»BILAG II

FÆLLES DATAANSVAR FOR EU-SYSTEMET FOR HURTIG UDVEKSLING AF OPLYSNINGER (RAPEX), JF. ARTIKEL 12 I EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV 2001/95/EF (1) (DIREKTIVET OM PRODUKTSIKKERHED I ALMINDELIGHED)

1.    Genstand og beskrivelse af behandlingen

Safety Gate/RAPEX-applikationen er et notifikationssystem til hurtig udveksling af oplysninger mellem medlemsstaternes nationale myndigheder, de tre stater i Det Europæiske Økonomiske Samarbejdsområde/Den Europæiske Frihandelssammenslutning (EØS/EFTA) (Island, Liechtenstein og Norge) og Kommissionen om de foranstaltninger, der træffes mod farlige produkter, som findes på EU-markedet og/eller EØS/EFTA-markedet. Formålet med dette notifikationssystem er:

—	at forhindre, at der markedsføres farlige produkter til forbrugerne på det indre marked

—	om nødvendigt at træffe korrigerende foranstaltninger, således at sådanne produkter trækkes tilbage eller tilbagekaldes fra markedet.

Informationsudvekslingen vedrører forebyggende og restriktive foranstaltninger og tiltag i forbindelse med farlige forbruger- og erhvervsprodukter undtagen fødevarer, foder, lægemidler og medicinsk udstyr. Både foranstaltninger, der pålægges af nationale myndigheder, og foranstaltninger, der træffes frivilligt af økonomiske aktører, er omfattet af Safety Gate/RAPEX-systemet.

2.    Anvendelsesområdet for det fælles dataansvar

Kommissionen og de nationale myndigheder fungerer som fælles dataansvarlige for behandling af oplysninger i Safety Gate/RAPEX-systemet. »Nationale myndigheder«: alle medlemsstaternes myndigheder og myndigheder i EFTA/EØS-lande, der beskæftiger sig med produktsikkerhed og deltager i Safety Gate/RAPEX-netværket, herunder markedsovervågningsmyndigheder med ansvar for overvågning af produkters overholdelse af sikkerhedskrav og myndigheder med ansvar for kontrollen ved de ydre grænser.

Med henblik på artikel 26 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (2) og artikel 28 i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (3) hører følgende behandlingsaktiviteter under Kommissionens ansvar som fælles dataansvarlig for personoplysninger:

(1)	Kommissionen kan behandle oplysninger om foranstaltninger, der træffes over for produkter, der udgør en alvorlig risiko, og som importeres til eller eksporteres fra Unionen og Det Europæiske Økonomiske Samarbejdsområde, med henblik på at videregive disse oplysninger til RAPEX-kontaktpunkterne.

(2)	Kommissionen kan behandle oplysninger fra tredjelande, internationale organisationer, virksomheder eller andre hurtige varslingssystemer om produkter med oprindelse i og uden for EU, der udgør en risiko, med henblik på at videregive sådanne oplysninger til de nationale myndigheder.

Det er Kommissionens ansvar at sikre overholdelse af forpligtelserne og betingelserne i forordning (EU) 2018/1725 for så vidt angår disse aktiviteter.

Følgende behandlingsaktiviteter henhører under de nationale myndigheders ansvarsområde som fælles dataansvarlige for personoplysninger:

(1)	De nationale myndigheder kan behandle oplysninger i henhold til artikel 11 og 12 i direktiv 2001/95/EF og artikel 20 i Europa-Parlamentets og Rådets forordning (EU) 2019/1020 (4) med henblik på at meddele Kommissionen og andre medlemsstater og EFTA/EØS-lande sådanne oplysninger.

(2)	De nationale myndigheder kan behandle oplysninger efter deres opfølgningsaktiviteter i forbindelse med Safety Gate/RAPEX-notifikationer med henblik på at meddele Kommissionen og andre medlemsstater samt EFTA/EØS-lande sådanne oplysninger.

Det er de nationale myndigheders ansvar at sikre overholdelse af forpligtelserne og betingelserne i forordning (EU) 2016/679 for så vidt angår disse aktiviteter.

