1.   I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionsinstitutioner och unionsorgan samt bestämmelser om det fria flödet av personuppgifter mellan dem eller till andra mottagare som är etablerade i unionen.

2.   Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.

3.   Europeiska datatillsynsmannen ska övervaka att bestämmelserna i denna förordning tillämpas vid all behandling som utförs av en unionsinstitution eller unionsorgan.

1.   Denna förordning är tillämplig på alla unionsinstitutioners och unionsorgans behandling av personuppgifter.

2.   Endast artikel 3 och kapitel IX i denna förordning är tillämpliga på behandling av operativa personuppgifter som utförs av unionens organ och byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget.

3.   Fram till dess att Europaparlamentets och rådets förordning (EU) 2016/794 (15) och rådets förordning (EU) 2017/1939 (16) har anpassats i enlighet med artikel 98 i den här förordningen, är denna förordning inte tillämplig på behandling av operativa personuppgifter som utförs av Europol och Europeiska åklagarmyndigheten.

4.   Denna förordning är inte tillämplig på behandling av personuppgifter som utförs inom ramen för sådana uppdrag som avses i artiklarna 42.1, 43 och 44 i EU-fördraget.

5.   Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

1.   Vid behandling av personuppgifter ska följande gälla:

2.   Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).

1.   Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

2.   Den grund för behandlingen som avses i punkt 1 a och b ska fastställas i unionsrätten.

1.   Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter.

2.   Om den registrerades samtycke lämnas i samband med en skriftlig förklaring som också rör andra frågor, ska begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lättillgänglig form med användning av klart och tydligt språk. Om en del av förklaringen innebär en överträdelse av denna förordning, ska denna del inte vara bindande.

3.   Den registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten av behandling som grundar sig på samtycket innan detta återkallades. Innan samtycke lämnas ska den registrerade informeras om detta. Det ska vara lika lätt att återkalla som att ge sitt samtycke.

4.   Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn tas till bland annat huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet.

1.   Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 5.1 d behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 13 år. Om barnet är under 13 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet.

2.   Den personuppgiftsansvarige ska göra rimliga ansträngningar för att i sådana fall kontrollera att samtycke ges eller godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik.

3.   Punkt 1 ska inte påverka tillämpningen av allmän avtalsrätt i medlemsstaterna, såsom bestämmelser om giltigheten, upprättandet eller verkan av ett avtal som gäller ett barn.

1.   Utan att det påverkar tillämpningen av artiklarna 4 – 6 och 10 ska personuppgifter överföras till mottagare som är etablerade i unionen och som inte utgörs av unionsinstitutioner och unionsorgan endast om

2.   Om den personuppgiftsansvarige tar initiativ till överföringen enligt denna artikel ska denne visa att överföringen av personuppgifterna är nödvändig och proportionell i förhållande till ändamålet med överföringen med tillämpning av de kriterier som anges i punkt 1 a eller b.

3.   Unionsinstitutioner och unionsorgan ska förena rätten till skydd av personuppgifter med rätten till tillgång till handlingar i enlighet med unionsrätten.

1.   Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2.   Punkt 1 ska inte tillämpas om något av följande gäller:

3.   Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställts av nationella behöriga organ, eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställts av nationella behöriga organ.

1.   Om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver eller inte längre kräver att den registrerade identifieras av den personuppgiftsansvarige, ska den personuppgiftsansvarige inte vara skyldig att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa denna förordning.

2.   Om den personuppgiftsansvarige, i de fall som avses i punkt 1 i denna artikel, kan visa att den inte är i stånd att identifiera den registrerade, ska den personuppgiftsansvarige om möjligt informera den registrerade om detta. I sådana fall ska artiklarna 17–22 inte gälla, förutom om den registrerade i syfte att utöva sina rättigheter i enlighet med dessa artiklar tillhandahåller ytterligare information som gör identifieringen möjlig.

1.   Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att tillhandahålla den registrerade all information som avses i artiklarna 15 och 16 och all kommunikation enligt artiklarna 17–24 och 35 vilken avser behandling i en koncis, klar och tydlig, begriplig och lättillgänglig form och på ett klart och tydligt språk, i synnerhet information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligen, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerades begär det får informationen tillhandahållas muntligen, förutsatt att den registrerades identitet bevisats på andra sätt.

2.   Den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter enligt artiklarna 17–24. I de fall som avses i artikel 12.2 får den personuppgiftsansvarige inte vägra att tillmötesgå den registrerades begäran om att utöva sina rättigheter enligt artiklarna 17–24, om inte den personuppgiftsansvarige visar att den inte är i stånd att identifiera den registrerade.

3.   Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 17–24. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från mottagandet av begäran och ange orsakerna till förseningen. Om den registrerade lämnar begäran i elektronisk form ska informationen om möjligt tillhandahållas i elektronisk form, om inte den registrerade begär något annat.

4.   Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige utan dröjsmål och senast inom en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till Europeiska datatillsynsmannen och begära rättslig prövning.

5.   Information som tillhandahålls enligt artiklarna 15 och 16, all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 17–24 och 35 ska tillhandahållas kostnadsfritt. Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige vägra att tillmötesgå dem. Det ska åligga den personuppgiftsansvarige att visa att en begäran är uppenbart ogrundad eller orimlig.

6.   Utan att det påverkar tillämpningen av artikel 12 får den personuppgiftsansvarige, om den har rimliga skäl att betvivla identiteten hos den fysiska person som lämnar in en begäran enligt artiklarna 17–23, begära att ytterligare information som är nödvändig för att bekräfta den registrerades identitet tillhandahålls.

7.   Den information som ska tillhandahållas den registrerade enligt artiklarna 15 och 16 får tillhandahållas tillsammans med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen. Om sådana symboler visas elektroniskt ska de vara maskinläsbara.

8.   Om kommissionen antar delegerade akter enligt artikel 12.8 i förordning (EU) 2016/679 för att fastställa vilken information som ska visas med hjälp av symboler och förfarandena för att tillhandahålla standardiserade symboler, ska unionsinstitutioner och unionsorgan tillhandahålla de uppgifter som avses i artiklarna 15 och 16 i den här förordningen tillsammans med sådana standardiserade symboler när det är lämpligt.

1.   Om personuppgifter som rör en registrerad person samlas in från den registrerade ska den personuppgiftsansvarige, vid den tidpunkt då personuppgifterna erhålls, till den registrerade lämna information om följande:

2.   Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige vid insamlingen av personuppgifterna tillhandahålla den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och öppen behandling:

3.   Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.

4.   Punkterna 1, 2 och 3 ska inte tillämpas om och i den mån den registrerade redan förfogar över informationen.

1.   Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige tillhandahålla den registrerade följande information:

2.   Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige lämna den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och öppen behandling när det gäller den registrerade:

3.   Den personuppgiftsansvarige ska lämna den information som anges i punkterna 1 och 2

4.   Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling tillhandahålla den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.

5.   Punkterna 1–4 ska inte tillämpas i följande fall och i den mån

6.   I de fall som avses i punkt 5 b ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, däribland göra informationen allmänt tillgänglig.

1.   Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:

2.   Om personuppgifter överförs till ett tredjeland eller till en internationell organisation, ska den registrerade ha rätt till information om de lämpliga skyddsåtgärder som i enlighet med artikel 48 har vidtagits vid överföringen.

3.   Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat.

4.   Den rätt till en kopia som avses i punkt 3 ska inte inverka menligt på andras rättigheter och friheter.

1.   Den registrerade ska ha rätt att hos den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

2.   Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga, eller andra personuppgiftsansvariga än unionsinstitutioner och unionsorgan, som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av, dessa personuppgifter.

3.   Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:

1.   Den registrerade ska ha rätt att hos den personuppgiftsansvarige kräva att behandlingen begränsas om något av följande är tillämpligt:

2.   Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring, behandlas endast med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller av skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat.

