BEGRUNDELSE

1. BAGGRUND FOR FORSLAGET

I denne begrundelse redegøres der nærmere for den nye retlige ramme for beskyttelse af personoplysninger i EU som fremlagt i Kommissionens meddelelse COM(2012) 9 final. Rammen består af to forslag til retsakt:

– et forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse)

– et forslag til Europa-Parlamentets og Rådets direktiv om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger.

Denne begrundelse vedrører sidstnævnte forslag.

Kernen i den eksisterende EU-lovgivning om beskyttelse af personoplysninger, direktiv 95/46/EF[1], blev vedtaget i 1995 med det dobbelte formål at beskytte den grundlæggende ret til databeskyttelse og at garantere fri udveksling af personoplysninger mellem medlemsstaterne. Det er blevet suppleret med en række instrumenter med specifikke databeskyttelsesregler på området politimæssigt og retligt samarbejde i straffesager[2] (tidligere tredje søjle), herunder rammeafgørelse 2008/977/RIA[3].

Det Europæiske Råd har opfordret Kommissionen til at evaluere, hvordan EU's instrumenter vedrørende databeskyttelse fungerer, og om nødvendigt fremlægge yderligere lovgivnings­mæssige eller ikke-lovgivningsmæssige initiativer[4]. I sin beslutning om Stockholm­programmet glædede Europa-Parlamentet[5] sig over forslaget til en generel databeskyttelses­ordning i EU og opfordrede bl.a. til en revision af rammeafgørelsen. Kommissionen har i sin handlingsplan om gennemførelse af Stockholmprogrammet[6] understreget behovet for at sikre, at den grundlæggende ret til beskyttelse af personoplysninger overholdes konsekvent i forbindelse med alle EU-politikker. Det understreges i handlingsplanen, at "i et globalt samfund, der er præget af hurtige teknologiske ændringer, hvor informationsudvekslingen ikke kender til grænser, er det i særdeleshed vigtigt, at privatlivets fred sikres. EU skal sikre, at den grundlæggende ret til databeskyttelse overholdes konsekvent. Vi skal styrke EU’s holdning til beskyttelse af personoplysninger inden for rammerne af alle EU-politikker, herunder retshåndhævelse og kriminalitetsforebyggelse, og i vores internationale relationer."

I sin meddelelse "En global metode til beskyttelse af personoplysninger i Den Europæiske Union"[7] konkluderede Kommissionen, at EU har brug for en mere omfattende og sammenhængende politik om den grundlæggende ret til beskyttelse af personoplysninger.

Rammeafgørelse 2008/997/RIA har et begrænset anvendelsesområde, da den kun finder anvendelse på databehandling på tværs af grænserne og ikke på politi- og retsmyndighedernes databehandling på rent nationalt plan. Dette vil kunne skabe vanskeligheder for politiet og andre myndigheder på områderne strafferetligt samarbejde og politisamarbejde. De er ikke altid i stand til med lethed at sondre mellem rent national databehandling og databehandling på tværs af grænserne eller til at forudse, om personoplysninger senere bliver genstand for udveksling på tværs af grænserne. (se afdeling 2 nedenfor). Rammeafgørelsen giver desuden i kraft af sin art og sit indhold medlemsstaterne et meget stort råderum til at gennemføre rammebestemmelserne i national lovgivning. Den indeholder endvidere ikke bestemmelser om mekanismer eller en rådgivende gruppe som Artikel 29-gruppen, der kan fremme en fælles fortolkning af rammebestemmelserne, eller bestemmelser om gennemførelsesbeføjelser til Kommissionen for at sikre en fælles tilgang til gennemførelsen.

I artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde (TEUF) fastsættes det, at enhver har ret til beskyttelse af personoplysninger. Ved artikel 16, stk. 2, i TEUF indfører Lissabontraktaten desuden et specifikt retsgrundlag for vedtagelsen af regler om beskyttelse af personoplysninger, der også finder anvendelse på retligt samarbejde i straffe­sager og politisamarbejde. I artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder fastslås det, at beskyttelse af personoplysninger er en grundlæggende rettighed. I henhold til artikel 16 i TEUF skal lovgiveren fastsætte regler for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger, også inden for strafferetligt samarbejde og politisamarbejde, som omfatter behandling af personoplysninger både på tværs af grænserne og nationalt. Det vil gøre det muligt at beskytte fysiske personers grundlæggende rettigheder og friheder, særlig deres ret til beskyttelse af personoplysninger, og samtidig sikre udvekslingen af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner. Det vil bidrage til at fremme samarbejdet om bekæmpelse af kriminalitet i Europa.

Som følge af den specifikke karakter af politimæssigt og retligt samarbejde i straffesager erkendte konferencen i erklæring 21[8], at det kan blive nødvendigt med specifikke regler om beskyttelse af personoplysninger og om fri bevægelighed for disse oplysninger inden for retligt samarbejde i straffesager og politisamarbejde baseret på artikel 16 i TEUF.

2. RESULTATER AF HØRINGEN AF INTERESSEREDE PARTER OG KONSEKVENSANALYSER

Dette initiativ er resultatet af omfattende høringer af de vigtigste interesserede parter om en revision af den nuværende retlige ramme for beskyttelse af personoplysninger, der omfattede to offentlige høringsfaser:

– Fra den 9. juli til den 31. december 2009: høring om den retlige ramme for beskyttelse af personoplysninger, hvor Kommissionen modtog 168 svar, heraf 127 fra enkeltpersoner, erhvervsorganisationer og -sammenslutninger og 12 fra offentlige myndigheder Alle ikke-fortrolige bidrag findes på Kommissionens websted[9].

– Fra den 4. november 2010 til den 15. januar 2011: høring om Kommissionens globale metode til beskyttelse af personoplysninger i EU, hvor Kommissionen modtog 305 svar, heraf 54 fra borgere, 31 fra offentlige myndigheder og 220 fra private organisationer, navnlig erhvervssammenslutninger og ngo'er. Alle ikke-fortrolige bidrag findes på Kommissionens websted[10].

Disse høringer fokuserede i vid udstrækning på revisionen af direktiv 95/46/EF, men der blev også gennemført målrettede høringer af de berørte retshåndhævende myndigheder. Der blev navnlig afholdt en workshop den 29. juni 2010 med deltagelse af myndigheder fra medlemsstaterne om anvendelsen af databeskyttelsesreglerne på offentlige myndigheder, herunder på området politimæssigt og retligt samarbejde i straffesager. Den 2. februar 2011 afholdt Kommissionen desuden en workshop med deltagelse af medlemsstaternes myndigheder med det formål at drøfte gennemførelsen af rammeafgørelse 2008/977/RIA og mere generelt databeskyttelsesspørgsmål i forbindelse med politimæssigt og retligt samarbejde i straffesager.

EU-borgere blev hørt i en Eurobarometerundersøgelse i november-december 2010[11]. Der blev også indledt en række undersøgelser[12]. "Artikel 29-gruppen"[13] indgav en række udtalelser og nyttige bidrag til Kommissionen[14]. Den Europæiske Tilsynsførende for Databeskyttelse har også afgivet en bred udtalelse om de spørgsmål, der rejses i Kommissionens meddelelse fra november 2010[15].

Parlamentet godkendte ved sin beslutning af 6. juli 2011 en betænkning, der støttede Kommissionens tilgang til reformen af databeskyttelsesrammen[16]. Rådet støttede i sine konklusioner vedtaget den 24. februar 2011 generelt Kommissionens hensigt om at reformere databeskyttelsesrammen og tilsluttede sig mange af elementerne i Kommissionens tilgang. Det Europæiske Økonomiske og Sociale Udvalg har ligeledes givet sin støtte til Kommissionens generelle hensigt om at sikre en mere sammenhængende anvendelse af EU's databeskyttelsesregler på tværs af alle medlemsstater og en hensigtsmæssig revision af direktiv 95/46/EF[17].

Kommissionen har i overensstemmelse med sin handlingsplan for en bedre lovgivning foretaget en konsekvensanalyse af alternative politikker[18]. Konsekvensanalysen var baseret på de tre politiske målsætninger om at lægge større vægt på databeskyttelse som led i det indre marked, forbedre fysiske personers muligheder for at udøve deres databeskyttelsesrettigheder og skabe et omfattende og sammenhængende system, der dækker alle EU's kompetence­områder, herunder politimæssigt og retligt samarbejde i straffesager. To politiske løsningsmodeller blev overvejet i forbindelse med denne sidste målsætning. Den første model bestod grundlæggende i at udvide datebeskyttelsesreglernes anvendelsesområde på dette område og tage fat på at udfylde hullerne og løse andre problemer, rammeafgørelsen rejser. Den anden model var mere vidtrækkende med meget præskriptive og strenge bestemmelser, der også ville gøre det tvingende nødvendigt at ændre alle andre tidligere tredje søjle-instrumenter. Man mente ikke, at en tredje "minimalistisk" model, primært baseret på fortolk­ningsmeddelelser og politiske støtteforanstaltninger som f.eks. finansieringsprogrammer og tekniske værktøjer og minimale lovgivningsændringer, i tilstrækkelig grad kunne afhjælpe de konstaterede problemer på dette område i relation til databeskyttelse.

I overensstemmelse med Kommissionens fastlagte metode blev hver model vurderet med hjælp fra en intern tværgående styregruppe i forhold til modellens effektivitet med hensyn til at opfylde de politiske målsætninger, dens økonomiske indvirkning på aktørerne (herunder på EU-institutionernes budget), dens sociale indvirkning og dens indvirkning på de grundlæggende rettigheder. Der blev ikke konstateret miljømæssige indvirkninger.

Analysen af den overordnede indvirkning resulterede i udformningen af den foretrukne model, som indgår i dette forslag. Ifølge analysen vil gennemførelsen heraf føre til en yderligere styrkelse af databeskyttelsen på dette politikområde, navnlig ved at omfatte national databehandling, hvorved retssikkerheden for de kompetente myndigheder på områderne strafferetligt samarbejde og politisamarbejde øges.

Udvalget for Konsekvensanalyse afgav en udtalelse om udkastet til konsekvensanalyse den 9. september 2011. I forlængelse af denne udtalelse blev der navnlig foretaget følgende ændringer i konsekvensanalysen:

– målsætningerne for den planlagte retlige ramme (det omfang, hvori de er opfyldt og ikke opfyldt) og målsætningerne for den planlagte reform blev præciseret

– yderligere dokumentation, forklaringer og præciseringer er føjet til afsnittet om definition af problemer.

Kommissionen har ligeledes udarbejdet en rapport om gennemførelsen af rammeafgørelse 2008/977/RIA i henhold til afgørelsens artikel 29, stk. 2, der skal vedtages som led i denne pakke om databeskyttelse[19]. Rapportens konklusioner, der var baseret på oplysninger fra medlemsstaterne, blev også brugt som input til udarbejdelsen af konsekvensanalysen.

3. FORSLAGETS RETLIGE ASPEKTER 3.1. Retsgrundlag

Forslaget er baseret på artikel 16, stk. 2, i TEUF, som er et nyt, specifikt retsgrundlag indført ved Lissabontraktaten for vedtagelsen af regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger foretaget af EU's institutioner, organer, kontorer og agenturer samt af medlemsstaterne under udøvelse af aktiviteter, der falder inden for rammerne af EU-retten, og for vedtagelsen af regler om fri udveksling af person­oplysninger.

Formålet med forslaget er at sikre et ensartet og højt niveau for databeskyttelse på dette område og således øge den gensidige tillid mellem politi- og retsmyndighederne i de forskellige medlemsstater og fremme fri udveksling af data og samarbejde mellem politi- og retsmyndigheder.

3.2. Nærhedsprincippet og proportionalitetsprincippet

I henhold til nærhedsprincippet (EU-traktatens artikel 5, stk. 3) iværksættes der kun foranstaltninger på EU-plan, hvis og i det omfang de forventede mål ikke i tilstrækkelig grad kan nås af medlemsstaterne alene og derfor på grund af den påtænkte handlings omfang eller virkninger bedre kan gennemføres på EU-plan. I lyset af de ovennævnte problemer giver analysen af nærhedsprincippet følgende begrundelser for nødvendigheden af en indsats på EU-plan:

– Retten til beskyttelse af personoplysninger, som er udtrykkeligt fastsat i artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder og i artikel 16, stk. 1, i TEUF, forudsætter samme databeskyttelsesniveau i hele EU. Den forudsætter samme beskyttelses­niveau for oplysninger, der udveksles og behandles på nationalt plan.

– Der er et voksende behov for, at de retshåndhævende myndigheder i medlemsstaterne behandler og udveksler oplysninger stadig hurtige med henblik på at forebygge og bekæmpe kriminalitet på tværs af grænserne og terrorisme. I den forbindelse vil klare og sammenhængende regler om databeskyttelse på EU-plan medvirke til at styrke samarbejdet mellem de pågældende myndigheder.

– Der er desuden en række praktiske udfordringer i forbindelse med håndhævelsen af lovgivningen om databeskyttelse og et behov for samarbejde mellem medlemsstaterne og deres myndigheder, som bør organiseres på EU-plan for at sikre en ensartet anvendelse af EU-lovgivningen. I visse situationer er EU mest velegnet til effektivt og ensartet at sikre det samme beskyttelsesniveau for fysiske personer, når deres personoplysninger videregives til tredjelande.

– Medlemsstaterne kan ikke selv mindske de aktuelle problemer, navnlig ikke problemerne vedrørende de nationale lovgivningers fragmentering. Der er også et specifikt behov for at skabe en harmoniseret og sammenhængende ramme, som muliggør nem udveksling af personoplysninger på tværs af EU's grænser, samtidig med at alle fysiske personer i EU sikres effektiv beskyttelse.

– Den foreslåede EU-lovgivning vil være mere effektiv end tilsvarende lovgivning på medlemsstatsniveau på grund af problemernes karakter og omfang, som ikke kun gør sig gældende for én eller nogle få medlemsstater.

I henhold til proportionalitetsprincippet skal interventioner være målrettede og må ikke gå videre end det, der er nødvendigt for at nå målene. Det har været det ledende princip i forbindelse med forberedelsen af dette forslag, fra identificeringen og vurderingen af alternative løsningsmodeller til udarbejdelsen af forslaget.

Et direktiv er derfor det bedste instrument til at sikre harmonisering på EU-plan på dette område, samtidig med at medlemsstaterne får den nødvendige fleksibilitet til at gennemføre principperne, reglerne og undtagelserne herfor på nationalt plan. I lyset af kompleksiteten af de nuværende nationale regler for beskyttelse af personoplysninger, der behandles i forbindelse med det politimæssige og retlige samarbejde i straffesager, og målet om en overordnet harmonisering af disse regler ved hjælp af dette direktiv vil Kommissionen være nødt til at bede medlemsstaterne om at fremlægge dokumenter, der forklarer forholdet mellem direktivets enkeltdele og de tilsvarende dele i de nationale gennemførelsesinstrumenter, for at den kan udføre sin opgave med at kontrollere implementeringen af direktivet.

3.3. Sammenfatning af aspektet "grundlæggende rettigheder"

Retten til beskyttelse af personoplysninger er indført ved artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 16 i TEUF samt artikel 8 i den europæiske menneskerettighedskonvention. Som det understreges af EU-Domstolen[20], er retten til beskyttelse af personoplysninger ikke en absolut ret, men skal ses i forhold til dens funktion i samfundet[21]. Databeskyttelse hænger tæt sammen med respekten for privatliv og familieliv, som er omhandlet i chartrets artikel 7. Dette afspejles i artikel 1, stk. 1, i direktiv 95/46/EF, ifølge hvilket medlemsstaterne sikrer beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger.

Andre af chartrets grundlæggende rettigheder, som evt. berøres, omfatter forbuddet mod forskelsbehandling på grund af bl.a. race, etnisk oprindelse, genetiske anlæg, religion eller tro, politiske eller andre anskuelser, handicap eller seksuel orientering (artikel 21), børns rettigheder (artikel 24) og adgang til effektive retsmidler og til en upartisk domstol og en retfærdig rettergang (artikel 47).

3.4. Nærmere beskrivelse af forslaget 3.4.1. KAPITEL I - GENERELLE BESTEMMELSER

I artikel 1 fastsættes genstanden for direktivet, nemlig reglerne om behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner samt direktivets dobbelte målsætning om at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til beskyttelse af personoplysninger, samtidig med at der sikres et højt beskyttelsesniveau for den offentlige sikkerhed, og sikre fri udveksling af personoplysninger mellem de kompetente myndigheder i EU.

I artikel 2 fastlægges direktivets anvendelsesområde. Direktivets anvendelsesområde er ikke begrænset til databehandling på tværs af grænserne, men finder anvendelse på enhver behandling, der foretages af "kompetente myndigheder" (som defineret i artikel 3, stk. 14) inden for rammerne af direktivet. Direktivet finder ikke anvendelse på behandling af personoplysninger ved aktiviteter, som falder uden for EU-rettens rammer, eller behandling af personoplysninger foretaget af EU's institutioner, organer, kontorer og agenturer, der er omfattet af forordning (EF) nr. 45/2001 og af anden specifik lovgivning.

Artikel 3 indeholder definitionerne af de begreber, der anvendes i direktivet. Nogle definitioner er overtaget fra direktiv 95/46/EF og rammeafgørelse 2008/977/RIA, mens andre er ændret og suppleret af yderligere eller nyligt indførte elementer. De nye definitioner er "brud på persondata­sikkerheden", "genetiske data" og "biometriske data", "kompetente myndigheder" (på grundlag af artikel 87 i TEUF og artikel 2, litra h), i rammeafgørelse 2008/977/RIA) og "barn" i overensstemmelse med FN's konvention om barnets rettigheder[22].

