9.11.2017 |
DA |
Den Europæiske Unions Tidende |
C 378/496 |
P7_TA(2014)0219
Beskyttelse af personoplysninger med henblik på at forebygge straffelovsovertrædelser ***I
Europa-Parlamentets lovgivningsmæssige beslutning af 12. marts 2014 om forslag til Europa-Parlamentets og Rådets direktiv om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger (COM(2012)0010 — C7-0024/2012 — 2012/0010(COD))
(Almindelig lovgivningsprocedure: førstebehandling)
(2017/C 378/59)
Europa-Parlamentet,
— |
der henviser til Kommissionens forslag til Europa-Parlamentet og Rådet (COM(2012)0010), |
— |
der henviser til artikel 294, stk. 2, og artikel 16, stk. 2, i traktaten om Den Europæiske Unions funktionsmåde, på grundlag af hvilke Kommissionen har forelagt forslaget for Parlamentet (C7-0024/2012), |
— |
der henviser til artikel 294, stk. 3, i Traktaten om Den Europæiske Unions funktionsmåde, |
— |
der henviser til de begrundede udtalelser, som inden for rammerne af protokol nr. 2 om anvendelse af nærhedsprincippet og proportionalitetsprincippet er blevet forelagt af det tyske Forbundsråd og den svenske Riksdag, om at udkastet til lovgivningsmæssig retsakt ikke overholder nærhedsprincippet, |
— |
der henviser til udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse af 7. marts 2012 (1), |
— |
der henviser til udtalelse fra Den Europæiske Unions Agentur for Grundlæggende Rettigheder af 1. oktober 2012, |
— |
der henviser til forretningsordenens artikel 55, |
— |
der henviser til betænkning fra Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender og udtalelse fra Retsudvalget (A7-0403/2013), |
1. |
vedtager nedenstående holdning ved førstebehandling; |
2. |
anmoder om fornyet forelæggelse, hvis Kommissionen agter at ændre sit forslag i væsentlig grad eller erstatte det med en anden tekst; |
3. |
pålægger sin formand om at sende Parlamentets holdning til Rådet og Kommissionen samt til de nationale parlamenter. |
(1) EUT C 192 af 30.6.2012, s. 7.
P7_TC1-COD(2012)0010
Europa-Parlamentets holdning fastlagt ved førstebehandlingen den 12. marts 2014 med henblik på vedtagelse af Europa-Parlamentets og Rådets direktiv 2014/…/EU om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger
EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR –
under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16, stk. 2,
under henvisning til forslag fra Europa-Kommissionen,
efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,
under henvisning til udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse (1),
efter den almindelige lovgivningsprocedure (2) ,og
ud fra følgende betragtninger:
(1) |
Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (»Chartret«) og artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde fastsættes det, at enhver har ret til beskyttelse af personoplysninger om vedkommende selv. I artikel 8, stk. 2, i chartret bestemmes det, at sådanne oplysninger skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag. [Ændring 1] |
(2) |
Personoplysninger behandles for menneskets skyld; principperne og reglerne om beskyttelse af fysiske personer med hensyntil behandling af deres personoplysninger bør uanset de fysiske personers nationalitet eller bopæl respektere deres grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger. Behandlingen af personoplysninger bør bidrage til skabelsen af et område med frihed, sikkerhed og retfærdighed. |
(3) |
Den hastige teknologiske udvikling og globaliseringen har skabt nye udfordringer for beskyttelsen af personoplysninger. Omfanget af dataindsamling og -deling er steget drastisk. Teknologien giver offentlige myndigheder mulighed for at udnytte personoplysninger i et hidtil uset omfang, når de udøver deres aktiviteter. |
(4) |
Hvor det er påkrævet og rimeligt , er det i denne forbindelse nødvendigt at lette den frie udveksling af oplysninger mellem kompetente myndigheder i EU Unionen og videregivelsen af oplysninger til tredjelande og internationale organisationer, samtidig med at der sikres et højt niveau for beskyttelse af personoplysninger. Denne udvikling kræver, at der opbygges en stærk og mere sammenhængende databeskyttelsesramme i EU Unionen , som understøttes af en effektiv håndhævelse. [Ændring 2] |
(5) |
Europa-Parlamentets og Rådets direktiv 95/46/EF (3) finder anvendelse på enhver behandling af personoplysninger i medlemsstaterne både i den offentlige sektor og i den private sektor. Det finder dog ikke anvendelse på behandling af personoplysninger ved aktiviteter på områder, der ikke er omfattet af EU-retten, såsom retligt samarbejde i straffesager og politisamarbejde. |
(6) |
Rådets rammeafgørelse 2008/977/RIA (4) finder anvendelse inden for retligt samarbejde i straffesager og politisamarbejde. Denne rammeafgørelses anvendelsesområde er begrænset til behandling af personoplysninger, der videregives eller stilles til rådighed mellem medlemsstater. |
(7) |
Det er vigtigt at sikre et ensartet og højt niveau for beskyttelse af fysiske personers personoplysninger og gøre det lettere at udveksle personoplysninger mellem medlemsstaternes kompetente myndigheder for at sikre et effektivt retligt samarbejde i straffesager og politisamarbejde. Med det formål skal niveauet for beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner være det samme i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet i hele Unionen. For at sikre en effektiv beskyttelse af personoplysninger i Unionen er det nødvendigt at styrke de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler personoplysninger, men der skal også gives tilsvarende beføjelser til at kontrollere og sikre overholdelsen af reglerne om beskyttelse af personoplysninger i medlemsstaterne. [Ændring 3] |
(8) |
Artikel 16, stk. 2, i traktaten om Den Europæiske Unions funktionsmåde giver Europa-Parlamentet og Rådet beføjelse til at fastsætte regler for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler for den frie udveksling af deres personoplysninger. [Ændring 4] |
(9) |
I Europa-Parlamentets og Rådets forordning (EU) nr. …/2014 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse) fastsættes der generelle regler med det formål at beskytte fysiske personer i forbindelse med behandling af personoplysninger og sikre fri udveksling af personoplysninger i Unionen. |
(10) |
I erklæring 21 om beskyttelse af personoplysninger på området retligt samarbejde i straffesager og politisamarbejde, knyttet som bilag til slutakten fra den regeringskonference, der vedtog Lissabontraktaten, erkendte konferencen, at det kan blive nødvendigt med specifikke regler om beskyttelse af personoplysninger og om fri udveksling af disse oplysninger inden for retligt samarbejde i straffesager og politisamarbejde baseret på artikel 16 i traktaten om Den Europæiske Unions funktionsmåde som følge af disse områders specifikke karakter. |
(11) |
Der bør således vedtages et særskilt specifikt direktiv, hvori der tages højde for disse områders specifikke karakter og fastsættes regler for beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner. [Ændring 5] |
(12) |
For at sikre et ensartet beskyttelsesniveau for fysiske personer ved hjælp af rettigheder, der kan håndhæves retsligt i hele Unionen, og for at forhindre forskelle, der kan hæmme den frie udveksling af oplysninger mellem kompetente myndigheder, bør dette direktiv sikre harmoniserede regler for beskyttelse og fri udveksling af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde. |
(13) |
Dette direktiv giver mulighed for, at der tages hensyn til princippet om aktindsigt i officielle dokumenter, når direktivets bestemmelser anvendes. |
(14) |
Den beskyttelse, som dette direktiv giver i forbindelse med behandling af personoplysninger, bør omfatte fysiske personer uanset nationalitet eller bopæl. |
(15) |
Beskyttelsen af fysiske personer bør være teknologineutral og må ikke afhænge af de anvendte teknikker, da der ellers vil være alvorlig risiko for omgåelse. Beskyttelsen af fysiske personer bør gælde for både automatisk og manuel behandling af personoplysninger, hvis oplysningerne er indeholdt eller påtænkes indeholdt i et register. Sagsmapper eller samlinger af sagsmapper eller deres forsider, som ikke er struktureret efter bestemte kriterier, henhører ikke under dette direktivs anvendelsesområde. Dette direktiv bør ikke finde anvendelse på behandlingen af personoplysninger i forbindelse med en aktivitet, der falder uden for EU-rettens anvendelsesområde, særlig vedrørende national sikkerhed, eller på data, der behandles af EU-institutioner, -organer, -kontorer og -agenturer såsom Europol eller Eurojust. Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 (5) og de særlige retlige instrumenter, som gælder for Unionens agenturer, organer eller kontorer bør bringes i overensstemmelse med dette direktiv og anvendes i overensstemmelse med dette direktiv. [Ændring 6] |
(16) |
Principperne om databeskyttelse bør gælde for alle former for oplysninger om en identificeret eller identificerbar fysisk person. For at afgøre, om en fysisk person er identificerbar, bør alle de hjælpemidler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere eller udpege den pågældende enten af den registeransvarlige eller af enhver anden person. Beskyttelsesprincipperne bør ikke gælde oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres. Dette direktiv bør ikke finde anvendelse på anonyme oplysninger , dvs. oplysninger, der ikke direkte, indirekte, alene eller i forbindelse med lignende oplysninger kan forbindes med en fysisk person. Som følge af omfanget af de udviklingstendenser, der er på vej inden for informationssamfundet, teknikkerne, der anvendes til at indfange, transmittere, registrere, lagre eller formidle positionsdata vedrørende fysiske personer, som kan anvendes til forskellige formål som f.eks. overvågning eller oprettelse af profiler, bør dette direktiv også finde anvendelse på behandling af sådanne personoplysninger . [Ændring 7] |
(16a) |
Enhver behandling af personoplysninger skal være lovlig, rimelig og gennemskuelig i forhold til de berørte personer. De specifikke formål med behandlingen af oplysningerne bør navnlig være udtrykkelige og legitime og fremgå, når personoplysningerne indsamles. Personoplysningerne bør være passende, relevante og begrænset til det minimum, der er nødvendigt til formålene med behandlingen af personoplysningerne. Dette kræver navnlig, at man begrænser de indsamlede oplysninger, og at perioden for opbevaring af oplysningerne begrænses til det kortest mulige. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke kan opfyldes på anden måde. Der bør træffes enhver rimelig foranstaltning for at sikre, at personoplysninger, som er urigtige, berigtiges eller slettes. For at sikre, at oplysningerne ikke opbevares i længere tid end nødvendigt, bør den registeransvarlige indføre tidsfrister for sletning eller periodisk gennemgang. [Ændring 8] |
(17) |
Personlige helbredsoplysninger bør navnlig omfatte alle oplysninger om den registreredes helbredstilstand, oplysninger om registrering af personen med henblik på modtagelse af sundhedsydelser, oplysninger om betaling for eller berettigelse til sundhedsydelser for så vidt angår personen, et nummer, symbol eller særligt mærke, der tildeles en person for entydigt at identificere personen i sundhedsanliggender, enhver oplysning om personen, som indsamles i tilknytning til leveringen af sundhedsydelser til personen, oplysninger, der hidrører fra prøver eller undersøgelser af en legemsdel eller legemlig substans, herunder biologiske prøver, identifikation af en person som leverandør af sundhedsydelser til en person og alle oplysninger om f.eks. en sygdom, et handicap, en sygdomsrisiko, sygehistorie, hospitalsbehandling eller den registreredes faktiske fysiologiske eller biomedicinske tilstand uafhængigt af, hvad kilden til oplysningerne er, f.eks. en læge eller andet lægeligt personale, et hospital, medicinsk udstyr eller en in vitro-diagnostik. |
(18) |
Enhver behandling af personoplysninger skal være rimelig og lovlig i forhold til de berørte personer. De specifikke formål med behandlingen af oplysningerne bør navnlig være eksplicitte. [Ændring 9] |
(19) |
Med henblik på forebyggelse, efterforskning og retsforfølgning af straffelovovertrædelser er det nødvendigt, at de kompetente myndigheder gemmer personoplysninger, der er indsamlet i forbindelse med forebyggelse, efterforskning, opdagelse eller retsforfølgning af specifikke straffelovsovertrædelser, og behandler dem i en bredere kontekst for derved at få en forståelse af kriminelle fænomener og tendenser, at indsamle efterretningsoplysninger om organiserede kriminelle netværk og at sammenkoble forskellige opdagede overtrædelser. [Ændring 10] |
(20) |
Personoplysningerne bør ikke behandles til formål, der er uforenelige med det formål, hvortil de blev indsamlet. Personoplysninger bør være hensigtsmæssige, relevante og ikke for omfattende i forhold til de formål, hvortil de behandles. Der bør træffes enhver rimelig foranstaltning for at sikre, at personoplysninger, som er urigtige, berigtiges eller slettes. [Ændring 11] |
(20a) |
Det simple faktum, at to formål begge har relation til at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, betyder ikke nødvendigvis, at de er forenelige. Der er dog tilfælde, hvor yderligere behandling til formål, der er uforenelige, bør være mulig, hvis det er nødvendigt for at opfylde en retlig forpligtelse, der påhviler den registeransvarlige, for at beskytte den registreredes eller en anden persons vitale interesser eller for at afværge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed. Medlemsstaterne bør derfor kunne vedtage nationale love, der giver mulighed for sådanne undtagelser i det omfang, det er strengt nødvendigt. Sådanne nationale love bør indeholde tilstrækkelige sikkerhedsforanstaltninger. [Ændring 12] |
(21) |
Princippet om oplysningernes rigtighed bør anvendes på en måde, så der tages hensyn til den pågældende behandlings art og formål. Navnlig i retssager er udsagn, der indeholder personoplysninger, baseret på en subjektiv opfattelse af enkeltpersoner, og det er i visse tilfælde ikke altid muligt at kontrollere dem. Kravet om oplysningernes rigtighed bør derfor ikke vedrøre et udsagns rigtighed, men blot det forhold, at der er fremsat et specifikt udsagn. |
(22) |
Ved fortolkningen og anvendelsen af de generelle principper for kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner bør der tages højde for de særlige forhold i denne sektor, herunder de specifikke mål, der forfølges. [Ændring 13] |
(23) |
Behandling af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde indebærer i sagens natur behandling af personoplysninger om forskellige kategorier af registrerede. Der bør således så vidt muligt sondres klart mellem personoplysninger om forskellige kategorier af registrerede såsom mistænkte, personer, der er dømt for en straffelovsovertrædelse, ofre eller tredjeparter som f.eks. vidner, personer, der ligger inde med relevante oplysninger, eller mistænktes og dømte kriminelles kontaktpersoner og associerede. Medlemsstaterne bør tilvejebringe specifikke regler for konsekvenserne af denne kategorisering og derved tage hensyn til de forskellige målsætninger, der indsamles oplysninger til, og sørge for specifikke sikkerhedsforanstaltninger for personer, der ikke er mistænkte eller ikke er dømt for en straffelovsovertrædelse . [Ændring 14] |
(24) |
Der bør så vidt muligt sondres mellem forskellige kategorier af oplysninger ud fra, i hvor høj grad disse er korrekte og pålidelige. Der bør sondres mellem kendsgerninger og personlige vurderinger for både at sikre beskyttelsen af fysiske personer og kvaliteten og pålideligheden af de oplysninger, der behandles af de kompetente myndigheder. |
(25) |
For at være lovlig bør en behandling af personoplysninger være kun være tilladt, når den er nødvendig for at overholde en retlig forpligtelse, som gælder for den registeransvarlige, eller nødvendig af hensyn til en kompetent myndigheds lovbestemte udførelse af en opgave i samfundets interesse eller for at beskytte den registreredes eller en anden persons vitale interesser eller forebygge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed i henhold til EU-retten eller national lovgivning, der som minimum bør indeholde udtrykkelige og detaljerede bestemmelser vedrørende formål, personoplysninger, de specifikke formål og midler, udpege eller give mulighed for at udpege den registeransvarlige, de procedurer, der skal følges og begrænsninger af eventuelle beføjelser, som overdrages til de kompetente myndigheder i forbindelse med behandlingen. [Ændring 15] |
(25a) |
Personoplysningerne bør ikke behandles til formål, der er uforenelige med det formål, hvortil de blev indsamlet. Yderligere behandling foretaget af de kompetente myndigheder med et formål, der falder inden for dette direktivs anvendelsesområde, bør kun tillades i specifikke tilfælde, hvor denne behandling er nødvendig for at overholde en retlig forpligtelse i henhold til EU-retten eller medlemsstatens lovgivning, som gælder for den registeransvarlige, eller for at beskytte den registreredes eller en anden persons vitale interesser eller forebygge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed. Det forhold, at oplysningerne behandles med henblik på retshåndhævelse indebærer ikke nødvendigvis, at dette formål er foreneligt med det oprindelige formål. Princippet om forenelig anvendelse skal fortolkes restriktivt. [Ændring 16] |
(25b) |
Personoplysninger, der behandles i strid med de nationale bestemmelser, der er vedtaget i henhold til dette direktiv, må ikke behandles yderligere. [Ændring 17] |
(26) |
Personoplysninger, der i kraft af deres karakter er særligt følsomme og sårbare i forbindelse med grundlæggende rettigheder eller beskyttelse af privatlivets fred, bør nyde særlig beskyttelse. Sådanne oplysninger må ikke behandles, medmindre behandlingen er fastsat i lovgivningen, nødvendig med henblik på udførelsen af en opgave , der udføres i almen interesse, på grundlag af EU-retten eller medlemsstatens lovgivning, som indeholder passende bestemmelser til beskyttelse af den registreredes grundlæggende rettigheder og legitime interesser eller behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser eller vedrører oplysninger, som tydeligvis offentliggøres af den registrerede. Følsomme personoplysninger bør kun behandles, hvis de supplerer andre personoplysninger, der allerede behandles som led i en politiefterforskning. Enhver undtagelse fra forbuddet mod behandling af følsomme oplysninger bør fortolkes restriktivt og må ikke føre til hyppig, omfattende og systematisk behandling af følsomme personoplysninger. [Ændring 18] |
(26a) |
Behandlingen af genetiske oplysninger bør kun være tilladt, hvis der findes en genetisk sammenhæng, der viser sig i forbindelse med efterforskningen af en forbrydelse eller med en retssag. Genetiske oplysninger bør kun opbevares, så længe det er strengt nødvendigt til brug for disse undersøgelser og retssager, men medlemsstaterne kan give tilladelse til opbevaring i en længere periode på de betingelser, der opstilles i dette direktiv. [Ændring 19] |
(27) |
Enhver fysisk person bør have ret til ikke at blive gjort til genstand for en foranstaltning, der er baseret på udelukkende delvis eller fuldstændig profilering ved hjælp af automatisk databehandling. En sådan behandling , der har negative retlige virkninger eller alvorlige konsekvenser for den pågældende, bør forbydes, medmindre dette er tilladt ved lov og omfattet af passende foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og legitime interesser, herunder retten til at få udleveret relevante oplysninger om den logik, der er anvendt i forbindelse med profileringen . En sådan behandling bør under ingen omstændigheder indeholde, skabe eller diskriminere på baggrund af særlige kategorier af oplysninger. [Ændring 20] |
(28) |
For at den registrerede kan udøve sine rettigheder, bør alle oplysninger om den registrerede være nemt tilgængelige og letforståelige, bl.a. at der benyttes et klart og forståeligt sprog. Disse oplysninger bør tilpasses den registreredes behov, navnlig når oplysningerne er specifikt rettet mod et barn. [Ændring 21] |
(29) |
Der bør fastsættes nærmere bestemmelser, som kan lette de registreredes udøvelse af deres rettigheder i henhold til dette direktiv, herunder systemer til uden udgifter at anmode om indsigt i eller berigtigelse og sletning af personoplysninger. Den registeransvarlige bør være forpligtet til at besvare sådanne anmodninger fra den registrerede uden unødig forsinkelse og senest en måned efter modtagelsen af anmodningen. Såfremt personoplysninger behandles automatisk, skal den registeransvarlige gøre det muligt at fremsætte anmodninger elektronisk. [Ændring 22] |
(30) |
I henhold til princippet om rimelig og gennemskuelig behandling skal den registrerede navnlig informeres om en behandlings eksistens og dens formål, dens retsgrundlag , hvor længe oplysningerne opbevares, hvorvidt der gives ret til at få indsigt i og foretage berigtigelse og sletning af oplysninger, og om retten til at indgive klage. Desuden bør den registrerede underrettes om en eventuel profilering, og om de tilsigtede konsekvenser . Hvis oplysningerne indsamles hos den registrerede, bør den registrerede også oplyses om, hvorvidt vedkommende er forpligtet til at afgive sådanne oplysninger, og om konsekvenserne, hvis vedkommende ikke afgiver sådanne oplysninger. [Ændring 23] |