3.    De fælles dataansvarliges ansvar, roller og forhold til de registrerede

3.1.   Kategorier af registrerede og personoplysninger

De fælles dataansvarlige behandler i fællesskab følgende kategorier af personoplysninger:

a)	Safety Gate/RAPEX-brugernes kontaktoplysninger. Følgende oplysninger kan behandles: — Safety Gate/RAPEX-brugernes navn — Safety Gate/RAPEX-brugernes efternavn — Safety Gate/RAPEX-brugernes e-mailadresse — Safety Gate/RAPEX-brugernes land — Safety Gate/RAPEX-brugernes foretrukne sprog.

b)

Kontaktoplysninger for dem, der udfærdiger og validerer meddelelser og tilbagemeldinger indgivet via Safety Gate/RAPEX-systemet. Der kan være tale om: — Nationale Safety Gate/RAPEX-kontaktpunkter og tilsynsførende fra markedsovervågningsmyndighederne i medlemsstaterne og EFTA/EØS-landene eller fra de nationale myndigheder med ansvar for kontrol ved de ydre grænser, som er involveret i notifikationsproceduren — Kommissionens personale såsom tjenestemænd, midlertidigt ansatte, kontraktansatte, praktikanter og eksterne tjenesteydere. Følgende oplysninger kan behandles: — navn på dem, der udfærdiger og validerer meddelelser og tilbagemeldinger indgivet via Safety Gate/RAPEX-systemet — efternavn på dem, der udfærdiger og validerer meddelelser og tilbagemeldinger indgivet via Safety Gate/RAPEX-systemet — navn på myndighed, der udfærdiger og validerer meddelelser og tilbagemeldinger indgivet via Safety Gate/RAPEX-systemet — navn på myndighed, der udfærdiger og validerer meddelelser og tilbagemeldinger indgivet via Safety Gate/RAPEX-systemet — e-mailadresse for dem, der udfærdiger og validerer meddelelser og tilbagemeldinger indgivet via Safety Gate/RAPEX-systemet — telefonnummer på dem, der udfærdiger og validerer meddelelser og tilbagemeldinger indgivet via Safety Gate/RAPEX-systemet

c)

Derudover kan to typer personoplysninger i øvrigt indgå i systemet: i) Når det er nødvendigt for at spore farlige produkter som defineret i artikel 2, litra c), i direktiv 2001/95/EF, kan kontaktoplysninger på de økonomiske aktører (producenter, eksportører, importører, distributører eller detailhandlere) indeholde personoplysninger, der vil blive medtaget i systemet. Sådanne oplysninger indlæses udelukkende i Safety Gate/RAPEX-systemet af de nationale myndigheder på grundlag af de oplysninger, der er indsamlet i forbindelse med deres undersøgelse. Følgende oplysninger kan behandles: — økonomiske aktørers navn — økonomiske aktørers adresse — økonomiske aktørers by — økonomiske aktørers land — økonomiske aktørers kontaktoplysninger: dette felt kan henvise til den fysiske person, der repræsenterer producenterne, eller de bemyndigede repræsentanter. Medlemsstaterne opfordres dog til at undgå at indtaste personoplysninger og foretrække kontaktoplysninger, der ikke er personlige, såsom generiske e-mailadresser. — Økonomiske aktørers kontaktoplysninger. ii) Navnene på de personer, der har udført test af farlige produkter og/eller bekræftet testrapporterne, hvis de utilsigtet er medtaget i andre dokumenter såsom testrapporter. Disse navne indgår i vedhæftede filer og er ikke søgbare. Medlemsstaterne anmodes om at slette sådanne oplysninger forud for indgivelsen, hvis de ikke anses for nødvendige af hensyn til systemet.

3.2.   Underretning af registrerede

Kommissionen forelægger de oplysninger, der er omhandlet i artikel 15 og 16, og alle meddelelser i henhold til artikel 17-24 og artikel 35 i forordning (EU) 2018/1725 i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og med et klart og enkelt sprogbrug. Kommissionen træffer også passende foranstaltninger til at bistå de nationale myndigheder med at forelægge alle de oplysninger, der er omhandlet i artikel 13 og 14, og alle meddelelser i henhold til artikel 19-26 og 37 i forordning (EU) 2016/679 i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og med et klart og enkelt sprogbrug vedrørende følgende oplysninger:

—	Safety Gate/RAPEX-brugernes oplysninger

—	oplysninger vedrørende dem, der udfærdiger og validerer meddelelser og tilbagemeldinger.

Safety Gate/RAPEX-brugere informeres om deres rettigheder gennem den databeskyttelseserklæring, der findes i Safety Gate/RAPEX.

