, som fastslået bl.a. i artikel 11 i chartret. Dette bør navnlig gælde for behandling af personoplysninger på det audiovisuelle område samt i nye arkiver og mediebiblioteker. Medlemsstaterne bør derfor vedtage lovgivningsmæssige foranstaltninger, der fastlægger undtagelser og fravigelser, som er nødvendige af hensyn til balancen mellem disse grundlæggende rettigheder. Medlemsstaterne bør vedtage sådanne undtagelser og fravigelser bør vedrørende generelle principper, den registreredes rettigheder, den registeransvarlige og registerføreren dataansvarlige og databehandleren , videregivelse af personoplysninger til tredjelande eller internationale organisationer, de uafhængige tilsynsmyndigheder samt, samarbejde og sammenhæng samt om specifikke databehandlingssituationer . Dette må dog ikke føre til, at medlemsstaterne fastsætter undtagelser fra de øvrige bestemmelser i denne forordning. For at tage hensyn til betydningen af retten til ytringsfrihed i ethvert demokratisk samfund er det nødvendigt at tolke begreber vedrørende den frihed såsom journalisme bredt. Medlemsstaterne bør derfor klassificere , således at de omfatter alle aktiviteter, der som »journalistiske« med henblik på de undtagelser og fravigelser, der er fastsat i denne forordning, hvis formålet med disse aktiviteter er har til formål at udbrede oplysninger, holdninger eller idéer, uanset hvilket medie der anvendes hertil , ligeledes under hensyntagen til den teknologiske udvikling . De bør ikke begrænses til medievirksomheder og kan gennemføres med udbyttegivende eller ikke-udbyttegivende formål. [Ændring 83]

(122)

Behandling af personlige helbredsoplysninger — en særlig kategori af oplysninger, der kræver større beskyttelse — kan være begrundet i en række legitime forhold til gavn for enkeltpersoner og samfundet som helhed, navnlig indsatsen for at sikre kontinuitet i sundhedsydelser på tværs af grænserne. Denne forordning bør derfor skabe harmoniserede betingelser for behandling af personlige helbredsoplysninger, der er omfattet af specifikke og fornødne garantier med henblik på at beskytte fysiske personers grundlæggende rettigheder og personoplysninger. Dette omfatter fysiske personers ret til indsigt i deres personlige helbredsoplysninger, f.eks. data i deres lægejournaler om diagnoser, undersøgelsesresultater, lægelige vurderinger samt behandling og indgreb, der er foretaget.

(122a)

En fagperson, som behandler personlige helbredsoplysninger, bør, om muligt, modtage anonyme eller pseudonymiserede oplysninger, således at identiteten kun er kendt af den praktiserende læge eller den specialist, der har anmodet om behandling af oplysningerne. [Ændring 84]

(123)

Behandling af personlige helbredsoplysninger kan være nødvendig af hensyn til samfundsinteresser hvad angår folkesundhed uden den registreredes samtykke. I den sammenhæng fortolkes »folkesundhed« som defineret i Europa-Parlamentets og Rådets forordning (EF) nr. 1338/2008 af 16. december 2008 om fællesskabsstatistikker over folkesundhed og arbejdsmiljø  (9), dvs. alle elementer vedrørende sundhed, nemlig helbredstilstand, herunder sygelighed og invaliditet, determinanter med en indvirkning på denne helbredstilstand, behov for sundhedspleje, ressourcer tildelt sundhedsplejen, ydelse af og almen adgang til sundhedspleje, udgifter til og finansiering af sundhedspleje samt dødsårsager. Denne behandling af personlige helbredsoplysninger af samfundsinteresse bør ikke medføre, at tredjeparter såsom arbejdsgivere, forsikringsselskaber eller pengeinstitutter behandler personoplysninger til andre formål. [Ændring 85]

(123a)

Behandling af personoplysninger vedrørende helbred som særlig oplysningskategori kan være nødvendig til historiske, statistiske eller videnskabelige forskningsformål. Derfor opereres der i denne forordning med en undtagelse fra kravet om samtykke i tilfælde af forskning af stor samfundsmæssig betydning. [Ændring 86]

(124)

De generelle principper vedrørende beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger bør også gælde i ansættelsesforhold og i forbindelse med social sikring . For at Medlemsstaterne bør kunne regulere behandlingen af arbejdstageres personoplysninger i ansættelsesforhold bør medlemsstaterne under overholdelse af denne forordnings øvrige bestemmelser ved lov kunne indføre specifikke regler for behandling og behandlingen af personoplysninger ved ansættelsesforhold i forbindelse med social sikring i overensstemmelse med bestemmelserne og minimumsnormerne i denne forordning . Hvis der i den pågældende medlemsstat gælder et lovmæssigt grundlag til regulering af spørgsmål inden for ansættelsesforholdet som følge af en aftale mellem arbejdstagerrepræsentanter og virksomhedsledelsen eller den kontrollerende virksomhed i en koncern (kollektiv overenskomst) eller i henhold til Europa-Parlamentets og Rådets direktiv 2009/38/EF  (10) , kan behandlingen af personoplysningerne inden for en ansættelseskontekst også reguleres gennem en sådan aftale. [Ændring 87]

(125)

Behandling af personoplysninger til historiske, statistiske eller videnskabelige forskningsformål bør også — for at være lovlig — overholde anden relevant lovgivning, f.eks. om kliniske forsøg.

(125a)

Personoplysninger kan også gøres til genstand for behandling af arkivtjenester, der har som hovedopgave eller lovpligtig opgave at indsamle, opbevare, oplyse om, udnytte og formidle arkiver i samfundets interesse. Medlemsstaternes lovgivning bør forene retten til beskyttelse af personoplysninger med bestemmelserne vedrørende arkiver og om borgernes adgang til administrative oplysninger. Medlemsstaterne bør tilskynde navnlig den europæiske arkivgruppe til at udarbejde regler, der skal sikre datafortroligheden over for tredjepart og oplysningernes ægthed og integritet samt forsvarlig opbevaring af disse. [Ændring 88]

(126)

Videnskabelig forskning med henblik på dette direktiv bør omfatte grundforskning, anvendt forskning og privat finansieret forskning og desuden tage hensyn til Unionens mål om et europæisk forskningsrum, jf. artikel 179, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde. Behandling af personoplysninger til historiske, statistiske eller videnskabelige forskningsformål må ikke medføre, at der behandles oplysninger til andre formål, medmindre det sker med den registreredes samtykke eller på grundlag af EU-retten eller medlemsstatslovgivning. [Ændring 89]

(127)

Hvad angår tilsynsmyndighedernes beføjelser til af den dataansvarlige eller databehandleren at få indsigt i personoplysninger og adgang til dennes lokaler, kan medlemsstaterne under overholdelse af denne forordnings øvrige bestemmelser ved lov indføre specifikke regler med det formål at sikre den faglige eller anden tilsvarende tavshedspligt med henblik på at forene retten til beskyttelse af personoplysninger med en tavshedspligt.