3.4.2. KAPITEL II - PRINCIPPER

I artikel 4 fastsættes principperne for behandling af personoplysninger og afspejler artikel 6 i direktiv 95/46/EF og artikel 3 i rammeafgørelse 2008/977/RIA, idet de tilpasses til den særlige baggrund for dette direktiv.

I henhold til artikel 5 skal der så vidt muligt sondres mellem personoplysninger om forskellige kategorier af registrerede. Det er en ny bestemmelse, der hverken er omfattet af direktiv 95/46/EF eller af rammeafgørelse 2008/977/RIA, men som var omfattet af Kommissionens oprindelige forslag til rammeafgørelse[23]. Den bygger på Europarådets henstilling R (87) 15. Der er allerede blevet indført lignende regler for Europol[24] og Eurojust[25].

Artikel 6 om forskellige grader af nøjagtighed og pålidelighed er i overensstemmelse med princip 3.2 i Europarådets henstilling R (87) 15. Lignende regler, som også er omfattet af Kommissionens forslag til rammeafgørelse, er allerede blevet indført for Europol[26].

Artikel 7 indeholder kriterierne for lovlig behandling af personoplysninger, når denne er nødvendig for, at en kompetent myndighed kan udføre sin opgave i henhold til national lovgivning for derved at opfylde en retlig forpligtelse, der påhviler den registeransvarlige for derved at beskytte den registreredes eller en anden persons vitale interesser eller forebygge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed. De øvrige kriterier for lovlig behandling i artikel 7 i direktiv 95/46/EF er ikke relevante for behandling af person­oplysninger inden for politimæssigt og retligt samarbejde i straffesager.

I artikel 8 fastsættes et generelt forbud mod behandling af særlige kategorier af person­oplysninger sammen med undtagelserne fra denne generelle regel baseret på artikel 8 i direktiv 95/46/EF, og der tilføjes bestemmelser om behandling af genetiske data, jf. Den Europæiske Menneskerettighedsdomstols retspraksis[27].

I artikel 9 fastsættes et forbud mod foranstaltninger baseret udelukkende på automatiseret behandling af personoplysninger, hvis dette ikke er tilladt ved lov, hvilket sikrer en hensigtsmæssig beskyttelse, jf. artikel 7 i rammeafgørelse 2008/977/RIA.

3.4.3. KAPITEL III - DEN REGISTREREDES RETTIGHEDER

Artikel 10 forpligter medlemsstaterne til at sikre lettilgængelige og forståelige oplysninger, navnlig inspireret af princip 10 i Madridresolutionen om internationale standarder for beskyttelse af personlige oplysninger og privatlivets fred[28], og til at pålægge den registeransvarlige at fastlægge procedurer og mekanismer, der kan lette de registreredes udøvelse af deres rettigheder. Det omfatter et krav om, at udøvelsen af rettighederne i princippet skal være gratis.

I artikel 11 præciseres medlemsstaternes forpligtelse til at sikre overholdelsen af oplysnings­pligten over for den registrerede. Disse forpligtelser er baseret på artikel 10 og 11 i direktiv 95/46/EF, uden dog at være opdelt i særskilte artikler, alt efter om oplysningerne indsamles fra den registrerede eller ej, og oplysningspligten er blevet udvidet. Artiklen indeholder bestemmelser om undtagelser fra oplysningspligten, når sådanne undtagelser står i rimeligt forhold til det tilsigtede mål og er nødvendige i et demokratisk samfund af hensyn til de kompetente myndigheders varetagelse af deres opgaver (inspireret af artikel 13 i direktiv 95/46/EF og artikel 17 i rammeafgørelse 2008/977/RIA).

Artikel 12 forpligter medlemsstaterne til at sikre den registreredes ret til indsigt i sine personoplysninger med udgangspunkt i artikel 12, litra a), i direktiv 95/46/EF, idet der tilføjes nye elementer, som har til formål at oplyse de registrerede (om opbevaringsperioden samt deres ret til at berigtige og slette personoplysninger eller begrænse oplysningerne og at indgive klager).

I henhold til artikel 13 kan medlemsstaterne vedtage lovgivningsmæssige foranstaltninger, der begrænser retten til indsigt, hvis det er nødvendigt under hensyn til den særlige karakter af behandlingen af personoplysninger på området politimæssigt og retligt samarbejde i straffesager, og om pligten til at underrette den registrerede om en begrænsning af retten til indsigt i henhold til artikel 17, stk. 2 og 3, i rammeafgørelse 2008/977/RIA.

I artikel 14 indføres en bestemmelse om, at hvis den direkte indsigt i oplysninger begrænses, skal den registrerede underrettes om muligheden for indirekte indsigt via tilsynsmyndigheden, der skal udøve denne ret på den registreredes vegne og underrette den registrerede om resultatet af kontrollen.

Artikel 15 om retten til at berigtige oplysninger er baseret på artikel 12, litra b), i direktiv 95/46/EF og med hensyn til forpligtelserne i tilfælde af afslag på artikel 18, stk. 1, i rammeafgørelse 2008/977/RIA.

Artikel 16 om retten til slette oplysninger er baseret på artikel 12, litra b), i direktiv 95/46/EF og med hensyn til forpligtelserne i tilfælde af afslag på artikel 18, stk. 1, i rammeafgørelse 2008/977/RIA. Den omfatter også retten til i visse tilfælde at få behandlingen markeret, således at den tvetydige terminologi "blokering", der anvendes i artikel 12, litra b), i direktiv 95/46/EF og artikel 18, stk. 1, i rammeafgørelse 2008/977/RIA, undgås.

Artikel 17 om berigtigelse og sletning at oplysninger og begrænsning af behandlingen af personoplysninger i forbindelse med retssager skaber klarhed. Den er baseret på artikel 4, stk. 4, i rammeafgørelse 2008/977/RIA.

3.4.4. KAPITEL IV - REGISTERANSVARLIG OG REGISTERFØRER 3.4.4.1. AFDELING 1 - GENERELLE FORPLIGTELSER

I artikel 18 beskrives den registeransvarliges ansvar for at overholde dette direktiv og sikre dette, herunder ved indførelse af regler og systemer, således at direktivet faktisk bliver overholdt.

Det fastslås i artikel 19, at medlemsstaterne skal sikre, at den registeransvarlige overholder sine forpligtelser som følge af principperne om indbygget databeskyttelse og databeskyttelse gennem indstillinger.

Artikel 20 om fælles registeransvarlige afklarer de fælles registeransvarliges indbyrdes forhold.

I artikel 21 afklares registerførernes rolle og forpligtelser, delvis baseret på artikel 17, stk. 2, i direktiv 95/46/EF, og der tilføjes nye elementer, herunder at en registerfører, som behandler oplysninger ud over den registeransvarliges instrukser, betragtes som en fælles registeransvarlig.

Artikel 22 om behandling, der udføres under den registeransvarlige og registerføreren, er baseret på artikel 16 i direktiv 95/46/EF.

I henhold til artikel 23 er de registeransvarlige og registerførere forpligtet til at opbevare dokumentation over alle de databehandlingssystemer og ‑procedurer, de har ansvaret for.

Artikel 24 omhandler registre, jf. artikel 10, stk. 1, i rammeafgørelse 2008/977/RIA, og sikrer samtidig yderligere præciseringer.

I artikel 25 afklares den registeransvarliges og registerførerens forpligtelser til at samarbejde med tilsynsmyndigheden.

Artikel 26 vedrører sager, hvor det er obligatorisk forud for processen at høre tilsynsmyndigheden, og er baseret på artikel 23 i rammeafgørelse 2008/977/RIA.

3.4.4.2. AFDELING 2 - DATASIKKERHED

Artikel 27 om behandlingssikkerhed er baseret på den nuværende artikel 17, stk. 1, i direktiv 95/46 om behandlingssikkerhed og artikel 22 i rammeafgørelse 2008/977/RIA, og forpligtelserne udvides til at omfatte registerførere uanset kontrakten med den register­ansvarlige.

Ved artikel 28 og 29 indføres en forpligtelse til at anmelde brud på persondatasikkerheden baseret på anmeldelsen af brud på persondatasikkerheden i artikel 4, stk. 3, i direktiv 2002/58/EF (e-databeskyttelsesdirektivet), og forpligtelserne til at underrette tilsynsmyndig­heden (artikel 28) og i særlige situationer den registrerede (artikel 29) afklares og adskilles. Artikel 29 indeholder også bestemmelser om undtagelser under henvisning til artikel 11, stk. 4.

3.4.4.3. AFDELING 3 DATABESKYTTELSESANSVARLIG

I henhold til artikel 30 skal den registeransvarlige udpege en databeskyttelsesansvarlig, som skal varetage de i artikel 32 nævnte opgaver. Når flere kompetente myndigheder er underlagt en central registeransvarlig myndigheds kontrol, skal den pågældende centrale myndighed i det mindste udpege en sådan databeskyttelsesansvarlig. I henhold til artikel 18, stk. 2, i direktiv 95/46/EF har medlemsstaterne mulighed for at indføre et sådant krav i stedet for den generelle anmeldelsespligt i direktivet

Artikel 31 omhandler databeskyttelsesansvarliges stilling.

Artikel 32 omhandler den databeskyttelsesansvarliges hovedopgaver.

3.4.5. KAPITEL V - VIDEREGIVELSE AF PERSONOPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER

I artikel 33 fastsættes de generelle principper for videregivelse af oplysninger til tredjelande eller internationale organisationer på områderne politimæssigt og retligt samarbejde i straffesager, herunder videreoverførsel. Det præciseres, at der kun kan ske videregivelse til tredjelande, hvis dette er nødvendigt for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner.

I artikel 34 fastsættes der bestemmelser om, at der kan ske videregivelse af oplysninger til et tredjeland, for hvilket Kommissionen har vedtaget en afgørelse om tilstrækkeligheden af databeskyttelsesniveauet i henhold til forordning (EU) nr. …./../201X eller særligt på områderne politimæssigt og retligt samarbejde i straffesager, og såfremt dette ikke er tilfældet, hvis der er indført de fornødne garantier. Så længe der ikke er vedtaget en afgørelse om tilstrækkeligheden af databeskyttelsesniveauet i tredjelandet, sikrer direktivet, at der kan ske videregivelse af oplysninger på grundlag af hensigtsmæssige beskyttelsesforanstaltninger og undtagelser. Derudover fastsættes der i artiklen kriterier for Kommissionens vurdering af, om et beskyttelsesniveau er tilstrækkeligt, og bestemmelsen omfatter udtrykkeligt retsregler, adgang til retsmidler og uafhængigt tilsyn. Artiklen indeholder desuden bestemmelser om, at Kommissionen har mulighed for at vurdere det beskyttelsesniveau, der sikres af et område eller af en behandlingssektor i et tredjeland. Det fastslås, at en generel afgørelse om tilstrækkeligheden af beskyttelsesniveauet vedtaget i henhold til procedurerne i artikel 8 i den generelle forordning om databeskyttelse, finder anvendelse i henhold til dette direktiv. Kommissionen kan alternativt vedtage en afgørelse om tilstrækkeligheden af beskyttelses­niveauet udelukkende inden for rammerne af dette direktivs anvendelsesområde.

I artikel 35 fastsættes de hensigtsmæssige beskyttelsesforanstaltninger, der er nødvendige forud for internationale videregivelser, hvis Kommissionen ikke har vedtaget en afgørelse om konstatering af et tilstrækkeligt databeskyttelsesniveau. Disse beskyttelsesforanstaltninger kan indføres i et retligt bindende instrument såsom en international aftale. Alternativt kan den registeransvarlige på grundlag af en vurdering af omstændighederne ved videregivelsen af oplysninger konkludere, at der allerede findes sådanne beskyttelsesforanstaltninger.

I artikel 36 anføres mulighederne for undtagelse i forbindelse med videregivelse af oplysninger med udgangspunkt i artikel 26 i direktiv 95/46/EF og artikel 13 i rammeafgørelse 2008/977/RIA.

Artikel 37 forpligter medlemsstaterne til at sørge for, at den registeransvarlige informerer modtagerne om eventuelle begrænsninger i den behandling, der er tilladt, og træffer alle rimelige foranstaltninger for at sikre, at modtagerne af personoplysninger i tredjelandet eller den internationale organisation overholder begrænsningerne for behandling.

I artikel 38 fastsættes udtrykkelige bestemmelser om internationale samarbejdsmekanismer om beskyttelse af personoplysninger indgået mellem Kommissionen og tilsynsmyndighederne i tredjelande, navnlig lande, der vurderes at tilbyde et tilstrækkeligt beskyttelsesniveau, på grundlag af OECD's henstilling af 12. juni 2007 om samarbejde på tværs af grænserne om håndhævelse af lovgivning om beskyttelse af privatlivets fred.

KAPITEL VI - NATIONALE TILSYNSMYNDIGHEDER

3.4.5.1. AFDELING 1 - UAFHÆNGIG STATUS

Artikel 39, der tager udgangspunkt i artikel 28, stk. 1, i direktiv 95/46/EF og artikel 25 i rammeafgørelse 2008/977/RIA, forpligter medlemsstaterne til at oprette tilsynsmyndigheder, eventuelt i henhold til den generelle forordning om databeskyttelse, og de pågældende myndigheder tildeles et større ansvar for at bidrage til en ensartet anvendelse af direktivet i hele EU.

I artikel 40 præciseres betingelserne for tilsynsmyndighedens uafhængighed i overensstemmelse med EU-Domstolens retspraksis[29] og med udgangspunkt i artikel 44 i forordning (EF) nr. 45/2001[30].

I artikel 41 fastsættes de generelle betingelser for medlemmerne af tilsynsmyndigheden, og den relevante retspraksis[31] gennemføres, også med udgangspunkt i artikel 42, stk. 2-6, i forordning (EF) nr. 45/2001.

I artikel 42 fastsættes de regler for oprettelse af tilsynsmyndigheden, herunder betingelserne for medlemmerne, som skal fastlægges i medlemsstaternes lovgivning.

Artikel 43 om tavshedspligt for tilsynsmyndighedens medlemmer og ansatte er baseret på artikel 28, stk. 7, i direktiv 95/46/EF og artikel 25, stk. 4, i rammeafgørelse 2008/977/RIA.

3.4.5.2. AFDELING 2 - OPGAVER OG BEFØJELSER

I artikel 44 fastsættes tilsynsmyndighedernes kompetence baseret på artikel 28, stk. 6, i direktiv 95/46/EF og artikel 25, stk. 1, i rammeafgørelse 2008/977/RIA. Når domstole handler i deres egenskab af retslig myndighed er de ikke underlagt tilsynsmyndighedens kontrol, men de skal fortsat anvende de materielle regler om databeskyttelse.

Artikel 45 forpligter medlemsstaterne til at fastsætte bestemmelser om tilsynsmyndighedens opgaver, herunder høring og undersøgelse af klager og bevidstgørelse af offentligheden om risici, regler, garantier og rettigheder. En særlig opgave for tilsynsmyndighederne inden for rammerne af dette direktiv er at udøve retten til indsigt på den registreredes vegne, såfremt den pågældende nægtes ret til indsigt i personoplysninger eller indsigten begrænses, og at kontrollere, at behandlingen er lovlig.

Artikel 46 omhandler tilsynsmyndighedens kompetencer og er baseret på artikel 28, stk. 3, i direktiv 95/46/EF, artikel 25, stk. 2 og 3, i rammeafgørelse 2008/977/RIA.

Artikel 47 forpligter tilsynsmyndighederne til at udarbejde årlige aktivitetsrapporter og er baseret på artikel 28, stk. 5, i direktiv 95/46/EF.

3.4.6. KAPITEL VII - SAMARBEJDE

I artikel 48 fastsættes udtrykkelige regler om obligatorisk gensidig bistand, mens artikel 28, stk. 6, andet afsnit, i direktiv 95/46/EF kun indeholdt bestemmelser om, at der er generel forpligtelse til at samarbejde, og denne forpligtelse præciseres ikke nærmere.

I henhold til artikel 49 skal Det Europæiske Databeskyttelsesråd, der oprettes ved den generelle forordning om databeskyttelse, ligeledes varetage sine opgaver i forbindelse med behandling af personoplysninger inden for rammerne af dette direktiv. For at sikre supplerende støtte vil Kommissionen søge råd hos repræsentanter for de kompetente myndigheder for forebyggelse, efterforskning, opdagelse og retsforfølgning af straffelovs­overtrædelser i medlemsstaterne samt repræsentanter for Europol og Eurojust ved hjælp af en ekspertgruppe vedrørende de retshåndhævelsesmæssige aspekter af databeskyttelse.

3.4.7. KAPITEL VIII - KLAGEADGANG, ANSVAR OG SANKTIONER

I artikel 50 fastsættes den registreredes ret til at indgive klage til en tilsynsmyndighed baseret på artikel 28, stk. 4, i direktiv 95/46/EF, og den finder anvendelse på enhver klage om tilsidesættelse af direktivet. Den angiver også de organer, organisationer eller sammenslutninger, der kan indgive klage på vegne af den registrerede, også hvis der er tale om brud på persondatasikkerheden, uafhængigt af den registreredes klage.

