(1)

Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (»Chartret«) og artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde fastsættes det, at enhver har ret til beskyttelse af personoplysninger om vedkommende selv. I artikel 8, stk. 2, i chartret bestemmes det, at sådanne oplysninger skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag. [Ændring 1]

(2)

Personoplysninger behandles for menneskets skyld; principperne og reglerne om beskyttelse af fysiske personer med hensyntil behandling af deres personoplysninger bør uanset de fysiske personers nationalitet eller bopæl respektere deres grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger. Behandlingen af personoplysninger bør bidrage til skabelsen af et område med frihed, sikkerhed og retfærdighed.

(3)

Den hastige teknologiske udvikling og globaliseringen har skabt nye udfordringer for beskyttelsen af personoplysninger. Omfanget af dataindsamling og -deling er steget drastisk. Teknologien giver offentlige myndigheder mulighed for at udnytte personoplysninger i et hidtil uset omfang, når de udøver deres aktiviteter.

(4)

Hvor det er påkrævet og rimeligt , er det i denne forbindelse nødvendigt at lette den frie udveksling af oplysninger mellem kompetente myndigheder i EU Unionen og videregivelsen af oplysninger til tredjelande og internationale organisationer, samtidig med at der sikres et højt niveau for beskyttelse af personoplysninger. Denne udvikling kræver, at der opbygges en stærk og mere sammenhængende databeskyttelsesramme i EU Unionen , som understøttes af en effektiv håndhævelse. [Ændring 2]

(5)

Europa-Parlamentets og Rådets direktiv 95/46/EF (3) finder anvendelse på enhver behandling af personoplysninger i medlemsstaterne både i den offentlige sektor og i den private sektor. Det finder dog ikke anvendelse på behandling af personoplysninger ved aktiviteter på områder, der ikke er omfattet af EU-retten, såsom retligt samarbejde i straffesager og politisamarbejde.

(6)

Rådets rammeafgørelse 2008/977/RIA (4) finder anvendelse inden for retligt samarbejde i straffesager og politisamarbejde. Denne rammeafgørelses anvendelsesområde er begrænset til behandling af personoplysninger, der videregives eller stilles til rådighed mellem medlemsstater.

(7)

Det er vigtigt at sikre et ensartet og højt niveau for beskyttelse af fysiske personers personoplysninger og gøre det lettere at udveksle personoplysninger mellem medlemsstaternes kompetente myndigheder for at sikre et effektivt retligt samarbejde i straffesager og politisamarbejde. Med det formål skal niveauet for beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner være det samme i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet i hele Unionen. For at sikre en effektiv beskyttelse af personoplysninger i Unionen er det nødvendigt at styrke de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler personoplysninger, men der skal også gives tilsvarende beføjelser til at kontrollere og sikre overholdelsen af reglerne om beskyttelse af personoplysninger i medlemsstaterne. [Ændring 3]

(8)

Artikel 16, stk. 2, i traktaten om Den Europæiske Unions funktionsmåde giver Europa-Parlamentet og Rådet beføjelse til at fastsætte regler for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler for den frie udveksling af deres personoplysninger. [Ændring 4]

(9)

I Europa-Parlamentets og Rådets forordning (EU) nr. …/2014 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse) fastsættes der generelle regler med det formål at beskytte fysiske personer i forbindelse med behandling af personoplysninger og sikre fri udveksling af personoplysninger i Unionen.

(10)

I erklæring 21 om beskyttelse af personoplysninger på området retligt samarbejde i straffesager og politisamarbejde, knyttet som bilag til slutakten fra den regeringskonference, der vedtog Lissabontraktaten, erkendte konferencen, at det kan blive nødvendigt med specifikke regler om beskyttelse af personoplysninger og om fri udveksling af disse oplysninger inden for retligt samarbejde i straffesager og politisamarbejde baseret på artikel 16 i traktaten om Den Europæiske Unions funktionsmåde som følge af disse områders specifikke karakter.

(11)

Der bør således vedtages et særskilt specifikt direktiv, hvori der tages højde for disse områders specifikke karakter og fastsættes regler for beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner. [Ændring 5]

(12)

For at sikre et ensartet beskyttelsesniveau for fysiske personer ved hjælp af rettigheder, der kan håndhæves retsligt i hele Unionen, og for at forhindre forskelle, der kan hæmme den frie udveksling af oplysninger mellem kompetente myndigheder, bør dette direktiv sikre harmoniserede regler for beskyttelse og fri udveksling af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde.

(13)

Dette direktiv giver mulighed for, at der tages hensyn til princippet om aktindsigt i officielle dokumenter, når direktivets bestemmelser anvendes.

(14)

Den beskyttelse, som dette direktiv giver i forbindelse med behandling af personoplysninger, bør omfatte fysiske personer uanset nationalitet eller bopæl.

(15)

Beskyttelsen af fysiske personer bør være teknologineutral og må ikke afhænge af de anvendte teknikker, da der ellers vil være alvorlig risiko for omgåelse. Beskyttelsen af fysiske personer bør gælde for både automatisk og manuel behandling af personoplysninger, hvis oplysningerne er indeholdt eller påtænkes indeholdt i et register. Sagsmapper eller samlinger af sagsmapper eller deres forsider, som ikke er struktureret efter bestemte kriterier, henhører ikke under dette direktivs anvendelsesområde. Dette direktiv bør ikke finde anvendelse på behandlingen af personoplysninger i forbindelse med en aktivitet, der falder uden for EU-rettens anvendelsesområde, særlig vedrørende national sikkerhed, eller på data, der behandles af EU-institutioner, -organer, -kontorer og -agenturer såsom Europol eller Eurojust. Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001  (5) og de særlige retlige instrumenter, som gælder for Unionens agenturer, organer eller kontorer bør bringes i overensstemmelse med dette direktiv og anvendes i overensstemmelse med dette direktiv. [Ændring 6]

(16)

Principperne om databeskyttelse bør gælde for alle former for oplysninger om en identificeret eller identificerbar fysisk person. For at afgøre, om en fysisk person er identificerbar, bør alle de hjælpemidler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere eller udpege den pågældende enten af den registeransvarlige eller af enhver anden person. Beskyttelsesprincipperne bør ikke gælde oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres. Dette direktiv bør ikke finde anvendelse på anonyme oplysninger , dvs. oplysninger, der ikke direkte, indirekte, alene eller i forbindelse med lignende oplysninger kan forbindes med en fysisk person. Som følge af omfanget af de udviklingstendenser, der er på vej inden for informationssamfundet, teknikkerne, der anvendes til at indfange, transmittere, registrere, lagre eller formidle positionsdata vedrørende fysiske personer, som kan anvendes til forskellige formål som f.eks. overvågning eller oprettelse af profiler, bør dette direktiv også finde anvendelse på behandling af sådanne personoplysninger . [Ændring 7]

(16a)

Enhver behandling af personoplysninger skal være lovlig, rimelig og gennemskuelig i forhold til de berørte personer. De specifikke formål med behandlingen af oplysningerne bør navnlig være udtrykkelige og legitime og fremgå, når personoplysningerne indsamles. Personoplysningerne bør være passende, relevante og begrænset til det minimum, der er nødvendigt til formålene med behandlingen af personoplysningerne. Dette kræver navnlig, at man begrænser de indsamlede oplysninger, og at perioden for opbevaring af oplysningerne begrænses til det kortest mulige. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke kan opfyldes på anden måde. Der bør træffes enhver rimelig foranstaltning for at sikre, at personoplysninger, som er urigtige, berigtiges eller slettes. For at sikre, at oplysningerne ikke opbevares i længere tid end nødvendigt, bør den registeransvarlige indføre tidsfrister for sletning eller periodisk gennemgang. [Ændring 8]

(17)

Personlige helbredsoplysninger bør navnlig omfatte alle oplysninger om den registreredes helbredstilstand, oplysninger om registrering af personen med henblik på modtagelse af sundhedsydelser, oplysninger om betaling for eller berettigelse til sundhedsydelser for så vidt angår personen, et nummer, symbol eller særligt mærke, der tildeles en person for entydigt at identificere personen i sundhedsanliggender, enhver oplysning om personen, som indsamles i tilknytning til leveringen af sundhedsydelser til personen, oplysninger, der hidrører fra prøver eller undersøgelser af en legemsdel eller legemlig substans, herunder biologiske prøver, identifikation af en person som leverandør af sundhedsydelser til en person og alle oplysninger om f.eks. en sygdom, et handicap, en sygdomsrisiko, sygehistorie, hospitalsbehandling eller den registreredes faktiske fysiologiske eller biomedicinske tilstand uafhængigt af, hvad kilden til oplysningerne er, f.eks. en læge eller andet lægeligt personale, et hospital, medicinsk udstyr eller en in vitro-diagnostik.

(18)

Enhver behandling af personoplysninger skal være rimelig og lovlig i forhold til de berørte personer. De specifikke formål med behandlingen af oplysningerne bør navnlig være eksplicitte. [Ændring 9]

(19)

Med henblik på forebyggelse, efterforskning og retsforfølgning af straffelovovertrædelser er det nødvendigt, at de kompetente myndigheder gemmer personoplysninger, der er indsamlet i forbindelse med forebyggelse, efterforskning, opdagelse eller retsforfølgning af specifikke straffelovsovertrædelser, og behandler dem i en bredere kontekst for derved at få en forståelse af kriminelle fænomener og tendenser, at indsamle efterretningsoplysninger om organiserede kriminelle netværk og at sammenkoble forskellige opdagede overtrædelser. [Ændring 10]

(20)

Personoplysningerne bør ikke behandles til formål, der er uforenelige med det formål, hvortil de blev indsamlet. Personoplysninger bør være hensigtsmæssige, relevante og ikke for omfattende i forhold til de formål, hvortil de behandles. Der bør træffes enhver rimelig foranstaltning for at sikre, at personoplysninger, som er urigtige, berigtiges eller slettes. [Ændring 11]

(20a)

Det simple faktum, at to formål begge har relation til at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, betyder ikke nødvendigvis, at de er forenelige. Der er dog tilfælde, hvor yderligere behandling til formål, der er uforenelige, bør være mulig, hvis det er nødvendigt for at opfylde en retlig forpligtelse, der påhviler den registeransvarlige, for at beskytte den registreredes eller en anden persons vitale interesser eller for at afværge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed. Medlemsstaterne bør derfor kunne vedtage nationale love, der giver mulighed for sådanne undtagelser i det omfang, det er strengt nødvendigt. Sådanne nationale love bør indeholde tilstrækkelige sikkerhedsforanstaltninger. [Ændring 12]

(21)

Princippet om oplysningernes rigtighed bør anvendes på en måde, så der tages hensyn til den pågældende behandlings art og formål. Navnlig i retssager er udsagn, der indeholder personoplysninger, baseret på en subjektiv opfattelse af enkeltpersoner, og det er i visse tilfælde ikke altid muligt at kontrollere dem. Kravet om oplysningernes rigtighed bør derfor ikke vedrøre et udsagns rigtighed, men blot det forhold, at der er fremsat et specifikt udsagn.

