Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger
EF-Tidende nr. L 008 af 12/01/2001 s. 0001 - 0022
Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR - under henvisning til traktaten om oprettelse af Det Europæiske Fællesskab, særlig artikel 286, under henvisning til forslag fra Kommissionen(1), under henvisning til udtalelse fra Det Økonomiske og Sociale Udvalg(2), efter proceduren i traktatens artikel 251(3), og ud fra følgende betragtninger: (1) Traktatens artikel 286 bestemmer, at fællesskabsretsakter om beskyttelse af fysiske personer i forbindelse med behandling og fri udveksling af personoplysninger gælder for fællesskabsinstitutionerne og -organerne. (2) En fuldt udviklet ordning for beskyttelse af personoplysninger kræver ikke blot, at der fastlægges rettigheder for de registrerede og forpligtelser for dem, som behandler personoplysningerne, men også, at der indføres passende sanktioner over for dem, som ikke overholder bestemmelserne, og at der oprettes en uafhængig kontrolmyndighed. (3) I henhold til traktatens artikel 286, stk. 2, skal der oprettes en uafhængig kontrolinstans, der skal have ansvaret for at overvåge gennemførelsen af sådanne fællesskabsretsakter i Fællesskabets institutioner og organer. (4) I henhold til traktatens artikel 286, stk. 2, skal der om nødvendigt vedtages andre relevante bestemmelser. (5) En forordning er nødvendig for at give den enkelte rettigheder, der kan håndhæves retsligt, og for at gøre det klart, hvilke forpligtelser der påhviler de registeransvarlige inden for fællesskabsinstitutionerne og -organerne i forbindelse med behandling af personoplysninger, samt for at oprette en uafhængig kontrolmyndighed, som skal have ansvaret for overvågningen af behandlingen af personoplysninger i fællesskabsinstitutionerne og -organerne. (6) Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger, der er nedsat ved artikel 29 i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger(4), er blevet hørt. (7) De personer, der kan beskyttes, er dem, hvis personoplysninger behandles af fællesskabsinstitutioner eller -organer, uanset hvilken sammenhæng der er tale om, f.eks. fordi de pågældende er ansat i disse institutioner eller organer. (8) Principperne om databeskyttelse bør gælde for alle former for oplysninger om en identificeret eller identificerbar person. Til bestemmelse af, om en person er identificerbar, bør alle de midler tages i betragtning, der inden for rimelighedens grænser vil kunne benyttes af enten den registeransvarlige eller enhver anden person til at identificere den pågældende person. Principperne om beskyttelse bør ikke gælde personoplysninger, der er gjort anonyme på en sådan måde, at den registrerede ikke længere er identificerbar. (9) Direktiv 95/46/EF kræver af medlemsstaterne, at de sikrer beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger for at sikre fri udveksling af personoplysninger i Fællesskabet. (10) Europa-Parlamentets og Rådets direktiv 97/66/EF af 15. december 1997 om behandling af personoplysninger og beskyttelse af privatlivets fred inden for telesektoren(5) uddyber og supplerer direktiv 95/46/EF med hensyn til behandling af personoplysninger inden for telesektoren. (11) Forskellige andre fællesskabsforanstaltninger, bl.a. dem, der er vedtaget som led i den gensidige bistand mellem medlemsstaternes offentlige myndigheder og Kommissionen, tager ligeledes sigte på at uddybe og supplere direktiv 95/46/EF inden for de sektorer, de vedrører. (12) Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Fællesskabet. (13) Sigtet er at garantere både en effektiv overholdelse af reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder og fri udveksling af personoplysninger mellem medlemsstaterne og fællesskabsinstitutionerne og -organerne og mellem fællesskabsinstitutionerne og -organerne indbyrdes som led i udøvelsen af deres respektive beføjelser. (14) For at opnå dette bør der vedtages bestemmelser, som er bindende for fællesskabsinstitutionerne og -organerne. Sådanne bestemmelser bør gælde for enhver form for behandling af personoplysninger, der finder sted i alle fællesskabsinstitutioner og -organer, i det omfang denne behandling er iværksat som led i udøvelsen af aktiviteter, som helt eller delvis hører under fællesskabsrettens anvendelsesområde. (15) Når denne behandling finder sted i fællesskabsinstitutioner og -organer som led i udøvelsen af aktiviteter, som ikke hører under denne forordnings anvendelsesområde, navnlig de aktiviteter, der er omhandlet i afsnit V og VI i traktaten om Den Europæiske Union, sikres beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder under overholdelse af artikel 6 i traktaten om Den Europæiske Union. Aktindsigt, herunder betingelserne for aktindsigt i dokumenter, som indeholder personoplysninger, hører under de bestemmelser, der er vedtaget på grundlag af traktatens artikel 255, hvis anvendelsesområde også omfatter afsnit V og VI i traktaten om Den Europæiske Union. (16) Disse bestemmelser finder ikke anvendelse på organer, der er oprettet uden for Fællesskabernes rammer, og den europæiske tilsynsførende for databeskyttelse er ikke bemyndiget til at kontrollere sådanne organers behandling af personoplysninger. (17) En effektiv beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionen forudsætter sammenhæng mellem de regler og procedurer, som finder anvendelse på de aktiviteter, der henhører under de forskellige retlige rammer. Første etape i denne proces omfatter udarbejdelse af grundlæggende principper for beskyttelse af personoplysninger på området retligt samarbejde i kriminalsager og politi- og toldsamarbejde samt oprettelse af et sekretariat for de fælles kontrolmyndigheder, der er nedsat ved Europol-konventionen, konventionen om brug af informationsteknologi på toldområdet og Schengen-konventionen. (18) Denne forordning bør ikke berøre medlemsstaternes rettigheder og forpligtelser i henhold til direktiv 95/46/EF og 97/66/EF. Den har ikke til formål at ændre de procedurer og den praksis, der retmæssigt er gennemført af den enkelte medlemsstat med hensyn til nationens sikkerhed, forebyggelse af uro samt forebyggelse og efterforskning af, sikring af bevis for og retsforfølgning af straffelovsovertrædelser under overholdelse af bestemmelserne i protokollen vedrørende De Europæiske Fællesskabers privilegier og immuniteter samt folkeretten. (19) Fællesskabsinstitutionerne og -organerne skal henvende sig til de ansvarlige myndigheder i medlemsstaterne, når de mener, at der bør foretages indgreb i meddelelseshemmeligheden på deres telekommunikationsnet i overensstemmelse med de gældende nationale bestemmelser. (20) De bestemmelser, der gælder for fællesskabsinstitutionerne og -organerne, bør svare til dem, der gælder i forbindelse med harmonisering af national lovgivning eller ved gennemførelse af andre af Fællesskabets politikker, f.eks. inden for gensidig bistand. Det kan dog være nødvendigt at uddybe og supplere bestemmelserne for at gennemføre beskyttelsen i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne. (21) Dette gælder såvel for de rettigheder, der tilkommer de fysiske personer, hvis personoplysninger gøres til genstand for behandling, som for de forpligtelser, der påhviler de fællesskabsinstitutioner og -organer, der udfører behandlingen, og for de beføjelser, der tildeles den uafhængige kontrolmyndighed, som skal have ansvaret for at overvåge, at denne forordning anvendes korrekt. (22) De rettigheder, der tildeles den registrerede, og udøvelsen af disse rettigheder bør ikke berøre de forpligtelser, der påhviler den registeransvarlige. (23) Den uafhængige kontrolmyndighed udøver sine kontrolopgaver i overensstemmelse med traktaten og under overholdelse af menneskerettighederne og de grundlæggende frihedsrettigheder. Den udfører sine undersøgelser under overholdelse af protokollen vedrørende De Europæiske Fællesskabers privilegier og immuniteter og vedtægten for tjenestemænd i De Europæiske Fællesskaber og ansættelsesvilkårene for de øvrige ansatte i Fællesskaberne. (24) Der bør vedtages passende tekniske foranstaltninger, der gør det muligt via den uafhængige kontrolmyndighed at få adgang til de databeskyttelsesansvarliges registre over behandlinger. (25) Den uafhængige kontrolmyndigheds afgørelser vedrørende undtagelser fra, garantier for, godkendelse af eller betingelser for behandling af personoplysninger, således som de er defineret i denne forordning, offentliggøres i årsberetningen. Ud over offentliggørelsen af årsberetningen kan den uafhængige kontrolmyndighed offentliggøre rapporter om specifikke emner. (26) Visse former for behandling, der kan udgøre en særlig risiko for de registreredes rettigheder og frihedsrettigheder, kontrolleres på forhånd af den uafhængige kontrolmyndighed. Den udtalelse, der afgives i forbindelse med denne forhåndskontrol, herunder den udtalelse, der følger af en manglende besvarelse inden for den fastsatte frist, bør ikke berøre den