02016L0680 — DA — 04.05.2016 — 000.001

---

Denne tekst tjener udelukkende som dokumentationsværktøj og har ingen retsvirkning. EU's institutioner påtager sig intet ansvar for dens indhold. De autentiske udgaver af de relevante retsakter, inklusive deres betragtninger, er offentliggjort i den Europæiske Unions Tidende og kan findes i EUR-Lex. Disse officielle tekster er tilgængelige direkte via linkene i dette dokument

►B

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89)

Berigtiget ved:

►C1	Berigtigelse, EUT L 127, 23.5.2018, s.  6 (2016/680)

---

▼B

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV (EU) 2016/680

af 27. april 2016

om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA

KAPITEL I

Generelle bestemmelser

Artikel 1

Genstand og formål

1.  I dette direktiv fastsættes regler om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod eller forebygge trusler mod den offentlige sikkerhed.

2.  Medlemsstaterne sikrer i overensstemmelse med dette direktiv:

3.  Dette direktiv forhindrer ikke medlemsstaterne i at fastsætte højere standarder end dem, der er fastsat i dette direktiv, for beskyttelse af den registreredes rettigheder og frihedsrettigheder med hensyn til kompetente myndigheders behandling af personoplysninger.

Artikel 2

Anvendelsesområde

1.  Dette direktiv finder anvendelse på kompetente myndigheders behandling af personoplysninger med henblik på artikel 1, stk. 1.

2.  Dette direktiv finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

3.  Dette direktiv gælder ikke for behandling af personoplysninger:

Artikel 3

Definitioner

I dette direktiv forstås ved:

1)

»personoplysninger« : enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

2)

»behandling« : enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

3)	»begrænsning af behandling« : mærkning af opbevarede personoplysninger med den hensigt at begrænse fremtidig behandling af disse oplysninger

4)

»profilering« : enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk position eller bevægelser

5)

»pseudonymisering« : behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person

6)	»register« : enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på funktionsbestemt eller geografisk grundlag

7)

»kompetent myndighed« : a) enhver offentlig myndighed, der er kompetent med hensyn til at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, eller b) ethvert andet organ eller enhver anden enhed, som i henhold til medlemsstaternes nationale ret udøver offentlig myndighed og offentlige beføjelser med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed

8)

»dataansvarlig« : den kompetente myndighed, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret

9)	»databehandler« : en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne

10)

»modtager« : en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej. Offentlige myndigheder, som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel i henhold til medlemsstaternes nationale ret, anses dog ikke for modtagere; de offentlige myndigheders behandling af disse oplysninger skal overholde de gældende databeskyttelsesregler afhængigt af formålet med behandlingen

11)	»brud på persondatasikkerheden« : et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet

12)	»genetiske data« : personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske karakteristika, som giver entydig information om den fysiske persons fysiologi eller helbred, og som navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person

13)	»biometriske data« : personoplysninger, der som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger

14)	»helbredsoplysninger« : personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand

15)	»tilsynsmyndighed« : en uafhængig offentlig myndighed, der er etableret i en medlemsstat i henhold til artikel 41

16)	»international organisation« : en folkeretlig organisation og organer, der er underordnet den, samt ethvert andet organ, der er oprettet ved eller med hjemmel i en aftale mellem to eller flere lande.

KAPITEL II

Principper

Artikel 4

Principper for behandling af personoplysninger

1.  Medlemsstaterne fastsætter bestemmelser om, at personoplysninger skal:

2.  Behandling, der foretages af den samme eller en anden dataansvarlig til et andet formål omfattet af artikel 1, stk. 1, end det, hvortil personoplysningerne er indsamlet, er tilladt i det omfang:

3.  Behandling, der foretages af den samme eller en anden dataansvarlig, kan omfatte behandling til arkivformål i samfundets interesse eller til videnskabelig, statistisk eller historisk brug med henblik på artikel 1, stk. 1, forudsat at behandlingen er omfattet af de fornødne garantier for den registreredes rettigheder og frihedsrettigheder.

4.  Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1, 2 og 3 overholdes.

Artikel 5

Tidsfrister for opbevaring og revision

Medlemsstaterne fastsætter bestemmelser om, at der skal fastsættes hensigtsmæssige tidsfrister for sletning af personoplysninger eller for regelmæssig revision af behovet for opbevaring af personoplysninger. Det sikres ved proceduremæssige foranstaltninger, at disse tidsfrister overholdes.

Artikel 6

Sondring mellem forskellige kategorier af registrerede

Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige, hvor det er relevant og så vidt muligt, klart sondrer mellem personoplysninger om forskellige kategorier af registrerede såsom:

Artikel 7

Sondring mellem personoplysninger og kontrol med kvaliteten af personoplysninger

1.  Medlemsstaterne fastsætter bestemmelser om, at der så vidt muligt skal sondres mellem personoplysninger, der bygger på faktiske omstændigheder, og personoplysninger, der bygger på personlige vurderinger.

2.  Medlemsstaterne fastsætter bestemmelser om, at de kompetente myndigheder iværksætter alle rimelige tiltag for at sikre, at personoplysninger, som er urigtige, ufuldstændige eller ikke ajourførte, ikke videregives eller stilles til rådighed. Med henblik herpå kontrollerer hver kompetent myndighed, så vidt det er praktisk muligt, kvaliteten af personoplysninger, før disse videregives eller stilles til rådighed. I forbindelse med al videregivelse af personoplysninger skal nødvendige oplysninger, der gør det muligt for den modtagende kompetente myndighed at vurdere, i hvor høj grad personoplysningerne er rigtige, fuldstændige og pålidelige, og i hvilket omfang de er ajourførte, så vidt muligt tilføjes.

3.  Hvis det konstateres, at der er videregivet urigtige personoplysninger, eller at personoplysninger er videregivet ulovligt, skal dette straks meddeles modtageren. I så fald skal personoplysningerne berigtiges eller slettes, eller behandling skal begrænses i overensstemmelse med artikel 16.

Artikel 8

Lovlig behandling

1.  Medlemsstaterne fastsætter bestemmelser om, at behandling kun er lovlig, hvis og i det omfang denne behandling er nødvendig, for at en kompetent myndighed kan udføre en opgave med henblik på artikel 1, stk. 1, og at den sker på grundlag af EU-retten eller medlemsstaternes nationale ret.

2.  Medlemsstaternes nationale ret, der regulerer behandling inden for dette direktivs anvendelsesområde, skal som minimum angive målene med behandling, de personoplysninger, der skal behandles, og formålene med behandlingen.