(22)

Ved fortolkningen og anvendelsen af de generelle principper for kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner bør der tages højde for de særlige forhold i denne sektor, herunder de specifikke mål, der forfølges. [Ændring 13]

(23)

Behandling af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde indebærer i sagens natur behandling af personoplysninger om forskellige kategorier af registrerede. Der bør således så vidt muligt sondres klart mellem personoplysninger om forskellige kategorier af registrerede såsom mistænkte, personer, der er dømt for en straffelovsovertrædelse, ofre eller tredjeparter som f.eks. vidner, personer, der ligger inde med relevante oplysninger, eller mistænktes og dømte kriminelles kontaktpersoner og associerede. Medlemsstaterne bør tilvejebringe specifikke regler for konsekvenserne af denne kategorisering og derved tage hensyn til de forskellige målsætninger, der indsamles oplysninger til, og sørge for specifikke sikkerhedsforanstaltninger for personer, der ikke er mistænkte eller ikke er dømt for en straffelovsovertrædelse . [Ændring 14]

(24)

Der bør så vidt muligt sondres mellem forskellige kategorier af oplysninger ud fra, i hvor høj grad disse er korrekte og pålidelige. Der bør sondres mellem kendsgerninger og personlige vurderinger for både at sikre beskyttelsen af fysiske personer og kvaliteten og pålideligheden af de oplysninger, der behandles af de kompetente myndigheder.

(25)

For at være lovlig bør en behandling af personoplysninger være kun være tilladt, når den er nødvendig for at overholde en retlig forpligtelse, som gælder for den registeransvarlige, eller nødvendig af hensyn til en kompetent myndigheds lovbestemte udførelse af en opgave i samfundets interesse eller for at beskytte den registreredes eller en anden persons vitale interesser eller forebygge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed i henhold til EU-retten eller national lovgivning, der som minimum bør indeholde udtrykkelige og detaljerede bestemmelser vedrørende formål, personoplysninger, de specifikke formål og midler, udpege eller give mulighed for at udpege den registeransvarlige, de procedurer, der skal følges og begrænsninger af eventuelle beføjelser, som overdrages til de kompetente myndigheder i forbindelse med behandlingen. [Ændring 15]

(25a)

Personoplysningerne bør ikke behandles til formål, der er uforenelige med det formål, hvortil de blev indsamlet. Yderligere behandling foretaget af de kompetente myndigheder med et formål, der falder inden for dette direktivs anvendelsesområde, bør kun tillades i specifikke tilfælde, hvor denne behandling er nødvendig for at overholde en retlig forpligtelse i henhold til EU-retten eller medlemsstatens lovgivning, som gælder for den registeransvarlige, eller for at beskytte den registreredes eller en anden persons vitale interesser eller forebygge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed. Det forhold, at oplysningerne behandles med henblik på retshåndhævelse indebærer ikke nødvendigvis, at dette formål er foreneligt med det oprindelige formål. Princippet om forenelig anvendelse skal fortolkes restriktivt. [Ændring 16]

(25b)

Personoplysninger, der behandles i strid med de nationale bestemmelser, der er vedtaget i henhold til dette direktiv, må ikke behandles yderligere. [Ændring 17]

(26)

Personoplysninger, der i kraft af deres karakter er særligt følsomme og sårbare i forbindelse med grundlæggende rettigheder eller beskyttelse af privatlivets fred, bør nyde særlig beskyttelse. Sådanne oplysninger må ikke behandles, medmindre behandlingen er fastsat i lovgivningen, nødvendig med henblik på udførelsen af en opgave , der udføres i almen interesse, på grundlag af EU-retten eller medlemsstatens lovgivning, som indeholder passende bestemmelser til beskyttelse af den registreredes grundlæggende rettigheder og legitime interesser eller behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser eller vedrører oplysninger, som tydeligvis offentliggøres af den registrerede. Følsomme personoplysninger bør kun behandles, hvis de supplerer andre personoplysninger, der allerede behandles som led i en politiefterforskning. Enhver undtagelse fra forbuddet mod behandling af følsomme oplysninger bør fortolkes restriktivt og må ikke føre til hyppig, omfattende og systematisk behandling af følsomme personoplysninger. [Ændring 18]

(26a)

Behandlingen af genetiske oplysninger bør kun være tilladt, hvis der findes en genetisk sammenhæng, der viser sig i forbindelse med efterforskningen af en forbrydelse eller med en retssag. Genetiske oplysninger bør kun opbevares, så længe det er strengt nødvendigt til brug for disse undersøgelser og retssager, men medlemsstaterne kan give tilladelse til opbevaring i en længere periode på de betingelser, der opstilles i dette direktiv. [Ændring 19]

(27)

Enhver fysisk person bør have ret til ikke at blive gjort til genstand for en foranstaltning, der er baseret på udelukkende delvis eller fuldstændig profilering ved hjælp af automatisk databehandling. En sådan behandling , der har negative retlige virkninger eller alvorlige konsekvenser for den pågældende, bør forbydes, medmindre dette er tilladt ved lov og omfattet af passende foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og legitime interesser, herunder retten til at få udleveret relevante oplysninger om den logik, der er anvendt i forbindelse med profileringen . En sådan behandling bør under ingen omstændigheder indeholde, skabe eller diskriminere på baggrund af særlige kategorier af oplysninger. [Ændring 20]

(28)

For at den registrerede kan udøve sine rettigheder, bør alle oplysninger om den registrerede være nemt tilgængelige og letforståelige, bl.a. at der benyttes et klart og forståeligt sprog. Disse oplysninger bør tilpasses den registreredes behov, navnlig når oplysningerne er specifikt rettet mod et barn. [Ændring 21]

(29)

Der bør fastsættes nærmere bestemmelser, som kan lette de registreredes udøvelse af deres rettigheder i henhold til dette direktiv, herunder systemer til uden udgifter at anmode om indsigt i eller berigtigelse og sletning af personoplysninger. Den registeransvarlige bør være forpligtet til at besvare sådanne anmodninger fra den registrerede uden unødig forsinkelse og senest en måned efter modtagelsen af anmodningen. Såfremt personoplysninger behandles automatisk, skal den registeransvarlige gøre det muligt at fremsætte anmodninger elektronisk. [Ændring 22]

(30)

I henhold til princippet om rimelig og gennemskuelig behandling skal den registrerede navnlig informeres om en behandlings eksistens og dens formål, dens retsgrundlag , hvor længe oplysningerne opbevares, hvorvidt der gives ret til at få indsigt i og foretage berigtigelse og sletning af oplysninger, og om retten til at indgive klage. Desuden bør den registrerede underrettes om en eventuel profilering, og om de tilsigtede konsekvenser . Hvis oplysningerne indsamles hos den registrerede, bør den registrerede også oplyses om, hvorvidt vedkommende er forpligtet til at afgive sådanne oplysninger, og om konsekvenserne, hvis vedkommende ikke afgiver sådanne oplysninger. [Ændring 23]

(31)

Oplysningerne om behandlingen af den registreredes personoplysninger bør gives til den registrerede på tidspunktet for indsamlingen, eller, hvis oplysningerne ikke indsamles hos den registrerede, på tidspunktet for registreringen eller inden for et rimeligt tidsrum efter indsamlingen under hensyn til de særlige forhold, hvorunder personoplysningerne behandles.

(32)

Enhver bør have ret til indsigt i oplysninger, der er indsamlet om den pågældende, og til let at udøve denne ret med henblik på at forvisse sig om oplysningernes eksistens og behandlingens lovlighed. Enhver registreret bør derfor navnlig have ret til at kende og blive underrettet om det formål, hvortil oplysningerne behandles, retsgrundlaget , hvor lang tid de gemmes, og hvem modtagerne af oplysningerne er, herunder tredjelande, samt til at få tilstillet forståelige oplysninger om den logik, der anvendes i forbindelse med automatisk behandling, og i givet fald om de væsentligste tilsigtede konsekvenser samt om retten til at indgive en klage til tilsynsmyndigheden og dennes kontaktoplysninger. Registrerede bør have ret til at få en kopi af de personoplysninger, der behandles. [Ændring 24]

(33)

Medlemsstaterne bør have beføjelse til at træffe lovgivningsmæssige foranstaltninger, der udsætter eller begrænser informeringen af de registrerede eller deres ret til indsigt i oplysningerne, i det omfang en sådan delvis eller fuldstændig begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den pågældende persons grundlæggende rettigheder og legitime interesser, for at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, for at undgå, at forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af straffelovsovertrædelser skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner, for at beskytte den offentlige sikkerhed eller den nationale sikkerhed eller for at beskytte den registreredes interesser eller andres rettigheder og frihedsrettigheder. Den registeransvarlige bør gennem en konkret og individuel undersøgelse af de enkelte tilfælde vurdere, hvorvidt der bør foretages en delvis eller fuldstændig begrænsning af retten til adgang. [Ændring 25]

(34)

Enhver begrænsning af den registreredes rettigheder bør meddeles den registrerede skriftligt, herunder de faktuelle eller retlige årsager til beslutningen.

(34a)

Enhver begrænsning af den registreredes rettigheder skal være i overensstemmelse med chartret og med den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder som præciseret i retspraksis ved Den Europæiske Unions Domstol og Den Europæiske Menneskerettighedsdomstol og navnlig respekten for ånden i rettighederne og frihedsrettighederne. [Ændring 26]

(35)

Når medlemsstaterne har truffet lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser retten til indsigt i personoplysninger, bør den registrerede have ret til at anmode om, at den kompetente nationale tilsynsmyndighed kontrollerer, at behandlingen af oplysningerne er lovlig. Den registrerede skal oplyses om denne rettighed. Hvis retten til indsigt udøves af tilsynsmyndigheden på vegne af den registrerede, bør den pågældende tilsynsmyndighed som minimum underrette den registrerede om, at tilsynsmyndigheden har foretaget den nødvendige kontrol, og om hvorvidt den pågældende behandling er lovlig. Tilsynsmyndigheden bør også oplyse den registrerede om retten til domstolsprøvelse. [Ændring 27]

(36)

Enhver person bør have ret til at få berigtiget urigtige eller ulovligt behandlede personoplysninger og til at få slettet oplysninger, hvis behandlingen af sådanne oplysninger ikke er i overensstemmelse med hovedprincipperne bestemmelserne i dette direktiv. En sådan berigtigelse, supplering eller sletning skal meddeles modtagerne af oplysningerne og tredjemand, hvorfra de urigtige oplysninger stammer. Den registeransvarlige skal også afstå fra yderligere videregivelse af sådanne oplysninger. Når personoplysningerne behandles under en strafferetlig efterforskning og straffesag kan retten til berigtigelse, retten til information, retten til indsigt i eller sletning af oplysningerne eller begrænsning af behandlingen heraf foretages i henhold til de nationale retsplejeregler. [Ændring 28]

(37)

Der bør fastsættes bestemmelser om den registeransvarliges overordnede ansvar, herunder erstatningsansvar, for den behandling af personoplysninger, der foretages af den registeransvarlige eller på vegne af den registeransvarlige. Den registeransvarlige bør navnlig sikre og være forpligtet til at kunne dokumentere, at behandlingen den enkelte behandling er i overensstemmelse de bestemmelser, der vedtages til gennemførelse af dette direktiv. [Ændring 29]

(38)

Beskyttelsen af de registreredes rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger kræver, at der træffes de fornødne tekniske og organisatoriske foranstaltninger for at sikre, at dette direktivs krav opfyldes. For at sikre overholdelsen af de bestemmelser, der vedtages til gennemførelse af dette direktiv, bør den registeransvarlige fastlægge strategier og gennemføre passende foranstaltninger, som navnlig er i overensstemmelse med principperne om indbygget databeskyttelse og databeskyttelse gennem indstillinger.

