1.   I denne forordning fastsættes regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner og organer og regler om fri udveksling af personoplysninger mellem disse eller med andre modtagere, der er etableret i Unionen.

2.   Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger.

3.   Den Europæiske Tilsynsførende for Databeskyttelse fører tilsyn med anvendelsen af bestemmelserne i denne forordning på alle behandlingsaktiviteter, der udføres af en af Unionens institutioner eller et af Unionens organer.

1.   Denne forordning finder anvendelse på behandling af personoplysninger i alle Unionens institutioner og organer.

2.   Kun denne forordnings artikel 3 og kapitel IX finder anvendelse på behandling af operationelle personoplysninger i Unionens organer, kontorer og agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF.

3.   Nærværende forordning finder ikke anvendelse på Europols og Den Europæiske Anklagemyndigheds behandling af operationelle personoplysninger, førend Europa-Parlamentets og Rådets forordning (EU) 2016/794 (15) og Rådets forordning (EU) 2017/1939 (16) er tilpasset i overensstemmelse med nærværende forordnings artikel 98.

4.   Denne forordning finder ikke anvendelse på behandling af personoplysninger i de missioner, der er omhandlet i artikel 42, stk. 1, og artikel 43 og 44 i TEU.

5.   Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

1.   Personoplysninger skal:

2.   Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).

1.   Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

2.   Grundlaget for behandlingen i stk. 1, litra a) og b), fastsættes i EU-retten.

1.   Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.

2.   Hvis den registreredes samtykke gives i form af en skriftlig erklæring, der også vedrører andre forhold, skal en anmodning om samtykke forelægges på en måde, som klart kan skelnes fra de andre forhold, i en letforståelig og lettilgængelig form og i et klart og enkelt sprog. Enhver del af en sådan erklæring, som udgør en overtrædelse af denne forordning, er ikke bindende.

3.   Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke berører ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækningen. Inden der gives samtykke, skal den registrerede underrettes om, at samtykket kan trækkes tilbage. Det skal være lige så let at trække sit samtykke tilbage som at give det.

4.   Ved vurderingen af, om samtykke er givet frit, tages der størst muligt hensyn til, bl.a. om opfyldelsen af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt.

1.   Hvis artikel 5, stk. 1, litra d), finder anvendelse i forbindelse med udbud af informationssamfundstjenester direkte til børn, er behandling af personoplysninger om et barn lovlig, hvis barnet er mindst 13 år. Er barnet under 13 år, er sådan behandling kun lovlig, hvis og i det omfang samtykke gives eller godkendes af indehaveren af forældremyndigheden over barnet.

2.   Under hensyntagen til den tilgængelige teknologi skal den dataansvarlige gøre sig rimelige bestræbelser på i sådanne tilfælde at kontrollere, at indehaveren af forældremyndigheden over barnet har givet eller godkendt samtykket.

3.   Stk. 1 berører ikke medlemsstaternes generelle aftaleret, som f.eks. bestemmelser om gyldighed, indgåelse eller virkning af en kontrakt, når der er tale om et barn.

1.   Uden at det berører artikel 4-6 og 10, fremsendes personoplysninger kun til andre modtagere, der er etableret i Unionen, end Unionens institutioner og organer, hvis:

2.   Hvis den dataansvarlige tager initiativ til fremsendelsen efter denne artikel, påviser denne, at fremsendelsen af personoplysninger er nødvendig og står i et rimeligt forhold til formålene med fremsendelsen, på grundlag af kriterierne i stk. 1, litra a) eller b).

3.   Unionens institutioner og organer skal forene retten til beskyttelse af personoplysninger med retten til aktindsigt i overensstemmelse med EU-retten.

1.   Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.

2.   Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende:

3.   Personoplysninger som omhandlet i stk. 1 kan behandles til de formål, der er omhandlet i stk. 2, litra h), hvis disse oplysninger behandles af en fagperson, der har tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret eller regler, der er fastsat af nationale kompetente organer, eller under en sådan persons ansvar, eller af en anden person, der også har tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret eller regler, der er fastsat af kompetente nationale organer.

1.   Hvis formålene med en dataansvarligs behandling af personoplysninger ikke kræver eller ikke længere kræver, at den registrerede kan identificeres af den dataansvarlige, er den dataansvarlige ikke forpligtet til at beholde, indhente eller behandle yderligere oplysninger for at kunne identificere den registrerede alene med det formål at overholde denne forordning.

2.   Hvis den dataansvarlige i de tilfælde, der er omhandlet i denne artikels stk. 1, kan påvise, at vedkommende ikke kan identificere den registrerede, underretter den dataansvarlige den registrerede herom, hvis det er muligt. I sådanne tilfælde finder artikel 17-22 ikke anvendelse, medmindre den registrerede for at udøve sine rettigheder i henhold til disse artikler giver yderligere oplysninger, der gør det muligt at identificere den pågældende.

1.   Den dataansvarlige træffer passende foranstaltninger til at give enhver oplysning som omhandlet i artikel 15 og 16 og enhver meddelelse i henhold til artikel 17-24 og artikel 35 om behandling til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog, navnlig når oplysninger specifikt er rettet mod et barn. Oplysningerne gives skriftligt eller med andre midler, herunder, hvis det er hensigtsmæssigt, elektronisk. Når den registrerede anmoder om det, kan oplysningerne gives mundtligt, forudsat at den registreredes identitet påvises med andre midler.

2.   Den dataansvarlige letter udøvelsen af den registreredes rettigheder i henhold til artikel 17-24. I de tilfælde, der er omhandlet i artikel 12, stk. 2, må den dataansvarlige ikke afvise at efterkomme den registreredes anmodning om at udøve sine rettigheder i henhold til artikel 17-24, medmindre den dataansvarlige påviser, at vedkommende ikke er i stand til at identificere den registrerede.

3.   Den dataansvarlige oplyser uden unødig forsinkelse og i alle tilfælde senest en måned efter modtagelsen af anmodningen den registrerede om foranstaltninger, der træffes på baggrund af en anmodning i henhold til artikel 17-24. Denne periode kan om nødvendigt forlænges med to måneder under hensyntagen til anmodningernes kompleksitet og antal. Den dataansvarlige underretter den registrerede om enhver sådan forlængelse senest en måned efter modtagelsen af anmodningen sammen med begrundelsen for forsinkelsen. Hvis den registrerede indgiver en anmodning elektronisk, meddeles oplysningerne så vidt muligt elektronisk, medmindre den registrerede anmoder om andet.

4.   Hvis den dataansvarlige ikke træffer foranstaltninger i anledning af den registreredes anmodning, underretter den dataansvarlige straks og senest en måned efter modtagelsen af anmodningen den registrerede om årsagen hertil og om muligheden for at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse og indbringe sagen for en retsinstans.

5.   Oplysninger, der gives i henhold til artikel 15 og 16, og enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 17-24 og artikel 35, er gratis. Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige afvise at efterkomme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven, påhviler den dataansvarlige.

6.   Uden at det berører artikel 12 kan den dataansvarlige, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der fremsætter en anmodning som omhandlet i artikel 17-23, anmode om yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.

7.   De oplysninger, der skal gives til registrerede i henhold til artikel 15 og 16, kan gives sammen med standardiserede ikoner for at give et meningsfuldt overblik over den planlagte behandling på en klart synlig, letforståelig og letlæselig måde. Hvis ikonerne præsenteres elektronisk, skal de være maskinlæsbare.

8.   Hvis Kommissionen vedtager delegerede retsakter i henhold til artikel 12, stk. 8, i forordning (EU) 2016/679, der fastlægger de oplysninger, som skal fremgå af ikonerne og procedurerne for tilvejebringelse af standardiserede ikoner, tilvejebringer Unionens institutioner og organer, hvor det er relevant, de oplysninger, der er omhandlet i nærværende forordnings artikel 15 og 16, sammen med sådanne standardiserede ikoner.

1.   Hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede alle følgende oplysninger:

2.   Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede følgende yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling:

3.   Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål og andre relevante yderligere oplysninger, jf. stk. 2.

4.   Stk. 1, 2 og 3 finder ikke anvendelse, hvis og i det omfang den registrerede allerede er bekendt med oplysningerne.

1.   Hvis personoplysningerne ikke er indsamlet hos den registrerede, giver den dataansvarlige den registrerede følgende oplysninger:

2.   Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige den registrerede følgende yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede:

3.   Den dataansvarlige giver de oplysninger, der er omhandlet i stk. 1 og 2:

4.   Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål samt andre relevante yderligere oplysninger, jf. stk. 2.

5.   Stk. 1-4 finder ikke anvendelse, hvis og i det omfang:

6.   I de tilfælde, der er omhandlet i stk. 5, litra b), træffer den dataansvarlige passende foranstaltninger til at beskytte den registreredes rettigheder og frihedsrettigheder og legitime interesser, herunder gøre oplysningerne offentligt tilgængelige.

1.   Den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information:

2.   Hvis personoplysningerne overføres til et tredjeland eller en international organisation, har den registrerede ret til at blive underrettet om de fornødne garantier i medfør af artikel 48 i forbindelse med overførslen.