Artikel 9

Særlige betingelser for behandling

1.  Personoplysninger indsamlet af kompetente myndigheder med henblik på artikel 1, stk. 1, må ikke behandles til andre formål end med henblik på artikel 1, stk. 1, medmindre en sådan behandling er hjemlet i EU-retten eller medlemsstaternes nationale ret. Hvis personoplysninger behandles til disse andre formål, finder forordning (EU) 2016/679 anvendelse, medmindre behandlingen udføres i forbindelse med en aktivitet, der falder uden for EU-rettens anvendelsesområde.

2.  Hvis kompetente myndigheder i henhold til medlemsstaternes nationale ret har fået overdraget andre opgaver end dem, der udføres med henblik på artikel 1, stk. 1, finder forordning (EU) 2016/679 anvendelse på behandling til disse formål, herunder til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål, medmindre behandlingen udføres i forbindelse med en aktivitet, der falder uden for EU-rettens anvendelsesområde.

3.  Medlemsstaterne fastsætter bestemmelser om, at den videregivende kompetente myndighed, hvis EU-retten eller medlemsstaternes nationale ret, der finder anvendelse på den videregivende kompetente myndighed, fastsætter særlige vilkår for behandling, underretter modtageren af sådanne personoplysninger om disse vilkår og kravet om at overholde dem.

4.  Medlemsstaterne fastsætter bestemmelser om, at den videregivende kompetente myndighed ikke anvender andre vilkår, jf. stk. 3, på modtagere i andre medlemsstater eller på agenturer, kontorer og organer, der er oprettet i henhold til afsnit V, kapitel 4 og 5, i TEUF, end de vilkår, der gælder for lignende videregivelser af oplysninger inden for den medlemsstat, hvor den videregivende kompetente myndighed er beliggende.

Artikel 10

Behandling af særlige kategorier af personoplysninger

Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering må kun tillades, når det er strengt nødvendigt, forudsat at behandlingen er omfattet af de fornødne garantier for den registreredes rettigheder og frihedsrettigheder, og kun:

Artikel 11

Automatiske individuelle afgørelser

1.  Medlemsstaterne fastsætter bestemmelser om, at en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har negativ retsvirkning for den registrerede eller betydeligt påvirker den pågældende, er forbudt, medmindre den er hjemlet i EU-retten eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, og som fastsætter de fornødne garantier for den registreredes rettigheder og frihedsrettigheder, i det mindste den registreredes ret til menneskelig indgriben fra den dataansvarliges side.

2.  De afgørelser, der er omhandlet i nærværende artikels stk. 1, må ikke baseres på særlige kategorier af personoplysninger, jf. artikel 10, medmindre der er indført passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser.

3.  Profilering, der fører til forskelsbehandling af fysiske personer på grundlag af særlige kategorier af personoplysninger, jf. artikel 10, er forbudt i henhold til EU-retten.

KAPITEL III

Den registreredes rettigheder

Artikel 12

Meddelelser og nærmere regler for udøvelse af den registreredes rettigheder

1.  Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal iværksætte rimelige tiltag for at give enhver oplysning som omhandlet i artikel 13 og enhver meddelelse som omhandlet i artikel 11, 14-18 og 31 om behandling til den registrerede i en kortfattet, letforståelig og lettilgængelig form og i et klart og enkelt sprog. Oplysningerne gives på enhver hensigtsmæssig måde, herunder ved hjælp af elektroniske midler. Som hovedregel skal den dataansvarlige give oplysningerne i samme form som anmodningen.

2.  Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal lette udøvelsen af den registreredes rettigheder i medfør af artikel 11 og 14-18.

3.  Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal give den registrerede skriftlig meddelelse om opfølgningen på dennes anmodning uden unødig forsinkelse.

4.  Medlemsstaterne fastsætter bestemmelser om, at de oplysninger, der gives i medfør af artikel 13, og enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 11, 14-18 og 31, er gratis. Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige enten:

Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven, påhviler den dataansvarlige.

5.  Den dataansvarlige kan, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der fremsætter en anmodning som omhandlet i artikel 14 eller 16, anmode om de yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.

Artikel 13

Oplysninger, der skal stilles til rådighed for eller gives til den registrerede

1.  Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige som minimum stiller følgende oplysninger til rådighed for den registrerede:

2.  Ud over de oplysninger, der er omhandlet i stk. 1, fastsætter medlemsstaterne ved lov bestemmelser om, at den dataansvarlige i særlige tilfælde skal give den registrerede følgende yderligere oplysninger, for at vedkommende kan udøve sine rettigheder:

3.  Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger, der udsætter, begrænser eller afskærer meddelelse af oplysninger til de registrerede, jf. stk. 2, i det omfang og så længe en sådan foranstaltning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

4.  Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger for at fastsætte de kategorier af behandling, som helt eller delvis er omfattet af ethvert af de litraer, der er anført i stk. 3.

Artikel 14

Den registreredes indsigtsret

Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information, jf. dog artikel 15:

Artikel 15

Begrænsninger af indsigtsretten

1.  Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser den registreredes ret til indsigt, i det omfang og så længe en sådan delvis eller fuldstændig begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

2.  Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger for at fastsætte de kategorier af behandling, som helt eller delvis er omfattet af stk. 1, litra a)-e).

3.  I de i stk. 1 og 2 omhandlede tilfælde fastsætter medlemsstaterne bestemmelser om, at den dataansvarlige uden unødig forsinkelse skal give den registrerede skriftlig meddelelse om ethvert afslag på indsigt i personoplysninger eller begrænsning af indsigten og om begrundelsen for afslaget eller begrænsningen. En sådan meddelelse kan udelades, hvis sådanne oplysninger ville være til skade for et af formålene i stk. 1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal underrette den registrerede om muligheden for at indgive en klage til en tilsynsmyndighed eller adgangen til retsmidler.

4.  Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal dokumentere den faktiske eller retlige begrundelse, som afgørelsen hviler på. Disse oplysninger stilles til rådighed for tilsynsmyndighederne.

Artikel 16

Ret til berigtigelse, sletning og begrænsning af behandling

1.  Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til at få urigtige personoplysninger om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Medlemsstaterne fastsætter bestemmelser om, at den registrerede under hensyntagen til formålene med behandlingen skal have ret til at få fuldstændiggjort ufuldstændige personoplysninger, bl.a. ved at fremlægge en supplerende erklæring.

2.  Medlemsstaterne kræver, at den dataansvarlige sletter personoplysninger uden unødig forsinkelse, og fastsætter bestemmelser om, at den registrerede skal have ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, hvis behandling overtræder de bestemmelser, der vedtages i henhold til artikel 4, 8 eller 10, eller hvis personoplysninger skal slettes for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt.

