This document is an excerpt from the EUR-Lex website
Document 02016R0679-20160504
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance)
Consolidated text: Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EØS-relevant tekst)
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EØS-relevant tekst)
02016R0679 — DA — 04.05.2016 — 000.002
Denne tekst tjener udelukkende som dokumentationsværktøj og har ingen retsvirkning. EU's institutioner påtager sig intet ansvar for dens indhold. De autentiske udgaver af de relevante retsakter, inklusive deres betragtninger, er offentliggjort i den Europæiske Unions Tidende og kan findes i EUR-Lex. Disse officielle tekster er tilgængelige direkte via linkene i dette dokument
|
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1) |
Berigtiget ved:
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679
af 27. april 2016
om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
(EØS-relevant tekst)
KAPITEL I
Generelle bestemmelser
Artikel 1
Genstand og formål
Artikel 2
Materielt anvendelsesområde
Denne forordning gælder ikke for behandling af personoplysninger:
under udøvelse af aktiviteter, der falder uden for EU-retten
som foretages af medlemsstaterne, når de udfører aktiviteter, der falder inden for rammerne af afsnit V, kapitel 2, i TEU
som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter
som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed.
Artikel 3
Territorialt anvendelsesområde
Denne forordning finder anvendelse på behandling af personoplysninger om registrerede, der er i Unionen, og som foretages af en dataansvarlig eller databehandler, der ikke er etableret i Unionen, hvis behandlingsaktiviteterne vedrører:
udbud af varer eller tjenester til sådanne registrerede i Unionen, uanset om betaling fra den registrerede er påkrævet, eller
overvågning af sådanne registreredes adfærd, for så vidt deres adfærd finder sted i Unionen.
Artikel 4
Definitioner
I denne forordning forstås ved:
|
1) |
»personoplysninger« : enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet |
|
2) |
»behandling« : enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse |
|
3) |
»begrænsning af behandling« : mærkning af opbevarede personoplysninger med den hensigt at begrænse fremtidig behandling af disse oplysninger |
|
4) |
»profilering« : enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk position eller bevægelser |
|
5) |
»pseudonymisering« : behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person |
|
6) |
»register« : enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt eller decentralt eller er fordelt på funktionsbestemt eller geografisk grundlag |
|
7) |
»dataansvarlig« : en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret |
|
8) |
»databehandler« : en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne |
|
9) |
»modtager« : en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej. Offentlige myndigheder, som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel i henhold til EU-retten eller medlemsstaternes nationale ret, anses dog ikke for modtagere; de offentlige myndigheders behandling af disse oplysninger skal overholde de gældende databeskyttelsesregler afhængigt af formålet med behandlingen |
|
10) |
»tredjemand« : en anden fysisk eller juridisk person, offentlig myndighed eller institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle personoplysninger |
|
11) |
»samtykke« fra den registrerede : enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling |
|
12) |
»brud på persondatasikkerheden« : et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet |
|
13) |
»genetiske data« : personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske karakteristika, som giver entydig information om den fysiske persons fysiologi eller helbred, og som navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person |
|
14) |
»biometriske data« : personoplysninger, der som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger |
|
15) |
»helbredsoplysninger« : personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand |
|
16) |
»hovedvirksomhed« :
a)
for så vidt angår en dataansvarlig som er etableret i mere end én medlemsstat, stedet for dennes centrale administration i Unionen, medmindre beslutninger vedrørende formål og hjælpemidler i forbindelse med behandling af personoplysninger træffes i en anden af den dataansvarliges etableringer i Unionen, og sidstnævnte etablering har beføjelse til få sådanne beslutninger gennemført; i så fald anses den etablering, der har truffet sådanne beslutninger, for hovedvirksomheden
b)
for så vidt angår en databehandler som er etableret i mere end én medlemsstat, stedet for dennes centrale administration i Unionen, eller, hvis denne ikke har en central administration i Unionen, den etablering i Unionen, hvor databehandlerens hovedbehandlingsaktiviteter foretages i databehandlerens egenskab af at være databehandler, i det omfang databehandleren er underlagt specifikke forpligtelser i henhold til denne forordning |
|
17) |
»repræsentant« : en fysisk eller juridisk person, der er etableret i Unionen, som skriftligt er udpeget af den dataansvarlige eller databehandleren i henhold til artikel 27, og som repræsenterer den dataansvarlige eller databehandleren hvad angår deres respektive forpligtelser i medfør af denne forordning |
|
18) |
»foretagende« : en fysisk eller juridisk person, som udøver økonomisk aktivitet, uanset dens retlige status, herunder partnerskaber eller sammenslutninger, der regelmæssigt udøver økonomisk aktivitet |
|
19) |
»koncern« : en virksomhed, der udøver kontrol, og de af denne kontrollerede virksomheder |
|
20) |
»bindende virksomhedsregler« : regler om beskyttelse af personoplysninger, som en dataansvarlig eller databehandler, der er etableret på en medlemsstats område, overholder i forbindelse med overførsel eller en række overførsler af personoplysninger til en dataansvarlig eller databehandler i et eller flere tredjelande inden for en koncern eller gruppe af foretagender, der udøver en fælles økonomisk aktivitet |
|
21) |
»tilsynsmyndighed« : en uafhængig offentlig myndighed, der er etableret i en medlemsstat i henhold til artikel 51 |
|
22) |
»berørt tilsynsmyndighed« : en tilsynsmyndighed, der er berørt af en behandling af personoplysninger, fordi:
a)
den dataansvarlige eller databehandleren er etableret på denne tilsynsmyndigheds medlemsstats område
b)
de registrerede, der har bopæl i denne tilsynsmyndigheds medlemsstat, i væsentlig grad er påvirket af eller sandsynligvis i væsentlig grad vil kunne blive påvirket af behandlingen, eller
c)
en klage er blevet indgivet til denne tilsynsmyndighed |
|
23) |
»grænseoverskridende behandling« :
a)
behandling af personoplysninger, der finder sted som led i aktiviteter, som udføres for en dataansvarligs eller en databehandlers virksomheder i mere end én medlemsstat i Unionen, hvor den dataansvarlige eller databehandleren er etableret i mere end én medlemsstat, eller
b)
behandling af personoplysninger, der finder sted som led i aktiviteter, som udføres for en dataansvarligs eller en databehandlers eneste etablering i Unionen, men som i væsentlig grad påvirker eller sandsynligvis i væsentlig grad vil kunne påvirke registrerede i mere end én medlemsstat |
|
24) |
»relevant og begrundet indsigelse« : en indsigelse mod et udkast til afgørelse om, hvorvidt der foreligger en overtrædelse af denne forordning, eller hvorvidt en planlagt foranstaltning i forbindelse med den dataansvarlige eller databehandleren overholder denne forordning, og som klart påviser betydningen af de risici, som udkastet til afgørelse udgør for registreredes grundlæggende rettigheder og frihedsrettigheder og, hvis det er relevant, for den frie udveksling af personoplysninger i Unionen |
|
25) |
»informationssamfundstjeneste« : en tjeneste som defineret i artikel 1, stk. 1, litra b), i Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 ( 1 ) |
|
26) |
»international organisation« : en folkeretlig organisation og organer, der er underordnet den, samt ethvert andet organ, der er oprettet ved eller med hjemmel i en aftale mellem to eller flere lande. |
KAPITEL II
Principper
Artikel 5
Principper for behandling af personoplysninger
Personoplysninger skal:
behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)
indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«)
være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)
være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)
opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«)
behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).
Artikel 6
Lovlig behandling
Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:
Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.
Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.
Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.
Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.
Grundlaget for behandling i henhold til stk. 1, litra c) og e), skal fremgå af:
EU-retten, eller
medlemsstaternes nationale ret, som den dataansvarlige er underlagt.
Formålet med behandlingen skal være fastlagt i dette retsgrundlag eller for så vidt angår den behandling, der er omhandlet i stk. 1, litra e), være nødvendig for udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Dette retsgrundlag kan indeholde specifikke bestemmelser med henblik på at tilpasse anvendelsen af bestemmelserne i denne forordning, bl.a. de generelle betingelser for lovlighed af den dataansvarliges behandling, hvilke typer oplysninger der skal behandles, berørte registrerede, hvilke enheder personoplysninger må videregives til, og formålet hermed, formålsbegrænsninger, opbevaringsperioder og behandlingsaktiviteter samt behandlingsprocedurer, herunder foranstaltninger til sikring af lovlig og rimelig behandling såsom i andre specifikke databehandlingssituationer som omhandlet i kapitel IX. EU-retten eller medlemsstaternes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges.
Når behandling til et andet formål end det, som personoplysningerne er indsamlet til, ikke er baseret på den registreredes samtykke eller EU-retten eller medlemsstaternes nationale ret, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål, der er omhandlet i artikel 23, stk. 1, tager den dataansvarlige, for at afgøre, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindelig blev indsamlet til, bl.a. hensyn til følgende:
enhver forbindelse mellem det formål, som personoplysningerne er indsamlet til, og formålet med den påtænkte viderebehandling
den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet mellem den registrerede og den dataansvarlige
personoplysningernes art, navnlig om særlige kategorier af personoplysninger behandles, jf. artikel 9, eller om personoplysninger vedrørende straffedomme og lovovertrædelser behandles, jf. artikel 10
den påtænkte viderebehandlings mulige konsekvenser for de registrerede
tilstedeværelse af fornødne garantier, som kan omfatte kryptering eller pseudonymisering.
