EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32018R1725

Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EØS-relevant tekst.)

PE/31/2018/REV/1

EUT L 295 af 21.11.2018, p. 39–98 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg/2018/1725/oj

21.11.2018   

DA

Den Europæiske Unions Tidende

L 295/39


EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2018/1725

af 23. oktober 2018

om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF

(EØS-relevant tekst)

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16, stk. 2,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg (1),

efter den almindelige lovgivningsprocedure (2), og

ud fra følgende betragtninger:

(1)

Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (»chartret«) og i artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde (TEUF) fastsættes det, at enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende. Denne ret sikres også i artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder.

(2)

Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 (3) sikrer fysiske personer rettigheder, der kan håndhæves, fastlægger de forpligtelser, som de dataansvarlige i fællesskabsinstitutionerne og -organerne har, og indfører en uafhængig tilsynsmyndighed, Den Europæiske Tilsynsførende for Databeskyttelse, der er ansvarlig for tilsynet med behandlingen af personoplysninger i Unionens institutioner og organer. Den gælder dog ikke for behandling af personoplysninger under udøvelsen af en aktivitet i Unionens institutioner og organer, der falder uden for EU-rettens anvendelsesområde.

(3)

Europa-Parlamentets og Rådets forordning (EU) 2016/679 (4) og Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (5) blev vedtaget den 27. april 2016. Mens forordningen fastsætter generelle regler med henblik på at beskytte fysiske personer i forbindelse med behandlingen af personoplysninger og sikre fri udveksling af personoplysninger i Unionen, fastsætter direktivet særlige regler med henblik på at beskytte fysiske personer i forbindelse med behandlingen af personoplysninger og at sikre fri udveksling af personoplysninger i Unionen inden for retligt samarbejde i straffesager og politisamarbejde.

(4)

I henhold til forordning (EU) 2016/679 skal forordning (EF) nr. 45/2001 tilpasses med henblik på sikre en stærk og sammenhængende databeskyttelsesramme i Unionen og muliggøre dennes anvendelse parallelt med forordning (EU) 2016/679.

(5)

Af hensyn til en sammenhængende tilgang til beskyttelse af personoplysninger i hele Unionen og den fri udveksling af personoplysninger i Unionen bør databeskyttelsesreglerne for Unionens institutioner, organer, kontorer og agenturer så vidt muligt tilpasses til de databeskyttelsesregler, der er vedtaget for den offentlige sektor i medlemsstaterne. Når bestemmelserne i nærværende forordning følger de samme principper som bestemmelserne i forordning (EU) 2016/679, bør disse to sæt bestemmelser i overensstemmelse med retspraksis fra Den Europæiske Unions Domstol (»EU-Domstolen«) fortolkes ensartet, navnlig fordi ordningen i nærværende forordning skal betragtes som svarende til ordningen i forordning (EU) 2016/679.

(6)

Personer, hvis personoplysninger behandles af Unionens institutioner og organer, uanset i hvilken sammenhæng, f.eks. fordi de er ansat af disse institutioner og organer, bør beskyttes. Denne forordning bør ikke finde anvendelse på behandlingen af personoplysninger om afdøde personer. Denne forordning finder ikke anvendelse på behandling af personoplysninger, der vedrører juridiske personer, navnlig virksomheder, der er etableret som juridiske personer, herunder den juridiske persons navn, form og kontaktoplysninger.

(7)

For at undgå at skabe en alvorlig risiko for omgåelse bør beskyttelsen af fysiske personer være teknologineutral og ikke afhænge af de anvendte teknikker.

(8)

Denne forordning bør finde anvendelse på behandling af personoplysninger i alle Unionens institutioner, organer, kontorer og agenturer. Den bør finde anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Sagsmapper eller samlinger af sagsmapper samt deres forsider, som ikke er struktureret efter bestemte kriterier, bør ikke være omfattet af denne forordnings anvendelsesområde.

(9)

I erklæring nr. 21 om beskyttelse af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde, der er knyttet som bilag til slutakten fra den regeringskonference, der vedtog Lissabontraktaten, erkendte konferencen, at det kan blive nødvendigt med specifikke regler om beskyttelse af personoplysninger og om fri udveksling af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde baseret på artikel 16 i TEUF som følge af disse områders specifikke karakter. Et særskilt kapitel i denne forordning med generelle regler bør derfor finde anvendelse på behandling af operationelle personoplysninger, såsom personoplysninger, der behandles med henblik på strafferetlig efterforskning i Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter inden for retligt samarbejde i straffesager og politisamarbejde.

(10)

Direktiv (EU) 2016/680 fastsætter harmoniserede regler om beskyttelse og fri udveksling af personoplysninger, der behandles med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed. For at sikre det samme beskyttelsesniveau for fysiske personer gennem rettigheder, der kan håndhæves i hele Unionen, og forhindre forskelle, der hæmmer udvekslingen af personoplysninger mellem Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, og kompetente myndigheder, bør reglerne om beskyttelse og fri udveksling af operationelle personoplysninger, der behandles af sådanne af Unionens organer, kontorer eller agenturer, stemme overens med direktiv (EU) 2016/680.

(11)

De generelle regler i denne forordnings kapitel vedrørende behandling af operationelle personoplysninger bør finde anvendelse med forbehold af de særlige regler, der gælder for behandling af operationelle personoplysninger i Unionens organer, kontorer og agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF. Sådanne særlige regler bør betragtes som lex specialis i forhold til bestemmelserne i denne forordnings kapitel om behandling af operationelle personoplysninger (lex specialis derogat legi generali). Med henblik på at begrænse retlig fragmentering bør specifikke databeskyttelsesregler, der finder anvendelse på behandling af operationelle personoplysninger i Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, stemme overens med de principper, der ligger til grund for denne forordnings kapitel om behandling af operationelle personoplysninger, samt med denne forordnings bestemmelser vedrørende uafhængigt tilsyn, retsmidler, ansvar og sanktioner.

(12)

Denne forordnings kapitel i om behandling af operationelle personoplysninger bør finde anvendelse på Unionens organer, kontorer og agenturer ved udførelse af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, uanset om de udøver sådanne aktiviteter som deres primære eller accessoriske opgave, med henblik på at forebygge, afsløre, efterforske eller retsforfølge strafbare handlinger. Det bør dog ikke finde anvendelse på Europol eller på Den Europæiske Anklagemyndighed, førend retsakterne vedrørende oprettelsen af Europol og Den Europæiske Anklagemyndighed er blevet ændret, således at denne forordnings kapitel om behandling af operationelle personoplysninger, som tilpasset, finder anvendelse på dem.

(13)

Kommissionen bør foretage en evaluering af denne forordning, navnlig denne forordnings kapitel om behandling af operationelle personoplysninger. Kommissionen bør også foretage en evaluering af andre retsakter, som er vedtaget på grundlag af traktaterne, og som regulerer behandlingen af operationelle personoplysninger i Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF. Efter en sådan evaluering bør Kommissionen have mulighed for at forelægge hensigtsmæssige lovgivningsforslag, herunder om nødvendige tilpasninger af denne forordnings kapitel om behandling af operationelle personoplysninger, for at sikre en ensartet og konsekvent beskyttelse af fysiske personer med hensyn til behandling af personoplysninger og med henblik på at anvende nævnte kapitel på Europol og Den Europæiske Anklagemyndighed. Tilpasningerne bør tage hensyn til bestemmelserne om uafhængigt tilsyn, retsmidler, ansvar og sanktioner.

(14)

Behandlingen af administrative personoplysninger, såsom personaleoplysninger, i Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, bør være omfattet af denne forordning.

(15)

Denne forordning bør finde anvendelse på behandling af personoplysninger i Unionens institutioner, organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under afsnit V, kapitel 2, i traktaten om Den Europæiske Union (TEU). Denne forordning bør ikke finde anvendelse på behandling af personoplysninger i de missioner, der er omhandlet i artikel 42, stk. 1, og artikel 43 og 44 i TEU, der gennemfører den fælles sikkerheds- og forsvarspolitik. Om nødvendigt bør der fremsættes relevante forslag med henblik på yderligere regulering af behandlingen af personoplysninger inden for den fælles sikkerheds- og forsvarspolitik.

(16)

Principperne om databeskyttelse bør gælde for alle oplysninger om en identificeret eller identificerbar fysisk person. Personoplysninger, der har været genstand for pseudonymisering, og som kan henføres til en fysisk person ved brug af supplerende oplysninger, bør anses for at være oplysninger om en identificerbar fysisk person. For at afgøre, om en fysisk person er identificerbar, bør alle midler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende. For at fastslå, om midler med rimelighed kan tænkes bragt i anvendelse til at identificere en fysisk person, bør alle objektive forhold tages i betragtning, såsom de omkostninger og den tid, der er nødvendig til identifikation, under hensyntagen til den tilgængelige teknologi på behandlingstidspunktet og den teknologiske udvikling. Principperne om databeskyttelse bør derfor ikke gælde for anonyme oplysninger, dvs. oplysninger der ikke vedrører en identificeret eller identificerbar fysisk person, eller for personoplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres. Denne forordning vedrører derfor ikke behandling af sådanne anonyme oplysninger, herunder til statistiske eller forskningsmæssige formål.

(17)

Anvendelsen af pseudonymisering af personoplysninger kan mindske risikoen for de berørte registrerede og gøre det lettere for dataansvarlige og databehandlere at opfylde deres databeskyttelsesforpligtelser. Det er ikke tanken med den udtrykkelige indførelse af »pseudonymisering« i denne forordning at udelukke andre databeskyttelsesforanstaltninger.

(18)

Fysiske personer kan tilknyttes onlineidentifikatorer, som tilvejebringes af deres enheder, applikationer, værktøjer og protokoller, såsom IP-adresser og cookieidentifikatorer, eller andre identifikatorer, såsom radiofrekvensidentifikationsmærker. Dette kan efterlade spor, der, navnlig når de kombineres med unikke identifikatorer og andre oplysninger, som serverne modtager, kan bruges til at oprette profiler om fysiske personer og identificere dem.

(19)

Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der i denne forbindelse tydeligt tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til. Samtidig bør den registrerede til enhver tid kunne trække samtykket tilbage, uden at dette berører lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækning heraf. Med henblik på at sikre, at der frivilligt er givet samtykke, bør samtykke ikke udgøre et gyldigt retsgrundlag for behandling af personoplysninger i et specifikt tilfælde, hvis der er en klar skævhed mellem den registrerede og den dataansvarlige, og det derfor er usandsynligt, at samtykket er givet frivilligt under hensyntagen til alle de omstændigheder, der kendetegner den specifikke situation. Det er ofte ikke muligt fuldt ud at fastlægge formålet med behandling af personoplysninger til videnskabelige forskningsformål, når oplysninger indsamles. De registrerede bør derfor kunne give deres samtykke til bestemte videnskabelige forskningsområder, når dette er i overensstemmelse med anerkendte etiske standarder for videnskabelig forskning. Registrerede bør have mulighed for kun at give deres samtykke til bestemte forskningsområder eller dele af forskningsprojekter i det omfang, det tilsigtede formål tillader det.

(20)

Enhver behandling af personoplysninger bør være lovlig og rimelig. Det bør være gennemsigtigt for de pågældende fysiske personer, at personoplysninger, der vedrører dem, indsamles, anvendes, tilgås eller på anden vis behandles, og i hvilket omfang personoplysningerne behandles eller vil blive behandlet. Princippet om gennemsigtighed tilsiger, at enhver information og kommunikation vedrørende behandling af disse personoplysninger er lettilgængelig og letforståelig, og at der benyttes et klart og enkelt sprog. Dette princip vedrører navnlig oplysningen til de registrerede om den dataansvarliges identitet og formålene med den pågældende behandling samt yderligere oplysninger for at sikre en rimelig og gennemsigtig behandling for de berørte fysiske personer og deres ret til at få bekræftelse og meddelelse om de personoplysninger vedrørende dem, der behandles. Fysiske personer bør gøres bekendt med risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger og med, hvordan de skal udøve deres rettigheder i forbindelse med en sådan behandling. Især bør de specifikke formål med behandlingen af personoplysninger være udtrykkelige og legitime og fastlagt, når personoplysningerne indsamles. Personoplysningerne bør være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålene med deres behandling. Dette kræver navnlig, at det sikres, at perioden for opbevaring af personoplysningerne ikke er længere end strengt nødvendigt. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde. For at sikre, at personoplysninger ikke opbevares i længere tid end nødvendigt, bør den dataansvarlige indføre tidsfrister for sletning eller periodisk gennemgang. Der bør træffes enhver rimelig foranstaltning for at sikre, at personoplysninger, som er urigtige, berigtiges eller slettes. Personoplysninger bør behandles på en måde, der garanterer tilstrækkelig sikkerhed og fortrolighed, herunder for at hindre uautoriseret adgang til eller anvendelse af personoplysninger eller af det udstyr, der anvendes til behandlingen, og for at hindre offentliggørelse under deres fremsendelse.

(21)

I overensstemmelse med princippet om ansvarlighed bør Unionens institutioner og organer, når de fremsender personoplysninger inden for den eller det samme af Unionens institutioner eller organer, og når modtageren ikke er en del af den dataansvarlige, eller til andre af Unionens institutioner eller organer, kontrollere, om sådanne personoplysninger kræves for den lovlige udførelse af opgaver, der henhører under modtagerens kompetence. Efter at en modtager har anmodet om fremsendelse af personoplysninger, bør den dataansvarlige navnlig kontrollere, om der foreligger en relevant begrundelse for lovlig behandling af personoplysninger, samt modtagerens kompetence. Den dataansvarlige bør også foretage en foreløbig vurdering af nødvendigheden af fremsendelsen af oplysningerne. Hvis der opstår tvivl om nødvendigheden, bør den dataansvarlige indhente yderligere oplysninger hos modtageren. Modtageren bør sikre, at nødvendigheden af fremsendelsen af oplysningerne efterfølgende kan kontrolleres.

(22)

For at behandling kan betragtes som lovlig, bør personoplysninger behandles på grundlag af nødvendigheden af at udføre en opgave, som udføres i samfundets interesse af Unionens institutioner og organer eller under deres offentlige myndighedsudøvelse, nødvendigheden af at overholde en retlig forpligtelse, som påhviler den dataansvarlige, eller et andet legitimt grundlag i henhold til denne forordning, herunder den registreredes samtykke, nødvendigheden af at opfylde en kontrakt, som den registrerede er part i, eller af hensyn til foranstaltninger, der træffes på dennes anmodning forud for indgåelse af en sådan kontrakt. Behandling af personoplysninger, som finder sted med henblik på udførelse af de opgaver, som Unionens institutioner og organer udfører i samfundets interesse, omfatter behandling af personoplysninger, der er nødvendig for disse institutioners og organers forvaltning og funktion. Behandling af personoplysninger, der er nødvendig for at beskytte en interesse af fundamental betydning for den registreredes eller en anden fysisk persons liv, bør ligeledes anses for lovlig. Behandling af personoplysninger på grundlag af en anden fysisk persons vitale interesser bør i princippet kun finde sted, hvis behandlingen tydeligvis ikke kan baseres på et andet retsgrundlag. Nogle typer behandling kan tjene både vigtige samfundsmæssige interesser og den registreredes vitale interesser, f.eks. når behandling er nødvendig af humanitære årsager, herunder med henblik på at overvåge epidemier og deres spredning eller i humanitære nødsituationer, navnlig i tilfælde af naturkatastrofer og menneskeskabte katastrofer.

(23)

Den EU-ret, der er omhandlet i denne forordning, bør være klar og præcis, og dens anvendelse bør være forudsigelig for personer, der er omfattet af den, jf. kravene i chartret og den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder.

(24)

De interne regler, der er omhandlet i denne forordning, bør have form af klare og præcise almengyldige retsakter med retsvirkning over for registrerede. De bør vedtages på højeste forvaltningsniveau i Unionens institutioner og organer inden for rammerne af disses beføjelser og i spørgsmål vedrørende disses funktion. De bør offentliggøres i Den Europæiske Unions Tidende. Anvendelsen af disse regler bør være forudsigelig for personer, der er omfattet af dem, i overensstemmelse med kravene i chartret og den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder. Interne regler kan have form af afgørelser, navnlig når de vedtages af Unionens institutioner.

(25)

Behandling af personoplysninger til andre formål end de formål, som personoplysningerne oprindelig blev indsamlet til, bør kun tillades, hvis behandlingen er forenelig med de formål, som personoplysningerne oprindelig blev indsamlet til. I dette tilfælde kræves der ikke andet retsgrundlag end det, der begrundede indsamlingen af personoplysningerne. Hvis behandling er nødvendig for at udføre en opgave i samfundets interesse eller henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, kan EU-retten fastsætte og præcisere de opgaver og formål, hvortil det bør være foreneligt og lovligt at foretage viderebehandling. Viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål bør anses for at være forenelige lovlige behandlingsaktiviteter. Retsgrundlaget i EU-retten for behandling af personoplysninger kan også udgøre et retsgrundlag for viderebehandling. For at fastslå, om et formål med viderebehandling er foreneligt med det formål, som personoplysningerne oprindelig blev indsamlet til, bør den dataansvarlige efter at have opfyldt alle kravene til lovligheden af den oprindelige behandling bl.a. tage hensyn til enhver forbindelse mellem disse formål og formålet med den påtænkte viderebehandling, den sammenhæng, som personoplysningerne er blevet indsamlet i, navnlig de registreredes rimelige forventninger til den videre anvendelse heraf på grundlag af deres forhold til den dataansvarlige, personoplysningernes art, konsekvenserne af den påtænkte viderebehandling for de registrerede og tilstedeværelse af fornødne garantier i forbindelse med både de oprindelige og de påtænkte yderligere behandlingsaktiviteter.

(26)

Hvis behandling er baseret på den registreredes samtykke, bør den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandlingen. Navnlig i forbindelse med skriftlige erklæringer om andre forhold bør garantier sikre, at den registrerede er bekendt med, at og i hvilket omfang der er givet samtykke. I overensstemmelse med Rådets direktiv 93/13/EØF (6) bør der stilles en samtykkeerklæring, som er udformet af den dataansvarlige, til rådighed i en letforståelig og lettilgængelig form og i et klart og enkelt sprog, og den bør ikke indeholde urimelige vilkår. For at sikre, at samtykket er informeret, bør den registrerede som minimum være bekendt med den dataansvarliges identitet og formålene med den behandling, som personoplysningerne skal bruges til. Samtykke bør ikke anses for at være givet frivilligt, hvis den registrerede ikke har et reelt eller frit valg eller ikke kan afvise eller trække sit samtykke tilbage, uden at det er til skade for den pågældende.

(27)

Børn bør nyde særlig beskyttelse af deres personoplysninger, eftersom de ofte er mindre bevidste om de pågældende risici, konsekvenser og garantier og deres rettigheder for så vidt angår behandling af personoplysninger. En sådan særlig beskyttelse bør navnlig gælde for oprettelse af personlighedsprofiler og indsamling af personoplysninger vedrørende børn, når der anvendes tjenester, der tilbydes direkte til et barn på websteder tilhørende Unionens institutioner og organer såsom kommunikationstjenester direkte mellem mennesker eller onlinesalg af billetter, og behandlingen af personoplysninger er baseret på samtykke.

(28)

Når andre modtagere etableret i Unionen end Unionens institutioner og organer ønsker at få fremsendt personoplysninger til dem fra Unionens institutioner og organer, bør disse modtagere påvise, at det er nødvendigt at få oplysningerne fremsendt enten af hensyn til udførelsen af en opgave, der udføres i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som de har fået pålagt. Alternativt bør disse modtagere påvise, at fremsendelsen er nødvendig for et specifikt formål i samfundets interesse, og den dataansvarlige bør fastslå, om der er nogen grund til at formode, at det vil skade den registreredes legitime interesser. I sådanne tilfælde bør den dataansvarlige påviseligt afveje de forskellige foreliggende interesser med henblik på at vurdere forholdsmæssigheden af den anmodede fremsendelse af personoplysninger. Det specifikke formål i samfundets interesse kan vedrøre gennemsigtigheden i Unionens institutioner og organer. Unionens institutioner og organer bør endvidere i overensstemmelse med princippet om gennemsigtighed og god forvaltningsskik godtgøre, at dette er nødvendigt, når de selv indleder en fremsendelse. Kravene i denne forordning til fremsendelse til andre modtagere etableret i Unionen end Unionens institutioner og organer bør betragtes som et supplement til betingelserne for lovlig behandling.

(29)

Personoplysninger, der i kraft af deres karakter er særligt følsomme i forhold til grundlæggende rettigheder og frihedsrettigheder, bør nyde specifik beskyttelse, da den sammenhæng, som behandlingen af dem indgår i, kunne indebære betydelige risici for grundlæggende rettigheder og frihedsrettigheder. Sådanne personoplysninger bør ikke behandles, medmindre de særlige betingelser fastsat i denne forordning er opfyldt. Disse personoplysninger bør omfatte personoplysninger om race eller etnisk oprindelse, idet anvendelsen af udtrykket »race« i denne forordning ikke betyder, at Unionen accepterer teorier, der søger at fastslå, at der findes forskellige menneskeracer. Behandling af fotografier bør ikke systematisk anses for at være behandling af særlige kategorier af personoplysninger, eftersom de kun vil være omfattet af definitionen af biometriske data, når de behandles ved en specifik teknisk fremgangsmåde, der muliggør entydig identifikation eller autentifikation af en fysisk person. Foruden de specifikke krav til behandling af følsomme oplysninger bør de generelle principper og andre regler i denne forordning finde anvendelse, navnlig for så vidt angår betingelserne for lovlig behandling. Der bør udtrykkeligt gives mulighed for undtagelser fra det generelle forbud mod behandling af sådanne særlige kategorier af personoplysninger, bl.a. hvis den registrerede giver sit udtrykkelige samtykke eller for så vidt angår specifikke behov, navnlig hvis behandling foretages i forbindelse med visse sammenslutningers eller stiftelsers legitime aktiviteter, hvis formål er at muliggøre udøvelse af grundlæggende frihedsrettigheder.

(30)

Særlige kategorier af personoplysninger, som bør nyde højere beskyttelse, bør kun behandles til sundhedsmæssige formål, hvor det er nødvendigt for at opfylde disse formål til gavn for fysiske personer og samfundet som helhed, navnlig i forbindelse med forvaltning af sundheds- eller socialydelser og -systemer. Denne forordning bør derfor fastsætte harmoniserede betingelser for behandling af særlige kategorier af personoplysninger om helbredsforhold for så vidt angår specifikke behov, navnlig hvis behandlingen af sådanne oplysninger foretages til visse sundhedsmæssige formål af personer, der er underlagt tavshedspligt. EU-retten bør omfatte specifikke og passende foranstaltninger til at beskytte fysiske personers grundlæggende rettigheder og personoplysninger.

(31)

Behandling af særlige kategorier af personoplysninger kan være nødvendig af hensyn til samfundsinteresser hvad angår folkesundhed uden den registreredes samtykke. En sådan behandling bør være underlagt passende og specifikke foranstaltninger med henblik på at beskytte fysiske personers rettigheder og frihedsrettigheder. I denne sammenhæng fortolkes »folkesundhed« som defineret i Europa-Parlamentets og Rådets forordning (EF) nr. 1338/2008 (7), dvs. alle elementer vedrørende sundhed, nemlig helbredstilstand, herunder sygelighed og invaliditet, determinanter med en indvirkning på helbredstilstanden, behov for sundhedspleje, ressourcer tildelt sundhedsplejen, ydelse af og almen adgang til sundhedspleje, udgifter til og finansiering af sundhedspleje samt dødsårsager. Sådan behandling af helbredsoplysninger af hensyn til samfundsinteresser bør ikke medføre, at personoplysninger behandles til andre formål.

(32)

Hvis de personoplysninger, der behandles af en dataansvarlig, ikke sætter den dataansvarlige i stand til at identificere en fysisk person, bør den dataansvarlige ikke være forpligtet til at indhente yderligere oplysninger for at identificere den registrerede udelukkende med det formål at overholde bestemmelserne i denne forordning. Den dataansvarlige bør dog ikke nægte at tage imod yderligere oplysninger fra den registrerede, som den pågældende giver med henblik på udøvelsen af sine rettigheder. Identifikation bør omfatte digital identifikation af en registreret, f.eks. gennem en autentifikationsmekanisme, såsom de samme legitimationsoplysninger som dem, den registrerede anvender til at logge på den onlinetjeneste, der tilbydes af den dataansvarlige.

(33)

Behandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål bør være omfattet af fornødne garantier for den registreredes rettigheder og frihedsrettigheder i henhold til denne forordning. Disse garantier bør sikre, at der er truffet tekniske og organisatoriske foranstaltninger til især at sikre princippet om dataminimering. Viderebehandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål skal foretages, når den dataansvarlige har vurderet muligheden for at opfylde disse formål ved at behandle oplysninger, som ikke gør det muligt eller ikke længere gør det muligt at identificere de registrerede, forudsat at de fornødne garantier foreligger (som f.eks. pseudonymisering af oplysninger). Unionens institutioner og organer bør sikre de fornødne garantier for behandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i EU-retten, der kan omfatte interne regler vedtaget af Unionens institutioner og organer i spørgsmål vedrørende deres funktion.

