MOTIVERING

1. BAKGRUND TILL FÖRSLAGET

I denna motivering ges en mer detaljerad beskrivning av den nya rättsliga ram för skyddet av personuppgifter i EU som presenteras i meddelandet COM(2012) 9 final[1]. Den föreslagna nya rättsliga ramen består av följande två lagstiftningsförslag:

– Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning).

– Förslag till Europaparlamentets och rådets direktiv om skyddet av enskilda vid behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, samt fri rörlighet för sådana uppgifter[2].

Denna motivering avser förslaget till allmän uppgiftsskyddsförordning.

Grundstenen i den befintliga EU-lagstiftningen om skydd av personuppgifter, direktiv 95/46/EG[3], antogs 1995 och hade till syfte att skydda den grundläggande rätten till uppgiftsskydd och garantera det fria flödet av personuppgifter mellan medlemsstaterna. Direktivet kompletterades av rambeslut 2008/977/RIF som är ett allmänt instrument på unionsnivå för skydd av personuppgifter på områdena polissamarbete och straffrättsligt samarbete[4].

Den snabba tekniska utvecklingen har ställt oss inför nya utmaningar vad gäller skyddet av personuppgifter. Omfattningen på datadelning och insamling av uppgifter har ökat spektakulärt. Tekniken gör det möjligt för både privata företag och myndigheter att använda sig av personuppgifter i en helt ny omfattning när de bedriver sina verksamheter. Enskilda personer gör allt oftare personlig information tillgänglig för offentligheten och globalt. Tekniken har omvandlat såväl ekonomin som samhällslivet.

Att bygga upp förtroendet för nätmiljön är avgörande för den ekonomiska utvecklingen. Bristande förtroende gör att konsumenterna tvekar att köpa på nätet och använda nya tjänster. Detta kan hämma utvecklingen av innovativa användningar av ny teknik. Skydd av personuppgifter spelar därför en central roll i den digitala agendan för Europa[5] och mer allmänt i Europa 2020-strategin[6].

Artikel 16.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget), som infördes genom Lissabonfördraget, fastställer principen att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessutom införde Lissabonfördraget genom artikel 16.2 i EUF-fördraget en särskild rättslig grund för antagandet av bestämmelser om skydd av personuppgifter. Artikel 8 i EU:s stadga om de grundläggande rättigheterna fastställer att skydd av personuppgifter är en grundläggande rättighet.

Europeiska rådet uppmanade kommissionen att utvärdera hur EU:s instrument för uppgiftsskydd fungerar och vid behov ta ytterligare initiativ på lagstiftningsområdet och på andra områden[7]. Europaparlamentet[8] välkomnade i sin resolution om Stockholmsprogrammet det vittomfattande systemet för skydd av uppgifter i EU och efterlyste bland annat en översyn av rambeslutet. Kommissionen underströk i sin handlingsplan för att genomföra Stockholmsprogrammet[9] behovet av att se till att den grundläggande rätten till skydd för personuppgifter tillämpas på ett enhetligt sätt på EU:s alla politikområden.

I sitt meddelande om ett samlat grepp på skyddet av personuppgifter i Europeiska unionen[10], drog kommissionen slutsatsen att EU behöver en mer samlad och konsekvent strategi i fråga om den grundläggande rätten till skydd av personuppgifter.

Den nuvarande ramen är fortfarande giltig i fråga om dess mål och principer, men den har inte förhindrat en fragmentering av det sätt på vilket skyddet av personuppgifter genomförs i EU, rättsosäkerhet och allmänt spridda uppfattningar om att särskilt användning av internet medför avsevärda risker[11]. Det är därför dags att inrätta en kraftfullare och mer sammanhängande ram för uppgiftsskydd i EU, underbyggd av en strikt efterlevnadskontroll som gör det möjligt för den digitala ekonomin att utvecklas på hela den inre marknaden, ge enskilda personer kontroll över sina egna uppgifter och stärka rättssäkerheten och smidigheten för ekonomiska aktörer och offentliga myndigheter.

2. RESULTAT AV SAMRÅD MED BERÖRDA PARTER OCH KONSEKVENSBEDÖMNING

Detta initiativ är resultatet av omfattande samråd med alla viktigare berörda parter om en översyn av den nuvarande rättsliga ramen för skydd av personuppgifter, som varade mer än två år och inbegrep en konferens med högt uppsatta deltagare i maj 2009[12] och offentliga samråd i två etapper:

– Samråd om den rättsliga ramen för den grundläggande rätten till skydd av personuppgifter, från den 9 juli till den 31 december 2009. Kommissionen mottog 168 svar, varav 127 från enskilda personer, företagsorganisationer och sammanslutningar och 12 från offentliga myndigheter[13].

– Samråd om kommissionens samlade grepp på skydd av personuppgifter i Europeiska unionen, från den 4 november 2010 till den 15 januari 2011. Kommissionen mottog 305 svar, varav 54 från enskilda, 31 från offentliga myndigheter och 220 från privata organisationer, särskilt företagssammanslutningar och icke-statliga organisationer[14].

Riktade samråd genomfördes också med viktiga berörda parter. Särskilda evenemang anordnades i juni och juli 2010 med medlemsstaternas myndigheter och med berörda parter i den privata sektorn, samt med integritets-, uppgiftsskydds- och konsumentorganisationer[15]. I november 2010 organiserade Europeiska kommissionens vice ordförande Reding ett rundabordsmöte om uppgiftsskyddsreformen. Den 28 januari 2011 (Dataskyddsdagen) organiserade Europeiska kommissionen och Europarådet en konferens på hög nivå för att diskutera frågor i samband med reformen av EU:s rättsliga ram och behovet av gemensamma globala standarder för uppgiftsskydd[16]. Det ungerska och det polska ordförandeskapet för rådet stod värd för två konferenser om uppgiftsskydd den 16–17 juni 2011 respektive den 21 september 2011.

Workshoppar och seminarier särskilt ägnade åt specifika frågor hölls under hela 2011. I januari anordnade Enisa[17] en workshop om anmälningar av personuppgiftsbrott i Europa[18]. I februari sammankallade kommissionen en workshop med medlemsstaternas myndigheter för att diskutera uppgiftsskyddsfrågor på området polissamarbete och straffrättsligt samarbete, däribland genomförandet av rambeslutet, och Europeiska unionens byrå för grundläggande rättigheter höll ett samråd med berörda parter om “uppgiftsskydd och integritet”. En diskussion om centrala frågor i reformer hölls den 13 juli 2011 med nationella dataskyddsmyndigheter. EU-medborgarna konsulterades genom en Eurobarometerundersökning som genomfördes i november–december 2010[19]. Ett antal undersökningar inleddes också[20]. Artikel 29-gruppen[21] lämnade flera synpunkter och värdefulla bidrag till kommissionen[22]. Europeiska datatillsynsmannen utfärdade också ett övergripande yttrande om de frågor som dryftats i kommissionens meddelande från november 2010[23].

Europaparlamentet godkände genom sin resolution av den 6 juli 2011 en rapport som stödde kommissionens strategi för att reformera ramen för uppgiftsskyddet[24]. Europeiska unionens råd stöder i sina slutsatser som antogs den 24 februari 2011 i huvudsak kommissionens avsikt att reformera ramen för uppgiftsskyddet och ansluter sig till många inslagen i kommissionens strategi. Europeiska ekonomiska och sociala kommittén stödde också kommissionens mål att säkerställa en mer enhetlig tillämpning av EU:s uppgiftsskyddsbestämmelser[25] i alla medlemsstater genom en lämplig omarbetning av direktiv 95/46/EG[26].

Under samråden om det samlade greppet var en stor majoritet av de berörda parterna överens om att de allmänna principerna fortfarande gäller, men att det finns ett behov av att anpassa den nuvarande ramen för att bättre möta de utmaningar som den nya teknikens snabba utveckling (särskilt på internet) och den ökande globaliseringen medför, samtidigt som den rättsliga ramens tekniska neutralitet måste vidmakthållas. Kraftig kritik har riktats mot den nuvarande fragmenteringen av skyddet av personuppgifter i unionen, särskilt av ekonomiska aktörer som efterfrågat ökad rättssäkerhet och harmonisering av bestämmelserna om skydd av personuppgifter. De anser att de komplicerade bestämmelserna om internationella överföringar av personuppgifter utgör ett avsevärt hinder för deras verksamhet eftersom de regelbundet behöver överföra personuppgifter från EU till andra delar av världen.

I enlighet med sin politik för bättre lagstiftning genomförde kommissionen en konsekvensanalys av de politiska alternativen. Konsekvensbedömningen grundades på de tre politiska alternativen att förbättra inremarknadsaspekten av uppgiftsskyddet, att effektivisera enskilda personers utövande av sin rätt till skydd av personuppgifter och att inrätta en övergripande och sammanhängande ram som omfattar unionens samtliga behörighetsområden, däribland polissamarbete och straffrättsligt samarbete. Tre alternativ som fordrade olika grader av ingripande bedömdes. Det första alternativet bestod av minimala ändringar av lagstiftningen och användning av tolkningsmeddelanden och politiska stödåtgärder såsom finansieringsprogram och tekniska instrument. Det andra alternativet omfattade en uppsättning rättsliga bestämmelser som var inriktade på var och en av de problem som fastställts i analysen, medan det tredje alternativet innebar en centralisering av uppgiftsskyddet på EU-nivå genom precisa och detaljerade bestämmelser för alla sektorer och inrättandet av en EU-byrå för övervakning och genomförande av bestämmelserna.

Enligt kommissionens vedertagna metod bedömdes varje alternativ, med hjälp av en avdelningsövergripande styrgrupp, med avseende på dess effektivitet när det gäller att uppnå de politiska målen, dess ekonomiska konsekvenser för de berörda parterna (även på EU-institutionernas budget), dess sociala konsekvenser och dess inverkan på de grundläggande rättigheterna. Inga miljökonsekvenser konstaterades. Analysen av de övergripande konsekvenserna ledde till en vidareutveckling av det alternativ som ansågs vara att föredra. Det grundar sig på det andra alternativet med vissa inslag av de övriga två alternativen och har införlivats i föreliggande förslag. Konsekvensbedömningen visar att genomförandet av förslaget bland annat kommer att leda till att rättssäkerheten för registeransvariga och enskilda personer avsevärt förbättras, att de administrativa bördorna minskas, att uppgiftsskyddsbestämmelserna genomförs på ett enhetligt sätt i EU, att enskilda kan utöva sin rätt till skydd av personuppgifter inom EU och till att tillsynen och tillämpningen av uppgiftsskyddet effektiviseras. Genomförandet av de alternativ som föredras väntas också bidra till att man kan uppnå kommissionens mål om förenkling och minskning av den administrativa bördan samt till målen för den digitala agendan för Europa, Stockholmsprogrammets handlingsplan och Europa 2020-strategin.

Konsekvensbedömningsnämnden yttrade sig om utkastet till konsekvensbedömning den 9 september 2011. Till följd av detta yttrande gjordes följande ändringar av konsekvensbedömningen:

– Ett klargörande av målen för den nuvarande rättsliga ramen (i vilken mån de har uppnåtts och i vilken mån de inte uppnåtts) och målen för den planerade reformen.

– Fler bevis och ytterligare förklaringar/klargöranden lades till i avsnittet om problemdefinitionen.

– Ett avsnitt om proportionalitet lades till.

– Alla beräkningar och uppskattningar rörande den administrativa bördan i grundscenariot och i det alternativ som föredras har setts över och omarbetats i sin helhet, och förhållandet mellan anmälningskostnaderna och de totala kostnaderna av fragmenteringen, har klargjorts (inklusive bilaga 10).

– Konsekvenserna för mikroföretag och små och medelstora företag, särskilt när det gäller bestämmelserna om uppgiftsskyddsombud och konsekvensbedömningar avseende uppgiftsskydd, har preciserats bättre.

Konsekvensbedömningsrapporten och sammanfattningen offentliggörs tillsammans med förslagen.

3. FÖRSLAGETS RÄTTSLIGA ASPEKTER 3.1. Rättslig grund

Detta förslag grundar sig på artikel 16 i EUF-fördraget, som är den nya rättsliga grunden för antagande av de bestämmelser om uppgiftsskydd som införts genom Lissabonfördraget. Denna bestämmelse gör det möjligt att anta bestämmelser om skydd för enskilda med avseende på behandling av personuppgifter som medlemsstaterna utför när de bedriver verksamhet som omfattas av unionsrätten. Det gör det också möjligt att anta bestämmelser om den fria rörligheten för personuppgifter, däribland personuppgifter som behandlas av medlemsstaterna eller privata aktörer.

En förordning anses vara det lämpligaste rättsliga instrumentet för att fastställa ramen för skyddet av personuppgifter i unionen. Eftersom förordningen enligt artikel 288 i EUF-fördraget är direkt tillämplig kommer den att minska den rättsliga fragmenteringen och ge större rättssäkerhet genom att införa en harmoniserad uppsättning kärnbestämmelser, förbättra skyddet av enskildas grundläggande rättigheter och bidra till den inre marknadens funktion.

Hänvisningen till artikel 114.1 i EUF-fördraget är endast nödvändig för att ändra direktiv 2002/58/EG i den mån som det direktivet också bidrar till skyddet av de berättigade intressena hos abonnenter som är juridiska personer.

3.2. Subsidiaritets- och proportionalitetsprincipen

Enligt subsidiaritetsprincipen (artikel 5.3 i EU-fördraget) ska åtgärder vidtas på EU-nivå endast om och i den mån som målen för den planerade åtgärden inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och därför, på grund av den planerade åtgärdens omfattning eller verkningar, bättre kan uppnås på unionsnivå. Mot bakgrund av de ovan skisserade problemen visar subsidiaritetsanalysen att det är nödvändigt att vidta åtgärder på EU-nivå av följande skäl:

– Rätten till skydd av personuppgifter, som fastläggs i artikel 8 i stadgan om de grundläggande rättigheterna, innebär att samma nivå på uppgiftsskyddet ska gälla i hela unionen. Avsaknaden av gemensamma EU-bestämmelser skulle kunna leda till olika skyddsnivåer i medlemsstaterna och till begränsningar på de gränsöverskridande flödena av personuppgifter mellan medlemsstater med olika standarder.

– Personuppgifter överförs i snabbt ökande omfattning över nationsgränserna, både EU:s inre och yttre gränser. Dessutom finns det praktiska problem med genomförandet av uppgiftsskyddslagstiftningen och ett behov av samarbete mellan medlemsstaterna och deras myndigheter, vilket måste organiseras på EU-nivå för att säkerställa att unionsrätten tillämpas enhetligt. EU har också de bästa förutsättningarna att på ett ändamålsenligt och enhetligt sätt garantera samma skyddsnivå för enskilda när deras personuppgifter överförs till tredjeländer.

– Medlemsstaterna kan inte ensamma minska problemen i den nuvarande situationen, särskilt inte de problem som beror på fragmenteringen av de nationella lagstiftningarna. Det finns därför ett särskilt behov av att införa en harmoniserad och sammanhängande ram som möjliggör en smidig överföring av personuppgifter över gränserna inom EU, samtidigt som man garanterar ett faktiskt skydd av alla enskilda i hela EU.

– De föreslagna lagstiftningsåtgärderna på EU-nivå kommer att vara effektivare än liknande åtgärder på medlemsstatsnivå på grund av karaktären och omfattningen hos problemen, som inte är begränsade till en eller flera medlemsstater.

Enligt proportionalitetsprincipen ska alla insatser vara riktade och inte gå utöver vad som är nödvändigt för att uppnå målen. Denna princip har varit vägledande under förberedelsen av detta förslag, från kartläggningen och utvärderingen av olika alternativ till utarbetandet av lagstiftningsförslaget.

3.3. Sammanfattning av frågor som rör de grundläggande rättigheterna

Rätten till skydd av personuppgifter fastställs i artikel 8 i stadgan, artikel 16 i EUF-fördraget och artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Europeiska unionens domstol[27] understryker att rätten till skydd av personuppgifter inte är en absolut rättighet, utan måste beaktas i förhållande till dess funktion i samhället[28]. Uppgiftsskyddet är nära knutet till respekten för privatlivet och familjelivet som skyddas genom artikel 7 i stadgan. Detta avspeglas i artikel 1.1 i direktiv 95/46/EG som föreskriver att medlemsstaterna ska skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.

Andra grundläggande rättigheter som fastläggs i stadgan och som skulle kunna påverkas är yttrandefriheten (artikel 11 i stadgan), näringsfriheten (artikel 16), rätten till egendom och särskilt rätten till skydd av immateriell egendom (artikel 17.2), förbudet mot all diskriminering på grund av bland annat ras, etniskt ursprung, genetiska särdrag, religion eller övertygelse, politisk eller annan åskådning, funktionshinder eller sexuell läggning (artikel 21), barnets rättigheter (artikel 24), rätten till en hög nivå av skydd för människors hälsa (artikel 35), rätten till tillgång till handlingar (artikel 42) och rätten till ett effektivt rättsmedel och till en opartisk domstol (artikel 47).

3.4. Närmare redogörelse för förslaget 3.4.1. KAPITEL I - ALLMÄNNA BESTÄMMELSER

Genom artikel 1 definieras förordningens syfte och, liksom i artikel 1 i direktiv 95/46/EG, fastställs de två målen för förordningen.

I artikel 2 fastställs förordningens materiella tillämpningsområde.

Genom artikel 3 fastställs förordningens territoriella tillämpningsområde.

Artikel 4 innehåller definitioner av begrepp som används i förordningen. Vissa definitioner har övertagits från direktiv 95/46/EG, medan andra har ändrats, kompletterats med ytterligare element eller är helt nya (”personuppgiftsbrott” på grundval av artikel 2 h i direktiv 2002/58/EG[29] om integritet och elektronisk kommunikation i dess ändrade lydelse enligt direktiv 2009/136/EG[30], ”genetiska uppgifter”, ”biometriska uppgifter”, ”uppgifter om hälsa”, ”huvudsakligt verksamhetsställe”, ”företrädare”, ”företag”, företagsgrupp”, ”bindande företagsbestämmelser”, ”barn” som grundar sig på Förenta nationernas konvention om barnets rättigheter[31] och ”tillsynsmyndighet”).

I definitionen av samtycke läggs kriteriet ”uttrycklig” till för att undvika förvirrande paralleller med ”otvetydigt” samtycke och för att ha en enda och enhetlig definition av samtycke, som garanterar att den registrerade är medveten om att han eller hon samtycker och till vad.

3.4.2. KAPITEL II – PRINCIPER

Genom artikel 5 fastställs principerna om behandling av personuppgifter, vilka motsvarar dem som anges i artikel 6 i direktiv 95/46/EG. Till de nya inslagen hör särskilt öppenhetsprincipen, klargörandet av uppgiftsminimeringsprincipen och införandet av den registeransvariges övergripande ansvar.

På grundval av artikel 7 i direktiv 95/46/EG anges i artikel 6 kriterierna för när personuppgifter får behandlas. De preciseras närmare med avseende på kriteriet om jämvikt mellan de berörda parternas intressen och överensstämmelsen med rättsliga förpliktelser och det allmänna intresset.

Genom artikel 7 klargörs villkoren för att samtycket ska vara giltigt som rättslig grund för tillåten behandling.

Genom artikel 8 fastställs ytterligare villkor för när det är tillåtet att behandla barns personuppgifter i förhållande till de av informationssamhällets tjänster som erbjuds direkt till dem.