Artikel 7
Betingelser for samtykke
Artikel 8
Betingelser for et barns samtykke i forbindelse med informationssamfundstjenester
Medlemsstaterne kan ved lov fastsætte en lavere aldersgrænse til disse formål, forudsat at en sådan aldersgrænse ikke er under 13 år.
Artikel 9
Behandling af særlige kategorier af personoplysninger
Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende:
Den registrerede har givet udtrykkeligt samtykke til behandling af sådanne personoplysninger til et eller flere specifikke formål, medmindre det i EU-retten eller medlemsstaternes nationale ret er fastsat, at det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke.
Behandling er nødvendig for at overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder, for så vidt den har hjemmel i EU-retten eller medlemsstaternes nationale ret eller en kollektiv overenskomst i medfør af medlemsstaternes nationale ret, som giver fornødne garantier for den registreredes grundlæggende rettigheder og interesser.
Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser i tilfælde, hvor den registrerede fysisk eller juridisk ikke er i stand til at give samtykke.
Behandling foretages af en stiftelse, en sammenslutning eller et andet organ, som ikke arbejder med gevinst for øje, og hvis sigte er af politisk, filosofisk, religiøs eller fagforeningsmæssig art, som led i organets legitime aktiviteter og med de fornødne garantier, og på betingelse af at behandlingen alene vedrører organets medlemmer, tidligere medlemmer eller personer, der på grund af organets formål er i regelmæssig kontakt hermed, og at personoplysningerne ikke videregives uden for organet uden den registreredes samtykke.
Behandling vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede.
Behandling er nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares, eller når domstole handler i deres egenskab af domstol.
Behandling er nødvendig af hensyn til væsentlige samfundsinteresser på grundlag af EU-retten eller medlemsstaternes nationale ret og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser.
Behandling er nødvendig med henblik på forebyggende medicin eller arbejdsmedicin til vurdering af arbejdstagerens erhvervsevne, medicinsk diagnose, ydelse af social- og sundhedsomsorg eller -behandling eller forvaltning af social- og sundhedsomsorg og -tjenester på grundlag af EU-retten eller medlemsstaternes nationale ret eller i henhold til en kontrakt med en sundhedsperson og underlagt de betingelser og garantier, der er omhandlet i stk. 3.
Behandling er nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet, f.eks. beskyttelse mod alvorlige grænseoverskridende sundhedsrisici eller sikring af høje kvalitets- og sikkerhedsstandarder for sundhedspleje og lægemidler eller medicinsk udstyr på grundlag af EU-retten eller medlemsstaternes nationale ret, som fastsætter passende og specifikke foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder, navnlig tavshedspligt.
Behandling er nødvendig til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, på grundlag af EU-retten eller medlemsstaternes nationale ret og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser.
Artikel 10
Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser
Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger på grundlag af artikel 6, stk. 1, må kun foretages under kontrol af en offentlig myndighed, eller hvis behandling har hjemmel i EU-retten eller medlemsstaternes nationale ret, som giver passende garantier for registreredes rettigheder og frihedsrettigheder. Ethvert omfattende register over straffedomme må kun føres under kontrol af en offentlig myndighed.
Artikel 11
Behandling, der ikke kræver identifikation
KAPITEL III
Den registreredes rettigheder
Artikel 12
Gennemsigtig oplysning, meddelelser og nærmere regler for udøvelsen af den registreredes rettigheder
Oplysninger, der gives i henhold til artikel 13 og 14, og enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 15-22 og 34, er gratis. Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige enten:
opkræve et rimeligt gebyr under hensyntagen til de administrative omkostninger ved at give oplysninger eller meddelelser eller træffe den ønskede foranstaltning, eller
afvise at efterkomme anmodningen.
Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven, påhviler den dataansvarlige.
Artikel 13
Oplysningspligt ved indsamling af personoplysninger hos den registrerede
Hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede alle følgende oplysninger:
identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræsentant
kontaktoplysninger for en eventuel databeskyttelsesrådgiver
formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen
de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er baseret på artikel 6, stk. 1, litra f)
eventuelle modtagere eller kategorier af modtagere af personoplysningerne
hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 46 eller 47 eller artikel 49, stk. 1, andet afsnit, henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.
Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede følgende yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling:
det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum
retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede eller til at gøre indsigelse mod behandling samt retten til dataportabilitet
når behandling er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf
retten til at indgive en klage til en tilsynsmyndighed
om meddelelse af personoplysninger er lovpligtigt eller et krav i henhold til en kontrakt eller et krav, der skal være opfyldt for at indgå en kontrakt, samt om den registrerede har pligt til at give personoplysningerne og de eventuelle konsekvenser af ikke at give sådanne oplysninger
forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.
Artikel 14
Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede
Hvis personoplysningerne ikke er indsamlet hos den registrerede, giver den dataansvarlige den registrerede følgende oplysninger:
identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræsentant
kontaktoplysninger for en eventuel databeskyttelsesrådgiver
formålene med den behandling, som personoplysningerne skal bruges til, samt retsgrundlaget for behandlingen
de berørte kategorier af personoplysninger
eventuelle modtagere eller kategorier af modtagere af personoplysningerne
hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til en modtager i et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 46 eller 47 eller artikel 49, stk. 1, andet afsnit, litra h), henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.
Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige den registrerede følgende oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede:
det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum
de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er baseret på artikel 6, stk. 1, litra f)
retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede og til at gøre indsigelse mod behandling samt retten til dataportabilitet
når behandling er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf
retten til at indgive en klage til en tilsynsmyndighed
hvilken kilde personoplysningerne hidrører fra, og eventuelt hvorvidt de stammer fra offentligt tilgængelige kilder
forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.
Den dataansvarlige giver de oplysninger, der er omhandlet i stk. 1 og 2:
inden for en rimelig frist efter indsamlingen af personoplysningerne, men senest inden for en måned under hensyn til de specifikke forhold, som personoplysningerne er behandlet under,
hvis personoplysningerne skal bruges til at kommunikere med den registrerede, senest på tidspunktet for den første kommunikation med den registrerede, eller
hvis personoplysningerne er bestemt til videregivelse til en anden modtager, senest når personoplysningerne videregives første gang.
Stk. 1-4 finder ikke anvendelse, hvis og i det omfang:
den registrerede allerede er bekendt med oplysningerne
meddelelse af sådanne oplysninger viser sig umulig eller vil kræve en uforholdsmæssigt stor indsats, navnlig i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål underlagt de betingelser og garantier, der er omhandlet i artikel 89, stk. 1, eller i det omfang den forpligtelse, der er omhandlet i nærværende artikels stk. 1, sandsynligvis vil gøre det umuligt eller i alvorlig grad vil hindre opfyldelse af formålene med denne behandling. I sådanne tilfælde træffer den dataansvarlige passende foranstaltninger for at beskytte den registreredes rettigheder og frihedsrettigheder samt legitime interesser, herunder ved at gøre oplysningerne offentligt tilgængelige
indsamling eller videregivelse udtrykkelig er fastsat i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, og som fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser, eller
personoplysningerne skal forblive fortrolige som følge af tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret, herunder lovbestemt tavshedspligt.
Artikel 15
Den registreredes indsigtsret
Den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information:
formålene med behandlingen
de berørte kategorier af personoplysninger
de modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, navnlig modtagere i tredjelande eller internationale organisationer
om muligt det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum
retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling af personoplysninger vedrørende den registrerede eller til at gøre indsigelse mod en sådan behandling
retten til at indgive en klage til en tilsynsmyndighed
enhver tilgængelig information om, hvorfra personoplysningerne stammer, hvis de ikke indsamles hos den registrerede
forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.
Artikel 16
Ret til berigtigelse
Den registrerede har ret til at få urigtige personoplysninger om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Den registrerede har under hensyntagen til formålene med behandlingen ret til få fuldstændiggjort ufuldstændige personoplysninger, bl.a. ved at fremlægge en supplerende erklæring.
Artikel 17
Ret til sletning (»retten til at blive glemt«)
Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende:
Personoplysningerne er ikke længere nødvendige til at opfylde de formål, hvortil de blev indsamlet eller på anden vis behandlet.
Den registrerede trækker det samtykke, der er grundlaget for behandlingen, jf. artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), tilbage, og der er ikke et andet retsgrundlag for behandlingen.
Den registrerede gør indsigelse mod behandlingen i henhold til artikel 21, stk. 1, og der foreligger ikke legitime grunde til behandlingen, som går forud for indsigelsen, eller den registrerede gør indsigelse mod behandlingen i medfør af artikel 21, stk. 2.
Personoplysningerne er blevet behandlet ulovligt.
Personoplysningerne skal slettes for at overholde en retlig forpligtelse i EU-retten eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt.
Personoplysningerne er blevet indsamlet i forbindelse med udbud af informationssamfundstjenester som omhandlet i artikel 8, stk. 1.