(39)

Beskyttelsen af registreredes rettigheder og frihedsrettigheder samt registeransvarliges og registerføreres ansvar kræver en klar fordeling af ansvarsområderne under dette direktiv, herunder når en registeransvarlig afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger sammen med andre registeransvarlige, eller når en behandling foretages på vegne af en registeransvarlig. Den registrerede bør have ret til at udøve sine rettigheder i henhold til dette direktiv over for og i forhold til hver af de fælles registeransvarlige. [Ændring 30]

(40)

Den registeransvarlige eller registerføreren bør dokumentere behandlingen, således at det kan kontrolleres, at den er i overensstemmelse med dette direktiv. Den registeransvarlige og registerføreren bør have pligt til at samarbejde med tilsynsmyndigheden og efter anmodning stille denne dokumentation til rådighed for tilsynsmyndigheden, så den kan bruges i forbindelse med kontrollen af behandlingen.

(40a)

Alle behandlinger af personoplysninger bør registreres for at det kan kontrolleres, om behandlingen er lovlig, samt med henblik på at udøve egenkontrol og sikre dataenes integritet og sikkerhed. Disse registreringsoplysninger bør kunne rekvireres af tilsynsmyndigheden med henblik på kontrol af overholdelsen af kravene i dette direktiv. [Ændring 31]

(40b)

Den tilsynsførende eller den registeransvarlige bør foretage en konsekvensanalyse af databeskyttelsen, hvis behandlingen af personoplysninger sandsynligvis vil indebære specifikke risici for den registreredes rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål, som navnlig bør omfatte de planlagte foranstaltninger, sikkerhedsforanstaltninger og mekanismer til beskyttelse af personoplysninger samt til dokumentation af overholdelsen af dette direktiv. Konsekvensanalyserne bør vedrøre relevante systemer og processer i forbindelse med behandling af personoplysninger, men ikke enkeltsager. [Ændring 32]

(41)

For at sikre en effektiv beskyttelse af de registreredes rettigheder og frihedsrettigheder ved hjælp af forebyggende foranstaltninger bør den registeransvarlige eller registerføreren i visse tilfælde høre tilsynsmyndigheden inden behandlingen. Hvis en konsekvensanalyse vedrørende databeskyttelse desuden viser, at behandlingen efter al sandsynlighed vil involvere en høj grad af specifikke risici for registreredes rettigheder og frihedsrettigheder, bør tilsynsmyndigheden inden iværksættelse af behandlingsaktiviteter kunne forhindre en risikobehæftet behandling, der ikke er i overensstemmelse med dette direktiv, og fremsætte forslag til afhjælpning af en sådan situation. En sådan høring kan ligeledes gennemføres som led i udarbejdelsen af en lovgivningsmæssig foranstaltning, der vedtages af det nationale parlament, eller af en anden foranstaltning med hjemmel i en sådan lovgivningsmæssig foranstaltning, som fastlægger karakteren af behandlingen og indfører de fornødne garantier. [Ændring 33]

(41a)

For at opretholde sikkerheden og forhindre behandling, som er i strid med dette direktiv, bør den registeransvarlige eller registerføreren foretage en evaluering af risici i forbindelse med behandlingen og træffe foranstaltninger til at mindske disse risici. Disse foranstaltninger bør sikre et tilstrækkeligt sikkerhedsniveau under hensyntagen til den seneste teknologiske udvikling og omkostningerne ved gennemførelsen af dem sammenholdt med risikoen og arten af de oplysninger, der bør beskyttes. I forbindelse med fastsættelsen af tekniske standarder og organisatoriske foranstaltninger for at garantere sikkerheden i forbindelse med behandlingen, bør der tilstræbes teknologisk neutralitet. [Ændring 34]

(42)

Brud på persondatasikkerheden kan bl.a. skade påføre den berørte persons omdømme person betydelige økonomiske tab og sociale problemer, herunder identitetsbedrageri, hvis ikke de rettidigt afhjælpes på betryggende vis. Så snart den registeransvarlige bliver opmærksom på, at der er sket et sådant sikkerhedsbrud, bør vedkommende derfor anmelde bruddet til den kompetente nationale tilsynsmyndighed. Fysiske personer, hvis personoplysninger og ret til beskyttelse af privatlivets fred kunne blive krænket af sådanne brud, bør uden unødig forsinkelse underrettes, så de kan træffe de nødvendige forholdsregler. Et brud bør anses for at krænke den fysiske persons personoplysninger og ret til beskyttelse af privatlivets fred, hvis det kan indebære f.eks. identitetstyveri eller svig, fysisk skade, betydelig tort eller skade af omdømme i forbindelse behandlingen af personoplysninger. Anmeldelsen bør indeholde oplysninger om, hvilke foranstaltninger udbyderen har sat i værk for at afhjælpe bruddet på sikkerheden, og anbefalinger til den berørte abonnent eller fysiske person. Underretninger til registrerede bør gives så snart, det er muligt, og i tæt samarbejde med tilsynsmyndigheden og bør overholde retningslinjer, der er opstillet af denne. [Ændring 35]

(43)

Når der fastsættes nærmere regler for, hvilket format og hvilke procedurer der skal anvendes ved anmeldelse af brud på persondatasikkerheden, bør der tages behørigt hensyn til omstændighederne ved sikkerhedsbruddet, herunder om personoplysningerne var beskyttet ved passende tekniske beskyttelsesforanstaltninger, der effektivt begrænser sandsynligheden for misbrug. Sådanne regler og procedurer bør desuden tage hensyn til de kompetente myndigheders legitime interesser, hvis tidlig anmeldelse kunne udgøre en unødvendig hæmsko for efterforskningen af omstændighederne ved et sikkerhedsbrud.

(44)

Den registeransvarlige eller registerføreren bør udpege en person, der skal bistå den registeransvarlige eller registerføreren med at overvåge og påvise , at behandlingen er i overensstemmelse med de bestemmelser, der vedtages til gennemførelse af dette direktiv. Når flere kompetente myndigheder er underlagt en central myndigheds kontrol, bør den pågældende centrale myndighed i det mindste udpege en sådan databeskyttelsesansvarlig. Den databeskyttelsesansvarlige skal være i stand til at udøve sit hverv uafhængigt og effektivt, navnlig ved at indføre regler til forhindring af interessekonflikter med andre opgaver, der udføres af den databeskyttelsesansvarlige. [Ændring 36]

(45)

Medlemsstaterne bør sikre, at videregivelse af personoplysninger til et tredjeland kun sker, hvis det denne specifikke videregivelse er nødvendig for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, og den registeransvarlige i det pågældende tredjeland eller den pågældende internationale organisation er en kompetent offentlig myndighed som defineret i dette direktiv. Der kan finde videregivelse sted i de tilfælde, hvor Kommissionen har afgjort, at det pågældende tredjelande eller den pågældende internationale organisation sikrer et passende beskyttelsesniveau, hvis det godtgøres, at der er indført passende beskyttelsesforanstaltninger eller passende beskyttelsesforanstaltninger i form af et juridisk bindende instrument. Oplysninger, der videregives til kompetente offentlige myndigheder i tredjelande, bør ikke behandles yderligere til andre formål end det, de blev videregivet til. [Ændring 37]

(45a)

Yderligere videregivelse fra kompetente myndigheder i tredjelande eller internationale organisationer, hvortil personoplysninger er blevet videregivet, bør kun tillades, hvis videregivelsen er nødvendig til samme specifikke formål som den originale videregivelse, og den anden modtager også er en kompetent offentlig myndighed. Yderligere videregivelser bør ikke være tilladt til generelle retshåndhævelsesformål. Den kompetente myndighed, som foretog den oprindelige videregivelse, bør have godkendt videregivelsen. [Ændring 38]

(46)

Kommissionen kan med virkning for hele Unionen afgøre, at visse tredjelande, et område, en behandlingssektor i et tredjeland eller en international organisation har et tilstrækkeligt databeskyttelsesniveau, og dermed skabe retssikkerhed og ensartethed i hele Unionen, hvad angår tredjelande eller internationale organisationer, der vurderes at have et sådant beskyttelsesniveau. I disse tilfælde kan personoplysninger videregives til disse lande uden krav om yderligere godkendelse.

(47)

I overensstemmelse med de grundlæggende værdier, som Unionen er baseret på, navnlig beskyttelsen af menneskerettighederne, bør Kommissionen overveje, hvorvidt det pågældende tredjeland respekterer retsstatsprincippet, adgangen til klage og domstolsprøvelse samt internationale menneskerettighedsstandarder.