I artikel 9 anges det allmänna förbudet att behandla särskilda kategorier av personuppgifter och undantagen från denna allmänna regel. Grundvalen är artikel 8 i direktiv 95/46/EG.

Genom artikel 10 klargörs att den registeransvarige inte är skyldig att erhålla ytterligare information för att identifiera den registrerade endast i syfte att iaktta någon av bestämmelserna i denna förordning.

3.4.3. KAPITEL III – DEN REGISTRERADES RÄTTIGHETER 3.4.3.1. Avsnitt 1 – Insyn och villkor

Genom artikel 11 införs de registeransvarigas skyldighet att tillhandahålla klar och tydlig samt lätt tillgänglig och begriplig information, först och främst inspirerad av Madridresolutionen om internationella normer för skydd av personuppgifter och integritet[32].

Genom artikel 12 förpliktigas den registeransvarige att införa förfaranden och rutiner som den registrerade kan använda för att utöva sina rättigheter, bl.a. sätt göra detta elektroniskt, varvid den registrerades begäran måste besvaras inom en fastställd tidsfrist och en vägran måste motiveras.

Genom artikel 13 fastställs rättigheter i fråga om mottagare, på grundval av artikel 12 c i direktiv 95/46/EG, som utvidgas till alla mottagare, inbegripet gemensamma registeransvariga och registerförare.

3.4.3.2. Avsnitt 2 – Information och tillgång till uppgifter

I artikel 14 preciseras närmare den registeransvariges skyldighet att informera den registrerade, på grundval av artiklarna 10 och 11 i direktiv 95/46/EG, varvid ytterligare information ska lämnas till den registrerade om lagringsperioden, rätten att inge ett klagomål samt i samband med internationella överföringar och den källa där uppgifterna har sitt ursprung. De möjliga undantagen i direktiv 95/46/EG bevaras också. Exempelvis föreligger ingen sådan skyldighet om registreringen eller utlämnandet uttryckligen föreskrivs av lagen. Detta kan till exempel gälla i förfaranden inom konkurrensmyndigheter, skatte- eller tullförvaltningar eller tjänster med befogenhet för socialförsäkringsfrågor.

Genom artikel 15 föreskrivs den registrerades rätt till tillgång till sina personuppgifter, på grundval av artikel 12 a i direktiv 95/46/EG och med nya inslag, såsom information till de registrerade om lagringsperioden samt om rätten till rättelse och radering och att inge ett klagomål.

3.4.3.3. Avsnitt 3 – Rättelse och radering

Genom artikel 16 fastställs den registrerades rätt till rättelse. Grundvalen är artikel 12 b i direktiv 95/46/EG.

Artikel 17 föreskriver den registrerades rätt att bli bortglömd och rätt till radering. I artikeln beskrivs närmare och preciseras den rätt till radering som föreskrivs i artikel 12 b i direktiv 95/46/EG och föreskrivs villkoren för rätten att bli bortglömd, inklusive skyldigheten för den registeransvarige som har offentliggjort personuppgifterna att underrätta tredje parter om den registrerades begäran att radera eventuella länkar till eller kopior eller reproduktioner av dessa personuppgifter. Den inbegriper också rätten att begränsa behandlingen i vissa fall, varvid det tvetydiga begreppet ”blockering” undviks.

I artikel 18 införs den registrerades rätt till uppgiftsportabilitet, dvs. att överföra uppgifter från ett system för elektronisk behandling till ett annat utan att hindras av den registeransvarige. Som en förutsättning och för att ytterligare förbättra enskildas tillgång till sina personuppgifter, föreskrivs rätten att från den registeransvarige erhålla uppgifterna i ett strukturerat och gängse använt elektroniskt format.

3.4.3.4. Avsnitt 4 – Rätt att göra invändningar och profilering

Genom artikel 19 föreskrivs den registrerades rätt att göra invändningar. Den grundar sig på artikel 14 i direktiv 95/46/EG, med vissa förändringar, bland annat när det gäller bevisbördan och dess tillämpning på direkt marknadsföring.

Artikel 20 rör den registrerades rätt att inte bli föremål för åtgärder som grundar sig på profilering. Den bygger på artikel 15.1 i direktiv 95/46 om databehandlade beslut, med ändringar och ytterligare skyddsåtgärder, och tar hänsyn till Europarådets rekommendationer om profilering[33].

3.4.3.5. Avsnitt 5 – Begränsningar

Genom artikel 21 klargörs unionens eller medlemsstaternas befogenhet att behålla eller införa begränsningar av de principer som fastställs i artikel 5 och av den registrerades rättigheter som fastställs i artiklarna 11–20 och i artikel 32. Denna bestämmelse grundar sig på artikel 13 i direktiv 95/46/EG och på de krav som härrör från stadgan om grundläggande rättigheter och Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, såsom den tolkas av EU-domstolen och Europadomstolen.

3.4.4. KAPITEL IV – REGISTERANSVARIG OCH REGISTERFÖRARE 3.4.4.1. Avsnitt 1 – Allmänna skyldigheter

Genom artikel 22 beaktas debatten om en ”princip om ansvarsskyldighet” och beskrivs i detalj den registeransvariges ansvar att på ett uttryckligt och påvisbart sätt följa denna förordning, bland annat genom att anta interna policyer och rutiner för att säkerställa sådan efterlevnad.

Genom artikel 23 fastställs den registeransvariges skyldigheter som följer av principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard.

Genom artikel 24 om gemensamma registeransvariga klargörs gemensamma registeransvarigas ansvar vad avser förhållandet dem emellan och gentemot den registrerade.

Artikel 25 förpliktigar under vissa omständigheter registeransvariga som inte är etablerade i unionen, där förordningen är tillämplig på deras behandling av uppgifter, att utse en företrädare i unionen.

Genom artikel 26 klargörs registerförarnas ställning och skyldighet, delvis på grundval av artikel 17.2 i direktiv 95/46/EG och med nya inslag, bland annat att en registerförare som behandlar andra uppgifter än de som anges i den registeransvariges instruktioner ska anses som en gemensam registeransvarig.

Artikel 27 om behandling under den registeransvariges och registerförarens överinseende grundar sig på artikel 16 i direktiv 95/46/EG.

Genom artikel 28 införs en skyldighet för registeransvariga och registerförare att bevara dokumentation om all behandling som de ansvarar för, i stället för en allmän anmälan till tillsynsmyndigheten som krävs enligt artiklarna 18.1 och 19 i direktiv 95/46/EG.

Genom artikel 29 klargörs registeransvarigas och registerförares skyldigheter att samarbeta med tillsynsmyndigheterna.

3.4.4.2. Avsnitt 2 – Datasäkerhet

Genom artikel 30 förpliktigas den registeransvariga och registerföraren att vidta lämpliga åtgärder för säkerheten vid behandling. Grundvalen är artikel 17.1 i direktiv 95/46/EG. Denna skyldighet utvidgas till att omfatta registerförare, oavsett avtal med den uppgiftsansvarige.

Genom artiklarna 31 och 32 införs en skyldighet att anmäla personuppgiftsbrott, som bygger på anmälan av personuppgiftsbrott i artikel 4.3 i direktiv 2002/58/EG.

3.4.4.3. Avsnitt 3 – Konsekvensbedömning avseende uppgiftsskydd samt förhandstillstånd

Genom artikel 33 införs en skyldighet för registeransvariga och registerförare att göra en konsekvensbedömning avseende uppgiftsskydd före behandlingar som är utsatta för risker.

Artikel 34 gäller de fall där tillstånd av, och samråd med, tillsynsmyndigheten är obligatoriska före behandling, vilket bygger på begreppet “förhandskontroll” i artikel 20 i direktiv 95/46/EG.

3.4.4.4. Avsnitt 4 – Uppgiftsskyddsombud

Genom artikel 35 införs krav på att utnämna ett uppgiftsskyddsombud i den offentliga sektorn, och – vad gäller den privata sektorn – inom stora företag eller när registeransvarigas eller registerförares kärnverksamheter består av behandling som kräver regelbunden och systematisk övervakning. Detta bygger på artikel 18.2 i direktiv 95/46/EG, som ger medlemsstaterna möjlighet att införa ett sådant krav som en ersättning för ett allmänt anmälningskrav.

Genom artikel 36 redogörs för uppgiftsskyddsombudets ställning.

Genom artikel 37 föreskrivs uppgiftsskyddsombudets viktigaste arbetsuppgifter.

3.4.4.5. Avsnitt 5 – Uppförandekodex och certifiering

Artikel 38 avser uppförandekodexar, och bygger på begreppet i artikel 27.1 i direktiv 95/46/EG. Genom denna artikel klargörs innehållet i kodexarna och förfarandena och föreskrivs att kommissionen ska bemyndigar att besluta om uppförandekodexars allmänna giltighet.

Genom artikel 39 införs möjligheten att inrätta certifieringsmekanismer samt förseglingar och märkningar för uppgiftsskydd.

3.4.5. KAPITEL V – ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJELÄNDER ELLER INTERNATIONELLA ORGANISATIONER

I artikel 40 anges att det som en allmän princip är obligatoriskt att efterleva skyldigheterna i detta kapitel vid samtliga överföringar av personuppgifter till tredjeländer eller internationella organisationer, däribland när vidare överföring sker.

Genom artikel 41 fastställs kriterierna, villkoren och förfarandena för antagandet av kommissionens beslut om adekvat skyddsnivå. Grundvalen är artikel 25 i direktiv 95/46/EG. Bland de kriterier som ska beaktas vid kommissionens bedömning av en adekvat eller icke-adekvat nivå på skyddet ingår uttryckligen rättsstatsprincipen, rättslig prövning och oberoende tillsyn. I artikeln bekräftas nu uttryckligen kommissionens möjlighet att bedöma nivån på det skydd som lämnas av ett territorium eller en behandlande sektor i ett tredjeland.

Genom artikel 42 föreskrivs krav vid överföringar till tredjeländer, då kommissionen inte fattat något beslut om adekvat skyddsnivå, att vidta lämpliga skyddsåtgärder, främst standardiserade uppgiftsskyddsbestämmelser, bindande företagsregler och avtalsklausuler. Möjligheten att utnyttja kommissionens standardiserade uppgiftsskyddsbestämmelser bygger på artikel 26.4 i direktiv 95/46/EG. En nyhet är att dessa standardiserade uppgiftsskyddsbestämmelser nu även kan antas av en tillsynsmyndighet och av kommissionen förklaras vara allmänt giltiga. Bindande företagsregler nämns nu specifikt i lagtexten. Alternativet med avtalsklausuler ger den registeransvarige eller registerföraren en viss flexibilitet, men måste först godkännas av tillsynsmyndigheterna.

I artikel 43 beskrivs ytterligare i detalj villkoren för överföringar genom bindande företagsbestämmelser. Grundvalen är tillsynsmyndigheternas nuvarande praxis och krav.

I artikel 44 redogörs för och klargörs undantagen vad gäller uppgiftsöverföring. Grundvalen är befintliga bestämmelser i artikel 26 i direktiv 95/46/EG. Detta är särskilt tillämpligt på uppgiftsöverföringar som krävs och är nödvändiga för att skydda viktiga samhälleliga intressen, exempelvis vid internationella uppgiftsöverföringar mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, eller mellan socialförsäkringsmyndigheter eller för fiskeriförvaltning. Därtill kommer att en uppgiftsöverföring, under begränsade omständigheter, kan vara motiverad med anledning av den registeransvariges eller registerförarens berättigade intressen, men endast sedan omständigheterna för den åtgärden har bedömts och dokumenterats.

I artikel 45 lämnas uttryckligen föreskrifter för internationella samarbetsmekanismer för skydd av personuppgifter mellan kommissionen och tillsynsmyndigheter i tredjeländer, särskilt de som anses erbjuda en adekvat skyddsnivå, med hänsyn tagen till OECD:s rekommendation om gränsöverskridande samarbete vid tillämpningen av lagstiftning om integritetsskydd av den 12 juni 2007.

3.4.6. KAPITEL VI – OBEROENDE TILLSYNSMYNDIGHETER 3.4.6.1. Avsnitt 1 – Oberoende ställning

Genom artikel 46 förpliktigas medlemsstaterna att inrätta tillsynsmyndigheter, på grundval av artikel 28.1 i direktiv 95/46/EG, och att utvidga tillsynsmyndigheternas uppdrag till att omfatta samarbete med varandra och med kommissionen.

Genom artikel 47 klargörs villkoren för tillsynsmyndigheternas oberoende, varvid EU-domstolens rättspraxis genomförs[34], och inspiration även hämtas från artikel 44 i förordning (EG) nr 45/2001[35].

Genom artikel 48 föreskrivs allmänna villkor för tillsynsmyndighetens ledamöter, varvid relevant rättspraxis genomförs[36] och inspiration även hämtas från artikel 42.2–42.6 i förordning (EG) 45/2001.

Genom artikel 49 fastställs bestämmelser angående inrättandet av tillsynsmyndigheten som ska medlemsstaterna ska föreskriva i lag.

Genom artikel 50 fastställs tystnadsplikt för tillsynsmyndighetens ledamöter och personal och på grundval av artikel 28.7 i direktiv 95/46/EG.

3.4.6.2. Avsnitt 2 – Uppdrag och befogenheter

Genom artikel 51 fastställs tillsynsmyndigheternas behörighet. Den allmänna regeln, som bygger på artikel 28.6 i direktiv 95/46/EG (behörighet att inom sin egen medlemsstats territorium), kompletteras genom en ny behörighet – för att säkerställa enhetlighet i tillämpningen – som ansvarig myndighet i de fall en uppgiftsansvarig eller registerförare är etablerad i flera medlemsstater. Domstolar är i sin dömande verksamhet undantagna från övervakning av tillsynsmyndigheten, men inte från tillämpningen av de materiella reglerna om uppgiftsskydd.

Genom artikel 52 föreskrivs tillsynsmyndighetens uppdrag, bl.a. att ta emot och undersöka klagomål och öka allmänhetens medvetenhet om risker, regler, skyddsåtgärder och rättigheter.

Genom artikel 53 föreskrivs tillsynsmyndighetens befogenheter, delvis på grundval av artikel 28.3 i direktiv 95/46/EG och artikel 47 I förordning (EG) 45/2001, med tillägg av vissa nya element, däribland befogenheten att utfärda sanktioner vid administrativa överträdelser.

Genom artikel 54 förpliktigas tillsynsmyndigheterna att utarbeta årliga verksamhetsrapporter. Grundvalen är artikel 28.5 i direktiv 95/46/EG.

3.4.7. KAPITEL VII – SAMARBETE OCH ENHETLIGHET 3.4.7.1. Avsnitt 1 – Samarbete

Genom artikel 55 införs uttryckliga bestämmelser om obligatoriskt ömsesidigt bistånd, bl.a. vilka följderna blir om en begäran från en annan tillsynsmyndighet inte tillmötesgås. Grundvalen är artikel 28.6 andra stycket i direktiv 95/46/EG.

Genom artikel 56 införs regler om gemensamma insatser, med inspiration hämtad från artikel 17 i rådets beslut 2008/615/RIF[37], däribland en rättighet för tillsynsmyndigheter att delta i sådana insatser.

3.4.7.2. Avsnitt 2 – Enhetlighet

Genom artikel 57 införs en mekanism för enhetlighet för att se till att tillämpningen blir lika vad gäller behandling som kan innefatta registrerade personer i flera medlemsstater.

Genom artikel 58 fastställs förfaranden och villkor för Europeiska dataskyddsstyrelsens yttranden.

Artikel 59 gäller kommissionens yttranden i frågor som tas upp i mekanismen för enhetlighet, vilka antingen kan tillstyrka Europeiska dataskyddsstyrelsens yttrande eller avvika från det, samt tillsynsmyndighets utkast till åtgärd. När en fråga har väckts av Europeiska dataskyddsstyrelsen enligt artikel 58.3 kan kommissionen förväntas utöva sin rätt att lämna ett yttrande närhelst så är nödvändigt.

Artikel 60 gäller kommissionens beslut att begära att behörig myndighet ska uppskjuta antagandet av sitt utkast till åtgärd när det är nödvändigt att säkerställa en korrekt tillämpning av denna förordning.

Genom artikel 61 föreskrivs möjligheten att anta provisoriska åtgärder i ett påskyndat förfarande.

Genom artikel 62 fastställs kraven för kommissionens genomförandeakter enligt mekanismen för enhetlighet.

Genom artikel 63 föreskrivs skyldigheten att verkställa en tillsynsmyndighets åtgärder i alla berörda medlemsstater, och vidare fastställs att tillämpningen av mekanismen för enhetlighet är en förutsättning för respektive åtgärders rättsliga giltighet och verkställighet.

3.4.7.3. Avsnitt 3 – Europeiska dataskyddsstyrelsen

Genom artikel 64 fastslås att Europeiska dataskyddsstyrelsen ska bestå av cheferna för medlemsstaternas tillsynsmyndigheter samt Europeiska datatillsynsmannen. Europeiska dataskyddsstyrelsen ersätter arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättades genom artikel 29 i direktiv 95/46/EG. Det klargörs att kommissionen inte ingår i Europeiska dataskyddsstyrelsen, men har rätt att delta i verksamheten och att vara företrädd.

Genom artikel 65 betonas och klargörs Europeiska dataskyddsstyrelses oberoende.

Genom artikel 66 beskrivs Europeiska dataskyddsstyrelses arbetsuppgifter, på grundval av artikel 30.1 i direktiv 95/46/EG. Det införs också ytterligare elements om avspeglar Europeiska dataskyddsstyrelses utökade verksamhetsområde, inom och utom unionen. För att kunna agera vid brådskande situationer ges kommissionen möjligheten att begära yttranden inom en angiven tidsfrist.

Enligt artikel 67 ska Europeiska dataskyddsstyrelsen årligen avlägga rapport om sin verksamhet. Grundvalen är artikel 30.6 i direktiv 95/46/EG.

Genom artikel 68 fastställs Europeiska dataskyddsstyrelsens beslutsgång, däribland skyldigheten att anta en arbetsordning som även bör innefatta arbetsformer.

Artikel 69 innehåller bestämmelser angående ordföranden och vice ordföranden vid Europeiska dataskyddsstyrelsen.

Genom artikel 70 fastställs ordförandens arbetsuppgifter.

Genom artikel 71 fastställs att Europeiska dataskyddsstyrelsens sekretariat ska tillhandahållas av Europeiska datatillsynsmannen. Vidare preciseras sekretariatets arbetsuppgifter.

Genom artikel 72 föreskrivs regler om sekretess.

3.4.8. KAPITEL VIII – RÄTTSMEDEL, ANSVAR SAMT PÅFÖLJDER OCH SANKTIONER

Genom artikel 73 föreskrivs alla registrerades rätt att lämna klagomål till en tillsynsmyndighet. Grundvalen är artikel 28.4 i direktiv 95/46/EG. Här specificeras även vilka organ, organisationer eller sammanslutningar som kan lämna klagomål på en registrerad persons vägnar eller vid personuppgiftsbrott, oberoende av en registrerad persons klagomål.

Artikel 74 gäller rätten till rättslig prövning av en tillsynsmyndighets beslut. Den bygger på den allmänna bestämmelsen i artikel 28.3 i direktiv 95/46/EG. Här föreskrivs särskilt en rätt att föra talan, vilken förpliktigar tillsynsmyndigheten att agera när det kommer in klagomål, och vidare klargörs domstolarnas behörighet i den medlemsstat där tillsynsmyndigheten finns. I artikeln föreskrivs även möjligheten att tillsynsmyndigheten i den medlemsstat där den registrerade personen bor, på den registrerade personens vägnar kan väcka talan vid domstolar i en annan medlemsstat där behörig tillsynsmyndighet finns.