3.  I stedet for sletning begrænser den dataansvarlige behandling, hvis:

Hvis behandling er begrænset i henhold til første afsnit, litra a), underretter den dataansvarlige den registrerede herom, inden begrænsningen af behandling ophæves.

4.  Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal give den registrerede skriftlig meddelelse om ethvert afslag på berigtigelse eller sletning af personoplysninger eller begrænsning af behandling og om begrundelsen for afslaget. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser forpligtelsen til at give sådanne oplysninger, i det omfang en sådan begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal underrette den registrerede om muligheden for at indgive klage til en tilsynsmyndighed eller adgangen til retsmidler.

5.  Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal meddele berigtigelse af urigtige personoplysninger til den kompetente myndighed, hvorfra de urigtige oplysninger stammer.

6.  Medlemsstaterne fastsætter, hvis personoplysningerne er blevet berigtiget eller slettet eller behandlingen er blevet begrænset, jf. stk. 1, 2 og 3, bestemmelser om, at den dataansvarlige skal underrette modtagerne, og at modtagerne berigtiger eller sletter personoplysningerne eller begrænser behandling af personoplysninger, som de har ansvaret for.

Artikel 17

Den registreredes udøvelse af rettigheder og tilsynsmyndighedens kontrol

1.  I de tilfælde, der er omhandlet i artikel 13, stk. 3, artikel 15, stk. 3, og artikel 16, stk. 4, vedtager medlemsstaterne foranstaltninger, der fastsætter, at den registreredes rettigheder også kan udøves gennem den kompetente tilsynsmyndighed.

2.  Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal underrette den registrerede om dennes mulighed for at udøve sine rettigheder gennem tilsynsmyndigheden i henhold til stk. 1.

3.  Hvis den i stk. 1 omhandlede ret udøves, underretter tilsynsmyndigheden som minimum den registrerede om, at tilsynsmyndigheden har foretaget den nødvendige kontrol eller undersøgelse. Tilsynsmyndigheden underretter også den registrerede om dennes adgang til retsmidler.

Artikel 18

Den registreredes rettigheder i forbindelse med strafferetlige efterforskninger og straffesager

Medlemsstaterne kan fastsætte bestemmelser om, at udøvelsen af de rettigheder, der er omhandlet i artikel 13, 14 og 16, skal gennemføres i henhold til medlemsstaternes nationale ret, når personoplysningerne er indeholdt i en retsafgørelse eller et register eller en sagsakt, der behandles i forbindelse med strafferetlige efterforskninger og straffesager.

KAPITEL IV

Dataansvarlig og databehandler

Afdeling 1

Generelle forpligtelser

Artikel 19

Den dataansvarliges forpligtelser

1.  Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med dette direktiv. Disse foranstaltninger skal om nødvendigt revideres og ajourføres.

2.  Hvis det står i rimeligt forhold til behandlingsaktiviteterne, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker.

Artikel 20

Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger

1.  Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen skal gennemføre passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i dette direktiv og beskytte de registreredes rettigheder.

2.  Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.

Artikel 21

Fælles dataansvarlige

1.  Medlemsstaterne fastsætter, hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling, bestemmelser om, at de skal være fælles dataansvarlige. De fastsætter på en gennemsigtig måde deres respektive ansvar for overholdelse af dette direktiv, navnlig hvad angår udøvelsen af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13, ved hjælp af en ordning mellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-retten eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt. I ordningen udpeges kontaktpunktet for de registrerede. Medlemsstaterne kan udpege den af de fælles dataansvarlige, der kan fungere som fælles kontaktpunkt for de registrerede, når disse udøver deres rettigheder.

2.  Uanset udformningen af den ordning, der er omhandlet i stk. 1, kan medlemsstaterne fastsætte bestemmelser om, at den registrerede kan udøve sine rettigheder i medfør af de bestemmelser, der vedtages i henhold til dette direktiv, med hensyn til og over for den enkelte dataansvarlige.

Artikel 22

Databehandler

1.  Medlemsstaterne fastsætter, hvis en behandling foretages på vegne af en dataansvarlig, bestemmelser om, at den dataansvarlige udelukkende må benytte databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i dette direktiv og sikrer beskyttelse af den registreredes rettigheder.

2.  Medlemsstaterne fastsætter bestemmelser om, at databehandleren ikke må gøre brug af en anden databehandler uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

3.  Medlemsstaterne fastsætter bestemmelser om, at en databehandlers behandling skal være omfattet af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Denne kontrakt eller andet retlige dokument fastlægger navnlig, at databehandleren:

4.  Kontrakten eller det andet retlige dokument, der er omhandlet i stk. 3, skal foreligge skriftligt, herunder elektronisk.

5.  Hvis en databehandler i strid med dette direktiv fastlægger formålene med og hjælpemidlerne til behandling, anses denne databehandler for at være en dataansvarlig, for så vidt angår den pågældende behandling.

Artikel 23

Behandling, der udføres for den dataansvarlige eller databehandleren

Medlemsstaterne fastsætter bestemmelser om, at databehandleren og enhver, der udfører arbejde for den dataansvarlige eller databehandleren, og som har adgang til personoplysninger, kun må behandle disse oplysninger efter instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret.

Artikel 24

Fortegnelser over behandlingsaktiviteter

1.  Medlemsstaterne fastsætter bestemmelser om, at de dataansvarlige fører fortegnelser over alle kategorier af behandlingsaktiviteter under deres ansvar. Disse fortegnelser skal omfatte alle af følgende oplysninger:

2.  Medlemsstaterne fastsætter bestemmelser om, at hver databehandler skal føre fortegnelser over alle kategorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig, idet fortegnelsen skal indeholde:

3.  De fortegnelser, der er omhandlet i stk. 1 og 2, skal foreligge skriftligt, herunder elektronisk.

Den dataansvarlige og databehandleren stiller efter anmodning disse fortegnelser til rådighed for tilsynsmyndigheden.

Artikel 25

Logning

1.  Medlemsstaterne fastsætter bestemmelser om, at der som minimum skal foretages logning af følgende former for behandlingsaktiviteter i automatiske databehandlingssystemer: indsamling, ændring, søgning, videregivelse, herunder overførsel, samkøring og sletning. Logning af søgning og videregivelse skal gøre det muligt at fastlægge begrundelsen, datoen og tidspunktet for sådanne aktiviteter og i videst muligt omfang identifikation af den person, som har søgt eller videregivet personoplysninger, og identiteten på modtagerne af sådanne personoplysninger.

2.  Loggene anvendes udelukkende til at kontrollere, om behandling er lovlig, til egenkontrol, til at sikre integriteten og sikkerheden af personoplysningerne og i forbindelse med straffesager.