Artikel 51 omhandler retsmidler over for tilsynsmyndigheden. Den er baseret på den almindelige bestemmelse i artikel 28, stk. 3, i direktiv 95/46/EF, og det fastslås specifikt, at den registrerede kan indbringe en sag for domstolen for at forpligte tilsynsmyndigheden til at reagere på en klage.

Artikel 52 omhandler retsmidler over for den registeransvarlige eller registerføreren og er baseret på artikel 22 i direktiv 95/46/EF og artikel 20 i rammeafgørelse 2008/977/RIA.

Ved artikel 53 indføres fælles regler for retssager, herunder organers, organisationers eller sammenslutningers ret til at repræsentere de registrerede for domstolene og tilsynsmyndig­hedernes ret til at deltage i retssager. Medlemsstaternes forpligtelse til at sikre hurtig domstolsbehandling bygger på artikel 18, stk. 1, i direktiv 2000/31/EF (direktivet om elektronisk handel)[32].

Artikel 54 forpligter medlemsstaterne til at fastsætte bestemmelser om retten til erstatning. Den er baseret på artikel 23 i direktiv 95/46/EF og artikel 19, stk. 1, i rammeafgørelse 2008/977/RIA, og den udvider retten til erstatning for skade forvoldt af registerførere og præciserer de fælles registeransvarliges og fælles registerføreres ansvar.

Ved artikel 55 forpligtes medlemsstaterne til at fastsætte regler om sanktioner med henblik på at sanktionere overtrædelser af dette direktiv og sikre deres gennemførelse.

3.4.8. KAPITAL IX - DELEGEREDE RETSAKTER OG GENNEMFØRELSES­FORANSTALTNINGER

Artikel 56 indeholder standardbestemmelser om udøvelse af delegerede beføjelser i overensstemmelse med artikel 290 i TEUF. Det giver lovgiveren mulighed for at tillægge Kommissionen beføjelser til at vedtage almengyldige ikke-lovgivningsmæssige retsakter, der udbygger eller ændrer visse ikke-væsentlige bestemmelser i en lovgivningsmæssig retsakt (retsakter af lovgivningslignende karakter).

Artikel 57 indeholder bestemmelser om den udvalgsprocedure, der skal gennemføres for at tillægge Kommissionen gennemførelsesbeføjelser, når ensartede betingelser for gennem­førelse af EU's juridisk bindende retsakter er nødvendige i henhold til artikel 291 i TEUF. Her finder undersøgelsesproceduren anvendelse.

3.4.9. KAPITEL X - AFSLUTTENDE BESTEMMELSER

Artikel 58 ophæver rammeafgørelse 2008/977/RIA.

I artikel 59 fastsættes det, at specifikke bestemmelser om de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner forbliver uændrede i EU-retsakter, der regulerer behandling af personoplysninger eller adgang til informations­systemer inden for rammerne af direktivet, og som er vedtaget før vedtagelsen af dette direktiv.

I artikel 60 afklares dette direktivs forbindelse til internationale aftaler inden for retligt samarbejde i straffesager og politisamarbejde, som medlemsstaterne tidligere har indgået.

Artikel 61 indeholder bestemmelser om Kommissionens forpligtelse til at evaluere og aflægge rapport om gennemførelsen af direktivet med det formål at vurdere, om der er behov for at tilpasse tidligere vedtagne specifikke bestemmelser, jf. artikel 59, til direktivet.

Artikel 62 omhandler medlemsstaternes forpligtelse til at gennemføre direktivet i national lovgivning og give Kommissionen meddelelse om de bestemmelser, der vedtages til gennemførelse af direktivet.

I artikel 63 fastsættes datoen for direktivets ikrafttræden.

I artikel 64 anføres direktivets adressater.

4.         VIRKNINGER FOR BUDGETTET

Finansieringsoversigten, der er ledsager forslaget til forordning om generel databeskyttelse, omfatter de budgetmæssige virkninger af forordningen og dette direktiv.

2012/0010 (COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV

om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR –

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16, stk. 2,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

efter høring af Den Europæiske Tilsynsførende for Databeskyttelse[33],

efter den almindelige lovgivningsprocedure og

ud fra følgende betragtninger:

(1) Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde fastsættes det, at enhver har ret til beskyttelse af personoplysninger om vedkommende selv.

(2) Personoplysninger behandles for menneskets skyld, uanset de fysiske personers nationalitet eller bopæl, respektere deres grundlæggende rettigheder og friheds­rettigheder, navnlig deres ret til beskyttelse af personoplysninger. Behandlingen af personoplysninger bør bidrage til skabelsen af et område med frihed, sikkerhed og retfærdighed.

(3)             Den hastige teknologiske udvikling og globaliseringen har skabt nye udfordringer for beskyttelsen af personoplysninger. Omfanget af dataindsamling og ‑deling er steget drastisk. Teknologien giver offentlige myndigheder mulighed for at udnytte personoplysninger i et hidtil uset omfang, når de udøver deres aktiviteter.

(4) Det er i denne forbindelse nødvendigt at lette den frie udveksling af oplysninger mellem kompetente myndigheder i EU og videregivelsen af oplysninger til tredjelande og internationale organisationer, samtidig med at der sikres et højt niveau for beskyttelse af personoplysninger. Denne udvikling kræver, at der opbygges en stærk og mere sammenhængende databeskyttelsesramme i EU, som understøttes af en effektiv håndhævelse.

(5) Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger[34] finder anvendelse på enhver behandling af personoplysninger i medlemsstaterne både i den offentlige sektor og i den private sektor. Det finder dog ikke anvendelse på behandling af personoplysninger ved aktiviteter på områder, der ikke er omfattet af EU-retten, såsom retligt samarbejde i straffesager og politisamarbejde.

(6)             Rådets rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger i forbindelse med retligt samarbejde i kriminalsager[35] og politisamarbejde finder anvendelse inden for retligt samarbejde i straffesager og politisamarbejde. Denne rammeafgørelses anvendelsesområde er begrænset til behandling af personoplysninger, der videregives eller stilles til rådighed mellem medlemsstater.

(7) Det er vigtigt at sikre et ensartet og højt niveau for beskyttelse af fysiske personers personoplysninger og gøre det lettere at udveksle personoplysninger mellem medlemsstaternes kompetente myndigheder for at sikre et effektivt retligt samarbejde i straffesager og politisamarbejde. Med det formål skal niveauet for beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner være det samme i alle medlemsstater. For at sikre en effektiv beskyttelse af personoplysninger i Unionen er det nødvendigt at styrke de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler personoplysninger, men der skal også gives tilsvarende beføjelser til at kontrollere og sikre overholdelsen af reglerne om beskyttelse af personoplysninger i medlemsstaterne.

(8) Artikel 16, stk. 2, i traktaten om Den Europæiske Unions funktionsmåde giver Europa-Parlamentet og Rådet beføjelse til at fastsætte regler for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler for den frie udveksling af personoplysninger.

(9) I Europa-Parlamentets og Rådets forordning (EU) nr. … /2012 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse) fastsættes der generelle regler med det formål at beskytte fysiske personer i forbindelse med behandling af personoplysninger og sikre fri udveksling af personoplysninger i EU.

(10) I erklæring 21 om beskyttelse af personoplysninger på området retligt samarbejde i straffesager og politisamarbejde, knyttet som bilag til slutakten fra den regerings­konference, der vedtog Lissabontraktaten, erkendte konferencen, at det kan blive nødvendigt med specifikke regler om beskyttelse af personoplysninger og om fri udveksling af disse oplysninger inden for retligt samarbejde i straffesager og politisamarbejde baseret på artikel 16 i traktaten om Den Europæiske Unions funktionsmåde som følge af disse områders specifikke karakter.

(11) Der bør således vedtages et særskilt direktiv, hvori der tages højde for disse områders specifikke karakter og fastsættes regler for beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner.

(12)             For at sikre et ensartet niveau for beskyttelsen for fysiske personer ved hjælp af rettigheder, der kan håndhæves retsligt i hele Unionen, og for at forhindre forskelle, der kan hæmme den frie udveksling af oplysninger mellem kompetente myndigheder, bør direktivet sikre ensartede regler for beskyttelse og fri udveksling af personoplysninger inden for politimæssigt og retligt samarbejde i straffesager.

(13) Dette direktiv giver mulighed for, at der tages hensyn til princippet om offentlig indsigt i officielle dokumenter, når direktivets bestemmelser anvendes.

(14)             Den beskyttelse, som dette direktiv giver i forbindelse med behandling af personoplysninger, bør omfatte fysiske personer uanset nationalitet eller bopæl.

(15) Beskyttelsen af fysiske personer bør være teknologineutral og må ikke afhænge af de anvendte teknikker, da der ellers vil være alvorlig risiko for omgåelse. Beskyttelsen af fysiske personer bør gælde for både automatisk og manuel behandling af personoplysninger, hvis oplysningerne er indeholdt eller påtænkes indeholdt i et register. Sagsmapper eller samlinger af sagsmapper eller deres forsider, som ikke er struktureret efter bestemte kriterier, henhører ikke under dette direktivs anvendelsesområde. Dette direktiv bør ikke finde anvendelse på behandlingen af personoplysninger i forbindelse med en aktivitet, der falder uden for EU-rettens anvendelsesområde, særlig vedrørende national sikkerhed, eller på data, der behandles af EU-institutioner, ‑organer, ‑kontorer og ‑agenturer såsom Europol eller Eurojust.

(16)             Principperne om databeskyttelse bør gælde for alle former for oplysninger om en identificeret eller identificerbar fysisk person. For at afgøre, om en fysisk person er identificerbar, bør alle de hjælpemidler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den registeransvarlige eller af enhver anden person. Beskyttelsesprincipperne bør ikke gælde oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres.

(17) Personlige helbredsoplysninger bør navnlig omfatte alle oplysninger om den registreredes helbredstilstand, oplysninger om registrering af personen med henblik på modtagelse af sundhedsydelser, oplysninger om betaling for eller berettigelse til sundhedsydelser for så vidt angår personen, et nummer, symbol eller særligt mærke, der tildeles en person for entydigt at identificere personen i sundhedsanliggender, enhver oplysning om personen, som indsamles i tilknytning til leveringen af sundhedsydelser til personen, oplysninger, der hidrører fra prøver eller undersøgelser af en legemsdel eller legemlig substans, herunder biologiske prøver, identifikation af en person som leverandør af sundhedsydelser til en person og alle oplysninger om f.eks. en sygdom, et handicap, en sygdomsrisiko, sygehistorie, hospitalsbehandling eller den registreredes faktiske fysiologiske eller biomedicinske tilstand uafhængigt af, hvad kilden til oplysningerne er, f.eks. en læge eller andet lægeligt personale, et hospital, medicinsk udstyr eller en in vitro-diagnostik.

(18) Enhver behandling af personoplysninger skal være rimelig og lovlig i forhold til de berørte personer. De specifikke formål med behandlingen af oplysningerne bør navnlig være eksplicitte.

(19) Med henblik på forebyggelse, efterforskning og retsforfølgning af straffelovover­trædelser er det nødvendigt, at de kompetente myndigheder gemmer person­oplysninger, der er indsamlet i forbindelse med forebyggelse, efterforskning, opdagelse eller retsforfølgning af specifikke straffelovsovertrædelser, og behandler dem i en bredere kontekst for derved at få en forståelse af kriminelle fænomener og tendenser, at indsamle efterretningsoplysninger om organiserede kriminelle netværk og at sammenkoble forskellige opdagede overtrædelser.

(20) Personoplysningerne bør ikke behandles til formål, der er uforenelige med det formål, hvortil de blev indsamlet. Personoplysninger bør være hensigtsmæssige, relevante og ikke for omfattende i forhold til de formål, hvortil de behandles. Der bør træffes enhver rimelig foranstaltning for at sikre, at personoplysninger, som er urigtige, berigtiges eller slettes.

(21) Princippet om oplysningernes rigtighed bør anvendes på en måde, så der tages hensyn til den pågældende behandlings art og formål. Navnlig i retssager er udsagn, der indeholder personoplysninger, baseret på en subjektiv opfattelse af enkeltpersoner, og det er i visse tilfælde ikke altid muligt at kontrollere dem. Kravet om oplysningernes rigtighed bør derfor ikke vedrøre et udsagns rigtighed, men blot det forhold, at der er fremsat et specifikt udsagn.

(22) Ved fortolkningen og anvendelsen af de generelle principper for kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner bør der tages højde for de særlige forhold i denne sektor, herunder de specifikke mål, der forfølges.

(23)             Behandling af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde indebærer i sagens natur behandling af personoplysninger om forskellige kategorier af registrerede. Der bør således så vidt muligt sondres klart mellem personoplysninger om forskellige kategorier af registrerede såsom mistænkte, personer, der er dømt for en straffelovsovertrædelse, ofre eller tredjeparter som f.eks. vidner, personer, der ligger inde med relevante oplysninger, eller mistænktes og dømte kriminelles kontaktpersoner og associerede.

(24)             Der bør så vidt muligt sondres mellem forskellige kategorier af oplysninger ud fra, i hvor høj grad disse er korrekte og pålidelige. Der bør sondres mellem kendsgerninger og personlige vurderinger for både at sikre beskyttelsen af fysiske personer og kvaliteten og pålideligheden af de oplysninger, der behandles af de kompetente myndigheder.

(25)             For at være lovlig bør en behandling af personoplysninger være nødvendig for at overholde en retlig forpligtelse, som gælder for den registeransvarlige, eller nødvendig af hensyn til en kompetent myndigheds lovbestemte udførelse af en opgave i samfundets interesse eller for at beskytte den registreredes eller en anden persons vitale interesser eller forebygge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed.

(26)             Personoplysninger, der i kraft af deres karakter er særligt følsomme i forbindelse med grundlæggende rettigheder eller beskyttelse af privatlivets fred, herunder genetiske data, bør nyde særlig beskyttelse. Sådanne oplysninger må ikke behandles, medmindre behandlingen er fastsat i lovgivningen, som indeholder passende bestemmelser til beskyttelse af den registreredes legitime interesser, eller behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser eller vedrører oplysninger, som tydeligvis offentliggøres af den registrerede.

(27) Enhver fysisk person bør have ret til ikke at blive gjort til genstand for en foranstaltning, der er baseret udelukkende på automatisk databehandling, der har negative retlige virkninger for den pågældende, medmindre dette er tilladt ved lov og omfattet af passende foranstaltninger til beskyttelse af den registreredes legitime interesser.

(28) For at den registrerede kan udøve sine rettigheder, bør alle oplysninger om den registrerede være nemt tilgængelige og letforståelige, bl.a. at der benyttes et klart og forståeligt sprog.

(29) Der bør fastsættes nærmere bestemmelser, som kan lette de registreredes udøvelse af deres rettigheder i henhold til dette direktiv, herunder systemer til uden udgifter at anmode om indsigt i eller berigtigelse og sletning af personoplysninger. Den register­ansvarlige bør være forpligtet til at besvare sådanne anmodninger fra den registrerede uden unødig forsinkelse.

(30) I henhold til princippet om rimelig behandling skal den registrerede navnlig informeres om en behandlings eksistens og dens formål, hvor længe oplysningerne opbevares, hvorvidt der gives ret til at få indsigt i og foretage berigtigelse og sletning af oplysninger, og om retten til at indgive klage. Hvis oplysningerne indsamles hos den registrerede, bør den registrerede også oplyses om, hvorvidt vedkommende er forpligtet til at afgive sådanne oplysninger, og om konsekvenserne, hvis vedkommende ikke afgiver sådanne oplysninger.

(31) Oplysningerne om behandlingen af den registreredes personoplysninger bør gives til den registrerede på tidspunktet for indsamlingen, eller, hvis oplysningerne ikke indsamles hos den registrerede, på tidspunktet for registreringen eller inden for et rimeligt tidsrum efter indsamlingen under hensyn til de særlige forhold, hvorunder personoplysningerne behandles.

(32) Enhver bør have ret til indsigt i oplysninger, der er indsamlet om den pågældende, og til let at udøve denne ret med henblik på at forvisse sig om oplysningernes eksistens og behandlingens lovlighed. Enhver registreret bør derfor navnlig have ret til at kende og blive underrettet om det formål, hvortil oplysningerne behandles, hvor lang tid de gemmes, og hvem modtagerne af oplysningerne er, herunder tredjelande. Registrerede bør have ret til at få en kopi af de personoplysninger, der behandles.

(33) Medlemsstaterne bør have beføjelse til at træffe lovgivningsmæssige foranstaltninger, der udsætter eller begrænser informeringen af de registrerede eller deres ret til indsigt i oplysningerne, eller forhindrer dem i at blive informeret eller få indsigt i oplysningerne, i det omfang en sådan delvis eller fuldstændig begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den pågældende persons legitime interesser, for at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, for at undgå, at forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af straffelovs­overtrædelser skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner, for at beskytte den offentlige sikkerhed eller den nationale sikkerhed eller for at beskytte den registreredes interesser eller andres rettigheder og frihedsrettigheder.

(34) Enhver begrænsning af den registreredes rettigheder bør meddeles den registrerede skriftligt, herunder de faktuelle eller retlige årsager til beslutningen.

