ISSN 1977-0634

Den Europæiske Unions

Tidende

L 295

European flag  

Dansk udgave

Retsforskrifter

61. årgang
21. november 2018


Indhold

 

I   Lovgivningsmæssige retsakter

Side

 

 

FORORDNINGER

 

*

Europa-Parlamentets og Rådets forordning (EU) 2018/1724 af 2. oktober 2018 om oprettelse af en fælles digital portal, der giver adgang til oplysninger, procedurer og bistands- og problemløsningstjenester, og om ændring af forordning (EU) nr. 1024/2012 ( 1 )

1

 

*

Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF ( 1 )

39

 

*

Europa-Parlamentets og Rådets forordning (EU) 2018/1726 af 14. november 2018 om Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA) og om ændring af forordning (EF) nr. 1987/2006 og Rådets afgørelse 2007/533/RIA og om ophævelse af forordning (EU) nr. 1077/2011

99

 

*

Europa-Parlamentets og Rådets forordning (EU) 2018/1727 af 14. november 2018 om Den Europæiske Unions Agentur for Strafferetligt Samarbejde (Eurojust), og om erstatning og ophævelse af Rådets afgørelse 2002/187/RIA

138

 


 

(1)   EØS-relevant tekst.

DA

De akter, hvis titel er trykt med magre typer, er løbende retsakter inden for rammerne af landbrugspolitikken og har normalt en begrænset gyldighedsperiode.

Titlen på alle øvrige akter er trykt med fede typer efter en asterisk.


I Lovgivningsmæssige retsakter

FORORDNINGER

21.11.2018   

DA

Den Europæiske Unions Tidende

L 295/1


EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2018/1724

af 2. oktober 2018

om oprettelse af en fælles digital portal, der giver adgang til oplysninger, procedurer og bistands- og problemløsningstjenester, og om ændring af forordning (EU) nr. 1024/2012

(EØS-relevant tekst)

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 21, stk. 2, og artikel 114, stk. 1,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg (1),

efter den almindelige lovgivningsprocedure (2), og

ud fra følgende betragtninger:

(1)

Det indre marked er en af Unionens mest håndgribelige bedrifter. Ved at gøre det muligt for personer, varer, tjenesteydelser og kapital at bevæge sig frit åbner det nye muligheder for borgerne og virksomhederne. Denne forordning er et nøgleelement i strategien for det indre marked, der blev fastlagt i Kommissionens meddelelse af 28. oktober 2015 med titlen »Opgradering af det indre marked: flere muligheder for borgerne og virksomhederne«. Denne strategi har som formål at frigøre det indre markeds fulde potentiale ved at gøre det lettere for borgerne og virksomhederne at bevæge sig i Unionen og at handle, etablere sig og udvide deres virksomhed på tværs af grænserne.

(2)

Kommissionens meddelelse af 6. maj 2015 med titlen »En strategi for et digitalt indre marked i EU« anerkendte den rolle, som internettet og de digitale teknologier spiller i at ændre vores tilværelse, ændre den måde borgere og virksomheder skaffer sig adgang til oplysninger, tilegner sig viden, køber varer og tjenesteydelser, deltager i markedet og arbejder på, og derved fremmer muligheder for innovation, vækst og beskæftigelse. Denne meddelelse og flere beslutninger, som er vedtaget af Europa-Parlamentet, anerkendte, at borgernes og virksomhedernes behov i deres eget land og på tværs af grænserne bedre kan nås ved at udvide og integrere de eksisterende portaler, websteder, net, tjenester og systemer på europæisk niveau og ved at knytte dem sammen med forskellige nationale løsninger og derved skabe en »fælles digital portal«, der fungerer som et enkelt europæisk kontaktpunkt (»portalen«). Kommissionens meddelelse af 19. april 2016 med titlen »EU-handlingsplan for e-forvaltning 2016-2020 — Fremskyndelse af forvaltningernes digitale omstilling« nævnte portalen som et af tiltagene heri for 2017. Kommissionens rapport af 24. januar 2017 med titlen »Styrkelse af borgernes rettigheder i en Union med demokratiske forandringer — 2017-rapport om unionsborgerskab« anså portalen for at være en prioritet for rettighederne inden for unionsborgerskabet.

(3)

Europa-Parlamentet og Rådet har gentagne gange opfordret til en mere omfattende og mere brugervenlig pakke af oplysninger og bistand for at hjælpe borgere og virksomheder med at navigere på det indre marked og for at styrke og strømline redskaberne vedrørende det indre marked med henblik på bedre at opfylde borgernes og virksomhedernes behov i forbindelse med deres grænseoverskridende aktiviteter.

(4)

Denne forordning er et svar på disse opfordringer ved at tilbyde borgerne og virksomhederne adgang til de oplysninger, de procedurer og de bistands- og problemløsningstjenester, som er nødvendige, for at de kan udøve deres rettigheder på det indre marked. Portalen vil kunne bidrage til større gennemsigtighed af regler og bestemmelser vedrørende forskellige forretningsmæssige begivenheder og begivenheder i livet på områder som f.eks. rejser, pension, uddannelse, beskæftigelse, sundhedspleje, forbrugerrettigheder og familierettigheder. Den vil desuden kunne bidrage til at styrke forbrugernes tillid, adressere manglen på viden om forbrugerbeskyttelsen og det indre markeds regler og nedbringe virksomhedernes omkostninger til overholdelse af reglerne. Ved denne forordning oprettes en brugervenlig, interaktiv portal, som baseret på brugernes behov bør vejlede dem til de relevante tjenester. I den forbindelse bør Kommissionen og medlemsstaterne spille en vigtig rolle for at nå disse mål.

(5)

Portalen bør lette samspillet mellem borgere og virksomheder på den ene side og kompetente myndigheder på den anden side ved at give adgang til onlineløsninger, som gør borgernes og virksomhedernes daglige aktiviteter lettere og minimerer hindringerne i det indre marked. Tilstedeværelsen af en fælles digital portal, som giver adgang til nøjagtige og opdaterede oplysninger, adgang til onlineprocedurer og bistands- og problemløsningstjenester, kunne bidrage til at øge brugernes kendskab til de forskellige eksisterende onlinetjenester og spare brugerne for tid og penge.

(6)

Denne forordning har tre formål, nemlig at begrænse eventuelle yderligere administrative byrder for borgere og virksomheder, der udøver eller ønsker at udøve deres rettigheder på det indre marked, herunder den frie bevægelighed for borgere, i fuld overensstemmelse med nationale regler og procedurer, at afskaffe forskelsbehandling og at sikre, at det indre marked fungerer med hensyn til leveringen af oplysninger, af procedurer og af bistands- og problemløsningstjenester. Eftersom den omfatter fri bevægelighed for borgere, hvilket ikke blot kan betragtes som sekundært, bør denne forordning bygge på artikel 21, stk. 2, og artikel 114, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde (TEUF).

(7)

For at EU-borgere og -virksomheder kan udnytte deres ret til fri bevægelighed inden for det indre marked, bør Unionen vedtage specifikke, ikkediskriminerende foranstaltninger, der gør det muligt for borgerne og virksomhederne at få let adgang til tilstrækkeligt omfattende og pålidelige oplysninger om deres rettigheder i henhold til EU-retten og til oplysninger om de gældende nationale regler og procedurer, som de skal følge, når de flytter til, bor eller studerer, eller når de opretter eller driver virksomhed, i en anden medlemsstat end deres egen. Oplysninger bør anses som tilstrækkeligt omfattende, hvis de omfatter alle de oplysninger, der er nødvendige for at sikre, at brugerne forstår, hvilke rettigheder og forpligtelser de har, og identificerer de regler, der finder anvendelse på de aktiviteter, som de ønsker at gennemføre som grænseoverskridende brugere. Oplysningerne bør gives i en klar, kortfattet og forståelig form, være operationelle og godt tilpasset til den brugergruppe, de er henvendt til. Oplysninger om procedurer bør omfatte alle proceduremæssige skridt, som kan forudses, og som er relevante for brugeren. Det er vigtigt for borgere og virksomheder, der står over for komplekse reguleringsmæssige rammer, f.eks. virksomheder inden for e-handel og den kollaborative økonomi, at de let kan finde de gældende regler, og hvordan de finder anvendelse på deres aktiviteter. Let og brugervenlig adgang til oplysninger betyder, at brugeren sættes i stand til nemt at finde oplysningerne, nemt at afgøre, hvilke dele af oplysningerne der er relevante for deres særlige situation, og nemt at forstå de relevante oplysninger. De oplysninger, der skal gives på nationalt plan, bør ikke kun vedrøre nationale regler til gennemførelse af EU-retten, men også eventuelle andre nationale regler, som finder anvendelse på både grænseoverskridende og ikkegrænseoverskridende brugere.

(8)

Regler om leveringen af oplysninger i denne forordning bør ikke finde anvendelse på nationale retssystemer, eftersom oplysninger på dette område af relevans for grænseoverskridende brugere allerede er medtaget i e-justiceportalen. I visse situationer, der er omfattet af denne forordning, bør domstole anses for at være kompetente myndigheder, f.eks. når domstole forvalter selskabsregistre. Derudover bør princippet om ikkeforskelsbehandling også finde anvendelse på onlineprocedurer, der giver adgang til retssager.

(9)

Det er klart, at borgere og virksomheder fra andre medlemsstater kan være ugunstigt stillet på grund af deres manglende kendskab til de nationale regler og administrative systemer, de forskellige anvendte sprog og deres manglende geografiske nærhed til de kompetente myndigheder i en anden medlemsstat end deres egen. Den mest effektive metode til at mindske de deraf følgende hindringer på det indre marked er at muliggøre, at grænseoverskridende og ikkegrænseoverskridende brugere kan få adgang til oplysninger online på et sprog, som de kan forstå, for at sætte dem i stand til at gennemføre procedurer for overholdelse af nationale regler fuldt ud online og at tilbyde dem bistand, hvis reglerne og procedurerne ikke er klare nok, eller hvis de støder på hindringer for udøvelsen af deres rettigheder.

(10)

En række EU-retsakter har tilsigtet at finde løsninger ved at oprette sektorspecifikke enkelte kontaktpunkter, herunder de kvikskranker, som er oprettet ved Europa-Parlamentets og Rådets direktiv 2006/123/EF (3), som giver onlineinformation, bistand og adgang til procedurer, der er relevante for udførelse af tjenesteydelser, produktkontaktpunkter, der er oprettet ved Europa-Parlamentets og Rådets forordning (EF) nr. 764/2008 (4) og produktkontaktpunkter for byggeriet, der er oprettet ved Europa-Parlamentets og Rådets forordning (EU) nr. 305/2011 (5), som giver adgang til produktspecifikke tekniske forskrifter, og nationale støttecentre for erhvervsmæssige kvalifikationer, der er oprettet ved Europa-Parlamentets og Rådets direktiv 2005/36/EF (6), som bistår erhvervsudøvere, der flytter til et andet land. Derudover er der oprettet net, såsom Det Europæiske Netværk af Forbrugercentre, med henblik på at fremme forståelse af forbrugernes rettigheder og for at bistå med at løse klager over køb foretaget i andre medlemsstater inden for netværket, når der rejses eller indkøbes online. Endvidere forsøger Solvit som omhandlet i Kommissionens henstilling 2013/461/EU (7) at finde hurtige, effektive og uformelle løsninger til enkeltpersoner og virksomheder, når deres rettigheder inden for det indre marked nægtes af offentlige myndigheder. Endelig blev en række informationsportaler såsom Dit Europa vedrørende det indre marked og e-justiceportalen vedrørende området med retfærdighed oprettet for at informere brugerne om EU-regler og nationale regler.

(11)

Som følge af den sektorspecifikke karakter af disse EU-retsakter er den nuværende tilrådighedsstillelse af onlineinformation og af bistands- og problemløsningstjenester sammen med onlineprocedurer for borgere og virksomheder fortsat meget fragmenteret. Der er forskelle i tilgængeligheden af onlineinformation og -procedurer, og der er mangel på kvalitet med hensyn til tjenesterne og manglende kendskab til de pågældende oplysninger og bistands- og problemløsningstjenester. Grænseoverskridende brugere oplever også problemer med at finde og få adgang til disse tjenester.

(12)

Der bør ved denne forordning oprettes en fælles digital portal, der fungerer som et enkelt kontaktpunkt, hvor borgerne og virksomhederne kan få adgang til oplysninger om, hvilke regler og krav de skal opfylde i medfør af EU-retten eller national ret. Portalen bør forenkle borgernes og virksomhedernes kontakt med de bistands- og problemløsningstjenester, der er oprettet på EU-plan eller nationalt plan, og gøre denne kontakt mere effektiv. Portalen bør også lette adgangen til og gennemførelsen af onlineprocedurer. Denne forordning bør ikke på nogen måde berøre de gældende rettigheder og forpligtelser i henhold til EU-retten eller national ret inden for disse politikområder. I forbindelse med de procedurer, der er opført i bilag II til denne forordning, og de procedurer, der er fastsat i direktiv 2005/36/EF og 2006/123/EF og i Europa-Parlamentets og Rådets direktiv 2014/24/EU (8) og 2014/25/EU (9), bør denne forordning støtte anvendelsen af engangsprincippet og fuldt ud respektere den grundlæggende ret til beskyttelse af personoplysninger for så vidt angår udveksling af dokumentation mellem kompetente myndigheder i forskellige medlemsstater.

(13)

Portalen og dens indhold bør være brugercentreret og brugervenlig. Portalen bør sigte mod at undgå overlap og bør indeholde links til eksisterende tjenester. Den bør gøre det muligt for borgerne og virksomhederne at kommunikere med offentlige organer på nationalt plan eller EU-plan ved at give dem mulighed for at give feedback om både de tjenester, der tilbydes via portalen, og det indre markeds funktion, sådan som de oplever den. Feedbackredskabet bør gøre det muligt for brugerne at påpege på en måde, som gør det muligt for brugerne at forblive anonyme, oplevede problemer, mangler og behov med henblik på at fremme den løbende forbedring af kvaliteten af tjenesterne.

(14)

Om portalen bliver vellykket, vil afhænge af Kommissionens og medlemsstaternes fælles indsats. Portalen bør omfatte en fælles brugergrænseflade, der er integreret i den eksisterende Dit Europa-portal, og som skal forvaltes af Kommissionen. Den fælles brugergrænseflade bør indeholde links til oplysninger, til procedurer og til bistands- eller problemløsningstjenester, der er tilgængelige på portaler, som forvaltes af kompetente myndigheder i medlemsstaterne og af Kommissionen. For at lette anvendelsen af portalen bør den fælles brugergrænseflade være tilgængelig på alle de officielle sprog for Unionens institutioner (»Unionens officielle sprog«). Den eksisterende Dit Europa-portal og dens primære adgangsside, som er tilpasset kravene på portalen, bør bevare denne flersprogede tilgang til de oplysninger, som gives. Portalens funktion bør understøttes af tekniske redskaber, der udvikles af Kommissionen i tæt samarbejde med medlemsstaterne.

(15)

I chartret for elektroniske kvikskranker i henhold til direktiv 2006/123/EF, som Rådet godkendte i 2013, giver medlemsstaterne frivilligt tilsagn om at anlægge en brugercentreret tilgang til levering af oplysninger via kvikskrankerne for at dække områder af særlig betydning for virksomheder, herunder moms, selskabsskat, social sikring og arbejdsretlige krav. På grundlag af chartret og i lyset af erfaring med Dit Europa-portalen bør disse oplysninger også omfatte en beskrivelse af bistands- og problemløsningstjenesterne. Borgere og virksomheder bør kunne henvende sig til sådanne tjenester, når de har problemer med at forstå oplysningerne, med at anvende disse oplysninger på deres situation eller med at afslutte en procedure.

(16)

Denne forordning bør indeholde en liste over de områder, der er relevante for, at borgere og virksomheder kan udøve deres rettigheder og overholde deres forpligtelser på det indre marked. Inden for disse områder bør der gives tilstrækkeligt omfattende oplysninger på nationalt plan, herunder på regionalt og lokalt plan, og på EU-plan, der forklarer de gældende regler og forpligtelser og de procedurer, borgerne og virksomhederne skal gennemføre for at overholde disse regler og opfylde disse forpligtelser. For at sikre kvaliteten af de tilbudte tjenester bør de oplysninger, der leveres gennem portalen, være klare, nøjagtige og opdaterede, brug af kompleks terminologi bør minimeres, og brug af akronymer bør begrænses til dem, som resulterer i forenklede og letforståelige termer, som ikke kræver forudgående viden om emnet eller lovområdet. Disse oplysninger bør gives på en sådan måde, at brugerne let kan forstå de grundlæggende regler og krav, der gælder for deres situation på disse områder. Brugerne bør også informeres om fraværet i visse medlemsstater af nationale regler inden for de områder, der er anført i bilag I, navnlig såfremt disse områder er underlagt nationale regler i andre medlemsstater. Sådanne oplysninger om fravær af nationale regler kunne medtages på Dit Europa-portalen.

(17)

Når det er muligt, bør oplysninger, som Kommissionen allerede har indsamlet fra medlemsstaterne i henhold til eksisterende EU-ret eller frivillige ordninger såsom oplysninger indsamlet til Euresportalen, der er oprettet ved Europa-Parlamentets og Rådets forordning (EU) 2016/589 (10), e-justiceportalen, der er oprettet ved Rådets beslutning 2001/470/EF (11), eller databasen over lovregulerede erhverv, der er oprettet ved direktiv 2005/36/EF, anvendes til at dække en del af de oplysninger, der skal gøres tilgængelige for borgerne og virksomhederne på EU-plan og på nationalt plan i overensstemmelse med denne forordning. Medlemsstaterne bør ikke være forpligtede til på deres nationale websteder at levere oplysninger, der allerede findes i de relevante databaser, som forvaltes af Kommissionen. Når medlemsstaterne allerede skal give onlineinformation i henhold til andre EU-retsakter, såsom Europa-Parlamentets og Rådets direktiv 2014/67/EU (12), bør det være tilstrækkeligt, at medlemsstaterne tilvejebringer links til den eksisterende onlineinformation. Når visse politikområder allerede er blevet fuldt ud harmoniseret ved EU-retten, f.eks. forbrugerrettigheder, bør de oplysninger, der gives på EU-plan, generelt være tilstrækkelige til at brugerne er i stand til at forstå deres relevante rettigheder eller forpligtelser. I sådanne tilfælde bør det kun være påkrævet, at medlemsstaterne tilvejebringer yderligere oplysninger vedrørende deres nationale administrative procedurer og bistandstjenester eller eventuelle andre nationale administrative regler, hvis det er relevant for brugerne. Oplysninger vedrørende forbrugerrettigheder bør f.eks. ikke indvirke på aftaleretten, men bør snarere informere brugerne om deres rettigheder i henhold til EU-retten og national ret i forbindelse med handelstransaktioner.

(18)

Denne forordning bør styrke dimensionen vedrørende det indre marked af onlineprocedurer og derved bidrage til digitaliseringen af det indre marked ved at opretholde det almindelige princip om ikkeforskelsbehandling, bl.a. med hensyn til borgernes eller virksomhedernes adgang til onlineprocedurer, der allerede er indført på nationalt plan på grundlag af EU-retten eller national ret, og til procedurer, der i overensstemmelse med denne forordning skal gøres fuldt tilgængelige online. Hvis en bruger i en situation, der udelukkende er begrænset til en enkelt medlemsstat, kan få adgang til og gennemføre en procedure online i den pågældende medlemsstat på et område, der er omfattet af denne forordning, bør en grænseoverskridende bruger også kunne få adgang til og kunne gennemføre denne procedure online enten gennem den samme tekniske løsning eller en alternativ separat teknisk løsning, der fører til det samme resultat, uden nogen diskriminerende hindringer. Sådanne hindringer kan bestå i nationalt udformede løsninger såsom felter, der kræver nationale telefonnumre, nationale præfikser for telefonnumre eller nationale postnumre, betaling af gebyrer, som kun kan ske gennem systemer, der ikke giver mulighed for grænseoverskridende betalinger, mangel på detaljerede forklaringer på et sprog, som forstås af grænseoverskridende brugere, manglende muligheder for at indgive elektronisk dokumentation fra myndigheder, der er beliggende i en anden medlemsstat, og manglende accept af elektroniske identifikationsmidler, der er udstedt i andre medlemsstater. Medlemsstaterne bør komme med løsninger på disse hindringer.

(19)

Når brugere gennemfører onlineprocedurer på tværs af grænserne, bør de kunne modtage alle relevante forklaringer på et af Unionens officielle sprog, der forstås bredt af det størst mulige antal grænseoverskridende brugere. Dette betyder ikke, at medlemsstaterne er forpligtet til at oversætte deres administrative formularer, der er knyttet til proceduren, eller resultatet af proceduren til dette sprog. Medlemsstaterne opfordres dog til at anvende tekniske løsninger, der i så mange tilfælde som muligt, vil gøre det muligt for brugerne at gennemføre procedurerne på dette sprog, samtidig med at medlemsstaternes nationale regler om anvendelsen af sprog respekteres.

(20)

De nationale onlineprocedurer, der er relevante for, at grænseoverskridende brugere kan udøve deres rettigheder i det indre marked, afhænger af, om de er bosiddende eller etableret i den pågældende medlemsstat, eller om de ønsker adgang til den pågældende medlemsstats procedurer, mens de er bosiddende eller etableret i en anden medlemsstat. Denne forordning bør ikke forhindre medlemsstater i at kræve, at grænseoverskridende brugere, som er bosiddende eller etableret på deres område, får et nationalt identifikationsnummer for at få adgang til nationale onlineprocedurer, forudsat at dette ikke medfører en urimelig ekstra byrde eller omkostning for disse brugere. For grænseoverskridende brugere, som ikke er bosiddende eller etableret i den pågældende medlemsstat, behøver nationale onlineprocedurer, der ikke er relevante for udøvelsen af deres rettigheder i det indre marked, f.eks. tilmelding for at modtage lokale tjenester såsom affaldsindsamling og parkeringstilladelser, ikke gøres fuldt ud tilgængelige online.

(21)

Denne forordning bør bygge på Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 (13), der fastlægger, på hvilke betingelser medlemsstaterne anerkender visse elektroniske identifikationsmidler for fysiske og juridiske personer, der er omfattet af en anmeldt elektronisk identifikationsordning i en anden medlemsstat. Forordning (EU) nr. 910/2014 fastlægger, på hvilke betingelser brugerne har tilladelse til at anvende deres elektroniske identifikations- og autentifikationsmidler til at få adgang til offentlige onlinetjenester i grænseoverskridende situationer. EU-institutioner, -organer, -kontorer og -agenturer opfordres til at anerkende elektroniske identifikations- og autentifikationsmidler i forbindelse med de procedurer, som de er ansvarlige for.

(22)

En række sektorspecifikke EU-retsakter, såsom direktiv 2005/36/EF, 2006/123/EF, 2014/24/EU og 2014/25/EU, kræver, at procedurer gøres fuldt tilgængelige online. Denne forordning bør kræve, at en række andre procedurer, der er af største vigtighed for flertallet af borgere og virksomheder, som udøver deres rettigheder og overholder deres forpligtelser på tværs af grænserne, gøres fuldt tilgængelige online.

(23)

For at gøre det muligt for borgerne og virksomhederne direkte at kunne nyde godt af fordelene ved det indre marked uden, at det medfører en yderligere unødig administrativ byrde, bør denne forordning kræve en fuld digitalisering af brugergrænsefladen for visse centrale procedurer for grænseoverskridende brugere, som er anført i denne forordnings bilag II. Denne forordning bør også fastlægge kriterierne til at afgøre, hvordan disse procedurer kan betragtes som fuldt ud online. Denne forpligtelse til at gøre en sådan procedure fuldt tilgængelig online bør kun finde anvendelse, når procedurerne er etableret i de berørte medlemsstater. Denne forordning bør hverken omfatte den første registrering af en økonomisk virksomhed eller de procedurer, der fører til stiftelse af selskaber eller firmaer som juridiske enheder, eller en eventuel senere registrering, som disse selskaber eller firmaer måtte foretage, da sådanne procedurer kræver en omfattende tilgang, der tager sigte på at lette digitale løsninger i hele et selskabs livscyklus. Når virksomheder etablerer sig i en anden medlemsstat, har de pligt til at lade sig registrere i en social sikringsordning og en forsikringsordning med henblik på at registrere deres ansatte og betale bidrag til begge ordninger. De kan have behov for at anmelde deres økonomiske virksomhed, indhente tilladelser eller registrere ændringer i deres økonomiske virksomhed. Disse procedurer er fælles for virksomheder, der er aktive i mange erhvervssektorer, og det er derfor hensigtsmæssigt at kræve, at disse registreringsprocedurer gøres tilgængelige online.

(24)

Denne forordning bør præcisere, hvad det indebærer at stille en procedure til rådighed fuldt ud online. En procedure bør betragtes som fuldt ud online, hvis brugeren kan tage alle skridt elektronisk, på afstand og ved hjælp af en onlinetjeneste lige fra adgang til gennemførelse med kommunikation med den kompetente myndighed (»front office«). Denne onlinetjeneste bør lede brugeren gennem en liste over alle de krav, der skal opfyldes, og al den dokumentation, der skal stilles til rådighed, bør gøre det muligt for brugeren at levere oplysningerne og dokumentationen for overholdelse af alle de pågældende krav og bør give brugeren en automatisk kvittering for modtagelse, medmindre resultatet af proceduren leveres straks. Dette bør ikke forhindre kompetente myndigheder i at kontakte brugerne direkte, hvis det er nødvendigt for at få yderligere præciseringer, der er nødvendige for proceduren. De kompetente myndigheder bør også levere resultatet af den procedure, der er omhandlet i denne forordning, til brugeren i elektronisk form, hvor dette er muligt i henhold til gældende EU-ret og national ret.

(25)

Denne forordning bør ikke påvirke indholdet af de procedurer, der er anført i bilag II, som er etableret på nationalt, regionalt eller lokalt plan, og som ikke fastlægger materielle eller proceduremæssige regler inden for de områder, der er omfattet af bilag II, herunder skatteområdet. Formålet med denne forordning er at fastlægge de tekniske krav for at sikre, at disse procedurer, hvis de er blevet indført i den pågældende medlemsstat, bliver gjort fuldt tilgængelige online.

(26)

Denne forordning bør ikke påvirke de nationale myndigheders kompetencer i enhver procedure, herunder verifikation af rigtigheden og gyldigheden af de indgivne oplysninger eller beviser, og kontrol af ægthed, såfremt dokumentationen indgives på anden vis end det tekniske system på grundlag af engangsprincippet. Denne forordning bør heller ikke berøre de proceduremæssige arbejdsgange inden for og mellem de kompetente myndigheder, »back office«, hvad enten de er digitaliseret eller ej. Om nødvendigt som led i nogle af procedurerne for registrering af ændringer af erhvervsvirksomhed bør medlemsstaterne fortsat være i stand til at kræve inddragelse af notarer eller advokater, som kan ønske at anvende midler til verifikation, herunder videokonference eller andre onlinebaserede midler, som giver en audiovisuel forbindelse i realtid. En sådan inddragelse bør imidlertid ikke forhindre, at procedurerne for registrering af disse ændringer i deres helhed finder sted online.

(27)

I nogle tilfælde kan det forlanges, at brugeren indgiver dokumentation som bevis for faktiske omstændigheder, der ikke kan fastslås ved hjælp af elektroniske midler. Det kunne omfatte en lægeerklæring, dokumentation for at være i live, dokumentation for, at motorkøretøjer har bestået den tekniske kontrol, eller bekræftelse af deres chassisnumre. Forudsat at denne dokumentation kan indgives elektronisk, bør dette ikke udgøre en undtagelse fra princippet om, at en procedure bør stilles til rådighed fuldt ud online. Det kan i andre tilfælde stadig være nødvendigt for brugere af en procedure at give personligt fremmøde for en kompetent myndighed som del af en onlineprocedure. En sådan undtagelse bortset fra dem, der følger af EU-retten, bør begrænses til situationer, der er begrundet i et bydende nødvendigt hensyn til samfundets interesser på områderne offentlig sikkerhed, offentlig sundhed eller bekæmpelse af svig. For at sikre gennemsigtighed bør medlemsstaterne udveksle oplysninger med Kommissionen og de øvrige medlemsstater om sådanne undtagelser og om grundene til og omstændighederne under hvilke, de kan anvendes. Medlemsstaterne bør ikke være forpligtet til at indberette hvert enkelt tilfælde, hvor der undtagelsesvis blev krævet personligt fremmøde, men bør snarere meddele de nationale bestemmelser, der fastlægger sådanne tilfælde. Bedste praksis på nationalt plan og tekniske udviklinger, der giver mulighed for yderligere digitalisering i denne henseende, bør drøftes regelmæssigt i en portalkoordinationsgruppe.

(28)

I grænseoverskridende situationer kan proceduren for registrering af en adresseændring bestå af to særskilte procedurer, én i oprindelsesmedlemsstaten for at anmode om afmelding af den gamle adresse og den anden i bestemmelsesmedlemsstaten for at anmode om registrering på den nye adresse. Begge procedurer bør være omfattet af denne forordning.

(29)

Eftersom digitaliseringen af krav, procedurer og formaliteter i forbindelse med anerkendelse af erhvervsmæssige kvalifikationer allerede er omfattet af direktiv 2005/36/EF, bør denne forordning kun omfatte digitalisering af proceduren for anmodning om akademisk anerkendelse af eksamensbeviser, certifikater eller anden dokumentation for gennemførte kurser for en person, der ønsker at fortsætte eller påbegynde studier, eller for benyttelse af en uddannelsestitel, ud over formaliteterne i forbindelse med anerkendelse af erhvervsmæssige kvalifikationer.

(30)

Denne forordning bør ikke berøre de regler om koordinering af social sikring, der er fastsat i Europa-Parlamentets og Rådets forordning (EF) nr. 883/2004 (14) og (EF) nr. 987/2009 (15), som fastlægger rettighederne og forpligtelserne for forsikrede og socialsikringsinstitutioner, eller de procedurer, der gælder på området koordinering af social sikring.

(31)

Flere net og tjenester er blevet oprettet på EU-plan og nationalt plan for at bistå borgere og virksomheder i forbindelse med deres grænseoverskridende aktiviteter. Det er vigtigt, at disse tjenester, blandt andre eksisterende bistands- eller problemløsningstjenester, der er oprettet på EU-plan, eksempelvis Det Europæiske Netværk af Forbrugercentre, Dit Europa — Råd & Vink, Solvit, helpdesken vedrørende intellektuelle ejendomsrettigheder, Europe Direct og Enterprise Europe-netværket, indgår i portalen for at sikre, at alle potentielle brugere kan finde dem. De tjenester, der er anført i bilag III, er blevet oprettet ved bindende EU-retsakter, mens andre tjenester fungerer på frivilligt grundlag. Tjenester, der er blevet oprettet ved bindende EU-retsakter, bør være bundet af de kvalitetskrav, der fastlægges i denne forordning. Tjenester, der fungerer på frivilligt grundlag, bør opfylde disse kvalitetskrav, hvis det er hensigten at stille dem til rådighed via portalen. Omfanget og arten af disse tjenester, deres forvaltningsordninger, de eksisterende frister og det frivillige, kontraktmæssige eller andet grundlag, som de anvendes på, bør ikke ændres ved denne forordning. Hvis den bistand, som de yder, eksempelvis er uformel, bør denne forordning ikke resultere i en ændring af denne bistand til bindende juridisk rådgivning.

(32)

Desuden bør medlemsstaterne og Kommissionen kunne tilføje andre nationale bistands- eller problemløsningstjenester til portalen, som stilles til rådighed af kompetente myndigheder eller af private eller halvprivate enheder eller offentlige organer, såsom handelskamre eller ikkestatslige bistandstjenester for borgere, på de betingelser, der er fastlagt i denne forordning. I princippet bør de kompetente myndigheder være ansvarlige for at bistå borgerne og virksomhederne med forespørgsler vedrørende gældende regler og procedurer, som ikke fuldt ud kan besvares af onlinetjenester. Inden for meget specialiserede områder, og når tjenester, som stilles til rådighed af private eller halvprivate organer, opfylder brugernes behov, kan medlemsstaterne dog foreslå Kommissionen, at den medtager sådanne tjenester i portalen, forudsat at de opfylder alle betingelserne i denne forordning og ikke overlapper de bistands- eller problemløsningstjenester, der allerede er medtaget.

(33)

For at bistå brugerne med at finde frem til den relevante tjeneste bør denne forordning indeholde bestemmelser om en vejviser til bistandstjenester, der automatisk leder brugerne til den rette tjeneste.

(34)

Overholdelse af en minimumsliste over kvalitetskrav er væsentligt for en velfungerende portal med henblik på at sikre, at tilrådighedsstillelsen af oplysninger og tjenester er pålidelig, da troværdigheden af portalen som helhed ellers ville blive undergravet i alvorlig grad. Det overordnede mål med overholdelse er at sikre, at oplysningerne eller tjenesten opstilles på en klar og brugervenlig måde. Det er medlemsstaternes ansvar at beslutte, hvordan oplysningerne opstilles i løbet af brugerrejsen med henblik på at nå dette mål. Eksempelvis er det, selv om det er nyttigt for brugerne at blive underrettet om alment tilgængelige klagemuligheder, når en procedure medfører et negativt resultat, før proceduren indledes, meget mere brugervenligt at give konkrete oplysninger om de mulige skridt, der skal tages i et sådant tilfælde, ved slutningen af proceduren.

(35)

Tilgængeligheden af oplysninger for grænseoverskridende brugere kan forbedres betydeligt, hvis oplysningerne er tilgængelige på et af Unionens officielle sprog, der forstås bredt af det størst mulige antal grænseoverskridende brugere. Dette sprog bør i de fleste tilfælde være det fremmedsprog, der studeres af flest brugere i hele Unionen, men i visse særlige tilfælde, nærmere bestemt i tilfælde, hvor oplysninger skal gives på lokalt plan af små kommuner tæt på grænsen af en medlemsstat, kan det sprog, der anvendes som førstesprog af de grænseoverskridende brugere i nabomedlemsstaten, være det mest velegnede. Oversættelsen fra det eller de officielle sprog i den pågældende medlemsstat til dette andet af Unionens officielle sprog bør nøje afspejle indholdet af de oplysninger, der gives på originalsproget eller originalsprogene. Oversættelsen kan begrænses til de oplysninger, som brugerne behøver for at forstå de grundlæggende regler og krav, der gælder for deres situation. Medlemsstaterne bør tilskyndes til at oversætte så mange oplysninger som muligt til et af Unionens officielle sprog, som forstås bredt af det størst mulige antal grænseoverskridende brugere, men mængden af oplysninger, som skal oversættes i henhold til denne forordning, vil afhænge af de finansielle midler, der er til rådighed til dette formål, navnlig dem fra Unionens budget. Kommissionen bør træffe alle passende foranstaltninger for at sikre en effektiv levering af oversættelse til medlemsstaterne efter disses anmodning. Portalkoordinationsgruppen bør drøfte og yde vejledning om det eller de af Unionens officielle sprog, hvortil sådanne oplysninger bør oversættes.

(36)

I overensstemmelse med Europa-Parlamentets og Rådets direktiv (EU) 2016/2102 (16) kræves det af medlemsstaterne, at de sørger for, at webstederne for deres offentlige organer er tilgængelige i overensstemmelse med principperne om opfattelighed, funktionsevne, forståelighed og robusthed, og at de opfylder kravene fastlagt i nævnte direktiv. Kommissionen og medlemsstaterne bør sikre overensstemmelse med De Forenede Nationers konvention om rettigheder for personer med handicap, navnlig artikel 9 og 21, og for at fremme adgangen til information for personer med intellektuelt handicap bør alternativer i et letlæseligt sprog stilles til rådighed i det størst mulige omfang og i overensstemmelse med proportionalitetsprincippet. Medlemsstaterne har ved at ratificere og Unionen ved at indgå (17) nævnte konvention forpligtet sig til at træffe passende foranstaltninger til at sikre personer med handicap adgang på lige fod med andre til nye informations- og kommunikationsteknologier og -systemer, herunder internettet, ved at lette adgangen til information for personer med intellektuelle funktionsnedsættelser og tilbyde alternativer i et letlæseligt sprog i det størst mulige omfang og forholdsmæssigt.

(37)

Direktiv (EU) 2016/2102 finder ikke anvendelse på EU-institutioners, -organers, -kontorers og -agenturers websteder og mobilapplikationer, men Kommissionen bør sikre, at den fælles brugergrænseflade og de websider, som den har ansvaret for, og som skal indgå i portalen, er tilgængelige for personer med handicap, hvilket skal forstås sådan, at de er opfattelige, anvendelige, forståelige og robuste. Ved opfattelighed forstås, at oplysninger og de fælles brugergrænsefladekomponenter skal præsenteres for brugerne på måder, som de kan opfatte, ved anvendelighed forstås, at de fælles brugergrænsefladekomponenter og navigationen skal kunne anvendes, ved forståelighed forstås, at oplysningerne og betjeningen af den fælles brugergrænseflade skal være forståelige, og ved robusthed forstås, at indhold skal være robust nok til at kunne fortolkes pålideligt af en bred vifte af brugeragenter, herunder hjælpemiddelteknologier. For så vidt angår termerne opfattelige, anvendelige, forståelige og robuste tilskyndes Kommissionen til at overholde de relevante harmoniserede standarder.

(38)

For at lette betalingen af gebyrer, der kræves som en del af onlineprocedurer eller for levering af bistands- eller problemløsningstjenester, bør grænseoverskridende brugere kunne anvende kreditoverførsler eller direkte debiteringer som fastlagt i Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 (18) eller andre almindeligt anvendte grænseoverskridende betalingsmidler, herunder grænseoverskridende debet- eller kreditkort.

(39)

Det er hensigtsmæssigt, at brugerne underrettes om, hvor lang tid en procedure kan forventes at tage. Brugerne bør derfor underrettes om gældende frister eller ordninger med stiltiende godkendelse eller administrativ stiltiende godkendelse eller, hvis sådanne ikke er relevante, i det mindste om den gennemsnitlige anslåede eller vejledende tid, den pågældende procedure normalt tager. Sådanne skøn eller vejledende angivelser bør kun hjælpe brugerne med at planlægge deres aktiviteter eller efterfølgende administrative skridt og bør ikke have nogen retsvirkning.

(40)

Denne forordning bør også give mulighed for at verificere dokumentation, som brugere har indgivet i elektronisk form, hvis dokumentationen indgives uden elektronisk segl eller certificering fra den udstedende kompetente myndighed, eller hvis det tekniske redskab, der er oprettet ved denne forordning, eller ethvert andet system, der muliggør direkte udveksling eller verificering af dokumentation mellem kompetente myndigheder i forskellige medlemsstater, ikke er til rådighed. Til sådanne tilfælde bør denne forordning fastsætte bestemmelser om en effektiv mekanisme til administrativt samarbejde mellem medlemsstaternes kompetente myndigheder, som bygger på informationssystemet for det indre marked (»IMI«), der blev oprettet ved Europa-Parlamentets og Rådets forordning (EU) nr. 1024/2012 (19). I sådanne tilfælde bør den kompetente myndigheds beslutning om at anvende IMI være frivillig, men når først denne myndighed har indgivet en anmodning om oplysninger eller samarbejde gennem IMI, bør den anmodede kompetente myndighed være forpligtet til at samarbejde og til at give et svar. Anmodningen kan sendes gennem IMI enten til en kompetent myndighed, der har udstedt dokumentationen, eller til den centrale myndighed, der udpeges af medlemsstaterne i overensstemmelse med deres egne administrative regler. For at undgå unødige overlap, og eftersom Europa-Parlamentets og Rådets forordning (EU) 2016/1191 (20) dækker en del af den dokumentation, som er relevant for de procedurer, der er omfattet af nærværende forordning, kan de samarbejdsordninger for IMI, der er fastsat i forordning (EU) 2016/1191, også anvendes i forbindelse med anden dokumentation, der er påkrævet i forbindelse med procedurer, der er omfattet af nærværende forordning. For at gøre det muligt for EU-organer, -kontorer og -agenturer at blive aktører i IMI bør forordning (EU) nr. 1024/2012 ændres.

(41)

Onlinetjenester, der stilles til rådighed af kompetente myndigheder, er af afgørende betydning for at øge kvaliteten og sikkerheden af de tjenester, der stilles til rådighed for borgerne og virksomhederne. Offentlige forvaltninger i medlemsstaterne arbejder i stigende grad hen mod genbrug af data, med fritagelse for kravet om, at borgerne og virksomhederne indgiver de samme oplysninger flere gange. Genbrug af data bør lettes for grænseoverskridende brugere, for at begrænse yderligere byrder.

(42)

Med henblik på at muliggøre lovmæssig korrekt udveksling af dokumentation og oplysninger på tværs af landegrænser ved hjælp af anvendelse af engangsprincippet i hele Unionen bør anvendelsen af denne forordning og af engangsprincippet overholde alle relevante regler for databeskyttelse, herunder principperne for dataminimering, nøjagtighed, lagringsbegrænsning, integritet og fortrolighed, nødvendighed, proportionalitet og formålsbegrænsning. Dens gennemførelse bør også fuldt ud overholde principperne om indbygget sikkerhed og om privatlivsbeskyttelse og bør desuden respektere individets grundlæggende rettigheder, herunder dem der vedrører retfærdighed og gennemsigtighed.

(43)

Medlemsstaterne bør sikre, at brugere af procedurer modtager klare oplysninger om, hvorledes personoplysninger, som vedrører dem, vil blive behandlet i overensstemmelse med artikel 13 og 14 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (21) og artikel 15 og 16 i forordning (EU)2018/1725 (22).

(44)

For yderligere at lette anvendelsen af onlineprocedurer bør denne forordning i overensstemmelse med engangsprincippet skabe grundlag for udvikling og anvendelse af et fuldt funktionsdygtigt og sikkert teknisk system for elektronisk udveksling af dokumentation på tværs af grænserne mellem de aktører, der er involveret i proceduren, hvor borgerne og virksomhederne har anmodet udtrykkeligt om dette. Hvis udvekslingen af dokumentation indeholder personoplysninger, bør anmodningen anses for at være udtrykkelig, hvis den indeholder et frivilligt, specifikt, informeret og utvetydigt ønske fra personen om at få de relevante personoplysninger udvekslet, enten i form af en erklæring eller en klar bekræftelse. Hvis brugeren ikke er den person, der er omfattet af oplysningerne, bør onlineproceduren ikke påvirke vedkommendes rettigheder, jf. forordning (EU) 2016/679. Den grænseoverskridende anvendelse af engangsprincippet bør medføre, at borgerne og virksomhederne ikke skal indgive de samme data til offentlige myndigheder mere end én gang, og at det også bør være muligt at anvende disse data på brugerens anmodning med henblik på at gennemføre grænseoverskridende onlineprocedurer, der involverer grænseoverskridende brugere. Forpligtelsen for den udstedende kompetente myndighed til at anvende det tekniske system til elektronisk udveksling af oplysninger mellem forskellige medlemsstater bør kun finde anvendelse, når myndigheder i deres egen medlemsstat lovformeligt udsteder dokumentation i et elektronisk format, der gør elektronisk udveksling mulig.

(45)

Enhver grænseoverskridende udveksling af dokumentation bør have et passende retsgrundlag, såsom direktiv 2005/36/EF, 2006/123/EF, 2014/24/EU eller 2014/25/EU, eller, for så vidt angår procedurerne, der er opført i bilag II, anden gældende EU-ret eller national ret.

(46)

Det er hensigtsmæssigt, at denne forordning fastsætter som en generel regel, at grænseoverskridende elektronisk udveksling af dokumentation finder sted på brugerens udtrykkelige anmodning. Dette krav bør imidlertid ikke finde anvendelse, hvis den relevante EU-ret eller nationale ret giver mulighed for grænseoverskridende elektronisk dataudveksling uden en udtrykkelig anmodning fra brugeren.

(47)

Anvendelsen af det tekniske system, der er oprettet ved denne forordning, bør være frivillig, ligesom brugeren frit bør kunne indgive dokumentation på anden måde uden for det tekniske system. Brugeren bør have mulighed for at se dokumentationen og ret til at vælge ikke at fortsætte med udvekslingen af dokumentation i tilfælde, hvor brugeren, efter at have set den dokumentation, der skal udveksles, opdager, at oplysningerne er unøjagtige, forældede eller mere omfattende, end hvad der er nødvendigt med henblik på den pågældende procedure. Dataene i forhåndsvisningen bør ikke opbevares længere, end strengt nødvendigt af tekniske hensyn.

(48)

Det sikre tekniske system, der bør oprettes for at muliggøre udveksling af dokumentation i henhold til denne forordning, bør også give anmodende kompetente myndigheder sikkerhed for, at den pågældende dokumentation stammer fra den rette udstedende myndighed. Inden den kompetente myndighed accepterer oplysninger fra en bruger i forbindelse med en procedure, bør den, hvor de giver anledning til tvivl, kunne kontrollere oplysningerne og konkludere, at de er nøjagtige.

(49)

En række byggesten, der rummer grundlæggende muligheder, eksisterer, som kan anvendes til at oprette det tekniske system, såsom Connecting Europe-faciliteten oprettet ved Europa-Parlamentets og Rådets forordning (EU) nr. 1316/2013 (23) og byggestenene e-levering og eID, som udgør en del af nævnte facilitet. Disse byggesten består af tekniske specifikationer, et udvalg af software og hjælpetjenester og tager sigte på at sikre interoperabilitet mellem de eksisterende systemer for informations- og kommunikationsteknologi (IKT) i forskellige medlemsstater, så borgerne, virksomhederne og forvaltningerne, uanset hvor de måtte befinde sig i Europa, kan nyde godt af sømløse digitale offentlige tjenester.

(50)

Det tekniske system, der er oprettet ved denne forordning, bør stå til rådighed i tillæg til andre systemer med mekanismer til samarbejde mellem myndigheder, såsom IMI, og bør ikke berøre andre systemer, herunder det system, der er fastsat i forordning (EF) nr. 987/2009, det fælles europæiske udbudsdokument i henhold til direktiv 2014/24/EU, den elektroniske udveksling af oplysninger om social sikring i henhold til forordning (EF) nr. 987/2009, det europæiske erhvervspas i henhold til direktiv 2005/36/EF, sammenkoblingen af nationale registre og sammenkoblingen af centrale registre og handels- og selskabsregistre i henhold til Europa-Parlamentets og Rådets direktiv (EU) 2017/1132 (24) og sammenkoblingen af insolvensregistre i henhold til Europa-Parlamentets og Rådets forordning (EU) 2015/848 (25).

(51)

For at sikre ensartede betingelser for gennemførelsen af et teknisk system, som giver mulighed for elektronisk udveksling af dokumentation, bør Kommissionen tillægges gennemførelsesbeføjelser til at fastlægge navnlig de tekniske og operationelle specifikationer for et system til behandling af en brugers anmodning om udveksling af dokumentation og om overførsel af sådan dokumentation samt at fastlægge de nødvendige regler til at sikre integriteten og fortroligheden af overførsler. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (26).

(52)

Med henblik på at sikre, at det tekniske system giver et højt sikkerhedsniveau i forbindelse med grænseoverskridende anvendelse af engangsprincippet, bør Kommissionen, når den vedtager gennemførelsesretsakter, der fastsætter specifikationerne for et sådant teknisk system, tage behørigt hensyn til de standarder og tekniske specifikationer, der er udarbejdet af europæiske og internationale standardiseringsorganisationer og -organer, navnlig Den Europæiske Standardiseringsorganisation (CEN), Det Europæiske Institut for Telestandarder (ETSI), Den Internationale Standardiseringsorganisation (ISO) og Den Internationale Telekommunikationsunion (ITU), samt til de sikkerhedsstander, der er omhandlet i artikel 32 i forordning (EU) 2016/679 og artikel 22 i forordning (EU) 2018/1725.

(53)

Hvor det er nødvendigt for at sikre udvikling, tilgængelighed, vedligeholdelse, tilsyn med, overvågning og sikkerhedsmæssig forvaltning af de dele af det tekniske system, som Kommissionen er ansvarlig for, bør Kommissionen rådføre sig med Den Europæiske Tilsynsførende for Databeskyttelse.

(54)

De kompetente myndigheder og Kommissionen bør sikre, at de oplysninger, procedurer og tjenester, som de er ansvarlige for, overholder kvalitetskriterierne. Nationale koordinatorer, der er udnævnt i henhold til denne forordning, og Kommissionen bør med jævne mellemrum føre tilsyn med overholdelsen af kvalitets- og sikkerhedskriterierne på henholdsvis nationalt plan og EU-plan og tage hånd om eventuelle problemer, der måtte opstå. De nationale koordinatorer bør desuden hjælpe Kommissionen med at overvåge, hvordan det tekniske system fungerer, og dermed muliggøre grænseoverskridende udveksling af dokumentation. Denne forordning bør give Kommissionen en vifte af midler til at afhjælpe enhver forringelse af kvaliteten af de tjenester, der stilles til rådighed via portalen, afhængigt af hvor alvorlig forringelsen er, og hvor længe den varer, om nødvendigt med inddragelse af portalkoordinationsgruppen. Dette bør ikke berøre Kommissionens overordnede ansvar for overvågning af overholdelsen af denne forordning.