3.   En registrerad som har fått behandling begränsad i enlighet med punkt 1 ska underrättas av den personuppgiftsansvarige innan begränsningen av behandlingen upphör.

4.   I automatiserade register ska begränsningar av behandlingen i princip ske med tekniska medel. Det förhållandet att personuppgifter omfattas av begränsningar ska anges i systemet på ett sådant sätt att det är tydligt att personuppgifterna inte får användas.

1.   Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om

2.   Vid utövandet av sin rätt till dataportabilitet i enlighet med punkt 1 ska den registrerade ha rätt till överföring av personuppgifterna direkt från en personuppgiftsansvarig till en annan, eller till andra personuppgiftsansvariga än unionsinstitutioner och unionsorgan, när detta är tekniskt möjligt.

3.   Utövandet av den rätt som avses i punkt 1 i denna artikel ska inte påverka tillämpningen av artikel 19. Den rätten ska inte gälla i fråga om en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

4.   Den rätt som avses i punkt 1 får inte påverka andras rättigheter och friheter på ett ogynnsamt sätt.

1.   Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 5.1 a, inbegripet profilering som grundar sig på den bestämmelsen. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denna inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

2.   Senast vid den första kommunikationen med den registrerade ska den rätt som avses i punkt 1 uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information.

3.   I samband med användningen av informationssamhällets tjänster får den registrerade, utan att det påverkar tillämpningen av artiklarna 36 och 37, utöva sin rätt att göra invändningar på automatiserat sätt med användning av tekniska specifikationer.

4.   Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

1.   Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, och som har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne.

2.   Punkt 1 ska inte tillämpas om beslutet

3.   I fall som avses i punkt 2 a och c ska den personuppgiftsansvarige genomföra lämpliga åtgärder för att säkerställa den registrerades rättigheter, friheter och berättigade intressen, åtminstone rätten till personlig kontakt med den personuppgiftsansvarige för att kunna utrycka sin åsikt och bestrida beslutet.

4.   Beslut som avses i punkt 2 i denna artikel får inte grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 10.1, såvida inte artikel 10.2 a eller g är tillämplig och lämpliga åtgärder som ska skydda den registrerades rättigheter, friheter och berättigade intressen har inrättats.

1.   Rättsakter som antas på grundval av fördragen eller, när det gäller frågor rörande unionsinstitutioners och unionsorgans funktion, interna regler som införts av de sistnämnda får föreskriva begränsningar i tillämpningen av artiklarna 14–22, 35 och 36, samt artikel 4 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa

2.   Framför allt ska alla rättsakter eller interna regler som avses i punkt 1 innehålla specifika bestämmelser, när så är relevant, avseende

3.   Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det i unionsrätten, som kan inkludera interna regler som antagits av unionsinstitutioner och unionsorgan när det gäller frågor rörande deras funktion, föreskrivas undantag från de rättigheter som avses i artiklarna 17, 18, 20 och 23 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 13 i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller avsevärt svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

4.   Om personuppgifter behandlas för arkivändamål av allmänt intresse får det i unionsrätten, som kan inkludera interna regler som antagits av unionsinstitutioner och unionsorgan när det gäller frågor rörande deras funktion, föreskrivas undantag från de rättigheter som avses i artiklarna 17, 18, 20, 21, 22 och 23 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 13 i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

5.   Sådana interna regler som avses i punkterna 1, 3 och 4 ska vara klara och precisa akter med allmän giltighet som är avsedda att ha rättsverkan gentemot registrerade och som har antagits på unionsinstitutionernas och unionsorganens högsta administrativa nivå och ska offentliggöras i Europeiska unionens officiella tidning.

6.   Om en begränsning införs i enlighet med punkt 1, ska den registrerade i enlighet med unionsrätten informeras om de huvudsakliga skälen till begränsningen och om att han eller hon har rätt att ge in ett klagomål till Europeiska datatillsynsmannen.

7.   Om en begränsning som införts i enlighet med punkt 1 åberopas för att vägra den registrerade tillgång, ska Europeiska datatillsynsmannen vid utredning av klagomålet endast informera honom eller henne om huruvida uppgifterna har behandlats korrekt och, om så inte är fallet, huruvida alla nödvändiga korrigeringar har gjorts.

8.   Tillhandahållande av den information som avses i punkterna 6 och 7 i den här artikeln samt i artikel 45.2 får skjutas upp, utelämnas eller nekas om det skulle upphäva verkan av en begränsning som införts i enlighet med punkt 1 i den här artikeln.

1.   Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.

2.   Om det står i proportion till behandlingen, ska de åtgärder som avses i punkt 1 omfatta den personuppgiftsansvariges genomförande av lämpliga strategier för dataskydd.

3.   Tillämpningen av godkända certifieringsmekanismer som avses i artikel 42 i förordning (EU) 2016/679 får användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.

1.   Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering, vilka är utformade för ett effektivt genomförande av dataskyddsprinciper, såsom uppgiftsminimering, och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades rättigheter skyddas.

2.   Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att som standard säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter som standard inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.

3.   En godkänd certifieringsmekanism i enlighet med artikel 42 i förordning (EU) 2016/679 får användas för att visa att kraven i punkterna 1 och 2 i den här artikeln följs.

1.   Om två eller flera personuppgiftsansvariga eller en eller flera personuppgiftsansvariga tillsammans med en eller flera personuppgiftsansvariga som inte är unionsinstitutioner och unionsorgantillsammans fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra sina skyldigheter i fråga om dataskydd, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 15 och 16, genom ett inbördes arrangemang, såvida inte de gemensamt personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de gemensamt personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

2.   Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade.

3.   Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning med avseende på och gentemot var och en av de personuppgiftsansvariga.

1.   Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställer att den registrerades rättigheter skyddas.

2.   Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde utan särskilt eller allmänt skriftligt förhandstillstånd från den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits, ska personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.

3.   När uppgifter behandlas av ett personuppgiftsbiträde ska behandlingen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och rättigheter anges. I det avtalet eller den rättsakten ska det särskilt föreskrivas att personuppgiftsbiträdet

Med avseende på första stycket led h ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om personuppgiftsbiträdet anser att en instruktion strider mot denna förordning eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser.

4.   I de fall där ett personuppgiftsbiträde anlitar ett annat personuppgiftsbiträde för utförande av specifik behandling på den personuppgiftsansvariges vägnar ska det andra personuppgiftsbiträdet, genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt, åläggas samma skyldigheter i fråga om dataskydd som de som fastställs i avtalet eller den andra rättsakten mellan den personuppgiftsansvarige och personuppgiftsbiträdet enligt punkt 3, och särskilt att ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning. Om det andra personuppgiftsbiträdet inte fullgör sina skyldigheter i fråga om dataskydd ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarigt gentemot den personuppgiftsansvarige för utförandet av det andra personuppgiftsbiträdets skyldigheter.

5.   Om ett personuppgiftsbiträde inte är en unionsinstitution eller ett unionsorgan får dess anslutning till en godkänd uppförandekod som avses i artikel 40.5 i förordning (EU) 2016/679 eller en godkänd certifieringsmekanism som avses i artikel 42 i förordning (EU) 2016/679 användas för att visa att tillräckliga garantier tillhandahålls, så som avses i punkterna 1 och 4 i denna artikel.

6.   Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 i denna artikel får, utan att det påverkar tillämpningen av ett enskilt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet, helt eller delvis baseras på sådana standardavtalsklausuler som avses i punkterna 7 och 8 i denna artikel, inbegripet när de ingår i en certifiering som beviljats det personuppgiftsbiträde som inte är en unionsinstitution eller ett unionsorgan enligt artikel 42 i förordning (EU) 2016/679.

7.   Kommissionen får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4 i denna artikel, i enlighet med det granskningsförfarande som avses i artikel 96.2.