3.  Den dataansvarlige og databehandleren stiller efter anmodning loggene til rådighed for tilsynsmyndigheden.

Artikel 26

Samarbejde med tilsynsmyndigheden

Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige og databehandleren efter anmodning skal samarbejde med tilsynsmyndigheden i forbindelse med udførelsen af dens opgaver.

Artikel 27

Konsekvensanalyse vedrørende databeskyttelse

1.  Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, fastsætter medlemsstaterne bestemmelser om, at den dataansvarlige forud for behandlingen foretager en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.

2.  Den i stk. 1 omhandlede analyse skal mindst omfatte en generel beskrivelse af de planlagte behandlingsaktiviteter, en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder, de foranstaltninger, der påtænkes for at imødegå disse risici, garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af dette direktiv, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

Artikel 28

Forudgående høring af tilsynsmyndigheden

1.  Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige eller databehandleren skal høre tilsynsmyndigheden inden behandling af personoplysninger, der vil indgå som en del af et nyt register, der skal oprettes, såfremt:

2.  Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden skal høres som led i udarbejdelsen af et forslag til lovgivningsmæssig foranstaltning, som skal vedtages af et nationalt parlament, eller af en regulerende foranstaltning, der har hjemmel i en sådan lovgivningsmæssig foranstaltning, og som vedrører behandling.

3.  Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden kan fastsætte en liste over de behandlingsaktiviteter, hvor der i henhold til stk. 1 skal foretages en forudgående høring.

4.  Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige forelægger tilsynsmyndigheden den i artikel 27 omhandlede konsekvensanalyse vedrørende databeskyttelse og efter anmodning andre oplysninger, der sætter tilsynsmyndigheden i stand til at vurdere behandlingens overensstemmelse, og navnlig risiciene for beskyttelsen af registreredes personoplysninger og tilknyttede garantier.

5.  Medlemsstaterne fastsætter, hvis tilsynsmyndigheden finder, at den planlagte behandling omhandlet i nærværende artikels stk. 1, overtræder de bestemmelser, der vedtages i henhold til dette direktiv, navnlig hvis den dataansvarlige ikke tilstrækkeligt har identificeret eller begrænset risikoen, bestemmelser om, at tilsynsmyndigheden inden for en periode på op til seks uger efter modtagelse af anmodningen om høring skal give den dataansvarlige og, hvor det er relevant, databehandleren skriftlig rådgivning og i den forbindelse kan anvende enhver af sine beføjelser, jf. artikel 47. Denne periode kan forlænges med en måned under hensyntagen til den påtænkte behandlings kompleksitet. Tilsynsmyndigheden underretter den dataansvarlige og, hvor det er relevant, databehandleren om enhver sådan forlængelse senest en måned efter modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen.

Afdeling 2

Personoplysningssikkerhed

Artikel 29

Behandlingssikkerhed

1.  Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige og databehandleren under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, navnlig for så vidt angår behandlingen af de særlige kategorier af personoplysninger, der er omhandlet i artikel 10.

2.  For så vidt angår automatisk behandling, fastsætter medlemsstaterne bestemmelser om, at den dataansvarlige eller databehandleren på grundlag af en risikovurdering gennemfører foranstaltninger til at sikre, at:

Artikel 30

Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden

1.  Medlemsstaterne fastsætter ved brud på persondatasikkerheden bestemmelser om, at den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, skal anmelde bruddet på persondatasikkerheden til tilsynsmyndigheden, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.

2.  Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.

3.  Den i stk. 1 omhandlede anmeldelse skal mindst:

4.  Når og for så vidt som det ikke er muligt at forelægge oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.

5.  Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal dokumentere alle brud på persondatasikkerheden som omhandlet i stk. 1, herunder de faktiske omstændigheder vedrørende bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel er overholdt.

6.  Medlemsstaterne fastsætter, hvis bruddet på persondatasikkerheden omfatter personoplysninger, der er transmitteret af eller til den dataansvarlige i en anden medlemsstat, bestemmelser om, at de i stk. 3 omhandlede oplysninger uden unødig forsinkelse skal meddeles til den dataansvarlige i denne medlemsstat.

Artikel 31

Underretning om brud på persondatasikkerheden til den registrerede

1.  Medlemsstaterne fastsætter, når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, bestemmelser om, at den dataansvarlige uden unødig forsinkelse skal underrette den registrerede om bruddet på persondatasikkerheden.

2.  Underretningen af den registrerede i henhold til denne artikels stk. 1 skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 30, stk. 3, litra b), c) og d).

3.  Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis en af følgende betingelser er opfyldt:

4.  Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.

5.  Den i nærværende artikels stk. 1 omhandlede underretning af den registrerede kan udsættes, begrænses eller afskæres på de betingelser og af de årsager, der er omhandlet i artikel 13, stk. 3.

Afdeling 3

Databeskyttelsesrådgiver

Artikel 32

Udpegelse af databeskyttelsesrådgiveren

1.  Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal udpege en databeskyttelsesrådgiver. Medlemsstaterne kan fritage domstole og andre uafhængige judicielle myndigheder, når de udfører deres judicielle opgaver, for denne forpligtelse.

2.  Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 34.

▼C1

3.  En fælles databeskyttelsesrådgiver kan udpeges for flere kompetente myndigheder under hensyntagen til deres organisatoriske struktur og størrelse.

▼B

4.  Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal offentliggøre kontaktoplysningerne for databeskyttelsesrådgiveren og meddele disse til tilsynsmyndigheden.

Artikel 33

Databeskyttelsesrådgiverens stilling

1.  Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal sikre, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.

2.  Den dataansvarlige støtter databeskyttelsesrådgiveren i forbindelse med udførelsen af de i artikel 34 omhandlede opgaver ved at tilvejebringe de ressourcer, der er nødvendige for at udføre disse opgaver og opretholde databeskyttelsesrådgiverens ekspertise, samt adgang til personoplysninger og behandlingsaktiviteter.

Artikel 34

Databeskyttelsesrådgiverens opgaver

Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige som minimum skal overdrage følgende opgaver til databeskyttelsesrådgiveren:

KAPITEL V

Overførsler af personoplysninger til tredjelande eller internationale organisationer

Artikel 35

Generelle principper for overførsler af personoplysninger

1.  Medlemsstaterne fastsætter bestemmelser om, at enhver overførsel af personoplysninger, der foretages af kompetente myndigheder, og som underkastes behandling eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, herunder videreoverførsel til et andet tredjeland eller en anden international organisation, kun må finde sted, hvis de nationale bestemmelser, der vedtages i henhold til dette direktiv, er overholdt, og hvis betingelserne i dette kapitel er opfyldt, navnlig at:

2.  Medlemsstaterne fastsætter bestemmelser om, at overførsel uden forudgående godkendelse fra en anden medlemsstat i overensstemmelse med stk. 1, litra c), kun må tillades, hvis overførslen af personoplysningerne er nødvendig for at forebygge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed eller mod en medlemsstats væsentlige interesser, og den forudgående godkendelse ikke kan indhentes i tide. Den myndighed, der er ansvarlig for at give den forudgående godkendelse, underrettes straks.