(48)

Kommissionen bør ligeledes kunne fastslå, at et tredjeland eller et område eller en behandlingssektor i det pågældende tredjeland eller en international organisation ikke har et tilstrækkeligt databeskyttelsesniveau. I så fald bør videregivelsen af personoplysninger til det pågældende tredjeland forbydes, undtagen hvis videregivelsen sker på grundlag af en international aftale, passende beskyttelsesforanstaltninger eller en undtagelse. Der bør fastsættes bestemmelser om høringsprocedurer mellem Kommissionen og de pågældende tredjelande eller internationale organisationer. En sådan kommissionsafgørelse bør imidlertid ikke påvirke muligheden for at videregive oplysninger på grundlag af passende beskyttelsesforanstaltninger ved hjælp af juridisk bindende instrumenter eller på grundlag af en undtagelse, der er fastsat i dette direktiv. [Ændring 39]

(49)

Videregivelser af oplysninger, der ikke er baseret på en sådan afgørelse om tilstrækkeligheden af beskyttelsesniveauet, bør kun tillades, hvis der er indført de fornødne garantier i et retligt bindende instrument, der sikrer beskyttelsen af personoplysninger, eller hvis den registeransvarlige eller registerføreren har vurderet samtlige de forhold, der har indflydelse på en videregivelse eller en serie af videregivelser af personoplysninger, og som på grundlag af denne vurdering konkluderer, at de fornødne garantier for beskyttelsen af personoplysninger er til stede. I sager, hvor der ikke findes årsager til at tillade videregivelse af oplysninger, bør der indrømmes undtagelser, hvis det er nødvendigt for at beskytte den registreredes eller en anden persons vitale interesser eller beskytte den registreredes legitime interesser, hvis det er fastsat i lovgivningen i den medlemsstat, der videregiver personoplysninger, eller hvis det er vigtigt for at forebygge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed eller i enkeltsager med henblik på forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner eller i enkeltsager med henblik på at fastslå et retskrav eller gøre det gældende eller forsvare det ved en domstol. [Ændring 40]

(49a)

I sager, hvor der ikke findes årsager til at tillade videregivelse af oplysninger, bør der indrømmes undtagelser, hvis det er nødvendigt for at beskytte den registreredes eller en anden persons vitale interesser eller beskytte den registreredes legitime interesser, såfremt der er hjemmel herfor i lovgivningen i den medlemsstat, der videregiver personoplysninger, eller hvis det er vigtigt for at forebygge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed eller, i enkeltsager, med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner eller, i enkeltsager, med henblik på at fastslå et retskrav eller gøre det gældende eller forsvare det ved en domstol. Disse undtagelser bør fortolkes restriktivt og bør ikke give mulighed for hyppig, omfattende og strukturel overførsel af personoplysninger og bør ikke give mulighed for generel dataoverførsel, men begrænses til de data, der er strengt nødvendige. Desuden bør beslutningen om overførsel af personoplysninger træffes af en dertil behørigt bemyndiget person, og overførslen skal dokumenteres og kunne rekvireres af tilsynsmyndigheden, hvis denne anmoder om det, for at give mulighed for at kontrollere overførslens lovlighed. [Ændring 41]

(50)

Når personoplysninger overføres på tværs af grænserne, kan det medføre yderligere risici for fysiske personers mulighed for at udøve deres databeskyttelsesrettigheder og beskytte sig mod ulovlig brug eller videregivelse af disse oplysninger. Samtidig må tilsynsmyndighederne i nogle tilfælde konstatere, at de ikke kan indgive klager eller gennemføre undersøgelser vedrørende aktiviteter uden for deres grænser. Samarbejdet på tværs af grænserne kan også hæmmes af utilstrækkelige forebyggende eller afhjælpende beføjelser eller uensartede retlige bestemmelser. Der er derfor et behov for tættere samarbejde mellem databeskyttelsesmyndigheder for at lette udvekslingen af oplysninger i samarbejde med tilsvarende udenlandske organer.

(51)

Oprettelsen af tilsynsmyndigheder i medlemsstaterne, som udøver deres hverv i fuld uafhængighed, har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger. Tilsynsmyndighederne bør kontrollere anvendelsen af bestemmelserne i henhold til dette direktiv og bidrage til en ensartet anvendelse i Unionen med det formål at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger. Med henblik herpå bør tilsynsmyndighederne samarbejde med hinanden og med Kommissionen. [Ændring 42]

(52)

Medlemsstaterne kan overdrage ansvaret for de opgaver, som skal udføres af de nationale tilsynsmyndigheder, der oprettes i henhold til dette direktiv, til en tilsynsmyndighed, der allerede er oprettet i medlemsstaterne i henhold til forordning (EU) nr. …/2014.

(53)

Medlemsstaterne bør have mulighed for at oprette mere end én tilsynsmyndighed for at afspejle deres forfatningsmæssige, organisatoriske og administrative struktur. Hver tilsynsmyndighed bør have tilstrækkelige finansielle og menneskelige ressourcer, lokaler og infrastrukturer, herunder teknisk kapacitet, erfaring og færdigheder , til effektivt at udføre deres opgaver, herunder opgaver vedrørende gensidig bistand og samarbejde med andre tilsynsmyndigheder i Unionen. [Ændring 43]

(54)

De generelle betingelser for tilsynsmyndighedens medlemmer bør fastsættes ved lov i hver medlemsstat, og det bør navnlig fastsættes, om disse medlemmer udpeges af parlamentet eller regeringen, efter høring af parlamentet , i den pågældende medlemsstat, og der bør ligeledes fastsættes regler om medlemmernes personlige kvalifikationer og stilling. [Ændring 44]

(55)

Selv om dette direktiv også gælder for de nationale domstoles aktiviteter, bør der af hensyn til domstolenes uafhængighed, når de udfører deres retslige opgaver, ikke tillægges tilsynsmyndighederne kompetence til at behandle personoplysninger, når domstolene handler som led i deres retspleje. Denne undtagelse bør dog begrænses til egentlige retslige aktiviteter i forbindelse med retssager og ikke gælde for andre aktiviteter, som dommere kan inddrages i efter national lovgivning.

(56)

For at sikre en ensartet overvågning og håndhævelse af dette direktiv i hele Unionen bør tilsynsmyndighederne i hver medlemsstat have samme pligter og effektive beføjelser, herunder effektive undersøgelsesbeføjelser, beføjelser til at skaffe sig adgang til alle personoplysninger og alle oplysninger, der er nødvendige for udøvelsen af tilsynsfunktionen, beføjelser til at skaffe sig adgang til den registeransvarliges eller registerførerens lokaler, herunder adgang til oplysninger om databehandlingsudstyr, beføjelser til retligt bindende indgriben og beføjelser til at træffe afgørelser og fastsætte sanktioner, navnlig i tilfælde af klager fra fysiske personer, samt beføjelse til at optræde som part i retssager. [Ændring 45]

(57)

Hver tilsynsmyndighed bør behandle klager, der indgives af registrerede, og undersøge sagen. Undersøgelsen af en klage bør gennemføres med forbehold af domstolsprøvelse, i det omfang det er relevant i det konkrete tilfælde. Tilsynsmyndigheden bør underrette den registrerede om gennemførelsen og resultatet af klagen inden for en rimelig frist. Hvis sagen kræver yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed, bør den registrerede underrettes herom.

(58)

Tilsynsmyndighederne bør bistå hinanden i udøvelsen af deres opgaver og yde gensidig bistand med det formål at sikre en ensartet anvendelse og håndhævelse af de bestemmelser, der vedtages til gennemførelse af dette direktiv. Hver tilsynsmyndighed bør være parat til at deltage i fælles operationer. Den tilsynsmyndighed, der modtager anmodningen, bør være forpligtet til at besvare anmodningen inden for en bestemt frist. [Ændring 46]

(59)

Det Europæiske Databeskyttelsesråd, der er oprettet ved forordning (EU) nr. …/2012 2014 , bør bidrage til en ensartet anvendelse af dette direktiv i Unionen, herunder ved at rådgive Kommissionen EU-institutioner , fremme samarbejdet mellem tilsynsmyndighederne i Unionen og afgive udtalelser til Kommissionen i forbindelse med udarbejdelsen af delegerede retsakter og gennemførelsesretsakter på grundlag af dette direktiv. [Ændring 47]

(60)

Alle registrerede bør have ret til at indgive klage til tilsynsmyndighederne i alle medlemsstater og adgang til domstolsprøvelse, hvis de finder, at deres rettigheder i henhold til dette direktiv er blevet krænket, eller hvis tilsynsmyndigheden ikke reagerer på en klage eller ikke vil handle, hvis dette er nødvendigt for at beskytte den registreredes rettigheder.

(61)

Alle organer, organisationer eller sammenslutninger, der har til formål at beskytte registreredes rettigheder og interesser i forbindelse med beskyttelsen af deres personoplysninger, og som handler i almenhedens interesse, og som er etableret i overensstemmelse med en medlemsstats lovgivning, bør have ret til at indgive klage eller udøve retten til domstolsprøvelse på vegne af den registrerede, hvis denne på behørig vis har givet dem bemyndigelse hertil, eller til uafhængigt af en klage fra den registrerede på egne vegne at indgive klage, hvis de vurderer, at der har fundet et brud på persondatasikkerheden sted. [Ændring 48]

(62)

Enhver fysisk eller juridisk person bør have adgang til domstolsprøvelse af afgørelser truffet af en tilsynsmyndighed vedrørende vedkommende. En sag mod en tilsynsmyndighed bør anlægges ved domstolen i den medlemsstat, hvor tilsynsmyndigheden er etableret.

(63)

Medlemsstaterne bør sikre, at domstolssager — for at være effektive — kan føre til hurtig vedtagelse af foranstaltninger, der kan afhjælpe eller forhindre en overtrædelse af dette direktiv.

(64)

Personer, der lider skade, herunder ikke-økonomisk skade, som følge af en ulovlig behandling, bør kun have ret til erstatning fra den registeransvarlige eller registerføreren, som kun kan fritages for erstatningsansvar, hvis det bevises, at den pågældende ikke er skyld i den forvoldte skade, særlig hvis den pågældende fastslår, at fejlen ligger hos den registrerede, eller i tilfælde af force majeure. [Ændring 49]

(65)

Fysiske eller juridiske personer, der overtræder dette direktiv, bør kunne pålægges sanktioner, uanset om de henhører under privat- eller offentligretlig lovgivning. Medlemsstaterne bør sikre, at sanktionerne er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, og skal træffe alle nødvendige foranstaltninger til at gennemføre sanktionerne.

(65a)

Videregivelse af personoplysninger til andre myndigheder eller private i Unionen er forbudt, medmindre videregivelsen sker i henhold til lovgivningen, modtageren er hjemmehørende i en medlemsstat, ingen legitime og specifikke interesser hos den registrerede hindrer videregivelsen, og videregivelsen er nødvendig i en specifik sag for den registeransvarlige, enten med henblik på udførelsen af en opgave, som denne har fået pålagt i henhold til lovgivningen, eller for at forebygge en umiddelbar og alvorlig risiko for den offentlige sikkerhed eller for at undgå, at privatpersoners rettigheder lider alvorlig skade. Den registeransvarlige bør underrette modtageren om formålet med behandlingen og tilsynsmyndigheden om videregivelsen. Modtageren bør også underrettes om restriktioner for behandlingen og sikre, at disse overholdes. [Ændring 50]

(66)

For at opfylde dette direktivs målsætninger, nemlig at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til beskyttelse af personoplysninger, og sikre fri udveksling af personoplysninger mellem de kompetente myndigheder i Unionen, bør beføjelsen til at vedtage retsakter delegeres til Kommissionen i overensstemmelse med artikel 290 i traktaten om Den Europæiske Unions funktionsmåde. Der bør navnlig vedtages delegerede retsakter med nærmere bestemmelser om anmeldelse for yderligere at fastlægge kriterierne og vilkårene for behandling, som forudsætter en databeskyttelseskonsekvensanalyse , og kriterierne og kravene i forbindelse med brud på persondatasikkerheden til tilsynsmyndigheden samt definere det tilstrækkelige databeskyttelsesniveau, der sikres af et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau og navnlig med Det Europæiske Databeskyttelsesråd . Kommissionen bør i forbindelse med forberedelsen og udarbejdelsen af delegerede retsakter sørge for samtidig, rettidig og hensigtsmæssig fremsendelse af relevante dokumenter til Europa-Parlamentet og Rådet. [Ændring 51]