(55)

Denne forordning bør angive de vigtigste funktionaliteter i de tekniske redskaber, der understøtter portalens funktion, navnlig den fælles brugergrænseflade, linkfortegnelsen og den fælles vejviser til bistandstjenester. Den fælles brugergrænseflade bør sikre, at brugerne let kan finde oplysninger, procedurer og bistands- og problemløsningstjenester på nationale websteder og EU-websteder. Medlemsstaterne og Kommissionen bør sigte mod at tilvejebringe links til en enkelt kilde til de oplysninger, der kræves til portalen, for at undgå forveksling blandt brugerne som følge af forskellige eller helt eller delvist overlappende kilder til de samme oplysninger. Dette bør ikke udelukke muligheden for at tilvejebringe links til de samme oplysninger fra kompetente lokale eller regionale myndigheder vedrørende forskellige geografiske områder. Det bør heller ikke forhindre et vist overlap af oplysninger, når dette er uundgåeligt eller ønskeligt, f.eks. når visse EU-rettigheder, -forpligtelser og -regler gentages eller beskrives på nationale websteder for at forbedre brugervenligheden. For at minimere menneskelig medvirken ved opdateringen af de links, der skal anvendes af den fælles brugergrænseflade, bør der, hvis det er teknisk muligt, etableres en direkte forbindelse mellem de relevante tekniske systemer i medlemsstaterne og linkfortegnelsen. De fælles IKT-støtteredskaber kan anvende det grundlæggende glossar for offentlige tjenester (CPSV) for at lette interoperabiliteten med nationale tjenestekataloger og national semantik. Medlemsstaterne bør opfordres til at anvende CPSV, men kan frit beslutte at anvende nationale løsninger. Oplysningerne i linkfortegnelsen bør være offentligt tilgængelige i et åbent, almindeligt anvendt og maskinlæsbart dataformat, f.eks. i form af programmeringsgrænseflader for applikationer (API'er), for at gøre det muligt at genanvende dem.

(56)

Søgefunktionen i den fælles brugergrænseflade bør føre brugerne til de oplysninger, de har brug for, uanset om oplysningerne befinder sig på EU-websider eller på nationale websider. Derudover vil det som en alternativ måde at føre brugere til nyttige oplysninger fortsat være en hjælp, at der skabes links såvel mellem eksisterende og supplerende websteder eller websider, som strømlines og grupperes mest muligt, som mellem websteder og websider på EU-plan og på nationalt plan, så der gives adgang til onlinetjenester og oplysninger.

(57)

Denne forordning bør også indeholde kvalitetskrav til den fælles brugergrænseflade. Kommissionen bør sikre, at den fælles brugergrænseflade opfylder disse krav, og brugergrænsefladen bør navnlig være til rådighed og tilgængelig online via forskellige kanaler samt være let at bruge.

(58)

For at sikre ensartede betingelser for indførelsen af de tekniske løsninger, der understøtter portalen, bør Kommissionen tillægges gennemførelsesbeføjelser til, hvor det er nødvendigt, at fastlægge de standarder, der skal anvendes, og interoperabilitetskrav med henblik på at gøre det lettere at finde oplysninger om regler og forpligtelser, om procedurer og om bistands- og problemløsningstjenester, for hvilke medlemsstaterne og Kommissionen er ansvarlige. Disse beføjelser bør udøves i overensstemmelse med forordning (EU) nr. 182/2011.

(59)

Denne forordning bør også tydeligt fordele ansvaret for udvikling, tilgængelighed og vedligeholdelse af og sikkerhed for de IKT-applikationer, der understøtter portalen, mellem Kommissionen og medlemsstaterne. Som led i deres vedligeholdelsesopgaver bør Kommissionen og medlemsstaterne regelmæssigt føre tilsyn med, at disse IKT-applikationer fungerer korrekt.

(60)

For at udvikle det fulde potentiale i de forskellige områder af oplysninger, de procedurer og de bistands- og problemløsningstjenester, som bør indgå i portalen, skal målgruppernes kendskab til deres eksistens og virkemåde forbedres betydeligt. Deres medtagelse i portalen bør gøre det meget lettere for brugerne at finde de oplysninger, de procedurer og de bistands- og problemløsningstjenester, som de har behov for, selv når de ikke er bekendt med nogen af dem. Endvidere vil koordinerede promoverende aktiviteter være nødvendig for at sikre, at borgerne og virksomhederne i hele Unionen får kendskab til eksistensen af portalen og de fordele, som der er ved den. Sådanne promoverende aktiviteter bør omfatte optimering af søgemaskiner og andre onlineoplysningstiltag, da de er de mest omkostningseffektive og har potentiale til at nå ud til den størst mulige målgruppe. Med henblik på størst mulig effektivitet bør disse promoverende aktiviteter koordineres inden for rammerne af portalkoordinationsgruppen, og medlemsstaterne bør tilpasse deres promoverende indsats, så der er en fælles mærkereference i alle relevante sammenhænge og mulighed for at anvende det samme mærke for portalen og nationale initiativer.

(61)

Alle EU-institutioner, -organer og -agenturer bør opfordres til at fremme portalen ved at indsætte dens logo og links til den på alle relevante websider, som de er ansvarlige for.

(62)

Det navn, som portalen skal kendes og formidles til offentligheden under, bør være »Your Europe«. Den fælles brugergrænseflade bør være fremtrædende og let at finde, især via relevante EU-websider og nationale websider. Portalens logo bør være synligt på relevante EU-websteder og nationale websteder.

(63)

For at opnå egnede oplysninger til måling og forbedring af resultaterne i forbindelse med portalen bør denne forordning kræve, at de kompetente myndigheder og Kommissionen indsamler og analyserer data vedrørende anvendelse af de forskellige oplysningsområder, procedurer og tjenester, der stilles til rådighed via portalen. Indsamlingen af brugerstatistik, såsom data vedrørende antallet af besøg på specifikke websider, antallet af brugere i en medlemsstat i forhold til antallet af brugere fra andre medlemsstater, de anvendte søgetermer, de mest besøgte websider, de henvisende websider, eller antallet af anmodninger om bistand, deres oprindelse og emne, bør forbedre portalens funktion ved at hjælpe med til at udpege målgruppen, udvikle promoverende aktiviteter og forbedre kvaliteten af de tilbudte tjenester. Indsamlingen af sådanne data bør tage højde for den årlige benchmarking for e-forvaltning, der udføres af Kommissionen, for at undgå overlap.

(64)

For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser med henblik på at fastlægge ensartede regler om metoden til indsamling og udveksling af brugerstatistikker. Disse beføjelser bør udøves i overensstemmelse med forordning (EU) nr. 182/2011.

(65)

Kvaliteten af portalen afhænger af kvaliteten af de EU-tjenester og nationale tjenester, som leveres gennem portalen. Derfor bør kvaliteten af de oplysninger, procedurer og bistands- og problemløsningstjenester, der er tilgængelige via portalen, også overvåges regelmæssigt ved hjælp af et brugerfeedbackredskab, som vil bede brugerne om at vurdere og give feedback om dækningen og kvaliteten af de oplysninger, procedurer og bistands- og problemløsningstjenester, som de har brugt. Denne feedback bør blive indsamlet i et fælles redskab, som Kommissionen, de kompetente myndigheder og de nationale koordinatorer bør have adgang til. For at sikre ensartede betingelser for gennemførelse af denne forordning for så vidt angår de fælles funktionaliteter i brugerfeedbackredskaberne og nærmere ordninger for indsamling og udveksling af brugerfeedback bør Kommissionen tillægges gennemførelsesbeføjelser. Disse beføjelser bør udøves i overensstemmelse med forordning (EU) nr. 182/2011. Kommissionen bør i anonymiseret form offentliggøre sammenfattende onlineoversigter over de problemer, der fremgår af oplysningerne, de vigtigste brugerstatistikker og den vigtigste brugerfeedback, der er indsamlet i overensstemmelse med nærværende forordning.

(66)

Portalen bør endvidere indeholde et feedbackredskab, der gør det muligt for brugerne frivilligt og anonymt at kunne gøre opmærksom på eventuelle problemer og vanskeligheder, som de har haft i forbindelse med udøvelsen af deres rettigheder på det indre marked. Dette redskab bør kun betragtes som et supplement til klagebehandlingsordninger, eftersom det ikke kan give et personligt svar til brugerne. De modtagne bidrag bør kombineres med aggregerede oplysninger fra bistands- og problemløsningstjenesterne om de sager, som de har behandlet, med henblik på at udarbejde en oversigt over det indre marked, sådan som det opfattes af sine brugere, og at identificere problemområder med henblik på mulige fremtidige tiltag til at forbedre det indre markeds funktion. Denne oversigt bør være knyttet til eksisterende rapporteringsværktøjer såsom resultattavlen for det indre marked.

(67)

Medlemsstaternes ret til at afgøre, hvem der skal varetage rollen som national koordinator, bør ikke berøres af denne forordning. Medlemsstaterne bør kunne tilpasse funktionerne og ansvarsområderne for deres nationale koordinatorer i relation til portalen til deres interne administrative strukturer. Medlemsstaterne bør kunne udpege yderligere nationale koordinatorer til at udføre opgaverne i henhold til denne forordning, alene eller sammen med andre, med ansvar for et udsnit af administrationen eller et geografisk område eller i overensstemmelse med andre kriterier. Medlemsstaterne bør underrette Kommissionen om identiteten på den fælles nationale koordinator, som de har udpeget til kontakten til Kommissionen.

(68)

Der bør nedsættes en koordinationsgruppe bestående af de nationale koordinatorer og med Kommissionen som formand med henblik på at lette anvendelsen af denne forordning, navnlig ved at udveksle bedste praksis og samarbejde for at forbedre konsekvensen i fremlæggelsen af oplysninger som krævet i denne forordning. Portalkoordinationsgruppens arbejde bør tage hensyn til de mål, der er fastsat i et årligt arbejdsprogram, som Kommissionen bør forelægge den med henblik på drøftelse. Det årlige arbejdsprogram bør tage form af retningslinjer eller anbefalinger, som er ikkebindende for medlemsstaterne. Kommissionen kan efter anmodning fra Europa-Parlamentet beslutte at opfordre det til at sende eksperter til at deltage i portalkoordinationsgruppens møder.

(69)

Denne forordning bør præcisere, hvilke dele af portalen der skal finansieres over Unionens budget, og hvilke dele der skal være medlemsstaternes ansvar. Kommissionen bør bistå medlemsstaterne med at identificere genanvendelige IKT-byggesten og finansiering, der er til rådighed gennem forskellige EU-midler og -programmer, der kan bidrage til at dække omkostningerne til de IKT-tilpasninger og -udviklinger, der er nødvendige på nationalt plan for at efterkomme denne forordning. Det budget, der kræves til gennemførelsen af denne forordning, bør være foreneligt med den relevante flerårige finansielle ramme.

(70)

Medlemsstaterne opfordres til at koordinere, udveksle og samarbejde mere med hinanden med henblik på at øge deres strategiske og operationelle kapaciteter samt deres forsknings- og udviklingskapaciteter inden for cybersikkerhed, navnlig gennem gennemførelsen af den net- og informationssikkerhed, der er omhandlet i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 (27), for at styrke sikkerheden og robustheden i deres offentlige forvaltning og tjenester. Medlemsstaterne tilskyndes til at skærpe transaktioners sikkerhed og sikre et tilstrækkeligt niveau af tillid til elektroniske midler ved at anvende eIDAS-rammen, der blev fastlagt ved forordning (EU) nr. 910/2014 og navnlig have passende sikringsniveauer. Medlemsstaterne kan træffe foranstaltninger i overensstemmelse med EU-retten med henblik på at sikre cybersikkerheden og forhindre identitetssvig eller andre former for svig.

(71)

Når anvendelsen af denne forordning indebærer behandling af personoplysninger, bør den gennemføres i overensstemmelse med EU-retten om beskyttelse af personoplysninger, særlig forordning (EU) 2016/679 og forordning (EU) 2018/1725. Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (28) bør også finde anvendelse i forbindelse med nærværende forordning. I overensstemmelse med forordning (EU) 2016/679 kan medlemsstaterne opretholde eller indføre yderligere betingelser, herunder begrænsninger, for behandling af helbredsoplysninger, og de kan også fastsætte mere specifikke regler for behandling af arbejdstageres personoplysninger i forbindelse med ansættelsesforhold.

(72)

Nærværende forordning bør fremme og lette strømliningen af forvaltningsordningerne for de tjenester, der er omfattet af portalen. Med henblik herpå bør Kommissionen i tæt samarbejde med medlemsstaterne revidere de eksisterende forvaltningsordninger og tilpasse dem, hvis det er nødvendigt, for at undgå overlap og ineffektivitet.

(73)

Målet for denne forordning er at sikre, at brugere, der opererer i andre medlemsstater, har onlineadgang til omfattende, pålidelige, tilgængelige og forståelige EU-oplysninger og nationale oplysninger om rettigheder, regler og forpligtelser, til onlineprocedurer, som er fuldt anvendelige på tværs af grænserne, og til bistands- og problemløsningstjenester. Da dette formål ikke i tilstrækkelig grad kan opfyldes af medlemsstaterne, men på grund af denne forordnings omfang og virkninger bedre kan nås på EU-plan, kan Unionen vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Unions funktionsmåde. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at opfylde dette mål.

(74)

For at medlemsstaterne og Kommissionen kan udvikle og iværksætte de redskaber, der er nødvendige for at gennemføre denne forordning, bør visse af dens bestemmelser finde anvendelse fra to år efter dens ikrafttrædelsesdato. Kommunale myndigheder bør gives op til fire år efter denne forordnings ikrafttræden til at gennemføre de krav til at tilvejebringe oplysninger om reglerne, procedurerne samt bistands- og problemløsningstjenesterne inden for deres ansvarsområde. Bestemmelserne i denne forordning om de procedurer, der skal tilbydes helt online, om den grænseoverskridende adgang til onlineprocedurer og om det tekniske system til grænseoverskridende elektronisk udveksling af oplysninger i overensstemmelse med »engangsprincippet« bør gennemføres senest fem år efter denne forordnings ikrafttræden.

(75)

Denne forordning respekterer de grundlæggende rettigheder og følger de principper, der er anerkendt i navnlig Den Europæiske Unions charter om grundlæggende rettigheder, og bør gennemføres i overensstemmelse med disse rettigheder og principper.

(76)

Den Europæiske Tilsynsførende for Databeskyttelse blev hørt i henhold til artikel 28, stk. 2, i Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 (29) og afgav udtalelse den 1. august 2017 (30) —

VEDTAGET DENNE FORORDNING:

KAPITEL I

ALMINDELIGE BESTEMMELSER

Artikel 1

Genstand

1.   Denne forordning fastsætter regler for:

a)

oprettelse og drift af en fælles digital portal, som giver borgerne og virksomhederne let adgang til oplysninger af høj kvalitet, til effektive procedurer og til effektive bistands- og problemløsningstjenester vedrørende EU-regler og nationale regler gældende for borgere og virksomheder, der udøver eller har til hensigt at udøve deres rettigheder i medfør af EU-retten på området det indre marked, jf. artikel 26, stk. 2, i TEUF

b)

grænseoverskridende brugeres anvendelse af procedurer, og indførelsen af engangsprincippet i forbindelse med de procedurer, der er anført i bilag II til denne forordning, og de procedurer, der er omhandlet i direktiv 2005/36/EF, 2006/123/EF, 2014/24/EU og 2014/25/EU

c)

indberetningen af hindringer på det indre marked på grundlag af indsamling af brugerfeedback og statistikker fra de tjenester, der er omfattet af portalen.

2.   Hvis denne forordning strider mod en bestemmelse i en anden EU-retsakt om specifikke aspekter af genstanden for denne forordning, har bestemmelsen i den anden EU-retsakt forrang.

3.   Denne forordning berører hverken indholdet af en procedure eller de rettigheder, der tildeles gennem en procedure, som er fastlagt på EU-plan eller nationalt plan på et af de områder, der er omfattet af denne forordning. Denne forordning berører endvidere ikke foranstaltninger, der træffes i overensstemmelse med EU-retten for at sikre cybersikkerheden og forebygge svig.

Artikel 2

Oprettelse af den fælles digitale portal

1.   Kommissionen og medlemsstaterne opretter en fælles digital portal (»portalen«) i overensstemmelse med denne forordning. Portalen skal bestå af en fælles brugergrænseflade, som forvaltes af Kommissionen (»den fælles brugergrænseflade«), som skal være integreret i Dit Europa-portalen, og som skal give adgang til relevante EU-websider og nationale websider.

2.   Portalen skal give adgang til:

a)

oplysninger om rettigheder, forpligtelser og regler, der er fastsat i EU-retten og national ret, og som finder anvendelse på brugere, der udøver eller har til hensigt at udøve deres rettigheder i medfør af EU-retten på området det indre marked inden for de områder, der er anført i bilag I

b)

oplysninger om online- og offlineprocedurer og links til onlineprocedurer, herunder procedurer omfattet af bilag II, der er fastlagt på EU-plan eller nationalt plan med henblik på at give brugerne mulighed for udøvelse af rettighederne og for overholdelse af forpligtelserne og reglerne på området det indre marked inden for de områder, der er anført i bilag I

c)

oplysninger om og links til de bistands- og problemløsningstjenester, som er anført i bilag III eller omhandlet i artikel 7, som borgerne og virksomhederne kan henvende sig til, hvis de har spørgsmål eller problemer vedrørende de rettigheder, forpligtelser, regler og procedurer, som er omhandlet i dette stykkes litra a) og b).

3.   Den fælles brugergrænseflade skal være tilgængelig på alle Unionens officielle sprog.

Artikel 3

Definitioner

I denne forordning forstås ved:

1)

»bruger«: enten en unionsborger, en fysisk person bosiddende i en medlemsstat eller en juridisk person med vedtægtsmæssigt hjemsted i en medlemsstat, og som via portalen tilgår de oplysninger, de procedurer eller de bistands- eller problemløsningstjenester, der er omhandlet i artikel 2, stk. 2

2)

»grænseoverskridende bruger«: en bruger i en situation, som ikke i alle henseender er begrænset til en enkelt medlemsstat

3)

»procedure«: en række handlinger, som brugere skal udføre for at opfylde kravene eller for at opnå en afgørelse fra en kompetent myndighed med henblik på at kunne udøve deres rettigheder som omhandlet i artikel 2, stk. 2, litra a)

4)

»kompetent myndighed«: en myndighed eller et organ i en medlemsstat, der er etableret på nationalt, regionalt eller lokalt niveau, og som har bestemte ansvarsområder vedrørende de oplysninger, procedurer og bistands- og problemløsningstjenester, der er omfattet af denne forordning

5)

»dokumentation«: ethvert dokument eller enhver form for data, herunder tekst eller lyd, visuelle eller audiovisuelle optagelser, uanset hvilket medium der er anvendt, som er krævet af en kompetent myndighed for at bevise faktiske omstændigheder eller overholdelse af de proceduremæssige krav, der er omhandlet i artikel 2, stk. 2, litra b).

KAPITEL II

PORTALTJENESTER

Artikel 4

Adgang til oplysninger

1.   Medlemsstaterne sikrer, at brugerne har let onlineadgang på deres nationale websider til følgende:

a)

oplysninger om de rettigheder, forpligtelser og regler, der er omhandlet i artikel 2, stk. 2, litra a), og som hidrører fra national ret

b)

oplysninger om de procedurer, der er omhandlet i artikel 2, stk. 2, litra b), og som er etableret på nationalt plan

c)

oplysninger om de bistands- og problemløsningstjenester, der er omhandlet i artikel 2, stk. 2, litra c), og som stilles til rådighed på nationalt plan.

2.   Kommissionen sikrer, at Dit Europa-portalen giver brugerne let onlineadgang til følgende:

a)

oplysninger om de rettigheder, forpligtelser og regler, der er omhandlet i artikel 2, stk. 2, litra a), og som hidrører fra national ret

b)

oplysninger om de procedurer, der er omhandlet i artikel 2, stk. 2, litra b), og som er etableret på EU-plan

c)

oplysninger om de bistands- og problemløsningstjenester, der er omhandlet i artikel 2, stk. 2, litra c), og som stilles til rådighed på EU-plan.

Artikel 5

Adgang til oplysninger, som ikke er omfattet af bilag I

1.   Medlemsstaterne og Kommissionen kan tilvejebringe links til oplysninger på områder, som ikke er opført i bilag I, og som tilbydes af kompetente myndigheder, Kommissionen eller EU-organer, -kontorer og -agenturer, hvis disse oplysninger er omfattet af anvendelsesområdet for portalen som defineret i artikel 1, stk. 1, litra a), og er i overensstemmelse med de kvalitetskrav, der er fastlagt i artikel 9.

2.   Linkene til de i nærværende artikels stk. 1 omhandlede oplysninger tilvejebringes i overensstemmelse med artikel 19, stk. 2 og 3.

3.   Inden Kommissionen aktiverer eventuelle links, kontrollerer den, at betingelserne fastlagt i stk. 1 er opfyldt, og hører portalkoordinationsgruppen.

Artikel 6

Procedurer, der tilbydes helt online

1.   Hver medlemsstat sikrer, at brugere kan få adgang til og gennemføre alle de procedurer, der er anført i bilag II, helt online, forudsat at den relevante procedure er indført i den pågældende medlemsstat.

2.   De procedurer, der er omhandlet i stk. 1, anses for at være helt online, hvis:

a)

identifikationen af brugere, indgivelsen af oplysninger og dokumentation, undertegnelse og endelig indsendelse i det hele kan gennemføres elektronisk på afstand via en tjenestekanal, der giver brugerne mulighed for at opfylde kravene i forbindelse med proceduren på en brugervenlig og struktureret måde

b)

brugere får en automatisk kvittering for modtagelsen, medmindre resultatet af proceduren leveres straks

c)

resultatet af proceduren leveres elektronisk eller, hvis dette er nødvendigt for at overholde gældende EU-ret eller national ret, leveres fysisk, og

d)

brugere får en elektronisk meddelelse om afslutning af proceduren.

3.   Hvis det tilstræbte mål i undtagelsestilfælde begrundet i tvingende almene hensyn til den offentlige sikkerhed, folkesundheden eller bekæmpelse af svig ikke kan opfyldes helt online, kan medlemsstaterne kræve brugerens fysiske tilstedeværelse hos den pågældende kompetente myndighed som et trin i proceduren. I sådanne undtagelsestilfælde begrænser medlemsstaterne en sådan fysisk tilstedeværelse til, hvad der er strengt nødvendigt og objektivt begrundet, og sikrer, at de andre faser af proceduren helt kan gennemføres online. Medlemsstaterne sikrer også, at krav om fysisk tilstedeværelse ikke fører til forskelsbehandling af grænseoverskridende brugere.

4.   Medlemsstaterne underretter og forklarer gennem en fælles database, som Kommissionen og de øvrige medlemsstater har adgang til, om grundene til og omstændighederne under hvilke, fysisk tilstedeværelse kan være påkrævet for de proceduremæssige trin, der er omhandlet i stk. 3, og grundene til og omstændighederne under hvilke, fysisk levering er nødvendig, som omhandlet i stk. 2, litra c).

5.   Denne artikel forhindrer ikke medlemsstaterne i at give brugerne yderligere mulighed for at tilgå og gennemføre procedurerne som omhandlet i artikel 2, stk. 2, litra b), på anden måde end gennem en onlinekanal, eller i at kontakte brugerne direkte.

Artikel 7

Adgang til bistands- og problemløsningstjenester

1.   Medlemsstaterne og Kommissionen sikrer, at brugerne, herunder grænseoverskridende brugere, har let onlineadgang gennem forskellige kanaler til bistands- og problemløsningstjenester, jf. artikel 2, stk. 2, litra c).

2.   De i artikel 28 omhandlede nationale koordinatorer og Kommissionen kan tilvejebringe links til bistands- og problemløsningstjenester, som kompetente myndigheder, Kommissionen eller EU-organer, -kontorer eller -agenturer stiller til rådighed, bortset fra dem, der er anført i bilag III, i overensstemmelse med artikel 19, stk. 2 og 3, forudsat at sådanne tjenester opfylder de kvalitetskrav, der er fastsat i artikel 11 og 16.

3.   Hvis det er nødvendigt for at opfylde brugernes behov, kan den nationale koordinator foreslå Kommissionen, at links til bistands- eller problemløsningstjenester, der stilles til rådighed af private eller halvprivate enheder, medtages i portalen, såfremt disse tjenester opfylder følgende betingelser:

a)

de tilbyder oplysninger eller bistand inden for de områder og til de formål, der er omfattet af denne forordning, og er et supplement til de tjenester, der allerede indgår i portalen

b)

de tilbydes gratis eller til en pris, der er overkommelig for mikrovirksomheder, nonprofitorganisationer og borgere, og

c)

de opfylder de krav, der er fastsat i artikel 8, 11 og 16.

4.   Hvis den nationale koordinator har foreslået medtagelse af et link i overensstemmelse med denne artikels stk. 3 og tilvejebringer et sådant link i overensstemmelse med artikel 19, stk. 3, vurderer Kommissionen, om betingelserne i denne artikels stk. 3 er opfyldt af den tjeneste, der skal medtages gennem linket, og hvis det er tilfældet, aktiverer linket.

Hvis Kommissionen finder, at betingelserne i stk. 3 ikke er opfyldt af den tjeneste, der skal medtages, skal den underrette den nationale koordinator om grundene til ikke at aktivere linket.

Artikel 8

Kvalitetskrav vedrørende webtilgængelighed

Kommissionen gør de af sine websider og websteder, som giver adgang til de oplysninger, der er omhandlet i artikel 4, stk. 2, og de bistands- og problemløsningstjenester, der er omhandlet i artikel 7, mere tilgængelige ved at gøre dem mere opfattelige, funktionsdygtige, forståelige og robuste.

KAPITEL III

KVALITETSKRAV

AFDELING 1

Kvalitetskrav til oplysninger om rettigheder, forpligtelser og regler, om procedurer og om bistands- og problemløsningstjenester

Artikel 9

Kvalitet af oplysninger om rettigheder, forpligtelser og regler

1.   Hvis medlemsstaterne og Kommissionen i henhold til artikel 4 er ansvarlige for at sørge for adgang til de oplysninger, der er omhandlet i artikel 2, stk. 2, litra a), sikrer de, at sådanne oplysninger opfylder følgende krav:

a)

de er brugervenlige, således at brugerne nemt kan finde frem til og forstå oplysningerne og let identificere, hvilke dele af oplysningerne der er relevante for deres særlige situation

b)

de er nøjagtige og tilstrækkeligt omfattende til at dække oplysninger, som brugerne har behov for at kende for at kunne udøve deres rettigheder i fuld overensstemmelse med gældende regler og forpligtelser

c)

de omfatter henvisninger, links til retsakter, tekniske specifikationer og retningslinjer, hvis det er relevant

d)

de omfatter navnet på den kompetente myndighed eller enhed, der er ansvarlig for oplysningernes indhold

e)

de omfatter kontaktoplysningerne til eventuelle relevante bistands- eller problemløsningstjenester, såsom et telefonnummer, en e-mailadresse, en online forespørgselsblanket eller enhver anden almindeligt anvendt elektronisk kommunikation, der er bedst egnet til den type tjeneste, der bliver tilbudt, og til målgruppen for denne tjeneste

f)

de omfatter datoen for den seneste opdatering af oplysningerne, eller hvis oplysningerne ikke er blevet opdateret, datoen for offentliggørelsen af oplysningerne

g)

de er velstrukturerede og opstillet, så brugerne hurtigt kan finde de oplysninger, som de har behov for

h)

de holdes opdateret, og

i)

de er skrevet i et klart og enkelt sprog, der er tilpasset målbrugernes behov.

2.   Medlemsstaterne gør de i denne artikels stk. 1 nævnte oplysninger tilgængelige på et af Unionens officielle sprog, der forstås bredt af det størst mulige antal grænseoverskridende brugere, i overensstemmelse med artikel 12.

Artikel 10

Kvaliteten af oplysninger om procedurer

1.   Medlemsstaterne og Kommissionen sikrer med henblik på overholdelse af artikel 4, at brugerne, inden brugerne skal identificere sig, før proceduren indledes, har adgang til en tilstrækkeligt omfattende, klar og brugervenlig forklaring af følgende elementer, hvor det er relevant, i proceduren, der er omhandlet i artikel 2, stk. 2, litra b):

a)

de relevante trin i proceduren, brugeren skal tage, herunder enhver undtagelse i henhold til artikel 6, stk. 3, til medlemsstaternes forpligtelse til at tilbyde proceduren helt online

b)

navnet på den kompetente myndighed, der er ansvarlig for proceduren, herunder dens kontaktoplysninger

c)

de godkendte midler til autentifikation, identifikation og underskrift i forbindelse med proceduren

d)

typen og formatet af den dokumentation, der skal indsendes

e)

de former for retsmidler eller appel, der generelt er til rådighed i tilfælde af tvister med de kompetente myndigheder

f)

de gældende gebyrer og onlinebetalingsmåder

g)

eventuelle frister, der skal overholdes af brugeren eller af den kompetente myndighed, og, hvis der ikke findes nogen frister, den gennemsnitlige, anslåede eller vejledende tid, som den kompetente myndighed skal bruge for at fuldføre proceduren

h)

eventuelle regler vedrørende manglende svar fra den kompetente myndighed og de retlige konsekvenser heraf for brugerne, herunder ordninger med stiltiende godkendelse eller administrativ stiltiende godkendelse

i)

eventuelle yderligere sprog, som proceduren kan gennemføres på.

2.   Hvis der ikke foreligger ordninger med stiltiende godkendelse eller administrativ stiltiende godkendelse eller lignende ordninger, skal de kompetente myndigheder, hvor det er relevant, oplyse brugerne om eventuelle forsinkelser og om eventuelle fristforlængelser eller eventuelle følger heraf.

3.   Hvis den i stk. 1 omhandlede forklaring allerede er stillet til rådighed for ikkegrænseoverskridende brugere, kan den anvendes eller genanvendes med henblik på denne forordning, forudsat at den, hvis det er relevant, også dækker grænseoverskridende brugeres situation.

4.   Medlemsstaterne gør den i nærværende artikels stk. 1 omhandlede forklaring tilgængelig på et af Unionens officielle sprog, der forstås bredt af det størst mulige antal grænseoverskridende brugere, i overensstemmelse med artikel 12.

Artikel 11

Kvaliteten af oplysninger om bistands- og problemløsningstjenester

1.   Medlemsstaterne og Kommissionen sikrer med henblik på overholdelse af artikel 4, at brugerne, inden de indgiver en anmodning om en tjeneste som omhandlet i artikel 2, stk. 2, litra c), har adgang til en klar og brugervenlig forklaring af følgende:

a)

den udbudte tjenestes art, formål og forventede resultater

b)

kontaktoplysninger på de enheder, der er ansvarlige for tjenesten, såsom et telefonnummer, en e-mailadresse, en online forespørgselsblanket eller enhver anden almindeligt anvendt elektronisk kommunikation, der er bedst egnet til den type tjeneste, der bliver tilbudt, og målgruppen for denne tjeneste

c)

i givet fald de gældende gebyrer og onlinebetalingsmåder

d)

eventuelle gældende frister, der skal overholdes, og hvor sådanne ikke findes, et gennemsnit eller den tid, der skønnes påkrævet for at levere tjenesten

e)

eventuelle yderligere sprog, som en anmodning kan indgives på, og som kan anvendes i den efterfølgende kontakt.

2.   Medlemsstaterne gør den i denne artikels stk. 1 omhandlede forklaring tilgængelig på et af Unionens officielle sprog, der forstås bredt af det størst mulige antal grænseoverskridende brugere, i overensstemmelse med artikel 12.

Artikel 12

Oversættelse af oplysninger

1.   Hvis medlemsstaterne ikke stiller de oplysninger, forklaringer og vejledninger, der er fastsat i artikel 9, 10 og 11 og artikel 13, stk. 2, litra a), til rådighed på et af Unionens officielle sprog, der forstås bredt af det størst mulige antal grænseoverskridende brugere, skal medlemsstaterne anmode Kommissionen om at stille oversættelser til rådighed på det pågældende sprog inden for det tilgængelige EU-budgets grænser, jf. artikel 32, stk. 1, litra c).

2.   Medlemsstaterne sikrer, at de tekster, der er indgivet til oversættelse i henhold til nærværende artikels stk. 1, mindst dækker de grundlæggende oplysninger på alle de områder, der er opført i bilag I, og at, hvis der er tilstrækkelige EU-budgetmidler til rådighed, de dækker eventuelle yderligere oplysninger, forklaringer og vejledninger, jf. artikel 9, 10 og 11 og artikel 13, stk. 2, litra a), idet der tages hensyn til de grænseoverskridende brugeres vigtigste behov. Medlemsstaterne gør i den i artikel 19 omhandlede linkfortegnelse links til sådanne oversatte oplysninger tilgængelige.

3.   Det i stk. 1 omhandlede sprog skal være det af Unionens officielle sprog, der hyppigst læres som fremmedsprog af brugere i hele Unionen. Som en undtagelse, hvor de oplysninger, forklaringer eller vejledninger, der skal oversættes, forventes at være af størst interesse for grænseoverskridende brugere med oprindelse i en enkelt anden medlemsstat, kan det i stk. 1 omhandlede sprog være det officielle EU-sprog, der anvendes som første sprog af disse grænseoverskridende brugere.

4.   Hvis en medlemsstat anmoder om en oversættelse til et af Unionens officielle sprog, der ikke er det sprog, der hyppigst læres som fremmedsprog af brugere i hele Unionen, skal den begrunde sin anmodning. Hvis Kommissionen finder, at de i stk. 3 omhandlede betingelser for valg af et sådant andet sprog ikke er opfyldt, kan den afvise anmodningen og skal den underrette medlemsstaten om begrundelsen derfor.

AFDELING 2

Krav vedrørende onlineprocedurer

Artikel 13

Grænseoverskridende adgang til onlineprocedurer

1.   Medlemsstaterne sikrer, at når en procedure som omhandlet i artikel 2, stk. 2, litra b), der er etableret på nationalt plan, kan tilgås og gennemføres online af ikkegrænseoverskridende brugere, kan den også tilgås og gennemføres online af grænseoverskridende brugere uden forskelsbehandling ved hjælp af samme eller en alternativ teknisk løsning.

2.   Medlemsstaterne sikrer for så vidt angår de i nærværende artikels stk. 1 omhandlede procedurer, at mindst følgende krav er opfyldt:

a)

brugerne kan få adgang til vejledningen i at gennemføre proceduren på et af Unionens officielle sprog, der forstås bredt af det størst mulige antal grænseoverskridende brugere, i overensstemmelse med artikel 12

b)

grænseoverskridende brugere er i stand til at indsende de krævede oplysninger, herunder hvis disse oplysningers struktur adskiller sig fra lignende oplysninger i den pågældende medlemsstat

c)

grænseoverskridende brugere er i stand til at identificere og autentificere sig selv, underskrive eller forsegle dokumenter elektronisk, jf. forordning (EU) nr. 910/2014, i alle tilfælde, hvor dette også er muligt for ikkegrænseoverskridende brugere

d)

grænseoverskridende brugere er i stand til at dokumentere overholdelse af gældende krav og modtage resultatet af procedurerne i elektronisk format i alle tilfælde, hvor dette også er muligt for ikkegrænseoverskridende brugere

e)

hvis gennemførelsen af en procedure kræver en betaling, er brugerne i stand til at betale eventuelle gebyrer online via bredt tilgængelige grænseoverskridende betalingstjenester uden forskelsbehandling på grundlag af, hvor betalingstjenesteudbyderen er hjemmehørende, hvor betalingsinstrumentet er udstedt, eller hvor betalingskontoen er placeret i Unionen.

3.   Hvis proceduren ikke kræver elektronisk identifikation eller autentifikation, jf. stk. 2, litra c), og hvis de kompetente myndigheder ifølge gældende national ret eller administrativ praksis har ret til at acceptere digitaliserede kopier af ikkeelektroniske identitetsbeviser, såsom identitetskort eller pas, for så vidt angår ikkegrænseoverskridende brugere, skal disse myndigheder også acceptere sådanne digitaliserede kopier for så vidt angår grænseoverskridende brugere.

Artikel 14

Teknisk system til grænseoverskridende elektronisk udveksling af dokumentation og anvendelsen af engangsprincippet

1.   Med henblik på udveksling af dokumentation til onlineprocedurer, der er opført i denne forordnings bilag II, og de procedurer, der er fastsat i direktiv 2005/36/EF, 2006/123/EF, 2014/24/EU og 2014/25/EU, etablerer Kommissionen i samarbejde med medlemsstaterne et teknisk system til elektronisk udveksling af oplysninger mellem kompetente myndigheder i forskellige medlemsstater (»det tekniske system«).

2.   Når de kompetente myndigheder i deres egen medlemsstat lovformeligt og i et elektronisk format, der muliggør elektronisk udveksling, udsteder dokumentation, som er relevant for de i stk. 1 omhandlede onlineprocedurer, skal de også gøre den pågældende dokumentation tilgængelig for anmodende kompetente myndigheder fra andre medlemsstater i et elektronisk format, der muliggør elektronisk udveksling.

3.   Det tekniske system skal navnlig:

a)

gøre det muligt at behandle anmodninger om dokumentation efter udtrykkelig anmodning fra brugeren

b)

gøre det muligt at behandle anmodninger om dokumentation, der skal tilgås eller udveksles

c)

gøre det muligt at overføre dokumentation mellem kompetente myndigheder

d)

gøre det muligt for den anmodende kompetente myndighed at behandle dokumentationen

e)

sikre dokumentationens fortrolighed og integritet

f)

gøre det muligt for brugeren forlods at se den dokumentation, der anvendes af den anmodende kompetente myndighed, og for at vælge, om der skal gås videre med udveksling af dokumentation eller ej

g)

sikre et passende niveau af interoperabilitet med andre relevante systemer

h)

sikre et højt sikkerhedsniveau for overførsel og behandling af dokumentation

i)

ikke behandle dokumentation ud over, hvad der er teknisk nødvendigt for fremsendelsen af dokumentation, og så kun i den periode, der er nødvendig til dette formål.

4.   Anvendelsen af det tekniske system skal ikke være obligatorisk for brugere og må kun tillades på deres udtrykkelige anmodning, medmindre andet er fastsat i EU-retten eller national ret. Brugeren skal have tilladelse til at fremlægge dokumentation på andre måder end det tekniske system og direkte til den anmodende kompetente myndighed.

5.   Den i nærværende artikels stk. 3, litra f), omhandlede mulighed for forlods at se dokumentationen er ikke påkrævet i forbindelse med procedurer, hvor automatisk grænseoverskridende dataudveksling uden en sådan visning er tilladt i henhold til gældende EU-ret eller national ret. Denne mulighed for forlods at se dokumentationen berører ikke forpligtelsen til at tilvejebringe oplysninger i henhold til artikel 13 og 14 i forordning (EU) 2016/679.

6.   Medlemsstaterne indarbejder det fuldt operationelle tekniske system som en del af procedurerne i stk. 1.

7.   De kompetente myndigheder, der er ansvarlige for onlineprocedurerne, jf. stk. 1, anmoder, efter en udtrykkelig, frit givet, specifik, oplyst og utvetydig anmodning fra den berørte bruger via det tekniske system om dokumentation direkte fra kompetente myndigheder, der udsteder dokumentation i andre medlemsstater. De udstedende kompetente myndigheder omhandlet i stk. 2 gør i overensstemmelse med stk. 3, litra e), den pågældende dokumentation tilgængelig via det samme system.

8.   Den dokumentation, som gøres tilgængelig for den anmodende kompetente myndighed, skal være begrænset til, hvad der er anmodet om, og må kun anvendes af denne myndighed med henblik på den procedure, som dokumentationen er blevet udvekslet til. Den dokumentation, der udveksles via det tekniske system, skal for så vidt angår den modtagende kompetente myndighed anses for at have været autentisk.

9.   Senest den 12. juni 2021 vedtager Kommissionen gennemførelsesretsakter med henblik på at fastsætte de tekniske og operationelle specifikationer for det tekniske system, der er nødvendige for gennemførelsen af denne artikel. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 37, stk. 2.

10.   Stk. 1-8 finder ikke anvendelse på procedurer, som er fastlagt på EU-plan, og som omfatter andre mekanismer til udveksling af dokumentation, medmindre det tekniske system, der er nødvendigt for gennemførelsen af denne artikel, er integreret i disse procedurer i overensstemmelse med reglerne i de EU-retsakter, der fastsætter disse procedurer.

11.   Kommissionen og hver af medlemsstaterne er ansvarlige for udvikling, tilgængelighed, vedligeholdelse, tilsyn med, overvågning og sikkerhedsmæssig forvaltning af deres respektive dele af det tekniske system.

Artikel 15

Verifikation af dokumentation mellem medlemsstaterne

Hvis det tekniske system eller andre systemer til udveksling eller verifikation af dokumentation mellem medlemsstaterne ikke er tilgængelige eller ikke finder anvendelse, eller hvis brugeren ikke anmoder om anvendelse af det tekniske system, samarbejder de kompetente myndigheder via informationssystemet for det indre marked (IMI), når det er nødvendigt for at verificere ægtheden af dokumentation, som brugeren har indgivet til en af dem i et elektronisk format med henblik på en onlineprocedure.

AFDELING 3

Kvalitetskrav vedrørende bistands- og problemløsningstjenester

Artikel 16

Kvalitetskrav vedrørende bistands- og problemløsningstjenester

De kompetente myndigheder og Kommissionen sikrer inden for deres respektive beføjelser, at de bistands- og problemløsningstjenester, der er opført i bilag III, og dem, der er medtaget i portalen i overensstemmelse med artikel 7, stk. 2, 3 og 4, opfylder følgende kvalitetskrav:

a)

de leveres inden for en rimelig tidsramme under hensyntagen til anmodningens kompleksitet

b)

hvis frister forlænges, underrettes brugerne på forhånd om grundene hertil og om den nye frist

c)

hvis leveringen af en tjeneste kræver en betaling, kan brugerne betale alle gebyrer online via bredt tilgængelige grænseoverskridende betalingstjenester uden forskelsbehandling på grundlag af, hvor betalingstjenesteudbyderen er hjemmehørende, hvor betalingsinstrumentet er udstedt, eller hvor betalingskontoen er placeret i Unionen.

AFDELING 4

Kvalitetsovervågning

Artikel 17

Kvalitetsovervågning

1.   De i artikel 28 omhandlede nationale koordinatorer og Kommissionen overvåger regelmæssigt inden for deres respektive beføjelser, at de oplysninger, procedurer og bistands- og problemløsningstjenester, der er tilgængelige via portalen, opfylder de kvalitetskrav, der er fastlagt i artikel 8-13 og artikel 16. Overvågningen sker på grundlag af de oplysninger, der indsamles i overensstemmelse med artikel 24 og 25.

2.   I tilfælde af en forringelse af kvaliteten af de i stk. 1 omhandlede oplysninger, procedurer og bistands- eller problemløsningstjenester, som leveres af de kompetente myndigheder, skal Kommissionen under hensyntagen til forringelsens alvorlige og vedvarende karakter træffe en eller flere af følgende foranstaltninger:

a)

underrette den relevante nationale koordinator og anmode om afhjælpende foranstaltninger

b)

forelægge anbefalede tiltag for at forbedre overholdelsen af kvalitetskravene til drøftelse i portalkoordinationsgruppen

c)

sende en skrivelse med henstillinger til den berørte medlemsstat

d)

midlertidigt afbryde forbindelsen fra portalen til oplysningerne, proceduren eller bistands- eller problemløsningstjenesten.

3.   Hvis en bistands- eller problemløsningstjeneste, som der linkes til i overensstemmelse med artikel 7, stk. 3, konsekvent ikke opfylder kravene fastlagt i artikel 11 og 16 eller ikke længere opfylder brugernes behov som anført i de oplysninger, der indsamles i overensstemmelse med artikel 24 og 25, kan Kommissionen efter konsultation med den relevante nationale koordinator og om nødvendigt med portalkoordinationsgruppen afbryde forbindelsen dertil fra portalen.

KAPITEL IV

TEKNISKE LØSNINGER

Artikel 18

Fælles brugergrænseflade

1.   Kommissionen sørger i tæt samarbejde med medlemsstaterne for en fælles brugergrænseflade, som er integreret i Dit Europa-portalen, for at sikre, at portalen er velfungerende.

2.   Den fælles brugergrænseflade skal give adgang til oplysninger, procedurer og bistands- eller problemløsningstjenester ved hjælp af links til de relevante websteder på EU-plan eller nationalt plan, som findes i linkfortegnelsen, jf. artikel 19.

3.   Medlemsstaterne og Kommissionen, der handler i overensstemmelse med deres respektive roller og ansvar som omhandlet i artikel 4, sikrer, at oplysningerne om reglerne og forpligtelserne, om procedurerne og om bistands- og problemløsningstjenesterne er organiseret og mærket på en måde, der gør det lettere at finde dem via den fælles brugergrænseflade.

4.   Kommissionen skal sikre, at den fælles brugergrænseflade overholder følgende kvalitetskrav:

a)

den er nem at anvende

b)

den er tilgængelig online via forskelligt elektronisk udstyr

c)

den er udviklet og optimeret til forskellige webbrowsere

d)

den opfylder følgende krav vedrørende webtilgængelighed: opfattelighed, operabilitet, forståelighed og robusthed.

5.   Kommissionen kan vedtage gennemførelsesretsakter, der fastlægger interoperabilitetskravene, for at gøre det lettere at finde oplysninger om regler og forpligtelser, om procedurer og om bistands- og problemløsningstjenester via den fælles brugergrænseflade. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 37, stk. 2.

Artikel 19

Linkfortegnelse

1.   Kommissionen opretter og vedligeholder i tæt samarbejde med medlemsstaterne en elektronisk fortegnelse over links til de i artikel 2, stk. 2, omhandlede oplysninger, procedurer og bistands- og problemløsningstjenester, som muliggør forbindelsen mellem de pågældende tjenester og den fælles brugergrænseflade.

2.   Kommissionen sørger i linkfortegnelsen for linkene til de oplysninger, procedurer og bistands- og problemløsningstjenester, der er tilgængelige på de websider, der forvaltes på EU-plan, og den sørger for, at disse links er korrekte og ajourførte.

3.   De nationale koordinatorer sørger i linkfortegnelsen for linkene til de oplysninger, procedurer og bistands- og problemløsningstjenester, der er tilgængelige på de websider, der forvaltes af de kompetente myndigheder eller af private eller halvprivate enheder, jf. artikel 7, stk. 3, og de sørger for, at disse links er korrekte og ajourførte.

4.   Hvis det er teknisk muligt, kan den i stk. 3 omhandlede tilvejebringelse af links gennemføres automatisk mellem medlemsstaternes relevante systemer og linkfortegnelsen.

5.   Kommissionen gør de oplysninger, der er medtaget i linkfortegnelsen, offentligt tilgængelige i et åbent og maskinlæsbart dataformat.

6.   Kommissionen og de nationale koordinatorer sikrer, at linkene til de oplysninger, procedurer og bistands- eller problemløsningstjenester, der tilbydes via portalen, ikke indeholder unødvendige hele eller delvise dobbeltforekomster eller overlap, som vil kunne forvirre brugerne.

7.   Hvis tilgængeliggørelsen af de i artikel 4 omhandlede oplysninger er fastsat i andre bestemmelser i EU-retten, kan Kommissionen og de nationale koordinatorer sørge for links til disse oplysninger for at efterkomme kravene i den pågældende artikel.

Artikel 20

Fælles vejviser til bistandstjenester

1.   For at lette adgangen til de bistands- og problemløsningstjenester, som er opført i bilag III eller omhandlet i artikel 7, stk. 2 og 3, sikrer de kompetente myndigheder og Kommissionen, at brugerne kan få adgang til dem via en fælles vejviser til bistands- og problemløsningstjenester (»den fælles vejviser til bistandstjenester«), der er tilgængelig via portalen.

2.   Kommissionen udvikler og forvalter den fælles vejviser til bistandstjenester og beslutter, med hvilken struktur og i hvilket format beskrivelserne af og kontaktoplysningerne på bistands- og problemløsningstjenesterne skal stilles til rådighed, med henblik på sikre en velfungerende fælles vejviser til bistandstjenester.

3.   De nationale koordinatorer giver beskrivelserne og kontaktoplysningerne, jf. stk. 2, til Kommissionen.

Artikel 21

Forpligtelser for IKT-applikationerne bag portalen

1.   Kommissionen er ansvarlig for udviklingen, tilgængeligheden, overvågningen, opdateringen, vedligeholdelsen, sikkerheden og hostingen af følgende IKT-applikationer og websider:

a)

Dit Europa-portalen, jf. artikel 2, stk. 1

b)

den fælles brugergrænseflade, der er omhandlet i artikel 18, stk. 1, herunder en søgemaskine eller andre IKT-værktøjer, der gør weboplysninger og -tjenester søgbare

c)

linkfortegnelsen, jf. artikel 19, stk. 1

d)

den fælles vejviser til bistandstjenester, jf. artikel 20, stk. 1

e)

brugerfeedbackredskaberne, jf. artikel 25, stk. 1, og artikel 26, stk. 1, litra a).

Kommissionen arbejder tæt sammen med medlemsstaterne om at udarbejde IKT-applikationerne.

2.   Medlemsstaterne er ansvarlige for udviklingen, tilgængeligheden, overvågningen, opdateringen, vedligeholdelsen og sikkerheden af IKT-applikationer vedrørende de nationale websteder og websider, som de forvalter, og som er tilknyttet den fælles brugergrænseflade.

KAPITEL V

PROMOVERING

Artikel 22

Navn, logo og kvalitetsmærke

1.   Det navn, som portalen skal kendes og formidles til offentligheden under, er »Your Europe«.

Det logo, som portalen skal kendes og formidles til offentligheden under, fastlægges af Kommissionen i tæt samarbejde med portalkoordinationsgruppen senest den 12. juni 2019.