3.   Den dataansvarlige udleverer en kopi af de personoplysninger, der behandles. Hvis den registrerede indgiver anmodningen elektronisk, og medmindre den registrerede anmoder om andet, udleveres oplysningerne i en almindeligt anvendt elektronisk form.

4.   Retten til at modtage en kopi som omhandlet i stk. 3 må ikke krænke andres rettigheder og frihedsrettigheder.

1.   Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende:

2.   Hvis den dataansvarlige har offentliggjort personoplysningerne og i henhold til stk. 1 er forpligtet til at slette personoplysningerne, træffer den dataansvarlige under hensyntagen til den teknologi, der er tilgængelig, og omkostningerne ved implementeringen, rimelige foranstaltninger, herunder tekniske foranstaltninger, til at underrette de dataansvarlige, eller andre dataansvarlige end Unionens institutioner og organer, som behandler personoplysningerne, om, at den registrerede har anmodet disse dataansvarlige om at slette alle link til eller kopier eller gengivelser af de pågældende personoplysninger.

3.   Stk. 1 og 2 finder ikke anvendelse, i det omfang denne behandling er nødvendig:

1.   Den registrerede har ret til fra den dataansvarlige at opnå begrænsning af behandling, hvis et af følgende forhold gør sig gældende:

2.   Hvis behandling er blevet begrænset i medfør af stk. 1, må sådanne personoplysninger, bortset fra opbevaring, kun behandles med den registreredes samtykke eller med henblik på, at et retskrav kan fastlægges, gøres gældende eller forsvares eller for at beskytte en anden fysisk eller juridisk person eller af hensyn til Unionens eller en medlemsstats vigtige samfundsinteresser.

3.   En registreret, der har opnået begrænsning af behandling i medfør af stk. 1, underrettes af den dataansvarlige, inden begrænsningen af behandlingen ophæves.

4.   I automatiske registre begrænses behandling i princippet ved hjælp af tekniske hjælpemidler. Det forhold, at personoplysninger er begrænset, angives i registret på en sådan måde, at det klart fremgår, at personoplysningerne ikke må benyttes.

1.   Den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, og har ret til at fremsende disse oplysninger til en anden dataansvarlig uden hindring fra den dataansvarlige, som personoplysningerne er blevet givet til, når:

2.   Når den registrerede udøver sin ret til dataportabilitet i henhold til stk. 1, har den registrerede ret til at få fremsendt personoplysningerne direkte fra en dataansvarlig til en anden eller til andre dataansvarlige end Unionens institutioner og organer, hvis det er teknisk muligt.

3.   Udøvelsen af den ret, der er omhandlet i stk. 1 i denne artikel, berører ikke artikel 19. Den nævnte ret finder ikke anvendelse på behandling, der er nødvendig for udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

4.   Den ret, der er omhandlet i stk. 1, må ikke krænke andres rettigheder eller frihedsrettigheder.

1.   Den registrerede har til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af sine personoplysninger baseret på artikel 5, stk. 1, litra a), herunder profilering baseret på denne bestemmelse. Den dataansvarlige må ikke længere behandle personoplysningerne, medmindre den dataansvarlige påviser vægtige legitime grunde til behandlingen, der går forud for registreredes interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.

2.   Senest på tidspunktet for den første kommunikation med den registrerede skal denne udtrykkeligt gøres opmærksom på den ret, der er omhandlet i stk. 1, og oplysninger herom skal meddeles klart og adskilt fra alle andre oplysninger.

3.   I forbindelse med anvendelse af informationssamfundstjenester kan den registrerede udøve sin ret til indsigelse gennem automatiske midler ved brug af tekniske specifikationer, jf. dog artikel 36 og 37.

4.   Hvis personoplysninger behandles med henblik på videnskabelige eller historiske forskningsformål eller statistiske formål, har den registrerede ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af personoplysninger vedrørende den pågældende, medmindre behandlingen er nødvendig for at udføre en opgave i samfundets interesse.

1.   Den registrerede har ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende.

2.   Stk. 1 finder ikke anvendelse, hvis afgørelsen:

3.   I de tilfælde, der er omhandlet i stk. 2, litra a) og c), gennemfører den dataansvarlige passende foranstaltninger til at beskytte den registreredes rettigheder og frihedsrettigheder samt legitime interesser, i det mindste den registreredes ret til menneskelig indgriben fra den dataansvarliges side, til at tilkendegive sine synspunkter og til at bestride afgørelsen.

4.   De afgørelser, der er omhandlet i denne artikels stk. 2, må ikke baseres på særlige kategorier af personoplysninger, jf. artikel 10, stk. 1, medmindre artikel 10, stk. 2, litra a) eller g), finder anvendelse, og der er indført passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser.

1.   Retsakter vedtaget på grundlag af traktaterne eller, i spørgsmål vedrørende Unionens institutioner og organer, interne regler, som disse har fastsat, kan begrænse anvendelsen af artikel 14-22, 35 og 36, samt artikel 4, for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 14-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:

2.   Navnlig skal enhver retsakt eller intern regel, der er omhandlet i stk. 1, hvor det er relevant, indeholde specifikke bestemmelser vedrørende:

3.   Når personoplysninger behandles til videnskabelige eller historiske forskningsformål eller til statistiske formål, kan EU-retten, der kan omfatte interne regler vedtaget af Unionens institutioner og organer i spørgsmål vedrørende deres funktion, fastsætte undtagelser fra de rettigheder, der er omhandlet i artikel 17, 18, 20 og 23, under iagttagelse af de betingelser og garantier, der er omhandlet i artikel 13, såfremt sådanne rettigheder sandsynligvis vil umuliggøre eller i alvorlig grad hindre opfyldelse af de specifikke formål, og sådanne undtagelser er nødvendige for at opfylde formålene.

4.   Når personoplysninger behandles til arkivformål i samfundets interesse, kan EU-retten, der kan omfatte interne regler vedtaget af Unionens institutioner og organer i spørgsmål vedrørende deres funktion, fastsætte undtagelser fra de rettigheder, der er omhandlet i artikel 17, 18, 20, 21, 22 og 23, under iagttagelse af de betingelser og garantier, der er omhandlet i artikel 13, såfremt sådanne rettigheder sandsynligvis vil umuliggøre eller i alvorlig grad hindre opfyldelse af de specifikke formål, og sådanne undtagelser er nødvendige for at opfylde formålene.

5.   De interne regler, der er omhandlet i stk. 1, 3 og 4, skal have form af klare og præcise almengyldige retsakter med retsvirkning over for registrerede og vedtaget på højeste forvaltningsniveau i Unionens institutioner og organer og skal offentliggøres i Den Europæiske Unions Tidende.

6.   Hvis der pålægges en begrænsning som omhandlet i stk. 1, underrettes den registrerede i overensstemmelse med EU-retten om de vigtigste bevæggrunde, der ligger til grund for anvendelsen af begrænsningen, og om sin ret til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse.

7.   Hvis en begrænsning, der er pålagt i henhold til stk. 1, påberåbes for at nægte den registrerede adgang til indsigt, underretter Den Europæiske Tilsynsførende for Databeskyttelse, når vedkommende undersøger klagen, kun den registrerede om, hvorvidt oplysningerne er behandlet korrekt, og, hvis dette ikke er tilfældet, hvorvidt de nødvendige korrektioner er foretaget.

8.   Den bestemmelse om underretning, der er omhandlet i nærværende artikels stk. 6 og 7 og i artikel 45, stk. 2, kan udsættes, udelades eller afvises, hvis den ville ophæve virkningen af den pålagte begrænsning, jf. nærværende artikels stk. 1.

1.   Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres.

2.   Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker.

3.   Overholdelse af godkendte certificeringsmekanismer som omhandlet i artikel 42 i forordning (EU) 2016/679 kan bruges som et element til at påvise overholdelse af den dataansvarliges forpligtelser.

1.   Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.

2.   Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder for den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.

3.   En godkendt certificeringsmekanisme i medfør af artikel 42 i forordning (EU) 2016/679 kan bruges som et element til at påvise overholdelse af kravene i nærværende artikels stk. 1 og 2.

1.   Når to eller flere dataansvarlige eller en eller flere dataansvarlige sammen med en eller flere andre dataansvarlige end Unionens institutioner og organer, i fællesskab afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling, er de fælles dataansvarlige. De fastlægger på en gennemsigtig måde deres respektive ansvar for overholdelse af deres databeskyttelsesforpligtelser, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 15 og 16, ved hjælp af en ordning mellem dem, medmindre og i det omfang de fælles dataansvarliges respektive ansvar er fastlagt i EU-retten eller medlemsstaternes nationale ret, som de fælles dataansvarlige er underlagt. I ordningen kan der udpeges et kontaktpunkt for registrerede.

2.   Ordningen, der er omhandlet i stk. 1, skal på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal gøres tilgængeligt for de registrerede.

3.   Uanset udformningen af den ordning, der er omhandlet i stk. 1, kan den registrerede udøve sine rettigheder i medfør af denne forordning med hensyn til og over for den enkelte dataansvarlige.