(35) Når medlemsstaterne har truffet lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser retten til indsigt i personoplysninger, bør den registrerede have ret til at anmode om, at den kompetente nationale tilsynsmyndighed kontrollerer, at behandlingen af oplysningerne er lovlig. Den registrerede skal oplyses om denne rettighed. Hvis retten til indsigt udøves af tilsynsmyndigheden på vegne af den registrerede, bør den pågældende tilsynsmyndighed som minimum underrette den registrerede om, at tilsynsmyndigheden har foretaget den nødvendige kontrol, og om hvorvidt den pågældende behandling er lovlig.

(36) Enhver person bør have ret til at få berigtiget urigtige personoplysninger og til at få slettet oplysninger, hvis behandlingen af sådanne oplysninger ikke er i overens­stemmelse med hovedprincipperne i dette direktiv. Når personoplysningerne behandles under en strafferetlig efterforskning og straffesag kan retten til berigtigelse, retten til information, retten til indsigt i eller sletning af oplysningerne eller begrænsning af behandlingen heraf foretages i henhold til de nationale retsplejeregler.

(37) Der bør fastsættes bestemmelser om den registeransvarliges overordnede ansvar, herunder erstatningsansvar, for den behandling af personoplysninger, der foretages af den registeransvarlige eller på vegne af den registeransvarlige. Den registeransvarlige bør navnlig sikre, at behandlingen er i overensstemmelse de bestemmelser, der vedtages til gennemførelse af dette direktiv.

(38) Beskyttelsen af de registreredes rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger kræver, at der træffes de fornødne tekniske og organisatoriske foranstaltninger for at sikre, at direktivets krav opfyldes. For at sikre overholdelsen af de bestemmelser, der vedtages til gennemførelse af dette direktiv, bør den registeransvarlige fastlægge strategier og gennemføre passende foranstaltninger, som navnlig er i overensstemmelse med principperne om indbygget databeskyttelse og databeskyttelse gennem indstillinger.

(39) Beskyttelsen af registreredes rettigheder og frihedsrettigheder samt registeransvarliges og registerføreres ansvar kræver en klar fordeling af ansvarsområderne under dette direktiv, herunder når en registeransvarlig afgør, til hvilket formål, på hvilke betingelser og med hvilke hjælpemidler der må foretages behandling af personoplysninger sammen med andre registeransvarlige, eller når en behandling foretages på vegne af en registeransvarlig.

(40) Den registeransvarlige eller registerføreren skal dokumentere behandlingen, således at det kan kontrolleres, at den er i overensstemmelse med dette direktiv. Den registeransvarlige og registerføreren bør have pligt til at samarbejde med tilsynsmyndigheden og efter anmodning stille denne dokumentation til rådighed for tilsynsmyndigheden, så den kan bruges i forbindelse med kontrollen af behandlingen.

(41) For at sikre en effektiv beskyttelse af de registreredes rettigheder og frihedsrettigheder ved hjælp af forebyggende foranstaltninger bør den registeransvarlige eller registerføreren i visse tilfælde høre tilsynsmyndigheden inden behandlingen.

(42) Brud på persondatasikkerheden kan bl.a. skade den berørte persons omdømme, hvis ikke de rettidigt afhjælpes på betryggende vis. Så snart den registeransvarlige bliver opmærksom på, at der er sket et sådant sikkerhedsbrud, bør vedkommende derfor anmelde bruddet til den kompetente nationale tilsynsmyndighed. Fysiske personer, hvis personoplysninger og ret til beskyttelse af privatlivets fred kunne blive krænket af sådanne brud, bør uden unødig forsinkelse underrettes, så de kan træffe de nødvendige forholdsregler. Et brud bør anses for at krænke den fysiske persons personoplysninger og ret til beskyttelse af privatlivets fred, hvis det kan indebære f.eks. identitetstyveri eller svig, fysisk skade, betydelig tort eller skade af omdømme i forbindelse behandlingen af personoplysninger.

(43) Når der fastsættes nærmere regler for, hvilket format og hvilke procedurer der skal anvendes ved anmeldelse af brud på persondatasikkerheden, bør der tages behørigt hensyn til omstændighederne ved sikkerhedsbruddet, herunder om personoplys­ningerne var beskyttet ved passende tekniske beskyttelsesforanstaltninger, der effektivt begrænser sandsynligheden for misbrug. Sådanne regler og procedurer bør desuden tage hensyn til de kompetente myndigheders legitime interesser, hvis tidlig anmeldelse kunne udgøre en unødvendig hæmsko for efterforskningen af omstændighederne ved et sikkerhedsbrud.

(44) Den registeransvarlige eller registerføreren bør udpege en person, der skal bistå den registeransvarlige eller registerføreren med at overvåge, at behandlingen er i overensstemmelse med de bestemmelser, der vedtages til gennemførelse af dette direktiv. Den kompetente myndigheds enheder kan i fællesskab udpege en databeskyttelsesansvarlig. Den databeskyttelsesansvarlige skal være i stand til at udøve sit hverv uafhængigt og effektivt.

(45) Medlemsstaterne bør sikre, at videregivelse af personoplysninger til et tredjeland kun sker, hvis det er nødvendigt for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, og den register­ansvarlige i det pågældende tredjeland eller den pågældende internationale organisation er en kompetent myndighed som defineret i dette direktiv. Der kan finde videregivelse sted i de tilfælde, hvor Kommissionen har afgjort, at det pågældende tredjelande eller den pågældende internationale organisation sikrer et passende beskyttelsesniveau, eller hvis der er indført passende beskyttelsesforanstaltninger.

(46) Kommissionen kan med virkning for hele EU afgøre, at visse tredjelande, et område, en behandlingssektor i et tredjeland eller en international organisation har et tilstrækkeligt databeskyttelsesniveau, og dermed skabe retssikkerhed og ensartethed i hele Unionen, hvad angår tredjelande eller internationale organisationer, der vurderes at have et sådant beskyttelsesniveau. I disse tilfælde kan personoplysninger videregives til disse lande uden krav om yderligere godkendelse.

(47) I overensstemmelse med de grundlæggende værdier, som Unionen er baseret på, navnlig beskyttelsen af menneskerettighederne, bør Kommissionen overveje, hvorvidt det pågældende tredjeland respekterer retsstatsprincippet, adgangen til klage og domstolsprøvelse samt internationale menneskerettighedsstandarder.

(48) Kommissionen bør ligeledes kunne fastslå, at et tredjeland eller et område eller en behandlingssektor i det pågældende tredjeland eller en international organisation ikke har et tilstrækkeligt databeskyttelsesniveau. I så fald bør videregivelsen af person­oplysninger til det pågældende tredjeland forbydes, undtagen hvis videregivelsen sker på grundlag af en international aftale, passende beskyttelsesforanstaltninger eller en undtagelse. Der bør fastsættes bestemmelser om høringsprocedurer mellem Kommissionen og de pågældende tredjelande eller internationale organisationer. En sådan kommissionsafgørelse bør imidlertid ikke påvirke muligheden for at videregive oplysninger på grundlag af passende beskyttelsesforanstaltninger eller på grundlag af en undtagelse, der er fastsat i direktivet.

(49) Videregivelser af oplysninger, der ikke er baseret på en sådan afgørelse om tilstrækkeligheden af beskyttelsesniveauet, bør kun tillades, hvis der er indført de fornødne garantier i et retligt bindende instrument, der sikrer beskyttelsen af personoplysninger, eller hvis den registeransvarlige eller registerføreren har vurderet samtlige de forhold, der har indflydelse på en videregivelse eller en serie af videregivelser af personoplysninger, og som på grundlag af denne vurdering konkluderer, at de fornødne garantier for beskyttelsen af personoplysninger er til stede. I sager, hvor der ikke findes årsager til at tillade videregivelse af oplysninger, bør der indrømmes undtagelser, hvis det er nødvendigt for at beskytte den registreredes eller en anden persons vitale interesser eller beskytte den registreredes legitime interesser, hvis det er fastsat i lovgivningen i den medlemsstat, der videregiver personoplysninger, eller hvis det er vigtigt for at forebygge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed eller i enkeltsager med henblik på forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner eller i enkeltsager med henblik på at fastslå et retskrav eller gøre det gældende eller forsvare det ved en domstol.

(50) Når personoplysninger overføres på tværs af grænserne, kan det medføre yderligere risici for fysiske personers mulighed for at udøve deres databeskyttelsesrettigheder og beskytte sig mod ulovlig brug eller videregivelse af disse oplysninger. Samtidig må tilsynsmyndighederne i nogle tilfælde konstatere, at de ikke kan indgive klager eller gennemføre undersøgelser vedrørende aktiviteter uden for deres grænser. Samarbejdet på tværs af grænserne kan også hæmmes af utilstrækkelige forebyggende eller afhjælpende beføjelser eller uensartede retlige bestemmelser. Der er derfor et behov for tættere samarbejde mellem databeskyttelsesmyndigheder for at lette udvekslingen af oplysninger i samarbejde med tilsvarende udenlandske organer.

(51) Oprettelsen af tilsynsmyndigheder i medlemsstaterne, som udøver deres hverv i fuld uafhængighed, har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger. Tilsynsmyndighederne bør kontrollere anvendelsen af bestemmelserne i henhold til dette direktiv og bidrage til en ensartet anvendelse i Unionen med det formål at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger. Med henblik herpå bør tilsynsmyndighederne samarbejde med hinanden og med Kommissionen.

(52) Medlemsstaterne kan overdrage ansvaret for de opgaver, som skal udføres af de nationale tilsynsmyndigheder, der oprettes i henhold til dette direktiv, til en tilsynsmyndighed, der allerede er oprettet i medlemsstaterne i henhold til forordning (EU) nr. … /2012.

(53) Medlemsstaterne bør have mulighed for at oprette mere end én tilsynsmyndighed for at afspejle deres forfatningsmæssige, organisatoriske og administrative struktur. Hver tilsynsmyndighed bør have tilstrækkelige finansielle og menneskelige ressourcer, lokaler og infrastrukturer til effektivt at udføre deres opgaver, herunder opgaver vedrørende gensidig bistand og samarbejde med andre tilsynsmyndigheder i Unionen.

(54) De generelle betingelser for tilsynsmyndighedens medlemmer bør fastsættes ved lov i hver medlemsstat, og der bør navnlig fastsættes bestemmelser om, at disse medlemmer udpeges af enten parlamentet eller regeringen i den pågældende medlemsstat, og der bør ligeledes fastsættes regler om medlemmernes personlige kvalifikationer og stilling.

(55) Selv om dette direktiv også gælder for de nationale domstoles aktiviteter, bør der af hensyn til domstolenes uafhængighed, når de udfører deres retslige opgaver, ikke tillægges tilsynsmyndighederne kompetence til at behandle personoplysninger, når domstolene handler som led i deres retspleje. Denne undtagelse bør dog begrænses til egentlige retslige aktiviteter i forbindelse med retssager og ikke gælde for andre aktiviteter, som dommere kan inddrages i efter national lovgivning.

(56) For at sikre en ensartet overvågning og håndhævelse af dette direktiv i hele Unionen bør tilsynsmyndighederne i hver medlemsstat have samme pligter og effektive beføjelser, herunder undersøgelsesbeføjelser, beføjelser til retligt bindende indgriben og beføjelser til at træffe afgørelser og fastsætte sanktioner, navnlig i tilfælde af klager fra fysiske personer, samt beføjelse til at optræde som part i retssager.

(57) Hver tilsynsmyndighed bør behandle klager, der indgives af registrerede, og undersøge sagen. Undersøgelsen af en klage bør gennemføres med forbehold af domstolsprøvelse, i det omfang det er relevant i det konkrete tilfælde. Tilsynsmyndigheden bør underrette den registrerede om gennemførelsen og resultatet af klagen inden for en rimelig frist. Hvis sagen kræver yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed, bør den registrerede underrettes herom.

(58) Tilsynsmyndighederne bør bistå hinanden i udøvelsen af deres opgaver og yde gensidig bistand med det formål at sikre en ensartet anvendelse og håndhævelse af de bestemmelser, der vedtages til gennemførelse af dette direktiv.

(59) Det Europæiske Databeskyttelsesråd, der oprettes ved forordning (EU) nr. … /2012, bør bidrage til en ensartet anvendelse af dette direktiv i Unionen, herunder ved at rådgive Kommissionen og fremme samarbejdet mellem tilsynsmyndighederne i Unionen.

(60) Alle registrerede bør have ret til at indgive klage til tilsynsmyndighederne i alle medlemsstater og adgang til domstolsprøvelse, hvis de finder, at deres rettigheder i henhold til dette direktiv er blevet krænket, eller hvis tilsynsmyndigheden ikke reagerer på en klage eller ikke vil handle, hvis dette er nødvendigt for at beskytte den registreredes rettigheder.

(61) Alle organer, organisationer eller sammenslutninger, der har til formål at beskytte registreredes rettigheder og interesser i forbindelse med beskyttelsen af deres personoplysninger, og som er etableret i overensstemmelse med en medlemsstats lovgivning, bør have ret til at indgive klage eller udøve retten til domstolsprøvelse på vegne af den registrerede, hvis denne på behørig vis har givet dem bemyndigelse hertil, eller til uafhængigt af en klage fra den registrerede på egne vegne at indgive klage, hvis de vurderer, at der har fundet et brud på persondatasikkerheden sted.

(62) Enhver fysisk eller juridisk person bør have adgang til domstolsprøvelse af afgørelser truffet af en tilsynsmyndighed vedrørende vedkommende. En sag mod en tilsynsmyn­dighed bør anlægges ved domstolen i den medlemsstat, hvor tilsynsmyndigheden er etableret.

(63) Medlemsstaterne bør sikre, at domstolssager - for at være effektive - kan føre til hurtig vedtagelse af foranstaltninger, der kan afhjælpe eller forhindre en overtrædelse af dette direktiv.

(64) Personer, der lider skade som følge af en ulovlig behandling, bør have ret til erstatning fra den registeransvarlige eller registerføreren, som kan fritages for erstatningsansvar, hvis det bevises, at den pågældende ikke er skyld i den forvoldte skade, særlig hvis den pågældende fastslår, at fejlen ligger hos den registrerede, eller i tilfælde af force majeure.

(65) Fysiske eller juridiske personer, der overtræder dette direktiv, bør kunne pålægges sanktioner, uanset om de henhører under privat- eller offentligretlig lovgivning. Medlemsstaterne bør sikre, at sanktionerne er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, og skal træffe alle nødvendige foranstaltninger til at gennemføre sanktionerne.

(66) For at opfylde dette direktivs målsætninger, nemlig at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til beskyttelse af personoplysninger, og sikre fri udveksling af personoplysninger mellem de kompetente myndigheder i Unionen, bør beføjelsen til at vedtage retsakter i henhold til artikel 290 i traktaten om Den Europæiske Unions funktionsmåde delegeres til Kommissionen. Der bør navnlig vedtages delegerede retsakter med nærmere bestemmelser om anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau. Kommissionen bør sikre en samtidig, rettidig og hensigtsmæssig fremsendelse af relevante dokumenter til Europa-Parlamentet og Rådet, når den udarbejder og gennemfører delegerede retsakter

(67) For at sikre, at der opstilles ensartede betingelser for gennemførelsen af dette direktiv, bør Kommissionen tillægges gennemførelsesbeføjelser i henseende til de register­ansvarliges og registerførernes dokumentation, behandlingssikkerhed, navnlig med hensyn til krypteringsstandarder, anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og det tilstrækkelige databeskyttelsesniveau, der skal sikres af et tredjeland, et territorium eller en behandlingssektor i dette tredjeland eller en international organisation. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser[36].

(68) Undersøgelsesproceduren bør finde anvendelse i forbindelse med vedtagelse af foranstaltninger om de registeransvarliges og registerførernes dokumentation, behand­lingssikkerhed, anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og det tilstrækkelige databeskyttelsesniveau, der skal sikres af et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation, idet der er tale om generelle retsakter.

(69) I behørigt begrundede tilfælde af særligt hastende karakter, hvor et tredjeland, et område eller en behandlingssektor i det pågældende tredjeland eller en international organisation ikke sikrer et tilstrækkeligt beskyttelsesniveau, bør Kommissionen omgående vedtage gennemførelsesretsakter.

(70) Målene for dette direktiv, nemlig at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder, herunder navnlig deres ret til beskyttelse af personoplysninger og fri udveksling af personoplysninger mellem de kompetente myndigheder i Unionen, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne alene og kan derfor på grund af foranstaltningens omfang eller virkninger bedre nås på EU-plan. Unionen kan derfor træffe foranstaltninger i overensstemmelse med nærheds­princippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, rækker dette direktiv ikke ud over, hvad der er nødvendigt for at nå dette mål.

(71) Rammeafgørelse 2008/977/RIA bør ophæves ved dette direktiv.

(72) Specifikke bestemmelser om de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, der forekommer i EU-retsakter, som er vedtaget før vedtagelsen af dette direktiv, og som regulerer behandlingen af personoplysninger mellem medlemsstater og medlemsstaters udpegede myndigheders adgang til informationssystemer, der er udviklet i medfør af traktaterne, bør finde uændret anvendelse. Kommissionen bør se nærmere på sammenhængen mellem direktivet og retsakter, der er vedtaget før vedtagelsen af dette direktiv, og som regulerer behandlingen af personoplysninger mellem medlemsstater eller medlemsstaters udpegede myndigheders adgang til informationssystemer, der er udviklet i medfør af traktaterne, med det formål at vurdere, om der er behov for at tilpasse disse specifikke bestemmelser til direktivet.