Artikel 75 gäller rätten att föra talan mot beslut som meddelats av en registeransvarig eller en registerförare, och bygger på artikel 22 i direktiv 95/46/EG. I artikeln föreskrivs en valmöjlighet att vända sig till domstol i den medlemsstat där den svarande är etablerad eller där den registrerade personen bor. När förfaranden i samma fråga har inletts inom ramen för mekanismen för enhetlighet kan domstolen vilandeförklara sitt förfarande, utom i brådskade fall.

Genom artikel 76 fastställs gemensamma bestämmelser om domstolsförfaranden, bl.a. rättigheterna för organ, organisationer och sammanslutningar att företräda registrerade personer inför domstolarna, tillsynsmyndigheternas rätt att delta i rättsliga förfaranden och domstolarnas information om parallella förfaranden i en annan medlemsstat samt möjligheten för domstolarna att i så fall vilandeförklara förfarandet[38]. Medlemsstaterna är skyldiga att säkerställa snabb domstolsbehandling[39]

Genom artikel 77 fastställs ansvar och rätt till ersättning. Den bygger på artikel 23 i direktiv 95/46/EG, utvidgar denna rättighet när registerförare förorsakat skada och klargör gemensamma registeransvarigas och registerförares solidariska ansvar.

Genom artikel 78 förpliktigas medlemsstaterna att föreskriva fastställa påföljder, att bestraffa brott mot förordningen, och att säkerställa genomförandet.

Genom artikel 79 förpliktigas alla tillsynsmyndigheter att utfärda de där uppräknade sanktionerna för administrativa överträdelser och att bestämma böter upp till vissa belopp, med vederbörlig hänsyn till varje enskilt fall.

3.4.9. KAPITEL IX – BESTÄMMELSER OM SÄRSKILDA SITUATIONER VID BEHANDLING AV PERSONUPPGIFTER

Genom artikel 80 förpliktigas medlemsstaterna att anta undantag från särskilda bestämmelser i förordningen när så behövs för att förena rätten till skydd av personuppgifter med rätten till yttrandefrihet. Denna artikel bygger på artikel 9 i direktiv 95/46/EG, såsom den tolkats av EU-domstolen[40].

Genom artikel 81 förpliktigas medlemsstaterna, förutom villkoren för särskilda uppgiftskategorier, att säkerställa särskilda skyddsåtgärder vid uppgiftsbehandling för hälso- och sjukvårdsändamål.

Genom artikel 82 bemyndigas medlemsstaterna att anta särlagstiftning för behandling av personuppgifter i anställningsförhållanden.

Genom artikel 83 fastställs särskilda villkor för behandling av personuppgifter för historiska, statistiska och vetenskapliga forskningsändamål.

Genom artikel 84 bemyndigas medlemsstaterna att anta särskilda bestämmelser för tillsynsmyndigheternas tillgång till personuppgifter och till lokaler, när de registeransvariga har tystnadsplikt.

Genom artikel 85 tillåts i ljuset av artikel 17 i EUF-fördraget fortsatt tillämpning av kyrkors befintliga heltäckande bestämmelser om uppgiftsskydd, om de bringas i överensstämmelse med denna förordning.

3.4.10. KAPITEL X – DELEGERADE AKTER OCH GENOMFÖRANDEAKTER

Artikel 86 innehåller standardbestämmelser för utövandet av delegering i överensstämmelse med artikel 290 EUF-fördraget. Enligt denna artikel kan lagstiftaren till kommissionen delegera befogenheten att anta akter med allmän räckvidd som inte är lagstiftningsakter och som kompletterar eller ändrar vissa icke väsentliga delar av en lagstiftningsakt.

Artikel 87 innehåller bestämmelserna för kommittéförfarandet då kommissionen tilldelas genomförandebefogenheter när enhetliga villkor för genomförandet av unionens rättsligt bindande akter, i enlighet med artikel 291 i EUF-fördraget behövs. Granskningsförfarandet är tillämpligt.

3.4.11. KAPITEL XI – SLUTBESTÄMMELSER

Artikel 88 upphäver direktiv 95/46/EG.

Genom artikel 89 klargörs förhållandet till, och ändras, direktiv 2002/58/EG.

Genom artikel 90 förpliktigas kommissionen att utvärdera förordningen och överlämna rapporter.

Genom artikel 91 fastställs dagen för förordningens ikraftträdande samt en övergångsfas fram till den dag den ska tillämpas.

4.           BUDGETKONSEKVENSER

De specifika budgetkonsekvenser som förslaget medför har att göra med arbetsuppgifter som tilldelats Europeiska datatillsynsmannen i enlighet med den finansieringsöversikt som åtföljer detta förslag. Dessa konsekvenser kräver omfördelningar inom rubrik 5 i budgetramen.

Förslaget få inte några konsekvenser för driftsutgifterna.

I den finansieringsöversikt som åtföljer detta förslag till förordning omfattar budgetkonsekvenserna för förordningen, samt för direktivet om uppgiftsskydd vad avser polisen och rättsväsendet.

2012/0011 (COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning)

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 16.2 och 114.1,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande[41],

efter att ha hört Europeiska datatillsynsmannen[42],

i enlighet med det ordinarie lagstiftningsförfarandet, och

av följande skäl:

(1) Skyddet av fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artiklarna 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna och artikel 16.1 i fördraget om Europeiska unionens funktionssätt (nedan kallat EUF-fördraget) garanterar var och en rätten till skydd av de personuppgifter som rör honom eller henne.

(2) Avsikten med att behandla personuppgifter är att betjäna människor. Principerna och reglerna för skyddet av enskilda personer vid behandling av deras personuppgifter bör, oavsett medborgarskap eller hemvist, respektera deras grundläggande rättigheter och friheter, främst deras rätt till skydd av personuppgifter. Behandlingen av personuppgifter bör bidra till att skapa ett område av frihet, säkerhet och rättvisa och en ekonomisk union, till ekonomiska och sociala framsteg, till förstärkning och konvergens av ekonomierna inom den inre marknaden samt till enskilda människors välbefinnande.

(3) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter[43] syftar till att harmonisera skyddet av fysiska personers grundläggande rättigheter och friheter vid uppgiftsbehandling och att garantera det fria flödet av personuppgifter mellan medlemsstaterna.

(4) Den ekonomiska och sociala integration som uppstått tack vare den inre marknaden har lett till en betydande ökning av de gränsöverskridande flödena. Utbytet av uppgifter mellan ekonomiska och sociala, offentliga och privata aktörer över hela unionen har ökat. Nationella myndigheter i medlemsstaterna uppmanas i unionslagstiftningen att samarbeta och utbyta personuppgifter för att vara i stånd att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat.

(5) Den snabba tekniska utvecklingen och globaliseringen har ställt oss inför nya utmaningar vad gäller skyddet av personuppgifter. Omfattningen på datadelning och insamling av uppgifter har ökat spektakulärt. Tekniken gör det möjligt för både företag och myndigheter att i sitt arbete använda sig av personuppgifter i en helt ny omfattning. Allt fler privatpersoner behandlar sina personliga uppgifter på ett sätt som gör att de blir tillgängliga för var och en, oberoende av plats i världen. Tekniken har omvandlat både ekonomin och det sociala livet, vilket gör det nödvändigt att ytterligare underlätta det fria flödet av uppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer, parallellt med att en hög skyddsnivå säkerställs för person­uppgifter.

(6) Dessa förändringar kräver en stark och mer sammanhängande ram för uppgiftsskyddet inom unionen, uppbackad av kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs som för att utveckla den digitala ekonomin över hela den inre marknaden. Enskilda bör ha kontroll över sina egna personuppgifter och rättssäkerheten och smidigheten för enskilda, ekonomiska operatörer och myndigheter bör stärkas.

(7) Målen och principerna för direktiv 95/46/EG fungerar ännu på ett tillfredsställande sätt, men detta har inte kunnat förhindra bristande enhetlighet i genomförandet av uppgiftsskyddet i olika delar av unionen, rättsosäkerhet och allmänt spridda uppfattningar om att betydande risker kvarstår, särskilt vid användning av internet. Skillnader i skyddet av enskildas rättigheter och friheter, främst rätten till skydd av personuppgifter, vid behandling av personuppgifter i olika medlemsstater kan förhindra det fria flödet av personuppgifter över hela unionen. Dessa skillnader kan därför utgöra ett hinder för att bedriva ekonomisk verksamhet över hela unionen, de kan snedvrida konkurrensen och hindra myndigheterna att fullgöra de skyldigheter som de har enligt unionslagstiftningen. De varierande skyddsnivåerna beror på skillnader i genomförandet och tillämpningen av direktiv 95/46/EG.

(8) För att säkra en enhetlig och hög skyddsnivå för enskilda och för att undanröja hindren för flödena av personuppgifter bör nivån på skyddet av enskildas fri- och rättigheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En enhetlig och likartad tillämpning av bestämmelserna om skydd av fysiska personers grundläggande fri- och rättigheter vid behandling av personuppgifter bör garanteras i hela unionen.

(9) Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och specificeras och att de registeransvarigas och registerförarnas skyldigheter vid behandling av personuppgifter klargörs, men också att det finns likvärdiga befogenheter för övervakning och ser till att reglerna för skyddet av personuppgifter efterlevs och att påföljderna är likvärdiga i medlemsstaterna.

(10) I artikel 16.2 i EUF-fördraget bemyndigas Europaparlamentet och rådet att fastställa regler om skydd av enskilda vid behandling av personuppgifter och regler som rör personuppgifters fria rörlighet.

(11) För att säkra en enhetlig nivå på skyddet av enskilda över hela unionen och undvika avvikelser som hindrar den fria rörligheten av uppgifter inom den inre marknaden behövs en förordning som skapar rättssäkerhet och öppenhet för ekonomiska aktörer, däribland mikroföretag samt små och medelstora företag, och som ger enskilda personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger registeransvariga och registerförare samma ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, påföljderna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater mer effektivt. För att ta hänsyn till mikroföretagens samt de små och medelstora företagens särskilda situation innehåller förordningen ett antal undantag. Dessutom uppmanas unionens institutioner och organ samt medlemsstaterna och deras tillsynsmyndigheter att vid tillämpningen av denna förordning ta hänsyn till mikroföretagens samt de små och medelstora företagens särskilda behov. Begreppet ”mikroföretag samt små och medelstora företag” bör bygga på kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag.

(12) Det skydd som ska tillhandahållas enligt denna förordning gäller för fysiska personer, oavsett medborgarskap eller hemvist, vid behandling av personuppgifter. När det gäller behandling av uppgifter rörande juridiska personer, exempelvis uppgifter om namn och typ av juridisk person samt kontaktuppgifter, bör denna förordning inte kunna tillämpas. Det gäller särskilt fråga om företag som bildats som juridiska personer. Detta bör också gälla när namnet på den juridiska personen innehåller namnet på en eller flera fysiska personer.

(13) Skyddet av enskilda bör vara tekniskt neutralt, det vill säga inte vara beroende av den teknik som används, eftersom detta skulle kunna skapa en allvarlig risk för att reglerna kan kringgås. Skyddet av enskilda bör vara tillämpligt på både automatisk och manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter liksom deras omslag, som inte är strukturerade enligt särskilda kriterier, bör inte omfattas av denna förordning.

(14) Denna förordning tar inte upp frågor som rör skyddet av grundläggande rättigheter och friheter eller det fria flödet av uppgifter på områden som inte omfattas av unionslagstiftningen, och den tar heller inte upp behandling av personuppgifter som sker i EU:s institutioner, organ och byråer, som omfattas av förordning (EG) nr 45/2001[44], och inte heller medlemsstaternas behandling av personuppgifter när de agerar inom ramen för unionen gemensamma utrikes- och säkerhetspolitik.

(15) Denna förordning bör inte vara tillämplig på fysiska personers behandling av personuppgifter, som är helt personliga eller privata, t.ex. korrespondens och adressförteckningar, och som helt saknar vinstintresse och därmed också koppling till yrkes- eller affärsmässig verksamhet. Undantaget bör heller inte vara tillämpligt på registeransvariga eller registerförare som tillhandahåller utrustning för behandling av personuppgifter får sådana personliga eller privata verksamheter.

(16) Skyddet av enskilda personer när det gäller behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, samt fri rörlighet för sådana uppgifter, säkerställs på unionsnivå av ett särskilt rättsinstrument. Av denna anledning bör denna förordning inte vara tillämplig på behandling som sker för dessa ändamål. Uppgifter som av myndigheter behandlats enligt denna förordning för att användas i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder bör dock regleras genom ett mer specifikt rättsligt instrument på unionsnivå (direktiv XX/YYY).

(17) Denna förordning bör inte påverka tillämpningen av direktiv 2000/31/EG, särskilt bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet.

(18) Denna förordning gör det möjligt att vid tillämpningen av bestämmelserna i den ta hänsyn till principen om allmänhetens rätt att få tillgång till allmänna handlingar.

(19) All behandling av personuppgifter som sker inom ramen för arbetet på registeransvarigas eller registerförares verksamhetsställen inom unionen bör ske i överensstämmelse med denna förordning, oavsett om behandlingen i sig äger rum inom unionen eller inte. “Verksamhetsställe” innebär det faktiska och reella utförandet av verksamhet med hjälp av en stabil struktur. Den rättsliga formen för en sådan struktur, oavsett om det är en filial eller ett dotterbolag med status som juridisk person, bör här inte vara den avgörande faktorn.

(20) För att enskilda inte ska fråntas det skydd denna förordning ger dem bör behandling av personuppgifter om inom unionen boende registrerade som görs av en registeransvarig som inte är etablerad inom unionen omfattas av denna förordning när behandlingen avser utbjudande av varor eller tjänster till de aktuella registrerade, eller övervakning av deras beteende.

(21) För att avgöra huruvida en viss behandling kan anses ”övervaka beteendet” hos registrerade, bör det utrönas om enskilda personer spåras på internet med hjälp av uppgiftsbehandlingsteknik som består i att en ”profil” appliceras på en enskild person, främst i syfte att fatta beslut rörande honom eller henne eller för att analysera eller förutsäga hans eller hennes personliga preferenser, beteende och attityder.

(22) När nationell lagstiftning i en medlemsstat är tillämplig i kraft av folkrätten bör denna förordning också vara tillämplig på registeransvariga som inte är etablerade inom unionen, exempelvis i en medlemsstats diplomatiska beskickning eller konsulat.

(23) Principerna för skyddet bör gälla all information som rör en identifierad eller identifierbar person. För att avgöra om en person är identifierbar bör man uppmärksamma alla hjälpmedel som, antingen av den registeransvarige eller av någon annan person, rimligen kan komma att använda för att identifiera vederbörande. Skyddsprinciperna bör inte gälla för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är identifierbar.

(24) Vid användning av nättjänster kan enskilda personer knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser eller kakor. Detta kan efterlämna spår som i kombination med unika identifierare och andra uppgifter som tas emot av servrarna kan användas för att skapa profiler för enskilda personer och identifiera dem. Således utgör inte alltid identifieringsnummer, lokaliseringsuppgifter, nätidentifierare eller andra särskilda uppgifter i sig nödvändigtvis personuppgifter.

(25) Samtycke bör lämnas uttryckligen med lämplig metod som möjliggör en frivillig, särskild och informerad viljeyttring från de registrerades sida, antingen genom ett uttalande eller genom en entydig affirmativ handling som visar att de är medvetna om att de ger sitt samtycke till behandlingen av personuppgifter, exempelvis en ruta som klickas i vid besök på en internetsida eller genom något annat uttalande eller beteende som i sammanhanget tydligt visar att de registrerade godtar den föreslagna behandlingen av deras personuppgifter. Tystnad eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran måste denna vara tydlig, koncis och får inte onödigtvis störa användningen av den tjänst som den avser.

(26) Personuppgifter som rör hälsan bör framför allt innefatta alla uppgifter som hänför sig till en registrerad persons hälsotillstånd, uppgifter om registrering av personen för tillhandahållande av hälso- och sjukvårdstjänster, uppgifter om betalning för eller rätt till hälso- och sjukvård avseende personen i fråga, ett nummer, en symbol eller ett kännetecken som personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål, alla uppgifter om personen som insamlats i samband med tillhandahållande av hälso- och sjukvårdstjänster till denne, uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland biologiska prov, identifiering av en person som tillhandahåller hälso- och sjukvård till personen, eller andra uppgifter om t.ex. en sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling, eller den registrerades faktiska fysiologiska eller biomedicinska tillstånd oberoende av källan, exempelvis från en läkare eller annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.

(27) En registeransvarigs huvudsakliga verksamhetsställe inom unionen bör avgöras med objektiva kriterier och bör inbegripa den effektiva och faktiska ledning som fattar de huvudsakliga besluten vad avser ändamål, villkor och medel för behandlingen med hjälp av en stabil struktur. Detta kriterium bör inte vara avhängigt om behandlingen av personuppgifter faktiskt utförs på det stället. Att tekniska medel samt teknik för behandling av personuppgifter eller behandlingsverksamhet finns och används, visar i sig inte att det rör sig om ett sådant huvudsakligt verksamhetsställe och utgör därför inte avgörande kriterier för ett huvudsakligt verksamhetsställe. Registerförares huvudsakliga verksamhetsställe bör vara den ort i unionen där de har sin centrala förvaltning.

(28) En företagsgrupp bör innefatta ett kontrollerande företag samt de företag detta företag kontrollerar (kontrollerade företag), varvid det kontrollerande företaget bör vara det företag som kan utöva ett dominerande inflytande på övriga företag i kraft av exempelvis ägarskap, finansiellt deltagande eller de bestämmelser som det regleras av eller befogenheten att införa regler som rör personuppgiftsskyddet.

(29) Barns personuppgifter förtjänar ett särskilt skydd, eftersom de kan vara mindre medvetna om risker, följder, skyddsåtgärder samt sina rättigheter när det gäller behandling av personuppgifter. Definitionen av vem som betraktas som barn bör vara densamma som i FN:s konvention om barnets rättigheter.

(30) Varje behandling av personuppgifter måste vara laglig, rättvis och öppen i förhållande till berörda enskilda. De specifika ändamål som uppgifterna behandlas för, bör vara uttryckliga och legitima och ha bestämts vid den tidpunkt då uppgifterna samlades in. Uppgifterna bör vara adekvata, relevanta och begränsa sig till vad som är strikt nödvändigt för de ändamål som uppgifterna behandlas för. Detta innebär bl.a. att de uppgifter som insamlats inte är orimligt omfattande och att den period de lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte kan uppnås genom andra medel. Alla rimliga åtgärder bör vidtas för att rätta eller radera felaktiga uppgifter. För att säkerställa att uppgifter inte sparas längre än nödvändigt bör den registeransvarige införa tidsfrister för radering eller för regelbunden kontroll.

(31) För att behandling ska vara laglig bör personuppgifterna behandlas efter samtycke från berörd person eller på någon annan legitim lagfäst grund, antingen denna förordning eller annan unionslagstiftning eller nationell lagstiftning som aves i denna förordning.