uafhængige kontrolmyndigheds muligheder for senere at udøve sine beføjelser med hensyn til den pågældende behandling. (27) Behandling af personoplysninger, som sker til udførelse af de opgaver, fællesskabsinstitutionerne og -organerne udfører i samfundets interesse, omfatter enhver behandling af personoplysninger, der er nødvendig af hensyn til administrationen af disse institutioner og organer og deres funktion. (28) I en række tilfælde fastsættes det i denne forordning, at tilladelse til behandling af personoplysninger skal følge af fællesskabsretten eller bestemmelser til gennemførelse heraf. Dog kan den europæiske tilsynsførende, hvis sådanne bestemmelser ikke findes, og indtil de vedtages, midlertidigt give tilladelse til behandling af sådanne personoplysninger på betingelse af, at der vedtages de fornødne garantier. Med henblik herpå tager den tilsynsførende især hensyn til de bestemmelser, medlemsstaterne har vedtaget for tilsvarende tilfælde. (29) Disse tilfælde vedrører behandling af personoplysninger vedrørende racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger om helbredsforhold og seksuelle forhold, som er nødvendige af hensyn til overholdelsen af den registeransvarliges forpligtelser og rettigheder på beskæftigelsesområdet eller af grunde, der vedrører hensynet til vigtige samfundsinteresser. Det drejer sig endvidere om behandling af personoplysninger vedrørende lovovertrædelser, domfældelser i straffesager og andre retsfølger af en strafbar handling, eller om tilladelse til at lade den registrerede være undergivet en afgørelse, der har retsvirkning for ham, eller som berører ham i væsentlig grad, og som alene er truffet på grundlag af en edb-baseret behandling af personoplysninger med henblik på at vurdere bestemte aspekter af hans personlige forhold. (30) For at forhindre ikke-autoriseret brug kan det være nødvendigt at føre tilsyn med de edb-net, der drives under en fællesskabsinstitutions eller et fællesskabsorgans ansvar. Den europæiske tilsynsførende for databeskyttelse fastsætter, hvorvidt og på hvilke betingelser dette kan ske. (31) Ansvar for overtrædelse af denne forordning falder ind under traktatens artikel 288, stk. 2. (32) En eller flere databeskyttelsesansvarlige påser i hver fællesskabsinstitution og hvert fællesskabsorgan, at bestemmelserne i denne forordning finder anvendelse, og rådgiver de registeransvarlige under opfyldelsen af deres forpligtelser. (33) Rådets forordning (EF) nr. 322/97 af 17. februar 1997 om EF-statistikker(6) gælder i henhold til dens artikel 21 med forbehold af direktiv 95/46/EF. (34) Rådets forordning (EF) nr. 2533/98 af 23. november 1998 om Den Europæiske Centralbanks indsamling af statistisk information(7) gælder i henhold til dens artikel 8, stk. 8, med forbehold af direktiv 95/46/EF. (35) Rådets forordning (Euratom, EØF) nr. 1588/90 af 11. juni 1990 om fremsendelse af fortrolige statistiske oplysninger til De Europæiske Fællesskabers Statistiske Kontor(8) berører ikke særlige fællesskabsbestemmelser eller nationale bestemmelser om hemmeligholdelse bortset fra hemmeligholdelse af statistiske oplysninger, jf. dens artikel 1, stk. 2. (36) Denne forordning har ikke til formål at begrænse medlemsstaternes råderum for så vidt angår udfærdigelse af deres nationale lovgivning om databeskyttelse, som vedtages i medfør af artikel 32 i direktiv 95/46/EF, i overensstemmelse med traktatens artikel 249 - UDSTEDT FØLGENDE FORORDNING: KAPITEL I ALMINDELIGE BESTEMMELSER Artikel 1 Forordningens formål 1. De institutioner og organer, som er oprettet ved eller på grundlag af traktaterne om oprettelse af De Europæiske Fællesskaber, i det følgende benævnt "fællesskabsinstitutioner og -organer", sikrer i overensstemmelse med denne forordning beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger, uden hverken at begrænse eller forhindre den frie udveksling af personoplysninger indbyrdes eller til modtagere, der er undergivet den nationale lovgivning i medlemsstaterne, der er vedtaget i medfør af direktiv 95/46/EF. 2. Den uafhængige kontrolmyndighed, som oprettes ved denne forordning (i det følgende benævnt "europæisk tilsynsførende for databeskyttelse"), påser, at denne forordnings bestemmelser overholdes i forbindelse med alle de behandlinger af personoplysninger, der finder sted i en fællesskabsinstitution eller et fællesskabsorgan. Artikel 2 Definitioner I denne forordning forstås ved: a) "personoplysninger": enhver form for information om en identificeret eller identificerbar fysisk person (i det følgende benævnt "den registrerede"); ved identificerbar person forstås en person, som direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet b) "behandling af personoplysninger" (i det følgende benævnt "behandling"): enhver operation eller række af operationer, med eller uden brug af elektronisk databehandling, som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver form for overdragelse, sammenstilling eller samkøring samt blokering, sletning eller tilintetgørelse c) "register med personoplysninger" (i det følgende benævnt "register"): enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt eller decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag d) "den registeransvarlige": den fællesskabsinstitution eller det fællesskabsorgan, det generaldirektorat, det kontor eller enhver anden organisatorisk enhed, som alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; er formålet med og hjælpemidlerne ved behandlingen fastlagt ved en bestemt fællesskabsretsakt, kan den registeransvarlige eller de specifikke kriterier for udpegning af denne fremgå af denne fællesskabsretsakt e) "registerfører": den fysiske eller juridiske person, offentlige myndighed, instans eller ethvert andet organ, som behandler personoplysninger på den registeransvarliges vegne f) "tredjemand": en anden fysisk eller juridisk person, offentlig myndighed eller instans eller ethvert andet organ end den registrerede, den registeransvarlige, registerføreren og de personer under den registeransvarliges eller registerførerens direkte myndighed, som er beføjet til at behandle personoplysningerne g) "modtager": den fysiske eller juridiske person, offentlige myndighed eller instans eller ethvert andet organ, hvortil personoplysningerne meddeles, uanset om der er tale om en tredjemand; myndigheder, som vil kunne få meddelt personoplysninger som led i en særlig undersøgelse, betragtes ikke som modtagere h) "den registreredes samtykke": enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilliger i, at personoplysninger, der vedrører den pågældende selv, gøres til genstand for behandling. Artikel 3 Anvendelsesområde 1. Denne forordning anvendes på behandling af personoplysninger, som finder sted i samtlige fællesskabsinstitutioner og -organer, i det omfang denne behandling er iværksat som led i udøvelsen af aktiviteter, der helt eller delvis hører under fællesskabsrettens anvendelsesområde. 2. Denne forordning anvendes på behandling af personoplysninger, som helt eller delvis foretages ved hjælp af edb, samt på ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. KAPITEL II ALMINDELIGE BETINGELSER FOR LOVLIG BEHANDLING AF PERSONOPLYSNINGER AFDELING 1 PRINCIPPER VEDRØRENDE OPLYSNINGERNES PÅLIDELIGHED Artikel 4 Oplysningernes pålidelighed 1. Personoplysninger: a) skal behandles loyalt og lovligt b) skal indsamles til udtrykkeligt angivne og legitime formål og må ikke senere gøres til genstand for behandling, som er uforenelig med disse formål. Senere behandling til historiske, statistiske eller videnskabelige formål anses ikke for at være uforenelig med disse formål, såfremt den registeransvarlige giver de fornødne garantier, især til sikring af, at personoplysningerne ikke behandles til andre formål, og at de ikke anvendes til støtte for foranstaltninger eller beslutninger, der berører bestemte enkeltpersoner c) skal være tilstrækkelige og relevante og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil de indsamles, og de formål, hvortil de senere behandles d) skal være korrekte og om nødvendigt ajourførte; der træffes alle rimelige foranstaltninger for at slette eller berigtige personoplysninger, der er urigtige eller ufuldstændige i forhold til de formål, hvortil de indsamles, eller de formål, hvortil de senere behandles e) skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne indsamles, eller de formål, hvortil de senere behandles. Fællesskabsinstitutionen eller -organet fastsætter, at personoplysninger, der til historiske, statistiske eller videnskabelige formål skal opbevares i længere tid end ovennævnte periode, enten kun opbevares i en form, der gør dem anonyme, eller, hvis dette er umuligt, kun opbevares, såfremt den pågældende persons identitet kryptograferes. Personoplysningerne må under ingen omstændigheder benyttes til andre formål end historiske, statistiske eller videnskabelige. 