1.   Hvis en behandling skal foretages på vegne af en dataansvarlig, benytter den dataansvarlige udelukkende databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder.

2.   Databehandleren må ikke gøre brug af en anden databehandler uden forudgående specifik eller generel skriftligt godkendelse fra den dataansvarlige. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

3.   En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og som fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Denne kontrakt eller dette andet retlige dokument fastsætter navnlig, at databehandleren:

For så vidt angår første afsnits litra h) underretter databehandleren omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

4.   Gør en databehandler brug af en anden databehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, pålægges denne anden databehandler de samme databeskyttelsesforpligtelser som dem, der er fastsat i kontrakten eller et andet retligt dokument mellem den dataansvarlige og databehandleren som omhandlet i stk. 3, gennem en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i denne forordning. Hvis denne anden databehandler ikke opfylder sine databeskyttelsesforpligtelser, forbliver den oprindelige databehandler fuldt ansvarlig over for den dataansvarlige med hensyn til opfyldelsen af denne anden databehandlers forpligtelser.

5.   Når en databehandler ikke er en af Unionens institutioner eller et af Unionens organer, kan denne databehandlers overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40, stk. 5, i forordning (EU) 2016/679 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 i forordning (EU) 2016/679 bruges som et element til at påvise fornødne garantier som omhandlet i nærværende artikels stk. 1 og 4.

6.   Uden at det berører en eventuel individuel kontrakt mellem den dataansvarlige og databehandleren, kan kontrakten eller det andet retlige dokument, der er omhandlet i denne artikels stk. 3 og 4, helt eller delvis baseres på de standardkontraktbestemmelser, der er omhandlet i denne artikels stk. 7 og 8, herunder når de indgår i en certificering, der er meddelt den dataansvarlige bortset fra en af Unionens institutioner eller et af Unionens organer, jf. artikel 42 i forordning (EU) 2016/679.

7.   Kommissionen kan fastsætte standardkontraktbestemmelser i de tilfælde, der er omhandlet i denne artikels stk. 3 og 4, og i overensstemmelse med undersøgelsesproceduren, der er omhandlet i artikel 96, stk. 2.

8.   Den Europæiske Tilsynsførende for Databeskyttelse kan vedtage standardkontraktbestemmelser for de tilfælde, der er omhandlet i denne artikels stk. 3 og 4.

9.   Kontrakten eller det andet retlige dokument, der er omhandlet i stk. 3 og 4, skal foreligge skriftligt, herunder elektronisk.

10.   Hvis en databehandler overtræder denne forordning ved at fastlægge formålene med og hjælpemidlerne til behandling, anses databehandleren for at være en dataansvarlig for så vidt angår den pågældende behandling, uden at dette berører artikel 65 og 66.

1.   Hver dataansvarlig fører fortegnelser over de behandlingsaktiviteter, der udføres under vedkommendes ansvar. Disse fortegnelser skal omfatte alle følgende oplysninger:

2.   Hver databehandler fører fortegnelser over alle kategorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig, idet fortegnelsen skal indeholde:

3.   De fortegnelser, der er omhandlet i stk. 1 og 2, skal foreligge skriftligt, herunder elektronisk.

4.   Unionens institutioner og organer stiller fortegnelserne til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse efter anmodning.

5.   Medmindre det ikke er hensigtsmæssigt under hensyntagen til den eller det pågældende af Unionens institutioners eller organers størrelse, fører Unionens institutioner og organer deres fortegnelser over behandlingsaktiviteter i et centralt register. De gør registret offentligt tilgængeligt.

1.   Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:

2.   Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandlingen udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er fremsendt, opbevaret eller på anden måde behandlet.

3.   Den dataansvarlige og databehandleren tager skridt til at sikre, at enhver fysisk person, der udfører arbejde for den dataansvarlige eller databehandleren, og som får adgang til personoplysninger, kun behandler disse efter instruks fra den dataansvarlige, medmindre behandling kræves i henhold til EU-retten.

4.   Overholdelse af en godkendt certificeringsmekanisme som omhandlet i artikel 42 i forordning (EU) 2016/679 kan bruges som et element til at påvise overholdelse af kravene i nærværende artikels stk. 1.

1.   Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til Den Europæiske Tilsynsførende for Databeskyttelse, medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til Den Europæiske Tilsynsførende for Databeskyttelse ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.

2.   Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden.

3.   Den i stk. 1 omhandlede anmeldelse skal mindst:

4.   Når og for så vidt som det ikke er muligt at give oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.

5.   Den dataansvarlige underretter databeskyttelsesrådgiveren om bruddet på persondatasikkerheden.

6.   Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte Den Europæiske Tilsynsførende for Databeskyttelse i stand til at kontrollere, at denne artikel er overholdt.

1.   Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

2.   Underretningen af den registrerede i henhold til i denne artikels stk. 1 skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 34, stk. 3, litra b), c) og d).

3.   Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis en af følgende betingelser er opfyldt:

4.   Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan Den Europæiske Tilsynsførende for Databeskyttelse efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.

1.   Personoplysninger i brugerfortegnelser og adgangen til sådanne fortegnelser begrænses til, hvad der er absolut nødvendigt for fortegnelsens særlige formål.

2.   Unionens institutioner og organer træffer alle nødvendige foranstaltninger til at sikre, at personoplysninger i disse fortegnelser, uanset om de er offentligt tilgængelige eller ej, ikke benyttes til direkte markedsføring.

1.   Hvis en type behandling, navnlig ved brug af nye teknologier, og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebærer lignende høje risici.

2.   Den dataansvarlige rådfører sig med databeskyttelsesrådgiveren, når der foretages en konsekvensanalyse vedrørende databeskyttelse.

3.   En konsekvensanalyse vedrørende databeskyttelse som omhandlet i stk. 1 er navnlig påkrævet i følgende tilfælde:

4.   Den Europæiske Tilsynsførende for Databeskyttelse udarbejder og offentliggør en liste over de typer af behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse i henhold til stk. 1.

5.   Den Europæiske Tilsynsførende for Databeskyttelse kan også udarbejde og offentliggøre en liste over de typer af behandlingsaktiviteter, for hvilke der ikke kræves nogen konsekvensanalyse vedrørende databeskyttelse.

6.   Inden vedtagelsen af de lister, der er omhandlet i nærværende artikels stk. 4 og 5, anmoder Den Europæiske Tilsynsførende for Databeskyttelse Det Europæiske Databeskyttelsesråd, der er oprettet ved artikel 68 i forordning (EU) 2016/679, om at undersøge disse lister i overensstemmelse med artikel 70, stk. 1, litra e), i nævnte forordning, hvis de omhandler behandlingsaktiviteter udført af en dataansvarlig, der handler sammen med en eller flere andre dataansvarlige end Unionens institutioner og organer.

7.   Analysen skal mindst omfatte:

8.   Der tages behørigt hensyn til, at de relevante dataansvarlige, bortset fra Unionens institutioner og organer, overholder godkendte adfærdskodekser, jf. artikel 40 i forordning (EU) 2016/679, ved vurderingen af konsekvenserne af de behandlingsaktiviteter, der udføres af de pågældende dataansvarlige, navnlig i forbindelse med en konsekvensanalyse vedrørende databeskyttelse.

9.   Den dataansvarlige indhenter, hvis det er relevant, de registreredes eller deres repræsentanters synspunkter vedrørende den planlagte behandling, uden at det berører beskyttelse af samfundsmæssige interesser eller behandlingsaktiviteternes sikkerhed.

10.   Hvis behandling i henhold til artikel 5, stk. 1, litra a) eller b), har hjemmel i en retsakt vedtaget på grundlag af traktaterne, der regulerer den eller de pågældende specifikke behandlingsaktiviteter, og der allerede er foretaget en konsekvensanalyse vedrørende databeskyttelse som led i en generel konsekvensanalyse inden vedtagelsen af denne retsakt, finder nærværende artikels stk. 1-6 ikke anvendelse, medmindre andet er fastsat i denne retsakt.

11.   Den dataansvarlige foretager, hvis det er nødvendigt, en fornyet gennemgang for at vurdere, hvorvidt behandling er foretaget i overensstemmelse med konsekvensanalysen vedrørende databeskyttelse, i det mindste når der er en ændring af den risiko, som behandlingsaktiviteterne udgør.

1.   Den dataansvarlige hører Den Europæiske Tilsynsførende for Databeskyttelse inden behandlingen, såfremt en konsekvensanalyse vedrørende databeskyttelse efter artikel 39 viser, at en behandling uden garantier, sikkerhedsforanstaltninger og mekanismer til at begrænse risikoen vil føre til en høj risiko for fysiske personers rettigheder og frihedsrettigheder, og den dataansvarlige mener, at risikoen ikke kan begrænses ved rimelige midler i lyset af den tilgængelig teknologi og gennemførelsesomkostningerne. Den dataansvarlige rådfører sig med databeskyttelsesrådgiveren om behovet for forudgående høring.