(73) For at sikre en overordnet og sammenhængende beskyttelse af personoplysninger i Unionen, bør internationale aftaler, som medlemsstaterne indgår inden dette direktivs ikrafttræden, ændres i overensstemmelse med dette direktiv.

(74) Dette direktiv påvirker ikke bestemmelserne om bekæmpelse af seksuelt misbrug og seksuel udnyttelse af børn og børnepornografi i Europa-Parlamentets og Rådets direktiv 2011/93/EU af 13. december 2011[37].

(75) I medfør af artikel 6a i protokollen om Det Forenede Kongeriges og Irlands stilling, for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til traktaten om Den Europæiske Union og traktaten om Den Europæiske Unions funktionsmåde, vil Det Forenede Kongerige og Irland ikke være bundet af regler fastsat i dette direktiv, når Det Forenede Kongerige og Irland ikke er bundet af reglerne vedrørende de former for retligt samarbejde i straffesager eller politisamarbejde, der kræver overholdelse af de bestemmelser, der er fastsat på grundlag af artikel 16 i traktaten om Den Europæiske Unions funktionsmåde.

(76) I medfør af artikel 2 og 2a i protokollen om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om Den Europæiske Unions funktionsmåde, er dette direktiv ikke bindende for og finder derfor ikke anvendelse i Danmark. Da dette direktiv udbygger Schengenreglerne efter bestemmelserne i tredje del, afsnit V, i traktaten om Den Europæiske Unions funktionsmåde, skal Danmark i henhold til artikel 4 i protokollen om Danmarks stilling træffe afgørelse om, hvorvidt det vil gennemføre direktivet i sin nationale lovgivning, inden seks måneder efter direktivets vedtagelse.

(77) For så vidt angår Island og Norge udgør dette direktiv en udvikling af bestemmelser i Schengenreglerne, jf. aftalen indgået mellem Rådet for Den Europæiske Union og Republikken Island og Kongeriget Norge om disse to staters associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne[38].

(78) For så vidt angår Schweiz udgør dette direktiv en udvikling af bestemmelser i Schengenreglerne, jf. aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne[39].

(79) For så vidt angår Liechtenstein udgør dette direktiv en udvikling af bestemmelser i Schengenreglerne, jf. protokollen mellem Den Europæiske Union, Det Europæiske Fællesskab, Det Schweiziske Forbund og Fyrstendømmet Liechtenstein om Fyrstendømmet Liechtensteins tiltrædelse af aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om dette lands associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne[40].

(80) I dette direktiv overholdes de grundlæggende rettigheder og principper, der anerkendes i Den Europæiske Unions charter om grundlæggende rettigheder som forankret i traktaten, navnlig retten til respekt for privatliv og familieliv, retten til beskyttelse af personoplysninger og adgang til effektive retsmidler og til en upartisk domstol. I overensstemmelse med chartrets artikel 52, stk. 1, kan der indføres begrænsninger i udøvelsen af disse rettigheder, såfremt de er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder.

(81) I den fælles politiske erklæring af 28. september 2011 fra medlemsstaterne og Kommissionen om forklarende dokumenter har medlemsstaterne forpligtet sig til i begrundede tilfælde at lade meddelelsen af gennemførelsesforanstaltninger ledsage af et eller flere dokumenter, der forklarer forholdet mellem et direktivs bestanddele og de tilsvarende dele i de nationale gennemførelsesinstrumenter. Lovgiver finder frem­sendelse af sådanne dokumenter velbegrundet i forbindelse med dette direktiv.

(82) Dette direktiv bør ikke forhindre medlemsstaterne i at gennemføre bestemmelserne om udøvelsen af registreredes ret til information, retten til indsigt i og berigtigelse, sletning og begrænsning af de personoplysninger, som behandles under en straffesag, samt mulige begrænsninger heraf i deres nationale strafferetspleje –

VEDTAGET DETTE DIREKTIV:

KAPITEL I

GENERELLE BESTEMMELSER

Artikel 1 Genstand og formål

1.           I dette direktiv fastsættes regler om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner.

2.           Medlemsstaterne sikrer i overensstemmelse med dette direktiv:

a)      at fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til beskyttelse af personoplysninger, beskyttes

b)      at udvekslingen af personoplysninger mellem de kompetente myndigheder i EU ikke indskrænkes eller forbydes af grunde, der vedrører beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger.

Artikel 2 Anvendelsesområde

1.           Dette direktiv finder anvendelse på de kompetente myndigheders behandling af personoplysninger til de formål, der er nævnt i artikel 1, stk. 1.

2.           Dette direktivs bestemmelser anvendes på behandling af personoplysninger, der helt eller delvis foretages automatisk, samt på anden behandling end automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

3.           Dette direktiv gælder ikke for behandling af personoplysninger:

a)      som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af EU-retten, navnlig for så vidt angår national sikkerhed

b)      som foretages af EU-institutioner, ‑organer, ‑kontorer og ‑agenturer.

Artikel 3 Definitioner

I dette direktiv forstås ved:

1)           "registreret": en identificeret fysisk person eller en fysisk person, der direkte eller indirekte kan identificeres med hjælpemidler, som med rimelighed kan tænkes bragt i anvendelse enten af den registeransvarlige eller af enhver anden fysisk eller juridisk person, bl.a. ved et id-nummer, lokaliseringsdata, online-id, eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

2)           "personoplysninger": enhver form for information om en registreret

3)           "behandling": enhver operation eller række af operationer - med eller uden brug af automatiseret databehandling - som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt begrænsning, sletning eller tilintetgørelse

4)           "begrænsning af behandling": markering af opbevarede personoplysninger med den hensigt at begrænse den fremtidige behandling af disse oplysninger

5)           "register": enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag

6)           "registeransvarlig": den kompetente offentlige myndighed, der alene eller sammen med andre afgør, til hvilke formål, på hvilke betingelser og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene, betingelserne og hjælpemidlerne til behandlingen er fastlagt i EU-retten eller medlemsstatens lovgivning, kan bestemmelserne om den registeransvarlige eller de specifikke kriterier for udpegning af denne være fastsat i EU-retten eller medlemsstatens lovgivning

7)           "registerfører": en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, der behandler personoplysninger på den registeransvarliges vegne

8)           "modtager": en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, som personoplysninger videregives til

9)           "brud på persondatasikkerheden": brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller indsigt i personoplysninger, der er videregivet, lagret eller på anden måde behandlet

10)         "genetiske data": alle data af enhver type vedrørende en fysisk persons karakteristika, som er nedarvede eller formet under den tidlige prænatale udvikling

11)         "biometriske data": alle data vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika, der gør det muligt entydigt at identificere vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger

12)         "helbredsoplysninger": enhver oplysning, der vedrører en persons fysiske eller mentale helbred eller levering af sundhedsydelser til vedkommende

13)         "barn": en person under atten år

14)         "kompetente myndigheder": enhver offentlig myndighed med ansvar for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner

15)         "tilsynsmyndighed": en offentlig myndighed, der er etableret i en medlemsstat i overensstemmelse med artikel 39.

KAPITEL II

PRINCIPPER

Artikel 4 Principper for behandling af personoplysninger    

Medlemsstaterne fastsætter bestemmelser om, at personoplysninger:

a)      skal behandles loyalt og lovligt

b)      skal indsamles til udtrykkeligt angivne og legitime formål og ikke behandles yderligere på en måde, der er uforenelige med disse formål

c)      skal være tilstrækkelige, relevante og ikke for omfattende i forhold til de formål, hvortil de behandles

d)      skal være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt til at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, omgående slettes eller berigtiges

e)      skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles

f)       skal behandles under den registeransvarliges ansvar, og denne skal sikre overholdelsen af de bestemmelser, der vedtages til gennemførelse af dette direktiv.

Artikel 5 Sondring mellem forskellige kategorier af registrerede

1.           Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige i videst muligt omfang skal sondre klart mellem personoplysninger vedrørende forskellige kategorier af personer så som:

a)      personer, om hvem der er alvorlig grund til at tro, at de har begået eller vil begå en straffelovsovertrædelse

b)      personer, der er dømt for en straffelovsovertrædelse

c)      ofre for en straffelovsovertrædelse, eller om hvem visse kendsgerninger giver anledning til at tro, at de kan blive offer for en straffelovsovertrædelse

d)      berørte tredjeparter, herunder personer, der kunne blive indkaldt som vidner i forbindelse med efterforskninger af strafbare handlinger eller i efterfølgende straffesager, eller en person, der kan tilvejebringe oplysninger om straffelovsovertrædelser, eller en kontaktperson eller associeret til en af de i litra a) og b) nævnte personer

e)      personer, der ikke falder under nogen af ovennævnte kategorier.

Artikel 6 Forskellige grader af personoplysningers nøjagtighed og pålidelighed

1.           Medlemsstaterne sikrer, at der i videst muligt omfang sondres mellem de forskellige kategorier af oplysninger, der er genstand for behandling, ud fra i hvor høj grad disse er korrekte og pålidelige.

2.           Medlemsstaterne sikrer, at der så vidt muligt sondres mellem personoplysninger, der bygger på kendsgerninger, og personoplysninger, der bygger på personlige vurderinger.

Artikel 7 Lovlig behandling af personoplysninger

Medlemsstaterne fastsætter bestemmelser om, at en behandling af personoplysninger kun er lovlig, hvis og i det omfang denne behandling er nødvendig:

a)           for at en kompetent myndighed kan udføre en specifik opgave med de i artikel 1, stk. 1, nævnte formål

b)           for at overholde en retlig forpligtelse, som den registeransvarlige er pålagt

c)           for at beskytte den registreredes eller en anden persons vitale interesser

d)           for at forebygge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed.

Artikel 8 Behandling af særlige kategorier af personoplysninger

1.           Medlemsstaterne forbyder behandling af personoplysninger, der viser racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning og fagforeningsmæssigt tilhørsforhold samt genetiske data, helbredsoplysninger og oplysninger om seksuelle forhold.

2.           Stk. 1 finder ikke anvendelse, hvis:

a)      behandlingen er tilladt i henhold til lovgivningen, som fastlægger de fornødne garantier

b)      behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser

c)      behandlingen vedrører oplysninger, som tydeligvis er offentliggjort af den registrerede

Artikel 9 Foranstaltninger baseret på profilering og automatisk behandling

1.           Medlemsstaterne fastsætter bestemmelser om, at foranstaltninger, der har negative retlige virkninger for den registrerede eller påvirker vedkommende i væsentlig grad, og som udelukkende er baseret på automatisk behandling af personoplysninger med henblik på vurdering af visse individuelle aspekter vedrørende den registreredes person, skal forbydes, medmindre de er tilladt ved en lov, som også indeholder bestemmelser til beskyttelse af den registreredes legitime interesser.

2.           Automatisk behandling af personoplysninger, der har til formål at vurdere bestemte personlige forhold vedrørende den registrerede, må ikke alene baseres på de særlige kategorier af personoplysninger, der er nævnt i artikel 8.

KAPITEL III

DEN REGISTREREDES RETTIGHEDER

Artikel 10 Nærmere bestemmelser om udøvelsen af den registreredes rettigheder

1.           Medlemsstaterne sørger for, at den registeransvarlige træffer alle rimelige foranstaltninger for at fastsætte gennemsigtige og lettilgængelige regler for behandlingen af personoplysninger og udøvelsen af registreredes rettigheder.

2.           Medlemsstaterne sørger for, at den registeransvarlige udleverer alle oplysninger og meddelelser vedrørende behandlingen af personoplysninger til den registrerede i en letforståelig form og i et klart og forståeligt sprog.

3.           Medlemsstaterne sørger for, at den registeransvarlige træffer alle rimelige foranstaltninger for at fastlægge procedurer for udlevering af de oplysninger, der er omhandlet i artikel 11, og for udøvelsen af de registreredes rettigheder som omhandlet i artikel 12-17.

4.           Medlemsstaterne sikrer, at den registeransvarlige informerer den registrerede om, hvordan dennes anmodning følges op uden unødig forsinkelse.

5.           Medlemsstaterne fastsætter bestemmelser om, at informeringen og foranstaltninger, som den registeransvarlige træffer efter anmodning, jf. stk. 3 og 4, er gratis. Hvis anmodninger er usaglige, bl.a. fordi de gentages, eller på grund af deres størrelse eller omfang, kan den registeransvarlige opkræve et gebyr for fremsendelse af meddelelsen eller iværksættelse af den ønskede handling, eller den registeransvarlige kan undlade at iværksætte den ønskede handling. I det tilfælde bærer den registeransvarlige ansvaret for at bevise, at anmodningen er usaglig.

Artikel 11 Information til den registrerede

1.           Medlemsstaterne sikrer, at den registeransvarlige ved indsamling af personoplysninger om den registrerede træffer alle nødvendige foranstaltninger for at sikre, at den registeransvarlige modtager mindst følgende oplysninger:

a)      identitet og kontaktoplysninger for den registeransvarlige og for den databeskyttelsesansvarlige

b)      formålene med den behandling, hvortil oplysningerne er bestemt

c)      det tidsrum, hvori personoplysningerne opbevares

d)      retten til at anmode den registeransvarlige om indsigt i og berigtigelse eller sletning af personoplysninger vedrørende den registrerede eller begrænsning af behandlingen heraf

e)      retten til at indgive klage til den tilsynsmyndighed, der er omhandlet i artikel 39, og kontaktoplysninger til tilsynsmyndigheden

f)       modtagerne eller kategorierne af modtagere af personoplysningerne, herunder i tredjelande eller internationale organisationer

g)      yderligere information, for så vidt denne information er nødvendig under hensyn til de særlige forhold, hvorunder personoplysningerne behandles, for at garantere en retfærdig behandling af den registrerede.

2.           Hvis personoplysningerne indsamles fra den registrerede, meddeler den registeransvarlige i tillæg til de i stk. 1 omhandlede oplysninger den registrerede, hvorvidt indgivelsen af personoplysninger er obligatorisk eller frivillig, og de mulige konsekvenser, hvis sådanne oplysninger ikke indgives.

3.           Den registeransvarlige fremlægger de oplysninger, der er omhandlet i stk. 1:

a)      på det tidspunkt, hvor personoplysningerne indhentes fra den registrerede, eller

b)      såfremt personoplysningerne ikke indsamles fra den registrerede, på tidspunktet for registreringen eller inden for et rimeligt tidsrum efter indsamlingen afhængigt af de konkrete omstændigheder for behandlingen af oplysningerne.

4.           Medlemsstaterne kan træffe lovgivningsmæssige foranstaltninger, der udsætter eller begrænser informeringen af de registrerede eller deres ret til indsigt i oplysningerne, eller forhindrer dem i at blive informeret eller få indsigt i oplysningerne, i det omfang en sådan delvis eller fuldstændig begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til de pågældendes legitime interesser:

a)      for at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

b)      for at undgå, at forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af strafbare handlinger skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner

c)      for at beskytte den offentlige sikkerhed

d)      for at beskytte den nationale sikkerhed

e)      for at beskytte andres rettigheder og friheder.

5.           Medlemsstaterne kan fastsætte de kategorier af databehandling, der helt eller delvis er omfattet af undtagelserne i stk. 4.

Artikel 12 Den registreredes ret til indsigt

1.           Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til fra den registeransvarlige at få bekræftet, om personoplysninger vedrørende vedkommende behandles. Hvis sådanne personoplysninger behandles, fremlægger den registeransvarlige følgende oplysninger:

a)      formålene med behandlingen

b)      de pågældende kategorier af personoplysninger

c)      de modtagere eller kategorier af modtagere, som personoplysningerne er blevet videregivet til, navnlig modtagere i tredjelande

d)      det tidsrum, hvori personoplysningerne opbevares

e)      retten til at anmode den registeransvarlige om at få berigtiget, eller slettet personoplysninger om den registrerede eller begrænset behandlingen heraf

f)       retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysningerne for tilsynsmyndigheden

g)      hvilke personoplysninger der er omfattet af behandlingen, samt enhver tilgængelig information om, hvorfra disse oplysninger stammer

2.           Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til fra den registeransvarlige at modtage en kopi af de personoplysninger, der er genstand for behandling.

Artikel 13 Begrænsninger af retten til indsigt

1. Medlemsstaterne kan træffe lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser eller udsætter den registreredes ret til indsigt, i det omfang en sådan delvis eller fuldstændig begrænsning er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under hensyn til den pågældendes legitime interesser:

a)      for at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

b)      for at undgå, at forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af straffelovsovertrædelser skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner

c)      for at beskytte den offentlige sikkerhed

d)      for at beskytte den nationale sikkerhed

e)      for at beskytte andres rettigheder og friheder.

2. Medlemsstaterne kan ved lov fastsætte de kategorier af databehandling, der helt eller delvis er omfattet af undtagelserne i stk. 1.

3. I de i stk. 1 og 2 omhandlede tilfælde fastsætter medlemsstaterne bestemmelser om, at den registeransvarlige skal give den registrerede skriftlig meddelelse om ethvert afslag på at få indsigt i personoplysninger eller begrænsning af indsigten, årsagerne hertil og om mulighederne for at indgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans. Oplysningerne om de faktiske eller retlige grunde, som afgørelsen hviler på, kan udelades, hvis sådanne oplysninger vil være til skade for et af formålene i stk. 1.

4. Medlemsstaterne sikrer, at den registeransvarlige dokumenterer begrundelsen for at udelade oplysningerne om de faktiske eller retlige grunde, som afgørelsen hviler på.