(31) |
Oplysningerne om behandlingen af den registreredes personoplysninger bør gives til den registrerede på tidspunktet for indsamlingen, eller, hvis oplysningerne ikke indsamles hos den registrerede, på tidspunktet for registreringen eller inden for et rimeligt tidsrum efter indsamlingen under hensyn til de særlige forhold, hvorunder personoplysningerne behandles. |
(32) |
Enhver bør have ret til indsigt i oplysninger, der er indsamlet om den pågældende, og til let at udøve denne ret med henblik på at forvisse sig om oplysningernes eksistens og behandlingens lovlighed. Enhver registreret bør derfor navnlig have ret til at kende og blive underrettet om det formål, hvortil oplysningerne behandles, retsgrundlaget , hvor lang tid de gemmes, og hvem modtagerne af oplysningerne er, herunder tredjelande, samt til at få tilstillet forståelige oplysninger om den logik, der anvendes i forbindelse med automatisk behandling, og i givet fald om de væsentligste tilsigtede konsekvenser samt om retten til at indgive en klage til tilsynsmyndigheden og dennes kontaktoplysninger. Registrerede bør have ret til at få en kopi af de personoplysninger, der behandles. [Ændring 24] |
(33) |
Medlemsstaterne bør have beføjelse til at træffe lovgivningsmæssige foranstaltninger, der udsætter eller begrænser informeringen af de registrerede eller deres ret til indsigt i oplysningerne, i det omfang en sådan delvis eller fuldstændig begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den pågældende persons grundlæggende rettigheder og legitime interesser, for at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, for at undgå, at forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af straffelovsovertrædelser skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner, for at beskytte den offentlige sikkerhed eller den nationale sikkerhed eller for at beskytte den registreredes interesser eller andres rettigheder og frihedsrettigheder. Den registeransvarlige bør gennem en konkret og individuel undersøgelse af de enkelte tilfælde vurdere, hvorvidt der bør foretages en delvis eller fuldstændig begrænsning af retten til adgang. [Ændring 25] |
(34) |
Enhver begrænsning af den registreredes rettigheder bør meddeles den registrerede skriftligt, herunder de faktuelle eller retlige årsager til beslutningen. |
(34a) |
Enhver begrænsning af den registreredes rettigheder skal være i overensstemmelse med chartret og med den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder som præciseret i retspraksis ved Den Europæiske Unions Domstol og Den Europæiske Menneskerettighedsdomstol og navnlig respekten for ånden i rettighederne og frihedsrettighederne. [Ændring 26] |
(35) |
Når medlemsstaterne har truffet lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser retten til indsigt i personoplysninger, bør den registrerede have ret til at anmode om, at den kompetente nationale tilsynsmyndighed kontrollerer, at behandlingen af oplysningerne er lovlig. Den registrerede skal oplyses om denne rettighed. Hvis retten til indsigt udøves af tilsynsmyndigheden på vegne af den registrerede, bør den pågældende tilsynsmyndighed som minimum underrette den registrerede om, at tilsynsmyndigheden har foretaget den nødvendige kontrol, og om hvorvidt den pågældende behandling er lovlig. Tilsynsmyndigheden bør også oplyse den registrerede om retten til domstolsprøvelse. [Ændring 27] |
(36) |
Enhver person bør have ret til at få berigtiget urigtige eller ulovligt behandlede personoplysninger og til at få slettet oplysninger, hvis behandlingen af sådanne oplysninger ikke er i overensstemmelse med hovedprincipperne bestemmelserne i dette direktiv. En sådan berigtigelse, supplering eller sletning skal meddeles modtagerne af oplysningerne og tredjemand, hvorfra de urigtige oplysninger stammer. Den registeransvarlige skal også afstå fra yderligere videregivelse af sådanne oplysninger. Når personoplysningerne behandles under en strafferetlig efterforskning og straffesag kan retten til berigtigelse, retten til information, retten til indsigt i eller sletning af oplysningerne eller begrænsning af behandlingen heraf foretages i henhold til de nationale retsplejeregler. [Ændring 28] |
(37) |
Der bør fastsættes bestemmelser om den registeransvarliges overordnede ansvar, herunder erstatningsansvar, for den behandling af personoplysninger, der foretages af den registeransvarlige eller på vegne af den registeransvarlige. Den registeransvarlige bør navnlig sikre og være forpligtet til at kunne dokumentere, at behandlingen den enkelte behandling er i overensstemmelse de bestemmelser, der vedtages til gennemførelse af dette direktiv. [Ændring 29] |
(38) |
Beskyttelsen af de registreredes rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger kræver, at der træffes de fornødne tekniske og organisatoriske foranstaltninger for at sikre, at dette direktivs krav opfyldes. For at sikre overholdelsen af de bestemmelser, der vedtages til gennemførelse af dette direktiv, bør den registeransvarlige fastlægge strategier og gennemføre passende foranstaltninger, som navnlig er i overensstemmelse med principperne om indbygget databeskyttelse og databeskyttelse gennem indstillinger. |
(39) |
Beskyttelsen af registreredes rettigheder og frihedsrettigheder samt registeransvarliges og registerføreres ansvar kræver en klar fordeling af ansvarsområderne under dette direktiv, herunder når en registeransvarlig afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger sammen med andre registeransvarlige, eller når en behandling foretages på vegne af en registeransvarlig. Den registrerede bør have ret til at udøve sine rettigheder i henhold til dette direktiv over for og i forhold til hver af de fælles registeransvarlige. [Ændring 30] |
(40) |
Den registeransvarlige eller registerføreren bør dokumentere behandlingen, således at det kan kontrolleres, at den er i overensstemmelse med dette direktiv. Den registeransvarlige og registerføreren bør have pligt til at samarbejde med tilsynsmyndigheden og efter anmodning stille denne dokumentation til rådighed for tilsynsmyndigheden, så den kan bruges i forbindelse med kontrollen af behandlingen. |
(40a) |
Alle behandlinger af personoplysninger bør registreres for at det kan kontrolleres, om behandlingen er lovlig, samt med henblik på at udøve egenkontrol og sikre dataenes integritet og sikkerhed. Disse registreringsoplysninger bør kunne rekvireres af tilsynsmyndigheden med henblik på kontrol af overholdelsen af kravene i dette direktiv. [Ændring 31] |
(40b) |
Den tilsynsførende eller den registeransvarlige bør foretage en konsekvensanalyse af databeskyttelsen, hvis behandlingen af personoplysninger sandsynligvis vil indebære specifikke risici for den registreredes rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål, som navnlig bør omfatte de planlagte foranstaltninger, sikkerhedsforanstaltninger og mekanismer til beskyttelse af personoplysninger samt til dokumentation af overholdelsen af dette direktiv. Konsekvensanalyserne bør vedrøre relevante systemer og processer i forbindelse med behandling af personoplysninger, men ikke enkeltsager. [Ændring 32] |
(41) |
For at sikre en effektiv beskyttelse af de registreredes rettigheder og frihedsrettigheder ved hjælp af forebyggende foranstaltninger bør den registeransvarlige eller registerføreren i visse tilfælde høre tilsynsmyndigheden inden behandlingen. Hvis en konsekvensanalyse vedrørende databeskyttelse desuden viser, at behandlingen efter al sandsynlighed vil involvere en høj grad af specifikke risici for registreredes rettigheder og frihedsrettigheder, bør tilsynsmyndigheden inden iværksættelse af behandlingsaktiviteter kunne forhindre en risikobehæftet behandling, der ikke er i overensstemmelse med dette direktiv, og fremsætte forslag til afhjælpning af en sådan situation. En sådan høring kan ligeledes gennemføres som led i udarbejdelsen af en lovgivningsmæssig foranstaltning, der vedtages af det nationale parlament, eller af en anden foranstaltning med hjemmel i en sådan lovgivningsmæssig foranstaltning, som fastlægger karakteren af behandlingen og indfører de fornødne garantier. [Ændring 33] |
(41a) |
For at opretholde sikkerheden og forhindre behandling, som er i strid med dette direktiv, bør den registeransvarlige eller registerføreren foretage en evaluering af risici i forbindelse med behandlingen og træffe foranstaltninger til at mindske disse risici. Disse foranstaltninger bør sikre et tilstrækkeligt sikkerhedsniveau under hensyntagen til den seneste teknologiske udvikling og omkostningerne ved gennemførelsen af dem sammenholdt med risikoen og arten af de oplysninger, der bør beskyttes. I forbindelse med fastsættelsen af tekniske standarder og organisatoriske foranstaltninger for at garantere sikkerheden i forbindelse med behandlingen, bør der tilstræbes teknologisk neutralitet. [Ændring 34] |
(42) |
Brud på persondatasikkerheden kan bl.a. skade påføre den berørte persons omdømme person betydelige økonomiske tab og sociale problemer, herunder identitetsbedrageri, hvis ikke de rettidigt afhjælpes på betryggende vis. Så snart den registeransvarlige bliver opmærksom på, at der er sket et sådant sikkerhedsbrud, bør vedkommende derfor anmelde bruddet til den kompetente nationale tilsynsmyndighed. Fysiske personer, hvis personoplysninger og ret til beskyttelse af privatlivets fred kunne blive krænket af sådanne brud, bør uden unødig forsinkelse underrettes, så de kan træffe de nødvendige forholdsregler. Et brud bør anses for at krænke den fysiske persons personoplysninger og ret til beskyttelse af privatlivets fred, hvis det kan indebære f.eks. identitetstyveri eller svig, fysisk skade, betydelig tort eller skade af omdømme i forbindelse behandlingen af personoplysninger. Anmeldelsen bør indeholde oplysninger om, hvilke foranstaltninger udbyderen har sat i værk for at afhjælpe bruddet på sikkerheden, og anbefalinger til den berørte abonnent eller fysiske person. Underretninger til registrerede bør gives så snart, det er muligt, og i tæt samarbejde med tilsynsmyndigheden og bør overholde retningslinjer, der er opstillet af denne. [Ændring 35] |
(43) |
Når der fastsættes nærmere regler for, hvilket format og hvilke procedurer der skal anvendes ved anmeldelse af brud på persondatasikkerheden, bør der tages behørigt hensyn til omstændighederne ved sikkerhedsbruddet, herunder om personoplysningerne var beskyttet ved passende tekniske beskyttelsesforanstaltninger, der effektivt begrænser sandsynligheden for misbrug. Sådanne regler og procedurer bør desuden tage hensyn til de kompetente myndigheders legitime interesser, hvis tidlig anmeldelse kunne udgøre en unødvendig hæmsko for efterforskningen af omstændighederne ved et sikkerhedsbrud. |
(44) |
Den registeransvarlige eller registerføreren bør udpege en person, der skal bistå den registeransvarlige eller registerføreren med at overvåge og påvise , at behandlingen er i overensstemmelse med de bestemmelser, der vedtages til gennemførelse af dette direktiv. Når flere kompetente myndigheder er underlagt en central myndigheds kontrol, bør den pågældende centrale myndighed i det mindste udpege en sådan databeskyttelsesansvarlig. Den databeskyttelsesansvarlige skal være i stand til at udøve sit hverv uafhængigt og effektivt, navnlig ved at indføre regler til forhindring af interessekonflikter med andre opgaver, der udføres af den databeskyttelsesansvarlige. [Ændring 36] |
(45) |
Medlemsstaterne bør sikre, at videregivelse af personoplysninger til et tredjeland kun sker, hvis det denne specifikke videregivelse er nødvendig for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, og den registeransvarlige i det pågældende tredjeland eller den pågældende internationale organisation er en kompetent offentlig myndighed som defineret i dette direktiv. Der kan finde videregivelse sted i de tilfælde, hvor Kommissionen har afgjort, at det pågældende tredjelande eller den pågældende internationale organisation sikrer et passende beskyttelsesniveau, hvis det godtgøres, at der er indført passende beskyttelsesforanstaltninger eller passende beskyttelsesforanstaltninger i form af et juridisk bindende instrument. Oplysninger, der videregives til kompetente offentlige myndigheder i tredjelande, bør ikke behandles yderligere til andre formål end det, de blev videregivet til. [Ændring 37] |
(45a) |
Yderligere videregivelse fra kompetente myndigheder i tredjelande eller internationale organisationer, hvortil personoplysninger er blevet videregivet, bør kun tillades, hvis videregivelsen er nødvendig til samme specifikke formål som den originale videregivelse, og den anden modtager også er en kompetent offentlig myndighed. Yderligere videregivelser bør ikke være tilladt til generelle retshåndhævelsesformål. Den kompetente myndighed, som foretog den oprindelige videregivelse, bør have godkendt videregivelsen. [Ændring 38] |
(46) |
Kommissionen kan med virkning for hele Unionen afgøre, at visse tredjelande, et område, en behandlingssektor i et tredjeland eller en international organisation har et tilstrækkeligt databeskyttelsesniveau, og dermed skabe retssikkerhed og ensartethed i hele Unionen, hvad angår tredjelande eller internationale organisationer, der vurderes at have et sådant beskyttelsesniveau. I disse tilfælde kan personoplysninger videregives til disse lande uden krav om yderligere godkendelse. |
(47) |
I overensstemmelse med de grundlæggende værdier, som Unionen er baseret på, navnlig beskyttelsen af menneskerettighederne, bør Kommissionen overveje, hvorvidt det pågældende tredjeland respekterer retsstatsprincippet, adgangen til klage og domstolsprøvelse samt internationale menneskerettighedsstandarder. |
(48) |
Kommissionen bør ligeledes kunne fastslå, at et tredjeland eller et område eller en behandlingssektor i det pågældende tredjeland eller en international organisation ikke har et tilstrækkeligt databeskyttelsesniveau. I så fald bør videregivelsen af personoplysninger til det pågældende tredjeland forbydes, undtagen hvis videregivelsen sker på grundlag af en international aftale, passende beskyttelsesforanstaltninger eller en undtagelse. Der bør fastsættes bestemmelser om høringsprocedurer mellem Kommissionen og de pågældende tredjelande eller internationale organisationer. En sådan kommissionsafgørelse bør imidlertid ikke påvirke muligheden for at videregive oplysninger på grundlag af passende beskyttelsesforanstaltninger ved hjælp af juridisk bindende instrumenter eller på grundlag af en undtagelse, der er fastsat i dette direktiv. [Ændring 39] |
(49) |
Videregivelser af oplysninger, der ikke er baseret på en sådan afgørelse om tilstrækkeligheden af beskyttelsesniveauet, bør kun tillades, hvis der er indført de fornødne garantier i et retligt bindende instrument, der sikrer beskyttelsen af personoplysninger, eller hvis den registeransvarlige eller registerføreren har vurderet samtlige de forhold, der har indflydelse på en videregivelse eller en serie af videregivelser af personoplysninger, og som på grundlag af denne vurdering konkluderer, at de fornødne garantier for beskyttelsen af personoplysninger er til stede. I sager, hvor der ikke findes årsager til at tillade videregivelse af oplysninger, bør der indrømmes undtagelser, hvis det er nødvendigt for at beskytte den registreredes eller en anden persons vitale interesser eller beskytte den registreredes legitime interesser, hvis det er fastsat i lovgivningen i den medlemsstat, der videregiver personoplysninger, eller hvis det er vigtigt for at forebygge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed eller i enkeltsager med henblik på forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner eller i enkeltsager med henblik på at fastslå et retskrav eller gøre det gældende eller forsvare det ved en domstol. [Ændring 40] |
(49a) |
I sager, hvor der ikke findes årsager til at tillade videregivelse af oplysninger, bør der indrømmes undtagelser, hvis det er nødvendigt for at beskytte den registreredes eller en anden persons vitale interesser eller beskytte den registreredes legitime interesser, såfremt der er hjemmel herfor i lovgivningen i den medlemsstat, der videregiver personoplysninger, eller hvis det er vigtigt for at forebygge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed eller, i enkeltsager, med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner eller, i enkeltsager, med henblik på at fastslå et retskrav eller gøre det gældende eller forsvare det ved en domstol. Disse undtagelser bør fortolkes restriktivt og bør ikke give mulighed for hyppig, omfattende og strukturel overførsel af personoplysninger og bør ikke give mulighed for generel dataoverførsel, men begrænses til de data, der er strengt nødvendige. Desuden bør beslutningen om overførsel af personoplysninger træffes af en dertil behørigt bemyndiget person, og overførslen skal dokumenteres og kunne rekvireres af tilsynsmyndigheden, hvis denne anmoder om det, for at give mulighed for at kontrollere overførslens lovlighed. [Ændring 41] |
(50) |
Når personoplysninger overføres på tværs af grænserne, kan det medføre yderligere risici for fysiske personers mulighed for at udøve deres databeskyttelsesrettigheder og beskytte sig mod ulovlig brug eller videregivelse af disse oplysninger. Samtidig må tilsynsmyndighederne i nogle tilfælde konstatere, at de ikke kan indgive klager eller gennemføre undersøgelser vedrørende aktiviteter uden for deres grænser. Samarbejdet på tværs af grænserne kan også hæmmes af utilstrækkelige forebyggende eller afhjælpende beføjelser eller uensartede retlige bestemmelser. Der er derfor et behov for tættere samarbejde mellem databeskyttelsesmyndigheder for at lette udvekslingen af oplysninger i samarbejde med tilsvarende udenlandske organer. |
(51) |
Oprettelsen af tilsynsmyndigheder i medlemsstaterne, som udøver deres hverv i fuld uafhængighed, har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger. Tilsynsmyndighederne bør kontrollere anvendelsen af bestemmelserne i henhold til dette direktiv og bidrage til en ensartet anvendelse i Unionen med det formål at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger. Med henblik herpå bør tilsynsmyndighederne samarbejde med hinanden og med Kommissionen. [Ændring 42] |
(52) |
Medlemsstaterne kan overdrage ansvaret for de opgaver, som skal udføres af de nationale tilsynsmyndigheder, der oprettes i henhold til dette direktiv, til en tilsynsmyndighed, der allerede er oprettet i medlemsstaterne i henhold til forordning (EU) nr. …/2014. |
(53) |
Medlemsstaterne bør have mulighed for at oprette mere end én tilsynsmyndighed for at afspejle deres forfatningsmæssige, organisatoriske og administrative struktur. Hver tilsynsmyndighed bør have tilstrækkelige finansielle og menneskelige ressourcer, lokaler og infrastrukturer, herunder teknisk kapacitet, erfaring og færdigheder , til effektivt at udføre deres opgaver, herunder opgaver vedrørende gensidig bistand og samarbejde med andre tilsynsmyndigheder i Unionen. [Ændring 43] |
(54) |
De generelle betingelser for tilsynsmyndighedens medlemmer bør fastsættes ved lov i hver medlemsstat, og det bør navnlig fastsættes, om disse medlemmer udpeges af parlamentet eller regeringen, efter høring af parlamentet , i den pågældende medlemsstat, og der bør ligeledes fastsættes regler om medlemmernes personlige kvalifikationer og stilling. [Ændring 44] |
(55) |
Selv om dette direktiv også gælder for de nationale domstoles aktiviteter, bør der af hensyn til domstolenes uafhængighed, når de udfører deres retslige opgaver, ikke tillægges tilsynsmyndighederne kompetence til at behandle personoplysninger, når domstolene handler som led i deres retspleje. Denne undtagelse bør dog begrænses til egentlige retslige aktiviteter i forbindelse med retssager og ikke gælde for andre aktiviteter, som dommere kan inddrages i efter national lovgivning. |
(56) |
For at sikre en ensartet overvågning og håndhævelse af dette direktiv i hele Unionen bør tilsynsmyndighederne i hver medlemsstat have samme pligter og effektive beføjelser, herunder effektive undersøgelsesbeføjelser, beføjelser til at skaffe sig adgang til alle personoplysninger og alle oplysninger, der er nødvendige for udøvelsen af tilsynsfunktionen, beføjelser til at skaffe sig adgang til den registeransvarliges eller registerførerens lokaler, herunder adgang til oplysninger om databehandlingsudstyr, beføjelser til retligt bindende indgriben og beføjelser til at træffe afgørelser og fastsætte sanktioner, navnlig i tilfælde af klager fra fysiske personer, samt beføjelse til at optræde som part i retssager. [Ændring 45] |
(57) |
Hver tilsynsmyndighed bør behandle klager, der indgives af registrerede, og undersøge sagen. Undersøgelsen af en klage bør gennemføres med forbehold af domstolsprøvelse, i det omfang det er relevant i det konkrete tilfælde. Tilsynsmyndigheden bør underrette den registrerede om gennemførelsen og resultatet af klagen inden for en rimelig frist. Hvis sagen kræver yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed, bør den registrerede underrettes herom. |
(58) |