(34)

Der bør fastsættes nærmere regler, som kan lette udøvelsen af de registreredes rettigheder i henhold til denne forordning, herunder mekanismer til at anmode om og i givet fald opnå navnlig gratis indsigt i og berigtigelse eller sletning af personoplysninger og udøvelsen af retten til indsigelse. Den dataansvarlige bør også give mulighed for elektroniske anmodninger, navnlig hvis personoplysninger behandles elektronisk. Den dataansvarlige bør være forpligtet til at besvare sådanne anmodninger fra en registreret uden unødig forsinkelse og senest inden for en måned og begrunde det, hvis vedkommende ikke agter at imødekomme sådanne anmodninger.

(35)

Principperne om rimelig og gennemsigtig behandling kræver, at den registrerede underrettes om behandlingsaktiviteters eksistens og deres formål. Den dataansvarlige bør give den registrerede eventuelle yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling, under hensyntagen til de specifikke omstændigheder og forhold, som personoplysningerne behandles under. Den registrerede bør desuden underrettes om tilstedeværelse af profilering og konsekvenserne heraf. Hvis personoplysninger indsamles fra den registrerede, bør den registrerede også underrettes om, hvorvidt den pågældende er forpligtet til at meddele personoplysningerne, og om konsekvenserne, hvis vedkommende ikke meddeler sådanne oplysninger. Denne information kan gives sammen med standardiserede ikoner med henblik på at give et meningsfuldt overblik over den planlagte behandling på en klart synlig, letlæselig og letforståelig måde. Hvis ikonerne præsenteres elektronisk, bør de være maskinlæsbare.

(36)

Oplysninger om behandling af personoplysninger bør gives til den registrerede på tidspunktet for indsamlingen fra den registrerede, eller hvis personoplysningerne indhentes fra en anden kilde, inden for en rimelig periode afhængigt af de konkrete omstændigheder. Hvis personoplysninger lovligt kan videregives til en anden modtager, bør den registrerede underrettes, når personoplysningerne første gang videregives til modtageren. Hvis den dataansvarlige agter at behandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, bør den dataansvarlige forud for denne viderebehandling give den registrerede oplysninger om dette andet formål og andre nødvendige oplysninger. Hvis den registrerede ikke kan informeres om personoplysningernes oprindelse, fordi der er anvendt forskellige kilder, bør der gives generelle oplysninger.

(37)

En registreret bør have ret til indsigt i personoplysninger, der er indsamlet om vedkommende, og til let og med rimelige mellemrum at udøve denne ret med henblik på at forvisse sig om og kontrollere behandlingens lovlighed. Dette omfatter de registreredes ret til indsigt i deres helbredsoplysninger, f.eks. data i deres lægejournaler om diagnoser, undersøgelsesresultater, lægelige vurderinger samt enhver behandling og ethvert indgreb, der er foretaget. Enhver registreret bør derfor have ret til at kende og blive underrettet om navnlig de formål, hvortil personoplysningerne behandles, om muligt perioden, hvor personoplysningerne behandles, modtagerne af personoplysningerne, logikken bag en automatisk behandling af personoplysninger, og om konsekvenserne af sådan behandling, i det mindste når den er baseret på profilering. Denne ret bør ikke krænke andres rettigheder eller frihedsrettigheder, herunder forretningshemmeligheder eller intellektuel ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af. Denne vurdering bør dog ikke resultere i en afvisning af at give al information til den registrerede. Hvis den dataansvarlige behandler en stor mængde oplysninger om den registrerede, bør den dataansvarlige kunne anmode om, at den registrerede, inden informationen gives, præciserer den information eller de behandlingsaktiviteter, som anmodningen vedrører.

(38)

En registreret bør have ret til at få berigtiget sine personoplysninger og »ret til at blive glemt«, hvis opbevaringen af sådanne oplysninger overtræder denne forordning eller EU-ret, som den dataansvarlige er underlagt. En registreret bør have ret til at få sine personoplysninger slettet og ikke længere behandlet, hvis personoplysningerne ikke længere er nødvendige til de formål, hvortil de er blevet indsamlet eller på anden måde behandlet, hvis en registreret har trukket sit samtykke tilbage eller gør indsigelse mod behandling af personoplysninger om vedkommende, eller hvis behandlingen af vedkommendes personoplysninger i øvrigt ikke er i overensstemmelse med denne forordning. Denne ret er navnlig relevant, når den registrerede har givet sit samtykke som barn og ikke fuldt ud var bekendt med risiciene i forbindelse med behandlingen og senere ønsker at fjerne sådanne personoplysninger, særligt på internettet. Den registrerede bør kunne udøve denne ret, selv om vedkommende ikke længere er et barn. Yderligere opbevaring af personoplysningerne bør dog være lovlig, hvis det er nødvendigt for at udøve retten til ytrings- og informationsfrihed, for at overholde en retlig forpligtelse, for udførelsen af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, af hensyn til samfundsinteresser på folkesundhedsområdet, til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller statistiske formål, eller for at retskrav kan fastlægges, gøres gældende eller forsvares.

(39)

For at styrke retten til at blive glemt i onlinemiljøet bør retten til sletning udvides, så en dataansvarlig, der har offentliggjort personoplysninger, forpligtes til at underrette de dataansvarlige, der behandler sådanne personoplysninger, med henblik på at få slettet alle link til, kopier af eller gengivelser af disse personoplysninger. I den forbindelse bør den dataansvarlige tage rimelige skridt under hensyntagen til den tilgængelige teknologi og de midler, som den dataansvarlige har til sin rådighed, herunder tekniske foranstaltninger, til at informere de dataansvarlige, der behandler personoplysningerne, om den registreredes anmodning.

(40)

Metoder til at begrænse behandlingen af personoplysninger kan bl.a. indebære, at udvalgte oplysninger midlertidig flyttes til et andet behandlingssystem, at udvalgte personoplysninger gøres utilgængelige for brugere, eller at offentliggjorte oplysninger midlertidig fjernes fra et websted. I automatiske registre bør begrænsning af behandling i princippet sikres ved hjælp af tekniske midler på en sådan måde, at personoplysningerne ikke kan viderebehandles og ikke kan ændres. Det forhold, at behandling af personoplysninger er begrænset, bør angives tydeligt i systemet.

(41)

For at give den registrerede øget kontrol over sine personoplysninger bør vedkommende, når behandling af personoplysninger foretages automatisk, også kunne modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, i et struktureret, almindeligt anvendt, maskinlæsbart og indbyrdes kompatibelt format og kunne fremsende dem til en anden dataansvarlig. Dataansvarlige bør opfordres til at udvikle indbyrdes kompatible formater, der muliggør dataportabilitet. Denne ret bør gælde, hvis den registrerede har givet personoplysningerne på grundlag af sit samtykke, eller hvis behandlingen er nødvendig for opfyldelsen af en kontrakt. Derfor bør den ikke gælde, hvis behandlingen af personoplysninger er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, eller for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Den registreredes ret til at fremsende eller modtage personoplysninger vedrørende sig selv bør ikke skabe en forpligtelse for de dataansvarlige til at indføre eller opretholde behandlingssystemer, som er teknisk kompatible. Såfremt et sæt personoplysninger vedrører mere end én registreret, bør retten til at modtage personoplysningerne ikke berøre andre registreredes rettigheder og frihedsrettigheder i overensstemmelse med denne forordning. Denne ret bør endvidere ikke berøre den registreredes ret til at få slettet personoplysninger og begrænsningerne i denne ret som fastsat i denne forordning og bør navnlig ikke indebære, at personoplysninger, som den registrerede har givet til opfyldelse af en kontrakt, slettes, i det omfang og så længe personoplysningerne er nødvendige for opfyldelse af kontrakten. Hvis det er teknisk muligt, bør den registrerede have ret til at få personoplysningerne fremsendt direkte fra en dataansvarlig til en anden.

(42)

Hvis personoplysninger kan behandles lovligt, fordi behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, bør en registreret ikke desto mindre have ret til at gøre indsigelse mod behandling af personoplysninger på baggrund af den pågældendes særlige situation. Det bør være op til den dataansvarlige at påvise, at dennes vægtige legitime interesse går forud for den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder.

(43)

Den registrerede bør have ret til ikke at blive gjort til genstand for en afgørelse, der kan omfatte en foranstaltning, som evaluerer personlige forhold vedrørende vedkommende, og som alene bygger på automatisk behandling, og som har retsvirkning eller som på tilsvarende vis i betydelig grad påvirker den pågældende, såsom e-rekrutteringsprocedurer uden nogen menneskelig indgriben. En sådan behandling omfatter »profilering«, der består af enhver form for automatisk behandling af personoplysninger, der evaluerer de personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den registreredes arbejdsindsats, økonomiske situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografiske position eller bevægelser, når den har retsvirkning for den pågældende eller på tilsvarende vis i betydelig grad påvirker den pågældende.

Afgørelser baseret på en sådan behandling, herunder profilering, bør dog være tilladt, når EU-retten udtrykkeligt tillader det. En sådan behandling bør under alle omstændigheder være omfattet af de fornødne garantier, herunder specifik underretning af den registrerede og retten til menneskelig indgriben, til at fremkomme med synspunkter, til at få en forklaring på den afgørelse, der er truffet efter en sådan evaluering, og til at bestride afgørelsen. En sådan foranstaltning bør ikke omfatte et barn. For at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede under hensyntagen til de specifikke omstændigheder og forhold, som personoplysningerne behandles under, bør den dataansvarlige anvende passende matematiske eller statistiske procedurer til profileringen, gennemføre tekniske og organisatoriske foranstaltninger, der navnlig kan sikre, at faktorer, der resulterer i unøjagtige personoplysninger, bliver rettet, og at risikoen for fejl minimeres, samt sikre personoplysninger på en måde, der tager højde for de potentielle risici for den registreredes interesser og rettigheder og hindrer bl.a. forskelsbehandling af fysiske personer på grund af race eller etnisk oprindelse, politisk eller religiøs overbevisning, fagforeningsmæssigt tilhørsforhold, genetisk status eller helbredstilstand eller seksuel orientering, eller behandling som resulterer i foranstaltninger, der har en sådan virkning. Automatiske afgørelser og profilering baseret på særlige kategorier af personoplysninger bør kun tillades under særlige omstændigheder.

(44)

Retsakter vedtaget på grundlag af traktaterne eller interne regler vedtaget af Unionens institutioner og organer i spørgsmål vedrørende deres funktion kan pålægge restriktioner vedrørende specifikke principper og retten til oplysninger, indsigt i og berigtigelse eller sletning af personoplysninger, retten til dataportabilitet, fortroligheden af elektroniske kommunikationsdata samt underretning om et brud på persondatasikkerheden til en registreret og visse tilknyttede forpligtelser for de dataansvarlige, for så vidt det er nødvendigt og forholdsmæssigt i et demokratisk samfund af hensyn til den offentlige sikkerhed, og til forebyggelse, efterforskning og retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner. Dette omfatter beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed, beskyttelse af menneskeliv, især som reaktion på naturkatastrofer eller menneskeskabte katastrofer, intern sikkerhed i Unionens institutioner og organer, andre af Unionens eller en medlemsstats samfundsinteresser, navnlig målene med Unionens fælles udenrigs- og sikkerhedspolitik eller Unionens eller en medlemsstats vigtige økonomiske eller finansielle interesser, og føring af offentlige registre i offentlighedens interesse eller beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder, herunder social sikring, folkesundhed og humanitære formål.

(45)

Der bør fastsættes bestemmelser om den dataansvarliges ansvar, herunder erstatningsansvar, for enhver behandling af personoplysninger, der foretages af den dataansvarlige eller på den dataansvarliges vegne. Den dataansvarlige bør navnlig have pligt til at gennemføre passende og effektive foranstaltninger og til at påvise, at behandlingsaktiviteter overholder denne forordning, herunder foranstaltningernes effektivitet. Disse foranstaltninger bør tage højde for behandlingens karakter, omfang, sammenhæng og formål og risikoen for fysiske personers rettigheder og frihedsrettigheder.

(46)

Risiciene for fysiske personers rettigheder og frihedsrettigheder af varierende sandsynlighed og alvor kan opstå som følge af behandling af personoplysninger, der kan føre til fysisk, materiel eller immateriel skade, navnlig hvis behandlingen kan give anledning til forskelsbehandling, identitetstyveri eller -svig, finansielle tab, skade på omdømme, tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt, uautoriseret ophævelse af pseudonymisering eller andre betydelige økonomiske eller sociale konsekvenser, hvis de registrerede kan blive berøvet deres rettigheder og frihedsrettigheder eller forhindret i at udøve kontrol med deres personoplysninger, hvis der behandles personoplysninger, der viser race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, og behandling af genetiske data, helbredsoplysninger eller oplysninger om seksuelle forhold eller straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger, hvis personlige forhold evalueres, navnlig analyse eller forudsigelse af forhold vedrørende indsats på arbejdspladsen, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografisk position eller bevægelser, med henblik på at oprette eller anvende personlige profiler, hvis der behandles personoplysninger om sårbare fysiske personer, navnlig børn, eller hvis behandlingen omfatter en stor mængde personoplysninger og berører et stort antal registrerede.

(47)

Risikoens sandsynlighed og alvor for så vidt angår den registreredes rettigheder og frihedsrettigheder bør bestemmes med henvisning til behandlingens karakter, omfang, sammenhæng og formål. Risikoen bør evalueres på grundlag af en objektiv vurdering, hvorved det fastslås, om databehandlingsaktiviteter indebærer en risiko eller en høj risiko.

(48)

Beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger kræver, at der træffes passende tekniske og organisatoriske foranstaltninger for at sikre, at denne forordnings krav er opfyldt. For at kunne påvise overholdelse af denne forordning bør den dataansvarlige vedtage interne politikker og gennemføre foranstaltninger, som især lever op til principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger. Sådanne foranstaltninger kan bl.a. bestå i minimering af behandlingen af personoplysninger, pseudonymisering af personoplysninger så hurtigt som muligt og gennemsigtighed for så vidt angår personoplysningers funktion og behandling, således at den registrerede kan føre tilsyn med databehandlingen, og den dataansvarlige kan tilvejebringe og forbedre sikkerhedselementer. Der bør også tages hensyn til principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i forbindelse med offentlige udbud.

(49)

Forordning (EU) 2016/679 giver dataansvarlige mulighed for at påvise overholdelse ved at overholde godkendte certificeringsmekanismer. Tilsvarende bør Unionens institutioner og organer kunne påvise overholdelse af nærværende forordning ved at opnå certificering i henhold til artikel 42 i forordning (EU) 2016/679.

(50)

Beskyttelse af registreredes rettigheder og frihedsrettigheder samt de dataansvarliges og databehandlernes ansvar og erstatningsansvar kræver en klar fordeling af ansvarsområderne i medfør af denne forordning, herunder når en dataansvarlig fastlægger formålene med og hjælpemidlerne til behandling sammen med andre dataansvarlige, eller når en behandlingsaktivitet foretages på vegne af en dataansvarlig.

(51)

Med henblik på at sikre overholdelse af kravene i denne forordning i forbindelse med behandling, der foretages af en databehandler på vegne af den dataansvarlige, når databehandleren overdrages behandlingsaktiviteter, bør den dataansvarlige udelukkende benytte sig af databehandlere, der giver tilstrækkelige garantier, navnlig i form af ekspertise, pålidelighed og ressourcer, for implementering af tekniske og organisatoriske foranstaltninger, der opfylder kravene i denne forordning, herunder med hensyn til behandlingssikkerhed. Databehandleres, bortset fra Unionens institutioners og organers, overholdelse af en godkendt adfærdskodeks eller en godkendt certificeringsmekanisme kan bruges som et element til at påvise, at den dataansvarlige overholder sine forpligtelser. Bestemmelserne om behandling ved andre databehandlere end Unionens institutioner eller organer bør fastsættes i en kontrakt eller, hvis Unionens institutioner eller organer fungerer som databehandlere, i en kontrakt eller et andet retligt dokument i henhold til EU-retten, der binder databehandleren til den dataansvarlige, og hvori behandlingens genstand og varighed, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede er fastsat, idet der tages hensyn til databehandleres specifikke opgaver og ansvar i forbindelse med den behandling, der skal foretages, og risikoen for den registreredes rettigheder og frihedsrettigheder. Den dataansvarlige og databehandleren bør være i stand til at vælge at anvende en individuel kontrakt eller standardkontraktbestemmelser, der er vedtaget enten direkte af Kommissionen eller af Den Europæiske Tilsynsførende for Databeskyttelse og derefter vedtaget af Kommissionen. Databehandleren bør efter den dataansvarliges valg tilbagelevere eller slette de pågældende personoplysninger efter afslutning af den behandling, der er foretaget på vegne af den dataansvarlige, medmindre EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt, indeholder et krav om opbevaring af disse personoplysninger.

(52)

For at påvise overholdelse af denne forordning bør de dataansvarlige føre fortegnelser over behandlingsaktiviteter, der henhører under deres ansvar, og databehandlerne bør føre fortegnelser over de kategorier af behandlingsaktiviteter, der henhører under deres ansvar. Unionens institutioner og organer bør have pligt til at samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse og efter anmodning stille disse fortegnelser til rådighed for denne, så de kan bruges til at føre tilsyn med sådanne behandlingsaktiviteter. Medmindre dette ikke er hensigtsmæssigt under hensyntagen til den eller det pågældende af Unionens institutioners eller agenturers størrelse, bør Unionens -institutioner og organer kunne oprette en central fortegnelse over deres behandlingsaktiviteter. Af hensyn til gennemsigtigheden bør de også kunne offentliggøre en sådan fortegnelse.

(53)

For at opretholde sikkerheden og hindre behandling i strid med denne forordning bør den dataansvarlige eller databehandleren vurdere de risici, som en behandling indebærer, og gennemføre foranstaltninger, der kan begrænse disse risici, som f.eks. kryptering. Disse foranstaltninger bør under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne sikre et tilstrækkeligt sikkerhedsniveau, herunder fortrolighed, i forhold til risiciene og karakteren af de personoplysninger, der skal beskyttes. Ved vurderingen af datasikkerhedsrisikoen bør der tages hensyn til de risici, som behandling af personoplysninger indebærer, såsom hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret fremsendelse af eller adgang til personoplysninger, der er fremsendt, opbevaret eller på anden måde behandlet, og som navnlig kan føre til fysisk, materiel eller immateriel skade.

(54)

Unionens institutioner og organer bør sikre fortroligheden af elektronisk kommunikation i overensstemmelse med artikel 7 i chartret. Unionens institutioner og organer bør navnlig garantere sikkerheden i forbindelse med deres elektroniske kommunikationsnetværk. De bør beskytte oplysninger vedrørende brugeres terminaludstyr med adgang til deres offentligt tilgængelige websteder og mobilapplikationer i overensstemmelse med Europa-Parlamentets og Rådets direktiv 2002/58/EF (8). De bør også beskytte brugernes personoplysninger opbevaret i brugerfortegnelser.

(55)

Et brud på persondatasikkerheden kan, hvis det ikke håndteres på en passende og rettidig måde, påføre fysiske personer fysisk, materiel eller immateriel skade. Så snart den dataansvarlige bliver bekendt med, at der er sket et brud på persondatasikkerheden, bør vedkommende derfor anmelde bruddet på persondatasikkerheden til Den Europæiske Tilsynsførende for Datasikkerhed uden unødig forsinkelse og om muligt senest 72 timer efter, at denne er blevet bekendt med det, medmindre den dataansvarlige i overensstemmelse med ansvarlighedsprincippet kan påvise, at bruddet på persondatasikkerheden sandsynligvis ikke indebærer risiko for fysiske personers rettigheder eller frihedsrettigheder. Hvis en sådan anmeldelse ikke kan ske inden for 72 timer, bør den ledsages af en begrundelse for forsinkelsen, og oplysningerne kan indgives trinvis uden unødig yderligere forsinkelse. Hvis en sådan forsinkelse er berettiget, bør mindre følsomme eller mindre specifikke oplysninger om bruddet offentliggøres snarest muligt, frem for at vente med at foretage anmeldelse, indtil den underliggende hændelse er løst fuldt og helt.

(56)

Den dataansvarlige bør underrette den registrerede om et brud på persondatasikkerheden uden unødig forsinkelse, når dette brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for den fysiske persons rettigheder og frihedsrettigheder, med henblik på at give vedkommende mulighed for at træffe de fornødne forholdsregler. Underretningen bør beskrive karakteren af bruddet på persondatasikkerheden og indeholde anbefalinger til den berørte fysiske person med henblik på at begrænse de mulige skadevirkninger. Sådanne underretninger til registrerede bør gives, så snart det med rimelighed er muligt, og i tæt samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse i overensstemmelse med retningslinjer, der er udstukket af denne eller af andre relevante myndigheder, såsom retshåndhævende myndigheder.

(57)

Forordning (EF) nr. 45/2001 pålægger den dataansvarlige en generel forpligtelse til at anmelde behandlingen af personoplysninger til databeskyttelsesrådgiveren. Medmindre dette ikke er hensigtsmæssigt under hensyntagen til den eller det pågældende af Unionens institutioners eller agenturers størrelse skal databeskyttelsesrådgiveren føre en fortegnelse over anmeldte behandlingsaktiviteter. Ud over denne generelle forpligtelse bør der opstilles effektive procedurer og mekanismer til at overvåge behandlingsaktiviteter, der sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder som følge af deres karakter, omfang, sammenhæng og formål. Der bør navnlig også etableres sådanne procedurer, når typerne af behandlingsaktiviteter indebærer brug af ny teknologi eller er en ny form for aktivitet, hvor den dataansvarlige endnu ikke har foretaget en konsekvensanalyse vedrørende databeskyttelse, eller som er blevet nødvendige på grund af den tid, der er gået siden den oprindelige behandling. I sådanne tilfælde bør den dataansvarlige inden behandlingen foretage en konsekvensanalyse vedrørende databeskyttelse med henblik på at vurdere den høje risikos specifikke sandsynlighed og alvor under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risikokilderne. Konsekvensanalysen bør navnlig omfatte de foranstaltninger, garantier og mekanismer, der er planlagt til begrænsning af denne risiko, til sikring af beskyttelsen af personoplysninger og påvisning af overholdelse af denne forordning.

(58)

Såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at en behandling uden garantier, sikkerhedsforanstaltninger og mekanismer til at begrænse risikoen vil føre til en høj risiko for fysiske personers rettigheder og frihedsrettigheder, og den dataansvarlige mener, at risikoen ikke kan begrænses gennem rimelige midler for så vidt angår tilgængelig teknologi og gennemførelsesomkostninger, bør Den Europæiske Tilsynsførende for Databeskyttelse høres inden indledning af behandlingsaktiviteterne. En sådan høj risiko vil sandsynligvis være en følge af visse typer behandling og omfanget og hyppigheden af behandlingen, der også kunne føre til skade for eller indgreb i fysiske personers rettigheder og frihedsrettigheder. Den Europæiske Tilsynsførende for Databeskyttelse bør reagere på en høringsanmodning inden for et fastsat tidsrum. Den Europæiske Tilsynsførende for Databeskyttelses manglende reaktion inden for dette tidsrum bør dog ikke berøre Den Europæiske Tilsynsførende for Databeskyttelses mulighed for at gribe ind i overensstemmelse med vedkommendes opgaver og beføjelser i henhold til denne forordning, herunder beføjelsen til at forbyde behandlingsaktiviteter. Som led i denne høringsproces bør det være muligt at forelægge resultatet af en konsekvensanalyse vedrørende databeskyttelse, der foretages for den pågældende behandling, for Den Europæiske Tilsynsførende for Databeskyttelse, navnlig de foranstaltninger, der påtænkes for at begrænse risikoen for fysiske personers rettigheder og frihedsrettigheder.

(59)

Den Europæiske Tilsynsførende for Databeskyttelse bør underrettes om administrative foranstaltninger og høres om interne regler vedtaget af Unionens institutioner og organer i spørgsmål vedrørende deres funktion, når disse muliggør behandlingen af personoplysninger, fastsætter betingelser for begrænsninger af de registreredes rettigheder eller tilvejebringer passende garantier for de registreredes rettigheder, for at sikre, at den planlagte behandling er i overensstemmelse med denne forordning, navnlig for så vidt angår begrænsning af risiciene for den registrerede.