(67)

For at sikre ensartede betingelser for gennemførelsen af dette direktiv, bør Kommissionen tillægges gennemførelsesbeføjelser for så vidt angår de registeransvarliges og registerførernes dokumentation, behandlingssikkerhed, navnlig med hensyn til de registeransvarliges og registerførernes dokumentation, behandlingssikkerhed, navnlig med hensyn til krypteringsstandarder og anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og det tilstrækkelige databeskyttelsesniveau, der skal sikres af et tredjeland, et territorium eller en behandlingssektor i dette tredjeland eller en international organisation. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser  (6). [Ændring 52]

(68)

Undersøgelsesproceduren bør finde anvendelse i forbindelse med vedtagelse af foranstaltninger om de registeransvarliges og registerførernes dokumentation, behandlingssikkerhed, og anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og det tilstrækkelige databeskyttelsesniveau, der skal sikres af et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation, idet der er tale om generelle retsakter. [Ændring 53]

(69)

I behørigt begrundede tilfælde af særligt hastende karakter, hvor et tredjeland, et område eller en behandlingssektor i det pågældende tredjeland eller en international organisation ikke sikrer et tilstrækkeligt beskyttelsesniveau, bør Kommissionen omgående vedtage gennemførelsesretsakter. [Ændring 54]

(70)

Målene for dette direktiv, nemlig at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder, herunder navnlig deres ret til beskyttelse af deres personoplysninger og fri udveksling af personoplysninger mellem de kompetente myndigheder i Unionen, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne alene og kan derfor men kan på grund af foranstaltningens omfang eller virkninger bedre nås på EU-plan. Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går dette direktiv ikke ud over, hvad der er nødvendigt for at nå dette disse mål. Medlemsstaterne kan indføre højere standarder end dem, der er indeholdt i dette direktiv. [Ændring 55]

(71)

Rammeafgørelse 2008/977/RIA bør ophæves ved dette direktiv.

(72)

Specifikke bestemmelser om de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, der forekommer i EU-retsakter, som er vedtaget før vedtagelsen af dette direktiv, og som regulerer behandlingen af personoplysninger mellem medlemsstater og medlemsstaters udpegede myndigheders adgang til informationssystemer, der er udviklet i medfør af traktaterne, bør finde uændret anvendelse. Eftersom artikel 8 i chartret og artikel 16 i TEUF indebærer, at den grundlæggende ret til beskyttelse af personoplysninger bør sikres på en konsekvent og ensartet måde i hele Unionen, bør Kommissionen senest to år efter dette direktivs ikrafttræden se nærmere på sammenhængen mellem direktivet og retsakter, der er vedtaget før vedtagelsen af dette direktiv, og som regulerer behandlingen af personoplysninger mellem medlemsstater eller medlemsstaters udpegede myndigheders adgang til informationssystemer, der er udviklet i medfør af traktaterne, med det formål at vurdere, om der er behov for at tilpasse disse specifikke bestemmelser til direktivet og bør fremsætte hensigtsmæssige forslag med henblik på at sikre konsekvente og ensartede retlige bestemmelser vedrørende kompetente myndigheders beskyttelse af personoplysninger eller medlemsstaternes udpegede myndigheders adgang til informationssystemer, der er indført i henhold til traktaterne, samt EU-institutioners, -kontorers og -agenturers behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner for overtrædelser af lovgivningen inden for dette direktivs anvendelsesområde. [Ændring 56]

(73)

For at sikre en overordnet og sammenhængende beskyttelse af personoplysninger i Unionen, bør internationale aftaler, som Unionen eller medlemsstaterne indgår inden dette direktivs ikrafttræden, ændres i overensstemmelse med dette direktiv. [Ændring 57]

(74)

Dette direktiv påvirker ikke bestemmelserne om bekæmpelse af seksuelt misbrug og seksuel udnyttelse af børn og børnepornografi i Europa-Parlamentets og Rådets direktiv 2011/93/EU (7).

(75)

I medfør af artikel 6a i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling, for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til traktaten om Den Europæiske Union og traktaten om Den Europæiske Unions funktionsmåde, vil Det Forenede Kongerige og Irland ikke være bundet af regler fastsat i dette direktiv, når Det Forenede Kongerige og Irland ikke er bundet af reglerne vedrørende de former for retligt samarbejde i straffesager eller politisamarbejde, der kræver overholdelse af de bestemmelser, der er fastsat på grundlag af artikel 16 i traktaten om Den Europæiske Unions funktionsmåde.

(76)

I medfør af artikel 2 og 2a i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om Den Europæiske Unions funktionsmåde, er dette direktiv ikke bindende for og finder derfor ikke anvendelse i Danmark. Da dette direktiv udbygger Schengenreglerne efter bestemmelserne i tredje del, afsnit V, i traktaten om Den Europæiske Unions funktionsmåde, skal Danmark i henhold til artikel 4 i protokollen om Danmarks stilling træffe afgørelse om, hvorvidt det vil gennemføre direktivet i sin nationale lovgivning, inden seks måneder efter direktivets vedtagelse. [Ændring 58]

(77)

For så vidt angår Island og Norge udgør dette direktiv en udvikling af bestemmelser i Schengenreglerne, jf. aftalen indgået mellem Rådet for Den Europæiske Union og Republikken Island og Kongeriget Norge om disse to staters associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (8).

(78)

For så vidt angår Schweiz udgør dette direktiv en udvikling af bestemmelser i Schengenreglerne, jf. aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (9).

(79)

For så vidt angår Liechtenstein udgør dette direktiv en udvikling af bestemmelser i Schengenreglerne, jf. protokollen mellem Den Europæiske Union, Det Europæiske Fællesskab, Det Schweiziske Forbund og Fyrstendømmet Liechtenstein om Fyrstendømmet Liechtensteins tiltrædelse af aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om dette lands associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (10).

(80)

I dette direktiv overholdes de grundlæggende rettigheder og principper, der anerkendes i chartret som forankret i traktaten, navnlig retten til respekt for privatliv og familieliv, retten til beskyttelse af personoplysninger og adgang til effektive retsmidler og til en upartisk domstol. I overensstemmelse med chartrets artikel 52, stk. 1, kan der indføres begrænsninger i udøvelsen af disse rettigheder, såfremt de er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder.

(81)

I den fælles politiske erklæring af 28. september 2011 fra medlemsstaterne og Kommissionen om forklarende dokumenter (11) har medlemsstaterne forpligtet sig til i begrundede tilfælde at lade meddelelsen af gennemførelsesforanstaltninger ledsage af et eller flere dokumenter, der forklarer forholdet mellem et direktivs bestanddele og de tilsvarende dele i de nationale gennemførelsesinstrumenter. Lovgiver finder fremsendelse af sådanne dokumenter velbegrundet i forbindelse med dette direktiv.

(82)

Dette direktiv bør ikke forhindre medlemsstaterne i at gennemføre bestemmelserne om udøvelsen af registreredes ret til information, retten til indsigt i og berigtigelse, sletning og begrænsning af de personoplysninger, som behandles under en straffesag, samt mulige begrænsninger heraf i deres nationale strafferetspleje –

a)

at fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til beskyttelse af deres personoplysninger og beskyttelse af privatlivets fred , beskyttes og

b)

at udvekslingen af personoplysninger mellem de kompetente myndigheder i EU Unionen ikke indskrænkes eller forbydes af grunde, der vedrører beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger.

a)

som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af EU-retten, navnlig for så vidt angår national sikkerhed

b)

som foretages af EU-institutioner, -organer, -kontorer og -agenturer. [Ændring 60]

1)

»registreret«: en identificeret fysisk person eller en fysisk person, der direkte eller indirekte kan identificeres med hjælpemidler, som med rimelighed kan tænkes bragt i anvendelse enten af den registeransvarlige eller af enhver anden fysisk eller juridisk person, bl.a. ved et id-nummer, lokaliseringsdata, online-id, eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

2)

»personoplysninger«: enhver form for information om en registreret fysisk person, der er eller kan identificeres (»den registrerede«); en person, der kan identificeres, er en person som direkte eller indirekte kan identificeres, navnlig på grundlag af en identifikator som f.eks. navn, identifikationsnummer, bopæl, en entydig identifikator eller en eller flere faktorer, der vedrører den pågældende persons fysiske, psykologiske, genetiske, mentale, økonomiske, kulturelle, sociale eller kønsmæssige identitet;

2a)

»pseudonyme oplysninger« personoplysninger, som ikke kan tilskrives en bestemt registreret uden anvendelse af yderligere oplysninger, så længe sådanne yderligere oplysninger holdes særskilt og er underlagt tekniske og organisatoriske foranstaltninger, som forhindrer sammenkøring.

3)

»behandling«: enhver operation eller række af operationer — med eller uden brug af automatiseret databehandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt begrænsning, sletning eller tilintetgørelse

3a)

»profilering«: enhver form for automatisk behandling af personlige oplysninger, der har til formål at vurdere bestemte personlige forhold vedrørende en fysisk person eller analysere eller forudsige navnlig den fysiske persons erhvervsevne, økonomiske omstændigheder, lokalitet, sundhed, personlige præferencer, pålidelighed eller adfærd

4)

»begrænsning af behandling«: markering af opbevarede personoplysninger med den hensigt at begrænse den fremtidige behandling af disse oplysninger

5)

»register«: enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag

6)

»registeransvarlig«: den kompetente offentlige myndighed, der alene eller sammen med andre afgør, til hvilke formål, på hvilke betingelser og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene, betingelserne og hjælpemidlerne til behandlingen er fastlagt i EU-retten eller medlemsstatens lovgivning, kan bestemmelserne om den registeransvarlige eller de specifikke kriterier for udpegning af denne være fastsat i EU-retten eller medlemsstatens lovgivning

7)

»registerfører«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, der behandler personoplysninger på den registeransvarliges vegne

8)

»modtager«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, som personoplysninger videregives til

9)

»brud på persondatasikkerheden«: brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller indsigt i personoplysninger, der er videregivet, lagret eller på anden måde behandlet

10)

»genetiske data«: alle data af enhver type vedrørende en fysisk persons karakteristika, som er nedarvede eller formet under den tidlige prænatale udvikling

11)

»biometriske data«: alle data personoplysninger vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika, der gør det muligt entydigt at identificere vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger

12)

»helbredsoplysninger«: enhver oplysning personoplysning , der vedrører en persons fysiske eller mentale helbred eller levering af sundhedsydelser til vedkommende

13)

»barn«: en person under atten år

14)

»kompetente myndigheder«: enhver offentlig myndighed med ansvar for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner

15)