Tilsynsmyndighederne bør bistå hinanden i udøvelsen af deres opgaver og yde gensidig bistand med det formål at sikre en ensartet anvendelse og håndhævelse af de bestemmelser, der vedtages til gennemførelse af dette direktiv. Hver tilsynsmyndighed bør være parat til at deltage i fælles operationer. Den tilsynsmyndighed, der modtager anmodningen, bør være forpligtet til at besvare anmodningen inden for en bestemt frist. [Ændring 46] |
(59) |
Det Europæiske Databeskyttelsesråd, der er oprettet ved forordning (EU) nr. …/2012 2014 , bør bidrage til en ensartet anvendelse af dette direktiv i Unionen, herunder ved at rådgive Kommissionen EU-institutioner , fremme samarbejdet mellem tilsynsmyndighederne i Unionen og afgive udtalelser til Kommissionen i forbindelse med udarbejdelsen af delegerede retsakter og gennemførelsesretsakter på grundlag af dette direktiv. [Ændring 47] |
(60) |
Alle registrerede bør have ret til at indgive klage til tilsynsmyndighederne i alle medlemsstater og adgang til domstolsprøvelse, hvis de finder, at deres rettigheder i henhold til dette direktiv er blevet krænket, eller hvis tilsynsmyndigheden ikke reagerer på en klage eller ikke vil handle, hvis dette er nødvendigt for at beskytte den registreredes rettigheder. |
(61) |
Alle organer, organisationer eller sammenslutninger, der har til formål at beskytte registreredes rettigheder og interesser i forbindelse med beskyttelsen af deres personoplysninger, og som handler i almenhedens interesse, og som er etableret i overensstemmelse med en medlemsstats lovgivning, bør have ret til at indgive klage eller udøve retten til domstolsprøvelse på vegne af den registrerede, hvis denne på behørig vis har givet dem bemyndigelse hertil, eller til uafhængigt af en klage fra den registrerede på egne vegne at indgive klage, hvis de vurderer, at der har fundet et brud på persondatasikkerheden sted. [Ændring 48] |
(62) |
Enhver fysisk eller juridisk person bør have adgang til domstolsprøvelse af afgørelser truffet af en tilsynsmyndighed vedrørende vedkommende. En sag mod en tilsynsmyndighed bør anlægges ved domstolen i den medlemsstat, hvor tilsynsmyndigheden er etableret. |
(63) |
Medlemsstaterne bør sikre, at domstolssager — for at være effektive — kan føre til hurtig vedtagelse af foranstaltninger, der kan afhjælpe eller forhindre en overtrædelse af dette direktiv. |
(64) |
Personer, der lider skade, herunder ikke-økonomisk skade, som følge af en ulovlig behandling, bør kun have ret til erstatning fra den registeransvarlige eller registerføreren, som kun kan fritages for erstatningsansvar, hvis det bevises, at den pågældende ikke er skyld i den forvoldte skade, særlig hvis den pågældende fastslår, at fejlen ligger hos den registrerede, eller i tilfælde af force majeure. [Ændring 49] |
(65) |
Fysiske eller juridiske personer, der overtræder dette direktiv, bør kunne pålægges sanktioner, uanset om de henhører under privat- eller offentligretlig lovgivning. Medlemsstaterne bør sikre, at sanktionerne er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, og skal træffe alle nødvendige foranstaltninger til at gennemføre sanktionerne. |
(65a) |
Videregivelse af personoplysninger til andre myndigheder eller private i Unionen er forbudt, medmindre videregivelsen sker i henhold til lovgivningen, modtageren er hjemmehørende i en medlemsstat, ingen legitime og specifikke interesser hos den registrerede hindrer videregivelsen, og videregivelsen er nødvendig i en specifik sag for den registeransvarlige, enten med henblik på udførelsen af en opgave, som denne har fået pålagt i henhold til lovgivningen, eller for at forebygge en umiddelbar og alvorlig risiko for den offentlige sikkerhed eller for at undgå, at privatpersoners rettigheder lider alvorlig skade. Den registeransvarlige bør underrette modtageren om formålet med behandlingen og tilsynsmyndigheden om videregivelsen. Modtageren bør også underrettes om restriktioner for behandlingen og sikre, at disse overholdes. [Ændring 50] |
(66) |
For at opfylde dette direktivs målsætninger, nemlig at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til beskyttelse af personoplysninger, og sikre fri udveksling af personoplysninger mellem de kompetente myndigheder i Unionen, bør beføjelsen til at vedtage retsakter delegeres til Kommissionen i overensstemmelse med artikel 290 i traktaten om Den Europæiske Unions funktionsmåde. Der bør navnlig vedtages delegerede retsakter med nærmere bestemmelser om anmeldelse for yderligere at fastlægge kriterierne og vilkårene for behandling, som forudsætter en databeskyttelseskonsekvensanalyse , og kriterierne og kravene i forbindelse med brud på persondatasikkerheden til tilsynsmyndigheden samt definere det tilstrækkelige databeskyttelsesniveau, der sikres af et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau og navnlig med Det Europæiske Databeskyttelsesråd . Kommissionen bør i forbindelse med forberedelsen og udarbejdelsen af delegerede retsakter sørge for samtidig, rettidig og hensigtsmæssig fremsendelse af relevante dokumenter til Europa-Parlamentet og Rådet. [Ændring 51] |
(67) |
For at sikre ensartede betingelser for gennemførelsen af dette direktiv, bør Kommissionen tillægges gennemførelsesbeføjelser for så vidt angår de registeransvarliges og registerførernes dokumentation, behandlingssikkerhed, navnlig med hensyn til de registeransvarliges og registerførernes dokumentation, behandlingssikkerhed, navnlig med hensyn til krypteringsstandarder og anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og det tilstrækkelige databeskyttelsesniveau, der skal sikres af et tredjeland, et territorium eller en behandlingssektor i dette tredjeland eller en international organisation. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (6). [Ændring 52] |
(68) |
Undersøgelsesproceduren bør finde anvendelse i forbindelse med vedtagelse af foranstaltninger om de registeransvarliges og registerførernes dokumentation, behandlingssikkerhed, og anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og det tilstrækkelige databeskyttelsesniveau, der skal sikres af et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation, idet der er tale om generelle retsakter. [Ændring 53] |
(69) |
I behørigt begrundede tilfælde af særligt hastende karakter, hvor et tredjeland, et område eller en behandlingssektor i det pågældende tredjeland eller en international organisation ikke sikrer et tilstrækkeligt beskyttelsesniveau, bør Kommissionen omgående vedtage gennemførelsesretsakter. [Ændring 54] |
(70) |
Målene for dette direktiv, nemlig at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder, herunder navnlig deres ret til beskyttelse af deres personoplysninger og fri udveksling af personoplysninger mellem de kompetente myndigheder i Unionen, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne alene og kan derfor men kan på grund af foranstaltningens omfang eller virkninger bedre nås på EU-plan. Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går dette direktiv ikke ud over, hvad der er nødvendigt for at nå dette disse mål. Medlemsstaterne kan indføre højere standarder end dem, der er indeholdt i dette direktiv. [Ændring 55] |
(71) |
Rammeafgørelse 2008/977/RIA bør ophæves ved dette direktiv. |
(72) |
Specifikke bestemmelser om de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, der forekommer i EU-retsakter, som er vedtaget før vedtagelsen af dette direktiv, og som regulerer behandlingen af personoplysninger mellem medlemsstater og medlemsstaters udpegede myndigheders adgang til informationssystemer, der er udviklet i medfør af traktaterne, bør finde uændret anvendelse. Eftersom artikel 8 i chartret og artikel 16 i TEUF indebærer, at den grundlæggende ret til beskyttelse af personoplysninger bør sikres på en konsekvent og ensartet måde i hele Unionen, bør Kommissionen senest to år efter dette direktivs ikrafttræden se nærmere på sammenhængen mellem direktivet og retsakter, der er vedtaget før vedtagelsen af dette direktiv, og som regulerer behandlingen af personoplysninger mellem medlemsstater eller medlemsstaters udpegede myndigheders adgang til informationssystemer, der er udviklet i medfør af traktaterne, med det formål at vurdere, om der er behov for at tilpasse disse specifikke bestemmelser til direktivet og bør fremsætte hensigtsmæssige forslag med henblik på at sikre konsekvente og ensartede retlige bestemmelser vedrørende kompetente myndigheders beskyttelse af personoplysninger eller medlemsstaternes udpegede myndigheders adgang til informationssystemer, der er indført i henhold til traktaterne, samt EU-institutioners, -kontorers og -agenturers behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner for overtrædelser af lovgivningen inden for dette direktivs anvendelsesområde. [Ændring 56] |
(73) |
For at sikre en overordnet og sammenhængende beskyttelse af personoplysninger i Unionen, bør internationale aftaler, som Unionen eller medlemsstaterne indgår inden dette direktivs ikrafttræden, ændres i overensstemmelse med dette direktiv. [Ændring 57] |
(74) |
Dette direktiv påvirker ikke bestemmelserne om bekæmpelse af seksuelt misbrug og seksuel udnyttelse af børn og børnepornografi i Europa-Parlamentets og Rådets direktiv 2011/93/EU (7). |
(75) |
I medfør af artikel 6a i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling, for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til traktaten om Den Europæiske Union og traktaten om Den Europæiske Unions funktionsmåde, vil Det Forenede Kongerige og Irland ikke være bundet af regler fastsat i dette direktiv, når Det Forenede Kongerige og Irland ikke er bundet af reglerne vedrørende de former for retligt samarbejde i straffesager eller politisamarbejde, der kræver overholdelse af de bestemmelser, der er fastsat på grundlag af artikel 16 i traktaten om Den Europæiske Unions funktionsmåde. |
(76) |
I medfør af artikel 2 og 2a i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om Den Europæiske Unions funktionsmåde, er dette direktiv ikke bindende for og finder derfor ikke anvendelse i Danmark. Da dette direktiv udbygger Schengenreglerne efter bestemmelserne i tredje del, afsnit V, i traktaten om Den Europæiske Unions funktionsmåde, skal Danmark i henhold til artikel 4 i protokollen om Danmarks stilling træffe afgørelse om, hvorvidt det vil gennemføre direktivet i sin nationale lovgivning, inden seks måneder efter direktivets vedtagelse. [Ændring 58] |
(77) |
For så vidt angår Island og Norge udgør dette direktiv en udvikling af bestemmelser i Schengenreglerne, jf. aftalen indgået mellem Rådet for Den Europæiske Union og Republikken Island og Kongeriget Norge om disse to staters associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (8). |
(78) |
For så vidt angår Schweiz udgør dette direktiv en udvikling af bestemmelser i Schengenreglerne, jf. aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (9). |
(79) |
For så vidt angår Liechtenstein udgør dette direktiv en udvikling af bestemmelser i Schengenreglerne, jf. protokollen mellem Den Europæiske Union, Det Europæiske Fællesskab, Det Schweiziske Forbund og Fyrstendømmet Liechtenstein om Fyrstendømmet Liechtensteins tiltrædelse af aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om dette lands associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (10). |
(80) |
I dette direktiv overholdes de grundlæggende rettigheder og principper, der anerkendes i chartret som forankret i traktaten, navnlig retten til respekt for privatliv og familieliv, retten til beskyttelse af personoplysninger og adgang til effektive retsmidler og til en upartisk domstol. I overensstemmelse med chartrets artikel 52, stk. 1, kan der indføres begrænsninger i udøvelsen af disse rettigheder, såfremt de er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder. |
(81) |
I den fælles politiske erklæring af 28. september 2011 fra medlemsstaterne og Kommissionen om forklarende dokumenter (11) har medlemsstaterne forpligtet sig til i begrundede tilfælde at lade meddelelsen af gennemførelsesforanstaltninger ledsage af et eller flere dokumenter, der forklarer forholdet mellem et direktivs bestanddele og de tilsvarende dele i de nationale gennemførelsesinstrumenter. Lovgiver finder fremsendelse af sådanne dokumenter velbegrundet i forbindelse med dette direktiv. |
(82) |
Dette direktiv bør ikke forhindre medlemsstaterne i at gennemføre bestemmelserne om udøvelsen af registreredes ret til information, retten til indsigt i og berigtigelse, sletning og begrænsning af de personoplysninger, som behandles under en straffesag, samt mulige begrænsninger heraf i deres nationale strafferetspleje – |
VEDTAGET DETTE DIREKTIV:
KAPITEL I
GENERELLE BESTEMMELSER
Artikel 1
Genstand og formål
1. I dette direktiv fastsættes regler om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller og fuldbyrde strafferetlige sanktioner samt regler vedrørende fri udveksling af sådanne personoplysninger.
2. Medlemsstaterne sikrer i overensstemmelse med dette direktiv:
a) |
at fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til beskyttelse af deres personoplysninger og beskyttelse af privatlivets fred , beskyttes og |
b) |
at udvekslingen af personoplysninger mellem de kompetente myndigheder i EU Unionen ikke indskrænkes eller forbydes af grunde, der vedrører beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger. |
2a. Dette direktiv forhindrer ikke medlemsstaterne i at fastsætte højere standarder end dem der er indeholdt i dette direktiv. [Ændring 59]
Artikel 2
Anvendelsesområde
1. Dette direktiv finder anvendelse på de kompetente myndigheders behandling af personoplysninger til de formål, der er nævnt i artikel 1, stk. 1.
2. Dette direktivs bestemmelser anvendes på behandling af personoplysninger, der helt eller delvis foretages automatisk, samt på anden behandling end automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
3. Dette direktiv gælder ikke for behandling af personoplysninger:
a) |
som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af EU-retten, navnlig for så vidt angår national sikkerhed |
b) |
som foretages af EU-institutioner, -organer, -kontorer og -agenturer. [Ændring 60] |
Artikel 3
Definitioner
I dette direktiv forstås ved:
1) |
»registreret«: en identificeret fysisk person eller en fysisk person, der direkte eller indirekte kan identificeres med hjælpemidler, som med rimelighed kan tænkes bragt i anvendelse enten af den registeransvarlige eller af enhver anden fysisk eller juridisk person, bl.a. ved et id-nummer, lokaliseringsdata, online-id, eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet |
2) |
»personoplysninger«: enhver form for information om en registreret fysisk person, der er eller kan identificeres (»den registrerede«); en person, der kan identificeres, er en person som direkte eller indirekte kan identificeres, navnlig på grundlag af en identifikator som f.eks. navn, identifikationsnummer, bopæl, en entydig identifikator eller en eller flere faktorer, der vedrører den pågældende persons fysiske, psykologiske, genetiske, mentale, økonomiske, kulturelle, sociale eller kønsmæssige identitet; |
2a) |
»pseudonyme oplysninger« personoplysninger, som ikke kan tilskrives en bestemt registreret uden anvendelse af yderligere oplysninger, så længe sådanne yderligere oplysninger holdes særskilt og er underlagt tekniske og organisatoriske foranstaltninger, som forhindrer sammenkøring. |
3) |
»behandling«: enhver operation eller række af operationer — med eller uden brug af automatiseret databehandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt begrænsning, sletning eller tilintetgørelse |
3a) |
»profilering«: enhver form for automatisk behandling af personlige oplysninger, der har til formål at vurdere bestemte personlige forhold vedrørende en fysisk person eller analysere eller forudsige navnlig den fysiske persons erhvervsevne, økonomiske omstændigheder, lokalitet, sundhed, personlige præferencer, pålidelighed eller adfærd |
4) |
»begrænsning af behandling«: markering af opbevarede personoplysninger med den hensigt at begrænse den fremtidige behandling af disse oplysninger |
5) |
»register«: enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag |
6) |
»registeransvarlig«: den kompetente offentlige myndighed, der alene eller sammen med andre afgør, til hvilke formål, på hvilke betingelser og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene, betingelserne og hjælpemidlerne til behandlingen er fastlagt i EU-retten eller medlemsstatens lovgivning, kan bestemmelserne om den registeransvarlige eller de specifikke kriterier for udpegning af denne være fastsat i EU-retten eller medlemsstatens lovgivning |
7) |
»registerfører«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, der behandler personoplysninger på den registeransvarliges vegne |
8) |
»modtager«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, som personoplysninger videregives til |
9) |
»brud på persondatasikkerheden«: brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller indsigt i personoplysninger, der er videregivet, lagret eller på anden måde behandlet |
10) |
»genetiske data«: alle data af enhver type vedrørende en fysisk persons karakteristika, som er nedarvede eller formet under den tidlige prænatale udvikling |
11) |
»biometriske data«: alle data personoplysninger vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika, der gør det muligt entydigt at identificere vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger |
12) |
»helbredsoplysninger«: enhver oplysning personoplysning , der vedrører en persons fysiske eller mentale helbred eller levering af sundhedsydelser til vedkommende |
13) |
»barn«: en person under atten år |
14) |
»kompetente myndigheder«: enhver offentlig myndighed med ansvar for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner |
15) |
»tilsynsmyndighed«: en offentlig myndighed, der er etableret i en medlemsstat i overensstemmelse med artikel 39. [Ændring 61] |
KAPITEL II
PRINCIPPER
Artikel 4
Principper for behandling af personoplysninger
Medlemsstaterne fastsætter bestemmelser om, at personoplysninger:
a) |
skal behandles loyalt og lovligt , loyalt og på en åben og kontrollerbar måde i forhold til den registrerede |
b) |
skal indsamles til udtrykkeligt angivne og legitime formål og ikke behandles yderligere på en måde, der er uforenelige med disse formål |
c) |
skal være tilstrækkelige, relevante og begrænset til det nødvendige minimum ikke for omfattende i forhold til de formål, hvortil de behandles; personoplysninger skal kun behandles, hvis og så længe disse formål ikke kan opfyldes ved at behandle oplysninger, der ikke omfatter personoplysninger |
d) |
skal være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt til at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, omgående slettes eller berigtiges |
e) |
skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles |
f) |
skal behandles under den registeransvarliges ansvar, og denne skal sikre og kunne påvise overholdelsen af de bestemmelser, der vedtages til gennemførelse af dette direktiv |
fa) |
skal behandles på en måde, som giver den registrerede reel mulighed for at udøve sine rettigheder i henhold til artikel 10-17 |
fb) |
skal behandles på en måde, som beskytter mod ikke-godkendt eller ulovlig behandling og mod hændelig tab, ødelæggelse eller beskadigelse under anvendelse af hensigtsmæssig tekniske og organisatoriske foranstaltninger |
fc) |
kun må behandles af behørigt bemyndigede medarbejdere i de kompetente myndigheder, som har brug for dem for at kunne varetage deres opgaver. [Ændring 62] |
Artikel 4a
Adgang til data, der oprindeligt er behandlet med andre formål end de i artikel 1, stk. 1, anførte
1. Medlemsstaterne fastsætter bestemmelser om, at de kompetente myndigheder kun kan få adgang til personoplysninger, der oprindeligt er blevet behandlet til andre end de i artikel 1, stk. 1, anførte formål, hvis de har specifik tilladelse til dette i henhold til EU-retten eller den nationale lovgivning, som skal opfylde kravene i artikel 7, stk. 1a, og sikre, at:
a) |
der kun gives adgang for behørigt bemyndiget personale fra de kompetente myndigheder ved udførelsen af deres opgaver, når der i specifikke tilfælde findes rimelig grund til at tro, at behandlingen af personoplysningerne vil bidrage betydeligt til at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner |
b) |
anmodninger om adgang skal være skriftlige, og der skal angives en juridisk begrundelse for anmodningen |
c) |
den skriftlige anmodning skal være dokumenteret, og |
d) |
der skal indføres hensigtsmæssige sikkerhedsforanstaltninger for at sikre beskyttelsen af grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger. Disse sikkerhedsforanstaltninger indføres med forbehold af og som et supplement til de specifikke betingelser for adgangen til personoplysninger såsom den retlige godkendelse i overensstemmelse med den nationale lovgivning. |
2. Der skal kun være adgang til personoplysninger, som indehaves af private enheder eller andre offentlige myndigheder, for at efterforske eller retsforfølge straffelovsovertrædelser i overensstemmelse med behovs- og forholdsmæssighedskrav, som skal fastsættes ved EU-ret eller medlemsstatslovgivning i overensstemmelse med artikel 7a. [Ændring 63]
Artikel 4b
Tidsbegrænsning på opbevaring og revision
1. Medlemsstaterne fastsætter bestemmelser om, at de kompetente myndigheder skal slette personoplysninger, der behandles i henhold til dette direktiv, når de ikke længere er nødvendige for de formål, hvormed de blev behandlet.