3.  Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau for fysiske personer, som sikres i dette direktiv, ikke undermineres.

Artikel 36

Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet

1.  Medlemsstaterne fastsætter bestemmelser om, at overførsel af personoplysninger til et tredjeland eller en international organisation kan finde sted, hvis Kommissionen har fastslået, at tredjelandet, et område eller en eller flere specifikke sektorer i dette tredjeland, eller den pågældende internationale organisation har et tilstrækkeligt beskyttelsesniveau. En sådan overførsel af oplysninger kræver ikke specifik godkendelse.

2.  Ved vurdering af beskyttelsesniveauets tilstrækkelighed tager Kommissionen navnlig følgende elementer i betragtning:

3.  Kommissionen kan efter vurdering af beskyttelsesniveauets tilstrækkelighed ved hjælp af gennemførelsesretsakter fastslå, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2. I den pågældende gennemførelsesretsakt fastsættes en mekanisme for regelmæssig revision, som foretages mindst hvert fjerde år, og som inddrager enhver relevant udvikling i tredjelandet eller den internationale organisation. I gennemførelsesretsakten angives dennes territoriale og sektorbestemte anvendelsesområde og i påkommende tilfælde den eller de tilsynsmyndigheder, jf. denne artikels stk. 2, litra b). Gennemførelsesretsakten vedtages efter undersøgelsesproceduren i artikel 58, stk. 2.

4.  Kommissionen overvåger løbende udviklinger i tredjelande og internationale organisationer, der kan påvirke virkningen af de afgørelser, der er vedtaget i henhold til stk. 3.

5.  Kommissionen ophæver, ændrer eller suspenderer i det omfang, det er nødvendigt, uden tilbagevirkende kraft afgørelsen omhandlet i denne artikels stk. 3, hvis tilgængelige oplysninger, navnlig efter den i denne artikels stk. 3 omhandlede revision, viser, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation ikke længere sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 58, stk. 2.

I behørigt begrundede særligt hastende tilfælde vedtager Kommissionen efter proceduren i artikel 58, stk. 3, gennemførelsesretsakter, der finder anvendelse straks.

6.  Kommissionen fører konsultationer med tredjelandet eller den internationale organisation med henblik på at afhjælpe den situation, der giver anledning til en afgørelse vedtaget i henhold til stk. 5.

7.  Medlemsstaterne fastsætter bestemmelser om, at en afgørelse som angivet i stk. 5 ikke berører overførsel af personoplysninger til det pågældende tredjeland, det pågældende område eller en eller flere specifikke sektorer i dette tredjeland, eller den pågældende internationale organisation i medfør af artikel 37 og 38.

8.  Kommissionen offentliggør i Den Europæiske Unions Tidende og på sit websted en liste over de tredjelande, områder og specifikke sektorer i tredjelande samt internationale organisationer, som den har fastslået sikrer eller ikke længere sikrer et tilstrækkeligt beskyttelsesniveau.

Artikel 37

Overførsler omfattet af fornødne garantier

1.  Hvis der ikke er vedtaget en afgørelse i henhold til artikel 36, stk. 3, fastsætter medlemsstaterne bestemmelser om, at en overførsel af personoplysninger til et tredjeland eller en international organisation kan finde sted, hvis:

2.  Den dataansvarlige underretter tilsynsmyndigheden om kategorier af overførsler i medfør af stk. 1, litra b).

3.  En overførsel, der er hjemlet i stk. 1, litra b), dokumenteres, og dokumentationen stilles til rådighed for tilsynsmyndigheden efter anmodning, herunder dato og tidspunkt for overførslen, oplysninger om den modtagende kompetente myndighed, begrundelsen for overførslen og de overførte personoplysninger.

Artikel 38

Undtagelser i særlige situationer

1.  I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 36 eller fornødne garantier i henhold til artikel 37 fastsætter medlemsstaterne bestemmelser om, at en overførsel eller en kategori af overførsler af personoplysninger til et tredjeland eller en international organisation kun må finde sted, såfremt overførslen er nødvendig:

2.  Personoplysninger må ikke overføres, hvis den overførende kompetente myndighed fastslår, at den pågældende registreredes grundlæggende rettigheder og frihedsrettigheder går forud for samfundets interesse i overførslen, jf. stk. 1, litra d) og e).

3.  En overførsel, der er hjemlet i stk. 1, skal dokumenteres, og dokumentationen stilles til rådighed for tilsynsmyndigheden efter anmodning og skal omfatte dato og tidspunkt for overførslen, oplysninger om den modtagende kompetente myndighed, begrundelsen for overførslen og angivelse af de overførte personoplysninger.

Artikel 39

Overførsler af personoplysninger til modtagere i tredjelande

1.  Uanset artikel 35, stk. 1, litra b), og uden at det berører en eventuel international aftale, jf. nærværende artikels stk. 2, kan EU-retten eller medlemsstaternes nationale ret fastsætte bestemmelser om, at de kompetente myndigheder omhandlet i artikel 3, nr. 7), litra a), i enkeltstående og specifikke tilfælde skal overføre personoplysninger direkte til modtagere i tredjelande, men kun hvis de øvrige bestemmelser i dette direktiv overholdes, og alle af følgende betingelser er opfyldt:

2.  En international aftale, jf. stk. 1, skal være en bilateral eller multilateral international aftale, der er indgået mellem medlemsstater og tredjelande om retligt samarbejde i straffesager og politisamarbejde.

3.  Den overførende kompetente myndighed underretter tilsynsmyndigheden om overførsler i medfør af denne artikel.

4.  Hvis en overførsel er hjemlet i stk. 1, skal denne overførsel dokumenteres.

Artikel 40

Internationalt samarbejde om beskyttelse af personoplysninger

Kommissionen og tilsynsmyndighederne træffer i forhold til tredjelande og internationale organisationer de nødvendige foranstaltninger til at:

KAPITEL VI

Uafhængige tilsynsmyndigheder

Afdeling 1

Uafhængig status

Artikel 41

Tilsynsmyndighed

1.  Hver medlemsstat fastsætter bestemmelser om, at en eller flere uafhængige offentlige myndigheder skal være ansvarlige for at føre tilsyn med anvendelsen af dette direktiv, for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveksling af personoplysninger i Unionen (»tilsynsmyndighed«).