Stk. 1 og 2 finder ikke anvendelse, i det omfang denne behandling er nødvendig:
for at udøve retten til ytrings- og informationsfrihed
for at overholde en retlig forpligtelse, der kræver behandling i henhold til EU-retten eller medlemsstaternes nationale ret, og som den dataansvarlige er underlagt, eller for at udføre en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt
af hensyn til samfundsinteresser på folkesundhedsområdet i overensstemmelse med artikel 9, stk. 2, litra h) og i), samt artikel 9, stk. 3
til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, i det omfang den rettighed, der er omhandlet i stk. 1, sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af denne behandling, eller
for, at retskrav kan fastlægges, gøres gældende eller forsvares.
Artikel 18
Ret til begrænsning af behandling
Den registrerede har ret til fra den dataansvarlige at opnå begrænsning af behandling, hvis et af følgende forhold gør sig gældende:
rigtigheden af personoplysningerne bestrides af den registrerede, i perioden indtil den dataansvarlige har haft mulighed for at fastslå, om personoplysningerne er korrekte
behandlingen er ulovlig, og den registrerede modsætter sig sletning af personoplysningerne og i stedet anmoder om, at anvendelse heraf begrænses
den dataansvarlige ikke længere har brug for personoplysningerne til behandlingen, men de er nødvendige for, at et retskrav kan fastlægges, gøres gældende eller forsvares
den registrerede har gjort indsigelse mod behandlingen i medfør af artikel 21, stk. 1, i perioden mens det kontrolleres, om den dataansvarliges legitime interesser går forud for den registreredes legitime interesser.
Artikel 19
Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
Den dataansvarlige underretter hver modtager, som personoplysningerne er videregivet til, om enhver berigtigelse eller sletning af personoplysningerne eller begrænsning af behandling, der er udført i henhold til artikel 16, artikel 17, stk. 1, og artikel 18, medmindre dette viser sig umuligt eller er uforholdsmæssigt vanskeligt. Den dataansvarlige oplyser den registrerede om disse modtagere, hvis den registrerede anmoder herom.
Artikel 20
Ret til dataportabilitet
Den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, og har ret til at transmittere disse oplysninger til en anden dataansvarlig uden hindring fra den dataansvarlige, som personoplysningerne er blevet givet til, når:
behandlingen er baseret på samtykke, jf. artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), eller på en kontrakt, jf. artikel 6, stk. 1, litra b), og
behandlingen foretages automatisk.
Artikel 21
Ret til indsigelse
Artikel 22
Automatiske individuelle afgørelser, herunder profilering
Stk. 1 finder ikke anvendelse, hvis afgørelsen:
er nødvendig for indgåelse eller opfyldelse af en kontrakt mellem den registrerede og en dataansvarlig
er hjemlet i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, og som også fastsætter passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser eller
er baseret på den registreredes udtrykkelige samtykke.
Artikel 23
Begrænsninger
EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige eller databehandleren er underlagt, kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 12-22 og 34 samt artikel 5, for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 12-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:
statens sikkerhed
forsvaret
den offentlige sikkerhed
forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed
andre vigtige målsætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle samfundsinteresser, navnlig Unionens eller en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed
beskyttelse af retsvæsenets uafhængighed og retssager
forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv
kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i litra a)-e) og g)
beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder
håndhævelse af civilretlige krav.
Navnlig skal enhver lovgivningsmæssig foranstaltning, der er omhandlet i stk. 1, som minimum, hvor det er relevant, indeholde specifikke bestemmelser vedrørende:
formålene med behandlingen eller kategorierne af behandling
kategorierne af personoplysninger
rækkevidden af de indførte begrænsninger
garantierne for at undgå misbrug eller ulovlig adgang eller overførsel
specifikation af den dataansvarlige eller kategorierne af dataansvarlige
opbevaringsperioder og de gældende garantier under hensyntagen til behandlingens karakter, omfang og formål eller kategorier af behandling
risiciene for de registreredes rettigheder og frihedsrettigheder, og
de registreredes ret til at blive underrettet om begrænsningen, medmindre dette kan skade formålet med begrænsningen.
KAPITEL IV
Dataansvarlig og databehandler
Artikel 24
Den dataansvarliges ansvar
Artikel 25
Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger
Artikel 26
Fælles dataansvarlige
Artikel 27
Repræsentanter for dataansvarlige og databehandlere, der ikke er etableret i Unionen
Forpligtelsen fastsat i denne artikels stk. 1 gælder ikke for:
behandling, der er lejlighedsvis, som ikke i stort omfang omfatter behandling af særlige kategorier af oplysninger, jf. artikel 9, stk. 1, eller behandling af personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10, og som sandsynligvis ikke indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder under hensyntagen til behandlingens karakter, sammenhæng, omfang og formål, eller
offentlige myndigheder eller organer.
Artikel 28
Databehandler
En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og der fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Denne kontrakt eller dette andet retlige dokument fastsætter navnlig, at databehandleren:
kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser
sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt
iværksætter alle foranstaltninger, som kræves i henhold til artikel 32
opfylder de betingelser, der er omhandlet i stk. 2 og 4, for at gøre brug af en anden databehandler
under hensyntagen til behandlingens karakter, så vidt muligt bistår den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i kapitel III
bistår den dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren
efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysninger til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, og sletter eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne
stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i denne artikel, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
For så vidt angår første afsnit, litra h), underretter databehandleren omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
Artikel 29
Behandling, der udføres for den dataansvarlige eller databehandleren
Databehandleren og enhver, der udfører arbejde for den dataansvarlige eller databehandleren, og som har adgang til personoplysninger, behandler kun disse oplysninger efter instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret.
Artikel 30
Fortegnelser over behandlingsaktiviteter
Hver dataansvarlig og hvis det er relevant, den dataansvarliges repræsentant fører fortegnelser over behandlingsaktiviteter under deres ansvar. Disse fortegnelser skal omfatte alle af følgende oplysninger:
navn på og kontaktoplysninger for den dataansvarlige og, hvis det er relevant, den fælles dataansvarlige, den dataansvarliges repræsentant og databeskyttelsesrådgiveren
formålene med behandlingen
en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger
de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer
hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation og i tilfælde af overførsler i henhold til artikel 49, stk. 1, andet afsnit, dokumentation for passende garantier
hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger
hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 32, stk. 1.
Hver databehandler og, hvis det er relevant, databehandlerens repræsentant fører fortegnelser over alle kategorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig, idet fortegnelsen skal indeholde:
navn på og kontaktoplysninger for databehandleren eller databehandlerne og for hver dataansvarlig, på hvis vegne databehandleren handler, samt, hvis det er relevant, den dataansvarliges eller databehandlerens repræsentant og databeskyttelsesrådgiveren
de kategorier af behandling, der foretages på vegne af den enkelte dataansvarlige
hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation og i tilfælde af overførsler i henhold til artikel 49, stk. 1, andet afsnit, dokumentation for passende garantier
hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 32, stk. 1.
Artikel 31
Samarbejde med tilsynsmyndigheden
Den dataansvarlige og databehandleren samt, hvis det er relevant, deres repræsentanter samarbejder efter anmodning med tilsynsmyndigheden i forbindelse med udførelsen af dens opgaver.
Artikel 32
Behandlingssikkerhed
Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:
pseudonymisering og kryptering af personoplysninger
evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
Artikel 33
Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
Den i stk. 1 omhandlede anmeldelse skal mindst:
beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden
beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
Artikel 34
Underretning om brud på persondatasikkerheden til den registrerede
Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis en af følgende betingelser er opfyldt:
den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering
den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel
det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.
Artikel 35
Konsekvensanalyse vedrørende databeskyttelse
En konsekvensanalyse vedrørende databeskyttelse som omhandlet i stk. 1 er navnlig påkrævet i følgende tilfælde:
en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering, og som er grundlag for afgørelser, der har retsvirkning for den fysiske person eller på tilsvarende vis betydeligt påvirker den fysiske person
behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 9, stk. 1, eller af personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10, eller
systematisk overvågning af et offentligt tilgængeligt område i stort omfang.
Analysen skal mindst omfatte:
en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen, herunder i givet fald de legitime interesser, der forfølges af den dataansvarlige
en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1, og
de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.
Artikel 36
Forudgående høring
Når tilsynsmyndigheden skal høres i henhold til stk. 1, indgiver den dataansvarlige følgende til tilsynsmyndigheden:
hvor det er relevant, ansvarsområderne for henholdsvis den dataansvarlige, fælles dataansvarlige og databehandleren, der er involveret i behandlingen, navnlig med hensyn til behandling inden for en koncern
den planlagte behandlings formål og hjælpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettigheder og frihedsrettigheder i henhold til denne forordning
hvor det er relevant, databeskyttelsesrådgiverens kontaktoplysninger
konsekvensanalysen vedrørende databeskyttelse i henhold til artikel 35, og
andre oplysninger, som tilsynsmyndigheden anmoder om.
Artikel 37
Udpegelse af en databeskyttelsesrådgiver
Den dataansvarlige og databehandleren udpeger altid en databeskyttelsesrådgiver, når:
behandling foretages af en offentlig myndighed eller et offentligt organ, undtagen domstole, der handler i deres egenskab af domstol
den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller
den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 9, eller personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10.