Artikel 14 Nærmere bestemmelser om udøvelsen af retten til indsigt

1.           Medlemsstaterne fastsætter bestemmelser om, at den registrerede, navnlig i de i artikel 13 omhandlede tilfælde, har ret til at anmode tilsynsmyndigheden om at kontrollere, om behandlingen er lovlig.

2.           Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal underrette den registrerede om retten til at anmode tilsynsmyndigheden om at gribe ind, jf. stk. 1.

3.           Hvis den i stk. 1 omhandlede ret udøves, underretter den pågældende tilsynsmyndighed som minimum den registrerede om, at alle tilsynsmyndighedens nødvendige kontroller er foretaget, og om hvorvidt den pågældende behandling er lovlig.

Artikel 15 Ret til berigtigelse

1.           Medlemsstaterne fastsætter bestemmelser om, at den registrerede kan kræve, at den registeransvarlige berigtiger urigtige personoplysninger vedrørende den registrerede. Den registrerede har ret til få kompletteret ufuldstændige personoplysninger, bl.a. ved at kræve en berigtigelse.

2.           Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal give den registrerede skriftlig meddelelse om ethvert afslag på berigtigelse, om årsagerne til afslaget og om mulighederne for at indgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans.

Artikel 16 Ret til sletning

1.           Medlemsstaterne fastsætter bestemmelser om, at den registrerede kan kræve, at den registeransvarlige sletter personoplysninger vedrørende den registrerede, hvis behandlingen ikke er i overensstemmelse med de bestemmelser, der er vedtaget i medfør af artikel 4, litra a)-litra e), samt artikel 7 og 8 i direktivet.

2.           Den registeransvarlige foretager omgående sletningen.

3.           I stedet for sletning begrænser den registeransvarlige behandlingen af person­oplysninger, hvis:

a)      deres rigtighed bestrides af den registrerede, indtil den registeransvarlige har haft mulighed for at fastslå, om de er rigtige

b)      personoplysningerne skal gemmes som bevismiddel

c)      den registrerede modsætter sig deres sletning og i stedet kræver, at anvendelsen heraf begrænses.

4.           Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal give den registrerede skriftlig meddelelse om ethvert afslag på sletning eller markering af behandlingen, om årsagerne til afslaget og mulighederne for at indgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans.

Artikel 17 Den registreredes rettigheder i forbindelse med strafferetlige efterforskninger og straffesager

Medlemsstaterne kan fastsætte bestemmelser om, at retten til oplysninger og retten til indsigt i og berigtigelse og sletning af personoplysninger samt begrænsning af behandlingen heraf, jf. artikel 11-16, skal udøves i overensstemmelse med de nationale retsplejeregler, når personoplysningerne er indeholdt i en retsafgørelse eller et register, der behandles i forbindelse med strafferetlige efterforskninger og straffesager.

KAPITEL IV

REGISTERANSVARLIG OG REGISTERFØRER

AFDELING 1

GENERELLE FORPLIGTELSER

Artikel 18 Den registeransvarliges ansvar

1.           Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal fastlægge strategier og gennemføre passende foranstaltninger med henblik på at sikre, at behandlingen af personoplysninger foretages i overensstemmelse de bestemmelser, der vedtages i medfør af dette direktiv.

2.           De i stk. 1 nævnte foranstaltninger omfatter især følgende:

a)      opbevaring af dokumentation, jf. artikel 23

b)      opfyldelse af bestemmelserne om forudgående høring i henhold til artikel 26

c)      gennemførelse af datasikkerhedskravene som fastsat i artikel 27

d)      udpegning af en databeskyttelsesansvarlig i henhold til artikel 30.

3.           Den registeransvarlige anvender mekanismer, der har til formål at kontrollere effektiviteten af de foranstaltninger, der er omhandlet i stk. 1 i denne artikel. Denne kontrol udføres af uafhængige interne eller eksterne revisorer, hvis det er hensigtsmæssigt.

Artikel 19 Indbygget databeskyttelse og databeskyttelse gennem indstillinger

1.           Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen skal træffe passende tekniske og organisatoriske foranstaltninger og procedurer, således at behandlingen opfylder kravene i de bestemmelser, der vedtages i medfør af dette direktiv, og sikrer beskyttelsen af den registreredes rettigheder.

2.           Den registeransvarlige anvender mekanismer med henblik på som udgangspunkt at sikre, at det kun er de personoplysninger, der er nødvendige til formålet med behandlingen, der behandles.

Artikel 20 Fælles registeransvarlige

Medlemsstaterne fastsætter bestemmelser om, at når en registeransvarlig afgør, til hvilket formål, på hvilke betingelser og med hvilke hjælpemidler der må foretages behandling af personoplysninger sammen med andre registeransvarlige, skal de fælles registeransvarlige indbyrdes aftale en ordning for deres respektive ansvar for at overholde de bestemmelser, der vedtages i henhold til dette direktiv, navnlig hvad angår procedurer for og mekanismer til udøvelse af den registreredes rettigheder.

Artikel 21 Registerfører

1. Medlemsstaterne fastsætter bestemmelser om, at hvis en behandling foretages på vegne af en registeransvarlig, skal den registeransvarlige vælge en registerfører, som giver de fornødne garantier for gennemførelsen af passende tekniske og organisatoriske foranstaltninger og procedurer, således at behandlingen opfylder kravene i de bestemmelser, der vedtages i medfør af dette direktiv, og sikrer beskyttelsen af den registreredes rettigheder.

2. Medlemsstaterne fastsætter bestemmelser om, at behandling ved en registerfører skal foretages i henhold til et retligt bindende dokument mellem registerføreren og den registeransvarlige, hvori det navnlig fastsættes, at registerføreren alene handler efter instruks fra den registeransvarlige, især hvis videregivelsen af de anvendte personoplysninger er forbudt.

3. Hvis en registerfører behandler personoplysninger ud over den registeransvarliges instrukser, betragtes registerføreren som registeransvarlig for den pågældende behandling og er underlagt reglerne for fælles registeransvarlige i artikel 20.

Artikel 22 Behandling, der udføres under den registeransvarlige og registerføreren

Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og enhver, der udfører arbejde under den registeransvarlige eller registerføreren, og som får adgang til person­oplysninger, kun må behandle disse efter instruks fra den registeransvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstatens lovgivning.

Artikel 23 Dokumentation

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og registerføreren skal opbevare dokumentation for alle behandlingssystemer og ‑procedurer, der anvendes under deres ansvar.

2. Dokumentationen omfatter mindst følgende oplysninger:

a)      den registeransvarliges eller en eventuel fælles registeransvarligs og registerførerens navn og kontaktoplysninger

b)      formålene med behandlingen

c)      kategorien eller kategorierne af modtagere af personoplysninger

d)      videregivelse af oplysninger til et tredjeland eller en international organisation, herunder identifikation af dette tredjeland eller denne internationale organisation.

3.           Den registeransvarlige og registerføreren stiller efter anmodning dokumentationen til rådighed for tilsynsmyndigheden.

Artikel 24 Registre

1.           Medlemsstaterne sikrer som minimum registrering af følgende former for behandling: indsamling, ændring, søgning, videregivelse, samkøring eller sletning. Ved registrering af søgning og videregivelse skal navnlig formålet med samt datoen og tidspunktet for den pågældende behandling og i videst muligt omfang navnet på den person, som har søgt eller videregivet personoplysninger, fremgå af registreringen.

2.           Registrene anvendes udelukkende til at kontrollere, om databehandlingen er lovlig, til egenkontrol og til at sikre dataintegriteten og datasikkerheden.

Artikel 25 Samarbejde med tilsynsmyndigheden

1.           Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og registerføreren efter anmodning skal samarbejde med tilsynsmyndigheden ved udøvelsen af dennes hverv, navnlig ved at udlevere alle de oplysninger, der er nødvendige for tilsynsmyndighedens arbejde.

2.           Såfremt tilsynsmyndigheden under udøvelsen af de beføjelser, der er tillagt denne i medfør af artikel 46, litra a) og b), retter henvendelse til den registeransvarlige, skal den registeransvarlige og registerføreren svare inden for en rimelig frist. Svaret skal omfatte en redegørelse for de iværksatte foranstaltninger og de opnåede resultater som reaktion på bemærkningerne fra tilsynsmyndigheden.

Artikel 26 Forudgående høring af tilsynsmyndigheden

3. Medlemsstaterne sikrer, at den registeransvarlige eller registerføreren hører tilsynsmyndigheden forud for behandlingen af personoplysninger, der vil indgå som en del af et nyt register, der skal oprettes, når

a)      de særlige kategorier af oplysninger, der er omhandlet i artikel 8, skal behandles

b)      den type behandling, navnlig ved brug af nye teknologier, mekanismer eller procedurer, ellers medfører særlige risici for den registreredes grundlæggende rettigheder og frihedsrettigheder, navnlig beskyttelsen af personoplysninger

4. Medlemsstaterne kan fastsætte bestemmelser om, at tilsynsmyndigheden skal udarbejde en liste over de former for behandling, hvor der i henhold til stk. 1 skal foretages en forudgående høring.

AFDELING 2

DATASIKKERHED

Artikel 27 Behandlingssikkerhed

1.           Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og registerføreren under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen skal træffe passende tekniske og organisatoriske foranstaltninger for at tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, behandlingen af personoplysninger indebærer, og arten af de personoplysninger, der skal beskyttes.

2.           Med henblik på automatisk databehandling af oplysninger fastsætter medlemsstaterne bestemmelser om, at den registeransvarlige eller registerføreren på grundlag af en risikovurdering skal gennemføre foranstaltninger til at sikre:

a)      at uautoriserede personer ikke kan få adgang til det edb-udstyr, der benyttes til behandling af personoplysninger (kontrol med fysisk adgang til udstyret)

b)      at datamedier hverken kan læses, kopieres, ændres eller fjernes af uautoriserede personer (kontrol med datamedier)

c)      at der ikke sker uautoriseret indlæsning af oplysninger samt uautoriseret læsning, ændring eller sletning af opbevarede personoplysninger (kontrol med opbevaring)

d)      at automatiske databehandlingssystemer ikke via datakommunikationsudstyr kan benyttes af uautoriserede personer (brugerkontrol)

e)      at personer med bemyndigelse til at anvende et automatisk databehandlings­system kun har adgang til de oplysninger, der er omfattet af deres adgangstilladelse (kontrol med dataadgangen)

f)       at det er muligt at kontrollere og fastslå, til hvilke organer der er blevet videregivet eller kan videregives eller stilles personoplysninger til rådighed ved hjælp af datakommunikationsudstyr (kommunikationskontrol)

g)      at det er muligt efterfølgende at undersøge og fastslå, hvilke personoplysninger der er indlæst i automatiske databehandlingssystemer, hvornår og af hvem (kontrol med indlæsning)

h)      at der ikke er mulighed for ubemyndiget læsning, kopiering, ændring eller sletning af personoplysninger under overførsler af disse eller under transport af datamedier (transportkontrol)

i)       at de anvendte systemer i tilfælde af teknisk uheld kan genetableres (genop­retning)

j)       at systemet fungerer, at indtrufne fejl meldes (pålidelighed), og at opbevarede personoplysninger ikke bliver ødelagt som følge af fejlfunktioner i systemet (integritet).

3.           Kommissionen kan om nødvendigt vedtage gennemførelsesretsakter med henblik på at specificere, hvordan kravene i stk. 1 og 2 gælder i forskellige situationer, navnlig krypteringsstandarder. Disse gennemførelsesretsakter vedtages efter undersøgelses­proceduren i artikel 57, stk. 2.

Artikel 28 Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden

1.           Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige ved brud på persondatasikkerheden uden unødig forsinkelse, og når det er muligt, senest 24 timer, efter at den pågældende er blevet opmærksom herpå, skal anmelde bruddet på persondatasikkerheden til tilsynsmyndigheden. Hvis anmeldelsen ikke sker inden 24 timer, fremlægger den registeransvarlige på anmodning en underbygget begrundelse herfor for tilsynsmyndigheden.

2.           Registerføreren varsler og underretter omgående den registeransvarlige, efter at den pågældende er blevet opmærksom på, at der er sket et brud på persondata­sikkerheden.

3.           Den i stk. 1 omhandlede anmeldelse skal mindst:

a)      beskrive karakteren af bruddet på persondatasikkerheden, herunder kategorier og antal berørte registrerede samt kategorier og antal berørte registre

b)      angive identitet og kontaktoplysninger for den i stk. 30 omhandlede databeskyttelsesansvarlige eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes

c)      anbefale foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på persondatasikkerheden

d)      beskrive de mulige konsekvenser af bruddet på persondatasikkerheden

e)      beskrive de foranstaltninger, som den registeransvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden.

4.           Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal dokumentere alle brud på persondatasikkerheden, herunder omstændighederne ved bruddet, dets virkninger og de iværksatte afhjælpende foranstaltninger. Denne dokumentation skal være tilstrækkeligt detaljeret til at sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel overholdes. Dokumentationen skal kun indeholde de oplysninger, der er nødvendige til dette formål.

5.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 56 med henblik på yderligere at specificere kriterier for og krav til, hvordan databrud som omhandlet i stk. 1 og 2 fastslås, og under hvilke særlige omstændigheder en registeransvarlig og registerfører har pligt til at anmelde brud på persondatasikkerheden.

6.           Kommissionen kan fastlægge standardformatet for en sådan anmeldelse til tilsynsmyndigheden, procedurerne for anmeldelsespligten samt formen og de nærmere regler for den dokumentation, der er omhandlet i stk. 4, herunder tidsfrister for sletning af oplysninger deri. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 57, stk. 2.

Artikel 29 Meddelelse af brud på persondatasikkerheden til den registrerede

1.           Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige, når bruddet på persondatasikkerheden kan forventes at krænke personoplysninger eller privatlivets fred for den registrerede, efter den i artikel 28 omhandlede anmeldelse skal underrette den registrerede om bruddet på persondatasikkerheden uden unødig forsinkelse.

2.           Meddelelsen til den registrerede i henhold til stk. 1 skal beskrive arten af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og anbefalinger, der er omhandlet i artikel 28, stk. 3, litra b) og c).

3.           Det er ikke nødvendigt at underrette den registrerede om et brud på persondatasikkerheden, hvis tilsynsmyndigheden finder det godtgjort fra den registeransvarliges side, at denne har gennemført passende teknologiske beskyttelses­foranstaltninger, og at disse foranstaltninger er blevet anvendt på de person­oplysninger, som bruddet på persondatasikkerheden vedrørte. Sådanne teknologiske beskyttelsesforanstaltninger skal gøre dataene uforståelige for alle, der ikke har lovlig adgang hertil.

4.           Underretningen af den registrerede kan forsinkes, begrænses eller undlades af de årsager, der er omhandlet i artikel 11, stk. 4.

AFDELING 3

DATABESKYTTELSESANSVARLIG

Artikel 30 Udpegning af den databeskyttelsesansvarlige

1. Medlemsstaterne sørger for for, at den registeransvarlige eller registerføreren udpeger en databeskyttelsesansvarlig.

2. Den databeskyttelsesansvarlige udpeges på grundlag af sine faglige kvalifikationer, herunder navnlig ekspertise inden for databeskyttelseslovgivning og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 32.

3. Den databeskyttelsesansvarlige kan udpeges for flere enheder under hensyntagen til den kompetente myndigheds organisatoriske struktur.

Artikel 31 Den databeskyttelsesansvarliges stilling

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller registerføreren skal sikre, at den databeskyttelsesansvarlige inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.

2. Den registeransvarlige eller registerføreren sikrer, at den databeskyttelsesansvarlige råder over de midler, der er nødvendige for at udføre de i artikel 32 omhandlede opgaver effektivt og uafhængigt, og ikke modtager instrukser med hensyn til udøvelsen af hvervet.

Artikel 32 Den databeskyttelsesansvarliges hverv

Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og registerføreren mindst skal overdrage følgende opgaver til den databeskyttelses­ansvarlige:

a)           at underrette og rådgive den registeransvarlige eller registerføreren om deres forpligtelser i overensstemmelse med de bestemmelser, der vedtages til gennemførelse af dette direktiv, og at dokumentere denne aktivitet og de modtagne reaktioner

b)           at overvåge gennemførelsen og anvendelsen af reglerne om beskyttelse af personoplysninger, herunder fordeling af ansvar, uddannelse af det personale, der medvirker ved databehandlingen, og de tilhørende kontroller

c)           at kontrollere gennemførelsen og anvendelsen af de bestemmelser, der vedtages i medfør at dette direktiv, navnlig med hensyn til kravene vedrørende indbygget databeskyttelse, databeskyttelse gennem indstillinger og datasikkerhed og oplysninger til de registrerede og deres anmodninger i forbindelse med udøvelsen af deres rettigheder i henhold til de bestemmelser, der er vedtaget i medfør af dette direktiv

d)           at sikre vedligeholdelse af den i artikel 23 omhandlede dokumentation

e)           at kontrollere dokumentation, anmeldelse og meddelelser vedrørende brud på persondatasikkerheden i henhold til artikel 28 og 29

f)            at kontrollere, at der sker en forudgående høring af tilsynsmyndigheden, hvis det kræves i henhold til artikel 26

g)           at kontrollere besvarelsen af anmodninger fra tilsynsmyndigheden og inden for rammerne af den databeskyttelsesansvarliges beføjelser at samarbejde med tilsynsmyndigheden på dennes anmodning eller på eget initiativ

h)           at fungere som tilsynsmyndighedens kontaktpunkt i forbindelse med spørgsmål vedrørende behandling og på eget initiativ og efter behov rådføre sig med tilsynsmyndigheden.