Portalens logo og et link til portalen skal gøres synlige og tilgængelige på de relevante websteder på EU-niveau og nationalt niveau, der er knyttet til portalen.

2.   Som bevis for, at kvalitetskravene i artikel 9, 10 og 11 overholdes, fungerer portalens navn og logo også som et kvalitetsmærke. Portalens logo må dog kun anvendes som et kvalitetsmærke af websider og websteder, der indgår i linkfortegnelsen, jf. artikel 19.

Artikel 23

Promovering

1.   Medlemsstaterne og Kommissionen promoverer kendskabet til og brugen af portalen blandt borgerne og virksomhederne og sikrer, at portalen og dens oplysninger, procedurer og bistands- og problemløsningstjenester er synlige for offentligheden og lette at finde via offentligt tilgængelige søgemaskiner.

2.   Medlemsstaterne og Kommissionen samordner deres promoveringsaktiviteter, jf. stk. 1, og henviser til portalen og anvender dens logo i forbindelse med sådanne aktiviteter sammen med eventuelle andre handelsnavne, når det er relevant.

3.   Medlemsstaterne og Kommissionen sikrer, at portalen er let at finde via de relevante websteder, som de er ansvarlige for, og at klare links til den fælles brugergrænseflade er tilgængelige på alle relevante websteder på EU-niveau og nationalt niveau.

4.   De nationale koordinatorer promoverer portalen over for de nationale kompetente myndigheder.

KAPITEL VI

INDSAMLING AF BRUGERFEEDBACK OG -STATISTIKKER

Artikel 24

Brugerstatistikker

1.   De kompetente myndigheder og Kommissionen sikrer, at statistiske oplysninger indsamles i forbindelse med brugernes besøg på portalen og de websider, som portalen linker til, på en måde, der sikrer brugernes anonymitet, med det sigte at forbedre portalens funktionalitet.

2.   De kompetente myndigheder, leverandørerne af bistands- eller problemløsningstjenester, jf. artikel 7, stk. 3, og Kommissionen indsamler og udveksler på en aggregeret måde antallet og oprindelsen af samt emnet for anmodninger om bistands- og problemløsningstjenester og den pågældende svartid.

3.   De statistiske oplysninger, der indsamles i overensstemmelse med stk. 1 og 2, vedrørende de oplysninger, procedurer og bistands- og problemløsningstjenester, som portalen linker til, skal omfatte følgende kategorier af oplysninger:

a)

data vedrørende antallet, oprindelsen og typen af brugere af portalen

b)

data vedrørende brugerpræferencer og brugerrejser

c)

data vedrørende brugbarheden, mulighederne for at finde oplysninger og kvaliteten af oplysningerne, procedurerne og bistands- og problemløsningstjenesterne.

Disse oplysninger skal stilles til rådighed for offentligheden i et åbent og almindeligt anvendt og maskinlæsbart format.

4.   Kommissionen vedtager gennemførelsesretsakter, der fastlægger metoden til indsamling og udveksling af brugerstatistikker, jf. denne artikels stk. 1, 2 og 3. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 37, stk. 2.

Artikel 25

Brugerfeedback om portalens tjenester

1.   For at indhente direkte oplysninger fra brugerne om deres tilfredshed med de tjenester, der leveres via portalen, og de oplysninger, som er gjort tilgængelige heri, stiller Kommissionen via portalen et brugervenligt feedbackredskab til rådighed, der giver dem mulighed for umiddelbart efter, at de har benyttet tjenesterne, jf. artikel 2, stk. 2, anonymt at fremsætte bemærkninger om kvaliteten og tilgængeligheden af de tjenester, der leveres via portalen, af de oplysninger, som er gjort tilgængelige heri, samt af den fælles brugergrænseflade.

2.   De kompetente myndigheder og Kommissionen sikrer, at brugerne har adgang til det i stk. 1 omhandlede redskab på alle websider, som indgår i portalen.

3.   Kommissionen, de kompetente myndigheder og de nationale koordinatorer skal have direkte adgang til den brugerfeedback, som indsamles ved hjælp af det i stk. 1 omhandlede redskab, med henblik på at kunne løse eventuelle problemer, der påpeges.

4.   De kompetente myndigheder er ikke forpligtet til at give brugerne adgang til brugerfeedbackredskabet, jf. stk. 1, på de af deres websider, der er tilknyttet portalen, hvis der på deres websider er adgang til et andet brugerfeedbackredskab med lignende funktionaliteter som det i stk. 1 omhandlede brugerfeedbackredskab med henblik på at overvåge tjenesternes kvalitet. De kompetente myndigheder indsamler den brugerfeedback, der modtages gennem deres eget brugerfeedbackredskab, og deler den med Kommissionen og de nationale koordinatorer i de andre medlemsstater.

5.   Kommissionen vedtager gennemførelsesretsakter, der fastsætter regler for indsamlingen og delingen af brugerfeedbacken. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 37, stk. 2.

Artikel 26

Indberetning om det indre markeds funktion

1.   Kommissionen:

a)

stiller et brugervenligt redskab til rådighed for brugerne, så de anonymt kan gøre opmærksom på og give feedback på hindringer, som de har haft i forbindelse med udøvelsen af deres rettigheder på det indre marked

b)

indsamler aggregerede oplysninger fra de bistands- og problemløsningstjenester, der indgår som en del af portalen, om emnet for anmodninger og svar.

2.   Kommissionen, de kompetente myndigheder og de nationale koordinatorer skal have direkte adgang til den feedback, der indsamles i overensstemmelse med stk. 1, litra a).

3.   Medlemsstaterne og Kommissionen analyserer og undersøger de af brugerne påpegede problemer i henhold til denne artikel og løser dem med passende midler, når det er muligt.

Artikel 27

Sammenfattende onlineoversigter

Kommissionen offentliggør i anonymiseret form sammenfattende onlineoversigter over de problemer, der fremgår af de oplysninger, der indsamles i overensstemmelse med artikel 26, stk. 1, de vigtigste brugerstatistikker, jf. artikel 24, og den vigtigste brugerfeedback, jf. artikel 25.

KAPITEL VII

FORVALTNING AF PORTALEN

Artikel 28

Nationale koordinatorer

1.   Hver medlemsstat udpeger en national koordinator. Ud over deres forpligtelser i overensstemmelse med artikel 7, 17, 19, 20, 23 og 25 skal de nationale koordinatorer:

a)

fungere som et kontaktpunkt inden for deres respektive forvaltninger for alle spørgsmål vedrørende portalen

b)

promovere en ensartet anvendelse af artikel 9-16 af de kompetente myndigheder

c)

sikre, at henstillingerne, jf. artikel 17, stk. 2, litra c), gennemføres korrekt.

2.   Hver medlemsstat kan i overensstemmelse med dens interne administrative struktur udpege en eller flere koordinatorer med henblik på at udføre de opgaver, der er angivet i stk. 1. En national koordinator for hver medlemsstat er ansvarlig for kontakten til Kommissionen i forbindelse med alle spørgsmål vedrørende portalen.

3.   Hver medlemsstat underretter de øvrige medlemsstater og Kommissionen om dens nationale koordinators navn og kontaktoplysninger.

Artikel 29

Koordineringsgruppe

Der nedsættes hermed en koordinationsgruppe (»portalkoordinationsgruppen«). Den består af én national koordinator fra hver medlemsstat og har en repræsentant for Kommissionen som formand. Den vedtager selv sin forretningsorden. Sekretariatsopgaverne varetages af Kommissionen.

Artikel 30

Portalkoordinationsgruppens opgaver

1.   Portalkoordinationsgruppen støtter gennemførelsen af denne forordning. Den har navnlig til opgave:

a)

at fremme udveksling og regelmæssig ajourføring af bedste praksis

b)

at tilskynde til udbredelse af fuldstændige onlineprocedurer ud over dem, der er anført i bilag II til denne forordning, og af onlinemetoder til autentificering, identifikation og underskrift, navnlig dem som er fastsat i forordning (EU) nr. 910/2014

c)

at drøfte forbedringer af den brugervenlige præsentation af oplysninger inden for de områder, der er opført i bilag I, navnlig baseret på de data, der er indsamlet i overensstemmelse med artikel 24 og 25

d)

at bistå Kommissionen med at udvikle fælles IKT-løsninger, der understøtter portalen

e)

at drøfte udkastet til det årlige arbejdsprogram

f)

at bistå Kommissionen med at overvåge gennemførelsen af det årlige arbejdsprogram

g)

at drøfte yderligere oplysninger i overensstemmelse med artikel 5 med henblik på at tilskynde medlemsstaterne til at stille tilsvarende oplysninger til rådighed, hvis det er relevant for brugerne

h)

at bistå Kommissionen med at overvåge overholdelsen af de krav, der er fastsat i artikel 8-16, i overensstemmelse med artikel 17

i)

at informere om gennemførelsen af artikel 6, stk. 1

j)

at drøfte og anbefale tiltag til de kompetente myndigheder og Kommissionen med henblik på at undgå eller fjerne unødvendige overlap i forbindelse med de tjenester, der er tilgængelige via portalen

k)

at afgive udtalelser om procedurer eller foranstaltninger til effektivt at tackle eventuelle problemer med tjenesternes kvalitet, som brugerne har påpeget, eller forslag til forbedring heraf

l)

at drøfte anvendelsen af principperne om indbygget sikkerhed og privatlivsbeskyttelse i forbindelse med denne forordning

m)

at drøfte spørgsmål vedrørende indsamling af brugerfeedback og -statistik, der er omhandlet i artikel 24 og 25, således at de tjenester, der tilbydes på EU-plan og nationalt plan, løbende forbedres

n)

at drøfte spørgsmål vedrørende kvalitetskrav til de tjenester, der tilbydes via portalen

o)

at udveksle bedste praksis og bistå Kommissionen med hensyn til organisationen, strukturen og præsentationen af tjenesterne, jf. artikel 2, stk. 2, med henblik på at sikre en velfungerende fælles brugergrænseflade

p)

at lette udviklingen og gennemførelsen af den koordinerede promovering

q)

at samarbejde med forvaltningsorganerne eller net for oplysningstjenester eller for bistands- eller problemløsningstjenester

r)

at tilvejebringe vejledninger om det eller de supplerende sprog af Unionens officielle sprog, der skal anvendes af kompetente myndigheder i overensstemmelse med artikel 9, stk. 2, artikel 10, stk. 4, og artikel 11, stk. 2, og artikel 13, stk. 2, litra a).

2.   Kommissionen kan rådføre sig med portalkoordinationsgruppen om alle spørgsmål vedrørende denne forordnings anvendelse.

Artikel 31

Årligt arbejdsprogram

1.   Kommissionen vedtager det årlige arbejdsprogram, som navnlig skal fastlægge:

a)

foranstaltninger til at forbedre den præsentation af konkrete oplysninger inden for de områder, der er opført i bilag I, og foranstaltninger med henblik på at lette den rettidige gennemførelse af de kompetente myndigheder på alle niveauer, herunder på kommunalt niveau, af kravene om information

b)

foranstaltninger til at lette overholdelse af artikel 6 og 13

c)

de foranstaltninger, der er nødvendige for at sikre en ensartet overholdelse af kravene fastsat i artikel 9-12

d)

aktiviteter i tilknytning til promoveringen af portalen, jf. artikel 23.

2.   Ved udarbejdelsen af udkastet til det årlige arbejdsprogram tager Kommissionen hensyn til brugerstatistikker og -feedback, der er indsamlet i overensstemmelse med artikel 24 og 25, og til eventuelle forslag fra medlemsstaterne. Forud for vedtagelsen forelægger Kommissionen udkastet til det årlige arbejdsprogram for portalkoordinationsgruppen med henblik på drøftelse.

KAPITEL VIII

AFSLUTTENDE BESTEMMELSER

Artikel 32

Omkostninger

1.   Den Europæiske Unions almindelige budget dækker omkostningerne i forbindelse med:

a)

udvikling og vedligeholdelse af IKT-redskaber til støtte for gennemførelsen af denne forordning på EU-plan

b)

promovering af portalen på EU-plan

c)

oversættelse af oplysninger, forklaringer og vejledninger i overensstemmelse med artikel 12 inden for en maksimal årlig mængde pr. medlemsstat med forbehold af en eventuel omlægning af midler, hvis det er nødvendigt for at muliggøre fuld udnyttelse af det tilgængelige budget.

2.   Omkostningerne i forbindelse med nationale webportaler, informationsplatforme, bistandstjenester og -procedurer, der er oprettet på medlemsstatsplan, afholdes over medlemsstaternes respektive budgetter, medmindre andet er fastsat i EU-lovgivningen.

Artikel 33

Beskyttelse af personoplysninger

De kompetente myndigheders behandling af personoplysninger inden for rammerne af denne forordning skal ske i overensstemmelse med forordning (EU) 2016/679. Kommissionens behandling af personoplysninger inden for rammerne af nærværende forordning skal ske i overensstemmelse med forordning (EU) 2018/1725.

Artikel 34

Samarbejde med andre oplysnings- og bistandsnet

1.   Efter at have konsulteret medlemsstaterne beslutter Kommissionen, hvilke eksisterende uformelle forvaltningsordninger for enhver af de i bilag III opførte bistands- eller problemløsningstjenester eller for enhver af de i bilag I omfattede oplysningsområder som portalkoordinationsgruppen skal være ansvarlig for.

2.   Hvis oplysnings- og bistandstjenesterne eller -nettene er oprettet ved en retligt bindende EU-retsakt på et af de i bilag I omfattede oplysningsområder, koordinerer Kommissionen arbejdet i portalkoordinationsgruppen og i de pågældende tjenesters eller nets forvaltningsorganer med henblik på at opnå synergier og undgå overlap.

Artikel 35

Informationssystemet for det indre marked

1.   Informationssystemet for det indre marked (IMI), der er oprettet ved forordning (EU) nr. 1024/2012, anvendes med henblik på og i overensstemmelse med artikel 6, stk. 4, og artikel 15.

2.   Kommissionen kan beslutte at anvende IMI som den i artikel 19, stk. 1, omhandlede elektroniske linkfortegnelse.

Artikel 36

Rapportering og gennemgang

Senest den 12. december 2022 og derefter hvert andet år gennemgår Kommissionen forordningens anvendelse og forelægger Europa-Parlamentet og Rådet en evalueringsrapport om portalens funktion og om det indre markeds funktion på grundlag af de statistiske oplysninger og den feedback, som er indsamlet i overensstemmelse med artikel 24, 25 og 26. Gennemgangen skal navnlig vurdere anvendelsesområdet for artikel 14 under hensyntagen til den teknologiske, markedsmæssige og retlige udvikling vedrørende udveksling af dokumentation mellem de kompetente myndigheder.

Artikel 37

Udvalgsprocedure

1.   Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2.   Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.

Artikel 38

Ændringer i forordning (EU) nr. 1024/2012

I forordning (EU) nr. 1024/2012 foretages følgende ændringer:

1)

Artikel 1 affattes således:

»Artikel 1

Genstand

I denne forordning fastsættes regler for anvendelse af informationssystemet for det indre marked (»IMI«) til administrativt samarbejde mellem IMI-aktører, herunder behandlingen af personoplysninger.«

2)

Artikel 3, stk. 1, affattes således:

»1.   IMI anvendes til udveksling af oplysninger, herunder personoplysninger, mellem IMI-aktørerne og til behandling af disse oplysninger med henblik på et af følgende formål:

a)

det administrative samarbejde, som kræves i henhold til de retsakter, der er anført i bilaget

b)

det administrative samarbejde, der er genstand for et pilotprojekt, der gennemføres i overensstemmelse med artikel 4.«

3)

I artikel 5, stk. 2, foretages følgende ændringer:

a)

Litra a) affattes således:

»a)

»IMI«: det elektroniske værktøj, der leveres af Kommissionen til at lette administrativt samarbejde mellem IMI-aktører«.

b)

Litra b) affattes således:

»b)

»administrativt samarbejde«: et samarbejde mellem IMI-aktører i form af udveksling og behandling af oplysninger med henblik på en bedre anvendelse af EU-retten«.

c)

Litra g) affattes således:

»g)

»IMI-aktører«: de kompetente myndigheder, IMI-koordinatorerne, Kommissionen og EU-organer, -kontorer og -agenturer«.

4)

I artikel 8, stk. 1, tilføjes følgende litra:

»f)

sørge for koordinering med EU-organer, -kontorer og -agenturer og give dem adgang til IMI.«

5)

Artikel 9, stk. 4, affattes således:

»4.   Medlemsstaterne, Kommissionen og EU-organer, -kontorer og -agenturer stiller passende midler til rådighed til at sikre, at IMI-brugere kun gives adgang til personoplysninger, der behandles i IMI, på need-to-know-basis og inden for det eller de områder af det indre marked, til hvilke de er tildelt adgangsret i overensstemmelse med stk. 3.«

6)

I artikel 21 foretages følgende ændringer:

a)

Stk. 2 affattes således:

»2.   Den Europæiske Tilsynsførende for Databeskyttelse er ansvarlig for at føre tilsyn med og sikre anvendelsen af denne forordning, når Kommissionen eller EU-organer, -kontorer og -agenturer i deres egenskab af IMI-aktører behandler personoplysninger. De forpligtelser og beføjelser, der er omhandlet i artikel 57 og 58 i forordning (EU) 2018/1725 (*1), finder tilsvarende anvendelse.

(*1)  Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).«"

b)

Stk. 3 affattes således:

»3.   De nationale tilsynsmyndigheder og Den Europæiske Tilsynsførende for Databeskyttelse, der hver især handler inden for deres respektive beføjelser, samarbejder med hinanden med henblik på at sikre koordineret tilsyn med IMI og med IMI-aktørernes anvendelse heraf i overensstemmelse med artikel 62 i forordning (EU) 2018/1725.«

c)

Stk. 4 udgår.

7)

I artikel 29 udgår stk. 1.

8)

I bilaget tilføjes følgende punkter:

»11.

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (*2): artikel 56, artikel 60-66, og artikel 70, stk. 1.

12.

Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 2. oktober 2018 om oprettelse af en fælles digital portal, der skal giver adgang til oplysninger, procedurer og bistands- og problemløsningstjenester, og om ændring af forordning (EU) nr. 1024/2012 (*3): artikel 6, stk. 4, og artikel 15 og 19.

(*2)  EUT L 119 af 4.5.2016, s. 1."

(*3)  EUT L 295 af 21.11.2018, s. 39.«"

Artikel 39

Ikrafttræden

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Artikel 2, 4, 7-12, 16 og 17, artikel 18, stk. 1-4, artikel 19 og 20, artikel 24, stk. 1, 2 og 3, artikel 25, stk. 1-4, og artikel 26 og 27 finder anvendelse fra den 12. december 2020.

Artikel 6 og 13, artikel 14, stk. 1-8 og 10, og artikel 15 finder anvendelse fra den 12. december 2023.

Uanset anvendelsesdatoen for artikel 2, 9, 10 og 11 skal kommunale myndigheder gøre de oplysninger, forklaringer og vejledninger, der er omhandlet i nævnte artikler, tilgængelige senest den 12. december 2022.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Strasbourg, den 2. oktober 2018.

På Europa-Parlamentets vegne

A. TAJANI

Formand

På Rådets vegne

J. BOGNER-STRAUSS

Formanden


(1)  EUT C 81 af 2.3.2018, s. 88.

(2)  Europa-Parlamentets holdning af 13.9.2018 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 27.9.2018.

(3)  Europa-Parlamentets og Rådets direktiv 2006/123/EF af 12. december 2006 om tjenesteydelser i det indre marked (EUT L 376 af 27.12.2006, s. 36).

(4)  Europa-Parlamentets og Rådets forordning (EF) nr. 764/2008 af 9. juli 2008 om procedurer for anvendelsen af visse nationale tekniske forskrifter på produkter, der markedsføres lovligt i en anden medlemsstat, og om ophævelse af beslutning nr. 3052/95/EF (EUT L 218 af 13.8.2008, s. 21).

(5)  Europa-Parlamentets og Rådets forordning (EU) nr. 305/2011 af 9. marts 2011 om fastlæggelse af harmoniserede betingelser for markedsføring af byggevarer og om ophævelse af Rådets direktiv 89/106/EØF (EUT L 88 af 4.4.2011, s. 5).

(6)  Europa-Parlamentets og Rådets direktiv 2005/36/EF af 7. september 2005 om anerkendelse af erhvervsmæssige kvalifikationer (EUT L 255 af 30.9.2005, s. 22).

(7)  Kommissionens henstilling 2013/461/EU af 17. september 2013 om principperne for Solvit (EUT L 249 af 19.9.2013, s. 10).

(8)  Europa-Parlamentets og Rådets direktiv 2014/24/EU af 26. februar 2014 om offentlige udbud og om ophævelse af direktiv 2004/18/EF (EUT L 94 af 28.3.2014, s. 65).

(9)  Europa-Parlamentets og Rådets direktiv 2014/25/EU af 26. februar 2014 om fremgangsmåderne ved indgåelse af kontrakter inden for vand- og energiforsyning, transport samt posttjenester og om ophævelse af direktiv 2004/17/EF (EUT L 94 af 28.3.2014, s. 243).

(10)  Europa-Parlamentets og Rådets forordning (EU) 2016/589 af 13. april 2016 om et europæisk arbejdsformidlingsnet (Eures), arbejdstageres adgang til mobilitetstjenester og øget integrering af arbejdsmarkederne og om ændring af forordning (EU) nr. 492/2011 og (EU) nr. 1296/2013 (EUT L 107 af 22.4.2016, s. 1).

(11)  Rådets beslutning 2001/470/EF af 28. maj 2001 om oprettelse af et europæisk retligt netværk på det civile og handelsretlige område (EFT L 174 af 27.6.2001, s. 25).

(12)  Europa-Parlamentets og Rådets direktiv 2014/67/EU af 15. maj 2014 om håndhævelse af direktiv 96/71/EF om udstationering af arbejdstagere som led i udveksling af tjenesteydelser og om ændring af forordning (EU) nr. 1024/2012 om administrativt samarbejde via informationssystemet for det indre marked (»IMI-forordningen«) (EUT L 159 af 28.5.2014, s. 11).

(13)  Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (EUT L 257 af 28.8.2014, s. 73).

(14)  Europa-Parlamentets og Rådets forordning (EF) nr. 883/2004 af 29. april 2004 om koordinering af de sociale sikringsordninger (EUT L 166 af 30.4.2004, s. 1).

(15)  Europa-Parlamentets og Rådets forordning (EF) nr. 987/2009 af 16. september 2009 om de nærmere regler til gennemførelse af forordning (EF) nr. 883/2004 om koordinering af de sociale sikringsordninger (EUT L 284 af 30.10.2009, s. 1).

(16)  Europa-Parlamentets og Rådets direktiv (EU) 2016/2102 af 26. oktober 2016 om tilgængeligheden af offentlige organers websteder og mobilapplikationer (EUT L 327 af 2.12.2016, s. 1).

(17)  Rådets afgørelse 2010/48/EF af 26. november 2009 om Det Europæiske Fællesskabs indgåelse af De Forenede Nationers konvention om handicappedes rettigheder (EUT L 23 af 27.1.2010, s. 35).

(18)  Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og om ændring af forordning (EF) nr. 924/2009 (EUT L 94 af 30.3.2012, s. 22).

(19)  Europa-Parlamentets og Rådets forordning (EU) nr. 1024/2012 af 25. oktober 2012 om administrativt samarbejde via informationssystemet for det indre marked og om ophævelse af Kommissionens beslutning 2008/49/EF (»IMI-forordningen«) (EUT L 316 af 14.11.2012, s. 1).

(20)  Europa-Parlamentets og Rådets forordning (EU) 2016/1191 af 6. juli 2016 om fremme af den frie bevægelighed for borgere gennem en forenkling af kravene vedrørende fremlæggelse af visse offentlige dokumenter i Den Europæiske Union og om ændring af forordning (EU) nr. 1024/2012 (EUT L 200 af 26.7.2016, s. 1).

(21)  Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(22)  Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (se side 39 i denne EUT).

(23)  Europa-Parlamentets og Rådets forordning (EU) nr. 1316/2013 af 11. december 2013 om oprettelse af Connecting Europe-faciliteten, om ændring af forordning (EU) nr. 913/2010 og om ophævelse af forordning (EF) nr. 680/2007 og (EF) nr. 67/2010 (EUT L 348 af 20.12.2013, s. 129).

(24)  Europa-Parlamentets og Rådets direktiv (EU) 2017/1132 af 14. juni 2017 om visse aspekter af selskabsretten (EUT L 169 af 30.6.2017, s. 46).

(25)  Europa-Parlamentets og Rådets forordning (EU) 2015/848 af 20. maj 2015 om insolvensbehandling (EUT L 141 af 5.6.2015, s. 19).

(26)  Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

(27)  Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (EUT L 194 af 19.7.2016, s. 1).

(28)  Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).

(29)  Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).

(30)  EUT C 340 af 11.10.2017, p. 6.


BILAG I

Liste over områder af oplysninger, der er relevante for borgere og virksomheder, når de udøver deres rettigheder i det indre marked, jf. artikel 2, stk. 2, litra a)

Områder af oplysninger vedrørende borgerne:

Område

OPLYSNINGER VEDRØRENDE RETTIGHEDER, FORPLIGTELSER OG REGLER, DER FØLGER AF EU-RETTEN OG NATIONAL RET

A.

Rejse inden for Unionen

1.

dokumenter, der kræves af EU-borgere, deres familiemedlemmer, der ikke er EU-borgere, mindreårige, der rejser alene, og ikke-EU-borgere, når de rejser på tværs af grænserne inden for Unionen (identitetskort, visa, pas)

2.

rettigheder og forpligtelser for rejsende med fly, tog, skib og bus i og fra Unionen og for rejsende, der køber pakkerejser eller sammensatte rejsearrangementer

3.

bistand i tilfælde af nedsat mobilitet ved rejse i eller fra Unionen

4.

transport af dyr, planter, alkohol, tobak, cigaretter og andre varer ved rejse i Unionen

5.

taleopkald og afsendelse og modtagelse af elektroniske meddelelser og elektroniske data inden for Unionen

B.

Arbejde og pension i Unionen

1.

søge beskæftigelse i en anden medlemsstat

2.

tage beskæftigelse i en anden medlemsstat

3.

anerkendelse af kvalifikationer med henblik på beskæftigelse i en anden medlemsstat

4.

beskatning i en anden medlemsstat

5.

regler om ansvarsforsikring og obligatorisk forsikring i forbindelse med ophold eller beskæftigelse i en anden medlemsstat

6.

ansættelsesvilkår, herunder for udstationerede arbejdstagere, fastsat ved lov eller bekendtgørelse (herunder arbejdstid, betalt orlov, ret til ferie, rettigheder og forpligtelser vedrørende overarbejde, lægeundersøgelser, opsigelse af kontrakter, afskedigelser og arbejdsløshed pga. virksomhedslukning eller personaleindskrænkning)

7.

ligebehandling (regler, der forbyder forskelsbehandling på arbejdspladsen, regler om lige løn til mænd og kvinder og om lige løn til ansatte med tidsbegrænsede eller tidsubegrænsede ansættelseskontrakter)

8.

forpligtelser vedrørende sundhed og sikkerhed i forbindelse med forskellige former for aktiviteter

9.

socialsikringsrettigheder og -forpligtelser i Unionen, herunder dem, der vedrører modtagelse af pensioner

C.

Køretøjer i Unionen

1.

midlertidig eller permanent indførelse af et motorkøretøj i en anden medlemsstat

2.

erhvervelse og fornyelse af kørekort

3.

tegning af en obligatorisk motorkøretøjsforsikring

4.

køb og salg af et motorkøretøj i en anden medlemsstat

5.

nationale færdselsregler og krav til førere, herunder generelle regler for anvendelse af national vejinfrastruktur: tidsbaserede afgifter (mærkater), afstandsbaserede afgifter (vejafgifter), emissionsmærkater

D.

Ophold i en anden medlemsstat

1.

midlertidig eller permanent flytning til en anden medlemsstat

2.

køb og salg af fast ejendom, herunder også eventuelle betingelser og forpligtelser i forbindelse med beskatning, ejerskab eller anvendelse af sådan ejendom, herunder dens anvendelse som en sekundær bolig

3.

deltagelse i kommunale valg og valg til Europa-Parlamentet

4.

krav om opholdskort for EU-borgere og deres familiemedlemmer, herunder familiemedlemmer, der ikke er EU-borgere

5.

betingelser, der finder anvendelse på naturalisation af borgere fra en anden medlemsstat

6.

regler, der finder anvendelse i tilfælde af død, herunder regler om hjemtransport af afdøde til en anden medlemsstat

E.

Uddannelse eller praktikophold i en anden medlemsstat

1.

uddannelsessystemet i en anden medlemsstat, herunder førskoleundervisning og børnepasning samt undervisning på primær- og sekundærtrinnet, videregående uddannelser og voksenuddannelse

2.

frivilligt arbejde i en anden medlemsstat

3.

praktikophold i en anden medlemsstat

4.

udførelse af forskning i en anden medlemsstat som led i et uddannelsesprogram

F.

Sundhedspleje

1.

modtagelse af lægebehandling i en anden medlemsstat

2.

køb af ordinerede lægemidler i en anden medlemsstat end den, hvor recepten er ordineret, online eller personligt

3.

sygesikringsregler, der finder anvendelse i tilfælde af kortvarende eller længerevarende ophold i en anden medlemsstat, herunder oplysninger om, hvordan man ansøger om et europæisk sygesikringskort

4.

generelle oplysninger om adgangsrettigheder eller pligter til at deltage i offentligt tilgængelige forebyggende sundhedsforanstaltninger

5.

tjenesteydelser, der leveres via nationale alarmnumre, herunder numrene »112« og »116«

6.

rettigheder til og betingelser for at flytte på plejehjem

G.

Borgerlige og familieretlige rettigheder

1.

fødsel, forældremyndighed over mindreårige børn, forældreansvar, regler for surrogatmoderskab og adoption, herunder stedbarnsadoption, underholdspligt i forhold til børn i en grænseoverskridende familiesituation

2.

samliv som par, herunder par af samme køn, med forskellige nationaliteter (ægteskab, civilt/registreret partnerskab, separation, skilsmisse, formueforhold mellem ægtefæller, samlevendes rettigheder)

3.

regler for anerkendelse af køn

4.

rettigheder og forpligtelser i forbindelse med arv i en anden medlemsstat, herunder skatteregler

5.

rettigheder og regler, der finder anvendelse i tilfælde af forældres grænseoverskridende bortførelse af deres børn

H.

Forbrugerrettigheder

1.

køb af varer, digitalt indhold eller tjenesteydelser (herunder finansielle tjenesteydelser) fra en anden medlemsstat, online eller personligt

2.

være indehaver af en bankkonto i en anden medlemsstat

3.

tilslutning til forsyningsvirksomheder som f.eks. gas, elektricitet, vand, bortskaffelse af husholdningsaffald, telekommunikation og internettet

4.

betalinger, herunder kreditoverførsler, forsinkelser i grænseoverskridende betalinger

5.

forbrugernes rettigheder og garantier i forbindelse med køb af varer og tjenester, herunder procedurer til bilæggelse af forbrugertvister og erstatning

6.

sikkerhed og sikkerhedsbeskyttelse i forbindelse med forbrugerprodukter

7.

leje af et motorkøretøj

I.

Beskyttelse af personoplysninger

1.

udøvelse af registreredes rettigheder i forbindelse med beskyttelsen af personoplysninger

Områder af oplysninger vedrørende virksomhederne:

Område

OPLYSNINGER VEDRØRENDE RETTIGHEDER, FORPLIGTELSER OG REGLER

J.

Opstart, drift og lukning af en virksomhed

1.

registrering af en virksomhed, ændring af en virksomheds juridiske form og lukning af en virksomhed (registreringsprocedurer og juridiske former, virksomheder kan have)

2.

flytning af en virksomhed til en anden medlemsstat

3.

intellektuelle ejendomsrettigheder (ansøgning om patent, registrering af et varemærke, en tegning eller et design, opnåelse af en licens til reproduktion)

4.

retfærdighed og gennemsigtighed i handelspraksis, herunder forbrugerrettigheder og garantier i forbindelse med salg af varer og tjenesteydelser

5.

udbud af onlinefaciliteter til grænseoverskridende betalinger ved salg af varer og tjenesteydelser på internettet

6.

rettigheder og forpligtelser i henhold til aftaleretten, herunder morarenter

7.

insolvensbehandling og likvidation af selskaber

8.

kreditforsikring

9.

fusion af selskaber eller salg af en virksomhed

10.

direktørers og bestyrelsesmedlemmers civilretlige erstatningsansvar

11.

regler og forpligtelser vedrørende behandling af personoplysninger

K.

Ansatte

1.

ansættelsesvilkår fastsat ved lov eller bekendtgørelse (herunder arbejdstid, betalt orlov, ret til ferie, rettigheder og forpligtelser vedrørende overarbejde, lægeundersøgelser, opsigelse af kontrakter, afskedigelser og arbejdsløshed pga. virksomhedslukning eller personaleindskrænkning)

2.

socialsikringsrettigheder og -forpligtelser i Unionen (registrering som arbejdsgiver, registrering af ansatte, meddelelse om en ansættelseskontrakts ophør, betaling af sociale bidrag, rettigheder og forpligtelser vedrørende pensioner)

3.

ansættelse af arbejdstagere i andre medlemsstater (udstationering af arbejdstagere, bestemmelser om fri udveksling af tjenesteydelser, bopælskrav for arbejdstagere)

4.

ligebehandling (regler, der forbyder forskelsbehandling på arbejdspladsen, lige løn til mænd og kvinder og lige løn til ansatte med tidsbegrænsede eller tidsubegrænsede ansættelseskontrakter)

5.

bestemmelser om personalerepræsentanter

L.

Skatter og afgifter

1.

moms: oplysninger om de generelle bestemmelser, satser og undtagelser, registrering og betaling af moms, momsrefusion

2.

punktafgifter: oplysninger om de generelle bestemmelser, satser og undtagelser, registrering i henseende til punktafgifter og betaling af punktafgifter, refusion af punktafgifter

3.

told og andre skatter og afgifter på import

4.

toldprocedurer ved import og eksport under EU-toldkodeksen

5.

andre skatter og afgifter: betaling, satser, tilbagebetaling

M.

Varer

1.

opnåelse af CE-mærkning

2.

regler for og krav til produkter

3.

identificering af gældende standarder, tekniske specifikationer og certificering af produkter

4.

gensidig anerkendelse af produkter, der ikke er omfattet af EU-specifikationer

5.

krav vedrørende klassificering, mærkning og emballering af farlige kemikalier

6.

oplysninger i forbindelse med fjernsalg/salg uden for fast forretningssted, der skal gives til kunder forud for salget, skriftlig bekræftelse af aftalen, ophævelse af en aftale, levering af varer, andre specifikke forpligtelser

7.

defekte produkter: forbrugerrettigheder og garantier, eftersalgsansvar, retsmidler for den forurettede part

8.

certificering, mærker (EMAS, energimærker, miljøvenligt design, EU-miljømærke)

9.

genanvendelse og affaldshåndtering

N.

Tjenesteydelser

1.

erhvervelse af licenser, autorisationer eller tilladelser med henblik på opstart og drift af virksomhed

2.

underrettelse af myndighederne om grænseoverskridende aktiviteter

3.

anerkendelse af faglige kvalifikationer, herunder erhvervsrettet uddannelse

O.

Finansiering af en virksomhed

1.

adgang til finansiering på EU-plan, herunder EU's finansieringsprogrammer og virksomhedstilskud

2.

adgang til finansiering på nationalt plan

3.

initiativer rettet mod iværksættere (udvekslinger organiseret for nye iværksættere, mentorordninger osv.)

P.

Offentlige kontrakter

1.

deltagelse i offentlige udbud: regler og procedurer

2.

indgivelse af et bud via internettet som svar på en offentlig udbudsprocedure

3.

indberetning af uregelmæssigheder i forbindelse med udbudsproceduren

Q.

Sundhed og sikkerhed på arbejdspladsen

1.

forpligtelser vedrørende sundhed og sikkerhed i forbindelse med forskellige former for aktiviteter, herunder risikoforebyggelse, oplysning og uddannelse


BILAG II

Procedurer, jf. artikel 6, stk. 1

Særlige livsbegivenheder

Procedurer

Forventet resultat med forbehold af den kompetente myndigheds vurdering af anmodningen i overensstemmelse med national ret, såfremt det er relevant

Fødsel

Anmodning om bevis for fødselsregistrering

Bevis for fødselsregistrering eller fødselsattest

Bopæl

Anmodning om bopælsattest

Bekræftelse af registrering af den nuværende adresse

Studier

Ansøgning om finansiering af en videregående uddannelse, såsom stipendier og lån fra et offentligt organ eller en offentlig institution

Afgørelse om ansøgningen om finansiering eller kvittering for modtagelsen

Indgivelse af en første ansøgning om optagelse til en offentlig videregående uddannelsesinstitution

Bekræftelse af modtagelse af ansøgningen

Anmodning om akademisk anerkendelse af eksamensbeviser, certifikater eller anden dokumentation for studier eller kurser

Afgørelse vedrørende en anmodning om anerkendelse

Arbejde

Anmodning om fastlæggelse af, hvilken lov der skal anvendes i overensstemmelse med afsnit II i forordning (EF) nr. 883/2004 (1)

Afgørelse af, hvilken lov der skal anvendes

Meddelelse om ændringer i de personlige eller erhvervsmæssige forhold for den person, der modtager sociale sikringsydelser, og som er relevante for disse ydelser

Bekræftelse af modtagelse af en meddelelse om sådanne ændringer

Ansøgning om et europæisk sygesikringskort

Et europæisk sygesikringskort

Indgivelse af selvangivelse

Bekræftelse af modtagelse af selvangivelsen

Flytning

Registrering af en adresseændring

Bekræftelse af afmelding af den tidligere adresse og af registrering af den nye adresse

Registrering af et motorkøretøj, der har oprindelse i eller allerede er registreret i en medlemsstat, ved standardprocedurer (2)

Bevis for registrering af et motorkøretøj

Opnåelse af mærkater for anvendelse af national vejinfrastruktur: tidsbaserede afgifter (mærkater), afstandsbaserede afgifter (vejafgifter) udstedt af et offentligt organ eller en offentlig institution

Modtagelse af vejafgiftsmærkat eller lignende mærkat eller andet bevis for betaling

Opnåelse af emissionsmærkat udstedt af et offentligt organ eller en offentlig institution

Modtagelse af emissionsmærkat eller andet bevis for betaling

Pensionering

Begæring om pensionsydelser og efterløn fra obligatoriske ordninger

Bekræftelse af modtagelsen af begæringen eller afgørelse vedrørende en begæring om pensionsydelse eller efterløn

Anmodning om oplysninger om data vedrørende pensioner fra obligatoriske ordninger

Opgørelse med personlige pensionsoplysninger

Opstart, drift og lukning af en virksomhed

Indberetning af erhvervsaktivitet, tilladelser til udøvelse af en erhvervsaktivitet, ændringer i erhvervsaktivitet og ophør af erhvervsaktivitet uden insolvens eller konkursbehandling, dog ikke den første registrering af erhvervsaktivitet i erhvervsregistret og heller ikke procedurer vedrørende stiftelse af eller eventuelle efterfølgende registrering af virksomheder eller selskaber som nævnt i artikel 54, stk. 2, i TEUF

Bekræftelse af modtagelse af indberetning eller ændringer eller af anmodningen om tilladelse til at drive erhvervsvirksomhed

Registrering af en arbejdsgiver (en fysisk person) i obligatoriske pensions- og forsikringsordninger

Bekræftelse af registrering eller registreringsnummer i den sociale sikringsordning

Registrering af ansatte i obligatoriske pensions- og forsikringsordninger

Bekræftelse af registrering eller registreringsnummer i den sociale sikringsordning

Indgivelse af selskabsskatteangivelse

Bekræftelse af modtagelse af skatteangivelsen

Meddelelse til de sociale sikringsordninger om en ansættelseskontrakts ophør med undtagelse af procedurer for kollektiv opsigelse af ansættelseskontrakter

Bekræftelse af, at meddelelsen er modtaget

Betaling af sociale bidrag for ansatte

Kvittering eller anden form for bekræftelse af betaling af sociale bidrag for ansatte


(1)  Europa-Parlamentets og Rådets forordning (EF) nr. 883/2004 af 29. april 2004 om koordinering af de sociale sikringsordninger (EUT L 166 af 30.4.2004, s. 1).

(2)  Dette omfatter følgende køretøjer: a) ethvert motorkøretøj eller påhængskøretøj, jf. artikel 3 i Europa-Parlamentets og Rådets direktiv 2007/46/EF (EUT L 263 af 9.10.2007, s. 1), og b) ethvert to- eller trehjulet motordrevet køretøj, også med tvillinghjul, som er bestemt til brug på vej, jf. artikel 1 i Europa-Parlamentets og Rådets forordning (EU) nr. 168/2013 (EUT L 60 af 2.3.2013, s. 52).


BILAG III

Liste over bistands- og problemløsningstjenester, jf. artikel 2, stk. 2, litra c)

1)

Kvikskranker (1)

2)

Produktkontaktpunkter (2)

3)

Produktkontaktpunkter for byggeriet (3)

4)

Nationale støttecentre for erhvervsmæssige kvalifikationer (4)

5)

Nationale kontaktpunkter for grænseoverskridende sundhedsydelser (5)

6)

Det europæiske arbejdsformidlingsnet (Eures) (6)

7)

Onlinetvistbilæggelse (OTB) (7)


(1)  Europa-Parlamentets og Rådets direktiv 2006/123/EF af 12. december 2006 om tjenesteydelser i det indre marked (EUT L 376 af 27.12.2006, s. 36).

(2)  Europa-Parlamentets og Rådets forordning (EF) nr. 764/2008 af 9. juli 2008 om procedurer for anvendelsen af visse nationale tekniske forskrifter på produkter, der markedsføres lovligt i en anden medlemsstat, og om ophævelse af beslutning nr. 3052/95/EF (EUT L 218 af 13.8.2008, s. 21).

(3)  Europa-Parlamentets og Rådets forordning (EU) nr. 305/2011 af 9. marts 2011 om fastlæggelse af harmoniserede betingelser for markedsføring af byggevarer og om ophævelse af Rådets direktiv 89/106/EØF (EUT L 88 af 4.4.2011, s. 5).

(4)  Europa-Parlamentets og Rådets direktiv 2005/36/EF af 7. september 2005 om anerkendelse af erhvervsmæssige kvalifikationer (EUT L 255 af 30.9.2005, s. 22).

(5)  Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).

(6)  Europa-Parlamentets og Rådets forordning (EU) 2016/589 af 13. april 2016 om et europæisk arbejdsformidlingsnet (Eures), arbejdstageres adgang til mobilitetstjenester og øget integrering af arbejdsmarkederne og om ændring af forordning (EU) nr. 492/2011 og (EU) nr. 1296/2013 (EUT L 107 af 22.4.2016, s. 1).

(7)  Europa-Parlamentets og Rådets forordning (EU) nr. 524/2013 af 21. maj 2013 om onlinetvistbilæggelse i forbindelse med tvister på forbrugerområdet og om ændring af forordning (EF) nr. 2006/2004 og direktiv 2009/22/EF (forordning om OTB på forbrugerområdet) (EUT L 165 af 18.6.2013, s. 1).


21.11.2018   

DA

Den Europæiske Unions Tidende

L 295/39


EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2018/1725

af 23. oktober 2018

om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF

(EØS-relevant tekst)

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16, stk. 2,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg (1),

efter den almindelige lovgivningsprocedure (2), og

ud fra følgende betragtninger:

(1)

Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (»chartret«) og i artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde (TEUF) fastsættes det, at enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende. Denne ret sikres også i artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder.

(2)

Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 (3) sikrer fysiske personer rettigheder, der kan håndhæves, fastlægger de forpligtelser, som de dataansvarlige i fællesskabsinstitutionerne og -organerne har, og indfører en uafhængig tilsynsmyndighed, Den Europæiske Tilsynsførende for Databeskyttelse, der er ansvarlig for tilsynet med behandlingen af personoplysninger i Unionens institutioner og organer. Den gælder dog ikke for behandling af personoplysninger under udøvelsen af en aktivitet i Unionens institutioner og organer, der falder uden for EU-rettens anvendelsesområde.

(3)

Europa-Parlamentets og Rådets forordning (EU) 2016/679 (4) og Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (5) blev vedtaget den 27. april 2016. Mens forordningen fastsætter generelle regler med henblik på at beskytte fysiske personer i forbindelse med behandlingen af personoplysninger og sikre fri udveksling af personoplysninger i Unionen, fastsætter direktivet særlige regler med henblik på at beskytte fysiske personer i forbindelse med behandlingen af personoplysninger og at sikre fri udveksling af personoplysninger i Unionen inden for retligt samarbejde i straffesager og politisamarbejde.

(4)

I henhold til forordning (EU) 2016/679 skal forordning (EF) nr. 45/2001 tilpasses med henblik på sikre en stærk og sammenhængende databeskyttelsesramme i Unionen og muliggøre dennes anvendelse parallelt med forordning (EU) 2016/679.

(5)

Af hensyn til en sammenhængende tilgang til beskyttelse af personoplysninger i hele Unionen og den fri udveksling af personoplysninger i Unionen bør databeskyttelsesreglerne for Unionens institutioner, organer, kontorer og agenturer så vidt muligt tilpasses til de databeskyttelsesregler, der er vedtaget for den offentlige sektor i medlemsstaterne. Når bestemmelserne i nærværende forordning følger de samme principper som bestemmelserne i forordning (EU) 2016/679, bør disse to sæt bestemmelser i overensstemmelse med retspraksis fra Den Europæiske Unions Domstol (»EU-Domstolen«) fortolkes ensartet, navnlig fordi ordningen i nærværende forordning skal betragtes som svarende til ordningen i forordning (EU) 2016/679.

(6)

Personer, hvis personoplysninger behandles af Unionens institutioner og organer, uanset i hvilken sammenhæng, f.eks. fordi de er ansat af disse institutioner og organer, bør beskyttes. Denne forordning bør ikke finde anvendelse på behandlingen af personoplysninger om afdøde personer. Denne forordning finder ikke anvendelse på behandling af personoplysninger, der vedrører juridiske personer, navnlig virksomheder, der er etableret som juridiske personer, herunder den juridiske persons navn, form og kontaktoplysninger.

(7)

For at undgå at skabe en alvorlig risiko for omgåelse bør beskyttelsen af fysiske personer være teknologineutral og ikke afhænge af de anvendte teknikker.

(8)

Denne forordning bør finde anvendelse på behandling af personoplysninger i alle Unionens institutioner, organer, kontorer og agenturer. Den bør finde anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Sagsmapper eller samlinger af sagsmapper samt deres forsider, som ikke er struktureret efter bestemte kriterier, bør ikke være omfattet af denne forordnings anvendelsesområde.

(9)

I erklæring nr. 21 om beskyttelse af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde, der er knyttet som bilag til slutakten fra den regeringskonference, der vedtog Lissabontraktaten, erkendte konferencen, at det kan blive nødvendigt med specifikke regler om beskyttelse af personoplysninger og om fri udveksling af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde baseret på artikel 16 i TEUF som følge af disse områders specifikke karakter. Et særskilt kapitel i denne forordning med generelle regler bør derfor finde anvendelse på behandling af operationelle personoplysninger, såsom personoplysninger, der behandles med henblik på strafferetlig efterforskning i Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter inden for retligt samarbejde i straffesager og politisamarbejde.

(10)

Direktiv (EU) 2016/680 fastsætter harmoniserede regler om beskyttelse og fri udveksling af personoplysninger, der behandles med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed. For at sikre det samme beskyttelsesniveau for fysiske personer gennem rettigheder, der kan håndhæves i hele Unionen, og forhindre forskelle, der hæmmer udvekslingen af personoplysninger mellem Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, og kompetente myndigheder, bør reglerne om beskyttelse og fri udveksling af operationelle personoplysninger, der behandles af sådanne af Unionens organer, kontorer eller agenturer, stemme overens med direktiv (EU) 2016/680.

(11)

De generelle regler i denne forordnings kapitel vedrørende behandling af operationelle personoplysninger bør finde anvendelse med forbehold af de særlige regler, der gælder for behandling af operationelle personoplysninger i Unionens organer, kontorer og agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF. Sådanne særlige regler bør betragtes som lex specialis i forhold til bestemmelserne i denne forordnings kapitel om behandling af operationelle personoplysninger (lex specialis derogat legi generali). Med henblik på at begrænse retlig fragmentering bør specifikke databeskyttelsesregler, der finder anvendelse på behandling af operationelle personoplysninger i Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, stemme overens med de principper, der ligger til grund for denne forordnings kapitel om behandling af operationelle personoplysninger, samt med denne forordnings bestemmelser vedrørende uafhængigt tilsyn, retsmidler, ansvar og sanktioner.

(12)

Denne forordnings kapitel i om behandling af operationelle personoplysninger bør finde anvendelse på Unionens organer, kontorer og agenturer ved udførelse af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, uanset om de udøver sådanne aktiviteter som deres primære eller accessoriske opgave, med henblik på at forebygge, afsløre, efterforske eller retsforfølge strafbare handlinger. Det bør dog ikke finde anvendelse på Europol eller på Den Europæiske Anklagemyndighed, førend retsakterne vedrørende oprettelsen af Europol og Den Europæiske Anklagemyndighed er blevet ændret, således at denne forordnings kapitel om behandling af operationelle personoplysninger, som tilpasset, finder anvendelse på dem.