Artikel 38
Databeskyttelsesrådgiverens stilling
Artikel 39
Databeskyttelsesrådgiverens opgaver
Databeskyttelsesrådgiveren har som minimum følgende opgaver:
at underrette og rådgive den dataansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres forpligtelser i henhold til denne forordning og anden EU-ret eller national ret i medlemsstaterne om databeskyttelse
at overvåge overholdelsen af denne forordning, af anden EU-ret eller national ret i medlemsstaterne om databeskyttelse og af den dataansvarliges eller databehandlerens politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner
at rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyttelse og overvåge dens opfyldelse i henhold til artikel 35
at samarbejde med tilsynsmyndigheden
at fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling, herunder den forudgående høring, der er omhandlet i artikel 36, og at høre tilsynsmyndigheden, når det er hensigtsmæssigt, om eventuelle andre spørgsmål.
Artikel 40
Adfærdskodekser
Sammenslutninger eller andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, kan udarbejde adfærdskodekser eller ændre eller udvide sådanne kodekser med henblik på at specificere anvendelsen af denne forordning, såsom med hensyn til:
rimelig og gennemsigtig behandling
de legitime interesser, som forfølges af den dataansvarlige i specifikke sammenhænge
indsamlingen af personoplysninger
pseudonymiseringen af personoplysninger
informationen, der gives til offentligheden og til registrerede
udøvelsen af registreredes rettigheder
informationen, der gives til børn, og beskyttelsen af børn og den måde, hvorpå samtykket fra indehavere af forældremyndighed over børn skal indhentes
foranstaltningerne og procedurerne omhandlet i artikel 24 og 25 og foranstaltningerne til at sikre behandlingssikkerhed som omhandlet i artikel 32
anmeldelsen af brud på persondatasikkerheden til tilsynsmyndighederne og underretningen af de registrerede om sådanne brud på persondatasikkerheden
overførslen af personoplysninger til tredjelande eller internationale organisationer, eller
udenretslige procedurer og andre procedurer for bilæggelse af tvister mellem dataansvarlige og registrerede vedrørende behandling, uden at det berører registreredes rettigheder i henhold til artikel 77 og 79.
Artikel 41
Kontrol af godkendte adfærdskodekser
Et organ som omhandlet i stk. 1 kan akkrediteres til at kontrollere overholdelsen af en adfærdskodeks, hvis dette organ har:
påvist sin uafhængighed og ekspertise for så vidt angår kodeksens genstand til den kompetente tilsynsmyndigheds tilfredshed
fastlagt procedurer, der gør det muligt for organet at vurdere dataansvarliges og databehandleres egnethed til at anvende kodeksen, kontrollere deres overholdelse af dens bestemmelser og regelmæssigt vurdere kodeksens virkemåde
fastlagt procedurer og ordninger for behandling af klager over overtrædelser af kodeksen eller den måde, hvorpå kodeksen er blevet eller bliver gennemført af en dataansvarlig eller en databehandler, og at gøre disse procedurer og ordninger gennemsigtige for registrerede og offentligheden, og
påvist til den kompetente tilsynsmyndigheds tilfredshed, at dets opgaver og pligter ikke fører til en interessekonflikt.
Artikel 42
Certificering
Artikel 43
Certificeringsorganer
Uden at dette berører den kompetente tilsynsmyndigheds opgaver og beføjelser i henhold til artikel 57 og 58, udsteder og forlænger certificeringsorganer, der har et passende ekspertiseniveau for så vidt angår databeskyttelse, certificering, efter at have underrettet tilsynsmyndigheden for at gøre det muligt for den at udøve sine beføjelser i henhold til artikel 58, stk. 2, litra h), hvis det er nødvendigt. Medlemsstaterne sikrer, at disse certificeringsorganer akkrediteres af en eller begge af følgende:
den tilsynsmyndighed, der er kompetent i henhold til artikel 55 eller 56
det nationale akkrediteringsorgan, som er udpeget i overensstemmelse med Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 ( 2 ) i overensstemmelse med EN-ISO/IEC 17065/2012 og med de supplerende krav, der er fastsat af den tilsynsmyndighed, som er kompetent i henhold til artikel 55 eller 56.
Certificeringsorganer som omhandlet i stk. 1 akkrediteres kun i overensstemmelse med nævnte stykke, hvis de har:
påvist deres uafhængighed og ekspertise med hensyn til certificeringens genstand til den kompetente tilsynsmyndigheds tilfredshed
påtaget sig at opfylde kriterierne i artikel 42, stk. 5, og er blevet godkendt af den tilsynsmyndighed, der er kompetent i henhold til artikel 55 eller 56, eller af Databeskyttelsesrådet i henhold til artikel 63
fastlagt procedurer for udstedelse, regelmæssig revision og tilbagetrækning af databeskyttelsescertificeringer, -mærkninger og -mærker
fastlagt procedurer og ordninger for behandling af klager over overtrædelser af certificering eller den måde, hvorpå certificering er blevet eller bliver gennemført af en dataansvarlig eller en databehandler, og for, hvordan disse procedurer og ordninger gøres gennemsigtige for registrerede og offentligheden, og
vist til den kompetente tilsynsmyndigheds tilfredshed, at deres opgaver og pligter ikke fører til en interessekonflikt.
KAPITEL V
Overførsler af personoplysninger til tredjelande eller internationale organisationer
Artikel 44
Generelt princip for overførsler
Enhver overførsel af personoplysninger, som underkastes behandling eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, må kun finde sted, hvis betingelserne i dette kapitel med forbehold af de øvrige bestemmelser i denne forordning opfyldes af den dataansvarlige og databehandleren, herunder ved videreoverførsel af personoplysninger fra det pågældende tredjeland eller den pågældende internationale organisation til et andet tredjeland eller en anden international organisation. Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau, som fysiske personer garanteres i medfør af denne forordning, ikke undermineres.
Artikel 45
Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet
Ved vurdering af beskyttelsesniveauets tilstrækkelighed tager Kommissionen navnlig følgende elementer i betragtning:
retsstatsprincippet, respekt for menneskerettighederne og de grundlæggende frihedsrettigheder, relevant lovgivning, både generel og sektorbestemt, herunder vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og strafferet og offentlige myndigheders adgang til personoplysninger, samt gennemførelsen af sådan lovgivning, databeskyttelsesregler, faglige regler og sikkerhedsforanstaltninger, herunder regler for videreoverførsel af personoplysninger til et andet tredjeland eller en anden international organisation, der gælder i dette land eller denne internationale organisation, retspraksis samt effektive rettigheder for registrerede, som kan håndhæves, og effektiv administrativ og retslig prøvelse for de registrerede, hvis personoplysninger overføres
tilstedeværelse af en eller flere velfungerende uafhængige tilsynsmyndigheder i tredjelandet, eller som den internationale organisation er underlagt, med ansvar for at sikre og håndhæve, at databeskyttelsesreglerne overholdes, herunder tilstrækkelige håndhævelsesbeføjelser, for at bistå og rådgive de registrerede, når de udøver deres rettigheder, og for samarbejde med tilsynsmyndighederne i medlemsstaterne, og
de internationale forpligtelser, som tredjelandet eller den internationale organisation har påtaget sig, eller andre forpligtelser, der følger af retligt bindende konventioner eller instrumenter og af landets eller organisationens deltagelse i multilaterale eller regionale systemer, navnlig vedrørende beskyttelse af personoplysninger.
I behørigt begrundede særligt hastende tilfælde vedtager Kommissionen efter proceduren i artikel 93, stk. 3, gennemførelsesretsakter, der finder anvendelse straks.
Artikel 46
Overførsler omfattet af fornødne garantier
De fornødne garantier i stk. 1 kan uden krav om specifik godkendelse fra en tilsynsmyndighed sikres gennem:
et retligt bindende instrument, som kan håndhæves, mellem offentlige myndigheder eller organer
bindende virksomhedsregler i overensstemmelse med artikel 47
standardbestemmelser om databeskyttelse vedtaget af Kommissionen efter undersøgelsesproceduren i artikel 93, stk. 2
standardbestemmelser om databeskyttelse vedtaget af en tilsynsmyndighed og godkendt af Kommissionen efter undersøgelsesproceduren i artikel 93, stk. 2
en godkendt adfærdskodeks i medfør af artikel 40 sammen med bindende tilsagn, som kan håndhæves, fra den dataansvarlige eller databehandleren i tredjelandet om at anvende de fornødne garantier, herunder vedrørende registreredes rettigheder, eller
en godkendt certificeringsmekanisme i medfør af artikel 42 sammen med bindende tilsagn, som kan håndhæves, fra den dataansvarlige eller databehandleren i tredjelandet om at anvende de fornødne garantier, herunder vedrørende registreredes rettigheder.
Med forbehold af godkendelse fra den kompetente tilsynsmyndighed kan de fornødne garantier i stk. 1 også sikres gennem navnlig:
kontraktbestemmelser mellem den dataansvarlige eller databehandleren og den dataansvarlige, databehandleren eller modtageren af personoplysninger i tredjelandet eller den internationale organisation, eller
bestemmelser, der medtages i administrative ordninger mellem offentlige myndigheder eller organer, og som omfatter effektive rettigheder, som kan håndhæves, for registrerede.