2.   Hvis Den Europæiske Tilsynsførende for Databeskyttelse finder, at den planlagte behandling som omhandlet i stk. 1 ville overtræde denne forordning, navnlig hvis den dataansvarlige ikke i tilstrækkelig grad har identificeret eller begrænset risikoen, giver Den Europæiske Tilsynsførende for Databeskyttelse inden for en periode på op til otte uger efter modtagelse af anmodningen om høring den dataansvarlige og, hvor det er relevant, databehandleren skriftlig rådgivning og kan i den forbindelse anvende enhver af sine beføjelser, jf. artikel 58. Denne periode kan forlænges med seks uger under hensyntagen til den påtænkte behandlings kompleksitet. Den Europæiske Tilsynsførende for Databeskyttelse underretter den dataansvarlige og, hvor det er relevant, databehandleren om enhver sådan forlængelse senest en måned efter modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen. Disse perioder kan suspenderes, indtil Den Europæiske Tilsynsførende for Databeskyttelse har modtaget de oplysninger, som denne har anmodet om med henblik på høringen.

3.   Når Den Europæiske Tilsynsførende for Databeskyttelse skal høres, jf. stk. 1, oplyser den dataansvarlige Den Europæiske Tilsynsførende for Databeskyttelse om følgende:

4.   Kommissionen kan ved hjælp af en gennemførelsesretsakt fastlægge en liste over tilfælde, hvor de dataansvarlige skal høre og indhente forudgående tilladelse fra Den Europæiske Tilsynsførende for Databeskyttelse i forbindelse med behandling af personoplysninger som led i den dataansvarliges udførelse af en opgave i samfundets interesse, herunder behandling af sådanne oplysninger i sager vedrørende social sikring og folkesundhed.

1.   Unionens institutioner og organer underretter Den Europæiske Tilsynsførende For Databeskyttelse om udarbejdelsen af administrative foranstaltninger og interne regler vedrørende en af Unionens institutioner eller et af Unionens organers behandling af personoplysninger, hvad enten dette sker alene eller sammen med andre.

2.   Unionens institutioner og organer hører Den Europæiske Tilsynsførende for Databeskyttelse om udarbejdelsen af de interne regler omhandlet i artikel 25.

1.   Efter vedtagelsen af forslag til en lovgivningsmæssig retsakt, af henstillinger eller af forslag til Rådet i henhold til artikel 218 i TEUF eller ved udarbejdelsen af delegerede retsakter eller gennemførelsesretsakter hører Kommissionen Den Europæiske Tilsynsførende for Databeskyttelse, hvis der sker en påvirkning af beskyttelsen af fysiske personers rettigheder og frihedsrettigheder med hensyn til behandlingen af personoplysninger.

2.   Når en retsakt som omhandlet i stk. 1 har særlig betydning for beskyttelsen af fysiske personers rettigheder og frihedsrettigheder med hensyn til behandlingen af personoplysninger, kan Kommissionen høre Det Europæiske Databeskyttelsesråd. I sådanne tilfælde koordinerer Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Databeskyttelsesråd deres arbejde med henblik på at afgive en fælles udtalelse.

3.   Den rådgivning, der er omhandlet i stk. 1 og 2, ydes skriftligt inden for en periode på op til otte uger efter modtagelse af anmodningen om høring, jf. stk. 1 og 2. I hastende tilfælde, eller når det ellers er hensigtsmæssigt, kan Kommissionen afkorte fristen.

4.   Denne artikel finder ikke anvendelse, når Kommissionen i medfør af forordning (EU) 2016/679 skal høre Det Europæiske Databeskyttelsesråd.

1.   Hver af Unionens institutioner og hvert af Unionens organer udpeger en databeskyttelsesrådgiver.

2.   Unionens institutioner og organer kan udpege en fælles databeskyttelsesrådgiver for flere af dem under hensyntagen til deres organisatoriske struktur og størrelse.

3.   Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 45.

4.   Databeskyttelsesrådgiveren er en medarbejder i den eller det pågældende af Unionens institutioner eller organer. Unionens institutioner og organer kan, idet der tages hensyn til deres størrelse, og såfremt der ikke er gjort brug af muligheden i henhold til stk. 2, udpege en databeskyttelsesrådgiver, der opfylder sit hverv på grundlag af en tjenesteydelseskontrakt.

5.   Unionens institutioner og organer offentliggør kontaktoplysningerne for databeskyttelsesrådgiveren og meddeler disse til Den Europæiske Tilsynsførende for Databeskyttelse.

1.   Unionens institutioner og organer sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.

2.   Unionens institutioner og organer støtter databeskyttelsesrådgiveren i forbindelse med udførelsen af de i artikel 45 omhandlede opgaver ved at tilvejebringe de ressourcer, der er nødvendige for at udføre disse opgaver og få adgang til personoplysninger og behandlingsaktiviteter, samt vedligeholde databeskyttelsesrådgiverens ekspertise.

3.   Unionens institutioner og organer sikrer, at databeskyttelsesrådgiveren ikke modtager instrukser vedrørende udførelsen af disse opgaver. Den pågældende må ikke afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver. Databeskyttelsesrådgiveren rapporterer direkte til det øverste ledelsesniveau hos den dataansvarlige eller databehandleren.

4.   Registrerede kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til denne forordning.

5.   Databeskyttelsesrådgiveren og dennes personale er underlagt tavshedspligt eller fortrolighed vedrørende udførelsen af deres opgaver i overensstemmelse med EU-retten.

6.   Databeskyttelsesrådgiveren kan udføre andre opgaver og have andre pligter. Den dataansvarlige eller databehandleren sikrer, at sådanne opgaver og pligter ikke medfører en interessekonflikt.

7.   Databeskyttelsesrådgiveren kan høres af den dataansvarlige og databehandleren, af det relevante personaleudvalg og af enhver fysisk person om ethvert spørgsmål, der vedrører fortolkningen eller anvendelsen af denne forordning, uden at nogen af disse skal gå gennem de officielle kanaler. Ingen må lide skade som følge af at have gjort den kompetente databeskyttelsesrådgiver opmærksom på en sag om påstået overtrædelse af bestemmelserne i denne forordning.

8.   Databeskyttelsesrådgiveren udpeges for en periode på tre til fem år og kan genudnævnes. Databeskyttelsesrådgiveren kan kun afskediges af den eller det af Unionens institutioner eller organer, som udpegede vedkommende, hvis den pågældende ikke længere opfylder de krav, der stilles for udførelsen af vedkommendes opgaver, og kun med samtykke fra Den Europæiske Tilsynsførende for Databeskyttelse.

9.   Efter vedkommendes udpegelse registreres databeskyttelsesrådgiveren hos Den Europæiske Tilsynsførende for Databeskyttelse af den eller det af Unionens institutioner eller organer, der udpegede vedkommende.

1.   Databeskyttelsesrådgiveren har følgende opgaver:

2.   Databeskyttelsesrådgiveren kan komme med anbefalinger til den dataansvarlige og databehandleren om, hvordan databeskyttelsen kan forbedres i praksis, og rådgive dem om spørgsmål vedrørende anvendelsen af bestemmelserne om databeskyttelse. Desuden kan vedkommende på eget initiativ eller efter anmodning fra den dataansvarlige eller databehandleren, det relevante personaleudvalg eller enhver fysisk person iværksætte undersøgelser om anliggender og forhold, der har direkte tilknytning til vedkommendes opgaver, og som kommer til vedkommendes kendskab, og aflægge rapport til den person, der har anmodet om undersøgelsen, eller til den dataansvarlige eller databehandleren.

3.   Yderligere gennemførelsesbestemmelser vedrørende databeskyttelsesrådgiveren vedtages af hver af Unionens institutioner og hvert af Unionens organer. Gennemførelsesbestemmelserne skal navnlig vedrøre databeskyttelsesrådgiverens hverv, opgaver og beføjelser.

1.   En overførsel af personoplysninger fra et tredjeland eller en international organisation kan finde sted, hvis Kommissionen i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 eller artikel 36, stk. 3, i direktiv (EU) 2016/680 har fastslået, at det pågældende tredjeland, et område eller en eller flere specifikke sektorer i det pågældende tredjeland eller den pågældende internationale organisation sikrer et tilstrækkeligt beskyttelsesniveau, og hvis personoplysningerne kun overføres, for at der kan udføres opgaver, som henhører under den dataansvarliges kompetence.

2.   Unionens institutioner og organer underretter Kommissionen og Den Europæiske Tilsynsførende for Databeskyttelse om tilfælde, hvor de finder, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation ikke sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i stk. 1.

3.   Unionens institutioner og organer træffer de foranstaltninger, der er nødvendige for at efterkomme de afgørelser, som Kommissionen træffer, når den i medfør af artikel 45, stk. 3 eller 5, i forordning (EU) 2016/679 eller af artikel 36, stk. 3 eller 5, i direktiv (EU) 2016/680 konstaterer, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation sikrer eller ikke længere sikrer et tilstrækkeligt beskyttelsesniveau.