(13)

Kommissionen bør foretage en evaluering af denne forordning, navnlig denne forordnings kapitel om behandling af operationelle personoplysninger. Kommissionen bør også foretage en evaluering af andre retsakter, som er vedtaget på grundlag af traktaterne, og som regulerer behandlingen af operationelle personoplysninger i Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF. Efter en sådan evaluering bør Kommissionen have mulighed for at forelægge hensigtsmæssige lovgivningsforslag, herunder om nødvendige tilpasninger af denne forordnings kapitel om behandling af operationelle personoplysninger, for at sikre en ensartet og konsekvent beskyttelse af fysiske personer med hensyn til behandling af personoplysninger og med henblik på at anvende nævnte kapitel på Europol og Den Europæiske Anklagemyndighed. Tilpasningerne bør tage hensyn til bestemmelserne om uafhængigt tilsyn, retsmidler, ansvar og sanktioner.

(14)

Behandlingen af administrative personoplysninger, såsom personaleoplysninger, i Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, bør være omfattet af denne forordning.

(15)

Denne forordning bør finde anvendelse på behandling af personoplysninger i Unionens institutioner, organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under afsnit V, kapitel 2, i traktaten om Den Europæiske Union (TEU). Denne forordning bør ikke finde anvendelse på behandling af personoplysninger i de missioner, der er omhandlet i artikel 42, stk. 1, og artikel 43 og 44 i TEU, der gennemfører den fælles sikkerheds- og forsvarspolitik. Om nødvendigt bør der fremsættes relevante forslag med henblik på yderligere regulering af behandlingen af personoplysninger inden for den fælles sikkerheds- og forsvarspolitik.

(16)

Principperne om databeskyttelse bør gælde for alle oplysninger om en identificeret eller identificerbar fysisk person. Personoplysninger, der har været genstand for pseudonymisering, og som kan henføres til en fysisk person ved brug af supplerende oplysninger, bør anses for at være oplysninger om en identificerbar fysisk person. For at afgøre, om en fysisk person er identificerbar, bør alle midler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende. For at fastslå, om midler med rimelighed kan tænkes bragt i anvendelse til at identificere en fysisk person, bør alle objektive forhold tages i betragtning, såsom de omkostninger og den tid, der er nødvendig til identifikation, under hensyntagen til den tilgængelige teknologi på behandlingstidspunktet og den teknologiske udvikling. Principperne om databeskyttelse bør derfor ikke gælde for anonyme oplysninger, dvs. oplysninger der ikke vedrører en identificeret eller identificerbar fysisk person, eller for personoplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres. Denne forordning vedrører derfor ikke behandling af sådanne anonyme oplysninger, herunder til statistiske eller forskningsmæssige formål.

(17)

Anvendelsen af pseudonymisering af personoplysninger kan mindske risikoen for de berørte registrerede og gøre det lettere for dataansvarlige og databehandlere at opfylde deres databeskyttelsesforpligtelser. Det er ikke tanken med den udtrykkelige indførelse af »pseudonymisering« i denne forordning at udelukke andre databeskyttelsesforanstaltninger.

(18)

Fysiske personer kan tilknyttes onlineidentifikatorer, som tilvejebringes af deres enheder, applikationer, værktøjer og protokoller, såsom IP-adresser og cookieidentifikatorer, eller andre identifikatorer, såsom radiofrekvensidentifikationsmærker. Dette kan efterlade spor, der, navnlig når de kombineres med unikke identifikatorer og andre oplysninger, som serverne modtager, kan bruges til at oprette profiler om fysiske personer og identificere dem.

(19)

Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der i denne forbindelse tydeligt tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til. Samtidig bør den registrerede til enhver tid kunne trække samtykket tilbage, uden at dette berører lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækning heraf. Med henblik på at sikre, at der frivilligt er givet samtykke, bør samtykke ikke udgøre et gyldigt retsgrundlag for behandling af personoplysninger i et specifikt tilfælde, hvis der er en klar skævhed mellem den registrerede og den dataansvarlige, og det derfor er usandsynligt, at samtykket er givet frivilligt under hensyntagen til alle de omstændigheder, der kendetegner den specifikke situation. Det er ofte ikke muligt fuldt ud at fastlægge formålet med behandling af personoplysninger til videnskabelige forskningsformål, når oplysninger indsamles. De registrerede bør derfor kunne give deres samtykke til bestemte videnskabelige forskningsområder, når dette er i overensstemmelse med anerkendte etiske standarder for videnskabelig forskning. Registrerede bør have mulighed for kun at give deres samtykke til bestemte forskningsområder eller dele af forskningsprojekter i det omfang, det tilsigtede formål tillader det.

(20)

Enhver behandling af personoplysninger bør være lovlig og rimelig. Det bør være gennemsigtigt for de pågældende fysiske personer, at personoplysninger, der vedrører dem, indsamles, anvendes, tilgås eller på anden vis behandles, og i hvilket omfang personoplysningerne behandles eller vil blive behandlet. Princippet om gennemsigtighed tilsiger, at enhver information og kommunikation vedrørende behandling af disse personoplysninger er lettilgængelig og letforståelig, og at der benyttes et klart og enkelt sprog. Dette princip vedrører navnlig oplysningen til de registrerede om den dataansvarliges identitet og formålene med den pågældende behandling samt yderligere oplysninger for at sikre en rimelig og gennemsigtig behandling for de berørte fysiske personer og deres ret til at få bekræftelse og meddelelse om de personoplysninger vedrørende dem, der behandles. Fysiske personer bør gøres bekendt med risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger og med, hvordan de skal udøve deres rettigheder i forbindelse med en sådan behandling. Især bør de specifikke formål med behandlingen af personoplysninger være udtrykkelige og legitime og fastlagt, når personoplysningerne indsamles. Personoplysningerne bør være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålene med deres behandling. Dette kræver navnlig, at det sikres, at perioden for opbevaring af personoplysningerne ikke er længere end strengt nødvendigt. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde. For at sikre, at personoplysninger ikke opbevares i længere tid end nødvendigt, bør den dataansvarlige indføre tidsfrister for sletning eller periodisk gennemgang. Der bør træffes enhver rimelig foranstaltning for at sikre, at personoplysninger, som er urigtige, berigtiges eller slettes. Personoplysninger bør behandles på en måde, der garanterer tilstrækkelig sikkerhed og fortrolighed, herunder for at hindre uautoriseret adgang til eller anvendelse af personoplysninger eller af det udstyr, der anvendes til behandlingen, og for at hindre offentliggørelse under deres fremsendelse.

(21)

I overensstemmelse med princippet om ansvarlighed bør Unionens institutioner og organer, når de fremsender personoplysninger inden for den eller det samme af Unionens institutioner eller organer, og når modtageren ikke er en del af den dataansvarlige, eller til andre af Unionens institutioner eller organer, kontrollere, om sådanne personoplysninger kræves for den lovlige udførelse af opgaver, der henhører under modtagerens kompetence. Efter at en modtager har anmodet om fremsendelse af personoplysninger, bør den dataansvarlige navnlig kontrollere, om der foreligger en relevant begrundelse for lovlig behandling af personoplysninger, samt modtagerens kompetence. Den dataansvarlige bør også foretage en foreløbig vurdering af nødvendigheden af fremsendelsen af oplysningerne. Hvis der opstår tvivl om nødvendigheden, bør den dataansvarlige indhente yderligere oplysninger hos modtageren. Modtageren bør sikre, at nødvendigheden af fremsendelsen af oplysningerne efterfølgende kan kontrolleres.

(22)

For at behandling kan betragtes som lovlig, bør personoplysninger behandles på grundlag af nødvendigheden af at udføre en opgave, som udføres i samfundets interesse af Unionens institutioner og organer eller under deres offentlige myndighedsudøvelse, nødvendigheden af at overholde en retlig forpligtelse, som påhviler den dataansvarlige, eller et andet legitimt grundlag i henhold til denne forordning, herunder den registreredes samtykke, nødvendigheden af at opfylde en kontrakt, som den registrerede er part i, eller af hensyn til foranstaltninger, der træffes på dennes anmodning forud for indgåelse af en sådan kontrakt. Behandling af personoplysninger, som finder sted med henblik på udførelse af de opgaver, som Unionens institutioner og organer udfører i samfundets interesse, omfatter behandling af personoplysninger, der er nødvendig for disse institutioners og organers forvaltning og funktion. Behandling af personoplysninger, der er nødvendig for at beskytte en interesse af fundamental betydning for den registreredes eller en anden fysisk persons liv, bør ligeledes anses for lovlig. Behandling af personoplysninger på grundlag af en anden fysisk persons vitale interesser bør i princippet kun finde sted, hvis behandlingen tydeligvis ikke kan baseres på et andet retsgrundlag. Nogle typer behandling kan tjene både vigtige samfundsmæssige interesser og den registreredes vitale interesser, f.eks. når behandling er nødvendig af humanitære årsager, herunder med henblik på at overvåge epidemier og deres spredning eller i humanitære nødsituationer, navnlig i tilfælde af naturkatastrofer og menneskeskabte katastrofer.

(23)

Den EU-ret, der er omhandlet i denne forordning, bør være klar og præcis, og dens anvendelse bør være forudsigelig for personer, der er omfattet af den, jf. kravene i chartret og den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder.

(24)

De interne regler, der er omhandlet i denne forordning, bør have form af klare og præcise almengyldige retsakter med retsvirkning over for registrerede. De bør vedtages på højeste forvaltningsniveau i Unionens institutioner og organer inden for rammerne af disses beføjelser og i spørgsmål vedrørende disses funktion. De bør offentliggøres i Den Europæiske Unions Tidende. Anvendelsen af disse regler bør være forudsigelig for personer, der er omfattet af dem, i overensstemmelse med kravene i chartret og den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder. Interne regler kan have form af afgørelser, navnlig når de vedtages af Unionens institutioner.

(25)

Behandling af personoplysninger til andre formål end de formål, som personoplysningerne oprindelig blev indsamlet til, bør kun tillades, hvis behandlingen er forenelig med de formål, som personoplysningerne oprindelig blev indsamlet til. I dette tilfælde kræves der ikke andet retsgrundlag end det, der begrundede indsamlingen af personoplysningerne. Hvis behandling er nødvendig for at udføre en opgave i samfundets interesse eller henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, kan EU-retten fastsætte og præcisere de opgaver og formål, hvortil det bør være foreneligt og lovligt at foretage viderebehandling. Viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål bør anses for at være forenelige lovlige behandlingsaktiviteter. Retsgrundlaget i EU-retten for behandling af personoplysninger kan også udgøre et retsgrundlag for viderebehandling. For at fastslå, om et formål med viderebehandling er foreneligt med det formål, som personoplysningerne oprindelig blev indsamlet til, bør den dataansvarlige efter at have opfyldt alle kravene til lovligheden af den oprindelige behandling bl.a. tage hensyn til enhver forbindelse mellem disse formål og formålet med den påtænkte viderebehandling, den sammenhæng, som personoplysningerne er blevet indsamlet i, navnlig de registreredes rimelige forventninger til den videre anvendelse heraf på grundlag af deres forhold til den dataansvarlige, personoplysningernes art, konsekvenserne af den påtænkte viderebehandling for de registrerede og tilstedeværelse af fornødne garantier i forbindelse med både de oprindelige og de påtænkte yderligere behandlingsaktiviteter.

(26)

Hvis behandling er baseret på den registreredes samtykke, bør den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandlingen. Navnlig i forbindelse med skriftlige erklæringer om andre forhold bør garantier sikre, at den registrerede er bekendt med, at og i hvilket omfang der er givet samtykke. I overensstemmelse med Rådets direktiv 93/13/EØF (6) bør der stilles en samtykkeerklæring, som er udformet af den dataansvarlige, til rådighed i en letforståelig og lettilgængelig form og i et klart og enkelt sprog, og den bør ikke indeholde urimelige vilkår. For at sikre, at samtykket er informeret, bør den registrerede som minimum være bekendt med den dataansvarliges identitet og formålene med den behandling, som personoplysningerne skal bruges til. Samtykke bør ikke anses for at være givet frivilligt, hvis den registrerede ikke har et reelt eller frit valg eller ikke kan afvise eller trække sit samtykke tilbage, uden at det er til skade for den pågældende.

(27)

Børn bør nyde særlig beskyttelse af deres personoplysninger, eftersom de ofte er mindre bevidste om de pågældende risici, konsekvenser og garantier og deres rettigheder for så vidt angår behandling af personoplysninger. En sådan særlig beskyttelse bør navnlig gælde for oprettelse af personlighedsprofiler og indsamling af personoplysninger vedrørende børn, når der anvendes tjenester, der tilbydes direkte til et barn på websteder tilhørende Unionens institutioner og organer såsom kommunikationstjenester direkte mellem mennesker eller onlinesalg af billetter, og behandlingen af personoplysninger er baseret på samtykke.

(28)

Når andre modtagere etableret i Unionen end Unionens institutioner og organer ønsker at få fremsendt personoplysninger til dem fra Unionens institutioner og organer, bør disse modtagere påvise, at det er nødvendigt at få oplysningerne fremsendt enten af hensyn til udførelsen af en opgave, der udføres i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som de har fået pålagt. Alternativt bør disse modtagere påvise, at fremsendelsen er nødvendig for et specifikt formål i samfundets interesse, og den dataansvarlige bør fastslå, om der er nogen grund til at formode, at det vil skade den registreredes legitime interesser. I sådanne tilfælde bør den dataansvarlige påviseligt afveje de forskellige foreliggende interesser med henblik på at vurdere forholdsmæssigheden af den anmodede fremsendelse af personoplysninger. Det specifikke formål i samfundets interesse kan vedrøre gennemsigtigheden i Unionens institutioner og organer. Unionens institutioner og organer bør endvidere i overensstemmelse med princippet om gennemsigtighed og god forvaltningsskik godtgøre, at dette er nødvendigt, når de selv indleder en fremsendelse. Kravene i denne forordning til fremsendelse til andre modtagere etableret i Unionen end Unionens institutioner og organer bør betragtes som et supplement til betingelserne for lovlig behandling.

(29)

Personoplysninger, der i kraft af deres karakter er særligt følsomme i forhold til grundlæggende rettigheder og frihedsrettigheder, bør nyde specifik beskyttelse, da den sammenhæng, som behandlingen af dem indgår i, kunne indebære betydelige risici for grundlæggende rettigheder og frihedsrettigheder. Sådanne personoplysninger bør ikke behandles, medmindre de særlige betingelser fastsat i denne forordning er opfyldt. Disse personoplysninger bør omfatte personoplysninger om race eller etnisk oprindelse, idet anvendelsen af udtrykket »race« i denne forordning ikke betyder, at Unionen accepterer teorier, der søger at fastslå, at der findes forskellige menneskeracer. Behandling af fotografier bør ikke systematisk anses for at være behandling af særlige kategorier af personoplysninger, eftersom de kun vil være omfattet af definitionen af biometriske data, når de behandles ved en specifik teknisk fremgangsmåde, der muliggør entydig identifikation eller autentifikation af en fysisk person. Foruden de specifikke krav til behandling af følsomme oplysninger bør de generelle principper og andre regler i denne forordning finde anvendelse, navnlig for så vidt angår betingelserne for lovlig behandling. Der bør udtrykkeligt gives mulighed for undtagelser fra det generelle forbud mod behandling af sådanne særlige kategorier af personoplysninger, bl.a. hvis den registrerede giver sit udtrykkelige samtykke eller for så vidt angår specifikke behov, navnlig hvis behandling foretages i forbindelse med visse sammenslutningers eller stiftelsers legitime aktiviteter, hvis formål er at muliggøre udøvelse af grundlæggende frihedsrettigheder.

(30)

Særlige kategorier af personoplysninger, som bør nyde højere beskyttelse, bør kun behandles til sundhedsmæssige formål, hvor det er nødvendigt for at opfylde disse formål til gavn for fysiske personer og samfundet som helhed, navnlig i forbindelse med forvaltning af sundheds- eller socialydelser og -systemer. Denne forordning bør derfor fastsætte harmoniserede betingelser for behandling af særlige kategorier af personoplysninger om helbredsforhold for så vidt angår specifikke behov, navnlig hvis behandlingen af sådanne oplysninger foretages til visse sundhedsmæssige formål af personer, der er underlagt tavshedspligt. EU-retten bør omfatte specifikke og passende foranstaltninger til at beskytte fysiske personers grundlæggende rettigheder og personoplysninger.

(31)

Behandling af særlige kategorier af personoplysninger kan være nødvendig af hensyn til samfundsinteresser hvad angår folkesundhed uden den registreredes samtykke. En sådan behandling bør være underlagt passende og specifikke foranstaltninger med henblik på at beskytte fysiske personers rettigheder og frihedsrettigheder. I denne sammenhæng fortolkes »folkesundhed« som defineret i Europa-Parlamentets og Rådets forordning (EF) nr. 1338/2008 (7), dvs. alle elementer vedrørende sundhed, nemlig helbredstilstand, herunder sygelighed og invaliditet, determinanter med en indvirkning på helbredstilstanden, behov for sundhedspleje, ressourcer tildelt sundhedsplejen, ydelse af og almen adgang til sundhedspleje, udgifter til og finansiering af sundhedspleje samt dødsårsager. Sådan behandling af helbredsoplysninger af hensyn til samfundsinteresser bør ikke medføre, at personoplysninger behandles til andre formål.

(32)

Hvis de personoplysninger, der behandles af en dataansvarlig, ikke sætter den dataansvarlige i stand til at identificere en fysisk person, bør den dataansvarlige ikke være forpligtet til at indhente yderligere oplysninger for at identificere den registrerede udelukkende med det formål at overholde bestemmelserne i denne forordning. Den dataansvarlige bør dog ikke nægte at tage imod yderligere oplysninger fra den registrerede, som den pågældende giver med henblik på udøvelsen af sine rettigheder. Identifikation bør omfatte digital identifikation af en registreret, f.eks. gennem en autentifikationsmekanisme, såsom de samme legitimationsoplysninger som dem, den registrerede anvender til at logge på den onlinetjeneste, der tilbydes af den dataansvarlige.

(33)

Behandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål bør være omfattet af fornødne garantier for den registreredes rettigheder og frihedsrettigheder i henhold til denne forordning. Disse garantier bør sikre, at der er truffet tekniske og organisatoriske foranstaltninger til især at sikre princippet om dataminimering. Viderebehandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål skal foretages, når den dataansvarlige har vurderet muligheden for at opfylde disse formål ved at behandle oplysninger, som ikke gør det muligt eller ikke længere gør det muligt at identificere de registrerede, forudsat at de fornødne garantier foreligger (som f.eks. pseudonymisering af oplysninger). Unionens institutioner og organer bør sikre de fornødne garantier for behandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i EU-retten, der kan omfatte interne regler vedtaget af Unionens institutioner og organer i spørgsmål vedrørende deres funktion.

(34)

Der bør fastsættes nærmere regler, som kan lette udøvelsen af de registreredes rettigheder i henhold til denne forordning, herunder mekanismer til at anmode om og i givet fald opnå navnlig gratis indsigt i og berigtigelse eller sletning af personoplysninger og udøvelsen af retten til indsigelse. Den dataansvarlige bør også give mulighed for elektroniske anmodninger, navnlig hvis personoplysninger behandles elektronisk. Den dataansvarlige bør være forpligtet til at besvare sådanne anmodninger fra en registreret uden unødig forsinkelse og senest inden for en måned og begrunde det, hvis vedkommende ikke agter at imødekomme sådanne anmodninger.

(35)

Principperne om rimelig og gennemsigtig behandling kræver, at den registrerede underrettes om behandlingsaktiviteters eksistens og deres formål. Den dataansvarlige bør give den registrerede eventuelle yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling, under hensyntagen til de specifikke omstændigheder og forhold, som personoplysningerne behandles under. Den registrerede bør desuden underrettes om tilstedeværelse af profilering og konsekvenserne heraf. Hvis personoplysninger indsamles fra den registrerede, bør den registrerede også underrettes om, hvorvidt den pågældende er forpligtet til at meddele personoplysningerne, og om konsekvenserne, hvis vedkommende ikke meddeler sådanne oplysninger. Denne information kan gives sammen med standardiserede ikoner med henblik på at give et meningsfuldt overblik over den planlagte behandling på en klart synlig, letlæselig og letforståelig måde. Hvis ikonerne præsenteres elektronisk, bør de være maskinlæsbare.

(36)

Oplysninger om behandling af personoplysninger bør gives til den registrerede på tidspunktet for indsamlingen fra den registrerede, eller hvis personoplysningerne indhentes fra en anden kilde, inden for en rimelig periode afhængigt af de konkrete omstændigheder. Hvis personoplysninger lovligt kan videregives til en anden modtager, bør den registrerede underrettes, når personoplysningerne første gang videregives til modtageren. Hvis den dataansvarlige agter at behandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, bør den dataansvarlige forud for denne viderebehandling give den registrerede oplysninger om dette andet formål og andre nødvendige oplysninger. Hvis den registrerede ikke kan informeres om personoplysningernes oprindelse, fordi der er anvendt forskellige kilder, bør der gives generelle oplysninger.

(37)

En registreret bør have ret til indsigt i personoplysninger, der er indsamlet om vedkommende, og til let og med rimelige mellemrum at udøve denne ret med henblik på at forvisse sig om og kontrollere behandlingens lovlighed. Dette omfatter de registreredes ret til indsigt i deres helbredsoplysninger, f.eks. data i deres lægejournaler om diagnoser, undersøgelsesresultater, lægelige vurderinger samt enhver behandling og ethvert indgreb, der er foretaget. Enhver registreret bør derfor have ret til at kende og blive underrettet om navnlig de formål, hvortil personoplysningerne behandles, om muligt perioden, hvor personoplysningerne behandles, modtagerne af personoplysningerne, logikken bag en automatisk behandling af personoplysninger, og om konsekvenserne af sådan behandling, i det mindste når den er baseret på profilering. Denne ret bør ikke krænke andres rettigheder eller frihedsrettigheder, herunder forretningshemmeligheder eller intellektuel ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af. Denne vurdering bør dog ikke resultere i en afvisning af at give al information til den registrerede. Hvis den dataansvarlige behandler en stor mængde oplysninger om den registrerede, bør den dataansvarlige kunne anmode om, at den registrerede, inden informationen gives, præciserer den information eller de behandlingsaktiviteter, som anmodningen vedrører.

(38)

En registreret bør have ret til at få berigtiget sine personoplysninger og »ret til at blive glemt«, hvis opbevaringen af sådanne oplysninger overtræder denne forordning eller EU-ret, som den dataansvarlige er underlagt. En registreret bør have ret til at få sine personoplysninger slettet og ikke længere behandlet, hvis personoplysningerne ikke længere er nødvendige til de formål, hvortil de er blevet indsamlet eller på anden måde behandlet, hvis en registreret har trukket sit samtykke tilbage eller gør indsigelse mod behandling af personoplysninger om vedkommende, eller hvis behandlingen af vedkommendes personoplysninger i øvrigt ikke er i overensstemmelse med denne forordning. Denne ret er navnlig relevant, når den registrerede har givet sit samtykke som barn og ikke fuldt ud var bekendt med risiciene i forbindelse med behandlingen og senere ønsker at fjerne sådanne personoplysninger, særligt på internettet. Den registrerede bør kunne udøve denne ret, selv om vedkommende ikke længere er et barn. Yderligere opbevaring af personoplysningerne bør dog være lovlig, hvis det er nødvendigt for at udøve retten til ytrings- og informationsfrihed, for at overholde en retlig forpligtelse, for udførelsen af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, af hensyn til samfundsinteresser på folkesundhedsområdet, til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller statistiske formål, eller for at retskrav kan fastlægges, gøres gældende eller forsvares.

(39)

For at styrke retten til at blive glemt i onlinemiljøet bør retten til sletning udvides, så en dataansvarlig, der har offentliggjort personoplysninger, forpligtes til at underrette de dataansvarlige, der behandler sådanne personoplysninger, med henblik på at få slettet alle link til, kopier af eller gengivelser af disse personoplysninger. I den forbindelse bør den dataansvarlige tage rimelige skridt under hensyntagen til den tilgængelige teknologi og de midler, som den dataansvarlige har til sin rådighed, herunder tekniske foranstaltninger, til at informere de dataansvarlige, der behandler personoplysningerne, om den registreredes anmodning.

(40)

Metoder til at begrænse behandlingen af personoplysninger kan bl.a. indebære, at udvalgte oplysninger midlertidig flyttes til et andet behandlingssystem, at udvalgte personoplysninger gøres utilgængelige for brugere, eller at offentliggjorte oplysninger midlertidig fjernes fra et websted. I automatiske registre bør begrænsning af behandling i princippet sikres ved hjælp af tekniske midler på en sådan måde, at personoplysningerne ikke kan viderebehandles og ikke kan ændres. Det forhold, at behandling af personoplysninger er begrænset, bør angives tydeligt i systemet.

(41)

For at give den registrerede øget kontrol over sine personoplysninger bør vedkommende, når behandling af personoplysninger foretages automatisk, også kunne modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, i et struktureret, almindeligt anvendt, maskinlæsbart og indbyrdes kompatibelt format og kunne fremsende dem til en anden dataansvarlig. Dataansvarlige bør opfordres til at udvikle indbyrdes kompatible formater, der muliggør dataportabilitet. Denne ret bør gælde, hvis den registrerede har givet personoplysningerne på grundlag af sit samtykke, eller hvis behandlingen er nødvendig for opfyldelsen af en kontrakt. Derfor bør den ikke gælde, hvis behandlingen af personoplysninger er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, eller for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Den registreredes ret til at fremsende eller modtage personoplysninger vedrørende sig selv bør ikke skabe en forpligtelse for de dataansvarlige til at indføre eller opretholde behandlingssystemer, som er teknisk kompatible. Såfremt et sæt personoplysninger vedrører mere end én registreret, bør retten til at modtage personoplysningerne ikke berøre andre registreredes rettigheder og frihedsrettigheder i overensstemmelse med denne forordning. Denne ret bør endvidere ikke berøre den registreredes ret til at få slettet personoplysninger og begrænsningerne i denne ret som fastsat i denne forordning og bør navnlig ikke indebære, at personoplysninger, som den registrerede har givet til opfyldelse af en kontrakt, slettes, i det omfang og så længe personoplysningerne er nødvendige for opfyldelse af kontrakten. Hvis det er teknisk muligt, bør den registrerede have ret til at få personoplysningerne fremsendt direkte fra en dataansvarlig til en anden.

(42)

Hvis personoplysninger kan behandles lovligt, fordi behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, bør en registreret ikke desto mindre have ret til at gøre indsigelse mod behandling af personoplysninger på baggrund af den pågældendes særlige situation. Det bør være op til den dataansvarlige at påvise, at dennes vægtige legitime interesse går forud for den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder.

(43)

Den registrerede bør have ret til ikke at blive gjort til genstand for en afgørelse, der kan omfatte en foranstaltning, som evaluerer personlige forhold vedrørende vedkommende, og som alene bygger på automatisk behandling, og som har retsvirkning eller som på tilsvarende vis i betydelig grad påvirker den pågældende, såsom e-rekrutteringsprocedurer uden nogen menneskelig indgriben. En sådan behandling omfatter »profilering«, der består af enhver form for automatisk behandling af personoplysninger, der evaluerer de personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den registreredes arbejdsindsats, økonomiske situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografiske position eller bevægelser, når den har retsvirkning for den pågældende eller på tilsvarende vis i betydelig grad påvirker den pågældende.

Afgørelser baseret på en sådan behandling, herunder profilering, bør dog være tilladt, når EU-retten udtrykkeligt tillader det. En sådan behandling bør under alle omstændigheder være omfattet af de fornødne garantier, herunder specifik underretning af den registrerede og retten til menneskelig indgriben, til at fremkomme med synspunkter, til at få en forklaring på den afgørelse, der er truffet efter en sådan evaluering, og til at bestride afgørelsen. En sådan foranstaltning bør ikke omfatte et barn. For at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede under hensyntagen til de specifikke omstændigheder og forhold, som personoplysningerne behandles under, bør den dataansvarlige anvende passende matematiske eller statistiske procedurer til profileringen, gennemføre tekniske og organisatoriske foranstaltninger, der navnlig kan sikre, at faktorer, der resulterer i unøjagtige personoplysninger, bliver rettet, og at risikoen for fejl minimeres, samt sikre personoplysninger på en måde, der tager højde for de potentielle risici for den registreredes interesser og rettigheder og hindrer bl.a. forskelsbehandling af fysiske personer på grund af race eller etnisk oprindelse, politisk eller religiøs overbevisning, fagforeningsmæssigt tilhørsforhold, genetisk status eller helbredstilstand eller seksuel orientering, eller behandling som resulterer i foranstaltninger, der har en sådan virkning. Automatiske afgørelser og profilering baseret på særlige kategorier af personoplysninger bør kun tillades under særlige omstændigheder.

(44)

Retsakter vedtaget på grundlag af traktaterne eller interne regler vedtaget af Unionens institutioner og organer i spørgsmål vedrørende deres funktion kan pålægge restriktioner vedrørende specifikke principper og retten til oplysninger, indsigt i og berigtigelse eller sletning af personoplysninger, retten til dataportabilitet, fortroligheden af elektroniske kommunikationsdata samt underretning om et brud på persondatasikkerheden til en registreret og visse tilknyttede forpligtelser for de dataansvarlige, for så vidt det er nødvendigt og forholdsmæssigt i et demokratisk samfund af hensyn til den offentlige sikkerhed, og til forebyggelse, efterforskning og retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner. Dette omfatter beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed, beskyttelse af menneskeliv, især som reaktion på naturkatastrofer eller menneskeskabte katastrofer, intern sikkerhed i Unionens institutioner og organer, andre af Unionens eller en medlemsstats samfundsinteresser, navnlig målene med Unionens fælles udenrigs- og sikkerhedspolitik eller Unionens eller en medlemsstats vigtige økonomiske eller finansielle interesser, og føring af offentlige registre i offentlighedens interesse eller beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder, herunder social sikring, folkesundhed og humanitære formål.

(45)

Der bør fastsættes bestemmelser om den dataansvarliges ansvar, herunder erstatningsansvar, for enhver behandling af personoplysninger, der foretages af den dataansvarlige eller på den dataansvarliges vegne. Den dataansvarlige bør navnlig have pligt til at gennemføre passende og effektive foranstaltninger og til at påvise, at behandlingsaktiviteter overholder denne forordning, herunder foranstaltningernes effektivitet. Disse foranstaltninger bør tage højde for behandlingens karakter, omfang, sammenhæng og formål og risikoen for fysiske personers rettigheder og frihedsrettigheder.

(46)

Risiciene for fysiske personers rettigheder og frihedsrettigheder af varierende sandsynlighed og alvor kan opstå som følge af behandling af personoplysninger, der kan føre til fysisk, materiel eller immateriel skade, navnlig hvis behandlingen kan give anledning til forskelsbehandling, identitetstyveri eller -svig, finansielle tab, skade på omdømme, tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt, uautoriseret ophævelse af pseudonymisering eller andre betydelige økonomiske eller sociale konsekvenser, hvis de registrerede kan blive berøvet deres rettigheder og frihedsrettigheder eller forhindret i at udøve kontrol med deres personoplysninger, hvis der behandles personoplysninger, der viser race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, og behandling af genetiske data, helbredsoplysninger eller oplysninger om seksuelle forhold eller straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger, hvis personlige forhold evalueres, navnlig analyse eller forudsigelse af forhold vedrørende indsats på arbejdspladsen, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografisk position eller bevægelser, med henblik på at oprette eller anvende personlige profiler, hvis der behandles personoplysninger om sårbare fysiske personer, navnlig børn, eller hvis behandlingen omfatter en stor mængde personoplysninger og berører et stort antal registrerede.

(47)

Risikoens sandsynlighed og alvor for så vidt angår den registreredes rettigheder og frihedsrettigheder bør bestemmes med henvisning til behandlingens karakter, omfang, sammenhæng og formål. Risikoen bør evalueres på grundlag af en objektiv vurdering, hvorved det fastslås, om databehandlingsaktiviteter indebærer en risiko eller en høj risiko.

(48)

Beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger kræver, at der træffes passende tekniske og organisatoriske foranstaltninger for at sikre, at denne forordnings krav er opfyldt. For at kunne påvise overholdelse af denne forordning bør den dataansvarlige vedtage interne politikker og gennemføre foranstaltninger, som især lever op til principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger. Sådanne foranstaltninger kan bl.a. bestå i minimering af behandlingen af personoplysninger, pseudonymisering af personoplysninger så hurtigt som muligt og gennemsigtighed for så vidt angår personoplysningers funktion og behandling, således at den registrerede kan føre tilsyn med databehandlingen, og den dataansvarlige kan tilvejebringe og forbedre sikkerhedselementer. Der bør også tages hensyn til principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i forbindelse med offentlige udbud.

(49)

Forordning (EU) 2016/679 giver dataansvarlige mulighed for at påvise overholdelse ved at overholde godkendte certificeringsmekanismer. Tilsvarende bør Unionens institutioner og organer kunne påvise overholdelse af nærværende forordning ved at opnå certificering i henhold til artikel 42 i forordning (EU) 2016/679.

(50)

Beskyttelse af registreredes rettigheder og frihedsrettigheder samt de dataansvarliges og databehandlernes ansvar og erstatningsansvar kræver en klar fordeling af ansvarsområderne i medfør af denne forordning, herunder når en dataansvarlig fastlægger formålene med og hjælpemidlerne til behandling sammen med andre dataansvarlige, eller når en behandlingsaktivitet foretages på vegne af en dataansvarlig.

(51)

Med henblik på at sikre overholdelse af kravene i denne forordning i forbindelse med behandling, der foretages af en databehandler på vegne af den dataansvarlige, når databehandleren overdrages behandlingsaktiviteter, bør den dataansvarlige udelukkende benytte sig af databehandlere, der giver tilstrækkelige garantier, navnlig i form af ekspertise, pålidelighed og ressourcer, for implementering af tekniske og organisatoriske foranstaltninger, der opfylder kravene i denne forordning, herunder med hensyn til behandlingssikkerhed. Databehandleres, bortset fra Unionens institutioners og organers, overholdelse af en godkendt adfærdskodeks eller en godkendt certificeringsmekanisme kan bruges som et element til at påvise, at den dataansvarlige overholder sine forpligtelser. Bestemmelserne om behandling ved andre databehandlere end Unionens institutioner eller organer bør fastsættes i en kontrakt eller, hvis Unionens institutioner eller organer fungerer som databehandlere, i en kontrakt eller et andet retligt dokument i henhold til EU-retten, der binder databehandleren til den dataansvarlige, og hvori behandlingens genstand og varighed, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede er fastsat, idet der tages hensyn til databehandleres specifikke opgaver og ansvar i forbindelse med den behandling, der skal foretages, og risikoen for den registreredes rettigheder og frihedsrettigheder. Den dataansvarlige og databehandleren bør være i stand til at vælge at anvende en individuel kontrakt eller standardkontraktbestemmelser, der er vedtaget enten direkte af Kommissionen eller af Den Europæiske Tilsynsførende for Databeskyttelse og derefter vedtaget af Kommissionen. Databehandleren bør efter den dataansvarliges valg tilbagelevere eller slette de pågældende personoplysninger efter afslutning af den behandling, der er foretaget på vegne af den dataansvarlige, medmindre EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt, indeholder et krav om opbevaring af disse personoplysninger.

(52)

For at påvise overholdelse af denne forordning bør de dataansvarlige føre fortegnelser over behandlingsaktiviteter, der henhører under deres ansvar, og databehandlerne bør føre fortegnelser over de kategorier af behandlingsaktiviteter, der henhører under deres ansvar. Unionens institutioner og organer bør have pligt til at samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse og efter anmodning stille disse fortegnelser til rådighed for denne, så de kan bruges til at føre tilsyn med sådanne behandlingsaktiviteter. Medmindre dette ikke er hensigtsmæssigt under hensyntagen til den eller det pågældende af Unionens institutioners eller agenturers størrelse, bør Unionens -institutioner og organer kunne oprette en central fortegnelse over deres behandlingsaktiviteter. Af hensyn til gennemsigtigheden bør de også kunne offentliggøre en sådan fortegnelse.

(53)

For at opretholde sikkerheden og hindre behandling i strid med denne forordning bør den dataansvarlige eller databehandleren vurdere de risici, som en behandling indebærer, og gennemføre foranstaltninger, der kan begrænse disse risici, som f.eks. kryptering. Disse foranstaltninger bør under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne sikre et tilstrækkeligt sikkerhedsniveau, herunder fortrolighed, i forhold til risiciene og karakteren af de personoplysninger, der skal beskyttes. Ved vurderingen af datasikkerhedsrisikoen bør der tages hensyn til de risici, som behandling af personoplysninger indebærer, såsom hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret fremsendelse af eller adgang til personoplysninger, der er fremsendt, opbevaret eller på anden måde behandlet, og som navnlig kan føre til fysisk, materiel eller immateriel skade.

(54)

Unionens institutioner og organer bør sikre fortroligheden af elektronisk kommunikation i overensstemmelse med artikel 7 i chartret. Unionens institutioner og organer bør navnlig garantere sikkerheden i forbindelse med deres elektroniske kommunikationsnetværk. De bør beskytte oplysninger vedrørende brugeres terminaludstyr med adgang til deres offentligt tilgængelige websteder og mobilapplikationer i overensstemmelse med Europa-Parlamentets og Rådets direktiv 2002/58/EF (8). De bør også beskytte brugernes personoplysninger opbevaret i brugerfortegnelser.

(55)

Et brud på persondatasikkerheden kan, hvis det ikke håndteres på en passende og rettidig måde, påføre fysiske personer fysisk, materiel eller immateriel skade. Så snart den dataansvarlige bliver bekendt med, at der er sket et brud på persondatasikkerheden, bør vedkommende derfor anmelde bruddet på persondatasikkerheden til Den Europæiske Tilsynsførende for Datasikkerhed uden unødig forsinkelse og om muligt senest 72 timer efter, at denne er blevet bekendt med det, medmindre den dataansvarlige i overensstemmelse med ansvarlighedsprincippet kan påvise, at bruddet på persondatasikkerheden sandsynligvis ikke indebærer risiko for fysiske personers rettigheder eller frihedsrettigheder. Hvis en sådan anmeldelse ikke kan ske inden for 72 timer, bør den ledsages af en begrundelse for forsinkelsen, og oplysningerne kan indgives trinvis uden unødig yderligere forsinkelse. Hvis en sådan forsinkelse er berettiget, bør mindre følsomme eller mindre specifikke oplysninger om bruddet offentliggøres snarest muligt, frem for at vente med at foretage anmeldelse, indtil den underliggende hændelse er løst fuldt og helt.

(56)

Den dataansvarlige bør underrette den registrerede om et brud på persondatasikkerheden uden unødig forsinkelse, når dette brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for den fysiske persons rettigheder og frihedsrettigheder, med henblik på at give vedkommende mulighed for at træffe de fornødne forholdsregler. Underretningen bør beskrive karakteren af bruddet på persondatasikkerheden og indeholde anbefalinger til den berørte fysiske person med henblik på at begrænse de mulige skadevirkninger. Sådanne underretninger til registrerede bør gives, så snart det med rimelighed er muligt, og i tæt samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse i overensstemmelse med retningslinjer, der er udstukket af denne eller af andre relevante myndigheder, såsom retshåndhævende myndigheder.

(57)

Forordning (EF) nr. 45/2001 pålægger den dataansvarlige en generel forpligtelse til at anmelde behandlingen af personoplysninger til databeskyttelsesrådgiveren. Medmindre dette ikke er hensigtsmæssigt under hensyntagen til den eller det pågældende af Unionens institutioners eller agenturers størrelse skal databeskyttelsesrådgiveren føre en fortegnelse over anmeldte behandlingsaktiviteter. Ud over denne generelle forpligtelse bør der opstilles effektive procedurer og mekanismer til at overvåge behandlingsaktiviteter, der sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder som følge af deres karakter, omfang, sammenhæng og formål. Der bør navnlig også etableres sådanne procedurer, når typerne af behandlingsaktiviteter indebærer brug af ny teknologi eller er en ny form for aktivitet, hvor den dataansvarlige endnu ikke har foretaget en konsekvensanalyse vedrørende databeskyttelse, eller som er blevet nødvendige på grund af den tid, der er gået siden den oprindelige behandling. I sådanne tilfælde bør den dataansvarlige inden behandlingen foretage en konsekvensanalyse vedrørende databeskyttelse med henblik på at vurdere den høje risikos specifikke sandsynlighed og alvor under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risikokilderne. Konsekvensanalysen bør navnlig omfatte de foranstaltninger, garantier og mekanismer, der er planlagt til begrænsning af denne risiko, til sikring af beskyttelsen af personoplysninger og påvisning af overholdelse af denne forordning.

(58)

Såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at en behandling uden garantier, sikkerhedsforanstaltninger og mekanismer til at begrænse risikoen vil føre til en høj risiko for fysiske personers rettigheder og frihedsrettigheder, og den dataansvarlige mener, at risikoen ikke kan begrænses gennem rimelige midler for så vidt angår tilgængelig teknologi og gennemførelsesomkostninger, bør Den Europæiske Tilsynsførende for Databeskyttelse høres inden indledning af behandlingsaktiviteterne. En sådan høj risiko vil sandsynligvis være en følge af visse typer behandling og omfanget og hyppigheden af behandlingen, der også kunne føre til skade for eller indgreb i fysiske personers rettigheder og frihedsrettigheder. Den Europæiske Tilsynsførende for Databeskyttelse bør reagere på en høringsanmodning inden for et fastsat tidsrum. Den Europæiske Tilsynsførende for Databeskyttelses manglende reaktion inden for dette tidsrum bør dog ikke berøre Den Europæiske Tilsynsførende for Databeskyttelses mulighed for at gribe ind i overensstemmelse med vedkommendes opgaver og beføjelser i henhold til denne forordning, herunder beføjelsen til at forbyde behandlingsaktiviteter. Som led i denne høringsproces bør det være muligt at forelægge resultatet af en konsekvensanalyse vedrørende databeskyttelse, der foretages for den pågældende behandling, for Den Europæiske Tilsynsførende for Databeskyttelse, navnlig de foranstaltninger, der påtænkes for at begrænse risikoen for fysiske personers rettigheder og frihedsrettigheder.

(59)

Den Europæiske Tilsynsførende for Databeskyttelse bør underrettes om administrative foranstaltninger og høres om interne regler vedtaget af Unionens institutioner og organer i spørgsmål vedrørende deres funktion, når disse muliggør behandlingen af personoplysninger, fastsætter betingelser for begrænsninger af de registreredes rettigheder eller tilvejebringer passende garantier for de registreredes rettigheder, for at sikre, at den planlagte behandling er i overensstemmelse med denne forordning, navnlig for så vidt angår begrænsning af risiciene for den registrerede.

(60)

Med forordning (EU) 2016/679 blev Det Europæiske Databeskyttelsesråd oprettet som et uafhængigt EU-organ med status som juridisk person. Databeskyttelsesrådet bør bidrage til en konsekvent anvendelse af forordning (EU) 2016/679 og direktiv (EU) 2016/680 i hele Unionen, herunder ved at rådgive Kommissionen. Samtidig bør Den Europæiske Tilsynsførende for Databeskyttelse fortsat udføre sine tilsyns- og rådgivningsfunktioner over for alle Unionens institutioner og organer, på eget initiativ eller efter anmodning. Med henblik på at sikre sammenhæng mellem databeskyttelsesreglerne i hele Unionen bør Kommissionen, når den udarbejder forslag eller henstillinger, bestræbe sig på at høre Den Europæiske Tilsynsførende for Databeskyttelse. Det bør være obligatorisk at høre Kommissionen efter vedtagelsen af lovgivningsmæssige retsakter eller under udarbejdelsen af delegerede retsakter og gennemførelsesretsakter som defineret i artikel 289, 290 og 291 i TEUF og efter vedtagelsen af henstillinger og forslag vedrørende aftaler med tredjelande og internationale organisationer som omhandlet i artikel 218 i TEUF, der har konsekvenser for retten til beskyttelse af personoplysninger. I sådanne tilfælde bør Kommissionen have pligt til at høre Den Europæiske Tilsynsførende for Databeskyttelse, undtagen hvor forordning (EU) 2016/679 foreskriver obligatorisk høring af Det Europæiske Databeskyttelsesråd, f.eks. om afgørelser om tilstrækkeligheden af beskyttelsesniveauet eller delegerede retsakter om standardiserede ikoner og krav til certificeringsmekanismer. Når den pågældende retsakt har særlig betydning for beskyttelsen af fysiske personers rettigheder og frihedsrettigheder med hensyn til behandlingen af personoplysninger, bør Kommissionen derudover have mulighed for at høre Det Europæiske Databeskyttelsesråd. I disse tilfælde bør Den Europæiske Tilsynsførende for Databeskyttelse som medlem af Det Europæiske Databeskyttelsesråd koordinere sit arbejde med sidstnævnte med henblik på at afgive en fælles udtalelse. Den Europæiske Tilsynsførende for Databeskyttelse og, hvor det er hensigtsmæssigt, Det Europæiske Databeskyttelsesråd bør yde deres skriftlige rådgivning inden otte uger. Denne tidsramme bør være kortere i hastende tilfælde, eller hvor det i øvrigt er hensigtsmæssigt, f.eks. når Kommissionen udarbejder delegerede retsakter og gennemførelsesretsakter.

(61)

I overensstemmelse med artikel 75 i forordning (EU) 2016/679 bør Den Europæiske Tilsynsførende for Databeskyttelse fungere som sekretariat for Det Europæiske Databeskyttelsesråd.

(62)

I alle Unionens institutioner og organer bør en databeskyttelsesrådgiver sikre, at bestemmelserne i denne forordning finder anvendelse, og bør rådgive de dataansvarlige og databehandlerne under opfyldelsen af deres forpligtelser. Denne rådgiver børe være en person med ekspertviden om databeskyttelseslovgivning og -praksis, der navnlig bør fastlægges i forhold til de databehandlingsaktiviteter, der foretages af den dataansvarlige eller databehandleren, og den beskyttelse, der kræves for de omhandlede personoplysninger. Sådanne databeskyttelsesrådgivere bør være i stand til at udøve deres hverv på uafhængig vis.

(63)

Når personoplysninger overføres fra Unionens institutioner og organer til dataansvarlige, databehandlere eller andre modtagere i tredjelande eller til internationale organisationer, bør det beskyttelsesniveau, som fysiske personer sikres i Unionen i medfør af denne forordning, garanteres. De samme garantier bør gælde i tilfælde af videreoverførsel af personoplysninger fra et tredjeland eller en international organisation til dataansvarlige, databehandlere i det samme eller et andet tredjeland eller en anden international organisation. Overførsel til tredjelande og internationale organisationer må under alle omstændigheder kun finde sted under fuld overholdelse af denne forordning og med respekt for de grundlæggende rettigheder og frihedsrettigheder, der er fastsat i chartret. En overførsel vil kun kunne finde sted, hvis den dataansvarlige eller databehandleren opfylder betingelserne i denne forordning vedrørende overførsel af personoplysninger til tredjelande eller internationale organisationer, jf. dog de øvrige bestemmelser i denne forordning.

(64)

Kommissionen kan i henhold til artikel 45 i forordning (EU) 2016/679 eller artikel 36 i direktiv (EU) 2016/680 beslutte, at et tredjeland, et område eller en specifik sektor i et tredjeland, eller en international organisation sikrer et tilstrækkeligt databeskyttelsesniveau. I sådanne tilfælde kan personoplysninger overføres til det pågældende tredjeland eller den pågældende internationale organisation af en af Unionens institutioner eller et af Unionens organer uden yderligere godkendelse.

(65)

I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet bør den dataansvarlige eller databehandleren træffe foranstaltninger for at kompensere for den manglende databeskyttelse i et tredjeland i form af fornødne garantier for den registrerede. Sådanne fornødne garantier kan bestå i anvendelse af standardbestemmelser om databeskyttelse vedtaget af Kommissionen, standardbestemmelser om databeskyttelse vedtaget af en Den Europæiske Tilsynsførende for Databeskyttelse eller kontraktbestemmelser godkendt af Den Europæiske Tilsynsførende for Databeskyttelse. Når databehandleren ikke er en eller et af Unionens institutioner eller organer, kan disse fornødne garantier også bestå i bindende virksomhedsregler, adfærdskodekser og certificeringsmekanismer, der anvendes til internationale overførsler i henhold til forordning (EU) 2016/679. Disse garantier bør sikre overholdelse af databeskyttelseskravene og de registreredes rettigheder i forbindelse med intern behandling i Unionen, herunder tilgængelighed af rettigheder, som kan håndhæves, for registrerede og effektive retsmidler, herunder til at opnå effektiv administrativ eller retslig prøvelse og til at kræve erstatning, i Unionen eller et tredjeland. Garantierne bør navnlig vedrøre overholdelse af de generelle principper for behandling af personoplysninger og principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger. Overførsler kan også foretages af Unionens institutioner eller organer til offentlige myndigheder eller organer i tredjelande eller til internationale organisationer med tilsvarende opgaver eller funktioner, herunder på grundlag af bestemmelser, der medtages i administrative ordninger, f.eks. et aftalememorandum, hvorved de registrerede sikres effektive rettigheder, som kan håndhæves. Godkendelse fra Den Europæiske Tilsynsførende for Databeskyttelse bør indhentes, når garantierne indgår i administrative ordninger, der ikke er juridisk bindende.