8.   Europeiska datatillsynsmannen får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4.

9.   Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 ska upprättas skriftligen, inbegripet i ett elektroniskt format.

10.   Om ett personuppgiftsbiträde överträder denna förordning genom att fastställa ändamålen med och medlen för behandlingen, ska personuppgiftsbiträdet anses vara en personuppgiftsansvarig med avseende på den behandlingen, utan att det påverkar tillämpningen av artiklarna 65 och 66.

1.   Varje personuppgiftsansvarig ska föra ett register över behandling som utförts under dess ansvar. Detta register ska innehålla samtliga följande uppgifter:

2.   Varje personuppgiftsbiträde ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning, som omfattar följande:

3.   De register som avses i punkterna 1 och 2 ska upprättas skriftligen, inbegripet i elektronisk form.

4.   Unionsinstitutioner och unionsorgan ska på begäran göra registret tillgängligt för Europeiska datatillsynsmannen.

5.   Såvida det inte är olämpligt med hänsyn till unionsinstitutionens eller unionsorganets storlek, ska unionsinstitutioner och unionsorgan bevara sina register över behandling i ett centralt register. De ska göra registret allmänt tillgängligt.

1.   Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet när det är lämpligt

2.   Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt utlämnande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

3.   Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, behandlar dessa endast på instruktion från den personuppgiftsansvarige, om inte unionsrätten ålägger honom eller henne att göra det.

4.   Anslutning till en godkänd certifieringsmekanism som avses i artikel 42 i förordning (EU) 2016/679 får användas för att visa att kraven i punkt 1 i den här artikeln följs.

1.   Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till Europeiska datatillsynsmannen, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till Europeiska datatillsynsmannen inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen.

2.   Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident.

3.   Den anmälan som avses i punkt 1 ska åtminstone

4.   Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

5.   Den personuppgiftsansvarige ska underrätta dataskyddsombudet om personuppgiftsincidenten.

6.   Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för Europeiska datatillsynsmannen att kontrollera efterlevnaden av denna artikel.

1.   Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.

2.   Den information till den registrerade som avses i punkt 1 i denna artikel ska innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i artikel 34.3 b, c och d.

3.   Information till den registrerade i enlighet med punkt 1 ska inte krävas om något av följande villkor är uppfyllt:

4.   Om den personuppgiftsansvarige inte redan har informerat den registrerade om personuppgiftsincidenten får Europeiska datatillsynsmannen, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att den personuppgiftsansvarige gör det eller får besluta att något av de villkor som avses i punkt 3 uppfylls.

1.   Personuppgifter i kataloger och tillgång till sådana kataloger ska begränsas till vad som är absolut nödvändigt för de specifika ändamålen med katalogen.

2.   Unionsinstitutioner och unionsorgan ska vidta alla nödvändiga åtgärder för att förhindra att personuppgifter i dessa kataloger används för direkt marknadsföring, oavsett om de är tillgängliga för allmänheten eller inte.

1.   Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning får omfatta en serie liknande behandlingar som medför liknande höga risker.

2.   Den personuppgiftsansvarige ska rådfråga dataskyddsombudet vid genomförande av en konsekvensbedömning avseende dataskydd.

3.   En konsekvensbedömning avseende dataskydd som avses i punkt 1 ska särskilt krävas i följande fall:

4.   Europeiska datatillsynsmannen ska upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som omfattas av kravet på en konsekvensbedömning avseende dataskydd i enlighet med punkt 1.

5.   Europeiska datatillsynsmannen får också upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som inte kräver någon konsekvensbedömning avseende dataskydd.

6.   Innan de förteckningar som avses i punkterna 4 och 5 i denna artikel antas ska Europeiska datatillsynsmannen begära att Europeiska dataskyddsstyrelsen, som inrättats genom artikel 68 i förordning (EU) 2016/679, undersöker dem i enlighet med artikel 70.1 e i den förordningen, om de avser behandling som utförs av en personuppgiftsansvarig gemensamt med en eller flera andra personuppgiftsansvariga än unionsinstitutioner och unionsorgan.

7.   Bedömningen ska innehålla åtminstone

8.   Efterlevnaden av godkända uppförandekoder enligt artikel 40 i förordning (EU) 2016/679 från andra personuppgiftsbiträden än unionsinstitutioner och unionsorgan ska på lämpligt sätt beaktas vid bedömningen av konsekvenserna av de behandlingar som utförs av dessa personuppgiftsbiträden, framför allt när det gäller att ta fram en konsekvensbedömning avseende dataskydd.

9.   Den personuppgiftsansvarige ska, när det är lämpligt, inhämta synpunkter från de registrerade eller deras företrädare om den avsedda behandlingen, utan att det påverkar skyddet av allmänna intressen eller behandlingens säkerhet.

10.   Om behandlingen enligt artikel 5.1 a eller b har en rättslig grund i en rättsakt som antagits på grundval av fördragen och som reglerar den särskilda behandlingen eller serien av behandlingar i fråga, och om en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning som föregick antagandet av den rättsakten, ska punkterna 1–6 i den här artikeln inte vara tillämpliga, såvida inte den rättsakten föreskriver något annat.

11.   Den personuppgiftsansvarige ska vid behov genomföra en översyn för att bedöma om behandlingen genomförs i enlighet med konsekvensbedömningen avseende dataskydd åtminstone när den risk som behandlingen medför förändras.

1.   Den personuppgiftsansvarige ska samråda med Europeiska datatillsynsmannen före behandling om en konsekvensbedömning avseende dataskydd enligt artikel 39 visar att behandlingen utan skyddsåtgärder, säkerhetsåtgärder och mekanismer för att minska risken kommer att innebära en hög risk för fysiska personers rättigheter och friheter, och den personuppgiftsansvarige anser att risken inte kan minskas genom åtgärder som är rimliga med avseende på tillgänglig teknik och genomförandekostnader. Den personuppgiftsansvarige ska rådfråga dataskyddsombudet om behovet av föregående samråd.

2.   Om Europeiska datatillsynsmannen anser att den planerade behandling som avses i punkt 1 skulle strida mot denna förordning, särskilt om den personuppgiftsansvarige inte i tillräcklig mån har fastställt eller reducerat risken, ska Europeiska datatillsynsmannen inom en period på högst åtta veckor från det att begäran om samråd mottagits, ge den personuppgiftsansvarige och i tillämpliga fall personuppgiftsbiträdet skriftliga råd och får utnyttja alla de befogenheter som denne har enligt artikel 58. Denna period får förlängas med sex veckor med beaktande av hur komplicerad den planerade behandlingen är. Europeiska datatillsynsmannen ska informera den personuppgiftsansvarige och, i tillämpliga fall, personuppgiftsbiträdet om en sådan förlängning inom en månad från det att begäran om samråd mottagits, tillsammans med orsakerna till förseningen. Dessa perioder får tillfälligt upphöra att löpa i avvaktan på att Europeiska datatillsynsmannen erhåller den information som den har begärt med tanke på samrådet.

3.   Vid samråd med Europeiska datatillsynsmannen enligt punkt 1 ska den personuppgiftsansvarige till Europeiska datatillsynsmannen lämna

4.   Kommissionen får genom en genomförandeakt fastställa en förteckning över de fall där de personuppgiftsansvarige ska samråda med, och erhålla förhandstillstånd av, Europeiska datatillsynsmannen i samband med behandling av personuppgifter för att utföra en arbetsuppgift som den personuppgiftsansvarige utför i allmänhetens intresse, inbegripet behandling av sådana uppgifter i samband med social trygghet och folkhälsa.

1.   Unionsinstitutioner och unionsorgan ska underrätta Europeiska datatillsynsmannen när de utarbetar administrativa åtgärder och interna regler som rör behandling av personuppgifter av en unionsinstitution eller ett unionsorgan, ensamt eller tillsammans med andra.

2.   Unionsinstitutioner och unionsorgan ska samråda med Europeiska datatillsynsmannen när de utarbetar de interna regler som avses i artikel 25.