1.   Hvis der ikke er vedtaget en afgørelse i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 eller artikel 36, stk. 3, i direktiv (EU) 2016/680, må en dataansvarlig eller databehandler kun overføre personoplysninger til et tredjeland eller en international organisation, hvis vedkommende har givet de fornødne garantier, og på betingelse af, at rettigheder, som kan håndhæves, og effektive retsmidler for registrerede er tilgængelige.

2.   De fornødne garantier som omhandlet i stk. 1 kan uden krav om specifik godkendelse fra Den Europæiske Tilsynsførende for Databeskyttelse sikres gennem:

3.   Med forbehold af godkendelse fra Den Europæiske Tilsynsførende for Databeskyttelse kan de fornødne garantier, der er omhandlet i stk. 1, også sikres gennem navnlig:

4.   Godkendelser fra Den Europæiske Tilsynsførende for Databeskyttelse på grundlag af artikel 9, stk. 7, i forordning (EF) nr. 45/2001 er gyldige, indtil de om nødvendigt ændres, erstattes eller ophæves af Den Europæiske Tilsynsførende for Databeskyttelse.

5.   Unionens institutioner og organer underretter Den Europæiske Tilsynsførende for Databeskyttelse om de kategorier af tilfælde, hvor denne artikel er blevet anvendt.

1.   I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 eller artikel 36, stk. 3, i direktiv (EU) 2016/680 eller fornødne garantier i henhold til nærværende forordnings artikel 48, må en overførsel eller flere overførsler af personoplysninger til et tredjeland eller en international organisation kun finde sted på en af følgende betingelser:

2.   Stk. 1, litra a), b) og c), finder ikke anvendelse på aktiviteter, der udføres af Unionens institutioner og organer som led i udøvelsen af deres offentligretlige beføjelser.

3.   De samfundsinteresser, der er omhandlet i stk. 1, litra d), skal være anerkendt i EU-retten.

4.   En overførsel i henhold til stk. 1, litra g), må ikke omfatte alle personoplysninger eller hele kategorier af personoplysninger i et register, medmindre det er tilladt ifølge EU-retten. Når et register er beregnet til at blive konsulteret af personer, der har en legitim interesse heri, må overførsel kun ske på anmodning af disse personer, eller hvis de skal være modtagerne.

5.   Hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, kan EU-retten af hensyn til vigtige samfundsinteresser udtrykkeligt fastsætte grænser for overførsel af særlige kategorier af personoplysninger til et tredjeland eller en international organisation.

6.   Unionens institutioner og organer underretter Den Europæiske Tilsynsførende for Databeskyttelse om de kategorier af tilfælde, hvor denne artikel er blevet anvendt.

1.   Den Europæiske Tilsynsførende for Databeskyttelse etableres herved.

2.   Med hensyn til behandling af personoplysninger er Den Europæiske Tilsynsførende for Databeskyttelse ansvarlig for at sikre, at fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til databeskyttelse, respekteres af Unionens institutioner og organer.

3.   Den Europæiske Tilsynsførende for Databeskyttelse er ansvarlig for at føre tilsyn med og sikre anvendelsen af de bestemmelser i denne forordning og i enhver anden EU-retsakt, der vedrører beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med en af Unionens institutioners eller et af Unionens organers behandling af personoplysninger, og at rådgive Unionens institutioner og organer og de registrerede om alle spørgsmål vedrørende behandling af personoplysninger. Med henblik herpå udfører Den Europæiske Tilsynsførende for Databeskyttelse de opgaver, der er fastsat i artikel 57, og udøver de beføjelser, der er tillagt vedkommende ved artikel 58.

4.   Forordning (EF) nr. 1049/2001 finder anvendelse på dokumenter, der opbevares af Den Europæiske Tilsynsførende for Databeskyttelse. Den Europæiske Tilsynsførende for Databeskyttelse vedtager nærmere regler for anvendelsen af forordning (EF) nr. 1049/2001 for så vidt angår disse dokumenter.

1.   Europa-Parlamentet og Rådet udnævner efter fælles overenskomst Den Europæiske Tilsynsførende for Databeskyttelse for en periode på fem år på grundlag af en liste, som Kommissionen udarbejder efter et offentligt stillingsopslag. Stillingsopslaget skal give alle interesserede parter i hele Unionen mulighed for at indgive deres ansøgninger. Den liste over ansøgere, som Kommissionen udarbejder, er offentlig og består af mindst tre kandidater. På grundlag af den liste, som Kommissionen udarbejder, kan det kompetente udvalg i Europa-Parlamentet beslutte at afholde en høring, for at det kan tilkendegive en præference.

2.   Den i stk. 1 omhandlede liste skal bestå af personer, hvis uafhængighed er uomtvistelig, og som er anerkendt som havende ekspertviden inden for databeskyttelse samt den erfaring og kompetence, der kræves for at varetage de opgaver, der henhører under Den Europæiske Tilsynsførende for Databeskyttelse.

3.   Embedsperioden for Den Europæiske Tilsynsførende for Databeskyttelse kan fornyes én gang.

4.   De opgaver, der henhører under Den Europæiske Tilsynsførende for Databeskyttelse, ophører i følgende tilfælde:

5.   Den Europæiske Tilsynsførende for Databeskyttelse kan af EU-Domstolen på begæring af Europa-Parlamentet, Rådet eller Kommissionen afskediges eller fratages sine pensionsrettigheder eller lignende goder, hvis vedkommende ikke længere opfylder de nødvendige betingelser for at udøve sit hverv, eller hvis vedkommende har begået alvorligt embedsmisbrug.

6.   I tilfælde af ordinær nybesættelse og frivillig fratræden fortsætter Den Europæiske Tilsynsførende for Databeskyttelse imidlertid med at udøve sit hverv, indtil der er udnævnt en efterfølger.

7.   Artikel 11-14 og artikel 17 i protokollen vedrørende Den Europæiske Unions privilegier og immuniteter finder anvendelse på Den Europæiske Tilsynsførende for Databeskyttelse.

1.   Den Europæiske Tilsynsførende for Databeskyttelse sidestilles med en dommer ved EU-Domstolen for så vidt angår fastsættelsen af vederlag, tillæg, alderspension og eventuelle andre goder end vederlag.

2.   Budgetmyndigheden sørger for, at Den Europæiske Tilsynsførende for Databeskyttelse råder over de nødvendige menneskelige og finansielle ressourcer for at kunne udøve sit hverv.

3.   Budgettet for Den Europæiske Tilsynsførende for Databeskyttelse vises i et separat udgiftsområde i sektion vedrørende administrative udgifter i Unionens almindelige budget.

4.   Den Europæiske Tilsynsførende for Databeskyttelse bistås af et sekretariat. Tjenestemænd og øvrige ansatte i sekretariatet udnævnes af Den Europæiske Tilsynsførende for Databeskyttelse, og deres overordnede er Den Europæiske Tilsynsførende for Databeskyttelse. De er udelukkende underlagt dennes ledelse. Antallet af tjenestemænd og øvrige ansatte fastsættes hvert år som led i budgetproceduren. Artikel 75, stk. 2, i forordning (EU) 2016/679 finder anvendelse på det af Den Europæiske Tilsynsførende for Databeskyttelses personale, der er involveret i udførelsen af opgaver, som i henhold til EU-retten er overdraget til Det Europæiske Databeskyttelsesråd.

5.   For tjenestemænd og øvrige ansatte i sekretariatet for Den Europæiske Tilsynsførende for Databeskyttelse gælder de regler og bestemmelser, der gælder for tjenestemænd og øvrige ansatte i Unionen.

6.   Hjemstedet for Den Europæiske Tilsynsførende er Bruxelles.

1.   Den Europæiske Tilsynsførende for Databeskyttelse udfører sine opgaver og udøver sine beføjelser i henhold til denne forordning i fuld uafhængighed.

2.   Den Europæiske Tilsynsførende for Databeskyttelse skal i forbindelse med udførelsen af sine opgaver og udøvelsen af sine beføjelser i henhold til denne forordning være fri for udefrakommende indflydelse, det være sig direkte eller indirekte, og må hverken søge eller modtage instrukser fra andre.

3.   Den Europæiske Tilsynsførende for Databeskyttelse skal afholde sig fra enhver handling, der er uforenelig med karakteren af vedkommendes hverv, og må ikke, så længe vedkommendes embedsperiode varer, udøve nogen anden lønnet eller ulønnet beskæftigelse.

4.   Efter vedkommendes embedsperiode er ophørt, skal Den Europæiske Tilsynsførende for Databeskyttelse udvise hæderlighed og tilbageholdenhed med hensyn til at påtage sig visse hverv eller acceptere visse fordele.

1.   Uden at dette berører andre opgaver, der er fastsat i denne forordning, skal Den Europæiske Tilsynsførende for Databeskyttelse:

2.   Den Europæiske Tilsynsførende for Databeskyttelse letter indgivelse af klager, jf. stk. 1, litra e), gennem en klageformular, der også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmidler.

3.   Den Europæiske Tilsynsførende for Databeskyttelse varetager sine opgaver uden udgifter for den registrerede.

4.   Hvis anmodninger er åbenbart grundløse eller overdrevne, især fordi de gentages, kan Den Europæiske Tilsynsførende for Databeskyttelse afvise at efterkomme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller uforholdsmæssig, påhviler Den Europæiske Tilsynsførende for Databeskyttelse.