(60)

Med forordning (EU) 2016/679 blev Det Europæiske Databeskyttelsesråd oprettet som et uafhængigt EU-organ med status som juridisk person. Databeskyttelsesrådet bør bidrage til en konsekvent anvendelse af forordning (EU) 2016/679 og direktiv (EU) 2016/680 i hele Unionen, herunder ved at rådgive Kommissionen. Samtidig bør Den Europæiske Tilsynsførende for Databeskyttelse fortsat udføre sine tilsyns- og rådgivningsfunktioner over for alle Unionens institutioner og organer, på eget initiativ eller efter anmodning. Med henblik på at sikre sammenhæng mellem databeskyttelsesreglerne i hele Unionen bør Kommissionen, når den udarbejder forslag eller henstillinger, bestræbe sig på at høre Den Europæiske Tilsynsførende for Databeskyttelse. Det bør være obligatorisk at høre Kommissionen efter vedtagelsen af lovgivningsmæssige retsakter eller under udarbejdelsen af delegerede retsakter og gennemførelsesretsakter som defineret i artikel 289, 290 og 291 i TEUF og efter vedtagelsen af henstillinger og forslag vedrørende aftaler med tredjelande og internationale organisationer som omhandlet i artikel 218 i TEUF, der har konsekvenser for retten til beskyttelse af personoplysninger. I sådanne tilfælde bør Kommissionen have pligt til at høre Den Europæiske Tilsynsførende for Databeskyttelse, undtagen hvor forordning (EU) 2016/679 foreskriver obligatorisk høring af Det Europæiske Databeskyttelsesråd, f.eks. om afgørelser om tilstrækkeligheden af beskyttelsesniveauet eller delegerede retsakter om standardiserede ikoner og krav til certificeringsmekanismer. Når den pågældende retsakt har særlig betydning for beskyttelsen af fysiske personers rettigheder og frihedsrettigheder med hensyn til behandlingen af personoplysninger, bør Kommissionen derudover have mulighed for at høre Det Europæiske Databeskyttelsesråd. I disse tilfælde bør Den Europæiske Tilsynsførende for Databeskyttelse som medlem af Det Europæiske Databeskyttelsesråd koordinere sit arbejde med sidstnævnte med henblik på at afgive en fælles udtalelse. Den Europæiske Tilsynsførende for Databeskyttelse og, hvor det er hensigtsmæssigt, Det Europæiske Databeskyttelsesråd bør yde deres skriftlige rådgivning inden otte uger. Denne tidsramme bør være kortere i hastende tilfælde, eller hvor det i øvrigt er hensigtsmæssigt, f.eks. når Kommissionen udarbejder delegerede retsakter og gennemførelsesretsakter.

(61)

I overensstemmelse med artikel 75 i forordning (EU) 2016/679 bør Den Europæiske Tilsynsførende for Databeskyttelse fungere som sekretariat for Det Europæiske Databeskyttelsesråd.

(62)

I alle Unionens institutioner og organer bør en databeskyttelsesrådgiver sikre, at bestemmelserne i denne forordning finder anvendelse, og bør rådgive de dataansvarlige og databehandlerne under opfyldelsen af deres forpligtelser. Denne rådgiver børe være en person med ekspertviden om databeskyttelseslovgivning og -praksis, der navnlig bør fastlægges i forhold til de databehandlingsaktiviteter, der foretages af den dataansvarlige eller databehandleren, og den beskyttelse, der kræves for de omhandlede personoplysninger. Sådanne databeskyttelsesrådgivere bør være i stand til at udøve deres hverv på uafhængig vis.

(63)

Når personoplysninger overføres fra Unionens institutioner og organer til dataansvarlige, databehandlere eller andre modtagere i tredjelande eller til internationale organisationer, bør det beskyttelsesniveau, som fysiske personer sikres i Unionen i medfør af denne forordning, garanteres. De samme garantier bør gælde i tilfælde af videreoverførsel af personoplysninger fra et tredjeland eller en international organisation til dataansvarlige, databehandlere i det samme eller et andet tredjeland eller en anden international organisation. Overførsel til tredjelande og internationale organisationer må under alle omstændigheder kun finde sted under fuld overholdelse af denne forordning og med respekt for de grundlæggende rettigheder og frihedsrettigheder, der er fastsat i chartret. En overførsel vil kun kunne finde sted, hvis den dataansvarlige eller databehandleren opfylder betingelserne i denne forordning vedrørende overførsel af personoplysninger til tredjelande eller internationale organisationer, jf. dog de øvrige bestemmelser i denne forordning.

(64)

Kommissionen kan i henhold til artikel 45 i forordning (EU) 2016/679 eller artikel 36 i direktiv (EU) 2016/680 beslutte, at et tredjeland, et område eller en specifik sektor i et tredjeland, eller en international organisation sikrer et tilstrækkeligt databeskyttelsesniveau. I sådanne tilfælde kan personoplysninger overføres til det pågældende tredjeland eller den pågældende internationale organisation af en af Unionens institutioner eller et af Unionens organer uden yderligere godkendelse.

(65)

I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet bør den dataansvarlige eller databehandleren træffe foranstaltninger for at kompensere for den manglende databeskyttelse i et tredjeland i form af fornødne garantier for den registrerede. Sådanne fornødne garantier kan bestå i anvendelse af standardbestemmelser om databeskyttelse vedtaget af Kommissionen, standardbestemmelser om databeskyttelse vedtaget af en Den Europæiske Tilsynsførende for Databeskyttelse eller kontraktbestemmelser godkendt af Den Europæiske Tilsynsførende for Databeskyttelse. Når databehandleren ikke er en eller et af Unionens institutioner eller organer, kan disse fornødne garantier også bestå i bindende virksomhedsregler, adfærdskodekser og certificeringsmekanismer, der anvendes til internationale overførsler i henhold til forordning (EU) 2016/679. Disse garantier bør sikre overholdelse af databeskyttelseskravene og de registreredes rettigheder i forbindelse med intern behandling i Unionen, herunder tilgængelighed af rettigheder, som kan håndhæves, for registrerede og effektive retsmidler, herunder til at opnå effektiv administrativ eller retslig prøvelse og til at kræve erstatning, i Unionen eller et tredjeland. Garantierne bør navnlig vedrøre overholdelse af de generelle principper for behandling af personoplysninger og principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger. Overførsler kan også foretages af Unionens institutioner eller organer til offentlige myndigheder eller organer i tredjelande eller til internationale organisationer med tilsvarende opgaver eller funktioner, herunder på grundlag af bestemmelser, der medtages i administrative ordninger, f.eks. et aftalememorandum, hvorved de registrerede sikres effektive rettigheder, som kan håndhæves. Godkendelse fra Den Europæiske Tilsynsførende for Databeskyttelse bør indhentes, når garantierne indgår i administrative ordninger, der ikke er juridisk bindende.

(66)

Den dataansvarliges eller databehandlerens mulighed for at bruge standardbestemmelser om databeskyttelse vedtaget af Kommissionen eller Den Europæiske Tilsynsførende for Databeskyttelse bør hverken udelukke muligheden for, at den dataansvarlige eller databehandleren medtager standardbestemmelser om databeskyttelse i en bredere kontrakt, såsom en kontrakt mellem databehandleren og en anden databehandler, eller medtager andre bestemmelser eller yderligere garantier, såfremt de hverken direkte eller indirekte er i strid med de standardkontraktbestemmelser, der er vedtaget af Kommissionen eller en tilsynsmyndighed, eller berører de registreredes grundlæggende rettigheder eller frihedsrettigheder. Dataansvarlige og databehandlere bør tilskyndes til at give yderligere garantier gennem kontraktmæssige forpligtelser, der supplerer standardbestemmelser om databeskyttelse.

(67)

Visse tredjelande vedtager love, forskrifter og andre retsakter med det formål direkte at regulere behandlingsaktiviteter, som udføres af Unionens institutioner og organer. Dette kan omfatte retsafgørelser eller administrative myndigheders afgørelser i tredjelande, der kræver, at en dataansvarlig eller en databehandler overfører eller videregiver personoplysninger, og som ikke er baseret på en gældende international aftale mellem det anmodende tredjeland og Unionen. Ekstraterritorial anvendelse af sådanne love, forskrifter og andre retsakter kan være i strid med folkeretten og hindre opnåelse af den beskyttelse af fysiske personer, der sikres i Unionen ved denne forordning. Overførsel af oplysninger bør kun tillades, hvis denne forordnings betingelser for overførsel til tredjelande er opfyldt. Det kan være tilfældet, bl.a. hvis videregivelse er nødvendig af hensyn til vigtige samfundsinteresser, der anerkendes i EU-retten.

(68)

Der bør i specifikke situationer åbnes mulighed for overførsel, når den registrerede har givet sit udtrykkelige samtykke, og hvor overførsel er lejlighedsvis og nødvendig i forbindelse med en kontrakt eller et retskrav, uanset om det sker i forbindelse med en retssag eller en administrativ eller udenretslig procedure, herunder procedurer ved reguleringsorganer. Overførsel bør også tillades, når vigtige samfundsinteresser i henhold til EU-retten kræver det, eller når overførsel sker fra et register, der er oprettet ved lov, og som er tilgængeligt for offentligheden eller personer med en legitim interesse. I sidstnævnte tilfælde bør sådan overførsel ikke omfatte alle personoplysningerne eller alle kategorier af oplysninger i registeret, medmindre det er tilladt ifølge EU-retten, og når registeret er beregnet til at blive konsulteret af personer, der har en legitim interesse, bør overførsel kun ske på anmodning af disse personer eller, hvis de selv er modtagere, under fuld hensyntagen til den registreredes interesser og grundlæggende rettigheder.

(69)

Disse undtagelser bør navnlig gælde for overførsel af oplysninger, der foretages af hensyn til vigtige samfundsinteresser, f.eks. international udveksling af oplysninger mellem Unionens institutioner og organer og konkurrencemyndigheder, skatte- eller toldforvaltninger, finansielle tilsynsmyndigheder eller social- og sundhedsmyndigheder, f.eks. i tilfælde af kontaktopsporing i forbindelse med smitsomme sygdomme eller for at nedbringe og/eller afskaffe doping inden for sport. Overførsel af personoplysninger, der er nødvendig for at beskytte et hensyn af fundamental betydning for den registreredes eller en anden persons vitale interesser, herunder fysisk integritet eller liv, bør ligeledes anses for lovlig, hvis den registrerede er ude af stand til at give sit samtykke. I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet kan EU-retten af hensyn til vigtige samfundsinteresser udtrykkelig fastsætte grænser for overførsel af særlige kategorier af oplysninger til et tredjeland eller en international organisation. Enhver overførsel til en international humanitær organisation af personoplysninger om en registreret, der ikke fysisk eller juridisk er i stand til at give sit samtykke, med henblik på udførelse af en opgave i henhold til Genèvekonventionerne eller for at overholde international humanitær ret, som finder anvendelse i væbnede konflikter, kan anses for at være nødvendig af hensyn til vigtige samfundsinteresser, eller fordi det er af vital interesse for den registrerede.

(70)

Hvis Kommissionen ikke har truffet afgørelse om tilstrækkeligheden af databeskyttelsesniveauet i et tredjeland, bør den dataansvarlige eller databehandleren under alle omstændigheder benytte løsninger, der giver de registrerede effektive rettigheder, som kan håndhæves, hvad angår behandlingen af deres personoplysninger i Unionen, når disse oplysninger er blevet overført, så de fortsat vil nyde godt af grundlæggende rettigheder og garantier.

(71)

Når personoplysninger overføres på tværs af grænser uden for Unionen, kan det medføre yderligere risici for fysiske personers mulighed for at udøve deres databeskyttelsesrettigheder og beskytte sig mod ulovlig brug eller videregivelse af disse oplysninger. Samtidig kan de nationale tilsynsmyndigheder og Den Europæiske Tilsynsførende for Databeskyttelse være ude af stand til at følge op på klager eller foretage undersøgelser vedrørende aktiviteter uden for deres jurisdiktion. Samarbejdet på tværs af grænserne kan også hæmmes af utilstrækkelige forebyggende eller afhjælpende beføjelser, uensartede retlige ordninger og praktiske hindringer som f.eks. ressourcebegrænsninger. Derfor bør et tættere samarbejde mellem Den Europæiske Tilsynsførende for Databeskyttelse og de nationale tilsynsmyndigheder fremmes for at forbedre udvekslingen af oplysninger med deres internationale ligestillede.

(72)

Den ved forordning (EF) nr. 45/2001 fastsatte oprettelse af Den Europæiske Tilsynsførende for Databeskyttelse, der har beføjelser til at udføre sine opgaver og udøve sine beføjelser i fuld uafhængighed, har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger. Nærværende forordning bør yderligere styrke og præcisere vedkommendes rolle og uafhængighed. Den Europæiske Tilsynsførende for Databeskyttelse bør være en person, hvis uafhængighed er uomtvistelig, og som er anerkendt som havende den erfaring og kompetence, der kræves for at varetage de opgaver, der henhører under Den Europæiske Tilsynsførende for Databeskyttelse, f.eks. fordi vedkommende har tilhørt en af de tilsynsmyndigheder, der er oprettet ved artikel 51 i forordning (EU) 2016/679.

(73)

For at sikre ensartet tilsyn med og håndhævelse af databeskyttelsesreglerne i hele Unionen bør Den Europæiske Tilsynsførende for Databeskyttelse have de samme opgaver og effektive beføjelser som de nationale tilsynsmyndigheder, herunder undersøgelsesbeføjelser og beføjelser til at fastsætte korrigerende foranstaltninger og sanktioner samt godkendelses- og rådgivningsbeføjelser, navnlig i tilfælde af klager fra fysiske personer, beføjelser til at indbringe overtrædelser af denne forordning for EU-Domstolen, og beføjelser til at deltage i retssager i overensstemmelse med den primære ret. Disse beføjelser bør også omfatte beføjelse til midlertidigt eller definitivt at begrænse, herunder forbyde, behandling. For at undgå overflødige omkostninger og urimelige ulemper for de pågældende personer, der kunne blive berørt negativt, bør hver foranstaltning, som træffes af Den Europæiske Tilsynsførende for Databeskyttelse, være passende, nødvendig og forholdsmæssig for at sikre overholdelsen af denne forordning, tage hensyn til omstændighederne i hver enkelt sag og respektere enhver persons ret til at blive hørt, inden der træffes en individuel foranstaltning vedrørende denne person. Hver juridisk bindende foranstaltning, der træffes af Den Europæiske Tilsynsførende for Databeskyttelse, bør være skriftlig, klar og utvetydig, angive datoen for iværksættelsen af foranstaltningen, være underskrevet af Den Europæiske Tilsynsførende for Databeskyttelse, angive begrundelsen for foranstaltningen og indeholde en henvisning til adgangen til effektive retsmidler.

(74)

Den Europæiske Tilsynsførende for Databeskyttelses tilsynskompetence bør af hensyn til EU-Domstolens uafhængighed under udførelsen af dens judicielle opgaver, herunder beslutningstagning, ikke omfatte EU-Domstolens behandling af personoplysninger, når den handler i sin egenskab af domstol, herunder træffer afgørelser. For sådanne behandlingsaktiviteter bør EU-Domstolen etablere et uafhængigt tilsyn i overensstemmelse med artikel 8, stk. 3, i chartret, f.eks. gennem en intern mekanisme.

(75)

Afgørelser truffet af Den Europæiske Tilsynsførende for Databeskyttelse vedrørende undtagelser fra, garantier for, godkendelse af eller betingelser for behandling af personoplysninger, således som de er defineret i denne forordning, bør offentliggøres i årsberetningen. Uafhængigt af offentliggørelsen af årsberetningen kan Den Europæiske Tilsynsførende for Databeskyttelse offentliggøre rapporter om specifikke emner.

(76)

Den Europæiske Tilsynsførende for Databeskyttelse bør overholde Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 (9).

(77)

De nationale tilsynsmyndigheder fører tilsyn med anvendelsen af forordning (EU) 2016/679 og bidrager til ensartet anvendelse heraf i hele Unionen for at beskytte fysiske personer i forbindelse med behandling af deres personoplysninger og lette fri udveksling af personoplysninger inden for indre marked. For at skabe mere ensartethed i anvendelsen af de gældende databeskyttelsesregler i medlemsstaterne og de databeskyttelsesregler, der gælder for Unionens institutioner og organer, bør Den Europæiske Tilsynsførende for Databeskyttelse samarbejde effektivt med de nationale tilsynsmyndigheder.

(78)

Under visse omstændigheder omfatter EU-retten en model for koordineret tilsyn mellem Den Europæiske Tilsynsførende for Databeskyttelse og de nationale tilsynsmyndigheder. Den Europæiske Tilsynsførende for Databeskyttelse er også tilsynsmyndighed for Europol, og med henblik herpå er der udarbejdet en særlig model for samarbejde med de nationale tilsynsmyndigheder gennem et samarbejdsråd med rådgivende funktion. For at forbedre det effektive tilsyn med og den effektive håndhævelse af væsentlige databeskyttelsesregler bør der indføres en fælles, sammenhængende model for koordineret tilsyn i Unionen. Kommissionen bør derfor fremsætte lovgivningsforslag, hvor det er hensigtsmæssigt, med henblik på at ændre de EU-retsakter, der indeholder en model for koordineret tilsyn, for at tilpasse dem til den koordinerede tilsynsmodel i denne forordning. Det Europæiske Databeskyttelsesråd bør fungere som et fælles forum for sikring af effektivt koordineret tilsyn på alle områder.

(79)

Enhver registreret bør have ret til at indgive klage til Den Europæiske Tilsynsførende for Databeskyttelse og have adgang til effektive retsmidler ved EU-Domstolen i overensstemmelse med traktaterne, hvis den registrerede finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket, eller hvis Den Europæiske Tilsynsførende for Databeskyttelse ikke reagerer på en klage, delvist eller helt afslår eller afviser en klage eller ikke handler, hvis handling er nødvendig for at beskytte den registreredes rettigheder. Undersøgelse af en klage bør foretages i det omfang, det er passende i det specifikke tilfælde, med forbehold af domstolsprøvelse. Den Europæiske Tilsynsførende for Databeskyttelse bør underrette den registrerede om behandlingen og resultatet af klagen inden en rimelig frist. Hvis sagen kræver yderligere koordinering med en national tilsynsmyndighed, bør den registrerede undervejs underrettes herom. For at lette indgivelsen af klager bør Den Europæiske Tilsynsførende for Databeskyttelse træffe foranstaltninger såsom at tilbyde en klageformular, der også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmidler.

(80)

Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, bør have ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren på de betingelser, der er fastsat i traktaterne.

(81)

For at styrke Den Europæiske Tilsynsførende for Databeskyttelses tilsynsrolle og den effektive håndhævelse af denne forordning bør Den Europæiske Tilsynsførende for Databeskyttelse som en sanktion, der kan anvendes som sidste udvej, have beføjelse til at pålægge administrative bøder. Bøderne bør have til formål at pålægge den eller det pågældende af Unionens institutioner eller organer — snarere end fysiske personer — sanktioner for manglende overholdelse af denne forordning med henblik på at forebygge fremtidige overtrædelser af denne forordning og fremme en persondatabeskyttelseskultur i Unionens institutioner og organer. Denne forordning bør angive de overtrædelser, der kan medføre administrative bøder, og maksimumsbeløb og kriterier for fastsættelse af de tilknyttede bøder. Den Europæiske Tilsynsførende for Databeskyttelse bør fastsætte størrelsen af bøden i hvert enkelt tilfælde under hensyntagen til alle relevante omstændigheder i den specifikke situation og med behørig hensyntagen til karakteren, alvoren og varigheden af overtrædelsen, dens konsekvenser og de foranstaltninger, der er truffet for at sikre overholdelse af forpligtelserne i henhold til denne forordning og for at forebygge eller begrænse følgerne af overtrædelsen. Når en eller et af Unionens institutioner eller organer pålægges en administrativ bøde, bør Den Europæiske Tilsynsførende for Databeskyttelse overveje, om bødens størrelse står i et rimeligt forhold til overtrædelsen. Den administrative procedure for at pålægge Unionens institutioner og organer bøder bør overholde EU-rettens generelle principper som fortolket af EU-Domstolen.

(82)

Hvis en registreret finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket, bør den pågældende have ret til at give et organ, en organisation eller en sammenslutning, der ikke arbejder med gevinst for øje, som er etableret i overensstemmelse med EU-retten eller en medlemsstats ret, og hvis vedtægtsmæssige formål er i samfundets interesse, og som beskæftiger sig med beskyttelse af personoplysninger, bemyndigelse til på vedkommendes vegne at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse. Et sådant organ eller en sådan sammenslutning bør også kunne udøve retten til adgang til retsmidler eller retten til erstatning på registreredes vegne.

(83)

Der bør kunne iværksættes disciplinære eller andre sanktioner over for en tjenestemand eller anden ansat i Unionen, som undlader at opfylde forpligtelserne i denne forordning i overensstemmelse med de regler og procedurer, der er fastlagt i vedtægten for tjenestemænd i Den Europæiske Union og ansættelsesvilkårene for de øvrige ansatte i Unionen, fastsat ved Rådets forordning (EØF, Euratom, EKSF) nr. 259/68 (10) (»vedtægten for tjenestemænd«).

(84)

For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (11). Undersøgelsesproceduren bør anvendes med henblik på vedtagelse af standardkontraktbestemmelser mellem dataansvarlige og databehandlere og mellem dataansvarlige indbyrdes, med henblik på vedtagelse af en liste over behandlingsaktiviteter, for hvilke det kræves, at databehandlere, der behandler personoplysninger som led i udførelsen af opgaver i samfundets interesse, foretager forudgående høring af Den Europæiske Tilsynsførende for Databeskyttelse, og med henblik på vedtagelse af standardkontraktbestemmelser, der giver passende garantier for internationale overførsler.

(85)

De fortrolige oplysninger, som Unionen og de nationale statistikmyndigheder indsamler til udarbejdelse af officielle europæiske og officielle nationale statistikker, bør beskyttes. Europæiske statistikker bør udvikles, udarbejdes og formidles i overensstemmelse med de statistiske principper, der er omhandlet i artikel 338, stk. 2, i TEUF. Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 (12) indeholder yderligere præciseringer om statistisk fortrolighed for europæiske statistikker.

(86)

Forordning (EF) nr. 45/2001 og Europa-Parlamentets, Rådets og Kommissionens afgørelse nr. 1247/2002/EF (13) bør ophæves. Henvisninger til den ophævede forordning og den ophævede afgørelse bør betragtes som henvisninger til nærværende forordning.

(87)

For at sikre, at medlemmerne af den uafhængige tilsynsmyndighed er helt uafhængige, bør embedsperioden for Den Europæiske Tilsynsførende for Databehandling og den nuværende assisterende tilsynsførende ikke berøres af denne forordning. Den nuværende assisterende tilsynsførende bør forblive i sin stilling indtil udløbet af sin mandatperiode, medmindre en af betingelserne for førtidig afslutning af embedsperioden for Den Europæiske Tilsynsførende for Databeskyttelse i denne forordning er opfyldt. De relevante bestemmelser bør finde anvendelse på den assisterende tilsynsførende indtil udløbet af vedkommendes embedsperiode.

(88)

I overensstemmelse med proportionalitetsprincippet er det for at virkeliggøre det grundlæggende mål om at sikre et ensartet niveau for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og fri udveksling af personoplysninger i hele Unionen nødvendigt og hensigtsmæssigt at fastsætte bestemmelser om behandlingen af personoplysninger i Unionens institutioner og organer. Denne forordning går ikke videre, end hvad der er nødvendigt for at nå de tilstræbte mål i overensstemmelse med artikel 5, stk. 4, i TEU.

(89)

Den Europæiske Tilsynsførende for Databeskyttelse blev hørt i overensstemmelse med artikel 28, stk. 2, i forordning (EF) nr. 45/2001, og afgav udtalelse den 15. marts 2017 (14) —

VEDTAGET DENNE FORORDNING:

KAPITEL I

ALMINDELIGE BESTEMMELSER

Artikel 1

Genstand og formål

1.   I denne forordning fastsættes regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner og organer og regler om fri udveksling af personoplysninger mellem disse eller med andre modtagere, der er etableret i Unionen.

2.   Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger.

3.   Den Europæiske Tilsynsførende for Databeskyttelse fører tilsyn med anvendelsen af bestemmelserne i denne forordning på alle behandlingsaktiviteter, der udføres af en af Unionens institutioner eller et af Unionens organer.

Artikel 2

Anvendelsesområde

1.   Denne forordning finder anvendelse på behandling af personoplysninger i alle Unionens institutioner og organer.

2.   Kun denne forordnings artikel 3 og kapitel IX finder anvendelse på behandling af operationelle personoplysninger i Unionens organer, kontorer og agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF.

3.   Nærværende forordning finder ikke anvendelse på Europols og Den Europæiske Anklagemyndigheds behandling af operationelle personoplysninger, førend Europa-Parlamentets og Rådets forordning (EU) 2016/794 (15) og Rådets forordning (EU) 2017/1939 (16) er tilpasset i overensstemmelse med nærværende forordnings artikel 98.

4.   Denne forordning finder ikke anvendelse på behandling af personoplysninger i de missioner, der er omhandlet i artikel 42, stk. 1, og artikel 43 og 44 i TEU.