(128)

Denne forordning respekterer og anfægter ikke den status i henhold til national lovgivning, som kirker og religiøse sammenslutninger eller samfund har i medlemsstaterne, jf. artikel 17 i traktaten om Den Europæiske Unions funktionsmåde. Hvis en kirke i en medlemsstat følgelig på tidspunktet for denne forordnings ikrafttræden anvender omfattende tilstrækkelige regler om beskyttelse af fysiske personer, hvad angår behandling af personoplysninger, bør disse eksisterende regler fortsat gælde, hvis de bringes i overensstemmelse med denne forordning. Sådanne kirker og religiøse sammenslutninger bør være forpligtet til at sørge for at have en fuldstændig uafhængig tilsynsmyndighed og anerkendes som værende i overensstemmelse med reglerne . [Ændring 90]

(129)

For at opfylde denne forordnings målsætninger, dvs. at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder og, navnlig deres ret til beskyttelse af personoplysninger, og for at sikre fri udveksling af personoplysninger i Unionen bør beføjelsen til at vedtage retsakter i henhold til artikel 290 i traktaten om Den Europæiske Unions funktionsmåde delegeres til Kommissionen. Der bør navnlig vedtages delegerede retsakter med nærmere bestemmelser om det lovlige i at behandle personoplysninger betingelserne for den ikonbaserede metode til videregivelse af oplysninger , om angivelse af kriterierne og betingelserne for et barns samtykke, om behandling af særlige kategorier af personoplysninger, om angivelse af kriterierne og betingelserne for tydeligt overdrevne anmodninger og gebyrer for udøvelse af den registreredes rettigheder, om kriterier og krav i forbindelse med underretning af den registrerede og retten til indsigt, om retten til at blive glemt og til sletning, om foranstaltninger baseret på profilering der erklærer , at adfærdskodekser er i overensstemmelse med denne forordning, om kriterier og krav i forbindelse med den registeransvarliges ansvar og indbygget databeskyttelse og databeskyttelse gennem indstillinger, om en registerfører, om kriterier og krav i forbindelse med dokumentation og behandlingssikkerhed, om kriterier og krav i forbindelse med konstatering af et brud på persondatasikkerheden og anmeldelse heraf til tilsynsmyndigheden og om de omstændigheder, hvor et brud på persondatasikkerheden kan krænke den registrerede, om kriterier og betingelser for behandling, der kræver en konsekvensanalyse vedrørende databeskyttelse, om kriterier og krav i forbindelse med fastlæggelse af større konkrete risici, der kræver forudgående høring, om udpegning af og opgaver for den databeskyttelsesansvarlige, om adfærdskodekser, om kriterier og krav i forbindelse med certificeringsordninger, om et tilstrækkeligt beskyttelsesniveau i et tredjeland eller en international organisation, om kriterier og krav i forbindelse med videregivelse i form af bindende virksomhedsregler, om fravigelser ved videregivelser, om administrative sanktioner, om behandling til sundhedsformål og om behandling i forbindelse med ansættelsesforhold og til historiske, statistiske eller videnskabelige forskningsformål. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau og navnlig med Det Europæiske Databeskyttelsesråd . Kommissionen bør når den forbereder og udarbejder delegerede retsakter sørge for samtidig, rettidig og hensigtsmæssig fremsendelse af relevante dokumenter til Europa-Parlamentet og Rådet. [Ændring 91]

(130)

For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser for så vidt angår angivelse af standardformularer for specifikke metoder til at indhente verificerbart samtykke i forbindelse med behandling af et barns personoplysninger, standardprocedurer og -formularer standardformularer til underretning af de registrerede om udøvelse af registreredes deres rettigheder; standardformularer til underretning af den registrerede; standardformularer og -procedurer i forbindelse med retten til indsigt og retten til dataportabilitet , herunder til underretning af den registrerede om personoplysninger ; standardformularer i forbindelse med den registeransvarliges ansvar dokumentation, der skal føres af den dataansvarlige og databehandleren; standardformen for indbygget databeskyttelse og databeskyttelse gennem indstillinger og dokumentation; specifikke krav til behandlingssikkerhed; standardformat og procedurer for anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og meddelelse til dokumentation af brud på persondatasikkerheden til den registrerede; standarder og procedurer for konsekvensanalyser vedrørende databeskyttelse; formularer og procedurer for forudgående godkendelse og høring; tekniske standarder og certificeringsordninger; det tilstrækkelige databeskyttelsesniveau, der sikres af et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation; videregivelse uden hjemmel i EU-retten; gensidig bistand; fælles operationer og afgørelser under sammenhængsmekanismen høring og informering af tilsynsmyndigheden . Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser.  (11) , og i den forbindelse bør Kommissionen overveje særlige foranstaltninger for mikrovirksomheder og små og mellemstore virksomheder. [Ændring 92]

(131)

Undersøgelsesproceduren bør anvendes til at vedtage fastlæggelsen af standardformularer : for specifikke metoder til at indhente verificerbart samtykke i forbindelse med behandling af et barns samtykke, standardprocedurer og -formularer til registreredes personoplysninger; til underretning af de registrerede om udøvelse af deres rettigheder, standardformularer; til underretning af den registrerede; standardformularer og procedurer i forbindelse med retten til indsigtog retten til dataportabilitet, standardformularer , herunder til underretning af den registrerede om personoplysninger; i forbindelse med den registeransvarliges ansvar for indbygget databeskyttelse og databeskyttelse gennem indstillinger og dokumentation, specifikke krav til behandlingssikkerhed; standardformat og procedurer der skal opbevares af den dataansvarlige og databehandleren; for anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og meddelelse for dokumentation af brud på persondatasikkerheden til den registrerede; standarder og procedurer for konsekvensanalyser vedrørende databeskyttelse; formularer og procedurer; for forudgående godkendelse og høring; tekniske standarder og certificeringsordninger; det tilstrækkelige databeskyttelsesniveau, der sikres af et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation; videregivelse uden hjemmel i EU-retten; gensidig bistand; samt fælles aktiviteter og afgørelser i henhold til sammenhængsmekanismen, eftersom og informering af tilsynsmyndigheden, for så vidt som disse retsakter er af generel karakter. [Ændring 93]

(132)

Kommissionen bør, i behørigt begrundede tilfælde vedrørende et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation, som ikke sikrer et tilstrækkeligt beskyttelsesniveau, og vedrørende forhold, der er meddelt af tilsynsmyndigheder i henhold til sammenhængsmekanismen, vedtage gennemførelsesretsakter, der straks finder anvendelse. [Ændring 94]

(133)

Målene for denne forordning, nemlig at sikre et ensartet beskyttelsesniveau for fysiske personer og fri udveksling af personoplysninger i hele Unionen, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne alene og kan derfor på grund af handlingens omfang eller virkninger bedre nås på EU-plan. Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, rækker forordningen ikke ud over, hvad der er nødvendigt for at nå dette mål.