(66)

Den dataansvarliges eller databehandlerens mulighed for at bruge standardbestemmelser om databeskyttelse vedtaget af Kommissionen eller Den Europæiske Tilsynsførende for Databeskyttelse bør hverken udelukke muligheden for, at den dataansvarlige eller databehandleren medtager standardbestemmelser om databeskyttelse i en bredere kontrakt, såsom en kontrakt mellem databehandleren og en anden databehandler, eller medtager andre bestemmelser eller yderligere garantier, såfremt de hverken direkte eller indirekte er i strid med de standardkontraktbestemmelser, der er vedtaget af Kommissionen eller en tilsynsmyndighed, eller berører de registreredes grundlæggende rettigheder eller frihedsrettigheder. Dataansvarlige og databehandlere bør tilskyndes til at give yderligere garantier gennem kontraktmæssige forpligtelser, der supplerer standardbestemmelser om databeskyttelse.

(67)

Visse tredjelande vedtager love, forskrifter og andre retsakter med det formål direkte at regulere behandlingsaktiviteter, som udføres af Unionens institutioner og organer. Dette kan omfatte retsafgørelser eller administrative myndigheders afgørelser i tredjelande, der kræver, at en dataansvarlig eller en databehandler overfører eller videregiver personoplysninger, og som ikke er baseret på en gældende international aftale mellem det anmodende tredjeland og Unionen. Ekstraterritorial anvendelse af sådanne love, forskrifter og andre retsakter kan være i strid med folkeretten og hindre opnåelse af den beskyttelse af fysiske personer, der sikres i Unionen ved denne forordning. Overførsel af oplysninger bør kun tillades, hvis denne forordnings betingelser for overførsel til tredjelande er opfyldt. Det kan være tilfældet, bl.a. hvis videregivelse er nødvendig af hensyn til vigtige samfundsinteresser, der anerkendes i EU-retten.

(68)

Der bør i specifikke situationer åbnes mulighed for overførsel, når den registrerede har givet sit udtrykkelige samtykke, og hvor overførsel er lejlighedsvis og nødvendig i forbindelse med en kontrakt eller et retskrav, uanset om det sker i forbindelse med en retssag eller en administrativ eller udenretslig procedure, herunder procedurer ved reguleringsorganer. Overførsel bør også tillades, når vigtige samfundsinteresser i henhold til EU-retten kræver det, eller når overførsel sker fra et register, der er oprettet ved lov, og som er tilgængeligt for offentligheden eller personer med en legitim interesse. I sidstnævnte tilfælde bør sådan overførsel ikke omfatte alle personoplysningerne eller alle kategorier af oplysninger i registeret, medmindre det er tilladt ifølge EU-retten, og når registeret er beregnet til at blive konsulteret af personer, der har en legitim interesse, bør overførsel kun ske på anmodning af disse personer eller, hvis de selv er modtagere, under fuld hensyntagen til den registreredes interesser og grundlæggende rettigheder.

(69)

Disse undtagelser bør navnlig gælde for overførsel af oplysninger, der foretages af hensyn til vigtige samfundsinteresser, f.eks. international udveksling af oplysninger mellem Unionens institutioner og organer og konkurrencemyndigheder, skatte- eller toldforvaltninger, finansielle tilsynsmyndigheder eller social- og sundhedsmyndigheder, f.eks. i tilfælde af kontaktopsporing i forbindelse med smitsomme sygdomme eller for at nedbringe og/eller afskaffe doping inden for sport. Overførsel af personoplysninger, der er nødvendig for at beskytte et hensyn af fundamental betydning for den registreredes eller en anden persons vitale interesser, herunder fysisk integritet eller liv, bør ligeledes anses for lovlig, hvis den registrerede er ude af stand til at give sit samtykke. I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet kan EU-retten af hensyn til vigtige samfundsinteresser udtrykkelig fastsætte grænser for overførsel af særlige kategorier af oplysninger til et tredjeland eller en international organisation. Enhver overførsel til en international humanitær organisation af personoplysninger om en registreret, der ikke fysisk eller juridisk er i stand til at give sit samtykke, med henblik på udførelse af en opgave i henhold til Genèvekonventionerne eller for at overholde international humanitær ret, som finder anvendelse i væbnede konflikter, kan anses for at være nødvendig af hensyn til vigtige samfundsinteresser, eller fordi det er af vital interesse for den registrerede.

(70)

Hvis Kommissionen ikke har truffet afgørelse om tilstrækkeligheden af databeskyttelsesniveauet i et tredjeland, bør den dataansvarlige eller databehandleren under alle omstændigheder benytte løsninger, der giver de registrerede effektive rettigheder, som kan håndhæves, hvad angår behandlingen af deres personoplysninger i Unionen, når disse oplysninger er blevet overført, så de fortsat vil nyde godt af grundlæggende rettigheder og garantier.

(71)

Når personoplysninger overføres på tværs af grænser uden for Unionen, kan det medføre yderligere risici for fysiske personers mulighed for at udøve deres databeskyttelsesrettigheder og beskytte sig mod ulovlig brug eller videregivelse af disse oplysninger. Samtidig kan de nationale tilsynsmyndigheder og Den Europæiske Tilsynsførende for Databeskyttelse være ude af stand til at følge op på klager eller foretage undersøgelser vedrørende aktiviteter uden for deres jurisdiktion. Samarbejdet på tværs af grænserne kan også hæmmes af utilstrækkelige forebyggende eller afhjælpende beføjelser, uensartede retlige ordninger og praktiske hindringer som f.eks. ressourcebegrænsninger. Derfor bør et tættere samarbejde mellem Den Europæiske Tilsynsførende for Databeskyttelse og de nationale tilsynsmyndigheder fremmes for at forbedre udvekslingen af oplysninger med deres internationale ligestillede.

(72)

Den ved forordning (EF) nr. 45/2001 fastsatte oprettelse af Den Europæiske Tilsynsførende for Databeskyttelse, der har beføjelser til at udføre sine opgaver og udøve sine beføjelser i fuld uafhængighed, har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger. Nærværende forordning bør yderligere styrke og præcisere vedkommendes rolle og uafhængighed. Den Europæiske Tilsynsførende for Databeskyttelse bør være en person, hvis uafhængighed er uomtvistelig, og som er anerkendt som havende den erfaring og kompetence, der kræves for at varetage de opgaver, der henhører under Den Europæiske Tilsynsførende for Databeskyttelse, f.eks. fordi vedkommende har tilhørt en af de tilsynsmyndigheder, der er oprettet ved artikel 51 i forordning (EU) 2016/679.

(73)

For at sikre ensartet tilsyn med og håndhævelse af databeskyttelsesreglerne i hele Unionen bør Den Europæiske Tilsynsførende for Databeskyttelse have de samme opgaver og effektive beføjelser som de nationale tilsynsmyndigheder, herunder undersøgelsesbeføjelser og beføjelser til at fastsætte korrigerende foranstaltninger og sanktioner samt godkendelses- og rådgivningsbeføjelser, navnlig i tilfælde af klager fra fysiske personer, beføjelser til at indbringe overtrædelser af denne forordning for EU-Domstolen, og beføjelser til at deltage i retssager i overensstemmelse med den primære ret. Disse beføjelser bør også omfatte beføjelse til midlertidigt eller definitivt at begrænse, herunder forbyde, behandling. For at undgå overflødige omkostninger og urimelige ulemper for de pågældende personer, der kunne blive berørt negativt, bør hver foranstaltning, som træffes af Den Europæiske Tilsynsførende for Databeskyttelse, være passende, nødvendig og forholdsmæssig for at sikre overholdelsen af denne forordning, tage hensyn til omstændighederne i hver enkelt sag og respektere enhver persons ret til at blive hørt, inden der træffes en individuel foranstaltning vedrørende denne person. Hver juridisk bindende foranstaltning, der træffes af Den Europæiske Tilsynsførende for Databeskyttelse, bør være skriftlig, klar og utvetydig, angive datoen for iværksættelsen af foranstaltningen, være underskrevet af Den Europæiske Tilsynsførende for Databeskyttelse, angive begrundelsen for foranstaltningen og indeholde en henvisning til adgangen til effektive retsmidler.

(74)

Den Europæiske Tilsynsførende for Databeskyttelses tilsynskompetence bør af hensyn til EU-Domstolens uafhængighed under udførelsen af dens judicielle opgaver, herunder beslutningstagning, ikke omfatte EU-Domstolens behandling af personoplysninger, når den handler i sin egenskab af domstol, herunder træffer afgørelser. For sådanne behandlingsaktiviteter bør EU-Domstolen etablere et uafhængigt tilsyn i overensstemmelse med artikel 8, stk. 3, i chartret, f.eks. gennem en intern mekanisme.

(75)

Afgørelser truffet af Den Europæiske Tilsynsførende for Databeskyttelse vedrørende undtagelser fra, garantier for, godkendelse af eller betingelser for behandling af personoplysninger, således som de er defineret i denne forordning, bør offentliggøres i årsberetningen. Uafhængigt af offentliggørelsen af årsberetningen kan Den Europæiske Tilsynsførende for Databeskyttelse offentliggøre rapporter om specifikke emner.

(76)

Den Europæiske Tilsynsførende for Databeskyttelse bør overholde Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 (9).

(77)

De nationale tilsynsmyndigheder fører tilsyn med anvendelsen af forordning (EU) 2016/679 og bidrager til ensartet anvendelse heraf i hele Unionen for at beskytte fysiske personer i forbindelse med behandling af deres personoplysninger og lette fri udveksling af personoplysninger inden for indre marked. For at skabe mere ensartethed i anvendelsen af de gældende databeskyttelsesregler i medlemsstaterne og de databeskyttelsesregler, der gælder for Unionens institutioner og organer, bør Den Europæiske Tilsynsførende for Databeskyttelse samarbejde effektivt med de nationale tilsynsmyndigheder.

(78)

Under visse omstændigheder omfatter EU-retten en model for koordineret tilsyn mellem Den Europæiske Tilsynsførende for Databeskyttelse og de nationale tilsynsmyndigheder. Den Europæiske Tilsynsførende for Databeskyttelse er også tilsynsmyndighed for Europol, og med henblik herpå er der udarbejdet en særlig model for samarbejde med de nationale tilsynsmyndigheder gennem et samarbejdsråd med rådgivende funktion. For at forbedre det effektive tilsyn med og den effektive håndhævelse af væsentlige databeskyttelsesregler bør der indføres en fælles, sammenhængende model for koordineret tilsyn i Unionen. Kommissionen bør derfor fremsætte lovgivningsforslag, hvor det er hensigtsmæssigt, med henblik på at ændre de EU-retsakter, der indeholder en model for koordineret tilsyn, for at tilpasse dem til den koordinerede tilsynsmodel i denne forordning. Det Europæiske Databeskyttelsesråd bør fungere som et fælles forum for sikring af effektivt koordineret tilsyn på alle områder.

(79)

Enhver registreret bør have ret til at indgive klage til Den Europæiske Tilsynsførende for Databeskyttelse og have adgang til effektive retsmidler ved EU-Domstolen i overensstemmelse med traktaterne, hvis den registrerede finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket, eller hvis Den Europæiske Tilsynsførende for Databeskyttelse ikke reagerer på en klage, delvist eller helt afslår eller afviser en klage eller ikke handler, hvis handling er nødvendig for at beskytte den registreredes rettigheder. Undersøgelse af en klage bør foretages i det omfang, det er passende i det specifikke tilfælde, med forbehold af domstolsprøvelse. Den Europæiske Tilsynsførende for Databeskyttelse bør underrette den registrerede om behandlingen og resultatet af klagen inden en rimelig frist. Hvis sagen kræver yderligere koordinering med en national tilsynsmyndighed, bør den registrerede undervejs underrettes herom. For at lette indgivelsen af klager bør Den Europæiske Tilsynsførende for Databeskyttelse træffe foranstaltninger såsom at tilbyde en klageformular, der også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmidler.

(80)

Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, bør have ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren på de betingelser, der er fastsat i traktaterne.

(81)

For at styrke Den Europæiske Tilsynsførende for Databeskyttelses tilsynsrolle og den effektive håndhævelse af denne forordning bør Den Europæiske Tilsynsførende for Databeskyttelse som en sanktion, der kan anvendes som sidste udvej, have beføjelse til at pålægge administrative bøder. Bøderne bør have til formål at pålægge den eller det pågældende af Unionens institutioner eller organer — snarere end fysiske personer — sanktioner for manglende overholdelse af denne forordning med henblik på at forebygge fremtidige overtrædelser af denne forordning og fremme en persondatabeskyttelseskultur i Unionens institutioner og organer. Denne forordning bør angive de overtrædelser, der kan medføre administrative bøder, og maksimumsbeløb og kriterier for fastsættelse af de tilknyttede bøder. Den Europæiske Tilsynsførende for Databeskyttelse bør fastsætte størrelsen af bøden i hvert enkelt tilfælde under hensyntagen til alle relevante omstændigheder i den specifikke situation og med behørig hensyntagen til karakteren, alvoren og varigheden af overtrædelsen, dens konsekvenser og de foranstaltninger, der er truffet for at sikre overholdelse af forpligtelserne i henhold til denne forordning og for at forebygge eller begrænse følgerne af overtrædelsen. Når en eller et af Unionens institutioner eller organer pålægges en administrativ bøde, bør Den Europæiske Tilsynsførende for Databeskyttelse overveje, om bødens størrelse står i et rimeligt forhold til overtrædelsen. Den administrative procedure for at pålægge Unionens institutioner og organer bøder bør overholde EU-rettens generelle principper som fortolket af EU-Domstolen.

(82)

Hvis en registreret finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket, bør den pågældende have ret til at give et organ, en organisation eller en sammenslutning, der ikke arbejder med gevinst for øje, som er etableret i overensstemmelse med EU-retten eller en medlemsstats ret, og hvis vedtægtsmæssige formål er i samfundets interesse, og som beskæftiger sig med beskyttelse af personoplysninger, bemyndigelse til på vedkommendes vegne at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse. Et sådant organ eller en sådan sammenslutning bør også kunne udøve retten til adgang til retsmidler eller retten til erstatning på registreredes vegne.

(83)

Der bør kunne iværksættes disciplinære eller andre sanktioner over for en tjenestemand eller anden ansat i Unionen, som undlader at opfylde forpligtelserne i denne forordning i overensstemmelse med de regler og procedurer, der er fastlagt i vedtægten for tjenestemænd i Den Europæiske Union og ansættelsesvilkårene for de øvrige ansatte i Unionen, fastsat ved Rådets forordning (EØF, Euratom, EKSF) nr. 259/68 (10) (»vedtægten for tjenestemænd«).

(84)

For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (11). Undersøgelsesproceduren bør anvendes med henblik på vedtagelse af standardkontraktbestemmelser mellem dataansvarlige og databehandlere og mellem dataansvarlige indbyrdes, med henblik på vedtagelse af en liste over behandlingsaktiviteter, for hvilke det kræves, at databehandlere, der behandler personoplysninger som led i udførelsen af opgaver i samfundets interesse, foretager forudgående høring af Den Europæiske Tilsynsførende for Databeskyttelse, og med henblik på vedtagelse af standardkontraktbestemmelser, der giver passende garantier for internationale overførsler.

(85)

De fortrolige oplysninger, som Unionen og de nationale statistikmyndigheder indsamler til udarbejdelse af officielle europæiske og officielle nationale statistikker, bør beskyttes. Europæiske statistikker bør udvikles, udarbejdes og formidles i overensstemmelse med de statistiske principper, der er omhandlet i artikel 338, stk. 2, i TEUF. Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 (12) indeholder yderligere præciseringer om statistisk fortrolighed for europæiske statistikker.

(86)

Forordning (EF) nr. 45/2001 og Europa-Parlamentets, Rådets og Kommissionens afgørelse nr. 1247/2002/EF (13) bør ophæves. Henvisninger til den ophævede forordning og den ophævede afgørelse bør betragtes som henvisninger til nærværende forordning.

(87)

For at sikre, at medlemmerne af den uafhængige tilsynsmyndighed er helt uafhængige, bør embedsperioden for Den Europæiske Tilsynsførende for Databehandling og den nuværende assisterende tilsynsførende ikke berøres af denne forordning. Den nuværende assisterende tilsynsførende bør forblive i sin stilling indtil udløbet af sin mandatperiode, medmindre en af betingelserne for førtidig afslutning af embedsperioden for Den Europæiske Tilsynsførende for Databeskyttelse i denne forordning er opfyldt. De relevante bestemmelser bør finde anvendelse på den assisterende tilsynsførende indtil udløbet af vedkommendes embedsperiode.

(88)

I overensstemmelse med proportionalitetsprincippet er det for at virkeliggøre det grundlæggende mål om at sikre et ensartet niveau for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og fri udveksling af personoplysninger i hele Unionen nødvendigt og hensigtsmæssigt at fastsætte bestemmelser om behandlingen af personoplysninger i Unionens institutioner og organer. Denne forordning går ikke videre, end hvad der er nødvendigt for at nå de tilstræbte mål i overensstemmelse med artikel 5, stk. 4, i TEU.

(89)

Den Europæiske Tilsynsførende for Databeskyttelse blev hørt i overensstemmelse med artikel 28, stk. 2, i forordning (EF) nr. 45/2001, og afgav udtalelse den 15. marts 2017 (14) —

VEDTAGET DENNE FORORDNING:

KAPITEL I

ALMINDELIGE BESTEMMELSER

Artikel 1

Genstand og formål

1.   I denne forordning fastsættes regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner og organer og regler om fri udveksling af personoplysninger mellem disse eller med andre modtagere, der er etableret i Unionen.

2.   Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger.

3.   Den Europæiske Tilsynsførende for Databeskyttelse fører tilsyn med anvendelsen af bestemmelserne i denne forordning på alle behandlingsaktiviteter, der udføres af en af Unionens institutioner eller et af Unionens organer.

Artikel 2

Anvendelsesområde

1.   Denne forordning finder anvendelse på behandling af personoplysninger i alle Unionens institutioner og organer.

2.   Kun denne forordnings artikel 3 og kapitel IX finder anvendelse på behandling af operationelle personoplysninger i Unionens organer, kontorer og agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF.

3.   Nærværende forordning finder ikke anvendelse på Europols og Den Europæiske Anklagemyndigheds behandling af operationelle personoplysninger, førend Europa-Parlamentets og Rådets forordning (EU) 2016/794 (15) og Rådets forordning (EU) 2017/1939 (16) er tilpasset i overensstemmelse med nærværende forordnings artikel 98.

4.   Denne forordning finder ikke anvendelse på behandling af personoplysninger i de missioner, der er omhandlet i artikel 42, stk. 1, og artikel 43 og 44 i TEU.

5.   Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Artikel 3

Definitioner

I denne forordning forstås ved:

1)

»personoplysninger«: enhver form for information om en identificeret eller identificérbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

2)

»operationelle personoplysninger«: alle personoplysninger, der behandles i Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, med henblik på at opfylde de mål og udføre de opgaver, der er fastsat i de retsakter, hvorved disse organer, kontorer eller agenturer oprettes

3)

»behandling«: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved fremsendelse, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

4)

»begrænsning af behandling«: mærkning af opbevarede personoplysninger med den hensigt at begrænse fremtidig behandling af disse oplysninger

5)

»profilering«: enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk position eller bevægelser

6)

»pseudonymisering«: behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person

7)

»register«: enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt eller decentralt eller er fordelt på funktionsbestemt eller geografisk grundlag

8)

»dataansvarlig«: den af Unionens institutioner eller det af Unionens organer eller det generaldirektorat eller enhver anden organisatorisk enhed, som alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene med og hjælpemidlerne til en sådan behandling er fastlagt i en bestemt EU-retsakt, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastlægges i EU-retten

9)

»andre dataansvarlige end Unionens institutioner og organer«: dataansvarlige som omhandlet i artikel 4, nr. 7), i forordning (EU) 2016/679 og dataansvarlige som omhandlet i artikel 3, nr. 8), i direktiv (EU) 2016/680

10)

»Unionens institutioner og organer«: Unionens institutioner, organer, kontorer og agenturer, der er oprettet ved eller på grundlag af TEU, TEUF eller Euratomtraktaten

11)

»kompetent myndighed«: enhver offentlig myndighed i en medlemsstat, der er kompetent med hensyn til at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed

12)

»databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne

13)

»modtager«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej. Offentlige myndigheder, som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel i henhold til EU-retten eller medlemsstaternes nationale ret, anses dog ikke for modtagere; de offentlige myndigheders behandling af disse oplysninger skal overholde de gældende databeskyttelsesregler afhængigt af formålet med behandlingen

14)

»tredjemand«: en anden fysisk eller juridisk person, offentlig myndighed eller institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle personoplysninger

15)

»samtykke« fra den registrerede: enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling

16)

»brud på persondatasikkerheden«: et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til personoplysninger, der er videresendt, opbevaret eller på anden måde behandlet

17)

»genetiske data«: personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske karakteristika, som giver entydig information om den fysiske persons fysiologi eller helbred, og som navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person

18)

»biometriske data«: personoplysninger, der som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger

19)

»helbredsoplysninger«: personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand

20)

»informationssamfundstjeneste«: en tjeneste som defineret i artikel 1, stk. 1, litra b), i Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 (17)

21)

»international organisation«: en folkeretlig organisation og organer, der er underordnet den, eller ethvert andet organ, der er oprettet ved eller med hjemmel i en aftale mellem to eller flere lande

22)

»national tilsynsmyndighed«: en uafhængig offentlig myndighed, der er etableret i en medlemsstat i henhold til artikel 51 i forordning (EU) 2016/679 eller i henhold til artikel 41 i direktiv (EU) 2016/680

23)

»bruger«: en fysisk person, der anvender et netværk eller terminaludstyr, som drives under tilsyn af en af Unionens institutioner eller et af Unionens organer

24)

»fortegnelse«: en offentligt tilgængelig fortegnelse over brugere eller en intern fortegnelse over brugere, der er til rådighed i en af Unionens institutioner eller et af Unionens organer, eller som deles mellem Unionens institutioner og organer, enten i trykt eller elektronisk form

25)

»elektronisk kommunikationsnet«: transmissionssystemer, uanset om de er baseret på en permanent infrastruktur eller centraliseret administrationsfunktion og, hvor det er relevant, koblings- og dirigeringsudstyr og andre ressourcer, herunder netelementer, som ikke er aktive, og som overfører signaler ved hjælp af trådforbindelse, radiobølger, lyslederteknik eller andre elektromagnetiske midler, herunder satellitnet, jordbaserede fastnet (kredsløbs- og pakkekoblede, herunder i internettet) og mobilnet, elkabelsystemer, i det omfang de benyttes til transmission af signaler, net, som anvendes til radio- og TV-spredning, samt kabel-TV-net, uanset hvilken type information, der overføres

26)

»terminaludstyr«: terminaludstyr som defineret i artikel 1, nr. 1), i Kommissionens direktiv 2008/63/EF (18).

KAPITEL II

GENERELLE PRINCIPPER

Artikel 4

Principper for behandling af personoplysninger

1.   Personoplysninger skal:

a)

behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)

b)

indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 13 anses ikke for at være uforenelig med de oprindelige formål (»formålsbegrænsning«)

c)

være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)

d)

være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt til at sikre, at personoplysninger, der er ukorrekte i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)

e)

opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles. Personoplysninger kan opbevares i et længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 13, under forudsætning af, at der gennemføres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«)

f)

behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

2.   Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).

Artikel 5

Lovlig behandling

1.   Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

a)

Behandling er nødvendig af hensyn til udførelse af en opgave, der udføres i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den eller det pågældende af Unionens institutioner eller organer har fået pålagt.

b)

Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.

c)

Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.

d)

Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

e)

Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

2.   Grundlaget for behandlingen i stk. 1, litra a) og b), fastsættes i EU-retten.

Artikel 6

Behandling til et andet foreneligt formål

Når behandling til et andet formål end det, som personoplysningerne er indsamlet til, ikke er baseret på den registreredes samtykke eller EU-retten, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål, der er omhandlet i artikel 25, stk. 1, tager den dataansvarlige, for at afgøre, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindelig blev indsamlet til, bl.a. hensyn til følgende:

a)

enhver forbindelse mellem det formål, som personoplysningerne er indsamlet til, og formålet med den påtænkte viderebehandling

b)

den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet mellem den registrerede og den dataansvarlige

c)

personoplysningernes art, navnlig om særlige kategorier af personoplysninger behandles, jf. artikel 10, eller om personoplysninger vedrørende straffedomme og lovovertrædelser behandles, jf. artikel 11

d)

den påtænkte viderebehandlings mulige konsekvenser for de registrerede

e)

tilstedeværelsen af fornødne garantier, som kan omfatte kryptering eller pseudonymisering.

Artikel 7

Betingelser for samtykke

1.   Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.

2.   Hvis den registreredes samtykke gives i form af en skriftlig erklæring, der også vedrører andre forhold, skal en anmodning om samtykke forelægges på en måde, som klart kan skelnes fra de andre forhold, i en letforståelig og lettilgængelig form og i et klart og enkelt sprog. Enhver del af en sådan erklæring, som udgør en overtrædelse af denne forordning, er ikke bindende.

3.   Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke berører ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækningen. Inden der gives samtykke, skal den registrerede underrettes om, at samtykket kan trækkes tilbage. Det skal være lige så let at trække sit samtykke tilbage som at give det.

4.   Ved vurderingen af, om samtykke er givet frit, tages der størst muligt hensyn til, bl.a. om opfyldelsen af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt.

Artikel 8

Betingelser for et barns samtykke i forbindelse med informationssamfundstjenester

1.   Hvis artikel 5, stk. 1, litra d), finder anvendelse i forbindelse med udbud af informationssamfundstjenester direkte til børn, er behandling af personoplysninger om et barn lovlig, hvis barnet er mindst 13 år. Er barnet under 13 år, er sådan behandling kun lovlig, hvis og i det omfang samtykke gives eller godkendes af indehaveren af forældremyndigheden over barnet.

2.   Under hensyntagen til den tilgængelige teknologi skal den dataansvarlige gøre sig rimelige bestræbelser på i sådanne tilfælde at kontrollere, at indehaveren af forældremyndigheden over barnet har givet eller godkendt samtykket.

3.   Stk. 1 berører ikke medlemsstaternes generelle aftaleret, som f.eks. bestemmelser om gyldighed, indgåelse eller virkning af en kontrakt, når der er tale om et barn.

Artikel 9

Fremsendelse af personoplysninger til andre modtagere, der er etableret i Unionen, end Unionens institutioner og organer

1.   Uden at det berører artikel 4-6 og 10, fremsendes personoplysninger kun til andre modtagere, der er etableret i Unionen, end Unionens institutioner og organer, hvis:

a)

modtageren godtgør, at oplysningerne er nødvendige af hensyn til udførelse af en opgave, der udføres i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som modtageren har fået pålagt, eller

b)

modtageren godtgør, at fremsendelsen af oplysningerne er nødvendig til et specifikt formål i samfundets interesse, og den dataansvarlige, hvis der er nogen grund til at formode, at oplysningerne vil skade den registreredes legitime interesser, efter påviseligt at have afvejet de forskellige berørte interesser mod hinanden, fastslår, at fremsendelsen af personoplysningerne står i et rimeligt forhold til det specifikke mål.

2.   Hvis den dataansvarlige tager initiativ til fremsendelsen efter denne artikel, påviser denne, at fremsendelsen af personoplysninger er nødvendig og står i et rimeligt forhold til formålene med fremsendelsen, på grundlag af kriterierne i stk. 1, litra a) eller b).

3.   Unionens institutioner og organer skal forene retten til beskyttelse af personoplysninger med retten til aktindsigt i overensstemmelse med EU-retten.

Artikel 10

Behandling af særlige kategorier af personoplysninger

1.   Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.

2.   Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende:

a)

den registrerede har givet udtrykkeligt samtykke til behandling af disse personoplysninger til et eller flere specifikke formål, medmindre det i EU-retten er fastsat, at det i stk. 1 omhandlede forbud ikke kan hæves med den registreredes samtykke

b)

behandlingen er nødvendig for at overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder, for så vidt den har hjemmel i EU-retten, som giver fornødne garantier for den registreredes grundlæggende rettigheder og interesser

c)

behandlingen er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser i tilfælde, hvor den registrerede fysisk eller juridisk ikke er i stand til at give samtykke

d)

behandlingen foretages af et organ, der ikke arbejder med gevinst for øje, og som udgør en enhed, der er integreret i en af Unionens institutioner eller et af Unionens organer, og hvis sigte er af politisk, filosofisk, religiøs eller faglig art, som led i organets legitime aktiviteter og med de fornødne garantier, og på betingelse af at behandlingen alene vedrører organets medlemmer eller tidligere medlemmer eller personer, der på grund af organets formål er i regelmæssig kontakt hermed, og at oplysningerne ikke videregives uden for organet uden den registreredes samtykke

e)

behandlingen vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede

f)

behandlingen er nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares, eller når EU-Domstolen handler under udførelsen af sine judicielle opgaver

g)

behandlingen er nødvendig af hensyn til væsentlige samfundsinteresser på grundlag af EU-retten og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser

h)

behandlingen er nødvendig med henblik på forebyggende medicin eller arbejdsmedicin til vurdering af arbejdstagerens erhvervsevne, medicinsk diagnose, ydelse af social- og sundhedsomsorg eller -behandling eller forvaltning af social- og sundhedsomsorg og -tjenester på grundlag af EU-retten eller i henhold til en kontrakt med en sundhedsperson og underlagt de betingelser og garantier, der er omhandlet i stk. 3

i)

behandlingen er nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet, f.eks. beskyttelse mod alvorlige grænseoverskridende sundhedsrisici eller sikring af høje kvalitets- og sikkerhedsstandarder for sundhedspleje og lægemidler eller medicinsk udstyr på grundlag af EU-retten, som fastsætter passende og specifikke foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder, navnlig tavshedspligt, eller

j)

behandlingen er nødvendig til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål på grundlag af EU-retten og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser.

3.   Personoplysninger som omhandlet i stk. 1 kan behandles til de formål, der er omhandlet i stk. 2, litra h), hvis disse oplysninger behandles af en fagperson, der har tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret eller regler, der er fastsat af nationale kompetente organer, eller under en sådan persons ansvar, eller af en anden person, der også har tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret eller regler, der er fastsat af kompetente nationale organer.

Artikel 11

Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser

Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger på grundlag af artikel 5, stk. 1, må kun foretages under kontrol af en offentlig myndighed, eller hvis behandlingen har hjemmel i EU-retten, som giver passende garantier for registreredes rettigheder og frihedsrettigheder.

Artikel 12

Behandling, der ikke kræver identifikation

1.   Hvis formålene med en dataansvarligs behandling af personoplysninger ikke kræver eller ikke længere kræver, at den registrerede kan identificeres af den dataansvarlige, er den dataansvarlige ikke forpligtet til at beholde, indhente eller behandle yderligere oplysninger for at kunne identificere den registrerede alene med det formål at overholde denne forordning.

2.   Hvis den dataansvarlige i de tilfælde, der er omhandlet i denne artikels stk. 1, kan påvise, at vedkommende ikke kan identificere den registrerede, underretter den dataansvarlige den registrerede herom, hvis det er muligt. I sådanne tilfælde finder artikel 17-22 ikke anvendelse, medmindre den registrerede for at udøve sine rettigheder i henhold til disse artikler giver yderligere oplysninger, der gør det muligt at identificere den pågældende.

Artikel 13

Garantier i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål

Behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål skal være underlagt fornødne garantier for registreredes rettigheder og frihedsrettigheder i overensstemmelse med denne forordning. Disse garantier skal sikre, at der er truffet tekniske og organisatoriske foranstaltninger, især for at sikre overholdelse af princippet om dataminimering. Disse foranstaltninger kan omfatte pseudonymisering, forudsat at disse formål kan opfyldes på denne måde. Når disse formål kan opfyldes ved viderebehandling, som ikke gør det muligt eller ikke længere gør det muligt at identificere de registrerede, skal formålene opfyldes på denne måde.

KAPITEL III

DEN REGISTREREDES RETTIGHEDER

AFDELING 1

Gennemsigtighed og nærmere regler

Artikel 14

Gennemsigtig oplysning, meddelelser og nærmere regler for udøvelsen af den registreredes rettigheder

1.   Den dataansvarlige træffer passende foranstaltninger til at give enhver oplysning som omhandlet i artikel 15 og 16 og enhver meddelelse i henhold til artikel 17-24 og artikel 35 om behandling til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog, navnlig når oplysninger specifikt er rettet mod et barn. Oplysningerne gives skriftligt eller med andre midler, herunder, hvis det er hensigtsmæssigt, elektronisk. Når den registrerede anmoder om det, kan oplysningerne gives mundtligt, forudsat at den registreredes identitet påvises med andre midler.

2.   Den dataansvarlige letter udøvelsen af den registreredes rettigheder i henhold til artikel 17-24. I de tilfælde, der er omhandlet i artikel 12, stk. 2, må den dataansvarlige ikke afvise at efterkomme den registreredes anmodning om at udøve sine rettigheder i henhold til artikel 17-24, medmindre den dataansvarlige påviser, at vedkommende ikke er i stand til at identificere den registrerede.

3.   Den dataansvarlige oplyser uden unødig forsinkelse og i alle tilfælde senest en måned efter modtagelsen af anmodningen den registrerede om foranstaltninger, der træffes på baggrund af en anmodning i henhold til artikel 17-24. Denne periode kan om nødvendigt forlænges med to måneder under hensyntagen til anmodningernes kompleksitet og antal. Den dataansvarlige underretter den registrerede om enhver sådan forlængelse senest en måned efter modtagelsen af anmodningen sammen med begrundelsen for forsinkelsen. Hvis den registrerede indgiver en anmodning elektronisk, meddeles oplysningerne så vidt muligt elektronisk, medmindre den registrerede anmoder om andet.

4.   Hvis den dataansvarlige ikke træffer foranstaltninger i anledning af den registreredes anmodning, underretter den dataansvarlige straks og senest en måned efter modtagelsen af anmodningen den registrerede om årsagen hertil og om muligheden for at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse og indbringe sagen for en retsinstans.

5.   Oplysninger, der gives i henhold til artikel 15 og 16, og enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 17-24 og artikel 35, er gratis. Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige afvise at efterkomme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven, påhviler den dataansvarlige.

6.   Uden at det berører artikel 12 kan den dataansvarlige, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der fremsætter en anmodning som omhandlet i artikel 17-23, anmode om yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.

7.   De oplysninger, der skal gives til registrerede i henhold til artikel 15 og 16, kan gives sammen med standardiserede ikoner for at give et meningsfuldt overblik over den planlagte behandling på en klart synlig, letforståelig og letlæselig måde. Hvis ikonerne præsenteres elektronisk, skal de være maskinlæsbare.

8.   Hvis Kommissionen vedtager delegerede retsakter i henhold til artikel 12, stk. 8, i forordning (EU) 2016/679, der fastlægger de oplysninger, som skal fremgå af ikonerne og procedurerne for tilvejebringelse af standardiserede ikoner, tilvejebringer Unionens institutioner og organer, hvor det er relevant, de oplysninger, der er omhandlet i nærværende forordnings artikel 15 og 16, sammen med sådanne standardiserede ikoner.

AFDELING 2

Oplysning og indsigt i personoplysninger

Artikel 15

Oplysningspligt ved indsamling af personoplysninger hos den registrerede

1.   Hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede alle følgende oplysninger:

a)

identitet på og kontaktoplysninger for den dataansvarlige

b)

kontaktoplysninger for databeskyttelsesrådgiveren

c)

formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen

d)

eventuelle modtagere eller kategorier af modtagere af personoplysningerne

e)

hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 48, henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.

2.   Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede følgende yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling:

a)

det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum

b)

retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede eller, hvor det er relevant, retten til at gøre indsigelse mod behandling samt retten til dataportabilitet

c)

når behandling er baseret på artikel 5, stk. 1, litra d), eller artikel 10, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf

d)

retten til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse

e)

om meddelelse af personoplysninger er lovpligtigt eller et krav i henhold til en kontrakt eller et krav, der skal være opfyldt for at indgå en kontrakt, samt om den registrerede har pligt til at give personoplysningerne og de eventuelle konsekvenser af ikke at give sådanne oplysninger

f)

forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 24, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

3.   Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål og andre relevante yderligere oplysninger, jf. stk. 2.

4.   Stk. 1, 2 og 3 finder ikke anvendelse, hvis og i det omfang den registrerede allerede er bekendt med oplysningerne.

Artikel 16

Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede

1.   Hvis personoplysningerne ikke er indsamlet hos den registrerede, giver den dataansvarlige den registrerede følgende oplysninger:

a)

identitet på og kontaktoplysninger for den dataansvarlige

b)

kontaktoplysninger for databeskyttelsesrådgiveren

c)

formålene med den behandling, som personoplysningerne skal bruges til, samt retsgrundlaget for behandlingen

d)

de berørte kategorier af personoplysninger

e)

eventuelle modtagere eller kategorier af modtagere af personoplysningerne

f)

hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til en modtager i et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 48, henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.

2.   Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige den registrerede følgende yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede:

a)

det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum

b)

retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede eller, hvor det er relevant, retten til at gøre indsigelse mod behandling eller retten til dataportabilitet

c)

når behandling er baseret på artikel 5, stk. 1, litra d), eller artikel 10, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf

d)

retten til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse

e)

hvilken kilde personoplysningerne hidrører fra, og eventuelt hvorvidt de stammer fra offentligt tilgængelige kilder

f)

forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 24, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

3.   Den dataansvarlige giver de oplysninger, der er omhandlet i stk. 1 og 2:

a)

inden for en rimelig frist efter indsamlingen af personoplysningerne, men senest inden for en måned under hensyn til de specifikke forhold, som personoplysningerne er behandlet under,

b)

hvis personoplysningerne skal bruges til at kommunikere med den registrerede, senest på tidspunktet for den første kommunikation med den registrerede, eller

c)

hvis personoplysningerne er bestemt til videregivelse til en anden modtager, senest når personoplysningerne videregives første gang.

4.   Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål samt andre relevante yderligere oplysninger, jf. stk. 2.

5.   Stk. 1-4 finder ikke anvendelse, hvis og i det omfang:

a)

den registrerede allerede er bekendt med oplysningerne

b)

meddelelse af sådanne oplysninger viser sig umulig eller vil kræve en uforholdsmæssigt stor indsats, navnlig i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål, eller i det omfang den forpligtelse, der er omhandlet i denne artikels stk. 1, sandsynligvis vil gøre det umuligt eller i alvorlig grad vil hindre opfyldelse af formålene med denne behandling

c)

indsamling eller videregivelse udtrykkeligt er fastsat i EU-retten, som fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser, eller

d)

personoplysningerne skal forblive fortrolige som følge af tavshedspligt i henhold til EU-retten, herunder lovbestemt tavshedspligt.

6.   I de tilfælde, der er omhandlet i stk. 5, litra b), træffer den dataansvarlige passende foranstaltninger til at beskytte den registreredes rettigheder og frihedsrettigheder og legitime interesser, herunder gøre oplysningerne offentligt tilgængelige.

Artikel 17

Den registreredes indsigtsret

1.   Den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information:

a)

formålene med behandlingen

b)

de berørte kategorier af personoplysninger

c)

de modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, navnlig modtagere i tredjelande eller internationale organisationer

d)

om muligt, det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum

e)

retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling af personoplysninger vedrørende den registrerede eller til at gøre indsigelse mod en sådan behandling

f)

retten til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse

g)

enhver tilgængelig information om, hvorfra personoplysningerne stammer, hvis de ikke indsamles hos den registrerede

h)

forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 24, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

2.   Hvis personoplysningerne overføres til et tredjeland eller en international organisation, har den registrerede ret til at blive underrettet om de fornødne garantier i medfør af artikel 48 i forbindelse med overførslen.

3.   Den dataansvarlige udleverer en kopi af de personoplysninger, der behandles. Hvis den registrerede indgiver anmodningen elektronisk, og medmindre den registrerede anmoder om andet, udleveres oplysningerne i en almindeligt anvendt elektronisk form.

4.   Retten til at modtage en kopi som omhandlet i stk. 3 må ikke krænke andres rettigheder og frihedsrettigheder.

AFDELING 3

Berigtigelse og sletning

Artikel 18

Ret til berigtigelse

Den registrerede har ret til at få urigtige personoplysninger om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Den registrerede har under hensyntagen til formålene med behandlingen ret til få fuldstændiggjort ufuldstændige personoplysninger, bl.a. ved at fremlægge en supplerende erklæring.

Artikel 19

Ret til sletning (»ret til at blive glemt«)

1.   Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende:

a)

Personoplysningerne er ikke længere nødvendige til at opfylde de formål, hvortil de blev indsamlet eller på anden vis behandlet.

b)

Den registrerede trækker det samtykke, der er grundlaget for behandlingen, jf. artikel 5, stk. 1, litra d), eller artikel 10, stk. 2, litra a), tilbage, og der er ikke et andet retsgrundlag for behandlingen.

c)

Den registrerede gør indsigelse mod behandlingen i henhold til artikel 23, stk. 1, og der foreligger ikke legitime grunde til behandlingen.

d)

Personoplysningerne er blevet behandlet ulovligt.

e)

Personoplysningerne skal slettes for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt.

f)

Personoplysningerne er blevet indsamlet i forbindelse med udbud af informationssamfundstjenester som omhandlet i artikel 8, stk. 1.

2.   Hvis den dataansvarlige har offentliggjort personoplysningerne og i henhold til stk. 1 er forpligtet til at slette personoplysningerne, træffer den dataansvarlige under hensyntagen til den teknologi, der er tilgængelig, og omkostningerne ved implementeringen, rimelige foranstaltninger, herunder tekniske foranstaltninger, til at underrette de dataansvarlige, eller andre dataansvarlige end Unionens institutioner og organer, som behandler personoplysningerne, om, at den registrerede har anmodet disse dataansvarlige om at slette alle link til eller kopier eller gengivelser af de pågældende personoplysninger.

3.   Stk. 1 og 2 finder ikke anvendelse, i det omfang denne behandling er nødvendig:

a)

for at udøve retten til ytrings- og informationsfrihed

b)

for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt, eller for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt

c)

af hensyn til samfundsinteresser på folkesundhedsområdet i overensstemmelse med artikel 10, stk. 2, litra h) og i), samt artikel 10, stk. 3

d)

til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål, i det omfang den rettighed, der er omhandlet i stk. 1, sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af denne behandling, eller

e)

for at retskrav kan fastlægges, gøres gældende eller forsvares.

Artikel 20

Ret til begrænsning af behandling

1.   Den registrerede har ret til fra den dataansvarlige at opnå begrænsning af behandling, hvis et af følgende forhold gør sig gældende:

a)

rigtigheden af personoplysningerne bestrides af den registrerede, i perioden indtil den dataansvarlige har haft mulighed for at fastslå, om personoplysningerne er korrekte, herunder om de er fuldstændige

b)

behandlingen er ulovlig, og den registrerede modsætter sig sletning af personoplysningerne og i stedet anmoder om, at anvendelse heraf begrænses

c)

den dataansvarlige har ikke længere brug for personoplysningerne til behandlingen, men de er nødvendige for, at et retskrav kan fastlægges, gøres gældende eller forsvares

d)

den registrerede har gjort indsigelse mod behandlingen i medfør af artikel 23, stk. 1, i perioden, mens det kontrolleres, om den dataansvarliges legitime interesser går forud for den registreredes legitime interesser.

2.   Hvis behandling er blevet begrænset i medfør af stk. 1, må sådanne personoplysninger, bortset fra opbevaring, kun behandles med den registreredes samtykke eller med henblik på, at et retskrav kan fastlægges, gøres gældende eller forsvares eller for at beskytte en anden fysisk eller juridisk person eller af hensyn til Unionens eller en medlemsstats vigtige samfundsinteresser.

3.   En registreret, der har opnået begrænsning af behandling i medfør af stk. 1, underrettes af den dataansvarlige, inden begrænsningen af behandlingen ophæves.

4.   I automatiske registre begrænses behandling i princippet ved hjælp af tekniske hjælpemidler. Det forhold, at personoplysninger er begrænset, angives i registret på en sådan måde, at det klart fremgår, at personoplysningerne ikke må benyttes.

Artikel 21

Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling

Den dataansvarlige underretter hver modtager, som personoplysningerne er videregivet til, om enhver berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, der er udført i henhold til artikel 18, artikel 19, stk. 1, og artikel 20, medmindre dette viser sig umuligt eller er uforholdsmæssigt vanskeligt. Den dataansvarlige oplyser den registrerede om disse modtagere, hvis den registrerede anmoder herom.

Artikel 22

Ret til dataportabilitet

1.   Den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, og har ret til at fremsende disse oplysninger til en anden dataansvarlig uden hindring fra den dataansvarlige, som personoplysningerne er blevet givet til, når:

a)

behandlingen er baseret på samtykke, jf. artikel 5, stk. 1, litra d), eller artikel 10, stk. 2, litra a), eller på en kontrakt, jf. artikel 5, stk. 1, litra c), og

b)

behandlingen foretages automatisk.

2.   Når den registrerede udøver sin ret til dataportabilitet i henhold til stk. 1, har den registrerede ret til at få fremsendt personoplysningerne direkte fra en dataansvarlig til en anden eller til andre dataansvarlige end Unionens institutioner og organer, hvis det er teknisk muligt.

3.   Udøvelsen af den ret, der er omhandlet i stk. 1 i denne artikel, berører ikke artikel 19. Den nævnte ret finder ikke anvendelse på behandling, der er nødvendig for udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

4.   Den ret, der er omhandlet i stk. 1, må ikke krænke andres rettigheder eller frihedsrettigheder.

AFDELING 4

Ret til indsigelse og automatiske individuelle afgørelser

Artikel 23

Indsigelsesret

1.   Den registrerede har til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af sine personoplysninger baseret på artikel 5, stk. 1, litra a), herunder profilering baseret på denne bestemmelse. Den dataansvarlige må ikke længere behandle personoplysningerne, medmindre den dataansvarlige påviser vægtige legitime grunde til behandlingen, der går forud for registreredes interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.

2.   Senest på tidspunktet for den første kommunikation med den registrerede skal denne udtrykkeligt gøres opmærksom på den ret, der er omhandlet i stk. 1, og oplysninger herom skal meddeles klart og adskilt fra alle andre oplysninger.

3.   I forbindelse med anvendelse af informationssamfundstjenester kan den registrerede udøve sin ret til indsigelse gennem automatiske midler ved brug af tekniske specifikationer, jf. dog artikel 36 og 37.

4.   Hvis personoplysninger behandles med henblik på videnskabelige eller historiske forskningsformål eller statistiske formål, har den registrerede ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af personoplysninger vedrørende den pågældende, medmindre behandlingen er nødvendig for at udføre en opgave i samfundets interesse.

Artikel 24

Automatiske individuelle afgørelser, herunder profilering

1.   Den registrerede har ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende.

2.   Stk. 1 finder ikke anvendelse, hvis afgørelsen:

a)

er nødvendig for indgåelse eller opfyldelse af en kontrakt mellem den registrerede og den dataansvarlige

b)

er hjemlet i EU-retten, som også fastsætter passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser, eller

c)

er baseret på den registreredes udtrykkelige samtykke.

3.   I de tilfælde, der er omhandlet i stk. 2, litra a) og c), gennemfører den dataansvarlige passende foranstaltninger til at beskytte den registreredes rettigheder og frihedsrettigheder samt legitime interesser, i det mindste den registreredes ret til menneskelig indgriben fra den dataansvarliges side, til at tilkendegive sine synspunkter og til at bestride afgørelsen.

4.   De afgørelser, der er omhandlet i denne artikels stk. 2, må ikke baseres på særlige kategorier af personoplysninger, jf. artikel 10, stk. 1, medmindre artikel 10, stk. 2, litra a) eller g), finder anvendelse, og der er indført passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser.

AFDELING 5

Begrænsninger

Artikel 25

Begrænsninger

1.   Retsakter vedtaget på grundlag af traktaterne eller, i spørgsmål vedrørende Unionens institutioner og organer, interne regler, som disse har fastsat, kan begrænse anvendelsen af artikel 14-22, 35 og 36, samt artikel 4, for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 14-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:

a)

medlemsstaternes nationale sikkerhed, offentlige sikkerhed og forsvar

b)

forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed

c)

andre vigtige målsætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle samfundsinteresser, navnlig målene med Unionens fælles udenrigs- og sikkerhedspolitik eller Unionens eller en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed

d)

Unionens institutioners og organers interne sikkerhed, herunder deres elektroniske kommunikationsnetværk

e)

beskyttelse af retsvæsenets uafhængighed og retssager

f)

forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv

g)

kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i litra a)-c)

h)

beskyttelse af den registreredes eller andres rettigheder og frihedsrettigheder

i)

håndhævelse af civilretlige krav.

2.   Navnlig skal enhver retsakt eller intern regel, der er omhandlet i stk. 1, hvor det er relevant, indeholde specifikke bestemmelser vedrørende:

a)

formålene med behandlingen eller kategorierne af behandling

b)

kategorierne af personoplysninger

c)

rækkevidden af de indførte begrænsninger

d)

garantierne for at undgå misbrug eller ulovlig adgang eller overførsel

e)

specifikation af den dataansvarlige eller kategorierne af dataansvarlige

f)

opbevaringsperioderne og de gældende garantier under hensyntagen til karakteren, omfanget og formålet med behandlingen eller med kategorierne af behandling og

g)

risiciene for de registreredes rettigheder og frihedsrettigheder.

3.   Når personoplysninger behandles til videnskabelige eller historiske forskningsformål eller til statistiske formål, kan EU-retten, der kan omfatte interne regler vedtaget af Unionens institutioner og organer i spørgsmål vedrørende deres funktion, fastsætte undtagelser fra de rettigheder, der er omhandlet i artikel 17, 18, 20 og 23, under iagttagelse af de betingelser og garantier, der er omhandlet i artikel 13, såfremt sådanne rettigheder sandsynligvis vil umuliggøre eller i alvorlig grad hindre opfyldelse af de specifikke formål, og sådanne undtagelser er nødvendige for at opfylde formålene.

4.   Når personoplysninger behandles til arkivformål i samfundets interesse, kan EU-retten, der kan omfatte interne regler vedtaget af Unionens institutioner og organer i spørgsmål vedrørende deres funktion, fastsætte undtagelser fra de rettigheder, der er omhandlet i artikel 17, 18, 20, 21, 22 og 23, under iagttagelse af de betingelser og garantier, der er omhandlet i artikel 13, såfremt sådanne rettigheder sandsynligvis vil umuliggøre eller i alvorlig grad hindre opfyldelse af de specifikke formål, og sådanne undtagelser er nødvendige for at opfylde formålene.

5.   De interne regler, der er omhandlet i stk. 1, 3 og 4, skal have form af klare og præcise almengyldige retsakter med retsvirkning over for registrerede og vedtaget på højeste forvaltningsniveau i Unionens institutioner og organer og skal offentliggøres i Den Europæiske Unions Tidende.

6.   Hvis der pålægges en begrænsning som omhandlet i stk. 1, underrettes den registrerede i overensstemmelse med EU-retten om de vigtigste bevæggrunde, der ligger til grund for anvendelsen af begrænsningen, og om sin ret til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse.

7.   Hvis en begrænsning, der er pålagt i henhold til stk. 1, påberåbes for at nægte den registrerede adgang til indsigt, underretter Den Europæiske Tilsynsførende for Databeskyttelse, når vedkommende undersøger klagen, kun den registrerede om, hvorvidt oplysningerne er behandlet korrekt, og, hvis dette ikke er tilfældet, hvorvidt de nødvendige korrektioner er foretaget.

8.   Den bestemmelse om underretning, der er omhandlet i nærværende artikels stk. 6 og 7 og i artikel 45, stk. 2, kan udsættes, udelades eller afvises, hvis den ville ophæve virkningen af den pålagte begrænsning, jf. nærværende artikels stk. 1.

KAPITEL IV

DATAANSVARLIG OG DATABEHANDLER

AFDELING 1

Generelle forpligtelser

Artikel 26

Den dataansvarliges ansvar

1.   Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres.

2.   Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker.

3.   Overholdelse af godkendte certificeringsmekanismer som omhandlet i artikel 42 i forordning (EU) 2016/679 kan bruges som et element til at påvise overholdelse af den dataansvarliges forpligtelser.

Artikel 27

Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger

1.   Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.

2.   Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder for den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.

3.   En godkendt certificeringsmekanisme i medfør af artikel 42 i forordning (EU) 2016/679 kan bruges som et element til at påvise overholdelse af kravene i nærværende artikels stk. 1 og 2.

Artikel 28

Fælles dataansvarlige

1.   Når to eller flere dataansvarlige eller en eller flere dataansvarlige sammen med en eller flere andre dataansvarlige end Unionens institutioner og organer, i fællesskab afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling, er de fælles dataansvarlige. De fastlægger på en gennemsigtig måde deres respektive ansvar for overholdelse af deres databeskyttelsesforpligtelser, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 15 og 16, ved hjælp af en ordning mellem dem, medmindre og i det omfang de fælles dataansvarliges respektive ansvar er fastlagt i EU-retten eller medlemsstaternes nationale ret, som de fælles dataansvarlige er underlagt. I ordningen kan der udpeges et kontaktpunkt for registrerede.

2.   Ordningen, der er omhandlet i stk. 1, skal på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal gøres tilgængeligt for de registrerede.

3.   Uanset udformningen af den ordning, der er omhandlet i stk. 1, kan den registrerede udøve sine rettigheder i medfør af denne forordning med hensyn til og over for den enkelte dataansvarlige.

Artikel 29

Databehandler

1.   Hvis en behandling skal foretages på vegne af en dataansvarlig, benytter den dataansvarlige udelukkende databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder.

2.   Databehandleren må ikke gøre brug af en anden databehandler uden forudgående specifik eller generel skriftligt godkendelse fra den dataansvarlige. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

3.   En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og som fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Denne kontrakt eller dette andet retlige dokument fastsætter navnlig, at databehandleren:

a)

kun må behandle personoplysninger efter dokumenterede instrukser fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt. I så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandlingen, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser

b)

sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt

c)

iværksætter alle foranstaltninger, som kræves i henhold til artikel 33

d)

opfylder de betingelser, der er omhandlet i stk. 2 og 4, for at gøre brug af en anden databehandler

e)

under hensyntagen til behandlingens karakter, så vidt muligt bistår den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i kapitel III

f)

bistår den dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af artikel 33-41 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren

g)

efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysninger til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, og sletter eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne

h)

stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i denne artikel, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

For så vidt angår første afsnits litra h) underretter databehandleren omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

4.   Gør en databehandler brug af en anden databehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, pålægges denne anden databehandler de samme databeskyttelsesforpligtelser som dem, der er fastsat i kontrakten eller et andet retligt dokument mellem den dataansvarlige og databehandleren som omhandlet i stk. 3, gennem en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i denne forordning. Hvis denne anden databehandler ikke opfylder sine databeskyttelsesforpligtelser, forbliver den oprindelige databehandler fuldt ansvarlig over for den dataansvarlige med hensyn til opfyldelsen af denne anden databehandlers forpligtelser.

5.   Når en databehandler ikke er en af Unionens institutioner eller et af Unionens organer, kan denne databehandlers overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40, stk. 5, i forordning (EU) 2016/679 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 i forordning (EU) 2016/679 bruges som et element til at påvise fornødne garantier som omhandlet i nærværende artikels stk. 1 og 4.

6.   Uden at det berører en eventuel individuel kontrakt mellem den dataansvarlige og databehandleren, kan kontrakten eller det andet retlige dokument, der er omhandlet i denne artikels stk. 3 og 4, helt eller delvis baseres på de standardkontraktbestemmelser, der er omhandlet i denne artikels stk. 7 og 8, herunder når de indgår i en certificering, der er meddelt den dataansvarlige bortset fra en af Unionens institutioner eller et af Unionens organer, jf. artikel 42 i forordning (EU) 2016/679.

7.   Kommissionen kan fastsætte standardkontraktbestemmelser i de tilfælde, der er omhandlet i denne artikels stk. 3 og 4, og i overensstemmelse med undersøgelsesproceduren, der er omhandlet i artikel 96, stk. 2.

8.   Den Europæiske Tilsynsførende for Databeskyttelse kan vedtage standardkontraktbestemmelser for de tilfælde, der er omhandlet i denne artikels stk. 3 og 4.

9.   Kontrakten eller det andet retlige dokument, der er omhandlet i stk. 3 og 4, skal foreligge skriftligt, herunder elektronisk.

10.   Hvis en databehandler overtræder denne forordning ved at fastlægge formålene med og hjælpemidlerne til behandling, anses databehandleren for at være en dataansvarlig for så vidt angår den pågældende behandling, uden at dette berører artikel 65 og 66.

Artikel 30

Behandling, der udføres for den dataansvarlige eller databehandleren

Databehandleren og enhver, der udfører arbejde for den dataansvarlige eller databehandleren, og som har adgang til personoplysninger, behandler kun disse oplysninger efter instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret.

Artikel 31

Fortegnelser over behandlingsaktiviteter

1.   Hver dataansvarlig fører fortegnelser over de behandlingsaktiviteter, der udføres under vedkommendes ansvar. Disse fortegnelser skal omfatte alle følgende oplysninger:

a)

navn på og kontaktoplysninger for den dataansvarlige, databeskyttelsesrådgiveren og, hvis det er relevant, databehandleren og den fælles dataansvarlige

b)

formålene med behandlingen

c)

en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger

d)

de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i medlemsstater, tredjelande eller internationale organisationer

e)

hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation og dokumentation for passende garantier

f)

hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger

g)

hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 33.

2.   Hver databehandler fører fortegnelser over alle kategorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig, idet fortegnelsen skal indeholde:

a)

navn på og kontaktoplysninger for databehandleren eller databehandlerne og for hver dataansvarlig, på hvis vegne databehandleren handler, samt databeskyttelsesrådgiveren

b)

de kategorier af behandling, der foretages på vegne af den enkelte dataansvarlige

c)

hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation og dokumentation for passende garantier

d)

hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 33.

3.   De fortegnelser, der er omhandlet i stk. 1 og 2, skal foreligge skriftligt, herunder elektronisk.

4.   Unionens institutioner og organer stiller fortegnelserne til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse efter anmodning.

5.   Medmindre det ikke er hensigtsmæssigt under hensyntagen til den eller det pågældende af Unionens institutioners eller organers størrelse, fører Unionens institutioner og organer deres fortegnelser over behandlingsaktiviteter i et centralt register. De gør registret offentligt tilgængeligt.

Artikel 32

Samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse

Unionens institutioner og organer samarbejder efter anmodning med Den Europæiske Tilsynsførende for Databeskyttelse om udførelsen af dennes opgaver.

AFDELING 2

Sikkerhed i forbindelse med personoplysninger

Artikel 33

Sikkerhed i forbindelse med behandling

1.   Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:

a)

pseudonymisering og kryptering af personoplysninger

b)

evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester

c)

evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse

d)

en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

2.   Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandlingen udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er fremsendt, opbevaret eller på anden måde behandlet.

3.   Den dataansvarlige og databehandleren tager skridt til at sikre, at enhver fysisk person, der udfører arbejde for den dataansvarlige eller databehandleren, og som får adgang til personoplysninger, kun behandler disse efter instruks fra den dataansvarlige, medmindre behandling kræves i henhold til EU-retten.

4.   Overholdelse af en godkendt certificeringsmekanisme som omhandlet i artikel 42 i forordning (EU) 2016/679 kan bruges som et element til at påvise overholdelse af kravene i nærværende artikels stk. 1.

Artikel 34

Anmeldelse af brud på persondatasikkerheden til Den Europæiske Tilsynsførende for Databeskyttelse

1.   Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til Den Europæiske Tilsynsførende for Databeskyttelse, medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til Den Europæiske Tilsynsførende for Databeskyttelse ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.

2.   Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden.

3.   Den i stk. 1 omhandlede anmeldelse skal mindst:

a)

beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne af og det omtrentlige antal berørte registreringer af personoplysninger

b)

angive navn og kontaktoplysninger for databeskyttelsesrådgiveren

c)

beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden

d)

beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

4.   Når og for så vidt som det ikke er muligt at give oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.

5.   Den dataansvarlige underretter databeskyttelsesrådgiveren om bruddet på persondatasikkerheden.

6.   Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte Den Europæiske Tilsynsførende for Databeskyttelse i stand til at kontrollere, at denne artikel er overholdt.

Artikel 35

Underretning om brud på persondatasikkerheden til den registrerede

1.   Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

2.   Underretningen af den registrerede i henhold til i denne artikels stk. 1 skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 34, stk. 3, litra b), c) og d).

3.   Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis en af følgende betingelser er opfyldt:

a)

den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering

b)

den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel

c)

det vil kræve en uforholdsmæssig stor indsats. I så fald skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.

4.   Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan Den Europæiske Tilsynsførende for Databeskyttelse efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.

AFDELING 3

Fortrolighed af elektronisk kommunikation

Artikel 36

Fortrolighed af elektronisk kommunikation

Unionens institutioner og organer sikrer fortrolighed af elektronisk kommunikation, navnlig ved at sikre deres elektroniske kommunikationsnetværk.

Artikel 37

Beskyttelse af oplysninger, der er videresendt til, opbevares på, vedrører, er behandlet af og indsamlet fra slutbrugerens terminaludstyr

Unionens institutioner og organer beskytter oplysninger, der er videresendt til, opbevares på, vedrører, er behandlet af og indsamlet fra slutbrugeres terminaludstyr ved disses adgang til Unionens institutioners og organers offentligt tilgængelige websteder og mobilapplikationer i overensstemmelse med artikel 5, stk. 3, i direktiv 2002/58/EF.

Artikel 38

Brugerfortegnelser

1.   Personoplysninger i brugerfortegnelser og adgangen til sådanne fortegnelser begrænses til, hvad der er absolut nødvendigt for fortegnelsens særlige formål.

2.   Unionens institutioner og organer træffer alle nødvendige foranstaltninger til at sikre, at personoplysninger i disse fortegnelser, uanset om de er offentligt tilgængelige eller ej, ikke benyttes til direkte markedsføring.

AFDELING 4

Konsekvensanalyse vedrørende databeskyttelse og forudgående høring

Artikel 39

Konsekvensanalyse vedrørende databeskyttelse

1.   Hvis en type behandling, navnlig ved brug af nye teknologier, og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebærer lignende høje risici.

2.   Den dataansvarlige rådfører sig med databeskyttelsesrådgiveren, når der foretages en konsekvensanalyse vedrørende databeskyttelse.

3.   En konsekvensanalyse vedrørende databeskyttelse som omhandlet i stk. 1 er navnlig påkrævet i følgende tilfælde:

a)

en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering, og som er grundlag for afgørelser, der har retsvirkning for den fysiske person eller på tilsvarende vis betydeligt påvirker den fysiske person

b)

behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 10, eller af personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 11, eller

c)

systematisk overvågning af et offentligt tilgængeligt område i stort omfang.

4.   Den Europæiske Tilsynsførende for Databeskyttelse udarbejder og offentliggør en liste over de typer af behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse i henhold til stk. 1.

5.   Den Europæiske Tilsynsførende for Databeskyttelse kan også udarbejde og offentliggøre en liste over de typer af behandlingsaktiviteter, for hvilke der ikke kræves nogen konsekvensanalyse vedrørende databeskyttelse.

6.   Inden vedtagelsen af de lister, der er omhandlet i nærværende artikels stk. 4 og 5, anmoder Den Europæiske Tilsynsførende for Databeskyttelse Det Europæiske Databeskyttelsesråd, der er oprettet ved artikel 68 i forordning (EU) 2016/679, om at undersøge disse lister i overensstemmelse med artikel 70, stk. 1, litra e), i nævnte forordning, hvis de omhandler behandlingsaktiviteter udført af en dataansvarlig, der handler sammen med en eller flere andre dataansvarlige end Unionens institutioner og organer.

7.   Analysen skal mindst omfatte:

a)

en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen

b)

en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene

c)

en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1, og

d)

de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

8.   Der tages behørigt hensyn til, at de relevante dataansvarlige, bortset fra Unionens institutioner og organer, overholder godkendte adfærdskodekser, jf. artikel 40 i forordning (EU) 2016/679, ved vurderingen af konsekvenserne af de behandlingsaktiviteter, der udføres af de pågældende dataansvarlige, navnlig i forbindelse med en konsekvensanalyse vedrørende databeskyttelse.

9.   Den dataansvarlige indhenter, hvis det er relevant, de registreredes eller deres repræsentanters synspunkter vedrørende den planlagte behandling, uden at det berører beskyttelse af samfundsmæssige interesser eller behandlingsaktiviteternes sikkerhed.

10.   Hvis behandling i henhold til artikel 5, stk. 1, litra a) eller b), har hjemmel i en retsakt vedtaget på grundlag af traktaterne, der regulerer den eller de pågældende specifikke behandlingsaktiviteter, og der allerede er foretaget en konsekvensanalyse vedrørende databeskyttelse som led i en generel konsekvensanalyse inden vedtagelsen af denne retsakt, finder nærværende artikels stk. 1-6 ikke anvendelse, medmindre andet er fastsat i denne retsakt.

11.   Den dataansvarlige foretager, hvis det er nødvendigt, en fornyet gennemgang for at vurdere, hvorvidt behandling er foretaget i overensstemmelse med konsekvensanalysen vedrørende databeskyttelse, i det mindste når der er en ændring af den risiko, som behandlingsaktiviteterne udgør.

Artikel 40

Forudgående høring

1.   Den dataansvarlige hører Den Europæiske Tilsynsførende for Databeskyttelse inden behandlingen, såfremt en konsekvensanalyse vedrørende databeskyttelse efter artikel 39 viser, at en behandling uden garantier, sikkerhedsforanstaltninger og mekanismer til at begrænse risikoen vil føre til en høj risiko for fysiske personers rettigheder og frihedsrettigheder, og den dataansvarlige mener, at risikoen ikke kan begrænses ved rimelige midler i lyset af den tilgængelig teknologi og gennemførelsesomkostningerne. Den dataansvarlige rådfører sig med databeskyttelsesrådgiveren om behovet for forudgående høring.

2.   Hvis Den Europæiske Tilsynsførende for Databeskyttelse finder, at den planlagte behandling som omhandlet i stk. 1 ville overtræde denne forordning, navnlig hvis den dataansvarlige ikke i tilstrækkelig grad har identificeret eller begrænset risikoen, giver Den Europæiske Tilsynsførende for Databeskyttelse inden for en periode på op til otte uger efter modtagelse af anmodningen om høring den dataansvarlige og, hvor det er relevant, databehandleren skriftlig rådgivning og kan i den forbindelse anvende enhver af sine beføjelser, jf. artikel 58. Denne periode kan forlænges med seks uger under hensyntagen til den påtænkte behandlings kompleksitet. Den Europæiske Tilsynsførende for Databeskyttelse underretter den dataansvarlige og, hvor det er relevant, databehandleren om enhver sådan forlængelse senest en måned efter modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen. Disse perioder kan suspenderes, indtil Den Europæiske Tilsynsførende for Databeskyttelse har modtaget de oplysninger, som denne har anmodet om med henblik på høringen.

3.   Når Den Europæiske Tilsynsførende for Databeskyttelse skal høres, jf. stk. 1, oplyser den dataansvarlige Den Europæiske Tilsynsførende for Databeskyttelse om følgende:

a)

hvor det er relevant, ansvarsområderne for henholdsvis den dataansvarlige, de fælles dataansvarlige og de databehandlere, der er involveret i behandlingen

b)

den planlagte behandlings formål og hjælpemidler

c)

foranstaltninger og garantier til beskyttelse af de registreredes rettigheder og frihedsrettigheder i henhold til denne forordning

d)

kontaktoplysninger for databeskyttelsesrådgiveren

e)

konsekvensanalysen vedrørende databeskyttelse som omhandlet i artikel 39, og

f)

eventuelle andre oplysninger, som Den Europæiske Tilsynsførende for Databeskyttelse anmoder om.

4.   Kommissionen kan ved hjælp af en gennemførelsesretsakt fastlægge en liste over tilfælde, hvor de dataansvarlige skal høre og indhente forudgående tilladelse fra Den Europæiske Tilsynsførende for Databeskyttelse i forbindelse med behandling af personoplysninger som led i den dataansvarliges udførelse af en opgave i samfundets interesse, herunder behandling af sådanne oplysninger i sager vedrørende social sikring og folkesundhed.

AFDELING 5

Underretning og høring som led i lovgivningsproceduren

Artikel 41

Underretning og høring

1.   Unionens institutioner og organer underretter Den Europæiske Tilsynsførende For Databeskyttelse om udarbejdelsen af administrative foranstaltninger og interne regler vedrørende en af Unionens institutioner eller et af Unionens organers behandling af personoplysninger, hvad enten dette sker alene eller sammen med andre.

2.   Unionens institutioner og organer hører Den Europæiske Tilsynsførende for Databeskyttelse om udarbejdelsen af de interne regler omhandlet i artikel 25.

Artikel 42

Høring som led i lovgivningsproceduren

1.   Efter vedtagelsen af forslag til en lovgivningsmæssig retsakt, af henstillinger eller af forslag til Rådet i henhold til artikel 218 i TEUF eller ved udarbejdelsen af delegerede retsakter eller gennemførelsesretsakter hører Kommissionen Den Europæiske Tilsynsførende for Databeskyttelse, hvis der sker en påvirkning af beskyttelsen af fysiske personers rettigheder og frihedsrettigheder med hensyn til behandlingen af personoplysninger.

2.   Når en retsakt som omhandlet i stk. 1 har særlig betydning for beskyttelsen af fysiske personers rettigheder og frihedsrettigheder med hensyn til behandlingen af personoplysninger, kan Kommissionen høre Det Europæiske Databeskyttelsesråd. I sådanne tilfælde koordinerer Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Databeskyttelsesråd deres arbejde med henblik på at afgive en fælles udtalelse.

3.   Den rådgivning, der er omhandlet i stk. 1 og 2, ydes skriftligt inden for en periode på op til otte uger efter modtagelse af anmodningen om høring, jf. stk. 1 og 2. I hastende tilfælde, eller når det ellers er hensigtsmæssigt, kan Kommissionen afkorte fristen.

4.   Denne artikel finder ikke anvendelse, når Kommissionen i medfør af forordning (EU) 2016/679 skal høre Det Europæiske Databeskyttelsesråd.

AFDELING 6

Databeskyttelsesrådgiver

Artikel 43

Udpegelse af databeskyttelsesrådgiveren

1.   Hver af Unionens institutioner og hvert af Unionens organer udpeger en databeskyttelsesrådgiver.

2.   Unionens institutioner og organer kan udpege en fælles databeskyttelsesrådgiver for flere af dem under hensyntagen til deres organisatoriske struktur og størrelse.

3.   Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 45.

4.   Databeskyttelsesrådgiveren er en medarbejder i den eller det pågældende af Unionens institutioner eller organer. Unionens institutioner og organer kan, idet der tages hensyn til deres størrelse, og såfremt der ikke er gjort brug af muligheden i henhold til stk. 2, udpege en databeskyttelsesrådgiver, der opfylder sit hverv på grundlag af en tjenesteydelseskontrakt.

5.   Unionens institutioner og organer offentliggør kontaktoplysningerne for databeskyttelsesrådgiveren og meddeler disse til Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 44

Databeskyttelsesrådgiverens stilling

1.   Unionens institutioner og organer sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.

2.   Unionens institutioner og organer støtter databeskyttelsesrådgiveren i forbindelse med udførelsen af de i artikel 45 omhandlede opgaver ved at tilvejebringe de ressourcer, der er nødvendige for at udføre disse opgaver og få adgang til personoplysninger og behandlingsaktiviteter, samt vedligeholde databeskyttelsesrådgiverens ekspertise.

3.   Unionens institutioner og organer sikrer, at databeskyttelsesrådgiveren ikke modtager instrukser vedrørende udførelsen af disse opgaver. Den pågældende må ikke afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver. Databeskyttelsesrådgiveren rapporterer direkte til det øverste ledelsesniveau hos den dataansvarlige eller databehandleren.

4.   Registrerede kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres oplysninger og om udøvelse af deres rettigheder i henhold til denne forordning.

5.   Databeskyttelsesrådgiveren og dennes personale er underlagt tavshedspligt eller fortrolighed vedrørende udførelsen af deres opgaver i overensstemmelse med EU-retten.

6.   Databeskyttelsesrådgiveren kan udføre andre opgaver og have andre pligter. Den dataansvarlige eller databehandleren sikrer, at sådanne opgaver og pligter ikke medfører en interessekonflikt.

7.   Databeskyttelsesrådgiveren kan høres af den dataansvarlige og databehandleren, af det relevante personaleudvalg og af enhver fysisk person om ethvert spørgsmål, der vedrører fortolkningen eller anvendelsen af denne forordning, uden at nogen af disse skal gå gennem de officielle kanaler. Ingen må lide skade som følge af at have gjort den kompetente databeskyttelsesrådgiver opmærksom på en sag om påstået overtrædelse af bestemmelserne i denne forordning.

8.   Databeskyttelsesrådgiveren udpeges for en periode på tre til fem år og kan genudnævnes. Databeskyttelsesrådgiveren kan kun afskediges af den eller det af Unionens institutioner eller organer, som udpegede vedkommende, hvis den pågældende ikke længere opfylder de krav, der stilles for udførelsen af vedkommendes opgaver, og kun med samtykke fra Den Europæiske Tilsynsførende for Databeskyttelse.

9.   Efter vedkommendes udpegelse registreres databeskyttelsesrådgiveren hos Den Europæiske Tilsynsførende for Databeskyttelse af den eller det af Unionens institutioner eller organer, der udpegede vedkommende.

Artikel 45

Databeskyttelsesrådgiverens opgaver

1.   Databeskyttelsesrådgiveren har følgende opgaver:

a)

at underrette og rådgive den dataansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres forpligtelser i henhold til denne forordning og andre EU-bestemmelser om databeskyttelse

b)

på en uafhængig måde at sikre den interne anvendelse af denne forordning; at føre tilsyn med overholdelsen af denne forordning, af anden gældende EU-ret, der indeholder bestemmelser om databeskyttelse og af den dataansvarliges eller databehandlerens politikker for beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner

c)

at sikre, at de registrerede underrettes om deres rettigheder og forpligtelser i medfør af denne forordning

d)

på anmodning at rådgive om nødvendigheden af en anmeldelse eller underretning om et brud på persondatabeskyttelsen i henhold til artikel 34 og 35

e)

på anmodning at rådgive om konsekvensanalysen vedrørende databeskyttelse og føre tilsyn med gennemførelsen heraf i henhold til artikel 39 og at høre Den Europæiske Tilsynsførende for Databeskyttelse i tilfælde af tvivl om nødvendigheden af en sådan konsekvensanalyse

f)

på anmodning at rådgive om nødvendigheden af forudgående høring af Den Europæiske Tilsynsførende for Databeskyttelse i henhold til artikel 40; at høre Den Europæiske Tilsynsførende for Databeskyttelse i tilfælde af tvivl om nødvendigheden af en forudgående høring

g)

at besvare anmodninger fra Den Europæiske Tilsynsførende for Databeskyttelse; inden for rammerne af sine beføjelser at samarbejde med og høre Den Europæiske Tilsynsførende for Databeskyttelse på dennes anmodning eller på eget initiativ

h)

at sikre, at de registreredes rettigheder og frihedsrettigheder ikke krænkes som følge af behandlingsaktiviteter.

2.   Databeskyttelsesrådgiveren kan komme med anbefalinger til den dataansvarlige og databehandleren om, hvordan databeskyttelsen kan forbedres i praksis, og rådgive dem om spørgsmål vedrørende anvendelsen af bestemmelserne om databeskyttelse. Desuden kan vedkommende på eget initiativ eller efter anmodning fra den dataansvarlige eller databehandleren, det relevante personaleudvalg eller enhver fysisk person iværksætte undersøgelser om anliggender og forhold, der har direkte tilknytning til vedkommendes opgaver, og som kommer til vedkommendes kendskab, og aflægge rapport til den person, der har anmodet om undersøgelsen, eller til den dataansvarlige eller databehandleren.

3.   Yderligere gennemførelsesbestemmelser vedrørende databeskyttelsesrådgiveren vedtages af hver af Unionens institutioner og hvert af Unionens organer. Gennemførelsesbestemmelserne skal navnlig vedrøre databeskyttelsesrådgiverens hverv, opgaver og beføjelser.

KAPITEL V

OVERFØRSLER AF PERSONOPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER

Artikel 46

Generelt princip for overførsler

Enhver overførsel af personoplysninger, som underkastes behandling eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, må kun finde sted, hvis betingelserne i dette kapitel med forbehold af de øvrige bestemmelser i denne forordning opfyldes af den dataansvarlige og databehandleren, herunder ved videreoverførsel af personoplysninger fra det pågældende tredjeland eller den pågældende internationale organisation til et andet tredjeland eller en anden international organisation. Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau, som fysiske personer garanteres i medfør af denne forordning, ikke undermineres.

Artikel 47

Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet

1.   En overførsel af personoplysninger fra et tredjeland eller en international organisation kan finde sted, hvis Kommissionen i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 eller artikel 36, stk. 3, i direktiv (EU) 2016/680 har fastslået, at det pågældende tredjeland, et område eller en eller flere specifikke sektorer i det pågældende tredjeland eller den pågældende internationale organisation sikrer et tilstrækkeligt beskyttelsesniveau, og hvis personoplysningerne kun overføres, for at der kan udføres opgaver, som henhører under den dataansvarliges kompetence.

2.   Unionens institutioner og organer underretter Kommissionen og Den Europæiske Tilsynsførende for Databeskyttelse om tilfælde, hvor de finder, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation ikke sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i stk. 1.

3.   Unionens institutioner og organer træffer de foranstaltninger, der er nødvendige for at efterkomme de afgørelser, som Kommissionen træffer, når den i medfør af artikel 45, stk. 3 eller 5, i forordning (EU) 2016/679 eller af artikel 36, stk. 3 eller 5, i direktiv (EU) 2016/680 konstaterer, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation sikrer eller ikke længere sikrer et tilstrækkeligt beskyttelsesniveau.

Artikel 48

Overførsler omfattet af fornødne garantier

1.   Hvis der ikke er vedtaget en afgørelse i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 eller artikel 36, stk. 3, i direktiv (EU) 2016/680, må en dataansvarlig eller databehandler kun overføre personoplysninger til et tredjeland eller en international organisation, hvis vedkommende har givet de fornødne garantier, og på betingelse af, at rettigheder, som kan håndhæves, og effektive retsmidler for registrerede er tilgængelige.

2.   De fornødne garantier som omhandlet i stk. 1 kan uden krav om specifik godkendelse fra Den Europæiske Tilsynsførende for Databeskyttelse sikres gennem:

a)

et retligt bindende instrument, som kan håndhæves, mellem offentlige myndigheder eller organer

b)

standardbestemmelser om databeskyttelse vedtaget af Kommissionen efter undersøgelsesproceduren i artikel 96, stk. 2

c)

standardbestemmelser om databeskyttelse vedtaget af Den Europæiske Tilsynsførende for Databeskyttelse og godkendt af Kommissionen efter undersøgelsesproceduren i artikel 96, stk. 2

d)

når databehandleren ikke er en af Unionens institutioner eller et af Unionens organer, bindende virksomhedsregler, adfærdskodekser eller certificeringsmekanismer i henhold til artikel 46, stk. 2, litra b), e) og f), i forordning (EU) 2016/679.

3.   Med forbehold af godkendelse fra Den Europæiske Tilsynsførende for Databeskyttelse kan de fornødne garantier, der er omhandlet i stk. 1, også sikres gennem navnlig:

a)

kontraktbestemmelser mellem den dataansvarlige eller databehandleren og den dataansvarlige, databehandleren eller modtageren af personoplysninger i tredjelandet eller den internationale organisation, eller

b)

bestemmelser, der medtages i administrative ordninger mellem offentlige myndigheder eller organer, og som omfatter effektive rettigheder, som kan håndhæves, for registrerede.

4.   Godkendelser fra Den Europæiske Tilsynsførende for Databeskyttelse på grundlag af artikel 9, stk. 7, i forordning (EF) nr. 45/2001 er gyldige, indtil de om nødvendigt ændres, erstattes eller ophæves af Den Europæiske Tilsynsførende for Databeskyttelse.

5.   Unionens institutioner og organer underretter Den Europæiske Tilsynsførende for Databeskyttelse om de kategorier af tilfælde, hvor denne artikel er blevet anvendt.

Artikel 49

Overførsel eller videregivelse uden hjemmel i EU-retten

Enhver dom afsagt af en domstol eller ret og enhver afgørelse truffet af en administrativ myndighed i et tredjeland, der kræver, at en dataansvarlig eller en databehandler overfører eller videregiver personoplysninger, kan kun anerkendes eller håndhæves på nogen måde, hvis den bygger på en international aftale såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen, uden at dette berører andre grunde til overførsel i henhold til dette kapitel.

Artikel 50

Undtagelser i særlige situationer

1.   I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 eller artikel 36, stk. 3, i direktiv (EU) 2016/680 eller fornødne garantier i henhold til nærværende forordnings artikel 48, må en overførsel eller flere overførsler af personoplysninger til et tredjeland eller en international organisation kun finde sted på en af følgende betingelser:

a)

den registrerede har udtrykkeligt givet samtykke til den foreslåede overførsel efter at være blevet informeret om de mulige risici, som sådanne overførsler kan medføre for den registrerede på grund af den manglende afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller fornødne garantier

b)

overførslen er nødvendig af hensyn til opfyldelse af en kontrakt mellem den registrerede og den dataansvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan kontrakt

c)

overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt, der i den registreredes interesse indgås mellem den dataansvarlige og en anden fysisk eller juridisk person

d)

overførslen er nødvendig af hensyn til vigtige samfundsinteresser

e)

overførslen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares

f)

overførslen er nødvendig for at beskytte den registreredes eller andre personers vitale interesser, hvis den registrerede ikke fysisk eller juridisk er i stand til at give samtykke eller

g)

overførslen finder sted fra et register, der ifølge EU-retten er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri, men kun i det omfang de ved EU-retten fastsatte betingelser for offentlig tilgængelighed er opfyldt i det konkrete tilfælde.

2.   Stk. 1, litra a), b) og c), finder ikke anvendelse på aktiviteter, der udføres af Unionens institutioner og organer som led i udøvelsen af deres offentligretlige beføjelser.

3.   De samfundsinteresser, der er omhandlet i stk. 1, litra d), skal være anerkendt i EU-retten.

4.   En overførsel i henhold til stk. 1, litra g), må ikke omfatte alle personoplysninger eller hele kategorier af personoplysninger i et register, medmindre det er tilladt ifølge EU-retten. Når et register er beregnet til at blive konsulteret af personer, der har en legitim interesse heri, må overførsel kun ske på anmodning af disse personer, eller hvis de skal være modtagerne.

5.   Hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, kan EU-retten af hensyn til vigtige samfundsinteresser udtrykkeligt fastsætte grænser for overførsel af særlige kategorier af personoplysninger til et tredjeland eller en international organisation.

6.   Unionens institutioner og organer underretter Den Europæiske Tilsynsførende for Databeskyttelse om de kategorier af tilfælde, hvor denne artikel er blevet anvendt.

Artikel 51

Internationalt samarbejde om beskyttelse af personoplysninger

I forhold til tredjelande og internationale organisationer tager Den Europæiske Tilsynsførende for Databeskyttelse i samarbejde med Kommissionen og Det Europæiske Databeskyttelsesråd passende skridt til at:

a)

udvikle internationale samarbejdsmekanismer med henblik på at lette effektiv håndhævelse af lovgivningen om beskyttelse af personoplysninger

b)

yde international gensidig bistand i forbindelse med håndhævelsen af lovgivningen om beskyttelse af personoplysninger, herunder gennem anmeldelse, indbringelse af klager, efterforskningsbistand og informationsudveksling, under iagttagelse af de fornødne garantier for beskyttelse af personoplysninger og andre grundlæggende rettigheder og frihedsrettigheder

c)

inddrage relevante interessenter i drøftelser og aktiviteter, der har til formål at fremme det internationale samarbejde om håndhævelse af lovgivningen om beskyttelse af personoplysninger

d)

fremme udveksling af og dokumentation for lovgivning og praksis om beskyttelse af personoplysninger, herunder om kompetencekonflikter med tredjelande.

KAPITEL VI

DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE

Artikel 52

Den Europæiske Tilsynsførende for Databeskyttelse

1.   Den Europæiske Tilsynsførende for Databeskyttelse etableres herved.

2.   Med hensyn til behandling af personoplysninger er Den Europæiske Tilsynsførende for Databeskyttelse ansvarlig for at sikre, at fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til databeskyttelse, respekteres af Unionens institutioner og organer.

3.   Den Europæiske Tilsynsførende for Databeskyttelse er ansvarlig for at føre tilsyn med og sikre anvendelsen af de bestemmelser i denne forordning og i enhver anden EU-retsakt, der vedrører beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med en af Unionens institutioners eller et af Unionens organers behandling af personoplysninger, og at rådgive Unionens institutioner og organer og de registrerede om alle spørgsmål vedrørende behandling af personoplysninger. Med henblik herpå udfører Den Europæiske Tilsynsførende for Databeskyttelse de opgaver, der er fastsat i artikel 57, og udøver de beføjelser, der er tillagt vedkommende ved artikel 58.

4.   Forordning (EF) nr. 1049/2001 finder anvendelse på dokumenter, der opbevares af Den Europæiske Tilsynsførende for Databeskyttelse. Den Europæiske Tilsynsførende for Databeskyttelse vedtager nærmere regler for anvendelsen af forordning (EF) nr. 1049/2001 for så vidt angår disse dokumenter.

Artikel 53

Udnævnelse af Den Europæiske Tilsynsførende for Databeskyttelse

1.   Europa-Parlamentet og Rådet udnævner efter fælles overenskomst Den Europæiske Tilsynsførende for Databeskyttelse for en periode på fem år på grundlag af en liste, som Kommissionen udarbejder efter et offentligt stillingsopslag. Stillingsopslaget skal give alle interesserede parter i hele Unionen mulighed for at indgive deres ansøgninger. Den liste over ansøgere, som Kommissionen udarbejder, er offentlig og består af mindst tre kandidater. På grundlag af den liste, som Kommissionen udarbejder, kan det kompetente udvalg i Europa-Parlamentet beslutte at afholde en høring, for at det kan tilkendegive en præference.

2.   Den i stk. 1 omhandlede liste skal bestå af personer, hvis uafhængighed er uomtvistelig, og som er anerkendt som havende ekspertviden inden for databeskyttelse samt den erfaring og kompetence, der kræves for at varetage de opgaver, der henhører under Den Europæiske Tilsynsførende for Databeskyttelse.

3.   Embedsperioden for Den Europæiske Tilsynsførende for Databeskyttelse kan fornyes én gang.

4.   De opgaver, der henhører under Den Europæiske Tilsynsførende for Databeskyttelse, ophører i følgende tilfælde:

a)

hvis Den Europæiske Tilsynsførende for Databeskyttelse udskiftes

b)

hvis Den Europæiske Tilsynsførende for Databeskyttelse fratræder sin stilling

c)

hvis Den Europæiske Tilsynsførende for Databeskyttelse afskediges eller går på pligtmæssig pension.

5.   Den Europæiske Tilsynsførende for Databeskyttelse kan af EU-Domstolen på begæring af Europa-Parlamentet, Rådet eller Kommissionen afskediges eller fratages sine pensionsrettigheder eller lignende goder, hvis vedkommende ikke længere opfylder de nødvendige betingelser for at udøve sit hverv, eller hvis vedkommende har begået alvorligt embedsmisbrug.

6.   I tilfælde af ordinær nybesættelse og frivillig fratræden fortsætter Den Europæiske Tilsynsførende for Databeskyttelse imidlertid med at udøve sit hverv, indtil der er udnævnt en efterfølger.

7.   Artikel 11-14 og artikel 17 i protokollen vedrørende Den Europæiske Unions privilegier og immuniteter finder anvendelse på Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 54

Statutten og de almindelige betingelser for udøvelse af hvervet som Europæisk Tilsynsførende for Databeskyttelse samt dennes personale og finansielle ressourcer

1.   Den Europæiske Tilsynsførende for Databeskyttelse sidestilles med en dommer ved EU-Domstolen for så vidt angår fastsættelsen af vederlag, tillæg, alderspension og eventuelle andre goder end vederlag.

2.   Budgetmyndigheden sørger for, at Den Europæiske Tilsynsførende for Databeskyttelse råder over de nødvendige menneskelige og finansielle ressourcer for at kunne udøve sit hverv.

3.   Budgettet for Den Europæiske Tilsynsførende for Databeskyttelse vises i et separat udgiftsområde i sektion vedrørende administrative udgifter i Unionens almindelige budget.

4.   Den Europæiske Tilsynsførende for Databeskyttelse bistås af et sekretariat. Tjenestemænd og øvrige ansatte i sekretariatet udnævnes af Den Europæiske Tilsynsførende for Databeskyttelse, og deres overordnede er Den Europæiske Tilsynsførende for Databeskyttelse. De er udelukkende underlagt dennes ledelse. Antallet af tjenestemænd og øvrige ansatte fastsættes hvert år som led i budgetproceduren. Artikel 75, stk. 2, i forordning (EU) 2016/679 finder anvendelse på det af Den Europæiske Tilsynsførende for Databeskyttelses personale, der er involveret i udførelsen af opgaver, som i henhold til EU-retten er overdraget til Det Europæiske Databeskyttelsesråd.

5.   For tjenestemænd og øvrige ansatte i sekretariatet for Den Europæiske Tilsynsførende for Databeskyttelse gælder de regler og bestemmelser, der gælder for tjenestemænd og øvrige ansatte i Unionen.

6.   Hjemstedet for Den Europæiske Tilsynsførende er Bruxelles.

Artikel 55

Uafhængighed

1.   Den Europæiske Tilsynsførende for Databeskyttelse udfører sine opgaver og udøver sine beføjelser i henhold til denne forordning i fuld uafhængighed.

2.   Den Europæiske Tilsynsførende for Databeskyttelse skal i forbindelse med udførelsen af sine opgaver og udøvelsen af sine beføjelser i henhold til denne forordning være fri for udefrakommende indflydelse, det være sig direkte eller indirekte, og må hverken søge eller modtage instrukser fra andre.

3.   Den Europæiske Tilsynsførende for Databeskyttelse skal afholde sig fra enhver handling, der er uforenelig med karakteren af vedkommendes hverv, og må ikke, så længe vedkommendes embedsperiode varer, udøve nogen anden lønnet eller ulønnet beskæftigelse.

4.   Efter vedkommendes embedsperiode er ophørt, skal Den Europæiske Tilsynsførende for Databeskyttelse udvise hæderlighed og tilbageholdenhed med hensyn til at påtage sig visse hverv eller acceptere visse fordele.

Artikel 56

Tavshedspligt

Den Europæiske Tilsynsførende for Databeskyttelse og dennes medarbejdere har såvel under som efter deres embedsperiode tavshedspligt for så vidt angår alle fortrolige oplysninger, der er kommet til deres kendskab under udøvelsen af deres hverv.

Artikel 57

Opgaver

1.   Uden at dette berører andre opgaver, der er fastsat i denne forordning, skal Den Europæiske Tilsynsførende for Databeskyttelse:

a)

føre tilsyn med og håndhæve Unionens institutioners og organers anvendelse af denne forordning med undtagelse af EU-Domstolens behandling af personoplysninger, når den handler i sin egenskab af domstol

b)

fremme offentlighedens kendskab til og forståelse af risici, regler, garantier og rettigheder i forbindelse med behandling. Der skal sættes særlig fokus på aktiviteter, der er direkte rettet mod børn

c)

fremme dataansvarliges og databehandleres kendskab til deres forpligtelser i henhold til denne forordning

d)

efter anmodning informere registrerede om udøvelsen af deres rettigheder i henhold til denne forordning og med henblik herpå samarbejde med de nationale tilsynsmyndigheder, hvis det er relevant

e)

behandle klager, der indgives af en registreret eller af et organ, en organisation eller en sammenslutning i overensstemmelse med artikel 67, og, for så vidt det er hensigtsmæssigt, undersøge genstanden for klagen og underrette klageren om forløbet og resultatet af undersøgelsen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig

f)

gennemføre undersøgelser om anvendelsen af denne forordning, herunder på grundlag af oplysninger, der er modtaget fra en anden tilsynsmyndighed eller en anden offentlig myndighed

g)

på eget initiativ eller efter anmodning rådgive alle Unionens institutioner og organer om lovgivningsmæssige og administrative foranstaltninger til beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysning

h)

holde øje med den relevante udvikling, i det omfang den har indvirkning på beskyttelsen af personoplysninger, navnlig udviklingen i informations- og kommunikationsteknologier

i)

vedtage standardkontraktbestemmelser som omhandlet i artikel 29, stk. 8, og i artikel 48, stk. 2, litra c)

j)

opstille og føre en liste i forbindelse med kravet om en konsekvensanalyse vedrørende databeskyttelse i medfør af artikel 39, stk. 4

k)

deltage i aktiviteterne i Det Europæiske Databeskyttelsesråd

l)

fungere som sekretariat for Det Europæiske Databeskyttelsesråd i overensstemmelse med artikel 75 i forordning (EU) 2016/679

m)

rådgive om behandling som omhandlet i artikel 40, stk. 2

n)

godkende kontraktbestemmelser og bestemmelser som omhandlet i artikel 48, stk. 3

o)

føre interne fortegnelser over overtrædelser af denne forordning og over foranstaltninger, der er truffet i medfør af artikel 58, stk. 2

p)

udføre enhver anden opgave i forbindelse med beskyttelse af personoplysninger og

q)

vedtage sin forretningsorden.

2.   Den Europæiske Tilsynsførende for Databeskyttelse letter indgivelse af klager, jf. stk. 1, litra e), gennem en klageformular, der også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmidler.

3.   Den Europæiske Tilsynsførende for Databeskyttelse varetager sine opgaver uden udgifter for den registrerede.

4.   Hvis anmodninger er åbenbart grundløse eller overdrevne, især fordi de gentages, kan Den Europæiske Tilsynsførende for Databeskyttelse afvise at efterkomme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller uforholdsmæssig, påhviler Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 58

Beføjelser

1.   Den Europæiske Tilsynsførende for Databeskyttelse har følgende undersøgelsesbeføjelser:

a)

at give den dataansvarlige og databehandleren påbud om at give alle oplysninger, der kræves for udførelsen af vedkommendes opgaver

b)

at foretage undersøgelser i form af databeskyttelsesrevisioner

c)

at underrette den dataansvarlige eller databehandleren om en påstået overtrædelse af denne forordning

d)

fra den dataansvarlige eller databehandleren at få adgang til alle personoplysninger og oplysninger, der er nødvendige for at varetage vedkommendes opgaver

e)

at få adgang til alle lokaler hos den dataansvarlige og databehandleren, herunder til databehandlingsudstyr og -midler, i overensstemmelse med EU-retten.

2.   Den Europæiske Tilsynsførende for Databeskyttelse har følgende sanktionsbeføjelser:

a)

at udstede advarsler til en dataansvarlig eller en databehandler om, at de planlagte behandlingsaktiviteter sandsynligvis vil være i strid med denne forordning

b)

at udtale kritik af en dataansvarlig eller en databehandler, hvis behandlingsaktiviteter har været i strid med denne forordning

c)

at forelægge sager for den dataansvarlige eller databehandleren og om nødvendigt for Europa-Parlamentet, Rådet og Kommissionen

d)

at give den dataansvarlige eller databehandleren påbud om at imødekomme den registreredes anmodninger om at udøve sine rettigheder i henhold til denne forordning

e)

at give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i overensstemmelse med bestemmelserne i denne forordning og, hvis det er hensigtsmæssigt, på en nærmere angivet måde og inden for en nærmere angivet frist

f)

at give den dataansvarlige påbud om at underrette den registrerede om et brud på persondatasikkerheden

g)

midlertidigt eller definitivt at begrænse, herunder forbyde, behandling

h)

at give påbud om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling i henhold til artikel 18, 19 og 20 og give meddelelse om sådanne handlinger til de modtagere, som personoplysningerne er videregivet til i henhold til artikel 19, stk. 2, og artikel 21

i)

at pålægge en administrativ bøde i henhold til artikel 66 i tilfælde af en af Unionens institutioners eller et af Unionens organers manglende overholdelse af en af de foranstaltninger, der er omhandlet i litra d)-h) og j) i dette stykke, afhængigt af omstændighederne i hvert enkelt tilfælde

j)

at påbyde suspension af overførsel af oplysninger til en modtager i en medlemsstat, et tredjeland eller til en international organisation.

3.   Den Europæiske Tilsynsførende for Databeskyttelse har følgende godkendelses- og rådgivningsbeføjelser:

a)

at rådgive de registrerede i forbindelse med udøvelsen af deres rettigheder

b)

at rådgive den dataansvarlige efter den i artikel 40 omhandlede procedure for forudgående høring, og i overensstemmelse med artikel 41, stk. 2

c)

på eget initiativ eller på anmodning at afgive udtalelser til Unionens institutioner og organer samt offentligheden om ethvert spørgsmål om beskyttelse af personoplysninger

d)

at vedtage standardbestemmelser om databeskyttelse som omhandlet i artikel 29, stk. 8, og i artikel 48, stk. 2, litra c)

e)

at godkende kontraktbestemmelser som omhandlet i artikel 48, stk. 3, litra a)

f)

at godkende administrative ordninger som omhandlet i artikel 48, stk. 3, litra b)

g)

at godkende eller undlade at godkende behandlingsaktiviteter i henhold til gennemførelsesretsakter vedtaget i henhold til artikel 40, stk. 4.

4.   Den Europæiske Tilsynsførende for Databeskyttelse har beføjelse til at indbringe sager for EU-Domstolen på de betingelser, der er fastsat i traktaterne, og til at intervenere i retssager ved EU-Domstolen.

5.   Udøvelsen af de beføjelser, der tillægges Den Europæiske Tilsynsførende for Databeskyttelse i medfør af denne artikel, er underlagt passende garantier, herunder effektive retsmidler og retfærdig procedure som fastsat i EU-retten.

Artikel 59

Forpligtelse for dataansvarlige og databehandlere til at reagere på påståede overtrædelser

Når Den Europæiske Tilsynsførende for Databeskyttelse udøver de beføjelser, der er fastsat i artikel 58, stk. 2, litra a), b) og c), underretter den dataansvarlige eller databehandleren Den Europæiske Tilsynsførende for Databeskyttelse om sine synspunkter inden en rimelig frist, der skal fastsættes af Den Europæiske Tilsynsførende for Databeskyttelse under hensyntagen til omstændighederne i hvert enkelt tilfælde. Svaret skal også omfatte en redegørelse for, hvilke foranstaltninger der i givet fald er truffet som reaktion på bemærkningerne fra Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 60

Årsberetning

1.   Den Europæiske Tilsynsførende for Databeskyttelse forelægger hvert år en årsberetning for Europa-Parlamentet, Rådet og Kommissionen og offentliggør den samtidig hermed.

2.   Den Europæiske Tilsynsførende for Databeskyttelse fremsender beretningen omhandlet i stk. 1 til de andre af Unionens institutioner og organer, der kan fremsætte bemærkninger med henblik på Europa-Parlamentets eventuelle gennemgang af beretningen.

KAPITEL VII

SAMARBEJDE OG SAMMENHÆNG

Artikel 61

Samarbejde mellem Den Europæiske Tilsynsførende for Databeskyttelse og nationale tilsynsmyndigheder

Den Europæiske Tilsynsførende for Databeskyttelse samarbejder med de nationale tilsynsmyndigheder og med Den Fælles Tilsynsmyndighed, der er oprettet ved artikel 25 i Rådets afgørelse 2009/917/RIA (19), i det omfang, det er nødvendigt for udførelsen af deres respektive opgaver, navnlig ved at stille relevante oplysninger til rådighed for hinanden, anmode hinanden om at udøve deres beføjelser og besvare hinandens henvendelser.

Artikel 62

Koordineret tilsyn mellem Den Europæiske Tilsynsførende for Databeskyttelse og nationale tilsynsmyndigheder

1.   Når der i en EU-retsakt henvises til denne artikel, samarbejder Den Europæiske Tilsynsførende for Databeskyttelse og nationale tilsynsmyndigheder, der hver især handler inden for deres respektive beføjelser, aktivt inden for rammerne af deres ansvarsområder med henblik på at sikre effektivt tilsyn med store IT-systemer og med Unionens organer, kontorer og agenturer.

2.   I det omfang det er nødvendigt, udveksler de inden for rammerne af deres respektive beføjelser og ansvarsområder relevante oplysninger, bistår hinanden med udførelsen af revisioner og inspektioner, undersøger vanskeligheder med fortolkningen eller anvendelsen af denne forordning og andre gældende EU-retsakter, undersøger problemer med udøvelsen af uafhængigt tilsyn eller med udøvelsen af den registreredes rettigheder, udarbejder harmoniserede forslag til løsninger på eventuelle problemer og fremmer bevidstheden om databeskyttelsesrettigheder.

3.   For så vidt angår de formål, der er fastsat i stk. 2, mødes Den Europæiske Tilsynsførende for Databeskyttelse og de nationale tilsynsmyndigheder mindst to gange om året inden for rammerne af Det Europæiske Databeskyttelsesråd. Med henblik herpå kan Det Europæiske Databeskyttelsesråd udvikle øvrige arbejdsmetoder efter behov.

4.   Det Europæiske Databeskyttelsesråd fremsender en fælles rapport om koordinerede tilsynsaktiviteter til Europa-Parlamentet, til Rådet og til Kommissionen hvert andet år.

KAPITEL VIII

RETSMIDLER, ANSVAR OG SANKTIONER

Artikel 63

Klageadgang til Den Europæiske Tilsynsførende for Databeskyttelse

1.   Uden at det berører et eventuelt retsmiddel eller en eventuel administrativ eller udenretslig klageadgang, har enhver registreret ret til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse, hvis den registrerede finder, at behandlingen af personoplysninger om vedkommende overtræder denne forordning.

2.   Den Europæiske Tilsynsførende for Databeskyttelse underretter klageren om behandlingen og resultatet af klagen, herunder muligheden for retsmidler som omhandlet i artikel 64.

3.   Hvis Den Europæiske Tilsynsførende for Databeskyttelse ikke behandler klagen eller undlader at underrette den registrerede om forløbet eller resultatet af en klage inden tre måneder, anses Den Europæiske Tilsynsførende for Databeskyttelse for at have truffet en negativ afgørelse.

Artikel 64

Ret til effektive retsmidler

1.   EU-Domstolen har kompetence til at afgøre alle tvister vedrørende bestemmelserne i denne forordning, herunder erstatningssøgsmål.

2.   Afgørelser truffet af Den Europæiske Tilsynsførende for Databeskyttelse, herunder afgørelser i henhold til artikel 63, stk. 3, kan indbringes for EU-Domstolen.

3.   EU-Domstolen har fuld prøvelsesret vedrørende de administrative bøder, der er omhandlet i artikel 66. Den kan ophæve, nedsætte eller forhøje disse bøder inden for rammerne af artikel 66.

Artikel 65

Ret til erstatning

Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den eller det pågældende af Unionens institutioner eller organer på de betingelser, der er fastsat i traktaterne.

Artikel 66

Administrative bøder

1.   Den Europæiske Tilsynsførende for Databeskyttelse kan pålægge Unionens institutioner og organer administrative bøder afhængigt af omstændigheder i hvert enkelt tilfælde, når en eller et af Unionens institutioner eller organer har undladt at efterkomme et påbud fra Den Europæiske Tilsynsførende for Databeskyttelse, jf. artikel 58, stk. 2, litra d)-h) og j). Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt tilfælde, tages der behørigt hensyn til følgende:

a)

overtrædelsens karakter, alvor og varighed under hensyntagen til den pågældende behandlings karakter, omfang eller formål samt antal registrerede, der er berørt, og omfanget af den skade, som de har lidt

b)

eventuelle foranstaltninger, der er truffet af den eller det pågældende af Unionens institutioner eller organer for at begrænse den skade, som den registrerede har lidt

c)

den eller det pågældende af Unionens institutioners eller organers grad af ansvar under hensyntagen til tekniske og organisatoriske foranstaltninger, som de har gennemført i henhold til artikel 27 og 33

d)

eventuelle lignende overtrædelser, som den eller det pågældende af Unionens institutioner eller organer tidligere har begået

e)

graden af samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse for at afhjælpe overtrædelsen og begrænse de negative konsekvenser, som overtrædelsen måtte have givet anledning til

f)

de kategorier af personoplysninger, der er berørt af overtrædelsen

g)

den måde, hvorpå Den Europæiske Tilsynsførende for Databeskyttelse fik kendskab til overtrædelsen, navnlig om den eller det pågældende af Unionens institutioner eller organer gav underretning om overtrædelsen, og i givet fald i hvilket omfang

h)

overholdelsen af enhver af de foranstaltninger, der er omhandlet i artikel 58, der tidligere over for den eller det pågældende af Unionens institutioner eller organer er blevet truffet med hensyn til samme genstand. De procedurer, der førte til pålæggelsen af sådanne bøder, gennemføres inden for en rimelig tidshorisont afhængigt af sagens omstændigheder og under hensyntagen til de relevante foranstaltninger og procedurer, der er omhandlet i artikel 69.

2.   Overtrædelser af den eller det pågældende af Unionens institutioners eller organers forpligtelser som omhandlet i artikel 8, 12, 27-35, 39, 40, 43, 44 og 45 straffes i overensstemmelse med nærværende artikels stk. 1 med bøder på op til 25 000 EUR pr. overtrædelse og op til 250 000 EUR pr. år.

3.   Den eller det pågældende af Unionens institutioners eller organers overtrædelser af følgende bestemmelser straffes i overensstemmelse med stk. 1 med bøder på op til 50 000 EUR pr. overtrædelse og op til 500 000 EUR pr. år:

a)

de grundlæggende principper for behandling, herunder betingelserne for samtykke, i artikel 4, 5, 7 og 10

b)

de registreredes rettigheder i henhold til artikel 14-24

c)

overførsler af personoplysninger til en modtager i et tredjeland eller en international organisation i henhold til artikel 46-50.

4.   Hvis en af Unionens institutioner eller et af Unionens organer i forbindelse med de samme eller forbundne eller kontinuerlige behandlingsaktiviteter overtræder flere bestemmelser i denne forordning eller den samme bestemmelse i denne forordning flere gange, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse.

5.   Inden der træffes afgørelse i henhold til denne artikel, giver Den Europæiske Tilsynsførende for Databeskyttelse den eller det af Unionens institutioner eller organer, der er genstand for de procedurer, som gennemføres af Den Europæiske Tilsynsførende for Databeskyttelse, muligheden for at blive hørt om de spørgsmål, som Den Europæiske Tilsynsførende for Databeskyttelse har gjort indsigelse mod. Den Europæiske Tilsynsførende for Databeskyttelse baserer udelukkende sine afgørelser på indsigelser, som de berørte parter har haft mulighed for at fremsætte bemærkninger til. Klagerne inddrages i vid udstrækning i proceduren.

6.   De deltagende parters ret til forsvar skal sikres fuldt ud i procedureforløbet. De har ret til aktindsigt i Den Europæiske Tilsynsførende for Databeskyttelses sagsakter med forbehold af fysiske personers eller virksomheders berettigede interesse i at beskytte deres personoplysninger eller forretningshemmeligheder.

7.   Midler, der er indsamlet ved pålæggelse af bøder som omhandlet i denne artikel, tilfalder Unionens almindelige budget.

Artikel 67

Repræsentation af registrerede

Den registrerede har ret til at bemyndige et organ, en organisation eller en sammenslutning, der er etableret i overensstemmelse med EU-retten eller en medlemsstats nationale ret, som ikke arbejder med gevinst for øje, hvis vedtægtsmæssige formål er af almen interesse, og som er aktiv på området for beskyttelse af registreredes rettigheder og frihedsrettigheder med hensyn til beskyttelse af deres personoplysninger, til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse på sine vegne, til at udøve de rettigheder, der er omhandlet i artikel 63 og 64, på sine vegne og til at udøve retten til at modtage erstatning som omhandlet i artikel 65 på sine vegne.

Artikel 68

Klager fra EU-ansatte

Enhver person, der er ansat af en af Unionens institutioner eller et af Unionens organer, kan indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse vedrørende en påstået overtrædelse af bestemmelserne i denne forordning, herunder uden om de officielle kanaler. Ingen må lide skade som følge af at have indgivet en klage til Den Europæiske Tilsynsførende for Databeskyttelse vedrørende en sådan påstået overtrædelse.

Artikel 69

Sanktioner

Undlader en tjenestemand eller en anden ansat i Unionen forsætligt eller uagtsomt at opfylde de forpligtelser, som er fastsat i denne forordning, kan der iværksættes disciplinære sanktioner over for den pågældende tjenestemand eller ansatte, i overensstemmelse med de regler og procedurer, der er fastlagt i vedtægten for tjenestemænd.

KAPITEL IX

BEHANDLING AF OPERATIONELLE PERSONOPLYSNINGER I UNIONENS ORGANER, KONTORER OG AGENTURER VED UDFØRELSEN AF AKTIVITETER, SOM HENHØRER UNDER TREDJE DEL, AFSNIT V, KAPITEL 4 ELLER KAPITEL 5, I TEUF

Artikel 70

Kapitlets anvendelsesområde

Dette kapitel finder kun anvendelse på behandlingen af operationelle personoplysninger i Unionens organer, kontorer og agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, uden at dette berører specifikke databeskyttelsesregler, der finder anvendelse på et sådant organ, kontor eller agentur.

Artikel 71

Principper for behandling af operationelle personoplysninger

1.   Operationelle personoplysninger skal:

a)

behandles lovligt og rimeligt (»lovlighed og rimelighed«)

b)

indsamles til udtrykkeligt angivne og legitime formål og ikke behandles på en måde, der er uforenelig med disse formål (»formålsbegrænsning«)

c)

være tilstrækkelige, relevante og ikke for omfattende i forhold til de formål, hvortil de behandles (»dataminimering«)

d)

være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt til at sikre, at operationelle personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, omgående slettes eller berigtiges (»rigtighed«)

e)

opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i længere tid end nødvendigt af hensyn til de formål, hvortil de operationelle personoplysninger behandles (»opbevaringsbegrænsning«)

f)

behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende operationelle personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

2.   Behandling, der foretages af den samme eller en anden dataansvarlig til et andet formål, der er fastsat i retsakten om oprettelse af det pågældende af Unionens organer, kontorer eller agenturer, end det formål, hvortil de operationelle personoplysninger er indsamlet, er tilladt i det omfang:

a)

den dataansvarlige er bemyndiget til at behandle sådanne operationelle personoplysninger til et sådant formål i overensstemmelse med EU-retten, og

b)

behandlingen er nødvendig for og forholdsmæssig i forhold til dette andet formål i overensstemmelse med EU-retten.

3.   Behandling, der foretages af den samme eller en anden dataansvarlig, kan omfatte behandling til arkivformål i samfundets interesse eller til videnskabelig, statistisk eller historisk brug, til de formål, der er fastsat i retsakten om oprettelse af det pågældende af Unionens organer, kontorer eller agenturer, forudsat at behandlingen er omfattet af de fornødne garantier for den registreredes rettigheder og frihedsrettigheder.

4.   Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1, 2 og 3 overholdes.

Artikel 72

Lovlighed af behandling af operationelle personoplysninger

1.   Behandling af operationelle personoplysninger er kun lovlig, hvis og i det omfang behandling er nødvendig af hensyn til varetagelsen af en opgave, der udføres af Unionens organer, kontorer og agenturer ved udførelsen af aktiviteter, der er omfattet af tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, og den er baseret på EU-retten.

2.   Specifikke EU-retsakter, der regulerer behandling inden for rammerne af dette kapitel, skal som minimum angive målene for behandlingen, de operationelle personoplysninger, der skal behandles, formålet med behandlingen og tidsfristerne for opbevaring af de operationelle personoplysninger eller for regelmæssig evaluering af behovet for fortsat opbevaring af de operationelle personoplysninger.

Artikel 73

Sondring mellem forskellige kategorier af registrerede

Den dataansvarlige skal, hvor det er relevant og så vidt muligt, klart sondre mellem de operationelle personoplysninger om forskellige kategorier af registrerede, såsom de kategorier, der er anført i retsakterne om oprettelse af Unionens organer, kontorer og agenturer.

Artikel 74

Sondring mellem operationelle personoplysninger og kontrol med kvaliteten af operationelle personoplysninger

1.   Den dataansvarlige sondrer så vidt muligt mellem operationelle personoplysninger, der bygger på faktiske omstændigheder, og operationelle personoplysninger, der bygger på personlige vurderinger.

2.   Den dataansvarlige træffer alle rimelige foranstaltninger for at sikre, at operationelle personoplysninger, som er urigtige, ufuldstændige eller ikke ajourførte, ikke videregives eller stilles til rådighed. Med henblik herpå skal den dataansvarlige, så vidt muligt og hvor det lader sig gøre, kontrollere kvaliteten af operationelle personoplysninger, før de videregives eller stilles til rådighed, f.eks. ved at konsultere den kompetente myndighed, hvorfra oplysningerne stammer. I forbindelse med al videregivelse af operationelle personoplysninger skal den dataansvarlige så vidt muligt tilføje de nødvendige oplysninger for at gøre det muligt for modtageren at vurdere, i hvor høj grad de operationelle personoplysninger er rigtige, fuldstændige og pålidelige, og i hvilket omfang de er ajourførte.

3.   Hvis det konstateres, at der er videregivet urigtige operationelle personoplysninger, eller at operationelle personoplysninger er videregivet ulovligt, skal dette straks meddeles modtageren. I så fald skal de pågældende operationelle personoplysninger berigtiges eller slettes, eller deres behandling skal begrænses i overensstemmelse med artikel 82.

Artikel 75

Særlige betingelser for behandling

1.   Når EU-retten, der finder anvendelse på den videregivende dataansvarlige, fastsætter særlige betingelser for behandlingen, underretter den dataansvarlige modtageren af de operationelle personoplysninger om disse betingelser og kravet om at overholde dem.

2.   Den dataansvarlige skal overholde de særlige betingelser for behandling, som er fastsat af en videregivende kompetent myndighed i overensstemmelse med artikel 9, stk. 3 og 4, i direktiv (EU) 2016/680.

Artikel 76

Behandling af særlige kategorier af operationelle personoplysninger

1.   Behandling af operationelle personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller operationelle personoplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering må kun tillades, når det er strengt nødvendigt til operationelle formål, inden for det pågældende af Unionens organers, kontorers eller agenturers mandat, og forudsat at behandlingen er omfattet af de fornødne garantier for den registreredes rettigheder og frihedsrettigheder. Forskelsbehandling af fysiske personer på grundlag af sådanne personoplysninger er forbudt.

2.   Databeskyttelsesrådgiveren underrettes uden unødig forsinkelse, hvis denne artikel bringes i anvendelse.

Artikel 77

Automatiske individuelle afgørelser, herunder profilering

1.   En afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har negativ retsvirkning for den registrerede eller betydelige konsekvenser for den pågældende, er forbudt, medmindre den er hjemlet i EU-retten, som den dataansvarlige er underlagt, og som fastsætter de fornødne garantier for den registreredes rettigheder og frihedsrettigheder i det mindste den registreredes ret til menneskelig indgriben fra den dataansvarliges side.

2.   De afgørelser, der er omhandlet i nærværende artikels stk. 1, må ikke baseres på de særlige kategorier af personoplysninger, der er omhandlet i artikel 76, medmindre der er indført passende foranstaltninger til beskyttelse af den registreredes rettigheder, frihedsrettigheder og legitime interesser.

3.   Profilering, der fører til forskelsbehandling af fysiske personer på grundlag af særlige kategorier af personoplysninger som omhandlet i artikel 76, er forbudt i henhold til EU-retten.

Artikel 78

Meddelelser og nærmere regler for udøvelse af den registreredes rettigheder

1.   Den dataansvarlige træffer passende foranstaltninger for at give enhver oplysning som omhandlet i artikel 79 og enhver meddelelse som omhandlet i artikel 80-84 og 92 om behandling til den registrerede i en kortfattet, letforståelig og lettilgængelig form og i et klart og enkelt sprog. Oplysningerne gives på enhver hensigtsmæssig måde, herunder ved hjælp af elektroniske midler. Som hovedregel skal den dataansvarlige give oplysningerne i samme form som anmodningen.

2.   Den dataansvarlige letter udøvelsen af den registreredes rettigheder i henhold til artikel 79-84.

3.   Den dataansvarlige giver den registrerede skriftlig meddelelse om opfølgningen af vedkommendes anmodning uden unødig forsinkelse og i alle tilfælde senest tre måneder efter modtagelsen af den registreredes anmodning.

4.   Den dataansvarlige giver oplysningerne i medfør af artikel 79 og enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 80-84 og 92, gratis. Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige afvise at efterkomme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven, påhviler den dataansvarlige.

5.   Den dataansvarlige kan, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der fremsætter en anmodning som omhandlet i artikel 80 eller 82, anmode om yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.

Artikel 79

Oplysninger, der skal stilles til rådighed for eller gives til den registrerede

1.   Den dataansvarlige stiller som minimum følgende oplysninger til rådighed for den registrerede:

a)

identitet på og kontaktoplysninger for det pågældende af Unionens organer, kontorer eller agenturer

b)

kontaktoplysninger for databeskyttelsesrådgiveren

c)

formålene med den behandling, som de operationelle personoplysninger skal bruges til

d)

retten til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse og dennes kontaktoplysninger

e)

retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af operationelle personoplysninger og begrænsning af behandling af operationelle personoplysninger vedrørende den registrerede.

2.   Ud over de oplysninger, der er omhandlet i stk. 1, skal den dataansvarlige i de særlige tilfælde, der er forudset i EU-retten, give den registrerede følgende yderligere oplysninger, for at vedkommende kan udøve sine rettigheder:

a)

retsgrundlaget for behandlingen

b)

det tidsrum, hvor de operationelle personoplysninger vil blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum

c)

hvor det er relevant, kategorierne af modtagere af de operationelle personoplysninger, herunder i tredjelande eller internationale organisationer

d)

hvis det er nødvendigt, yderligere oplysninger, navnlig hvis de operationelle personoplysninger indsamles uden den registreredes vidende.

3.   Den dataansvarlige kan udsætte, begrænse eller afskære meddelelse af oplysninger til de registrerede, jf. stk. 2, i det omfang og så længe en sådan foranstaltning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

a)

undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

b)

undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner

c)

beskytte medlemsstaternes offentlige sikkerhed

d)

beskytte medlemsstaternes nationale sikkerhed

e)

beskytte andres, f.eks. ofres og vidners, rettigheder og frihedsrettigheder.

Artikel 80

Den registreredes indsigtsret

Den registrerede har ret til at få den dataansvarliges bekræftelse på, om operationelle personoplysninger vedrørende vedkommende behandles, og har, hvor dette er tilfældet, ret til adgang til de operationelle personoplysninger og følgende information:

a)

formålene med og retsgrundlaget for behandlingen

b)

de berørte kategorier af operationelle personoplysninger

c)

de modtagere eller kategorier af modtagere, som de operationelle personoplysninger er videregivet til, navnlig modtagere i tredjelande eller internationale organisationer

d)

om muligt, det påtænkte tidsrum, hvor de operationelle personoplysninger vil blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum

e)

eksistensen af retten til at anmode den dataansvarlige om berigtigelse eller sletning af operationelle personoplysninger eller begrænsning af behandling af operationelle personoplysninger vedrørende den registrerede

f)

retten til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse og dennes kontaktoplysninger

g)

meddelelse af, hvilke operationelle personoplysninger der er omfattet af behandlingen, og enhver tilgængelig oplysning om, hvorfra de stammer.

Artikel 81

Begrænsninger af indsigtsretten

1.   Den dataansvarlige kan helt eller delvis begrænse den registreredes ret til indsigt, i det omfang og så længe en sådan delvis eller fuldstændig begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

a)

undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

b)

undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner

c)

beskytte medlemsstaternes offentlige sikkerhed

d)

beskytte medlemsstaternes nationale sikkerhed

e)

beskytte andres, f.eks. ofres og vidners, rettigheder og frihedsrettigheder.

2.   I de i stk. 1 omhandlede tilfælde giver den dataansvarlige uden unødig forsinkelse den registrerede skriftlig meddelelse om ethvert afslag på indsigt eller begrænsning af indsigten og om begrundelsen for afslaget eller begrænsningen. En sådan meddelelse kan udelades, hvis sådanne oplysninger ville være til skade for et af formålene i stk. 1. Den dataansvarlige giver den registrerede meddelelse om muligheden for at klage til Den Europæiske Tilsynsførende for Databeskyttelse eller at indbringe sagen for EU-Domstolen. Den dataansvarlige dokumenterer de faktuelle eller retlige årsager til afgørelsen. Disse oplysninger stilles efter anmodning til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 82

Ret til berigtigelse eller sletning af operationelle personoplysninger og begrænsning af behandling

1.   Den registrerede har ret til at få urigtige operationelle personoplysninger om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Den registrerede har under hensyntagen til formålene med behandlingen ret til få fuldstændiggjort ufuldstændige operationelle personoplysninger, bl.a. ved at fremlægge en supplerende erklæring.

2.   Den dataansvarlige skal slette operationelle personoplysninger uden unødig forsinkelse, og den registrerede har ret til at få operationelle personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, hvis behandlingen strider mod artikel 71, artikel 72, stk. 1, eller artikel 76, eller hvis operationelle personoplysninger skal slettes for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt.

3.   I stedet for sletning begrænser den dataansvarlige behandling, hvis:

a)

rigtigheden af personoplysningerne bestrides af den registrerede, og deres rigtighed eller urigtighed ikke kan konstateres, eller

b)

personoplysningerne skal bevares som bevismiddel.

Hvis behandling er begrænset i henhold til første afsnit, litra a), underretter den dataansvarlige den registrerede herom, inden begrænsningen af behandling ophæves.

Begrænsede oplysninger behandles kun til det formål, der gjorde, at de ikke blev slettet.

4.   Den dataansvarlige giver den registrerede skriftlig meddelelse om ethvert afslag på berigtigelse eller sletning af operationelle personoplysninger eller begrænsning af deres behandling og om begrundelsen for afslaget. Den dataansvarlige kan helt eller delvis begrænse meddelelsen af sådanne oplysninger, i det omfang en sådan begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

a)

undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

b)

undgå at skade forebyggelsen, efterforskningen, afsløringen eller retsforfølgningen af strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner

c)

beskytte medlemsstaternes offentlige sikkerhed

d)

beskytte medlemsstaternes nationale sikkerhed

e)

beskytte andres, f.eks. ofres eller vidners, rettigheder og frihedsrettigheder.

Den dataansvarlige giver den registrerede meddelelse om muligheden for at klage til Den Europæiske Tilsynsførende for Databeskyttelse eller at indbringe sagen for EU-Domstolen.

5.   Den dataansvarlige meddeler berigtigelse af urigtige operationelle personoplysninger til den kompetente myndighed, hvorfra de urigtige operationelle personoplysninger stammer.

6.   Hvis operationelle personoplysninger er blevet berigtiget eller slettet, eller behandlingen er blevet begrænset i henhold til stk. 1, 2 eller 3, underretter den dataansvarlige modtagerne og meddeler dem, at de skal berigtige eller slette de operationelle personoplysninger eller begrænse behandling af de operationelle personoplysninger, som de har ansvaret for.

Artikel 83

Indsigtsret i strafferetlige efterforskninger og straffesager

Hvis operationelle personoplysninger stammer fra en kompetent myndighed, kontrollerer Unionens organer, kontorer og agenturer, inden der træffes afgørelse om den registreredes ret til indsigt, med den pågældende kompetente myndighed, om personoplysningerne er indeholdt i en retsafgørelse eller et register eller en sagsakt, der behandles i forbindelse med strafferetlige efterforskninger og straffesager i den pågældende kompetente myndigheds medlemsstat. Hvis dette er tilfældet, træffes der en afgørelse om indsigtsret i samråd og tæt samarbejde med den pågældende kompetente myndighed.

Artikel 84

Den registreredes udøvelse af rettigheder og Den Europæiske Tilsynsførende for Databeskyttelses kontrol

1.   I de tilfælde, der er omhandlet i artikel 79, stk. 3, artikel 81 og artikel 82, stk. 4, kan den registreredes rettigheder også udøves gennem Den Europæiske Tilsynsførende for Databeskyttelse.

2.   Den dataansvarlige underretter den registrerede om dennes mulighed for at udøve sine rettigheder gennem Den Europæiske Tilsynsførende for Databeskyttelse i henhold til stk. 1.

3.   Hvis retten som omhandlet i stk. 1 udøves, underretter Den Europæiske Tilsynsførende for Databeskyttelse som minimum den registrerede om, at Den Europæiske Tilsynsførende for Databeskyttelse har foretaget den nødvendige kontrol eller undersøgelse. Den Europæiske Tilsynsførende for Databeskyttelse underretter også den registrerede om vedkommendes ret til at indbringe sagen for EU-Domstolen.

Artikel 85

Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger

1.   Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige, både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen, passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og i retsakten om den dataansvarliges oprettelse og beskytte de registreredes rettigheder.

2.   Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger, der gennem standardindstillinger sikrer, at kun operationelle personoplysninger, der er tilstrækkelige, relevante og ikke uforholdsmæssige i forhold til formålet med behandlingen, behandles. Denne forpligtelse gælder den mængde operationelle personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at operationelle personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.

Artikel 86

Fælles dataansvarlige

1.   Når to eller flere dataansvarlige eller en eller flere dataansvarlige sammen med en eller flere andre dataansvarlige end Unionens institutioner og organer, i fællesskab afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling, er de fælles dataansvarlige. De fastlægger på en gennemsigtig måde deres respektive ansvar for overholdelse af deres databeskyttelsesforpligtelser, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 79, ved hjælp af en ordning mellem dem, medmindre og i det omfang de fælles dataansvarliges respektive ansvar er fastlagt i EU-retten eller medlemsstaternes nationale ret, som de fælles dataansvarlige er underlagt. Der kan som led i ordningen udpeges et kontaktpunkt for registrerede.

2.   Ordningen, der er omhandlet i stk. 1, skal på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til den registrerede. Det væsentligste indhold af ordningen skal gøres tilgængeligt for den registrerede.

3.   Uanset udformningen af den ordning, der er omhandlet i stk. 1, kan den registrerede udøve sine rettigheder i medfør af denne forordning med hensyn til og over for den enkelte dataansvarlige.

Artikel 87

Databehandler

1.   Hvis en behandling skal foretages på vegne af en dataansvarlig, benytter den dataansvarlige udelukkende databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og retsakten om oprettelse af den dataansvarlige og sikrer beskyttelse af den registreredes rettigheder.

2.   Databehandleren må ikke gøre brug af en anden databehandler uden forudgående specifik eller generel skriftligt godkendelse fra den dataansvarlige. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

3.   En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller en medlemsstats nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og som fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af operationelle personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Denne kontrakt eller dette andet retlige dokument fastsætter navnlig, at databehandleren:

a)

kun må handle efter instruks fra den dataansvarlige

b)

sikrer, at de personer, der er autoriseret til at behandle operationelle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt et passende lovbestemt krav om fortrolighed

c)

bistår den dataansvarlige på enhver hensigtsmæssig måde med at sikre overholdelse af bestemmelserne om den registreredes rettigheder

d)

efter den dataansvarliges valg sletter eller tilbageleverer alle operationelle personoplysninger til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, og sletter eksisterende kopier, medmindre EU-retten eller en medlemsstats nationale ret foreskriver opbevaring af de operationelle personoplysninger

e)

stiller alle informationer, der er nødvendige for at påvise opfyldelse af kravene i denne artikel, til rådighed for den dataansvarlige

f)

overholder de betingelser, der er omhandlet i stk. 2 og i nærværende stykke, med henblik på at gøre brug af en anden databehandler.

4.   Kontrakten eller det andet retlige dokument, der er omhandlet i stk. 3, skal foreligge skriftligt, herunder elektronisk.

5.   Hvis en databehandler overtræder denne forordning eller retsakten om oprettelse af den dataansvarlige ved at fastlægge formålene med og hjælpemidlerne til behandling, anses denne databehandler for at være en dataansvarlig, for så vidt angår den pågældende behandling.

Artikel 88

Logning

1.   Den dataansvarlige fører logs for alle de følgende behandlingsaktiviteter i automatiske databehandlingssystemer: indsamling, ændring, adgang, søgning, videregivelse, herunder overførsel, samkøring og sletning af operationelle personoplysninger. Logning af søgning og videregivelse skal gøre det muligt at fastlægge begrundelsen, datoen og tidspunktet for sådanne aktiviteter, identifikation af den person, som har søgt eller videregivet operationelle personoplysninger, og så vidt muligt identiteten på modtagerne af sådanne operationelle personoplysninger.

2.   Loggene anvendes udelukkende til at kontrollere, om behandling er lovlig, til egenkontrol, til at sikre integriteten og sikkerheden af de operationelle personoplysninger og i forbindelse med straffesager. Disse logs slettes efter tre år, medmindre de skal bruges til løbende kontrol.

3.   Den dataansvarlige stiller efter anmodning loggene til rådighed for sin databeskyttelsesrådgiver og for Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 89

Konsekvensanalyse vedrørende databeskyttelse

1.   Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af operationelle personoplysninger.

2.   Den i stk. 1 omhandlede analyse skal mindst omfatte en generel beskrivelse af de planlagte behandlingsaktiviteter, en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder, de foranstaltninger, der påtænkes for at imødegå disse risici, garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af operationelle personoplysninger og påvise overholdelse af databeskyttelsesregler, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

Artikel 90

Forudgående høring af Den Europæiske Tilsynsførende for Databeskyttelse

1.   Den dataansvarlige hører Den Europæiske Tilsynsførende for Databeskyttelse inden behandling, der vil indgå som en del af et nyt register, der skal oprettes, når:

a)

en konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 89 viser, at behandlingen vil føre til en høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at mindske risikoen, eller

b)

den type behandling, navnlig ved brug af nye teknologier, mekanismer eller procedurer, indebærer en høj risiko for de registreredes rettigheder og frihedsrettigheder.

2.   Den Europæiske Tilsynsførende for Databeskyttelse kan fastsætte en liste over de behandlingsaktiviteter, hvor der i henhold til stk. 1 skal foretages en forudgående høring.

3.   Den dataansvarlige forelægger Den Europæiske Tilsynsførende for Databeskyttelse konsekvensanalysen vedrørende databeskyttelse omhandlet i artikel 89 og efter anmodning andre oplysninger, der sætter Den Europæiske Tilsynsførende for Databeskyttelse i stand til at vurdere behandlingens overensstemmelse, og navnlig risiciene for beskyttelsen af registreredes operationelle personoplysninger og de tilknyttede garantier.

4.   Hvis Den Europæiske Tilsynsførende for Databeskyttelse finder, at den planlagte behandling omhandlet i stk. 1 vil overtræde denne forordning eller retsakten om oprettelse af det pågældende af Unionens organer, kontorer eller agenturer, navnlig hvis den dataansvarlige ikke tilstrækkeligt har identificeret eller begrænset risikoen, skal Den Europæiske Tilsynsførende for Databeskyttelse give den dataansvarlige skriftlig rådgivning inden for en periode på op til seks uger efter modtagelse af anmodningen om høring. Denne periode kan forlænges med en måned under hensyntagen til den påtænkte behandlings kompleksitet. Den Europæiske Tilsynsførende for Databeskyttelse underretter den dataansvarlige om enhver sådan forlængelse senest en måned efter modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen.

Artikel 91

Behandlingssikkerhed for operationelle personoplysninger

1.   Den dataansvarlige og databehandleren gennemfører under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, navnlig for så vidt angår behandlingen af de særlige kategorier af personoplysninger.

2.   For så vidt angår automatisk behandling gennemfører den dataansvarlige og databehandleren på grundlag af en risikovurdering foranstaltninger til at sikre, at:

a)

uautoriserede personer ikke kan få adgang til det databehandlingsudstyr, der benyttes til behandling (»kontrol med fysisk adgang til udstyret«)

b)

der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af datamedier (»kontrol med datamedier«)

c)

der ikke sker uautoriseret indlæsning af operationelle personoplysninger samt uautoriseret læsning, ændring eller sletning af opbevarede operationelle personoplysninger (»kontrol med opbevaring«)

d)

automatiske behandlingssystemer ikke via datakommunikationsudstyr kan benyttes af uautoriserede personer (»brugerkontrol«)

e)

personer med bemyndigelse til at anvende et automatisk behandlingssystem kun har adgang til de operationelle personoplysninger, der er omfattet af deres adgangstilladelse (»kontrol med dataadgangen«)

f)

det er muligt at kontrollere og fastslå de organer, til hvilke operationelle personoplysninger er blevet eller kan blive fremsendt eller stillet til rådighed ved hjælp af datakommunikation (»kommunikationskontrol«)

g)

det er muligt efterfølgende at undersøge og fastslå, hvilke operationelle personoplysninger der er indlæst i automatiske behandlingssystemer, og hvornår og af hvem de operationelle personoplysninger blev indlæst (»kontrol med indlæsning«)

h)

der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af operationelle personoplysninger i forbindelse med overførsler af disse eller under transport af datamedier (»transportkontrol«)

i)

de anvendte systemer i tilfælde af afbrydelse kan genetableres (»genopretning«)

j)

systemet fungerer, at indtrufne fejl meldes (»pålidelighed«), og at opbevarede operationelle personoplysninger ikke kan ødelægges som følge af fejlfunktioner i systemet (»integritet«)

Artikel 92

Anmeldelse af brud på persondatasikkerheden til Den Europæiske Tilsynsførende for Databeskyttelse

1.   Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til Den Europæiske Tilsynsførende for Databeskyttelse, medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder. Foretages anmeldelsen til Den Europæiske Tilsynsførende for Databeskyttelse ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.

2.   Den i stk. 1 omhandlede anmeldelse skal mindst:

a)

beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af operationelle personoplysninger

b)

angive navn og kontaktoplysninger for databeskyttelsesrådgiveren

c)

beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden

d)

beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

3.   Når og for så vidt som det ikke er muligt at give oplysningerne i stk. 2 samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.

4.   Den dataansvarlige dokumenterer alle brud på persondatasikkerheden omhandlet i stk. 1, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal sætte Den Europæiske Tilsynsførende for Databeskyttelse i stand til at kontrollere, at denne artikel er overholdt.

5.   Hvis bruddet på persondatasikkerheden omfatter operationelle personoplysninger, der er fremsendt af eller til de kompetente myndigheder, meddeler den dataansvarlige de i stk. 2 omhandlede oplysninger uden unødig forsinkelse til de pågældende kompetente myndigheder.

Artikel 93

Underretning om brud på persondatasikkerheden til den registrerede

1.   Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

2.   Underretningen af den registrerede i henhold til denne artikels stk. 1 skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og henstillinger, der er fastsat i artikel 92, stk. 2, litra b), c) og d).

3.   Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis nogen af følgende betingelser er opfyldt:

a)

den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de operationelle personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør de operationelle personoplysninger uforståelige for enhver, der ikke har autoriseret adgang hertil, såsom kryptering

b)

den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel

c)

det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.

4.   Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan Den Europæiske Tilsynsførende for Databeskyttelse efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.

5.   Den i nærværende artikels stk. 1 omhandlede underretning af den registrerede kan udsættes, begrænses eller afskæres på de betingelser og af de årsager, der er omhandlet i artikel 79, stk. 3.

Artikel 94

Videregivelse af operationelle personoplysninger til tredjelande og internationale organisationer

1.   Med forbehold af begrænsninger og betingelser, der er fastsat i retsakterne om oprettelse af det pågældende af Unionens organer, kontorer eller agenturer, kan den dataansvarlige videregive operationelle personoplysninger til en myndighed i et tredjeland eller til en international organisation, i det omfang en sådan videregivelse er nødvendig for at dataansvarlige kan udføre deres opgaver, og kun hvis betingelserne i denne artikel er opfyldt, navnlig at:

a)

Kommissionen har vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i overensstemmelse med artikel 36, stk. 3, i direktiv (EU) 2016/680, der fastslår, at det pågældende tredjeland eller et territorium eller en behandlingssektor i det pågældende tredjeland eller den pågældende internationale organisation sikrer et tilstrækkeligt niveau for databeskyttelse

b)

der, hvis der ikke er vedtaget en afgørelse fra Kommissionen om tilstrækkeligt beskyttelsesniveau i henhold til litra a), er indgået en international aftale mellem Unionen og dette tredjeland eller denne internationale organisation i medfør af artikel 218 i TEUF, og som frembyder tilstrækkelige garantier med hensyn til beskyttelsen af privatlivets fred og fysiske personers grundlæggende rettigheder og friheder

c)

der, hvis der ikke er vedtaget en afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet i henhold til litra a) eller ikke er indgået en international aftale i henhold til litra b), er indgået en samarbejdsaftale, der muliggør udveksling af operationelle personoplysninger før datoen for anvendelsen af retsakten om oprettelsen af det pågældende af Unionens organer, kontorer eller agenturer, mellem dette organ, kontor eller agentur og det pågældende tredjeland.

2.   Retsakterne om oprettelse af Unionens organer, kontorer og agenturer kan opretholde eller indføre mere specifikke bestemmelser om betingelserne for international videregivelse af operationelle personoplysninger, navnlig om videregivelser ved anvendelse af fornødne garantier og undtagelser i særlige situationer.

3.   Den dataansvarlige offentliggør og ajourfører på sit websted en liste over afgørelser om tilstrækkeligt beskyttelsesniveau omhandlet i stk. 1, litra a), aftaler, administrative ordninger og andre instrumenter vedrørende videregivelse af operationelle personoplysninger i henhold til stk. 1.

4.   Den dataansvarlige fører et detaljeret register over alle videregivelser foretaget i henhold til denne artikel.

Artikel 95

Tavshedspligt i forbindelse med forundersøgelse og straffesager

Retsakterne om oprettelse af Unionens organer, kontorer eller agenturer, der udfører aktiviteter henhørende under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF kan pålægge Den Europæiske Tilsynsførende for Databeskyttelse til i forbindelse med udøvelsen af vedkommendes tilsynsbeføjelser at tage videst muligt hensyn til tavshedspligt i forbindelse med forundersøgelse og straffesager i overensstemmelse med EU-retten eller medlemsstaternes nationale ret.

KAPITEL X

GENNEMFØRELSESRETSAKTER

Artikel 96

Udvalgsprocedure

1.   Kommissionen bistås af udvalget nedsat ved artikel 93 i forordning (EU) 2016/679. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2.   Når der henvises til dette stykke, anvendes artikel 5 i forordning (EU) nr. 182/2011.

KAPITEL XI

EVALUERING

Artikel 97

Evalueringsklausul

Senest den 30. april 2022 og hvert femte år derefter forelægger Kommissionen en rapport for Europa-Parlamentet og Rådet om anvendelsen af denne forordning, ledsaget, om nødvendigt, af passende lovgivningsmæssige forslag.

Artikel 98

Evaluering af EU-retsakter

1.   Senest den 30. april 2022 evaluerer Kommissionen de retsakter, der er vedtaget på grundlag af traktaterne, og som regulerer behandling af operationelle personoplysninger i Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, med henblik på at:

a)

vurdere deres overensstemmelse med direktiv (EU) 2016/680 og nærværende forordnings kapitel IX

b)

identificere eventuelle forskelle, der kan hæmme udvekslingen af operationelle personoplysninger mellem Unionens organer, kontorer og agenturer ved udførelsen af aktiviteter på disse områder og kompetente myndigheder, og

c)

identificere eventuelle forskelle, som kan skabe retlig fragmentering af databeskyttelseslovgivningen i Unionen.

2.   På grundlag af evalueringen kan Kommissionen for at sikre en ensartet og konsekvent beskyttelse af fysiske personer, hvad angår behandling, forelægge hensigtsmæssige lovgivningsmæssige forslag, navnlig med henblik på at anvende denne forordnings kapitel IX på Europol og Den Europæiske Anklagemyndighed, herunder om nødvendigt tilpasninger af denne forordnings kapitel IX.

KAPITEL XII

AFSLUTTENDE BESTEMMELSER

Artikel 99

Ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF

Forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF ophæves herved med virkning fra den 11. december 2018. Henvisninger til den ophævede forordning og den ophævede afgørelse betragtes som henvisninger til nærværende forordning.

Artikel 100

Overgangsforanstaltninger

1.   Europa-Parlamentet og Rådets afgørelse 2014/886/EU (20) og Den Europæiske Tilsynsførende for Databeskyttelses og den assisterende tilsynsførendes indeværende embedsperiode berøres ikke af denne forordning.

2.   Den assisterende tilsynsførende sidestilles med justitssekretæren for EU-Domstolen for så vidt angår fastsættelsen af vederlag, tillæg, alderspension og eventuelle andre goder end vederlag.

3.   Artikel 53, stk. 4, 5 og 7, og artikel 55 og 56 i denne forordning finder anvendelse på den nuværende assisterende tilsynsførende indtil udløbet af dennes embedsperiode.

4.   Den assisterende tilsynsførende bistår Den Europæiske Tilsynsførende for Databeskyttelse ved opfyldelsen af dennes pligter og fungerer som stedfortræder, når Den Europæiske Tilsynsførende for Databeskyttelse er fraværende eller forhindret i at deltage i disse pligter indtil udløbet af den nuværende assisterende tilsynsførendes embedsperiode.

Artikel 101

Ikrafttræden og anvendelse

1.   Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

2.   Denne forordning finder dog anvendelse på Eurojusts behandling af personoplysninger fra den 12. december 2019.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Strasbourg, den 23. oktober 2018.

På Europa-Parlamentets vegne

Formand

A. TAJANI

På Rådets vegne

Formand

K. EDTSTADLER


(1)  EUT C 288 af 31.8.2017, s. 107.

(2)  Europa-Parlamentets holdning af 13.9.2018 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 11.10.2018.

(3)  Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).

(4)  Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(5)  Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).

(6)  Rådets direktiv 93/13/EØF af 5. april 1993 om urimelige kontraktvilkår i forbrugeraftaler (EFT L 95 af 21.4.1993, s. 29).

(7)  Europa-Parlamentets og Rådets forordning (EF) nr. 1338/2008 af 16. december 2008 om fællesskabsstatistikker over folkesundhed og arbejdsmiljø (EUT L 354 af 31.12.2008, s. 70).

(8)  Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).

(9)  Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30. maj 2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter (EFT L 145 af 31.5.2001, s. 43).

(10)  EFT L 56 af 4.3.1968, s. 1.

(11)  Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

(12)  Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 af 11. marts 2009 om europæiske statistikker og om ophævelse af forordning (EF, Euratom) nr. 1101/2008 om fremsendelse af fortrolige statistiske oplysninger til De Europæiske Fællesskabers Statistiske Kontor, Rådets forordning (EF) nr. 322/97 om EF-statistikker og Rådets afgørelse 89/382/EØF, Euratom om nedsættelse af et udvalg for De Europæiske Fællesskabers statistiske program (EUT L 87 af 31.3.2009, s. 164).

(13)  Europa-Parlamentets, Rådets og Kommissionens afgørelse nr. 1247/2002/EF af 1. juli 2002 om statutten og de almindelige betingelser for udøvelse af hvervet som Europæisk Tilsynsførende for Databeskyttelse (EFT L 183 af 12.7.2002, s. 1).

(14)  EUT C 164 af 24.5.2017, s. 2.

(15)  Europa-Parlamentets og Rådets forordning (EU) 2016/794 af 11. maj 2016 om Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol) og om erstatning og ophævelse af Rådets afgørelse 2009/371/RIA, 2009/934/RIA, 2009/935/RIA, 2009/936/RIA og 2009/968/RIA (EUT L 135 af 24.5.2016, s. 53).

(16)  Rådets forordning (EU) 2017/1939 af 12. oktober 2017 om gennemførelse af et forstærket samarbejde om oprettelse af Den Europæiske Anklagemyndighed (»EPPO«) (EUT L 283 af 31.10.2017, s. 1).

(17)  Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 af 9. september 2015 om en informationsprocedure med hensyn til tekniske forskrifter samt forskrifter for informationssamfundets tjenester (EUT L 241 af 17.9.2015, s. 1).

(18)  Kommissionens direktiv 2008/63/EF af 20. juni 2008 om konkurrence på markederne for teleterminaludstyr (EUT L 162 af 21.6.2008, s. 20).

(19)  Rådets afgørelse 2009/917/RIA af 30. november 2009 om brug af informationsteknologi på toldområdet (EUT L 323 af 10.12.2009, s. 20).

(20)  Europa-Parlamentets og Rådets afgørelse 2014/886/EU af 4. december 2014 om udnævnelse af den europæiske tilsynsførende for databeskyttelse og den assisterende tilsynsførende (EUT L 351 af 9.12.2014, s. 9).


21.11.2018   

DA

Den Europæiske Unions Tidende

L 295/99


EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2018/1726

af 14. november 2018

om Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA) og om ændring af forordning (EF) nr. 1987/2006 og Rådets afgørelse 2007/533/RIA og om ophævelse af forordning (EU) nr. 1077/2011

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 74, artikel 77, stk. 2, litra a) og b), artikel 78, stk. 2, litra e), artikel 79, stk. 2, litra c), artikel 82, stk. 1, litra d), artikel 85, stk. 1, artikel 87, stk. 2, litra a), og artikel 88, stk. 2,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

efter den almindelige lovgivningsprocedure (1), og

ud fra følgende betragtninger:

(1)

Schengeninformationssystemet (SIS II) blev oprettet ved Europa-Parlamentets og Rådets forordning (EF) nr. 1987/2006 (2) og Rådets afgørelse 2007/533/RIA (3). Forordning (EF) nr. 1987/2006 og afgørelse 2007/533/RIA fastsætter, at Kommissionen i en overgangsperiode er ansvarlig for den operationelle forvaltning af SIS II's centrale system (det centrale SIS II). Efter denne overgangsperiode skal en forvaltningsmyndighed være ansvarlig for den operationelle forvaltning af det centrale SIS II og visse aspekter af kommunikationsinfrastrukturen.

(2)

Visuminformationssystemet (VIS) blev oprettet ved Rådets beslutning 2004/512/EF (4). Europa-Parlamentets og Rådets forordning (EF) nr. 767/2008 (5) fastsætter, at Kommissionen i en overgangsperiode er ansvarlig for den operationelle forvaltning af VIS. Efter denne overgangsperiode skal en forvaltningsmyndighed være ansvarlig for den operationelle forvaltning af det centrale VIS og af de nationale grænseflader og for visse aspekter af kommunikationsinfrastrukturen.

(3)

Eurodac blev oprettet ved Rådets forordning (EF) nr. 2725/2000 (6). Rådets forordning (EF) nr. 407/2002 (7) fastsætter de nødvendige gennemførelsesbestemmelser. Disse retsakter blev ophævet og erstattet af Europa-Parlamentets og Rådets forordning (EU) nr. 603/2013 (8) med virkning fra den 20. juli 2015.

(4)

Det Europæiske Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed, almindeligvis kaldet eu-LISA, blev oprettet ved Europa-Parlamentets og Rådets forordning (EU) nr. 1077/2011 (9) for at sikre den operationelle forvaltning af SIS, VIS og Eurodac og visse aspekter af deres kommunikationsinfrastruktur og potentielt kommunikationsinfrastrukturen for andre store IT-systemer inden for området med frihed sikkerhed og retfærdighed, forudsat at der blev vedtaget særskilte EU-retsakter herfor. Forordning (EU) nr. 1077/2011 blev ændret ved forordning (EU) nr. 603/2013 for at afspejle de ændringer af Eurodac, der blev foretaget.

(5)

Da det var nødvendigt for forvaltningsmyndigheden at have retlig, administrativ og finansiel autonomi, blev den oprettet som et reguleringsagentur (»agenturet«), der har status som juridisk person. Som der blev opnået enighed om, fik agenturet hjemsted i Tallinn, Estland. Da opgaverne vedrørende den tekniske udvikling og forberedelsen af den operationelle forvaltning af SIS II og VIS imidlertid allerede blev udført i Strasbourg, Frankrig, og der var installeret et backupanlæg for disse systemer i Sankt Johann im Pongau, Østrig, hvilket også er i overensstemmelse med placeringen af SIS og VIS som fastsat i de relevante EU-retsakter, bør dette fortsat være tilfældet. Disse to anlæg bør også fortsat være de steder, hvor opgaverne vedrørende den operationelle forvaltning af Eurodac udføres, og hvor der er oprettet et backupanlæg for Eurodac. Disse to anlæg bør også være de steder, hvor den tekniske udvikling og den operationelle forvaltning af andre store IT-systemer inden for området med frihed, sikkerhed og retfærdighed finder sted, og hvor der er et backupanlæg, der kan sikre driften af et stort IT-system i tilfælde af dette store IT-systems svigt. For at maksimere den mulige udnyttelse af backupanlægget kan dette anlæg også anvendes til at drive systemerne samtidigt, forudsat at det fortsat kan sikre deres drift i tilfælde af svigt i et eller flere af systemerne. Eftersom karakteren af systemerne kræver høj sikkerhed, stor tilgængelighed og er af kritisk betydning for EU-operationer, bør det, hvis de eksisterende tekniske anlægs hostingkapacitet bliver utilstrækkelig, være muligt for agenturets bestyrelse (bestyrelsen), hvis dette er begrundet på grundlag af en uafhængig konsekvensvurdering og cost-benefit-analyse, at foreslå oprettelse af endnu et separat teknisk anlæg enten i Strasbourg eller i Sankt Johann im Pongau eller begge steder, alt efter behov, til at hoste systemerne. Bestyrelsen bør høre Kommissionen og tage hensyn til Kommissionens synspunkter, inden den underretter Europa-Parlamentet og Rådet (»budgetmyndigheden«) om sin hensigt om at gennemføre et hvilket som helst projekt, der vedrører fast ejendom.

(6)

Siden agenturet begyndte at fungere den 1. december 2012, har det overtaget de opgaver, der var pålagt forvaltningsmyndigheden i forbindelse med VIS, jf. forordning (EF) nr. 767/2008 og Rådets afgørelse 2008/633/RIA (10). I april 2013 overtog agenturet også de opgaver, der var pålagt forvaltningsmyndigheden i forbindelse med SIS II, jf. forordning (EF) nr. 1987/2006 og afgørelse 2007/533/RIA, efter SIS II's idriftsættelse, og i juni 2013 overtog det de opgaver, der var pålagt Kommissionen i forbindelse med Eurodac i overensstemmelse med forordning (EF) nr. 2725/2000 og forordning (EF) nr. 407/2002.

(7)

I den første evaluering af agenturets arbejde, på grundlag af en uafhængig ekstern evaluering og udført i 2015-2016, blev det konkluderet, at agenturet på effektiv vis sikrer den operationelle forvaltning af de store IT-systemer og andre opgaver, der er pålagt det, men også at det er nødvendigt at foretage en række ændringer af forordning (EU) nr. 1077/2011 såsom overførslen af de opgaver i forbindelse med kommunikationsinfrastrukturen, som Kommissionen udfører, til agenturet. Med udgangspunkt i den eksterne evaluering tog Kommissionen hensyn til udviklingen i politik, lovgivning og faktiske forhold og foreslog, navnlig i sin rapport af 29. juni 2017 om drift af Det Europæiske Agentur for den Operationelle Forvaltning af Store IT-systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA) (evalueringsrapporten), at agenturets mandat udvides til også at omfatte de opgaver, der følger af medlovgivernes vedtagelse af lovgivningsmæssige forslag, der pålægger agenturet ansvaret for nye systemer, og de opgaver, der er omhandlet i Kommissionens meddelelse af 6. april 2016 med titlen »Stærkere og mere intelligente informationssystemer for grænser og sikkerhed«, i den endelige rapport af 11. maj 2017 fra Ekspertgruppen på Højt Niveau vedrørende Informationssystemer og Interoperabilitet og i Kommissionens meddelelse af 16. maj 2017 med titlen »Syvende statusrapport om indførelsen af en effektiv og ægte sikkerhedsunion«, forudsat at de relevante EU-retsakter vedtages, når det er nødvendigt. Agenturet bør navnlig have til opgave at udvikle løsninger vedrørende interoperabilitet, der i meddelelsen af 6. april 2016 er defineret som informationssystemers evne til at udveksle data og til at muliggøre deling af oplysninger. Når det er relevant, bør alle tiltag vedrørende interoperabilitet iværksættes i overensstemmelse med Kommissionens meddelelse af 23. marts 2017 med titlen »Den europæiske interoperabilitetsramme — strategi for gennemførelse«. Bilag 2 til denne meddelelse indeholder generelle retningslinjer, anbefalinger og bedste praksis for at sikre interoperabilitet eller i det mindste skabe et miljø, der sikrer en bedre interoperabilitet ved udformningen, gennemførelsen og forvaltningen af europæiske offentlige tjenester.

(8)

I evalueringsrapporten blev det også konkluderet, at agenturets mandat bør udvides for at give det mulighed for at yde rådgivning til medlemsstaterne vedrørende tilkoblingen af nationale systemer til de centrale systemer for de store IT-systemer, som det forvalter, (»systemerne«) og at yde ad hoc-bistand og støtte til medlemsstaterne, når der anmodes herom, samt at yde bistand og støtte til Kommissionens tjenestegrene i forbindelse med tekniske spørgsmål vedrørende nye systemer.

(9)

Agenturet bør have til opgave at forberede, udvikle og sikre den operationelle forvaltning af det ind- og udrejsesystem, der blev oprettet ved Europa-Parlamentets og Rådets forordning (EU) 2017/2226 (11).

(10)

Agenturet bør også have til opgave at forestå den operationelle forvaltning af DubliNet, en særskilt sikker kanal til elektronisk transmission, der blev oprettet i medfør af artikel 18 i Kommissionens forordning (EF) nr. 1560/2003 (12), og som medlemsstaternes kompetente asylmyndigheder bør anvende til at udveksle oplysninger om ansøgere om international beskyttelse.

(11)

Agenturet bør endvidere have til opgave at forberede, udvikle og forestå den operationelle forvaltning af det europæiske system vedrørende rejseinformation og rejsetilladelse (ETIAS), der blev oprettet ved Europa-Parlamentets og Rådets forordning (EU) 2018/1240 (13).

(12)

Agenturets hovedfunktion bør fortsat være at løse de operationelle forvaltningsopgaver for SIS II, VIS, Eurodac, ind- og udrejsesystemet, DubliNet, ETIAS og, hvis der træffes afgørelse herom, andre store IT-systemer inden for området med frihed, sikkerhed og retfærdighed. Agenturet bør også have ansvaret for de tekniske foranstaltninger, der er nødvendige som følge af de ikkenormative opgaver, der pålægges det. Disse ansvarsområder bør ikke berøre de normative opgaver, der er forbeholdt Kommissionen, alene eller med bistand fra et udvalg, i de forskellige EU-retsakter, der regulerer systemerne.

(13)

Agenturet bør kunne implementere tekniske løsninger med henblik på at opfylde de krav til tilgængelighed, der er fastsat i de EU-retsakter, der regulerer systemerne, samtidig med at de specifikke bestemmelser i disse retsakter med hensyn til de pågældende systemers tekniske arkitektur respekteres fuldt ud. Hvis disse tekniske løsninger kræver duplikering af et system eller duplikering af komponenter i et system, bør der foretages en uafhængig konsekvensvurdering og cost-benefit-analyse, og bestyrelsen bør træffe afgørelse efter høring af Kommissionen. Denne konsekvensvurdering bør også omfatte en undersøgelse af de eksisterende tekniske anlægs behov for hostingkapacitet i forbindelse med udviklingen af sådanne tekniske løsninger og de mulige risici forbundet med den nuværende operationelle opbygning.

(14)

Der er ikke længere nogen begrundelse for, at Kommissionen beholder visse opgaver i forbindelse med systemernes kommunikationsinfrastruktur, og disse opgaver bør derfor overføres til agenturet for at forbedre sammenhængen i forvaltningen af kommunikationsinfrastrukturen. Hvad angår de systemer, som anvender EuroDomain, der er en sikret kommunikationsinfrastruktur fra TESTA-ng (transeuropæiske telematiktjenester mellem administrationer — ny generation), og som blev oprettet som en del af det ISA-program, der blev indført ved Europa-Parlamentets og Rådets afgørelse nr. 922/2009/EF (14), og som fortsatte som en del af det ISA2-program, der blev indført ved Europa-Parlamentets og Rådets afgørelse (EU) 2015/2240 (15), bør Kommissionen fortsat forestå opgaverne vedrørende gennemførelsen af budgettet, anskaffelser og fornyelser samt kontraktmæssige spørgsmål.

(15)

Agenturet bør kunne overdrage opgaver vedrørende levering, opsætning, vedligeholdelse og overvågning af kommunikationsinfrastrukturen til eksterne enheder eller organer i den private sektor, jf. Europa-Parlamentets og Rådets forordning (EU, Euratom) 2018/1046 (16). Agenturet bør have tilstrækkelige budget- og personalemæssige ressourcer til sin rådighed, således at outsourcing af dets opgaver og pligter til eksterne enheder eller organer i den private sektor begrænses mest muligt.

(16)

Agenturet bør fortsat varetage opgaver vedrørende uddannelse i den tekniske anvendelse af SIS II, VIS, Eurodac og andre systemer, som det senere måtte blive pålagt.

(17)

Agenturet bør for at bidrage til evidensbaseret udformning af EU-politikker på migrations- og sikkerhedsområdet og til overvågningen af, at systemerne fungerer korrekt, indsamle og offentliggøre statistikker og udarbejde statistiske rapporter og stille dem til rådighed for relevante aktører i overensstemmelse med de EU-retsakter, der regulerer systemerne, eksempelvis for at overvåge gennemførelsen af Rådets forordning (EU) nr. 1053/2013 (17) og med henblik på at foretage risikoanalyser og sårbarhedsvurderinger i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2016/1624 (18).

(18)

Agenturet bør kunne blive gjort ansvarligt for forberedelsen, udviklingen og den operationelle forvaltning af yderligere store IT-systemer inden for rammerne af artikel 67-89 i traktaten om Den Europæiske Unions funktionsmåde (TEUF). Mulige eksempler på sådanne systemer kunne være det centrale system til bestemmelse af, hvilke medlemsstater der ligger inde med oplysninger om straffedomme afsagt over tredjelandsstatsborgere og statsløse personer for at supplere og understøtte det europæiske informationssystem vedrørende strafferegistre (ECRIS-TCN-systemet) eller IT-systemet til grænseoverskridende kommunikation i civilretlige og strafferetlige sager (e-CODEX). Ansvaret for sådanne systemer bør dog kun pålægges agenturet gennem senere separate EU-retsakter, forud for hvilke der foretages en konsekvensanalyse.

(19)

Agenturets mandat, hvad angår forskning, bør udvides, således at agenturet i højere grad kan være proaktivt i forhold til at foreslå relevante og nødvendige tekniske ændringer af systemerne. Agenturet bør ikke kun kunne overvåge forskningsaktiviteter af relevans for den operationelle forvaltning af systemerne, men også kunne bidrage til gennemførelsen af relevante dele af Den Europæiske Unions rammeprogram for forskning og innovation, hvor Kommissionen delegerer de relevante beføjelser til agenturet. Mindst en gang om året bør agenturet forelægge Europa-Parlamentet, Rådet og, når det vedrører behandling af personoplysninger, Den Europæiske Tilsynsførende for Databeskyttelse oplysninger om sådan overvågning.

(20)

Det bør være muligt for Kommissionen at pålægge agenturet ansvar for at udføre pilotprojekter af eksperimentel art, som er udformet til at afprøve, om et tiltag er gennemførligt og nyttigt, og som kan gennemføres uden en basisretsakt i overensstemmelse med forordning (EU, Euratom) 2018/1046. Derudover bør det være muligt for Kommissionen at pålægge agenturet budgetgennemførelsesopgaver i forbindelse med »proofs of concept« inden for rammerne af instrumentet for finansiel støtte til forvaltning af de ydre grænser og den fælles visumpolitik som fastsat i Europa-Parlamentets og Rådets forordning (EU) nr. 515/2014 (19) i overensstemmelse med forordning (EU, Euratom) 2018/1046 efter at have underrettet Europa-Parlamentet. Agenturet bør også kunne planlægge og gennemføre testaktiviteter udelukkende vedrørende anliggender, der er omfattet af nærværende forordning og de EU-retsakter, der regulerer udviklingen, oprettelsen, driften og brugen af systemerne, f.eks. test af virtualiseringskoncepter. Når agenturet pålægges at udføre et pilotprojekt, bør agenturet lægge særlig vægt på Den Europæiske Unions informationsstyringsstrategi.

(21)

Agenturet bør yde rådgivning til medlemsstaterne efter deres anmodning for så vidt angår tilkoblingen af nationale systemer til de centrale systemer, der er fastlagt i de EU-retsakter, som regulerer systemerne.

(22)

Agenturet bør også yde ad hoc-støtte til medlemsstaterne efter deres anmodning i henhold til den procedure, der er fastsat i denne forordning, hvis ekstraordinære udfordringer eller behov på sikkerheds- eller migrationsområdet gør dette nødvendigt. Navnlig bør en medlemsstat kunne anmode om og regne med operativ og teknisk forstærkning, hvis denne medlemsstat står over for særlige og uforholdsmæssigt store migrationsmæssige udfordringer i særlige områder ved sine ydre grænser, kendetegnet ved store indgående migrationsstrømme. En sådan forstærkning bør ydes i hotspotområder af migrationsstyringsstøttehold bestående af eksperter fra relevante EU-agenturer. Hvis der i den forbindelse er behov for støtte fra agenturet til spørgsmål i tilknytning til systemerne, bør den berørte medlemsstat sende en anmodning om støtte til Kommissionen, der efter at have vurderet, at der reelt er behov for denne støtte, straks bør videresende anmodningen om støtte til agenturet. Agenturet bør underrette bestyrelsen om sådanne anmodninger. Kommissionen bør desuden overvåge, om agenturet giver et rettidigt svar på anmodningen om ad hoc-støtte. Agenturets årlige aktivitetsrapport bør nøje redegøre for de tiltag, som agenturet har iværksat for at yde ad hoc-støtte til medlemsstater, og for de udgifter, der er afholdt i denne forbindelse.

(23)

Agenturet bør også støtte Kommissionens tjenestegrene i forbindelse med tekniske spørgsmål i tilknytning til eksisterende eller nye systemer, hvor der anmodes herom, navnlig med henblik på udarbejdelsen af nye forslag vedrørende store IT-systemer, som agenturet skal pålægges.

(24)

Det bør være muligt for en gruppe af medlemsstater at pålægge agenturet at udvikle, forvalte eller hoste en fælles IT-komponent med henblik på at bistå dem med gennemførelsen af tekniske aspekter af forpligtelser i medfør af EU-retsakter vedrørende decentraliserede IT-systemer inden for området med frihed, sikkerhed og retfærdighed. Dette bør ikke berøre disse medlemsstaters forpligtelser i medfør af gældende EU-retsakter, navnlig hvad angår disse systemers arkitektur. Dette bør kræve forudgående godkendelse af Kommissionen, være genstand for en positiv afgørelse fra bestyrelsens side, være afspejlet i en delegeringsaftale mellem de berørte medlemsstater og agenturet og være fuldt ud finansieret af de berørte medlemsstater. Agenturet bør underrette Europa-Parlamentet og Rådet om den godkendte delegeringsaftale og om eventuelle ændringer heraf. Øvrige medlemsstater bør kunne deltage i sådanne fælles IT-løsninger, forudsat at delegeringsaftalen giver mulighed herfor, og at de nødvendige ændringer af delegeringsaftalen foretages. Denne opgave bør ikke have negativ indvirkning på agenturets operationelle forvaltning af systemerne.

(25)

Det forhold, at agenturet får pålagt den operationelle forvaltning af store IT-systemer inden for området med frihed, sikkerhed og retfærdighed, bør ikke berøre de specifikke regler, som gælder for disse systemer. Navnlig de specifikke regler vedrørende formål, adgangsret, sikkerhedsforanstaltninger og yderligere databeskyttelseskrav for hvert sådant system finder fuld anvendelse.

(26)

Med henblik på effektivt at overvåge, hvordan agenturet fungerer, bør medlemsstaterne og Kommissionen være repræsenteret i bestyrelsen. Bestyrelsen bør have de nødvendige beføjelser til navnlig at vedtage det årlige arbejdsprogram, udføre sine opgaver i forbindelse med agenturets budget, at vedtage de finansielle regler, som finder anvendelse på agenturet, og at fastlægge procedurer for den administrerende direktørs beslutningstagning vedrørende agenturets operationelle opgaver. Bestyrelsen bør udføre disse opgaver på en effektiv og gennemsigtig måde. Efter at Kommissionen har gennemført en passende udvælgelsesprocedure, og efter at de foreslåede kandidater er blevet hørt i Europa-Parlamentets kompetente udvalg, bør bestyrelsen også udnævne en administrerende direktør.

(27)

Eftersom antallet af store IT-systemer, som agenturet pålægges, vil være steget markant i 2020, og agenturets opgaver bliver betydeligt større, vil der være en tilsvarende stor stigning i antallet af ansatte i agenturet frem til 2020. Der bør derfor oprettes en stilling som viceadministrerende direktør for agenturet, idet der også tages hensyn til, at opgaverne vedrørende udvikling og operationel forvaltning af systemerne vil kræve øget og målrettet overvågning, og at hovedkvarteret og agenturets tekniske anlæg er fordelt på tre medlemsstater. Bestyrelsen bør udnævne den viceadministrerende direktør.

(28)

Agenturet bør forvaltes og drives under hensyntagen til principperne i den fælles tilgang til decentrale EU-agenturer, som Europa-Parlamentet, Rådet og Kommissionen vedtog den 19. juli 2012.

(29)

Hvad angår SIS II, bør Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol) og Den Europæiske Enhed for Retligt Samarbejde (Eurojust), som begge i henhold til afgørelse 2007/533/RIA har ret til at tilgå og direkte søge i oplysninger, der er registreret i SIS II, have observatørstatus på bestyrelsens møder, når et spørgsmål vedrørende anvendelsen af nævnte afgørelse er på dagsordenen. Det Europæiske Agentur for Grænse- og Kystbevogtning, som i henhold til forordning (EU) 2016/1624 har ret til at tilgå og søge i SIS II, bør have observatørstatus på bestyrelsens møder, når et spørgsmål vedrørende anvendelsen af nævnte forordning er på dagsordenen. Europol, Eurojust og Det Europæiske Agentur for Grænse- og Kystbevogtning bør hver især kunne udpege en repræsentant til den rådgivende gruppe for SIS II, som nedsættes ved nærværende forordning.

(30)

Hvad angår VIS, bør Europol have observatørstatus på bestyrelsens møder, når et spørgsmål vedrørende anvendelsen af afgørelse 2008/633/RIA er på dagsordenen. Europol bør kunne udpege en repræsentant til den rådgivende gruppe for VIS, som nedsættes ved denne forordning.

(31)

Hvad angår Eurodac, bør Europol have observatørstatus på bestyrelsens møder, når et spørgsmål vedrørende anvendelsen af forordning (EU) nr. 603/2013 er på dagsordenen. Europol bør kunne udpege en repræsentant til den rådgivende gruppe for Eurodac, som nedsættes ved nærværende forordning.

(32)

Hvad angår ind- og udrejsesystemet, bør Europol have observatørstatus på bestyrelsens møder, når et spørgsmål vedrørende forordning (EU) 2017/2226 er på dagsordenen.

(33)

Hvad angår ETIAS, bør Europol have observatørstatus på bestyrelsens møder, når et spørgsmål vedrørende forordning (EU) 2018/1240 er på dagsordenen. Det Europæiske Agentur for Grænse- og Kystbevogtning bør også have observatørstatus på bestyrelsens møder, når et spørgsmål vedrørende ETIAS i tilknytning til anvendelsen af nævnte forordning er på dagsordenen. Europol og Det Europæiske Agentur for Grænse- og Kystbevogtning bør kunne udpege en repræsentant til Den Rådgivende Gruppe for Ind- og Udrejsesystemet og ETIAS, som nedsættes ved nærværende forordning.

(34)

Medlemsstaterne bør have stemmeret i bestyrelsen vedrørende et stort IT-system, hvis de i henhold til EU-retten er bundet af en EU-retsakt om udvikling, oprettelse, drift og brug af dette særlige system. Danmark bør også have stemmeret i forbindelse med et stort IT-system, hvis det i henhold til artikel 4 i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union (TEU) og til traktaten om Den Europæiske Unions funktionsmåde (TEUF), beslutter at gennemføre EU-retsakten om udvikling, oprettelse, drift og brug af dette særlige system i sin nationale lovgivning.

(35)

Medlemsstaterne bør udpege et medlem til den rådgivende gruppe for et stort IT-system, hvis de i henhold til EU-retten er bundet af en EU-retsakt om udvikling, oprettelse, drift og brug af dette særlige system. Danmark bør også udpege et medlem til den rådgivende gruppe for et stort IT-system, hvis det i henhold til artikel 4 i protokol nr. 22 beslutter at gennemføre EU-retsakten om udvikling, oprettelse, drift og brug af dette særlige system i sin nationale lovgivning. De rådgivende grupper bør samarbejde med hinanden, når det er nødvendigt.

(36)

For at sikre det fuld selvstændighed og uafhængighed og for at sætte det i stand til på forsvarlig vis at opfylde de mål og udføre de opgaver, det tillægges ved denne forordning, bør agenturet råde over et tilstrækkeligt og selvstændigt budget, hvor indtægterne kommer fra Unionens almindelige budget. Finansieringen af agenturet bør finde sted på grundlag af en aftale mellem Europa-Parlamentet og Rådet som omhandlet i punkt 31 i den interinstitutionelle aftale mellem Europa-Parlamentet, Rådet og Kommissionen af 2. december 2013 om budgetdisciplin, om samarbejde på budgetområdet og om forsvarlig økonomisk forvaltning (20). Unionens budget- og dechargeprocedurer bør finde anvendelse. Revisionen af regnskaberne og de underliggende transaktioners lovlighed og formelle rigtighed bør foretages af Revisionsretten.

(37)

Agenturet bør med henblik på at opfylde sin mission, og i det omfang det kræves, for at det kan udføre sine opgaver, kunne samarbejde med Unionens institutioner, -organer, kontorer og agenturer, navnlig dem, der er oprettet inden for området med frihed, sikkerhed og retfærdighed, i sager, der er omfattet af denne forordning og de EU-retsakter om udvikling, oprettelse, drift og brug af de systemer, som det forvalter inden for rammerne af samarbejdsordninger, der indgås i overensstemmelse med EU-retten og Unionens politikker og inden for rammerne af deres respektive kompetencer. Hvis det er fastsat i en EU-retsakt, bør det også være tilladt for agenturet at samarbejde med internationale organisationer og andre relevante enheder, og det bør kunne indgå samarbejdsordninger med henblik herpå. Sådanne samarbejdsordninger bør forudgående godkendes af Kommissionen og bemyndiges af bestyrelsen. Agenturet bør også konsultere og følge op på henstillingerne fra Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA), der blev oprettet ved Europa-Parlamentets og Rådets forordning (EU) nr. 526/2013 (21), vedrørende net- og informationssikkerhed, når det er relevant.

(38)

Agenturet bør, når det sikrer udviklingen og den operationelle forvaltning af de systemer, følge europæiske og internationale standarder, idet der tages hensyn til de højeste faglige krav, særlig Den Europæiske Unions informationsstyringsstrategi.

(39)

Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (22) bør finde anvendelse på agenturets behandling af personoplysninger med forbehold af bestemmelserne om databeskyttelse, som er fastsat i EU-retsakter om udvikling, oprettelse, drift og brug af systemer, som bør være i overensstemmelse med forordning (EU) 2018/1725 . For at opretholde sikkerheden og forhindre behandling i strid med forordning (EU) 2018/1725 og de EU-retsakter, der regulerer systemerne, bør agenturet vurdere de risici, som behandlingen indebærer, og gennemføre foranstaltninger, der kan imødegå disse risici, som f.eks. kryptering. Disse foranstaltninger bør under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne sikre et tilstrækkeligt sikkerhedsniveau, herunder fortrolighed, i forhold til risiciene og karakteren af de personoplysninger, der skal beskyttes. Ved vurderingen af datasikkerhedsrisikoen bør der tages hensyn til de risici, som behandling af personoplysninger indebærer, såsom hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret fremsendelse af eller adgang til personoplysninger, der er fremsendt, opbevaret eller på anden måde behandlet, og som navnlig kan føre til fysisk, materiel eller immateriel skade. Den Europæiske Tilsynsførende for Databeskyttelse bør hos agenturet kunne få adgang til alle de oplysninger, der er nødvendige for dens undersøgelser. Kommissionen hørte i overensstemmelse med Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 (23) Den Europæiske Tilsynsførende for Databeskyttelse, som afgav udtalelse den 10. oktober 2017.

(40)

For at sikre åbenhed omkring agenturets virksomhed bør Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 (24) finde anvendelse på agenturet. Agenturet bør være så åbent som muligt vedrørende sine aktiviteter uden at bringe indfrielsen af målet med sin indsats i fare. Det bør offentliggøre oplysninger om alle sine aktiviteter. Det bør endvidere sikre, at offentligheden og alle interesserede parter med det samme får oplysninger om dets arbejde.

(41)

Agenturets aktiviteter bør kunne undersøges af Den Europæiske Ombudsmand, jf. artikel 228 i TEUF.

(42)

Europa-Parlamentets og Rådets forordning (EU, Euratom) nr. 883/2013 (25) bør finde anvendelse på agenturet, som bør tiltræde den interinstitutionelle aftale af 25. maj 1999 mellem Europa-Parlamentet, Rådet for Den Europæiske Union og Kommissionen for De Europæiske Fællesskaber om de interne undersøgelser, der foretages af Det Europæiske Kontor for Bekæmpelse af Svig (OLAF) (26).

(43)

Rådets forordning (EU) 2017/1939 (27) vedrørende oprettelse af Den Europæiske Anklagemyndighed bør finde anvendelse på agenturet.

(44)

For at sikre åbne og gennemsigtige ansættelsesvilkår og ligebehandling af personalet bør vedtægten for tjenestemænd i Den Europæiske Union (»tjenestemandsvedtægten«) og ansættelsesvilkårene for de øvrige ansatte i Den Europæiske Union (»ansættelsesvilkårene for de øvrige ansatte«), jf. Rådets forordning (EØF, Euratom, EKSF) nr. 259/68 (28) (under ét benævnt »personalevedtægten«), finde anvendelse på agenturets personale (inklusive den administrerende direktør og den viceadministrerende direktør), herunder reglerne om tavshedspligt eller tilsvarende fortrolighedskrav.

(45)

Eftersom agenturet er et organ oprettet af Unionen, jf. forordning (EU, Euratom) 2018/1046, bør agenturet vedtage sine finansielle bestemmelser i overensstemmelse hermed.

(46)

Kommissionens delegerede forordning (EU) nr. 1271/2013 (29) bør finde anvendelse på agenturet.

(47)

Det agentur, der oprettes ved denne forordning, erstatter og efterfølger Det Europæiske Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed som oprettet ved forordning (EU) nr. 1077/2011. Det bør derfor være retssuccessor for Det Europæiske Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed som oprettet ved forordning (EU) nr. 1077/2011 for så vidt angår alle kontrakter, som det har indgået, alle forpligtelser, der påhviler det, og al ejendom, som det har erhvervet. Nærværende forordning bør ikke berøre retskraften af aftaler, samarbejdsordninger og aftalememoranda indgået af agenturet som oprettet ved forordning (EU) nr. 1077/2011 med forbehold af enhver ændring heraf, som er nødvendig på grund af nærværende forordning.

(48)

For at agenturet bedst muligt kan fortsætte varetagelsen af de opgaver, som henhører under Det Europæiske Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed som oprettet ved forordning (EU) nr. 1077/2011, bør der fastsættes overgangsforanstaltninger, navnlig med hensyn til bestyrelsen, de rådgivende grupper, den administrerende direktør og de interne regler vedtaget af bestyrelsen.

(49)

Denne forordning har til formål at ændre og udvide bestemmelserne i forordning (EU) nr. 1077/2011. Da de ændringer, der skal foretages ved nærværende forordning, er væsentlige både med hensyn til antal og art, bør forordning (EU) nr. 1077/2011 af klarhedshensyn erstattes i sin helhed for de medlemsstater, der er bundet af nærværende forordning. Det agentur, der oprettes ved nærværende forordning, bør træde i stedet for og overtage opgaverne fra det agentur, der er oprettet ved forordning (EU) nr. 1077/2011, og som konsekvens heraf bør nævnte forordning ophæves.

(50)

Målene for denne forordning, nemlig oprettelsen af et agentur på EU-plan, der er ansvarligt for den operationelle forvaltning og eventuelt udviklingen af store IT-systemer inden for området med frihed, sikkerhed og retfærdighed, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af handlingens omfang og virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i TEU. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå disse mål.

(51)

I medfør af artikel 1 og 2 i protokol nr. 22 deltager Danmark ikke i vedtagelsen af denne forordning, som ikke er bindende for og ikke finder anvendelse i Danmark. Inden seks måneder efter, at Rådet har truffet foranstaltning om denne forordningen, der i det omfang, den vedrører SIS II og VIS, ind- og udrejsesystemet og ETIAS, udbygger Schengenreglerne, træffer Danmark afgørelse om, hvorvidt det vil gennemføre denne forordning i sin nationale lovgivning, jf. artikel 4 i protokollen. I medfør af artikel 3 i aftalen mellem Det Europæiske Fællesskab og Kongeriget Danmark om fastsættelse af kriterier og procedurer til afgørelse af, hvilken medlemsstat der er ansvarlig for behandlingen af en asylansøgning, der er indgivet i Danmark eller en anden EU-medlemsstat, og om »Eurodac« til sammenligning af fingeraftryk med henblik på en effektiv anvendelse af Dublinkonventionen (30) skal Danmark meddele Kommissionen, om det vil gennemføre indholdet i denne forordning, i det omfang det vedrører Eurodac og DubliNet.

(52)

For så vidt dens bestemmelser vedrører SIS II som reguleret ved afgørelse 2007/533/RIA, deltager Det Forenede Kongerige i denne forordning i overensstemmelse med artikel 5, stk. 1, i protokol nr. 19 om Schengenreglerne som integreret i Den Europæiske Union, der er knyttet som bilag til TEU og til TEUF, og artikel 8, stk. 2, i Rådets afgørelse 2000/365/EF (31). For så vidt dens bestemmelser vedrører SIS II som reguleret ved forordning (EF) nr. 1987/2006 og VIS, ind- og udrejsesystemet og ETIAS, udgør nærværende forordning en udvikling af de bestemmelser i Schengenreglerne, som Det Forenede Kongerige ikke deltager i, jf. afgørelse 2000/365/EF; Det Forenede Kongerige anmodede ved skrivelse af 19. juli 2018 formanden for Rådet om tilladelse til at deltage i nærværende forordning, jf. artikel 4 i protokol nr. 19. I medfør af artikel 1 i Rådets afgørelse (EU) 2018/1600 (32) har Det Forenede Kongerige fået tilladelse til at deltage i nærværende forordning. For så vidt dens bestemmelser vedrører Eurodac og DubliNet, har Det Forenede Kongerige i medfør af artikel 3 i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling, for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til TEU og til TEUF, endvidere ved skrivelse af 23. oktober 2017 meddelt formanden for Rådet, at det ønsker at deltage i vedtagelsen og anvendelsen af nærværende forordning. Det Forenede Kongerige deltager derfor i vedtagelsen af nærværende forordning, som er bindende for og finder anvendelse i Det Forenede Kongerige.

(53)

For så vidt dens bestemmelser vedrører SIS II som reguleret ved afgørelse 2007/533/RIA, kunne Irland i princippet deltage i denne forordning i overensstemmelse med artikel 5, stk. 1, i protokol nr. 19 og artikel 6, stk. 2, i Rådets afgørelse 2002/192/EF (33). For så vidt dens bestemmelser vedrører SIS II som reguleret ved forordning (EF) nr. 1987/2006 og VIS, ind- og udrejsesystemet og ETIAS, udgør nærværende forordning en udvikling af de bestemmelser i Schengenreglerne, som Irland ikke deltager i, jf. afgørelse 2002/192/EF; Irland har ikke anmodet om at deltage i vedtagelsen af nærværende forordning, jf. artikel 4 i protokol nr. 19. Irland deltager derfor ikke i vedtagelsen af nærværende forordning, som ikke er bindende for og ikke finder anvendelse i Irland, i det omfang dens foranstaltninger udvikler bestemmelser i Schengenreglerne, som vedrører SIS II, jf. forordning (EF) nr. 1987/2006, VIS, ind- og udrejsesystemet og ETIAS. For så vidt dens bestemmelser vedrører Eurodac og DubliNet, deltager Irland i medfør af artikel 1 og 2 og artikel 4a, stk. 1, i protokol nr. 21, endvidere ikke i vedtagelsen af nærværende forordning, som ikke er bindende for og ikke finder anvendelse i Irland. Eftersom det under disse omstændigheder ikke er muligt at sikre, at nærværende forordning finder anvendelse i Irland i alle enkeltheder som fastsat i artikel 288 i TEUF, deltager Irland ikke i vedtagelsen af nærværende forordning, som ikke er bindende for og ikke finder anvendelse i Irland, jf. dog Irlands rettigheder i medfør af protokol nr. 19 og 21.

(54)

For så vidt angår Island og Norge udgør denne forordning, i det omfang den vedrører SIS II og VIS, ind- og udrejsesystemet og ETIAS, en udvikling af de bestemmelser i Schengenreglerne, jf. aftalen indgået mellem Rådet for Den Europæiske Union og Republikken Island og Kongeriget Norge om disse to staters associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (34), der henhører under det område, der er nævnt i artikel 1, litra A, B og G, i Rådets afgørelse 1999/437/EF (35). For så vidt angår Eurodac og DubliNet, udgør denne forordning en ny foranstaltning, jf. aftalen mellem Det Europæiske Fællesskab og Republikken Island og Kongeriget Norge om kriterier og mekanismer til fastsættelse af, hvilken stat der er ansvarlig for behandlingen af en asylansøgning indgivet i en medlemsstat eller i Island eller Norge (36). Hvis Republikken Island og Kongeriget Norge beslutter at gennemføre denne forordning i deres interne retsorden, bør delegationer fra Republikken Island og Kongeriget Norge derfor deltage i arbejdet i agenturets bestyrelse. Der bør indgås endnu en ordning mellem Unionen og Republikken Island og Kongeriget Norge for at fastsætte de nærmere bestemmelser for de nævnte staters deltagelse i agenturets virksomhed.

(55)

For så vidt angår Schweiz, udgør denne forordning, i det omfang den vedrører SIS II og VIS, ind- og udrejsesystemet og ETIAS, en udvikling af de bestemmelser i Schengenreglerne, jf. aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (37), der henhører under det område, der er nævnt i artikel 1, litra A, B og G, i afgørelse 1999/437/EF sammenholdt med artikel 3 i Rådets afgørelse 2008/146/EF (38). For så vidt angår Eurodac og DubliNet, udgør denne forordning en ny foranstaltning, jf. aftalen mellem Det Europæiske Fællesskab og Det Schweiziske Forbund om kriterier og procedurer til afgørelse af, hvilken stat der er ansvarlig for behandlingen af en asylansøgning, der er indgivet i en medlemsstat eller i Schweiz (39). Hvis Det Schweiziske Forbund beslutter at gennemføre denne forordning i sin interne retsorden, bør Det Schweiziske Forbunds delegation derfor deltage i arbejdet i agenturets bestyrelse. Der bør indgås endnu en ordning mellem Unionen og Det Schweiziske Forbund for at fastsætte de nærmere bestemmelser for Det Schweiziske Forbunds deltagelse i agenturets virksomhed.

(56)

For så vidt angår Liechtenstein, udgør denne forordning, i det omfang den vedrører SIS II og VIS, ind- og udrejsesystemet og ETIAS, en udvikling af de bestemmelser i Schengenreglerne, jf. protokollen mellem Den Europæiske Union, Det Europæiske Fællesskab, Det Schweiziske Forbund og Fyrstendømmet Liechtenstein om Fyrstendømmet Liechtensteins tiltrædelse af aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (40), der henhører under det område, der er nævnt i artikel 1, litra A, B og G, i afgørelse 1999/437/EF sammenholdt med artikel 3 i Rådets afgørelse 2011/350/EU (41).

For så vidt angår Eurodac og DubliNet, udgør denne forordning en ny foranstaltning, jf. protokollen mellem Det Europæiske Fællesskab, Det Schweiziske Forbund og Fyrstendømmet Liechtenstein om Fyrstendømmet Liechtensteins tiltrædelse af aftalen mellem Det Europæiske Fællesskab og Det Schweiziske Forbund om kriterier og mekanismer for fastsættelse af, hvilken stat der er ansvarlig for behandlingen af en asylansøgning indgivet i en medlemsstat eller i Schweiz (42). Hvis Fyrstendømmet Liechtenstein beslutter at gennemføre denne forordning i sin interne retsorden, bør Fyrstendømmet Liechtensteins delegation derfor deltage i arbejdet i agenturets bestyrelse. Der bør indgås endnu en ordning mellem Unionen og Fyrstendømmet Liechtenstein for at fastsætte de nærmere bestemmelser for Fyrstendømmet Liechtensteins deltagelse i agenturets virksomhed —

VEDTAGET DENNE FORORDNING:

KAPITEL I

GENSTAND OG MÅL

Artikel 1

Genstand

1.   Et EU-agentur for den operationelle forvaltning af store IT-systemer inden for området med frihed, sikkerhed og retfærdighed (agenturet) oprettes herved.

2.   Det agentur, der oprettes ved denne forordning, erstatter og efterfølger Det Europæiske Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed, som blev oprettet ved forordning (EU) nr. 1077/2011.

3.   Agenturet er ansvarligt for den operationelle forvaltning af Schengeninformationssystemet (SIS II), visuminformationssystemet (VIS) og Eurodac.

4.   Agenturet er ansvarligt for forberedelsen, udviklingen eller den operationelle forvaltning af ind- og udrejsesystemet, DubliNet og det europæiske system vedrørende rejseinformation og rejsetilladelse (ETIAS).

5.   Agenturet kan også blive gjort ansvarligt for forberedelsen, udviklingen eller den operationelle forvaltning af andre store IT-systemer end dem, der er nævnt i denne artikels stk. 3 og 4, herunder eksisterende systemer, inden for området med frihed, sikkerhed og retfærdighed, dog kun på grundlag af de relevante EU-retsakter, der regulerer disse systemer, på grundlag af artikel 67-89 i TEUF, under behørig hensyntagen til udviklingen inden for forskningen, jf. denne forordnings artikel 14, og resultaterne af pilotprojekterne og »proofs of concept«, jf. denne forordnings artikel 15.

6.   Den operationelle forvaltning omfatter alle de opgaver, der er nødvendige for, at store IT-systemer kan fungere i overensstemmelse med de specifikke bestemmelser, der gælder for hvert enkelt af dem, herunder ansvaret for den kommunikationsinfrastruktur, der anvendes af dem. Disse store IT-systemer må ikke udveksle data eller muliggøre udveksling af information eller viden, medmindre det er bestemt i en specifik EU-retsakt.

7.   Agenturet er også ansvarligt for følgende opgaver:

a)

at sikre datakvalitet i overensstemmelse med artikel 12

b)

at udvikle de nødvendige tiltag for at muliggøre interoperabilitet i overensstemmelse med artikel 13

c)

at udføre forskningsaktiviteter i overensstemmelse med artikel 14

d)

at udføre pilotprojekter, »proofs of concept« og testaktiviteter i overensstemmelse med artikel 15, og

e)

at yde støtte til medlemsstaterne og Kommissionen i overensstemmelse med artikel 16.

Artikel 2

Mål

Uden at dette berører Kommissionens og medlemsstaternes respektive ansvarsområder i henhold til de EU-retsakter, der regulerer store IT-systemer, sikrer agenturet:

a)

udviklingen af store IT-systemer ved brug af en passende projektstyringsstruktur til effektiv udvikling af sådanne systemer

b)

den effektive, sikre og løbende drift af store IT-systemer

c)

den effektive og økonomisk ansvarlige forvaltning af store IT-systemer

d)

et passende højt serviceniveau for brugerne af store IT-systemer

e)

kontinuitet og uafbrudt service

f)

et højt databeskyttelsesniveau i overensstemmelse med EU-databeskyttelsesretten, herunder specifikke bestemmelser for hvert stort IT-system

g)

et passende niveau af databeskyttelse og fysisk sikkerhed i overensstemmelse med de gældende regler, herunder specifikke bestemmelser for hvert stort IT-system.

KAPITEL II

AGENTURETS OPGAVER

Artikel 3

Opgaver vedrørende SIS II

I forbindelse med SIS II udfører agenturet:

a)

de opgaver, der er pålagt forvaltningsmyndigheden ved forordning (EF) nr. 1987/2006 og afgørelse 2007/533/RIA, og

b)

opgaver vedrørende uddannelse i den tekniske anvendelse af SIS II, navnlig for SIRENE-personale (SIRENE — Supplementary Information Request at the National Entries), og uddannelse af eksperter i de tekniske aspekter af SIS II inden for rammerne af Schengenevalueringer.

Artikel 4

Opgaver vedrørende VIS

I forbindelse med VIS udfører agenturet:

a)

de opgaver, der er pålagt forvaltningsmyndigheden ved forordning (EF) nr. 767/2008 og afgørelse 2008/633/RIA, og

b)

opgaver vedrørende uddannelse i den tekniske anvendelse af VIS og uddannelse af eksperter i de tekniske aspekter af VIS inden for rammerne af Schengenevalueringer.

Artikel 5

Opgaver vedrørende Eurodac

I forbindelse med Eurodac udfører agenturet:

a)

de opgaver, som det er pålagt ved forordning (EU) nr. 603/2013, og

b)

opgaver vedrørende uddannelse i den tekniske anvendelse af Eurodac.

Artikel 6

Opgaver vedrørende ind- og udrejsesystemet

I forbindelse med ind- og udrejsesystemet udfører agenturet:

a)

de opgaver, som det er pålagt ved forordning (EU) 2017/2226, og

b)

opgaver vedrørende uddannelse i den tekniske anvendelse af ind- og udrejsesystemet og uddannelse af eksperter i de tekniske aspekter af ind- og udrejsesystemet inden for rammerne af Schengenevalueringer.

Artikel 7

Opgaver vedrørende ETIAS

I forbindelse med ETIAS udfører agenturet:

a)

de opgaver, som det er pålagt ved forordning (EU) 2018/1240, og

b)

opgaver vedrørende uddannelse i den tekniske anvendelse af ETIAS og uddannelse af eksperter i de tekniske aspekter af ETIAS inden for rammerne af Schengenevalueringer.

Artikel 8

Opgaver vedrørende DubliNet

I forbindelse med DubliNet udfører agenturet:

a)

den operationelle forvaltning af DubliNet, en særskilt sikker kanal til elektronisk transmission mellem medlemsstaternes myndigheder, der er oprettet i henhold til artikel 18 forordning (EF) nr. 1560/2003, til de formål, der er fastsat i artikel 31, 32 og 34 i Europa-Parlamentets og Rådets forordning (EU) nr. 604/2013 (43), og

b)

opgaver vedrørende uddannelse i den tekniske anvendelse af DubliNet.

Artikel 9

Opgaver vedrørende forberedelse, udvikling og operationel forvaltning af andre store IT-systemer

Hvis agenturet pålægges forberedelsen, udviklingen og den operationelle forvaltning af andre store IT-systemer som omhandlet i artikel 1, stk. 5, udfører det i givet fald de opgaver, der er pålagt det i henhold til den EU-retsakt, der regulerer det relevante system, og, hvis det er relevant, opgaverne vedrørende uddannelse i den tekniske anvendelse af disse systemer.

Artikel 10

Tekniske løsninger, der kræver specifikke betingelser inden gennemførelsen

Hvis de EU-retsakter, der regulerer systemerne, pålægger agenturet at holde disse systemer i gang i døgndrift alle ugens syv dage, skal agenturet, uden at det berører disse EU-retsakter, implementere tekniske løsninger til opfyldelse af disse krav. Hvis disse tekniske løsninger kræver duplikering af et system eller af komponenter i et system, gennemføres de først, hvor en uafhængig konsekvensvurdering og cost-benefit-analyse, der skal bestilles af agenturet, er blevet udført, og efter høring af Kommissionen og en positiv afgørelse truffet af bestyrelsen. Konsekvensvurderingen skal også omfatte en undersøgelse af aktuelle og fremtidige behov hvad angår de eksisterende tekniske anlægs hostingkapacitet i forbindelse med udviklingen af sådanne tekniske løsninger og de mulige risici forbundet med den nuværende operationelle opbygning.

Artikel 11

Opgaver vedrørende kommunikationsinfrastrukturen

1.   Agenturet udfører alle de opgaver vedrørende systemernes kommunikationsinfrastruktur, som det er pålagt ved de EU-retsakter, der regulerer systemerne, med undtagelse af de systemer, der gør brug af EuroDomain til deres kommunikationsinfrastruktur. For de systemer, der gør sådan brug af EuroDomain, er Kommissionen ansvarlig for gennemførelsen af budgettet, anskaffelser og fornyelser samt kontraktmæssige spørgsmål. I overensstemmelse med de EU-retsakter, der regulerer de systemer, der anvender EuroDomain, skal opgaverne vedrørende kommunikationsinfrastrukturen, herunder operationel forvaltning og sikkerhed, deles mellem agenturet og Kommissionen. For at sikre sammenhæng i udøvelsen af deres respektive ansvarsområder indgår agenturet og Kommissionen operationelle samarbejdsordninger, som udtrykkes i et aftalememorandum.

2.   Kommunikationsinfrastrukturen skal styres og kontrolleres på hensigtsmæssig vis med henblik på at beskytte den mod trusler og garantere dens sikkerhed og sikkerheden for systemerne, herunder de oplysninger, der udveksles gennem kommunikationsinfrastrukturen.

3.   Agenturet vedtager passende foranstaltninger, herunder sikkerhedsplaner, bl.a. med henblik på at forhindre uautoriseret læsning, kopiering, ændring eller sletning af personoplysninger under overførsler af disse eller under transport af databærere, navnlig ved hjælp af passende krypteringsteknikker. Alle systemrelaterede operationelle oplysninger, der cirkulerer i kommunikationsinfrastrukturen, skal krypteres.

4.   Opgaver vedrørende levering, opsætning, vedligeholdelse og overvågning af kommunikationsinfrastrukturen kan overdrages til eksterne enheder eller organer i den private sektor i overensstemmelse med forordning (EU, Euratom) 2018/1046. Sådanne opgaver udføres på agenturets ansvar og under dets omhyggelige tilsyn.

Ved udførelsen af de i første afsnit omhandlede opgaver er alle eksterne enheder eller organer i den private sektor, herunder netudbydere, omfattet af de i stk. 3 omhandlede sikkerhedsforanstaltninger og må ikke på nogen måde have adgang til operationelle data, der er lagret i systemerne eller overføres via kommunikationsinfrastrukturen eller til den til SIS II knyttede SIRENE-informationsudveksling.

5.   Forvaltningen af krypteringsnøgler henhører under agenturets kompetence og kan ikke udliciteres til eksterne enheder i den private sektor. Dette berører ikke de gældende kontrakter vedrørende kommunikationsinfrastrukturerne i SIS II, VIS og Eurodac.

Artikel 12

Datakvalitet

Uden at det berører medlemsstaternes ansvar med hensyn til data, der registreres i systemerne, arbejder agenturet under tæt inddragelse af sine rådgivende grupper sammen med Kommissionen om at indføre mekanismer for automatisk datakvalitetskontrol og fælles datakvalitetsindikatorer for alle disse systemer og om at udvikle et centralt register, som udelukkende indeholder anonymiserede data, for rapportering og statistikker, forudsat at der fastsættes specifikke bestemmelser i EU-retsakterne om udvikling, oprettelse, drift og anvendelse af systemerne.

Artikel 13

Interoperabilitet

Hvis interoperabilitet mellem store IT-systemer er blevet fastsat i en relevant EU-retsakt, iværksætter agenturet de nødvendige tiltag for at muliggøre denne interoperabilitet.

Artikel 14

Overvågning af forskning

1.   Agenturet overvåger udviklingen i den forskning, der er relevant for den operationelle forvaltning af SIS II, VIS, Eurodac, ind- og udrejsesystemet, ETIAS, DubliNet og andre store IT-systemer som omhandlet i artikel 1, stk. 5.

2.   Agenturet kan bidrage til gennemførelsen af de dele af Den Europæiske Unions rammeprogram for forskning og innovation, der vedrører store IT-systemer inden for området med frihed, sikkerhed og retfærdighed. Med henblik herpå, og hvis Kommissionen har tillagt agenturet de relevante beføjelser hertil, har agenturet til opgave at:

a)

forvalte nogle faser af programgennemførelsen og nogle faser af specifikke projekters forløb på grundlag af de relevante arbejdsprogrammer, som Kommissionen har vedtaget

b)

vedtage instrumenterne for gennemførelse af budgettet og for indtægter og udgifter og træffe alle dispositioner, der er nødvendige for programforvaltningen, og

c)

bistå ved programgennemførelsen.

3.   Agenturet holder løbende o