1.   Den Europæiske Tilsynsførende for Databeskyttelse har følgende undersøgelsesbeføjelser:

2.   Den Europæiske Tilsynsførende for Databeskyttelse har følgende sanktionsbeføjelser:

3.   Den Europæiske Tilsynsførende for Databeskyttelse har følgende godkendelses- og rådgivningsbeføjelser:

4.   Den Europæiske Tilsynsførende for Databeskyttelse har beføjelse til at indbringe sager for EU-Domstolen på de betingelser, der er fastsat i traktaterne, og til at intervenere i retssager ved EU-Domstolen.

5.   Udøvelsen af de beføjelser, der tillægges Den Europæiske Tilsynsførende for Databeskyttelse i medfør af denne artikel, er underlagt passende garantier, herunder effektive retsmidler og retfærdig procedure som fastsat i EU-retten.

1.   Den Europæiske Tilsynsførende for Databeskyttelse forelægger hvert år en årsberetning for Europa-Parlamentet, Rådet og Kommissionen og offentliggør den samtidig hermed.

2.   Den Europæiske Tilsynsførende for Databeskyttelse fremsender beretningen omhandlet i stk. 1 til de andre af Unionens institutioner og organer, der kan fremsætte bemærkninger med henblik på Europa-Parlamentets eventuelle gennemgang af beretningen.

1.   Når der i en EU-retsakt henvises til denne artikel, samarbejder Den Europæiske Tilsynsførende for Databeskyttelse og nationale tilsynsmyndigheder, der hver især handler inden for deres respektive beføjelser, aktivt inden for rammerne af deres ansvarsområder med henblik på at sikre effektivt tilsyn med store IT-systemer og med Unionens organer, kontorer og agenturer.

2.   I det omfang det er nødvendigt, udveksler de inden for rammerne af deres respektive beføjelser og ansvarsområder relevante oplysninger, bistår hinanden med udførelsen af revisioner og inspektioner, undersøger vanskeligheder med fortolkningen eller anvendelsen af denne forordning og andre gældende EU-retsakter, undersøger problemer med udøvelsen af uafhængigt tilsyn eller med udøvelsen af den registreredes rettigheder, udarbejder harmoniserede forslag til løsninger på eventuelle problemer og fremmer bevidstheden om databeskyttelsesrettigheder.

3.   For så vidt angår de formål, der er fastsat i stk. 2, mødes Den Europæiske Tilsynsførende for Databeskyttelse og de nationale tilsynsmyndigheder mindst to gange om året inden for rammerne af Det Europæiske Databeskyttelsesråd. Med henblik herpå kan Det Europæiske Databeskyttelsesråd udvikle øvrige arbejdsmetoder efter behov.

4.   Det Europæiske Databeskyttelsesråd fremsender en fælles rapport om koordinerede tilsynsaktiviteter til Europa-Parlamentet, til Rådet og til Kommissionen hvert andet år.

1.   Uden at det berører et eventuelt retsmiddel eller en eventuel administrativ eller udenretslig klageadgang, har enhver registreret ret til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse, hvis den registrerede finder, at behandlingen af personoplysninger om vedkommende overtræder denne forordning.

2.   Den Europæiske Tilsynsførende for Databeskyttelse underretter klageren om behandlingen og resultatet af klagen, herunder muligheden for retsmidler som omhandlet i artikel 64.

3.   Hvis Den Europæiske Tilsynsførende for Databeskyttelse ikke behandler klagen eller undlader at underrette den registrerede om forløbet eller resultatet af en klage inden tre måneder, anses Den Europæiske Tilsynsførende for Databeskyttelse for at have truffet en negativ afgørelse.

1.   EU-Domstolen har kompetence til at afgøre alle tvister vedrørende bestemmelserne i denne forordning, herunder erstatningssøgsmål.

2.   Afgørelser truffet af Den Europæiske Tilsynsførende for Databeskyttelse, herunder afgørelser i henhold til artikel 63, stk. 3, kan indbringes for EU-Domstolen.

3.   EU-Domstolen har fuld prøvelsesret vedrørende de administrative bøder, der er omhandlet i artikel 66. Den kan ophæve, nedsætte eller forhøje disse bøder inden for rammerne af artikel 66.

1.   Den Europæiske Tilsynsførende for Databeskyttelse kan pålægge Unionens institutioner og organer administrative bøder afhængigt af omstændigheder i hvert enkelt tilfælde, når en eller et af Unionens institutioner eller organer har undladt at efterkomme et påbud fra Den Europæiske Tilsynsførende for Databeskyttelse, jf. artikel 58, stk. 2, litra d)-h) og j). Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt tilfælde, tages der behørigt hensyn til følgende:

2.   Overtrædelser af den eller det pågældende af Unionens institutioners eller organers forpligtelser som omhandlet i artikel 8, 12, 27-35, 39, 40, 43, 44 og 45 straffes i overensstemmelse med nærværende artikels stk. 1 med bøder på op til 25 000 EUR pr. overtrædelse og op til 250 000 EUR pr. år.

3.   Den eller det pågældende af Unionens institutioners eller organers overtrædelser af følgende bestemmelser straffes i overensstemmelse med stk. 1 med bøder på op til 50 000 EUR pr. overtrædelse og op til 500 000 EUR pr. år:

4.   Hvis en af Unionens institutioner eller et af Unionens organer i forbindelse med de samme eller forbundne eller kontinuerlige behandlingsaktiviteter overtræder flere bestemmelser i denne forordning eller den samme bestemmelse i denne forordning flere gange, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse.

5.   Inden der træffes afgørelse i henhold til denne artikel, giver Den Europæiske Tilsynsførende for Databeskyttelse den eller det af Unionens institutioner eller organer, der er genstand for de procedurer, som gennemføres af Den Europæiske Tilsynsførende for Databeskyttelse, muligheden for at blive hørt om de spørgsmål, som Den Europæiske Tilsynsførende for Databeskyttelse har gjort indsigelse mod. Den Europæiske Tilsynsførende for Databeskyttelse baserer udelukkende sine afgørelser på indsigelser, som de berørte parter har haft mulighed for at fremsætte bemærkninger til. Klagerne inddrages i vid udstrækning i proceduren.

6.   De deltagende parters ret til forsvar skal sikres fuldt ud i procedureforløbet. De har ret til aktindsigt i Den Europæiske Tilsynsførende for Databeskyttelses sagsakter med forbehold af fysiske personers eller virksomheders berettigede interesse i at beskytte deres personoplysninger eller forretningshemmeligheder.

7.   Midler, der er indsamlet ved pålæggelse af bøder som omhandlet i denne artikel, tilfalder Unionens almindelige budget.

1.   Operationelle personoplysninger skal:

2.   Behandling, der foretages af den samme eller en anden dataansvarlig til et andet formål, der er fastsat i retsakten om oprettelse af det pågældende af Unionens organer, kontorer eller agenturer, end det formål, hvortil de operationelle personoplysninger er indsamlet, er tilladt i det omfang:

3.   Behandling, der foretages af den samme eller en anden dataansvarlig, kan omfatte behandling til arkivformål i samfundets interesse eller til videnskabelig, statistisk eller historisk brug, til de formål, der er fastsat i retsakten om oprettelse af det pågældende af Unionens organer, kontorer eller agenturer, forudsat at behandlingen er omfattet af de fornødne garantier for den registreredes rettigheder og frihedsrettigheder.

4.   Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1, 2 og 3 overholdes.

1.   Behandling af operationelle personoplysninger er kun lovlig, hvis og i det omfang behandling er nødvendig af hensyn til varetagelsen af en opgave, der udføres af Unionens organer, kontorer og agenturer ved udførelsen af aktiviteter, der er omfattet af tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, og den er baseret på EU-retten.

2.   Specifikke EU-retsakter, der regulerer behandling inden for rammerne af dette kapitel, skal som minimum angive målene for behandlingen, de operationelle personoplysninger, der skal behandles, formålet med behandlingen og tidsfristerne for opbevaring af de operationelle personoplysninger eller for regelmæssig evaluering af behovet for fortsat opbevaring af de operationelle personoplysninger.

1.   Den dataansvarlige sondrer så vidt muligt mellem operationelle personoplysninger, der bygger på faktiske omstændigheder, og operationelle personoplysninger, der bygger på personlige vurderinger.

2.   Den dataansvarlige træffer alle rimelige foranstaltninger for at sikre, at operationelle personoplysninger, som er urigtige, ufuldstændige eller ikke ajourførte, ikke videregives eller stilles til rådighed. Med henblik herpå skal den dataansvarlige, så vidt muligt og hvor det lader sig gøre, kontrollere kvaliteten af operationelle personoplysninger, før de videregives eller stilles til rådighed, f.eks. ved at konsultere den kompetente myndighed, hvorfra oplysningerne stammer. I forbindelse med al videregivelse af operationelle personoplysninger skal den dataansvarlige så vidt muligt tilføje de nødvendige oplysninger for at gøre det muligt for modtageren at vurdere, i hvor høj grad de operationelle personoplysninger er rigtige, fuldstændige og pålidelige, og i hvilket omfang de er ajourførte.