(32) När behandling sker efter samtycke från registrerade bör registeransvariga ha bevisbördan när det gäller att visa att de registrerade har lämnat sitt samtycke till behandlingen. Vid skriftliga deklarationer som också rör andra frågor bör skyddsåtgärder finnas som ser till att de registrerade är medvetna om detta och hur långt samtycket sträcker sig.

(33) För att säkerställa att samtycket är frivilligt bör det klargöras att ett samtycke inte är giltig rättslig grund om den enskilde inte har något genuin och fri valmöjlighet och därför inte utan problem kan vägra eller ta tillbaka sitt samtycke.

(34) Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter om det finns en betydande obalans mellan den registrerade och den registeransvarige. Detta är särskilt fallet när den registrerade befinner sig i ett beroendeförhållande till den registeransvarige, bl.a. när arbetstagares personuppgifter behandlas av arbetsgivare inom ramen för en anställning. Är den registeransvarige en myndighet torde obalans endast uppkomma vid specifika uppgiftsbehandlingar där myndigheten i kraft av sina offentliga befogenheter kan ålägga skyldigheter och samtycket, med hänsyn tagen till den registrerades intresse, inte kan anses ha lämnats frivilligt.

(35) Behandling bör vara laglig när den är nödvändig i samband med avtal eller när avsikten är att avtal ska ingås.

(36) Behandling som grundar sig på en lagstadgad skyldighet som den register­ansvarige måste följa eller när behandling krävs för att utföra en arbetsuppgift av samhällsintresse eller när en myndighet utövar sitt uppdrag, bör behandlingen, om den begränsar rättigheter och friheter, ha rättslig grund i unionell eller nationell lagstiftning som uppfyller kraven i EU:s stadga om de grundläggande rättigheterna. Unionslagstiftning eller nationell lagstiftning bör också reglera frågan huruvida en registeransvarig som utför en arbetsuppgift i det allmännas intresse eller vid myndighets­utövning ska vara en offentlig förvaltning eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller om det kan vara en fysisk eller juridisk person som lyder under civilrättslig lagstiftning, exempelvis en yrkesorganisation.

(37) Behandling av personuppgifter bör även anses tillåten när den är nödvändig för att skydda ett intresse som är av avgörande betydelse för den registrerades liv.

(38) Registeransvarigas berättigade intressen kan utgöra rättslig grund för behandling, på villkor att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts. För detta krävs en noggrann bedömning, särskilt när den registrerade är ett barn, mot bakgrund av att barn förtjänar specifikt skydd. Den registrerade bör kostnadsfritt och av skäl som rör vederbörandes särskilda situation ha rätt att göra invändningar mot behandling. För att säkra öppenheten bör registeransvariga vara skyldiga att uttryckligen informera de registrerade om vilka berättigade intressen som man eftersträvar att tillvarata och om rätten att göra invändningar. De bör även vara skyldiga att dokumentera dessa berättigade intressen. Mot bakgrund av att det är lagstiftaren som genom lagstiftning fastställer den rättsliga grunden för myndigheters behandling av uppgifter bör denna förordning inte vara tillämplig när myndigheter behandlar uppgifter inom ramen för sin myndighetsutövning.

(39) Behandling av uppgifter utgör ett berättigat intresse för berörd registeransvarig i den mån den är nödvändig för att säkerställa nät- och informationssäkerheten, dvs. förmågan hos ett nät eller ett informationssystem att, vid en viss tillförlitlighetsnivå, tåla olyckshändelser, olagliga handlingar eller illvilligt uppträdande som äventyrar tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda data och besläktade tjänster som tillhandahålls av eller är tillgängliga via dessa nät och system av myndigheter, incidenthanterings­organisationer (Cert), enheter för hantering av datasäkerhetsincidenter, tillhandahållare av elektroniska kommunikationsnät och kommunikationstjänster och av tillhandahållare av säkerhetsteknik och säkerhetstjänster. Detta skulle t.ex. kunna innefatta förhindrande av obehörigt tillträde till elektroniska kommunikationsnät och felaktig kodfördelning och att sätta stopp för överbelastningsattacker och skador på datasystem och elektroniska kommunikations­system.

(40) Behandling av personuppgifter för andra ändamål bör endast vara tillåten när detta är förenligt med de ändamål som uppgifterna ursprungligen samlades in för, särskilt när behandlingen är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål. När ett annat ändamål inte är förenligt med det ursprungliga som uppgifterna samlas in för, bör den registeransvarige skaffa sig den registrerades samtycke för detta andra ändamål eller åberopa en annan legitim grund för laglig behandling, exempelvis föreskrifter i unionslagstiftning eller i den medlemsstats lagstiftning som den registeransvarige omfattas av. Under alla omständigheter bör principerna i denna förordning tillämpas, särskilt när det gäller informationen till den registrerade om dessa andra ändamål.

(41) Personuppgifter som till sin karaktär är särskilt känsliga och ömtåliga i förhållande till de grundläggande rättigheterna eller integriteten, förtjänar särskilt skydd. Sådana uppgifter bör inte behandlas, såvida inte den registrerade lämnar sitt uttryckliga samtycke. Undantag från detta förbud bör dock uttryckligen föreskrivas för att tillgodose specifika behov, främst när behandling inom ramen för legitima verksamheter utförs av vissa sammanslutningar eller stiftelser vars ändamål är att göra det möjlig att utöva grundläggande friheter.

(42) Undantag från förbudet att behandla känsliga uppgiftskategorier bör även tillåtas om de grundar sig på lagstiftning och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när samhälleliga intressen motiverar detta och i synnerhet för hälsosyften, bl.a. folkhälsa och social trygghet samt administration av hälso- och sjukvårdstjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet för de förfaranden som används vid prövning av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, eller för historiska, statistiska och vetenskapliga forskningsändamål.

(43) Myndigheters behandling av personuppgifter på officiellt erkända religiösa sammanslutningars vägnar för att uppfylla målsättningar som uttrycks i grundlag eller genom folkrätten anses också grunda sig på samhälleliga intressen.

(44) Om det för att det demokratiska systemet ska fungera i samband med allmänna val är nödvändigt att politiska partier i vissa medlemsstater samlar in uppgifter om enskilda personers politiska uppfattningar får behandling av sådana uppgifter tillåtas i det allmännas intresse, på villkor att bestämmelser finns om lämpliga skyddsåtgärder.

(45) Om de uppgifter som behandlas av registeransvariga inte innebär att de kan identifiera fysiska personer bör de registeransvariga inte vara tvungna att skaffa ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Om en registeransvarig mottar en begäran om tillgång bör denne ha rätt att be den begärande registrerade personen om ytterligare information för att kunna lokalisera de personuppgifter som denne söker.

(46) Öppenhetsprincipen kräver att all information som riktar sig till allmänheten eller till registrerade är lätt åtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk. Detta är särskilt relevant när mängden av olika aktörer och den tekniska komplexiteten i vissa situationer, exempelvis i fråga om reklam på nätet, försvårar för de registrerade att känna till och förstå om personuppgifter som rör dem samlas in, vem som gör det och för vilket syfte. Mot bakgrund av att barn förtjänar särskilt skydd bör all information och kommunikation som riktar sig särskilt till barn ges på ett tydligt och enkelt språk som barnet lätt kan förstå.

(47) Förfaranden bör fastställas som gör det lättare för registrerades att utöva sina rättigheter enligt denna förordning, bl.a. mekanismer för att kostnadsfritt särskilt begära tillgång till uppgifterna, rättelser, radering och att utöva rätten att göra invändningar. Registeransvariga bör inom en fastställd tidsfrist vara skyldiga att besvara registrerades önskemål och lämna en motivering om den registrerades önskemål inte kan uppfyllas.

(48) Principerna om rättvis och öppen behandling fordrar att den registrerade informeras särskilt om att behandling sker och syftet med den, hur länge uppgifterna kommer att lagras, rätten att få tillgång till dem, rätta eller radera dem samt rätten att lämna in klagomål. När uppgifterna samlas in från de registrerade bör dessa även informeras om huruvida de är skyldiga att lämna uppgifterna, och om konsekvenserna i det fall de inte lämnar dem.

(49) Information om behandling av personuppgifter som rör registrerade bör lämnas till dem vid den tidpunkt då uppgifterna samlas in, eller om uppgifterna inte samlas in direkt från de registrerade, inom en rimlig period, beroende på omständigheterna i fallet. När uppgifter legitimt kan lämnas ut till en annan mottagare bör de registrerade informeras första gången uppgifterna lämnas ut till den mottagaren.

(50) Det är dock inte nödvändigt att införa någon sådan skyldighet när de registrerade redan förfogar över denna information eller när registreringen eller utlämnandet av uppgifterna uttryckligen föreskrivs i lag eller när det visar sig vara omöjlig eller skulle medföra orimliga ansträngningar att tillhandahålla de registrerade informationen. Det sistnämnda skulle särskilt kunna vara fallet när behandlingen sker för historiska, statistiska eller vetenskapliga forskningsändamål. Vid bedömningen kan hänsyn tas till antalet registrerade, uppgifternas ålder och eventuella kompenseringsåtgärder.

(51) Alla bör ha rätt att få tillgång till uppgifter som insamlats om dem och enkelt kunna utöva denna rätt så att de är medvetna om att behandling sker och kan kontrollera att den är laglig. Alla registrerade bör därför ha rätt att känna till och få underrättelse om framför allt orsaken till att uppgifterna behandlas, vilken tidsperiod behandlingen pågår, vilka som mottar uppgifterna, de behandlade uppgifternas bakomliggande logik och, åtminstone när behandlingen bygger på profilering, vilka konsekvenserna kan bli. Denna rättighet bör inte inverka menligt på andra rättigheter och friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt som skyddar programvaran. Dessa överväganden bör dock inte utmynna i att den registrerade förvägras all information.

(52) Registeransvariga bör vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad som begär tillgång, särskilt inom ramen för nättjänster och i fråga om nätidentifierare. Registeransvariga bör inte behålla personuppgifter enbart för att kunna agera vid en potentiell sådan begäran.

(53) Alla bör ha rätt till rättelse av sina personuppgifter och en ”rätt att bli bortglömd” när lagring av uppgifterna inte stämmer överens med denna förordning. Registrerade bör särskilt ha rätt att få sina personuppgifter raderade och kunna begära att dessa uppgifter inte behandlas om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om de registrerade har återtagit sitt samtycke till behandling eller om de registrerade invänder mot behandling av personuppgifter som rör dem eller när behandlingen av deras personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Ytterligare lagring av uppgifterna bör dock tillåtas när så behövs för historiska, statistiska och vetenskapliga forskningsändamål, i det allmännas intresse på folkhälsoområdet, för utövandet av yttrandefriheten, när lagen så kräver eller när det finns anledning att begränsa behandlingen av uppgifterna i ställe för att radera dem.

(54) För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering även utvidgas på ett sådant sätt att registeransvariga som offentliggjort personuppgifter bör vara förpliktigade att informera tredje part som behandlar dessa uppgifter om att en registrerad person begärt att de ska radera alla länkar till och kopior eller reproduktioner av dessa personuppgifter. För att säkerställa informationen i fråga bör registeransvariga vidta alla rimliga åtgärder, däribland tekniska sådana, vad avser de uppgifter som de är ansvariga för. När tredje part offentliggör personuppgifter bör de registeransvariga anses bära ansvaret för offentliggörandet om de har lämnat tillstånd till det.

(55) För att ytterligare stärka de registrerades kontroll över sina egna uppgifter och rätt till tillgång bör de, när personuppgifter behandlas genom elektroniska medel och i strukturerat och gängse format, också ha rätt att få en kopia av uppgifter som rör dem i gängse elektroniskt format. Den registrerade bör även tillåtas överföra uppgifter som han eller hon själv har tillhandahållit från en automastisk tillämpning, exempelvis ett socialt nätverk, till en annan. Detta bör vara tillämpligt när de registrerade har lämnat uppgifterna till ett automastiskt databehandlingssystem, antingen efter att ha lämnat sitt samtycke eller inom ramen för genomförandet av ett avtal.

(56) I de fall när personuppgifter lagligen får behandlas för att skydda den registrerades grundläggande intressen eller på grund av samhälleliga intressen, myndighetsutövning eller en registeransvarigs berättigade intressen bör alla registrerade personer likväl ha rätt att göra invändningar mot behandling av alla uppgifter som rör dem. Den registeransvarige bör åläggas bevisbördan när det gäller att visa att deras berättigade intressen kan överskugga den registrerades intressen eller grundläggande rättigheter och friheter.

(57) När personuppgifter behandlas för direkt marknadsföring bör den registrerade ha rätt att kostnadsfritt och på ett enkelt och effektivt sätt resa invändningar mot behandlingen.

(58) Fysiska personer bör inte vara tvungna att underkasta sig åtgärder som bygger på profilering genom automatisk behandling. Sådana åtgärder bör dock godtas när de uttryckligen är tillåtna enligt lag, när de vidtas vid ingåendet eller genomförandet av ett avtal eller när den registrerade har gett sitt samtycke. Denna form av uppgiftsbehandling bör emellertid omgärdas av lämpliga skyddsåtgärder, bl.a. särskild information till den registrerade, rätt till personlig kontakt samt att garantier för att åtgärderna inte berör barn.

(59) Begränsningar av specifika principer och av rätten till information, tillgång, rättelse och radering eller av rätten till uppgiftsportabilitet, av rätten att göra invändningar, av profileringsbaserade åtgärder samt information till den registrerade om personuppgiftsbrott och av vissa av den registeransvariges relaterade skyldigheter kan införas genom unionslagstiftning eller nationell lagstiftning, i den mån de är nödvändiga och proportionella i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten, exempelvis för att skydda människoliv särskilt vid naturkatastrofer eller katastrofer framkallade av människan, vid förebyggande, utredning och lagföring av brott eller överträdelser av etiska principer för reglerade yrken, vad gäller unionens eller en medlemsstats övriga allmänna intressen, särskilt om de är av stort ekonomiskt eller finansiellt intresse för unionen eller en medlemsstat, eller vad gäller skydd av den registrerade eller andras rättigheter och friheter. Dessa begränsningar bör stå i samklang med kraven i Europeiska unionens stadga om de grundläggande rättigheterna och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

(60) Registeransvariga bör åläggas ett heltäckande ansvar för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Registeransvariga bör särskilt säkerställa och vara skyldiga att visa att varje behandling är förenlig med denna förordning.

(61) Skyddet av de registrerades fri- och rättigheter i samband med behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas både när behandlingen utformas och i själva behandlingsögonblicket så att kraven i denna förordning uppfylls. För att säkerställa och visa att denna förordning följs, bör den registeransvarige anta interna strategier och vidta lämpliga åtgärder, särskilt för att uppfylla principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard.

(62) Skyddet av de registrerades rättigheter och friheter samt de registeransvarigas och registerförarna ansvar, också i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när registeransvariga bestämmer ändamål, villkor och medel för en behandling gemensamt tillsammans med andra registeransvariga eller när en behandling utförs på en registeransvarigs vägnar.

(63) När registeransvariga som inte är etablerade inom unionen behandlar personuppgifter om registrerade som bor inom unionen, och det bakomliggande syftet med uppgiftsbehandlingen är att erbjuda de registrerade personerna varor och tjänster eller att övervaka deras beteende, bör de registeransvariga utnämna en företrädare, såvida inte de är etablerade i ett tredjeland som har en adekvat skyddsnivå, eller de registeransvariga är ett litet eller medelstort företag eller en myndighet eller ett organ, eller när de registeransvariga bara undantagsvis erbjuder varor eller tjänster till de registrerade. Företrädaren bör agera på den registeransvariges vägnar och kan kontaktas av samtliga tillsynsmyndigheter.

(64) För att avgöra om registeransvariga endast undantagsvis erbjuder varor och tjänster till registrerade som bor inom unionen bör det utrönas om det är uppenbart med anledning av den registeransvariges övergripande verksamheter att erbjudandet av varor och tjänster till dessa registrerade personer är sidoverksamhet till huvudverksamheten.

(65) För att påvisa att denna förordning följs, bör de registeransvariga eller registerförarna dokumentera varje behandling. Alla registeransvariga och registerförare bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra dokumenteringen tillgänglig så att den kan tjäna som grund för övervakningen av behandlingen.

(66) För att bibehålla säkerheten och förhindra behandling som bryter mot denna förordning bör registeransvariga eller registerförare utvärdera de risker som hör till behandlingen och vidta åtgärder för att mildra dem. Åtgärderna bör leda till en lämplig säkerhetsnivå med hänsyn till dagens tekniska utveckling och till kostnaderna för genomförandet med hänsyn till riskerna och vilken typ av personuppgifter som ska skyddas. Vid införandet av tekniska standarder och organisatoriska åtgärder som ska borga för säkerheten vid behandling bör kommissionen främja teknikneutralitet, interoperabilitet och innovation, och om så är lämpligt samarbeta med tredjeland.

(67) Ett personuppgiftsbrott som inte snabbt åtgärdas på lämpligt sätt kan för den enskilde leda till betydande ekonomisk förlust eller social skada. Registeransvariga bör därför så snart de blir medvetna om ett sådant brott anmäla det till tillsynsmyndigheten utan onödigt dröjsmål och, när så är möjligt, inom 24 timmar. Om detta inte kan uppnås inom 24 timmar bör en förklaring av skälen till fördröjningen åtfölja anmälan. Enskilda personer vars personuppgifter kan påverkas negativt av brottet bör meddelas utan onödig fördröjning så att de kan vidta nödvändiga försiktighetsåtgärder. Ett brott bör anses negativt påverka en registrerad persons personuppgifter eller integritet när det exempelvis kan leda till identitetsstöld eller bedrägeri, fysik skada, betydande förödmjukelse eller skadat anseende. Anmälan bör beskriva personuppgiftsbrottets art samt innehålla rekommendationer för berörd enskild person om hur de potentiella negativa effekterna kan mildras. De registrerade bör meddelas så snart detta rimligtvis är möjligt, i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra relevanta myndigheter (t.ex. brottsbekämpande myndigheter). För att den drabbade personen ska kunna mildra en omedelbar skaderisk bör han eller hon meddelas omedelbart. Däremot kan behovet att vidta lämpliga åtgärder vid fortlöpande eller likartade personuppgiftsbrott motivera en viss fördröjning.

(68) För att avgöra om tillsynsmyndigheten och den registrerade fått meddelande om ett personuppgiftsbrott utan onödigt dröjsmål bör det utrönas om den registeransvarige har infört och tillämpat lämpligt tekniskt skydd och lämpliga organisatoriska åtgärder för att omedelbart fastställa om ett personuppgiftsbrott har ägt rum och skyndsamt informera tillsynsmyndigheten och den registrerade innan några skador uppstår på personliga och ekonomiska intressen, med hänsyn tagen bl.a. till personuppgiftsbrottets art och svårhetsgrad och dess följder och negativa effekter på den registrerade.

(69) När ingående regler fastställs för format och förfaranden för anmälan av personuppgiftsbrott, bör vederbörlig hänsyn tas till omständigheterna kring brottet, däribland om personuppgifterna var skyddade av lämpliga tekniska skyddsåtgärder som betydligt begränsar sannolikheten för identitetsbedrägeri eller andra former av missbruk. Dessutom bör sådana regler och förfaranden beakta brottsbekämpande myndigheters berättigade intressen i fall där en för tidig redovisning kan riskera att i onödan hämma utredning av omständigheterna kring ett brott.