5.   Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Artikel 3

Definitioner

I denne forordning forstås ved:

1)

»personoplysninger«: enhver form for information om en identificeret eller identificérbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

2)

»operationelle personoplysninger«: alle personoplysninger, der behandles i Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, med henblik på at opfylde de mål og udføre de opgaver, der er fastsat i de retsakter, hvorved disse organer, kontorer eller agenturer oprettes

3)

»behandling«: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved fremsendelse, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

4)

»begrænsning af behandling«: mærkning af opbevarede personoplysninger med den hensigt at begrænse fremtidig behandling af disse oplysninger

5)

»profilering«: enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk position eller bevægelser

6)

»pseudonymisering«: behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person

7)

»register«: enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt eller decentralt eller er fordelt på funktionsbestemt eller geografisk grundlag

8)

»dataansvarlig«: den af Unionens institutioner eller det af Unionens organer eller det generaldirektorat eller enhver anden organisatorisk enhed, som alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene med og hjælpemidlerne til en sådan behandling er fastlagt i en bestemt EU-retsakt, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastlægges i EU-retten

9)

»andre dataansvarlige end Unionens institutioner og organer«: dataansvarlige som omhandlet i artikel 4, nr. 7), i forordning (EU) 2016/679 og dataansvarlige som omhandlet i artikel 3, nr. 8), i direktiv (EU) 2016/680

10)

»Unionens institutioner og organer«: Unionens institutioner, organer, kontorer og agenturer, der er oprettet ved eller på grundlag af TEU, TEUF eller Euratomtraktaten

11)

»kompetent myndighed«: enhver offentlig myndighed i en medlemsstat, der er kompetent med hensyn til at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed

12)

»databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne

13)

»modtager«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej. Offentlige myndigheder, som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel i henhold til EU-retten eller medlemsstaternes nationale ret, anses dog ikke for modtagere; de offentlige myndigheders behandling af disse oplysninger skal overholde de gældende databeskyttelsesregler afhængigt af formålet med behandlingen

14)

»tredjemand«: en anden fysisk eller juridisk person, offentlig myndighed eller institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle personoplysninger

15)

»samtykke« fra den registrerede: enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling

16)

»brud på persondatasikkerheden«: et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til personoplysninger, der er videresendt, opbevaret eller på anden måde behandlet

17)

»genetiske data«: personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske karakteristika, som giver entydig information om den fysiske persons fysiologi eller helbred, og som navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person

18)

»biometriske data«: personoplysninger, der som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger

19)

»helbredsoplysninger«: personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand

20)

»informationssamfundstjeneste«: en tjeneste som defineret i artikel 1, stk. 1, litra b), i Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 (17)

21)

»international organisation«: en folkeretlig organisation og organer, der er underordnet den, eller ethvert andet organ, der er oprettet ved eller med hjemmel i en aftale mellem to eller flere lande

22)

»national tilsynsmyndighed«: en uafhængig offentlig myndighed, der er etableret i en medlemsstat i henhold til artikel 51 i forordning (EU) 2016/679 eller i henhold til artikel 41 i direktiv (EU) 2016/680

23)

»bruger«: en fysisk person, der anvender et netværk eller terminaludstyr, som drives under tilsyn af en af Unionens institutioner eller et af Unionens organer

24)

»fortegnelse«: en offentligt tilgængelig fortegnelse over brugere eller en intern fortegnelse over brugere, der er til rådighed i en af Unionens institutioner eller et af Unionens organer, eller som deles mellem Unionens institutioner og organer, enten i trykt eller elektronisk form

25)

»elektronisk kommunikationsnet«: transmissionssystemer, uanset om de er baseret på en permanent infrastruktur eller centraliseret administrationsfunktion og, hvor det er relevant, koblings- og dirigeringsudstyr og andre ressourcer, herunder netelementer, som ikke er aktive, og som overfører signaler ved hjælp af trådforbindelse, radiobølger, lyslederteknik eller andre elektromagnetiske midler, herunder satellitnet, jordbaserede fastnet (kredsløbs- og pakkekoblede, herunder i internettet) og mobilnet, elkabelsystemer, i det omfang de benyttes til transmission af signaler, net, som anvendes til radio- og TV-spredning, samt kabel-TV-net, uanset hvilken type information, der overføres

26)

»terminaludstyr«: terminaludstyr som defineret i artikel 1, nr. 1), i Kommissionens direktiv 2008/63/EF (18).

KAPITEL II

GENERELLE PRINCIPPER

Artikel 4

Principper for behandling af personoplysninger

1.   Personoplysninger skal:

a)

behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)

b)

indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 13 anses ikke for at være uforenelig med de oprindelige formål (»formålsbegrænsning«)

c)

være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)

d)

være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt til at sikre, at personoplysninger, der er ukorrekte i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)

e)

opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles. Personoplysninger kan opbevares i et længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 13, under forudsætning af, at der gennemføres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«)

f)

behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

2.   Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).

Artikel 5

Lovlig behandling

1.   Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

a)

Behandling er nødvendig af hensyn til udførelse af en opgave, der udføres i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den eller det pågældende af Unionens institutioner eller organer har fået pålagt.

b)

Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.

c)

Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.

d)

Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

e)

Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

2.   Grundlaget for behandlingen i stk. 1, litra a) og b), fastsættes i EU-retten.

Artikel 6

Behandling til et andet foreneligt formål

Når behandling til et andet formål end det, som personoplysningerne er indsamlet til, ikke er baseret på den registreredes samtykke eller EU-retten, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål, der er omhandlet i artikel 25, stk. 1, tager den dataansvarlige, for at afgøre, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindelig blev indsamlet til, bl.a. hensyn til følgende:

a)

enhver forbindelse mellem det formål, som personoplysningerne er indsamlet til, og formålet med den påtænkte viderebehandling

b)

den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet mellem den registrerede og den dataansvarlige

c)

personoplysningernes art, navnlig om særlige kategorier af personoplysninger behandles, jf. artikel 10, eller om personoplysninger vedrørende straffedomme og lovovertrædelser behandles, jf. artikel 11

d)

den påtænkte viderebehandlings mulige konsekvenser for de registrerede

e)

tilstedeværelsen af fornødne garantier, som kan omfatte kryptering eller pseudonymisering.

Artikel 7

Betingelser for samtykke

1.   Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.

2.   Hvis den registreredes samtykke gives i form af en skriftlig erklæring, der også vedrører andre forhold, skal en anmodning om samtykke forelægges på en måde, som klart kan skelnes fra de andre forhold, i en letforståelig og lettilgængelig form og i et klart og enkelt sprog. Enhver del af en sådan erklæring, som udgør en overtrædelse af denne forordning, er ikke bindende.

3.   Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke berører ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækningen. Inden der gives samtykke, skal den registrerede underrettes om, at samtykket kan trækkes tilbage. Det skal være lige så let at trække sit samtykke tilbage som at give det.

4.   Ved vurderingen af, om samtykke er givet frit, tages der størst muligt hensyn til, bl.a. om opfyldelsen af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt.

Artikel 8

Betingelser for et barns samtykke i forbindelse med informationssamfundstjenester

1.   Hvis artikel 5, stk. 1, litra d), finder anvendelse i forbindelse med udbud af informationssamfundstjenester direkte til børn, er behandling af personoplysninger om et barn lovlig, hvis barnet er mindst 13 år. Er barnet under 13 år, er sådan behandling kun lovlig, hvis og i det omfang samtykke gives eller godkendes af indehaveren af forældremyndigheden over barnet.

2.   Under hensyntagen til den tilgængelige teknologi skal den dataansvarlige gøre sig rimelige bestræbelser på i sådanne tilfælde at kontrollere, at indehaveren af forældremyndigheden over barnet har givet eller godkendt samtykket.

3.   Stk. 1 berører ikke medlemsstaternes generelle aftaleret, som f.eks. bestemmelser om gyldighed, indgåelse eller virkning af en kontrakt, når der er tale om et barn.

Artikel 9

Fremsendelse af personoplysninger til andre modtagere, der er etableret i Unionen, end Unionens institutioner og organer

1.   Uden at det berører artikel 4-6 og 10, fremsendes personoplysninger kun til andre modtagere, der er etableret i Unionen, end Unionens institutioner og organer, hvis:

a)

modtageren godtgør, at oplysningerne er nødvendige af hensyn til udførelse af en opgave, der udføres i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som modtageren har fået pålagt, eller

b)

modtageren godtgør, at fremsendelsen af oplysningerne er nødvendig til et specifikt formål i samfundets interesse, og den dataansvarlige, hvis der er nogen grund til at formode, at oplysningerne vil skade den registreredes legitime interesser, efter påviseligt at have afvejet de forskellige berørte interesser mod hinanden, fastslår, at fremsendelsen af personoplysningerne står i et rimeligt forhold til det specifikke mål.

2.   Hvis den dataansvarlige tager initiativ til fremsendelsen efter denne artikel, påviser denne, at fremsendelsen af personoplysninger er nødvendig og står i et rimeligt forhold til formålene med fremsendelsen, på grundlag af kriterierne i stk. 1, litra a) eller b).

3.   Unionens institutioner og organer skal forene retten til beskyttelse af personoplysninger med retten til aktindsigt i overensstemmelse med EU-retten.

Artikel 10

Behandling af særlige kategorier af personoplysninger

1.   Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.

2.   Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende:

a)

den registrerede har givet udtrykkeligt samtykke til behandling af disse personoplysninger til et eller flere specifikke formål, medmindre det i EU-retten er fastsat, at det i stk. 1 omhandlede forbud ikke kan hæves med den registreredes samtykke

b)

behandlingen er nødvendig for at overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder, for så vidt den har hjemmel i EU-retten, som giver fornødne garantier for den registreredes grundlæggende rettigheder og interesser

c)

behandlingen er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser i tilfælde, hvor den registrerede fysisk eller juridisk ikke er i stand til at give samtykke

d)

behandlingen foretages af et organ, der ikke arbejder med gevinst for øje, og som udgør en enhed, der er integreret i en af Unionens institutioner eller et af Unionens organer, og hvis sigte er af politisk, filosofisk, religiøs eller faglig art, som led i organets legitime aktiviteter og med de fornødne garantier, og på betingelse af at behandlingen alene vedrører organets medlemmer eller tidligere medlemmer eller personer, der på grund af organets formål er i regelmæssig kontakt hermed, og at oplysningerne ikke videregives uden for organet uden den registreredes samtykke

e)

behandlingen vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede

f)

behandlingen er nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares, eller når EU-Domstolen handler under udførelsen af sine judicielle opgaver

g)

behandlingen er nødvendig af hensyn til væsentlige samfundsinteresser på grundlag af EU-retten og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser

h)

behandlingen er nødvendig med henblik på forebyggende medicin eller arbejdsmedicin til vurdering af arbejdstagerens erhvervsevne, medicinsk diagnose, ydelse af social- og sundhedsomsorg eller -behandling eller forvaltning af social- og sundhedsomsorg og -tjenester på grundlag af EU-retten eller i henhold til en kontrakt med en sundhedsperson og underlagt de betingelser og garantier, der er omhandlet i stk. 3

i)

behandlingen er nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet, f.eks. beskyttelse mod alvorlige grænseoverskridende sundhedsrisici eller sikring af høje kvalitets- og sikkerhedsstandarder for sundhedspleje og lægemidler eller medicinsk udstyr på grundlag af EU-retten, som fastsætter passende og specifikke foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder, navnlig tavshedspligt, eller

j)

behandlingen er nødvendig til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål på grundlag af EU-retten og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser.

3.   Personoplysninger som omhandlet i stk. 1 kan behandles til de formål, der er omhandlet i stk. 2, litra h), hvis disse oplysninger behandles af en fagperson, der har tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret eller regler, der er fastsat af nationale kompetente organer, eller under en sådan persons ansvar, eller af en anden person, der også har tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret eller regler, der er fastsat af kompetente nationale organer.

Artikel 11

Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser

Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger på grundlag af artikel 5, stk. 1, må kun foretages under kontrol af en offentlig myndighed, eller hvis behandlingen har hjemmel i EU-retten, som giver passende garantier for registreredes rettigheder og frihedsrettigheder.

Artikel 12

Behandling, der ikke kræver identifikation

1.   Hvis formålene med en dataansvarligs behandling af personoplysninger ikke kræver eller ikke længere kræver, at den registrerede kan identificeres af den dataansvarlige, er den dataansvarlige ikke forpligtet til at beholde, indhente eller behandle yderligere oplysninger for at kunne identificere den registrerede alene med det formål at overholde denne forordning.

2.   Hvis den dataansvarlige i de tilfælde, der er omhandlet i denne artikels stk. 1, kan påvise, at vedkommende ikke kan identificere den registrerede, underretter den dataansvarlige den registrerede herom, hvis det er muligt. I sådanne tilfælde finder artikel 17-22 ikke anvendelse, medmindre den registrerede for at udøve sine rettigheder i henhold til disse artikler giver yderligere oplysninger, der gør det muligt at identificere den pågældende.

Artikel 13

Garantier i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål

Behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål skal være underlagt fornødne garantier for registreredes rettigheder og frihedsrettigheder i overensstemmelse med denne forordning. Disse garantier skal sikre, at der er truffet tekniske og organisatoriske foranstaltninger, især for at sikre overholdelse af princippet om dataminimering. Disse foranstaltninger kan omfatte pseudonymisering, forudsat at disse formål kan opfyldes på denne måde. Når disse formål kan opfyldes ved viderebehandling, som ikke gør det muligt eller ikke længere gør det muligt at identificere de registrerede, skal formålene opfyldes på denne måde.

KAPITEL III

DEN REGISTREREDES RETTIGHEDER

AFDELING 1

Gennemsigtighed og nærmere regler

Artikel 14

Gennemsigtig oplysning, meddelelser og nærmere regler for udøvelsen af den registreredes rettigheder

1.   Den dataansvarlige træffer passende foranstaltninger til at give enhver oplysning som omhandlet i artikel 15 og 16 og enhver meddelelse i henhold til artikel 17-24 og artikel 35 om behandling til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog, navnlig når oplysninger specifikt er rettet mod et barn. Oplysningerne gives skriftligt eller med andre midler, herunder, hvis det er hensigtsmæssigt, elektronisk. Når den registrerede anmoder om det, kan oplysningerne gives mundtligt, forudsat at den registreredes identitet påvises med andre midler.

2.   Den dataansvarlige letter udøvelsen af den registreredes rettigheder i henhold til artikel 17-24. I de tilfælde, der er omhandlet i artikel 12, stk. 2, må den dataansvarlige ikke afvise at efterkomme den registreredes anmodning om at udøve sine rettigheder i henhold til artikel 17-24, medmindre den dataansvarlige påviser, at vedkommende ikke er i stand til at identificere den registrerede.

3.   Den dataansvarlige oplyser uden unødig forsinkelse og i alle tilfælde senest en måned efter modtagelsen af anmodningen den registrerede om foranstaltninger, der træffes på baggrund af en anmodning i henhold til artikel 17-24. Denne periode kan om nødvendigt forlænges med to måneder under hensyntagen til anmodningernes kompleksitet og antal. Den dataansvarlige underretter den registrerede om enhver sådan forlængelse senest en måned efter modtagelsen af anmodningen sammen med begrundelsen for forsinkelsen. Hvis den registrerede indgiver en anmodning elektronisk, meddeles oplysningerne så vidt muligt elektronisk, medmindre den registrerede anmoder om andet.

4.   Hvis den dataansvarlige ikke træffer foranstaltninger i anledning af den registreredes anmodning, underretter den dataansvarlige straks og senest en måned efter modtagelsen af anmodningen den registrerede om årsagen hertil og om muligheden for at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse og indbringe sagen for en retsinstans.

5.   Oplysninger, der gives i henhold til artikel 15 og 16, og enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 17-24 og artikel 35, er gratis. Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige afvise at efterkomme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven, påhviler den dataansvarlige.

6.   Uden at det berører artikel 12 kan den dataansvarlige, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der fremsætter en anmodning som omhandlet i artikel 17-23, anmode om yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.

7.   De oplysninger, der skal gives til registrerede i henhold til artikel 15 og 16, kan gives sammen med standardiserede ikoner for at give et meningsfuldt overblik over den planlagte behandling på en klart synlig, letforståelig og letlæselig måde. Hvis ikonerne præsenteres elektronisk, skal de være maskinlæsbare.

8.   Hvis Kommissionen vedtager delegerede retsakter i henhold til artikel 12, stk. 8, i forordning (EU) 2016/679, der fastlægger de oplysninger, som skal fremgå af ikonerne og procedurerne for tilvejebringelse af standardiserede ikoner, tilvejebringer Unionens institutioner og organer, hvor det er relevant, de oplysninger, der er omhandlet i nærværende forordnings artikel 15 og 16, sammen med sådanne standardiserede ikoner.

AFDELING 2

Oplysning og indsigt i personoplysninger

Artikel 15

Oplysningspligt ved indsamling af personoplysninger hos den registrerede

1.   Hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede alle følgende oplysninger:

a)

identitet på og kontaktoplysninger for den dataansvarlige

b)

kontaktoplysninger for databeskyttelsesrådgiveren

c)

formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen

d)

eventuelle modtagere eller kategorier af modtagere af personoplysningerne

e)

hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 48, henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.

2.   Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede følgende yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling:

a)

det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum

b)

retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede eller, hvor det er relevant, retten til at gøre indsigelse mod behandling samt retten til dataportabilitet

c)

når behandling er baseret på artikel 5, stk. 1, litra d), eller artikel 10, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf

d)

retten til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse

e)

om meddelelse af personoplysninger er lovpligtigt eller et krav i henhold til en kontrakt eller et krav, der skal være opfyldt for at indgå en kontrakt, samt om den registrerede har pligt til at give personoplysningerne og de eventuelle konsekvenser af ikke at give sådanne oplysninger

f)

forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 24, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

3.   Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål og andre relevante yderligere oplysninger, jf. stk. 2.

4.   Stk. 1, 2 og 3 finder ikke anvendelse, hvis og i det omfang den registrerede allerede er bekendt med oplysningerne.

Artikel 16

Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede

1.   Hvis personoplysningerne ikke er indsamlet hos den registrerede, giver den dataansvarlige den registrerede følgende oplysninger:

a)

identitet på og kontaktoplysninger for den dataansvarlige

b)

kontaktoplysninger for databeskyttelsesrådgiveren

c)

formålene med den behandling, som personoplysningerne skal bruges til, samt retsgrundlaget for behandlingen

d)

de berørte kategorier af personoplysninger

e)

eventuelle modtagere eller kategorier af modtagere af personoplysningerne

f)

hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til en modtager i et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 48, henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.

2.   Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige den registrerede følgende yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede:

a)

det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum

b)

retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede eller, hvor det er relevant, retten til at gøre indsigelse mod behandling eller retten til dataportabilitet

c)

når behandling er baseret på artikel 5, stk. 1, litra d), eller artikel 10, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf

d)

retten til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse

e)

hvilken kilde personoplysningerne hidrører fra, og eventuelt hvorvidt de stammer fra offentligt tilgængelige kilder

f)

forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 24, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

3.   Den dataansvarlige giver de oplysninger, der er omhandlet i stk. 1 og 2:

a)

inden for en rimelig frist efter indsamlingen af personoplysningerne, men senest inden for en måned under hensyn til de specifikke forhold, som personoplysningerne er behandlet under,

b)

hvis personoplysningerne skal bruges til at kommunikere med den registrerede, senest på tidspunktet for den første kommunikation med den registrerede, eller

c)

hvis personoplysningerne er bestemt til videregivelse til en anden modtager, senest når personoplysningerne videregives første gang.

4.   Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål samt andre relevante yderligere oplysninger, jf. stk. 2.

5.   Stk. 1-4 finder ikke anvendelse, hvis og i det omfang:

a)

den registrerede allerede er bekendt med oplysningerne

b)

meddelelse af sådanne oplysninger viser sig umulig eller vil kræve en uforholdsmæssigt stor indsats, navnlig i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål, eller i det omfang den forpligtelse, der er omhandlet i denne artikels stk. 1, sandsynligvis vil gøre det umuligt eller i alvorlig grad vil hindre opfyldelse af formålene med denne behandling

c)

indsamling eller videregivelse udtrykkeligt er fastsat i EU-retten, som fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser, eller

d)

personoplysningerne skal forblive fortrolige som følge af tavshedspligt i henhold til EU-retten, herunder lovbestemt tavshedspligt.

6.   I de tilfælde, der er omhandlet i stk. 5, litra b), træffer den dataansvarlige passende foranstaltninger til at beskytte den registreredes rettigheder og frihedsrettigheder og legitime interesser, herunder gøre oplysningerne offentligt tilgængelige.

Artikel 17

Den registreredes indsigtsret

1.   Den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information:

a)

formålene med behandlingen

b)

de berørte kategorier af personoplysninger

c)

de modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, navnlig modtagere i tredjelande eller internationale organisationer

d)

om muligt, det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum

e)

retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling af personoplysninger vedrørende den registrerede eller til at gøre indsigelse mod en sådan behandling

f)

retten til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse

g)

enhver tilgængelig information om, hvorfra personoplysningerne stammer, hvis de ikke indsamles hos den registrerede

h)

forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 24, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

2.   Hvis personoplysningerne overføres til et tredjeland eller en international organisation, har den registrerede ret til at blive underrettet om de fornødne garantier i medfør af artikel 48 i forbindelse med overførslen.

3.   Den dataansvarlige udleverer en kopi af de personoplysninger, der behandles. Hvis den registrerede indgiver anmodningen elektronisk, og medmindre den registrerede anmoder om andet, udleveres oplysningerne i en almindeligt anvendt elektronisk form.

4.   Retten til at modtage en kopi som omhandlet i stk. 3 må ikke krænke andres rettigheder og frihedsrettigheder.

AFDELING 3

Berigtigelse og sletning

Artikel 18

Ret til berigtigelse

Den registrerede har ret til at få urigtige personoplysninger om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Den registrerede har under hensyntagen til formålene med behandlingen ret til få fuldstændiggjort ufuldstændige personoplysninger, bl.a. ved at fremlægge en supplerende erklæring.

Artikel 19

Ret til sletning (»ret til at blive glemt«)

1.   Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende:

a)

Personoplysningerne er ikke længere nødvendige til at opfylde de formål, hvortil de blev indsamlet eller på anden vis behandlet.

b)

Den registrerede trækker det samtykke, der er grundlaget for behandlingen, jf. artikel 5, stk. 1, litra d), eller artikel 10, stk. 2, litra a), tilbage, og der er ikke et andet retsgrundlag for behandlingen.

c)

Den registrerede gør indsigelse mod behandlingen i henhold til artikel 23, stk. 1, og der foreligger ikke legitime grunde til behandlingen.

d)

Personoplysningerne er blevet behandlet ulovligt.

e)

Personoplysningerne skal slettes for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt.

f)

Personoplysningerne er blevet indsamlet i forbindelse med udbud af informationssamfundstjenester som omhandlet i artikel 8, stk. 1.

2.   Hvis den dataansvarlige har offentliggjort personoplysningerne og i henhold til stk. 1 er forpligtet til at slette personoplysningerne, træffer den dataansvarlige under hensyntagen til den teknologi, der er tilgængelig, og omkostningerne ved implementeringen, rimelige foranstaltninger, herunder tekniske foranstaltninger, til at underrette de dataansvarlige, eller andre dataansvarlige end Unionens institutioner og organer, som behandler personoplysningerne, om, at den registrerede har anmodet disse dataansvarlige om at slette alle link til eller kopier eller gengivelser af de pågældende personoplysninger.

3.   Stk. 1 og 2 finder ikke anvendelse, i det omfang denne behandling er nødvendig:

a)

for at udøve retten til ytrings- og informationsfrihed

b)

for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt, eller for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt

c)

af hensyn til samfundsinteresser på folkesundhedsområdet i overensstemmelse med artikel 10, stk. 2, litra h) og i), samt artikel 10, stk. 3

d)

til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål, i det omfang den rettighed, der er omhandlet i stk. 1, sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af denne behandling, eller

e)

for at retskrav kan fastlægges, gøres gældende eller forsvares.

Artikel 20

Ret til begrænsning af behandling

1.   Den registrerede har ret til fra den dataansvarlige at opnå begrænsning af behandling, hvis et af følgende forhold gør sig gældende:

a)

rigtigheden af personoplysningerne bestrides af den registrerede, i perioden indtil den dataansvarlige har haft mulighed for at fastslå, om personoplysningerne er korrekte, herunder om de er fuldstændige

b)

behandlingen er ulovlig, og den registrerede modsætter sig sletning af personoplysningerne og i stedet anmoder om, at anvendelse heraf begrænses

c)

den dataansvarlige har ikke længere brug for personoplysningerne til behandlingen, men de er nødvendige for, at et retskrav kan fastlægges, gøres gældende eller forsvares

d)

den registrerede har gjort indsigelse mod behandlingen i medfør af artikel 23, stk. 1, i perioden, mens det kontrolleres, om den dataansvarliges legitime interesser går forud for den registreredes legitime interesser.

2.   Hvis behandling er blevet begrænset i medfør af stk. 1, må sådanne personoplysninger, bortset fra opbevaring, kun behandles med den registreredes samtykke eller med henblik på, at et retskrav kan fastlægges, gøres gældende eller forsvares eller for at beskytte en anden fysisk eller juridisk person eller af hensyn til Unionens eller en medlemsstats vigtige samfundsinteresser.

3.   En registreret, der har opnået begrænsning af behandling i medfør af stk. 1, underrettes af den dataansvarlige, inden begrænsningen af behandlingen ophæves.

4.   I automatiske registre begrænses behandling i princippet ved hjælp af tekniske hjælpemidler. Det forhold, at personoplysninger er begrænset, angives i registret på en sådan måde, at det klart fremgår, at personoplysningerne ikke må benyttes.

Artikel 21

Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling

Den dataansvarlige underretter hver modtager, som personoplysningerne er videregivet til, om enhver berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, der er udført i henhold til artikel 18, artikel 19, stk. 1, og artikel 20, medmindre dette viser sig umuligt eller er uforholdsmæssigt vanskeligt. Den dataansvarlige oplyser den registrerede om disse modtagere, hvis den registrerede anmoder herom.