1.   Kommissionen ska, efter antagandet av förslag till en lagstiftningsakt, av rekommendationer eller av förslag till rådet i enlighet med artikel 218 i EUF-fördraget eller i samband med utarbetandet av delegerade akter eller genomförandeakter, vilka har en inverkan på skyddet av enskilda personers rättigheter och friheter med avseende på behandling av personuppgifter, samråda med Europeiska datatillsynsmannen.

2.   När en akt som avses i punkt 1 är av särskild betydelse för skyddet av enskilda personers rättigheter och friheter med avseende på behandling av personuppgifter, får kommissionen även samråda med Europeiska dataskyddsstyrelsen. I sådana fall ska Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen samordna sitt arbete i syfte att utfärda ett gemensamt yttrande.

3.   Den rådgivning som avses i punkterna 1 och 2 ska tillhandahållas skriftligen inom en period på högst åtta veckor från mottagandet av begäran om samråd som avses i punkterna 1 och 2. I brådskande fall, eller där det i övrigt är lämpligt, får kommissionen förkorta tidsfristen.

4.   Denna artikel ska inte tillämpas i de fall då kommissionen i enlighet med förordning (EU) 2016/679 är skyldig att samråda med Europeiska dataskyddsstyrelsen.

1.   Varje unionsinstitution eller unionsorgan ska utnämna ett dataskyddsombud.

2.   Unionsinstitutioner och unionsorgan får utnämna ett enda dataskyddsombud för flera av dem, med hänsyn till deras organisationsstruktur och storlek.

3.   Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 45.

4.   Dataskyddsombudet ska ingå i unionsinstitutionens eller unionsorganets personal. Med hänsyn tagen till deras storlek och om det alternativ som anges i punkt 2 inte har utnyttjats, får unionsinstitutioner och unionsorgan utse ett dataskyddsombud som utför sina uppgifter på grundval av ett tjänsteavtal.

5.   Unionsinstitutioner och unionsorgan ska offentliggöra dataskyddsombudets kontaktuppgifter och meddela dessa till Europeiska datatillsynsmannen.

1.   Unionsinstitutioner och unionsorgan ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

2.   Unionsinstitutioner och unionsorgan ska stödja dataskyddsombudet i utförandet av de uppgifter som avses i artikel 45 genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av hans eller hennes sakkunskap.

3.   Unionsinstitutioner och unionsorgan ska säkerställa att dataskyddsombudet inte tar emot instruktioner som gäller utförandet av dessa uppgifter. Dataskyddsombudet får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta ledningsnivå.

4.   Den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes personuppgifter och utövandet av dennes rättigheter enligt denna förordning.

5.   Dataskyddsombudet och dennes personal ska, när det gäller genomförandet av sina uppgifter, vara bundna av sekretess eller konfidentialitet i enlighet med unionsrätten.

6.   Dataskyddsombudet får fullgöra andra uppgifter och uppdrag. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt.

7.   Dataskyddsombudet får rådfrågas av den personuppgiftsansvarige och personuppgiftsbiträdet, av den berörda personalkommittén och av enskilda personer, i alla frågor som rör tolkningen eller tillämpningen av denna förordning, utan att dessa personer behöver gå den officiella vägen. Ingen ska lida förfång för att ha gjort det behöriga dataskyddsombudet uppmärksamt på att en händelse som påstås utgöra en överträdelse av bestämmelserna i denna förordning har ägt rum.

8.   Dataskyddsombudet ska utses för en period på tre till fem år och ska kunna ges förnyat mandat. Dataskyddsombudet får avsättas från sitt uppdrag av den unionsinstitution eller det unionsorgan som utsett honom eller henne om han eller hon inte längre uppfyller de krav som ställs för att han eller hon ska kunna utföra sina uppgifter endast efter medgivande av Europeiska datatillsynsmannen.

9.   Efter det att dataskyddsombudet har utsetts ska han eller hon registreras hos Europeiska datatillsynsmannen av den unionsinstitution eller det unionsorgan som utsåg vederbörande.

1.   Dataskyddsombudet ska ha följande uppgifter:

2.   Dataskyddsombudet får ge rekommendationer till den personuppgiftsansvarige och personuppgiftsbiträdet för den praktiska förbättringen av uppgiftsskyddet och ge dem råd i frågor som rör tillämpningen av bestämmelserna om uppgiftsskydd. Dessutom får han eller hon, på eget initiativ eller på begäran av den personuppgiftsansvarige eller personuppgiftsbiträdet, den berörda personalkommittén eller varje enskild person, utreda frågor och händelser som har direkt samband med hans eller hennes uppgifter och som kommer till hans eller hennes kännedom och rapportera tillbaka till den person som beställde utredningen eller till den personuppgiftsansvarige eller personuppgiftsbiträdet.

3.   Ytterligare genomföranderegler rörande dataskyddsombudet ska antas av varje unionsinstitution eller unionsorgan. Genomförandereglerna ska i synnerhet avse dataskyddsombudets arbetsuppgifter, åligganden och befogenheter.

1.   Personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen enligt artikel 45.3 i förordning (EU) 2016/679 eller artikel 36.3 i direktiv (EU) 2016/680 har beslutat att ett tredjeland, ett territorium eller en eller flera specificerade sektorer i det tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå, och personuppgifter överförs uteslutande för att göra det möjligt att utföra uppgifter som omfattas av den personuppgiftsansvariges behörighet.

2.   Unionsinstitutioner och unionsorgan ska informera kommissionen och Europeiska datatillsynsmannen då de anser att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredje land, eller en internationell organisation i fråga inte säkerställer en adekvat skyddsnivå enligt punkt 1.

3.   Unionsinstitutioner och unionsorgan ska vidta de åtgärder som är nödvändiga för att följa de beslut kommissionen fattat enligt artikel 45.3 eller 45.5 i förordning (EU) 2016/679 eller med artikel 36.3 eller 36.5 i direktiv (EU) 2016/680, i vilka den konstaterat att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredje land, eller en internationell organisation säkerställer eller inte längre säkerställer en adekvat skyddsnivå.

1.   I avsaknad av ett beslut i enlighet med artikel 45.3 i förordning (EU) 2016/679 eller artikel 36.3 i direktiv (EU) 2016/680 får en personuppgiftsansvarig eller ett personuppgiftsbiträde överföra personuppgifter till ett tredjeland eller en internationell organisation endast efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga.

2.   Lämpliga skyddsåtgärder enligt punkt 1 får, utan att det krävs särskilt tillstånd från Europeiska datatillsynsmannen, införas genom

3.   Med förbehåll för tillstånd från Europeiska datatillsynsmannen, får lämpliga skyddsåtgärder enligt punkt 1 också i synnerhet ta formen av

4.   Tillstånd från Europeiska datatillsynsmannen på grundval av artikel 9.7 i förordning (EG) nr 45/2001 ska förbli giltiga till dess att de, vid behov, har ändrats, ersatts eller upphävts av Europeiska datatillsynsmannen.

5.   Unionsinstitutioner och unionsorgan ska informera Europeiska datatillsynsmannen om kategorier av fall där denna artikel har tillämpats.

1.   Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 45.3 i förordning (EU) 2016/679 eller artikel 36.3 i direktiv (EU) 2016/680 eller lämpliga skyddsåtgärder enligt artikel 48 i den här förordningen ska en överföring eller en uppsättning av överföringar av personuppgifter till ett tredjeland eller en internationell organisation ske endast om något av följande villkor är uppfyllt:

2.   Punkt 1 a, b och c ska inte tillämpas på åtgärder som vidtas av unionsinstitutioner och unionsorgan som ett led i utövandet av deras offentliga befogenheter.

3.   Det allmänintresse som avses i punkt 1 d ska vara erkänt i unionsrätten.

4.   En överföring enligt punkt 1 g får inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret, såvida inte unionsrätten tillåter det. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.