2. Medlemsstaterne fastsætter bestemmelser om, at de kompetente myndigheder skal indføre mekanismer til sikring af, at der indføres tidsfrister for sletningen af personoplysninger og for periodisk revision af behovet for opbevaring af data, herunder faste opbevaringsperioder for de forskellige kategorier af personoplysninger. Der skal indføres proceduremæssige foranstaltninger for at sikre overholdelsen af denne tidsbegrænsning eller intervallerne mellem de periodiske revisioner. [Ændring 64]
Artikel 5
Sondring mellem Forskellige kategorier af registrerede
1. Medlemsstaterne fastsætter bestemmelser om, at de kompetente myndigheder til dei artikel 1, stk. 1, anførte formål kan behandle personoplysninger om følgende forskellige kategorier af registrerede og den registeransvarlige i videst muligt omfang skal sondre klart mellem personoplysninger vedrørende forskellige mellem disse kategorier af personer så som:
a) |
personer, om hvem der med rimelighed er alvorlig grund til at tro, at de har begået eller vil begå en straffelovsovertrædelse forbrydelse |
b) |
personer, der er dømt for en straffelovsovertrædelse |
c) |
ofre for en straffelovsovertrædelse, eller om hvem visse kendsgerninger giver anledning til at tro, at de kan blive offer for en straffelovsovertrædelse , og |
d) |
berørte tredjeparter, herunder personer, der kunne blive indkaldt som vidner i forbindelse med efterforskninger af strafbare handlinger eller i efterfølgende straffesager, eller en person, der kan tilvejebringe oplysninger om straffelovsovertrædelser, eller en kontaktperson eller associeret til en af de i litra a) og b) nævnte personer og. |
e) |
personer, der ikke falder under nogen af ovennævnte kategorier. |
2. Personoplysninger for andre registrerede end de i stk. 1 onmhandlede må kun behandles:
a) |
så længe det er nødvendigt til efterforskningen og retsforfølgningen af en specifik straffelovsovertrædelse med henblik på at vurdere relevansen af oplysningerne for en af de kategorier, der er angivet i stk. 1, eller |
b) |
når en sådan behandling er nødvendig til målrettede, forebyggende formål eller med henblik på strafferetlige analyser, hvis og så længe som dette formål er legitimt, veldefineret og specifikt, og behandlingen udelukkende er begrænset til at vurdere relevansen af oplysningerne for en af de kategorier, der er angivet i stk. 1. Dette er underlagt regelmæssig revision mindst hver sjette måned. Al yderligere anvendelse er forbudt. |
3. Medlemsstaterne fastsætter bestemmelser om, at yderligere begrænsninger og sikkerhedsforanstaltninger i henhold til national lovgivning finder anvendelse på den yderligere behandling af personoplysninger om de registrerede, der er omhandlet i stk. 1, litra c) og d). [Ændring 65]
Artikel 6
Forskellige grader af personoplysningers nøjagtighed og pålidelighed
1. Medlemsstaterne sikrer, at der i videst muligt omfang sondres mellem de forskellige kategorier af oplysninger fastsætter bestemmelser til sikring af, at personoplysninger , der er genstand for behandling, ud fra i hvor høj grad disse er korrekte og pålidelige.
2. Medlemsstaterne sikrer, at der så vidt muligt sondres mellem personoplysninger, der bygger på kendsgerninger, og personoplysninger, der bygger på personlige vurderinger i overensstemmelse med graden af deres korrekthed og pålidelighed .
2a. Medlemsstaterne sikrer, at personoplysninger, som er urigtige, ufuldstændige eller ikke længere aktuelle, ikke bliver videregivet eller stillet til rådighed. Med henblik herpå kontrollerer de kompetente myndigheder kvaliteten af personoplysninger, før disse videregives eller stilles til rådighed. I forbindelse med al videregivelse af oplysninger skal der desuden så vidt muligt stilles oplysninger til rådighed, hvormed det bliver muligt for den modtagende medlemsstat at vurdere, i hvor høj grad oplysningerne er korrekte, fuldstændige og pålidelige, og i hvilket omfang de er ajourførte. Personoplysninger må ikke videregives, uden at der foreligger anmodning fra en kompetent myndighed, særlig ikke oplysninger, som oprindeligt hidrører fra private instanser.
2b. Hvis det konstateres, at der er videregivet urigtige oplysninger, eller at oplysningerne er videregivet ulovligt, meddeles dette straks modtageren. Modtageren er forpligtet til straks at rette oplysningerne i henhold til stk. 1 og artikel 15 eller at slette dem i henhold til artikel 16. [Ændring 66]
Artikel 7
Lovlig behandling af personoplysninger
1. Medlemsstaterne fastsætter bestemmelser om, at en behandling af personoplysninger kun er lovlig, hvis og i det omfang denne behandling finder sted i henhold til EU-retten eller den nationale lovgivning med de i artikel 1, stk. 1, nævnte formål.
a) |
for at en kompetent myndighed kan udføre en specifik opgave med de i artikel 1, stk. 1, nævnte formål eller |
b) |
for at overholde en retlig forpligtelse, som den registeransvarlige er pålagt |
c) |
for at beskytte den registreredes eller en anden persons vitale interesser |
d) |
for at forebygge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed. |
1a. Den nationale lovgivning om behandling af personoplysninger i henhold til dette direktivs anvendelsesområde skal indeholde udtrykkelige og detaljerede bestemmelser, hvori følgende angives som minimum
a) |
formålet med behandlingen |
b) |
de personoplysninger, der skal behandles |
c) |
behandlingens specifikke formål og hjælpemidler |
d) |
udpegelsen af den registeransvarlige eller de specifikke kriterier for udpegelsen af den registeransvarlige |
e) |
kategorierne for de kompetente myndigheders behørigt bemyndigede personale til behandling af personoplysninger |
f) |
proceduren for behandlingen |
g) |
hvad de indsamlede personoplysninger kan anvendes til |
h) |
begrænsninger af omfanget af enhver beføjelse, som overdrages til de kompetente myndigheder i forbindelse med behandlingsaktiviteterne. [Ændring 67] |
Artikel 7a
Yderligere behandling af oplysninger til formål, der er uforenelige
1. Medlemsstaterne fastsætter bestemmelser om, at personoplysninger kun må behandles yderligere til andre formål end de i artikel 1, stk. 1, fastsatte, som ikke er forenelige med de formål, som dataene oprindeligt blev indsamlet til, hvis og i den udstrækning
a) |
det er absolut nødvendigt og forholdsmæssigt i et demokratisk samfund og sker i henhold til EU-retten eller medlemsstaternes lovgivning med et legitimt, veldefineret og specifikt formål |
b) |
behandlingen er strengt begrænset til en periode, der ikke må overskride den tid, som er nødvendig til den specifikke databehandlingsoperation |
c) |
andre former for anvendelse til andre formål er forbudt |
Forud for enhver behandling rådfører medlemsstaten sig med den kompetente nationale tilsynsmyndighed og udfører en konsekvensanalyse vedrørende databeskyttelse.
2. Ud over kravene i artikel 7, stk. 1a, skal national lovgivning, der tillader yderligere behandling, jf. stk. 1, indeholde udtrykkelige og detaljerede bestemmelser, hvori følgende angives som minimum:
a) |
den pågældende behandlings specifikke formål og hjælpemidler |
b) |
at der kun gives adgang for behørigt bemyndiget personale fra de kompetente myndigheder ved udførelsen af deres opgaver, når der i specifikke tilfælde findes rimelig grund til at tro, at behandlingen af personoplysningerne vil bidrage betydeligt til at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og |
c) |
at der indføres hensigtsmæssige sikkerhedsforanstaltninger for at sikre beskyttelsen af grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger. |
Medlemsstaterne kan kræve, at adgangen til disse personoplysninger er underlagt yderligere betingelser såsom en retlig godkendelse i overensstemmelse med deres nationale lovgivning.
3. Medlemsstaterne kan også tillade yderligere behandling til historiske, statistiske eller videnskabelige formål på den betingelse, at de indfører hensigtsmæssige sikkerhedsforanstaltninger, f.eks. anonymisering af data. [Ændring 68]
Artikel 8
Behandling af særlige kategorier af personoplysninger
1. Medlemsstaterne forbyder behandling af personoplysninger, der viser racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, seksuel orientering eller kønsidentitet og fagforeningsmæssige tilhørsforhold og aktiviteter samt genetiske data behandlingen af biometriske oplysninger, helbredsoplysninger og oplysninger om seksuelle forhold.
2. Stk. 1 finder ikke anvendelse, hvis:
a) |
behandlingen er tilladt i henhold til lovgivningen, som fastlægger de fornødne garantier absolut nødvendig af hensyn til de kompetente myndigheders udførelse af en opgave med det i artikel 1, stk. 1, fastsatte formål på grundlag af EU-lovgivningen eller den nationale lovgivning, som fastsætter specifikke og tilstrækkelige foranstaltninger til beskyttelse af den registreredes legitime interesser, herunder specifik tilladelse fra en retlig myndighed, hvis dette er et krav i henhold til den nationale lovgivning eller |
b) |
behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser |
c) |
behandlingen vedrører oplysninger, som tydeligvis er offentliggjort af den registrerede , så længe de er relevante og strengt nødvendige i forhold til det pågældende formål. [Ændring 69] |
Artikel 8a
Behandling af genetiske oplysninger i forbindelse med en strafferetlig efterforskning eller en retssag
1. Medlemsstaterne sikrer, at genetiske oplysninger kun må anvendes til at fastslå en genetisk forbindelse med henblik på at fremskaffe beviser, forhindre en trussel mod den offentlige sikkerhed eller forhindre en specifik strafbar handling. Genetiske oplysninger må ikke anvendes til at fastslå andre kendetegn, som kan være genetisk forbundne.
2. Medlemsstaterne fastsætter bestemmelser om, at genetiske oplysninger eller oplysninger, der kan udledes af analysen af disse oplysninger, kun må opbevares, så længe det er nødvendigt for de formål, hvormed de pågældende oplysninger er behandlet, og når den pågældende person er blevet dømt for alvorlige lovovertrædelser mod personers liv, integritet eller sikkerhed i henhold til nøje afgrænsede opbevaringsperioder, som fastsættes i den nationale lovgivning.
3. Medlemsstaterne sikrer, at genetiske oplysninger eller oplysninger, der udledes af analysen af disse oplysninger, kun opbevares i længere perioder, når de genetiske oplysninger ikke kan knyttes til en person, især når de er fundet på et gerningssted. [Ændring 70]
Artikel 9
Foranstaltninger baseret på profilering og automatisk behandling
1. Medlemsstaterne fastsætter bestemmelser om, at foranstaltninger, der har negative retlige virkninger for den registrerede eller påvirker vedkommende i væsentlig grad, og som udelukkende helt eller delvist er baseret på automatisk behandling af personoplysninger med henblik på vurdering af visse individuelle aspekter vedrørende den registreredes person, skal forbydes, medmindre de er tilladt ved en lov, som også indeholder bestemmelser til beskyttelse af den registreredes legitime interesser.
2. Automatisk behandling af personoplysninger, der har til formål at vurdere bestemte personlige forhold vedrørende den registrerede, må ikke alene baseres på de særlige kategorier af personoplysninger, der er nævnt i artikel 8.
2a. Automatisk behandling af personoplysninger, der har til formål at udpege en registreret uden oprindelig mistanke om, at den registrerede kan have begået eller vil begå en straffelovsovertrædelse, er kun tilladt, hvis og i det omfang, at det er strengt nødvendigt for efterforskningen af en alvorlig lovovertrædelse eller med grundlag i faktiske holdepunkter forebyggelsen af en tydelig og umiddelbar fare for den offentlige sikkerhed, statens eksistens eller personers liv.
2b. Profilering, der tilsigtet eller utilsigtet indebærer forkelsbehandling af personer på grund af race eller etnisk oprindelse, politisk overbevisning, religion eller tro, fagforeningsmæssigt tilhørsforhold, køn eller seksuel orientering, eller som tilsigtet eller utilsigtet fører til foranstaltninger, der har en sådan virkning, er altid ulovlig. [Ændring 71]
Artikel 9a
Generelle principper for registreredes rettigheder
1. Medlemsstaterne sikrer, at grundlaget for databeskyttelsen er klart med veldefinerede rettigheder for den registrerede, som skal overholdes af den registeransvarlige. Bestemmelserne i dette direktiv tilsigter at styrke, afklare, sikre og i givet fald kodificere disse rettigheder.
2. Medlemsstaterne sikrer, at disse rettigheder bl.a. omfatter fremlæggelsen af klare og letforståelige oplysninger om behandlingen af vedkommendes personoplysninger, retten til indsigt, rettelse og sletning af vedkommendes oplysninger, retten til at indhente oplysninger, retten til at indgive en klage til den kompetente databeskyttelsesmyndighed og til at lægge sag an samt retten til kompensation og erstatning i tilfælde af ulovlig behandling. Sådanne rettigheder skal normalt kunne udøves gratis. Den registeransvarlige skal besvare henvendelser fra den registrerede inden for en rimelig frist. [Ændring 72]
KAPITEL III
DEN REGISTREREDES RETTIGHEDER
Artikel 10
Nærmere bestemmelser om udøvelsen af den registreredes rettigheder
1. Medlemsstaterne sørger for, at den registeransvarlige træffer alle rimelige foranstaltninger for at fastsætte har præcise, gennemsigtige , klare og lettilgængelige regler for behandlingen af personoplysninger og udøvelsen af registreredes rettigheder.
2. Medlemsstaterne sørger for, at den registeransvarlige udleverer alle oplysninger og meddelelser vedrørende behandlingen af personoplysninger til den registrerede i en letforståelig form og i et klart og forståeligt sprog , navnlig når disse oplysninger specifikt er rettet mod et barn .
3. Medlemsstaterne sørger for, at den registeransvarlige træffer alle rimelige foranstaltninger for at fastlægge fastlægger procedurer for udlevering af de oplysninger, der er omhandlet i artikel 11, og for udøvelsen af de registreredes rettigheder som omhandlet i artikel 12-17. Når personoplysninger behandles automatisk, skal den registeransvarlige ligeledes give mulighed for elektronisk behandling af anmodninger.
4. Medlemsstaterne sikrer, at den registeransvarlige informerer den registrerede om, hvordan dennes anmodning følges op uden unødig forsinkelse og under alle omstændigheder senest en måned efter modtagelsen af anmodningen. Denne meddelelse gives skriftligt. Hvis den registrerede indgiver anmodningen elektronisk, gives meddelelsen elektronisk .
5. Medlemsstaterne fastsætter bestemmelser om, at informeringen og foranstaltninger, som den registeransvarlige træffer efter anmodning, jf. stk. 3 og 4, er gratis. Hvis anmodninger er usaglige tydeligt overdrevne , bl.a. fordi de gentages, kan den registeransvarlige opkræve et rimeligt gebyr under hensyntagen til de administrative omkostninger for fremsendelse af meddelelsen eller iværksættelse af den ønskede handling I det tilfælde bærer den registeransvarlige ansvaret for at bevise, at anmodningen er usaglig tydeligt overdreven .
5a. Medlemsstaterne kan fastsætte bestemmelser om, at den registrerede kan udøve sine rettigheder direkte over for den registeransvarlige eller med den kompetente nationale tilsynsmyndighed som mellemmand. Såfremt tilsynsmyndigheden har reageret på den registreredes anmodning, orienterer tilsynsmyndigheden den registrerede om den kontrol, der er foretaget. [Ændring 73]
Artikel 11
Information til den registrerede
1. Medlemsstaterne sikrer, at den registeransvarlige ved indsamling af personoplysninger om den registrerede træffer alle nødvendige foranstaltninger for at sikre, at den registeransvarlige modtager mindst følgende oplysninger:
a) |
identitet og kontaktoplysninger for den registeransvarlige og for den databeskyttelsesansvarlige |
b) |
retsgrundlaget og formålene med den behandling, hvortil oplysningerne er bestemt |
c) |
det tidsrum, hvori personoplysningerne opbevares |
d) |
retten til at anmode den registeransvarlige om indsigt i og berigtigelse eller sletning af personoplysninger vedrørende den registrerede eller begrænsning af behandlingen heraf |
e) |
retten til at indgive klage til den tilsynsmyndighed, der er omhandlet i artikel 39, og kontaktoplysninger til tilsynsmyndigheden |
f) |
modtagerne eller kategorierne af modtagere af personoplysningerne, herunder i tredjelande eller internationale organisationer , som er bemyndiget til at få adgang til disse oplysninger i henhold til det pågældende tredjelands lovgivning eller til bestemmelserne for den pågældende internationale organisation, den eventuelle eksistens af en afgørelse om kriteriernes tilstrækkelighed eller i tilfælde af overførsler som omhandlet i artikel 35 eller 36 muligheden for at opnå en kopi at de sikkerhedsforanstaltninger, der anvendes i forbindelse med overførslen |
fa) |
hvis den registeransvarlige behandler personoplysninger i henhold til artikel 9, stk. 1, oplysninger om, at der finder behandling sted med henblik på en foranstaltning af den art, der er omhandlet i artikel 9, stk. 1, og de tilsigtede konsekvenser af denne behandling for den registrerede samt om den logik, der anvendes i forbindelse med profileringen samt om retten til at få foretaget en menneskelig vurdering |
fb) |
oplysninger om sikkerhedsforanstaltninger, der træffes for at beskytte personoplysninger |
g) |
yderligere information, for så vidt denne information er nødvendig under hensyn til de særlige forhold, hvorunder personoplysningerne behandles, for at garantere en retfærdig behandling af den registrerede. |
2. Hvis personoplysningerne indsamles fra den registrerede, meddeler den registeransvarlige i tillæg til de i stk. 1 omhandlede oplysninger den registrerede, hvorvidt indgivelsen af personoplysninger er obligatorisk eller frivillig, og de mulige konsekvenser, hvis sådanne oplysninger ikke indgives.
3. Den registeransvarlige fremlægger de oplysninger, der er omhandlet i stk. 1:
a) |
på det tidspunkt, hvor personoplysningerne indhentes fra den registrerede, eller |
b) |
såfremt personoplysningerne ikke indsamles fra den registrerede, på tidspunktet for registreringen eller inden for et rimeligt tidsrum efter indsamlingen afhængigt af de konkrete omstændigheder for behandlingen af oplysningerne. |
4. Medlemsstaterne kan træffe lovgivningsmæssige foranstaltninger, der udsætter eller begrænser informeringen af de registrerede eller deres ret til indsigt i oplysningerne, i en bestemt sag i det omfang en sådan delvis eller fuldstændig begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til de pågældendes grundlæggende rettigheder og legitime interesser:
a) |
for at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer |
b) |
for at undgå, at forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af strafbare handlinger skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner |
c) |
for at beskytte den offentlige sikkerhed |
d) |
for at beskytte den nationale sikkerhed |
e) |
for at beskytte andres rettigheder og friheder. |
5. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige i de enkelte tilfælde gennem en konkret og individuel undersøgelse bør vurdere, hvorvidt en delvis eller fuldstændig begrænsning af en af de i stk. 4 anførte årsager finder anvendelse. Medlemsstaterne kan ligeledes ved lov fastsætte de kategorier af databehandling, der helt eller delvis er omfattet af undtagelserne i stk. 4, litra a), b), c) og d). [Ændring 74]
Artikel 12
Den registreredes ret til indsigt
1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til fra den registeransvarlige at få bekræftet, om personoplysninger vedrørende vedkommende behandles. Hvis sådanne personoplysninger behandles, fremlægger den registeransvarlige følgende oplysninger , hvis det ikke allerede er sket :
-a) |
hvilke personoplysninger der er omfattet af behandlingen, samt enhver tilgængelig information om, hvorfra disse oplysninger stammer, og i givet fald, letforståelige oplysninger om, hvad der ligger til grund for behandlingen af oplysningerne |
-aa) |
betydningen og de forventede konsekvenser af denne behandling, i det mindste hvad angår de foranstaltninger, der er omhandlet i artikel 9 |
a) |
formålene med og retsgrundlaget for behandlingen |
b) |
de pågældende kategorier af personoplysninger |
c) |
de modtagere eller kategorier af modtagere, som personoplysningerne er blevet videregivet til, navnlig modtagere i tredjelande |
d) |
det tidsrum, hvori personoplysningerne opbevares |
e) |
retten til at anmode den registeransvarlige om at få berigtiget, eller slettet personoplysninger om den registrerede eller begrænset behandlingen heraf |
f) |
retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysningerne for tilsynsmyndigheden. |
g) |
hvilke personoplysninger der er omfattet af behandlingen, samt enhver tilgængelig information om, hvorfra disse oplysninger stammer |
2. Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til fra den registeransvarlige at modtage en kopi af de personoplysninger, der er genstand for behandling. Hvis den registrerede indgiver anmodningen elektronisk, gives meddelelsen elektronisk, medmindre den registrerede anmoder om andet. [Ændring 75]
Artikel 13
Begrænsninger af retten til indsigt
1. Medlemsstaterne kan træffe lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser eller udsætter den registreredes ret til indsigt i det enkelte tilfælde, i det omfang og i det tidsrum en sådan delvis eller fuldstændig begrænsning er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under hensyn til den pågældendes grundlæggende rettigheder og legitime interesser:
a) |
for at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer |
b) |
for at undgå, at forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af straffelovsovertrædelser skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner |
c) |
for at beskytte den offentlige sikkerhed |
d) |
for at beskytte den nationale sikkerhed |
e) |
for at beskytte andres rettigheder og friheder. |
2. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige i de enkelte tilfælde gennem en konkret og individuel undersøgelse vurderer, hvorvidt en delvis eller fuldstændig begrænsning af en af de i stk. 1 anførte årsager finder anvendelse. Medlemsstaterne kan ligeledes ved lov fastsætte de kategorier af databehandling, der helt eller delvis er omfattet af undtagelserne i stk. 1 , litra a)-d) .