2. Det påhviler den registeransvarlige at sikre, at stk. 1 overholdes. AFDELING 2 KRITERIER FOR LEGITIM BEHANDLING AF PERSONOPLYSNINGER Artikel 5 Lovlig behandling af personoplysninger Behandling af personoplysninger må kun finde sted, hvis: a) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse på grundlag af traktaterne om oprettelse af De Europæiske Fællesskaber eller andre retsakter vedtaget på grundlag af disse traktater, eller som retmæssigt hører under offentlig myndighedsudøvelse, som er pålagt fællesskabsinstitutionen eller -organet eller en tredjemand, til hvem personoplysningerne videregives, eller b) behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den registeransvarlige, eller c) behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelsen af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan kontrakt, eller d) den registrerede utvetydigt har givet sit samtykke, eller e) behandlingen er nødvendig for at beskytte den registreredes vitale interesser. Artikel 6 Ændring af formålet Med forbehold af artikel 4, 5 og 10: 1) Må behandling af personoplysninger til andre formål end dem, hvortil de indsamles, kun finde sted, hvis ændring af behandlingsformålet udtrykkeligt er tilladt i henhold til fællesskabsinstitutionens eller -organets interne regler. 2) Må personoplysninger, der alene indsamles med det formål at varetage sikkerheden i eller føre kontrol med behandlingssystemer eller behandlingsoperationer, ikke anvendes til andre formål, med undtagelse af forebyggelse og efterforskning af, sikring af bevis for og retsforfølgning af alvorlige straffelovsovertrædelser. Artikel 7 Videregivelse af personoplysninger inden for og mellem fællesskabsinstitutioner og -organer Med forbehold af artikel 4, 5, 6 og 10: 1) Må personoplysninger kun videregives inden for eller til andre fællesskabsinstitutioner og -organer, hvis de er nødvendige af hensyn til den retmæssige udførelse af opgaver, der hører under modtagerens kompetenceområde. 2) Bærer både den registeransvarlige og modtageren ansvaret for lovligheden af videregivelsen af personoplysningerne, når denne videregivelse finder sted efter anmodning fra modtageren. Den registeransvarlige har pligt til at kontrollere modtagerens kompetenceområde og til at foretage en foreløbig vurdering af nødvendigheden af videregivelsen af personoplysningerne. Hvis der opstår tvivl om nødvendigheden, skal den registeransvarlige indhente yderligere information hos modtageren. Modtageren skal sikre, at nødvendigheden af videregivelsen af personoplysningerne efterfølgende kan kontrolleres. 3) Må modtageren kun gøre personoplysningerne til genstand for behandling til de formål, hvortil de er videregivet. Artikel 8 Videregivelse af personoplysninger til modtagere, som ikke er fællesskabsinstitutioner eller -organer, men som er undergivet direktiv 95/46/EF Med forbehold af artikel 4, 5, 6 og 10 må personoplysninger kun videregives til modtagere, som er undergivet den nationale lovgivning, der er vedtaget i medfør af direktiv 95/46/EF: a) hvis modtageren godtgør, at personoplysningerne er nødvendige for at udføre en opgave, der er i samfundets interesse, eller for at udøve offentlig myndighed, eller b) hvis modtageren godtgør nødvendigheden af videregivelsen af personoplysningerne, og der ikke er grund til at formode, at den registreredes legitime interesser vil kunne lide skade derved. Artikel 9 Videregivelse af personoplysninger til modtagere, som ikke er fællesskabsinstitutioner eller -organer, og som ikke er undergivet direktiv 95/46/EF 1. Videregivelse af personoplysninger til modtagere, som ikke er fællesskabsinstitutioner eller -organer, og som ikke er undergivet national lovgivning, der er vedtaget i medfør af direktiv 95/46/EF, må kun finde sted, hvis modtagerens land eller den modtagende internationale organisation sikrer et tilstrækkeligt beskyttelsesniveau, og personoplysningerne alene videregives med henblik på udførelse af opgaver, der ligger inden for den registeransvarliges kompetenceområde. 2. Vurderingen af, om beskyttelsesniveauet i det pågældende tredjeland eller den pågældende internationale organisation er tilstrækkeligt, sker på grundlag af alle de forhold, der har indflydelse på videregivelse eller en kategori af videregivelse af oplysninger. Til grund for vurderingen lægges navnlig personoplysningernes art, den eller de påtænkte behandlingers formål og varighed, det endelige bestemmelsessted (tredjeland eller international organisation), de retsregler (almindelige regler eller sektorregler), der er gældende i det pågældende tredjeland eller gælder for den pågældende internationale organisation, samt de regler for god forretningsskik og de sikkerhedsforanstaltninger, der gælder i dette tredjeland eller denne internationale organisation. 3. Fællesskabsinstitutionerne og -organerne underretter Kommissionen og den europæiske tilsynsførende for databeskyttelse, hvis de finder, at det pågældende tredjeland eller den pågældende internationale organisation ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med stk. 2. 4. Kommissionen underretter medlemsstaterne om de i stk. 3 omhandlede tilfælde. 5. Fællesskabsinstitutionerne og -organerne træffer de foranstaltninger, der er nødvendige for at efterkomme de afgørelser, Kommissionen træffer, når den ved anvendelse af artikel 25, stk. 4 og 6, i direktiv 95/46/EF konstaterer, at et tredjeland eller en international organisation sikrer eller ikke sikrer et tilstrækkeligt beskyttelsesniveau. 6. Uanset stk. 1 og 2 kan fællesskabsinstitutionen eller -organet videregive personoplysninger, hvis: a) den registrerede utvetydigt har givet sit samtykke til den påtænkte videregivelse, eller b) videregivelsen er nødvendig af hensyn til opfyldelsen af en kontrakt mellem den registrerede og den registeransvarlige eller af hensyn til gennemførelsen af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan kontrakt, eller c) videregivelsen er nødvendig af hensyn til indgåelsen eller udførelsen af en kontrakt, der i den registreredes interesse er indgået mellem den registeransvarlige og tredjemand, eller d) videregivelsen er nødvendig eller følger af retsregler for at beskytte en vigtig samfundsinteresse eller for, at et retskrav kan fastslås, gøres gældende eller forsvares ved en domstol, eller e) videregivelsen er nødvendig for at beskytte den registreredes vitale interesser, eller f) videregivelsen finder sted fra et register, som ifølge fællesskabsretten er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for enhver, der kan godtgøre at have en legitim interesse heri, i det omfang de i fællesskabsretten fastsatte betingelser for offentlig tilgængelighed er opfyldt i det pågældende tilfælde. 7. Med forbehold af stk. 6 kan den europæiske tilsynsførende for databeskyttelse give tilladelse til videregivelse eller en kategori af videregivelse af personoplysninger til et tredjeland eller en organisation, som ikke sikrer et tilstrækkeligt beskyttelsesniveau i henhold til stk. 1 og 2, hvis den registeransvarlige giver tilstrækkelige garantier med hensyn til beskyttelse af privatlivets fred og af fysiske personers grundlæggende rettigheder og frihedsrettigheder, samt med hensyn til udøvelsen af de dermed forbundne rettigheder; disse garantier kan bl.a. fremgå af relevante kontraktbestemmelser. 8. Fællesskabsinstitutionerne og -organerne underretter den europæiske tilsynsførende for databeskyttelse om de kategorier af tilfælde, hvor de har anvendt stk. 6 og 7. AFDELING 3 SÆRLIGE KATEGORIER AF BEHANDLINGER Artikel 10 Behandling vedrørende særlige kategorier af personoplysninger 1. Behandling af personoplysninger vedrørende racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og behandling af personoplysninger vedrørende helbredsforhold og seksuelle forhold er forbudt. 2. Stk. 1 finder ikke anvendelse, hvis: a) den registrerede udtrykkeligt har givet sit samtykke til en sådan behandling, medmindre det i fællesskabsinstitutionens eller -organets interne regler er fastsat, at forbuddet i stk. 1 ikke kan ophæves ved den registreredes samtykke, eller b) behandlingen er nødvendig af hensyn til overholdelsen af den registeransvarliges forpligtelser og specifikke rettigheder på det arbejdsretlige område, i det omfang dette er tilladt i henhold til traktaterne om oprettelse af De Europæiske Fællesskaber eller andre retsakter vedtaget på grundlag af disse traktater, eller, om nødvendigt, i det omfang behandlingen er godkendt af den europæiske tilsynsførende for databeskyttelse og under forudsætning af de fornødne garantier, eller c) behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den pågældende fysisk eller retligt ikke er i stand til at give sit samtykke, eller d) behandlingen vedrører personoplysninger, som klart er offentliggjort af den registrerede, eller den er nødvendig for, at et retskrav kan fastslås, gøres gældende eller forsvares ved en domstol, eller e) behandlingen foretages af et almennyttigt organ, som er en organisatorisk enhed, der er integreret i en fællesskabsinstitution eller et fællesskabsorgan, og som ikke er omfattet af de nationale bestemmelser om beskyttelse af oplysninger i medfør af artikel 4 i direktiv 95/46/EF, og hvis sigte er politisk, filosofisk, religiøs eller fagforeningsmæssigt, såfremt behandlingen sker som led i organets retmæssige aktiviteter og med de fornødne garantier, samt på betingelse af, at behandlingen alene vedrører organets medlemmer eller personer, der på grund af organets formål er i regelmæssig kontakt med det, og at personoplysningerne ikke videregives til tredjemand uden den registreredes samtykke. 