3.   Hvis det konstateres, at der er videregivet urigtige operationelle personoplysninger, eller at operationelle personoplysninger er videregivet ulovligt, skal dette straks meddeles modtageren. I så fald skal de pågældende operationelle personoplysninger berigtiges eller slettes, eller deres behandling skal begrænses i overensstemmelse med artikel 82.

1.   Når EU-retten, der finder anvendelse på den videregivende dataansvarlige, fastsætter særlige betingelser for behandlingen, underretter den dataansvarlige modtageren af de operationelle personoplysninger om disse betingelser og kravet om at overholde dem.

2.   Den dataansvarlige skal overholde de særlige betingelser for behandling, som er fastsat af en videregivende kompetent myndighed i overensstemmelse med artikel 9, stk. 3 og 4, i direktiv (EU) 2016/680.

1.   Behandling af operationelle personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller operationelle personoplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering må kun tillades, når det er strengt nødvendigt til operationelle formål, inden for det pågældende af Unionens organers, kontorers eller agenturers mandat, og forudsat at behandlingen er omfattet af de fornødne garantier for den registreredes rettigheder og frihedsrettigheder. Forskelsbehandling af fysiske personer på grundlag af sådanne personoplysninger er forbudt.

2.   Databeskyttelsesrådgiveren underrettes uden unødig forsinkelse, hvis denne artikel bringes i anvendelse.

1.   En afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har negativ retsvirkning for den registrerede eller betydelige konsekvenser for den pågældende, er forbudt, medmindre den er hjemlet i EU-retten, som den dataansvarlige er underlagt, og som fastsætter de fornødne garantier for den registreredes rettigheder og frihedsrettigheder i det mindste den registreredes ret til menneskelig indgriben fra den dataansvarliges side.

2.   De afgørelser, der er omhandlet i nærværende artikels stk. 1, må ikke baseres på de særlige kategorier af personoplysninger, der er omhandlet i artikel 76, medmindre der er indført passende foranstaltninger til beskyttelse af den registreredes rettigheder, frihedsrettigheder og legitime interesser.

3.   Profilering, der fører til forskelsbehandling af fysiske personer på grundlag af særlige kategorier af personoplysninger som omhandlet i artikel 76, er forbudt i henhold til EU-retten.

1.   Den dataansvarlige træffer passende foranstaltninger for at give enhver oplysning som omhandlet i artikel 79 og enhver meddelelse som omhandlet i artikel 80-84 og 92 om behandling til den registrerede i en kortfattet, letforståelig og lettilgængelig form og i et klart og enkelt sprog. Oplysningerne gives på enhver hensigtsmæssig måde, herunder ved hjælp af elektroniske midler. Som hovedregel skal den dataansvarlige give oplysningerne i samme form som anmodningen.

2.   Den dataansvarlige letter udøvelsen af den registreredes rettigheder i henhold til artikel 79-84.

3.   Den dataansvarlige giver den registrerede skriftlig meddelelse om opfølgningen af vedkommendes anmodning uden unødig forsinkelse og i alle tilfælde senest tre måneder efter modtagelsen af den registreredes anmodning.

4.   Den dataansvarlige giver oplysningerne i medfør af artikel 79 og enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 80-84 og 92, gratis. Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige afvise at efterkomme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven, påhviler den dataansvarlige.

5.   Den dataansvarlige kan, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der fremsætter en anmodning som omhandlet i artikel 80 eller 82, anmode om yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.

1.   Den dataansvarlige stiller som minimum følgende oplysninger til rådighed for den registrerede:

2.   Ud over de oplysninger, der er omhandlet i stk. 1, skal den dataansvarlige i de særlige tilfælde, der er forudset i EU-retten, give den registrerede følgende yderligere oplysninger, for at vedkommende kan udøve sine rettigheder:

3.   Den dataansvarlige kan udsætte, begrænse eller afskære meddelelse af oplysninger til de registrerede, jf. stk. 2, i det omfang og så længe en sådan foranstaltning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

1.   Den dataansvarlige kan helt eller delvis begrænse den registreredes ret til indsigt, i det omfang og så længe en sådan delvis eller fuldstændig begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

2.   I de i stk. 1 omhandlede tilfælde giver den dataansvarlige uden unødig forsinkelse den registrerede skriftlig meddelelse om ethvert afslag på indsigt eller begrænsning af indsigten og om begrundelsen for afslaget eller begrænsningen. En sådan meddelelse kan udelades, hvis sådanne oplysninger ville være til skade for et af formålene i stk. 1. Den dataansvarlige giver den registrerede meddelelse om muligheden for at klage til Den Europæiske Tilsynsførende for Databeskyttelse eller at indbringe sagen for EU-Domstolen. Den dataansvarlige dokumenterer de faktuelle eller retlige årsager til afgørelsen. Disse oplysninger stilles efter anmodning til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse.

1.   Den registrerede har ret til at få urigtige operationelle personoplysninger om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Den registrerede har under hensyntagen til formålene med behandlingen ret til få fuldstændiggjort ufuldstændige operationelle personoplysninger, bl.a. ved at fremlægge en supplerende erklæring.

2.   Den dataansvarlige skal slette operationelle personoplysninger uden unødig forsinkelse, og den registrerede har ret til at få operationelle personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, hvis behandlingen strider mod artikel 71, artikel 72, stk. 1, eller artikel 76, eller hvis operationelle personoplysninger skal slettes for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt.

3.   I stedet for sletning begrænser den dataansvarlige behandling, hvis:

Hvis behandling er begrænset i henhold til første afsnit, litra a), underretter den dataansvarlige den registrerede herom, inden begrænsningen af behandling ophæves.

Begrænsede oplysninger behandles kun til det formål, der gjorde, at de ikke blev slettet.

4.   Den dataansvarlige giver den registrerede skriftlig meddelelse om ethvert afslag på berigtigelse eller sletning af operationelle personoplysninger eller begrænsning af deres behandling og om begrundelsen for afslaget. Den dataansvarlige kan helt eller delvis begrænse meddelelsen af sådanne oplysninger, i det omfang en sådan begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

Den dataansvarlige giver den registrerede meddelelse om muligheden for at klage til Den Europæiske Tilsynsførende for Databeskyttelse eller at indbringe sagen for EU-Domstolen.

5.   Den dataansvarlige meddeler berigtigelse af urigtige operationelle personoplysninger til den kompetente myndighed, hvorfra de urigtige operationelle personoplysninger stammer.

6.   Hvis operationelle personoplysninger er blevet berigtiget eller slettet, eller behandlingen er blevet begrænset i henhold til stk. 1, 2 eller 3, underretter den dataansvarlige modtagerne og meddeler dem, at de skal berigtige eller slette de operationelle personoplysninger eller begrænse behandling af de operationelle personoplysninger, som de har ansvaret for.

1.   I de tilfælde, der er omhandlet i artikel 79, stk. 3, artikel 81 og artikel 82, stk. 4, kan den registreredes rettigheder også udøves gennem Den Europæiske Tilsynsførende for Databeskyttelse.

2.   Den dataansvarlige underretter den registrerede om dennes mulighed for at udøve sine rettigheder gennem Den Europæiske Tilsynsførende for Databeskyttelse i henhold til stk. 1.

3.   Hvis retten som omhandlet i stk. 1 udøves, underretter Den Europæiske Tilsynsførende for Databeskyttelse som minimum den registrerede om, at Den Europæiske Tilsynsførende for Databeskyttelse har foretaget den nødvendige kontrol eller undersøgelse. Den Europæiske Tilsynsførende for Databeskyttelse underretter også den registrerede om vedkommendes ret til at indbringe sagen for EU-Domstolen.

1.   Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige, både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen, passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og i retsakten om den dataansvarliges oprettelse og beskytte de registreredes rettigheder.

2.   Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger, der gennem standardindstillinger sikrer, at kun operationelle personoplysninger, der er tilstrækkelige, relevante og ikke uforholdsmæssige i forhold til formålet med behandlingen, behandles. Denne forpligtelse gælder den mængde operationelle personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at operationelle personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.

1.   Når to eller flere dataansvarlige eller en eller flere dataansvarlige sammen med en eller flere andre dataansvarlige end Unionens institutioner og organer, i fællesskab afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling, er de fælles dataansvarlige. De fastlægger på en gennemsigtig måde deres respektive ansvar for overholdelse af deres databeskyttelsesforpligtelser, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 79, ved hjælp af en ordning mellem dem, medmindre og i det omfang de fælles dataansvarliges respektive ansvar er fastlagt i EU-retten eller medlemsstaternes nationale ret, som de fælles dataansvarlige er underlagt. Der kan som led i ordningen udpeges et kontaktpunkt for registrerede.

2.   Ordningen, der er omhandlet i stk. 1, skal på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til den registrerede. Det væsentligste indhold af ordningen skal gøres tilgængeligt for den registrerede.

3.   Uanset udformningen af den ordning, der er omhandlet i stk. 1, kan den registrerede udøve sine rettigheder i medfør af denne forordning med hensyn til og over for den enkelte dataansvarlige.

1.   Hvis en behandling skal foretages på vegne af en dataansvarlig, benytter den dataansvarlige udelukkende databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og retsakten om oprettelse af den dataansvarlige og sikrer beskyttelse af den registreredes rettigheder.

2.   Databehandleren må ikke gøre brug af en anden databehandler uden forudgående specifik eller generel skriftligt godkendelse fra den dataansvarlige. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

3.   En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller en medlemsstats nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og som fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af operationelle personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Denne kontrakt eller dette andet retlige dokument fastsætter navnlig, at databehandleren:

4.   Kontrakten eller det andet retlige dokument, der er omhandlet i stk. 3, skal foreligge skriftligt, herunder elektronisk.

5.   Hvis en databehandler overtræder denne forordning eller retsakten om oprettelse af den dataansvarlige ved at fastlægge formålene med og hjælpemidlerne til behandling, anses denne databehandler for at være en dataansvarlig, for så vidt angår den pågældende behandling.

1.   Den dataansvarlige fører logs for alle de følgende behandlingsaktiviteter i automatiske databehandlingssystemer: indsamling, ændring, adgang, søgning, videregivelse, herunder overførsel, samkøring og sletning af operationelle personoplysninger. Logning af søgning og videregivelse skal gøre det muligt at fastlægge begrundelsen, datoen og tidspunktet for sådanne aktiviteter, identifikation af den person, som har søgt eller videregivet operationelle personoplysninger, og så vidt muligt identiteten på modtagerne af sådanne operationelle personoplysninger.

2.   Loggene anvendes udelukkende til at kontrollere, om behandling er lovlig, til egenkontrol, til at sikre integriteten og sikkerheden af de operationelle personoplysninger og i forbindelse med straffesager. Disse logs slettes efter tre år, medmindre de skal bruges til løbende kontrol.

3.   Den dataansvarlige stiller efter anmodning loggene til rådighed for sin databeskyttelsesrådgiver og for Den Europæiske Tilsynsførende for Databeskyttelse.

1.   Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af operationelle personoplysninger.

2.   Den i stk. 1 omhandlede analyse skal mindst omfatte en generel beskrivelse af de planlagte behandlingsaktiviteter, en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder, de foranstaltninger, der påtænkes for at imødegå disse risici, garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af operationelle personoplysninger og påvise overholdelse af databeskyttelsesregler, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

1.   Den dataansvarlige hører Den Europæiske Tilsynsførende for Databeskyttelse inden behandling, der vil indgå som en del af et nyt register, der skal oprettes, når:

2.   Den Europæiske Tilsynsførende for Databeskyttelse kan fastsætte en liste over de behandlingsaktiviteter, hvor der i henhold til stk. 1 skal foretages en forudgående høring.

3.   Den dataansvarlige forelægger Den Europæiske Tilsynsførende for Databeskyttelse konsekvensanalysen vedrørende databeskyttelse omhandlet i artikel 89 og efter anmodning andre oplysninger, der sætter Den Europæiske Tilsynsførende for Databeskyttelse i stand til at vurdere behandlingens overensstemmelse, og navnlig risiciene for beskyttelsen af registreredes operationelle personoplysninger og de tilknyttede garantier.

4.   Hvis Den Europæiske Tilsynsførende for Databeskyttelse finder, at den planlagte behandling omhandlet i stk. 1 vil overtræde denne forordning eller retsakten om oprettelse af det pågældende af Unionens organer, kontorer eller agenturer, navnlig hvis den dataansvarlige ikke tilstrækkeligt har identificeret eller begrænset risikoen, skal Den Europæiske Tilsynsførende for Databeskyttelse give den dataansvarlige skriftlig rådgivning inden for en periode på op til seks uger efter modtagelse af anmodningen om høring. Denne periode kan forlænges med en måned under hensyntagen til den påtænkte behandlings kompleksitet. Den Europæiske Tilsynsførende for Databeskyttelse underretter den dataansvarlige om enhver sådan forlængelse senest en måned efter modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen.

1.   Den dataansvarlige og databehandleren gennemfører under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, navnlig for så vidt angår behandlingen af de særlige kategorier af personoplysninger.

2.   For så vidt angår automatisk behandling gennemfører den dataansvarlige og databehandleren på grundlag af en risikovurdering foranstaltninger til at sikre, at:

1.   Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til Den Europæiske Tilsynsførende for Databeskyttelse, medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder. Foretages anmeldelsen til Den Europæiske Tilsynsførende for Databeskyttelse ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.

2.   Den i stk. 1 omhandlede anmeldelse skal mindst:

3.   Når og for så vidt som det ikke er muligt at give oplysningerne i stk. 2 samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.

4.   Den dataansvarlige dokumenterer alle brud på persondatasikkerheden omhandlet i stk. 1, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal sætte Den Europæiske Tilsynsførende for Databeskyttelse i stand til at kontrollere, at denne artikel er overholdt.

5.   Hvis bruddet på persondatasikkerheden omfatter operationelle personoplysninger, der er fremsendt af eller til de kompetente myndigheder, meddeler den dataansvarlige de i stk. 2 omhandlede oplysninger uden unødig forsinkelse til de pågældende kompetente myndigheder.

1.   Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

2.   Underretningen af den registrerede i henhold til denne artikels stk. 1 skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og henstillinger, der er fastsat i artikel 92, stk. 2, litra b), c) og d).

3.   Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis nogen af følgende betingelser er opfyldt:

4.   Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan Den Europæiske Tilsynsførende for Databeskyttelse efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.

5.   Den i nærværende artikels stk. 1 omhandlede underretning af den registrerede kan udsættes, begrænses eller afskæres på de betingelser og af de årsager, der er omhandlet i artikel 79, stk. 3.

1.   Med forbehold af begrænsninger og betingelser, der er fastsat i retsakterne om oprettelse af det pågældende af Unionens organer, kontorer eller agenturer, kan den dataansvarlige videregive operationelle personoplysninger til en myndighed i et tredjeland eller til en international organisation, i det omfang en sådan videregivelse er nødvendig for at dataansvarlige kan udføre deres opgaver, og kun hvis betingelserne i denne artikel er opfyldt, navnlig at:

2.   Retsakterne om oprettelse af Unionens organer, kontorer og agenturer kan opretholde eller indføre mere specifikke bestemmelser om betingelserne for international videregivelse af operationelle personoplysninger, navnlig om videregivelser ved anvendelse af fornødne garantier og undtagelser i særlige situationer.

3.   Den dataansvarlige offentliggør og ajourfører på sit websted en liste over afgørelser om tilstrækkeligt beskyttelsesniveau omhandlet i stk. 1, litra a), aftaler, administrative ordninger og andre instrumenter vedrørende videregivelse af operationelle personoplysninger i henhold til stk. 1.

4.   Den dataansvarlige fører et detaljeret register over alle videregivelser foretaget i henhold til denne artikel.

1.   Kommissionen bistås af udvalget nedsat ved artikel 93 i forordning (EU) 2016/679. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2.   Når der henvises til dette stykke, anvendes artikel 5 i forordning (EU) nr. 182/2011.

1.   Senest den 30. april 2022 evaluerer Kommissionen de retsakter, der er vedtaget på grundlag af traktaterne, og som regulerer behandling af operationelle personoplysninger i Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, med henblik på at:

2.   På grundlag af evalueringen kan Kommissionen for at sikre en ensartet og konsekvent beskyttelse af fysiske personer, hvad angår behandling, forelægge hensigtsmæssige lovgivningsmæssige forslag, navnlig med henblik på at anvende denne forordnings kapitel IX på Europol og Den Europæiske Anklagemyndighed, herunder om nødvendigt tilpasninger af denne forordnings kapitel IX.

1.   Europa-Parlamentet og Rådets afgørelse 2014/886/EU (20) og Den Europæiske Tilsynsførende for Databeskyttelses og den assisterende tilsynsførendes indeværende embedsperiode berøres ikke af denne forordning.

2.   Den assisterende tilsynsførende sidestilles med justitssekretæren for EU-Domstolen for så vidt angår fastsættelsen af vederlag, tillæg, alderspension og eventuelle andre goder end vederlag.

3.   Artikel 53, stk. 4, 5 og 7, og artikel 55 og 56 i denne forordning finder anvendelse på den nuværende assisterende tilsynsførende indtil udløbet af dennes embedsperiode.

4.   Den assisterende tilsynsførende bistår Den Europæiske Tilsynsførende for Databeskyttelse ved opfyldelsen af dennes pligter og fungerer som stedfortræder, når Den Europæiske Tilsynsførende for Databeskyttelse er fraværende eller forhindret i at deltage i disse pligter indtil udløbet af den nuværende assisterende tilsynsførendes embedsperiode.

1.   Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

2.   Denne forordning finder dog anvendelse på Eurojusts behandling af personoplysninger fra den 12. december 2019.