Artikel 47
Bindende virksomhedsregler
I overensstemmelse med den sammenhængsmekanisme, der er omhandlet i artikel 63, godkender den kompetente tilsynsmyndighed bindende virksomhedsregler, såfremt de:
er retligt bindende og gælder for og håndhæves af alle berørte medlemmer i den koncern eller gruppe af foretagender, der udøver en fælles økonomisk aktivitet, herunder deres medarbejdere
udtrykkeligt tillægger registrerede rettigheder, som kan håndhæves, for så vidt angår behandling af deres personoplysninger, og
opfylder kravene i stk. 2.
De bindende virksomhedsregler i stk. 1 skal mindst angive:
strukturen i og kontaktoplysningerne for den koncern eller gruppe af foretagender, der er udøver en fælles økonomisk aktivitet, og hvert af dens medlemmer
overførslerne eller rækken af overførsler af oplysninger, herunder kategorier af personoplysninger, behandlingstype og -formål, typen af berørte registrerede og angivelse af det pågældende tredjeland eller de pågældende tredjelande
deres retligt bindende karakter, både internt og eksternt
anvendelsen af de generelle databeskyttelsesprincipper, navnlig formålsbegrænsning, dataminimering, begrænsede opbevaringsperioder, datakvalitet, databeskyttelse gennem design og databeskyttelse gennem standardindstillinger, retsgrundlag for behandling, behandling af særlige kategorier af personoplysninger, foranstaltninger til at sikre datasikkerhed og krav til videreoverførsel til organer, der ikke er underlagt de bindende virksomhedsregler
de registreredes rettigheder med hensyn til behandling og midler til at udøve disse rettigheder, herunder til ikke at blive gjort til genstand for afgørelser, som alene er truffet på grundlag af automatisk behandling, herunder profilering, jf. artikel 22, samt retten til at indgive klage til den kompetente tilsynsmyndighed og de kompetente domstole i medlemsstaterne, jf. artikel 79, og til at modtage godtgørelse og, hvis det er relevant, erstatning for brud på de bindende virksomhedsregler
den dataansvarliges eller databehandlerens accept af ansvaret for ethvert brud på de bindende virksomhedsregler, der begås af en berørt virksomhed i koncernen, som ikke er etableret i Unionen, når den dataansvarlige eller databehandleren er etableret inden for en medlemsstats område; den dataansvarlige eller databehandleren fritages kun helt eller delvis for dette ansvar, hvis vedkommende beviser, at den pågældende virksomhed ikke er skyld i den begivenhed, der medførte skaden
hvordan informationen om bindende virksomhedsregler, navnlig de bestemmelser, der er omhandlet i litra d), e) og f), gives til de registrerede ud over den information, der er omhandlet i artikel 13 og 14
opgaverne for enhver databeskyttelsesrådgiver, der er udpeget i henhold til artikel 37, eller enhver anden person eller enhed med ansvar for overvågning af overholdelse af de bindende virksomhedsregler inden for koncernen eller gruppen af foretagender, der udøver en fælles økonomisk aktivitet, samt overvågning af uddannelse og håndtering af klager
klageprocedurerne
de mekanismer i koncernen eller gruppen af foretagender, der udøver en fælles økonomisk aktivitet, som skal sikre kontrol af overholdelse af de bindende virksomhedsregler. Sådanne mekanismer skal omfatte databeskyttelsesrevisioner og metoder til at sikre korrigerende foranstaltninger med henblik på at beskytte de registreredes rettigheder. Resultaterne af denne revision bør meddeles den person eller enhed, der er omhandlet i litra h), og bestyrelsen i kontrolvirksomheden i en koncern eller i gruppen af foretagender, der udøver en fælles økonomisk aktivitet, og bør være tilgængelige på anmodning af den kompetente tilsynsmyndighed
mekanismerne til indberetning og registrering af ændringer af reglerne og indberetning af disse ændringer til tilsynsmyndigheden
den mekanisme til samarbejde med tilsynsmyndigheden, som har til formål at sikre, at alle virksomheder i koncernen eller gruppen af foretagender, der udøver en fælles økonomisk aktivitet, overholder reglerne, navnlig ved at forelægge tilsynsmyndigheden resultaterne af revisionen af de foranstaltninger, der er omhandlet i litra j)
mekanismerne til indberetning til den kompetente tilsynsmyndighed af retlige forpligtelser, som en virksomhed i koncernen eller gruppen af foretagender, der udøver en fælles økonomisk aktivitet, er omfattet af i et tredjeland, og som sandsynligvis vil have betydelig negativ indvirkning på garantierne i de bindende virksomhedsregler, og
den passende databeskyttelsesuddannelse, som personale, der har permanent eller regelmæssig adgang til personoplysninger, skal følge.
Artikel 48
Overførsel eller videregivelse uden hjemmel i EU-retten
Enhver dom afsagt af en domstol eller ret og enhver afgørelse truffet af en administrativ myndighed i et tredjeland, der kræver, at en dataansvarlig eller en databehandler overfører eller videregiver personoplysninger, kan kun anerkendes eller håndhæves på nogen måde, hvis den bygger på en international aftale, såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen eller en medlemsstat, uden at det berører andre grunde til overførsel i henhold til dette kapitel.
Artikel 49
Undtagelser i særlige situationer
I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45, stk. 3, eller fornødne garantier i henhold til artikel 46, herunder bindende virksomhedsregler, må en overførsel eller flere overførsler af personoplysninger til et tredjeland eller en international organisation kun finde sted på en af følgende betingelser:
den registrerede udtrykkelig har givet samtykke til den foreslåede overførsel efter at være blevet informeret om de mulige risici, som sådanne overførsler kan medføre for den registrerede på grund af den manglende afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller fornødne garantier
overførslen er nødvendig af hensyn til opfyldelse af en kontrakt mellem den registrerede og den dataansvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan kontrakt
overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt, der i den registreredes interesse indgås mellem den dataansvarlige og en anden fysisk eller juridisk person
overførslen er nødvendig af hensyn til vigtige samfundsinteresser
overførslen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares
overførslen er nødvendig for at beskytte den registreredes eller andre personers vitale interesser, hvis den registrerede ikke fysisk eller juridisk er i stand til at give samtykke
overførslen finder sted fra et register, der ifølge EU-ret eller medlemsstaternes nationale ret er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri, men kun i det omfang de ved EU-ret eller medlemsstaternes nationale ret fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde
►C1 Hvis overførsel ikke kan have hjemmel i en bestemmelse i artikel 45 eller 46, herunder bestemmelserne om bindende virksomhedsregler, og ingen af undtagelserne i særlige situationer omhandlet i dette stykkes første afsnit finder anvendelse, må en overførsel til et tredjeland eller en international organisation kun finde sted, hvis overførslen ikke gentages, ◄ hvis overførslen ikke gentages, kun vedrører et begrænset antal registrerede, er nødvendig af hensyn til vægtige legitime interesser, som forfølges af den dataansvarlige, den registreredes interesser eller rettigheder og frihedsrettigheder ikke går forud for disse interesser, og den dataansvarlige har vurderet alle omstændigheder i forbindelse med overførslen og på grundlag af denne vurdering giver passende garantier for beskyttelse af personoplysningerne. Den dataansvarlige underretter tilsynsmyndigheden om overførslen. Ud over oplysningerne i artikel 13 og 14 underretter den dataansvarlige den registrerede om overførslen og om de vægtige legitime interesser, der forfølges.
Artikel 50
Internationalt samarbejde om beskyttelse af personoplysninger
Kommissionen og tilsynsmyndighederne træffer i forhold til tredjelande og internationale organisationer de nødvendige foranstaltninger til at:
udvikle internationale samarbejdsmekanismer med henblik på at lette effektiv håndhævelse af lovgivningen om beskyttelse af personoplysninger
yde international gensidig bistand i håndhævelse af lovgivningen om beskyttelse af personoplysninger, herunder gennem anmeldelse, indbringelse af klager, efterforskningsbistand og informationsudveksling, under iagttagelse af de fornødne garantier for beskyttelse af personoplysninger og andre grundlæggende rettigheder og frihedsrettigheder
inddrage relevante interessenter i drøftelser og aktiviteter, der har til formål at fremme det internationale samarbejde om håndhævelse af lovgivningen om beskyttelse af personoplysninger
fremme udveksling og dokumentation af lovgivning om beskyttelse af personoplysninger og praksis på området, herunder om kompetencekonflikter med tredjelande.
KAPITEL VI
Uafhængige tilsynsmyndigheder
Artikel 51
Tilsynsmyndighed
Artikel 52
Uafhængighed
Artikel 53
Generelle betingelser for medlemmer af en tilsynsmyndighed
Medlemsstaterne sikrer, at hvert medlem af en tilsynsmyndighed udnævnes efter en gennemsigtig procedure af:
Artikel 54
Regler om oprettelse af en tilsynsmyndighed
Hver medlemsstat fastsætter ved lov alle af følgende:
den enkelte tilsynsmyndigheds oprettelse
de nødvendige kvalifikationer og udvælgelseskriterier, der skal være opfyldt for at kunne blive udnævnt til medlem af den enkelte tilsynsmyndighed
reglerne og procedurerne for udnævnelse af medlemmet eller medlemmerne af den enkelte tilsynsmyndighed
embedsperioden for medlemmet eller medlemmerne af den enkelte tilsynsmyndighed på mindst fire år, med undtagelse af den første udnævnelse efter den 24. maj 2016, som kan være af kortere varighed, hvis det er nødvendigt for at beskytte den pågældende tilsynsmyndigheds uafhængighed ved hjælp af en forskudt udnævnelsesprocedure
om og i bekræftende fald for hvor mange embedsperioder medlemmet eller medlemmerne af den enkelte tilsynsmyndighed kan genudnævnes
betingelserne vedrørende forpligtelser for den enkelte tilsynsmyndigheds medlem eller medlemmer og personale, forbud mod handlinger, hverv og fordele, der er uforenelige hermed, under og efter embedsperioden, og regler for arbejdsophør.