2.  Hver enkelt tilsynsmyndighed bidrager til den ensartede anvendelse af dette direktiv i hele Unionen. Til dette formål samarbejder tilsynsmyndighederne med hinanden og med Kommissionen i henhold til kapitel VII.

3.  Medlemsstaterne kan fastsætte bestemmelser om, at en tilsynsmyndighed, der er oprettet ved forordning (EU) 2016/679, skal være den tilsynsmyndighed, der er omhandlet i dette direktiv, og skal overdrages ansvaret for de opgaver, som skal udføres af den tilsynsmyndighed, der skal oprettes i medfør af denne artikels stk. 1.

4.  Hvis der er mere end én tilsynsmyndighed i en medlemsstat, udpeger den pågældende medlemsstat en tilsynsmyndighed, der skal repræsentere disse myndigheder i det i artikel 51 omhandlede databeskyttelsesråd.

Artikel 42

Uafhængighed

1.  Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed skal udføre sine opgaver og udøve sine beføjelser i henhold til dette direktiv i fuld uafhængighed.

2.  Medlemsstaterne fastsætter bestemmelser om, at medlemmet eller medlemmerne af deres tilsynsmyndigheder i forbindelse med udførelsen af deres opgaver og udøvelsen af deres beføjelser i henhold til dette direktiv skal være frie for udefrakommende indflydelse, det være sig direkte eller indirekte, og at de hverken søger eller modtager instrukser fra andre.

3.  Medlemmer af medlemsstaternes tilsynsmyndigheder skal afholde sig fra enhver handling, der er uforenelig med deres hverv, og må ikke, så længe deres embedsperiode varer, udøve uforenelig lønnet eller ulønnet virksomhed.

4.  Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed råder over de nødvendige menneskelige, tekniske og finansielle ressourcer samt lokaler og infrastruktur til effektivt at kunne udføre sine opgaver og udøve sine beføjelser, herunder opgaver og beføjelser vedrørende gensidig bistand samt samarbejde med og deltagelse i Databeskyttelsesrådet.

5.  Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed vælger og råder over sit eget personale, der alene er under ledelse af medlemmet eller medlemmerne af den pågældende tilsynsmyndighed.

6.  Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed er underlagt finansiel kontrol, som ikke påvirker dens uafhængighed, og at den fører særskilte, offentlige årsbudgetter, der kan være en del af det samlede statsbudget eller nationale budget.

Artikel 43

Generelle betingelser for medlemmer af en tilsynsmyndighed

1.  Medlemsstaterne fastsætter bestemmelser om, at hvert medlem af deres tilsynsmyndigheder skal udnævnes efter en gennemsigtig procedure af:

2.  Hvert medlem skal have de kvalifikationer, den erfaring og den kompetence, navnlig på området beskyttelse af personoplysninger, der er nødvendig for at varetage dets hverv og udøve dets beføjelser.

3.  Et medlems hverv ophører ved udløbet af embedsperioden, ved frivillig fratrædelse eller ved obligatorisk fratrædelse i henhold til den pågældende medlemsstats nationale ret.

4.  Et medlem må kun afskediges i tilfælde af alvorligt embedsmisbrug, eller hvis medlemmet ikke længere opfylder betingelserne for at varetage sit hverv.

Artikel 44

Regler om oprettelse af en tilsynsmyndighed

1.  Hver medlemsstat fastsætter ved lov bestemmelse om alle af følgende:

2.  Den enkelte tilsynsmyndigheds medlem eller medlemmer og personale har i overensstemmelse med EU-retten eller medlemsstaternes nationale ret såvel under som efter deres embedsperiode tavshedspligt for så vidt angår alle fortrolige oplysninger, der er kommet til deres kendskab under udførelsen af deres opgaver eller udøvelsen af deres beføjelser. I deres embedsperiode gælder denne tavshedspligt især indberetninger fra fysiske personer af overtrædelser af dette direktiv.

Afdeling 2

Kompetence, opgaver og beføjelser

Artikel 45

Kompetence

1.  Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed skal have kompetence til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med dette direktiv, på dens egen medlemsstats område.

2.  Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed ikke skal have kompetence til at føre tilsyn med domstolenes behandlingsaktiviteter, når de handler i deres egenskab af domstol. Medlemsstaterne kan fastsætte bestemmelser om, at deres tilsynsmyndighed ikke skal have kompetence til at føre tilsyn med andre uafhængige judicielle myndigheders behandlingsaktiviteter, når de udfører deres judicielle opgaver.

Artikel 46

Opgaver

1.  Hver medlemsstat fastsætter for sit område bestemmelser om, at den enkelte tilsynsmyndighed skal:

2.  Hver tilsynsmyndighed letter indgivelsen af klager, jf. stk. 1, litra f), gennem foranstaltninger som f.eks. en klageformular, der også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmidler.

3.  Hver tilsynsmyndighed varetager sine opgaver uden udgifter for den registrerede og for databeskyttelsesrådgiveren.

4.  Hvis en anmodning er åbenbart grundløs eller uforholdsmæssig, især fordi den gentages, kan tilsynsmyndigheden opkræve et rimeligt gebyr baseret på dens administrative omkostninger eller afvise at efterkomme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller uforholdsmæssig, påhviler tilsynsmyndigheden.

Artikel 47

Beføjelser

1.  Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have effektive undersøgelsesbeføjelser. Disse beføjelser skal som minimum indeholde beføjelse til af den dataansvarlige eller databehandleren at få indsigt i alle de personoplysninger, der er under behandling, og alle oplysninger, der kræves til udførelse af myndighedens opgaver.

2.  Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have effektive korrigerende beføjelser såsom f.eks.:

3.  Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have effektive rådgivningsbeføjelser til at rådgive den dataansvarlige efter den procedure for forudgående høring, der er omhandlet i artikel 28, og på eget initiativ eller efter anmodning at afgive udtalelser til dens nationale parlament og dens regering eller i henhold til sin nationale ret til andre institutioner og organer samt offentligheden om ethvert spørgsmål om beskyttelse af personoplysninger.

4.  Udøvelsen af de beføjelser, der tillægges tilsynsmyndigheden i medfør af denne artikel, er underlagt de fornødne garantier, herunder effektive retsmidler og retfærdig procedure, som fastsat i EU-retten og medlemsstaternes nationale ret i overensstemmelse med chartret.

5.  Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have beføjelse til at indbringe overtrædelser af de bestemmelser, der vedtages i henhold til dette direktiv, for de judicielle myndigheder og om nødvendigt at indlede eller på anden måde deltage i retssager med henblik på at håndhæve de bestemmelser, der vedtages i henhold til dette direktiv.