(70) Direktiv 95/46/EG innehöll bestämmelser om en allmän skyldighet att anmäla behandling av personuppgifter till tillsynsmyndigheterna. Denna skyldighet medförde administrativa och ekonomiska bördor, men förbättrade inte alltid personuppgiftsskyddet. Denna övergripande och allmänna anmälningsskyldighet bör därför avskaffas och ersättas av effektiva förfaranden och en mekanism som i stället fokuseras på de behandlingar som sannolikt utsätter de registrerades rättigheter och friheter för särskilda risker i kraft av sin karaktär, omfattning eller ändamål. I sådana fall bör den registeransvarige eller registerföraren före behandlingen göra en konsekvensbedömning avseende uppgiftsskydd, som främst bör innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska säkerställa personuppgiftskyddet och som ska visa att denna förordning efterlevs.

(71) Detta bör särskilt vara tillämpligt på nyligen etablerade storskaliga register, vars syfte är behandla betydande mängder personuppgifter på regional, nationell eller övernationell nivå och som skulle kunna påverka ett stort antal av de registrerade.

(72) Ibland kan det vara förnuftigt och ekonomiskt att en konsekvensbedömning avseende uppgiftsskydd inriktar sig på ett vidare område än ett enda projekt, exempelvis när myndigheter eller organ avser att skapa en gemensam tillämpnings- eller behandlingsplattform eller när flera registeransvariga planerar att införa en gemensam tillämpnings- eller behandlingsmiljö för en hel bransch eller ett helt segment eller för en allmänt utnyttjad horisontell verksamhet.

(73) Konsekvensbedömningar avseende uppgiftsskydd bör göras av en myndighet eller ett offentligt organ om en sådan bedömning inte redan har gjorts i samband med antagandet av den nationella lagstiftning som utförandet av myndighetens eller det offentliga organets arbetsuppgifter bygger på, och som reglerar den aktuella specifika behandlingsåtgärden eller serien av åtgärder.

(74) Om det av en konsekvensbedömning avseende uppgiftsskydd framgår att behandlingen innebär att de registrerades rättigheter och friheter utsätts för höggradiga särskilda risker, exempelvis att enskilda fråntas sina rättigheter eller genom att särskild ny teknik används, bör innan behandlingen inleds samråd ske med tillsynsmyndigheten om den behandling som medför risker och eventuellt inte överensstämmer med denna förordning och förslag lämnas som åtgärdar situationen. Denna typ av samråd bör även ske som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd som definierar behandlingens art och anger lämpliga skyddsåtgärder.

(75) När en behandling utförs inom den offentliga sektorn eller av ett stort företag inom den privata sektorn, eller när ett företags kärnverksamheter, oavsett företagets storlek, inbegriper behandling som kräver regelbunden och systematisk övervakning bör en person bistå den registeransvarige eller registerföraren för att övervaka den interna efterlevnaden av denna förordning. Denna typ av uppgiftsskyddsombud bör, vare sig de är anställda av den registeransvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina arbetsuppgifter på ett oberoende sätt.

(76) Sammanslutningar eller andra organ som företräder kategorier av registeransvariga bör uppmuntras att utarbeta uppförandekodexar inom gränserna för denna förordning, så att tillämpningen av förordningen effektiviseras, under beaktande av de särdrag som finns vid behandling som sker inom vissa sektorer.

(77) För att förbättra öppenheten och efterlevnaden av denna förordning bör införandet av certifieringsmekanismer, uppgiftsskyddsförsegling och uppgiftsskyddsmärkning uppmuntras, så att registrerade snabbt kan bedöma nivån på relevanta produkters och tjänsters uppgiftsskydd.

(78) Gränsöverskridande flöden av personuppgifter är nödvändiga för utvecklingen av internationell handel och internationellt samarbete. Ökningen av dessa flöden har medfört nya utmaningar och nya farhågor när det gäller skyddet av personuppgifter. Det är viktigt att den skyddsnivå som enskilda garanteras inom unionen genom denna förordning inte undergrävs när personuppgifter överförs från unionen till tredjeland eller till internationella organisationer. Överföringar till tredjeländer får under alla omständigheter endast utföras i full överensstämmelse med denna förordning.

(79) Denna förordning påverkar inte internationella avtal mellan unionen och tredjeländer som reglerar överföring av personuppgifter, däribland lämpliga skyddsåtgärder som gagnar de registrerade.

(80) Kommissionen kan med verkan för hela unionen fastställa att vissa tredjeländer, ett visst territorium eller en viss behandlande sektor i ett tredjeland eller en internationell organisation kan garantera adekvat uppgiftsskydd, och på så sätt skapa rättssäkerhet och enhetlighet i hela unionen vad gäller dessa tredjeländer eller internationella organisationer. I dessa fall får överföringar av personuppgifter till dessa länder ske utan vidare tillstånd.

(81) I linje med de grundläggande värderingar som unionen bygger på, bl.a. skyddet av mänskliga rättigheter, bör kommissionen i sin bedömning av tredjeländer beakta hur ett visst tredjeland respekterar rättsstatsprincipen, tillgången till rättslig prövning samt internationella människorättsnormer och -standarder.

(82) Kommissionen kan likaså konstatera att ett tredjeland, ett visst territorium eller en viss behandlande sektor i ett tredjeland eller en internationell organisation inte garanterar adekvat skyddsnivå. Överföring av personuppgifter till detta tredjeland bör då förbjudas. I så fall bör det finnas möjlighet till samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer.

(83) Saknas beslut om adekvat skyddsnivå bör den registeransvarige eller registerföraren vidta åtgärder för att kompensera för det bristande uppgiftsskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av bindande företagsbestämmelser, standardbestämmelser om uppgiftsskydd som antagits av kommissionen, standardbestämmelser om uppgiftsskydd som antagits av en tillsynsmyndighet, avtalsbestämmelser som godkänts av en tillsynsmyndighet eller andra passande och proportionella åtgärder som kan vara motiverade med hänsyn till alla omständigheterna kring en uppgiftsöverföring eller en serie av uppgiftsöverföringar och som har godkänts av en tillsynsmyndighet.

(84) Registeransvarigas eller registerförares möjlighet att använda standardiserade uppgiftsskyddsbestämmelser som antagits av kommissionen eller av en tillsynsmyndighet bör inte hindra att de infogar standardiserade uppgiftsskyddsbestämmelser i ett vidare avtal eller lägger till andra bestämmelser såvida dessa inte, direkt eller indirekt, står i strid mot standardavtalsklausuler som antagits av kommissionen eller av en tillsynsmyndighet eller påverkar de registrerades grundläggande rättigheter eller friheter.

(85) En företagsgrupp bör kunna använda sig av godkända bindande företagsregler för sina internationella överföringar från unionen till organisationer inom samma företagsgrupp, i den mån företagsreglerna inbegriper nödvändiga principer och bindande rättigheter som garanterar lämpliga skyddsåtgärder för överföringar eller serier av överföringar av personuppgifter.

(86) Bestämmelser bör införas som ger möjlighet att under vissa omständigheter göra överföringar om den registrerade har lämnat sitt samtycke, när överföringen är nödvändig med hänsyn till ett avtal eller ett rättsligt anspråk, när viktiga samhälleliga intressen fastställda genom unionell eller nationell lag så kräver eller när överföringen görs från ett register som inrättats genom lag och är avsett att konsulteras av allmänheten eller av personer med ett berättigat intresse. I sistnämnda fall bör en sådan överföring inte omfatta alla uppgifter eller hela kategorier av uppgifter som finns i registret. När registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.

(87) Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga för att skydda viktiga samhälleliga intressen, exempelvis vid internationella uppgiftsöverföringar mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, mellan socialförsäkringsmyndigheter, eller till myndigheter som är behöriga att förebygga, utreda, avslöja och lagföra brott.

(88) Överföringar som inte kan anses vara ofta återkommande eller omfattande bör också vara möjliga när registeransvariga eller registerförare har berättigade intressen för detta och sedan de har bedömt omständigheterna kring uppgiftsöverföringen. Vid behandling för historiska, statistiska och vetenskapliga forskningsändamål bör hänsyn tas till samhällets legitima förväntningar om kunskaps­ökning.

(89) Om kommissionen inte har fattat beslut om adekvat uppgiftsskyddsnivå i ett tredjeland bör den registeransvarige eller registerföraren i alla fall använda sig av lösningar som ger de registrerade en garanti för att de fortsatt kan utöva sina grundläggande rättigheter och att skyddsåtgärderna kvarstår vad gäller behandling av deras personuppgifter inom unionen när dessa uppgifter väl har överförts.

(90) Vissa tredjeländer har antagit lagar och andra författningar som syftar till att direkt reglera uppgiftsbehandling som utövas av fysiska och juridiska personer under medlemsstaternas jurisdiktion. Extraterritoriell tillämpning av dessa lagar och andra författningar kan strida mot internationell rätt och inverka menligt på det skydd av enskilda som garanteras inom unionen genom denna förordning.. Överföringar bör endast tillåtas om villkoren i denna förordning för en överföring till tredjeländer är uppfyllda. Detta kan bl.a. vara fallet när utlämnande är nödvändigt på grund av ett viktigt samhällsintresse som erkänns i unionslagstiftningen eller i en medlemsstats lagstiftning som den registeransvarige omfattas av. Villkoren för att ett viktigt samhällsintresse ska anses föreligga bör ytterligare specificeras av kommissionen i en delegerad akt.

(91) När personuppgifter förs över gränser kan detta öka risken för att enskilda inte ska kunna utöva sina uppgiftsskyddsrättigheter, i första hand för att skydda sig från otillåten användning eller otillåtet utlämnande av denna information. Samtidigt kan tillsynsmyndigheter finna att de inte är i stånd att handlägga klagomål eller göra utredningar som gäller verksamheter utanför gränserna för deras land. Deras strävan att arbeta tillsammans över gränserna kan också hindras av otillräckliga preventiva eller korrigerande befogenheter, oenhetliga rättsliga regelverk, och praktiska hinder som exempelvis bristande resurser. Närmare samarbete måste därför främjas mellan uppgiftsskyddstillsynsmyndigheter för att hjälpa dem att utbyta information och utföra utredningar med sina internationella motsvarigheter.

(92) För att skydda enskilda vid behandlingen av personuppgifter är det avgörande att medlemsstaterna inrättar tillsynsmyndigheter som utför sitt uppdrag under fullständigt oberoende. Medlemsstaterna kan inrätta fler än en tillsynsmyndighet om det behövs för att ta hänsyn till den egna konstitutionella, organisatoriska och administrativa strukturen.

(93) I det fall en medlemsstat inrättar flera tillsynsmyndigheter bör den lagstiftningsvägen införa åtgärder som säkerställer att dessa tillsynsmyndigheter effektivt deltar i mekanismen för enhetlighet. Medlemsstaten bör i detta fall utnämna en tillsynsmyndighet som fungerar som samlande kontaktpunkt för dessa myndigheters effektiva deltagande i mekanismen för att säkra ett snabbt och smidigt samarbete med övriga tillsynsmyndigheter, Europeiska dataskyddsstyrelsen och kommissionen.

(94) Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser och lokalutrymmen samt den infrastruktur som krävs för att den effektivt ska kunna utföra sina arbetsuppgifter, däribland de arbetsuppgifter som är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen.

(95) De allmänna villkoren för tillsynsmyndighetens ledamöter bör fastställas genom lag i varje medlemsstat. Bestämmelserna bör bl.a. föreskriva att de ska utnämnas antingen av parlamentet eller av medlemsstatens regering, och inkludera regler om deras personliga kvalifikationer och ställning.

(96) Tillsynsmyndigheterna bör övervaka tillämpningen av bestämmelserna i denna förordning och bidra till att tillämpningen blir enhetlig over hela unionen för att skydda fysiska personer vid behandling av deras personuppgifter och för att underlätta det fria flödet av personuppgifter inom den inre marknaden. För detta ändamål bör tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen.

(97) Om behandlingen av personuppgifter inom ramen för den verksamhet som en registeransvarig eller registerförare bedriver inom unionen äger rum i fler än en medlemsstat bör en enda tillsynsmyndighet vara behörig att övervaka den registeransvariges eller registerförarens verksamheter i hela unionen och fatta alla därmed sammanhängande beslut. Detta för att öka enhetligheten i tillämpningen, skapa rättssäkerhet och minska den administrativa bördan för dessa registeransvariga och registerförare.

(98) Den behöriga myndighet som tar på sig detta bör vara tillsynsmyndigheten i den medlemsstat där den registeransvarige eller registerföraren har sitt huvudsakliga verksamhetsställe.

(99) Denna förordning är visserligen tillämplig på nationella domstolars verksamheter, men tillsynsmyndigheterna bör inte ha behörighet att övervaka behandling av personuppgifter i domstolarna när detta sker som en del av deras dömande verksamhet. Syftet är att garantera domarnas oberoende när de utför sina rättsliga arbetsuppgifter. Detta undantag bör dock vara strikt inskränkt till genuint rättsliga verksamheter i domstolsmål och inte vara tillämpligt på övriga verksamheter där domare i enlighet med nationell lagstiftning kan medverka.

(100) För att denna förordning ska övervakas och verkställas på ett enhetligt sätt i hela unionen bör tillsynsmyndigheterna i alla medlemsstater ha samma uppdrag och effektiva befogenheter, bl.a. befogenheter att utreda, vidta rättsligt bindande åtgärder, fatta beslut och ålägga påföljder, särskilt vid klagomål från enskilda, samt delta i rättsliga förfaranden. Tillsynsmyndigheternas utredningsbefogenheter vad avser tillträde till lokaler bör utövas överensstämmelse med unionens och medlemsstaternas lagstiftning. Detta gäller särskilt kravet på att inhämta förhandstillstånd från rättsliga myndigheter.

(101) Tillsynsmyndigheterna bör ta emot klagomål som lämnas in av registrerade och utreda ärendena i fråga. Utredningen av ett klagomål bör, med förbehåll för eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör i rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om ärendet fordrar ytterligare utredning eller samordning med en annan tillsynsmyndighet bör den registrerade underrättas även om detta.

(102) Medvetandehöjande kampanjer som tillsynsmyndigheter genomför bör innefatta särskilda åtgärder riktade dels till registeransvariga och registerförare, exempelvis mikroföretag samt små och medelstora företag, dels till de registrerade.

(103) Tillsynsmyndigheterna bör hjälpa varandra att utföra sina uppdrag och ge ömsesidigt bistånd så att denna förordning tillämpas och verkställs enhetligt på den inre marknaden.

(104) Alla tillsynsmyndigheter bör ha rätt att delta i gemensamma insatser mellan tillsynsmyndigheter. Den anmodade tillsynsmyndigheten bör vara skyldig att besvara en begäran inom en fastställd tidsperiod.

(105) För att denna förordning ska tillämpas enhetligt i hela unionen bör en mekanism för enhetlighet för samarbete mellan tillsynsmyndigheterna själva och kommissionen skapas. Denna mekanism bör främst vara tillämplig när en tillsynsmyndighet avser att vidta en åtgärd gällande behandlingar som avser erbjudande av varor eller tjänster till registrerade i flera medlemsstater, eller som avser övervakning av registrerade, eller som påtagligt kan påverka personuppgifternas fria flöde. Den bör också vara tillämplig när en tillsynsmyndighet eller kommissionen begär att ärendet bör hanteras inom ramen för mekanismen för enhetlighet. Mekanismen bör inte påverka åtgärder som kommissionen kan komma att vidta när den utövar sina befogenheter enligt fördragen.

(106) Vid tillämpningen av mekanismen för enhetlighet bör Europeiska dataskyddsstyrelsen inom en fastställd tidsperiod avge ett yttrande, om en enkel majoritet av dess ledamöter så beslutar eller om någon tillsynsmyndighet eller kommissionen begär detta.

(107) Kommissionen kan för att se till att denna förordning följs avge ett yttrande i denna fråga, eller fatta ett beslut som ålägger tillsynsmyndigheten att skjuta upp utkastet till åtgärd.

(108) Brådskande behov att agera kan uppstå för att skydda de registrerades intressen, särskilt när fara föreligger att säkerställandet av en registrerad persons rättighet kan komma att försvåras avsevärt. En tillsynsmyndighet bör därför kunna vidta preliminära åtgärder med viss giltighetsperiod när den tillämpar mekanismen för enhetlighet.

(109) Tillämpningen av denna mekanism bör vara ett villkor för att en tillsynsmyndighets beslut ska var rättsligt giltiga och kunna verkställas. I andra ärenden som inbegriper flera länder kan ömsesidigt bistånd och gemensamma insatser komma ifråga mellan berörda tillsynsmyndigheter på bilateral eller multilateral basis utan att mekanismen för enhetlighet utlöses.

(110) På unionsnivå bör en europeisk dataskyddsstyrelse inrättas. Den bör ersätta arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättas genom direktiv 95/46/EG. Den bör bestå av en chef för en tillsynsmyndighet i varje medlemsstat och av Europeiska datatillsynsmannen. Kommissionen bör delta i dess verksamheter. Europeiska dataskyddsstyrelsen bör bidra till denna förordnings enhetliga tillämpning i hela unionen, bl.a. genom att lämna råd till kommissionen och främja samarbetet mellan tillsynsmyndigheterna i hela unionen. Europeiska dataskyddsstyrelsen bör agera oberoende när den utför sina arbetsuppgifter.

(111) Alla registrerade bör ha rätt klaga hos en tillsynsmyndighet i en medlemsstat och ha rätt till domstolsprövning om de anser att deras rättigheter enligt denna förordning har kränkts eller om tillsynsmyndigheten inte reagerar på ett klagomål eller inte agerar när så är nödvändigt för att skydda de registrerades rättigheter.

(112) Alla organ, organisationer eller sammanslutningar som syftar till att skydda registrerades rättigheter vad gäller personuppgifter och som inrättats i enlighet med lagstiftningen i en medlemsstat bör ha rätt att klaga hos en tillsynsmyndighet eller på de registrerades vägnar utöva rätten till domstolsprövning, eller att oberoende av en registrerad persons klagomål själv klaga när de anser att ett personuppgiftsbrott har skett.

(113) Varje fysisk eller juridisk person bör ha rätt till ett rättsmedel mot beslut rörande dem som meddelats av en tillsynsmyndighet. En eventuell talan mot en tillsynsmyndighet bör väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte.

(114) För att stärka de registrerades rättsliga skydd i situationer då den behöriga tillsynsmyndigheten är belägen i en annan medlemsstat än den där den registrerade bor, kan dessa begära att organ, organisationer eller sammanslutningar vars syfte är att skydda deras rättigheter och intressen vad gäller personuppgifter på deras vägnar väcker talan mot den tillsynsmyndigheten vid behörig domstol i den andra medlemsstaten.

(115) I situationer då en behörig tillsynsmyndighet belägen i en annan medlemsstat underlåter att agera eller har vidtagit otillräckliga åtgärder i samband med klagomål kan de registrerade anmoda tillsynsmyndigheten i den medlemsstat där de har hemvist att väcka talan mot den tillsynsmyndigheten vid behörig domstol i den andra medlemsstaten. Den anmodade tillsynsmyndigheten kan fatta beslut om huruvida denna begäran bör hörsammas eller ej. Beslutet bör kunna bli föremål för domstolsprövning.

(116) Vid rättsliga förfaranden mot en registeransvarig eller en registerförare bör käranden kunna välja att väcka talan antingen vid domstolarna i de medlemsstater där den registeransvarige eller registerföraren är etablerad eller där den registrerade bor, såvida inte den registeransvarige är en myndighet som agerar inom ramen för sin myndighetsutövning.