De nationale myndigheder træffer passende foranstaltninger til at forelægge alle de oplysninger, der er omhandlet i artikel 13 og 14, og alle meddelelser i henhold til artikel 19-26 og 37 i forordning (EU) 2016/679 i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og med et klart og enkelt sprogbrug vedrørende følgende oplysninger:

—	oplysninger om juridiske personer, der muliggør identificering af en fysisk person

—	navne på og andre oplysninger om personer, der har udført test af farlige produkter og/eller bekræftet testrapporterne.

Oplysningerne formidles skriftligt, herunder elektronisk.

De nationale myndigheder anvender den model til en databeskyttelseserklæring, som Kommissionen har udarbejdet, når de opfylder deres forpligtelser vedrørende de registrerede.

3.3.   Behandling af de registreredes anmodninger

De registrerede kan udøve deres rettigheder i henhold til henholdsvis forordning (EU) 2018/1725 og forordning (EU) 2016/679 med hensyn til og over for hver enkelt dataansvarlig.

De fælles dataansvarlige behandler anmodninger fra registrerede i overensstemmelse med den procedure, der er fastlagt af de fælles dataansvarlige til dette formål. Den detaljerede procedure for udøvelse af registreredes rettigheder er forklaret i databeskyttelseserklæringen.

De fælles dataansvarlige samarbejder og yder efter anmodning hurtig og effektiv bistand til hinanden i forbindelse med behandlingen af de registreredes anmodninger.

Hvis en fælles dataansvarlig modtager en anmodning fra den registrerede, som ikke henhører under dennes ansvar, videresender den pågældende fælles dataansvarlige straks og senest syv kalenderdage efter modtagelsen anmodningen til den fælles dataansvarlige, der faktisk er ansvarlig for denne anmodning. Den ansvarlige fælles dataansvarlige sender en kvittering for modtagelsen til den registrerede inden for yderligere tre kalenderdage og underretter samtidig den fælles dataansvarlige, som først modtog anmodningen, herom.

Som svar på en anmodning fra en registreret om indsigt i personoplysninger må ingen fælles dataansvarlig videregive eller på anden måde stille personoplysninger, der behandles i fællesskab, til rådighed uden først at have hørt den anden relevante fælles dataansvarlige.

4.    De fælles dataansvarliges øvrige ansvarsområder og roller

4.1.   Behandlingssikkerhed

Hver enkelt fælles dataansvarlig gennemfører passende tekniske og organisatoriske foranstaltninger, der er udformet med henblik på at:

a)	sikre og beskytte sikkerheden, integriteten og fortroligheden af de personoplysninger, der behandles i fællesskab, i overensstemmelse med Kommissionens afgørelse (EU, Euratom) 2017/46 (5) 1 og den relevante retsakt fra henholdsvis EU-medlemsstaten/EFTA/EØS-landet

b)	beskytte personoplysninger i dens besiddelse mod uautoriseret eller ulovlig behandling, tab, anvendelse, videregivelse eller erhvervelse heraf eller adgang hertil

c)	undgå at videregive eller give andre end de på forhånd aftalte modtagere eller databehandlere adgang til personoplysningerne.

Hver fælles data dataansvarlig gennemfører passende tekniske og organisatoriske foranstaltninger for at garantere behandlingssikkerheden i henhold til artikel 33 i forordning (EU) 2018/1725 og artikel 32 i forordning (EU) 2016/679.

De fælles dataansvarlige yder hurtig og effektiv bistand til hinanden i tilfælde af sikkerhedshændelser, herunder brud på persondatasikkerheden.

4.2.   Håndtering af sikkerhedsrelaterede hændelser, herunder brud på persondatasikkerheden

De fælles dataansvarlige håndterer sikkerhedshændelser, herunder brud på persondatasikkerheden, i overensstemmelse med deres interne procedurer og gældende lovgivning.

De fælles dataansvarlige yder navnlig hurtig og effektiv bistand til hinanden i det omfang, det er nødvendigt for at lette kortlægningen og håndteringen af sikkerhedshændelser, herunder brud på persondatasikkerheden, i forbindelse med den fælles behandling.

De fælles dataansvarlige underretter hinanden om følgende:

a)	potentielle eller faktiske risici for tilgængeligheden, fortroligheden og/eller integriteten af de personoplysninger, der er genstand for fælles behandling

b)	alle sikkerhedshændelser, der er knyttet til den fælles behandlingsaktivitet

c)

ethvert brud på persondatasikkerheden (dvs. brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er genstand for fælles behandling), de sandsynlige konsekvenser af bruddet på persondatasikkerheden, vurderingen af risikoen for fysiske personers rettigheder og frihedsrettigheder samt alle foranstaltninger, der er truffet for at håndtere bruddet på persondatasikkerheden og mindske risikoen for fysiske personers rettigheder og frihedsrettigheder

d)	enhver overtrædelse af de tekniske og/eller organisatoriske beskyttelsesforanstaltninger i forbindelse med den fælles behandlingsaktivitet.