3. Stk. 1 finder ikke anvendelse, hvis behandlingen af personoplysningerne er nødvendig med henblik på forebyggende lægeundersøgelser, medicinske diagnoser, sygepleje eller patientbehandling eller forvaltning af læge- og sundhedstjenester, og hvis behandlingen af disse personoplysninger foretages af en sundhedsperson, der har tavshedspligt, eller af en anden person med en tilsvarende tavshedspligt. 4. Med forbehold af tilstrækkelige garantier og af grunde, der vedrører hensynet til vigtige samfundsinteresser, kan der i traktaterne om oprettelse af De Europæiske Fællesskaber eller i andre retsakter vedtaget på grundlag af disse traktater eller, om nødvendigt, af den europæiske tilsynsførende for databeskyttelse fastsættes andre undtagelser end dem, der er nævnt i stk. 2. 5. Behandling af personoplysninger om lovovertrædelser, domfældelser i straffesager og andre retsfølger af en strafbar handling må kun foretages, hvis det er tilladt i henhold til traktaterne om oprettelse af De Europæiske Fællesskaber eller andre retsakter vedtaget på grundlag af disse traktater, eller, om nødvendigt, hvis det er tilladt af den europæiske tilsynsførende for databeskyttelse og under forudsætning af fornødne, specifikke garantier. 6. Den europæiske tilsynsførende for databeskyttelse fastsætter, på hvilke betingelser et personnummer eller et andet alment identifikationsmiddel kan gøres til genstand for behandling i en fællesskabsinstitution eller et fællesskabsorgan. AFDELING 4 OPLYSNINGSPLIGT OVER FOR DEN REGISTREREDE Artikel 11 Oplysningspligt, når personoplysningerne indsamles hos den registrerede 1. Den registeransvarlige giver den registrerede, hos hvem og om hvem der indsamles personoplysninger, mindst følgende informationer, medmindre den pågældende i forvejen er bekendt hermed: a) den registeransvarliges identitet b) formålene med den behandling, hvortil personoplysningerne er bestemt c) modtagerne eller kategorierne af modtagere af personoplysningerne d) om det er obligatorisk eller frivilligt at besvare spørgsmålene samt de mulige følger af at undlade at svare e) retten til indsigt i og til berigtigelse af personoplysninger vedrørende den registrerede selv f) alle yderligere informationer, f.eks. i) retsgrundlaget for den behandling, hvortil personoplysningerne er bestemt ii) tidsfristerne for opbevaring af personoplysningerne iii) retten, til enhver tid, at henvende sig til den europæiske tilsynsførende for databeskyttelse for så vidt disse yderligere informationer er nødvendige under hensyntagen til de konkrete omstændigheder, hvorunder personoplysningerne indsamles, for at garantere en loyal behandling af personoplysningerne i forhold til den registrerede. 2. Uanset stk. 1 kan oplysningspligten helt eller delvis udsættes, undtagen for så vidt angår de i stk. 1, litra a), b) og d), omhandlede informationer, så længe dette er nødvendigt af statistiske årsager. Oplysningspligten genindtræder, så snart grunden til, at informationerne ikke er givet, ikke længere er til stede. Artikel 12 Oplysningspligt, når personoplysningerne ikke er indsamlet hos den registrerede 1. Når personoplysningerne ikke er indsamlet hos den registrerede, skal den registeransvarlige ved registreringen af personoplysningerne eller, hvis personoplysningerne påtænkes videregivet til tredjemand, senest når personoplysningerne første gang videregives, give den registrerede mindst følgende informationer, medmindre den pågældende i forvejen er bekendt hermed: a) den registeransvarliges identitet b) formålene med behandlingen c) hvilken type personoplysninger der er tale om d) modtagerne eller kategorierne af modtagere e) retten til indsigt i og til berigtigelse af personoplysninger vedrørende den registrerede selv f) alle yderligere informationer f.eks.: i) retsgrundlaget for den behandling, hvortil personoplysningerne er bestemt ii) tidsfristerne for opbevaring af personoplysningerne iii) retten, til enhver tid, at rette henvendelse til den europæiske tilsynsførende for databeskyttelse iv) hvor personoplysningerne stammer fra, medmindre den registeransvarlige ikke kan oplyse herom på grund af tavshedspligt for så vidt disse yderligere informationer er nødvendige under hensyntagen til de konkrete omstændigheder, hvorunder personoplysningerne indsamles, for at garantere en loyal behandling af personoplysningerne i forhold til den registrerede. 2. Bestemmelserne i stk. 1 finder ikke anvendelse, hvis det, navnlig i forbindelse med behandling til statistiske formål eller med henblik på historisk eller videnskabelig forskning viser sig umuligt eller kræver en uforholdsmæssig stor indsats at give den registrerede disse informationer, eller hvis registreringen eller videregivelsen af personoplysningerne er udtrykkeligt hjemlet i fællesskabsretten. I så fald yder fællesskabsinstitutionen eller -organet de fornødne garantier efter at have hørt den europæiske tilsynsførende for databeskyttelse. AFDELING 5 DEN REGISTREREDES RETTIGHEDER Artikel 13 Ret til indsigt Den registrerede har indtil tre måneder efter modtagelsen af anmodningen til enhver tid ret til hos den registeransvarlige uden begrænsning og vederlagsfrit at få oplyst: a) om personoplysninger vedrørende den pågældende selv behandles eller ikke behandles b) i det mindste hvad formålene med behandlingen er, hvilken type personoplysninger der er tale om, og hvilke modtagere eller kategorier af modtagere de videregives til c) i letforståelig form, hvilke personoplysninger der er genstand for behandling, og alle foreliggende informationer om, hvor de stammer fra d) hvilket logisk system der ligger til grund for enhver edb-baseret behandling af personoplysninger vedrørende den pågældende selv. Artikel 14 Berigtigelse Den registrerede har ret til at kræve, at den registeransvarlige omgående berigtiger urigtige eller ufuldstændige personoplysninger. Artikel 15 Blokering 1. Den registrerede har ret til at kræve, at den registeransvarlige blokerer personoplysninger, hvis: a) deres rigtighed bestrides af den registrerede, indtil den registeransvarlige har haft mulighed for at fastslå, om de er rigtige, herunder om de er fuldstændige, eller b) den registeransvarlige ikke længere har behov for dem til udførelsen af sine opgaver, men de fortsat skal opbevares som bevismiddel, eller c) behandlingen af dem er ulovlig, og den registrerede modsætter sig deres sletning og i stedet kræver, at de blokeres. 2. I edb-baserede registre sker blokering i princippet med tekniske hjælpemidler. Det forhold, at personoplysninger er blokeret, angives i registret på en sådan måde, at det klart fremgår, at de pågældende personoplysninger ikke må benyttes. 3. Personoplysninger, der er blokeret i medfør af denne artikel, må, bortset fra opbevaringen af dem, kun gøres til genstand for behandling i følgende tilfælde: som bevismiddel, eller hvis den registrerede har givet sit samtykke hertil, eller hvis der er tale om beskyttelse af tredjemands rettigheder. 4. Registrerede, som har anmodet om og opnået, at personoplysninger vedrørende dem blokeres, skal underrettes af den registeransvarlige, inden oplysningerne frigives. Artikel 16 Sletning Den registrerede har ret til at kræve, at den registeransvarlige sletter personoplysninger, hvis behandlingen af dem er ulovlig, navnlig hvis bestemmelserne i afdeling 1, 2 og 3 i kapitel II er overtrådt. Artikel 17 Underretning af tredjemand Den registrerede har ret til at kræve, at den registeransvarlige underretter tredjemand, til hvem personoplysninger er videregivet, om enhver berigtigelse, sletning eller blokering i medfør af artikel 13-16, medmindre dette viser sig umuligt eller kræver en uforholdsmæssig stor indsats. Artikel 18 Den registreredes indsigelsesret Den registrerede har ret til: a) af vægtige legitime grunde, der vedrører den pågældendes særlige situation, til enhver tid at gøre indsigelse mod, at personoplysninger vedrørende ham selv gøres til genstand for behandling, undtagen i de tilfælde, der er omfattet af artikel 5, litra b), c) og d). Er der tale om en berettiget indsigelse, må den pågældende behandling ikke længere omfatte disse personoplysninger b) at blive underrettet, inden personoplysningerne første gang videregives til tredjemand eller anvendes på tredjemands vegne med henblik på direkte markedsføring, og til udtrykkeligt at blive gjort opmærksom på, at han uden udgifter kan gøre indsigelse mod en sådan videregivelse