3. I de i stk. 1 og 2 omhandlede tilfælde fastsætter medlemsstaterne bestemmelser om, at den registeransvarlige straks skal give den registrerede skriftlig meddelelse om ethvert afslag på at få indsigt i personoplysninger eller begrænsning af indsigten, årsagerne hertil begrundelsen herfor og om mulighederne for at indgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans. Oplysningerne om de faktiske eller retlige grunde, som afgørelsen hviler på, kan udelades, hvis sådanne oplysninger vil være til skade for et af formålene i stk. 1.
4. Medlemsstaterne sikrer, at den registeransvarlige dokumenterer vurderingen, jf. stk. 2, samt begrundelsen for at udelade begrænse oplysningerne om de faktiske eller retlige grunde, som afgørelsen hviler på. Disse oplysninger stilles til rådighed for de nationale tilsynsmyndigheder. [Ændring 76]
Artikel 14
Nærmere bestemmelser om udøvelsen af retten til indsigt
1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede til enhver tid , navnlig i de i artikel 12 og 13 omhandlede tilfælde, har ret til at anmode tilsynsmyndigheden om at kontrollere, om behandlingen er lovlig.
2. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal underrette den registrerede om retten til at anmode tilsynsmyndigheden om at gribe ind, jf. stk. 1.
3. Hvis den i stk. 1 omhandlede ret udøves, underretter den pågældende tilsynsmyndighed som minimum den registrerede om, at alle tilsynsmyndighedens nødvendige kontroller er foretaget, og om hvorvidt den pågældende behandling er lovlig. Tilsynsmyndigheden oplyser også den registrerede om dennes ret til domstolsprøvelse.
3a. Medlemsstaterne kan fastsætte bestemmelser om, at den registrerede kan udøve sine rettigheder direkte over for den registeransvarlige eller med den kompetente nationale tilsynsmyndighed som mellemmand.
3b. Medlemsstaterne sikrer, at den registeransvarlige har en rimelig tidsfrist for at besvare anmodninger fra den registrerede, når vedkommende udøver sin ret til indsigt. [Ændring 77]
Artikel 15
Ret til berigtigelse og komplettering
1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede kan kræve, at den registeransvarlige berigtiger eller komplettere urigtige ufuldstændige personoplysninger vedrørende den registrerede, bl.a. ved at kræve en tilføjelse eller berigtigelse
2. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal give den registrerede skriftlig meddelelse om begrundelse for ethvert afslag på berigtigelse om eller komplettering med angivelse af årsagerne til afslaget og mulighederne for at indgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans.
2a. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal meddele enhver berigtigelse, der er udført, til hver modtager, som oplysningerne er videregivet til, medmindre dette viser sig umuligt eller er uforholdsmæssigt vanskeligt
2b. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige meddeler berigtigelse af ukorrekte personoplysninger til den tredjepart, som de urigtige oplysninger stammer fra.
2c. Medlemsstaterne fastsætter bestemmelser om, at den registrerede også kan udøve sine rettigheder med den kompetente nationale tilsynsmyndighed som mellemmand. [Ændring 78]
Artikel 16
Ret til sletning
1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede kan kræve, at den registeransvarlige sletter personoplysninger vedrørende den registrerede, hvis behandlingen ikke er i overensstemmelse med de bestemmelser, der er vedtaget i medfør af artikel 4, litra a) — e), samt artikel 6 og artikel 7-8 i direktivet.
2. Den registeransvarlige foretager omgående sletningen. Den registeransvarlige skal også afstå fra yderligere udbredelse af sådanne oplysninger.
3. I stedet for sletning begrænser den registeransvarlige behandlingen af personoplysninger, hvis:
a) |
deres rigtighed bestrides af den registrerede, indtil den registeransvarlige har haft mulighed for at fastslå, om de er rigtige |
b) |
personoplysningerne skal gemmes som bevismiddel eller for at beskytte den registreredes eller andre personers vitale interesser |
c) |
den registrerede modsætter sig deres sletning og i stedet kræver, at anvendelsen heraf begrænses. |
3a. Hvis behandlingen af personoplysninger er begrænset i henhold til stk. 3, underretter den registeransvarlige den registrerede, inden begrænsningen for behandling ophæves.
4. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal give den registrerede skriftlig begrundelse for ethvert afslag på sletning eller begrænsning med angivelse af årsagerne til afslaget og mulighederne for at indgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans.
4a. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal meddele enhver sletning eller begrænsning, der er udført, til hver modtager, som oplysningerne er videregivet til, medmindre dette viser sig umuligt eller er uforholdsmæssigt vanskeligt Den registeransvarlige underretter den registrerede om sådanne tredjeparter.
4b. Medlemsstaterne kan fastsætte bestemmelser om, at den registrerede kan udøve sine rettigheder direkte over for den registeransvarlige eller med den kompetente nationale tilsynsmyndighed som mellemmand. [Ændring 79]
Artikel 17
Den registreredes rettigheder i forbindelse med strafferetlige efterforskninger og straffesager
Medlemsstaterne kan fastsætte bestemmelser om, at retten til oplysninger og retten til indsigt i og berigtigelse og sletning af personoplysninger samt begrænsning af behandlingen heraf, jf. artikel 11-16, skal udøves i overensstemmelse med de nationale retsplejeregler, når personoplysningerne er indeholdt i en retsafgørelse eller et register, der behandles i forbindelse med strafferetlige efterforskninger og straffesager.
KAPITEL IV
REGISTERANSVARLIG OG REGISTERFØRER
AFDELING 1
GENERELLE FORPLIGTELSER
Artikel 18
Den registeransvarliges ansvar
1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige både på tidspunktet for fastlæggelsen af metoderne til behandling og på tidspunkt for selve behandlingen skal fastlægge strategier og gennemføre passende foranstaltninger med henblik på for hver behandlingsoperation at sikre og dokumentere på en gennemskuelig måde , at behandlingen af personoplysninger foretages i overensstemmelse de bestemmelser, der vedtages i medfør af dette direktiv.
2. De i stk. 1 nævnte foranstaltninger omfatter især følgende:
a) |
opbevaring af dokumentation, jf. artikel 23 |
aa) |
gennemførelse af konsekvensanalyser vedrørende databeskyttelse i henhold til artikel 25a |
b) |
opfyldelse af bestemmelserne om forudgående høring i henhold til artikel 26 |
c) |
gennemførelse af datasikkerhedskravene som fastsat i artikel 27 |
d) |
udpegning af en databeskyttelsesansvarlig i henhold til artikel 30 |
da) |
udarbejdelse og gennemførelse af specifikke garantier vedrørende behandling af personoplysninger om børn, når det viser sig at være nødvendigt. |
3. Den registeransvarlige anvender mekanismer, der har til formål at kontrollere tilstrækkeligheden og effektiviteten af de foranstaltninger, der er omhandlet i stk. 1 i denne artikel. Denne kontrol udføres af uafhængige interne eller eksterne revisorer, hvis det er hensigtsmæssigt. [Ændring 80]
Artikel 19
Indbygget databeskyttelse og databeskyttelse gennem indstillinger
1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige under hensyntagen til det aktuelle tekniske niveau, den nuværende tekniske viden, international bedste praksis og risikoen i forbindelse med den pågældende behandling af oplysninger , både når formålet med og metoderne til behandling fastlægges, og når selve behandlingen foretages, skal træffe passende tekniske og organisatoriske foranstaltninger og procedurer, således at behandlingen opfylder kravene i de bestemmelser, der vedtages i medfør af dette direktiv, og sikrer beskyttelsen af den registreredes rettigheder, navnlig for så vidt angår principperne i artikel 4. I forbindelse med indbygget databeskyttelse skal der tages særligt hensyn til forvaltningen af hele livscyklussen for personoplysninger lige fra indsamling over behandling til sletning, idet der systematisk fokuseres på omfattende proceduremæssige sikkerhedsforanstaltninger for så vidt angår korrekthed, fortrolighed, integritet, fysisk sikkerhed og sletning af personoplysninger. Hvis den registeransvarlige har foretaget en konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 25a, skal der tages behørigt hensyn til resultaterne heraf i forbindelse med udviklingen af disse foranstaltninger og procedurer.
2. Den registeransvarlige anvender mekanismer med henblik på sikrer som udgangspunkt at sikre, at det kun er de personoplysninger, der er nødvendige til formålet hvert enkelt formål med behandlingen, der behandles , og at de navnlig ikke indsamles, opbevares eller videregives ud over, hvad der som minimum er nødvendigt til disse formål, både med hensyn til mængden af oplysninger og opbevaringsperioden. Disse mekanismer skal navnlig sikre, at personoplysninger som udgangspunkt ikke videregives til et ubegrænset antal personer, og at de registrerede er i stand til at kontrollere videregivelsen af deres personoplysninger. [Ændring 81]
Artikel 20
Fælles registeransvarlige
1. Medlemsstaterne fastsætter bestemmelser om, at når en registeransvarlig afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger sammen med andre registeransvarlige, skal de fælles registeransvarlige indbyrdes aftale en juridisk bindende ordning for deres respektive ansvar for at overholde de bestemmelser, der vedtages i henhold til dette direktiv, navnlig hvad angår procedurer for og mekanismer til udøvelse af den registreredes rettigheder.
2. Medmindre den registrerede er blevet orienteret om, hvem af de fælles registeransvarlige, der bærer ansvaret i medfør af stk. 1, kan den registrerede udøve sine rettigheder i henhold til dette direktiv over for og i forhold til hver af de to eller flere fælles registeransvarlige [Ændring 82]
Artikel 21
Registerfører
1. Medlemsstaterne fastsætter bestemmelser om, at hvis en behandling foretages på vegne af en registeransvarlig, skal den registeransvarlige vælge en registerfører, som giver de fornødne garantier for gennemførelsen af passende tekniske og organisatoriske foranstaltninger og procedurer, således at behandlingen opfylder kravene i de bestemmelser, der vedtages i medfør af dette direktiv, og sikrer beskyttelsen af den registreredes rettigheder , navnlig med hensyn til de tekniske sikkerhedsforanstaltninger og organisatoriske foranstaltninger vedrørende den behandling, der skal foretages, og for at sikre overholdelsen af disse foranstaltninger .
2. Medlemsstaterne fastsætter bestemmelser om, at behandling ved en registerfører skal foretages i henhold til en aftale eller et retligt bindende dokument mellem registerføreren og den registeransvarlige, hvori det navnlig fastsættes, at registerføreren alene handler efter instruks fra den registeransvarlige, især hvis videregivelsen af de anvendte personoplysninger er forbudt.
a) |
alene handler efter instruks fra den registeransvarlige |
b) |
kun beskæftiger personale, som har accepteret at være underlagt tavshedspligt eller i henhold til lovgivningen er underlagt tavshedspligt |
c) |
iværksætter alle krævede foranstaltninger i henhold til artikel 27 |
d) |
kun ansætter en anden registerfører med den registeransvarliges tilladelse og derfor underretter registerføreren om sin hensigt om at ansætte en anden registerfører i så god tid, at den registeransvarlige har mulighed for at gøre indsigelse |
e) |
for så vidt det er muligt i betragtning af behandlingens karakter, efter aftale med den registeransvarlige vedtager de nødvendige tekniske og organisatoriske forudsætninger for opfyldelsen af den registeransvarliges forpligtelse til at besvare anmodninger om udøvelse af den registreredes rettigheder som fastsat i kapitel III |
f) |
bistår den registeransvarlige i indsatsen for at sikre, at kravene i henhold til artikel 25a-29 overholdes |
g) |
overdrager alle resultater til den registeransvarlige efter afslutningen af behandlingen og ikke senere behandler personoplysningerne og sletter eksisterende kopier medmindre EU-retten eller den nationale lovgivning foreskriver oplagring; |
h) |
stiller alle informationer, der er nødvendige for at kontrollere overholdelsen af kravene i denne artikel, til rådighed for den registeransvarlige og tilsynsmyndigheden |
i) |
tager hensyn til principperne om indbygget databeskyttelse og databeskyttelse gennem indstillinger. |
2a. Den registeransvarlige og registerføreren dokumenterer skriftligt den registeransvarliges instrukser og registerførerens forpligtelse, der er omhandlet stk. 2.
3. Hvis en registerfører behandler personoplysninger ud over den registeransvarliges instrukser, betragtes registerføreren som registeransvarlig for den pågældende behandling og er underlagt reglerne for fælles registeransvarlige i artikel 20. [Ændring 83]
Artikel 22
Behandling, der udføres under den registeransvarlige og registerføreren
1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og enhver, der udfører arbejde under den registeransvarlige eller registerføreren, og som får adgang til personoplysninger, kun må behandle disse efter instruks fra den registeransvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstatens lovgivning.
1a. Hvis en registeransvarlig har eller får en afgørende rolle i forbindelse med databehandlingens formål, midler eller metoder eller ikke udelukkende handler efter instruks fra den registeransvarlige, er der tale om fælles registeransvarlige i henhold til artikel 20. [Ændring 84]
Artikel 23
Dokumentation
1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og registerføreren skal opbevare dokumentation for alle behandlingssystemer og -procedurer, der anvendes under deres ansvar.
2. Dokumentationen omfatter mindst følgende oplysninger:
a) |
den registeransvarliges eller en eventuel fælles registeransvarligs og registerførerens navn og kontaktoplysninger |
aa) |
en juridisk bindende aftale i tilfælde af fælles registeransvarlige; liste over registerførere og aktiviteter, som er genstand for registeransvar |
b) |
formålene med behandlingen |
ba) |
angivelse af de dele af den registeransvarliges eller registerførerens organisation, der forestår behandlingen af personoplysninger til et bestemt formål |
bb) |
en beskrivelse af kategorien eller kategorierne af registrerede og af de personoplysninger eller typer af personoplysninger, der vedrører dem |
c) |
kategorien eller kategorierne af modtagere af personoplysninger |
ca) |
eventuelle oplysninger om profilering, foranstaltninger vedrørende profilering og mekanismer for indsigelse mod profilering |
cb) |
letforståelige oplysninger om logikken i enhver automatisk behandling |
d) |
videregivelse af oplysninger til et tredjeland eller en international organisation, herunder identifikation af dette tredjeland eller denne internationale organisation |
da) |
tidsfristerne for sletning af de forskellige kategorier af personoplysninger |
db) |
resultaterne af kontrollerne af de foranstaltninger, der er omhandlet i artikel 18, stk. 1 |
dc) |
en angivelse af retsgrundlaget for den behandling, hvortil personoplysningerne er bestemt. . |
3. Den registeransvarlige og registerføreren stiller efter anmodning al dokumentationen til rådighed for tilsynsmyndigheden. [Ændring 85]
Artikel 24
Registre
1. Medlemsstaterne sikrer som minimum registrering af følgende former for behandling: indsamling, ændring, søgning, videregivelse, samkøring eller sletning. Ved registrering af søgning og videregivelse skal navnlig formålet med samt datoen og tidspunktet for den pågældende behandling og i videst muligt omfang navnet på den person, som har søgt eller videregivet personoplysninger, samt identiteten af modtagerne af disse oplysninger, fremgå af registreringen.
2. Registrene anvendes udelukkende til at kontrollere, om databehandlingen er lovlig, til egenkontrol og til at sikre dataintegriteten og datasikkerheden , eller til revisionsformål både hvad angår den ansvarlige for beskyttelse af oplysninger samt den tilsynsførende for beskyttelse af oplysninger .
2a. Den registeransvarlige og registerføreren stiller efter anmodning dokumentationen til rådighed for tilsynsmyndigheden. [Ændring 86]
Artikel 25
Samarbejde med tilsynsmyndigheden
1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og registerføreren efter anmodning skal samarbejde med tilsynsmyndigheden ved udøvelsen af dennes hverv, navnlig ved at udlevere alle de oplysninger, der er nødvendige for tilsynsmyndighedens arbejde henvises til i artikel 46, stk. 2, litra a), og ved at give adgang, jf. artikel 46, stk. 2, litra b) .
2. Såfremt tilsynsmyndigheden under udøvelsen af de beføjelser, der er tillagt denne i medfør af artikel 46, stk. 1 , litra a) og b), retter henvendelse til den registeransvarlige, skal den registeransvarlige og registerføreren svare inden for en rimelig frist, som fastsættes af tilsynsmyndigheden. Svaret skal omfatte en redegørelse for de iværksatte foranstaltninger og de opnåede resultater som reaktion på bemærkningerne fra tilsynsmyndigheden. [Ændring 87]
Artikel 25a
Konsekvensanalyse vedrørende databeskyttelse
1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller registerføreren, som handler på den registeransvarliges vegne, forud for behandlingen af personoplysninger eller tidligst muligt i forbindelse med igangværende behandling foretager en konsekvensanalyse af de planlagte behandlingssystemer og -procedurer for beskyttelsen af personoplysninger, når behandlingen sandsynligvis vil indebære specifikke risici for registreredes rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål.
2. Særlig følgende former for behandling kan indebære de i stk. 1 omhandlede specifikke risici:
a) |
behandling af personoplysninger i store arkiveringssystemer med henblik på at forebygge, opdage, efterforske eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner |
b) |
behandling af særlige kategorier af personoplysninger, jf. artikel 8, af personoplysninger vedrørende børn og af biometriske oplysninger og positionsdata med henblik på at forebygge, opdage, efterforske eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner |
c) |
evaluering af personlige aspekter vedrørende en fysisk person eller med henblik på analyse eller forudsigelse af en fysisk persons adfærd baseret på elektronisk databehandling, som sandsynligvis vil kunne resultere i foranstaltninger, der har retsvirkning for vedkommende eller berører vedkommende i væsentlig grad |
d) |
overvågning af offentligt tilgængelige områder, navnlig ved brug af optisk-elektronisk udstyr (videoovervågning), eller |
e) |
andre former for behandling, hvor høring af tilsynsmyndigheden er påkrævet i henhold til artikel 26, stk. 1. |
3. Analysen omfatter som minimum:
a) |
en systematisk beskrivelse af den planlagte behandling |
b) |
en vurdering af nødvendigheden og forholdsmæssigheden af behandlingen i forhold til formålene |
c) |
en vurdering af risiciene for registreredes rettigheder og frihedsrettigheder og de planlagte foranstaltninger til afhjælpning af disse risici og mindskelse af omfanget af de personoplysninger, der behandles |
d) |
sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelsen af personoplysninger og påvise overensstemmelse med de bestemmelser, der indføres i medfør af dette direktiv, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser |
e) |
en generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger |
f) |
i givet fald en liste over planlagt videregivelse overførsler af oplysninger til et tredjeland eller en international organisation med angivelse af det pågældende lands eller den pågældende internationale organisations navn og i tilfælde af overførsler i medfør af artikel 36, stk. 2, dokumentation for passende sikkerhedsforanstaltninger. |
4. Såfremt registerføreren har udnævnt en databeskyttelsesansvarlig, inddrages vedkommende i udarbejdelsen af konsekvensanalysen
5. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige hører offentligheden vedrørende den planlagte behandling, uden at det berører beskyttelsen af samfundsmæssige interesser eller sikkerheden ved behandlingen.