Hver enkelt fælles dataansvarlig er ansvarlig for alle sikkerhedshændelser, herunder brud på persondatasikkerheden, der opstår som følge af en overtrædelse af den pågældende fælles dataansvarliges forpligtelser i henhold til henholdsvis denne afgørelse, forordning (EU) 2018/1725 og forordning (EU) 2016/679.

De fælles dataansvarlige dokumenterer sikkerhedshændelserne (herunder brud på persondatasikkerheden) og underretter hinanden uden unødig forsinkelse og senest 48 timer efter, at de er blevet bekendt med en sikkerhedshændelse (herunder et brud på persondatasikkerheden).

Den fælles dataansvarlige, der er ansvarlig for et brud på persondatasikkerheden, dokumenterer bruddet på persondatasikkerheden og underretter Den Europæiske Tilsynsførende for Databeskyttelse eller den kompetente nationale tilsynsmyndighed herom. Den gør dette uden unødig forsinkelse og, hvor det er muligt, senest 72 timer efter, at den er blevet bekendt med bruddet på persondatasikkerheden, medmindre bruddet sandsynligvis ikke vil indebære nogen risiko for fysiske personers rettigheder og frihedsrettigheder. Den ansvarlige fælles dataansvarlige informerer de øvrige fælles dataansvarlige om en sådan underretning.

Den fælles dataansvarlige, der er ansvarlig for bruddet på persondatasikkerheden, underretter de berørte registrerede om bruddet, hvis det sandsynligvis vil medføre en høj risiko for fysiske persons rettigheder og frihedsrettigheder. Den ansvarlige fælles dataansvarlige informerer de øvrige fælles dataansvarlige om en sådan underretning.

4.3.   Lokalisering af personoplysninger

Personoplysninger, der indsamles med henblik på notifikationsprocessen via Safety Gate/RAPEX-systemet, lagres og indsamles i Safety Gate/RAPEX-applikationen, som forvaltes af Kommissionen, for at sikre, at adgangen til applikationen begrænses til personer, der er tydeligt identificeret, og at de oplysninger, der er lagret i applikationen, dermed er godt beskyttet.

Personoplysninger, der indsamles med henblik på behandling, må kun behandles inden for EU/EØS og må ikke komme uden for dette område, medmindre de opfylder kravene i artikel 45, 46 eller 49 i forordning (EU) 2016/679 eller artikel 47, 48 eller 50 i forordning (EU) 2018/1725.

I henhold til artikel 12, stk. 4, i direktiv 2001/95/EF er adgang til Safety Gate/RAPEX åben for ansøgerlande, tredjelande eller internationale organisationer inden for rammerne af en aftale mellem EU og disse lande eller internationale organisationer i henhold til de ordninger, der er fastsat i disse aftaler. Der kan udveksles udvalgte oplysninger fra Safety Gate/RAPEX-systemet. Disse oplysninger må ikke indeholde personoplysninger.

4.4.   Modtagere

Kommissionens og de nationale myndigheders autoriserede personale og kontrahenter har kun adgang til personoplysninger med henblik på administration og drift af Safety Gate/RAPEX-systemet, hvilket letter behandlingen. Denne adgang er underlagt følgende krav om ID og adgangskode:

—	Safety Gate/RAPEX er kun åbent for Kommissionen og for brugere, der specifikt er udpeget af EU-medlemsstaternes myndigheder og EFTA/EØS-landene samt de britiske myndigheder for så vidt angår nordirske brugere.

—

Der gives kun adgang til de indsamlede personoplysninger på Safety Gate/RAPEX for de udpegede og autoriserede brugere af applikationen, som har et bruger-ID/password. Adgang til applikationen og tildeling af et password er kun mulig, hvis den kompetente nationale myndighed anmoder herom under generelt tilsyn af Kommissionens Safety Gate/RAPEX-team.

—	Adgangen til de indsamlede personoplysninger gives til Kommissionens personale med ansvar for behandling af oplysningerne og bemyndigede personer efter »need to know«-princippet. Dette personale er bundet af vedtægtsmæssige og, om nødvendigt, yderligere aftaler om tavshedspligt.