»tilsynsmyndighed«: en offentlig myndighed, der er etableret i en medlemsstat i overensstemmelse med artikel 39. [Ændring 61]

a)

skal behandles loyalt og lovligt , loyalt og på en åben og kontrollerbar måde i forhold til den registrerede

b)

skal indsamles til udtrykkeligt angivne og legitime formål og ikke behandles yderligere på en måde, der er uforenelige med disse formål

c)

skal være tilstrækkelige, relevante og begrænset til det nødvendige minimum ikke for omfattende i forhold til de formål, hvortil de behandles; personoplysninger skal kun behandles, hvis og så længe disse formål ikke kan opfyldes ved at behandle oplysninger, der ikke omfatter personoplysninger

d)

skal være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt til at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, omgående slettes eller berigtiges

e)

skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles

f)

skal behandles under den registeransvarliges ansvar, og denne skal sikre og kunne påvise overholdelsen af de bestemmelser, der vedtages til gennemførelse af dette direktiv

fa)

skal behandles på en måde, som giver den registrerede reel mulighed for at udøve sine rettigheder i henhold til artikel 10-17

fb)

skal behandles på en måde, som beskytter mod ikke-godkendt eller ulovlig behandling og mod hændelig tab, ødelæggelse eller beskadigelse under anvendelse af hensigtsmæssig tekniske og organisatoriske foranstaltninger

fc)

kun må behandles af behørigt bemyndigede medarbejdere i de kompetente myndigheder, som har brug for dem for at kunne varetage deres opgaver. [Ændring 62]

a)

der kun gives adgang for behørigt bemyndiget personale fra de kompetente myndigheder ved udførelsen af deres opgaver, når der i specifikke tilfælde findes rimelig grund til at tro, at behandlingen af personoplysningerne vil bidrage betydeligt til at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner

b)

anmodninger om adgang skal være skriftlige, og der skal angives en juridisk begrundelse for anmodningen

c)

den skriftlige anmodning skal være dokumenteret, og

d)

der skal indføres hensigtsmæssige sikkerhedsforanstaltninger for at sikre beskyttelsen af grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger. Disse sikkerhedsforanstaltninger indføres med forbehold af og som et supplement til de specifikke betingelser for adgangen til personoplysninger såsom den retlige godkendelse i overensstemmelse med den nationale lovgivning.

a)

personer, om hvem der med rimelighed er alvorlig grund til at tro, at de har begået eller vil begå en straffelovsovertrædelse forbrydelse

b)

personer, der er dømt for en straffelovsovertrædelse

c)

ofre for en straffelovsovertrædelse, eller om hvem visse kendsgerninger giver anledning til at tro, at de kan blive offer for en straffelovsovertrædelse , og

d)

berørte tredjeparter, herunder personer, der kunne blive indkaldt som vidner i forbindelse med efterforskninger af strafbare handlinger eller i efterfølgende straffesager, eller en person, der kan tilvejebringe oplysninger om straffelovsovertrædelser, eller en kontaktperson eller associeret til en af de i litra a) og b) nævnte personer og.

e)

personer, der ikke falder under nogen af ovennævnte kategorier.

a)

så længe det er nødvendigt til efterforskningen og retsforfølgningen af en specifik straffelovsovertrædelse med henblik på at vurdere relevansen af oplysningerne for en af de kategorier, der er angivet i stk. 1, eller

b)

når en sådan behandling er nødvendig til målrettede, forebyggende formål eller med henblik på strafferetlige analyser, hvis og så længe som dette formål er legitimt, veldefineret og specifikt, og behandlingen udelukkende er begrænset til at vurdere relevansen af oplysningerne for en af de kategorier, der er angivet i stk. 1. Dette er underlagt regelmæssig revision mindst hver sjette måned. Al yderligere anvendelse er forbudt.

a)

for at en kompetent myndighed kan udføre en specifik opgave med de i artikel 1, stk. 1, nævnte formål eller

b)

for at overholde en retlig forpligtelse, som den registeransvarlige er pålagt

c)

for at beskytte den registreredes eller en anden persons vitale interesser

d)

for at forebygge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed.

a)

formålet med behandlingen

b)

de personoplysninger, der skal behandles

c)

behandlingens specifikke formål og hjælpemidler

d)

udpegelsen af den registeransvarlige eller de specifikke kriterier for udpegelsen af den registeransvarlige

e)

kategorierne for de kompetente myndigheders behørigt bemyndigede personale til behandling af personoplysninger

f)

proceduren for behandlingen

g)

hvad de indsamlede personoplysninger kan anvendes til

h)

begrænsninger af omfanget af enhver beføjelse, som overdrages til de kompetente myndigheder i forbindelse med behandlingsaktiviteterne. [Ændring 67]

a)

det er absolut nødvendigt og forholdsmæssigt i et demokratisk samfund og sker i henhold til EU-retten eller medlemsstaternes lovgivning med et legitimt, veldefineret og specifikt formål

b)

behandlingen er strengt begrænset til en periode, der ikke må overskride den tid, som er nødvendig til den specifikke databehandlingsoperation

c)

andre former for anvendelse til andre formål er forbudt

a)

den pågældende behandlings specifikke formål og hjælpemidler

b)

at der kun gives adgang for behørigt bemyndiget personale fra de kompetente myndigheder ved udførelsen af deres opgaver, når der i specifikke tilfælde findes rimelig grund til at tro, at behandlingen af personoplysningerne vil bidrage betydeligt til at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og

c)

at der indføres hensigtsmæssige sikkerhedsforanstaltninger for at sikre beskyttelsen af grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger.

a)

behandlingen er tilladt i henhold til lovgivningen, som fastlægger de fornødne garantier absolut nødvendig af hensyn til de kompetente myndigheders udførelse af en opgave med det i artikel 1, stk. 1, fastsatte formål på grundlag af EU-lovgivningen eller den nationale lovgivning, som fastsætter specifikke og tilstrækkelige foranstaltninger til beskyttelse af den registreredes legitime interesser, herunder specifik tilladelse fra en retlig myndighed, hvis dette er et krav i henhold til den nationale lovgivning eller

b)

behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser

c)

behandlingen vedrører oplysninger, som tydeligvis er offentliggjort af den registrerede , så længe de er relevante og strengt nødvendige i forhold til det pågældende formål. [Ændring 69]

a)

identitet og kontaktoplysninger for den registeransvarlige og for den databeskyttelsesansvarlige

b)

retsgrundlaget og formålene med den behandling, hvortil oplysningerne er bestemt

c)

det tidsrum, hvori personoplysningerne opbevares

d)

retten til at anmode den registeransvarlige om indsigt i og berigtigelse eller sletning af personoplysninger vedrørende den registrerede eller begrænsning af behandlingen heraf

e)

retten til at indgive klage til den tilsynsmyndighed, der er omhandlet i artikel 39, og kontaktoplysninger til tilsynsmyndigheden

f)

modtagerne eller kategorierne af modtagere af personoplysningerne, herunder i tredjelande eller internationale organisationer , som er bemyndiget til at få adgang til disse oplysninger i henhold til det pågældende tredjelands lovgivning eller til bestemmelserne for den pågældende internationale organisation, den eventuelle eksistens af en afgørelse om kriteriernes tilstrækkelighed eller i tilfælde af overførsler som omhandlet i artikel 35 eller 36 muligheden for at opnå en kopi at de sikkerhedsforanstaltninger, der anvendes i forbindelse med overførslen

fa)

hvis den registeransvarlige behandler personoplysninger i henhold til artikel 9, stk. 1, oplysninger om, at der finder behandling sted med henblik på en foranstaltning af den art, der er omhandlet i artikel 9, stk. 1, og de tilsigtede konsekvenser af denne behandling for den registrerede samt om den logik, der anvendes i forbindelse med profileringen samt om retten til at få foretaget en menneskelig vurdering

fb)

oplysninger om sikkerhedsforanstaltninger, der træffes for at beskytte personoplysninger

g)

yderligere information, for så vidt denne information er nødvendig under hensyn til de særlige forhold, hvorunder personoplysningerne behandles, for at garantere en retfærdig behandling af den registrerede.

a)

på det tidspunkt, hvor personoplysningerne indhentes fra den registrerede, eller

b)

såfremt personoplysningerne ikke indsamles fra den registrerede, på tidspunktet for registreringen eller inden for et rimeligt tidsrum efter indsamlingen afhængigt af de konkrete omstændigheder for behandlingen af oplysningerne.

a)

for at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

b)

for at undgå, at forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af strafbare handlinger skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner

c)

for at beskytte den offentlige sikkerhed

d)

for at beskytte den nationale sikkerhed

e)

for at beskytte andres rettigheder og friheder.

-a)

hvilke personoplysninger der er omfattet af behandlingen, samt enhver tilgængelig information om, hvorfra disse oplysninger stammer, og i givet fald, letforståelige oplysninger om, hvad der ligger til grund for behandlingen af oplysningerne

-aa)

betydningen og de forventede konsekvenser af denne behandling, i det mindste hvad angår de foranstaltninger, der er omhandlet i artikel 9

a)

formålene med og retsgrundlaget for behandlingen

b)

de pågældende kategorier af personoplysninger

c)

de modtagere eller kategorier af modtagere, som personoplysningerne er blevet videregivet til, navnlig modtagere i tredjelande

d)

det tidsrum, hvori personoplysningerne opbevares

e)

retten til at anmode den registeransvarlige om at få berigtiget, eller slettet personoplysninger om den registrerede eller begrænset behandlingen heraf

f)

retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysningerne for tilsynsmyndigheden.

g)

hvilke personoplysninger der er omfattet af behandlingen, samt enhver tilgængelig information om, hvorfra disse oplysninger stammer

a)

for at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

b)

for at undgå, at forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af straffelovsovertrædelser skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner

c)

for at beskytte den offentlige sikkerhed

d)

for at beskytte den nationale sikkerhed

e)

for at beskytte andres rettigheder og friheder.

a)

deres rigtighed bestrides af den registrerede, indtil den registeransvarlige har haft mulighed for at fastslå, om de er rigtige

b)

personoplysningerne skal gemmes som bevismiddel eller for at beskytte den registreredes eller andre personers vitale interesser

c)

den registrerede modsætter sig deres sletning og i stedet kræver, at anvendelsen heraf begrænses.

a)

opbevaring af dokumentation, jf. artikel 23

aa)

gennemførelse af konsekvensanalyser vedrørende databeskyttelse i henhold til artikel 25a

b)

opfyldelse af bestemmelserne om forudgående høring i henhold til artikel 26

c)

gennemførelse af datasikkerhedskravene som fastsat i artikel 27

d)

udpegning af en databeskyttelsesansvarlig i henhold til artikel 30

da)

udarbejdelse og gennemførelse af specifikke garantier vedrørende behandling af personoplysninger om børn, når det viser sig at være nødvendigt.