6. Offentligheden skal have nem adgang til analysen, uden at det berører beskyttelsen af samfundsmæssige interesser eller sikkerheden ved behandlingen.
7. Kommissionen tillægges beføjelse til efter at have anmodet om en udtalelse fra Det Europæisk Databeskyttelsesråd at vedtage delegerede retsakter i overensstemmelse med artikel 56 med henblik på nærmere fastlæggelse af kriterier og betingelser for behandling, der kan medføre specifikke risici som omhandlet i stk. 1 og 2, og krav vedrørende den i stk. 3 omhandlede analyse, herunder betingelser for skalerbarhed, kontrol og mulighed for revision. [Ændring 88]
Artikel 26
Forudgående høring af tilsynsmyndigheden
1. Medlemsstaterne sikrer, at den registeransvarlige eller registerføreren hører tilsynsmyndigheden forud for behandlingen af personoplysninger, der vil indgå som en del af et nyt register, der skal oprettes, med henblik på at sikre, at den planlagte behandling sker i overensstemmelse med de bestemmelser, der er vedtaget i henhold til dette direktiv, og navnlig for at afbøde risikoen for de registrerede , når
a) |
de særlige kategorier af oplysninger, der er omhandlet i artikel 8, skal behandles en konsekvensanalyse vedrørende databeskyttelse som omhandlet i artikel 25a viser, at en behandling som følge af dens karakter, omfang og/eller formål kan indebære store konkrete risici, eller |
b) |
den type behandling, navnlig ved brug af nye teknologier, mekanismer eller procedurer, ellers medfører særlige risici for den registreredes grundlæggende rettigheder og frihedsrettigheder, navnlig beskyttelsen af personoplysninger tilsynsmyndigheden vurderer, at det er nødvendigt at gennemføre en forudgående høring vedrørende en specifik behandling, der sandsynligvis kan indebære specifikke risici for registreredes rettigheder og frihedsrettigheder som følge af dens karakter, omfang eller formål. |
1a. Hvis tilsynsmyndigheden finder, at den planlagte behandling ikke er i overensstemmelse med de bestemmelser, der er vedtaget i henhold til dette direktiv, navnlig hvis risiciene ikke identificeres eller afhjælpes tilstrækkeligt, forbyder myndigheden den planlagte behandling og fremsætter forslag til, hvordan den manglende overholdelse kan afhjælpes.
2. Medlemsstaterne kan fastsætte fastsætter bestemmelser om, at tilsynsmyndigheden skal udarbejde efter høring af Det Europæiske Databeskyttelsesråd udarbejder en liste over de former for behandling, hvor der i henhold til stk. 1, litra b, skal foretages en forudgående høring
2a. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller registerføreren indgiver den i artikel 25a omhandlede konsekvensanalyse vedrørende databeskyttelse til tilsynsmyndigheden og efter anmodning andre oplysninger, der sætter tilsynsmyndigheden i stand til at vurdere behandlingens overensstemmelse og navnlig risiciene for beskyttelsen af registreredes personoplysninger og tilknyttede garantier.
2b. Hvis tilsynsmyndigheden finder, at den planlagte behandling ikke er i overensstemmelse med de bestemmelser, der er vedtaget i henhold til dette direktiv, eller hvis risiciene ikke identificeres eller afhjælpes tilstrækkeligt, stiller den forslag til, hvordan den manglende overholdelse kan afhjælpes.
2c. Medlemsstaterne kan høre tilsynsmyndigheden, når de forbereder lovgivningsforslag til vedtagelse i det nationale parlament eller foranstaltninger baseret på et sådant lovgivningsforslag, som fastlægger karakteren af behandlingen, for at sikre, at den planlagte behandling er i overensstemmelse med dette direktiv, og for at mindske risiciene for de registrerede. [Ændring 89]
AFDELING 2
DATASIKKERHED
Artikel 27
Behandlingssikkerhed
1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og registerføreren under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen skal træffe passende tekniske og organisatoriske foranstaltninger og procedurer for at tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, behandlingen af personoplysninger indebærer, og arten af de personoplysninger, der skal beskyttes.
2. Med henblik på automatisk databehandling af oplysninger fastsætter medlemsstaterne bestemmelser om, at den registeransvarlige eller registerføreren på grundlag af en risikovurdering skal gennemføre foranstaltninger til at sikre:
a) |
at uautoriserede personer ikke kan få adgang til det edb-udstyr, der benyttes til behandling af personoplysninger (kontrol med fysisk adgang til udstyret) |
b) |
at datamedier hverken kan læses, kopieres, ændres eller fjernes af uautoriserede personer (kontrol med datamedier) |
c) |
at der ikke sker uautoriseret indlæsning af oplysninger samt uautoriseret læsning, ændring eller sletning af opbevarede personoplysninger (kontrol med opbevaring) |
d) |
at automatiske databehandlingssystemer ikke via datakommunikationsudstyr kan benyttes af uautoriserede personer (brugerkontrol) |
e) |
at personer med bemyndigelse til at anvende et automatisk databehandlingssystem kun har adgang til de oplysninger, der er omfattet af deres adgangstilladelse (kontrol med dataadgangen) |
f) |
at det er muligt at kontrollere og fastslå, til hvilke organer der er blevet videregivet eller kan videregives eller stilles personoplysninger til rådighed ved hjælp af datakommunikationsudstyr (kommunikationskontrol) |
g) |
at det er muligt efterfølgende at undersøge og fastslå, hvilke personoplysninger der er indlæst i automatiske databehandlingssystemer, hvornår og af hvem (kontrol med indlæsning) |
h) |
at der ikke er mulighed for ubemyndiget læsning, kopiering, ændring eller sletning af personoplysninger under overførsler af disse eller under transport af datamedier (transportkontrol) |
i) |
at de anvendte systemer i tilfælde af teknisk uheld kan genetableres (genopretning) |
j) |
at systemet fungerer, at indtrufne fejl meldes (pålidelighed), og at opbevarede personoplysninger ikke bliver ødelagt som følge af fejlfunktioner i systemet (integritet) |
ja) |
at der i tilfælde af behandling af følsomme personoplysninger i medfør af artikel 8 gennemføres yderligere sikkerhedsforanstaltninger for at sikre bevidsthed omkring sikkerhedssituationen og evnen til at handle forebyggende, korrigerende og afbødende i næsten realtid over for konstaterede svagheder eller hændelser, som kan udgøre en risiko for oplysningerne. |
2a. Medlemsstaterne fastsætter bestemmelser om, at der som registerfører kun må udpeges personer, der kan garantere, at de træffer de fornødne tekniske og organisatoriske foranstaltninger, der er omhandlet i stk. 1, og overholder de instrukser, der er omhandlet i artikel 21, stk. 2, litra a). Den kompetente myndighed overvåger, at registerføreren overholder disse krav.
3. Kommissionen kan om nødvendigt vedtage gennemførelsesretsakter med henblik på at specificere, hvordan kravene i stk. 1 og 2 gælder i forskellige situationer, navnlig krypteringsstandarder. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 57, stk. 2. [Ændring 90]
Artikel 28
Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige ved brud på persondatasikkerheden uden unødig forsinkelse, og når det er muligt, senest 24 timer, efter at den pågældende er blevet opmærksom herpå, skal anmelde bruddet på persondatasikkerheden til tilsynsmyndigheden. Hvis anmeldelsen ikke sker inden 24 timer Den registeransvarlige fremlægger på anmodning en underbygget begrundelse for enhver forsinkelse for tilsynsmyndigheden
2. Registerføreren varsler og underretter omgående uden unødig forsinkelse den registeransvarlige, efter at den pågældende er blevet opmærksom på at det er konstateret , at der er sket et brud på persondatasikkerheden.
3. Den i stk. 1 omhandlede anmeldelse skal mindst:
a) |
beskrive karakteren af bruddet på persondatasikkerheden, herunder kategorier og antal berørte registrerede samt kategorier og antal berørte registre |
b) |
angive identitet og kontaktoplysninger for den i stk. 30 omhandlede databeskyttelsesansvarlige eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes |
c) |
anbefale foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på persondatasikkerheden |
d) |
beskrive de mulige konsekvenser af bruddet på persondatasikkerheden |
e) |
beskrive de foranstaltninger, som den registeransvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden eller afbøde konsekvenserne. |
Såfremt alle oplysninger ikke kan fremlægges uden unødig forsinkelse, kan den registeransvarlige supplere meddelelsen på et senere tidspunkt.
4. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal dokumentere alle brud på persondatasikkerheden, herunder omstændighederne ved bruddet, dets virkninger og de iværksatte afhjælpende foranstaltninger. Denne dokumentation skal være tilstrækkeligt detaljeret til at kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel overholdes Dokumentationen skal kun indeholde de oplysninger, der er nødvendige til dette formål.
4a. Tilsynsmyndigheden fører et offentligt register over de forskellige former for brud, der er anmeldt.
5. Kommissionen tillægges beføjelser til efter at have anmodet om en udtalelse fra Det Europæiske Databeskyttelsesråd at vedtage delegerede retsakter i overensstemmelse med artikel 56 med henblik på yderligere at specificere kriterier for og krav til, hvordan databrud som omhandlet i stk. 1 og 2 fastslås, og under hvilke særlige omstændigheder en registeransvarlig og registerfører har pligt til at anmelde brud på persondatasikkerheden.
6. Kommissionen kan fastlægge standardformatet for en sådan anmeldelse til tilsynsmyndigheden, procedurerne for anmeldelsespligten samt formen og de nærmere regler for den dokumentation, der er omhandlet i stk. 4, herunder tidsfrister for sletning af oplysninger deri. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 57, stk. 2. [Ændring 91]
Artikel 29
Meddelelse af brud på persondatasikkerheden til den registrerede
1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige, når bruddet på persondatasikkerheden kan forventes at krænke personoplysninger eller privatlivets fred for den registrerede og dennes rettigheder eller legitime interesser , efter den i artikel 28 omhandlede anmeldelse skal underrette den registrerede om bruddet på persondatasikkerheden uden unødig forsinkelse.
2. Meddelelsen til den registrerede i henhold til stk. 1 skal affattes på et klart og letforståeligt sprog . Den skal beskrive arten af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og anbefalinger, der er omhandlet i artikel 28, stk. 3, litra b, c og d, og indeholde oplysninger om den registreredes rettigheder, herunder klagemulighederne .
3. Det er ikke nødvendigt at underrette den registrerede om et brud på persondatasikkerheden, hvis tilsynsmyndigheden finder det godtgjort fra den registeransvarliges side, at denne har gennemført passende teknologiske beskyttelsesforanstaltninger, og at disse foranstaltninger er blevet anvendt på de personoplysninger, som bruddet på persondatasikkerheden vedrørte. Sådanne teknologiske beskyttelsesforanstaltninger skal gøre dataene uforståelige for alle, der ikke har lovlig adgang hertil.
3a. Uden at det berører den registeransvarliges forpligtelse til at underrette den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden, i tilfælde hvor den registeransvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, og efter at have vurderet bruddets sandsynlige negative virkninger, kræve, at den registeransvarlige gør dette.
4. Underretningen af den registrerede kan forsinkes, eller begrænses eller undlades af de årsager, der er omhandlet i artikel 11, stk. 4. [Ændring 92]
AFDELING 3
DATABESKYTTELSESANSVARLIG
Artikel 30
Udpegning af den databeskyttelsesansvarlige
1. Medlemsstaterne sørger for for, at den registeransvarlige eller registerføreren udpeger en databeskyttelsesansvarlig.
2. Den databeskyttelsesansvarlige udpeges på grundlag af sine faglige kvalifikationer, herunder navnlig ekspertise inden for databeskyttelseslovgivning og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 32. Den nødvendige ekspertviden fastlægges navnlig i henhold til den databehandling, der skal udføres, og den beskyttelse, der kræves for de personoplysninger, som den registeransvarlige eller registerføreren behandler.
2a. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller registerføreren sikre, at den databeskyttelsesansvarliges øvrige arbejdsopgaver er forenelige med den pågældendes opgaver og hverv som databeskyttelsesansvarlig og ikke indebærer interessekonflikt.
2b. Den databeskyttelsesansvarlige udpeges for en periode på mindst fire år. Den databeskyttelsesansvarlige kan genudnævnes til yderligere perioder. I sin embedsperiode kan den databeskyttelsesansvarlige kun afskediges fra denne stilling, hvis vedkommende ikke længere opfylder betingelserne for at varetage hvervet.
2c. Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til at kontakte den databeskyttelsesansvarlige om alle spørgsmål vedrørende behandlingen af vedkommendes personoplysninger.
3. Den databeskyttelsesansvarlige kan udpeges for flere enheder under hensyntagen til den kompetente myndigheds organisatoriske struktur.
3a. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller registerføreren meddeler navnet på og kontaktoplysningerne for den databeskyttelsesansvarlige til tilsynsmyndigheden og offentligheden. [Ændring 93]
Artikel 31
Den databeskyttelsesansvarliges stilling
1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller registerføreren skal sikre, at den databeskyttelsesansvarlige inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
2. Den registeransvarlige eller registerføreren sikrer, at den databeskyttelsesansvarlige råder over de midler, der er nødvendige for at udføre de i artikel 32 omhandlede opgaver effektivt og uafhængigt, og ikke modtager instrukser med hensyn til udøvelsen af hvervet.
2a. Den registeransvarlige eller registerføreren støtter den databeskyttelsesansvarlige i udøvelsen af dennes hverv og tilvejebringer alle midler, herunder personale, lokaler, udstyr og andre ressourcer, der er nødvendige for udøvelsen af det hverv, der er omhandlet i artikel 32, og for opretholdelse af dennes faglige kundskaber. [Ændring 94]
Artikel 32
Den databeskyttelsesansvarliges hverv
Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og registerføreren mindst skal overdrage følgende opgaver til den databeskyttelsesansvarlige:
a) |
at bevidstgøre , underrette og rådgive den registeransvarlige eller registerføreren om deres forpligtelser i overensstemmelse med de bestemmelser, der vedtages til gennemførelse af dette direktiv, navnlig tekniske og organisatoriske foranstaltninger og procedurer, og at dokumentere denne aktivitet og de modtagne reaktioner |
b) |
at overvåge gennemførelsen og anvendelsen af reglerne om beskyttelse af personoplysninger, herunder fordeling af ansvar, uddannelse af det personale, der medvirker ved databehandlingen, og de tilhørende kontroller |
c) |
at kontrollere gennemførelsen og anvendelsen af de bestemmelser, der vedtages i medfør at dette direktiv, navnlig med hensyn til kravene vedrørende indbygget databeskyttelse, databeskyttelse gennem indstillinger og datasikkerhed og oplysninger til de registrerede og deres anmodninger i forbindelse med udøvelsen af deres rettigheder i henhold til de bestemmelser, der er vedtaget i medfør af dette direktiv |
d) |
at sikre vedligeholdelse af den i artikel 23 omhandlede dokumentation |
e) |
at kontrollere dokumentation, anmeldelse og meddelelser vedrørende brud på persondatasikkerheden i henhold til artikel 28 og 29 |
f) |
at kontrollere resultaterne af den registeransvarliges eller registerførerens konsekvensanalyse af databeskyttelsen, og at der sker en forudgående høring af tilsynsmyndigheden, hvis det kræves i henhold til artikel 26, stk. 1 |
g) |
at kontrollere besvarelsen af anmodninger fra tilsynsmyndigheden og inden for rammerne af den databeskyttelsesansvarliges beføjelser at samarbejde med tilsynsmyndigheden på dennes anmodning eller på eget initiativ |
h) |
at fungere som tilsynsmyndighedens kontaktpunkt i forbindelse med spørgsmål vedrørende behandling og på eget initiativ og efter behov rådføre sig med tilsynsmyndigheden. [Ændring 95] |
KAPITEL V
VIDEREGIVELSE AF PERSONOPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER
Artikel 33
Generelle principper for videregivelse af personoplysninger
Medlemsstaterne fastsætter bestemmelser om, at kompetente myndigheder alene må videregive personoplysninger, som underkastes behandling eller er beregnet til behandling efter videregivelse til et tredjeland eller til en international organisation, herunder videreoverførsel til et andet tredjeland eller en international organisation, såfremt:
a) |
videregivelsen den specifikke videregivelse er nødvendig for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, og |
aa) |
oplysninger videregives til en registeransvarlig i et tredjeland eller i en international organisation, som er en kompetent offentlig myndighed, jf. formålene i artikel 1, stk. 1, og |
ab) |
den registeransvarlige og registerføreren overholder betingelserne i dette kapitel, herunder i forbindelse med yderligere videregivelse af personoplysninger fra tredjelandet eller en international organisation til et andet tredjeland eller en anden international organisation, og |
b) |
andre bestemmelser vedtaget i henhold til dette direktiv betingelserne i dette kapitel overholdes af den registeransvarlige eller registerføreren , og |
ba) |
det beskyttelsesniveau, som fysiske personer garanteres i Unionen i medfør af dette direktiv, ikke undermineres, og |
bb) |
når Kommissionen i henhold til bestemmelserne og proceduren i artikel 34, har fastslået, at det pågældende tredjeland eller den internationale organisation har et tilstrækkeligt databeskyttelsesniveau, eller |
bc) |
når der er blevet indført hensigtsmæssige garantier, hvad angår beskyttelsen af personoplysninger, i et retligt bindende instrument, jf. artikel 35. |
Medlemsstaterne fastsætter bestemmelser om, at yderligere videregivelse, jf. denne artikels stk. 1, ud over de betingelser, der er indeholdt i nævnte stk. 1, kun må finde sted, hvis:
a) |
videregivelsen er nødvendig af hensyn til samme specifikke formål som den oprindelige videregivelse, og |
b) |
den kompetente myndighed, som foretog den oprindelige videregivelse, godkender den yderligere videregivelse. [Ændring 96] |
Artikel 34
Videregivelse af personoplysninger på grundlag af en afgørelse om tilstrækkeligheden af databeskyttelsesniveauet
1. Medlemsstaterne fastsætter bestemmelser om, at videregivelse af personoplysninger til et tredjeland eller en international organisation kun må finde sted, når Kommissionen i henhold til artikel 41 forordning (EU) nr. …/2012 eller i henhold til stk. 3 i denne artikel har fastslået, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation har et tilstrækkeligt databeskyttelsesniveau En sådan videregivelse oplysninger kræver ikke yderligere nogen særlig godkendelse
2. Såfremt der ikke er vedtaget en afgørelse i henhold til artikel 41 i forordning (EU) nr. …./2012, vurderer I forbindelse med vurderingen af tilstrækkeligheden af databeskyttelsesniveauet tager Kommissionen beskyttelsesniveauets tilstrækkelighed under hensyntagen til hensyn til følgende:
a) |
retsstatsprincippet, relevant gældende lovgivning, både almindelig og sektorbestemt, herunder vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og strafferet og gennemførelsen af denne lovgivning og de sikkerhedsforanstaltninger, der gælder i dette tredjeland eller den internationale organisation, retspraksis samt effektive rettigheder, der kan håndhæves retsligt, herunder effektiv adgang til administrativ og retlig prøvelse for registrerede, navnlig registrerede, der er bosiddende i Unionen, og hvis personoplysninger videregives |
b) |
tilstedeværelsen af en eller flere velfungerende uafhængige tilsynsmyndigheder i tredjelandet eller den internationale organisation, der har ansvaret for at sikre, at databeskyttelsesreglerne overholdes, herunder tilstrækkelige sanktionsbeføjelser , og for at bistå og rådgive de registrerede, når de udøver deres rettigheder, og samarbejde med tilsynsmyndighederne i Unionen og medlemsstaterne og |
c) |
de internationale forpligtelser, som tredjelandet eller en international organisation har indgået, navnlig juridisk bindende konventioner eller instrumenter om beskyttelse af personoplysninger . |
3. Kommissionen kan tillægges beføjelse til efter at have anmodet Det Europæiske Databeskyttelsesråd om en udtalelse at vedtage delegerede retsakter i overensstemmelse med artikel 56 for inden for rammerne af dette direktiv fastslå, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med stk. 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 57, stk. 2.
4. I den delegerede retsakt angives dennes geografiske og sektorbestemte anvendelsesområde og i påkommende tilfælde den tilsynsmyndighed, der er nævnt i stk. 2, litra b).
4a. Kommissionen overvåger løbende udviklinger, der kan påvirke opfyldelsen af elementerne i stk. 2, i tredjelande eller internationale organisationer, for hvilke der er vedtaget delegerede retsakter, jf. stk. 3.