(134)

Direktiv 95/46/EF bør ophæves ved denne forordning. Kommissionens afgørelser, der er vedtaget i henhold til direktiv 95/46/EF, og tilsynsmyndigheders godkendelser baseret på direktiv 95/46/EF bør dog fortsat gælde. Kommissionens afgørelser og tilsynsmyndigheders godkendelser vedrørende videregivelse af personoplysninger til tredjelande i overensstemmelse med artikel 41, stk. 8, bør fortsat være gældende i en overgangsperiode på fem år efter denne forordnings ikrafttræden, med mindre de ændres, erstattes eller ophæves af Kommissionen inden udløbet af denne periode. [Ændring 95]

(135)

Denne forordning bør gælde for alle forhold vedrørende beskyttelse af grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger, som ikke er underlagt specifikke forpligtelser med samme formål som Europa-Parlamentets og Rådets direktiv 2002/58/EF (12), herunder den dataansvarliges forpligtelser og fysiske personers rettigheder. For at afklare forholdet mellem denne forordning og direktiv 2002/58/EF bør sidstnævnte ændres tilsvarende.

(136)

For så vidt angår Island og Norge udgør denne forordning en udvikling af bestemmelser i Schengenreglerne, for så vidt den gælder for behandling af personoplysninger, som foretages af myndigheder, der deltager i gennemførelsen af disse regler, jf. den aftale, som Rådet for Den Europæiske Union har indgået med Republikken Island og Kongeriget Norge om disse to staters associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (13).

(137)

For så vidt angår Schweiz udgør denne forordning en udvikling af bestemmelser i Schengenreglerne, for så vidt den gælder for behandling af personoplysninger, som foretages af myndigheder, der deltager i gennemførelsen af disse regler, jf. aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (14).

(138)

For så vidt angår Liechtenstein udgør denne forordning en udvikling af bestemmelser i Schengenreglerne, for så vidt den gælder for behandling af personoplysninger, som foretages af myndigheder, der deltager i gennemførelsen af disse regler, jf. protokollen mellem Den Europæiske Union, Det Europæiske Fællesskab, Det Schweiziske Forbund og Fyrstendømmet Liechtenstein om Fyrstendømmet Liechtensteins tiltrædelse af aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (15).

(139)

Da retten til beskyttelse af personoplysninger som understreget af EU-Domstolen ikke er en absolut ret, men skal ses i forbindelse med sin funktion i samfundet og afvejes mod andre grundlæggende rettigheder, respekterer denne forordning i henhold til proportionalitetsprincippet de grundlæggende rettigheder og overholder de principper, som anerkendes i chartret om grundlæggende rettigheder som anført i traktaterne, navnlig retten til respekt for privatliv og familieliv, hjem og kommunikation, retten til beskyttelse af personoplysninger, retten til at tænke frit og til samvittigheds- og religionsfrihed, ytringsfriheden og informationsfriheden, friheden til at oprette og drive egen virksomhed og adgang til effektive retsmidler og til en upartisk domstol samt kulturel, religiøs og sproglig mangfoldighed —

a)

som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af EU-retten, navnlig for så vidt angår national sikkerhed

b)

som foretages af EU-institutioner, -organer, -kontorer og -agenturer

c)

som foretages af medlemsstaterne ved udførelse af aktiviteter, der falder inden for rammerne af afsnit V, kapitel 2, i traktaten om Den Europæiske Union

d)

som uden vederlag foretages af en fysisk person som led i en rent personlige personlig eller familiemæssige aktiviteter familiemæssig aktivitet. Denne undtagelse gælder også for offentliggørelsen af persondata, hvor det med rimelighed kan forventes, at kun et begrænset antal personer har adgang til dem

e)

som foretages af kompetente offentlige myndigheder med henblik på forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner

a)

udbud af varer eller tjenester til sådanne registrerede i Unionen , uanset om der kræves betaling fra den registrerede, eller

b)

overvågning af sådanne registreredes adfærd registrerede .

1)

»registreret«: en identificeret fysisk person eller en fysisk person, der direkte eller indirekte kan identificeres ved hjælp af de hjælpemidler, der med rimelighed kan tænkes bragt i anvendelse af den registeransvarlige eller af enhver anden fysisk eller juridisk person, bl.a. ved et id-nummer, lokaliseringsdata, online-id eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

2)

»personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»en registreret «); en identificerbar person er en person, som direkte eller indirekte kan identificeres, navnlig gennem en identifikator som et navn, et identifikationsnummer, lokaliseringsdata, en unik identifikator eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet eller kønsidentitet

2a)

»pseudonyme oplysninger«: personoplysninger, der ikke kan tilskrives en konkret registreret uden brug af supplerende oplysninger, så længe sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger med henblik på at sikre, at sådan tilskrivelse ikke kan forekomme

2b)

»krypterede oplysninger«: personoplysninger, som gennem teknologiske beskyttelsesforanstaltninger gøres uforståelige for en hvilken som helst person, der ikke må få adgang til disse data

3)

»behandling«: enhver operation eller række af operationer — med eller uden brug af automatiseret databehandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt sletning eller tilintetgørelse

3a)

»profilering«: enhver form for automatisk behandling af personlige oplysninger, der har til formål at vurdere bestemte personlige forhold vedrørende en fysisk person eller analysere eller forudsige navnlig den fysiske persons erhvervsevne, økonomiske situation, opholdssted, sundhed, personlige præferencer, pålidelighed eller adfærd

4)

»register«: enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag

5)

»registeransvarlig dataansvarlig «: en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål, på hvilke betingelser og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålet, betingelserne og hjælpemidlerne til behandlingen er fastlagt i EU-retten eller medlemsstatens lovgivning, kan den registeransvarlige dataansvarlige eller de specifikke kriterier for udpegning af denne angives i EU-retten eller en medlemsstats lovgivning

6)

»registerfører databehandler «: en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, der behandler personoplysninger på den registeransvarliges dataansvarliges vegne

7)

»modtager«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, som personoplysninger videregives til

7a)

»tredjepart«: enhver anden fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der har beføjelse til at behandle oplysningerne

8)

»den registreredes samtykke«: enhver frivillig, specifik, informeret og udtrykkelig viljestilkendegivelse baseret på en erklæring eller klar bekræftelse fra den registrerede, hvorved den registrerede indvilliger i, at personoplysninger om vedkommende gøres til genstand for behandling

9)

»brud på persondatasikkerheden«: brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgang til personoplysninger, der er videregivet, lagret eller på anden måde behandlet

10)

»genetiske data«: alle data af enhver type personoplysninger vedrørende en fysisk persons genetiske karakteristika, der er blevet arvet eller erhvervet under tidlig prænatal udvikling , og som fremgår af en analyse af biologiske prøver fra den pågældende person, navnlig en analyse på kromosomniveau, af deoxyribonukleinsyre (dna) eller ribonukleinsyre (rna) eller en analyse af andre elementer til indhentning af lignende oplysninger

11)

»biometriske data«: alle data personoplysninger vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika, der gør det muligt entydigt at identificere vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger

12)