Artikel 55
Kompetence
Artikel 56
Den ledende tilsynsmyndigheds kompetence
Artikel 57
Opgaver
Uden at dette berører andre opgaver, der er fastsat i denne forordning, skal hver tilsynsmyndighed på sit område:
føre tilsyn med og håndhæve anvendelsen af denne forordning
fremme offentlighedens kendskab til og forståelse af risici, regler, garantier og rettigheder i forbindelse med behandling Der skal sættes særlig fokus på aktiviteter, der er direkte rettet mod børn
i henhold til medlemsstaternes nationale ret rådgive det nationale parlament, regeringen og andre institutioner og organer om lovgivningsmæssige og administrative foranstaltninger til beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling
fremme dataansvarliges og databehandleres kendskab til deres forpligtelser i henhold til denne forordning
efter anmodning informere registrerede om udøvelse af deres rettigheder i henhold til denne forordning og med henblik herpå samarbejde med tilsynsmyndighederne i andre medlemsstater, hvis det er relevant
behandle klager, der indgives af en registreret eller af et organ, en organisation eller en sammenslutning i overensstemmelse med artikel 80, og, for så vidt det er hensigtsmæssigt, undersøge genstanden for klagen og underrette klageren om forløbet og resultatet af undersøgelsen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig
samarbejde med andre tilsynsmyndigheder, herunder gennem udveksling af oplysninger og gensidig bistand, med henblik på at sikre ensartet anvendelse og håndhævelse af denne forordning
gennemføre undersøgelser om anvendelsen af denne forordning, herunder på grundlag af oplysninger, der er modtaget fra en anden tilsynsmyndighed eller en anden offentlig myndighed
holde øje med relevant udvikling, for så vidt den har indvirkning på beskyttelse af personoplysninger, navnlig udviklingen inden for informations- og kommunikationsteknologi og handelspraksis
vedtage standardkontraktbestemmelser som omhandlet i artikel 28, stk. 8, og i artikel 46, stk. 2, litra d)
opstille og føre en liste i forbindelse med kravet om en konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 35, stk. 4
rådgive om behandlingsaktiviteter som omhandlet i artikel 36, stk. 2
tilskynde til udarbejdelse af adfærdskodekser i henhold til artikel 40, stk. 1, og afgive udtalelse om og godkende sådanne adfærdskodekser, som sikrer tilstrækkelige garantier i henhold til artikel 40, stk. 5
tilskynde til fastlæggelse af certificeringsmekanismer for databeskyttelse og databeskyttelsesmærkninger og -mærker i henhold til artikel 42, stk. 1, og godkende kriterierne for certificering i henhold til artikel 42, stk. 5
når det er relevant, regelmæssigt gennemgå certificeringer udstedt i henhold til artikel 42, stk. 7
opstille og offentliggøre kravene til akkreditering af et organ til kontrol af adfærdskodekser i henhold til artikel 41 og af et certificeringsorgan i henhold til artikel 43
foretage akkreditering af et organ til kontrol af adfærdskodekser i henhold til artikel 41 og af et certificeringsorgan i henhold til artikel 43
godkende kontraktbestemmelser og bestemmelser som omhandlet i artikel 46, stk. 3
godkende bindende virksomhedsregler i henhold til artikel 47
bidrage til Databeskyttelsesrådets aktiviteter
føre interne fortegnelser over overtrædelser af denne forordning og over foranstaltninger, der er truffet i henhold til artikel 58, stk. 2, og
udføre enhver anden opgave i forbindelse med beskyttelse af personoplysninger.
Artikel 58
Beføjelser
Hver tilsynsmyndighed har alle af følgende undersøgelsesbeføjelser:
at give den dataansvarlige og databehandleren samt den dataansvarliges eller databehandlerens eventuelle repræsentant påbud om at give alle oplysninger, der kræves til udførelse af myndighedens opgaver
at foretage undersøgelser i form af databeskyttelsesrevisioner
at foretage en revision af certificeringer udstedt i henhold til artikel 42, stk. 7
at underrette den dataansvarlige eller databehandleren om en påstået overtrædelse af denne forordning
af den dataansvarlige eller databehandleren at få adgang til alle personoplysninger og oplysninger, der er nødvendige for at varetage dens opgaver
at få adgang til alle lokaler hos den dataansvarlige og databehandleren, herunder til databehandlingsudstyr og -midler, i overensstemmelse med retsplejeregler i EU-retten eller medlemsstaternes nationale ret.
Hver tilsynsmyndighed har alle af følgende korrigerende beføjelser:
at udstede advarsler til en dataansvarlig eller en databehandler om, at planlagte behandlingsaktiviteter sandsynligvis vil være i strid med denne forordning
at udtale kritik af en dataansvarlig eller en databehandler, hvis behandlingsaktiviteter har været i strid med denne forordning
at give den dataansvarlige eller databehandleren påbud om at imødekomme den registreredes anmodninger om at udøve sine rettigheder i henhold til denne forordning
at give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i overensstemmelse med bestemmelserne i denne forordning og, hvis det er hensigtsmæssigt, på en nærmere angivet måde og inden for en nærmere angivet frist
at give den dataansvarlige påbud om at underrette den registrerede om et brud på persondatasikkerheden
midlertidigt eller definitivt at begrænse, herunder forbyde, behandling
at give påbud om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling i henhold til artikel 16, 17 og 18 og meddelelse af sådanne handlinger til de modtagere, som personoplysningerne er videregivet til i henhold til artikel 17, stk. 2, og artikel 19
at trække en certificering tilbage eller at give et certificeringsorgan påbud om at trække en certificering, der er udstedt i henhold til artikel 42 og 43, tilbage eller at give certificeringsorganet påbud om ikke at udstede en certificering, hvis kravene til certificering ikke er eller ikke længere er opfyldt
at pålægge en administrativ bøde i henhold til artikel 83 i tillæg til eller i stedet for foranstaltningerne i dette stykke, afhængigt af omstændighederne i hvert enkelt tilfælde, og
at påbyde suspension af overførsel af oplysninger til en modtager i et tredjeland eller til en international organisation.
Hver tilsynsmyndighed har alle af følgende godkendelses- og rådgivningsbeføjelser:
at rådgive den dataansvarlige efter den procedure for forudgående høring, der er omhandlet i artikel 36
på eget initiativ eller på anmodning at afgive udtalelser til det nationale parlament, medlemsstatens regering eller i overensstemmelse med medlemsstaternes nationale ret til andre institutioner og organer samt offentligheden om ethvert spørgsmål om beskyttelse af personoplysninger
at godkende den i artikel 36, stk. 5, omhandlede behandling, hvis en sådan forudgående godkendelse er påkrævet i henhold til den pågældende medlemsstats nationale ret
at afgive udtalelse og godkende forslag til adfærdskodekser i henhold til artikel 40, stk. 5
at akkreditere certificeringsorganer i henhold til artikel 43
at udstede certificeringer og godkende kriterier for certificering i overensstemmelse med artikel 42, stk. 5
at vedtage standardbestemmelser om databeskyttelse som omhandlet i artikel 28, stk. 8, og i artikel 46, stk. 2, litra d)
at godkende kontraktbestemmelser som omhandlet i artikel 46, stk. 3, litra a)
at godkende administrative ordninger som omhandlet i artikel 46, stk. 3, litra b)
at godkende bindende virksomhedsregler i henhold til artikel 47.
Artikel 59
Aktivitetsrapport
Hver tilsynsmyndighed udarbejder en årlig rapport om sin virksomhed, eventuelt med en liste over, hvilke typer overtrædelser der er blevet anmeldt, og hvilke typer foranstaltninger der er truffet i henhold til artikel 58, stk. 2. Disse rapporter fremsendes til det nationale parlament, regeringen og andre myndigheder, der er udpeget efter medlemsstaternes nationale ret. De gøres tilgængelige for offentligheden, Kommissionen og Databeskyttelsesrådet.
KAPITEL VII
Samarbejde og sammenhæng
Artikel 60
Samarbejde mellem den ledende tilsynsmyndighed og de andre berørte tilsynsmyndigheder
Artikel 61
Gensidig bistand
Den anmodede tilsynsmyndighed må ikke afvise at imødekomme anmodningen, medmindre:
den ikke har kompetence med hensyn til genstanden for anmodningen eller de foranstaltninger, som den anmodes om at iværksætte, eller
imødekommelse af anmodningen ville udgøre en overtrædelse af denne forordning eller af EU-ret eller medlemsstaternes nationale ret, som den tilsynsmyndighed, der modtager anmodningen, er underlagt.