5.   Saknas beslut om adekvat skyddsnivå får unionsrätten med hänsyn till viktiga allmänintressen uttryckligen fastställa gränser för överföringen av specifika kategorier av personuppgifter till ett tredjeland eller en internationell organisation.

6.   Unionsinstitutioner och unionsorgan ska informera Europeiska datatillsynsmannen om kategorierna av fall där denna artikel har tillämpats.

1.   Härmed inrättas Europeiska datatillsynsmannen.

2.   Vad gäller behandling av personuppgifter ska Europeiska datatillsynsmannen ha i uppdrag att säkerställa att fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till dataskydd, respekteras av unionsinstitutioner och unionsorgan.

3.   Europeiska datatillsynsmannen ska ha i uppdrag att övervaka och säkerställa tillämpningen av bestämmelserna i denna förordning och andra unionsrättsakter om skyddet för fysiska personers grundläggande fri- och rättigheter då en unionsinstitution eller ett unionsorgan behandlar personuppgifter och för att ge råd till unionsinstitutioner och unionsorgan och de registrerade i alla frågor som rör behandling av personuppgifter. För dessa ändamål ska Europeiska datatillsynsmannen fullgöra de uppgifter som fastställs i artikel 57 och utöva de befogenheter som anges i artikel 58.

4.   Förordning (EG) nr 1049/2001 ska vara tillämplig på handlingar som innehas av Europeiska datatillsynsmannen. Europeiska datatillsynsmannen ska anta föreskrifter för tillämpningen av förordning (EG) nr 1049/2001 när det gäller dessa handlingar.

1.   Europaparlamentet och rådet ska i samförstånd utnämna Europeiska datatillsynsmannen för en period av fem år, på grundval av en förteckning som kommissionen upprättat efter en offentlig infordran av intresseanmälningar. Infordran av intresseanmälningar ska göra det möjligt för alla intresserade parter i hela unionen att lämna in sina ansökningar. Den förteckning över kandidater som upprättats av kommissionen ska vara offentlig och bestå av minst tre kandidater. På grundval av den förteckning som upprättats av kommissionen får Europaparlamentets behöriga utskott besluta att hålla en utfrågning för att kunna yttra sig om vilken kandidat det föredrar.

2.   Den förteckning av kandidater som avses i punkt 1 ska bestå av personer vars oberoende är ställt utom alla tvivel och som har expertkunskap inom dataskydd och den erfarenhet och sakkunskap som krävs för att utöva uppdraget som Europeisk datatillsynsman.

3.   Europeiska datatillsynsmannens mandattid ska kunna förnyas en gång.

4.   Europeiska datatillsynsmannens skyldigheter ska upphöra i följande fall:

5.   Europeiska datatillsynsmannen kan på begäran av Europaparlamentet, rådet eller kommissionen entledigas eller fråntas sina pensionsrättigheter eller andra förmåner av domstolen, om han eller hon inte längre uppfyller de krav som ställs för att han eller hon ska kunna utföra sina uppgifter eller om han eller hon gjort sig skyldig till allvarlig försummelse.

6.   Vid normal nytillsättning eller frivillig avgång ska Europeiska datatillsynsmannen emellertid kvarstå i tjänst till dess att han eller hon har fått en ersättare.

7.   Artiklarna 11–14 och 17 i protokollet om Europeiska unionens immunitet och privilegier ska vara tillämpliga på Europeiska datatillsynsmannen.

1.   Europeiska datatillsynsmannen ska anses likställd med en domare vid domstolen när det gäller fastställande av löner, ersättningar, ålderspension och all annan ersättning utöver lön.

2.   Budgetmyndigheten ska säkerställa att Europeiska datatillsynsmannen erhåller den personal och de finansiella medel som behövs för att han eller hon ska kunna fullgöra sina uppgifter.

3.   Budgeten för Europeiska datatillsynsmannen ska finnas under en särskild budgetpost i avsnittet om administrativa utgifter i unionens allmänna budget.

4.   Europeiska datatillsynsmannen ska biträdas av ett sekretariat. Tjänstemän och övriga anställda vid sekretariatet ska utses av Europeiska datatillsynsmannen, som ska vara deras överordnade. De ska endast stå under hans eller hennes ledning. Deras antal ska fastställas varje år inom ramen för budgetförfarandet. Artikel 75.2 i förordning (EU) 2016/679 ska tillämpas på dem bland Europeiska datatillsynsmannens personal som deltar i att utföra de uppgifter som tilldelats Europeiska dataskyddsstyrelsen i unionsrätten.

5.   Tjänstemän och övriga anställda vid Europeiska datatillsynsmannens sekretariat ska omfattas av de förordningar och regler som tillämpas på tjänstemän och övriga anställda i unionen.

6.   Europeiska datatillsynsmannen ska ha sitt säte i Bryssel.

1.   Europeiska datatillsynsmannen ska vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med denna förordning.

2.   Europeiska datatillsynsmannen ska i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med denna förordning stå fria från utomstående påverkan, direkt såväl som indirekt, och får varken begära eller ta emot instruktioner av någon.

3.   Europeiska datatillsynsmannen ska avhålla sig från alla handlingar som är oförenliga med hans eller hennes skyldigheter och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet.

4.   Efter sin mandattid ska Europeiska datatillsynsmannen visa integritet och omdöme i fråga om att acceptera utnämningar och ta emot förmåner.

1.   Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska Europeiska datatillsynsmannen ansvara för följande:

2.   Europeiska datatillsynsmannen ska underlätta inlämnandet av klagomål enligt punkt 1 e genom ett särskilt formulär för det ändamålet, vilket också kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts.

3.   Utförandet av Europeiska datatillsynsmannens uppgifter ska vara kostnadsfritt för den registrerade.

4.   Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva karaktär, får Europeiska datatillsynsmannen vägra att tillmötesgå begäran. Det åligger Europeiska datatillsynsmannen att visa att begäran är uppenbart ogrundad eller orimlig.

1.   Europeiska datatillsynsmannen ska ha samtliga följande utredningsbefogenheter:

2.   Europeiska datatillsynsmannen ska ha samtliga följande korrigerande befogenheter:

3.   Europeiska datatillsynsmannen ska ha följande befogenheter att utfärda tillstånd och att ge råd:

4.   Europeiska datatillsynsmannen ska ha befogenhet att hänskjuta ärendet till domstolen på de villkor som anges i fördragen och att intervenera i ärenden som anhängiggjorts vid domstolen.

5.   Utövandet av de befogenheter som Europeiska datatillsynsmannen tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten.

1.   Europeiska datatillsynsmannen ska lämna en årlig rapport om sin verksamhet till Europaparlamentet, rådet och kommissionen och samtidigt offentliggöra rapporten.

2.   Europeiska datatillsynsmannen ska vidarebefordra den rapport som avses i punkt 1 till övriga unionsinstitutioner och unionsorgan, som får lämna kommentarer inför en eventuell granskning av rapporten av Europaparlamentet.

1.   Om en unionsakt hänvisar till denna artikel ska Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna, inom ramen för sina respektive behörigheter, samarbeta aktivt inom sina ansvarsområden för att säkerställa en effektiv tillsyn över stora it-system och unionsorgan eller unionsbyråer.

2.   De ska, om så behövs, inom ramen för sina respektive behörigheter och inom sina ansvarsområden utbyta relevant information, bistå varandra i samband med revision och kontroller, utreda problem med tolkningen eller tillämpningen av denna förordning och andra tillämpliga unionsakter, studera problem med att utöva oberoende tillsyn eller problem med de registrerades möjligheter att utöva sina rättigheter, upprätta harmoniserade förslag till lösningar på eventuella problem och främja medvetenheten om dataskyddsrättigheterna.