Artikel 22

Ret til dataportabilitet

1.   Den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, og har ret til at fremsende disse oplysninger til en anden dataansvarlig uden hindring fra den dataansvarlige, som personoplysningerne er blevet givet til, når:

a)

behandlingen er baseret på samtykke, jf. artikel 5, stk. 1, litra d), eller artikel 10, stk. 2, litra a), eller på en kontrakt, jf. artikel 5, stk. 1, litra c), og

b)

behandlingen foretages automatisk.

2.   Når den registrerede udøver sin ret til dataportabilitet i henhold til stk. 1, har den registrerede ret til at få fremsendt personoplysningerne direkte fra en dataansvarlig til en anden eller til andre dataansvarlige end Unionens institutioner og organer, hvis det er teknisk muligt.

3.   Udøvelsen af den ret, der er omhandlet i stk. 1 i denne artikel, berører ikke artikel 19. Den nævnte ret finder ikke anvendelse på behandling, der er nødvendig for udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

4.   Den ret, der er omhandlet i stk. 1, må ikke krænke andres rettigheder eller frihedsrettigheder.

AFDELING 4

Ret til indsigelse og automatiske individuelle afgørelser

Artikel 23

Indsigelsesret

1.   Den registrerede har til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af sine personoplysninger baseret på artikel 5, stk. 1, litra a), herunder profilering baseret på denne bestemmelse. Den dataansvarlige må ikke længere behandle personoplysningerne, medmindre den dataansvarlige påviser vægtige legitime grunde til behandlingen, der går forud for registreredes interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.

2.   Senest på tidspunktet for den første kommunikation med den registrerede skal denne udtrykkeligt gøres opmærksom på den ret, der er omhandlet i stk. 1, og oplysninger herom skal meddeles klart og adskilt fra alle andre oplysninger.

3.   I forbindelse med anvendelse af informationssamfundstjenester kan den registrerede udøve sin ret til indsigelse gennem automatiske midler ved brug af tekniske specifikationer, jf. dog artikel 36 og 37.

4.   Hvis personoplysninger behandles med henblik på videnskabelige eller historiske forskningsformål eller statistiske formål, har den registrerede ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af personoplysninger vedrørende den pågældende, medmindre behandlingen er nødvendig for at udføre en opgave i samfundets interesse.

Artikel 24

Automatiske individuelle afgørelser, herunder profilering

1.   Den registrerede har ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende.

2.   Stk. 1 finder ikke anvendelse, hvis afgørelsen:

a)

er nødvendig for indgåelse eller opfyldelse af en kontrakt mellem den registrerede og den dataansvarlige

b)

er hjemlet i EU-retten, som også fastsætter passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser, eller

c)

er baseret på den registreredes udtrykkelige samtykke.

3.   I de tilfælde, der er omhandlet i stk. 2, litra a) og c), gennemfører den dataansvarlige passende foranstaltninger til at beskytte den registreredes rettigheder og frihedsrettigheder samt legitime interesser, i det mindste den registreredes ret til menneskelig indgriben fra den dataansvarliges side, til at tilkendegive sine synspunkter og til at bestride afgørelsen.

4.   De afgørelser, der er omhandlet i denne artikels stk. 2, må ikke baseres på særlige kategorier af personoplysninger, jf. artikel 10, stk. 1, medmindre artikel 10, stk. 2, litra a) eller g), finder anvendelse, og der er indført passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser.

AFDELING 5

Begrænsninger

Artikel 25

Begrænsninger

1.   Retsakter vedtaget på grundlag af traktaterne eller, i spørgsmål vedrørende Unionens institutioner og organer, interne regler, som disse har fastsat, kan begrænse anvendelsen af artikel 14-22, 35 og 36, samt artikel 4, for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 14-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:

a)

medlemsstaternes nationale sikkerhed, offentlige sikkerhed og forsvar

b)

forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed

c)

andre vigtige målsætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle samfundsinteresser, navnlig målene med Unionens fælles udenrigs- og sikkerhedspolitik eller Unionens eller en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed

d)

Unionens institutioners og organers interne sikkerhed, herunder deres elektroniske kommunikationsnetværk

e)

beskyttelse af retsvæsenets uafhængighed og retssager

f)

forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv

g)

kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i litra a)-c)

h)

beskyttelse af den registreredes eller andres rettigheder og frihedsrettigheder

i)

håndhævelse af civilretlige krav.

2.   Navnlig skal enhver retsakt eller intern regel, der er omhandlet i stk. 1, hvor det er relevant, indeholde specifikke bestemmelser vedrørende:

a)

formålene med behandlingen eller kategorierne af behandling

b)

kategorierne af personoplysninger

c)

rækkevidden af de indførte begrænsninger

d)

garantierne for at undgå misbrug eller ulovlig adgang eller overførsel

e)

specifikation af den dataansvarlige eller kategorierne af dataansvarlige

f)

opbevaringsperioderne og de gældende garantier under hensyntagen til karakteren, omfanget og formålet med behandlingen eller med kategorierne af behandling og

g)

risiciene for de registreredes rettigheder og frihedsrettigheder.

3.   Når personoplysninger behandles til videnskabelige eller historiske forskningsformål eller til statistiske formål, kan EU-retten, der kan omfatte interne regler vedtaget af Unionens institutioner og organer i spørgsmål vedrørende deres funktion, fastsætte undtagelser fra de rettigheder, der er omhandlet i artikel 17, 18, 20 og 23, under iagttagelse af de betingelser og garantier, der er omhandlet i artikel 13, såfremt sådanne rettigheder sandsynligvis vil umuliggøre eller i alvorlig grad hindre opfyldelse af de specifikke formål, og sådanne undtagelser er nødvendige for at opfylde formålene.

4.   Når personoplysninger behandles til arkivformål i samfundets interesse, kan EU-retten, der kan omfatte interne regler vedtaget af Unionens institutioner og organer i spørgsmål vedrørende deres funktion, fastsætte undtagelser fra de rettigheder, der er omhandlet i artikel 17, 18, 20, 21, 22 og 23, under iagttagelse af de betingelser og garantier, der er omhandlet i artikel 13, såfremt sådanne rettigheder sandsynligvis vil umuliggøre eller i alvorlig grad hindre opfyldelse af de specifikke formål, og sådanne undtagelser er nødvendige for at opfylde formålene.

5.   De interne regler, der er omhandlet i stk. 1, 3 og 4, skal have form af klare og præcise almengyldige retsakter med retsvirkning over for registrerede og vedtaget på højeste forvaltningsniveau i Unionens institutioner og organer og skal offentliggøres i Den Europæiske Unions Tidende.

6.   Hvis der pålægges en begrænsning som omhandlet i stk. 1, underrettes den registrerede i overensstemmelse med EU-retten om de vigtigste bevæggrunde, der ligger til grund for anvendelsen af begrænsningen, og om sin ret til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse.

7.   Hvis en begrænsning, der er pålagt i henhold til stk. 1, påberåbes for at nægte den registrerede adgang til indsigt, underretter Den Europæiske Tilsynsførende for Databeskyttelse, når vedkommende undersøger klagen, kun den registrerede om, hvorvidt oplysningerne er behandlet korrekt, og, hvis dette ikke er tilfældet, hvorvidt de nødvendige korrektioner er foretaget.

8.   Den bestemmelse om underretning, der er omhandlet i nærværende artikels stk. 6 og 7 og i artikel 45, stk. 2, kan udsættes, udelades eller afvises, hvis den ville ophæve virkningen af den pålagte begrænsning, jf. nærværende artikels stk. 1.

KAPITEL IV

DATAANSVARLIG OG DATABEHANDLER

AFDELING 1

Generelle forpligtelser

Artikel 26

Den dataansvarliges ansvar

1.   Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres.

2.   Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker.

3.   Overholdelse af godkendte certificeringsmekanismer som omhandlet i artikel 42 i forordning (EU) 2016/679 kan bruges som et element til at påvise overholdelse af den dataansvarliges forpligtelser.

Artikel 27

Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger

1.   Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.

2.   Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder for den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.

3.   En godkendt certificeringsmekanisme i medfør af artikel 42 i forordning (EU) 2016/679 kan bruges som et element til at påvise overholdelse af kravene i nærværende artikels stk. 1 og 2.

Artikel 28

Fælles dataansvarlige

1.   Når to eller flere dataansvarlige eller en eller flere dataansvarlige sammen med en eller flere andre dataansvarlige end Unionens institutioner og organer, i fællesskab afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling, er de fælles dataansvarlige. De fastlægger på en gennemsigtig måde deres respektive ansvar for overholdelse af deres databeskyttelsesforpligtelser, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 15 og 16, ved hjælp af en ordning mellem dem, medmindre og i det omfang de fælles dataansvarliges respektive ansvar er fastlagt i EU-retten eller medlemsstaternes nationale ret, som de fælles dataansvarlige er underlagt. I ordningen kan der udpeges et kontaktpunkt for registrerede.

2.   Ordningen, der er omhandlet i stk. 1, skal på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal gøres tilgængeligt for de registrerede.

3.   Uanset udformningen af den ordning, der er omhandlet i stk. 1, kan den registrerede udøve sine rettigheder i medfør af denne forordning med hensyn til og over for den enkelte dataansvarlige.

Artikel 29

Databehandler

1.   Hvis en behandling skal foretages på vegne af en dataansvarlig, benytter den dataansvarlige udelukkende databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder.

2.   Databehandleren må ikke gøre brug af en anden databehandler uden forudgående specifik eller generel skriftligt godkendelse fra den dataansvarlige. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

3.   En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og som fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Denne kontrakt eller dette andet retlige dokument fastsætter navnlig, at databehandleren:

a)

kun må behandle personoplysninger efter dokumenterede instrukser fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt. I så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandlingen, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser

b)

sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt

c)

iværksætter alle foranstaltninger, som kræves i henhold til artikel 33

d)

opfylder de betingelser, der er omhandlet i stk. 2 og 4, for at gøre brug af en anden databehandler

e)

under hensyntagen til behandlingens karakter, så vidt muligt bistår den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i kapitel III

f)

bistår den dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af artikel 33-41 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren

g)

efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysninger til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, og sletter eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne

h)

stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i denne artikel, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

For så vidt angår første afsnits litra h) underretter databehandleren omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

4.   Gør en databehandler brug af en anden databehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, pålægges denne anden databehandler de samme databeskyttelsesforpligtelser som dem, der er fastsat i kontrakten eller et andet retligt dokument mellem den dataansvarlige og databehandleren som omhandlet i stk. 3, gennem en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i denne forordning. Hvis denne anden databehandler ikke opfylder sine databeskyttelsesforpligtelser, forbliver den oprindelige databehandler fuldt ansvarlig over for den dataansvarlige med hensyn til opfyldelsen af denne anden databehandlers forpligtelser.

5.   Når en databehandler ikke er en af Unionens institutioner eller et af Unionens organer, kan denne databehandlers overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40, stk. 5, i forordning (EU) 2016/679 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 i forordning (EU) 2016/679 bruges som et element til at påvise fornødne garantier som omhandlet i nærværende artikels stk. 1 og 4.

6.   Uden at det berører en eventuel individuel kontrakt mellem den dataansvarlige og databehandleren, kan kontrakten eller det andet retlige dokument, der er omhandlet i denne artikels stk. 3 og 4, helt eller delvis baseres på de standardkontraktbestemmelser, der er omhandlet i denne artikels stk. 7 og 8, herunder når de indgår i en certificering, der er meddelt den dataansvarlige bortset fra en af Unionens institutioner eller et af Unionens organer, jf. artikel 42 i forordning (EU) 2016/679.

7.   Kommissionen kan fastsætte standardkontraktbestemmelser i de tilfælde, der er omhandlet i denne artikels stk. 3 og 4, og i overensstemmelse med undersøgelsesproceduren, der er omhandlet i artikel 96, stk. 2.

8.   Den Europæiske Tilsynsførende for Databeskyttelse kan vedtage standardkontraktbestemmelser for de tilfælde, der er omhandlet i denne artikels stk. 3 og 4.

9.   Kontrakten eller det andet retlige dokument, der er omhandlet i stk. 3 og 4, skal foreligge skriftligt, herunder elektronisk.

10.   Hvis en databehandler overtræder denne forordning ved at fastlægge formålene med og hjælpemidlerne til behandling, anses databehandleren for at være en dataansvarlig for så vidt angår den pågældende behandling, uden at dette berører artikel 65 og 66.

Artikel 30

Behandling, der udføres for den dataansvarlige eller databehandleren

Databehandleren og enhver, der udfører arbejde for den dataansvarlige eller databehandleren, og som har adgang til personoplysninger, behandler kun disse oplysninger efter instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret.

Artikel 31

Fortegnelser over behandlingsaktiviteter

1.   Hver dataansvarlig fører fortegnelser over de behandlingsaktiviteter, der udføres under vedkommendes ansvar. Disse fortegnelser skal omfatte alle følgende oplysninger:

a)

navn på og kontaktoplysninger for den dataansvarlige, databeskyttelsesrådgiveren og, hvis det er relevant, databehandleren og den fælles dataansvarlige

b)

formålene med behandlingen

c)

en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger

d)

de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i medlemsstater, tredjelande eller internationale organisationer

e)

hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation og dokumentation for passende garantier

f)

hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger

g)

hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 33.

2.   Hver databehandler fører fortegnelser over alle kategorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig, idet fortegnelsen skal indeholde:

a)

navn på og kontaktoplysninger for databehandleren eller databehandlerne og for hver dataansvarlig, på hvis vegne databehandleren handler, samt databeskyttelsesrådgiveren

b)

de kategorier af behandling, der foretages på vegne af den enkelte dataansvarlige

c)

hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation og dokumentation for passende garantier

d)

hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 33.

3.   De fortegnelser, der er omhandlet i stk. 1 og 2, skal foreligge skriftligt, herunder elektronisk.

4.   Unionens institutioner og organer stiller fortegnelserne til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse efter anmodning.

5.   Medmindre det ikke er hensigtsmæssigt under hensyntagen til den eller det pågældende af Unionens institutioners eller organers størrelse, fører Unionens institutioner og organer deres fortegnelser over behandlingsaktiviteter i et centralt register. De gør registret offentligt tilgængeligt.

Artikel 32

Samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse

Unionens institutioner og organer samarbejder efter anmodning med Den Europæiske Tilsynsførende for Databeskyttelse om udførelsen af dennes opgaver.

AFDELING 2

Sikkerhed i forbindelse med personoplysninger

Artikel 33

Sikkerhed i forbindelse med behandling

1.   Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:

a)

pseudonymisering og kryptering af personoplysninger

b)

evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester

c)

evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse

d)

en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

2.   Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandlingen udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er fremsendt, opbevaret eller på anden måde behandlet.

3.   Den dataansvarlige og databehandleren tager skridt til at sikre, at enhver fysisk person, der udfører arbejde for den dataansvarlige eller databehandleren, og som får adgang til personoplysninger, kun behandler disse efter instruks fra den dataansvarlige, medmindre behandling kræves i henhold til EU-retten.

4.   Overholdelse af en godkendt certificeringsmekanisme som omhandlet i artikel 42 i forordning (EU) 2016/679 kan bruges som et element til at påvise overholdelse af kravene i nærværende artikels stk. 1.

Artikel 34

Anmeldelse af brud på persondatasikkerheden til Den Europæiske Tilsynsførende for Databeskyttelse

1.   Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til Den Europæiske Tilsynsførende for Databeskyttelse, medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til Den Europæiske Tilsynsførende for Databeskyttelse ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.

2.   Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden.

3.   Den i stk. 1 omhandlede anmeldelse skal mindst:

a)

beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne af og det omtrentlige antal berørte registreringer af personoplysninger

b)

angive navn og kontaktoplysninger for databeskyttelsesrådgiveren

c)

beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden

d)

beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

4.   Når og for så vidt som det ikke er muligt at give oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.

5.   Den dataansvarlige underretter databeskyttelsesrådgiveren om bruddet på persondatasikkerheden.

6.   Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte Den Europæiske Tilsynsførende for Databeskyttelse i stand til at kontrollere, at denne artikel er overholdt.

Artikel 35

Underretning om brud på persondatasikkerheden til den registrerede

1.   Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

2.   Underretningen af den registrerede i henhold til i denne artikels stk. 1 skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 34, stk. 3, litra b), c) og d).

3.   Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis en af følgende betingelser er opfyldt:

a)

den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering

b)

den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel

c)

det vil kræve en uforholdsmæssig stor indsats. I så fald skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.

4.   Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan Den Europæiske Tilsynsførende for Databeskyttelse efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.

AFDELING 3

Fortrolighed af elektronisk kommunikation

Artikel 36

Fortrolighed af elektronisk kommunikation

Unionens institutioner og organer sikrer fortrolighed af elektronisk kommunikation, navnlig ved at sikre deres elektroniske kommunikationsnetværk.

Artikel 37

Beskyttelse af oplysninger, der er videresendt til, opbevares på, vedrører, er behandlet af og indsamlet fra slutbrugerens terminaludstyr

Unionens institutioner og organer beskytter oplysninger, der er videresendt til, opbevares på, vedrører, er behandlet af og indsamlet fra slutbrugeres terminaludstyr ved disses adgang til Unionens institutioners og organers offentligt tilgængelige websteder og mobilapplikationer i overensstemmelse med artikel 5, stk. 3, i direktiv 2002/58/EF.

Artikel 38

Brugerfortegnelser

1.   Personoplysninger i brugerfortegnelser og adgangen til sådanne fortegnelser begrænses til, hvad der er absolut nødvendigt for fortegnelsens særlige formål.

2.   Unionens institutioner og organer træffer alle nødvendige foranstaltninger til at sikre, at personoplysninger i disse fortegnelser, uanset om de er offentligt tilgængelige eller ej, ikke benyttes til direkte markedsføring.

AFDELING 4

Konsekvensanalyse vedrørende databeskyttelse og forudgående høring

Artikel 39

Konsekvensanalyse vedrørende databeskyttelse

1.   Hvis en type behandling, navnlig ved brug af nye teknologier, og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebærer lignende høje risici.

2.   Den dataansvarlige rådfører sig med databeskyttelsesrådgiveren, når der foretages en konsekvensanalyse vedrørende databeskyttelse.

3.   En konsekvensanalyse vedrørende databeskyttelse som omhandlet i stk. 1 er navnlig påkrævet i følgende tilfælde:

a)

en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering, og som er grundlag for afgørelser, der har retsvirkning for den fysiske person eller på tilsvarende vis betydeligt påvirker den fysiske person

b)

behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 10, eller af personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 11, eller

c)

systematisk overvågning af et offentligt tilgængeligt område i stort omfang.

4.   Den Europæiske Tilsynsførende for Databeskyttelse udarbejder og offentliggør en liste over de typer af behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse i henhold til stk. 1.

5.   Den Europæiske Tilsynsførende for Databeskyttelse kan også udarbejde og offentliggøre en liste over de typer af behandlingsaktiviteter, for hvilke der ikke kræves nogen konsekvensanalyse vedrørende databeskyttelse.

6.   Inden vedtagelsen af de lister, der er omhandlet i nærværende artikels stk. 4 og 5, anmoder Den Europæiske Tilsynsførende for Databeskyttelse Det Europæiske Databeskyttelsesråd, der er oprettet ved artikel 68 i forordning (EU) 2016/679, om at undersøge disse lister i overensstemmelse med artikel 70, stk. 1, litra e), i nævnte forordning, hvis de omhandler behandlingsaktiviteter udført af en dataansvarlig, der handler sammen med en eller flere andre dataansvarlige end Unionens institutioner og organer.

7.   Analysen skal mindst omfatte:

a)

en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen

b)

en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene

c)

en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1, og

d)

de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

8.   Der tages behørigt hensyn til, at de relevante dataansvarlige, bortset fra Unionens institutioner og organer, overholder godkendte adfærdskodekser, jf. artikel 40 i forordning (EU) 2016/679, ved vurderingen af konsekvenserne af de behandlingsaktiviteter, der udføres af de pågældende dataansvarlige, navnlig i forbindelse med en konsekvensanalyse vedrørende databeskyttelse.

9.   Den dataansvarlige indhenter, hvis det er relevant, de registreredes eller deres repræsentanters synspunkter vedrørende den planlagte behandling, uden at det berører beskyttelse af samfundsmæssige interesser eller behandlingsaktiviteternes sikkerhed.

10.   Hvis behandling i henhold til artikel 5, stk. 1, litra a) eller b), har hjemmel i en retsakt vedtaget på grundlag af traktaterne, der regulerer den eller de pågældende specifikke behandlingsaktiviteter, og der allerede er foretaget en konsekvensanalyse vedrørende databeskyttelse som led i en generel konsekvensanalyse inden vedtagelsen af denne retsakt, finder nærværende artikels stk. 1-6 ikke anvendelse, medmindre andet er fastsat i denne retsakt.

11.   Den dataansvarlige foretager, hvis det er nødvendigt, en fornyet gennemgang for at vurdere, hvorvidt behandling er foretaget i overensstemmelse med konsekvensanalysen vedrørende databeskyttelse, i det mindste når der er en ændring af den risiko, som behandlingsaktiviteterne udgør.

Artikel 40

Forudgående høring

1.   Den dataansvarlige hører Den Europæiske Tilsynsførende for Databeskyttelse inden behandlingen, såfremt en konsekvensanalyse vedrørende databeskyttelse efter artikel 39 viser, at en behandling uden garantier, sikkerhedsforanstaltninger og mekanismer til at begrænse risikoen vil føre til en høj risiko for fysiske personers rettigheder og frihedsrettigheder, og den dataansvarlige mener, at risikoen ikke kan begrænses ved rimelige midler i lyset af den tilgængelig teknologi og gennemførelsesomkostningerne. Den dataansvarlige rådfører sig med databeskyttelsesrådgiveren om behovet for forudgående høring.

2.   Hvis Den Europæiske Tilsynsførende for Databeskyttelse finder, at den planlagte behandling som omhandlet i stk. 1 ville overtræde denne forordning, navnlig hvis den dataansvarlige ikke i tilstrækkelig grad har identificeret eller begrænset risikoen, giver Den Europæiske Tilsynsførende for Databeskyttelse inden for en periode på op til otte uger efter modtagelse af anmodningen om høring den dataansvarlige og, hvor det er relevant, databehandleren skriftlig rådgivning og kan i den forbindelse anvende enhver af sine beføjelser, jf. artikel 58. Denne periode kan forlænges med seks uger under hensyntagen til den påtænkte behandlings kompleksitet. Den Europæiske Tilsynsførende for Databeskyttelse underretter den dataansvarlige og, hvor det er relevant, databehandleren om enhver sådan forlængelse senest en måned efter modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen. Disse perioder kan suspenderes, indtil Den Europæiske Tilsynsførende for Databeskyttelse har modtaget de oplysninger, som denne har anmodet om med henblik på høringen.

3.   Når Den Europæiske Tilsynsførende for Databeskyttelse skal høres, jf. stk. 1, oplyser den dataansvarlige Den Europæiske Tilsynsførende for Databeskyttelse om følgende:

a)

hvor det er relevant, ansvarsområderne for henholdsvis den dataansvarlige, de fælles dataansvarlige og de databehandlere, der er involveret i behandlingen

b)

den planlagte behandlings formål og hjælpemidler

c)

foranstaltninger og garantier til beskyttelse af de registreredes rettigheder og frihedsrettigheder i henhold til denne forordning

d)

kontaktoplysninger for databeskyttelsesrådgiveren

e)

konsekvensanalysen vedrørende databeskyttelse som omhandlet i artikel 39, og

f)

eventuelle andre oplysninger, som Den Europæiske Tilsynsførende for Databeskyttelse anmoder om.

4.   Kommissionen kan ved hjælp af en gennemførelsesretsakt fastlægge en liste over tilfælde, hvor de dataansvarlige skal høre og indhente forudgående tilladelse fra Den Europæiske Tilsynsførende for Databeskyttelse i forbindelse med behandling af personoplysninger som led i den dataansvarliges udførelse af en opgave i samfundets interesse, herunder behandling af sådanne oplysninger i sager vedrørende social sikring og folkesundhed.

AFDELING 5

Underretning og høring som led i lovgivningsproceduren

Artikel 41

Underretning og høring

1.   Unionens institutioner og organer underretter Den Europæiske Tilsynsførende For Databeskyttelse om udarbejdelsen af administrative foranstaltninger og interne regler vedrørende en af Unionens institutioner eller et af Unionens organers behandling af personoplysninger, hvad enten dette sker alene eller sammen med andre.

2.   Unionens institutioner og organer hører Den Europæiske Tilsynsførende for Databeskyttelse om udarbejdelsen af de interne regler omhandlet i artikel 25.

Artikel 42

Høring som led i lovgivningsproceduren

1.   Efter vedtagelsen af forslag til en lovgivningsmæssig retsakt, af henstillinger eller af forslag til Rådet i henhold til artikel 218 i TEUF eller ved udarbejdelsen af delegerede retsakter eller gennemførelsesretsakter hører Kommissionen Den Europæiske Tilsynsførende for Databeskyttelse, hvis der sker en påvirkning af beskyttelsen af fysiske personers rettigheder og frihedsrettigheder med hensyn til behandlingen af personoplysninger.

2.   Når en retsakt som omhandlet i stk. 1 har særlig betydning for beskyttelsen af fysiske personers rettigheder og frihedsrettigheder med hensyn til behandlingen af personoplysninger, kan Kommissionen høre Det Europæiske Databeskyttelsesråd. I sådanne tilfælde koordinerer Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Databeskyttelsesråd deres arbejde med henblik på at afgive en fælles udtalelse.