»helbredsoplysninger«: enhver oplysning personoplysninger , der vedrører en persons fysiske eller mentale helbred eller levering af sundhedsydelser til vedkommende

13)

»hovedvirksomhed«: for så vidt angår den registeransvarlige, stedet for dennes et foretagendes eller en koncerns virksomhed i Unionen – uanset om der er tale om en dataansvarlig eller databehandler– hvor de vigtigste beslutninger vedrørende formål eller metoder i forbindelse med behandling af personoplysninger træffes; hvis der ikke træffes beslutninger vedrørende formål, betingelser eller metoder i forbindelse med behandling af personoplysninger i Unionen, er hovedvirksomheden det sted, . Der kan bl.a. tages hensyn til følgende objektive kriterier: Beliggenheden af den dataansvarliges eller databehandlerens hovedsæde ; beliggenheden af den virksomhed i en koncern , som er bedst placeret i forhold til at håndtere og håndhæve reglerne i denne forordning med hensyn til ledelsesfunktioner og administrativt ansvar; stedet, hvor de vigtigste behandlingsaktiviteter i forbindelse med en registeransvarligs virksomhed i Unionen finder sted. For så vidt angår registerføreren, er »hovedvirksomhed« stedet for dennes centrale administration i Unionen der udøves reelle og effektive ledelsesaktiviteter, som fastlægger databehandlingen gennem permanente strukturer

14)

»repræsentant«: enhver fysisk eller juridisk person, der er etableret i Unionen, som udtrykkeligt er udpeget af den registeransvarlige dataansvarlige , og som handler og kan kontaktes af en tilsynsmyndighed og andre organer i Unionen i stedet for den registeransvarlige repræsenterer databehandleren , hvad angår den dataansvarliges forpligtelser i medfør af denne forordning

15)

»virksomhed«: enhver enhed, som udøver økonomisk virksomhed, uanset dens retlige status, herunder navnlig fysiske og juridiske personer, partnerskaber og sammenslutninger, der regelmæssigt udøver økonomisk virksomhed

16)

»koncern«: en virksomhed, der udøver kontrol, og de af denne kontrollerede virksomheder

17)

»bindende virksomhedsregler«: regler om beskyttelse af personoplysninger, som en registeransvarlig dataansvarlig eller registerfører databehandler , der er etableret i en EU-medlemsstats område, overholder i forbindelse med videregivelser eller en serie af videregivelser af personoplysninger til en registeransvarlig dataansvarlig eller registerfører databehandler i et eller flere tredjelande inden for en koncern

18)

»barn«: en person under atten år

19)

»tilsynsmyndighed«: en offentlig myndighed, der er etableret i en medlemsstat i overensstemmelse med artikel 46. [Ændring 98]

a)

skal behandles lovligt, loyalt og på en gennemsigtig måde i forhold til den registrerede (lovlighed, loyalitet og gennemsigtighed)

b)

skal indsamles til udtrykkeligt angivne og legitime formål og må ikke senere gøres til genstand for behandling, som er uforenelig med disse formål (formålsbegrænsning)

c)

være tilstrækkelige og relevante og ikke omfatte mere end det, der kræves for at opfylde de formål, hvortil de behandles, og de må kun behandles, hvis og så længe disse formål ikke kan opfyldes ved at behandle oplysninger, der ikke omfatter personoplysninger (dataminimering)

d)

være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt til at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, omgående slettes eller berigtiges (saglig rigtighed)

e)

skal opbevares på en sådan måde, at det ikke er muligt direkte eller indirekte at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles; personoplysninger kan opbevares i længere tidsrum, hvis oplysningerne alene behandles til historiske, statistiske eller videnskabelige forskningsformål eller med henblik på arkivering i overensstemmelse med bestemmelserne og betingelserne i artikel 83 og 83a , og hvis behovet for fortsat opbevaring regelmæssigt vurderes , og der træffes en række tekniske og organisatoriske foranstaltninger med henblik på at begrænse adgangen til data udelukkende til disse formål (opbevaringsminimering)

ea)

behandles på en måde, som giver den registrerede reel mulighed for at udøve sine rettigheder (effektivitet)

eb)

behandles på en måde, der beskytter mod ubeføjet eller ulovlig behandling og mod utilsigtet tab, tilintetgørelse eller beskadigelse ved brug af tekniske eller organisatoriske foranstaltninger (integritet)

f)

skal behandles under den registeransvarliges dataansvarliges ansvar, og den registeransvarlige dataansvarlige skal sikre og for hver behandlingsaktivitet kunne påvise overensstemmelse med denne forordning (ansvarliggørelse) . [Ændring 99]

a)

den registrerede har givet sit samtykke til behandlingen af vedkommendes personoplysninger til et eller flere specifikke formål

b)

behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelsen af foranstaltninger, der træffes på dennes anmodning forud for indgåelsen af en sådan kontrakt

c)

behandlingen er nødvendig for at overholde en retlig forpligtelse, som gælder for den dataansvarlige

d)

behandlingen er nødvendig for at beskytte den registreredes vitale interesser

e)

behandlingen er nødvendig for udførelse af en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, som den registeransvarlige dataansvarlige har fået pålagt

f)

behandlingen er nødvendig, for at den registeransvarlige dataansvarlige eller — ved videregivelse — den tredjepart, som oplysningerne er videregivet til, og som lever op til den registreredes rimelige forventninger på baggrund af hans eller hendes forhold til den dataansvarlige, kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud herfor, navnlig hvis den registrerede er et barn. Dette gælder ikke for den behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.

a)

EU-retten eller

b)

lovgivningen i den medlemsstat, som den registeransvarlige dataansvarlige er underlagt.

a)

den registrerede har givet sit samtykke til en sådan behandling til et eller flere specifikke formål i henhold til betingelserne i artikel 7 og 8, medmindre det i EU-retten eller medlemsstatens lovgivning fastsættes, at det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke, eller

aa)

behandlingen er nødvendig af hensyn til opfyldelsen eller gennemførelsen af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan kontrakt,

b)

behandlingen er nødvendig for overholdelsen af den registeransvarliges dataansvarliges arbejdsretlige forpligtelser og specifikke rettigheder, for så vidt den er hjemlet i EU-retten eller medlemsstatens lovgivning eller i kollektive overenskomster , som fastsætter de fornødne garantier for den registreredes grundlæggende rettigheder og interesser , såsom retten til ikkeforskelsbehandling, i henhold til betingelserne og garantierne i artikel 82, eller

c)

behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke, eller

d)

behandlingen foretages af en stiftelse, en sammenslutning eller et andet almennyttigt organ, hvis sigte er af politisk, filosofisk, religiøs eller faglig art, som led i organets legitime aktiviteter og med de fornødne garantier, på betingelse af, at behandlingen alene vedrører organets medlemmer, tidligere medlemmer eller personer, der på grund af organets formål er i regelmæssig kontakt hermed, og at oplysningerne ikke videregives uden for organet uden den registreredes samtykke, eller

e)