De personer, der har adgang til de indsamlede personoplysninger, er:

a)	Kommissionens personale og kontrahenter

b)	udpegede kontaktpunkter og tilsynsførende fra markedsovervågningsmyndighederne i EU-medlemsstaterne og EFTA/EØS-landene samt Det Forenede Kongeriges myndigheder for så vidt angår brugere fra Nordirland

c)	udpegede tilsynsførende fra myndigheder med ansvar for kontrollen ved de ydre grænser i EU's medlemsstater og EFTA/EØS-landene.

De personer, der har adgang til alle indsamlede personoplysninger, og som har mulighed for at ændre dem efter anmodning, er:

a)	medlemmer af Kommissionens Safety Gate/RAPEX-team

b)	medlemmer af Kommissionens Safety Gate/RAPEX-helpdesk

En liste over alle Safety Gate/RAPEX-kontaktpunkter (brugere udpeget af de nationale myndigheder i EU/EØS-landene) med deres kontaktoplysninger (efternavn, navn, myndighed, myndigheds adresse, telefon, fax, e-mail) findes på det offentlige Europa-websted Safety Gate (6). Brugerforvaltningen på nationalt plan kontrolleres af de nationale kontaktpunkter for Safety Gate via Safety Gate/RAPEX-applikationen.

Alle brugere skal have adgang til indholdet af meddelelser med status som »Godkendt af Kommissionen«. Kun nationale Safety Gate/RAPEX-brugere har adgang til udkastene til deres meddelelser (inden de sendes til Kommissionen). Kommissionens personale og bemyndigede personer har adgang til meddelelser med status som »Indsendt til Kommissionen«.

Hver enkelt fælles dataansvarlig underretter alle andre fælles dataansvarlige om enhver overførsel af personoplysninger til modtagere i tredjelande eller internationale organisationer.

5.    Specifikke ansvarsområder for de fælles dataansvarlige

Kommissionen sikrer og er ansvarlig for at:

a)	træffe afgørelse om behandlingsmetoder, -krav og -formål

b)	registrere behandlingsaktiviteten

c)	give de registrerede mulighed for at udøve deres rettigheder

d)	håndtere de registreredes anmodninger

e)	træffe afgørelse om at begrænse anvendelsen af eller se bort fra de registreredes rettigheder, hvis det er nødvendigt og forholdsmæssigt

f)	sikre indbygget beskyttelse af privatlivets fred og privatlivsbeskyttelse som standard

g)	kortlægge og vurdere, om det er lovligt, nødvendigt og står i et rimeligt forhold til formålet at fremsende og videregive personoplysninger

h)	foretage en forudgående høring af Den Europæiske Tilsynsførende for Databeskyttelse, hvis det er nødvendigt

i)	sikre, at de personer, der er bemyndiget til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt

j)	samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse om udførelsen af dennes opgaver, hvis der anmodes herom.

De nationale myndigheder sikrer og er ansvarlige for at:

a)	registrere behandlingsaktiviteten

b)	sikre, at de personoplysninger, der er genstand for behandling, er tilstrækkelige, relevante, nøjagtige og begrænset til, hvad der er nødvendigt til formålet

c)	sikre gennemsigtig information og kommunikation til de registrerede om deres rettigheder

d)	give de registrerede mulighed for at udøve deres rettigheder

e)	kun anvende databehandlere, der giver tilstrækkelige garantier for at træffe passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i forordning (EU) 2016/679 og sikrer beskyttelsen af den registreredes rettigheder

f)	regulere databehandlerens behandling ved hjælp af en kontrakt eller en retsakt i henhold til EU-retten eller medlemsstaternes nationale ret i overensstemmelse med artikel 28 i forordning (EU) 2016/679

g)	foretage en forudgående høring af den nationale tilsynsmyndighed, hvis det er nødvendigt

h)	sikre, at de personer, der er bemyndiget til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt

i)	samarbejde med den nationale tilsynsmyndighed om udførelsen af deres opgaver, hvis der anmodes herom.