eller anvendelse. Artikel 19 Edb-baserede individuelle afgørelser Den registrerede har ret til ikke at være undergivet afgørelser, som har retsvirkning for ham, eller som berører ham i væsentlig grad, og som alene er truffet på grundlag af en edb-baseret behandling af personoplysninger, der er bestemt til at vurdere bestemte aspekter af hans personlige forhold, f.eks. arbejdsindsats, pålidelighed eller adfærd, medmindre den pågældende afgørelse udtrykkeligt er tilladt i henhold til national lovgivning eller fællesskabslovgivningen eller, om nødvendigt, er godkendt af den europæiske tilsynsførende for databeskyttelse. I begge tilfælde skal der træffes foranstaltninger til beskyttelse af den registreredes legitime interesser, f.eks. ordninger, der gør det muligt for den pågældende at give sin mening til kende. AFDELING 6 UNDTAGELSER OG BEGRÆNSNINGER Artikel 20 Undtagelser og begrænsninger 1. Fællesskabsinstitutionerne og -organerne kan begrænse anvendelsen af artikel 4, stk. 1, artikel 11, artikel 12, stk. 1, artikel 13-17 og artikel 37, stk. 1, hvis og så længe en sådan begrænsning er en nødvendig foranstaltning af hensyn til: a) forebyggelse og efterforskning af, sikring af bevis for og retsforfølgning af straffelovsovertrædelser b) væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller De Europæiske Fællesskaber, herunder på det monetære, budgetmæssige og skattemæssige område c) beskyttelse af den registrerede eller af andres rettigheder eller frihedsrettigheder d) medlemsstaternes nationale sikkerhed, offentlige sikkerhed og forsvar e) en overvågnings-, tilsyns- eller reguleringsfunktion, som har tilknytning, selv lejlighedsvis, til offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i litra a) og b). 2. Artikel 13-16 finder ikke anvendelse, hvis personoplysningerne udelukkende gøres til genstand for behandling med henblik på videnskabelig forskning eller kun opbevares i form af personoplysninger så længe, det er nødvendigt for alene at udarbejde statistikker, forudsat at der klart ikke er nogen risiko for at krænke den registreredes ret til privatlivets fred, og den registeransvarlige yder fornødne retlige garantier, navnlig for at sikre, at personoplysningerne ikke anvendes til at træffe foranstaltninger eller afgørelser vedrørende bestemte personer. 3. Anvendes en af begrænsningerne i stk. 1, skal den registrerede i overensstemmelse med fællesskabsretten underrettes om de vigtigste bevæggrunde, der ligger til grund for anvendelsen af begrænsningen, og om sin ret til at henvende sig til den europæiske tilsynsførende for databeskyttelse. 4. Hvis en af de i stk. 1 omhandlede begrænsninger påberåbes for at nægte den registrerede adgang til indsigt, skal den europæiske tilsynsførende for databeskyttelse, når han undersøger klagen, kun underrette den registrerede om, hvorvidt oplysningerne er behandlet korrekt, og, hvis dette ikke er tilfældet, hvorvidt de nødvendige korrektioner er foretaget. 5. Afgivelsen af de i stk. 3 og 4 omhandlede informationer kan udsættes, så længe de gør en begrænsning som omhandlet i stk. 1 virkningsløs. AFDELING 7 FORTROLIGHED OG BEHANDLINGSSIKKERHED Artikel 21 Behandlingernes fortrolige karakter Personer, der er ansat i en fællesskabsinstitution eller et fællesskabsorgan, og fællesskabsinstitutioner eller -organer, som selv handler som registerførere, og som har adgang til personoplysninger, må kun behandle personoplysningerne efter instruks fra den registeransvarlige, bortset fra tilfælde, hvor det kræves i national lovgivning eller i fællesskabslovgivningen. Artikel 22 Behandlingssikkerhed 1. Den registeransvarlige træffer under hensyntagen til teknologiens stade og omkostningerne i forbindelse med gennemførelsen passende tekniske og organisatoriske foranstaltninger for at tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, behandlingen af personoplysninger indebærer, og arten af de personoplysninger, der skal beskyttes. Disse foranstaltninger træffes især med henblik på at forhindre ubeføjet udbredelse eller ikke-autoriseret adgang, hændelig eller ulovlig tilintetgørelse og hændeligt tab eller ændring, samt med henblik på at forhindre alle andre former for ulovlig behandling. 2. Gøres personoplysninger til genstand for edb-behandling, træffes der foranstaltninger, når de er nødvendige under hensyn til den risiko, behandlingen indebærer, med henblik på især: a) at forhindre ikke-autoriserede personer i at få adgang til edb-systemer, der behandler personoplysninger b) at forhindre ikke-autoriseret konsultation, reproduktion, ændring eller fjernelse af lagermedier c) at forhindre ikke-autoriseret indlæsning i hukommelsen samt ikke-autoriseret videregivelse, ændring eller sletning af lagrede personoplysninger d) at forhindre ikke-autoriserede personer i at benytte databehandlingssystemer ved hjælp af datatransmissionsfaciliteter e) at sikre, at autoriserede brugere af et databehandlingssystem kun har adgang til de personoplysninger, som deres ret til adgang vedrører f) at registrere, hvilke personoplysninger der er blevet videregivet, på hvilket tidspunkt og til hvem g) at sikre, at det efterfølgende er muligt at kontrollere, på hvilke tidspunkter personoplysninger er gjort til genstand for behandling og af hvem h) at sikre, at personoplysninger, der gøres til genstand for behandling på tredjemands vegne, kun behandles på den måde, den kontraherende institution eller det kontraherende organ har foreskrevet i) at sikre, at personoplysninger under videregivelse eller under transport af lagermedier ikke kan læses, kopieres eller slettes uden autorisation j) at udforme den organisatoriske opbygning af en institution eller et organ således, at den eller det opfylder de særlige krav til databeskyttelse. Artikel 23 Behandling af personoplysninger på den registeransvarliges vegne 1. Den registeransvarlige skal, hvis personoplysninger gøres til genstand for behandling på hans vegne, vælge en registerfører, som yder tilstrækkelige garantier med hensyn til de tekniske og organisatoriske sikkerhedsforanstaltninger, der er fastsat i artikel 22, og sørge for, at disse sikkerhedsforanstaltninger overholdes. 2. Behandling ved en registerfører skal finde sted i henhold til en kontrakt eller et andet retligt bindende dokument mellem registerføreren og den registeransvarlige, hvori det bl.a. fastsættes: a) at registerføreren udelukkende handler efter instruks fra den registeransvarlige b) at forpligtelserne i artikel 21 og 22 også påhviler registerføreren, medmindre der i medfør af artikel 16 eller artikel 17, stk. 3, andet led, i direktiv 95/46/EF allerede påhviler registerføreren forpligtelser med hensyn til fortrolighed og sikkerhed, som er fastsat i national lovgivning i en af medlemsstaterne. 3. Med henblik på opbevaring af bevismidler skal de dele af kontrakten eller det retligt bindende dokument, der vedrører databeskyttelse, og de krav, der vedrører sikkerhedsforanstaltningerne i artikel 22, foreligge skriftligt eller i en anden tilsvarende form. AFDELING 8 DATABESKYTTELSESANSVARLIG Artikel 24 Udpegning af en databeskyttelsesansvarlig og dennes opgaver 1. Hver fællesskabsinstitution og hvert fællesskabsorgan udpeger mindst én person som databeskyttelsesansvarlig. Denne datebeskyttelsesansvarlige har til opgave: a) at sikre, at de registeransvarlige og de registrerede bliver underrettet om deres rettigheder og forpligtelser i medfør af denne forordning b) at besvare anmodninger fra den europæiske tilsynsførende for databeskyttelse og inden for rammerne af sine beføjelser at samarbejde med den europæiske tilsynsførende for databeskyttelse på dennes anmodning eller på eget initiativ c) i fuld uafhængighed at sikre, at bestemmelserne i denne forordning finder anvendelse internt d) at føre et register over de behandlinger, den registeransvarlige foretager, med angivelse af de informationer, der er omhandlet i artikel 25, stk. 2 e) at underrette den europæiske tilsynsførende for databeskyttelse om behandlinger, der kan indebære en risiko som omhandlet i artikel 27. Den databeskyttelsesansvarlige påser derved, at der ikke er fare for, at den registreredes rettigheder og frihedsrettigheder krænkes som følge af behandlingen. 2. Den databeskyttelsesansvarlige udvælges på grundlag af sine personlige egenskaber og faglige kvalifikationer og især sin ekspertise på databeskyttelsesområdet. 3. Valget af den databeskyttelsesansvarlige må ikke kunne medføre en interessekonflikt mellem hvervet som databeskyttelsesansvarlig og andre officielle hverv, han måtte udøve, navnlig i relation til anvendelsen af bestemmelserne i denne forordning. 4. Den databeskyttelsesansvarlige udnævnes for en periode på to til fem år. Han kan genudnævnes, men kan dog højst varetage hvervet i ti år i alt. Den databeskyttelsesansvarlige kan kun med samtykke fra den europæiske tilsynsførende for databeskyttelse afskediges af den fællesskabsinstitution eller det fællesskabsorgan, som har udnævnt ham, hvis han ikke længere opfylder de krav, der stilles for udførelsen af hans opgaver. 