3.   För de ändamål som anges i punkt 2 ska Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna sammanträda minst två gånger om året inom ramen för Europeiska dataskyddsstyrelsen. För dessa ändamål får Europeiska dataskyddsstyrelsen utarbeta ytterligare arbetsmetoder efter behov.

4.   Vartannat år ska Europeiska dataskyddsstyrelsen översända en gemensam verksamhetsrapport vad gäller samordnad tillsyn till Europaparlamentet, rådet och kommissionen.

1.   Utan att det påverkar något rättsmedel, administrativt prövningsförfarande eller prövningsförfarande utanför domstol, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till Europeiska datatillsynsmannen.

2.   Europeiska datatillsynsmannen ska underrätta den enskilde om hur arbetet med klagomålet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 64.

3.   Om Europeiska datatillsynsmannen inte behandlar klagomålet eller inte informerar den registrerade inom tre månader om hur arbetet fortskrider eller om resultatet av klagomålet, ska Europeiska datatillsynsmannen anses ha fattat beslut om avslag.

1.   Domstolen ska vara behörig att pröva tvister som hänför sig till denna förordnings bestämmelser, inklusive skadeståndsanspråk.

2.   Talan mot Europeiska datatillsynsmannens beslut, inbegripet beslut enligt artikel 63.3, ska väckas vid domstolen.

3.   Domstolen ska ha obegränsad behörighet att pröva de administrativa sanktionsavgifter som avses i artikel 66. Den får upphäva, sänka eller höja avgifterna inom ramen för artikel 66.

1.   Europeiska datatillsynsmannen får påföra unionsinstitutioner och unionsorgan administrativa sanktionsavgifter, beroende på omständigheterna i det enskilda fallet, om en unionsinstitution eller ett unionsorgan inte rättar sig efter ett beslut av Europeiska datatillsynsmannen enligt artikel 58.2 d–h och j. Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och om beloppet för de administrativa sanktionsavgifterna i varje enskilt fall ska vederbörlig hänsyn tas till följande:

2.   Överträdelser av de skyldigheter som åligger unionsinstitutionen eller unionsorganet enligt artiklarna 8, 12, 27–35, 39, 40, 43, 44 och 45 ska, i enlighet med punkt 1 i den här artikeln, medföra administrativa sanktionsavgifter på upp till 25 000 EUR per överträdelse och upp till ett totalt belopp på 250 000 EUR per år.

3.   Vid överträdelser av följande bestämmelser från unionsinstitutionens eller unionsorganets sida ska det i enlighet med punkt 1 påföras administrativa sanktionsavgifter på upp till 50 000 EUR per överträdelse och upp till ett totalt belopp på 500 000 EUR per år:

4.   Om en unionsinstitution eller ett unionsorgan, med avseende på en och samma sammankopplade eller fortlöpande uppgiftsbehandlingar, överträder flera av bestämmelserna i denna förordning eller samma bestämmelse i denna förordning flera gånger får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen.

5.   Innan ett beslut fattas enligt denna artikel ska Europeiska datatillsynsmannen ge den unionsinstitution eller det unionsorgan som är föremål för förfarandet som genomförs av Europeiska datatillsynsmannen möjlighet att höras om de frågor med avseende på vilka Europeiska datatillsynsmannen har gjort invändningar. Europeiska datatillsynsmannen ska grunda sina beslut endast på invändningar som de berörda parterna har getts möjlighet att yttra sig om. De klagande ska vara nära knutna till förfarandet.

6.   Berörda parters rätt till försvar ska iakttas fullt ut under förfarandet. De ska ha rätt att få tillgång till Europeiska datatillsynsmannens akt, med förbehåll för enskildas eller företags berättigade intresse av skydd av deras personuppgifter eller affärshemligheter.

7.   De medel som samlats in genom åläggande av avgifter i denna artikel ska utgöra intäkter i unionens allmänna budget.

1.   Vid behandling av operativa personuppgifter ska följande gälla:

2.   Behandling som utförs av samma eller en annan personuppgiftsansvarig för något annat ändamål, som anges i rättsakten om inrättande av unionsorganet eller unionsbyrån, än det för vilket de operativa personuppgifterna samlas in ska tillåtas om

3.   Behandling som utförs av samma eller en annan personuppgiftsansvarig kan inbegripa arkivering av allmänt intresse och vetenskaplig, statistisk eller historisk användning för de ändamål som anges i rättsakten om inrättande av unionsorganet eller unionsbyrån, under förutsättning att det finns lämpliga skyddsåtgärder för de registrerades rättigheter och friheter.

4.   Den personuppgiftsansvarige ska ansvara för, och kunna visa efterlevnad av, punkterna 1, 2 och 3.

1.   Behandling av operativa personuppgifter ska vara laglig endast om och i den mån som behandling är nödvändig för att utföra en uppgift som utförs av unionens organ, och byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget, och som grundas på unionsrätten.

2.   Särskilda unionsrättsakter som reglerar behandling inom tillämpningsområdet för detta kapitel ska åtminstone ange målen för behandlingen, vilka operativa personuppgifter som ska behandlas, syftet med behandlingen och tidsgränserna för lagring av de operativa personuppgifterna eller för periodisk översyn av behovet av ytterligare lagring av de operativa personuppgifterna.

1.   Den personuppgiftsansvarige ska i möjligaste mån skilja mellan operativa personuppgifter som grundar sig på fakta och operativa personuppgifter som grundar sig på personliga bedömningar.

2.   Den personuppgiftsansvarige ska vidta alla rimliga åtgärder för att säkerställa att operativa personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Den personuppgiftsansvarige ska därför i den mån det är praktiskt möjligt och i tillämpliga fall kontrollera kvaliteten på de operativa personuppgifterna innan dessa överförs eller görs tillgängliga, exempelvis genom att samråda med den behöriga myndighet som uppgifterna kommer ifrån. Vid all överföring av operativa personuppgifter ska den personuppgiftsansvarige i möjligaste mån lägga till sådan nödvändig information som gör det möjligt för mottagaren att bedöma i vilken grad de operativa personuppgifterna är riktiga, fullständiga och tillförlitliga samt i vilken utsträckning de är aktuella.

3.   Om det visar sig att felaktiga operativa personuppgifter har överförts eller att operativa personuppgifter olagligen har överförts, ska mottagaren omedelbart underrättas om detta. I sådana fall ska de operativa personuppgifterna i fråga rättas eller raderas eller behandlingen begränsas i enlighet med artikel 82.

1.   När den unionsrätt som är tillämplig på den personuppgiftsansvarige som överför uppgifter fastställer särskilda villkor för behandling, ska den personuppgiftsansvarige informera mottagaren av de operativa personuppgifterna om dessa särskilda villkor och om kravet att uppfylla dem.

2.   Den personuppgiftsansvarige ska rätta sig efter de särskilda behandlingsvillkor för behandlingen som anges av en överförande behörig myndighet i enlighet med artikel 9.3 och 9.4 i direktiv (EU) 2016/680.

1.   Behandling av operativa personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt behandling av genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person, operativa personuppgifter om hälsa eller om en fysisk persons sexualliv eller sexuella läggning ska vara tillåten endast om det är absolut nödvändigt för operativa ändamål inom ramen för de berörda unionsorganens eller unionsbyråernas uppdrag samt under förutsättning att det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Det ska vara förbjudet att diskriminera fysiska personer på grundval av sådana personuppgifter.

2.   Dataskyddsombudet ska utan onödigt dröjsmål informeras ifall denna artikel tillämpas.

1.   Beslut som enbart grundas på automatiserad behandling, inbegripet profilering, som har negativa rättsliga följder för den registrerade eller i betydande grad påverkar honom eller henne, ska förbjudas om de inte är tillåtna enligt unionsrätten som den personuppgiftsansvarige lyder under och som föreskriver lämpliga skyddsåtgärder för den registrerades rättigheter och friheter, åtminstone rätten till mänskligt ingripande från den personuppgiftsansvariges sida.