6.    Behandlingens varighed

De fælles dataansvarlige må ikke opbevare eller behandle personoplysninger længere end nødvendigt for at opfylde de aftalte formål og forpligtelser som fastsat i denne afgørelse, dvs. så længe det er nødvendigt for at opfylde formålet med indsamlingen eller viderebehandlingen. Navnlig:

a)	kontaktoplysninger for brugerne af Safety Gate/RAPEX-applikationen opbevares i systemet, så længe de er brugere. Kontaktoplysningerne slettes fra applikationen umiddelbart efter modtagelsen af meddelelsen om, at en bestemt person ikke længere er bruger af systemet.

b)

Kontaktoplysninger for tilsynsførende fra markedsovervågningsmyndighederne i medlemsstaterne og EFTA/EØS-landene samt fra de tilsynsførende fra myndighederne med ansvar for kontrollen ved de ydre grænser, og som fremsendes i meddelelser og tilbagemeldinger, der opbevares i systemet i fem år efter valideringen af meddelelsen eller tilbagemeldingen.

c)

Personoplysninger om andre fysiske personer, der eventuelt indgår i systemet, opbevares i en form, der gør det muligt at identificere dem i 30 år fra tidspunktet for indlæsningen af oplysningerne i Safety Gate/RAPEX, hvilket svarer til den anslåede maksimale livscyklus for produktkategorier som elektriske apparater eller motorkøretøjer.

Legitime anmodninger fra registrerede om at få deres oplysninger blokeret, berigtiget eller slettet efterkommes af Kommissionen senest en måned efter modtagelsen af anmodningen.

7.    Ansvar for manglende overholdelse

Kommissionen er ansvarlig for manglende overholdelse, jf. kapitel VIII i forordning (EU) 2018/1725.

EU-medlemsstaterne er ansvarlige for manglende overholdelse, jf. kapitel VIII i forordning (EU) 2016/679.

8.    Samarbejde mellem de fælles dataansvarlige

Hver fælles dataansvarlig skal efter anmodning yde hurtig og effektiv bistand til den anden fælles dataansvarlige eller de andre fælles dataansvarlige i forbindelse med gennemførelsen af denne afgørelse under overholdelse af henholdsvis alle gældende krav i forordning (EU) 2018/1725 og forordning (EU) 2016/679 samt andre gældende databeskyttelsesregler.

9.    Bilæggelse af tvister

De fælles dataansvarlige bestræber sig på at bilægge enhver tvist, der opstår som følge af eller i forbindelse med fortolkningen eller anvendelsen af denne afgørelse, i mindelighed.

Hvis der på et hvilket som helst tidspunkt opstår et spørgsmål, en tvist eller en uoverensstemmelse mellem de fælles dataansvarlige, der knytter sig til eller har forbindelse med denne afgørelse, bestræber de fælles dataansvarlige sig på at finde en løsning ved hjælp af en konsultationsproces.

Det foretrækkes, at alle tvister bilægges på operationelt plan, efterhånden som de opstår, og at de bilægges af de kontaktpunkter omhandlet i punkt 10 i dette bilag og opført på det offentlige Europa-websted Safety Gate.

Formålet med konsultationen er så vidt muligt at gennemgå og nå til enighed om, hvilke tiltag der skal træffes for at løse det opståede problem, og de fælles dataansvarlige forhandler med hinanden i god tro med henblik herpå. Hver enkelt fælles kontrolansvarlig besvarer en anmodning om mindelig bilæggelse senest syv arbejdsdage efter, at der er fremsat en sådan anmodning. Fristen for at nå frem til en mindelig løsning er 30 arbejdsdage fra datoen for anmodningen.

Hvis tvisten ikke kan bilægges i mindelighed, kan hver enkelt fælles dataansvarlig indlede en mæglingsprocedure og/eller retslig procedure på følgende måde:

a)	i tilfælde af mægling udpeger de fælles dataansvarlige i fællesskab en mægler, som hver enkelt af dem kan acceptere, og som skal være ansvarlig for at lette bilæggelsen af tvisten senest to måneder efter, at tvisten er blevet henvist til vedkommende

b)	i tilfælde af retssager henvises sagen til Den Europæiske Unions Domstol i overensstemmelse med artikel 272 i traktaten om Den Europæiske Unions funktionsmåde.

10.    Kontaktpunkter for samarbejde mellem de fælles dataansvarlige

Hver enkelt fælles dataansvarlig udpeger et enkelt kontaktpunkt, som andre fælles dataansvarlige skal kontakte i forbindelse med forespørgsler, klager og videregivelse af oplysninger inden for rammerne af denne afgørelse,

En detaljeret liste over alle kontaktpunkter, der er udpeget af Kommissionen og de nationale myndigheder i EU/EØS-landene med deres kontaktoplysninger (efternavn, navn, myndighed, myndigheds adresse, telefon, fax, e-mail) findes på det offentlige Europa-websted Safety Gate.