(117) Vid indikationer på att parallella rättsliga förfaranden pågår vid domstolar i olika medlemsstater bör domstolarna vara skyldiga att kontakta varandra. Domstolarna bör ha möjlighet att skjuta upp ett mål när ett parallellt mål handläggs i en annan medlemsstat. Medlemsstaterna bör se till att domstolsförfaranden, för att vara effektiva, medger att åtgärder snabbt vidtas för att åtgärda eller förhindra överträdelser av denna förordning.

(118) Personer som lider skada till följd av otillåten behandling bör ha rätt till ersättning av registeransvariga eller registerförare, som dock kan befrias från skadeståndsskyldighet om de kan visa att de inte är ansvariga för skadan, särskilt om de kan påvisa att ett fel begåtts av den registrerade eller om det föreligger ett fall av force majeure.

(119) Om någon underlåter att följa denna förordning bör detta leda till påföljder, oavsett om personen omfattas av privaträttslig eller offentligrättslig lagstiftning. Medlemsstaterna bör se till att påföljderna är effektiva, proportionella och avskräckande och bör vidta alla åtgärder som krävs för att påföljderna ska verkställas.

(120) För att förstärka och harmonisera de administrativa sanktioner som kan föranledas av överträdelser av denna förordning bör samtliga tillsynsmyndigheter ha befogenhet att utfärda sanktioner för administrativa överträdelser. I denna förordning bör det anges vilka dessa överträdelser är och en övre gräns för de administrativa böter som i varje enskilt fall bör fastställas proportionellt i det enskilda fallet, med vederbörlig hänsyn bl.a. till överträdelsens natur, svårhetsgrad och varaktighet. Avvikelser i tillämpningen av de administrativa sanktionerna kan också tas upp inom ramen för mekanismen för enhetlighet.

(121) Behandling av personuppgifter enkom för journalistiska, konstnärliga eller litterära ändamål bör undantas från vissa av kraven i denna förordning, så att rätten till skydd av personuppgifter kan förenas med rätten till yttrandefrihet, särskilt rätten att ta emot och lämna upplysningar, som särskilt garanteras genom artikel 11 i Europeiska unionens stadga om de grundläggande rättigheterna. Detta bör särskilt gälla vid behandling av personuppgifter inom det audiovisuella området och i nyhetsarkiv och pressbibliotek. Medlemsstaterna bör därför anta lagstiftningsåtgärder som fastställer de olika undantag som behövs för att skapa en balans mellan dessa grundläggande rättigheter. Medlemsstaterna bör fastställa sådana undantag med avseende på: allmänna principer, de registrerades rättigheter, registeransvariga och registerförare, överföring av uppgifter till tredjeländer eller internationella organisationer, de oberoende tillsynsmyndigheterna samt samarbete och enhetlighet. Detta får dock inte föranleda medlemsstaterna att fastställa undantag från andra bestämmelser i denna förordning. För att ta hänsyn till yttrandefrihetens betydelse i varje demokratiskt samhälle måste en bred tolkning tillämpas av vad som innefattas i denna frihet, som till exempel ”journalism”. Medlemsstaterna bör därför med avseende på de undantag som ska fastställas enligt denna förordning klassificera verksamheter som ”journalistiska” om målet för dem är att bland allmänheten sprida information, åsikter eller idéer, oavsett vilket medium som används för att nå detta mål. Kategorin bör inte begränsas till medieföretag, och såväl vinstdrivande verksamhet som verksamhet som drivs utan vinstintresse bör inbegripas.

(122) Behandling av personuppgifter som rör hälsa, som är en särskild kategori av uppgifter som förtjänar ett mer omfattande skydd, kan ofta motiveras med ett antal legitima skäl som gagnar de enskilda och samhället i stort, framför allt säkerställande av kontinuitet vid gränsöverskridande hälsovård. Denna förordning bör därför innehålla harmoniserade villkor för behandling av personuppgifter som rör hälsa, som omgärdas med särskilda och lämpliga skyddsåtgärder som skyddar enskildas grundläggande rättigheter och personuppgifter. Detta innefattar rätten för enskilda att få tillgång till sina personuppgifter som rör hälsa, exempelvis uppgifter i deras läkarjournaler med t.ex. diagnoser, undersökningsresultat, bedömningar av behandlande läkare och eventuella vårdbehandlingar eller interventioner som gjorts.

(123) På folkhälsoområdet kan det bli nödvändigt att med hänsyn till det allmännas intresse behandla personuppgifter som rör hälsa utan att den registrerades samtycke inhämtas. I det sammanhanget bör ”folkhälsan” tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbete, nämligen alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. Behandling av personuppgifter rörande hälsan i det allmännas intresse bör inte innebära att personuppgifter behandlas för andra ändamål av tredje part, exempelvis arbetsgivare, försäkrings- och bankföretag.

(124) De allmänna principerna för skyddet av enskilda vid behandling av personuppgifter bör även vara tillämpliga vid anställningar. För att reglera behandling av arbetstagares personuppgifter inom ramen för ett anställningsförhållande bör medlemsstaterna därför, inom gränserna för denna förordning, lagstiftningsvägen kunna anta särskilda regler för behandling av personuppgifter under anställningar.

(125) Behandling av personuppgifter för historiska, statistiska eller vetenskapliga forskningsändamål bör för att vara laglig också respektera annan relevant lagstiftning, exempelvis den som gäller kliniska prövningar.

(126) Vetenskaplig forskning bör i denna förordning också omfatta grundforskning, målforskning och privatfinansierad forskning och bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde.

(127) Vad beträffar tillsynsmyndigheternas befogenheter att från registeransvariga eller registerförare få tillgång till personuppgifter och tillgång till deras lokaler får medlemsstaterna genom lagstiftning, och förutsatt att det sker inom gränserna för denna förordning, anta särskilda regler för att garantera yrkesmässig eller annan jämförlig tystnadsplikt, i den mån detta är nödvändigt för att jämka samman rätten till skydd av personuppgifter med tystnadsplikten.

(128) I enlighet med artikel 17 i EUF-fördraget är denna förordning förenlig med kravet på att respektera och inte påverka den ställning som kyrkor och religiösa sammanslutningar eller samfund har i medlemsstaterna enligt nationell lagstiftning. Om en kyrka i en medlemsstat vid tidpunkten för ikraftträdandet av denna förordning tillämpar övergripande regler rörande skyddet av enskilda vid behandling av personuppgifter bör dessa befintliga regler följaktligen fortsätta att vara tillämpliga under förutsättning att de görs förenliga med bestämmelserna i denna förordning. Kyrkor och religiösa sammanslutningar bör vara förpliktade att bilda en fullständigt oberoende tillsynsmyndighet.

(129) I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra den fria rörligheten för personuppgifter inom unionen bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen. Delegerade akter bör framför allt antas när det gäller följande: behandlingens laglighet, precisering av kriterier och villkor för barns samtycke, behandling av särskilda kategorier av uppgifter, precisering av kriterier och villkor vad gäller uppenbart orimliga krav och avgifter för att den registrerade ska kunna utöva sina rättigheter, kriterier och krav vad gäller information till den registrerade och rätten till tillgång, rätten att bli bortglömd och rätten till radering, profileringsbaserade åtgärder, kriterier och krav vad gäller den registeransvariges ansvar samt inbyggt uppgiftsskydd och uppgiftsskydd som standard, registerförare, kriterier och krav vad gäller dokumentering av och säkerhet vid behandlingen, kriterier och krav vad gäller konstaterandet av personuppgiftsbrott och anmälan av detta till tillsynsmyndigheten, och gällande omständigheterna när ett personuppgiftsbrott sannolikt påverkar den registrerade negativt, kriterier och villkor vad gäller behandling som kräver en konsekvensbedömning av uppgiftsskyddet, kriterier och krav när man avgör om höggradiga särskilda risker föreligger som kräver förhandssamråd, uppgiftsskyddsombudets utnämning och arbetsuppgifter, uppförandekodexar, kriterier och krav vad gäller certifieringsmekanismer, kriterier och krav vad gäller överföringar som sker på grundval av bindande företagsregler, överföringsundantag, administrativa påföljder, behandling för hälso- och sjukvårdsändamål, behandling vid anställningar och behandling för historiska, statistiska och vetenskapliga forskningsändamål. Det är av särskild betydelse att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå. Kommissionen bör, då den förbereder och utarbetar delegerade akter, se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så snabbt som möjligt och på lämpligt sätt.

(130) För att säkra enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter för att: specificera standardformulär för behandling av barns personuppgifter, standardförfaranden och formulär för utövandet av den registrerades rättigheter, standardformulär för information till den registrerade, standardformulär och förfaranden för rätten till tillgång, rätten till uppgiftsportabilitet, standardformulär avseende den registeransvariges ansvar för inbyggt uppgiftsskydd och uppgiftsskydd som standard samt dokumentering, särskilda krav på säkerhet vid behandling, standardformat och förfaranden för anmälan av personuppgiftsbrott till tillsynsmyndigheten och meddelanden om personuppgiftsbrott till den registrerade, standarder och förfaranden för konsekvensbedömning avseende uppgiftsskydd, formulär och förfaranden för förhandstillstånd och förhandssamråd, tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland eller ett territorium eller av en behandlande sektor inom detta tredjeland eller en internationell organisation, utlämnande som inte har stöd i unionslagstiftningen, ömsesidigt bistånd, gemensamma insatser och beslut enligt mekanismen för enhetlighet. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter[45]. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag.

(131) Mot bakgrund av att nedanstående rättsakter har allmän räckvidd bör granskningsförfarandet användas vid antagande av följande: specificerande standardformulär för barns samtycke, standardförfaranden och formulär för utövandet av den registrerades rättigheter, standardformulär för information till den registrerade, standardformulär och förfaranden för rätten till tillgång, rätten till uppgiftsportabilitet, standardformulär avseende den registeransvariges ansvar för inbyggt uppgiftsskydd och uppgiftsskydd som standard samt dokumentation, särskilda krav på säkerhet vid behandling, standard­format och förfaranden för anmälan av personuppgiftsbrott till tillsynsmyndigheten och meddelanden om personuppgiftsbrott till den registrerade, standarder och förfaranden för konsekvensbedömning avseende uppgiftsskydd, formulär och förfaranden för förhandstillstånd och förhandssamråd, tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland eller ett territorium eller av en behandlande sektor inom detta tredjeland eller en internationell organisation, utlämnande som inte har stöd i unionslagstiftningen, ömsesidigt bistånd, gemensamma insatser och beslut enligt mekanismen för enhetlighet.

(132) Kommissionen bör när tvingande skäl till skyndsamhet föreligger i vederbörligen motiverade fall anta omedelbart tillämpliga genomförandeakter avseende ett tredjeland, ett territorium eller en behandlande sektor i ett tredjeland eller en internationell organisation vars skyddsnivå inte är adekvat och som avser frågor som tillsynsmyndigheterna tar upp genom mekanismen för enhetlighet.

(133) Eftersom målen för denna förordning, nämligen att säkerställa en likvärdig nivå på skyddet av enskilda och de fria flödena av uppgifter inom hela unionen, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och eftersom de därför, på grund av åtgärdens omfattning eller verkningar, bättre kan uppnås på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i EUF-fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå detta mål.

(134) Direktiv 95/46/EG ska därför ersättas med denna förordning. Kommissionens beslut som antagits och tillsynsmyndigheternas tillstånd på grundval av direktiv 95/46/EC bör dock fortsatt vara giltiga.

(135) Denna förordning bör vara tillämplig på alla frågor som gäller skyddet av grundläggande rättigheter och friheter i förhållande till behandlingen av personuppgifter, som inte omfattas av särskilda skyldigheter med samma mål som anges i direktiv 2002/58/EG, däribland den registeransvariges skyldigheter och de enskildas rättigheter. För att klargöra förhållandet mellan denna förordning och direktiv 2002/58/EG bör sistnämnda direktiv därför ändras.

(136) När det gäller Island och Norge utgör denna förordning, i enlighet med avtalet mellan Europeiska unionens råd och Republiken Island och Konungariket Norge om dessa staters associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket, en utveckling av bestämmelserna i Schengenregelverket i den utsträckning som den är tillämplig på behandling av personuppgifter som sköts av myndigheter som deltar i genomförandet av detta regelverk[46].

(137) När det gäller Schweiz utgör denna förordning, i enlighet med avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket, en utveckling av bestämmelserna i Schengenregelverket i den utsträckning som den är tillämplig på behandling av personuppgifter som sköts av myndigheter som deltar i genomförandet av detta regelverk[47].

(138) När det gäller Liechtenstein utgör denna förordning, i enlighet med protokollet mellan Europeiska unionen, Europeiska gemenskapen, Schweiziska edsförbundet och Furstendömet Liechtenstein om Furstendömet Liechtensteins anslutning till avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket, en utveckling av bestämmelserna i Schengenregelverket i den utsträckning som den är tillämplig på behandling av personuppgifter som sköts av myndigheter som deltar i genomförandet av detta regelverk[48].

(139) Med hänsyn till att rätten till skydd av personuppgifter, såsom EU-domstolen har påpekat, inte är någon absolut rättighet, utan måste förstås utifrån sin funktion i samhället och balanseras i enlighet med proportionalitetsprincipen med andra grundläggande rättigheter, respekterar denna förordning alla grundläggande rättigheter och iakttar de principer som erkänns i EU:s stadga om de i fördragen fastställda grundläggande rättigheterna, främst rätten till skydd för privat- och familjeliv, bostad och kommunikationer, rätten till skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till effektivt rättsmedel och opartisk domstol samt kulturell, religiös och språklig mångfald.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

ALLMÄNNA BESTÄMMELSER

Artikel 1 Syfte och mål

1.           I denna förordning fastställs bestämmelser om skydd för enskilda personer med avseende på behandlingen av personuppgifter och om den fria rörligheten för personuppgifter.

2.           Förordningen skyddar fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter.

3.           Den fria rörligheten för personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för enskilda personer med avseende på behandlingen av personuppgifter.

Artikel 2 Materiellt tillämpningsområde

1.           Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2.           Förordningen ska inte tillämpas på behandling av personuppgifter

a)      som utgör ett led i en verksamhet som inte omfattas av unionslagstiftningen, särskilt avseende nationell säkerhet,

b)      som utförs av unionens institutioner, organ och byråer,

c)      som medlemsstaterna utför när de bedriver verksamhet som omfattas av kapitel 2 i fördraget om Europeiska unionen,

d)      som en fysisk person utför utan vinstintresse som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll,

e)      som behöriga myndigheter utför i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

3.           Förordningen ska inte påverka tillämpningen av direktiv 2000/31/EG, särskilt bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet.

Artikel 3 Territoriellt tillämpningsområde

1.           Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs av en registeransvarig eller registerförare som är etablerad i unionen.

2.           Förordningen ska tillämpas på behandling av personuppgifter som avser registrerade som är bosatta i unionen och som utförs av en registeransvarig som inte är etablerad i unionen, om behandlingen har anknytning till

a)      utbjudande av varor eller tjänster till sådana registrerade i unionen, eller

b)      övervakning av deras beteende.

3.           Förordningen ska tillämpas på behandling av personuppgifter som utförs av en registeransvarig som inte är etablerad i unionen, men på en plats där den nationella lagstiftningen i en medlemsstat gäller på grund av folkrätten.

Artikel 4 Definitioner

I denna förordning gäller följande definitioner:

(1) den registrerade: en fysisk person som är direkt eller indirekt identifierad eller identifierbar, med medel som rimligen kan komma att användas av den registeransvarige eller av någon annan fysisk eller juridisk person, framför allt med hänvisning till ett identifikationsnummer, en lokaliseringsuppgift eller nätidentifierare, eller till en eller fler faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

(2) personuppgifter: varje upplysning som avser den registrerade.

(3) behandling: varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, radering eller förstöring.

(4) register: varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

(5) registeransvarig: en fysisk eller juridisk person, myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen, villkoren och medlen för behandlingen av personuppgifter; om ändamålen, villkoren och medlen för behandlingen bestäms av unionslagstiftningen eller medlemsstaternas lagstiftning kan den registeransvarige eller de särskilda kriterierna för hur denne ska utses anges i unionslagstiftningen eller i medlemsstaternas lagstiftning.

(6) registerförare: en fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar personuppgifter för den registeransvariges räkning.

(7) mottagare: en fysisk eller juridisk person, myndighet, institution eller annat organ till vilket uppgifterna utlämnas.

(8) den registrerades samtycke: varje slag av frivillig, specifik, informerad och uttrycklig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig affirmativ handling godtar behandling av personuppgifter som rör honom eller henne.

(9) personuppgiftsbrott: ett säkerhetsbrott som leder till förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

(10) genetiska uppgifter: alla uppgifter, oavsett typ, som rör sådana kännetecken för en enskild person som är nedärvda eller har erhållits under tidig prenatal utveckling.

(11) biometriska uppgifter: alla uppgifter som rör en enskild persons fysiska, fysiologiska eller beteendemässiga kännetecken och som gör det möjligt att identifiera honom eller henne individuellt, såsom ansiktsbilder eller fingeravtrycksuppgifter.

(12) uppgifter om hälsa: alla uppgifter som rör en enskild persons fysiska eller psykiska hälsa eller de hälso- och sjukvårdstjänster som tillhandahållits personen.

(13) huvudsakligt verksamhetsställe: när det gäller den registeransvarige, den plats i unionen där denne är etablerad, där de huvudsakliga besluten om syftena, villkoren och medlen för behandlingen av personuppgifter fattas; om inga beslut om syftena, villkoren och metoderna för behandlingen av personuppgifter fattas i unionen är det huvudsakliga verksamhetsstället den plats där den huvudsakliga behandlingen inom ramen för den verksamhet som bedrivs vid en registeransvarigs verksamhetsställe i unionen äger rum. När det gäller registerföraren avses med huvudsakligt verksamhetsställe den plats i unionen där vederbörande har sin centrala förvaltning.

(14) företrädare: en i unionen etablerad fysisk eller juridisk person som den registeransvarige uttryckligen utsett och som tillsynsmyndigheter och instanser inom unionen kan vända sig till i stället för till den registeransvarige i frågor som gäller den registeransvariges skyldigheter enligt denna förordning.

(15) företag: en enhet som bedriver ekonomisk verksamhet, oavsett dess juridiska form, vilket således särskilt inbegriper fysiska och juridiska personer, partnerskap eller föreningar som regelbundet bedriver ekonomisk verksamhet.

(16) företagsgrupp: ett kontrollerande företag och dess kontrollerade företag.

(17) bindande företagsbestämmelser: strategier för skydd av personuppgifter som en registeransvarig eller registerförare som är etablerad på en medlemsstats territorium använder sig av vid överföringar eller en uppsättning av överföringar av personuppgifter till en registeransvarig eller registerförare i en eller flera tredjeländer inom en företagsgrupp.

(18) barn: alla personer som är yngre än arton år.

(19) tillsynsmyndighet: en myndighet som är etablerad av en medlemsstat i enlighet med artikel 46.