5. Efter udnævnelsen af den databeskyttelsesansvarlige underrettes den europæiske tilsynsførende for databeskyttelse om den pågældendes navn af den fællesskabsinstitution eller det fællesskabsorgan, der har udnævnt ham. 6. Den databeskyttelsesansvarlige får af den fællesskabsinstitution eller det fællesskabsorgan, der har udnævnt ham, stillet det personale og de ressourcer til rådighed, som er nødvendige for, at han kan udføre sine opgaver. 7. Den databeskyttelsesansvarlige må ikke modtage nogen instrukser vedrørende udførelsen af sine opgaver. 8. Yderligere gennemførelsesbestemmelser vedrørende den databeskyttelsesansvarlige vedtages af de enkelte fællesskabsinstitutioner og -organer i overensstemmelse med bestemmelserne i bilaget. Disse gennemførelsesbestemmelser vedrører navnlig den databeskyttelsesansvarliges hverv, opgaver og beføjelser. Artikel 25 Anmeldelse til den databeskyttelsesansvarlige 1. Den registeransvarlige skal forud for enhver behandling eller serie af behandlinger, der tjener et enkelt formål eller flere relaterede formål, indgive en anmeldelse til den databeskyttelsesansvarlige. 2. Anmeldelsen skal omfatte: a) den registeransvarliges navn og adresse og angivelse af den afdeling i en fællesskabsinstitution eller et fællesskabsorgan, der har til opgave at behandle personoplysninger til et bestemt formål b) behandlingens formål c) en beskrivelse af kategorien eller kategorierne af registrerede og af de personoplysninger eller typer af personoplysninger, der vedrører dem d) retsgrundlaget for den behandling, hvortil personoplysningerne er bestemt e) de modtagere eller kategorier af modtagere, personoplysningerne forventes videregivet til f) en generel angivelse af tidsfristerne for blokering og sletning af de forskellige typer personoplysninger g) påtænkte videregivelser af personoplysninger til tredjelande eller til internationale organisationer h) en generel beskrivelse, som giver mulighed for en foreløbig vurdering af, om de foranstaltninger, der er truffet i henhold til artikel 22 til sikring af behandlingssikkerheden, er tilstrækkelige. 3. Enhver ændring, der berører de i stk. 2 omhandlede oplysninger, anmeldes straks til den databeskyttelsesansvarlige. Artikel 26 Register Hver databeskyttelsesansvarlig fører et register over behandlinger, der er anmeldt i overensstemmelse med bestemmelserne i artikel 25. Registrene skal mindst indeholde de informationer, der er omhandlet i artikel 25, stk. 2, litra a)-g). Registrene kan konsulteres af enhver enten direkte eller indirekte via den europæiske tilsynsførende for databeskyttelse. AFDELING 9 FORUDGÅENDE KONTROL FORETAGET AF DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE OG FORPLIGTELSE TIL SAMARBEJDE Artikel 27 Forudgående kontrol 1. Behandlinger, der på grund af deres art, omfang og formål vil kunne indebære særlige risici for de registreredes rettigheder og frihedsrettigheder, gøres til genstand for forudgående kontrol, som foretages af den europæiske tilsynsførende for databeskyttelse. 2. Følgende behandlinger vil kunne indebære sådanne risici: a) behandling af personoplysninger om helbredsforhold og om mistanke om strafbare forhold, lovovertrædelser, domfældelser i straffesager og andre retsfølger af strafbare handlinger b) behandling, som har til formål at vurdere aspekter af den registreredes personlige forhold, f.eks. hans evner, arbejdsindsats eller adfærd c) behandling, som muliggør samkøring, som der ikke er hjemmel til i national lovgivning eller fællesskabslovgivningen, af personoplysninger, der behandles til forskellige formål d) behandling, som tager sigte på at udelukke personer fra at udøve en ret, modtage en ydelse eller opnå en kontrakt. 3. Den forudgående kontrol foretages af den europæiske tilsynsførende for databeskyttelse efter modtagelse af en anmeldelse fra den databeskyttelsesansvarlige, som, hvis der er tvivl om nødvendigheden af forudgående kontrol, skal høre den europæiske tilsynsførende for databeskyttelse. 4. Den europæiske tilsynsførende for databeskyttelse skal afgive udtalelse senest to måneder efter modtagelsen af anmeldelsen. Denne frist kan suspenderes, indtil den europæiske tilsynsførende for databeskyttelse har modtaget de oplysninger, han har anmodet om. Er det nødvendigt på grund af sagens komplekse karakter, kan denne frist ligeledes forlænges med en ny periode på to måneder efter afgørelse truffet af den europæiske tilsynsførende for databeskyttelse. Denne afgørelse meddeles den registeransvarlige inden udløbet af den oprindelige frist på to måneder. Er udtalelsen ikke afgivet ved udløbet af fristen på to måneder og den eventuelle forlængelse, anses udtalelsen for at være positiv. Hvis den europæiske tilsynsførende for databeskyttelse mener, at den anmeldte behandling vil kunne indebære en overtrædelse af en af denne forordnings bestemmelser, skal han i givet fald fremsætte forslag til, hvordan en sådan overtrædelse kan undgås. Hvis den registeransvarlige ikke ændrer behandlingen i overensstemmelse hermed, kan den europæiske tilsynsførende for databeskyttelse gøre brug af sine beføjelser i medfør af artikel 47, stk. 1. 5. Den europæiske tilsynsførende for databeskyttelse fører et register over de behandlinger, der anmeldes til ham i medfør af stk. 2. Registret skal indeholde de informationer, der er omhandlet i artikel 25, og kan konsulteres af enhver. Artikel 28 Høring 1. Fællesskabsinstitutionerne og -organerne underretter den europæiske tilsynsførende for databeskyttelse om udarbejdelsen af administrative foranstaltninger, der vedrører behandling af personoplysninger i en fællesskabsinstitution eller et fællesskabsorgan alene eller sammen med andre. 2. Når Kommissionen vedtager et forslag til retsakt vedrørende beskyttelse af personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger, hører den den europæiske tilsynsførende for databeskyttelse. Artikel 29 Forpligtelse til underretning Fællesskabsinstitutionerne og -organerne underretter den europæiske tilsynsførende for databeskyttelse om, hvilke foranstaltninger de har vedtaget til opfølgning af den tilsynsførendes afgørelser eller tilladelser som nævnt i artikel 46, litra h). Artikel 30 Forpligtelse til samarbejde De registeransvarlige skal efter anmodning bistå den europæiske tilsynsførende for databeskyttelse i udøvelsen af hans hverv, navnlig ved at meddele ham de i artikel 47, stk. 2, litra a), nævnte oplysninger og ved at give ham den i artikel 47, stk. 2, litra b), nævnte adgang. Artikel 31 Forpligtelse til at tage stilling til påståede overtrædelser Såfremt den europæiske tilsynsførende for databeskyttelse under udøvelsen af de beføjelser, der er tillagt ham i medfør af artikel 47, stk. 1, litra b), retter henvendelse til den registeransvarlige, skal denne meddele den tilsynsførende sine synspunkter inden for en rimelig frist, som fastsættes af den europæiske tilsynsførende for databeskyttelse. Svaret skal også omfatte en redegørelse for, hvilke foranstaltninger der i givet fald er truffet som reaktion på bemærkningerne fra den europæiske tilsynsførende for databeskyttelse. KAPITEL III KLAGER Artikel 32 Klager 1. De Europæiske Fællesskabers Domstol har kompetence til at afgøre alle tvister, som vedrører bestemmelserne i denne forordning, herunder erstatningssøgsmål. 2. Uden at det berører muligheden for at benytte et retsmiddel, kan den registrerede indgive en klage til den europæiske tilsynsførende for databeskyttelse, hvis han finder, at de rettigheder, traktatens artikel 286 tillægger ham, er blevet krænket som følge af en behandling af personoplysninger vedrørende ham selv i en fællesskabsinstitution eller et fællesskabsorgan. Undlader den europæiske tilsynsførende for databeskyttelse at svare inden udløbet af fristen på seks måneder, er dette at sidestille med en afgørelse om afvisning af klagen. 3. Afgørelser truffet af den europæiske tilsynsførende for databeskyttelse kan indbringes for De Europæiske Fællesskabers Domstol. 4. Enhver, der har lidt skade som følge af en ulovlig behandling eller enhver anden handling, der ikke er i overensstemmelse med denne forordning, har ret til at kræve erstatning i henhold til traktatens artikel 288. Artikel 33 Anmodninger indgivet af Fællesskabernes personale Enhver, der er ansat i en fællesskabsinstitution eller et fællesskabsorgan, kan uden om de officielle kanaler indgive en klage til den europæiske tilsynsførende for databeskyttelse om en påstået overtrædelse af bestemmelserne i denne forordning vedrørende behandling af personoplysninger. Ingen må lide skade som følge af en klage, der er indgivet til den europæiske tilsynsførende for databeskyttelse om en påstået overtrædelse af bestemmelserne om behandling af personoplysninger. KAPITEL IV BESKYTTELSE AF PERSONOPLYSNINGER OG PRIVATLIVETS FRED I INTERNE TELENET Artikel 34 Anvendelsesområde Med forbehold af de øvrige bestemmelser i denne forordning finder dette kapitel anvendelse på behandling af personoplysninger i forbindelse med brug af telenet eller terminaludstyr, som drives under en fællesskabsinstitutions eller et fællesskabsorgans kontrol. I dette kapitel forstås ved "bruger" enhver fysisk person, der benytter et telenet eller terminaludstyr, som drives under en fællesskabsinstitutions eller et fællesskabsorgans kontrol. Artikel 35 Sikkerhed 1. Fællesskabsinstitutionerne og -organerne træffer passende tekniske og organisatoriske foranstaltninger for at garantere en sikker anvendelse af telenettene og terminaludstyret, i givet fald sammen med udbyderne af offentligt tilgængelige teletjenester eller leverandørerne af offentlige telenet. Foranstaltningerne skal under hensyntagen til de nyeste tekniske muligheder og omkostningerne i forbindelse med gennemførelsen tilvejebringe et sikkerhedsniveau, der står i forhold til risikoen. 