Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i EU’s institutioner, organer, kontorer og agenturer
RESUMÉ AF:
Forordning (EU) 2018/1725 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i EU’s institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger
HVAD ER FORMÅLET MED FORORDNINGEN?
Forordningen:
- fastsætter regler for, hvordan EU’s institutioner, organer, kontorer og agenturer bør behandle personoplysninger*, som de ligger inde med om fysiske personer
- beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger og beskyttelse af privatlivets fred
- harmoniserer reglerne for EU’s institutioner, organer, kontorer og agenturer med reglerne i den generelle forordning om databeskyttelse (GDPR) og direktiv (EU) 2016/680, kendt som retshåndhævelsesdirektivet, der trådte i kraft i maj 2018
- ophæver forordning (EF) nr. 45/2001, som tidligere omfattede regler for behandling af personoplysninger i EU’s institutioner, organer, kontorer og agenturer, og sikrer, at disse overholder de samme strenge standarder som fastsat i GDPR
- ophæver afgørelse nr. 1247/2002/EF vedrørende Den Europæiske Tilsynsførende for Databeskyttelse.
HOVEDPUNKTER
Personoplysninger skal:
- behandles lovligt, rimeligt og på en gennemsigtig måde
- indsamles til udtrykkeligt angivne og legitime formål
- være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt
- være korrekte og om nødvendigt ajourførte
- opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt
- behandles på en måde, der sikrer tilstrækkelig fortrolighed.
Den dataansvarlige* er ansvarlig for og skal kunne påvise overholdelsen af alle ovennævnte principper for databehandling.
For personoplysninger gælder desuden, at de:
- kun må fremsendes til andre modtagere i EU end EU’s institutioner, organer, kontorer eller agenturer på betingelse af yderligere garantier
- kun må overføres til modtagere uden for EU på visse strenge betingelser
- ikke må behandles, bortset fra under særlige omstændigheder, hvis de afslører en persons race eller etniske oprindelse, politiske, religiøse eller filosofiske overbevisning eller fagforeningsmæssige tilhørsforhold; det samme gælder behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering
- skal være omfattet af de fornødne garantier, hvis de bruges til arkivformål i samfundets interesse eller til videnskabelige, historiske eller statistiske formål.
Anmodninger om en fysisk persons samtykke til at bruge vedkommendes personoplysninger skal være i en letforståelig og lettilgængelig form og i et klart og enkelt sprog. Samtykket skal gives i form af en klar bekræftelse fra den fysiske person.
En fysisk person (i lovgivningen omtalt som den »registrerede«) har ret til:
- at trække sit samtykke tilbage til enhver tid, og det skal være lige så let at trække samtykket tilbage som at give det
- at vide, hvorvidt vedkommendes egne personoplysninger behandles, samt ret til at få adgang til disse
- at få urigtige personoplysninger berigtiget
- at få personoplysninger om sig selv slettet eller begrænset med hensyn til behandling, hvis visse forhold gør sig gældende
- at modtage sine personoplysninger, som vedkommende har givet til den dataansvarlige, i et struktureret, almindeligt anvendt og maskinlæsbart format og fremsende disse oplysninger til en anden dataansvarlig
- at gøre indsigelse mod anvendelse af sine personoplysninger til et formål, der er i samfundets interesse, på baggrund af sin særlige situation
- ikke at blive gjort til genstand for en afgørelse, der alene bygger på automatisk behandling, og som har negative retsvirkninger for vedkommende
- at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse, hvis vedkommende mener, at dennes personoplysninger bliver behandlet i strid med forordningen
- at få erstatning i tilfælde af materiel eller immateriel skade som følge af ulovlige handlinger i EU’s institutioner, organer, kontorer eller agenturer
- at bemyndige et organ eller en organisation til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse på vedkommendes vegne.
Dataansvarlige:
- skal underrette registrerede i et klart og forståeligt sprog og med faktuelle oplysninger såsom den dataansvarliges kontaktoplysninger og formålet med databehandlingen, når sådanne oplysninger indsamles
- skal besvare enhver anmodning fra registrerede, for eksempel anmodninger om adgang til at berigtige personoplysninger, så hurtigt som muligt og senest en måned efter modtagelse af anmodningen
- gennemfører passende tekniske og organisatoriske foranstaltninger, herunder pseudonymisering*, for at sikre, at behandlingen af personoplysninger overholder forordningen
- må kun bruge databehandlere, der opfylder EU-kravene
- fører fortegnelser over alle databehandlingsaktiviteter under deres ansvar
- samarbejder med Den Europæiske Tilsynsførende for Databeskyttelse
- underretter hurtigst muligt Den Europæiske Tilsynsførende for Databeskyttelse og i visse tilfælde også den berørte fysiske person om et eventuelt brud på persondatasikkerheden
- gennemfører konsekvensanalyser vedrørende databeskyttelse for visse former for højrisikobehandling af personoplysninger
- sikrer, at personoplysninger håndteres fortroligt og sikkert i deres elektroniske kommunikationsnetværk
- underretter Den Europæiske Tilsynsførende for Databeskyttelse om udarbejdelsen af administrative foranstaltninger og interne regler vedrørende behandling af personoplysninger.