behandlingen vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede, eller

f)

behandlingen er nødvendig for, at et retskrav kan fastslås, gøres gældende eller forsvares ved en domstol, eller

g)

behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets af stor offentlig interesse på grundlag af EU-retten eller medlemsstatslovgivning, som står i et rimeligt forhold til det mål, der forfølges, respekterer kernen i retten til databeskyttelse og fastsætter tilstrækkelige passende foranstaltninger til beskyttelse af den registreredes legitime grundlæggende rettigheder og interesser, eller

h)

behandlingen af helbredsoplysninger er nødvendig til sundhedsformål med forbehold af de betingelser og garantier, der er omhandlet i artikel 81, eller

i)

behandlingen er nødvendig til historiske, statistiske eller videnskabelige forskningsformål med forbehold af de betingelser og garantier, der er omhandlet i artikel 83, eller

ia)

behandlingen er nødvendig for arkivtjenester i overensstemmelse med betingelserne og garantierne i artikel 83a, eller

j)

behandlingen af personoplysninger vedrørende administrative sanktioner, retsafgørelser, overtrædelser af straffeloven, straffedomme eller tilknyttede sikkerhedsforanstaltninger foretages enten under kontrol af en offentlig myndighed, eller hvis behandlingen er nødvendig for at efterkomme love eller andre retsforskrifter, som den registeransvarlige dataansvarlige er omfattet af, eller for at udføre en opgave af hensyn til vigtige samfundsinteresser, og for så vidt den er hjemlet i EU-retten eller medlemsstatslovgivning, som fastsætter de fornødne garantier for så vidt angår registreredes grundlæggende rettigheder og interesser . Et fuldstændigt register over straffedomme må kun føres under kontrol af en offentlig myndighed.

a)

hvorvidt der indsamles personoplysninger, ud over hvad der er nødvendigt for hvert specifikt formål i behandlingen

b)

hvorvidt der opbevares personoplysninger, ud over hvad der er strengt nødvendigt for hvert specifikt formål i behandlingen

c)

hvorvidt personoplysninger behandles til andre formål end de formål, hvortil de blev indsamlet

d)

hvorvidt personoplysninger videregives til kommercielle tredjeparter

e)

hvorvidt personoplysninger sælges eller udlejes

f)

hvorvidt personoplysninger opbevares i krypteret form.

a)

den første kolonne afbilder grafik, som symboliserer de pågældende informationer

b)

den anden kolonne indeholder vigtige oplysninger, som beskriver de pågældende informationer

c)

den tredje kolonne afbilder grafik, som viser, om et særligt informationskrav er opfyldt.

a)

identitet og kontaktoplysninger for den registeransvarlige dataansvarlige , dennes eventuelle repræsentant og den databeskyttelsesansvarlige

b)

formålene med den behandling, som personoplysningerne skal bruges til, og oplysninger om sikkerheden i forbindelse med behandling af personoplysninger, herunder kontraktvilkår og generelle betingelser, såfremt behandlingen er baseret på artikel 6, stk. 1, litra b), og de legitime interesser, der forfølges af den registeransvarlige, såfremt behandlingen er baseret på , hvor det er relevant, oplysninger om, hvordan de gennemfører og opfylder kravene i artikel 6, stk. 1, litra f)

c)

det tidsrum, hvori personoplysningerne opbevares , eller, hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum

d)

retten til at anmode den registeransvarlige dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger vedrørende den registrerede, eller gøre indsigelse mod behandlingen af sådanne personoplysninger eller få oplysninger

e)

retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysningerne for tilsynsmyndigheden

f)

modtagerne eller kategorierne af modtagere af personoplysningerne

g)

såfremt den registeransvarlige dataansvarlige agter at videregive personoplysninger til et tredjeland eller en international organisation, oplysninger om det beskyttelsesniveau, som det pågældende tredjeland eller den pågældende internationale organisation har, med henvisning til Kommissionens og hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller i tilfælde af videregivelser i henhold til artikel 42 eller artikel 43, henvisning til de fornødne garantier og mulighed for at få en kopi heraf

ga)

eventuelle oplysninger om eksistensen af profilering, af foranstaltninger baseret på profilering og profilerings forventede konsekvenser for den registrerede

gb)

relevante oplysninger om logikken bag enhver automatisk behandling

h)

yderligere information, for så vidt denne information som er nødvendig for at garantere en retfærdig behandling af den registrerede, under hensyn til de særlige forhold, hvorunder personoplysningerne indsamles, for at garantere en retfærdig behandling af den registrerede eller behandles, navnlig eksistensen af visse behandlingsaktiviteter, for hvilke en konsekvensanalyse vedrørende personoplysninger har vist, at der kan være en høj risiko

ha)

eventuelle oplysninger om, hvorvidt personoplysninger er blevet videregivet til offentlige myndigheder inden for den seneste sammenhængende periode på 12 måneder.

a)

på det tidspunkt, hvor personoplysningerne indhentes fra den registrerede, eller uden unødig forsinkelse hvis ovenstående ikke er muligt, eller

aa)

efter anmodning fra et organ, en organisation eller en sammenslutning som omhandlet i artikel 73

b)

såfremt personoplysningerne ikke indsamles fra den registrerede, på tidspunktet for registreringen eller inden for et rimeligt tidsrum efter indsamlingen afhængigt af de konkrete omstændigheder for indsamlingen eller behandlingen af oplysningerne, eller, hvis videregivelse overførsel til en anden modtager forventes, senest når oplysningerne første gange videregives gang overføres, eller, hvis oplysningerne skal bruges til at kommunikere med den pågældende registrerede, senest når der første gang kommunikeres med den registrerede, eller

ba)

udelukkende efter anmodning, hvis oplysningerne behandles af en lille virksomhed eller en mikrovirksomhed, der kun behandler oplysninger som biaktivitet .

a)

den registrerede allerede har de oplysninger, der er omhandlet i stk. 1, 2 og 3, eller

b)

oplysningerne behandles med henblik på historiske, statistiske eller videnskabelige forskningsformål, med forbehold af de betingelser og garantier, der er omhandlet i artikel 81 og 83, ikke indsamles fra den registrerede, og hvis det viser sig umuligt eller uforholdsmæssigt vanskeligt at underrette den pågældende, og den dataansvarlige har offentliggjort oplysningerne, således at de er frit tilgængelige for alle, eller

c)

oplysningerne ikke indsamles fra den registrerede, og registrering eller videregivelse udtrykkeligt er fastsat ved lov, som den dataansvarlige er underlagt, og som fastsætter hensigtsmæssige foranstaltninger til beskyttelse af den registreredes legitime interesser, under hensyntagen til de risici, som behandlingen indebærer, og personoplysningernes art, eller

d)

oplysningerne ikke indsamles fra den registrerede og fremlæggelsen af sådanne oplysninger vil påvirke andres andre fysiske personers rettigheder og frihedsrettigheder som fastsat i EU-retten eller medlemsstatslovgivning, jf. artikel 21

da)

oplysningerne behandles i forbindelse med erhvervsudøvelse af eller overdrages til eller bliver kendt af en person, som er underlagt tavshedspligt i henhold til EU-retten eller medlemsstatslovgivning eller lovpligtig tavshedspligt, medmindre oplysningerne indhentes direkte fra den registrerede .