2. Er der en særlig risiko for, at net- og terminalsikkerheden ikke længere kan garanteres, skal fællesskabsinstitutionen eller -organet underrette brugerne herom samt om, hvorledes denne risiko måtte kunne forebygges, og om alternative kommunikationsmidler. Artikel 36 Kommunikationshemmelighed Fællesskabsinstitutionerne og -organerne sikrer kommunikationshemmeligheden ved brug af telenet og terminaludstyr under overholdelse af fællesskabsrettens generelle principper. Artikel 37 Trafik- og debiteringsdata 1. Med forbehold af stk. 2, 3 og 4 skal trafikdata vedrørende brugerne, som behandles og lagres for at etablere samtaler og andre former for forbindelser via telenettet, slettes eller gøres anonyme efter samtalens eller forbindelsens afslutning. 2. Hvis det er nødvendigt, kan trafikdata, der er opført på en liste, som er godkendt af den europæiske tilsynsførende for databeskyttelse, behandles med henblik på forvaltning af telekommunikationsbudgettet og trafikstyring, herunder kontrol med autoriseret brug af telekommunikationssystemet. Disse oplysninger slettes eller gøres anonyme så hurtigt som muligt og senest seks måneder efter deres indsamling, medmindre yderligere lagring er nødvendig for at et retskrav kan fastslås, gøres gældende eller forsvares under en retssag, der verserer for en domstol. 3. Behandling af trafik- og faktureringsdata må kun foretages af personer, som er beskæftiget med trafik, fakturerings- eller budgetstyring. 4. Brugere af telenettene har ret til at modtage fakturaer eller andre opgørelser uden specifikationer over foretagne opkald. Artikel 38 Brugerfortegnelser 1. Personoplysningerne i trykte eller elektroniske brugerfortegnelser og adgangen til sådanne fortegnelser skal begrænses til det absolut nødvendige af hensyn til fortegnelsens særlige formål. 2. Fællesskabsinstitutionerne og -organerne træffer alle nødvendige foranstaltninger for at sikre, at personoplysningerne i disse fortegnelser, uanset om de er offentligt tilgængelige, ikke benyttes til direkte markedsføring. Artikel 39 Visning og spærring af A- og B-nummer 1. Tilbydes A-nummervisning, skal den kaldende bruger have mulighed for ved hjælp af en simpel, gebyrfri anordning at spærre A-nummervisningen. 2. Tilbydes A-nummervisning, skal den kaldte bruger have mulighed for ved hjælp af en simpel, gebyrfri anordning at forhindre A-nummervisningen ved ankommende opkald. 3. Tilbydes B-nummervisning, skal den kaldte bruger have mulighed for ved hjælp af en simpel, gebyrfri anordning at spærre B-nummervisningen hos den kaldende bruger. 4. Tilbydes A-nummervisning eller B-nummervisning, skal fællesskabsinstitutionerne og -organerne informere brugerne herom og om mulighederne i henhold til stk. 1, 2 og 3. Artikel 40 Undtagelser Fællesskabsinstitutionerne og -organerne sikrer, at der findes gennemsigtige procedurer for, hvorledes de kan tilsidesætte spærringen af A-nummervisningen: a) midlertidigt, når en bruger anmoder om at få chikanerende eller på anden måde generende opkald eftersporet b) for specifikke linjer for at give organisatoriske enheder, der behandler nødopkald, mulighed for at reagere på sådanne opkald. KAPITEL V UAFHÆNGIG KONTROLMYNDIGHED: DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE Artikel 41 Europæisk tilsynsførende for databeskyttelse 1. Der oprettes en uafhængig kontrolmyndighed benævnt "den europæiske tilsynsførende for databeskyttelse". 2. Den europæiske tilsynsførende for databeskyttelse har til opgave at sikre, at fællesskabsinstitutionerne og -organerne respekterer fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred i forbindelse med behandling af personoplysninger. Den europæiske tilsynsførende for databeskyttelse har til opgave at overvåge og sikre overholdelsen af de bestemmelser i denne forordning og i enhver anden fællesskabsretsakt, der vedrører beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger i en fællesskabsinstitution eller et fællesskabsorgan, og at rådgive disse institutioner og organer samt de registrerede om alle spørgsmål vedrørende behandling af personoplysninger. Med henblik herpå skal den tilsynsførende udføre det i artikel 46 omhandlede hverv og udøve de i artikel 47 omhandlede beføjelser. Artikel 42 Udnævnelse 1. Europa-Parlamentet og Rådet udnævner efter fælles aftale den europæiske tilsynsførende for databeskyttelse for en periode på fem år på grundlag af en liste, Kommissionen opstiller efter et offentligt stillingsopslag. Der udnævnes en assisterende tilsynsførende efter samme procedure og for samme periode. Den assisterende tilsynsførende bistår den tilsynsførende i alle dennes opgaver og er dennes stedfortræder i tilfælde af fravær eller forfald. 2. Den europæiske tilsynsførende for databeskyttelse udvælges blandt personer, hvis uafhængighed er uomtvistelig, og som har åbenbar erfaring og kompetence til at udøve hvervet som europæisk tilsynsførende for databeskyttelse, f.eks. fordi de er eller har været tilknyttet de tilsynsmyndigheder, der er omhandlet i artikel 28 i direktiv 95/46/EF. 3. Den europæiske tilsynsførende for databeskyttelse kan genudnævnes. 4. Bortset fra ordinær nybesættelse eller dødsfald ophører hvervet for den europæiske tilsynsførende for databeskyttelse ved frivillig fratræden eller ved uansøgt afskedigelse i henhold til stk. 5. 5. Den europæiske tilsynsførende for databeskyttelse kan af De Europæiske Fællesskabers Domstol på begæring af Europa-Parlamentet, Rådet eller Kommissionen afskediges eller fratages sine pensionsrettigheder eller andre fordele, som træder i stedet herfor, hvis han ikke længere opfylder de nødvendige betingelser for at udøve sit hverv, eller hvis han har begået alvorligt embedsmisbrug. 6. I forbindelse med ordinær nybesættelse og frivillig fratræden fortsætter den europæiske tilsynsførende for databeskyttelse imidlertid med at udøve sit hverv, indtil der er udnævnt en efterfølger. 7. Artikel 12-15 og 18 i protokollen vedrørende De Europæiske Fællesskabers privilegier og immuniteter finder ligeledes anvendelse på den europæiske tilsynsførende for databeskyttelse. 8. Stk. 2-7 finder anvendelse på den assisterende tilsynsførende. Artikel 43 Generelle ansættelsesvilkår for den europæiske tilsynsførende, menneskelige og finansielle ressourcer 1. Europa-Parlamentet, Rådet og Kommissionen fastsætter efter fælles aftale de generelle ansættelsesvilkår for den europæiske tilsynsførende for databeskyttelse, navnlig vederlag, tillæg og enhver fordel, som træder i stedet for løn. 2. Budgetmyndigheden sørger for, at den europæiske tilsynsførende for databeskyttelse råder over de nødvendige menneskelige og finansielle ressourcer for at kunne udøve sit hverv. 3. Budgettet for den europæiske tilsynsførende for databeskyttelse opføres i en særlig post i sektion VIII i Den Europæiske Unions almindelige budget. 4. Den europæiske tilsynsførende for databeskyttelse bistås af et sekretariat. Tjenestemænd og øvrige ansatte i sekretariatet udnævnes af den europæiske tilsynsførende for databeskyttelse, der er deres foresatte, og hvis ledelse de alene er underlagt. Antallet af tjenestemænd og øvrige ansatte fastsættes hvert år som led i budgetproceduren. 5. For tjenestemænd og øvrige ansatte i sekretariatet for den europæiske tilsynsførende for databeskyttelse gælder de regler og bestemmelser, der gælder for tjenestemænd og øvrige ansatte i De Europæiske Fællesskaber. 6. I personaleanliggender har den europæiske tilsynsførende for databeskyttelse samme status som institutionerne, jf. artikel 1 i vedtægten for tjenestemænd i De Europæiske Fællesskaber. Artikel 44 Uafhængighed 1. Den europæiske tilsynsførende for databeskyttelse udfører sit hverv i fuld uafhængighed. 2. Den europæiske tilsynsførende for databeskyttelse må ved udøvelsen af sine pligter hverken søge eller modtage instrukser fra andre. 3. Den europæiske tilsynsførende for databeskyttelse skal afholde sig fra enhver handling, der er uforenelig med karakteren af hans hverv, og må ikke, så længe hans embedsperiode varer, udøve nogen anden lønnet eller ulønnet erhvervsmæssig virksomhed. 