Artikel 48

Indberetning af overtrædelser

Medlemsstaterne fastsætter bestemmelser om, at de kompetente myndigheder skal indføre effektive mekanismer, som tilskynder til fortrolig indberetning af overtrædelser af dette direktiv.

Artikel 49

Aktivitetsrapport

Hver tilsynsmyndighed udarbejder en årlig rapport om sin virksomhed, eventuelt med en liste over, hvilke typer overtrædelser der er blevet anmeldt, og hvilke typer sanktioner der er blevet pålagt. Disse rapporter fremsendes til det nationale parlament, regeringen og andre myndigheder, der er udpeget i henhold til medlemsstaternes nationale ret. De gøres tilgængelige for offentligheden, Kommissionen og Databeskyttelsesrådet.

KAPITEL VII

Samarbejde

Artikel 50

Gensidig bistand

1.  Hver medlemsstat fastsætter bestemmelser om, at deres tilsynsmyndigheder skal udveksle relevante oplysninger og yde hinanden gensidig bistand med henblik på at gennemføre og anvende dette direktiv på en ensartet måde, og træffe foranstaltninger med henblik på et effektivt samarbejde med hinanden. Gensidig bistand omfatter navnlig anmodninger om oplysninger og tilsynsforanstaltninger som f.eks. anmodninger om gennemførelse af høringer, inspektioner og undersøgelser.

2.  Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed skal træffe alle passende foranstaltninger, som er nødvendige for at besvare en anmodning fra en anden tilsynsmyndighed uden unødig forsinkelse og senest en måned efter modtagelsen af anmodningen. Sådanne foranstaltninger kan bl.a. omfatte videregivelse af relevante oplysninger om gennemførelsen af en undersøgelse.

3.  Anmodninger om bistand skal indeholde alle nødvendige oplysninger, herunder formålet med og grunden til anmodningen. Udvekslede oplysninger må kun anvendes til det formål, som er angivet i anmodningen.

4.  Den anmodede tilsynsmyndighed må ikke afvise at imødekomme anmodningen, medmindre:

5.  Den anmodede tilsynsmyndighed underretter den anmodende tilsynsmyndighed om resultaterne eller efter omstændighederne om fremskridtene med de foranstaltninger, der er truffet for at imødekomme anmodningen. Den anmodede tilsynsmyndighed begrunder enhver afvisning af at imødekomme en anmodning i henhold til stk. 4.

6.  Anmodede tilsynsmyndigheder fremsender som hovedregel de oplysninger, som andre tilsynsmyndigheder anmoder om, elektronisk i et standardformat.

7.  Anmodede tilsynsmyndigheder må ikke opkræve gebyr for foranstaltninger, der træffes af dem på grundlag af en anmodning om gensidig bistand. Tilsynsmyndighederne kan vedtage regler om at godtgøre hinanden for specifikke udgifter, der opstår under ekstraordinære omstændigheder, når der ydes gensidig bistand.

8.  Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge format og procedurer for gensidig bistand som omhandlet i denne artikel og ordninger for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder og mellem tilsynsmyndigheder og Databeskyttelsesrådet. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 58, stk. 2.

Artikel 51

Databeskyttelsesrådets opgaver

1.  Databeskyttelsesrådet, der er oprettet ved forordning (EU) 2016/679, udøver alle af følgende opgaver i forbindelse med behandling af personoplysninger inden for dette direktivs anvendelsesområde:

▼C1

▼B

For så vidt angår første afsnit, litra g), forelægger Kommissionen Databeskyttelsesrådet al nødvendig dokumentation for, herunder korrespondance med regeringen i tredjelandet, med området eller den specifikke sektor i tredjelandet, eller med den internationale organisation.

2.  Hvis Kommissionen anmoder Databeskyttelsesrådet om rådgivning, kan den fastsætte en frist under hensyntagen til, hvor meget den pågældende sag haster.

3.  Databeskyttelsesrådet fremsender sine udtalelser, retningslinjer, henstillinger og bedste praksis til Kommissionen og det udvalg, der er omhandlet i artikel 58, stk. 1, og offentliggør dem.

4.  Kommissionen underretter Databeskyttelsesrådet om sin opfølgning på udtalelser, retningslinjer, henstillinger og bedste praksis udarbejdet af Databeskyttelsesrådet.

KAPITEL VIII

Retsmidler, ansvar og sanktioner

Artikel 52

Ret til at indgive klage til en tilsynsmyndighed

1.  Uden at det berører andre administrative klageadgange eller adgang til retsmidler, fastsætter medlemsstaterne bestemmelser om, at enhver registreret skal have ret til at indgive klage til en enkelt tilsynsmyndighed, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder de bestemmelser, der vedtages i henhold til dette direktiv.

2.  Medlemsstaterne fastsætter bestemmelser om, at den tilsynsmyndighed, som klagen er indgivet til, uden unødig forsinkelse skal videresende den til den kompetente tilsynsmyndighed, hvis klagen ikke er indgivet til den tilsynsmyndighed, der er kompetent i henhold til artikel 45, stk. 1. Den registrerede underrettes om videresendelsen.

3.  Medlemsstaterne fastsætter bestemmelser om, at den tilsynsmyndighed, som klagen er indgivet til, skal yde supplerende bistand efter den registreredes anmodning.

4.  Den kompetente tilsynsmyndighed underretter den registrerede om forløbet og resultatet af klagen, herunder om muligheden for anvendelse af retsmidler, jf. artikel 53.

Artikel 53

Adgang til effektive retsmidler over for en tilsynsmyndighed

1.  Uden at det berører andre administrative eller udenretslige klageadgange, fastsætter medlemsstaterne bestemmelser om, at enhver fysisk eller juridisk person har ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende.

2.  Uden at det berører andre administrative eller udenretslige klageadgange, har den enkelte registrerede adgang til effektive retsmidler, hvis den tilsynsmyndighed, der er kompetent i henhold til artikel 45, stk. 1, ikke behandler en klage eller undlader at underrette den registrerede om forløbet eller resultatet af en klage, der er indgivet i henhold til artikel 52, inden for tre måneder.

3.  Medlemsstaterne fastsætter bestemmelser om, at en sag mod en tilsynsmyndighed skal anlægges ved en domstol i den medlemsstat, hvor tilsynsmyndigheden er etableret.

Artikel 54

Adgang til et effektivt retsmiddel over for en dataansvarlig eller databehandler

Uden at det berører andre tilgængelige administrative eller udenretslige klageadgange, herunder retten til at indgive klage til en tilsynsmyndighed i henhold til artikel 52, fastsætter medlemsstaterne bestemmelser om, at en registreret skal have adgang til effektive retsmidler, hvis vedkommende finder, at vedkommendes rettigheder fastsat i bestemmelser, der er vedtaget i henhold til dette direktiv, er blevet krænket som følge af behandling af vedkommendes personoplysninger i strid med dette direktiv.