a)

formålene med behandlingen for hver enkelt kategori af personoplysninger

b)

de pågældende kategorier af personoplysninger

c)

de modtagere eller kategorier af modtagere, som personoplysningerne videregives eller er blevet videregivet til, navnlig herunder modtagere i tredjelande

d)

det tidsrum, hvori personoplysningerne opbevares , eller, hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum

e)

retten til at anmode den registeransvarlige dataansvarlige om berigtigelse eller sletning af personoplysninger om den registrerede eller gøre indsigelse mod behandlingen af sådanne personoplysninger

f)

retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysningerne for tilsynsmyndigheden

g)

hvilke personoplysninger der er omfattet af behandlingen, samt enhver tilgængelig information om, hvorfra disse oplysninger stammer

h)

betydningen og de forventede konsekvenser af denne behandling, hvad angår mindst de foranstaltninger, der er omhandlet i artikel 20.

ha)

relevante oplysninger om logikken bag enhver automatisk behandling

hb)

i tilfælde af videregivelse af personoplysninger til en offentlig myndighed efter dennes anmodning, bekræftelse af denne anmodning, jf. dog artikel 21 .

a)

personoplysningerne ikke længere er nødvendige til opfyldelse af de formål, hvortil de blev indsamlet eller på anden vis behandlet, eller

b)

den registrerede tilbagetrækker sit samtykke, som er grundlaget for behandlingen i henhold til artikel 6, stk. 1, litra a), eller hvis den opbevaringsperiode, der er givet samtykke til, er udløbet, og hvis der ikke længere er et retligt grundlag for behandlingen af oplysningerne, eller

c)

den registrerede gør indsigelse mod behandlingen af personoplysninger i henhold til artikel 19, eller

ca)

en domstol eller en tilsynsmyndighed, der er etableret i Unionen, ved endelig og uomstødelig dom har besluttet, at de pågældende oplysninger skal slettes, eller

d)

behandlingen af personoplysningerne af andre grunde er i strid med denne forordning blevet behandlet ulovligt.

a)

med henblik på at udøve retten til ytringsfrihed i henhold til artikel 80

b)

af hensyn til samfundsinteresser på folkesundhedsområdet i henhold til artikel 81

c)

til historiske, statistiske eller videnskabelige forskningsformål i henhold til artikel 83

d)

for at opfylde en retlig forpligtelse til at bevare personoplysninger i henhold til EU-retten eller medlemsstatslovgivning, som den registeransvarlige dataansvarlige er underlagt; medlemsstatens lovgivning skal forfølge almene hensyn, respektere kernen i retten til beskyttelse af personoplysninger og stå i et rimeligt forhold til det legitime mål, der forfølges

e)

i de tilfælde, der er nævnt i stk. 4.

a)

deres rigtighed bestrides af den registrerede, indtil den registeransvarlige dataansvarlige har haft mulighed for at fastslå, om de er rigtige

b)

den registeransvarlige dataansvarlige ikke længere har behov for dem til udførelsen af sine opgaver, men de fortsat skal opbevares som bevismiddel

c)

behandlingen af dem er ulovlig, og den registrerede modsætter sig deres sletning og i stedet kræver, at anvendelsen heraf begrænses

ca)

en domstol eller en tilsynsmyndighed, der er etableret i Unionen, ved endelig og uomstødelig dom har besluttet, at behandlingen skal begrænses

d)

den registrerede anmoder om, at personoplysninger overføres til et andet automatisk databehandlingssystem i overensstemmelse med artikel 18 15 , stk. 2 2a

da)

den særlige type lagerteknologi ikke giver mulighed for sletning og er blevet installeret før denne forordnings ikrafttræden .

a)

kriterier og krav i forbindelse med anvendelse af stk. 1, der stilles i bestemte sektorer og i bestemte databehandlingssituationer

b)

betingelserne for sletning af link til, kopier af eller gengivelser af personoplysninger fra offentligt tilgængelige kommunikationstjenester som omhandlet i stk. 2

c)

kriterierne og betingelserne for begrænsning af behandlingen af personoplysninger som omhandlet i stk. 4.

a)

foretages som led i er nødvendig for indgåelsen eller opfyldelsen af en kontrakt, såfremt den registreredes anmodning om indgåelse eller opfyldelse af kontrakten er blevet efterkommet, eller forudsat at der findes passende foranstaltninger til at beskytte den registreredes legitime interesser, som f.eks. retten til menneskelig indgriben, eller

b)

er hjemlet i EU-retten eller medlemsstatens lovgivning, der også fastsætter tilstrækkelige bestemmelser til beskyttelse af den registreredes legitime interesser, eller

c)

er baseret på den registreredes samtykke med forbehold af bestemmelserne i artikel 7 og passende garantier.

a)

beskyttelse af den offentlige sikkerhed

b)

forebyggelse, efterforskning, opdagelse og retsforfølgning i straffesager

c)

beskyttelse af Unionens eller en medlemsstats andre samfundsinteresser, navnlig væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender og beskyttelsen af markedets stabilitet og integritet

d)

forebyggelse, efterforskning, opdagelse og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv

e)

kontrol-, tilsyns- eller reguleringsfunktioner, selv af midlertidig karakter, der er et som led i den offentlige myndighedsudøvelse en kompetent offentlig myndigheds arbejde i de tilfælde, der er nævnt i litra a)-d)

f)

beskyttelse af den registreredes interesser eller andres rettigheder og frihedsrettigheder.

a)

de formål, der søges opnået med behandlingen

b)

fastlæggelse af begrebet dataansvarlig

c)

behandlingens specifikke formål og hjælpemidler

d)

foranstaltninger for at undgå misbrug eller ulovlig adgang eller overførsel

e)

registreredes ret til information om begrænsningen.

a)

opbevaring af dokumentation i overensstemmelse med artikel 28

b)

gennemførelse af datasikkerhedskrav som fastsat i artikel 30

c)

gennemførelse af konsekvensanalyser vedrørende databeskyttelse i henhold til artikel 33

d)

overholdelse af kravene om forudgående godkendelse eller høring af tilsynsmyndigheden i henhold til artikel 34, stk. 1 og 2

e)

udpegning af en databeskyttelsesansvarlig i henhold til artikel 35, stk. 1.