KAPITEL V

VIDEREGIVELSE AF PERSONOPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER

Artikel 33 Generelle principper for videregivelse af personoplysninger

Medlemsstaterne fastsætter bestemmelser om, at kompetente myndigheder alene må videregive personoplysninger, som underkastes behandling eller er beregnet til behandling efter videregivelse til et tredjeland eller til en international organisation, herunder videreoverførsel til et andet tredjeland eller en international organisation, såfremt:

a)      videregivelsen er nødvendig for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner

b)      betingelserne i dette kapitel overholdes af den registeransvarlige eller registerføreren

Artikel 34        Videregivelse af personoplysninger på grundlag af en afgørelse om tilstrækkeligheden af databeskyttelsesniveauet

1.           Medlemsstaterne fastsætter bestemmelser om, at videregivelse af personoplysninger til et tredjeland eller en international organisation kun må finde sted, når Kommissionen i henhold til artikel 41 forordning (EU) nr. …/2012 eller i henhold til stk. 3 i denne artikel har fastslået, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation har et tilstrækkeligt databeskyttelsesniveau. En sådan videregivelse oplysninger kræver ikke yderligere godkendelse.

2.           Såfremt der ikke er vedtaget en afgørelse i henhold til artikel 41 i forordning (EU) nr. …./2012, vurderer Kommissionen beskyttelsesniveauets tilstrækkelighed under hensyntagen til følgende:

a)      retsstatsprincippet, relevant gældende lovgivning, både almindelig og sektorbestemt, herunder vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og strafferet og de sikkerhedsforanstaltninger, der gælder i dette tredjeland eller den internationale organisation, samt effektive rettigheder, der kan håndhæves retsligt, herunder effektiv adgang til administrativ og retlig prøvelse for registrerede, navnlig registrerede, der er bosiddende i Unionen, og hvis personoplysninger videregives

b)      tilstedeværelsen af en eller flere velfungerende uafhængige tilsynsmyndigheder i tredjelandet eller den internationale organisation, der har ansvaret for at sikre, at databeskyttelsesreglerne overholdes, og for at bistå og rådgive de registrerede, når de udøver deres rettigheder, og samarbejde med tilsynsmyn­dighederne i Unionen og medlemsstaterne

c)      de internationale forpligtelser, som tredjelandet eller en international organisation har indgået.

3.           Kommissionen kan inden for rammerne af dette direktiv fastslå, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med stk. 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 57, stk. 2.

4.           I gennemførelsesretsakten angives dennes geografiske og sektorbestemte anvendelsesområde og i påkommende tilfælde den tilsynsmyndighed, der er nævnt i stk. 2, litra b).

5.           Kommissionen kan inden for rammerne af dette direktiv fastslå, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation ikke har et tilstrækkeligt beskyttelsesniveau i henhold til denne artikels stk. 2, navnlig hvis den gældende lovgivning, både almindelig og sektorbestemt, i tredjelandet eller den internationale organisation ikke garanterer effektive rettigheder, der kan håndhæves retsligt, herunder effektiv adgang til administrativ og retslig prøvelse for registrerede, navnlig registrerede, hvis personoplysninger videregives. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 57, stk. 2, eller efter proceduren i artikel 57, stk. 3, i særligt hastende tilfælde for fysiske personer, hvad angår beskyttelse af deres personoplysninger.

6.           Når Kommissionen træffer afgørelse i henhold til i stk. 5, sikrer medlemsstaterne, at enhver form for videregivelse af personoplysninger til tredjelandet eller et område eller en behandlingssektor i dette tredjeland eller den pågældende internationale organisation forbydes; denne afgørelse påvirker ikke videregivelse i henhold til artikel 35, stk. 1, eller artikel 36. Kommissionen indleder på et passende tidspunkt høringer af tredjelandet eller den internationale organisation med henblik på at afhjælpe den situation, der opstår som følge af afgørelsen i henhold til stk. 5 i denne artikel.

7.           Kommissionen offentliggør i Den Europæiske Unions Tidende en liste over tredjelande, områder og behandlingssektorer i et tredjeland eller en international organisation, for hvilke den har fastslået, om der er et tilstrækkeligt beskyttelsesniveau eller ej.

8.           Kommissionen overvåger anvendelsen af de gennemførelsesretsakter, der er omhandlet i stk. 3 og 5.

Artikel 35 Videregivelse på grundlag af hensigtsmæssige garantier

1.           Hvis Kommissionen ikke har truffet afgørelse i henhold til artikel 34, fastsætter medlemsstaterne bestemmelser om videregivelse af personoplysninger til en modtager i et tredjeland eller en international organisation må finde sted, hvis:

a)      der er blevet indført hensigtsmæssige garantier, hvad angår beskyttelsen af personoplysninger, i et retligt bindende instrument

b)      den registeransvarlige eller registerføreren har vurderet alle forhold i forbindelse med videregivelsen af personoplysninger og konkluderet, at der findes hensigtsmæssige garantier, hvad angår beskyttelsen af person­oplysninger

2.           Beslutningen om videregivelse i henhold til stk. 1, litra b), skal træffes af personale, der er behørigt bemyndiget hertil. Disse videregivelser skal dokumenteres, og dokumentationen skal på anmodning stilles til rådighed for tilsynsmyndigheden.

Artikel 36 Undtagelser

Uanset artikel 34 og 35 fastsætter medlemsstaterne bestemmelser om, at en videregivelse af personoplysninger til et tredjeland eller en international organisation kun må finde sted, hvis:

a)      videregivelsen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser, eller

b)      videregivelsen er nødvendig for at beskytte den registreredes legitime interesser, hvis det er påkrævet ved lov i den medlemsstat, der videregiver personoplysningerne, eller

c)      videregivelsen af oplysningerne er afgørende for at afværge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed, eller

d)      videregivelsen er nødvendig i enkeltsager med henblik på forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner, eller

e)      videregivelsen er nødvendig i enkeltsager med henblik på at fastslå et retskrav eller gøre det gældende eller forsvare det ved en domstol i forbindelse med forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovs­overtrædelser eller fuldbyrdelse af strafferetlige sanktioner.

Artikel 37 Særlige betingelser for videregivelse af personoplysninger

Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal underrette modtageren af personoplysninger om eventuelle begrænsninger for behandling og træffer alle rimelige foranstaltninger for at sikre, at disse begrænsninger overholdes.

Artikel 38 Internationalt samarbejde om beskyttelse af personoplysninger

1.           I henseende til tredjelande og internationale organisationer iværksætter Kommissionen og medlemsstaterne de nødvendige foranstaltninger for at:

a)      udvikle effektive internationale samarbejdsmekanismer med henblik på at lette håndhævelsen af lovgivningen om beskyttelse af personoplysninger

b)      yde international gensidig bistand i håndhævelsen af lovgivningen om beskyttelse af personoplysninger, herunder gennem anmeldelse, indbringelse af klager, efterforskningsbistand og informationsudveksling, med forbehold af de fornødne garantier for beskyttelse af personoplysninger og andre grundlæggende rettigheder og frihedsrettigheder

c)      inddrage de berørte parter i drøftelser og aktiviteter, der har til formål at fremme det internationale samarbejde om håndhævelsen af lovgivningen om beskyttelse af personoplysninger

d)      fremme udveksling og dokumentation af lovgivningen om beskyttelse af personoplysninger og praksis på området.

2.           For så vidt angår stk. 1, træffer Kommissionen de nødvendige foranstaltninger for at styrke forholdet til tredjelande og internationale organisationer, bl.a. deres tilsynsmyndigheder, når Kommissionen har truffet afgørelse om, at de sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 35, stk. 3.

KAPITEL VI

UAFHÆNGIGE TILSYNSMYNDIGHEDER

AFDELING 1 UAFHÆNGIG STATUS

Artikel 39 Tilsynsmyndighed

1. Hver medlemsstat vedtager bestemmelser om, at en eller flere tilsynsmyndigheder har ansvaret for at kontrollere anvendelsen af de bestemmelser, der vedtages i medfør af dette direktiv og bidrage til en ensartet anvendelse i hele EU med det formål at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandlingen af deres personoplysninger og lette den frie udveksling af personoplysninger i EU. Til det formål samarbejder tilsynsmyndig­hederne med hinanden og med Kommissionen.

2. Medlemsstaterne kan fastsætte bestemmelser om, at den tilsynsmyndighed, der er oprettet i medlemsstaterne i henhold til forordning (EU) nr. … /2012, overdrages ansvaret for de opgaver, som skal udføres af den tilsynsmyndighed, der oprettes i henhold til stk. 1 i denne artikel.

3. Hvis der er mere end én tilsynsmyndighed i en medlemsstat, udpeger den pågældende medlemsstat den tilsynsmyndighed, der fungerer som fælles kontaktpunkt for disse myndigheders effektive deltagelse i Det Europæiske Databeskyttelsesråd.

Artikel 40 Uafhængighed

1.           Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden skal udøve de opgaver og beføjelser, der tillægges den, i fuld uafhængighed.

2.           Medlemsstaterne fastsætter bestemmelser om, at medlemmerne af tilsynsmyn­digheden ved udøvelsen af deres opgaver hverken må søge eller modtage instrukser fra andre.

3.           Medlemmerne af tilsynsmyndigheden skal afholde sig fra enhver handling, der er uforenelig med karakteren af deres hverv, og må ikke, så længe deres embedsperiode varer, udøve uforenelig lønnet eller ulønnet virksomhed.

4.           Medlemmerne af tilsynsmyndigheden skal efter embedsperiodens ophør udvise hæderlighed og tilbageholdenhed med hensyn til at påtage sig visse hverv eller at acceptere visse fordele.

5.           Hver medlemsstat sikrer, at tilsynsmyndigheden råder over tilstrækkelige finansielle, tekniske og menneskelige ressourcer, lokaler og infrastrukturer til effektivt at udføre sine opgaver og beføjelser, herunder opgaver og beføjelser i forbindelse med gensidig bistand samt samarbejde med og aktiv deltagelse i Det Europæiske Databeskyttelsesråd.

6            Hver medlemsstat sikrer, at tilsynsmyndigheden råder over sit eget personale, der udpeges af og er under ledelse af chefen for tilsynsmyndigheden.

7.           Medlemsstaterne sikrer, at tilsynsmyndigheden er underlagt finansiel kontrol, som ikke påvirker dens uafhængighed. Medlemsstaterne sikrer, at tilsynsmyndigheden fører særskilt årsregnskab og -budget. Budgetterne offentliggøres.

Artikel 41 Generelle betingelser for medlemmerne af tilsynsmyndigheden

1.           Medlemsstaterne vedtager bestemmelser om, at medlemmerne af tilsynsmyndig­heden skal udpeges af parlamentet eller regeringen i den pågældende medlemsstat.

2.           Medlemmerne udvælges blandt personer, hvis uafhængighed er uomtvistelig, og som kan dokumentere den erfaring og kompetence, som er nødvendig for at udøve deres hverv.

3.           Et medlems opgaver ophører ved udløbet af embedsperioden, ved frivillig fratræden eller ved opnåelse af tvungen pensionsalder, jf. stk. 5.

4.           Et medlem kan af den kompetente nationale domstol afskediges eller fratages sin ret til pension eller lignende goder, hvis vedkommende ikke længere opfylder de nødvendige betingelser for at udøve sit hverv, eller hvis vedkommende har begået alvorligt embedsmisbrug.

5.           Når embedsperioden udløber, eller hvis et medlem udtræder, fortsætter medlemmet med at opfylde sine forpligtelser, indtil et nyt medlem er udpeget.

Artikel 42 Regler om oprettelse af tilsynsmyndigheden

Medlemsstaterne fastsætter ved lov:

a)           tilsynsmyndighedens oprettelse og status, jf. artikel 39 og 40

b)           kvalifikationer, erfaring og kompetence, der er nødvendig for at udøve hvervet som medlem af tilsynsmyndigheden

c)           reglerne og procedurerne for udnævnelsen af medlemmerne af tilsynsmyndigheden samt regler om handlinger og hverv, der er uforenelige med dette hverv

d)           embedsperioden for medlemmerne af tilsynsmyndigheden, som skal være mindst fire år, med undtagelse af den første udnævnelse efter dette direktivs ikrafttræden, som kan være af kortere varighed

e)           om medlemmerne af tilsynsmyndigheden kan genudnævnes

f)            bestemmelser og fælles betingelser vedrørende de pligter, der påhviler tilsynsmyndighedens medlemmer og personale

g)           regler og procedurer, når medlemmerne af tilsynsmyndigheden fratræder deres hverv, herunder hvis de ikke længere opfylder de nødvendige betingelser for at udøve hvervet, eller hvis de har begået alvorligt embedsmisbrug.

Artikel 43 Tavshedspligt

Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndighedens medlemmer og personale såvel under embeds- og ansættelsesperioden som efter dens ophør har tavshedspligt, for så vidt angår alle fortrolige oplysninger, der er kommet til deres kendskab under udøvelsen af deres hverv.

AFDELING 2 OPGAVER OG BEFØJELSER

Artikel 44 Kompetence

1.           Medlemsstaterne drager omsorg for, at hver tilsynsmyndighed på sin medlemsstats område udøver de beføjelser, der tillægges den i overensstemmelse med dette direktiv.

2.           Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden ikke har beføjelse til at føre tilsyn med domstolenes behandling af personoplysninger, når de handler i deres egenskab af domstol.

Artikel 45 Opgaver

1.           Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden skal:

a)      overvåge og sikre anvendelsen af de bestemmelser, der vedtages i medfør at dette direktiv og gennemførelsesbestemmelserne hertil

b)      høre klager, der indgives af en registreret eller en sammenslutning, der repræsenterer og er behørigt bemyndiget af den registrerede i overens­stemmelse med artikel 50, så vidt det er hensigtsmæssigt, undersøge sagen og underrette den registrerede eller sammenslutningen om forløbet og resultatet af klagen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig

c)      kontrollere, om en behandling er lovlig i henhold til artikel 14, og underrette den registrerede inden for en rimelig frist om resultatet af undersøgelsen eller om årsagerne til, at undersøgelsen ikke er foretaget

d)      yde gensidig bistand til andre tilsynsmyndigheder og sikre ensartet anvendelse og håndhævelse af bestemmelser vedtaget i medfør af dette direktiv

e)      gennemføre undersøgelser på eget initiativ, på grundlag af en klage eller efter anmodning fra en anden tilsynsmyndighed og underrette den registrerede, hvis vedkommende har indgivet en klage til denne tilsynsmyndighed, om resultatet af undersøgelsen inden for en rimelig frist

f)       overvåge den relevante udvikling, for så vidt den har indvirkning på beskyttelsen af personoplysninger, navnlig udviklingen i informations- og kommunikationsteknologier

g)      høres af medlemsstaternes institutioner og organer om administrative foranstaltninger til beskyttelse af personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysning

h)      høres om behandling i henhold til artikel 26

i)       deltage i Det Europæiske Databeskyttelsesråds aktiviteter

2.           Hver tilsynsmyndighed styrker offentlighedens kendskab til risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger. Der skal lægges særlig vægt på aktiviteter, der er direkte rettet mod børn.

3.           Tilsynsmyndigheden rådgiver efter anmodning den registrerede i udøvelsen af dennes rettigheder som fastsat i de bestemmelser, der vedtages i henhold til direktivet, og samarbejder i den forbindelse med tilsynsmyndighederne i andre medlemsstater, hvis det er relevant.

4.           I forbindelse med de klager, der er omhandlet i stk. 1, litra b), udarbejder tilsynsmyndigheden en klageformular, der kan udfyldes elektronisk, uden dog at udelukke andre kommunikationsmidler.

5.           Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden skal varetage sine opgaver uden udgifter for den registrerede.

6.           Hvis anmodninger er usaglige, bl.a. fordi de gentages, kan tilsynsmyndigheden opkræve et gebyr eller undlade at iværksætte den handling, den registrerede anmoder om. Tilsynsmyndigheden bærer ansvaret for at bevise, at anmodningen er usaglig.

Artikel 46 Beføjelser

Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden bl.a. skal have:

a)      undersøgelsesbeføjelser såsom beføjelse til at få indsigt i de oplysninger, der er genstand for behandling, og beføjelse til at indsamle alle de oplysninger, der er nødvendige for at udføre sine tilsynsopgaver

b)      beføjelse til at gribe effektivt ind ved f.eks. at afgive udtalelser forud for iværksættelsen af behandlingen og sikre en passende offentliggørelse af disse udtalelser, at beordre oplysninger begrænset, slettet eller tilintetgjort, midlertidigt eller definitivt at forbyde en behandling, at udstede en advarsel til den registeransvarlige eller påtale en overtrædelse over for den registeransvarlige eller ved at høre de nationale parlamenter eller andre nationale politiske institutioner

c)      beføjelse til at indbringe overtrædelser af de bestemmelser, der vedtages i medfør af dette direktiv for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser.

Artikel 47 Aktivitetsrapport

Medlemsstaterne sørger for, at hver tilsynsmyndighed udarbejder en årlig rapport om sin virksomhed. Rapporten forelægges Kommissionen og Det Europæiske Databeskyttelsesråd.