2.   Beslut som avses i punkt 1 i den här artikeln får inte grundas på de särskilda kategorier av personuppgifter som avses i artikel 76, såvida inte lämpliga åtgärder för att skydda den registrerades rättigheter, friheter och berättigade intressen har vidtagits.

3.   Profilering som leder till diskriminering av fysiska personer på grundval av särskilda kategorier av personuppgifter enligt artikel 76 ska förbjudas i enlighet med unionsrätten.

1.   Den personuppgiftsansvarige ska vidta rimliga åtgärder för att tillhandahålla den registrerade all information som avses i artikel 79 och alla meddelanden enligt artiklarna 80–84 och 92 som avser behandling i en koncis, begriplig och lättillgänglig form och på ett klart och tydligt språk. Informationen ska tillhandahållas på lämpligt sätt, t.ex. elektroniskt. Som en allmän regel ska den personuppgiftsansvarige tillhandahålla informationen i samma format som begäran.

2.   Den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter enligt artiklarna 79–84.

3.   Den personuppgiftsansvarige ska utan onödigt dröjsmål skriftligen informera den registrerade om uppföljningen av hans eller hennes begäran och under alla omständigheter senast tre månader efter mottagandet av den registrerades begäran.

4.   Den personuppgiftsansvarige ska tillhandahålla informationen enligt artikel 79 och alla meddelanden eller åtgärder som vidtas enligt artiklarna 80–84 och 92 kostnadsfritt. Om en registrerads begäranden är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva karaktär, får den personuppgiftsansvarige vägra att tillmötesgå begäran. Det ska åligga den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.

5.   Om den personuppgiftsansvarige har rimliga skäl att betvivla identiteten hos den fysiska person som lämnar in en begäran enligt artikel 80 eller 82, får den personuppgiftsansvarige begära att ytterligare information som är nödvändig för att bekräfta den registrerades identitet ska tillhandahållas.

1.   Den personuppgiftsansvarige ska göra åtminstone följande information tillgänglig för den registrerade:

2.   Utöver den information som avses i punkt 1, ska den personuppgiftsansvarige, i specifika fall som fastställs i unionsrätten, lämna följande information till den registrerade, för att göra det möjligt för honom eller henne att utöva sina rättigheter:

3.   Den personuppgiftsansvarige får senarelägga, begränsa eller utelämna tillhandahållandet av informationen till den registrerade enligt punkt 2, i den utsträckning och så länge en sådan åtgärd är nödvändig och proportionell i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att

1.   Den personuppgiftsansvarige får helt eller delvis begränsa den registrerades rätt till tillgång i den utsträckning och så länge en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att

2.   I de fall som avses i punkt 1 ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade skriftligen om varje vägran eller begränsning av tillgång och om skälen för vägran eller begränsningen. Denna information kan utelämnas om tillhandahållandet skulle undergräva ett ändamål enligt punkt 1. Den personuppgiftsansvarige ska underrätta den registrerade om möjligheten att lämna in ett klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid domstolen. Den personuppgiftsansvarige ska dokumentera de sakliga och rättsliga grunderna för beslutet. Denna information ska på begäran göras tillgänglig för Europeiska datatillsynsmannen.

1.   Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga operativa personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålen med behandlingen ska den registrerade ha rätt att få ofullständiga operativa personuppgifter kompletterade, inbegripet genom att tillhandahålla en kompletterande inlaga.

2.   Den personuppgiftsansvarige ska radera operativa personuppgifter utan onödigt dröjsmål, och ge den registrerade rätt att få till stånd radering av operativa personuppgifter som rör honom eller henne om behandlingen står i strid med artiklarna 71, 72.1 eller 76 eller om de operativa personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

3.   I stället för radering ska den personuppgiftsansvarige begränsa behandling om

Om behandlingen begränsas enligt första stycket led a ska den personuppgiftsansvarige underrätta den registrerade innan begränsningen av behandlingen upphävs.

Begränsade uppgifter får endast behandlas för det syfte som hindrade att de raderades.

4.   Den personuppgiftsansvarige ska underrätta den registrerade skriftligen om eventuell vägran att rätta eller radera operativa personuppgifter eller begränsa behandlingen och om skälen till vägran. Den personuppgiftsansvarige får helt eller delvis begränsa tillhandahållandet av sådan information i den utsträckning som en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att

Den personuppgiftsansvarige ska underrätta den registrerade om möjligheten att lämna in ett klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid domstolen.

5.   Den personuppgiftsansvarige ska meddela varje rättelse av oriktiga operativa personuppgifter till den behöriga myndighet från vilken de oriktiga operativa personuppgifterna kommer.

6.   Den personuppgiftsansvarige ska, när operativa personuppgifter har rättats, raderats eller deras begränsats i enlighet med punkterna 1, 2 eller 3, underrätta mottagarna att mottagarna ska rätta eller radera de operativa personuppgifterna eller begränsa den behandling av de operativa personuppgifterna som utförs under deras ansvar.

1.   I de fall som avses i artiklarna 79.3, 81 och 82.4 får den registrerades rättigheter också utövas genom Europeiska datatillsynsmannen.

2.   Den personuppgiftsansvarige ska underrätta den registrerade om hans eller hennes möjlighet att utöva sina rättigheter genom Europeiska datatillsynsmannen enligt punkt 1.

3.   Om den rättighet som avses i punkt 1 utövas ska Europeiska datatillsynsmannen åtminstone underrätta den registrerade om att alla nödvändiga kontroller eller en översyn genom Europeiska datatillsynsmannen har ägt rum. Europeiska datatillsynsmannen ska även underrätta den registrerade om hans eller hennes rätt att begära rättslig prövning vid domstolen.

1.   Den personuppgiftsansvarige ska, med beaktande av den senaste utvecklingen, och genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt de risker, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter som behandlingen utgör, både vid tidpunkten för beslut om vilka medel behandlingen ska utföras med och vid tidpunkten för själva behandlingen, ska genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering, vilka är utformade för genomförande av dataskyddsprinciper, såsom uppgiftsminimering, på ett effektivt sätt och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, för att uppfylla kraven i denna förordning och rättsakten om dess inrättande och skydda de registrerades rättigheter.

2.   Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast operativa personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade operativa personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att operativa personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.

1.   Om två eller flera personuppgiftsansvariga eller en eller flera personuppgiftsansvariga tillsammans med en eller flera personuppgiftsansvariga som inte är unionsinstitutioner och unionsorgan, tillsammans fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. De ska under öppna former fastställa sitt respektive ansvar för att fullgöra sina skyldigheter i fråga om dataskydd, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artikel 79, genom ett inbördes arrangemang, såvida inte och i den mån som de personuppgiftsansvarigas respektive skyldigheter fastställs i unionsrätten eller en medlemsstats nationella rätt som de gemensamt personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

2.   Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot den registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade.

3.   Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning med avseende på var och en av de personuppgiftsansvariga.

1.   Om behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och rättsakten om inrättande av den personuppgiftsansvarige och säkerställer att den registrerades rättigheter skyddas.

2.   Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde utan särskilt eller allmänt skriftligt förhandstillstånd från den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits ska personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.

3.   När uppgifter behandlas av ett personuppgiftsbiträde, ska hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt en medlemsstats rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av operativa personuppgifter och kategorier av registrerade samt den personuppgiftsansvariges skyldigheter och rättigheter anges. Avtalet eller den andra rättsakten ska det särskilt föreskrivas att personuppgiftsbiträdet

4.   Det avtal eller den andra rättsakt som avses i punkt 3 ska vara skriftligt, även i elektronisk form.

5.   Om ett personuppgiftsbiträde i strid med denna förordning eller rättsakten om inrättande av den personuppgiftsansvarige fastställer ändamålen och medlen för behandlingen ska personuppgiftsbiträdet anses vara personuppgiftsansvarig med avseende på den behandlingen.