a)

en registeransvarlig dataansvarlig i et tredjeland, hvor Kommissionen har afgjort, at dette tredjeland sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 41

b)

virksomheder, der beskæftiger under 250 personer en dataansvarlig, der behandler personoplysninger vedrørende færre end 5 000 registrerede over en sammenhængende periode på 12 måneder, og som ikke behandler særlige kategorier af personoplysninger, der er omhandlet i artikel 9, stk. 1, lokaliseringsoplysninger eller oplysninger om børn eller medarbejdere i omfattende registre

c)

offentlige myndigheder eller organer

d)

en registeransvarlig dataansvarlig , der kun lejlighedsvis tilbyder varer eller tjenester til registrerede, der er bosiddende i Unionen , medmindre behandlingen af personoplysninger vedrører særlige kategorier af personoplysninger, som er omhandlet i artikel 9, stk. 1, lokaliseringsoplysninger eller oplysninger om børn eller medarbejdere i omfattende registre .

a)

kun handler behandler personoplysninger efter instruks fra den registeransvarlige, navnlig hvis videregivelse af de anvendte personoplysninger er forbudt dataansvarlige, medmindre andet er fastsat i EU-lovgivningen eller medlemsstaternes lovgivning

b)

kun beskæftiger personale, som har forpligtet sig til at overholde en tavshedspligt eller i henhold til lovgivningen er underlagt tavshedspligt

c)

iværksætter alle krævede foranstaltninger i henhold til artikel 30

d)

fastlægger betingelserne for kun gør at gøre brug af en anden registerfører databehandler med den registeransvarliges dataansvarliges forudgående tilladelse , medmindre andet er fastlagt

e)

for så vidt det er muligt i betragtning af behandlingens karakter, efter aftale med den registeransvarlige dataansvarlige tilvejebringer de nødvendige passende og relevante tekniske og organisatoriske forudsætninger for opfyldelsen af den registeransvarliges dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af den registreredes rettigheder som fastsat i kapitel III

f)

bistår den registeransvarlige dataansvarlige i indsatsen for at sikre, at kravene i henhold til artikel 30-34 overholdes , under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for behandleren

g)

overdrager leverer alle resultater tilbage til den registeransvarlige dataansvarlige efter afslutningen af behandlingen og, ikke senere behandler personoplysningerne og sletter eksisterende kopier, medmindre det i Unionens eller medlemsstaternes lovgivning kræves, at oplysningerne opbevares

h)

stiller alle informationer, der er nødvendige for at kontrollere påvise overholdelsen af kravene i denne artikel, til rådighed for den registeransvarlige og tilsynsmyndigheden dataansvarlige og giver mulighed for kontroller på stedet .

a)

navn og kontaktoplysninger for den registeransvarlige dataansvarlige eller den fælles registeransvarlige dataansvarlige og dennes eventuelle repræsentant

b)

navn og kontaktoplysninger for den eventuelle databeskyttelsesansvarlige

c)

formålene med behandlingen, herunder de legitime interesser, der forfølges af den registeransvarlige, såfremt behandlingen er baseret på artikel 6, stk. 1, litra f)

d)

en beskrivelse af kategorierne af registrerede og de kategorier af personoplysninger, der vedrører dem

e)

modtagerne eller kategorierne af modtagere af personoplysningerne, herunder registeransvarlige navn og kontaktoplysninger for de dataansvarlige , som eventuelle personoplysninger videregives til som led i de legitime interesser, de forfølger

f)

eventuelle videregivelser af personoplysninger til et tredjeland eller en international organisation, herunder identifikation af dette tredjeland eller denne internationale organisation, og i tilfælde af videregivelser i henhold til artikel 44, stk. 1, litra h), dokumentation af fornødne garantier

g)

en generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger

h)

en beskrivelse af de mekanismer, der er omhandlet i artikel 22, stk. 3.

a)

en fysisk person, der behandler personoplysninger uden kommerciel interesse

b)

en virksomhed eller organisation, der beskæftiger under 250 personer, og som udelukkende behandler personoplysninger som en aktivitet i tilknytning til dens hovedaktiviteter.

a)

evnen til at sikre, at personoplysningers integritet valideres

b)

evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed i forbindelse med de systemer og tjenester, der anvendes til behandling af personoplysninger

c)

evnen til rettidigt at genoprette tilgængeligheden af og adgangen til oplysninger i tilfælde af en fysisk eller teknisk hændelse, der har en indvirkning på informationssystemernes og -tjenesternes tilgængelighed, integritet og fortrolighed

d)

yderligere sikkerhedsforanstaltninger i tilfælde af behandling af følsomme personoplysninger i henhold til artikel 8 og 9 med henblik på at sikre situationskendskabet til risici og evnen til at træffe forebyggende, korrigerende og afhjælpende foranstaltninger i næsten realtid mod påviste svagheder eller hændelser, som kan udgøre en risiko for oplysningerne

e)

en procedure til regelmæssig afprøvning, vurdering og evaluering af effektiviteten af fastlagte sikkerhedspolitikker, -procedurer og -planer for at sikre fortsat effektivitet.

a)

sikre, at det udelukkende er autoriseret personale, der kan få adgang til personoplysninger til lovlige formål

b)

beskytte lagrede eller sendte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab eller ændring og ubeføjet eller ulovlig lagring, behandling, adgang eller videregivelse og

c)

sikre gennemførelsen af en sikkerhedspolitik for behandling af personoplysninger.

a)

at forhindre ubeføjet adgang til personoplysninger

b)

at forhindre ubeføjet videregivelse, læsning, kopiering, ændring, sletning eller fjernelse af personoplysninger

c)

at sikre kontrol af behandlingens lovlighed.

a)

beskrive karakteren af bruddet på persondatasikkerheden, herunder kategorierne og antallet af berørte registrerede samt kategorierne og antallet af berørte registreringer

b)

angive identitet og kontaktoplysninger for den databeskyttelsesansvarlige eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes

c)

anbefale foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på persondatasikkerheden

d)

beskrive konsekvenserne af bruddet på persondatasikkerheden

e)

beskrive de foranstaltninger, som den registeransvarlige dataansvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden og mindske konsekvenserne heraf .

a)

behandling af personoplysninger vedrørende mere end 5 000 registrerede over en sammenhængende periode på 12 måneder

b)

behandling af særlige kategorier af personoplysninger, som er omhandlet i artikel 9, stk. 1, lokaliseringsoplysninger eller oplysninger om børn eller medarbejdere i omfattende registre

c)

profilering, hvorpå foranstaltninger er baseret, og som har retsvirkning for den pågældende fysiske person eller på tilsvarende vis påvirker den fysiske person i væsentlig grad

d)

behandling af personoplysninger med henblik på levering af sundhedsydelser, epidemiologisk forskning eller undersøgelse af psykiske eller smitsomme sygdomme, hvis oplysningerne behandles med det formål at træffe foranstaltninger eller beslutninger vedrørende omfattende grupper af specifikke fysiske personer

e)

omfattende automatisk overvågning af offentligt tilgængelige områder

f)

andre behandlingsaktiviteter, hvor høring af den databeskyttelsesansvarlige eller tilsynsmyndigheden er påkrævet i henhold til artikel 34, stk. 2, litra b)

g)

såfremt et brud på persondatasikkerheden kan forventes at krænke beskyttelsen af den registreredes personoplysninger, privatliv, rettigheder eller legitime interesser

h)

den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede

i)

såfremt personoplysninger stilles tilgængelige for et antal personer, som ikke med rimelighed kan forventes at være begrænset.