a)

alene handler efter instruks fra den registeransvarlige

b)

kun beskæftiger personale, som har accepteret at være underlagt tavshedspligt eller i henhold til lovgivningen er underlagt tavshedspligt

c)

iværksætter alle krævede foranstaltninger i henhold til artikel 27

d)

kun ansætter en anden registerfører med den registeransvarliges tilladelse og derfor underretter registerføreren om sin hensigt om at ansætte en anden registerfører i så god tid, at den registeransvarlige har mulighed for at gøre indsigelse

e)

for så vidt det er muligt i betragtning af behandlingens karakter, efter aftale med den registeransvarlige vedtager de nødvendige tekniske og organisatoriske forudsætninger for opfyldelsen af den registeransvarliges forpligtelse til at besvare anmodninger om udøvelse af den registreredes rettigheder som fastsat i kapitel III

f)

bistår den registeransvarlige i indsatsen for at sikre, at kravene i henhold til artikel 25a-29 overholdes

g)

overdrager alle resultater til den registeransvarlige efter afslutningen af behandlingen og ikke senere behandler personoplysningerne og sletter eksisterende kopier medmindre EU-retten eller den nationale lovgivning foreskriver oplagring;

h)

stiller alle informationer, der er nødvendige for at kontrollere overholdelsen af kravene i denne artikel, til rådighed for den registeransvarlige og tilsynsmyndigheden

i)

tager hensyn til principperne om indbygget databeskyttelse og databeskyttelse gennem indstillinger.

a)

den registeransvarliges eller en eventuel fælles registeransvarligs og registerførerens navn og kontaktoplysninger

aa)

en juridisk bindende aftale i tilfælde af fælles registeransvarlige; liste over registerførere og aktiviteter, som er genstand for registeransvar

b)

formålene med behandlingen

ba)

angivelse af de dele af den registeransvarliges eller registerførerens organisation, der forestår behandlingen af personoplysninger til et bestemt formål

bb)

en beskrivelse af kategorien eller kategorierne af registrerede og af de personoplysninger eller typer af personoplysninger, der vedrører dem

c)

kategorien eller kategorierne af modtagere af personoplysninger

ca)

eventuelle oplysninger om profilering, foranstaltninger vedrørende profilering og mekanismer for indsigelse mod profilering

cb)

letforståelige oplysninger om logikken i enhver automatisk behandling

d)

videregivelse af oplysninger til et tredjeland eller en international organisation, herunder identifikation af dette tredjeland eller denne internationale organisation

da)

tidsfristerne for sletning af de forskellige kategorier af personoplysninger

db)

resultaterne af kontrollerne af de foranstaltninger, der er omhandlet i artikel 18, stk. 1

dc)

en angivelse af retsgrundlaget for den behandling, hvortil personoplysningerne er bestemt. .

a)

behandling af personoplysninger i store arkiveringssystemer med henblik på at forebygge, opdage, efterforske eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner

b)

behandling af særlige kategorier af personoplysninger, jf. artikel 8, af personoplysninger vedrørende børn og af biometriske oplysninger og positionsdata med henblik på at forebygge, opdage, efterforske eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner

c)

evaluering af personlige aspekter vedrørende en fysisk person eller med henblik på analyse eller forudsigelse af en fysisk persons adfærd baseret på elektronisk databehandling, som sandsynligvis vil kunne resultere i foranstaltninger, der har retsvirkning for vedkommende eller berører vedkommende i væsentlig grad

d)

overvågning af offentligt tilgængelige områder, navnlig ved brug af optisk-elektronisk udstyr (videoovervågning), eller

e)

andre former for behandling, hvor høring af tilsynsmyndigheden er påkrævet i henhold til artikel 26, stk. 1.

a)

en systematisk beskrivelse af den planlagte behandling

b)

en vurdering af nødvendigheden og forholdsmæssigheden af behandlingen i forhold til formålene

c)

en vurdering af risiciene for registreredes rettigheder og frihedsrettigheder og de planlagte foranstaltninger til afhjælpning af disse risici og mindskelse af omfanget af de personoplysninger, der behandles

d)

sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelsen af personoplysninger og påvise overensstemmelse med de bestemmelser, der indføres i medfør af dette direktiv, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser

e)

en generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger

f)

i givet fald en liste over planlagt videregivelse overførsler af oplysninger til et tredjeland eller en international organisation med angivelse af det pågældende lands eller den pågældende internationale organisations navn og i tilfælde af overførsler i medfør af artikel 36, stk. 2, dokumentation for passende sikkerhedsforanstaltninger.

a)

de særlige kategorier af oplysninger, der er omhandlet i artikel 8, skal behandles en konsekvensanalyse vedrørende databeskyttelse som omhandlet i artikel 25a viser, at en behandling som følge af dens karakter, omfang og/eller formål kan indebære store konkrete risici, eller

b)

den type behandling, navnlig ved brug af nye teknologier, mekanismer eller procedurer, ellers medfører særlige risici for den registreredes grundlæggende rettigheder og frihedsrettigheder, navnlig beskyttelsen af personoplysninger tilsynsmyndigheden vurderer, at det er nødvendigt at gennemføre en forudgående høring vedrørende en specifik behandling, der sandsynligvis kan indebære specifikke risici for registreredes rettigheder og frihedsrettigheder som følge af dens karakter, omfang eller formål.

a)

at uautoriserede personer ikke kan få adgang til det edb-udstyr, der benyttes til behandling af personoplysninger (kontrol med fysisk adgang til udstyret)

b)

at datamedier hverken kan læses, kopieres, ændres eller fjernes af uautoriserede personer (kontrol med datamedier)

c)

at der ikke sker uautoriseret indlæsning af oplysninger samt uautoriseret læsning, ændring eller sletning af opbevarede personoplysninger (kontrol med opbevaring)

d)

at automatiske databehandlingssystemer ikke via datakommunikationsudstyr kan benyttes af uautoriserede personer (brugerkontrol)

e)

at personer med bemyndigelse til at anvende et automatisk databehandlingssystem kun har adgang til de oplysninger, der er omfattet af deres adgangstilladelse (kontrol med dataadgangen)

f)

at det er muligt at kontrollere og fastslå, til hvilke organer der er blevet videregivet eller kan videregives eller stilles personoplysninger til rådighed ved hjælp af datakommunikationsudstyr (kommunikationskontrol)

g)

at det er muligt efterfølgende at undersøge og fastslå, hvilke personoplysninger der er indlæst i automatiske databehandlingssystemer, hvornår og af hvem (kontrol med indlæsning)

h)

at der ikke er mulighed for ubemyndiget læsning, kopiering, ændring eller sletning af personoplysninger under overførsler af disse eller under transport af datamedier (transportkontrol)

i)

at de anvendte systemer i tilfælde af teknisk uheld kan genetableres (genopretning)

j)

at systemet fungerer, at indtrufne fejl meldes (pålidelighed), og at opbevarede personoplysninger ikke bliver ødelagt som følge af fejlfunktioner i systemet (integritet)

ja)

at der i tilfælde af behandling af følsomme personoplysninger i medfør af artikel 8 gennemføres yderligere sikkerhedsforanstaltninger for at sikre bevidsthed omkring sikkerhedssituationen og evnen til at handle forebyggende, korrigerende og afbødende i næsten realtid over for konstaterede svagheder eller hændelser, som kan udgøre en risiko for oplysningerne.

a)

beskrive karakteren af bruddet på persondatasikkerheden, herunder kategorier og antal berørte registrerede samt kategorier og antal berørte registre

b)

angive identitet og kontaktoplysninger for den i stk. 30 omhandlede databeskyttelsesansvarlige eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes

c)

anbefale foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på persondatasikkerheden

d)

beskrive de mulige konsekvenser af bruddet på persondatasikkerheden

e)

beskrive de foranstaltninger, som den registeransvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden eller afbøde konsekvenserne.

a)

at bevidstgøre , underrette og rådgive den registeransvarlige eller registerføreren om deres forpligtelser i overensstemmelse med de bestemmelser, der vedtages til gennemførelse af dette direktiv, navnlig tekniske og organisatoriske foranstaltninger og procedurer, og at dokumentere denne aktivitet og de modtagne reaktioner

b)

at overvåge gennemførelsen og anvendelsen af reglerne om beskyttelse af personoplysninger, herunder fordeling af ansvar, uddannelse af det personale, der medvirker ved databehandlingen, og de tilhørende kontroller

c)

at kontrollere gennemførelsen og anvendelsen af de bestemmelser, der vedtages i medfør at dette direktiv, navnlig med hensyn til kravene vedrørende indbygget databeskyttelse, databeskyttelse gennem indstillinger og datasikkerhed og oplysninger til de registrerede og deres anmodninger i forbindelse med udøvelsen af deres rettigheder i henhold til de bestemmelser, der er vedtaget i medfør af dette direktiv

d)

at sikre vedligeholdelse af den i artikel 23 omhandlede dokumentation

e)

at kontrollere dokumentation, anmeldelse og meddelelser vedrørende brud på persondatasikkerheden i henhold til artikel 28 og 29

f)

at kontrollere resultaterne af den registeransvarliges eller registerførerens konsekvensanalyse af databeskyttelsen, og at der sker en forudgående høring af tilsynsmyndigheden, hvis det kræves i henhold til artikel 26, stk. 1

g)

at kontrollere besvarelsen af anmodninger fra tilsynsmyndigheden og inden for rammerne af den databeskyttelsesansvarliges beføjelser at samarbejde med tilsynsmyndigheden på dennes anmodning eller på eget initiativ

h)

at fungere som tilsynsmyndighedens kontaktpunkt i forbindelse med spørgsmål vedrørende behandling og på eget initiativ og efter behov rådføre sig med tilsynsmyndigheden. [Ændring 95]

a)

videregivelsen den specifikke videregivelse er nødvendig for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, og

aa)

oplysninger videregives til en registeransvarlig i et tredjeland eller i en international organisation, som er en kompetent offentlig myndighed, jf. formålene i artikel 1, stk. 1, og

ab)

den registeransvarlige og registerføreren overholder betingelserne i dette kapitel, herunder i forbindelse med yderligere videregivelse af personoplysninger fra tredjelandet eller en international organisation til et andet tredjeland eller en anden international organisation, og

b)

andre bestemmelser vedtaget i henhold til dette direktiv betingelserne i dette kapitel overholdes af den registeransvarlige eller registerføreren , og

ba)

det beskyttelsesniveau, som fysiske personer garanteres i Unionen i medfør af dette direktiv, ikke undermineres, og

bb)

når Kommissionen i henhold til bestemmelserne og proceduren i artikel 34, har fastslået, at det pågældende tredjeland eller den internationale organisation har et tilstrækkeligt databeskyttelsesniveau, eller

bc)

når der er blevet indført hensigtsmæssige garantier, hvad angår beskyttelsen af personoplysninger, i et retligt bindende instrument, jf. artikel 35.