3.   Den rådgivning, der er omhandlet i stk. 1 og 2, ydes skriftligt inden for en periode på op til otte uger efter modtagelse af anmodningen om høring, jf. stk. 1 og 2. I hastende tilfælde, eller når det ellers er hensigtsmæssigt, kan Kommissionen afkorte fristen.

4.   Denne artikel finder ikke anvendelse, når Kommissionen i medfør af forordning (EU) 2016/679 skal høre Det Europæiske Databeskyttelsesråd.

AFDELING 6

Databeskyttelsesrådgiver

Artikel 43

Udpegelse af databeskyttelsesrådgiveren

1.   Hver af Unionens institutioner og hvert af Unionens organer udpeger en databeskyttelsesrådgiver.

2.   Unionens institutioner og organer kan udpege en fælles databeskyttelsesrådgiver for flere af dem under hensyntagen til deres organisatoriske struktur og størrelse.

3.   Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 45.

4.   Databeskyttelsesrådgiveren er en medarbejder i den eller det pågældende af Unionens institutioner eller organer. Unionens institutioner og organer kan, idet der tages hensyn til deres størrelse, og såfremt der ikke er gjort brug af muligheden i henhold til stk. 2, udpege en databeskyttelsesrådgiver, der opfylder sit hverv på grundlag af en tjenesteydelseskontrakt.

5.   Unionens institutioner og organer offentliggør kontaktoplysningerne for databeskyttelsesrådgiveren og meddeler disse til Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 44

Databeskyttelsesrådgiverens stilling

1.   Unionens institutioner og organer sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.

2.   Unionens institutioner og organer støtter databeskyttelsesrådgiveren i forbindelse med udførelsen af de i artikel 45 omhandlede opgaver ved at tilvejebringe de ressourcer, der er nødvendige for at udføre disse opgaver og få adgang til personoplysninger og behandlingsaktiviteter, samt vedligeholde databeskyttelsesrådgiverens ekspertise.

3.   Unionens institutioner og organer sikrer, at databeskyttelsesrådgiveren ikke modtager instrukser vedrørende udførelsen af disse opgaver. Den pågældende må ikke afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver. Databeskyttelsesrådgiveren rapporterer direkte til det øverste ledelsesniveau hos den dataansvarlige eller databehandleren.

4.   Registrerede kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til denne forordning.

5.   Databeskyttelsesrådgiveren og dennes personale er underlagt tavshedspligt eller fortrolighed vedrørende udførelsen af deres opgaver i overensstemmelse med EU-retten.

6.   Databeskyttelsesrådgiveren kan udføre andre opgaver og have andre pligter. Den dataansvarlige eller databehandleren sikrer, at sådanne opgaver og pligter ikke medfører en interessekonflikt.

7.   Databeskyttelsesrådgiveren kan høres af den dataansvarlige og databehandleren, af det relevante personaleudvalg og af enhver fysisk person om ethvert spørgsmål, der vedrører fortolkningen eller anvendelsen af denne forordning, uden at nogen af disse skal gå gennem de officielle kanaler. Ingen må lide skade som følge af at have gjort den kompetente databeskyttelsesrådgiver opmærksom på en sag om påstået overtrædelse af bestemmelserne i denne forordning.

8.   Databeskyttelsesrådgiveren udpeges for en periode på tre til fem år og kan genudnævnes. Databeskyttelsesrådgiveren kan kun afskediges af den eller det af Unionens institutioner eller organer, som udpegede vedkommende, hvis den pågældende ikke længere opfylder de krav, der stilles for udførelsen af vedkommendes opgaver, og kun med samtykke fra Den Europæiske Tilsynsførende for Databeskyttelse.

9.   Efter vedkommendes udpegelse registreres databeskyttelsesrådgiveren hos Den Europæiske Tilsynsførende for Databeskyttelse af den eller det af Unionens institutioner eller organer, der udpegede vedkommende.

Artikel 45

Databeskyttelsesrådgiverens opgaver

1.   Databeskyttelsesrådgiveren har følgende opgaver:

a)

at underrette og rådgive den dataansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres forpligtelser i henhold til denne forordning og andre EU-bestemmelser om databeskyttelse

b)

på en uafhængig måde at sikre den interne anvendelse af denne forordning; at føre tilsyn med overholdelsen af denne forordning, af anden gældende EU-ret, der indeholder bestemmelser om databeskyttelse og af den dataansvarliges eller databehandlerens politikker for beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner

c)

at sikre, at de registrerede underrettes om deres rettigheder og forpligtelser i medfør af denne forordning

d)

på anmodning at rådgive om nødvendigheden af en anmeldelse eller underretning om et brud på persondatabeskyttelsen i henhold til artikel 34 og 35

e)

på anmodning at rådgive om konsekvensanalysen vedrørende databeskyttelse og føre tilsyn med gennemførelsen heraf i henhold til artikel 39 og at høre Den Europæiske Tilsynsførende for Databeskyttelse i tilfælde af tvivl om nødvendigheden af en sådan konsekvensanalyse

f)

på anmodning at rådgive om nødvendigheden af forudgående høring af Den Europæiske Tilsynsførende for Databeskyttelse i henhold til artikel 40; at høre Den Europæiske Tilsynsførende for Databeskyttelse i tilfælde af tvivl om nødvendigheden af en forudgående høring

g)

at besvare anmodninger fra Den Europæiske Tilsynsførende for Databeskyttelse; inden for rammerne af sine beføjelser at samarbejde med og høre Den Europæiske Tilsynsførende for Databeskyttelse på dennes anmodning eller på eget initiativ

h)

at sikre, at de registreredes rettigheder og frihedsrettigheder ikke krænkes som følge af behandlingsaktiviteter.

2.   Databeskyttelsesrådgiveren kan komme med anbefalinger til den dataansvarlige og databehandleren om, hvordan databeskyttelsen kan forbedres i praksis, og rådgive dem om spørgsmål vedrørende anvendelsen af bestemmelserne om databeskyttelse. Desuden kan vedkommende på eget initiativ eller efter anmodning fra den dataansvarlige eller databehandleren, det relevante personaleudvalg eller enhver fysisk person iværksætte undersøgelser om anliggender og forhold, der har direkte tilknytning til vedkommendes opgaver, og som kommer til vedkommendes kendskab, og aflægge rapport til den person, der har anmodet om undersøgelsen, eller til den dataansvarlige eller databehandleren.

3.   Yderligere gennemførelsesbestemmelser vedrørende databeskyttelsesrådgiveren vedtages af hver af Unionens institutioner og hvert af Unionens organer. Gennemførelsesbestemmelserne skal navnlig vedrøre databeskyttelsesrådgiverens hverv, opgaver og beføjelser.

KAPITEL V

OVERFØRSLER AF PERSONOPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER

Artikel 46

Generelt princip for overførsler

Enhver overførsel af personoplysninger, som underkastes behandling eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, må kun finde sted, hvis betingelserne i dette kapitel med forbehold af de øvrige bestemmelser i denne forordning opfyldes af den dataansvarlige og databehandleren, herunder ved videreoverførsel af personoplysninger fra det pågældende tredjeland eller den pågældende internationale organisation til et andet tredjeland eller en anden international organisation. Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau, som fysiske personer garanteres i medfør af denne forordning, ikke undermineres.

Artikel 47

Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet

1.   En overførsel af personoplysninger fra et tredjeland eller en international organisation kan finde sted, hvis Kommissionen i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 eller artikel 36, stk. 3, i direktiv (EU) 2016/680 har fastslået, at det pågældende tredjeland, et område eller en eller flere specifikke sektorer i det pågældende tredjeland eller den pågældende internationale organisation sikrer et tilstrækkeligt beskyttelsesniveau, og hvis personoplysningerne kun overføres, for at der kan udføres opgaver, som henhører under den dataansvarliges kompetence.

2.   Unionens institutioner og organer underretter Kommissionen og Den Europæiske Tilsynsførende for Databeskyttelse om tilfælde, hvor de finder, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation ikke sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i stk. 1.

3.   Unionens institutioner og organer træffer de foranstaltninger, der er nødvendige for at efterkomme de afgørelser, som Kommissionen træffer, når den i medfør af artikel 45, stk. 3 eller 5, i forordning (EU) 2016/679 eller af artikel 36, stk. 3 eller 5, i direktiv (EU) 2016/680 konstaterer, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation sikrer eller ikke længere sikrer et tilstrækkeligt beskyttelsesniveau.

Artikel 48

Overførsler omfattet af fornødne garantier

1.   Hvis der ikke er vedtaget en afgørelse i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 eller artikel 36, stk. 3, i direktiv (EU) 2016/680, må en dataansvarlig eller databehandler kun overføre personoplysninger til et tredjeland eller en international organisation, hvis vedkommende har givet de fornødne garantier, og på betingelse af, at rettigheder, som kan håndhæves, og effektive retsmidler for registrerede er tilgængelige.

2.   De fornødne garantier som omhandlet i stk. 1 kan uden krav om specifik godkendelse fra Den Europæiske Tilsynsførende for Databeskyttelse sikres gennem:

a)

et retligt bindende instrument, som kan håndhæves, mellem offentlige myndigheder eller organer

b)

standardbestemmelser om databeskyttelse vedtaget af Kommissionen efter undersøgelsesproceduren i artikel 96, stk. 2

c)

standardbestemmelser om databeskyttelse vedtaget af Den Europæiske Tilsynsførende for Databeskyttelse og godkendt af Kommissionen efter undersøgelsesproceduren i artikel 96, stk. 2

d)

når databehandleren ikke er en af Unionens institutioner eller et af Unionens organer, bindende virksomhedsregler, adfærdskodekser eller certificeringsmekanismer i henhold til artikel 46, stk. 2, litra b), e) og f), i forordning (EU) 2016/679.

3.   Med forbehold af godkendelse fra Den Europæiske Tilsynsførende for Databeskyttelse kan de fornødne garantier, der er omhandlet i stk. 1, også sikres gennem navnlig:

a)

kontraktbestemmelser mellem den dataansvarlige eller databehandleren og den dataansvarlige, databehandleren eller modtageren af personoplysninger i tredjelandet eller den internationale organisation, eller

b)

bestemmelser, der medtages i administrative ordninger mellem offentlige myndigheder eller organer, og som omfatter effektive rettigheder, som kan håndhæves, for registrerede.

4.   Godkendelser fra Den Europæiske Tilsynsførende for Databeskyttelse på grundlag af artikel 9, stk. 7, i forordning (EF) nr. 45/2001 er gyldige, indtil de om nødvendigt ændres, erstattes eller ophæves af Den Europæiske Tilsynsførende for Databeskyttelse.

5.   Unionens institutioner og organer underretter Den Europæiske Tilsynsførende for Databeskyttelse om de kategorier af tilfælde, hvor denne artikel er blevet anvendt.

Artikel 49

Overførsel eller videregivelse uden hjemmel i EU-retten

Enhver dom afsagt af en domstol eller ret og enhver afgørelse truffet af en administrativ myndighed i et tredjeland, der kræver, at en dataansvarlig eller en databehandler overfører eller videregiver personoplysninger, kan kun anerkendes eller håndhæves på nogen måde, hvis den bygger på en international aftale såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen, uden at dette berører andre grunde til overførsel i henhold til dette kapitel.

Artikel 50

Undtagelser i særlige situationer

1.   I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 eller artikel 36, stk. 3, i direktiv (EU) 2016/680 eller fornødne garantier i henhold til nærværende forordnings artikel 48, må en overførsel eller flere overførsler af personoplysninger til et tredjeland eller en international organisation kun finde sted på en af følgende betingelser:

a)

den registrerede har udtrykkeligt givet samtykke til den foreslåede overførsel efter at være blevet informeret om de mulige risici, som sådanne overførsler kan medføre for den registrerede på grund af den manglende afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller fornødne garantier

b)

overførslen er nødvendig af hensyn til opfyldelse af en kontrakt mellem den registrerede og den dataansvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan kontrakt

c)

overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt, der i den registreredes interesse indgås mellem den dataansvarlige og en anden fysisk eller juridisk person

d)

overførslen er nødvendig af hensyn til vigtige samfundsinteresser

e)

overførslen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares

f)

overførslen er nødvendig for at beskytte den registreredes eller andre personers vitale interesser, hvis den registrerede ikke fysisk eller juridisk er i stand til at give samtykke eller

g)

overførslen finder sted fra et register, der ifølge EU-retten er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri, men kun i det omfang de ved EU-retten fastsatte betingelser for offentlig tilgængelighed er opfyldt i det konkrete tilfælde.

2.   Stk. 1, litra a), b) og c), finder ikke anvendelse på aktiviteter, der udføres af Unionens institutioner og organer som led i udøvelsen af deres offentligretlige beføjelser.

3.   De samfundsinteresser, der er omhandlet i stk. 1, litra d), skal være anerkendt i EU-retten.

4.   En overførsel i henhold til stk. 1, litra g), må ikke omfatte alle personoplysninger eller hele kategorier af personoplysninger i et register, medmindre det er tilladt ifølge EU-retten. Når et register er beregnet til at blive konsulteret af personer, der har en legitim interesse heri, må overførsel kun ske på anmodning af disse personer, eller hvis de skal være modtagerne.

5.   Hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, kan EU-retten af hensyn til vigtige samfundsinteresser udtrykkeligt fastsætte grænser for overførsel af særlige kategorier af personoplysninger til et tredjeland eller en international organisation.

6.   Unionens institutioner og organer underretter Den Europæiske Tilsynsførende for Databeskyttelse om de kategorier af tilfælde, hvor denne artikel er blevet anvendt.

Artikel 51

Internationalt samarbejde om beskyttelse af personoplysninger

I forhold til tredjelande og internationale organisationer tager Den Europæiske Tilsynsførende for Databeskyttelse i samarbejde med Kommissionen og Det Europæiske Databeskyttelsesråd passende skridt til at:

a)

udvikle internationale samarbejdsmekanismer med henblik på at lette effektiv håndhævelse af lovgivningen om beskyttelse af personoplysninger

b)

yde international gensidig bistand i forbindelse med håndhævelsen af lovgivningen om beskyttelse af personoplysninger, herunder gennem anmeldelse, indbringelse af klager, efterforskningsbistand og informationsudveksling, under iagttagelse af de fornødne garantier for beskyttelse af personoplysninger og andre grundlæggende rettigheder og frihedsrettigheder

c)

inddrage relevante interessenter i drøftelser og aktiviteter, der har til formål at fremme det internationale samarbejde om håndhævelse af lovgivningen om beskyttelse af personoplysninger

d)

fremme udveksling af og dokumentation for lovgivning og praksis om beskyttelse af personoplysninger, herunder om kompetencekonflikter med tredjelande.

KAPITEL VI

DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE

Artikel 52

Den Europæiske Tilsynsførende for Databeskyttelse

1.   Den Europæiske Tilsynsførende for Databeskyttelse etableres herved.

2.   Med hensyn til behandling af personoplysninger er Den Europæiske Tilsynsførende for Databeskyttelse ansvarlig for at sikre, at fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til databeskyttelse, respekteres af Unionens institutioner og organer.

3.   Den Europæiske Tilsynsførende for Databeskyttelse er ansvarlig for at føre tilsyn med og sikre anvendelsen af de bestemmelser i denne forordning og i enhver anden EU-retsakt, der vedrører beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med en af Unionens institutioners eller et af Unionens organers behandling af personoplysninger, og at rådgive Unionens institutioner og organer og de registrerede om alle spørgsmål vedrørende behandling af personoplysninger. Med henblik herpå udfører Den Europæiske Tilsynsførende for Databeskyttelse de opgaver, der er fastsat i artikel 57, og udøver de beføjelser, der er tillagt vedkommende ved artikel 58.

4.   Forordning (EF) nr. 1049/2001 finder anvendelse på dokumenter, der opbevares af Den Europæiske Tilsynsførende for Databeskyttelse. Den Europæiske Tilsynsførende for Databeskyttelse vedtager nærmere regler for anvendelsen af forordning (EF) nr. 1049/2001 for så vidt angår disse dokumenter.

Artikel 53

Udnævnelse af Den Europæiske Tilsynsførende for Databeskyttelse

1.   Europa-Parlamentet og Rådet udnævner efter fælles overenskomst Den Europæiske Tilsynsførende for Databeskyttelse for en periode på fem år på grundlag af en liste, som Kommissionen udarbejder efter et offentligt stillingsopslag. Stillingsopslaget skal give alle interesserede parter i hele Unionen mulighed for at indgive deres ansøgninger. Den liste over ansøgere, som Kommissionen udarbejder, er offentlig og består af mindst tre kandidater. På grundlag af den liste, som Kommissionen udarbejder, kan det kompetente udvalg i Europa-Parlamentet beslutte at afholde en høring, for at det kan tilkendegive en præference.

2.   Den i stk. 1 omhandlede liste skal bestå af personer, hvis uafhængighed er uomtvistelig, og som er anerkendt som havende ekspertviden inden for databeskyttelse samt den erfaring og kompetence, der kræves for at varetage de opgaver, der henhører under Den Europæiske Tilsynsførende for Databeskyttelse.

3.   Embedsperioden for Den Europæiske Tilsynsførende for Databeskyttelse kan fornyes én gang.

4.   De opgaver, der henhører under Den Europæiske Tilsynsførende for Databeskyttelse, ophører i følgende tilfælde:

a)

hvis Den Europæiske Tilsynsførende for Databeskyttelse udskiftes

b)

hvis Den Europæiske Tilsynsførende for Databeskyttelse fratræder sin stilling

c)

hvis Den Europæiske Tilsynsførende for Databeskyttelse afskediges eller går på pligtmæssig pension.

5.   Den Europæiske Tilsynsførende for Databeskyttelse kan af EU-Domstolen på begæring af Europa-Parlamentet, Rådet eller Kommissionen afskediges eller fratages sine pensionsrettigheder eller lignende goder, hvis vedkommende ikke længere opfylder de nødvendige betingelser for at udøve sit hverv, eller hvis vedkommende har begået alvorligt embedsmisbrug.

6.   I tilfælde af ordinær nybesættelse og frivillig fratræden fortsætter Den Europæiske Tilsynsførende for Databeskyttelse imidlertid med at udøve sit hverv, indtil der er udnævnt en efterfølger.

7.   Artikel 11-14 og artikel 17 i protokollen vedrørende Den Europæiske Unions privilegier og immuniteter finder anvendelse på Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 54

Statutten og de almindelige betingelser for udøvelse af hvervet som Europæisk Tilsynsførende for Databeskyttelse samt dennes personale og finansielle ressourcer

1.   Den Europæiske Tilsynsførende for Databeskyttelse sidestilles med en dommer ved EU-Domstolen for så vidt angår fastsættelsen af vederlag, tillæg, alderspension og eventuelle andre goder end vederlag.

2.   Budgetmyndigheden sørger for, at Den Europæiske Tilsynsførende for Databeskyttelse råder over de nødvendige menneskelige og finansielle ressourcer for at kunne udøve sit hverv.

3.   Budgettet for Den Europæiske Tilsynsførende for Databeskyttelse vises i et separat udgiftsområde i sektion vedrørende administrative udgifter i Unionens almindelige budget.

4.   Den Europæiske Tilsynsførende for Databeskyttelse bistås af et sekretariat. Tjenestemænd og øvrige ansatte i sekretariatet udnævnes af Den Europæiske Tilsynsførende for Databeskyttelse, og deres overordnede er Den Europæiske Tilsynsførende for Databeskyttelse. De er udelukkende underlagt dennes ledelse. Antallet af tjenestemænd og øvrige ansatte fastsættes hvert år som led i budgetproceduren. Artikel 75, stk. 2, i forordning (EU) 2016/679 finder anvendelse på det af Den Europæiske Tilsynsførende for Databeskyttelses personale, der er involveret i udførelsen af opgaver, som i henhold til EU-retten er overdraget til Det Europæiske Databeskyttelsesråd.

5.   For tjenestemænd og øvrige ansatte i sekretariatet for Den Europæiske Tilsynsførende for Databeskyttelse gælder de regler og bestemmelser, der gælder for tjenestemænd og øvrige ansatte i Unionen.

6.   Hjemstedet for Den Europæiske Tilsynsførende er Bruxelles.

Artikel 55

Uafhængighed

1.   Den Europæiske Tilsynsførende for Databeskyttelse udfører sine opgaver og udøver sine beføjelser i henhold til denne forordning i fuld uafhængighed.

2.   Den Europæiske Tilsynsførende for Databeskyttelse skal i forbindelse med udførelsen af sine opgaver og udøvelsen af sine beføjelser i henhold til denne forordning være fri for udefrakommende indflydelse, det være sig direkte eller indirekte, og må hverken søge eller modtage instrukser fra andre.

3.   Den Europæiske Tilsynsførende for Databeskyttelse skal afholde sig fra enhver handling, der er uforenelig med karakteren af vedkommendes hverv, og må ikke, så længe vedkommendes embedsperiode varer, udøve nogen anden lønnet eller ulønnet beskæftigelse.

4.   Efter vedkommendes embedsperiode er ophørt, skal Den Europæiske Tilsynsførende for Databeskyttelse udvise hæderlighed og tilbageholdenhed med hensyn til at påtage sig visse hverv eller acceptere visse fordele.

Artikel 56

Tavshedspligt

Den Europæiske Tilsynsførende for Databeskyttelse og dennes medarbejdere har såvel under som efter deres embedsperiode tavshedspligt for så vidt angår alle fortrolige oplysninger, der er kommet til deres kendskab under udøvelsen af deres hverv.

Artikel 57

Opgaver

1.   Uden at dette berører andre opgaver, der er fastsat i denne forordning, skal Den Europæiske Tilsynsførende for Databeskyttelse:

a)

føre tilsyn med og håndhæve Unionens institutioners og organers anvendelse af denne forordning med undtagelse af EU-Domstolens behandling af personoplysninger, når den handler i sin egenskab af domstol

b)

fremme offentlighedens kendskab til og forståelse af risici, regler, garantier og rettigheder i forbindelse med behandling. Der skal sættes særlig fokus på aktiviteter, der er direkte rettet mod børn

c)

fremme dataansvarliges og databehandleres kendskab til deres forpligtelser i henhold til denne forordning

d)

efter anmodning informere registrerede om udøvelsen af deres rettigheder i henhold til denne forordning og med henblik herpå samarbejde med de nationale tilsynsmyndigheder, hvis det er relevant

e)

behandle klager, der indgives af en registreret eller af et organ, en organisation eller en sammenslutning i overensstemmelse med artikel 67, og, for så vidt det er hensigtsmæssigt, undersøge genstanden for klagen og underrette klageren om forløbet og resultatet af undersøgelsen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig

f)

gennemføre undersøgelser om anvendelsen af denne forordning, herunder på grundlag af oplysninger, der er modtaget fra en anden tilsynsmyndighed eller en anden offentlig myndighed

g)

på eget initiativ eller efter anmodning rådgive alle Unionens institutioner og organer om lovgivningsmæssige og administrative foranstaltninger til beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysning

h)

holde øje med den relevante udvikling, i det omfang den har indvirkning på beskyttelsen af personoplysninger, navnlig udviklingen i informations- og kommunikationsteknologier

i)

vedtage standardkontraktbestemmelser som omhandlet i artikel 29, stk. 8, og i artikel 48, stk. 2, litra c)

j)

opstille og føre en liste i forbindelse med kravet om en konsekvensanalyse vedrørende databeskyttelse i medfør af artikel 39, stk. 4

k)

deltage i aktiviteterne i Det Europæiske Databeskyttelsesråd

l)

fungere som sekretariat for Det Europæiske Databeskyttelsesråd i overensstemmelse med artikel 75 i forordning (EU) 2016/679

m)

rådgive om behandling som omhandlet i artikel 40, stk. 2

n)

godkende kontraktbestemmelser og bestemmelser som omhandlet i artikel 48, stk. 3

o)

føre interne fortegnelser over overtrædelser af denne forordning og over foranstaltninger, der er truffet i medfør af artikel 58, stk. 2

p)

udføre enhver anden opgave i forbindelse med beskyttelse af personoplysninger og

q)

vedtage sin forretningsorden.

2.   Den Europæiske Tilsynsførende for Databeskyttelse letter indgivelse af klager, jf. stk. 1, litra e), gennem en klageformular, der også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmidler.

3.   Den Europæiske Tilsynsførende for Databeskyttelse varetager sine opgaver uden udgifter for den registrerede.

4.   Hvis anmodninger er åbenbart grundløse eller overdrevne, især fordi de gentages, kan Den Europæiske Tilsynsførende for Databeskyttelse afvise at efterkomme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller uforholdsmæssig, påhviler Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 58

Beføjelser

1.   Den Europæiske Tilsynsførende for Databeskyttelse har følgende undersøgelsesbeføjelser:

a)

at give den dataansvarlige og databehandleren påbud om at give alle oplysninger, der kræves for udførelsen af vedkommendes opgaver

b)

at foretage undersøgelser i form af databeskyttelsesrevisioner

c)

at underrette den dataansvarlige eller databehandleren om en påstået overtrædelse af denne forordning

d)

fra den dataansvarlige eller databehandleren at få adgang til alle personoplysninger og oplysninger, der er nødvendige for at varetage vedkommendes opgaver

e)

at få adgang til alle lokaler hos den dataansvarlige og databehandleren, herunder til databehandlingsudstyr og -midler, i overensstemmelse med EU-retten.