Artikel 62
Tilsynsmyndigheders fælles aktiviteter
Artikel 63
Sammenhængsmekanisme
Med henblik på at bidrage til en ensartet anvendelse af denne forordning i hele Unionen samarbejder tilsynsmyndighederne med hinanden og, hvis det er relevant, med Kommissionen gennem den sammenhængsmekanisme, der er omhandlet i denne afdeling.
Artikel 64
Udtalelse fra Databeskyttelsesrådet
Databeskyttelsesrådet afgiver en udtalelse, når en kompetent tilsynsmyndighed har til hensigt at vedtage en af nedenstående foranstaltninger. Med henblik herpå sender den kompetente tilsynsmyndighed et udkast til afgørelse til Databeskyttelsesrådet, når den:
har til hensigt at vedtage en liste over typer af behandlingsaktiviteter, som er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 35, stk. 4
behandler et spørgsmål i henhold til artikel 40, stk. 7, om, hvorvidt et udkast til adfærdskodeks eller en ændring eller udvidelse af en adfærdskodeks overholder denne forordning
har til hensigt at godkende kravene til akkreditering af et organ i henhold til artikel 41, stk. 3, af et certificeringsorgan i henhold til artikel 43, stk. 3, eller kriterierne for certificering som omhandlet i artikel 42, stk. 5
har til hensigt at vedtage standardbestemmelser om databeskyttelse som omhandlet i artikel 46, stk. 2, litra d), og i artikel 28, stk. 8
har til hensigt at godkende kontraktbestemmelser som omhandlet i artikel 46, stk. 3, litra a), eller
har til hensigt at godkende bindende virksomhedsregler som omhandlet i artikel 47.
Formanden for Databeskyttelsesrådet underretter uden unødig forsinkelse elektronisk:
medlemmerne af Databeskyttelsesrådet og Kommissionen om alle relevante oplysninger, som vedkommende har modtaget, i et standardformat. Sekretariatet for Databeskyttelsesrådet sørger efter behov for oversættelse af de relevante oplysninger, og
den tilsynsmyndighed, der er omhandlet i stk. 1 og 2, og Kommissionen om den pågældende udtalelse og offentliggør den.
Artikel 65
Tvistbilæggelse ved Databeskyttelsesrådet
Med henblik på at sikre korrekt og konsekvent anvendelse af denne forordning i hvert enkelt tilfælde vedtager Databeskyttelsesrådet en bindende afgørelse i følgende tilfælde:
►C1 hvis en berørt tilsynsmyndighed i et tilfælde som omhandlet i artikel 60, stk. 4, er fremkommet med en relevant og begrundet indsigelse mod et udkast til afgørelse udarbejdet af den ledende tilsynsmyndighed, og den ledende tilsynsmyndighed ikke har fulgt indsigelsen eller har afvist en sådan indsigelse som værende uden relevans eller ubegrundet. ◄ Den bindende afgørelse skal vedrøre alle spørgsmål, der er genstand for den relevante og begrundede indsigelse, navnlig hvorvidt denne forordning er overtrådt
hvis der er uenighed om, hvilken af de berørte tilsynsmyndigheder der er kompetent med hensyn til hovedvirksomheden
hvis en kompetent tilsynsmyndighed ikke anmoder om udtalelse fra Databeskyttelsesrådet i de tilfælde, der er omhandlet i artikel 64, stk. 1, eller ikke følger Databeskyttelsesrådets udtalelse udstedt i henhold til artikel 64. I så fald kan enhver berørt tilsynsmyndighed eller Kommissionen indbringe spørgsmålet for Databeskyttelsesrådet.
Artikel 66
Hasteprocedure
Artikel 67
Udveksling af oplysninger
Kommissionen kan vedtage gennemførelsesretsakter af generel karakter med henblik på nærmere at angive ordningerne for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder og mellem tilsynsmyndigheder og Databeskyttelsesrådet, navnlig det standardformat, der er omhandlet i artikel 64.
Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 93, stk. 2.
Artikel 68
Det Europæiske Databeskyttelsesråd
Artikel 69
Uafhængighed
Artikel 70
Databeskyttelsesrådets opgaver
Databeskyttelsesrådet sikrer ensartet anvendelse af denne forordning. Med henblik herpå skal Databeskyttelsesrådet på eget initiativ eller, når det er relevant, efter anmodning fra Kommissionen navnlig:
føre tilsyn med og sikre korrekt anvendelse af denne forordning i de tilfælde, der er omhandlet i artikel 64 og 65, uden at dette berører de nationale tilsynsmyndigheders opgaver
rådgive Kommissionen om ethvert spørgsmål vedrørende beskyttelse af personoplysninger i Unionen, herunder om ethvert forslag til ændring af denne forordning
rådgive Kommissionen om format og procedurer for videregivelse af oplysninger mellem dataansvarlige, databehandlere og tilsynsmyndigheder vedrørende bindende virksomhedsregler
udstede retningslinjer, henstillinger og bedste praksis vedrørende procedurer for sletning af link til og kopier eller gengivelser af personoplysninger fra offentligt tilgængelige kommunikationstjenester som omhandlet i artikel 17, stk. 2
på eget initiativ, efter anmodning fra et af sine medlemmer eller efter anmodning fra Kommissionen undersøge ethvert spørgsmål vedrørende anvendelsen af denne forordning og udstede retningslinjer, henstillinger og bedste praksis for at fremme ensartet anvendelse af denne forordning
udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på nærmere at angive kriterierne og betingelserne for afgørelser baseret på profilering i henhold til artikel 22, stk. 2
udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på fastlæggelse af brud på persondatasikkerheden og den unødige forsinkelse omhandlet i artikel 33, stk. 1 og 2, og vedrørende de særlige omstændigheder, hvor en dataansvarlig eller en databehandler har pligt til at anmelde brud på persondatasikkerheden
udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) vedrørende de omstændigheder, hvor brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder som omhandlet i artikel 34, stk. 1
udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på nærmere at angive kriterierne for og kravene til overførsel af personoplysninger baseret på bindende virksomhedsregler, som dataansvarlige overholder, og bindende virksomhedsregler, som databehandlere overholder, og vedrørende yderligere krav til at sikre beskyttelse af de berørte registreredes personoplysninger som omhandlet i artikel 47
udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på nærmere at angive kriterierne for og kravene til overførsel af personoplysninger på grundlag af artikel 49, stk. 1
udarbejde retningslinjer for tilsynsmyndighederne vedrørende anvendelse af foranstaltninger, jf. artikel 58, stk. 1, 2 og 3, og fastsættelse af administrative bøder i henhold til artikel 83
gennemgå den praktiske anvendelse af retningslinjerne, henstillingerne og den bedste praksis
udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på fastlæggelse af fælles procedurer for fysiske personers indberetning af overtrædelser af denne forordning, jf. artikel 54, stk. 2,
tilskynde til udarbejdelse af adfærdskodekser og fastlæggelse af certificeringsmekanismer for databeskyttelse og databeskyttelsesmærkninger og -mærker i henhold til artikel 40 og 42
godkende kriterierne for certificering i henhold til artikel 42, stk. 5, og føre et offentligt register over certificeringsmekanismer og databeskyttelsesmærkninger og -mærker i henhold til artikel 42, stk. 8, og over de certificerede dataansvarlige eller databehandlere i tredjelande i henhold til artikel 42, stk. 7
godkende de krav, der er omhandlet i artikel 43, stk. 3, med henblik på akkreditering af certificeringsorganer som omhandlet i artikel 43
afgive udtalelse til Kommissionen om de certificeringskrav, der er omhandlet i artikel 43, stk. 8
afgive udtalelse til Kommissionen om de ikoner, der er omhandlet i artikel 12, stk. 7
afgive udtalelse til Kommissionen med henblik på vurdering af tilstrækkeligheden af beskyttelsesniveauet i et tredjeland eller en international organisation, herunder vurdering af, om et tredjeland, et område eller en eller flere specifikke sektorer i det pågældende tredjeland, eller en international organisation ikke længere sikrer et tilstrækkeligt beskyttelsesniveau. Til dette formål forelægger Kommissionen Databeskyttelsesrådet al nødvendig dokumentation vedrørende tredjelandet, området eller den specifikke sektor, eller den internationale organisation, herunder korrespondance med regeringen i tredjelandet,
afgive udtalelser om tilsynsmyndigheders udkast til afgørelse i overensstemmelse med den sammenhængsmekanisme, der er omhandlet i artikel 64, stk. 1, og om sager, der er forelagt i henhold til artikel 64, stk. 2, og udstede bindende afgørelser i henhold til artikel 65, herunder i de tilfælde, der er omhandlet i artikel 66
fremme samarbejdet og effektiv bilateral og multilateral udveksling af oplysninger og bedste praksis mellem tilsynsmyndighederne
fremme fælles uddannelsesprogrammer og udveksling af personale mellem tilsynsmyndighederne og i relevante tilfælde med tilsynsmyndighederne i tredjelande eller med internationale organisationer
fremme udveksling af viden og dokumentation vedrørende databeskyttelseslovgivning og -praksis med datatilsynsmyndigheder over hele verden
afgive udtalelser om adfærdskodekser, der udarbejdes på EU-plan, jf. artikel 40, stk. 9, og
føre et offentligt tilgængeligt elektronisk register over afgørelser truffet af tilsynsmyndigheder og domstole om spørgsmål, der er blevet behandlet i sammenhængsmekanismen.
Artikel 71
Rapporter
Artikel 72
Procedure
Artikel 73
Formand
Artikel 74
Formandens opgaver
Formanden har følgende opgaver:
at indkalde til møder i Databeskyttelsesrådet og udarbejde dagsordenen herfor
at underrette den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder om de afgørelser, der vedtages af Databeskyttelsesrådet i henhold til artikel 65
at sikre, at Databeskyttelsesrådets opgaver udføres rettidigt, navnlig i forbindelse med den sammenhængsmekanisme, der er omhandlet i artikel 63.
Artikel 75
Sekretariat
Sekretariatet er navnlig ansvarligt for:
Databeskyttelsesrådets daglige arbejde
kommunikation mellem medlemmerne af Databeskyttelsesrådet, dets formand og Kommissionen
kommunikation med andre institutioner og offentligheden
brug af elektroniske midler til intern og ekstern kommunikation
oversættelse af relevante oplysninger
forberedelse og opfølgning af Databeskyttelsesrådets møder
forberedelse, udarbejdelse og offentliggørelse af udtalelser, afgørelser om bilæggelse af tvister mellem tilsynsmyndigheder og andre dokumenter, der vedtages af Databeskyttelsesrådet.
Artikel 76
Fortrolighed
KAPITEL VIII
Retsmidler, ansvar og sanktioner
Artikel 77
Ret til at indgive klage til en tilsynsmyndighed
Artikel 78
Adgang til effektive retsmidler over for en tilsynsmyndighed
Artikel 79
Adgang til effektive retsmidler over for en dataansvarlig eller databehandler
Artikel 80
Repræsentation af registrerede
Artikel 81
Udsættelse af en sag
Artikel 82
Ret til erstatning og erstatningsansvar
Artikel 83
Generelle betingelser for pålæggelse af administrative bøder
Afhængigt af omstændighederne i hver enkelt sag pålægges administrative bøder i tillæg til eller i stedet for foranstaltninger som omhandlet i artikel 58, stk. 2, litra a)-h) og j). Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt sag, tages der behørigt hensyn til følgende:
overtrædelsens karakter, alvor og varighed under hensyntagen til pågældende behandlings karakter, omfang eller formål samt antal registrerede, der er berørt, og omfanget af den skade, som de har lidt
hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt
eventuelle foranstaltninger, der er truffet af den dataansvarlige eller databehandleren for at begrænse den skade, som den registrerede har lidt
den dataansvarliges eller databehandlerens grad af ansvar under hensyntagen til tekniske og organisatoriske foranstaltninger, som de har gennemført i henhold til artikel 25 og 32
den dataansvarliges eller databehandlerens eventuelle relevante tidligere overtrædelser
graden af samarbejde med tilsynsmyndigheden for at afhjælpe overtrædelsen og begrænse de negative konsekvenser, som overtrædelsen måtte have givet anledning til
de kategorier af personoplysninger, der er berørt af overtrædelsen
den måde, hvorpå tilsynsmyndigheden fik kendskab til overtrædelsen, navnlig om den dataansvarlige eller databehandleren har underrettet om overtrædelsen, og i givet fald i hvilket omfang
overholdelse af de foranstaltninger, der er omhandlet i artikel 58, stk. 2, hvis der tidligere over for den pågældende dataansvarlige eller databehandler er blevet truffet sådanne foranstaltninger med hensyn til samme genstand
overholdelse af godkendte adfærdskodekser i henhold til artikel 40 eller godkendte certificeringsmekanismer i henhold til artikel 42, og
om der er andre skærpende eller formildende faktorer ved sagens omstændigheder, såsom opnåede økonomiske fordele eller undgåede tab som direkte eller indirekte følge af overtrædelsen.
Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til 10 000 000 EUR, eller hvis det drejer sig om en virksomhed, med op til 2 % af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:
den dataansvarliges og databehandlerens forpligtelser i henhold til artikel 8, 11, 25-39 og 42 og 43
certificeringsorganets forpligtelser i henhold til artikel 42 og 43
kontrolorganets forpligtelser i henhold til artikel 41, stk. 4.
Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til 20 000 000 EUR, eller hvis det drejer sig om en virksomhed, med op til 4 % af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:
de grundlæggende principper for behandling, herunder betingelserne for samtykke, i artikel 5, 6, 7 og 9
de registreredes rettigheder i henhold til artikel 12-22
overførsel af personoplysninger til en modtager i et tredjeland eller en international organisation i henhold til artikel 44-49
eventuelle forpligtigelser i medfør af medlemsstaternes nationale ret vedtaget i henhold til kapitel IX
manglende overholdelse af et påbud eller en midlertidig eller definitiv begrænsning af behandling eller tilsynsmyndighedens suspension af overførsel af oplysninger i henhold til artikel 58, stk. 2, eller manglende adgang i strid med artikel 58, stk. 1.
Artikel 84
Sanktioner
KAPITEL IX
Bestemmelser vedrørende specifikke behandlingssituationer
Artikel 85
Behandling og ytrings- og informationsfriheden
Artikel 86
Behandling og aktindsigt i officielle dokumenter
Personoplysninger i officielle dokumenter, som en offentlig myndighed eller et offentligt eller privat organ er i besiddelse af med henblik på udførelse af en opgave i samfundets interesse, må videregives af myndigheden eller organet i overensstemmelse med EU-retten eller medlemsstaternes nationale ret, som den offentlige myndighed eller organet er underlagt, for at forene aktindsigt i officielle dokumenter med retten til beskyttelse af personoplysninger i henhold til denne forordning.
Artikel 87
Behandling af nationalt identifikationsnummer
Medlemsstaterne kan nærmere fastsætte de specifikke betingelser for behandling af et nationalt identifikationsnummer eller andre almene midler til identifikation. I så fald anvendes det nationale identifikationsnummer eller ethvert andet alment middel til identifikation udelukkende med de fornødne garantier for den registreredes rettigheder og frihedsrettigheder i henhold til denne forordning.
Artikel 88
Behandling i forbindelse med ansættelsesforhold
Artikel 89
Garantier og undtagelser i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål
Artikel 90
Tavshedspligt
Artikel 91
Kirkers og religiøse sammenslutningers eksisterende databeskyttelsesregler
KAPITEL X
Delegerede retsakter og gennemførelsesforanstaltninger
Artikel 92
Udøvelse af de delegerede beføjelser
Artikel 93
Udvalgsprocedure
KAPITEL XI
Afsluttende bestemmelser
Artikel 94
Ophævelse af direktiv 95/46/EF
Artikel 95
Forhold til direktiv 2002/58/EF
Denne forordning indfører ikke yderligere forpligtelser for fysiske eller juridiske personer for så vidt angår behandling i forbindelse med levering af offentligt tilgængelige elektroniske kommunikationstjenester i offentlige kommunikationsnet i Unionen for så vidt angår spørgsmål, hvor de er underlagt specifikke forpligtelser med samme formål som det, der er fastsat i direktiv 2002/58/EF.
Artikel 96
Forhold til tidligere indgåede aftaler
Internationale aftaler, der omfatter overførsel af personoplysninger til tredjelande eller internationale organisationer, som er indgået af medlemsstaterne inden den 24. maj 2016, og som overholder den EU-ret, der finder anvendelse inden denne dato, forbliver i kraft, indtil de ændres, erstattes eller ophæves.
Artikel 97
Kommissionsrapporter
I forbindelse med de i stk. 1 omhandlede evalueringer og revisioner undersøger Kommissionen navnlig, hvordan følgende anvendes og fungerer:
kapitel V om overførsel af personoplysninger til tredjelande eller internationale organisationer, særlig med hensyn til afgørelser vedtaget i henhold til denne forordnings artikel 45, stk. 3, og afgørelser vedtaget på grundlag af artikel 25, stk. 6, i direktiv 95/46/EF
kapitel VII om samarbejde og sammenhæng.
Artikel 98
Gennemgang af andre EU-retsakter om databeskyttelse
Hvis det er relevant, fremsætter Kommissionen lovgivningsforslag til ændring af andre EU-retsakter om beskyttelse af personoplysninger for at sikre ensartet og konsekvent beskyttelse af fysiske personer i forbindelse med behandling. Dette gælder især bestemmelser om beskyttelse af fysiske personer i forbindelse med EU-institutioners, -organers, -kontorers og -agenturers behandling og om fri udveksling af sådanne oplysninger.
Artikel 99
Ikrafttræden og anvendelse
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
( 1 ) Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 af 9. september 2015 om en informationsprocedure med hensyn til tekniske forskrifter samt forskrifter for informationssamfundets tjenester (EUT L 241 af 17.9.2015, s. 1).
( 2 ) Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008 om kravene til akkreditering og markedsovervågning i forbindelse med markedsføring af produkter og om ophævelse af Rådets forordning (EØF) nr. 339/93 (EUT L 218 af 13.8.2008, s. 30).
( 3 ) Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30. maj 2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter (EFT L 145 af 31.5.2001, s. 43).