a)

videregivelsen er nødvendig af hensyn til samme specifikke formål som den oprindelige videregivelse, og

b)

den kompetente myndighed, som foretog den oprindelige videregivelse, godkender den yderligere videregivelse. [Ændring 96]

a)

retsstatsprincippet, relevant gældende lovgivning, både almindelig og sektorbestemt, herunder vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og strafferet og gennemførelsen af denne lovgivning og de sikkerhedsforanstaltninger, der gælder i dette tredjeland eller den internationale organisation, retspraksis samt effektive rettigheder, der kan håndhæves retsligt, herunder effektiv adgang til administrativ og retlig prøvelse for registrerede, navnlig registrerede, der er bosiddende i Unionen, og hvis personoplysninger videregives

b)

tilstedeværelsen af en eller flere velfungerende uafhængige tilsynsmyndigheder i tredjelandet eller den internationale organisation, der har ansvaret for at sikre, at databeskyttelsesreglerne overholdes, herunder tilstrækkelige sanktionsbeføjelser , og for at bistå og rådgive de registrerede, når de udøver deres rettigheder, og samarbejde med tilsynsmyndighederne i Unionen og medlemsstaterne og

c)

de internationale forpligtelser, som tredjelandet eller en international organisation har indgået, navnlig juridisk bindende konventioner eller instrumenter om beskyttelse af personoplysninger .

a)

der er blevet indført hensigtsmæssige garantier, hvad angår beskyttelsen af personoplysninger, i et retligt bindende instrument

b)

den registeransvarlige eller registerføreren har vurderet alle forhold i forbindelse med videregivelsen af personoplysninger og konkluderet, at der findes hensigtsmæssige garantier, hvad angår beskyttelsen af personoplysninger

a)

videregivelsen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser, eller

b)

videregivelsen er nødvendig for at beskytte den registreredes legitime interesser, hvis det er påkrævet ved lov i den medlemsstat, der videregiver personoplysningerne, eller

c)

videregivelsen af oplysningerne er afgørende for at afværge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed, eller

d)

videregivelsen er nødvendig i enkeltsager med henblik på forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner, eller

e)

videregivelsen er nødvendig i enkeltsager med henblik på at fastslå et retskrav eller gøre det gældende eller forsvare det ved en domstol i forbindelse med forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner.

a)

udvikle effektive internationale samarbejdsmekanismer med henblik på at lette sikre håndhævelsen af lovgivningen om beskyttelse af personoplysninger [Ændring 101]

b)

yde international gensidig bistand i håndhævelsen af lovgivningen om beskyttelse af personoplysninger, herunder gennem anmeldelse, indbringelse af klager, efterforskningsbistand og informationsudveksling, med forbehold af de fornødne garantier for beskyttelse af personoplysninger og andre grundlæggende rettigheder og frihedsrettigheder

c)

inddrage de berørte parter i drøftelser og aktiviteter, der har til formål at fremme det internationale samarbejde om håndhævelsen af lovgivningen om beskyttelse af personoplysninger

d)

fremme udveksling og dokumentation af lovgivningen om beskyttelse af personoplysninger og praksis på området

da)

afklare og indhente ekspertudtalelser om værnetingstvister med tredjelande. [Ændring 102]

6.

Hver medlemsstat sikrer, at tilsynsmyndigheden råder over sit eget personale, der udpeges af og er under ledelse af chefen for tilsynsmyndigheden.

a)

tilsynsmyndighedens oprettelse og status, jf. artikel 39 og 40

b)

kvalifikationer, erfaring og kompetence, der er nødvendig for at udøve hvervet som medlem af tilsynsmyndigheden

c)

reglerne og procedurerne for udnævnelsen af medlemmerne af tilsynsmyndigheden samt regler om handlinger og hverv, der er uforenelige med dette hverv

d)

embedsperioden for medlemmerne af tilsynsmyndigheden, som skal være mindst fire år, med undtagelse af den første udnævnelse efter dette direktivs ikrafttræden, som kan være af kortere varighed

e)

om medlemmerne af tilsynsmyndigheden kan genudnævnes

f)

bestemmelser og fælles betingelser vedrørende de pligter, der påhviler tilsynsmyndighedens medlemmer og personale

g)

regler og procedurer, når medlemmerne af tilsynsmyndigheden fratræder deres hverv, herunder hvis de ikke længere opfylder de nødvendige betingelser for at udøve hvervet, eller hvis de har begået alvorligt embedsmisbrug.

a)

overvåge og sikre anvendelsen af de bestemmelser, der vedtages i medfør at dette direktiv og gennemførelsesbestemmelserne hertil

b)

høre klager, der indgives af en registreret eller en sammenslutning, der repræsenterer og er behørigt bemyndiget af den registrerede i overensstemmelse med artikel 50, så vidt det er hensigtsmæssigt, undersøge sagen og underrette den registrerede eller sammenslutningen om forløbet og resultatet af klagen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig

c)

kontrollere, om en behandling er lovlig i henhold til artikel 14, og underrette den registrerede inden for en rimelig frist om resultatet af undersøgelsen eller om årsagerne til, at undersøgelsen ikke er foretaget

d)

yde gensidig bistand til andre tilsynsmyndigheder og sikre ensartet anvendelse og håndhævelse af bestemmelser vedtaget i medfør af dette direktiv

e)

gennemføre undersøgelser , inspektioner og revisioner på eget initiativ, på grundlag af en klage eller efter anmodning fra en anden tilsynsmyndighed og underrette den registrerede, hvis vedkommende har indgivet en klage til denne tilsynsmyndighed, om resultatet af undersøgelsen inden for en rimelig frist

f)

overvåge den relevante udvikling, for så vidt den har indvirkning på beskyttelsen af personoplysninger, navnlig udviklingen i informations- og kommunikationsteknologier

g)

høres af medlemsstaternes institutioner og organer om administrative foranstaltninger til beskyttelse af personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysning

h)

høres om behandling i henhold til artikel 26

i)

deltage i Det Europæiske Databeskyttelsesråds aktiviteter.

a)

undersøgelsesbeføjelser såsom beføjelse til at få indsigt i de oplysninger, der er genstand for behandling, og beføjelse til at indsamle alle de oplysninger, der er nødvendige for at udføre sine tilsynsopgaver at underrette den registeransvarlige eller registerføreren om en påstået overtrædelse af bestemmelserne om behandling af personoplysninger og i givet fald give den registeransvarlige eller registerføreren påbud om at råde bod på overtrædelsen og forbedre beskyttelsen af den registrerede

b)

beføjelse til at gribe effektivt ind ved f.eks. at afgive udtalelser forud for iværksættelsen af behandlingen og sikre en passende offentliggørelse af disse udtalelser, at beordre oplysninger begrænset, slettet eller tilintetgjort, midlertidigt eller definitivt at forbyde en behandling, at udstede en advarsel til den registeransvarlige eller påtale en overtrædelse over for den registeransvarlige eller ved at høre de nationale parlamenter eller andre nationale politiske institutioner at give den registeransvarlige påbud om at imødekomme den registreredes anmodninger om at udøve sine rettigheder, der er omfattet af dette direktiv, herunder de i artikel 12-17 fastsatte, når sådanne anmodninger er blevet afvist i strid med disse bestemmelser

c)

beføjelse til at indbringe overtrædelser af de bestemmelser, der vedtages i medfør af dette direktiv for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser at give den registeransvarlige eller registerføreren påbud om at udlevere oplysningerne, jf. artikel 10, stk. 1 og 2, samt artikel 11, 28 og 29

d)

at sikre overensstemmelse med udtalelser om forudgående høringer, jf. artikel 26

e)

at rette en advarsel eller en påtale til den registeransvarlige eller registerføreren

f)

at give påbud om berigtigelse, sletning eller tilintetgørelse af alle personoplysninger, når de er blevet behandlet i strid med bestemmelserne i dette direktiv, og meddelelse af sådanne handlinger til tredjemand, til hvem disse oplysninger er videregivet

g)

midlertidigt eller definitivt at forbyde en behandling

h)

at suspendere videregivelsen af oplysninger til et tredjeland eller en international organisation

i)

at informere nationale parlamenter, regeringen eller andre offentlige institutioner samt offentligheden om spørgsmålet.

a)

at få indsigt i alle personoplysninger og informationer, der er nødvendige for at varetage dens tilsynsopgaver

b)

at få adgang til alle deres lokaler, herunder databehandlingsudstyr og -midler, i overensstemmelse med den nationale lovgivning, når der er rimelig grund til at antage, at der dér udøves en aktivitet, der strider mod bestemmelserne, der er vedtaget i henhold til dette direktiv, med forbehold af rettens tilladelse, hvis dette kræves i henhold til den nationale lovgivning.

a)

den ikke har kompetence til at behandle an modningen, eller

b)

imødekommelse af anmodningen er uforenelig med bestemmelserne i dette direktiv.

a)

at rådgive Kommissionen EU-institutionerne om ethvert spørgsmål vedrørende beskyttelse af personoplysninger i EU Unionen , herunder om ethvert forslag til ændring af dette direktiv

b)

efter anmodning fra Kommissionen, Europa-Parlamentet eller Rådet eller på eget initiativ eller efter anmodning fra et af rådets medlemmer, at undersøge ethvert spørgsmål vedrørende anvendelsen af bestemmelser vedtaget i medfør af dette direktiv og udarbejde retningslinjer, henstillinger og bedste praksis til de nationale tilsynsmyndigheder for at fremme en konsekvent anvendelse af disse bestemmelser , herunder anvendelse af håndhævelsesbeføjelser

c)

at gennemgå den praktiske anvendelse af de retningslinjer, henstillinger og bedste praksis, som er omhandlet i litra b), og aflægge regelmæssig rapport herom til Kommissionen

d)

at afgive udtalelse til Kommissionen om beskyttelsesniveauet i tredjelande eller internationale organisationer

e)

at fremme samarbejdet og en effektiv bilateral og multilateral udveksling af information og bedste praksis mellem tilsynsmyndighederne , herunder koordineringen af fælles aktiviteter, der iværksættes efter anmodning fra en eller flere tilsynsmyndigheder

f)

at fremme fælles uddannelsesprogrammer og udveksling af personale mellem tilsynsmyndighederne samt i påkommende tilfælde med tilsynsmyndighederne i tredjelande og internationale organisationers tilsynsmyndigheder

g)

at fremme udveksling af viden og dokumentation med databeskyttelsesmyndigheder over hele verden, herunder databeskyttelseslovgivning og -praksis

ga)

afgive udtalelse til Kommissionen i forbindelse med udarbejdelsen af delegerede retsakter og gennemførelsesretsakter på grundlag af dette direktiv.

a)

videregivelsen sker i overensstemmelse med EU-lovgivningen eller medlemsstatslovgivning, og

b)

modtageren er hjemmehørende i en af Den Europæiske Unions medlemsstater, og

c)

den registreredes specifikke legitime interesser ikke forhindrer en videregivelse, og

d)

videregivelsen er nødvendig i en specifik sag for den registeransvarlige, der videregiver personoplysningerne i forbindelse med: