(1)

Det indre marked er en af Unionens mest håndgribelige bedrifter. Ved at gøre det muligt for personer, varer, tjenesteydelser og kapital at bevæge sig frit åbner det nye muligheder for borgerne og virksomhederne. Denne forordning er et nøgleelement i strategien for det indre marked, der blev fastlagt i Kommissionens meddelelse af 28. oktober 2015 med titlen »Opgradering af det indre marked: flere muligheder for borgerne og virksomhederne«. Denne strategi har som formål at frigøre det indre markeds fulde potentiale ved at gøre det lettere for borgerne og virksomhederne at bevæge sig i Unionen og at handle, etablere sig og udvide deres virksomhed på tværs af grænserne.

(2)

Kommissionens meddelelse af 6. maj 2015 med titlen »En strategi for et digitalt indre marked i EU« anerkendte den rolle, som internettet og de digitale teknologier spiller i at ændre vores tilværelse, ændre den måde borgere og virksomheder skaffer sig adgang til oplysninger, tilegner sig viden, køber varer og tjenesteydelser, deltager i markedet og arbejder på, og derved fremmer muligheder for innovation, vækst og beskæftigelse. Denne meddelelse og flere beslutninger, som er vedtaget af Europa-Parlamentet, anerkendte, at borgernes og virksomhedernes behov i deres eget land og på tværs af grænserne bedre kan nås ved at udvide og integrere de eksisterende portaler, websteder, net, tjenester og systemer på europæisk niveau og ved at knytte dem sammen med forskellige nationale løsninger og derved skabe en »fælles digital portal«, der fungerer som et enkelt europæisk kontaktpunkt (»portalen«). Kommissionens meddelelse af 19. april 2016 med titlen »EU-handlingsplan for e-forvaltning 2016-2020 — Fremskyndelse af forvaltningernes digitale omstilling« nævnte portalen som et af tiltagene heri for 2017. Kommissionens rapport af 24. januar 2017 med titlen »Styrkelse af borgernes rettigheder i en Union med demokratiske forandringer — 2017-rapport om unionsborgerskab« anså portalen for at være en prioritet for rettighederne inden for unionsborgerskabet.

(3)

Europa-Parlamentet og Rådet har gentagne gange opfordret til en mere omfattende og mere brugervenlig pakke af oplysninger og bistand for at hjælpe borgere og virksomheder med at navigere på det indre marked og for at styrke og strømline redskaberne vedrørende det indre marked med henblik på bedre at opfylde borgernes og virksomhedernes behov i forbindelse med deres grænseoverskridende aktiviteter.

(4)

Denne forordning er et svar på disse opfordringer ved at tilbyde borgerne og virksomhederne adgang til de oplysninger, de procedurer og de bistands- og problemløsningstjenester, som er nødvendige, for at de kan udøve deres rettigheder på det indre marked. Portalen vil kunne bidrage til større gennemsigtighed af regler og bestemmelser vedrørende forskellige forretningsmæssige begivenheder og begivenheder i livet på områder som f.eks. rejser, pension, uddannelse, beskæftigelse, sundhedspleje, forbrugerrettigheder og familierettigheder. Den vil desuden kunne bidrage til at styrke forbrugernes tillid, adressere manglen på viden om forbrugerbeskyttelsen og det indre markeds regler og nedbringe virksomhedernes omkostninger til overholdelse af reglerne. Ved denne forordning oprettes en brugervenlig, interaktiv portal, som baseret på brugernes behov bør vejlede dem til de relevante tjenester. I den forbindelse bør Kommissionen og medlemsstaterne spille en vigtig rolle for at nå disse mål.

(5)

Portalen bør lette samspillet mellem borgere og virksomheder på den ene side og kompetente myndigheder på den anden side ved at give adgang til onlineløsninger, som gør borgernes og virksomhedernes daglige aktiviteter lettere og minimerer hindringerne i det indre marked. Tilstedeværelsen af en fælles digital portal, som giver adgang til nøjagtige og opdaterede oplysninger, adgang til onlineprocedurer og bistands- og problemløsningstjenester, kunne bidrage til at øge brugernes kendskab til de forskellige eksisterende onlinetjenester og spare brugerne for tid og penge.

(6)

Denne forordning har tre formål, nemlig at begrænse eventuelle yderligere administrative byrder for borgere og virksomheder, der udøver eller ønsker at udøve deres rettigheder på det indre marked, herunder den frie bevægelighed for borgere, i fuld overensstemmelse med nationale regler og procedurer, at afskaffe forskelsbehandling og at sikre, at det indre marked fungerer med hensyn til leveringen af oplysninger, af procedurer og af bistands- og problemløsningstjenester. Eftersom den omfatter fri bevægelighed for borgere, hvilket ikke blot kan betragtes som sekundært, bør denne forordning bygge på artikel 21, stk. 2, og artikel 114, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde (TEUF).

(7)

For at EU-borgere og -virksomheder kan udnytte deres ret til fri bevægelighed inden for det indre marked, bør Unionen vedtage specifikke, ikkediskriminerende foranstaltninger, der gør det muligt for borgerne og virksomhederne at få let adgang til tilstrækkeligt omfattende og pålidelige oplysninger om deres rettigheder i henhold til EU-retten og til oplysninger om de gældende nationale regler og procedurer, som de skal følge, når de flytter til, bor eller studerer, eller når de opretter eller driver virksomhed, i en anden medlemsstat end deres egen. Oplysninger bør anses som tilstrækkeligt omfattende, hvis de omfatter alle de oplysninger, der er nødvendige for at sikre, at brugerne forstår, hvilke rettigheder og forpligtelser de har, og identificerer de regler, der finder anvendelse på de aktiviteter, som de ønsker at gennemføre som grænseoverskridende brugere. Oplysningerne bør gives i en klar, kortfattet og forståelig form, være operationelle og godt tilpasset til den brugergruppe, de er henvendt til. Oplysninger om procedurer bør omfatte alle proceduremæssige skridt, som kan forudses, og som er relevante for brugeren. Det er vigtigt for borgere og virksomheder, der står over for komplekse reguleringsmæssige rammer, f.eks. virksomheder inden for e-handel og den kollaborative økonomi, at de let kan finde de gældende regler, og hvordan de finder anvendelse på deres aktiviteter. Let og brugervenlig adgang til oplysninger betyder, at brugeren sættes i stand til nemt at finde oplysningerne, nemt at afgøre, hvilke dele af oplysningerne der er relevante for deres særlige situation, og nemt at forstå de relevante oplysninger. De oplysninger, der skal gives på nationalt plan, bør ikke kun vedrøre nationale regler til gennemførelse af EU-retten, men også eventuelle andre nationale regler, som finder anvendelse på både grænseoverskridende og ikkegrænseoverskridende brugere.

(8)

Regler om leveringen af oplysninger i denne forordning bør ikke finde anvendelse på nationale retssystemer, eftersom oplysninger på dette område af relevans for grænseoverskridende brugere allerede er medtaget i e-justiceportalen. I visse situationer, der er omfattet af denne forordning, bør domstole anses for at være kompetente myndigheder, f.eks. når domstole forvalter selskabsregistre. Derudover bør princippet om ikkeforskelsbehandling også finde anvendelse på onlineprocedurer, der giver adgang til retssager.

(9)

Det er klart, at borgere og virksomheder fra andre medlemsstater kan være ugunstigt stillet på grund af deres manglende kendskab til de nationale regler og administrative systemer, de forskellige anvendte sprog og deres manglende geografiske nærhed til de kompetente myndigheder i en anden medlemsstat end deres egen. Den mest effektive metode til at mindske de deraf følgende hindringer på det indre marked er at muliggøre, at grænseoverskridende og ikkegrænseoverskridende brugere kan få adgang til oplysninger online på et sprog, som de kan forstå, for at sætte dem i stand til at gennemføre procedurer for overholdelse af nationale regler fuldt ud online og at tilbyde dem bistand, hvis reglerne og procedurerne ikke er klare nok, eller hvis de støder på hindringer for udøvelsen af deres rettigheder.

(10)

En række EU-retsakter har tilsigtet at finde løsninger ved at oprette sektorspecifikke enkelte kontaktpunkter, herunder de kvikskranker, som er oprettet ved Europa-Parlamentets og Rådets direktiv 2006/123/EF (3), som giver onlineinformation, bistand og adgang til procedurer, der er relevante for udførelse af tjenesteydelser, produktkontaktpunkter, der er oprettet ved Europa-Parlamentets og Rådets forordning (EF) nr. 764/2008 (4) og produktkontaktpunkter for byggeriet, der er oprettet ved Europa-Parlamentets og Rådets forordning (EU) nr. 305/2011 (5), som giver adgang til produktspecifikke tekniske forskrifter, og nationale støttecentre for erhvervsmæssige kvalifikationer, der er oprettet ved Europa-Parlamentets og Rådets direktiv 2005/36/EF (6), som bistår erhvervsudøvere, der flytter til et andet land. Derudover er der oprettet net, såsom Det Europæiske Netværk af Forbrugercentre, med henblik på at fremme forståelse af forbrugernes rettigheder og for at bistå med at løse klager over køb foretaget i andre medlemsstater inden for netværket, når der rejses eller indkøbes online. Endvidere forsøger Solvit som omhandlet i Kommissionens henstilling 2013/461/EU (7) at finde hurtige, effektive og uformelle løsninger til enkeltpersoner og virksomheder, når deres rettigheder inden for det indre marked nægtes af offentlige myndigheder. Endelig blev en række informationsportaler såsom Dit Europa vedrørende det indre marked og e-justiceportalen vedrørende området med retfærdighed oprettet for at informere brugerne om EU-regler og nationale regler.

(11)

Som følge af den sektorspecifikke karakter af disse EU-retsakter er den nuværende tilrådighedsstillelse af onlineinformation og af bistands- og problemløsningstjenester sammen med onlineprocedurer for borgere og virksomheder fortsat meget fragmenteret. Der er forskelle i tilgængeligheden af onlineinformation og -procedurer, og der er mangel på kvalitet med hensyn til tjenesterne og manglende kendskab til de pågældende oplysninger og bistands- og problemløsningstjenester. Grænseoverskridende brugere oplever også problemer med at finde og få adgang til disse tjenester.

(12)

Der bør ved denne forordning oprettes en fælles digital portal, der fungerer som et enkelt kontaktpunkt, hvor borgerne og virksomhederne kan få adgang til oplysninger om, hvilke regler og krav de skal opfylde i medfør af EU-retten eller national ret. Portalen bør forenkle borgernes og virksomhedernes kontakt med de bistands- og problemløsningstjenester, der er oprettet på EU-plan eller nationalt plan, og gøre denne kontakt mere effektiv. Portalen bør også lette adgangen til og gennemførelsen af onlineprocedurer. Denne forordning bør ikke på nogen måde berøre de gældende rettigheder og forpligtelser i henhold til EU-retten eller national ret inden for disse politikområder. I forbindelse med de procedurer, der er opført i bilag II til denne forordning, og de procedurer, der er fastsat i direktiv 2005/36/EF og 2006/123/EF og i Europa-Parlamentets og Rådets direktiv 2014/24/EU (8) og 2014/25/EU (9), bør denne forordning støtte anvendelsen af engangsprincippet og fuldt ud respektere den grundlæggende ret til beskyttelse af personoplysninger for så vidt angår udveksling af dokumentation mellem kompetente myndigheder i forskellige medlemsstater.

(13)

Portalen og dens indhold bør være brugercentreret og brugervenlig. Portalen bør sigte mod at undgå overlap og bør indeholde links til eksisterende tjenester. Den bør gøre det muligt for borgerne og virksomhederne at kommunikere med offentlige organer på nationalt plan eller EU-plan ved at give dem mulighed for at give feedback om både de tjenester, der tilbydes via portalen, og det indre markeds funktion, sådan som de oplever den. Feedbackredskabet bør gøre det muligt for brugerne at påpege på en måde, som gør det muligt for brugerne at forblive anonyme, oplevede problemer, mangler og behov med henblik på at fremme den løbende forbedring af kvaliteten af tjenesterne.

(14)

Om portalen bliver vellykket, vil afhænge af Kommissionens og medlemsstaternes fælles indsats. Portalen bør omfatte en fælles brugergrænseflade, der er integreret i den eksisterende Dit Europa-portal, og som skal forvaltes af Kommissionen. Den fælles brugergrænseflade bør indeholde links til oplysninger, til procedurer og til bistands- eller problemløsningstjenester, der er tilgængelige på portaler, som forvaltes af kompetente myndigheder i medlemsstaterne og af Kommissionen. For at lette anvendelsen af portalen bør den fælles brugergrænseflade være tilgængelig på alle de officielle sprog for Unionens institutioner (»Unionens officielle sprog«). Den eksisterende Dit Europa-portal og dens primære adgangsside, som er tilpasset kravene på portalen, bør bevare denne flersprogede tilgang til de oplysninger, som gives. Portalens funktion bør understøttes af tekniske redskaber, der udvikles af Kommissionen i tæt samarbejde med medlemsstaterne.

(15)

I chartret for elektroniske kvikskranker i henhold til direktiv 2006/123/EF, som Rådet godkendte i 2013, giver medlemsstaterne frivilligt tilsagn om at anlægge en brugercentreret tilgang til levering af oplysninger via kvikskrankerne for at dække områder af særlig betydning for virksomheder, herunder moms, selskabsskat, social sikring og arbejdsretlige krav. På grundlag af chartret og i lyset af erfaring med Dit Europa-portalen bør disse oplysninger også omfatte en beskrivelse af bistands- og problemløsningstjenesterne. Borgere og virksomheder bør kunne henvende sig til sådanne tjenester, når de har problemer med at forstå oplysningerne, med at anvende disse oplysninger på deres situation eller med at afslutte en procedure.

(16)

Denne forordning bør indeholde en liste over de områder, der er relevante for, at borgere og virksomheder kan udøve deres rettigheder og overholde deres forpligtelser på det indre marked. Inden for disse områder bør der gives tilstrækkeligt omfattende oplysninger på nationalt plan, herunder på regionalt og lokalt plan, og på EU-plan, der forklarer de gældende regler og forpligtelser og de procedurer, borgerne og virksomhederne skal gennemføre for at overholde disse regler og opfylde disse forpligtelser. For at sikre kvaliteten af de tilbudte tjenester bør de oplysninger, der leveres gennem portalen, være klare, nøjagtige og opdaterede, brug af kompleks terminologi bør minimeres, og brug af akronymer bør begrænses til dem, som resulterer i forenklede og letforståelige termer, som ikke kræver forudgående viden om emnet eller lovområdet. Disse oplysninger bør gives på en sådan måde, at brugerne let kan forstå de grundlæggende regler og krav, der gælder for deres situation på disse områder. Brugerne bør også informeres om fraværet i visse medlemsstater af nationale regler inden for de områder, der er anført i bilag I, navnlig såfremt disse områder er underlagt nationale regler i andre medlemsstater. Sådanne oplysninger om fravær af nationale regler kunne medtages på Dit Europa-portalen.

(17)

Når det er muligt, bør oplysninger, som Kommissionen allerede har indsamlet fra medlemsstaterne i henhold til eksisterende EU-ret eller frivillige ordninger såsom oplysninger indsamlet til Euresportalen, der er oprettet ved Europa-Parlamentets og Rådets forordning (EU) 2016/589 (10), e-justiceportalen, der er oprettet ved Rådets beslutning 2001/470/EF (11), eller databasen over lovregulerede erhverv, der er oprettet ved direktiv 2005/36/EF, anvendes til at dække en del af de oplysninger, der skal gøres tilgængelige for borgerne og virksomhederne på EU-plan og på nationalt plan i overensstemmelse med denne forordning. Medlemsstaterne bør ikke være forpligtede til på deres nationale websteder at levere oplysninger, der allerede findes i de relevante databaser, som forvaltes af Kommissionen. Når medlemsstaterne allerede skal give onlineinformation i henhold til andre EU-retsakter, såsom Europa-Parlamentets og Rådets direktiv 2014/67/EU (12), bør det være tilstrækkeligt, at medlemsstaterne tilvejebringer links til den eksisterende onlineinformation. Når visse politikområder allerede er blevet fuldt ud harmoniseret ved EU-retten, f.eks. forbrugerrettigheder, bør de oplysninger, der gives på EU-plan, generelt være tilstrækkelige til at brugerne er i stand til at forstå deres relevante rettigheder eller forpligtelser. I sådanne tilfælde bør det kun være påkrævet, at medlemsstaterne tilvejebringer yderligere oplysninger vedrørende deres nationale administrative procedurer og bistandstjenester eller eventuelle andre nationale administrative regler, hvis det er relevant for brugerne. Oplysninger vedrørende forbrugerrettigheder bør f.eks. ikke indvirke på aftaleretten, men bør snarere informere brugerne om deres rettigheder i henhold til EU-retten og national ret i forbindelse med handelstransaktioner.

(18)

Denne forordning bør styrke dimensionen vedrørende det indre marked af onlineprocedurer og derved bidrage til digitaliseringen af det indre marked ved at opretholde det almindelige princip om ikkeforskelsbehandling, bl.a. med hensyn til borgernes eller virksomhedernes adgang til onlineprocedurer, der allerede er indført på nationalt plan på grundlag af EU-retten eller national ret, og til procedurer, der i overensstemmelse med denne forordning skal gøres fuldt tilgængelige online. Hvis en bruger i en situation, der udelukkende er begrænset til en enkelt medlemsstat, kan få adgang til og gennemføre en procedure online i den pågældende medlemsstat på et område, der er omfattet af denne forordning, bør en grænseoverskridende bruger også kunne få adgang til og kunne gennemføre denne procedure online enten gennem den samme tekniske løsning eller en alternativ separat teknisk løsning, der fører til det samme resultat, uden nogen diskriminerende hindringer. Sådanne hindringer kan bestå i nationalt udformede løsninger såsom felter, der kræver nationale telefonnumre, nationale præfikser for telefonnumre eller nationale postnumre, betaling af gebyrer, som kun kan ske gennem systemer, der ikke giver mulighed for grænseoverskridende betalinger, mangel på detaljerede forklaringer på et sprog, som forstås af grænseoverskridende brugere, manglende muligheder for at indgive elektronisk dokumentation fra myndigheder, der er beliggende i en anden medlemsstat, og manglende accept af elektroniske identifikationsmidler, der er udstedt i andre medlemsstater. Medlemsstaterne bør komme med løsninger på disse hindringer.

(19)

Når brugere gennemfører onlineprocedurer på tværs af grænserne, bør de kunne modtage alle relevante forklaringer på et af Unionens officielle sprog, der forstås bredt af det størst mulige antal grænseoverskridende brugere. Dette betyder ikke, at medlemsstaterne er forpligtet til at oversætte deres administrative formularer, der er knyttet til proceduren, eller resultatet af proceduren til dette sprog. Medlemsstaterne opfordres dog til at anvende tekniske løsninger, der i så mange tilfælde som muligt, vil gøre det muligt for brugerne at gennemføre procedurerne på dette sprog, samtidig med at medlemsstaternes nationale regler om anvendelsen af sprog respekteres.

(20)

De nationale onlineprocedurer, der er relevante for, at grænseoverskridende brugere kan udøve deres rettigheder i det indre marked, afhænger af, om de er bosiddende eller etableret i den pågældende medlemsstat, eller om de ønsker adgang til den pågældende medlemsstats procedurer, mens de er bosiddende eller etableret i en anden medlemsstat. Denne forordning bør ikke forhindre medlemsstater i at kræve, at grænseoverskridende brugere, som er bosiddende eller etableret på deres område, får et nationalt identifikationsnummer for at få adgang til nationale onlineprocedurer, forudsat at dette ikke medfører en urimelig ekstra byrde eller omkostning for disse brugere. For grænseoverskridende brugere, som ikke er bosiddende eller etableret i den pågældende medlemsstat, behøver nationale onlineprocedurer, der ikke er relevante for udøvelsen af deres rettigheder i det indre marked, f.eks. tilmelding for at modtage lokale tjenester såsom affaldsindsamling og parkeringstilladelser, ikke gøres fuldt ud tilgængelige online.

(21)

Denne forordning bør bygge på Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 (13), der fastlægger, på hvilke betingelser medlemsstaterne anerkender visse elektroniske identifikationsmidler for fysiske og juridiske personer, der er omfattet af en anmeldt elektronisk identifikationsordning i en anden medlemsstat. Forordning (EU) nr. 910/2014 fastlægger, på hvilke betingelser brugerne har tilladelse til at anvende deres elektroniske identifikations- og autentifikationsmidler til at få adgang til offentlige onlinetjenester i grænseoverskridende situationer. EU-institutioner, -organer, -kontorer og -agenturer opfordres til at anerkende elektroniske identifikations- og autentifikationsmidler i forbindelse med de procedurer, som de er ansvarlige for.

(22)

En række sektorspecifikke EU-retsakter, såsom direktiv 2005/36/EF, 2006/123/EF, 2014/24/EU og 2014/25/EU, kræver, at procedurer gøres fuldt tilgængelige online. Denne forordning bør kræve, at en række andre procedurer, der er af største vigtighed for flertallet af borgere og virksomheder, som udøver deres rettigheder og overholder deres forpligtelser på tværs af grænserne, gøres fuldt tilgængelige online.

(23)

For at gøre det muligt for borgerne og virksomhederne direkte at kunne nyde godt af fordelene ved det indre marked uden, at det medfører en yderligere unødig administrativ byrde, bør denne forordning kræve en fuld digitalisering af brugergrænsefladen for visse centrale procedurer for grænseoverskridende brugere, som er anført i denne forordnings bilag II. Denne forordning bør også fastlægge kriterierne til at afgøre, hvordan disse procedurer kan betragtes som fuldt ud online. Denne forpligtelse til at gøre en sådan procedure fuldt tilgængelig online bør kun finde anvendelse, når procedurerne er etableret i de berørte medlemsstater. Denne forordning bør hverken omfatte den første registrering af en økonomisk virksomhed eller de procedurer, der fører til stiftelse af selskaber eller firmaer som juridiske enheder, eller en eventuel senere registrering, som disse selskaber eller firmaer måtte foretage, da sådanne procedurer kræver en omfattende tilgang, der tager sigte på at lette digitale løsninger i hele et selskabs livscyklus. Når virksomheder etablerer sig i en anden medlemsstat, har de pligt til at lade sig registrere i en social sikringsordning og en forsikringsordning med henblik på at registrere deres ansatte og betale bidrag til begge ordninger. De kan have behov for at anmelde deres økonomiske virksomhed, indhente tilladelser eller registrere ændringer i deres økonomiske virksomhed. Disse procedurer er fælles for virksomheder, der er aktive i mange erhvervssektorer, og det er derfor hensigtsmæssigt at kræve, at disse registreringsprocedurer gøres tilgængelige online.

(24)

Denne forordning bør præcisere, hvad det indebærer at stille en procedure til rådighed fuldt ud online. En procedure bør betragtes som fuldt ud online, hvis brugeren kan tage alle skridt elektronisk, på afstand og ved hjælp af en onlinetjeneste lige fra adgang til gennemførelse med kommunikation med den kompetente myndighed (»front office«). Denne onlinetjeneste bør lede brugeren gennem en liste over alle de krav, der skal opfyldes, og al den dokumentation, der skal stilles til rådighed, bør gøre det muligt for brugeren at levere oplysningerne og dokumentationen for overholdelse af alle de pågældende krav og bør give brugeren en automatisk kvittering for modtagelse, medmindre resultatet af proceduren leveres straks. Dette bør ikke forhindre kompetente myndigheder i at kontakte brugerne direkte, hvis det er nødvendigt for at få yderligere præciseringer, der er nødvendige for proceduren. De kompetente myndigheder bør også levere resultatet af den procedure, der er omhandlet i denne forordning, til brugeren i elektronisk form, hvor dette er muligt i henhold til gældende EU-ret og national ret.

(25)

Denne forordning bør ikke påvirke indholdet af de procedurer, der er anført i bilag II, som er etableret på nationalt, regionalt eller lokalt plan, og som ikke fastlægger materielle eller proceduremæssige regler inden for de områder, der er omfattet af bilag II, herunder skatteområdet. Formålet med denne forordning er at fastlægge de tekniske krav for at sikre, at disse procedurer, hvis de er blevet indført i den pågældende medlemsstat, bliver gjort fuldt tilgængelige online.

(26)

Denne forordning bør ikke påvirke de nationale myndigheders kompetencer i enhver procedure, herunder verifikation af rigtigheden og gyldigheden af de indgivne oplysninger eller beviser, og kontrol af ægthed, såfremt dokumentationen indgives på anden vis end det tekniske system på grundlag af engangsprincippet. Denne forordning bør heller ikke berøre de proceduremæssige arbejdsgange inden for og mellem de kompetente myndigheder, »back office«, hvad enten de er digitaliseret eller ej. Om nødvendigt som led i nogle af procedurerne for registrering af ændringer af erhvervsvirksomhed bør medlemsstaterne fortsat være i stand til at kræve inddragelse af notarer eller advokater, som kan ønske at anvende midler til verifikation, herunder videokonference eller andre onlinebaserede midler, som giver en audiovisuel forbindelse i realtid. En sådan inddragelse bør imidlertid ikke forhindre, at procedurerne for registrering af disse ændringer i deres helhed finder sted online.

(27)

I nogle tilfælde kan det forlanges, at brugeren indgiver dokumentation som bevis for faktiske omstændigheder, der ikke kan fastslås ved hjælp af elektroniske midler. Det kunne omfatte en lægeerklæring, dokumentation for at være i live, dokumentation for, at motorkøretøjer har bestået den tekniske kontrol, eller bekræftelse af deres chassisnumre. Forudsat at denne dokumentation kan indgives elektronisk, bør dette ikke udgøre en undtagelse fra princippet om, at en procedure bør stilles til rådighed fuldt ud online. Det kan i andre tilfælde stadig være nødvendigt for brugere af en procedure at give personligt fremmøde for en kompetent myndighed som del af en onlineprocedure. En sådan undtagelse bortset fra dem, der følger af EU-retten, bør begrænses til situationer, der er begrundet i et bydende nødvendigt hensyn til samfundets interesser på områderne offentlig sikkerhed, offentlig sundhed eller bekæmpelse af svig. For at sikre gennemsigtighed bør medlemsstaterne udveksle oplysninger med Kommissionen og de øvrige medlemsstater om sådanne undtagelser og om grundene til og omstændighederne under hvilke, de kan anvendes. Medlemsstaterne bør ikke være forpligtet til at indberette hvert enkelt tilfælde, hvor der undtagelsesvis blev krævet personligt fremmøde, men bør snarere meddele de nationale bestemmelser, der fastlægger sådanne tilfælde. Bedste praksis på nationalt plan og tekniske udviklinger, der giver mulighed for yderligere digitalisering i denne henseende, bør drøftes regelmæssigt i en portalkoordinationsgruppe.

(28)

I grænseoverskridende situationer kan proceduren for registrering af en adresseændring bestå af to særskilte procedurer, én i oprindelsesmedlemsstaten for at anmode om afmelding af den gamle adresse og den anden i bestemmelsesmedlemsstaten for at anmode om registrering på den nye adresse. Begge procedurer bør være omfattet af denne forordning.

(29)

Eftersom digitaliseringen af krav, procedurer og formaliteter i forbindelse med anerkendelse af erhvervsmæssige kvalifikationer allerede er omfattet af direktiv 2005/36/EF, bør denne forordning kun omfatte digitalisering af proceduren for anmodning om akademisk anerkendelse af eksamensbeviser, certifikater eller anden dokumentation for gennemførte kurser for en person, der ønsker at fortsætte eller påbegynde studier, eller for benyttelse af en uddannelsestitel, ud over formaliteterne i forbindelse med anerkendelse af erhvervsmæssige kvalifikationer.

(30)

Denne forordning bør ikke berøre de regler om koordinering af social sikring, der er fastsat i Europa-Parlamentets og Rådets forordning (EF) nr. 883/2004 (14) og (EF) nr. 987/2009 (15), som fastlægger rettighederne og forpligtelserne for forsikrede og socialsikringsinstitutioner, eller de procedurer, der gælder på området koordinering af social sikring.

(31)

Flere net og tjenester er blevet oprettet på EU-plan og nationalt plan for at bistå borgere og virksomheder i forbindelse med deres grænseoverskridende aktiviteter. Det er vigtigt, at disse tjenester, blandt andre eksisterende bistands- eller problemløsningstjenester, der er oprettet på EU-plan, eksempelvis Det Europæiske Netværk af Forbrugercentre, Dit Europa — Råd & Vink, Solvit, helpdesken vedrørende intellektuelle ejendomsrettigheder, Europe Direct og Enterprise Europe-netværket, indgår i portalen for at sikre, at alle potentielle brugere kan finde dem. De tjenester, der er anført i bilag III, er blevet oprettet ved bindende EU-retsakter, mens andre tjenester fungerer på frivilligt grundlag. Tjenester, der er blevet oprettet ved bindende EU-retsakter, bør være bundet af de kvalitetskrav, der fastlægges i denne forordning. Tjenester, der fungerer på frivilligt grundlag, bør opfylde disse kvalitetskrav, hvis det er hensigten at stille dem til rådighed via portalen. Omfanget og arten af disse tjenester, deres forvaltningsordninger, de eksisterende frister og det frivillige, kontraktmæssige eller andet grundlag, som de anvendes på, bør ikke ændres ved denne forordning. Hvis den bistand, som de yder, eksempelvis er uformel, bør denne forordning ikke resultere i en ændring af denne bistand til bindende juridisk rådgivning.

(32)

Desuden bør medlemsstaterne og Kommissionen kunne tilføje andre nationale bistands- eller problemløsningstjenester til portalen, som stilles til rådighed af kompetente myndigheder eller af private eller halvprivate enheder eller offentlige organer, såsom handelskamre eller ikkestatslige bistandstjenester for borgere, på de betingelser, der er fastlagt i denne forordning. I princippet bør de kompetente myndigheder være ansvarlige for at bistå borgerne og virksomhederne med forespørgsler vedrørende gældende regler og procedurer, som ikke fuldt ud kan besvares af onlinetjenester. Inden for meget specialiserede områder, og når tjenester, som stilles til rådighed af private eller halvprivate organer, opfylder brugernes behov, kan medlemsstaterne dog foreslå Kommissionen, at den medtager sådanne tjenester i portalen, forudsat at de opfylder alle betingelserne i denne forordning og ikke overlapper de bistands- eller problemløsningstjenester, der allerede er medtaget.

(33)

For at bistå brugerne med at finde frem til den relevante tjeneste bør denne forordning indeholde bestemmelser om en vejviser til bistandstjenester, der automatisk leder brugerne til den rette tjeneste.

(34)

Overholdelse af en minimumsliste over kvalitetskrav er væsentligt for en velfungerende portal med henblik på at sikre, at tilrådighedsstillelsen af oplysninger og tjenester er pålidelig, da troværdigheden af portalen som helhed ellers ville blive undergravet i alvorlig grad. Det overordnede mål med overholdelse er at sikre, at oplysningerne eller tjenesten opstilles på en klar og brugervenlig måde. Det er medlemsstaternes ansvar at beslutte, hvordan oplysningerne opstilles i løbet af brugerrejsen med henblik på at nå dette mål. Eksempelvis er det, selv om det er nyttigt for brugerne at blive underrettet om alment tilgængelige klagemuligheder, når en procedure medfører et negativt resultat, før proceduren indledes, meget mere brugervenligt at give konkrete oplysninger om de mulige skridt, der skal tages i et sådant tilfælde, ved slutningen af proceduren.

(35)

Tilgængeligheden af oplysninger for grænseoverskridende brugere kan forbedres betydeligt, hvis oplysningerne er tilgængelige på et af Unionens officielle sprog, der forstås bredt af det størst mulige antal grænseoverskridende brugere. Dette sprog bør i de fleste tilfælde være det fremmedsprog, der studeres af flest brugere i hele Unionen, men i visse særlige tilfælde, nærmere bestemt i tilfælde, hvor oplysninger skal gives på lokalt plan af små kommuner tæt på grænsen af en medlemsstat, kan det sprog, der anvendes som førstesprog af de grænseoverskridende brugere i nabomedlemsstaten, være det mest velegnede. Oversættelsen fra det eller de officielle sprog i den pågældende medlemsstat til dette andet af Unionens officielle sprog bør nøje afspejle indholdet af de oplysninger, der gives på originalsproget eller originalsprogene. Oversættelsen kan begrænses til de oplysninger, som brugerne behøver for at forstå de grundlæggende regler og krav, der gælder for deres situation. Medlemsstaterne bør tilskyndes til at oversætte så mange oplysninger som muligt til et af Unionens officielle sprog, som forstås bredt af det størst mulige antal grænseoverskridende brugere, men mængden af oplysninger, som skal oversættes i henhold til denne forordning, vil afhænge af de finansielle midler, der er til rådighed til dette formål, navnlig dem fra Unionens budget. Kommissionen bør træffe alle passende foranstaltninger for at sikre en effektiv levering af oversættelse til medlemsstaterne efter disses anmodning. Portalkoordinationsgruppen bør drøfte og yde vejledning om det eller de af Unionens officielle sprog, hvortil sådanne oplysninger bør oversættes.

(36)

I overensstemmelse med Europa-Parlamentets og Rådets direktiv (EU) 2016/2102 (16) kræves det af medlemsstaterne, at de sørger for, at webstederne for deres offentlige organer er tilgængelige i overensstemmelse med principperne om opfattelighed, funktionsevne, forståelighed og robusthed, og at de opfylder kravene fastlagt i nævnte direktiv. Kommissionen og medlemsstaterne bør sikre overensstemmelse med De Forenede Nationers konvention om rettigheder for personer med handicap, navnlig artikel 9 og 21, og for at fremme adgangen til information for personer med intellektuelt handicap bør alternativer i et letlæseligt sprog stilles til rådighed i det størst mulige omfang og i overensstemmelse med proportionalitetsprincippet. Medlemsstaterne har ved at ratificere og Unionen ved at indgå (17) nævnte konvention forpligtet sig til at træffe passende foranstaltninger til at sikre personer med handicap adgang på lige fod med andre til nye informations- og kommunikationsteknologier og -systemer, herunder internettet, ved at lette adgangen til information for personer med intellektuelle funktionsnedsættelser og tilbyde alternativer i et letlæseligt sprog i det størst mulige omfang og forholdsmæssigt.

(37)

Direktiv (EU) 2016/2102 finder ikke anvendelse på EU-institutioners, -organers, -kontorers og -agenturers websteder og mobilapplikationer, men Kommissionen bør sikre, at den fælles brugergrænseflade og de websider, som den har ansvaret for, og som skal indgå i portalen, er tilgængelige for personer med handicap, hvilket skal forstås sådan, at de er opfattelige, anvendelige, forståelige og robuste. Ved opfattelighed forstås, at oplysninger og de fælles brugergrænsefladekomponenter skal præsenteres for brugerne på måder, som de kan opfatte, ved anvendelighed forstås, at de fælles brugergrænsefladekomponenter og navigationen skal kunne anvendes, ved forståelighed forstås, at oplysningerne og betjeningen af den fælles brugergrænseflade skal være forståelige, og ved robusthed forstås, at indhold skal være robust nok til at kunne fortolkes pålideligt af en bred vifte af brugeragenter, herunder hjælpemiddelteknologier. For så vidt angår termerne opfattelige, anvendelige, forståelige og robuste tilskyndes Kommissionen til at overholde de relevante harmoniserede standarder.

(38)

For at lette betalingen af gebyrer, der kræves som en del af onlineprocedurer eller for levering af bistands- eller problemløsningstjenester, bør grænseoverskridende brugere kunne anvende kreditoverførsler eller direkte debiteringer som fastlagt i Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 (18) eller andre almindeligt anvendte grænseoverskridende betalingsmidler, herunder grænseoverskridende debet- eller kreditkort.

(39)

Det er hensigtsmæssigt, at brugerne underrettes om, hvor lang tid en procedure kan forventes at tage. Brugerne bør derfor underrettes om gældende frister eller ordninger med stiltiende godkendelse eller administrativ stiltiende godkendelse eller, hvis sådanne ikke er relevante, i det mindste om den gennemsnitlige anslåede eller vejledende tid, den pågældende procedure normalt tager. Sådanne skøn eller vejledende angivelser bør kun hjælpe brugerne med at planlægge deres aktiviteter eller efterfølgende administrative skridt og bør ikke have nogen retsvirkning.

(40)

Denne forordning bør også give mulighed for at verificere dokumentation, som brugere har indgivet i elektronisk form, hvis dokumentationen indgives uden elektronisk segl eller certificering fra den udstedende kompetente myndighed, eller hvis det tekniske redskab, der er oprettet ved denne forordning, eller ethvert andet system, der muliggør direkte udveksling eller verificering af dokumentation mellem kompetente myndigheder i forskellige medlemsstater, ikke er til rådighed. Til sådanne tilfælde bør denne forordning fastsætte bestemmelser om en effektiv mekanisme til administrativt samarbejde mellem medlemsstaternes kompetente myndigheder, som bygger på informationssystemet for det indre marked (»IMI«), der blev oprettet ved Europa-Parlamentets og Rådets forordning (EU) nr. 1024/2012 (19). I sådanne tilfælde bør den kompetente myndigheds beslutning om at anvende IMI være frivillig, men når først denne myndighed har indgivet en anmodning om oplysninger eller samarbejde gennem IMI, bør den anmodede kompetente myndighed være forpligtet til at samarbejde og til at give et svar. Anmodningen kan sendes gennem IMI enten til en kompetent myndighed, der har udstedt dokumentationen, eller til den centrale myndighed, der udpeges af medlemsstaterne i overensstemmelse med deres egne administrative regler. For at undgå unødige overlap, og eftersom Europa-Parlamentets og Rådets forordning (EU) 2016/1191 (20) dækker en del af den dokumentation, som er relevant for de procedurer, der er omfattet af nærværende forordning, kan de samarbejdsordninger for IMI, der er fastsat i forordning (EU) 2016/1191, også anvendes i forbindelse med anden dokumentation, der er påkrævet i forbindelse med procedurer, der er omfattet af nærværende forordning. For at gøre det muligt for EU-organer, -kontorer og -agenturer at blive aktører i IMI bør forordning (EU) nr. 1024/2012 ændres.

(41)

Onlinetjenester, der stilles til rådighed af kompetente myndigheder, er af afgørende betydning for at øge kvaliteten og sikkerheden af de tjenester, der stilles til rådighed for borgerne og virksomhederne. Offentlige forvaltninger i medlemsstaterne arbejder i stigende grad hen mod genbrug af data, med fritagelse for kravet om, at borgerne og virksomhederne indgiver de samme oplysninger flere gange. Genbrug af data bør lettes for grænseoverskridende brugere, for at begrænse yderligere byrder.

(42)

Med henblik på at muliggøre lovmæssig korrekt udveksling af dokumentation og oplysninger på tværs af landegrænser ved hjælp af anvendelse af engangsprincippet i hele Unionen bør anvendelsen af denne forordning og af engangsprincippet overholde alle relevante regler for databeskyttelse, herunder principperne for dataminimering, nøjagtighed, lagringsbegrænsning, integritet og fortrolighed, nødvendighed, proportionalitet og formålsbegrænsning. Dens gennemførelse bør også fuldt ud overholde principperne om indbygget sikkerhed og om privatlivsbeskyttelse og bør desuden respektere individets grundlæggende rettigheder, herunder dem der vedrører retfærdighed og gennemsigtighed.

(43)

Medlemsstaterne bør sikre, at brugere af procedurer modtager klare oplysninger om, hvorledes personoplysninger, som vedrører dem, vil blive behandlet i overensstemmelse med artikel 13 og 14 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (21) og artikel 15 og 16 i forordning (EU)2018/1725 (22).

(44)

For yderligere at lette anvendelsen af onlineprocedurer bør denne forordning i overensstemmelse med engangsprincippet skabe grundlag for udvikling og anvendelse af et fuldt funktionsdygtigt og sikkert teknisk system for elektronisk udveksling af dokumentation på tværs af grænserne mellem de aktører, der er involveret i proceduren, hvor borgerne og virksomhederne har anmodet udtrykkeligt om dette. Hvis udvekslingen af dokumentation indeholder personoplysninger, bør anmodningen anses for at være udtrykkelig, hvis den indeholder et frivilligt, specifikt, informeret og utvetydigt ønske fra personen om at få de relevante personoplysninger udvekslet, enten i form af en erklæring eller en klar bekræftelse. Hvis brugeren ikke er den person, der er omfattet af oplysningerne, bør onlineproceduren ikke påvirke vedkommendes rettigheder, jf. forordning (EU) 2016/679. Den grænseoverskridende anvendelse af engangsprincippet bør medføre, at borgerne og virksomhederne ikke skal indgive de samme data til offentlige myndigheder mere end én gang, og at det også bør være muligt at anvende disse data på brugerens anmodning med henblik på at gennemføre grænseoverskridende onlineprocedurer, der involverer grænseoverskridende brugere. Forpligtelsen for den udstedende kompetente myndighed til at anvende det tekniske system til elektronisk udveksling af oplysninger mellem forskellige medlemsstater bør kun finde anvendelse, når myndigheder i deres egen medlemsstat lovformeligt udsteder dokumentation i et elektronisk format, der gør elektronisk udveksling mulig.

(45)

Enhver grænseoverskridende udveksling af dokumentation bør have et passende retsgrundlag, såsom direktiv 2005/36/EF, 2006/123/EF, 2014/24/EU eller 2014/25/EU, eller, for så vidt angår procedurerne, der er opført i bilag II, anden gældende EU-ret eller national ret.

(46)

Det er hensigtsmæssigt, at denne forordning fastsætter som en generel regel, at grænseoverskridende elektronisk udveksling af dokumentation finder sted på brugerens udtrykkelige anmodning. Dette krav bør imidlertid ikke finde anvendelse, hvis den relevante EU-ret eller nationale ret giver mulighed for grænseoverskridende elektronisk dataudveksling uden en udtrykkelig anmodning fra brugeren.

(47)

Anvendelsen af det tekniske system, der er oprettet ved denne forordning, bør være frivillig, ligesom brugeren frit bør kunne indgive dokumentation på anden måde uden for det tekniske system. Brugeren bør have mulighed for at se dokumentationen og ret til at vælge ikke at fortsætte med udvekslingen af dokumentation i tilfælde, hvor brugeren, efter at have set den dokumentation, der skal udveksles, opdager, at oplysningerne er unøjagtige, forældede eller mere omfattende, end hvad der er nødvendigt med henblik på den pågældende procedure. Dataene i forhåndsvisningen bør ikke opbevares længere, end strengt nødvendigt af tekniske hensyn.

(48)

Det sikre tekniske system, der bør oprettes for at muliggøre udveksling af dokumentation i henhold til denne forordning, bør også give anmodende kompetente myndigheder sikkerhed for, at den pågældende dokumentation stammer fra den rette udstedende myndighed. Inden den kompetente myndighed accepterer oplysninger fra en bruger i forbindelse med en procedure, bør den, hvor de giver anledning til tvivl, kunne kontrollere oplysningerne og konkludere, at de er nøjagtige.

(49)

En række byggesten, der rummer grundlæggende muligheder, eksisterer, som kan anvendes til at oprette det tekniske system, såsom Connecting Europe-faciliteten oprettet ved Europa-Parlamentets og Rådets forordning (EU) nr. 1316/2013 (23) og byggestenene e-levering og eID, som udgør en del af nævnte facilitet. Disse byggesten består af tekniske specifikationer, et udvalg af software og hjælpetjenester og tager sigte på at sikre interoperabilitet mellem de eksisterende systemer for informations- og kommunikationsteknologi (IKT) i forskellige medlemsstater, så borgerne, virksomhederne og forvaltningerne, uanset hvor de måtte befinde sig i Europa, kan nyde godt af sømløse digitale offentlige tjenester.

(50)

Det tekniske system, der er oprettet ved denne forordning, bør stå til rådighed i tillæg til andre systemer med mekanismer til samarbejde mellem myndigheder, såsom IMI, og bør ikke berøre andre systemer, herunder det system, der er fastsat i forordning (EF) nr. 987/2009, det fælles europæiske udbudsdokument i henhold til direktiv 2014/24/EU, den elektroniske udveksling af oplysninger om social sikring i henhold til forordning (EF) nr. 987/2009, det europæiske erhvervspas i henhold til direktiv 2005/36/EF, sammenkoblingen af nationale registre og sammenkoblingen af centrale registre og handels- og selskabsregistre i henhold til Europa-Parlamentets og Rådets direktiv (EU) 2017/1132 (24) og sammenkoblingen af insolvensregistre i henhold til Europa-Parlamentets og Rådets forordning (EU) 2015/848 (25).

(51)

For at sikre ensartede betingelser for gennemførelsen af et teknisk system, som giver mulighed for elektronisk udveksling af dokumentation, bør Kommissionen tillægges gennemførelsesbeføjelser til at fastlægge navnlig de tekniske og operationelle specifikationer for et system til behandling af en brugers anmodning om udveksling af dokumentation og om overførsel af sådan dokumentation samt at fastlægge de nødvendige regler til at sikre integriteten og fortroligheden af overførsler. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (26).

(52)

Med henblik på at sikre, at det tekniske system giver et højt sikkerhedsniveau i forbindelse med grænseoverskridende anvendelse af engangsprincippet, bør Kommissionen, når den vedtager gennemførelsesretsakter, der fastsætter specifikationerne for et sådant teknisk system, tage behørigt hensyn til de standarder og tekniske specifikationer, der er udarbejdet af europæiske og internationale standardiseringsorganisationer og -organer, navnlig Den Europæiske Standardiseringsorganisation (CEN), Det Europæiske Institut for Telestandarder (ETSI), Den Internationale Standardiseringsorganisation (ISO) og Den Internationale Telekommunikationsunion (ITU), samt til de sikkerhedsstander, der er omhandlet i artikel 32 i forordning (EU) 2016/679 og artikel 22 i forordning (EU) 2018/1725.

(53)

Hvor det er nødvendigt for at sikre udvikling, tilgængelighed, vedligeholdelse, tilsyn med, overvågning og sikkerhedsmæssig forvaltning af de dele af det tekniske system, som Kommissionen er ansvarlig for, bør Kommissionen rådføre sig med Den Europæiske Tilsynsførende for Databeskyttelse.

(54)

De kompetente myndigheder og Kommissionen bør sikre, at de oplysninger, procedurer og tjenester, som de er ansvarlige for, overholder kvalitetskriterierne. Nationale koordinatorer, der er udnævnt i henhold til denne forordning, og Kommissionen bør med jævne mellemrum føre tilsyn med overholdelsen af kvalitets- og sikkerhedskriterierne på henholdsvis nationalt plan og EU-plan og tage hånd om eventuelle problemer, der måtte opstå. De nationale koordinatorer bør desuden hjælpe Kommissionen med at overvåge, hvordan det tekniske system fungerer, og dermed muliggøre grænseoverskridende udveksling af dokumentation. Denne forordning bør give Kommissionen en vifte af midler til at afhjælpe enhver forringelse af kvaliteten af de tjenester, der stilles til rådighed via portalen, afhængigt af hvor alvorlig forringelsen er, og hvor længe den varer, om nødvendigt med inddragelse af portalkoordinationsgruppen. Dette bør ikke berøre Kommissionens overordnede ansvar for overvågning af overholdelsen af denne forordning.

(55)

Denne forordning bør angive de vigtigste funktionaliteter i de tekniske redskaber, der understøtter portalens funktion, navnlig den fælles brugergrænseflade, linkfortegnelsen og den fælles vejviser til bistandstjenester. Den fælles brugergrænseflade bør sikre, at brugerne let kan finde oplysninger, procedurer og bistands- og problemløsningstjenester på nationale websteder og EU-websteder. Medlemsstaterne og Kommissionen bør sigte mod at tilvejebringe links til en enkelt kilde til de oplysninger, der kræves til portalen, for at undgå forveksling blandt brugerne som følge af forskellige eller helt eller delvist overlappende kilder til de samme oplysninger. Dette bør ikke udelukke muligheden for at tilvejebringe links til de samme oplysninger fra kompetente lokale eller regionale myndigheder vedrørende forskellige geografiske områder. Det bør heller ikke forhindre et vist overlap af oplysninger, når dette er uundgåeligt eller ønskeligt, f.eks. når visse EU-rettigheder, -forpligtelser og -regler gentages eller beskrives på nationale websteder for at forbedre brugervenligheden. For at minimere menneskelig medvirken ved opdateringen af de links, der skal anvendes af den fælles brugergrænseflade, bør der, hvis det er teknisk muligt, etableres en direkte forbindelse mellem de relevante tekniske systemer i medlemsstaterne og linkfortegnelsen. De fælles IKT-støtteredskaber kan anvende det grundlæggende glossar for offentlige tjenester (CPSV) for at lette interoperabiliteten med nationale tjenestekataloger og national semantik. Medlemsstaterne bør opfordres til at anvende CPSV, men kan frit beslutte at anvende nationale løsninger. Oplysningerne i linkfortegnelsen bør være offentligt tilgængelige i et åbent, almindeligt anvendt og maskinlæsbart dataformat, f.eks. i form af programmeringsgrænseflader for applikationer (API'er), for at gøre det muligt at genanvende dem.

(56)

Søgefunktionen i den fælles brugergrænseflade bør føre brugerne til de oplysninger, de har brug for, uanset om oplysningerne befinder sig på EU-websider eller på nationale websider. Derudover vil det som en alternativ måde at føre brugere til nyttige oplysninger fortsat være en hjælp, at der skabes links såvel mellem eksisterende og supplerende websteder eller websider, som strømlines og grupperes mest muligt, som mellem websteder og websider på EU-plan og på nationalt plan, så der gives adgang til onlinetjenester og oplysninger.

(57)

Denne forordning bør også indeholde kvalitetskrav til den fælles brugergrænseflade. Kommissionen bør sikre, at den fælles brugergrænseflade opfylder disse krav, og brugergrænsefladen bør navnlig være til rådighed og tilgængelig online via forskellige kanaler samt være let at bruge.

(58)

For at sikre ensartede betingelser for indførelsen af de tekniske løsninger, der understøtter portalen, bør Kommissionen tillægges gennemførelsesbeføjelser til, hvor det er nødvendigt, at fastlægge de standarder, der skal anvendes, og interoperabilitetskrav med henblik på at gøre det lettere at finde oplysninger om regler og forpligtelser, om procedurer og om bistands- og problemløsningstjenester, for hvilke medlemsstaterne og Kommissionen er ansvarlige. Disse beføjelser bør udøves i overensstemmelse med forordning (EU) nr. 182/2011.

(59)

Denne forordning bør også tydeligt fordele ansvaret for udvikling, tilgængelighed og vedligeholdelse af og sikkerhed for de IKT-applikationer, der understøtter portalen, mellem Kommissionen og medlemsstaterne. Som led i deres vedligeholdelsesopgaver bør Kommissionen og medlemsstaterne regelmæssigt føre tilsyn med, at disse IKT-applikationer fungerer korrekt.

(60)

For at udvikle det fulde potentiale i de forskellige områder af oplysninger, de procedurer og de bistands- og problemløsningstjenester, som bør indgå i portalen, skal målgruppernes kendskab til deres eksistens og virkemåde forbedres betydeligt. Deres medtagelse i portalen bør gøre det meget lettere for brugerne at finde de oplysninger, de procedurer og de bistands- og problemløsningstjenester, som de har behov for, selv når de ikke er bekendt med nogen af dem. Endvidere vil koordinerede promoverende aktiviteter være nødvendig for at sikre, at borgerne og virksomhederne i hele Unionen får kendskab til eksistensen af portalen og de fordele, som der er ved den. Sådanne promoverende aktiviteter bør omfatte optimering af søgemaskiner og andre onlineoplysningstiltag, da de er de mest omkostningseffektive og har potentiale til at nå ud til den størst mulige målgruppe. Med henblik på størst mulig effektivitet bør disse promoverende aktiviteter koordineres inden for rammerne af portalkoordinationsgruppen, og medlemsstaterne bør tilpasse deres promoverende indsats, så der er en fælles mærkereference i alle relevante sammenhænge og mulighed for at anvende det samme mærke for portalen og nationale initiativer.

(61)

Alle EU-institutioner, -organer og -agenturer bør opfordres til at fremme portalen ved at indsætte dens logo og links til den på alle relevante websider, som de er ansvarlige for.

(62)

Det navn, som portalen skal kendes og formidles til offentligheden under, bør være »Your Europe«. Den fælles brugergrænseflade bør være fremtrædende og let at finde, især via relevante EU-websider og nationale websider. Portalens logo bør være synligt på relevante EU-websteder og nationale websteder.

(63)

For at opnå egnede oplysninger til måling og forbedring af resultaterne i forbindelse med portalen bør denne forordning kræve, at de kompetente myndigheder og Kommissionen indsamler og analyserer data vedrørende anvendelse af de forskellige oplysningsområder, procedurer og tjenester, der stilles til rådighed via portalen. Indsamlingen af brugerstatistik, såsom data vedrørende antallet af besøg på specifikke websider, antallet af brugere i en medlemsstat i forhold til antallet af brugere fra andre medlemsstater, de anvendte søgetermer, de mest besøgte websider, de henvisende websider, eller antallet af anmodninger om bistand, deres oprindelse og emne, bør forbedre portalens funktion ved at hjælpe med til at udpege målgruppen, udvikle promoverende aktiviteter og forbedre kvaliteten af de tilbudte tjenester. Indsamlingen af sådanne data bør tage højde for den årlige benchmarking for e-forvaltning, der udføres af Kommissionen, for at undgå overlap.

(64)

For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser med henblik på at fastlægge ensartede regler om metoden til indsamling og udveksling af brugerstatistikker. Disse beføjelser bør udøves i overensstemmelse med forordning (EU) nr. 182/2011.

(65)

Kvaliteten af portalen afhænger af kvaliteten af de EU-tjenester og nationale tjenester, som leveres gennem portalen. Derfor bør kvaliteten af de oplysninger, procedurer og bistands- og problemløsningstjenester, der er tilgængelige via portalen, også overvåges regelmæssigt ved hjælp af et brugerfeedbackredskab, som vil bede brugerne om at vurdere og give feedback om dækningen og kvaliteten af de oplysninger, procedurer og bistands- og problemløsningstjenester, som de har brugt. Denne feedback bør blive indsamlet i et fælles redskab, som Kommissionen, de kompetente myndigheder og de nationale koordinatorer bør have adgang til. For at sikre ensartede betingelser for gennemførelse af denne forordning for så vidt angår de fælles funktionaliteter i brugerfeedbackredskaberne og nærmere ordninger for indsamling og udveksling af brugerfeedback bør Kommissionen tillægges gennemførelsesbeføjelser. Disse beføjelser bør udøves i overensstemmelse med forordning (EU) nr. 182/2011. Kommissionen bør i anonymiseret form offentliggøre sammenfattende onlineoversigter over de problemer, der fremgår af oplysningerne, de vigtigste brugerstatistikker og den vigtigste brugerfeedback, der er indsamlet i overensstemmelse med nærværende forordning.

(66)

Portalen bør endvidere indeholde et feedbackredskab, der gør det muligt for brugerne frivilligt og anonymt at kunne gøre opmærksom på eventuelle problemer og vanskeligheder, som de har haft i forbindelse med udøvelsen af deres rettigheder på det indre marked. Dette redskab bør kun betragtes som et supplement til klagebehandlingsordninger, eftersom det ikke kan give et personligt svar til brugerne. De modtagne bidrag bør kombineres med aggregerede oplysninger fra bistands- og problemløsningstjenesterne om de sager, som de har behandlet, med henblik på at udarbejde en oversigt over det indre marked, sådan som det opfattes af sine brugere, og at identificere problemområder med henblik på mulige fremtidige tiltag til at forbedre det indre markeds funktion. Denne oversigt bør være knyttet til eksisterende rapporteringsværktøjer såsom resultattavlen for det indre marked.

(67)

Medlemsstaternes ret til at afgøre, hvem der skal varetage rollen som national koordinator, bør ikke berøres af denne forordning. Medlemsstaterne bør kunne tilpasse funktionerne og ansvarsområderne for deres nationale koordinatorer i relation til portalen til deres interne administrative strukturer. Medlemsstaterne bør kunne udpege yderligere nationale koordinatorer til at udføre opgaverne i henhold til denne forordning, alene eller sammen med andre, med ansvar for et udsnit af administrationen eller et geografisk område eller i overensstemmelse med andre kriterier. Medlemsstaterne bør underrette Kommissionen om identiteten på den fælles nationale koordinator, som de har udpeget til kontakten til Kommissionen.

(68)

Der bør nedsættes en koordinationsgruppe bestående af de nationale koordinatorer og med Kommissionen som formand med henblik på at lette anvendelsen af denne forordning, navnlig ved at udveksle bedste praksis og samarbejde for at forbedre konsekvensen i fremlæggelsen af oplysninger som krævet i denne forordning. Portalkoordinationsgruppens arbejde bør tage hensyn til de mål, der er fastsat i et årligt arbejdsprogram, som Kommissionen bør forelægge den med henblik på drøftelse. Det årlige arbejdsprogram bør tage form af retningslinjer eller anbefalinger, som er ikkebindende for medlemsstaterne. Kommissionen kan efter anmodning fra Europa-Parlamentet beslutte at opfordre det til at sende eksperter til at deltage i portalkoordinationsgruppens møder.

(69)

Denne forordning bør præcisere, hvilke dele af portalen der skal finansieres over Unionens budget, og hvilke dele der skal være medlemsstaternes ansvar. Kommissionen bør bistå medlemsstaterne med at identificere genanvendelige IKT-byggesten og finansiering, der er til rådighed gennem forskellige EU-midler og -programmer, der kan bidrage til at dække omkostningerne til de IKT-tilpasninger og -udviklinger, der er nødvendige på nationalt plan for at efterkomme denne forordning. Det budget, der kræves til gennemførelsen af denne forordning, bør være foreneligt med den relevante flerårige finansielle ramme.

(70)

Medlemsstaterne opfordres til at koordinere, udveksle og samarbejde mere med hinanden med henblik på at øge deres strategiske og operationelle kapaciteter samt deres forsknings- og udviklingskapaciteter inden for cybersikkerhed, navnlig gennem gennemførelsen af den net- og informationssikkerhed, der er omhandlet i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 (27), for at styrke sikkerheden og robustheden i deres offentlige forvaltning og tjenester. Medlemsstaterne tilskyndes til at skærpe transaktioners sikkerhed og sikre et tilstrækkeligt niveau af tillid til elektroniske midler ved at anvende eIDAS-rammen, der blev fastlagt ved forordning (EU) nr. 910/2014 og navnlig have passende sikringsniveauer. Medlemsstaterne kan træffe foranstaltninger i overensstemmelse med EU-retten med henblik på at sikre cybersikkerheden og forhindre identitetssvig eller andre former for svig.

(71)

Når anvendelsen af denne forordning indebærer behandling af personoplysninger, bør den gennemføres i overensstemmelse med EU-retten om beskyttelse af personoplysninger, særlig forordning (EU) 2016/679 og forordning (EU) 2018/1725. Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (28) bør også finde anvendelse i forbindelse med nærværende forordning. I overensstemmelse med forordning (EU) 2016/679 kan medlemsstaterne opretholde eller indføre yderligere betingelser, herunder begrænsninger, for behandling af helbredsoplysninger, og de kan også fastsætte mere specifikke regler for behandling af arbejdstageres personoplysninger i forbindelse med ansættelsesforhold.

(72)

Nærværende forordning bør fremme og lette strømliningen af forvaltningsordningerne for de tjenester, der er omfattet af portalen. Med henblik herpå bør Kommissionen i tæt samarbejde med medlemsstaterne revidere de eksisterende forvaltningsordninger og tilpasse dem, hvis det er nødvendigt, for at undgå overlap og ineffektivitet.

(73)

Målet for denne forordning er at sikre, at brugere, der opererer i andre medlemsstater, har onlineadgang til omfattende, pålidelige, tilgængelige og forståelige EU-oplysninger og nationale oplysninger om rettigheder, regler og forpligtelser, til onlineprocedurer, som er fuldt anvendelige på tværs af grænserne, og til bistands- og problemløsningstjenester. Da dette formål ikke i tilstrækkelig grad kan opfyldes af medlemsstaterne, men på grund af denne forordnings omfang og virkninger bedre kan nås på EU-plan, kan Unionen vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Unions funktionsmåde. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at opfylde dette mål.

(74)

For at medlemsstaterne og Kommissionen kan udvikle og iværksætte de redskaber, der er nødvendige for at gennemføre denne forordning, bør visse af dens bestemmelser finde anvendelse fra to år efter dens ikrafttrædelsesdato. Kommunale myndigheder bør gives op til fire år efter denne forordnings ikrafttræden til at gennemføre de krav til at tilvejebringe oplysninger om reglerne, procedurerne samt bistands- og problemløsningstjenesterne inden for deres ansvarsområde. Bestemmelserne i denne forordning om de procedurer, der skal tilbydes helt online, om den grænseoverskridende adgang til onlineprocedurer og om det tekniske system til grænseoverskridende elektronisk udveksling af oplysninger i overensstemmelse med »engangsprincippet« bør gennemføres senest fem år efter denne forordnings ikrafttræden.

(75)

Denne forordning respekterer de grundlæggende rettigheder og følger de principper, der er anerkendt i navnlig Den Europæiske Unions charter om grundlæggende rettigheder, og bør gennemføres i overensstemmelse med disse rettigheder og principper.

(76)

Den Europæiske Tilsynsførende for Databeskyttelse blev hørt i henhold til artikel 28, stk. 2, i Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 (29) og afgav udtalelse den 1. august 2017 (30) —

(1)

Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (»chartret«) og i artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde (TEUF) fastsættes det, at enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende. Denne ret sikres også i artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder.

(2)

Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 (3) sikrer fysiske personer rettigheder, der kan håndhæves, fastlægger de forpligtelser, som de dataansvarlige i fællesskabsinstitutionerne og -organerne har, og indfører en uafhængig tilsynsmyndighed, Den Europæiske Tilsynsførende for Databeskyttelse, der er ansvarlig for tilsynet med behandlingen af personoplysninger i Unionens institutioner og organer. Den gælder dog ikke for behandling af personoplysninger under udøvelsen af en aktivitet i Unionens institutioner og organer, der falder uden for EU-rettens anvendelsesområde.

(3)

Europa-Parlamentets og Rådets forordning (EU) 2016/679 (4) og Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (5) blev vedtaget den 27. april 2016. Mens forordningen fastsætter generelle regler med henblik på at beskytte fysiske personer i forbindelse med behandlingen af personoplysninger og sikre fri udveksling af personoplysninger i Unionen, fastsætter direktivet særlige regler med henblik på at beskytte fysiske personer i forbindelse med behandlingen af personoplysninger og at sikre fri udveksling af personoplysninger i Unionen inden for retligt samarbejde i straffesager og politisamarbejde.

(4)

I henhold til forordning (EU) 2016/679 skal forordning (EF) nr. 45/2001 tilpasses med henblik på sikre en stærk og sammenhængende databeskyttelsesramme i Unionen og muliggøre dennes anvendelse parallelt med forordning (EU) 2016/679.

(5)

Af hensyn til en sammenhængende tilgang til beskyttelse af personoplysninger i hele Unionen og den fri udveksling af personoplysninger i Unionen bør databeskyttelsesreglerne for Unionens institutioner, organer, kontorer og agenturer så vidt muligt tilpasses til de databeskyttelsesregler, der er vedtaget for den offentlige sektor i medlemsstaterne. Når bestemmelserne i nærværende forordning følger de samme principper som bestemmelserne i forordning (EU) 2016/679, bør disse to sæt bestemmelser i overensstemmelse med retspraksis fra Den Europæiske Unions Domstol (»EU-Domstolen«) fortolkes ensartet, navnlig fordi ordningen i nærværende forordning skal betragtes som svarende til ordningen i forordning (EU) 2016/679.

(6)

Personer, hvis personoplysninger behandles af Unionens institutioner og organer, uanset i hvilken sammenhæng, f.eks. fordi de er ansat af disse institutioner og organer, bør beskyttes. Denne forordning bør ikke finde anvendelse på behandlingen af personoplysninger om afdøde personer. Denne forordning finder ikke anvendelse på behandling af personoplysninger, der vedrører juridiske personer, navnlig virksomheder, der er etableret som juridiske personer, herunder den juridiske persons navn, form og kontaktoplysninger.

(7)

For at undgå at skabe en alvorlig risiko for omgåelse bør beskyttelsen af fysiske personer være teknologineutral og ikke afhænge af de anvendte teknikker.

(8)

Denne forordning bør finde anvendelse på behandling af personoplysninger i alle Unionens institutioner, organer, kontorer og agenturer. Den bør finde anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Sagsmapper eller samlinger af sagsmapper samt deres forsider, som ikke er struktureret efter bestemte kriterier, bør ikke være omfattet af denne forordnings anvendelsesområde.

(9)

I erklæring nr. 21 om beskyttelse af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde, der er knyttet som bilag til slutakten fra den regeringskonference, der vedtog Lissabontraktaten, erkendte konferencen, at det kan blive nødvendigt med specifikke regler om beskyttelse af personoplysninger og om fri udveksling af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde baseret på artikel 16 i TEUF som følge af disse områders specifikke karakter. Et særskilt kapitel i denne forordning med generelle regler bør derfor finde anvendelse på behandling af operationelle personoplysninger, såsom personoplysninger, der behandles med henblik på strafferetlig efterforskning i Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter inden for retligt samarbejde i straffesager og politisamarbejde.

(10)

Direktiv (EU) 2016/680 fastsætter harmoniserede regler om beskyttelse og fri udveksling af personoplysninger, der behandles med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed. For at sikre det samme beskyttelsesniveau for fysiske personer gennem rettigheder, der kan håndhæves i hele Unionen, og forhindre forskelle, der hæmmer udvekslingen af personoplysninger mellem Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, og kompetente myndigheder, bør reglerne om beskyttelse og fri udveksling af operationelle personoplysninger, der behandles af sådanne af Unionens organer, kontorer eller agenturer, stemme overens med direktiv (EU) 2016/680.

(11)

De generelle regler i denne forordnings kapitel vedrørende behandling af operationelle personoplysninger bør finde anvendelse med forbehold af de særlige regler, der gælder for behandling af operationelle personoplysninger i Unionens organer, kontorer og agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF. Sådanne særlige regler bør betragtes som lex specialis i forhold til bestemmelserne i denne forordnings kapitel om behandling af operationelle personoplysninger (lex specialis derogat legi generali). Med henblik på at begrænse retlig fragmentering bør specifikke databeskyttelsesregler, der finder anvendelse på behandling af operationelle personoplysninger i Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, stemme overens med de principper, der ligger til grund for denne forordnings kapitel om behandling af operationelle personoplysninger, samt med denne forordnings bestemmelser vedrørende uafhængigt tilsyn, retsmidler, ansvar og sanktioner.

(12)

Denne forordnings kapitel i om behandling af operationelle personoplysninger bør finde anvendelse på Unionens organer, kontorer og agenturer ved udførelse af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, uanset om de udøver sådanne aktiviteter som deres primære eller accessoriske opgave, med henblik på at forebygge, afsløre, efterforske eller retsforfølge strafbare handlinger. Det bør dog ikke finde anvendelse på Europol eller på Den Europæiske Anklagemyndighed, førend retsakterne vedrørende oprettelsen af Europol og Den Europæiske Anklagemyndighed er blevet ændret, således at denne forordnings kapitel om behandling af operationelle personoplysninger, som tilpasset, finder anvendelse på dem.

(13)

Kommissionen bør foretage en evaluering af denne forordning, navnlig denne forordnings kapitel om behandling af operationelle personoplysninger. Kommissionen bør også foretage en evaluering af andre retsakter, som er vedtaget på grundlag af traktaterne, og som regulerer behandlingen af operationelle personoplysninger i Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF. Efter en sådan evaluering bør Kommissionen have mulighed for at forelægge hensigtsmæssige lovgivningsforslag, herunder om nødvendige tilpasninger af denne forordnings kapitel om behandling af operationelle personoplysninger, for at sikre en ensartet og konsekvent beskyttelse af fysiske personer med hensyn til behandling af personoplysninger og med henblik på at anvende nævnte kapitel på Europol og Den Europæiske Anklagemyndighed. Tilpasningerne bør tage hensyn til bestemmelserne om uafhængigt tilsyn, retsmidler, ansvar og sanktioner.

(14)

Behandlingen af administrative personoplysninger, såsom personaleoplysninger, i Unionens organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF, bør være omfattet af denne forordning.

(15)

Denne forordning bør finde anvendelse på behandling af personoplysninger i Unionens institutioner, organer, kontorer eller agenturer ved udførelsen af aktiviteter, der henhører under afsnit V, kapitel 2, i traktaten om Den Europæiske Union (TEU). Denne forordning bør ikke finde anvendelse på behandling af personoplysninger i de missioner, der er omhandlet i artikel 42, stk. 1, og artikel 43 og 44 i TEU, der gennemfører den fælles sikkerheds- og forsvarspolitik. Om nødvendigt bør der fremsættes relevante forslag med henblik på yderligere regulering af behandlingen af personoplysninger inden for den fælles sikkerheds- og forsvarspolitik.

(16)

Principperne om databeskyttelse bør gælde for alle oplysninger om en identificeret eller identificerbar fysisk person. Personoplysninger, der har været genstand for pseudonymisering, og som kan henføres til en fysisk person ved brug af supplerende oplysninger, bør anses for at være oplysninger om en identificerbar fysisk person. For at afgøre, om en fysisk person er identificerbar, bør alle midler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende. For at fastslå, om midler med rimelighed kan tænkes bragt i anvendelse til at identificere en fysisk person, bør alle objektive forhold tages i betragtning, såsom de omkostninger og den tid, der er nødvendig til identifikation, under hensyntagen til den tilgængelige teknologi på behandlingstidspunktet og den teknologiske udvikling. Principperne om databeskyttelse bør derfor ikke gælde for anonyme oplysninger, dvs. oplysninger der ikke vedrører en identificeret eller identificerbar fysisk person, eller for personoplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres. Denne forordning vedrører derfor ikke behandling af sådanne anonyme oplysninger, herunder til statistiske eller forskningsmæssige formål.

(17)

Anvendelsen af pseudonymisering af personoplysninger kan mindske risikoen for de berørte registrerede og gøre det lettere for dataansvarlige og databehandlere at opfylde deres databeskyttelsesforpligtelser. Det er ikke tanken med den udtrykkelige indførelse af »pseudonymisering« i denne forordning at udelukke andre databeskyttelsesforanstaltninger.

(18)

Fysiske personer kan tilknyttes onlineidentifikatorer, som tilvejebringes af deres enheder, applikationer, værktøjer og protokoller, såsom IP-adresser og cookieidentifikatorer, eller andre identifikatorer, såsom radiofrekvensidentifikationsmærker. Dette kan efterlade spor, der, navnlig når de kombineres med unikke identifikatorer og andre oplysninger, som serverne modtager, kan bruges til at oprette profiler om fysiske personer og identificere dem.

(19)

Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der i denne forbindelse tydeligt tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til. Samtidig bør den registrerede til enhver tid kunne trække samtykket tilbage, uden at dette berører lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækning heraf. Med henblik på at sikre, at der frivilligt er givet samtykke, bør samtykke ikke udgøre et gyldigt retsgrundlag for behandling af personoplysninger i et specifikt tilfælde, hvis der er en klar skævhed mellem den registrerede og den dataansvarlige, og det derfor er usandsynligt, at samtykket er givet frivilligt under hensyntagen til alle de omstændigheder, der kendetegner den specifikke situation. Det er ofte ikke muligt fuldt ud at fastlægge formålet med behandling af personoplysninger til videnskabelige forskningsformål, når oplysninger indsamles. De registrerede bør derfor kunne give deres samtykke til bestemte videnskabelige forskningsområder, når dette er i overensstemmelse med anerkendte etiske standarder for videnskabelig forskning. Registrerede bør have mulighed for kun at give deres samtykke til bestemte forskningsområder eller dele af forskningsprojekter i det omfang, det tilsigtede formål tillader det.

(20)

Enhver behandling af personoplysninger bør være lovlig og rimelig. Det bør være gennemsigtigt for de pågældende fysiske personer, at personoplysninger, der vedrører dem, indsamles, anvendes, tilgås eller på anden vis behandles, og i hvilket omfang personoplysningerne behandles eller vil blive behandlet. Princippet om gennemsigtighed tilsiger, at enhver information og kommunikation vedrørende behandling af disse personoplysninger er lettilgængelig og letforståelig, og at der benyttes et klart og enkelt sprog. Dette princip vedrører navnlig oplysningen til de registrerede om den dataansvarliges identitet og formålene med den pågældende behandling samt yderligere oplysninger for at sikre en rimelig og gennemsigtig behandling for de berørte fysiske personer og deres ret til at få bekræftelse og meddelelse om de personoplysninger vedrørende dem, der behandles. Fysiske personer bør gøres bekendt med risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger og med, hvordan de skal udøve deres rettigheder i forbindelse med en sådan behandling. Især bør de specifikke formål med behandlingen af personoplysninger være udtrykkelige og legitime og fastlagt, når personoplysningerne indsamles. Personoplysningerne bør være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålene med deres behandling. Dette kræver navnlig, at det sikres, at perioden for opbevaring af personoplysningerne ikke er længere end strengt nødvendigt. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde. For at sikre, at personoplysninger ikke opbevares i længere tid end nødvendigt, bør den dataansvarlige indføre tidsfrister for sletning eller periodisk gennemgang. Der bør træffes enhver rimelig foranstaltning for at sikre, at personoplysninger, som er urigtige, berigtiges eller slettes. Personoplysninger bør behandles på en måde, der garanterer tilstrækkelig sikkerhed og fortrolighed, herunder for at hindre uautoriseret adgang til eller anvendelse af personoplysninger eller af det udstyr, der anvendes til behandlingen, og for at hindre offentliggørelse under deres fremsendelse.

(21)

I overensstemmelse med princippet om ansvarlighed bør Unionens institutioner og organer, når de fremsender personoplysninger inden for den eller det samme af Unionens institutioner eller organer, og når modtageren ikke er en del af den dataansvarlige, eller til andre af Unionens institutioner eller organer, kontrollere, om sådanne personoplysninger kræves for den lovlige udførelse af opgaver, der henhører under modtagerens kompetence. Efter at en modtager har anmodet om fremsendelse af personoplysninger, bør den dataansvarlige navnlig kontrollere, om der foreligger en relevant begrundelse for lovlig behandling af personoplysninger, samt modtagerens kompetence. Den dataansvarlige bør også foretage en foreløbig vurdering af nødvendigheden af fremsendelsen af oplysningerne. Hvis der opstår tvivl om nødvendigheden, bør den dataansvarlige indhente yderligere oplysninger hos modtageren. Modtageren bør sikre, at nødvendigheden af fremsendelsen af oplysningerne efterfølgende kan kontrolleres.

(22)

For at behandling kan betragtes som lovlig, bør personoplysninger behandles på grundlag af nødvendigheden af at udføre en opgave, som udføres i samfundets interesse af Unionens institutioner og organer eller under deres offentlige myndighedsudøvelse, nødvendigheden af at overholde en retlig forpligtelse, som påhviler den dataansvarlige, eller et andet legitimt grundlag i henhold til denne forordning, herunder den registreredes samtykke, nødvendigheden af at opfylde en kontrakt, som den registrerede er part i, eller af hensyn til foranstaltninger, der træffes på dennes anmodning forud for indgåelse af en sådan kontrakt. Behandling af personoplysninger, som finder sted med henblik på udførelse af de opgaver, som Unionens institutioner og organer udfører i samfundets interesse, omfatter behandling af personoplysninger, der er nødvendig for disse institutioners og organers forvaltning og funktion. Behandling af personoplysninger, der er nødvendig for at beskytte en interesse af fundamental betydning for den registreredes eller en anden fysisk persons liv, bør ligeledes anses for lovlig. Behandling af personoplysninger på grundlag af en anden fysisk persons vitale interesser bør i princippet kun finde sted, hvis behandlingen tydeligvis ikke kan baseres på et andet retsgrundlag. Nogle typer behandling kan tjene både vigtige samfundsmæssige interesser og den registreredes vitale interesser, f.eks. når behandling er nødvendig af humanitære årsager, herunder med henblik på at overvåge epidemier og deres spredning eller i humanitære nødsituationer, navnlig i tilfælde af naturkatastrofer og menneskeskabte katastrofer.

(23)

Den EU-ret, der er omhandlet i denne forordning, bør være klar og præcis, og dens anvendelse bør være forudsigelig for personer, der er omfattet af den, jf. kravene i chartret og den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder.

(24)

De interne regler, der er omhandlet i denne forordning, bør have form af klare og præcise almengyldige retsakter med retsvirkning over for registrerede. De bør vedtages på højeste forvaltningsniveau i Unionens institutioner og organer inden for rammerne af disses beføjelser og i spørgsmål vedrørende disses funktion. De bør offentliggøres i Den Europæiske Unions Tidende. Anvendelsen af disse regler bør være forudsigelig for personer, der er omfattet af dem, i overensstemmelse med kravene i chartret og den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder. Interne regler kan have form af afgørelser, navnlig når de vedtages af Unionens institutioner.

(25)

Behandling af personoplysninger til andre formål end de formål, som personoplysningerne oprindelig blev indsamlet til, bør kun tillades, hvis behandlingen er forenelig med de formål, som personoplysningerne oprindelig blev indsamlet til. I dette tilfælde kræves der ikke andet retsgrundlag end det, der begrundede indsamlingen af personoplysningerne. Hvis behandling er nødvendig for at udføre en opgave i samfundets interesse eller henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, kan EU-retten fastsætte og præcisere de opgaver og formål, hvortil det bør være foreneligt og lovligt at foretage viderebehandling. Viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål bør anses for at være forenelige lovlige behandlingsaktiviteter. Retsgrundlaget i EU-retten for behandling af personoplysninger kan også udgøre et retsgrundlag for viderebehandling. For at fastslå, om et formål med viderebehandling er foreneligt med det formål, som personoplysningerne oprindelig blev indsamlet til, bør den dataansvarlige efter at have opfyldt alle kravene til lovligheden af den oprindelige behandling bl.a. tage hensyn til enhver forbindelse mellem disse formål og formålet med den påtænkte viderebehandling, den sammenhæng, som personoplysningerne er blevet indsamlet i, navnlig de registreredes rimelige forventninger til den videre anvendelse heraf på grundlag af deres forhold til den dataansvarlige, personoplysningernes art, konsekvenserne af den påtænkte viderebehandling for de registrerede og tilstedeværelse af fornødne garantier i forbindelse med både de oprindelige og de påtænkte yderligere behandlingsaktiviteter.

(26)

Hvis behandling er baseret på den registreredes samtykke, bør den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandlingen. Navnlig i forbindelse med skriftlige erklæringer om andre forhold bør garantier sikre, at den registrerede er bekendt med, at og i hvilket omfang der er givet samtykke. I overensstemmelse med Rådets direktiv 93/13/EØF (6) bør der stilles en samtykkeerklæring, som er udformet af den dataansvarlige, til rådighed i en letforståelig og lettilgængelig form og i et klart og enkelt sprog, og den bør ikke indeholde urimelige vilkår. For at sikre, at samtykket er informeret, bør den registrerede som minimum være bekendt med den dataansvarliges identitet og formålene med den behandling, som personoplysningerne skal bruges til. Samtykke bør ikke anses for at være givet frivilligt, hvis den registrerede ikke har et reelt eller frit valg eller ikke kan afvise eller trække sit samtykke tilbage, uden at det er til skade for den pågældende.

(27)

Børn bør nyde særlig beskyttelse af deres personoplysninger, eftersom de ofte er mindre bevidste om de pågældende risici, konsekvenser og garantier og deres rettigheder for så vidt angår behandling af personoplysninger. En sådan særlig beskyttelse bør navnlig gælde for oprettelse af personlighedsprofiler og indsamling af personoplysninger vedrørende børn, når der anvendes tjenester, der tilbydes direkte til et barn på websteder tilhørende Unionens institutioner og organer såsom kommunikationstjenester direkte mellem mennesker eller onlinesalg af billetter, og behandlingen af personoplysninger er baseret på samtykke.

(28)

Når andre modtagere etableret i Unionen end Unionens institutioner og organer ønsker at få fremsendt personoplysninger til dem fra Unionens institutioner og organer, bør disse modtagere påvise, at det er nødvendigt at få oplysningerne fremsendt enten af hensyn til udførelsen af en opgave, der udføres i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som de har fået pålagt. Alternativt bør disse modtagere påvise, at fremsendelsen er nødvendig for et specifikt formål i samfundets interesse, og den dataansvarlige bør fastslå, om der er nogen grund til at formode, at det vil skade den registreredes legitime interesser. I sådanne tilfælde bør den dataansvarlige påviseligt afveje de forskellige foreliggende interesser med henblik på at vurdere forholdsmæssigheden af den anmodede fremsendelse af personoplysninger. Det specifikke formål i samfundets interesse kan vedrøre gennemsigtigheden i Unionens institutioner og organer. Unionens institutioner og organer bør endvidere i overensstemmelse med princippet om gennemsigtighed og god forvaltningsskik godtgøre, at dette er nødvendigt, når de selv indleder en fremsendelse. Kravene i denne forordning til fremsendelse til andre modtagere etableret i Unionen end Unionens institutioner og organer bør betragtes som et supplement til betingelserne for lovlig behandling.

(29)

Personoplysninger, der i kraft af deres karakter er særligt følsomme i forhold til grundlæggende rettigheder og frihedsrettigheder, bør nyde specifik beskyttelse, da den sammenhæng, som behandlingen af dem indgår i, kunne indebære betydelige risici for grundlæggende rettigheder og frihedsrettigheder. Sådanne personoplysninger bør ikke behandles, medmindre de særlige betingelser fastsat i denne forordning er opfyldt. Disse personoplysninger bør omfatte personoplysninger om race eller etnisk oprindelse, idet anvendelsen af udtrykket »race« i denne forordning ikke betyder, at Unionen accepterer teorier, der søger at fastslå, at der findes forskellige menneskeracer. Behandling af fotografier bør ikke systematisk anses for at være behandling af særlige kategorier af personoplysninger, eftersom de kun vil være omfattet af definitionen af biometriske data, når de behandles ved en specifik teknisk fremgangsmåde, der muliggør entydig identifikation eller autentifikation af en fysisk person. Foruden de specifikke krav til behandling af følsomme oplysninger bør de generelle principper og andre regler i denne forordning finde anvendelse, navnlig for så vidt angår betingelserne for lovlig behandling. Der bør udtrykkeligt gives mulighed for undtagelser fra det generelle forbud mod behandling af sådanne særlige kategorier af personoplysninger, bl.a. hvis den registrerede giver sit udtrykkelige samtykke eller for så vidt angår specifikke behov, navnlig hvis behandling foretages i forbindelse med visse sammenslutningers eller stiftelsers legitime aktiviteter, hvis formål er at muliggøre udøvelse af grundlæggende frihedsrettigheder.

(30)

Særlige kategorier af personoplysninger, som bør nyde højere beskyttelse, bør kun behandles til sundhedsmæssige formål, hvor det er nødvendigt for at opfylde disse formål til gavn for fysiske personer og samfundet som helhed, navnlig i forbindelse med forvaltning af sundheds- eller socialydelser og -systemer. Denne forordning bør derfor fastsætte harmoniserede betingelser for behandling af særlige kategorier af personoplysninger om helbredsforhold for så vidt angår specifikke behov, navnlig hvis behandlingen af sådanne oplysninger foretages til visse sundhedsmæssige formål af personer, der er underlagt tavshedspligt. EU-retten bør omfatte specifikke og passende foranstaltninger til at beskytte fysiske personers grundlæggende rettigheder og personoplysninger.

(31)

Behandling af særlige kategorier af personoplysninger kan være nødvendig af hensyn til samfundsinteresser hvad angår folkesundhed uden den registreredes samtykke. En sådan behandling bør være underlagt passende og specifikke foranstaltninger med henblik på at beskytte fysiske personers rettigheder og frihedsrettigheder. I denne sammenhæng fortolkes »folkesundhed« som defineret i Europa-Parlamentets og Rådets forordning (EF) nr. 1338/2008 (7), dvs. alle elementer vedrørende sundhed, nemlig helbredstilstand, herunder sygelighed og invaliditet, determinanter med en indvirkning på helbredstilstanden, behov for sundhedspleje, ressourcer tildelt sundhedsplejen, ydelse af og almen adgang til sundhedspleje, udgifter til og finansiering af sundhedspleje samt dødsårsager. Sådan behandling af helbredsoplysninger af hensyn til samfundsinteresser bør ikke medføre, at personoplysninger behandles til andre formål.

(32)

Hvis de personoplysninger, der behandles af en dataansvarlig, ikke sætter den dataansvarlige i stand til at identificere en fysisk person, bør den dataansvarlige ikke være forpligtet til at indhente yderligere oplysninger for at identificere den registrerede udelukkende med det formål at overholde bestemmelserne i denne forordning. Den dataansvarlige bør dog ikke nægte at tage imod yderligere oplysninger fra den registrerede, som den pågældende giver med henblik på udøvelsen af sine rettigheder. Identifikation bør omfatte digital identifikation af en registreret, f.eks. gennem en autentifikationsmekanisme, såsom de samme legitimationsoplysninger som dem, den registrerede anvender til at logge på den onlinetjeneste, der tilbydes af den dataansvarlige.

(33)

Behandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål bør være omfattet af fornødne garantier for den registreredes rettigheder og frihedsrettigheder i henhold til denne forordning. Disse garantier bør sikre, at der er truffet tekniske og organisatoriske foranstaltninger til især at sikre princippet om dataminimering. Viderebehandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål skal foretages, når den dataansvarlige har vurderet muligheden for at opfylde disse formål ved at behandle oplysninger, som ikke gør det muligt eller ikke længere gør det muligt at identificere de registrerede, forudsat at de fornødne garantier foreligger (som f.eks. pseudonymisering af oplysninger). Unionens institutioner og organer bør sikre de fornødne garantier for behandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i EU-retten, der kan omfatte interne regler vedtaget af Unionens institutioner og organer i spørgsmål vedrørende deres funktion.

(34)

Der bør fastsættes nærmere regler, som kan lette udøvelsen af de registreredes rettigheder i henhold til denne forordning, herunder mekanismer til at anmode om og i givet fald opnå navnlig gratis indsigt i og berigtigelse eller sletning af personoplysninger og udøvelsen af retten til indsigelse. Den dataansvarlige bør også give mulighed for elektroniske anmodninger, navnlig hvis personoplysninger behandles elektronisk. Den dataansvarlige bør være forpligtet til at besvare sådanne anmodninger fra en registreret uden unødig forsinkelse og senest inden for en måned og begrunde det, hvis vedkommende ikke agter at imødekomme sådanne anmodninger.

(35)

Principperne om rimelig og gennemsigtig behandling kræver, at den registrerede underrettes om behandlingsaktiviteters eksistens og deres formål. Den dataansvarlige bør give den registrerede eventuelle yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling, under hensyntagen til de specifikke omstændigheder og forhold, som personoplysningerne behandles under. Den registrerede bør desuden underrettes om tilstedeværelse af profilering og konsekvenserne heraf. Hvis personoplysninger indsamles fra den registrerede, bør den registrerede også underrettes om, hvorvidt den pågældende er forpligtet til at meddele personoplysningerne, og om konsekvenserne, hvis vedkommende ikke meddeler sådanne oplysninger. Denne information kan gives sammen med standardiserede ikoner med henblik på at give et meningsfuldt overblik over den planlagte behandling på en klart synlig, letlæselig og letforståelig måde. Hvis ikonerne præsenteres elektronisk, bør de være maskinlæsbare.

(36)

Oplysninger om behandling af personoplysninger bør gives til den registrerede på tidspunktet for indsamlingen fra den registrerede, eller hvis personoplysningerne indhentes fra en anden kilde, inden for en rimelig periode afhængigt af de konkrete omstændigheder. Hvis personoplysninger lovligt kan videregives til en anden modtager, bør den registrerede underrettes, når personoplysningerne første gang videregives til modtageren. Hvis den dataansvarlige agter at behandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, bør den dataansvarlige forud for denne viderebehandling give den registrerede oplysninger om dette andet formål og andre nødvendige oplysninger. Hvis den registrerede ikke kan informeres om personoplysningernes oprindelse, fordi der er anvendt forskellige kilder, bør der gives generelle oplysninger.

(37)

En registreret bør have ret til indsigt i personoplysninger, der er indsamlet om vedkommende, og til let og med rimelige mellemrum at udøve denne ret med henblik på at forvisse sig om og kontrollere behandlingens lovlighed. Dette omfatter de registreredes ret til indsigt i deres helbredsoplysninger, f.eks. data i deres lægejournaler om diagnoser, undersøgelsesresultater, lægelige vurderinger samt enhver behandling og ethvert indgreb, der er foretaget. Enhver registreret bør derfor have ret til at kende og blive underrettet om navnlig de formål, hvortil personoplysningerne behandles, om muligt perioden, hvor personoplysningerne behandles, modtagerne af personoplysningerne, logikken bag en automatisk behandling af personoplysninger, og om konsekvenserne af sådan behandling, i det mindste når den er baseret på profilering. Denne ret bør ikke krænke andres rettigheder eller frihedsrettigheder, herunder forretningshemmeligheder eller intellektuel ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af. Denne vurdering bør dog ikke resultere i en afvisning af at give al information til den registrerede. Hvis den dataansvarlige behandler en stor mængde oplysninger om den registrerede, bør den dataansvarlige kunne anmode om, at den registrerede, inden informationen gives, præciserer den information eller de behandlingsaktiviteter, som anmodningen vedrører.

(38)

En registreret bør have ret til at få berigtiget sine personoplysninger og »ret til at blive glemt«, hvis opbevaringen af sådanne oplysninger overtræder denne forordning eller EU-ret, som den dataansvarlige er underlagt. En registreret bør have ret til at få sine personoplysninger slettet og ikke længere behandlet, hvis personoplysningerne ikke længere er nødvendige til de formål, hvortil de er blevet indsamlet eller på anden måde behandlet, hvis en registreret har trukket sit samtykke tilbage eller gør indsigelse mod behandling af personoplysninger om vedkommende, eller hvis behandlingen af vedkommendes personoplysninger i øvrigt ikke er i overensstemmelse med denne forordning. Denne ret er navnlig relevant, når den registrerede har givet sit samtykke som barn og ikke fuldt ud var bekendt med risiciene i forbindelse med behandlingen og senere ønsker at fjerne sådanne personoplysninger, særligt på internettet. Den registrerede bør kunne udøve denne ret, selv om vedkommende ikke længere er et barn. Yderligere opbevaring af personoplysningerne bør dog være lovlig, hvis det er nødvendigt for at udøve retten til ytrings- og informationsfrihed, for at overholde en retlig forpligtelse, for udførelsen af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, af hensyn til samfundsinteresser på folkesundhedsområdet, til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller statistiske formål, eller for at retskrav kan fastlægges, gøres gældende eller forsvares.

(39)

For at styrke retten til at blive glemt i onlinemiljøet bør retten til sletning udvides, så en dataansvarlig, der har offentliggjort personoplysninger, forpligtes til at underrette de dataansvarlige, der behandler sådanne personoplysninger, med henblik på at få slettet alle link til, kopier af eller gengivelser af disse personoplysninger. I den forbindelse bør den dataansvarlige tage rimelige skridt under hensyntagen til den tilgængelige teknologi og de midler, som den dataansvarlige har til sin rådighed, herunder tekniske foranstaltninger, til at informere de dataansvarlige, der behandler personoplysningerne, om den registreredes anmodning.

(40)

Metoder til at begrænse behandlingen af personoplysninger kan bl.a. indebære, at udvalgte oplysninger midlertidig flyttes til et andet behandlingssystem, at udvalgte personoplysninger gøres utilgængelige for brugere, eller at offentliggjorte oplysninger midlertidig fjernes fra et websted. I automatiske registre bør begrænsning af behandling i princippet sikres ved hjælp af tekniske midler på en sådan måde, at personoplysningerne ikke kan viderebehandles og ikke kan ændres. Det forhold, at behandling af personoplysninger er begrænset, bør angives tydeligt i systemet.

(41)

For at give den registrerede øget kontrol over sine personoplysninger bør vedkommende, når behandling af personoplysninger foretages automatisk, også kunne modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, i et struktureret, almindeligt anvendt, maskinlæsbart og indbyrdes kompatibelt format og kunne fremsende dem til en anden dataansvarlig. Dataansvarlige bør opfordres til at udvikle indbyrdes kompatible formater, der muliggør dataportabilitet. Denne ret bør gælde, hvis den registrerede har givet personoplysningerne på grundlag af sit samtykke, eller hvis behandlingen er nødvendig for opfyldelsen af en kontrakt. Derfor bør den ikke gælde, hvis behandlingen af personoplysninger er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, eller for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Den registreredes ret til at fremsende eller modtage personoplysninger vedrørende sig selv bør ikke skabe en forpligtelse for de dataansvarlige til at indføre eller opretholde behandlingssystemer, som er teknisk kompatible. Såfremt et sæt personoplysninger vedrører mere end én registreret, bør retten til at modtage personoplysningerne ikke berøre andre registreredes rettigheder og frihedsrettigheder i overensstemmelse med denne forordning. Denne ret bør endvidere ikke berøre den registreredes ret til at få slettet personoplysninger og begrænsningerne i denne ret som fastsat i denne forordning og bør navnlig ikke indebære, at personoplysninger, som den registrerede har givet til opfyldelse af en kontrakt, slettes, i det omfang og så længe personoplysningerne er nødvendige for opfyldelse af kontrakten. Hvis det er teknisk muligt, bør den registrerede have ret til at få personoplysningerne fremsendt direkte fra en dataansvarlig til en anden.

(42)

Hvis personoplysninger kan behandles lovligt, fordi behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, bør en registreret ikke desto mindre have ret til at gøre indsigelse mod behandling af personoplysninger på baggrund af den pågældendes særlige situation. Det bør være op til den dataansvarlige at påvise, at dennes vægtige legitime interesse går forud for den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder.

(43)

Den registrerede bør have ret til ikke at blive gjort til genstand for en afgørelse, der kan omfatte en foranstaltning, som evaluerer personlige forhold vedrørende vedkommende, og som alene bygger på automatisk behandling, og som har retsvirkning eller som på tilsvarende vis i betydelig grad påvirker den pågældende, såsom e-rekrutteringsprocedurer uden nogen menneskelig indgriben. En sådan behandling omfatter »profilering«, der består af enhver form for automatisk behandling af personoplysninger, der evaluerer de personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den registreredes arbejdsindsats, økonomiske situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografiske position eller bevægelser, når den har retsvirkning for den pågældende eller på tilsvarende vis i betydelig grad påvirker den pågældende.

Afgørelser baseret på en sådan behandling, herunder profilering, bør dog være tilladt, når EU-retten udtrykkeligt tillader det. En sådan behandling bør under alle omstændigheder være omfattet af de fornødne garantier, herunder specifik underretning af den registrerede og retten til menneskelig indgriben, til at fremkomme med synspunkter, til at få en forklaring på den afgørelse, der er truffet efter en sådan evaluering, og til at bestride afgørelsen. En sådan foranstaltning bør ikke omfatte et barn. For at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede under hensyntagen til de specifikke omstændigheder og forhold, som personoplysningerne behandles under, bør den dataansvarlige anvende passende matematiske eller statistiske procedurer til profileringen, gennemføre tekniske og organisatoriske foranstaltninger, der navnlig kan sikre, at faktorer, der resulterer i unøjagtige personoplysninger, bliver rettet, og at risikoen for fejl minimeres, samt sikre personoplysninger på en måde, der tager højde for de potentielle risici for den registreredes interesser og rettigheder og hindrer bl.a. forskelsbehandling af fysiske personer på grund af race eller etnisk oprindelse, politisk eller religiøs overbevisning, fagforeningsmæssigt tilhørsforhold, genetisk status eller helbredstilstand eller seksuel orientering, eller behandling som resulterer i foranstaltninger, der har en sådan virkning. Automatiske afgørelser og profilering baseret på særlige kategorier af personoplysninger bør kun tillades under særlige omstændigheder.

(44)

Retsakter vedtaget på grundlag af traktaterne eller interne regler vedtaget af Unionens institutioner og organer i spørgsmål vedrørende deres funktion kan pålægge restriktioner vedrørende specifikke principper og retten til oplysninger, indsigt i og berigtigelse eller sletning af personoplysninger, retten til dataportabilitet, fortroligheden af elektroniske kommunikationsdata samt underretning om et brud på persondatasikkerheden til en registreret og visse tilknyttede forpligtelser for de dataansvarlige, for så vidt det er nødvendigt og forholdsmæssigt i et demokratisk samfund af hensyn til den offentlige sikkerhed, og til forebyggelse, efterforskning og retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner. Dette omfatter beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed, beskyttelse af menneskeliv, især som reaktion på naturkatastrofer eller menneskeskabte katastrofer, intern sikkerhed i Unionens institutioner og organer, andre af Unionens eller en medlemsstats samfundsinteresser, navnlig målene med Unionens fælles udenrigs- og sikkerhedspolitik eller Unionens eller en medlemsstats vigtige økonomiske eller finansielle interesser, og føring af offentlige registre i offentlighedens interesse eller beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder, herunder social sikring, folkesundhed og humanitære formål.

(45)

Der bør fastsættes bestemmelser om den dataansvarliges ansvar, herunder erstatningsansvar, for enhver behandling af personoplysninger, der foretages af den dataansvarlige eller på den dataansvarliges vegne. Den dataansvarlige bør navnlig have pligt til at gennemføre passende og effektive foranstaltninger og til at påvise, at behandlingsaktiviteter overholder denne forordning, herunder foranstaltningernes effektivitet. Disse foranstaltninger bør tage højde for behandlingens karakter, omfang, sammenhæng og formål og risikoen for fysiske personers rettigheder og frihedsrettigheder.

(46)

Risiciene for fysiske personers rettigheder og frihedsrettigheder af varierende sandsynlighed og alvor kan opstå som følge af behandling af personoplysninger, der kan føre til fysisk, materiel eller immateriel skade, navnlig hvis behandlingen kan give anledning til forskelsbehandling, identitetstyveri eller -svig, finansielle tab, skade på omdømme, tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt, uautoriseret ophævelse af pseudonymisering eller andre betydelige økonomiske eller sociale konsekvenser, hvis de registrerede kan blive berøvet deres rettigheder og frihedsrettigheder eller forhindret i at udøve kontrol med deres personoplysninger, hvis der behandles personoplysninger, der viser race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, og behandling af genetiske data, helbredsoplysninger eller oplysninger om seksuelle forhold eller straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger, hvis personlige forhold evalueres, navnlig analyse eller forudsigelse af forhold vedrørende indsats på arbejdspladsen, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografisk position eller bevægelser, med henblik på at oprette eller anvende personlige profiler, hvis der behandles personoplysninger om sårbare fysiske personer, navnlig børn, eller hvis behandlingen omfatter en stor mængde personoplysninger og berører et stort antal registrerede.

(47)

Risikoens sandsynlighed og alvor for så vidt angår den registreredes rettigheder og frihedsrettigheder bør bestemmes med henvisning til behandlingens karakter, omfang, sammenhæng og formål. Risikoen bør evalueres på grundlag af en objektiv vurdering, hvorved det fastslås, om databehandlingsaktiviteter indebærer en risiko eller en høj risiko.

(48)

Beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger kræver, at der træffes passende tekniske og organisatoriske foranstaltninger for at sikre, at denne forordnings krav er opfyldt. For at kunne påvise overholdelse af denne forordning bør den dataansvarlige vedtage interne politikker og gennemføre foranstaltninger, som især lever op til principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger. Sådanne foranstaltninger kan bl.a. bestå i minimering af behandlingen af personoplysninger, pseudonymisering af personoplysninger så hurtigt som muligt og gennemsigtighed for så vidt angår personoplysningers funktion og behandling, således at den registrerede kan føre tilsyn med databehandlingen, og den dataansvarlige kan tilvejebringe og forbedre sikkerhedselementer. Der bør også tages hensyn til principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i forbindelse med offentlige udbud.

(49)

Forordning (EU) 2016/679 giver dataansvarlige mulighed for at påvise overholdelse ved at overholde godkendte certificeringsmekanismer. Tilsvarende bør Unionens institutioner og organer kunne påvise overholdelse af nærværende forordning ved at opnå certificering i henhold til artikel 42 i forordning (EU) 2016/679.

(50)

Beskyttelse af registreredes rettigheder og frihedsrettigheder samt de dataansvarliges og databehandlernes ansvar og erstatningsansvar kræver en klar fordeling af ansvarsområderne i medfør af denne forordning, herunder når en dataansvarlig fastlægger formålene med og hjælpemidlerne til behandling sammen med andre dataansvarlige, eller når en behandlingsaktivitet foretages på vegne af en dataansvarlig.

(51)

Med henblik på at sikre overholdelse af kravene i denne forordning i forbindelse med behandling, der foretages af en databehandler på vegne af den dataansvarlige, når databehandleren overdrages behandlingsaktiviteter, bør den dataansvarlige udelukkende benytte sig af databehandlere, der giver tilstrækkelige garantier, navnlig i form af ekspertise, pålidelighed og ressourcer, for implementering af tekniske og organisatoriske foranstaltninger, der opfylder kravene i denne forordning, herunder med hensyn til behandlingssikkerhed. Databehandleres, bortset fra Unionens institutioners og organers, overholdelse af en godkendt adfærdskodeks eller en godkendt certificeringsmekanisme kan bruges som et element til at påvise, at den dataansvarlige overholder sine forpligtelser. Bestemmelserne om behandling ved andre databehandlere end Unionens institutioner eller organer bør fastsættes i en kontrakt eller, hvis Unionens institutioner eller organer fungerer som databehandlere, i en kontrakt eller et andet retligt dokument i henhold til EU-retten, der binder databehandleren til den dataansvarlige, og hvori behandlingens genstand og varighed, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede er fastsat, idet der tages hensyn til databehandleres specifikke opgaver og ansvar i forbindelse med den behandling, der skal foretages, og risikoen for den registreredes rettigheder og frihedsrettigheder. Den dataansvarlige og databehandleren bør være i stand til at vælge at anvende en individuel kontrakt eller standardkontraktbestemmelser, der er vedtaget enten direkte af Kommissionen eller af Den Europæiske Tilsynsførende for Databeskyttelse og derefter vedtaget af Kommissionen. Databehandleren bør efter den dataansvarliges valg tilbagelevere eller slette de pågældende personoplysninger efter afslutning af den behandling, der er foretaget på vegne af den dataansvarlige, medmindre EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt, indeholder et krav om opbevaring af disse personoplysninger.

(52)

For at påvise overholdelse af denne forordning bør de dataansvarlige føre fortegnelser over behandlingsaktiviteter, der henhører under deres ansvar, og databehandlerne bør føre fortegnelser over de kategorier af behandlingsaktiviteter, der henhører under deres ansvar. Unionens institutioner og organer bør have pligt til at samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse og efter anmodning stille disse fortegnelser til rådighed for denne, så de kan bruges til at føre tilsyn med sådanne behandlingsaktiviteter. Medmindre dette ikke er hensigtsmæssigt under hensyntagen til den eller det pågældende af Unionens institutioners eller agenturers størrelse, bør Unionens -institutioner og organer kunne oprette en central fortegnelse over deres behandlingsaktiviteter. Af hensyn til gennemsigtigheden bør de også kunne offentliggøre en sådan fortegnelse.

(53)

For at opretholde sikkerheden og hindre behandling i strid med denne forordning bør den dataansvarlige eller databehandleren vurdere de risici, som en behandling indebærer, og gennemføre foranstaltninger, der kan begrænse disse risici, som f.eks. kryptering. Disse foranstaltninger bør under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne sikre et tilstrækkeligt sikkerhedsniveau, herunder fortrolighed, i forhold til risiciene og karakteren af de personoplysninger, der skal beskyttes. Ved vurderingen af datasikkerhedsrisikoen bør der tages hensyn til de risici, som behandling af personoplysninger indebærer, såsom hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret fremsendelse af eller adgang til personoplysninger, der er fremsendt, opbevaret eller på anden måde behandlet, og som navnlig kan føre til fysisk, materiel eller immateriel skade.

(54)

Unionens institutioner og organer bør sikre fortroligheden af elektronisk kommunikation i overensstemmelse med artikel 7 i chartret. Unionens institutioner og organer bør navnlig garantere sikkerheden i forbindelse med deres elektroniske kommunikationsnetværk. De bør beskytte oplysninger vedrørende brugeres terminaludstyr med adgang til deres offentligt tilgængelige websteder og mobilapplikationer i overensstemmelse med Europa-Parlamentets og Rådets direktiv 2002/58/EF (8). De bør også beskytte brugernes personoplysninger opbevaret i brugerfortegnelser.

(55)

Et brud på persondatasikkerheden kan, hvis det ikke håndteres på en passende og rettidig måde, påføre fysiske personer fysisk, materiel eller immateriel skade. Så snart den dataansvarlige bliver bekendt med, at der er sket et brud på persondatasikkerheden, bør vedkommende derfor anmelde bruddet på persondatasikkerheden til Den Europæiske Tilsynsførende for Datasikkerhed uden unødig forsinkelse og om muligt senest 72 timer efter, at denne er blevet bekendt med det, medmindre den dataansvarlige i overensstemmelse med ansvarlighedsprincippet kan påvise, at bruddet på persondatasikkerheden sandsynligvis ikke indebærer risiko for fysiske personers rettigheder eller frihedsrettigheder. Hvis en sådan anmeldelse ikke kan ske inden for 72 timer, bør den ledsages af en begrundelse for forsinkelsen, og oplysningerne kan indgives trinvis uden unødig yderligere forsinkelse. Hvis en sådan forsinkelse er berettiget, bør mindre følsomme eller mindre specifikke oplysninger om bruddet offentliggøres snarest muligt, frem for at vente med at foretage anmeldelse, indtil den underliggende hændelse er løst fuldt og helt.

(56)

Den dataansvarlige bør underrette den registrerede om et brud på persondatasikkerheden uden unødig forsinkelse, når dette brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for den fysiske persons rettigheder og frihedsrettigheder, med henblik på at give vedkommende mulighed for at træffe de fornødne forholdsregler. Underretningen bør beskrive karakteren af bruddet på persondatasikkerheden og indeholde anbefalinger til den berørte fysiske person med henblik på at begrænse de mulige skadevirkninger. Sådanne underretninger til registrerede bør gives, så snart det med rimelighed er muligt, og i tæt samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse i overensstemmelse med retningslinjer, der er udstukket af denne eller af andre relevante myndigheder, såsom retshåndhævende myndigheder.

(57)

Forordning (EF) nr. 45/2001 pålægger den dataansvarlige en generel forpligtelse til at anmelde behandlingen af personoplysninger til databeskyttelsesrådgiveren. Medmindre dette ikke er hensigtsmæssigt under hensyntagen til den eller det pågældende af Unionens institutioners eller agenturers størrelse skal databeskyttelsesrådgiveren føre en fortegnelse over anmeldte behandlingsaktiviteter. Ud over denne generelle forpligtelse bør der opstilles effektive procedurer og mekanismer til at overvåge behandlingsaktiviteter, der sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder som følge af deres karakter, omfang, sammenhæng og formål. Der bør navnlig også etableres sådanne procedurer, når typerne af behandlingsaktiviteter indebærer brug af ny teknologi eller er en ny form for aktivitet, hvor den dataansvarlige endnu ikke har foretaget en konsekvensanalyse vedrørende databeskyttelse, eller som er blevet nødvendige på grund af den tid, der er gået siden den oprindelige behandling. I sådanne tilfælde bør den dataansvarlige inden behandlingen foretage en konsekvensanalyse vedrørende databeskyttelse med henblik på at vurdere den høje risikos specifikke sandsynlighed og alvor under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risikokilderne. Konsekvensanalysen bør navnlig omfatte de foranstaltninger, garantier og mekanismer, der er planlagt til begrænsning af denne risiko, til sikring af beskyttelsen af personoplysninger og påvisning af overholdelse af denne forordning.

(58)

Såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at en behandling uden garantier, sikkerhedsforanstaltninger og mekanismer til at begrænse risikoen vil føre til en høj risiko for fysiske personers rettigheder og frihedsrettigheder, og den dataansvarlige mener, at risikoen ikke kan begrænses gennem rimelige midler for så vidt angår tilgængelig teknologi og gennemførelsesomkostninger, bør Den Europæiske Tilsynsførende for Databeskyttelse høres inden indledning af behandlingsaktiviteterne. En sådan høj risiko vil sandsynligvis være en følge af visse typer behandling og omfanget og hyppigheden af behandlingen, der også kunne føre til skade for eller indgreb i fysiske personers rettigheder og frihedsrettigheder. Den Europæiske Tilsynsførende for Databeskyttelse bør reagere på en høringsanmodning inden for et fastsat tidsrum. Den Europæiske Tilsynsførende for Databeskyttelses manglende reaktion inden for dette tidsrum bør dog ikke berøre Den Europæiske Tilsynsførende for Databeskyttelses mulighed for at gribe ind i overensstemmelse med vedkommendes opgaver og beføjelser i henhold til denne forordning, herunder beføjelsen til at forbyde behandlingsaktiviteter. Som led i denne høringsproces bør det være muligt at forelægge resultatet af en konsekvensanalyse vedrørende databeskyttelse, der foretages for den pågældende behandling, for Den Europæiske Tilsynsførende for Databeskyttelse, navnlig de foranstaltninger, der påtænkes for at begrænse risikoen for fysiske personers rettigheder og frihedsrettigheder.

(59)

Den Europæiske Tilsynsførende for Databeskyttelse bør underrettes om administrative foranstaltninger og høres om interne regler vedtaget af Unionens institutioner og organer i spørgsmål vedrørende deres funktion, når disse muliggør behandlingen af personoplysninger, fastsætter betingelser for begrænsninger af de registreredes rettigheder eller tilvejebringer passende garantier for de registreredes rettigheder, for at sikre, at den planlagte behandling er i overensstemmelse med denne forordning, navnlig for så vidt angår begrænsning af risiciene for den registrerede.

(60)

Med forordning (EU) 2016/679 blev Det Europæiske Databeskyttelsesråd oprettet som et uafhængigt EU-organ med status som juridisk person. Databeskyttelsesrådet bør bidrage til en konsekvent anvendelse af forordning (EU) 2016/679 og direktiv (EU) 2016/680 i hele Unionen, herunder ved at rådgive Kommissionen. Samtidig bør Den Europæiske Tilsynsførende for Databeskyttelse fortsat udføre sine tilsyns- og rådgivningsfunktioner over for alle Unionens institutioner og organer, på eget initiativ eller efter anmodning. Med henblik på at sikre sammenhæng mellem databeskyttelsesreglerne i hele Unionen bør Kommissionen, når den udarbejder forslag eller henstillinger, bestræbe sig på at høre Den Europæiske Tilsynsførende for Databeskyttelse. Det bør være obligatorisk at høre Kommissionen efter vedtagelsen af lovgivningsmæssige retsakter eller under udarbejdelsen af delegerede retsakter og gennemførelsesretsakter som defineret i artikel 289, 290 og 291 i TEUF og efter vedtagelsen af henstillinger og forslag vedrørende aftaler med tredjelande og internationale organisationer som omhandlet i artikel 218 i TEUF, der har konsekvenser for retten til beskyttelse af personoplysninger. I sådanne tilfælde bør Kommissionen have pligt til at høre Den Europæiske Tilsynsførende for Databeskyttelse, undtagen hvor forordning (EU) 2016/679 foreskriver obligatorisk høring af Det Europæiske Databeskyttelsesråd, f.eks. om afgørelser om tilstrækkeligheden af beskyttelsesniveauet eller delegerede retsakter om standardiserede ikoner og krav til certificeringsmekanismer. Når den pågældende retsakt har særlig betydning for beskyttelsen af fysiske personers rettigheder og frihedsrettigheder med hensyn til behandlingen af personoplysninger, bør Kommissionen derudover have mulighed for at høre Det Europæiske Databeskyttelsesråd. I disse tilfælde bør Den Europæiske Tilsynsførende for Databeskyttelse som medlem af Det Europæiske Databeskyttelsesråd koordinere sit arbejde med sidstnævnte med henblik på at afgive en fælles udtalelse. Den Europæiske Tilsynsførende for Databeskyttelse og, hvor det er hensigtsmæssigt, Det Europæiske Databeskyttelsesråd bør yde deres skriftlige rådgivning inden otte uger. Denne tidsramme bør være kortere i hastende tilfælde, eller hvor det i øvrigt er hensigtsmæssigt, f.eks. når Kommissionen udarbejder delegerede retsakter og gennemførelsesretsakter.

(61)

I overensstemmelse med artikel 75 i forordning (EU) 2016/679 bør Den Europæiske Tilsynsførende for Databeskyttelse fungere som sekretariat for Det Europæiske Databeskyttelsesråd.

(62)

I alle Unionens institutioner og organer bør en databeskyttelsesrådgiver sikre, at bestemmelserne i denne forordning finder anvendelse, og bør rådgive de dataansvarlige og databehandlerne under opfyldelsen af deres forpligtelser. Denne rådgiver børe være en person med ekspertviden om databeskyttelseslovgivning og -praksis, der navnlig bør fastlægges i forhold til de databehandlingsaktiviteter, der foretages af den dataansvarlige eller databehandleren, og den beskyttelse, der kræves for de omhandlede personoplysninger. Sådanne databeskyttelsesrådgivere bør være i stand til at udøve deres hverv på uafhængig vis.

(63)

Når personoplysninger overføres fra Unionens institutioner og organer til dataansvarlige, databehandlere eller andre modtagere i tredjelande eller til internationale organisationer, bør det beskyttelsesniveau, som fysiske personer sikres i Unionen i medfør af denne forordning, garanteres. De samme garantier bør gælde i tilfælde af videreoverførsel af personoplysninger fra et tredjeland eller en international organisation til dataansvarlige, databehandlere i det samme eller et andet tredjeland eller en anden international organisation. Overførsel til tredjelande og internationale organisationer må under alle omstændigheder kun finde sted under fuld overholdelse af denne forordning og med respekt for de grundlæggende rettigheder og frihedsrettigheder, der er fastsat i chartret. En overførsel vil kun kunne finde sted, hvis den dataansvarlige eller databehandleren opfylder betingelserne i denne forordning vedrørende overførsel af personoplysninger til tredjelande eller internationale organisationer, jf. dog de øvrige bestemmelser i denne forordning.

(64)

Kommissionen kan i henhold til artikel 45 i forordning (EU) 2016/679 eller artikel 36 i direktiv (EU) 2016/680 beslutte, at et tredjeland, et område eller en specifik sektor i et tredjeland, eller en international organisation sikrer et tilstrækkeligt databeskyttelsesniveau. I sådanne tilfælde kan personoplysninger overføres til det pågældende tredjeland eller den pågældende internationale organisation af en af Unionens institutioner eller et af Unionens organer uden yderligere godkendelse.

(65)

I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet bør den dataansvarlige eller databehandleren træffe foranstaltninger for at kompensere for den manglende databeskyttelse i et tredjeland i form af fornødne garantier for den registrerede. Sådanne fornødne garantier kan bestå i anvendelse af standardbestemmelser om databeskyttelse vedtaget af Kommissionen, standardbestemmelser om databeskyttelse vedtaget af en Den Europæiske Tilsynsførende for Databeskyttelse eller kontraktbestemmelser godkendt af Den Europæiske Tilsynsførende for Databeskyttelse. Når databehandleren ikke er en eller et af Unionens institutioner eller organer, kan disse fornødne garantier også bestå i bindende virksomhedsregler, adfærdskodekser og certificeringsmekanismer, der anvendes til internationale overførsler i henhold til forordning (EU) 2016/679. Disse garantier bør sikre overholdelse af databeskyttelseskravene og de registreredes rettigheder i forbindelse med intern behandling i Unionen, herunder tilgængelighed af rettigheder, som kan håndhæves, for registrerede og effektive retsmidler, herunder til at opnå effektiv administrativ eller retslig prøvelse og til at kræve erstatning, i Unionen eller et tredjeland. Garantierne bør navnlig vedrøre overholdelse af de generelle principper for behandling af personoplysninger og principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger. Overførsler kan også foretages af Unionens institutioner eller organer til offentlige myndigheder eller organer i tredjelande eller til internationale organisationer med tilsvarende opgaver eller funktioner, herunder på grundlag af bestemmelser, der medtages i administrative ordninger, f.eks. et aftalememorandum, hvorved de registrerede sikres effektive rettigheder, som kan håndhæves. Godkendelse fra Den Europæiske Tilsynsførende for Databeskyttelse bør indhentes, når garantierne indgår i administrative ordninger, der ikke er juridisk bindende.

(66)

Den dataansvarliges eller databehandlerens mulighed for at bruge standardbestemmelser om databeskyttelse vedtaget af Kommissionen eller Den Europæiske Tilsynsførende for Databeskyttelse bør hverken udelukke muligheden for, at den dataansvarlige eller databehandleren medtager standardbestemmelser om databeskyttelse i en bredere kontrakt, såsom en kontrakt mellem databehandleren og en anden databehandler, eller medtager andre bestemmelser eller yderligere garantier, såfremt de hverken direkte eller indirekte er i strid med de standardkontraktbestemmelser, der er vedtaget af Kommissionen eller en tilsynsmyndighed, eller berører de registreredes grundlæggende rettigheder eller frihedsrettigheder. Dataansvarlige og databehandlere bør tilskyndes til at give yderligere garantier gennem kontraktmæssige forpligtelser, der supplerer standardbestemmelser om databeskyttelse.

(67)

Visse tredjelande vedtager love, forskrifter og andre retsakter med det formål direkte at regulere behandlingsaktiviteter, som udføres af Unionens institutioner og organer. Dette kan omfatte retsafgørelser eller administrative myndigheders afgørelser i tredjelande, der kræver, at en dataansvarlig eller en databehandler overfører eller videregiver personoplysninger, og som ikke er baseret på en gældende international aftale mellem det anmodende tredjeland og Unionen. Ekstraterritorial anvendelse af sådanne love, forskrifter og andre retsakter kan være i strid med folkeretten og hindre opnåelse af den beskyttelse af fysiske personer, der sikres i Unionen ved denne forordning. Overførsel af oplysninger bør kun tillades, hvis denne forordnings betingelser for overførsel til tredjelande er opfyldt. Det kan være tilfældet, bl.a. hvis videregivelse er nødvendig af hensyn til vigtige samfundsinteresser, der anerkendes i EU-retten.

(68)

Der bør i specifikke situationer åbnes mulighed for overførsel, når den registrerede har givet sit udtrykkelige samtykke, og hvor overførsel er lejlighedsvis og nødvendig i forbindelse med en kontrakt eller et retskrav, uanset om det sker i forbindelse med en retssag eller en administrativ eller udenretslig procedure, herunder procedurer ved reguleringsorganer. Overførsel bør også tillades, når vigtige samfundsinteresser i henhold til EU-retten kræver det, eller når overførsel sker fra et register, der er oprettet ved lov, og som er tilgængeligt for offentligheden eller personer med en legitim interesse. I sidstnævnte tilfælde bør sådan overførsel ikke omfatte alle personoplysningerne eller alle kategorier af oplysninger i registeret, medmindre det er tilladt ifølge EU-retten, og når registeret er beregnet til at blive konsulteret af personer, der har en legitim interesse, bør overførsel kun ske på anmodning af disse personer eller, hvis de selv er modtagere, under fuld hensyntagen til den registreredes interesser og grundlæggende rettigheder.

(69)

Disse undtagelser bør navnlig gælde for overførsel af oplysninger, der foretages af hensyn til vigtige samfundsinteresser, f.eks. international udveksling af oplysninger mellem Unionens institutioner og organer og konkurrencemyndigheder, skatte- eller toldforvaltninger, finansielle tilsynsmyndigheder eller social- og sundhedsmyndigheder, f.eks. i tilfælde af kontaktopsporing i forbindelse med smitsomme sygdomme eller for at nedbringe og/eller afskaffe doping inden for sport. Overførsel af personoplysninger, der er nødvendig for at beskytte et hensyn af fundamental betydning for den registreredes eller en anden persons vitale interesser, herunder fysisk integritet eller liv, bør ligeledes anses for lovlig, hvis den registrerede er ude af stand til at give sit samtykke. I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet kan EU-retten af hensyn til vigtige samfundsinteresser udtrykkelig fastsætte grænser for overførsel af særlige kategorier af oplysninger til et tredjeland eller en international organisation. Enhver overførsel til en international humanitær organisation af personoplysninger om en registreret, der ikke fysisk eller juridisk er i stand til at give sit samtykke, med henblik på udførelse af en opgave i henhold til Genèvekonventionerne eller for at overholde international humanitær ret, som finder anvendelse i væbnede konflikter, kan anses for at være nødvendig af hensyn til vigtige samfundsinteresser, eller fordi det er af vital interesse for den registrerede.

(70)

Hvis Kommissionen ikke har truffet afgørelse om tilstrækkeligheden af databeskyttelsesniveauet i et tredjeland, bør den dataansvarlige eller databehandleren under alle omstændigheder benytte løsninger, der giver de registrerede effektive rettigheder, som kan håndhæves, hvad angår behandlingen af deres personoplysninger i Unionen, når disse oplysninger er blevet overført, så de fortsat vil nyde godt af grundlæggende rettigheder og garantier.

(71)

Når personoplysninger overføres på tværs af grænser uden for Unionen, kan det medføre yderligere risici for fysiske personers mulighed for at udøve deres databeskyttelsesrettigheder og beskytte sig mod ulovlig brug eller videregivelse af disse oplysninger. Samtidig kan de nationale tilsynsmyndigheder og Den Europæiske Tilsynsførende for Databeskyttelse være ude af stand til at følge op på klager eller foretage undersøgelser vedrørende aktiviteter uden for deres jurisdiktion. Samarbejdet på tværs af grænserne kan også hæmmes af utilstrækkelige forebyggende eller afhjælpende beføjelser, uensartede retlige ordninger og praktiske hindringer som f.eks. ressourcebegrænsninger. Derfor bør et tættere samarbejde mellem Den Europæiske Tilsynsførende for Databeskyttelse og de nationale tilsynsmyndigheder fremmes for at forbedre udvekslingen af oplysninger med deres internationale ligestillede.

(72)

Den ved forordning (EF) nr. 45/2001 fastsatte oprettelse af Den Europæiske Tilsynsførende for Databeskyttelse, der har beføjelser til at udføre sine opgaver og udøve sine beføjelser i fuld uafhængighed, har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger. Nærværende forordning bør yderligere styrke og præcisere vedkommendes rolle og uafhængighed. Den Europæiske Tilsynsførende for Databeskyttelse bør være en person, hvis uafhængighed er uomtvistelig, og som er anerkendt som havende den erfaring og kompetence, der kræves for at varetage de opgaver, der henhører under Den Europæiske Tilsynsførende for Databeskyttelse, f.eks. fordi vedkommende har tilhørt en af de tilsynsmyndigheder, der er oprettet ved artikel 51 i forordning (EU) 2016/679.

(73)

For at sikre ensartet tilsyn med og håndhævelse af databeskyttelsesreglerne i hele Unionen bør Den Europæiske Tilsynsførende for Databeskyttelse have de samme opgaver og effektive beføjelser som de nationale tilsynsmyndigheder, herunder undersøgelsesbeføjelser og beføjelser til at fastsætte korrigerende foranstaltninger og sanktioner samt godkendelses- og rådgivningsbeføjelser, navnlig i tilfælde af klager fra fysiske personer, beføjelser til at indbringe overtrædelser af denne forordning for EU-Domstolen, og beføjelser til at deltage i retssager i overensstemmelse med den primære ret. Disse beføjelser bør også omfatte beføjelse til midlertidigt eller definitivt at begrænse, herunder forbyde, behandling. For at undgå overflødige omkostninger og urimelige ulemper for de pågældende personer, der kunne blive berørt negativt, bør hver foranstaltning, som træffes af Den Europæiske Tilsynsførende for Databeskyttelse, være passende, nødvendig og forholdsmæssig for at sikre overholdelsen af denne forordning, tage hensyn til omstændighederne i hver enkelt sag og respektere enhver persons ret til at blive hørt, inden der træffes en individuel foranstaltning vedrørende denne person. Hver juridisk bindende foranstaltning, der træffes af Den Europæiske Tilsynsførende for Databeskyttelse, bør være skriftlig, klar og utvetydig, angive datoen for iværksættelsen af foranstaltningen, være underskrevet af Den Europæiske Tilsynsførende for Databeskyttelse, angive begrundelsen for foranstaltningen og indeholde en henvisning til adgangen til effektive retsmidler.

(74)

Den Europæiske Tilsynsførende for Databeskyttelses tilsynskompetence bør af hensyn til EU-Domstolens uafhængighed under udførelsen af dens judicielle opgaver, herunder beslutningstagning, ikke omfatte EU-Domstolens behandling af personoplysninger, når den handler i sin egenskab af domstol, herunder træffer afgørelser. For sådanne behandlingsaktiviteter bør EU-Domstolen etablere et uafhængigt tilsyn i overensstemmelse med artikel 8, stk. 3, i chartret, f.eks. gennem en intern mekanisme.

(75)

Afgørelser truffet af Den Europæiske Tilsynsførende for Databeskyttelse vedrørende undtagelser fra, garantier for, godkendelse af eller betingelser for behandling af personoplysninger, således som de er defineret i denne forordning, bør offentliggøres i årsberetningen. Uafhængigt af offentliggørelsen af årsberetningen kan Den Europæiske Tilsynsførende for Databeskyttelse offentliggøre rapporter om specifikke emner.

(76)

Den Europæiske Tilsynsførende for Databeskyttelse bør overholde Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 (9).

(77)

De nationale tilsynsmyndigheder fører tilsyn med anvendelsen af forordning (EU) 2016/679 og bidrager til ensartet anvendelse heraf i hele Unionen for at beskytte fysiske personer i forbindelse med behandling af deres personoplysninger og lette fri udveksling af personoplysninger inden for indre marked. For at skabe mere ensartethed i anvendelsen af de gældende databeskyttelsesregler i medlemsstaterne og de databeskyttelsesregler, der gælder for Unionens institutioner og organer, bør Den Europæiske Tilsynsførende for Databeskyttelse samarbejde effektivt med de nationale tilsynsmyndigheder.

(78)

Under visse omstændigheder omfatter EU-retten en model for koordineret tilsyn mellem Den Europæiske Tilsynsførende for Databeskyttelse og de nationale tilsynsmyndigheder. Den Europæiske Tilsynsførende for Databeskyttelse er også tilsynsmyndighed for Europol, og med henblik herpå er der udarbejdet en særlig model for samarbejde med de nationale tilsynsmyndigheder gennem et samarbejdsråd med rådgivende funktion. For at forbedre det effektive tilsyn med og den effektive håndhævelse af væsentlige databeskyttelsesregler bør der indføres en fælles, sammenhængende model for koordineret tilsyn i Unionen. Kommissionen bør derfor fremsætte lovgivningsforslag, hvor det er hensigtsmæssigt, med henblik på at ændre de EU-retsakter, der indeholder en model for koordineret tilsyn, for at tilpasse dem til den koordinerede tilsynsmodel i denne forordning. Det Europæiske Databeskyttelsesråd bør fungere som et fælles forum for sikring af effektivt koordineret tilsyn på alle områder.

(79)

Enhver registreret bør have ret til at indgive klage til Den Europæiske Tilsynsførende for Databeskyttelse og have adgang til effektive retsmidler ved EU-Domstolen i overensstemmelse med traktaterne, hvis den registrerede finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket, eller hvis Den Europæiske Tilsynsførende for Databeskyttelse ikke reagerer på en klage, delvist eller helt afslår eller afviser en klage eller ikke handler, hvis handling er nødvendig for at beskytte den registreredes rettigheder. Undersøgelse af en klage bør foretages i det omfang, det er passende i det specifikke tilfælde, med forbehold af domstolsprøvelse. Den Europæiske Tilsynsførende for Databeskyttelse bør underrette den registrerede om behandlingen og resultatet af klagen inden en rimelig frist. Hvis sagen kræver yderligere koordinering med en national tilsynsmyndighed, bør den registrerede undervejs underrettes herom. For at lette indgivelsen af klager bør Den Europæiske Tilsynsførende for Databeskyttelse træffe foranstaltninger såsom at tilbyde en klageformular, der også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmidler.

(80)

Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, bør have ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren på de betingelser, der er fastsat i traktaterne.

(81)

For at styrke Den Europæiske Tilsynsførende for Databeskyttelses tilsynsrolle og den effektive håndhævelse af denne forordning bør Den Europæiske Tilsynsførende for Databeskyttelse som en sanktion, der kan anvendes som sidste udvej, have beføjelse til at pålægge administrative bøder. Bøderne bør have til formål at pålægge den eller det pågældende af Unionens institutioner eller organer — snarere end fysiske personer — sanktioner for manglende overholdelse af denne forordning med henblik på at forebygge fremtidige overtrædelser af denne forordning og fremme en persondatabeskyttelseskultur i Unionens institutioner og organer. Denne forordning bør angive de overtrædelser, der kan medføre administrative bøder, og maksimumsbeløb og kriterier for fastsættelse af de tilknyttede bøder. Den Europæiske Tilsynsførende for Databeskyttelse bør fastsætte størrelsen af bøden i hvert enkelt tilfælde under hensyntagen til alle relevante omstændigheder i den specifikke situation og med behørig hensyntagen til karakteren, alvoren og varigheden af overtrædelsen, dens konsekvenser og de foranstaltninger, der er truffet for at sikre overholdelse af forpligtelserne i henhold til denne forordning og for at forebygge eller begrænse følgerne af overtrædelsen. Når en eller et af Unionens institutioner eller organer pålægges en administrativ bøde, bør Den Europæiske Tilsynsførende for Databeskyttelse overveje, om bødens størrelse står i et rimeligt forhold til overtrædelsen. Den administrative procedure for at pålægge Unionens institutioner og organer bøder bør overholde EU-rettens generelle principper som fortolket af EU-Domstolen.

(82)

Hvis en registreret finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket, bør den pågældende have ret til at give et organ, en organisation eller en sammenslutning, der ikke arbejder med gevinst for øje, som er etableret i overensstemmelse med EU-retten eller en medlemsstats ret, og hvis vedtægtsmæssige formål er i samfundets interesse, og som beskæftiger sig med beskyttelse af personoplysninger, bemyndigelse til på vedkommendes vegne at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse. Et sådant organ eller en sådan sammenslutning bør også kunne udøve retten til adgang til retsmidler eller retten til erstatning på registreredes vegne.

(83)

Der bør kunne iværksættes disciplinære eller andre sanktioner over for en tjenestemand eller anden ansat i Unionen, som undlader at opfylde forpligtelserne i denne forordning i overensstemmelse med de regler og procedurer, der er fastlagt i vedtægten for tjenestemænd i Den Europæiske Union og ansættelsesvilkårene for de øvrige ansatte i Unionen, fastsat ved Rådets forordning (EØF, Euratom, EKSF) nr. 259/68 (10) (»vedtægten for tjenestemænd«).

(84)

For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (11). Undersøgelsesproceduren bør anvendes med henblik på vedtagelse af standardkontraktbestemmelser mellem dataansvarlige og databehandlere og mellem dataansvarlige indbyrdes, med henblik på vedtagelse af en liste over behandlingsaktiviteter, for hvilke det kræves, at databehandlere, der behandler personoplysninger som led i udførelsen af opgaver i samfundets interesse, foretager forudgående høring af Den Europæiske Tilsynsførende for Databeskyttelse, og med henblik på vedtagelse af standardkontraktbestemmelser, der giver passende garantier for internationale overførsler.

(85)

De fortrolige oplysninger, som Unionen og de nationale statistikmyndigheder indsamler til udarbejdelse af officielle europæiske og officielle nationale statistikker, bør beskyttes. Europæiske statistikker bør udvikles, udarbejdes og formidles i overensstemmelse med de statistiske principper, der er omhandlet i artikel 338, stk. 2, i TEUF. Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 (12) indeholder yderligere præciseringer om statistisk fortrolighed for europæiske statistikker.

(86)

Forordning (EF) nr. 45/2001 og Europa-Parlamentets, Rådets og Kommissionens afgørelse nr. 1247/2002/EF (13) bør ophæves. Henvisninger til den ophævede forordning og den ophævede afgørelse bør betragtes som henvisninger til nærværende forordning.

(87)

For at sikre, at medlemmerne af den uafhængige tilsynsmyndighed er helt uafhængige, bør embedsperioden for Den Europæiske Tilsynsførende for Databehandling og den nuværende assisterende tilsynsførende ikke berøres af denne forordning. Den nuværende assisterende tilsynsførende bør forblive i sin stilling indtil udløbet af sin mandatperiode, medmindre en af betingelserne for førtidig afslutning af embedsperioden for Den Europæiske Tilsynsførende for Databeskyttelse i denne forordning er opfyldt. De relevante bestemmelser bør finde anvendelse på den assisterende tilsynsførende indtil udløbet af vedkommendes embedsperiode.

(88)

I overensstemmelse med proportionalitetsprincippet er det for at virkeliggøre det grundlæggende mål om at sikre et ensartet niveau for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og fri udveksling af personoplysninger i hele Unionen nødvendigt og hensigtsmæssigt at fastsætte bestemmelser om behandlingen af personoplysninger i Unionens institutioner og organer. Denne forordning går ikke videre, end hvad der er nødvendigt for at nå de tilstræbte mål i overensstemmelse med artikel 5, stk. 4, i TEU.

(89)

Den Europæiske Tilsynsførende for Databeskyttelse blev hørt i overensstemmelse med artikel 28, stk. 2, i forordning (EF) nr. 45/2001, og afgav udtalelse den 15. marts 2017 (14) —