4. Den europæiske tilsynsførende for databeskyttelse skal efter embedsperiodens ophør udvise hæderlighed og tilbageholdenhed med hensyn til at påtage sig visse hverv eller at acceptere visse fordele. Artikel 45 Tavshedspligt Den europæiske tilsynsførende for databeskyttelse og dennes medarbejdere har såvel under embeds- og ansættelsesperioden som efter dens ophør tavshedspligt for så vidt angår alle fortrolige oplysninger, der er kommet til deres kendskab under udøvelsen af deres hverv. Artikel 46 Hverv Den europæiske tilsynsførende for databeskyttelse har til opgave: a) at modtage og undersøge klager og underrette den registrerede om resultatet inden for en rimelig frist b) på eget initiativ eller på grundlag af en klage at iværksætte undersøgelser og underrette de registrerede om resultatet inden for en rimelig frist c) at overvåge og sikre overholdelsen af denne forordning og enhver anden fællesskabsretsakt vedrørende beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i en fællesskabsinstitution eller et fællesskabsorgan med undtagelse af De Europæiske Fællesskabers Domstol, når den handler i sin egenskab af domstol d) at rådgive alle fællesskabsinstitutioner og -organer, enten på eget initiativ eller i forbindelse med en høring, om ethvert spørgsmål vedrørende behandlingen af personoplysninger, navnlig inden udarbejdelse af interne regler for beskyttelse af grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger e) at overvåge den relevante udvikling, i det omfang den har indvirkning på beskyttelsen af personoplysninger, navnlig udviklingen i informations- og kommunikationsteknologier f) i) at samarbejde med de nationale tilsynsmyndigheder, der er omhandlet i artikel 28 i direktiv 95/46/EF, i de lande, direktivet finder anvendelse på, og i det omfang det er nødvendigt for udførelsen af deres respektive pligter, navnlig ved at udveksle alle nyttige oplysninger, ved at anmode en sådan myndighed eller instans om at udøve sine beføjelser eller ved at besvare en anmodning fra en sådan myndighed eller instans ii) ligeledes at samarbejde med de instanser, der fører tilsyn med databeskyttelse i henhold til afsnit VI i traktaten om Den Europæiske Union, navnlig med henblik på at forbedre overensstemmelsen i anvendelsen af de regler og procedurer, hvis overholdelse de hver især har til opgave at sikre g) at deltage i arbejdet i Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger, der er nedsat ved artikel 29 i direktiv 95/46/EF h) at fastlægge, begrunde og offentliggøre undtagelser, garantier, tilladelser og betingelser som omhandlet i artikel 10, stk. 2, litra b), og stk. 4, 5 og 6, artikel 12, stk. 2, artikel 19 og artikel 37, stk. 2 i) at føre et register over behandlinger, der anmeldes til ham i henhold til artikel 27, stk. 2, og registreres i overensstemmelse med artikel 27, stk. 5, og stille de redskaber til disposition, der giver adgang til de registre, de databeskyttelsesansvarlige fører i overensstemmelse med artikel 26 j) at foretage forudgående kontrol af behandlinger, der anmeldes til ham k) at vedtage sin forretningsorden. Artikel 47 Beføjelser 1. Den europæiske tilsynsførende for databeskyttelse kan: a) rådgive de registrerede i forbindelse med udøvelsen af deres rettigheder b) forelægge sagen for den registeransvarlige i tilfælde af en påstået overtrædelse af bestemmelserne om behandling af personoplysninger og i givet fald fremsætte forslag til at råde bod på overtrædelsen og forbedre beskyttelsen af de registrerede c) træffe afgørelse om, at anmodninger om udøvelse af bestemte rettigheder i forbindelse med personoplysningerne efterkommes, når sådanne anmodninger er blevet nægtet i strid med artikel 13-19 d) rette en advarsel eller en påtale til den registeransvarlige e) træffe afgørelse om berigtigelse, blokering, sletning eller tilintetgørelse af alle personoplysninger, når de er blevet behandlet i strid med bestemmelserne vedrørende behandling af personoplysninger, samt om at tredjemand, til hvem disse oplysninger er videregivet, underrettes om sådanne foranstaltninger f) midlertidigt eller definitivt forbyde en behandling g) forelægge sagen for den berørte institution eller det berørte organ og om nødvendigt for Europa-Parlamentet, Rådet og Kommissionen h) på de vilkår, der er fastsat i traktaten, anlægge sag ved De Europæiske Fællesskabers Domstol i) intervenere i sager for De Europæiske Fællesskabers Domstol. 2. Den europæiske tilsynsførende for databeskyttelse har beføjelse til: a) hos en registeransvarlig eller en fællesskabsinstitution eller et fællesskabsorgan at få adgang til alle personoplysninger og til alle informationer, der er nødvendige for hans undersøgelser b) at få adgang til alle bygninger, hvor en registeransvarlig eller en fællesskabsinstitution eller et fællesskabsorgan udøver sine aktiviteter, hvis der er begrundet formodning om, at der dér udøves en aktivitet, som er omfattet af denne forordning. Artikel 48 Årsberetning 1. Den europæiske tilsynsførende for databeskyttelse skal hvert år forelægge en årsberetning om sin virksomhed for Europa-Parlamentet, Rådet og Kommissionen og skal sideløbende hermed offentliggøre den. 2. Den europæiske tilsynsførende sender beretningen til de øvrige fællesskabsinstitutioner og -organer, der navnlig i forbindelse med redegørelsen for de foranstaltninger, der træffes på grundlag af bemærkninger fra den europæiske tilsynsførende for databeskyttelse i henhold til artikel 31, kan fremsætte bemærkninger med henblik på en eventuel drøftelse af beretningen i Europa-Parlamentet. KAPITEL VI AFSLUTTENDE BESTEMMELSER Artikel 49 Sanktioner Der kan iværksættes disciplinære sanktioner over for en tjenestemand eller en af de øvrige ansatte i De Europæiske Fællesskaber, som forsætligt eller uagtsomt undlader at opfylde de forpligtelser, der påhviler ham i henhold til denne forordning i overensstemmelse med de regler og procedurer, der er fastlagt i vedtægten for tjenestemænd i De Europæiske Fællesskaber eller i ansættelsesvilkårene for de øvrige ansatte. Artikel 50 Overgangsperiode Fællesskabsinstitutionerne og -organerne sikrer, at en behandling, der allerede er indledt på datoen for denne forordnings ikrafttræden, bringes i overensstemmelse med denne forordning senest et år efter denne dato. Artikel 51 Ikrafttræden Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i De Europæiske Fællesskabers Tidende. Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat. Udfærdiget i Bruxelles, den 18. december 2000. På Europa-Parlamentets vegne N. Fontaine Formand På Rådets vegne D. Voynet Formand (1) EFT C 376 E af 28.12.1999, s. 24. (2) EFT C 51 af 23.2.2000, s. 48. (3) Europa-Parlamentets udtalelse af 14.11.2000 og Rådets afgørelse af 30.11.2000. (4) EFT L 281 af 23.11.1995, s. 31. (5) EFT L 24 af 30.1.1998, s. 1. (6) EFT L 52 af 22.2.1997, s. 1. (7) EFT L 318 af 27.11.1998, s. 8. (8) EFT L 151 af 15.6.1990, s. 1. Forordningen er ændret ved forordning (EF) nr. 322/97 (EFT L 52 af 22.2.1997, s. 1). BILAG 1. Den databeskyttelsesansvarlige kan fremsætte henstillinger til praktiske forbedringer af databeskyttelsen til den fællesskabsinstitution eller det fællesskabsorgan, der har udnævnt ham, og rådgive dem og den relevante registeransvarlige i spørgsmål vedrørende anvendelsen af databeskyttelsesbestemmelserne. Desuden kan han på eget initiativ eller efter anmodning fra den fællesskabsinstitution eller det fællesskabsorgan, der har udnævnt ham, eller fra den registeransvarlige, det relevante personaleudvalg eller enhver fysisk person iværksætte undersøgelser om anliggender og forhold, der har direkte tilknytning til hans opgaver, og som kommer til hans kendskab, og aflægge rapport til den person, der har anmodet om undersøgelsen, eller til den registeransvarlige. 2. Den databeskyttelsesansvarlige kan uden om de officielle kanaler høres direkte af den fællesskabsinstitution eller det fællesskabsorgan, der har udnævnt ham, af den relevante registeransvarlige, det relevante personaleudvalg eller enhver fysisk person om ethvert spørgsmål, der vedrører fortolkningen eller anvendelsen af denne forordning. 3. Ingen må lide skade som følge af at have bragt et spørgsmål om en påstået overtrædelse af bestemmelserne i denne forordning til den kompetente databeskyttelsesansvarliges kendskab. 4. Hver registeransvarlig skal bistå den databeskyttelsesansvarlige i udførelsen af hans opgaver og give ham de oplysninger, han anmoder om. Som led i udførelsen af sine opgaver skal den databeskyttelsesansvarlige til enhver tid have adgang til de personoplysninger, der er under behandling, og til alle relevante kontorlokaler, databehandlingsanlæg og databærere. 5. I det omfang, det er nødvendigt, skal den databeskyttelsesansvarlige frigøres fra andre aktiviteter. Den databeskyttelsesansvarlige og hans medarbejdere, som traktatens artikel 287 finder anvendelse på, må ikke videregive oplysninger eller dokumenter, som de får kendskab til eller får i hænde som led i udførelsen af deres opgaver.