KAPITEL VII

SAMARBEJDE

Artikel 48 Gensidig bistand

1.           Medlemsstaterne drager omsorg for, at tilsynsmyndighederne yder hinanden gensidig bistand med henblik på at gennemføre og anvende de bestemmelser, der vedtages i medfør af dette direktiv, på en ensartet måde og træffer foranstaltninger med henblik på et effektivt samarbejde med hinanden. Gensidig bistand omfatter bl.a. anmodninger om oplysninger og tilsynsforanstaltninger som f.eks. anmodninger om gennemførelse af forudgående høring, inspektioner og undersøgelser.

2.           Medlemsstaterne drager omsorg for, at tilsynsmyndigheden træffer alle foranstalt­ninger, som er nødvendige for at besvare anmodninger fra en anden tilsynsmyn­dighed.

3.           Den anmodede tilsynsmyndighed underretter den anmodende tilsynsmyndighed om resultaterne eller om forløbet eller de foranstaltninger, der er iværksat for at imødekomme anmodningen fra den anmodende tilsynsmyndighed.

Artikel 49 Det Europæiske Databeskyttelsesråds opgaver

1.           Det Europæiske Databeskyttelsesråd, oprettet ved forordning (EU) nr. … /2012, har følgende opgaver i forbindelse med behandling af personoplysninger inden for rammerne af dette direktiv:

a)      at rådgive Kommissionen om ethvert spørgsmål vedrørende beskyttelse af personoplysninger i EU, herunder om ethvert forslag til ændring af dette direktiv

b)      efter anmodning fra Kommissionen, på eget initiativ eller efter anmodning fra et af rådets medlemmer, at undersøge ethvert spørgsmål vedrørende anvendelsen af bestemmelser vedtaget i medfør af dette direktiv og udarbejde retningslinjer, henstillinger og bedste praksis til de nationale tilsyns­myndigheder for at fremme en konsekvent anvendelse af disse bestemmelser

c)      at gennemgå den praktiske anvendelse af de retningslinjer, henstillinger og bedste praksis, som er omhandlet i litra b), og aflægge regelmæssig rapport herom til Kommissionen

d)      at afgive udtalelse til Kommissionen om beskyttelsesniveauet i tredjelande eller internationale organisationer

e)      at fremme samarbejdet og en effektiv bilateral og multilateral udveksling af information og bedste praksis mellem tilsynsmyndighederne

f)       at fremme fælles uddannelsesprogrammer og udveksling af personale mellem tilsynsmyndighederne samt i påkommende tilfælde med tilsynsmyndighederne i tredjelande og internationale organisationers tilsynsmyndigheder

g)      at fremme udveksling af viden og dokumentation med databeskyttelses­myndigheder over hele verden, herunder databeskyttelseslovgivning og ‑praksis.

2.           Når Kommissionen anmoder Det Europæiske Databeskyttelsesråd om råd, kan den under hensyntagen til, hvor meget den pågældende sag haster, fastsætte en frist for, hvornår Det Europæiske Databeskyttelsesråds skal yde denne rådgivning. En sådan frist fastsættes under hensyntagen til, hvor meget den pågældende sag haster.

3.           Det Europæiske Databeskyttelsesråd fremsender sine udtalelser, retningslinjer, henstillinger og bedste praksis til Kommissionen og til det udvalg, der er nævnt i artikel 57, stk. 1, og offentliggør dem.

4.           Kommissionen underretter Det Europæiske Databeskyttelsesråd om sin opfølgning på udtalelser, retningslinjer, henstillinger og bedste praksis udarbejdet af Det Europæiske Databeskyttelsesråd.

KAPITEL VIII

KLAGEADGANG, ANSVAR OG SANKTIONER

Artikel 50 Retten til at indgive klage til tilsynsmyndigheden

1.           Uden at det berører en eventuel administrativ klageadgang eller adgang til domstolsprøvelse, fastsætter medlemsstaterne bestemmelser om, at alle registrerede har ret til at indgive klage til tilsynsmyndigheden i enhver medlemsstat, hvis de finder, at behandlingen af deres personoplysninger ikke er i overensstemmelse med bestemmelserne vedtaget i medfør af dette direktiv.

2.           Medlemsstaterne fastsætter bestemmelser om, at alle organer, organisationer eller sammenslutninger, der har til formål at beskytte registreredes rettigheder og interesser i forbindelse med beskyttelsen af deres personoplysninger, og som er etableret i overensstemmelse med en medlemsstats lovgivning, har ret til at indgive klage til en tilsynsmyndighed i enhver medlemsstat på vegne af en eller flere registrerede, hvis de vurderer, at den registreredes rettigheder i henhold til dette direktiv er blevet krænket som følge af behandlingen af deres personoplysninger. Organisationen eller sammenslutningen skal være behørigt bemyndiget af de(n) registrerede.

3.           Medlemsstaterne fastsætter bestemmelser om, at alle de i stk. 2 omhandlede organer, organisationer eller sammenslutninger har ret til, uafhængigt af en klage fra den registrerede, at indgive klage til en tilsynsmyndighed i enhver medlemsstat, hvis de vurderer, at der har fundet et brud på persondatasikkerheden sted

Artikel 51 Retsmidler over for tilsynsmyndigheden

1. Medlemsstaterne fastsætter bestemmelser om ret til domstolsprøvelse af afgørelser truffet af en tilsynsmyndighed.

2. Enhver registreret har adgang til et retsmiddel, der forpligter tilsynsmyndigheden til at reagere på en klage, hvis der ikke træffes en afgørelse, som er nødvendig for at beskytte vedkommendes rettigheder, eller hvis tilsynsmyndigheden ikke inden for tre måneder underretter den registrerede om forløbet eller resultatet af klagen i henhold til artikel 45, stk. 1.

3. Medlemsstaterne fastsætter bestemmelser om, at en sag mod en tilsynsmyndighed skal anlægges ved domstolen i den medlemsstat, hvor tilsynsmyndigheden er etableret.

Artikel 52 Retsmidler over for den registeransvarlige eller registerføreren

Uden at det berører en eventuel administrativ klageadgang, herunder retten til at indgive klage til en tilsynsmyndighed, fastsætter medlemsstaterne bestemmelser om, at alle fysiske personer skal have adgang til domstolsprøvelse, hvis de finder, at deres rettigheder, som er fastsat i bestemmelser vedtaget i medfør af dette direktiv, er blevet krænket som følge af behandlingen af deres personoplysninger i strid med disse bestemmelser.

Artikel 53 Fælles regler for retssager

1.           Medlemsstaterne fastsætter bestemmelser om, at alle organer, organisationer eller sammenslutninger, der er omhandlet i artikel 50, stk. 2, har ret til at udøve de rettigheder, der er omhandlet i artikel 51 og 52, på vegne af en eller flere registrerede.

2.           Hver tilsynsmyndighed har ret til at deltage i retssager og anlægge sager ved en domstol med det formål at håndhæve bestemmelser vedtaget i medfør af dette direktiv eller sikre en ensartet beskyttelse af personoplysninger i Unionen.

3.           Medlemsstaterne sikrer, at indgivelse af søgsmål i henhold til national ret kan føre til hurtig vedtagelse af forholdsregler, herunder foreløbige forholdsregler, for at bringe den påståede overtrædelse til ophør og hindre, at der opstår yderligere skade for de berørte interesser.

Artikel 54 Erstatningsansvar og ret til erstatning

1.           Medlemsstaterne fastsætter bestemmelser om, at enhver, som har lidt skade som følge af en ulovlig behandling eller enhver anden handling, der er uforenelig med de nationale bestemmelser, der vedtages i medfør af dette direktiv, har ret til erstatning for den forvoldte skade fra den registeransvarlige eller registerføreren.

2.           Når flere registeransvarlige eller registerførere er involveret i behandlingen, hæfter den enkelte registeransvarlige eller registerfører solidarisk for hele erstatnings­beløbet.

3.           Den registeransvarlige eller registerføreren kan helt eller delvis fritages for erstatningsansvar for skade, hvis den registeransvarlige eller registerføreren beviser, at vedkommende ikke er skyld i den begivenhed, der medførte skaden.

Artikel 58 Sanktioner

Medlemsstaterne fastsætter bestemmelser om sanktioner for overtrædelse af de nationale bestemmelser, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger til at sikre gennemførelsen heraf. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

KAPITEL IX

DELEGEREDE RETSAKTER OG GENNEMFØRELSESFORANSTALTNINGER

Artikel 56 Udøvelse af de delegerede beføjelser

1.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter på de i denne artikel fastlagte betingelser.

2.           De beføjelser, der er omhandlet i artikel 28, stk. 5, tillægges Kommissionen for et ubestemt tidsrum fra datoen for dette direktivs ikrafttræden.

3.           De beføjelser, der er omhandlet i artikel 28, stk. 5, kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer de i den pågældende afgørelse anførte delegerede beføjelser til ophør. Afgørelsen får virkning fra dagen efter offentliggørelsen i Den Europæiske Unions Tidende eller fra en senere dato, der fastsættes nærmere i afgørelsen. Den berører ikke gyldigheden af de delegerede retsakter, der allerede er i kraft.

4.           Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidig Europa-Parlamentet og Rådet meddelelse herom.

5.           En delegeret retsakt vedtaget i henhold til artikel 28, stk. 5, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på to måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet eller Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har informeret Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med to måneder på Europa-Parlamentets eller Rådets initiativ.

Artikel 57 Udvalgsprocedure

4. Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

5. Når der henvises til dette stykke, anvendes artikel 5 i forordning (EU) nr. 182/2011.

6. Når der henvises til dette stykke, anvendes artikel 8 i forordning (EU) nr. 182/2011 sammenholdt med dennes artikel 5.

KAPITEL XI

AFSLUTTENDE BESTEMMELSER

Artikel 58 Ophævelse

1.           Rådets rammeafgørelse 2008/977/RIA ophæves.

2.           Henvisninger til den ophævede rammeafgørelse, der er omhandlet i stk. 1, betragtes som henvisninger til dette direktiv.

Artikel 59 Forbindelse til tidligere EU-retsakter inden for retligt samarbejde i straffesager og politisamarbejde

De specifikke bestemmelser til beskyttelse af personoplysninger i forbindelse med de kompetente myndigheders behandling inden for rammerne af dette direktiv af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, som forekommer i EU-retsakter, der er vedtaget før vedtagelsen af dette direktiv, og som regulerer behandlingen af personoplysninger mellem medlemsstaterne og medlemsstaternes udpegede myndigheders adgang til informationssystemer, der er oprettet i henhold til traktaterne, finder uændret anvendelse.

Artikel 60 Forbindelse til tidligere indgåede internationale aftaler inden for retligt samarbejde i straffesager og politisamarbejde

Internationale aftaler, som medlemsstaterne har indgået forud for dette direktivs ikrafttræden, ændres om nødvendigt inden fem år fra dette direktivs ikrafttræden.

Artikel 61 Evaluering

1.           Kommissionen evaluerer anvendelsen af dette direktiv.

2.           Kommissionen gennemgår senest tre år efter dette direktivs ikrafttræden andre vedtagne EU-retsakter vedrørende kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, navnlig de i artikel 59 nævnte vedtagne EU-retsakter, for at vurdere behovet for at tilpasse dem til dette direktiv og fremsætte de forslag til ændring af disse retsakter, der måtte være nødvendige for at sikre en konsekvent tilgang til beskyttelse af personoplysninger inden for rammerne af dette direktiv.

3.           Kommissionen forelægger regelmæssigt Europa-Parlamentet og Rådet rapporter om evalueringen og gennemgangen af dette direktiv i henhold til stk. 1. De første rapporter forelægges senest fire år efter dette direktivs ikrafttræden. Efterfølgende rapporter forelægges hvert fjerde år derefter. Kommissionen forelægger efter behov relevante forslag til ændring af dette direktiv og tilpasning af andre retsakter. Rapporten offentliggøres.

Artikel 62 Gennemførelse

1.           Medlemsstaterne vedtager og offentliggør senest den [dato/to år efter ikrafttrædelsen] de love og administrative bestemmelser, der er nødvendige for at efterkomme dette direktiv. De tilsender straks Kommissionen disse love og bestemmelser.

De anvender disse love og bestemmelser fra den xx.xx.201x [dato/to år efter ikrafttrædelsen].

Lovene og bestemmelserne skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for henvisningen fastsættes af medlemsstaterne.

2.           Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.

Artikel 63 Ikrafttræden og anvendelse

Dette direktiv træder i kraft dagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Artikel 64 Adressater

Dette direktiv er rettet til medlemsstaterne.

Udfærdiget i Bruxelles, den 25.1.2012.

På Europa-Parlamentets vegne                    På Rådets vegne          

Formand                                                        Formand

[1]               Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31).

[2]               Se hele listen i bilag 3 til konsekvensanalysen (SEC(2012) 72).

[3]               Rådets rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (EUT L 350 af 30.12.2008, s. 60).

[4]               I Stockholmprogrammet (EUT C 115 af 4.5.2010, s. 1).

[5]               Jf. Europa-Parlamentets beslutning af 25. november 2009 om Stockholmprogrammet.

[6]               KOM(2010) 171 endelig.

[7]               Kommissionens meddelelse "En global metode til beskyttelse af personoplysninger i Den Europæiske Union", KOM(2010) 609 endelig, af 4. november 2010.

[8]               Erklæring 21 om beskyttelse af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde (knyttet som bilag til slutakten fra den regeringskonference, der vedtog Lissabontraktaten, undertegnet den 13. september 2007).

[9]               http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[10]             http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[11]             Special Eurobarometer (EB) 359, Data Protection and Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf..

[12]             Se undersøgelsen om de økonomiske fordele ved teknologier, der kan forbedre beskyttelsen af privatlivets fred eller den sammenlignende undersøgelse fra januar 2010 af forskellige tilgange til nye udfordringer i forbindelse med beskyttelse af privatlivets fred, navnlig i lyset af den teknologiske udvikling, som kan ses på:      (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[13]             Arbejdsgruppen blev nedsat i 1996 (ved direktivets artikel 29) og består af repræsentanter for de nationale databeskyttelsesmyndigheder, Den Europæiske Tilsynsførende for Databeskyttelse og Kommissionen. Se yderligere oplysninger om gruppens aktiviteter på:                http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[14]             Jf. navnlig følgende udtalelser: om fremtiden for privatlivets fred (2009, WP 168), om begreberne "registeransvarlig" og "registerfører" (1/2010, WP 169), om adfærdsbaseret annoncering på internettet (2/2010, WP 171), om princippet om ansvarlighed (3/2010, WP 173), om gældende ret (8/2010, WP 179) og om samtykke (15/2011, WP 187). På anmodning fra Kommissionen har den endvidere vedtaget følgende rådgivende dokumenter: om underretninger, om følsomme data og om den praktiske gennemførelse af artikel 28, stk. 6, i databeskyttelsesdirektivet. De findes alle på:  http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/2011_en.htm.

[15]             Findes på EDPS-webstedet: http://www.edps.europa.eu/EDPSWEB/.

[16]             Europa-Parlamentets beslutning af 6. juli 2011 om en global metode til beskyttelse af personoplysninger i Den Europæiske Union (2011/2025(INI),    http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244 (ordfører: parlamentsmedlem Axel Voss (EPP/DE).

[17]             CESE 999/2011.

[18]             SEC(2012) 72.

[19]             COM(2012) 12.

[20]             Domstolens dom af 9. november 2010 i forenede sager C-92/09 og C-93/09, Volker und Markus Schecke og Eifert, Sml. 2010 I, s. 0000.

[21]             I overensstemmelse med chartrets artikel 52, stk. 1, kan der indføres begrænsninger i udøvelsen af retten til databeskyttelse, såfremt disse begrænsninger er fastlagt i lovgivningen og respekterer disse rettigheders og friheders væsentligste indhold, og såfremt de under iagttagelse af proportionalitets­princippet er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder.

[22]             Se også artikel 2, litra a), i Europa-Parlamentets og Rådets direktiv 2011/93/EU af 13. december 2011 om bekæmpelse af seksuelt misbrug og seksuel udnyttelse af børn og børnepornografi og om erstatning af Rådets rammeafgørelse 2004/68/RIA (EUT L 335 af 17.12.2011, s. 1).

[23]             KOM(2005) 475 endelig.

[24]             Artikel 14 i afgørelsen 2009/371/RIA om Europol

[25]             Artikel 15 i afgørelsen 2009/426/RIA om Eurojust

[26]             Artikel 14 i afgørelsen 2009/371/RIA om Europol

[27]             ECHR's dom af 4.12.2008, S. og Marper mod Det Forenede Kongerige, (Stævning nr. 30562/04 og 30566/04).

[28]             Vedtaget på den internationale konference for myndigheder med ansvar for databeskyttelse og privatlivets fred den 5.11.2009.

[29]             EU-Domstolens dom af 9. marts 2010 i sag C-518/07, Europa-Kommissionen mod Forbundsrepublikken Tyskland, Sml. 2010 I, s. 1885.

[30]             Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og ‑organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).

[31]             Jf. fodnote 27.

[32]             Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked ("direktivet om elektronisk handel") (EFT L 178 af 17.7.2000, s. 1).

[33]             EUT C […] af […], s. […].

[34]             EFT L 281 af 23.11.1995, s. 31.

[35]             EUT L 350 af 30.12.2008, s. 60.

[36]             EUT L 55 af 28.2.2011, s. 13.

[37]             EUT L 335 af 17.12.2011, s. 1.

[38]             EFT L 176 af 10.7.1999, s. 36.

[39]             EUT L 53 af 27.2.2008, s. 52.

[40]             EUT L 160 af 18.6.2011, s. 19.