2.   Den Europæiske Tilsynsførende for Databeskyttelse har følgende sanktionsbeføjelser:

a)

at udstede advarsler til en dataansvarlig eller en databehandler om, at de planlagte behandlingsaktiviteter sandsynligvis vil være i strid med denne forordning

b)

at udtale kritik af en dataansvarlig eller en databehandler, hvis behandlingsaktiviteter har været i strid med denne forordning

c)

at forelægge sager for den dataansvarlige eller databehandleren og om nødvendigt for Europa-Parlamentet, Rådet og Kommissionen

d)

at give den dataansvarlige eller databehandleren påbud om at imødekomme den registreredes anmodninger om at udøve sine rettigheder i henhold til denne forordning

e)

at give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i overensstemmelse med bestemmelserne i denne forordning og, hvis det er hensigtsmæssigt, på en nærmere angivet måde og inden for en nærmere angivet frist

f)

at give den dataansvarlige påbud om at underrette den registrerede om et brud på persondatasikkerheden

g)

midlertidigt eller definitivt at begrænse, herunder forbyde, behandling

h)

at give påbud om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling i henhold til artikel 18, 19 og 20 og give meddelelse om sådanne handlinger til de modtagere, som personoplysningerne er videregivet til i henhold til artikel 19, stk. 2, og artikel 21

i)

at pålægge en administrativ bøde i henhold til artikel 66 i tilfælde af en af Unionens institutioners eller et af Unionens organers manglende overholdelse af en af de foranstaltninger, der er omhandlet i litra d)-h) og j) i dette stykke, afhængigt af omstændighederne i hvert enkelt tilfælde

j)

at påbyde suspension af overførsel af oplysninger til en modtager i en medlemsstat, et tredjeland eller til en international organisation.

3.   Den Europæiske Tilsynsførende for Databeskyttelse har følgende godkendelses- og rådgivningsbeføjelser:

a)

at rådgive de registrerede i forbindelse med udøvelsen af deres rettigheder

b)

at rådgive den dataansvarlige efter den i artikel 40 omhandlede procedure for forudgående høring, og i overensstemmelse med artikel 41, stk. 2

c)

på eget initiativ eller på anmodning at afgive udtalelser til Unionens institutioner og organer samt offentligheden om ethvert spørgsmål om beskyttelse af personoplysninger

d)

at vedtage standardbestemmelser om databeskyttelse som omhandlet i artikel 29, stk. 8, og i artikel 48, stk. 2, litra c)

e)

at godkende kontraktbestemmelser som omhandlet i artikel 48, stk. 3, litra a)

f)

at godkende administrative ordninger som omhandlet i artikel 48, stk. 3, litra b)

g)

at godkende eller undlade at godkende behandlingsaktiviteter i henhold til gennemførelsesretsakter vedtaget i henhold til artikel 40, stk. 4.

4.   Den Europæiske Tilsynsførende for Databeskyttelse har beføjelse til at indbringe sager for EU-Domstolen på de betingelser, der er fastsat i traktaterne, og til at intervenere i retssager ved EU-Domstolen.

5.   Udøvelsen af de beføjelser, der tillægges Den Europæiske Tilsynsførende for Databeskyttelse i medfør af denne artikel, er underlagt passende garantier, herunder effektive retsmidler og retfærdig procedure som fastsat i EU-retten.

Artikel 59

Forpligtelse for dataansvarlige og databehandlere til at reagere på påståede overtrædelser

Når Den Europæiske Tilsynsførende for Databeskyttelse udøver de beføjelser, der er fastsat i artikel 58, stk. 2, litra a), b) og c), underretter den dataansvarlige eller databehandleren Den Europæiske Tilsynsførende for Databeskyttelse om sine synspunkter inden en rimelig frist, der skal fastsættes af Den Europæiske Tilsynsførende for Databeskyttelse under hensyntagen til omstændighederne i hvert enkelt tilfælde. Svaret skal også omfatte en redegørelse for, hvilke foranstaltninger der i givet fald er truffet som reaktion på bemærkningerne fra Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 60

Årsberetning

1.   Den Europæiske Tilsynsførende for Databeskyttelse forelægger hvert år en årsberetning for Europa-Parlamentet, Rådet og Kommissionen og offentliggør den samtidig hermed.

2.   Den Europæiske Tilsynsførende for Databeskyttelse fremsender beretningen omhandlet i stk. 1 til de andre af Unionens institutioner og organer, der kan fremsætte bemærkninger med henblik på Europa-Parlamentets eventuelle gennemgang af beretningen.

KAPITEL VII

SAMARBEJDE OG SAMMENHÆNG

Artikel 61

Samarbejde mellem Den Europæiske Tilsynsførende for Databeskyttelse og nationale tilsynsmyndigheder

Den Europæiske Tilsynsførende for Databeskyttelse samarbejder med de nationale tilsynsmyndigheder og med Den Fælles Tilsynsmyndighed, der er oprettet ved artikel 25 i Rådets afgørelse 2009/917/RIA (19), i det omfang, det er nødvendigt for udførelsen af deres respektive opgaver, navnlig ved at stille relevante oplysninger til rådighed for hinanden, anmode hinanden om at udøve deres beføjelser og besvare hinandens henvendelser.

Artikel 62

Koordineret tilsyn mellem Den Europæiske Tilsynsførende for Databeskyttelse og nationale tilsynsmyndigheder

1.   Når der i en EU-retsakt henvises til denne artikel, samarbejder Den Europæiske Tilsynsførende for Databeskyttelse og nationale tilsynsmyndigheder, der hver især handler inden for deres respektive beføjelser, aktivt inden for rammerne af deres ansvarsområder med henblik på at sikre effektivt tilsyn med store IT-systemer og med Unionens organer, kontorer og agenturer.

2.   I det omfang det er nødvendigt, udveksler de inden for rammerne af deres respektive beføjelser og ansvarsområder relevante oplysninger, bistår hinanden med udførelsen af revisioner og inspektioner, undersøger vanskeligheder med fortolkningen eller anvendelsen af denne forordning og andre gældende EU-retsakter, undersøger problemer med udøvelsen af uafhængigt tilsyn eller med udøvelsen af den registreredes rettigheder, udarbejder harmoniserede forslag til løsninger på eventuelle problemer og fremmer bevidstheden om databeskyttelsesrettigheder.

3.   For så vidt angår de formål, der er fastsat i stk. 2, mødes Den Europæiske Tilsynsførende for Databeskyttelse og de nationale tilsynsmyndigheder mindst to gange om året inden for rammerne af Det Europæiske Databeskyttelsesråd. Med henblik herpå kan Det Europæiske Databeskyttelsesråd udvikle øvrige arbejdsmetoder efter behov.

4.   Det Europæiske Databeskyttelsesråd fremsender en fælles rapport om koordinerede tilsynsaktiviteter til Europa-Parlamentet, til Rådet og til Kommissionen hvert andet år.

KAPITEL VIII

RETSMIDLER, ANSVAR OG SANKTIONER

Artikel 63

Klageadgang til Den Europæiske Tilsynsførende for Databeskyttelse

1.   Uden at det berører et eventuelt retsmiddel eller en eventuel administrativ eller udenretslig klageadgang, har enhver registreret ret til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse, hvis den registrerede finder, at behandlingen af personoplysninger om vedkommende overtræder denne forordning.

2.   Den Europæiske Tilsynsførende for Databeskyttelse underretter klageren om behandlingen og resultatet af klagen, herunder muligheden for retsmidler som omhandlet i artikel 64.

3.   Hvis Den Europæiske Tilsynsførende for Databeskyttelse ikke behandler klagen eller undlader at underrette den registrerede om forløbet eller resultatet af en klage inden tre måneder, anses Den Europæiske Tilsynsførende for Databeskyttelse for at have truffet en negativ afgørelse.

Artikel 64

Ret til effektive retsmidler

1.   EU-Domstolen har kompetence til at afgøre alle tvister vedrørende bestemmelserne i denne forordning, herunder erstatningssøgsmål.

2.   Afgørelser truffet af Den Europæiske Tilsynsførende for Databeskyttelse, herunder afgørelser i henhold til artikel 63, stk. 3, kan indbringes for EU-Domstolen.

3.   EU-Domstolen har fuld prøvelsesret vedrørende de administrative bøder, der er omhandlet i artikel 66. Den kan ophæve, nedsætte eller forhøje disse bøder inden for rammerne af artikel 66.

Artikel 65

Ret til erstatning

Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den eller det pågældende af Unionens institutioner eller organer på de betingelser, der er fastsat i traktaterne.

Artikel 66

Administrative bøder

1.   Den Europæiske Tilsynsførende for Databeskyttelse kan pålægge Unionens institutioner og organer administrative bøder afhængigt af omstændigheder i hvert enkelt tilfælde, når en eller et af Unionens institutioner eller organer har undladt at efterkomme et påbud fra Den Europæiske Tilsynsførende for Databeskyttelse, jf. artikel 58, stk. 2, litra d)-h) og j). Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt tilfælde, tages der behørigt hensyn til følgende:

a)

overtrædelsens karakter, alvor og varighed under hensyntagen til den pågældende behandlings karakter, omfang eller formål samt antal registrerede, der er berørt, og omfanget af den skade, som de har lidt

b)

eventuelle foranstaltninger, der er truffet af den eller det pågældende af Unionens institutioner eller organer for at begrænse den skade, som den registrerede har lidt

c)

den eller det pågældende af Unionens institutioners eller organers grad af ansvar under hensyntagen til tekniske og organisatoriske foranstaltninger, som de har gennemført i henhold til artikel 27 og 33

d)

eventuelle lignende overtrædelser, som den eller det pågældende af Unionens institutioner eller organer tidligere har begået

e)

graden af samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse for at afhjælpe overtrædelsen og begrænse de negative konsekvenser, som overtrædelsen måtte have givet anledning til

f)

de kategorier af personoplysninger, der er berørt af overtrædelsen

g)

den måde, hvorpå Den Europæiske Tilsynsførende for Databeskyttelse fik kendskab til overtrædelsen, navnlig om den eller det pågældende af Unionens institutioner eller organer gav underretning om overtrædelsen, og i givet fald i hvilket omfang

h)

overholdelsen af enhver af de foranstaltninger, der er omhandlet i artikel 58, der tidligere over for den eller det pågældende af Unionens institutioner eller organer er blevet truffet med hensyn til samme genstand. De procedurer, der førte til pålæggelsen af sådanne bøder, gennemføres inden for en rimelig tidshorisont afhængigt af sagens omstændigheder og under hensyntagen til de relevante foranstaltninger og procedurer, der er omhandlet i artikel 69.

2.   Overtrædelser af den eller det pågældende af Unionens institutioners eller organers forpligtelser som omhandlet i artikel 8, 12, 27-35, 39, 40, 43, 44 og 45 straffes i overensstemmelse med nærværende artikels stk. 1 med bøder på op til 25 000 EUR pr. overtrædelse og op til 250 000 EUR pr. år.

3.   Den eller det pågældende af Unionens institutioners eller organers overtrædelser af følgende bestemmelser straffes i overensstemmelse med stk. 1 med bøder på op til 50 000 EUR pr. overtrædelse og op til 500 000 EUR pr. år:

a)

de grundlæggende principper for behandling, herunder betingelserne for samtykke, i artikel 4, 5, 7 og 10

b)

de registreredes rettigheder i henhold til artikel 14-24

c)

overførsler af personoplysninger til en modtager i et tredjeland eller en international organisation i henhold til artikel 46-50.

4.   Hvis en af Unionens institutioner eller et af Unionens organer i forbindelse med de samme eller forbundne eller kontinuerlige behandlingsaktiviteter overtræder flere bestemmelser i denne forordning eller den samme bestemmelse i denne forordning flere gange, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse.

5.   Inden der træffes afgørelse i henhold til denne artikel, giver Den Europæiske Tilsynsførende for Databeskyttelse den eller det af Unionens institutioner eller organer, der er genstand for de procedurer, som gennemføres af Den Europæiske Tilsynsførende for Databeskyttelse, muligheden for at blive hørt om de spørgsmål, som Den Europæiske Tilsynsførende for Databeskyttelse har gjort indsigelse mod. Den Europæiske Tilsynsførende for Databeskyttelse baserer udelukkende sine afgørelser på indsigelser, som de berørte parter har haft mulighed for at fremsætte bemærkninger til. Klagerne inddrages i vid udstrækning i proceduren.

6.   De deltagende parters ret til forsvar skal sikres fuldt ud i procedureforløbet. De har ret til aktindsigt i Den Europæiske Tilsynsførende for Databeskyttelses sagsakter med forbehold af fysiske personers eller virksomheders berettigede interesse i at beskytte deres personoplysninger eller forretningshemmeligheder.

7.   Midler, der er indsamlet ved pålæggelse af bøder som omhandlet i denne artikel, tilfalder Unionens almindelige budget.

Artikel 67

Repræsentation af registrerede

Den registrerede har ret til at bemyndige et organ, en organisation eller en sammenslutning, der er etableret i overensstemmelse med EU-retten eller en medlemsstats nationale ret, som ikke arbejder med gevinst for øje, hvis vedtægtsmæssige formål er af almen interesse, og som er aktiv på området for beskyttelse af registreredes rettigheder og frihedsrettigheder med hensyn til beskyttelse af deres personoplysninger, til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse på sine vegne, til at udøve de rettigheder, der er omhandlet i artikel 63 og 64, på sine vegne og til at udøve retten til at modtage erstatning som omhandlet i artikel 65 på sine vegne.

Artikel 68

Klager fra EU-ansatte

Enhver person, der er ansat af en af Unionens institutioner eller et af Unionens organer, kan indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse vedrørende en påstået overtrædelse af bestemmelserne i denne forordning, herunder uden om de officielle kanaler. Ingen må lide skade som følge af at have indgivet en klage til Den Europæiske Tilsynsførende for Databeskyttelse vedrørende en sådan påstået overtrædelse.

Artikel 69

Sanktioner

Undlader en tjenestemand eller en anden ansat i Unionen forsætligt eller uagtsomt at opfylde de forpligtelser, som er fastsat i denne forordning, kan der iværksættes disciplinære sanktioner over for den pågældende tjenestemand eller ansatte, i overensstemmelse med de regler og procedurer, der er fastlagt i vedtægten for tjenestemænd.

KAPITEL IX

BEHANDLING AF OPERATIONELLE PERSONOPLYSNINGER I UNIONENS ORGANER, KONTORER OG AGENTURER VED UDFØRELSEN AF AKTIVITETER, SOM HENHØRER UNDER TREDJE DEL, AFSNIT V, KAPITEL 4 ELLER KAPITEL 5, I TEUF

Artikel 70

Kapitlets anvendelsesområde

Dette kapitel finder kun anvendelse på behandlingen af operationelle personoplysninger i Unionens organer, kontorer og agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, uden at dette berører specifikke databeskyttelsesregler, der finder anvendelse på et sådant organ, kontor eller agentur.

Artikel 71

Principper for behandling af operationelle personoplysninger

1.   Operationelle personoplysninger skal:

a)

behandles lovligt og rimeligt (»lovlighed og rimelighed«)

b)

indsamles til udtrykkeligt angivne og legitime formål og ikke behandles på en måde, der er uforenelig med disse formål (»formålsbegrænsning«)

c)

være tilstrækkelige, relevante og ikke for omfattende i forhold til de formål, hvortil de behandles (»dataminimering«)

d)

være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt til at sikre, at operationelle personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, omgående slettes eller berigtiges (»rigtighed«)

e)

opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i længere tid end nødvendigt af hensyn til de formål, hvortil de operationelle personoplysninger behandles (»opbevaringsbegrænsning«)

f)

behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende operationelle personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

2.   Behandling, der foretages af den samme eller en anden dataansvarlig til et andet formål, der er fastsat i retsakten om oprettelse af det pågældende af Unionens organer, kontorer eller agenturer, end det formål, hvortil de operationelle personoplysninger er indsamlet, er tilladt i det omfang:

a)

den dataansvarlige er bemyndiget til at behandle sådanne operationelle personoplysninger til et sådant formål i overensstemmelse med EU-retten, og

b)

behandlingen er nødvendig for og forholdsmæssig i forhold til dette andet formål i overensstemmelse med EU-retten.

3.   Behandling, der foretages af den samme eller en anden dataansvarlig, kan omfatte behandling til arkivformål i samfundets interesse eller til videnskabelig, statistisk eller historisk brug, til de formål, der er fastsat i retsakten om oprettelse af det pågældende af Unionens organer, kontorer eller agenturer, forudsat at behandlingen er omfattet af de fornødne garantier for den registreredes rettigheder og frihedsrettigheder.

4.   Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1, 2 og 3 overholdes.

Artikel 72

Lovlighed af behandling af operationelle personoplysninger

1.   Behandling af operationelle personoplysninger er kun lovlig, hvis og i det omfang behandling er nødvendig af hensyn til varetagelsen af en opgave, der udføres af Unionens organer, kontorer og agenturer ved udførelsen af aktiviteter, der er omfattet af tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, og den er baseret på EU-retten.

2.   Specifikke EU-retsakter, der regulerer behandling inden for rammerne af dette kapitel, skal som minimum angive målene for behandlingen, de operationelle personoplysninger, der skal behandles, formålet med behandlingen og tidsfristerne for opbevaring af de operationelle personoplysninger eller for regelmæssig evaluering af behovet for fortsat opbevaring af de operationelle personoplysninger.

Artikel 73

Sondring mellem forskellige kategorier af registrerede

Den dataansvarlige skal, hvor det er relevant og så vidt muligt, klart sondre mellem de operationelle personoplysninger om forskellige kategorier af registrerede, såsom de kategorier, der er anført i retsakterne om oprettelse af Unionens organer, kontorer og agenturer.

Artikel 74

Sondring mellem operationelle personoplysninger og kontrol med kvaliteten af operationelle personoplysninger

1.   Den dataansvarlige sondrer så vidt muligt mellem operationelle personoplysninger, der bygger på faktiske omstændigheder, og operationelle personoplysninger, der bygger på personlige vurderinger.

2.   Den dataansvarlige træffer alle rimelige foranstaltninger for at sikre, at operationelle personoplysninger, som er urigtige, ufuldstændige eller ikke ajourførte, ikke videregives eller stilles til rådighed. Med henblik herpå skal den dataansvarlige, så vidt muligt og hvor det lader sig gøre, kontrollere kvaliteten af operationelle personoplysninger, før de videregives eller stilles til rådighed, f.eks. ved at konsultere den kompetente myndighed, hvorfra oplysningerne stammer. I forbindelse med al videregivelse af operationelle personoplysninger skal den dataansvarlige så vidt muligt tilføje de nødvendige oplysninger for at gøre det muligt for modtageren at vurdere, i hvor høj grad de operationelle personoplysninger er rigtige, fuldstændige og pålidelige, og i hvilket omfang de er ajourførte.

3.   Hvis det konstateres, at der er videregivet urigtige operationelle personoplysninger, eller at operationelle personoplysninger er videregivet ulovligt, skal dette straks meddeles modtageren. I så fald skal de pågældende operationelle personoplysninger berigtiges eller slettes, eller deres behandling skal begrænses i overensstemmelse med artikel 82.

Artikel 75

Særlige betingelser for behandling

1.   Når EU-retten, der finder anvendelse på den videregivende dataansvarlige, fastsætter særlige betingelser for behandlingen, underretter den dataansvarlige modtageren af de operationelle personoplysninger om disse betingelser og kravet om at overholde dem.

2.   Den dataansvarlige skal overholde de særlige betingelser for behandling, som er fastsat af en videregivende kompetent myndighed i overensstemmelse med artikel 9, stk. 3 og 4, i direktiv (EU) 2016/680.

Artikel 76

Behandling af særlige kategorier af operationelle personoplysninger

1.   Behandling af operationelle personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller operationelle personoplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering må kun tillades, når det er strengt nødvendigt til operationelle formål, inden for det pågældende af Unionens organers, kontorers eller agenturers mandat, og forudsat at behandlingen er omfattet af de fornødne garantier for den registreredes rettigheder og frihedsrettigheder. Forskelsbehandling af fysiske personer på grundlag af sådanne personoplysninger er forbudt.

2.   Databeskyttelsesrådgiveren underrettes uden unødig forsinkelse, hvis denne artikel bringes i anvendelse.

Artikel 77

Automatiske individuelle afgørelser, herunder profilering

1.   En afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har negativ retsvirkning for den registrerede eller betydelige konsekvenser for den pågældende, er forbudt, medmindre den er hjemlet i EU-retten, som den dataansvarlige er underlagt, og som fastsætter de fornødne garantier for den registreredes rettigheder og frihedsrettigheder i det mindste den registreredes ret til menneskelig indgriben fra den dataansvarliges side.

2.   De afgørelser, der er omhandlet i nærværende artikels stk. 1, må ikke baseres på de særlige kategorier af personoplysninger, der er omhandlet i artikel 76, medmindre der er indført passende foranstaltninger til beskyttelse af den registreredes rettigheder, frihedsrettigheder og legitime interesser.

3.   Profilering, der fører til forskelsbehandling af fysiske personer på grundlag af særlige kategorier af personoplysninger som omhandlet i artikel 76, er forbudt i henhold til EU-retten.

Artikel 78

Meddelelser og nærmere regler for udøvelse af den registreredes rettigheder

1.   Den dataansvarlige træffer passende foranstaltninger for at give enhver oplysning som omhandlet i artikel 79 og enhver meddelelse som omhandlet i artikel 80-84 og 92 om behandling til den registrerede i en kortfattet, letforståelig og lettilgængelig form og i et klart og enkelt sprog. Oplysningerne gives på enhver hensigtsmæssig måde, herunder ved hjælp af elektroniske midler. Som hovedregel skal den dataansvarlige give oplysningerne i samme form som anmodningen.

2.   Den dataansvarlige letter udøvelsen af den registreredes rettigheder i henhold til artikel 79-84.

3.   Den dataansvarlige giver den registrerede skriftlig meddelelse om opfølgningen af vedkommendes anmodning uden unødig forsinkelse og i alle tilfælde senest tre måneder efter modtagelsen af den registreredes anmodning.

4.   Den dataansvarlige giver oplysningerne i medfør af artikel 79 og enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 80-84 og 92, gratis. Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige afvise at efterkomme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven, påhviler den dataansvarlige.

5.   Den dataansvarlige kan, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der fremsætter en anmodning som omhandlet i artikel 80 eller 82, anmode om yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.

Artikel 79

Oplysninger, der skal stilles til rådighed for eller gives til den registrerede

1.   Den dataansvarlige stiller som minimum følgende oplysninger til rådighed for den registrerede:

a)

identitet på og kontaktoplysninger for det pågældende af Unionens organer, kontorer eller agenturer

b)

kontaktoplysninger for databeskyttelsesrådgiveren

c)

formålene med den behandling, som de operationelle personoplysninger skal bruges til

d)

retten til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse og dennes kontaktoplysninger

e)

retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af operationelle personoplysninger og begrænsning af behandling af operationelle personoplysninger vedrørende den registrerede.

2.   Ud over de oplysninger, der er omhandlet i stk. 1, skal den dataansvarlige i de særlige tilfælde, der er forudset i EU-retten, give den registrerede følgende yderligere oplysninger, for at vedkommende kan udøve sine rettigheder:

a)

retsgrundlaget for behandlingen

b)

det tidsrum, hvor de operationelle personoplysninger vil blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum

c)

hvor det er relevant, kategorierne af modtagere af de operationelle personoplysninger, herunder i tredjelande eller internationale organisationer

d)

hvis det er nødvendigt, yderligere oplysninger, navnlig hvis de operationelle personoplysninger indsamles uden den registreredes vidende.

3.   Den dataansvarlige kan udsætte, begrænse eller afskære meddelelse af oplysninger til de registrerede, jf. stk. 2, i det omfang og så længe en sådan foranstaltning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

a)

undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

b)

undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner

c)

beskytte medlemsstaternes offentlige sikkerhed

d)

beskytte medlemsstaternes nationale sikkerhed

e)

beskytte andres, f.eks. ofres og vidners, rettigheder og frihedsrettigheder.

Artikel 80

Den registreredes indsigtsret

Den registrerede har ret til at få den dataansvarliges bekræftelse på, om operationelle personoplysninger vedrørende vedkommende behandles, og har, hvor dette er tilfældet, ret til adgang til de operationelle personoplysninger og følgende information:

a)

formålene med og retsgrundlaget for behandlingen

b)

de berørte kategorier af operationelle personoplysninger

c)

de modtagere eller kategorier af modtagere, som de operationelle personoplysninger er videregivet til, navnlig modtagere i tredjelande eller internationale organisationer

d)

om muligt, det påtænkte tidsrum, hvor de operationelle personoplysninger vil blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum

e)

eksistensen af retten til at anmode den dataansvarlige om berigtigelse eller sletning af operationelle personoplysninger eller begrænsning af behandling af operationelle personoplysninger vedrørende den registrerede

f)

retten til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse og dennes kontaktoplysninger

g)

meddelelse af, hvilke operationelle personoplysninger der er omfattet af behandlingen, og enhver tilgængelig oplysning om, hvorfra de stammer.