5. Kommissionen kan tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 56 for inden for rammerne af dette direktiv at fastslå, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation ikke har et tilstrækkeligt beskyttelsesniveau i henhold til denne artikels stk. 2, navnlig hvis den gældende lovgivning, både almindelig og sektorbestemt, i tredjelandet eller den internationale organisation ikke garanterer effektive rettigheder, der kan håndhæves retsligt, herunder effektiv adgang til administrativ og retslig prøvelse for registrerede, navnlig registrerede, hvis personoplysninger videregives. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 57, stk. 2, eller efter proceduren i artikel 57, stk. 3, i særligt hastende tilfælde for fysiske personer, hvad angår beskyttelse af deres personoplysninger.
6. Når Kommissionen træffer afgørelse i henhold til i stk. 5, sikrer medlemsstaterne, at enhver form for videregivelse af personoplysninger til tredjelandet eller et område eller en behandlingssektor i dette tredjeland eller den pågældende internationale organisation forbydes; denne afgørelse påvirker ikke videregivelse i henhold til artikel 35, stk. 1, eller artikel 36. Kommissionen indleder på et passende tidspunkt høringer af tredjelandet eller den internationale organisation med henblik på at afhjælpe den situation, der opstår som følge af afgørelsen i henhold til stk. 5 i denne artikel.
7. Kommissionen offentliggør i Den Europæiske Unions Tidende en liste over tredjelande, områder og behandlingssektorer i et tredjeland eller en international organisation, for hvilke den har fastslået, om der er et tilstrækkeligt beskyttelsesniveau eller ej.
8. Kommissionen overvåger anvendelsen af de gennemførelsesretsakter delegerede retsakter , der er omhandlet i stk. 3 og 5. [Ændring 97]
Artikel 35
Videregivelse på grundlag af hensigtsmæssige garantier
1. Hvis Kommissionen ikke har truffet afgørelse i henhold til artikel 34, eller beslutter, at et tredjeland eller et territorium i dette tredjeland eller en international organisation ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 34, stk. 5, kan en registeransvarlig eller en registerfører kun videregive personoplysninger til dette tredjeland eller territorium i dette tredjeland eller til denne internationale organisation, hvis den registeransvarlige eller registerføreren har godtgjort, at der er truffet de nødvendige sikkerhedsforanstaltninger til sikring af beskyttelsen af personoplysningerne i et juridisk bindende dokument .
a) |
der er blevet indført hensigtsmæssige garantier, hvad angår beskyttelsen af personoplysninger, i et retligt bindende instrument |
b) |
den registeransvarlige eller registerføreren har vurderet alle forhold i forbindelse med videregivelsen af personoplysninger og konkluderet, at der findes hensigtsmæssige garantier, hvad angår beskyttelsen af personoplysninger |
2. Beslutningen om videregivelse i henhold til stk. 1, litra b), skal træffes af personale, der er behørigt bemyndiget hertil. Disse videregivelser skal dokumenteres, og dokumentationen skal på anmodning stilles til rådighed for godkendes af tilsynsmyndigheden forud for videregivelsen . [Ændring 98]
Artikel 36
Undtagelser
1. Når Kommissionen i henhold til artikel 34, stk. 5, træffer afgørelse om, at der ikke findes et tilstrækkeligt sikkerhedsniveau, må personoplysninger ikke videregives til det pågældende tredjeland eller til den pågældende internationale organisation, hvis den registreredes legitime interesse i at forhindre videregivelsen i det konkrete tilfælde vejer tungere end den offentlige interesse i videregivelsen af oplysninger
2. Uanset artikel 34 og 35 fastsætter medlemsstaterne bestemmelser om, at en videregivelse af personoplysninger til et tredjeland eller en international organisation kun må finde sted, hvis:
a) |
videregivelsen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser, eller |
b) |
videregivelsen er nødvendig for at beskytte den registreredes legitime interesser, hvis det er påkrævet ved lov i den medlemsstat, der videregiver personoplysningerne, eller |
c) |
videregivelsen af oplysningerne er afgørende for at afværge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed, eller |
d) |
videregivelsen er nødvendig i enkeltsager med henblik på forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner, eller |
e) |
videregivelsen er nødvendig i enkeltsager med henblik på at fastslå et retskrav eller gøre det gældende eller forsvare det ved en domstol i forbindelse med forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner. |
2a. Behandling i medfør af stk. 2 skal have hjemmel i EU-retten eller i lovgivningen i den medlemsstat, som den registeransvarlige er statsborger i; denne lovgivning skal være i overensstemmelse med målsætningen om almen interesse eller nødvendigheden af at beskytte andres rettigheder og frihedsrettigheder, respektere ånden i retten til beskyttelse af personoplysninger og stå i forhold til den legitime tilstræbte målsætning.
2b. Enhver form for videregivelse af oplysninger, som skyldes beslutninger på grundlag af undtagelsesbestemmelser, bør være behørigt begrundet og begrænset til det strengt nødvendige, eftersom omfattende og hyppige overførsler af data ikke er tilladt.
2c. Beslutningen om videregivelse i henhold til stk. 2 skal træffes af personale, der er behørigt bemyndiget hertil. Videregivelsen skal dokumenteres og dokumentationen skal stilles til rådighed for tilsynsmyndigheden efter anmodning, og skal omfatte dato og tidspunkt for videregivelsen, oplysninger om den modtagende myndighed, begrundelsen for videregivelsen og angivelse af de overførte oplysninger. [Ændring 99]
Artikel 37
Særlige betingelser for videregivelse af personoplysninger
Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal underrette modtageren af personoplysninger om eventuelle begrænsninger for behandling og træffer alle rimelige foranstaltninger for at sikre, at disse begrænsninger overholdes. Den registeransvarlige underretter også modtageren af personoplysningerne om enhver form for opdatering, korrektion eller sletning af data, som er sket, og modtageren bør foretage samme underretning, hvis vedkommende har videregivet oplysningerne. [Ændring 100]
Artikel 38
Internationalt samarbejde om beskyttelse af personoplysninger
1. I henseende til tredjelande og internationale organisationer iværksætter Kommissionen og medlemsstaterne de nødvendige foranstaltninger for at:
a) |
udvikle effektive internationale samarbejdsmekanismer med henblik på at lette sikre håndhævelsen af lovgivningen om beskyttelse af personoplysninger [Ændring 101] |
b) |
yde international gensidig bistand i håndhævelsen af lovgivningen om beskyttelse af personoplysninger, herunder gennem anmeldelse, indbringelse af klager, efterforskningsbistand og informationsudveksling, med forbehold af de fornødne garantier for beskyttelse af personoplysninger og andre grundlæggende rettigheder og frihedsrettigheder |
c) |
inddrage de berørte parter i drøftelser og aktiviteter, der har til formål at fremme det internationale samarbejde om håndhævelsen af lovgivningen om beskyttelse af personoplysninger |
d) |
fremme udveksling og dokumentation af lovgivningen om beskyttelse af personoplysninger og praksis på området |
da) |
afklare og indhente ekspertudtalelser om værnetingstvister med tredjelande. [Ændring 102] |
2. For så vidt angår stk. 1, træffer Kommissionen de nødvendige foranstaltninger for at styrke forholdet til tredjelande og internationale organisationer, bl.a. deres tilsynsmyndigheder, når Kommissionen har truffet afgørelse om, at de sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 34, stk. 3.
Artikel 38a
Rapport fra Kommissionen
Kommissionen forelægger Europa-Parlamentet og Rådet en rapport om anvendelsen af artikel 33-38 med regelmæssige mellemrum. Den første rapport forelægges senest fire år efter dette direktivs ikrafttræden. Kommissionen kan med henblik herpå anmode medlemsstaterne og tilsynsmyndighederne om oplysninger, som disse skal fremsende hurtigst muligt. Rapporten offentliggøres. [Ændring 103]
KAPITEL VI
UAFHÆNGIGE TILSYNSMYNDIGHEDER
AFDELING 1
UAFHÆNGIG STATUS
Artikel 39
Tilsynsmyndighed
1. Hver medlemsstat vedtager bestemmelser om, at en eller flere tilsynsmyndigheder har ansvaret for at kontrollere anvendelsen af de bestemmelser, der vedtages i medfør af dette direktiv og bidrage til en ensartet anvendelse i hele Unionen med det formål at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandlingen af deres personoplysninger og lette den frie udveksling af personoplysninger i Unionen. Til det formål samarbejder tilsynsmyndighederne med hinanden og med Kommissionen.
2. Medlemsstaterne kan fastsætte bestemmelser om, at den tilsynsmyndighed, der er oprettet i medlemsstaterne i henhold til forordning (EU) nr. …/2014, overdrages ansvaret for de opgaver, som skal udføres af den tilsynsmyndighed, der oprettes i henhold til stk. 1 i denne artikel.
3. Hvis der er mere end én tilsynsmyndighed i en medlemsstat, udpeger den pågældende medlemsstat den tilsynsmyndighed, der fungerer som fælles kontaktpunkt for disse myndigheders effektive deltagelse i Det Europæiske Databeskyttelsesråd.
Artikel 40
Uafhængighed
1. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden skal udøve de opgaver og beføjelser, der tillægges den, i fuld uafhængighed uden at det berører samarbejdsordningerne i medfør af kapitel VII i dette direktiv . [Ændring 104]
2. Medlemsstaterne fastsætter bestemmelser om, at medlemmerne af tilsynsmyndigheden ved udøvelsen af deres opgaver hverken må søge eller modtage instrukser fra andre , og at de skal være fuldstændig uafhængige og upartiske . [Ændring 105]
3. Medlemmerne af tilsynsmyndigheden skal afholde sig fra enhver handling, der er uforenelig med karakteren af deres hverv, og må ikke, så længe deres embedsperiode varer, udøve uforenelig lønnet eller ulønnet virksomhed.
4. Medlemmerne af tilsynsmyndigheden skal efter embedsperiodens ophør udvise hæderlighed og tilbageholdenhed med hensyn til at påtage sig visse hverv eller at acceptere visse fordele.
5. Hver medlemsstat sikrer, at tilsynsmyndigheden råder over tilstrækkelige finansielle, tekniske og menneskelige ressourcer, lokaler og infrastrukturer til effektivt at udføre sine opgaver og beføjelser, herunder opgaver og beføjelser i forbindelse med gensidig bistand samt samarbejde med og aktiv deltagelse i Det Europæiske Databeskyttelsesråd.
6. |
Hver medlemsstat sikrer, at tilsynsmyndigheden råder over sit eget personale, der udpeges af og er under ledelse af chefen for tilsynsmyndigheden. |
7. Medlemsstaterne sikrer, at tilsynsmyndigheden er underlagt finansiel kontrol, som ikke påvirker dens uafhængighed. Medlemsstaterne sikrer, at tilsynsmyndigheden fører særskilt årsregnskab og -budget. Budgetterne offentliggøres.
Artikel 41
Generelle betingelser for medlemmerne af tilsynsmyndigheden
1. Medlemsstaterne vedtager bestemmelser om, at medlemmerne af tilsynsmyndigheden skal udpeges af parlamentet eller regeringen i den pågældende medlemsstat.
2. Medlemmerne udvælges blandt personer, hvis uafhængighed er uomtvistelig, og som kan dokumentere den erfaring og kompetence, som er nødvendig for at udøve deres hverv.
3. Et medlems opgaver ophører ved udløbet af embedsperioden, ved frivillig fratræden eller ved opnåelse af tvungen pensionsalder, jf. stk. 5.
4. Et medlem kan af den kompetente nationale domstol afskediges eller fratages sin ret til pension eller lignende goder, hvis vedkommende ikke længere opfylder de nødvendige betingelser for at udøve sit hverv, eller hvis vedkommende har begået alvorligt embedsmisbrug.
5. Når embedsperioden udløber, eller hvis et medlem udtræder, fortsætter medlemmet med at opfylde sine forpligtelser, indtil et nyt medlem er udpeget.
Artikel 42
Regler om oprettelse af tilsynsmyndigheden
Medlemsstaterne fastsætter ved lov:
a) |
tilsynsmyndighedens oprettelse og status, jf. artikel 39 og 40 |
b) |
kvalifikationer, erfaring og kompetence, der er nødvendig for at udøve hvervet som medlem af tilsynsmyndigheden |
c) |
reglerne og procedurerne for udnævnelsen af medlemmerne af tilsynsmyndigheden samt regler om handlinger og hverv, der er uforenelige med dette hverv |
d) |
embedsperioden for medlemmerne af tilsynsmyndigheden, som skal være mindst fire år, med undtagelse af den første udnævnelse efter dette direktivs ikrafttræden, som kan være af kortere varighed |
e) |
om medlemmerne af tilsynsmyndigheden kan genudnævnes |
f) |
bestemmelser og fælles betingelser vedrørende de pligter, der påhviler tilsynsmyndighedens medlemmer og personale |
g) |
regler og procedurer, når medlemmerne af tilsynsmyndigheden fratræder deres hverv, herunder hvis de ikke længere opfylder de nødvendige betingelser for at udøve hvervet, eller hvis de har begået alvorligt embedsmisbrug. |
Artikel 43
Tavshedspligt
Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndighedens medlemmer og personale såvel under embeds- og ansættelsesperioden som efter dens ophør i overensstemmelse med national lovgivning og praksis har tavshedspligt, for så vidt angår alle fortrolige oplysninger, der er kommet til deres kendskab under udøvelsen af deres hverv, mens de udfører deres hverv i fuld uafhængighed og med fuld åbenhed i overensstemmelse med dette direktiv. [Ændring 106]
AFDELING 2
OPGAVER OG BEFØJELSER
Artikel 44
Kompetence
1. Medlemsstaterne drager omsorg for, at hver tilsynsmyndighed har kompetence til på sin den pågældende medlemsstats område udøver at udøve de beføjelser, der tillægges den i overensstemmelse med dette direktiv. [Ændring 107]
2. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden ikke har beføjelse til at føre tilsyn med domstolenes behandling af personoplysninger, når de handler i deres egenskab af domstol.
Artikel 45
Opgaver
1. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden skal:
a) |
overvåge og sikre anvendelsen af de bestemmelser, der vedtages i medfør at dette direktiv og gennemførelsesbestemmelserne hertil |
b) |
høre klager, der indgives af en registreret eller en sammenslutning, der repræsenterer og er behørigt bemyndiget af den registrerede i overensstemmelse med artikel 50, så vidt det er hensigtsmæssigt, undersøge sagen og underrette den registrerede eller sammenslutningen om forløbet og resultatet af klagen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig |
c) |
kontrollere, om en behandling er lovlig i henhold til artikel 14, og underrette den registrerede inden for en rimelig frist om resultatet af undersøgelsen eller om årsagerne til, at undersøgelsen ikke er foretaget |
d) |
yde gensidig bistand til andre tilsynsmyndigheder og sikre ensartet anvendelse og håndhævelse af bestemmelser vedtaget i medfør af dette direktiv |
e) |
gennemføre undersøgelser , inspektioner og revisioner på eget initiativ, på grundlag af en klage eller efter anmodning fra en anden tilsynsmyndighed og underrette den registrerede, hvis vedkommende har indgivet en klage til denne tilsynsmyndighed, om resultatet af undersøgelsen inden for en rimelig frist |
f) |
overvåge den relevante udvikling, for så vidt den har indvirkning på beskyttelsen af personoplysninger, navnlig udviklingen i informations- og kommunikationsteknologier |
g) |
høres af medlemsstaternes institutioner og organer om administrative foranstaltninger til beskyttelse af personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysning |
h) |
høres om behandling i henhold til artikel 26 |
i) |
deltage i Det Europæiske Databeskyttelsesråds aktiviteter. |
2. Hver tilsynsmyndighed styrker offentlighedens kendskab til risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger. Der skal lægges særlig vægt på aktiviteter, der er direkte rettet mod børn.
3. Tilsynsmyndigheden rådgiver efter anmodning den registrerede i udøvelsen af dennes rettigheder som fastsat i de bestemmelser, der vedtages i henhold til direktivet, og samarbejder i den forbindelse med tilsynsmyndighederne i andre medlemsstater, hvis det er relevant.
4. I forbindelse med de klager, der er omhandlet i stk. 1, litra b), udarbejder tilsynsmyndigheden en klageformular, der kan udfyldes elektronisk, uden dog at udelukke andre kommunikationsmidler.
5. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden skal varetage sine opgaver uden udgifter for den registrerede.
6. Hvis anmodninger er tydeligt overdrevne usaglige, bl.a. fordi de gentages, kan tilsynsmyndigheden opkræve et rimeligt gebyr. Gebyret må ikke overstige udgifterne til den krævede indsats. Tilsynsmyndigheden bærer ansvaret for at bevise, at anmodningen er usaglig tydeligt overdreven. [Ændring 108]
Artikel 46
Beføjelser
1. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden bl.a. skal have beføjelse til :
a) |
undersøgelsesbeføjelser såsom beføjelse til at få indsigt i de oplysninger, der er genstand for behandling, og beføjelse til at indsamle alle de oplysninger, der er nødvendige for at udføre sine tilsynsopgaver at underrette den registeransvarlige eller registerføreren om en påstået overtrædelse af bestemmelserne om behandling af personoplysninger og i givet fald give den registeransvarlige eller registerføreren påbud om at råde bod på overtrædelsen og forbedre beskyttelsen af den registrerede |
b) |
beføjelse til at gribe effektivt ind ved f.eks. at afgive udtalelser forud for iværksættelsen af behandlingen og sikre en passende offentliggørelse af disse udtalelser, at beordre oplysninger begrænset, slettet eller tilintetgjort, midlertidigt eller definitivt at forbyde en behandling, at udstede en advarsel til den registeransvarlige eller påtale en overtrædelse over for den registeransvarlige eller ved at høre de nationale parlamenter eller andre nationale politiske institutioner at give den registeransvarlige påbud om at imødekomme den registreredes anmodninger om at udøve sine rettigheder, der er omfattet af dette direktiv, herunder de i artikel 12-17 fastsatte, når sådanne anmodninger er blevet afvist i strid med disse bestemmelser |
c) |
beføjelse til at indbringe overtrædelser af de bestemmelser, der vedtages i medfør af dette direktiv for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser at give den registeransvarlige eller registerføreren påbud om at udlevere oplysningerne, jf. artikel 10, stk. 1 og 2, samt artikel 11, 28 og 29 |
d) |
at sikre overensstemmelse med udtalelser om forudgående høringer, jf. artikel 26 |
e) |
at rette en advarsel eller en påtale til den registeransvarlige eller registerføreren |
f) |
at give påbud om berigtigelse, sletning eller tilintetgørelse af alle personoplysninger, når de er blevet behandlet i strid med bestemmelserne i dette direktiv, og meddelelse af sådanne handlinger til tredjemand, til hvem disse oplysninger er videregivet |
g) |
midlertidigt eller definitivt at forbyde en behandling |
h) |
at suspendere videregivelsen af oplysninger til et tredjeland eller en international organisation |
i) |
at informere nationale parlamenter, regeringen eller andre offentlige institutioner samt offentligheden om spørgsmålet. |
2. Hver tilsynsmyndighed har undersøgelsesbeføjelse til fra den registeransvarlige eller registerføreren:
a) |
at få indsigt i alle personoplysninger og informationer, der er nødvendige for at varetage dens tilsynsopgaver |
b) |
at få adgang til alle deres lokaler, herunder databehandlingsudstyr og -midler, i overensstemmelse med den nationale lovgivning, når der er rimelig grund til at antage, at der dér udøves en aktivitet, der strider mod bestemmelserne, der er vedtaget i henhold til dette direktiv, med forbehold af rettens tilladelse, hvis dette kræves i henhold til den nationale lovgivning. |
3. Uanset artikel 43 indfører medlemsstaterne bestemmelser til at sikre, at der ikke stilles yderligere sikkerhedskrav til tilsynsmyndighedernes anmodninger.
4. Medlemsstaterne kan fastsætte bestemmelser om, at adgang til oplysninger, som er klassificeret på et niveau svarende til EU CONFIDENTIAL eller højere, kræver en supplerende sikkerhedsscreening i henhold til national lovgivning. Hvis lovgivningen i tilsynsmyndighedens medlemsstat ikke kræver supplerende sikkerhedsscreening, skal de øvrige medlemsstater anerkende dette.
5. Hver tilsynsmyndighed har beføjelser til at gøre de retlige myndigheder opmærksom på overtrædelser af bestemmelser vedtaget i medfør af dette direktiv og til at deltage i retssager samt anlægge sag ved den kompetente domstol, jf. artikel 53, stk. 2.