a)

viser, at én af behandlingsaktiviteterne i stk. 2, litra a) eller b), finder sted, udpeger de dataansvarlige, der ikke er etableret i Unionen, en repræsentant i Unionen i overensstemmelse med de krav og undtagelser, der er fastlagt i artikel 25

b)

viser, at én af behandlingsaktiviteterne i stk. 2, litra a), b) eller h), finder sted, udpeger den dataansvarlige en databeskyttelsesansvarlig i overensstemmelse med de krav og undtagelser, der er fastlagt i artikel 35

c)

viser, at én af behandlingsaktiviteterne i stk. 2, litra a), b), c), d), e), f), g) eller h), finder sted, gennemfører den dataansvarlige eller den databehandler, som handler på den dataansvarliges vegne, en konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 33

d)

viser, at behandlingsaktiviteterne i stk. 2, litra f), finder sted, hører den dataansvarlige den databeskyttelsesansvarlige eller, hvis en databeskyttelsesansvarlig ikke er blevet udpeget, tilsynsmyndigheden i henhold til artikel 34.

a)

systematisk og omfattende evaluering af personlige aspekter vedrørende en fysisk person eller med henblik på analyse eller forudsigelse af en fysisk persons økonomiske situation, lokalitet, sundhed, personlige præferencer, pålidelighed eller adfærd baseret på elektronisk databehandling, som kan resultere i foranstaltninger, der har retsvirkning for vedkommende eller berører vedkommende i væsentlig grad

b)

oplysninger om seksuelle forhold, helbred, race og etnisk oprindelse eller med henblik på ydelse af sundhedsydelser, epidemiologisk forskning eller undersøgelse af psykiske eller smitsomme sygdomme, hvis oplysningerne behandles med det formål at træffe foranstaltninger eller beslutninger vedrørende omfattende grupper af specifikke personer

c)

overvågning af offentligt tilgængelige områder, navnlig ved omfattende brug af optoelektronisk udstyr (videoovervågning)

d)

personoplysninger i omfattende registre vedrørende børn, genetiske data eller biometriske data

e)

andre former for behandling, hvor høring af tilsynsmyndigheden er påkrævet i henhold til artikel 34, stk. 2, litra b).

a)

en systematisk beskrivelse af de planlagte behandlingsaktiviteter, formålene med behandlingen og eventuelt de legitime interesser, der forfølges af den dataansvarlige

b)

en analyse af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til målene

c)

en analyse af risiciene for registreredes rettigheder og frihedsrettigheder, herunder risikoen for, at diskrimination indlejres i eller forstærkes af aktiviteten

d)

en beskrivelse af de foranstaltninger, der er nødvendige for at afhjælpe disse risici og minimere den behandlede mængde personoplysninger

e)

en liste over garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelsen af personoplysninger, herunder pseudonymisering, og påvise overensstemmelse med denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

f)

en generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger

g)

en redegørelse for, hvilke former for praksis om indbygget databeskyttelse og databeskyttelse gennem indstillinger som omhandlet i artikel 23 der er gennemført

h)

en liste over modtagerne eller kategorierne af modtagere af personoplysninger

i)

en eventuel liste over de planlagte videregivelser af personoplysninger til et tredjeland eller en international organisation, herunder identifikation af dette tredjeland eller denne internationale organisation

j)

en analyse af den sammenhæng, i hvilken behandlingen af personoplysninger foretages.

a)

en konsekvensanalyse vedrørende databeskyttelse udført i henhold til artikel 33 viser, at en behandling i medfør af dens karakter, omfang eller formål kan indebære store konkrete risici, eller

b)

den databeskyttelsesansvarlige eller tilsynsmyndigheden vurderer, at det er nødvendigt at udføre en forudgående høring vedrørende en behandling, der sandsynligvis kan indebære specifikke risici for registreredes rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål, og som er angivet i henhold til stk. 4.

a)

behandlingen foretages af en offentlig myndighed eller et offentligt organ, eller

b)

behandlingen foretages af en virksomhed, der beskæftiger mindst 250 personer, juridisk person og vedrører mere end 5 000 registrerede over en sammenhængende periode på 12 måneder eller

c)

den registeransvarliges dataansvarliges eller registerførerens databehandlerens kerneaktiviteter består af behandling behandlingsaktiviteter , der i medfør af dens deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede , eller

d)

den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling af særlige kategorier af personoplysninger i henhold til artikel 9, stk. 1, lokaliseringsoplysninger eller oplysninger om børn eller medarbejdere i omfattende registre .

a)

at øge bevidstheden, underrette og rådgive den registeransvarlige dataansvarlige eller registerføreren databehandleren om deres forpligtelser i henhold til denne forordning , navnlig tekniske og organisatoriske foranstaltninger og procedurer, eller at dokumentere denne aktivitet og de modtagne reaktioner

b)

at overvåge gennemførelsen og anvendelsen af den registeransvarliges dataansvarliges eller registerførerens databehandlerens regler om beskyttelse af personoplysninger, herunder fordeling af ansvar, uddannelse af det personale, der medvirker ved databehandlingen, og de tilhørende kontroller

c)

at kontrollere gennemførelsen og anvendelsen af denne forordning, navnlig med hensyn til kravene vedrørende indbygget databeskyttelse, databeskyttelse gennem indstillinger og datasikkerhed og oplysninger til registrerede og deres anmodninger i forbindelse med udøvelsen af deres rettigheder i henhold til denne forordning

d)

at sikre vedligeholdelse af dokumentation, jf. artikel 28

e)

at kontrollere dokumentation, anmeldelse og meddelelser vedrørende brud på persondatasikkerheden i henhold til artikel 31 og 32

f)

at kontrollere den registeransvarliges dataansvarliges eller registerførerens databehandlerens gennemførelse af konsekvensanalyser vedrørende databeskyttelse og anvendelsen af forudgående godkendelse eller høring, hvis det kræves i henhold til artikel 32a, 33 og 34

g)

at kontrollere besvarelsen af anmodninger fra tilsynsmyndigheden og inden for rammerne af den databeskyttelsesansvarliges beføjelser at samarbejde med tilsynsmyndigheden på dennes anmodning eller på eget initiativ

h)

at fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling og på eget initiativ og efter behov rådføre sig med tilsynsmyndigheden

i)

at kontrollere, at denne forordning overholdes for så vidt angår den forudgående høring som fastlagt i artikel 34

j)

at oplyse medarbejderrepræsentanterne om behandling af medarbejderes personoplysninger .

a)

loyal og gennemsigtig databehandling

aa)

overholdelse af forbrugerrettighederne

b)

dataindsamling

c)

information til offentligheden og registrerede

d)

anmodninger fra registrerede i forbindelse med udøvelsen af deres rettigheder

e)

information og beskyttelse af børn

f)

videregivelse af personoplysninger til tredjelande eller internationale organisationer

g)