Artikel 81

Begrænsninger af indsigtsretten

1.   Den dataansvarlige kan helt eller delvis begrænse den registreredes ret til indsigt, i det omfang og så længe en sådan delvis eller fuldstændig begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

a)

undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

b)

undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner

c)

beskytte medlemsstaternes offentlige sikkerhed

d)

beskytte medlemsstaternes nationale sikkerhed

e)

beskytte andres, f.eks. ofres og vidners, rettigheder og frihedsrettigheder.

2.   I de i stk. 1 omhandlede tilfælde giver den dataansvarlige uden unødig forsinkelse den registrerede skriftlig meddelelse om ethvert afslag på indsigt eller begrænsning af indsigten og om begrundelsen for afslaget eller begrænsningen. En sådan meddelelse kan udelades, hvis sådanne oplysninger ville være til skade for et af formålene i stk. 1. Den dataansvarlige giver den registrerede meddelelse om muligheden for at klage til Den Europæiske Tilsynsførende for Databeskyttelse eller at indbringe sagen for EU-Domstolen. Den dataansvarlige dokumenterer de faktuelle eller retlige årsager til afgørelsen. Disse oplysninger stilles efter anmodning til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 82

Ret til berigtigelse eller sletning af operationelle personoplysninger og begrænsning af behandling

1.   Den registrerede har ret til at få urigtige operationelle personoplysninger om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Den registrerede har under hensyntagen til formålene med behandlingen ret til få fuldstændiggjort ufuldstændige operationelle personoplysninger, bl.a. ved at fremlægge en supplerende erklæring.

2.   Den dataansvarlige skal slette operationelle personoplysninger uden unødig forsinkelse, og den registrerede har ret til at få operationelle personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, hvis behandlingen strider mod artikel 71, artikel 72, stk. 1, eller artikel 76, eller hvis operationelle personoplysninger skal slettes for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt.

3.   I stedet for sletning begrænser den dataansvarlige behandling, hvis:

a)

rigtigheden af personoplysningerne bestrides af den registrerede, og deres rigtighed eller urigtighed ikke kan konstateres, eller

b)

personoplysningerne skal bevares som bevismiddel.

Hvis behandling er begrænset i henhold til første afsnit, litra a), underretter den dataansvarlige den registrerede herom, inden begrænsningen af behandling ophæves.

Begrænsede oplysninger behandles kun til det formål, der gjorde, at de ikke blev slettet.

4.   Den dataansvarlige giver den registrerede skriftlig meddelelse om ethvert afslag på berigtigelse eller sletning af operationelle personoplysninger eller begrænsning af deres behandling og om begrundelsen for afslaget. Den dataansvarlige kan helt eller delvis begrænse meddelelsen af sådanne oplysninger, i det omfang en sådan begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

a)

undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

b)

undgå at skade forebyggelsen, efterforskningen, afsløringen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner

c)

beskytte medlemsstaternes offentlige sikkerhed

d)

beskytte medlemsstaternes nationale sikkerhed

e)

beskytte andres, f.eks. ofres eller vidners, rettigheder og frihedsrettigheder.

Den dataansvarlige giver den registrerede meddelelse om muligheden for at klage til Den Europæiske Tilsynsførende for Databeskyttelse eller at indbringe sagen for EU-Domstolen.

5.   Den dataansvarlige meddeler berigtigelse af urigtige operationelle personoplysninger til den kompetente myndighed, hvorfra de urigtige operationelle personoplysninger stammer.

6.   Hvis operationelle personoplysninger er blevet berigtiget eller slettet, eller behandlingen er blevet begrænset i henhold til stk. 1, 2 eller 3, underretter den dataansvarlige modtagerne og meddeler dem, at de skal berigtige eller slette de operationelle personoplysninger eller begrænse behandling af de operationelle personoplysninger, som de har ansvaret for.

Artikel 83

Indsigtsret i strafferetlige efterforskninger og straffesager

Hvis operationelle personoplysninger stammer fra en kompetent myndighed, kontrollerer Unionens organer, kontorer og agenturer, inden der træffes afgørelse om den registreredes ret til indsigt, med den pågældende kompetente myndighed, om personoplysningerne er indeholdt i en retsafgørelse eller et register eller en sagsakt, der behandles i forbindelse med strafferetlige efterforskninger og straffesager i den pågældende kompetente myndigheds medlemsstat. Hvis dette er tilfældet, træffes der en afgørelse om indsigtsret i samråd og tæt samarbejde med den pågældende kompetente myndighed.

Artikel 84

Den registreredes udøvelse af rettigheder og Den Europæiske Tilsynsførende for Databeskyttelses kontrol

1.   I de tilfælde, der er omhandlet i artikel 79, stk. 3, artikel 81 og artikel 82, stk. 4, kan den registreredes rettigheder også udøves gennem Den Europæiske Tilsynsførende for Databeskyttelse.

2.   Den dataansvarlige underretter den registrerede om dennes mulighed for at udøve sine rettigheder gennem Den Europæiske Tilsynsførende for Databeskyttelse i henhold til stk. 1.

3.   Hvis retten som omhandlet i stk. 1 udøves, underretter Den Europæiske Tilsynsførende for Databeskyttelse som minimum den registrerede om, at Den Europæiske Tilsynsførende for Databeskyttelse har foretaget den nødvendige kontrol eller undersøgelse. Den Europæiske Tilsynsførende for Databeskyttelse underretter også den registrerede om vedkommendes ret til at indbringe sagen for EU-Domstolen.

Artikel 85

Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger

1.   Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige, både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen, passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og i retsakten om den dataansvarliges oprettelse og beskytte de registreredes rettigheder.

2.   Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger, der gennem standardindstillinger sikrer, at kun operationelle personoplysninger, der er tilstrækkelige, relevante og ikke uforholdsmæssige i forhold til formålet med behandlingen, behandles. Denne forpligtelse gælder den mængde operationelle personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at operationelle personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.

Artikel 86

Fælles dataansvarlige

1.   Når to eller flere dataansvarlige eller en eller flere dataansvarlige sammen med en eller flere andre dataansvarlige end Unionens institutioner og organer, i fællesskab afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling, er de fælles dataansvarlige. De fastlægger på en gennemsigtig måde deres respektive ansvar for overholdelse af deres databeskyttelsesforpligtelser, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 79, ved hjælp af en ordning mellem dem, medmindre og i det omfang de fælles dataansvarliges respektive ansvar er fastlagt i EU-retten eller medlemsstaternes nationale ret, som de fælles dataansvarlige er underlagt. Der kan som led i ordningen udpeges et kontaktpunkt for registrerede.

2.   Ordningen, der er omhandlet i stk. 1, skal på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til den registrerede. Det væsentligste indhold af ordningen skal gøres tilgængeligt for den registrerede.

3.   Uanset udformningen af den ordning, der er omhandlet i stk. 1, kan den registrerede udøve sine rettigheder i medfør af denne forordning med hensyn til og over for den enkelte dataansvarlige.

Artikel 87

Databehandler

1.   Hvis en behandling skal foretages på vegne af en dataansvarlig, benytter den dataansvarlige udelukkende databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og retsakten om oprettelse af den dataansvarlige og sikrer beskyttelse af den registreredes rettigheder.

2.   Databehandleren må ikke gøre brug af en anden databehandler uden forudgående specifik eller generel skriftligt godkendelse fra den dataansvarlige. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

3.   En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller en medlemsstats nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og som fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af operationelle personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Denne kontrakt eller dette andet retlige dokument fastsætter navnlig, at databehandleren:

a)

kun må handle efter instruks fra den dataansvarlige

b)

sikrer, at de personer, der er autoriseret til at behandle operationelle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt et passende lovbestemt krav om fortrolighed

c)

bistår den dataansvarlige på enhver hensigtsmæssig måde med at sikre overholdelse af bestemmelserne om den registreredes rettigheder

d)

efter den dataansvarliges valg sletter eller tilbageleverer alle operationelle personoplysninger til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, og sletter eksisterende kopier, medmindre EU-retten eller en medlemsstats nationale ret foreskriver opbevaring af de operationelle personoplysninger

e)

stiller alle informationer, der er nødvendige for at påvise opfyldelse af kravene i denne artikel, til rådighed for den dataansvarlige

f)

overholder de betingelser, der er omhandlet i stk. 2 og i nærværende stykke, med henblik på at gøre brug af en anden databehandler.

4.   Kontrakten eller det andet retlige dokument, der er omhandlet i stk. 3, skal foreligge skriftligt, herunder elektronisk.

5.   Hvis en databehandler overtræder denne forordning eller retsakten om oprettelse af den dataansvarlige ved at fastlægge formålene med og hjælpemidlerne til behandling, anses denne databehandler for at være en dataansvarlig, for så vidt angår den pågældende behandling.

Artikel 88

Logning

1.   Den dataansvarlige fører logs for alle de følgende behandlingsaktiviteter i automatiske databehandlingssystemer: indsamling, ændring, adgang, søgning, videregivelse, herunder overførsel, samkøring og sletning af operationelle personoplysninger. Logning af søgning og videregivelse skal gøre det muligt at fastlægge begrundelsen, datoen og tidspunktet for sådanne aktiviteter, identifikation af den person, som har søgt eller videregivet operationelle personoplysninger, og så vidt muligt identiteten på modtagerne af sådanne operationelle personoplysninger.

2.   Loggene anvendes udelukkende til at kontrollere, om behandling er lovlig, til egenkontrol, til at sikre integriteten og sikkerheden af de operationelle personoplysninger og i forbindelse med straffesager. Disse logs slettes efter tre år, medmindre de skal bruges til løbende kontrol.

3.   Den dataansvarlige stiller efter anmodning loggene til rådighed for sin databeskyttelsesrådgiver og for Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 89

Konsekvensanalyse vedrørende databeskyttelse

1.   Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af operationelle personoplysninger.

2.   Den i stk. 1 omhandlede analyse skal mindst omfatte en generel beskrivelse af de planlagte behandlingsaktiviteter, en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder, de foranstaltninger, der påtænkes for at imødegå disse risici, garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af operationelle personoplysninger og påvise overholdelse af databeskyttelsesregler, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

Artikel 90

Forudgående høring af Den Europæiske Tilsynsførende for Databeskyttelse

1.   Den dataansvarlige hører Den Europæiske Tilsynsførende for Databeskyttelse inden behandling, der vil indgå som en del af et nyt register, der skal oprettes, når:

a)

en konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 89 viser, at behandlingen vil føre til en høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at mindske risikoen, eller

b)

den type behandling, navnlig ved brug af nye teknologier, mekanismer eller procedurer, indebærer en høj risiko for de registreredes rettigheder og frihedsrettigheder.

2.   Den Europæiske Tilsynsførende for Databeskyttelse kan fastsætte en liste over de behandlingsaktiviteter, hvor der i henhold til stk. 1 skal foretages en forudgående høring.

3.   Den dataansvarlige forelægger Den Europæiske Tilsynsførende for Databeskyttelse konsekvensanalysen vedrørende databeskyttelse omhandlet i artikel 89 og efter anmodning andre oplysninger, der sætter Den Europæiske Tilsynsførende for Databeskyttelse i stand til at vurdere behandlingens overensstemmelse, og navnlig risiciene for beskyttelsen af registreredes operationelle personoplysninger og de tilknyttede garantier.

4.   Hvis Den Europæiske Tilsynsførende for Databeskyttelse finder, at den planlagte behandling omhandlet i stk. 1 vil overtræde denne forordning eller retsakten om oprettelse af det pågældende af Unionens organer, kontorer eller agenturer, navnlig hvis den dataansvarlige ikke tilstrækkeligt har identificeret eller begrænset risikoen, skal Den Europæiske Tilsynsførende for Databeskyttelse give den dataansvarlige skriftlig rådgivning inden for en periode på op til seks uger efter modtagelse af anmodningen om høring. Denne periode kan forlænges med en måned under hensyntagen til den påtænkte behandlings kompleksitet. Den Europæiske Tilsynsførende for Databeskyttelse underretter den dataansvarlige om enhver sådan forlængelse senest en måned efter modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen.

Artikel 91

Behandlingssikkerhed for operationelle personoplysninger

1.   Den dataansvarlige og databehandleren gennemfører under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, navnlig for så vidt angår behandlingen af de særlige kategorier af personoplysninger.

2.   For så vidt angår automatisk behandling gennemfører den dataansvarlige og databehandleren på grundlag af en risikovurdering foranstaltninger til at sikre, at:

a)

uautoriserede personer ikke kan få adgang til det databehandlingsudstyr, der benyttes til behandling (»kontrol med fysisk adgang til udstyret«)

b)

der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af datamedier (»kontrol med datamedier«)

c)

der ikke sker uautoriseret indlæsning af operationelle personoplysninger samt uautoriseret læsning, ændring eller sletning af opbevarede operationelle personoplysninger (»kontrol med opbevaring«)

d)

automatiske behandlingssystemer ikke via datakommunikationsudstyr kan benyttes af uautoriserede personer (»brugerkontrol«)

e)

personer med bemyndigelse til at anvende et automatisk behandlingssystem kun har adgang til de operationelle personoplysninger, der er omfattet af deres adgangstilladelse (»kontrol med dataadgangen«)

f)

det er muligt at kontrollere og fastslå de organer, til hvilke operationelle personoplysninger er blevet eller kan blive fremsendt eller stillet til rådighed ved hjælp af datakommunikation (»kommunikationskontrol«)

g)

det er muligt efterfølgende at undersøge og fastslå, hvilke operationelle personoplysninger der er indlæst i automatiske behandlingssystemer, og hvornår og af hvem de operationelle personoplysninger blev indlæst (»kontrol med indlæsning«)

h)

der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af operationelle personoplysninger i forbindelse med overførsler af disse eller under transport af datamedier (»transportkontrol«)

i)

de anvendte systemer i tilfælde af afbrydelse kan genetableres (»genopretning«)

j)

systemet fungerer, at indtrufne fejl meldes (»pålidelighed«), og at opbevarede operationelle personoplysninger ikke kan ødelægges som følge af fejlfunktioner i systemet (»integritet«)

Artikel 92

Anmeldelse af brud på persondatasikkerheden til Den Europæiske Tilsynsførende for Databeskyttelse

1.   Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til Den Europæiske Tilsynsførende for Databeskyttelse, medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder. Foretages anmeldelsen til Den Europæiske Tilsynsførende for Databeskyttelse ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.

2.   Den i stk. 1 omhandlede anmeldelse skal mindst:

a)

beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af operationelle personoplysninger

b)

angive navn og kontaktoplysninger for databeskyttelsesrådgiveren

c)

beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden

d)

beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

3.   Når og for så vidt som det ikke er muligt at give oplysningerne i stk. 2 samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.

4.   Den dataansvarlige dokumenterer alle brud på persondatasikkerheden omhandlet i stk. 1, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal sætte Den Europæiske Tilsynsførende for Databeskyttelse i stand til at kontrollere, at denne artikel er overholdt.

5.   Hvis bruddet på persondatasikkerheden omfatter operationelle personoplysninger, der er fremsendt af eller til de kompetente myndigheder, meddeler den dataansvarlige de i stk. 2 omhandlede oplysninger uden unødig forsinkelse til de pågældende kompetente myndigheder.

Artikel 93

Underretning om brud på persondatasikkerheden til den registrerede

1.   Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

2.   Underretningen af den registrerede i henhold til denne artikels stk. 1 skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og henstillinger, der er fastsat i artikel 92, stk. 2, litra b), c) og d).

3.   Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis nogen af følgende betingelser er opfyldt:

a)

den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de operationelle personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør de operationelle personoplysninger uforståelige for enhver, der ikke har autoriseret adgang hertil, såsom kryptering

b)

den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel

c)

det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.

4.   Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan Den Europæiske Tilsynsførende for Databeskyttelse efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.

5.   Den i nærværende artikels stk. 1 omhandlede underretning af den registrerede kan udsættes, begrænses eller afskæres på de betingelser og af de årsager, der er omhandlet i artikel 79, stk. 3.

Artikel 94

Videregivelse af operationelle personoplysninger til tredjelande og internationale organisationer

1.   Med forbehold af begrænsninger og betingelser, der er fastsat i retsakterne om oprettelse af det pågældende af Unionens organer, kontorer eller agenturer, kan den dataansvarlige videregive operationelle personoplysninger til en myndighed i et tredjeland eller til en international organisation, i det omfang en sådan videregivelse er nødvendig for at dataansvarlige kan udføre deres opgaver, og kun hvis betingelserne i denne artikel er opfyldt, navnlig at:

a)

Kommissionen har vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i overensstemmelse med artikel 36, stk. 3, i direktiv (EU) 2016/680, der fastslår, at det pågældende tredjeland eller et territorium eller en behandlingssektor i det pågældende tredjeland eller den pågældende internationale organisation sikrer et tilstrækkeligt niveau for databeskyttelse

b)

der, hvis der ikke er vedtaget en afgørelse fra Kommissionen om tilstrækkeligt beskyttelsesniveau i henhold til litra a), er indgået en international aftale mellem Unionen og dette tredjeland eller denne internationale organisation i medfør af artikel 218 i TEUF, og som frembyder tilstrækkelige garantier med hensyn til beskyttelsen af privatlivets fred og fysiske personers grundlæggende rettigheder og friheder

c)

der, hvis der ikke er vedtaget en afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet i henhold til litra a) eller ikke er indgået en international aftale i henhold til litra b), er indgået en samarbejdsaftale, der muliggør udveksling af operationelle personoplysninger før datoen for anvendelsen af retsakten om oprettelsen af det pågældende af Unionens organer, kontorer eller agenturer, mellem dette organ, kontor eller agentur og det pågældende tredjeland.

2.   Retsakterne om oprettelse af Unionens organer, kontorer og agenturer kan opretholde eller indføre mere specifikke bestemmelser om betingelserne for international videregivelse af operationelle personoplysninger, navnlig om videregivelser ved anvendelse af fornødne garantier og undtagelser i særlige situationer.

3.   Den dataansvarlige offentliggør og ajourfører på sit websted en liste over afgørelser om tilstrækkeligt beskyttelsesniveau omhandlet i stk. 1, litra a), aftaler, administrative ordninger og andre instrumenter vedrørende videregivelse af operationelle personoplysninger i henhold til stk. 1.

4.   Den dataansvarlige fører et detaljeret register over alle videregivelser foretaget i henhold til denne artikel.

Artikel 95

Tavshedspligt i forbindelse med forundersøgelse og straffesager

Retsakterne om oprettelse af Unionens organer, kontorer eller agenturer, der udfører aktiviteter henhørende under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF kan pålægge Den Europæiske Tilsynsførende for Databeskyttelse til i forbindelse med udøvelsen af vedkommendes tilsynsbeføjelser at tage videst muligt hensyn til tavshedspligt i forbindelse med forundersøgelse og straffesager i overensstemmelse med EU-retten eller medlemsstaternes nationale ret.

KAPITEL X

GENNEMFØRELSESRETSAKTER

Artikel 96

Udvalgsprocedure

1.   Kommissionen bistås af udvalget nedsat ved artikel 93 i forordning (EU) 2016/679. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2.   Når der henvises til dette stykke, anvendes artikel 5 i forordning (EU) nr. 182/2011.

KAPITEL XI

EVALUERING

Artikel 97

Evalueringsklausul

Senest den 30. april 2022 og hvert femte år derefter forelægger Kommissionen en rapport for Europa-Parlamentet og Rådet om anvendelsen af denne forordning, ledsaget, om nødvendigt, af passende lovgivningsmæssige forslag.

Artikel 98

Evaluering af EU-retsakter

1.   Senest den 30. april 2022 evaluerer Kommissionen de retsakter, der er vedtaget på grundlag af traktaterne, og som regulerer behandling af operationelle personoplysninger i Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, med henblik på at:

a)

vurdere deres overensstemmelse med direktiv (EU) 2016/680 og nærværende forordnings kapitel IX

b)

identificere eventuelle forskelle, der kan hæmme udvekslingen af operationelle personoplysninger mellem Unionens organer, kontorer og agenturer ved udførelsen af aktiviteter på disse områder og kompetente myndigheder, og

c)

identificere eventuelle forskelle, som kan skabe retlig fragmentering af databeskyttelseslovgivningen i Unionen.

2.   På grundlag af evalueringen kan Kommissionen for at sikre en ensartet og konsekvent beskyttelse af fysiske personer, hvad angår behandling, forelægge hensigtsmæssige lovgivningsmæssige forslag, navnlig med henblik på at anvende denne forordnings kapitel IX på Europol og Den Europæiske Anklagemyndighed, herunder om nødvendigt tilpasninger af denne forordnings kapitel IX.

KAPITEL XII

AFSLUTTENDE BESTEMMELSER

Artikel 99

Ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF

Forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF ophæves herved med virkning fra den 11. december 2018. Henvisninger til den ophævede forordning og den ophævede afgørelse betragtes som henvisninger til nærværende forordning.

Artikel 100

Overgangsforanstaltninger

1.   Europa-Parlamentet og Rådets afgørelse 2014/886/EU (20) og Den Europæiske Tilsynsførende for Databeskyttelses og den assisterende tilsynsførendes indeværende embedsperiode berøres ikke af denne forordning.

2.   Den assisterende tilsynsførende sidestilles med justitssekretæren for EU-Domstolen for så vidt angår fastsættelsen af vederlag, tillæg, alderspension og eventuelle andre goder end vederlag.

3.   Artikel 53, stk. 4, 5 og 7, og artikel 55 og 56 i denne forordning finder anvendelse på den nuværende assisterende tilsynsførende indtil udløbet af dennes embedsperiode.

4.   Den assisterende tilsynsførende bistår Den Europæiske Tilsynsførende for Databeskyttelse ved opfyldelsen af dennes pligter og fungerer som stedfortræder, når Den Europæiske Tilsynsførende for Databeskyttelse er fraværende eller forhindret i at deltage i disse pligter indtil udløbet af den nuværende assisterende tilsynsførendes embedsperiode.

Artikel 101

Ikrafttræden og anvendelse

1.   Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

2.   Denne forordning finder dog anvendelse på Eurojusts behandling af personoplysninger fra den 12. december 2019.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Strasbourg, den 23. oktober 2018.

På Europa-Parlamentets vegne

Formand

A. TAJANI

På Rådets vegne

Formand

K. EDTSTADLER


(1)  EUT C 288 af 31.8.2017, s. 107.

(2)  Europa-Parlamentets holdning af 13.9.2018 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 11.10.2018.

(3)  Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).

(4)  Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(5)  Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).

(6)  Rådets direktiv 93/13/EØF af 5. april 1993 om urimelige kontraktvilkår i forbrugeraftaler (EFT L 95 af 21.4.1993, s. 29).

(7)  Europa-Parlamentets og Rådets forordning (EF) nr. 1338/2008 af 16. december 2008 om fællesskabsstatistikker over folkesundhed og arbejdsmiljø (EUT L 354 af 31.12.2008, s. 70).

(8)  Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).

(9)  Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30. maj 2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter (EFT L 145 af 31.5.2001, s. 43).

(10)  EFT L 56 af 4.3.1968, s. 1.

(11)  Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

(12)  Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 af 11. marts 2009 om europæiske statistikker og om ophævelse af forordning (EF, Euratom) nr. 1101/2008 om fremsendelse af fortrolige statistiske oplysninger til De Europæiske Fællesskabers Statistiske Kontor, Rådets forordning (EF) nr. 322/97 om EF-statistikker og Rådets afgørelse 89/382/EØF, Euratom om nedsættelse af et udvalg for De Europæiske Fællesskabers statistiske program (EUT L 87 af 31.3.2009, s. 164).

(13)  Europa-Parlamentets, Rådets og Kommissionens afgørelse nr. 1247/2002/EF af 1. juli 2002 om statutten og de almindelige betingelser for udøvelse af hvervet som Europæisk Tilsynsførende for Databeskyttelse (EFT L 183 af 12.7.2002, s. 1).

(14)  EUT C 164 af 24.5.2017, s. 2.

(15)  Europa-Parlamentets og Rådets forordning (EU) 2016/794 af 11. maj 2016 om Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol) og om erstatning og ophævelse af Rådets afgørelse 2009/371/RIA, 2009/934/RIA, 2009/935/RIA, 2009/936/RIA og 2009/968/RIA (EUT L 135 af 24.5.2016, s. 53).

(16)  Rådets forordning (EU) 2017/1939 af 12. oktober 2017 om gennemførelse af et forstærket samarbejde om oprettelse af Den Europæiske Anklagemyndighed (»EPPO«) (EUT L 283 af 31.10.2017, s. 1).

(17)  Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 af 9. september 2015 om en informationsprocedure med hensyn til tekniske forskrifter samt forskrifter for informationssamfundets tjenester (EUT L 241 af 17.9.2015, s. 1).

(18)  Kommissionens direktiv 2008/63/EF af 20. juni 2008 om konkurrence på markederne for teleterminaludstyr (EUT L 162 af 21.6.2008, s. 20).

(19)  Rådets afgørelse 2009/917/RIA af 30. november 2009 om brug af informationsteknologi på toldområdet (EUT L 323 af 10.12.2009, s. 20).

(20)  Europa-Parlamentets og Rådets afgørelse 2014/886/EU af 4. december 2014 om udnævnelse af den europæiske tilsynsførende for databeskyttelse og den assisterende tilsynsførende (EUT L 351 af 9.12.2014, s. 9).


Top