Artikel 55

Repræsentation af registrerede

Medlemsstaterne fastsætter i overensstemmelse med medlemsstaternes nationale retsplejeregler bestemmelser om, at den registrerede skal have ret til at bemyndige et organ, en organisation eller en sammenslutning, der er etableret i overensstemmelse med medlemsstaternes nationale ret, som ikke arbejder med gevinst for øje, hvis vedtægtsmæssige formål er af almen interesse, og som er aktiv på området for beskyttelse af registreredes rettigheder og frihedsrettigheder med hensyn til beskyttelse af deres personoplysninger, til at indgive en klage på sine vegne og til at udøve de rettigheder, der er omhandlet i artikel 52, 53 og 54, på sine vegne.

Artikel 56

Ret til erstatning

Medlemsstaterne fastsætter bestemmelser om, at enhver person, som har lidt materiel eller immateriel skade som følge af en ulovlig behandlingsaktivitet eller enhver anden handling, der overtræder de nationale bestemmelser, der vedtages i henhold til dette direktiv, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller en anden myndighed, der er kompetent i henhold til medlemsstaternes nationale ret.

Artikel 57

Sanktioner

Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de bestemmelser, der vedtages i henhold til dette direktiv, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

KAPITEL IX

Gennemførelsesretsakter

Artikel 58

Udvalgsprocedure

1.  Kommissionen bistås af udvalget nedsat ved artikel 93 i forordning (EU) 2016/679. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2.  Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.

3.  Når der henvises til dette stykke, finder artikel 8 i forordning (EU) nr. 182/2011 sammenholdt med dennes artikel 5 anvendelse.

KAPITEL X

Afsluttende bestemmelser

Artikel 59

Ophævelse af rammeafgørelse 2008/977/RIA

1.  Rammeafgørelse 2008/977/RIA ophæves med virkning fra den 6. maj 2018.

2.  Henvisninger til den ophævede afgørelse, jf. stk. 1, gælder som henvisninger til dette direktiv.

Artikel 60

EU-retsakter, der allerede er i kraft

De særlige bestemmelser til beskyttelse af personoplysninger i EU-retsakter, der den eller inden den 6. maj 2016 er trådt i kraft på området for retligt samarbejde i straffesager og politisamarbejde, og som regulerer behandling mellem medlemsstaterne og medlemsstaternes udpegede myndigheders adgang til informationssystemer, der er oprettet i henhold til traktaterne inden for dette direktivs anvendelsesområde, berøres ikke.

Artikel 61

Forhold til tidligere indgåede internationale aftaler på området for retligt samarbejde i straffesager og politisamarbejde

Internationale aftaler, der omfatter overførsel af personoplysninger til tredjelande eller internationale organisationer, som er indgået af medlemsstaterne inden den 6. maj 2016, og som overholder den EU-ret, der finder anvendelse inden denne dato, forbliver i kraft, indtil de ændres, erstattes eller ophæves.

Artikel 62

Kommissionsrapporter

1.  Senest den 6. maj 2022 og hvert fjerde år derefter forelægger Kommissionen Europa-Parlamentet og Rådet en rapport om evaluering og revision af dette direktiv. Rapporterne skal offentliggøres.

2.  I forbindelse med de i stk. 1 omhandlede evalueringer og revisioner undersøger Kommissionen navnlig, hvordan kapitel V om overførsel af personoplysninger til tredjelande eller internationale organisationer anvendes og fungerer, særlig med hensyn til afgørelser vedtaget i henhold til artikel 36, stk. 3, og artikel 39.

3.  Kommissionen kan med henblik på stk. 1 og 2 anmode om oplysninger fra medlemsstaterne og tilsynsmyndighederne.

4.  Når Kommissionen foretager evaluering og revision, jf. stk. 1 og 2, tager den hensyn til holdninger og resultater fra Europa-Parlamentet, fra Rådet og fra andre relevante organer eller kilder.

5.  Kommissionen forelægger om nødvendigt relevante forslag med henblik på ændring af dette direktiv, navnlig under hensyntagen til udviklingen inden for informationsteknologi og i lyset af fremskridtene i informationssamfundet.

6.  Senest den 6. maj 2019 gennemgår Kommissionen andre vedtagne EU-retsakter, som regulerer de kompetente myndigheders behandling med henblik på artikel 1, stk. 1, herunder dem, der er omhandlet i artikel 60, for at vurdere behovet for at tilpasse dem til dette direktiv og, hvis det er hensigtsmæssigt, at fremsætte de forslag til ændring af disse retsakter, der måtte være nødvendige for at sikre en konsekvent tilgang til beskyttelse af personoplysninger inden for dette direktivs anvendelsesområde.

Artikel 63

Gennemførelse

1.  Medlemsstaterne vedtager og offentliggør senest den 6. maj 2018 de love og administrative bestemmelser, der er nødvendige for at efterkomme dette direktiv. De meddeler straks Kommissionen teksten til disse love og bestemmelser. De anvender disse love og bestemmelser fra den 6. maj 2018.

Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. Medlemsstaterne fastsætter de nærmere regler for henvisningen.

2.  Uanset stk. 1 kan en medlemsstat i ekstraordinære tilfælde, og hvis det er uforholdsmæssigt vanskeligt, fastsætte bestemmelser om, at automatiske behandlingssystemer, der er indført før den 6. maj 2016, skal bringes i overensstemmelse med artikel 25, stk. 1, senest den 6. maj 2023.

3.  Uanset denne artikels stk. 1 og 2 kan en medlemsstat under ekstraordinære omstændigheder bringe et automatisk behandlingssystem som omhandlet i denne artikels stk. 2 i overensstemmelse med artikel 25, stk. 1, inden for en nærmere angivet periode efter den periode, der er omhandlet i nærværende artikels stk. 2, hvis det i modsat fald ville forårsage alvorlige vanskeligheder for driften af det pågældende automatiske behandlingssystem. Den pågældende medlemsstat meddeler Kommissionen årsagerne til disse alvorlige vanskeligheder og årsagerne til den angivne periode, inden for hvilken den bringer det pågældende automatiske behandlingssystem i overensstemmelse med artikel 25, stk. 1. Den angivne periode må under ingen omstændigheder være senere end den 6. maj 2026.

4.  Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.

Artikel 64

Ikrafttræden

Dette direktiv træder i kraft dagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Artikel 65

Adressater

Dette direktiv er rettet til medlemsstaterne.