6. Hver tilsynsmyndighed har beføjelse til at indføre sanktioner for administrative overtrædelser. [Ændring 109]
Artikel 46a
Indberetning af overtrædelser
1. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheder skal tage hensyn til retningslinjerne fra Det Europæiske Databeskyttelsesråd i overensstemmelse med artikel 66, stk. 4 i forordning (EU) nr. …/2014 og indføre effektive mekanismer, som skal tilskynde til fortrolig indberetning af overtrædelser af dette direktiv.
2. Medlemsstaterne fastsætter bestemmelser om, at de kompetente myndigheder skal indføre effektive mekanismer, som skal tilskynde til fortrolig indberetning af overtrædelser af dette direktiv. [Ændring 110]
Artikel 47
Aktivitetsrapport
Medlemsstaterne sørger for, at hver tilsynsmyndighed udarbejder en årlig rapport om sin virksomhed mindst hvert andet år . Rapporten forelægges offentligheden, det nationale parlament, Kommissionen og Det Europæiske Databeskyttelsesråd. Den skal indeholde oplysninger om, i hvilket omfang de kompetente myndigheder inden for deres jurisdiktion har fået adgang til oplysninger fra private instanser med henblik på efterforskning eller retsforfølgelse af straffelovsovertrædelser. [Ændring 111]
KAPITEL VII
SAMARBEJDE
Artikel 48
Gensidig bistand
1. Medlemsstaterne drager omsorg for, at tilsynsmyndighederne yder hinanden gensidig bistand med henblik på at gennemføre og anvende de bestemmelser, der vedtages i medfør af dette direktiv, på en ensartet måde og træffer foranstaltninger med henblik på et effektivt samarbejde med hinanden. Gensidig bistand omfatter bl.a. anmodninger om oplysninger og tilsynsforanstaltninger som f.eks. anmodninger om gennemførelse af forudgående høring, inspektioner og undersøgelser.
2. Medlemsstaterne drager omsorg for, at tilsynsmyndigheden træffer alle foranstaltninger, som er nødvendige for at besvare anmodninger fra en anden tilsynsmyndighed. Sådanne foranstaltninger kan bl.a. omfatte videregivelse af relevante oplysninger eller håndhævelsesforanstaltninger, der har til formål at stoppe eller forbyde behandling, der er i strid med dette direktiv, med det samme og senest en måned efter, at anmodningen er modtaget.
2a. Anmodningen om bistand skal indeholde alle nødvendige oplysninger, herunder formålet med og baggrunden for anmodningen. De udvekslede oplysninger må kun anvendes i forbindelse med den sag, der ligger til grund for anmodningen.
2b. En tilsynsmyndighed, der modtager en anmodning om bistand, kan ikke afvise at imødekomme denne, medmindre:
a) |
den ikke har kompetence til at behandle an modningen, eller |
b) |
imødekommelse af anmodningen er uforenelig med bestemmelserne i dette direktiv. |
3. Den anmodede tilsynsmyndighed underretter den anmodende tilsynsmyndighed om resultaterne eller om forløbet eller de foranstaltninger, der er iværksat for at imødekomme anmodningen fra den anmodende tilsynsmyndighed.
3a. Tilsynsmyndighederne fremsender hurtigst muligt elektronisk de oplysninger, som andre tilsynsmyndigheder anmoder om, i et standardformat.
3b. Der opkræves ikke gebyr for foranstaltninger, der iværksættes efter en anmodning om gensidig bistand. [Ændring 112]
Artikel 48a
Fælles operationer
1. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndighederne for at intensivere samarbejdet og den gensidige bistand gennemfører fælles håndhævelsesforanstaltninger og andre fælles operationer, hvor udpegede medlemmer eller medarbejdere fra andre medlemsstaters tilsynsmyndigheder deltager i operationer på en medlemsstats område.
2. Medlemsstaterne fastsætter bestemmelser om, at den kompetente tilsynsmyndighed, når registrerede i en eller flere andre medlemsstater sandsynligvis berøres af behandlingen, kan opfordres til at deltage i de fælles operationer. Den kompetente tilsynsmyndighed kan indbyde tilsynsmyndigheden i hver af disse medlemsstater til at deltage i de respektive operationer, og når den selv indbydes, besvarer den straks en tilsynsmyndigheds anmodning om deltagelse i operationerne.
3. Medlemsstaterne fastlægger de praktiske aspekter af specifikke samarbejdsaktioner. [Ændring 113]
Artikel 49
Det Europæiske Databeskyttelsesråds opgaver
1. Det Europæiske Databeskyttelsesråd, oprettet ved forordning (EU) nr. …/ 2014 , har følgende opgaver i forbindelse med behandling af personoplysninger inden for rammerne af dette direktiv:
a) |
at rådgive Kommissionen EU-institutionerne om ethvert spørgsmål vedrørende beskyttelse af personoplysninger i EU Unionen , herunder om ethvert forslag til ændring af dette direktiv |
b) |
efter anmodning fra Kommissionen, Europa-Parlamentet eller Rådet eller på eget initiativ eller efter anmodning fra et af rådets medlemmer, at undersøge ethvert spørgsmål vedrørende anvendelsen af bestemmelser vedtaget i medfør af dette direktiv og udarbejde retningslinjer, henstillinger og bedste praksis til de nationale tilsynsmyndigheder for at fremme en konsekvent anvendelse af disse bestemmelser , herunder anvendelse af håndhævelsesbeføjelser |
c) |
at gennemgå den praktiske anvendelse af de retningslinjer, henstillinger og bedste praksis, som er omhandlet i litra b), og aflægge regelmæssig rapport herom til Kommissionen |
d) |
at afgive udtalelse til Kommissionen om beskyttelsesniveauet i tredjelande eller internationale organisationer |
e) |
at fremme samarbejdet og en effektiv bilateral og multilateral udveksling af information og bedste praksis mellem tilsynsmyndighederne , herunder koordineringen af fælles aktiviteter, der iværksættes efter anmodning fra en eller flere tilsynsmyndigheder |
f) |
at fremme fælles uddannelsesprogrammer og udveksling af personale mellem tilsynsmyndighederne samt i påkommende tilfælde med tilsynsmyndighederne i tredjelande og internationale organisationers tilsynsmyndigheder |
g) |
at fremme udveksling af viden og dokumentation med databeskyttelsesmyndigheder over hele verden, herunder databeskyttelseslovgivning og -praksis |
ga) |
afgive udtalelse til Kommissionen i forbindelse med udarbejdelsen af delegerede retsakter og gennemførelsesretsakter på grundlag af dette direktiv. |
2. Når Parlamentet, Rådet eller Kommissionen anmoder Det Europæiske Databeskyttelsesråd om råd, kan den under hensyntagen til, hvor meget den pågældende sag haster, fastsætte en frist for, hvornår Det Europæiske Databeskyttelsesråds skal yde denne rådgivning. En sådan frist fastsættes under hensyntagen til, hvor meget den pågældende sag haster.
3. Det Europæiske Databeskyttelsesråd fremsender sine udtalelser, retningslinjer, henstillinger og bedste praksis til Kommissionen og til det udvalg, der er nævnt i artikel 57, stk. 1, og offentliggør dem.
4. Kommissionen underretter Det Europæiske Databeskyttelsesråd om sin opfølgning på udtalelser, retningslinjer, henstillinger og bedste praksis udarbejdet af Det Europæiske Databeskyttelsesråd. [Ændring 114]
KAPITEL VIII
KLAGEADGANG, ANSVAR OG SANKTIONER
Artikel 50
Retten til at indgive klage til tilsynsmyndigheden
1. Uden at det berører en eventuel administrativ klageadgang eller adgang til domstolsprøvelse, fastsætter medlemsstaterne bestemmelser om, at alle registrerede har ret til at indgive klage til tilsynsmyndigheden i enhver medlemsstat, hvis de finder, at behandlingen af deres personoplysninger ikke er i overensstemmelse med bestemmelserne vedtaget i medfør af dette direktiv.
2. Medlemsstaterne fastsætter bestemmelser om, at alle organer, organisationer eller sammenslutninger, der handler i offentlighedens interesse, der har til formål at beskytte registreredes rettigheder og interesser i forbindelse med beskyttelsen af deres personoplysninger, og som er etableret i overensstemmelse med en medlemsstats lovgivning, har ret til at indgive klage til en tilsynsmyndighed i enhver medlemsstat på vegne af en eller flere registrerede, hvis de vurderer, at den registreredes rettigheder i henhold til dette direktiv er blevet krænket som følge af behandlingen af deres personoplysninger. Organisationen eller sammenslutningen skal være behørigt bemyndiget af de(n) registrerede. [Ændring 115]
3. Medlemsstaterne fastsætter bestemmelser om, at alle de i stk. 2 omhandlede organer, organisationer eller sammenslutninger har ret til, uafhængigt af en klage fra den registrerede, at indgive klage til en tilsynsmyndighed i enhver medlemsstat, hvis de vurderer, at der har fundet et brud på persondatasikkerheden sted
Artikel 51
Retsmidler over for tilsynsmyndigheden
1. Medlemsstaterne fastsætter bestemmelser om enhver fysisk eller juridisk persons ret til domstolsprøvelse af afgørelser, der vedrører dem, truffet af en tilsynsmyndighed.
2. Medlemsstaterne fastsætter bestemmelser om, at enhver registreret har adgang til et retsmiddel, der forpligter tilsynsmyndigheden til at reagere på en klage, hvis der ikke træffes en afgørelse, som er nødvendig for at beskytte vedkommendes rettigheder, eller hvis tilsynsmyndigheden ikke inden for tre måneder underretter den registrerede om forløbet eller resultatet af klagen i henhold til artikel 45, stk. 1.
3. Medlemsstaterne fastsætter bestemmelser om, at en sag mod en tilsynsmyndighed skal anlægges ved domstolen i den medlemsstat, hvor tilsynsmyndigheden er etableret.
3a. Medlemsstaterne sikrer, at endelige kendelser fra den i denne artikel omhandlede domstol fuldbyrdes. [Ændring 116]
Artikel 52
Retsmidler over for den registeransvarlige eller registerføreren
1. Uden at det berører en eventuel administrativ klageadgang, herunder retten til at indgive klage til en tilsynsmyndighed, fastsætter medlemsstaterne bestemmelser om, at alle fysiske personer skal have adgang til domstolsprøvelse, hvis de finder, at deres rettigheder, som er fastsat i bestemmelser vedtaget i medfør af dette direktiv, er blevet krænket som følge af behandlingen af deres personoplysninger i strid med disse bestemmelser.
1a. Medlemsstaterne sikrer, at endelige kendelser fra den i denne artikel omhandlede domstol fuldbyrdes. [Ændring 117]
Artikel 53
Fælles regler for retssager
1. Medlemsstaterne fastsætter bestemmelser om, at alle organer, organisationer eller sammenslutninger, der er omhandlet i artikel 50, stk. 2, har ret til at udøve de rettigheder, der er omhandlet i artikel 51 og, 52 på vegne af og 54 , efter bemyndigelse fra en eller flere registrerede. [Ændring 118]
2. Medlemsstaterne fastsætter bestemmelser om, at hver tilsynsmyndighed har ret til at deltage i retssager og anlægge sager ved en domstol med det formål at håndhæve bestemmelser vedtaget i medfør af dette direktiv eller sikre en ensartet beskyttelse af personoplysninger i Unionen. [Ændring 119]
3. Medlemsstaterne sikrer, at indgivelse af søgsmål i henhold til national ret kan føre til hurtig vedtagelse af forholdsregler, herunder foreløbige forholdsregler, for at bringe den påståede overtrædelse til ophør og hindre, at der opstår yderligere skade for de berørte interesser.
Artikel 54
Erstatningsansvar og ret til erstatning
1. Medlemsstaterne fastsætter bestemmelser om, at enhver, som har lidt skade, herunder ikke-økonomiske tab, som følge af en ulovlig behandling eller enhver anden handling, der er uforenelig med de nationale bestemmelser, der vedtages i medfør af dette direktiv, har ret til at kræve erstatning for den forvoldte skade fra den registeransvarlige eller registerføreren. [Ændring 120]
2. Når flere registeransvarlige eller registerførere er involveret i behandlingen, hæfter den enkelte registeransvarlige eller registerfører solidarisk for hele erstatningsbeløbet.
3. Den registeransvarlige eller registerføreren kan helt eller delvis fritages for erstatningsansvar for skade, hvis den registeransvarlige eller registerføreren beviser, at vedkommende ikke er skyld i den begivenhed, der medførte skaden.
Artikel 55
Sanktioner
Medlemsstaterne fastsætter bestemmelser om sanktioner for overtrædelse af de nationale bestemmelser, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger til at sikre gennemførelsen heraf. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.
Kapitel VIIIa
Videregivelse af personoplysninger til andre parter
Artikel 55a
Videregivelse af personoplysninger til andre myndigheder eller private i Unionen
1. Medlemsstaterne sikrer, at den registeransvarlige ikke videregiver eller pålægger registerføreren at videregive personoplysninger til fysiske eller juridiske personer, som ikke er underlagt bestemmelser, der er vedtaget i medfør af dette direktiv, medmindre:
a) |
videregivelsen sker i overensstemmelse med EU-lovgivningen eller medlemsstatslovgivning, og |
b) |
modtageren er hjemmehørende i en af Den Europæiske Unions medlemsstater, og |
c) |
den registreredes specifikke legitime interesser ikke forhindrer en videregivelse, og |
d) |
videregivelsen er nødvendig i en specifik sag for den registeransvarlige, der videregiver personoplysningerne i forbindelse med:
|
2. Den registeransvarlige underretter modtageren om, hvilke formål personoplysningerne udelukkende må anvendes til.
3. Den registeransvarlige underretter tilsynsmyndigheden om sådanne videregivelser.
4. Den registeransvarlige underretter modtageren om begrænsninger i behandlingen og sikrer, at disse overholdes. [Ændring 121]
KAPITEL IX
DELEGEREDE RETSAKTER OG GENNEMFØRELSESFORANSTALTNINGER
Artikel 56
Udøvelse af de delegerede beføjelser
1. Beføjelsen til at vedtage delegerede retswakter tillægges Kommissionen på de i denne artikel fastlagte betingelser.
2. Beføjelsen til at vedtage delegerede retsakter, jf. artikel 25a, stk. 7 , artikel 28, stk. 5, artikel 34, stk. 3, og artikel 34, stk. 5, tillægges Kommissionen for en ubegrænset periode fra datoen for dette direktivs ikrafttræden.
3. Den i artikel 25a, stk. 7, artikel 28, stk. 5, artikel 34, stk. 3, og artikel 34, stk. 5, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer de i den pågældende afgørelse anførte delegerede beføjelser til ophør. Afgørelsen får virkning fra dagen efter offentliggørelsen i Den Europæiske Unions Tidende eller fra en senere dato, der fastsættes nærmere i afgørelsen. Den berører ikke gyldigheden af de delegerede retsakter, der allerede er i kraft.
4. Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet meddelelse herom.
5. En delegeret retsakt vedtaget i henhold til artikel 25a, stk. 7, artikel 28, stk. 5, artikel 34, stk. 3, og artikel 34, stk. 5, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på to seks måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet eller Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har informeret Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med to seks måneder på Europa-Parlamentets eller Rådets initiativ. [Ændring 122]
Artikel 56a
Frist for vedtagelse af delegerede retsakter
Kommissionen vedtager de delegerede retsakter i henhold til artikel 25a, stk. 7, og artikel 28, stk. 5, senest den … [seks måneder inden datoen i artikel 62, stk. 1]. Kommissionen kan forlænge fristen i nærværende stk. med seks måneder. [Ændring 123]
Artikel 57
Udvalgsprocedure
1. Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.
2. Når der henvises til dette stykke, anvendes artikel 5 i forordning (EU) nr. 182/2011.
3. Når der henvises til dette stykke, anvendes artikel 8 i forordning (EU) nr. 182/2011 sammenholdt med dennes artikel 5. [Ændring 124]
KAPITEL XI
AFSLUTTENDE BESTEMMELSER
Artikel 58
Ophævelse
1. Rammeafgørelse 2008/977/RIA ophæves.
2. Henvisninger til den ophævede rammeafgørelse, der er omhandlet i stk. 1, betragtes som henvisninger til dette direktiv.
Artikel 59
Forbindelse til tidligere EU-retsakter inden for retligt samarbejde i straffesager og politisamarbejde
De specifikke bestemmelser til beskyttelse af personoplysninger i forbindelse med de kompetente myndigheders behandling inden for rammerne af dette direktiv af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, som forekommer i EU-retsakter, der er vedtaget før vedtagelsen af dette direktiv, og som regulerer behandlingen af personoplysninger mellem medlemsstaterne og medlemsstaternes udpegede myndigheders adgang til informationssystemer, der er oprettet i henhold til traktaterne, finder uændret anvendelse.
Artikel 60
Forbindelse til tidligere indgåede internationale aftaler inden for retligt samarbejde i straffesager og politisamarbejde
Internationale aftaler, som medlemsstaterne har indgået forud for dette direktivs ikrafttræden, ændres om nødvendigt inden fem år fra dette direktivs ikrafttræden.
Artikel 61
Evaluering
1. Kommissionen evaluerer efter indhentning af en udtalelse fra Det Europæiske Databeskyttelsesråd anvendelsen og gennemførelsen af dette direktiv . Det samordnes i nært samarbejde med medlemsstaterne og omfatter anmeldte og uanmeldte besøg. Europa-Parlamentet og Rådet holdes informerede under hele forløbet og har adgang til de relevante dokumenter.
2. Kommissionen gennemgår senest tre to år efter dette direktivs ikrafttræden andre vedtagne EU-retsakter vedrørende kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, navnlig de i artikel 59 nævnte vedtagne EU-retsakter, for at vurdere behovet for at tilpasse dem til dette direktiv og fremsætte de forslag til ændring af disse retsakter, der måtte være nødvendige for at sikre en konsekvent tilgang til beskyttelse af personoplysninger og fremsætter hensigtsmæssige forslag med henblik på at sikre konsekvente og ensartede retlige bestemmelser vedrørende kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner inden for rammerne af dette direktiv.
2a. Kommissionen forelægger senest to år efter dette direktivs ikrafttræden et hensigtsmæssig forslag til en revision af de lovgivningsmæssige rammer for behandling af personoplysninger foretaget af Unionens institutioner, organer, kontorer og agenturer med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner med henblik på at sikre konsekvente og ensartede retsregler vedrørende den grundlæggende ret til beskyttelse af personoplysninger i Unionen.
3. Kommissionen forelægger regelmæssigt Europa-Parlamentet og Rådet rapporter om evalueringen og gennemgangen af dette direktiv i henhold til stk. 1. De første rapporter forelægges senest fire år efter dette direktivs ikrafttræden. Efterfølgende rapporter forelægges hvert fjerde år derefter. Kommissionen forelægger efter behov relevante forslag til ændring af dette direktiv og tilpasning af andre retsakter. Rapporten offentliggøres. [Ændring 125]
Artikel 62
Gennemførelse
1. Medlemsstaterne vedtager og offentliggør senest den … (*1) de love og administrative bestemmelser, der er nødvendige for at efterkomme dette direktiv. De underretter straks Kommissionen herom.
De anvender disse love og bestemmelser fra den … (*1).
Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for henvisningen fastsættes af medlemsstaterne.
2. Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.
Artikel 63
Ikrafttræden og anvendelse
Dette direktiv træder i kraft dagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Artikel 64
Adressater
Dette direktiv er rettet til medlemsstaterne.
Udfærdiget i …
På Europa-Parlamentets vegne
Formand
På Rådets vegne
Formand
(1) EUT C 192 af 30.6.2012, s. 7.
(2) Europa-Parlamentets holdning af 12.3.2014.
(3) Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31).
(4) Rådets rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger i forbindelse med retligt samarbejde i kriminalsager og politisamarbejde (EUT L 350 af 30.12.2008, s. 60).
(5) Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).
(6) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser ( EUT L 55 af 28.2.2011, s. 13).
(7) Europa-Parlamentets og Rådets direktiv 2011/93/EU af 13. december 2011 om bekæmpelse af seksuelt misbrug og seksuel udnyttelse af børn og børnepornografi og om erstatning af Rådets rammeafgørelse 2004/68/RIA (EUT L 335 af 17.12.2011, s. 1).
(8) EFT L 176 af 10.7.1999, s. 36.
(9) EUT L 53 af 27.2.2008, s. 52.
(10) EUT L 160 af 18.6.2011, s. 21.
(11) EUT C 369 af 17.12.2011, s. 14.
(*1) To år efter dette direktivs ikrafttræden.