KAPITEL II PRINCIPER

Artikel 5 Principer om behandling av personuppgifter         

Vid behandling av personuppgifter ska följande gälla:

a)      Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

b)      De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

c)      De ska vara adekvata, relevanta och begränsade till ett strikt minimum när det gäller de syften för vilka de behandlas; de ska bara behandlas om, och så länge som, syftena inte kan uppnås genom att man behandlar information som inte rör personuppgifter.

d)      De ska vara riktiga och aktuella; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.

e)      De ska förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas; personuppgifter får lagras under längre perioder i den mån som uppgifterna endast behandlas för historiska, statistiska eller vetenskapliga forskningsändamål i enlighet med bestämmelserna och villkoren i artikel 83 och om en periodisk översyn genomförs för att bedöma behovet av fortsatt lagring.

f)       Den registeransvarige ska ansvara för behandlingen av personuppgifterna, och ska se till och visa att bestämmelserna i denna förordning efterlevs vid varje behandling.

Artikel 6 När personuppgifter får behandlas

1.           Personuppgifter får behandlas endast om och i den mån som åtminstone ett av följande villkor är uppfyllda:

a)      Den registrerade har lämnat sitt samtycke till att vederbörandes personuppgifter behandlas för ett eller flera specifika ändamål.

b)      Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c)      Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige.

d)      Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade,

e)      Behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige.

f)       Behandlingen är nödvändig för ändamål som rör den registeransvariges berättigade intressen, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Detta ska inte gälla för behandling som utförs av myndigheter i deras myndighetsutövning.

2.           Personuppgifter ska få behandlas om detta är nödvändigt för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83.

3.           Den grund för behandlingen som avses i punkt 1 c och e ska föreskrivas i

a)      unionslagstiftningen, eller

b)       lagstiftningen i den medlemsstat vars lagstiftning den registeransvarige lyder under.

Lagstiftningen i medlemsstaten måste uppfylla ett mål av allmänt intresse eller vara nödvändig för att skydda andras fri- och rättigheter, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas.

4.           När ändamålet med ytterligare behandling inte är förenligt med det ändamål för vilket personuppgifterna har samlats in, måste behandlingen ha en rättslig grund i minst en av de grunder som anges i punkt 1 a–e. Detta ska särskilt gälla eventuella ändringar av förutsättningarna och de allmänna villkoren för ett avtal.

5.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera de villkor som avses i punkt 1 f för olika sektorer och situationer vid behandlingen av personuppgifter, bland annat när det gäller behandlingen av personuppgifter som rör barn.

Artikel 7 Villkor för samtycke

1.           Den registeransvarige ska bära bevisbördan när det gäller den registrerades samtycke till behandlingen av hans eller hennes personuppgifter för bestämda ändamål.

2.           Om den registrerades samtycke ska lämnas inom ramen för en skriftlig deklaration som också rör en annan fråga, måste kravet att lämna samtycke läggas fram i en sådan form att det kan särskiljas från denna andra fråga.

3.           De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten hos behandling som grundar sig på samtycke, innan detta återkallas.

4.           Samtycke ska inte utgöra en rättslig grund för behandlingen, om det föreligger en betydande obalans mellan den registrerades och den registeransvariges ställning.

Artikel 8 Behandling av barns personuppgifter

1.           Vid tillämpningen av denna förordning och när det gäller erbjudande av informationssamhällets tjänster direkt till ett barn, ska det endast vara tillåtet att behandla personuppgifter som rör ett barn som är under 13 år om och i den mån som samtycket ges eller godkänns av barnets förälder eller förmyndare. Den registeransvarige ska göra rimliga ansträngningar för att erhålla ett kontrollerbart samtycke, med hänsyn tagen till tillgänglig teknik.

2.           Punkt 1 ska inte påverka den allmänna avtalsrätten i medlemsstaterna, såsom bestämmelser om giltigheten hos eller upprättandet eller effekten av ett avtal som gäller ett barn.

3.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för metoderna för att erhålla ett sådant kontrollerbart samtycke enligt punkt 1. Kommissionen ska därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag.

4.           Kommissionen får fastställa standardformulär för specifika metoder för att erhålla ett sådant kontrollerbart samtycke enligt punkt 1. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 87.

Artikel 9 Behandling av särskilda kategorier av personuppgifter

1.           Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, och behandling av genetiska uppgifter eller uppgifter om hälsa eller sexualliv eller fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder är förbjuden.

2.           Punkt 1 ska inte gälla om något av följande villkor är uppfyllda:

a)      Den registrerade har lämnat sitt samtycke till behandlingen av dessa personuppgifter, på de villkor som anges i artiklarna 7 och 8, utom då unionslagstiftningen eller medlemsstaternas lagstiftning föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade.

b)      Behandlingen är nödvändig för att den registeransvarige ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten, i den omfattning detta är tillåtet enligt unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder.

c)      Behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

d)      Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke.

e)      Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

f)       Behandlingen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.

g)      Behandlingen är nödvändig för att genomföra en arbetsuppgift som utförs i allmänhetens intresse, på grundval av unionslagstiftningen eller en medlemsstats lagstiftning som ska innehålla bestämmelser om lämpliga åtgärder för att säkerställa den registrerades berättigade intressen.

h)      Behandlingen av uppgifter som rör hälsa är nödvändig för hälsoändamål och omfattas av de villkor och skyddsåtgärder som avses i artikel 81.

i)       Behandlingen är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83.

j)       Behandlingen av uppgifter som rör fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder utförs antingen under kontroll av en officiell myndighet eller behandlingen är nödvändig för att fullgöra en förpliktelse i lagstiftning eller bestämmelser som den registeransvarige omfattas av, eller för att genomföra en arbetsuppgift som utförs för viktiga ändamål av allmänt intresse, i den mån som den bemyndigas av unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder. Ett fullständigt register över brottmålsdomar ska föras endast under kontroll av en myndighet.

3.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna, villkoren och de lämpliga skyddsåtgärderna för behandlingen av de särskilda kategorier av personuppgifter som avses i punkt 1 och de undantag som fastställs i punkt 2.

Artikel 10 Behandling som inte möjliggör identifiering

Om de uppgifter som behandlas av en registeransvarig inte gör det möjligt för den registeransvarige att identifiera en fysisk person, ska den registeransvarige inte vara tvungen att erhålla ytterligare information för att identifiera den registrerade endast i syfte att iaktta någon av bestämmelserna i denna förordning.

KAPITEL III DEN REGISTRERADES RÄTTIGHETER

AVSNITT 1 INSYN OCH VILLKOR

Artikel 11 Klar och tydlig information och kommunikation

1.           Den registeransvarige ska ha en klar och tydlig och lätt tillgänglig policy för behandlingen av personuppgifter och för utövandet av den registrerades rättigheter.

2.           Den registeransvarige ska tillhandahålla all information och kommunikation som rör behandlingen av personuppgifter till den registrerade i en begriplig form, med användning av klart och tydligt språk, anpassat till den registrerade, i synnerhet för eventuell information särskilt riktad till barn.

Artikel 12 Förfaranden och rutiner för den registrerades utövande av sina rättigheter

1.           Den registeransvarige ska inrätta förfaranden för att tillhandahålla den information som avses i artikel 14 och för de registrerades utövande av sina rättigheter i enlighet med artikel 13 och artiklarna 15–19. Den registeransvarige ska särskilt skapa rutiner för att underlätta begäran om de åtgärder som avses i artikel 13 och artiklarna 15–19. Om personuppgifter behandlas på automatisk väg ska den registeransvarige också skapa förutsättningar för att begäran ska kunna göras elektroniskt.

2.           Den registeransvarige ska utan dröjsmål och senast en månad efter att ha mottagit begäran underrätta den registrerade om huruvida åtgärder har vidtagits i enlighet med artikel 13 och artiklarna 15–19 samt tillhandahålla den information som begärts. Denna period får förlängas med ytterligare en månad, om flera registrerade utövar sina rättigheter och deras samarbete i rimlig utsträckning är nödvändigt för att förhindra en onödig och oproportionell ansträngning från den registeransvariges sida. Information ska ges skriftligt. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i elektronisk form, om den registrerade inte begär något annat.

3.           Om den registeransvarige vägrar att vidta åtgärder på den registrerades begäran, ska den registeransvarige informera den registrerade om orsaken till vägran och om möjligheterna att lämna in ett klagomål till tillsynsmyndigheten och begära rättslig prövning.

4.           Den information och de åtgärder som vidtas på sådan begäran som avses i punkt 1 ska vara gratis. Om begäran är uppenbart orimlig, särskilt på grund av dess repetitiva karaktär, får den registeransvarige ta ut en avgift för att tillhandahålla den information eller vidta den åtgärd som begärts, och får om denna avgift inte betalas avstå från att vidta åtgärden. I så fall ska det åligga den registeransvarige att visa att begäran är uppenbart orimlig.

5.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för en sådan uppenbart orimlig begäran och sådana avgifter som avses i punkt 4.

6.           Kommissionen får fastställa standardformulär och precisera standardförfaranden för den kommunikation som avses i punkt 2, inbegripet det elektroniska formatet. Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

Artikel 13 Rättigheter i fråga om mottagare

Den registeransvarige ska underrätta varje mottagare till vilken uppgifterna har lämnats ut om eventuella rättelser eller raderingar som utförts i enlighet med artiklarna 16 och 17, om inte detta visar sig vara omöjligt eller inbegripa en oproportionell ansträngning.

AVSNITT 2 INFORMATION OCH TILLGÅNG TILL UPPGIFTER

Artikel 14 Information till den registrerade

1.           Om personuppgifter som rör en registrerad person samlas in, ska den registeransvarige till den registrerade åtminstone lämna information om följande:

a)      Identitet och kontaktuppgifter för den registeransvarige och, i förekommande fall, för dennes företrädare samt för uppgiftsskyddsombudet.

b)      Ändamålen med den behandling för vilken personuppgifterna är avsedda, inbegripet förutsättningarna och de allmänna villkoren för avtalet när behandlingen grundar sig på artikel 6.1 b och den registeransvariges berättigade intressen när behandlingen grundar sig på artikel 6.1 f.

c)      Den period under vilken personuppgifterna kommer att lagras.

d)      Förekomsten av rättigheten att av den registeransvarige begära tillgång till och rättelse eller radering av de personuppgifter som rör den registrerade eller att invända mot behandlingen av sådana personuppgifter.

e)      Rätten att inge klagomål till tillsynsmyndigheten och tillsynsmyndighetens kontaktuppgifter.

f)       Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna.

g)      I tillämpliga fall, att den registeransvarige avser att överföra personuppgifterna till ett tredjeland eller en internationell organisation och nivån på det skydd som detta tredjeland eller denna internationella organisation kan erbjuda med hänvisning till ett beslut av kommissionen om adekvat skyddsnivå.

h)      Eventuell ytterligare information som är nödvändig för att tillförsäkra den registrerade en korrekt behandling med hänsyn tagen till de särskilda omständigheter under vilka personuppgifterna samlas in.

2.           Om personuppgifterna samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om huruvida tillhandahållandet av personuppgifter är obligatoriskt eller frivilligt, samt om de möjliga följderna om sådana uppgifter inte lämnas.

3.           Om personuppgifterna inte samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om var personuppgifterna har sitt ursprung.

4.           Den registeransvarige ska lämna den information som anges i punkterna 1, 2 och 3

a)      vid den tidpunkt när personuppgifterna erhålls från den registrerade, eller,

b)      om personuppgifterna inte samlas in från den registrerade, vid tidpunkten för registreringen eller inom en rimlig period efter insamlingen, med hänsyn tagen till de särskilda omständigheter under vilka uppgifterna samlas in eller på annat sätt behandlas, eller, om det planeras att lämna ut uppgifterna till en annan mottagare, och senast när uppgifterna lämnas ut för första gången.

5.           Punkterna 1–4 ska inte tillämpas i följande fall:

a)      Den registrerade har redan den information som anges i punkterna 1, 2 och 3.

b)      Uppgifterna samlas inte in från den registrerade och tillhandahållandet av sådan information visar sig vara omöjligt eller skulle inbegripa en oproportionell ansträngning.

c)      Uppgifterna samlas inte in från den registrerade och registreringen eller utlämnandet fastställs uttryckligen i lagen.

d)      Uppgifterna samlas inte in från den registrerade och tillhandahållandet av sådan information kommer att ha en negativ inverkan på andras fri- och rättigheter, såsom fastställs i unionslagstiftningen eller medlemsstatens lagstiftning i enlighet med artikel 21.

6.           I det fall som avses i punkt 5 b ska den registeransvarige vidta lämpliga åtgärder för att skydda den registrerades berättigade intressen.

7.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna för de kategorier av mottagare som anges i punkt 1 f, de krav på meddelandet om möjlig tillgång som anges i punkt 1 g, kriterierna för den ytterligare nödvändiga information som anges i punkt 1 h för särskilda sektorer och situationer samt villkoren och de lämpliga skyddsåtgärderna vid undantag enligt punkt 5 b. Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag.

8.           Kommissionen får fastställa standardformulär för tillhandahållandet av den information som anges i punkterna 1–3, med hänsyn till de särskilda kännetecknen för och behoven inom särskilda sektorer och situationer vid behandlingen av personuppgifter när så krävs. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

Artikel 15 Den registrerades rätt till tillgång

1.           Den registrerade ska ha rätt att av den registeransvarige när som helst på begäran få bekräftelse på huruvida personuppgifter som rör den registrerade håller på att behandlas. Om sådana personuppgifter håller på att behandlas ska den registeransvarige tillhandahålla följande information:

a)      Ändamålen med behandlingen.

b)      De kategorier av personuppgifter som behandlingen gäller.

c)      De mottagare eller kategorier av mottagare till vilka personuppgifterna ska lämnas ut eller har lämnats ut, särskilt mottagare i tredjeländer.

d)      Den period under vilken personuppgifterna kommer att lagras.

e)      Förekomsten av rättigheten att av den registeransvarige begära rättelse eller radering av personuppgifter som rör den registrerade eller att invända mot behandlingen av sådana personuppgifter.

f)       Rätten att inge klagomål till tillsynsmyndigheten, samt tillsynsmyndighetens kontaktuppgifter.

g)      Information om vilka personuppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer.

h)      Betydelsen och de förutsedda följderna av sådan behandling, åtminstone när det rör sig om de åtgärder som anges i artikel 20.

2.           Den registrerade ska ha rätt att av den registeransvarige erhålla information om de personuppgifter som håller på att behandlas. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i elektronisk form, om den registrerade inte begär något annat.

3.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den information till den registrerade om innehållet i personuppgifter som avses i punkt 1 g.

4.           Kommissionen får specificera standardformulär och förfaranden för att begära och bevilja tillgång till den information som avses i punkt 1, inbegripet för kontroll av den registrerades identitet och kommunikation av personuppgifterna till den registrerade, med hänsyn till de särskilda egenskaperna och behoven inom olika sektorer och situationer vid behandlingen av personuppgifter. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.

AVSNITT 3

RÄTTELSE OCH RADERING

Artikel 16 Rätt till rättelse

Den registrerade ska ha rätt att av den registeransvarige erhålla rättelse av personuppgifter som rör vederbörande och som är felaktiga. Den registrerade ska ha rätt att få till stånd komplettering av ofullständiga personuppgifter, bland annat genom att lägga till en korrigering.

Artikel 17 Rätt att bli bortglömd och till radering

1. Den registrerade ska ha rätt att av den registeransvarige utverka att personuppgifter som rör vederbörande raderas och att man avstår från ytterligare spridning av sådana uppgifter, särskilt när det gäller personuppgifter som gjordes tillgängliga av den registrerade när vederbörande var barn, och där en av följande grunder är tillämpliga:

a)      Uppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

b)      Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a, eller om en lagringsperiod för vilken samtycke har lämnats har löpt ut, och om det inte finns någon annan rättslig grund för behandlingen av uppgifterna.

c)      Den registrerade invänder mot behandlingen av personuppgifter enligt artikel 19.

d)      Behandlingen av uppgifterna uppfyller inte villkoren i denna förordning av andra skäl.

2.           Om den registeransvarige som avses i punkt 1 har offentliggjort personuppgifterna ska vederbörande vidta alla rimliga åtgärder, inbegripet tekniska åtgärder, avseende uppgifter för vars offentliggörande den registeransvarige är ansvarig, för att underrätta tredje parter som håller på att behandla sådana uppgifter om att en registrerad begär att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter. Om den registeransvarige har gett en tredje part befogenhet att offentliggöra personuppgifter ska den registeransvarige anses vara ansvarig för detta offentliggörande.

3.           Den registeransvarige ska genomföra raderingen utan dröjsmål, utom i den utsträckning som det är nödvändigt att bevara personuppgifterna av följande skäl:

(a) För att utöva rätten till yttrandefrihet enligt artikel 80.

(b) Av viktiga skäl av allmänt intresse på folkhälsoområdet enligt artikel 81.

(c) För historiska, statistiska eller vetenskapliga forskningsändamål enligt artikel 83.

(d) För att iaktta en rättslig förpliktelse att bevara personuppgifter enligt unionslagstiftningen eller enligt en medlemsstats lagstiftning som den registeransvarige lyder under; medlemsstaternas lagstiftning ska uppfylla ett mål av allmänt intresse, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas.

(e) I de fall som avses i punkt 4.

4.           Istället för radering ska den registeransvarige begränsa behandlingen av personuppgifter om

a)      den registrerade bestrider deras korrekthet, under en tid som ger den registeransvarige möjlighet att kontrollera om personuppgifterna är korrekta,

b)      den registeransvarige inte längre behöver personuppgifterna för att fullgöra sin arbetsuppgift men de måste bevaras för bevisändamål,

c)      behandlingen är olaglig och den registrerade motsätter sig att de raderas och i stället begär en begränsning av deras användning,

d)      den registrerade begär att personuppgifterna ska överföras till ett annat system för automatisk behandling enligt artikel 18.2.

5.           Sådana personuppgifter som avses i punkt 4 får, med undantag för lagring, endast behandlas för bevisändamål, eller med den registrerades samtycke, eller för att skydda en annan fysisk eller juridisk persons rättigheter, eller för ett mål av allmänt intresse.

6.           Om behandlingen av personuppgifter är begränsad enligt punkt 4 ska den registeransvarige underrätta den registrerade innan vederbörande häver begränsningen på behandlingen.

7.           Den registeransvarige ska införa rutiner för att se till att de tidsgränser som införts för raderingen av personuppgifter och/eller för en periodisk översyn av behovet att lagra uppgifter iakttas.

8.           Om raderingen genomförs ska den registeransvarige inte på annat sätt behandla sådana personuppgifter.

9.           Kommissionen ska ha befogenhet att anta delegerade akter i enlighet med artikel 86 i syfte att närmare precisera

a)      kriterierna och kraven för tillämpningen av punkt 1 i fråga om särskilda sektorer och i särskilda situationer vid behandlingen av personuppgifter,

b)      de villkor för att stryka länkar, kopior eller reproduktioner av personuppgifter från allmänt tillgängliga kommunikationstjänster enligt punkt 2,

c)      de kriterier och villkor för att begränsa behandlingen av personuppgifter som anges i punkt 4.

Artikel 18 Rätt till uppgiftsportabilitet

1.           Om personuppgifter behandlas på elektronisk väg och i ett strukturerat och allmänt använt format, ska den registrerade ha rätt att av den registeransvarige erhålla en kopia av de uppgifter som håller på att behandlas i ett elektroniskt och strukturerat format som är allmänt använt och som den registrerade kan fortsätta att använda.