1.   Den personuppgiftsansvarige ska föra loggar över följande typer av behandling i automatiserade behandlingssystem: insamling, ändring, åtkomst, läsning, utlämning inbegripet överföringar, sammanförande och radering av operativa personuppgifter. Loggarna över läsning och utlämning ska göra det möjligt att fastställa motivering, datum och tidpunkt för sådana åtgärder, vem som har läst eller lämnat ut operativa personuppgifter samt, i möjligaste mån, vilka som har fått tillgång till de operativa personuppgifterna.

2.   Loggarna ska endast användas för att kontrollera om behandlingen är tillåten, för egenkontroll, för att säkerställa de operativa personuppgifternas integritet och säkerhet, samt inom ramen för straffrättsliga förfaranden. Sådana loggar ska raderas efter tre år, om de inte krävs för en pågående kontroll.

3.   Den personuppgiftsansvarige ska på begäran göra loggarna tillgängliga för sitt dataskyddsombud och för Europeiska datatillsynsmannen.

1.   Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, leder till en hög risk för fysiska personers rättigheter och friheter, ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av operativa personuppgifter.

2.   Den bedömning som avses i punkt 1 ska åtminstone innehålla en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för de registrerades rättigheter och friheter, de åtgärder som planeras för att hantera dessa risker, skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av operativa personuppgifter och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen.

1.   Den personuppgiftsansvarige ska samråda med Europeiska datatillsynsmannen före behandling av uppgifter som kommer att ingå i ett nytt register som ska inrättas, om

2.   Europeiska datatillsynsmannen får upprätta en förteckning över de olika typer av uppgiftsbehandling som omfattas av förhandssamråd enligt punkt 1.

3.   Den personuppgiftsansvarige ska förse Europeiska datatillsynsmannen med den konsekvensbedömning avseende dataskydd som avses i artikel 89 och, på begäran, eventuell övrig information som gör att Europeiska datatillsynsmannen kan göra en bedömning av behandlingens överensstämmelse och särskilt av riskerna för skyddet av den registrerades operativa personuppgifter och av därmed sammanhängande skyddsåtgärder.

4.   Om Europeiska datatillsynsmannen anser att den planerade behandling som avses i punkt 1 skulle stå i strid med denna förordning eller rättsakten om inrättande av unionsorganet eller unionsbyrån, särskilt om den personuppgiftsansvarige inte i tillräcklig mån har fastställt eller reducerat risken, ska Europeiska datatillsynsmannen ge den personuppgiftsansvarige skriftliga råd inom en period på upp till sex veckor från det att begäran om samråd har mottagits. Denna period får förlängas med en månad beroende på hur komplicerad den planerade behandlingen är. Europeiska datatillsynsmannen ska informera den personuppgiftsansvarige om en sådan förlängning inom en månad från det att begäran om samråd har mottagits, tillsammans med orsakerna till förseningen.

1.   Den personuppgiftsansvarige och personuppgiftsbiträdet ska, med beaktande av den senaste utvecklingen, kostnaden för genomförande, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i synnerhet när det gäller behandling av särskilda kategorier av operativa personuppgifter.

2.   När det gäller automatiserad behandling ska den personuppgiftsansvarige och personuppgiftsbiträdet efter en utvärdering av riskerna genomföra åtgärder som är avsedda att

1.   Den personuppgiftsansvarige ska vid en personuppgiftsincident utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om incidenten, anmäla personuppgiftsincidenten till Europeiska datatillsynsmannen, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till Europeiska datatillsynsmannen inte görs inom 72 timmar, ska den åtföljas av en motivering till förseningen.

2.   Den anmälan som avses i punkt 1 ska åtminstone

3.   Om och i den utsträckning som det inte är möjligt att tillhandahålla den information som avses i punkt 2 samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

4.   Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter som avses i punkt 1, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för Europeiska datatillsynsmannen att kontrollera efterlevnaden av denna artikel.

5.   Om personuppgiftsincidenten rör operativa personuppgifter som har överförts av eller till de behöriga myndigheterna ska den personuppgiftsansvarige förmedla den information som avses i punkt 2 till de berörda behöriga myndigheterna utan onödigt dröjsmål.

1.   Om personuppgiftsincidenten sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.

2.   Den information till den registrerade som avses i punkt 1 i denna artikel ska innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och de rekommendationer som anges i artikel 92.2 b, c och d.

3.   Information till den registrerade i enlighet med punkt 1 ska inte krävas om något av följande villkor är uppfyllda:

4.   Om den personuppgiftsansvarige inte redan har informerat den registrerade om personuppgiftsincidenten får Europeiska datatillsynsmannen, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att den personuppgiftsansvarige gör det eller besluta att något av de villkor som avses i punkt 3 är uppfyllt.

5.   Den information till den registrerade som avses i punkt 1 i denna artikel får senareläggas, begränsas eller utelämnas på de villkor och av de skäl som avses i artikel 79.3.

1.   Med förbehåll för begränsningar och villkor som fastställs i rättsakterna om inrättande av unionsorganet eller unionsbyrån får den personuppgiftsansvarige överföra operativa personuppgifter till myndigheter i tredjeland eller till internationella organisationer i den mån överföringen är nödvändig för utförandet av uppdragen för den personuppgiftsansvarige och endast då villkoren i denna artikel är uppfyllda:

2.   Rättsakterna om inrättande av unionens organ och byråer får behålla eller införa mer specifika bestämmelser om villkoren för internationella överföringar av operativa personuppgifter, särskilt överföringar genom lämpliga skyddsåtgärder och undantag för specifika situationer.

3.   Den personuppgiftsansvarige ska på sin webbplats offentliggöra och uppdatera en förteckning över beslut om adekvat skyddsnivå som avses i punkt 1 a, avtal, administrativa överenskommelser och andra instrument som rör överföring av operativa personuppgifter i enlighet med punkt 1.

4.   Den personuppgiftsansvarige ska utförligt registrera alla överföringar som gjorts i enlighet med denna artikel.

1.   Kommissionen ska biträdas av den kommitté som inrättats genom artikel 93 i förordning (EU) 2016/679. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2.   När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.

1.   Senast den 30 april 2022 ska kommissionen se över rättsakter som antagits på grundval av de fördrag som reglerar den behandling av operativa personuppgifter som utförs av unionens organ eller byråer när de utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget, i syfte att:

2.   För att säkerställa enhetligt och konsekvent skydd för fysiska personer vad gäller behandling av personuppgifter, kan kommissionen på grundval av översynen lägga fram lämpliga lagstiftningsförslag särskilt, i syfte att tillämpa kapitel IX i denna förordning på Europol och Europeiska åklagarmyndigheten, inbegripet anpassningar av kapitel IX i denna förordning, vid behov.

1.   Europaparlamentets och rådets beslut 2014/886/EU (20) och de nuvarande mandaten för Europeiska datatillsynsmannen och den biträdande datatillsynsmannen ska inte påverkas av denna förordning.

2.   Den biträdande datatillsynsmannen ska betraktas som likställd med en justitiesekreterare vid domstolen när det gäller fastställande av löner, ersättningar, ålderspension och all annan ersättning utöver lön.

3.   Artikel 53.4, 53.5 och 53.7 samt artiklarna 55 och 56 i denna förordning ska tillämpas på den nuvarande biträdande datatillsynsmannen fram till utgången av dennes mandatperiod.

4.   Den biträdande datatillsynsmannen ska biträda datatillsynsmannen i fullgörandet av dennes uppgifter och fungera som ersättare när Europeiska datatillsynsmannen är frånvarande eller förhindrad att fullgöra dessa uppgifter fram till utgången av den biträdande tillsynsmannens mandatperiod.

1.   Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

2.   Denna förordning ska dock tillämpas på Eurojusts behandling av personuppgifter från och med den 12 december 2019.