Forordningen opretter stillingen som Europæisk Tilsynsførende for Databeskyttelse, der udpeges med en embedsperiode på fem år, der kan fornyes én gang. Indehaveren af embedet har hjemsted i Bruxelles og:
- udfører sine opgaver i fuld uafhængighed
- har tavshedspligt for så vidt angår alle fortrolige oplysninger
- fører tilsyn med, hvordan EU’s institutioner, organer, kontorer og agenturer anvender forordningen
- fremmer offentlighedens kendskab til og forståelse af behandling af personoplysninger
- behandler klager og gennemfører undersøgelser
- udsteder advarsler til dataansvarlige og pålægger dem sanktioner
- indbringer sager for EU-Domstolen, der håndterer tvister i forhold til lovgivningen
- forelægger regelmæssigt rapporter for Europa-Parlamentet, Rådet og Europa-Kommissionen
- samarbejder med de nationale tilsynsmyndigheder.
Den tilsynsførendes forretningsorden
En afgørelse af 15. maj 2020 vedtager den tilsynsførendes forretningsorden. Den fastsætter nærmere:
- den tilsynsførendes opgave, vejledende principper og organisation
- hvordan den tilsynsførende overvåger og sikrer forordningens anvendelse
- procedurer for høring af den tilsynsførende som led i lovgivningsproceduren, teknologiovervågning, forskningsprojekter og retssager samt
- procedurer for samarbejde med nationale tilsynsmyndigheder og internationalt samarbejde.
Særlige regler for EU-organer, kontorer og agenturer
Særlige regler finder anvendelse for EU’s organer, kontorer og agenturer, der behandler operationelle personoplysninger* med henblik på retshåndhævelse (f.eks. Eurojust). De er omfattet af et særligt kapitel i forordningen. Reglerne i dette kapitel er i overensstemmelse med retshåndhævelsesdirektivet. Endvidere kan der i de stiftende retsakter for disse organer, kontorer og agenturer fastlægges mere specifikke regler for at tage højde for særlige karakteristika.
Europols og Den Europæiske Anklagemyndigheds behandling af operationelle personoplysninger er ikke omfattet af denne forordnings anvendelsesområde, men i stedet af specifikke bestemmelser i de retsakter, der etablerer dem. Deres administrative behandling af personoplysninger (f.eks. i forbindelse med personaleadministration) er dog underlagt forordningen.
Databeskyttelsesrådgivere
Dataansvarlige udpeger også en databeskyttelsesrådgiver for en periode på tre til fem år, som skal:
- rådgive om behandling af personoplysninger på en uafhængig måde
- føre tilsyn med overholdelsen af reglerne for beskyttelse af personoplysninger.
Rapporter
Europa-Kommissionen skal aflægge sin første rapport om anvendelse af forordningen senest den 30. april 2022.
HVORNÅR GÆLDER FORORDNINGEN FRA?
Den trådte i kraft den 11. december 2018, med undtagelse af delen om Eurojusts behandling af personoplysninger, som trådte i kraft den 12. december 2019.
BAGGRUND
Artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder fastslår, at enhver har ret til beskyttelse af personoplysninger. Artikel 16 i traktaten om Den Europæiske Unions funktionsmåde videreudvikler denne ret. Denne artikel udgør det juridiske grundlag for al EU-lovgivning om databeskyttelse.
For yderligere oplysninger henvises til:
VIGTIGE BEGREBER
Personoplysninger. Enhver form for information om en identificeret eller identificérbar fysisk person.
Dataansvarlig. Enhver af EU’s institutioner, organer, kontorer eller agenturer eller anden organisatorisk enhed, som afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
Pseudonymisering. Behandling af personoplysninger på en sådan måde, at en fysisk person ikke længere kan identificeres uden brug af supplerende oplysninger, der opbevares andetsteds.
Operationelle personoplysninger. Alle personoplysninger, der behandles med henblik på udførelse af retshåndhævelsesaktiviteter.
HOVEDDOKUMENT
Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39-98).
TILHØRENDE DOKUMENTER
Kommissionens afgørelse (EU) 2020/969 af 3. juli 2020 om gennemførelsesbestemmelser vedrørende databeskyttelsesrådgiveren, begrænsning af registreredes rettigheder, anvendelse af Europa-Parlamentets og Rådets forordning (EU) 2018/1725 og om ophævelse af Kommissionens afgørelse 2008/597/EF (EUT L 213 af 6.7.2020, s. 12-22).
Afgørelse fra Den Europæiske Tilsynsførende for Databeskyttelse af 15. maj 2020 om vedtagelse af den tilsynsførendes forretningsorden (EUT L 204 af 26.6.2020, s. 49-59).
Afgørelse fra Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) af 2. april 2019 om interne regler for anvendelse af begrænsninger på visse af de registreredes rettigheder i forbindelse med behandling af personoplysninger som led i aktiviteter, der udføres af Den Europæiske Tilsynsførende for Databeskyttelse (EUT L 99I af 10.4.2019, s. 1-7).
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1-88).
Efterfølgende ændringer af forordning (EU) 2016/679 er blevet indarbejdet i grundteksten. Denne konsoliderede udgave har ingen retsvirkning.
Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89-131).
Se den konsoliderede udgave.
seneste ajourføring 14.01.2022