2.           Om den registrerade har tillhandahållit personuppgifterna och behandlingen grundar sig på samtycke eller ett avtal, ska den registrerade ha rätt att överföra dessa personuppgifter och eventuell övrig information som tillhandahållits av den registrerade och bevarats i ett system för automatisk behandling, till ett annat system, i ett elektroniskt format som är allmänt använt, utan att hindras av den registeransvarige från vilken personuppgifterna återkallas.

3.           Kommissionen får specificera det elektroniska format som avses i punkt 1 samt de tekniska standarderna, villkoren och förfarandena för överföringen av personuppgifter enligt punkt 2. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 87.

AVSNITT 4

RÄTT ATT GÖRA INVÄNDNINGAR OCH PROFILERING

Artikel 19 Rätt att göra invändningar

1.           Den registrerade ska, av skäl som hänför sig till vederbörandes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter som grundar sig på artikel 6.1 d, e och f, om inte den registeransvarige visar på avgörande och berättigade skäl för behandlingen som väger tyngre än den registrerades intressen eller grundläggande fri- och rättigheter.

2.           Om personuppgifterna behandlas för direkt marknadsföring, ska den registrerade ha rätt att kostnadsfritt invända mot behandlingen av sina personuppgifter för sådan marknadsföring. Denna rätt ska uttryckligen erbjudas den registrerade på ett begripligt sätt och ska vara tydligt åtskiljbar från övrig information.

3.           Om en invändning godtas enligt punkt 1 och 2, ska den registeransvarige inte längre använda eller på annat sätt behandla de berörda personuppgifterna.

Artikel 20 Åtgärder på grundval av profilering

1.           Varje fysisk person ska ha rätt att inte omfattas av en åtgärd som har rättsliga följder för vederbörande eller märkbart påverkar vederbörande, och som enbart grundas på automatisk behandling som är avsedd att bedöma vissa personliga egenskaper hos vederbörande eller att analysera eller förutsäga i synnerhet vederbörandes arbetsprestationer, ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende.

2. Om inte annat följer av övriga bestämmelser i denna förordning får en person omfattas av en åtgärd av den typ som avses i punkt 1 endast om behandlingen

a)      utförs som ett led i ingåendet eller fullgörandet av ett avtal, om den registrerades begäran om ingående eller fullgörande av avtalet har bifallits eller om lämpliga åtgärder för att skydda den registrerades berättigade intressen, exempelvis rätten att få till stånd mänsklig medverkan, har vidtagits, eller

b)      uttryckligen tillåts enligt unionslagstiftningen eller en medlemsstats lagstiftning där det också fastställs lämpliga åtgärder till skydd för den registrerades berättigade intressen, eller

c)      grundar sig på den registrerades samtycke, på de villkor som fastställs i artikel 7 och under förutsättning att lämpliga skyddsåtgärder har införts.

3. Automatisk behandling av personuppgifter i syfte att bedöma vissa personliga aspekter hos en fysisk person får inte enbart grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9.

4.           I de fall som anges i punkt 2 ska den information som ska lämnas av den registeransvarige enligt artikel 14 inbegripa information om förekomsten av behandling för en åtgärd av den typ som anges i punkt 1 och de förutsedda effekterna av sådan behandling på den registrerade.

5.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för sådana lämpliga åtgärder för att skydda den registrerades berättigade intressen som avses i punkt 2.

AVSNITT 5 BEGRÄNSNINGAR

Artikel 21 Begränsningar

1.           Det ska vara möjligt att i unionslagstiftningen eller medlemsstaternas lagstiftning införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 5 a–e, artiklarna 11–20 och artikel 32, om en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att garantera

a)      den allmänna säkerheten,

b)      förebyggande, utredning, avslöjande och lagföring av brott,

c)      andra av unionens eller en medlemsstats allmänna intressen, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor och skydd av marknadens stabilitet och integritet,

d)      förebyggande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken,

e)      en tillsyns-, inspektions- eller regleringsfunktion som, även om den är av övergående karaktär, är förbunden med myndighetsutövning i de i led a, b, c och d nämnda fallen,

f)       skydd av den registrerade eller andras fri- och rättigheter.

2.           I synnerhet ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla särskilda bestämmelser åtminstone avseende målen för behandlingen och fastställandet av den registeransvarige.

KAPITEL IV

REGISTERANSVARIG OCH REGISTERFÖRARE

AVSNITT 1 ALLMÄNNA SKYLDIGHETER

Artikel 22 Den registeransvariges ansvar

1.           Den registeransvarige ska anta policyer och genomföra lämpliga åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med denna förordning.

2.           De åtgärder som nämns i punkt 1 ska särskilt avse att

(a) förvara dokumentationen enligt artikel 28,

(b) genomföra de krav på datasäkerhet som fastställs i artikel 30,

(c) genomföra en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33,

(d) uppfylla kraven på förhandstillstånd eller förhandssamråd med tillsynsmyndigheten enligt artikel 34.1 och 34.2,

(e) utse en datatillsynsman enligt artikel 35.1.

3.           Den registeransvarige ska införa rutiner för att säkerställa kontrollen av att de åtgärder som anges i punkterna 1 och 2 är verkningsfulla. Om det är proportionellt, ska denna kontroll utföras av oberoende interna eller externa granskare.

4.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att precisera eventuella ytterligare kriterier och krav för de lämpliga åtgärder som avses i punkt 1 utöver dem som redan angetts i punkt 2, villkoren för de kontroll- och granskningsrutiner som avses i punkt 3 och när det gäller kriterierna för proportionalitet enligt punkt 3, samt med hänsyn till särskilda åtgärder för mikroföretag och små och medelstora företag.

Artikel 23 Inbyggt uppgiftsskydd och uppgiftsskydd som standard

1.           Med beaktande av dagens tillgängliga teknik och genomförandekostnaden ska den registeransvarige, både vid tidpunkten för fastställandet av behandlingsmetoden och vid tidpunkten för själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter.

2.           Den registeransvarige ska införa rutiner för att se till att, i standardfallet, endast de personuppgifter behandlas som är nödvändiga för varje specifikt ändamål med behandlingen, och särskilt att de inte samlas in eller bevaras utöver vad som är strikt nödvändigt för dessa ändamål, både i fråga om antalet uppgifter och tidpunkten för deras lagring. Dessa rutiner ska i synnerhet säkerställa att personuppgifter i standardfallet inte görs tillgängliga till ett obegränsat antal enskilda.

3.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 för att precisera eventuella ytterligare kriterier och krav för sådana lämpliga åtgärder och rutiner som avses i punkt 1 och 2, särskilt när det gäller krav på inbyggt uppgiftsskydd som är tillämpliga över sektorer, produkter och tjänster.

4.           Kommissionen får fastställa tekniska standarder för de krav som fastställs i punkterna 1 och 2. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2.

Artikel 24 Gemensamma registeransvariga

Om en registeransvarig fastställer ändamålen, villkoren och medlen för behandlingen av personuppgifter tillsammans med andra ska de gemensamma registeransvariga fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt avseende förfarandena och rutinerna för den registrerades utövande av sina rättigheter, genom ett arrangemang som de enas om sinsemellan.

Artikel 25 Företrädare för registeransvariga som inte är etablerade i unionen

1.           I den situation som avses i artikel 3.2 ska den registeransvarige utse en företrädare i unionen.

2.           Denna skyldighet ska inte gälla

a)      en registeransvarig som är etablerad i ett tredjeland om kommissionen har beslutat att tredjelandet garanterar en adekvat skyddsnivå i enlighet med artikel 41, eller

b)      ett företag med färre än 250 anställda, eller

c)      en offentlig myndighet eller ett offentligt organ, eller

d)      en registeransvarig som endast sporadiskt erbjuder varor eller tjänster till registrerade som är bosatta i unionen.

3.           Företrädaren ska vara etablerad i en av de medlemsstater där de registrerade vars personuppgifter behandlas i samband med att de erbjuds varor eller tjänster, eller vars beteende övervakas, är bosatta.

4.           Att den registeransvarige utser en företrädare ska inte påverka de rättsliga åtgärder som skulle kunna inledas mot den registeransvarige.

Artikel 26 Registerförare

1.           Om en behandling ska utföras på en registeransvarigs vägnar ska den registeransvarige välja en registerförare som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter, särskilt respekten för de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som reglerar den behandling som ska utföras och se till att dessa åtgärder efterlevs.

2.           När uppgifter behandlas av en registerförare ska hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling mellan registerföraren och den registeransvarige och i handlingen ska det särskilt föreskrivas att registerföraren

a)      endast får handla på instruktioner från den registeransvarige, särskilt om överföringen av de personuppgifter som används är förbjuden,

b)      endast får anställa personal som har åtagit sig att iaktta sekretess eller som omfattas av en lagstadgad sekretessförpliktelse,

c)      ska vidta alla åtgärder som krävs enligt artikel 30,

d)      endast får engagera en annan registerförare om den registeransvarige först har godkänt detta,

e)      i samförstånd med den registeransvarige, och så långt det är möjligt med tanke på behandlingens karaktär, ska inrätta de nödvändiga tekniska och organisatoriska kraven för att den registeransvarige ska kunna fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III,

f)       ska bistå den registeransvarige med att se till att skyldigheterna enligt artiklarna 30–34 fullgörs,

g)      ska lämna alla resultat till den registeransvarige efter behandlingens slut och inte behandla personuppgifterna på annat sätt,

h)      ska ge den registeransvarige och tillsynsmyndigheten tillgång till all information som krävs för att kontrollera fullgörandet av de skyldigheter som fastställs i denna artikel.

3.           Den registeransvarige och registerföraren ska skriftligen dokumentera den registeransvariges instruktioner och registerförarens skyldigheter enligt punkt 2.

4.           Om en registerförare behandlar andra personuppgifter än de som den registeransvarige gett instruktioner om ska registerföraren anses vara en registeransvarig med avseende på den behandlingen och ska omfattas av de bestämmelser om gemensamma registeransvariga som fastställs i artikel 24.

5.           Kommissionen ska ha rätt att anta delegerade akter i enlighet med artikel 86 i syfte att närmare precisera kriterierna och kraven för registerförarens ansvarsområden, uppdrag och arbetsuppgifter med avseende på en registerförare enligt punkt 1, och de omständigheter som gör det möjligt att underlätta behandlingen av personuppgifter inom en företagsgrupp, särskilt för kontroll- och rapporteringsändamål.

Artikel 27 Behandling under den registeransvariges och registerförarens överinseende

Registerföraren och personer som utför arbete under den registeransvariges eller registerförarens överinseende, och som får tillgång till personuppgifter, får behandla dessa endast enligt instruktion från den registeransvarige, om han eller hon inte är skyldig att göra det enligt unionslagstiftningen eller medlemsstaternas lagstiftning.

Artikel 28 Dokumentation

1.           Varje registeransvarig och registerförare samt den registeransvariges eventuella företrädare ska bevara dokumentation om all behandling som utförts under dess ansvar.

2.           Dokumentationen ska innehålla åtminstone följande uppgifter:

a)      Namn och kontaktuppgifter för den registeransvarige, eller eventuella gemensamma registeransvariga eller registerförare, samt för den eventuella företrädaren.

b)      Namn och kontaktuppgifter för det eventuella uppgiftsskyddsombudet.

c)      Ändamålen med behandlingen, inbegripet den registeransvariges berättigade intressen när behandlingen grundar sig på artikel 6.1 f.

d)      En beskrivning av de kategorier av registrerade som berörs och av de kategorier av personuppgifter som hänför sig till dem.

e)      Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, inbegripet de registeransvariga till vilka personuppgifter lämnas ut för deras berättigade intressen.

f)       I tillämpliga fall, överföringar av uppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 44.1 h, dokumentationen om lämpliga skyddsåtgärder.

g)      En allmän anvisning om tidsfristerna för radering av de olika kategorierna av uppgifter.

h)      Beskrivning av de rutiner som avses i artikel 22.3.

3.           Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran göra dokumentationen tillgänglig för tillsynsmyndigheten.

4.           De skyldigheter som anges i punkterna 1 och 2 ska inte gälla för följande registeransvariga och registerförare:

a)      En fysisk person som behandlar personuppgifter utan vinstintresse.

b)      Ett företag eller en organisation med färre än 250 anställda som behandlar personuppgifter endast som en sidoverksamhet till sin huvudverksamhet.

5.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den dokumentation som avses i punkt 1, för att ta hänsyn särskilt till de områden som den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ansvarar för.

6.           Kommissionen får fastställa standardformulär för den dokumentation som anges i punkt 1. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2.

Artikel 29 Samarbete med tillsynsmyndigheten

1.           Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran samarbeta med tillsynsmyndigheten i utövandet av dess uppdrag, särskilt genom att tillhandahålla den information som avses i artikel 53.2 a och genom att ge tillgång i enlighet med artikel 53.2 b.

2.           Som reaktion på tillsynsmyndighetens utövande av sina befogenheter enligt artikel 53.2 ska den registeransvarige och registerföraren svara tillsynsmyndigheten inom en rimlig period som ska fastställas av tillsynsmyndigheten. Svaret ska inbegripa en beskrivning av de åtgärder som vidtagits och de resultat som uppnåtts som svar på tillsynsmyndighetens anmärkningar.

AVSNITT 2 DATASÄKERHET

Artikel 30 Säkerhet i samband med behandlingen av uppgifter

1.           Den registeransvarige och registerföraren ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå med tanke på de risker som behandlingen medför och karaktären hos de personuppgifter som ska skyddas, med hänsyn till dagens tillgängliga teknik och kostnaderna för att vidta åtgärderna.

2.           Efter en bedömning av riskerna ska den registeransvarige och registerföraren vidta de åtgärder som avses i punkt 1 för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse och för att förhindra otillåten behandling, särskilt obehörigt röjande, obehörig spridning eller åtkomst, eller ändringar av personuppgifter.

3.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för de tekniska och organisatoriska åtgärder som avses i punkterna 1 och 2, inbegripet fastställandet av vad som utgör dagens tillgängliga teknik, för specifika sektorer och i specifika situationer vid behandlingen av personuppgifter, med särskild hänsyn till den tekniska utvecklingen och utvecklingen i fråga om lösningar för inbyggt integritetsskydd och uppgiftsskydd som standard, om inte punkt 4 är tillämplig.

4.           När så är nödvändigt får kommissionen anta genomförandeakter i syfte att specificera kraven i punkterna 1 och 2 för olika situationer, särskilt för att

a)      förhindra obehörig åtkomst till personuppgifter,

b)      förhindra obehörigt röjande, obehörig läsning, kopiering, ändring eller radering eller obehörigt avlägsnande av personuppgifter,

c)      se till att det kontrolleras att behandlingen är laglig.

Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

Artikel 31 Anmälan av ett personuppgiftsbrott till tillsynsmyndigheten

1.           Vid ett personuppgiftsbrott ska den registeransvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 24 timmar efter att ha fått vetskap om det, anmäla personuppgiftsbrottet till tillsynsmyndigheten. Om anmälan till tillsynsmyndigheten inte görs inom 24 timmar ska den åtföljas av en utförlig motivering.

2.           I enlighet med artikel 26.2 f ska registerföraren underrätta och informera den registeransvarige omedelbart efter det att ett personuppgiftsbrott har konstaterats.

3.           Den anmälan som avses i punkt 1 ska åtminstone

a)      beskriva personuppgiftsbrottets karaktär, inbegripet de kategorier av och antalet registrerade som berörs samt de kategorier av och antalet uppgiftsposter som berörs,

b)      förmedla identiteten på och kontaktuppgifterna för uppgiftsskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,

c)      rekommendera åtgärder för att begränsa de möjliga negativa effekterna av personuppgiftsbrottet,

d)      beskriva konsekvenserna av personuppgiftsbrottet,

e)      beskriva de åtgärder som den registeransvarige föreslagit eller vidtagit för att åtgärda personuppgiftsbrottet.

4.           Den registeransvarige ska dokumentera alla personuppgiftsbrott, inbegripet omständigheterna kring brottet, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel. Dokumentationen ska endast innehålla den information som behövs för detta ändamål.

5.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för fastställandet av det uppgiftsbrott som avses i punkterna 1 och 2 samt för de särskilda omständigheter under vilka en registeransvarig och en registerförare ska anmäla personuppgiftsbrottet.

6.           Kommissionen får fastställa standardformatet för sådana anmälningar till tillsynsmyndigheten, de förfaranden som gäller för anmälningskravet och formen och villkoren för den dokumentation som avses i punkt 4, inbegripet tidsgränserna för raderingen av informationen i denna. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.

Artikel 32 Information till den registrerade om ett personuppgiftsbrott

1.           Om personuppgiftsbrottet sannolikt har en negativ inverkan på skyddet av den registrerades personuppgifter eller integritet ska den registeransvarige, efter den anmälan som avses i artikel 31, utan onödigt dröjsmål informera den registrerade om personuppgiftsbrottet.

2.           Den information till den registrerade som avses i punkt 1 ska innehålla en beskrivning av personuppgiftsbrottets karaktär och åtminstone de upplysningar och de rekommendationer som anges i artikel 31.3 b och c.

3.           Det ska inte vara ett krav att informera den registrerade om personuppgiftsbrottet om den registeransvarige tillfredsställande visar för den behöriga myndigheten att den har genomfört lämpliga tekniska skyddsåtgärder och att dessa åtgärder tillämpats på de uppgifter som berördes av personuppgiftsbrottet. Sådana tekniska skyddsåtgärder ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till uppgifterna.

4.           Utan att det påverkar den registeransvariges skyldighet att informera den registrerade om personuppgiftsbrottet, får tillsynsmyndigheten, om den registeransvarige inte redan har informerat den registrerade om personuppgiftsbrottet, efter att ha tagit hänsyn till de möjliga negativa effekterna av brottet, begära att den registeransvarige gör detta.

5.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera villkoren och kraven när det gäller de omständigheter under vilka ett personuppgiftsbrott sannolikt har en negativ inverkan på de personuppgifter som avses i punkt 1.

6.           Kommissionen får fastställa formatet för den information till den registrerade som avses i punkt 1 och de förfaranden som gäller för den informationen. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

AVSNITT 3 KONSEKVENSBEDÖMNING AVSEENDE UPPGIFTSSKYDD OCH FÖRHANDSTILLSTÅND

Artikel 33 Konsekvensbedömning avseende uppgiftsskydd

1.           Om behandlingen på grund av sin karaktär, sin omfattning eller sina ändamål medför särskilda risker för de registrerades fri- och rättigheter, ska den registeransvarige eller registerföraren på den registeransvariges vägnar utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter.

2.           I synnerhet följande typer av behandling medför sådana särskilda risker som avses i punkt 1:

a)      En systematisk och omfattande bedömning av en fysisk persons personliga aspekter eller i syfte att analysera eller förutse särskilt den fysiska personens ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende, vilket grundar sig på automatisk behandling och på vilka sådana åtgärder grundar sig som har rättsliga följder för den enskilde eller som märkbart påverkar honom eller henne.

b)      Information om sexualliv, hälsa, ras och etniskt ursprung eller – i samband med tillhandahållande av hälso- och sjukvård – epidemiologisk forskning, eller undersökningar av psykiska sjukdomar eller infektionssjukdomar, där uppgifterna behandlas i syfte att vidta åtgärder eller fatta beslut om specifika enskilda personer i stor skala.

c)      Övervakning av allmän plats, särskilt vid användning av optisk-elektroniska anordningar (videoövervakning) i stor skala.

d)      Personuppgifter i storskaliga register om barn, genetiska uppgifter eller biometriska uppgifter.

e)      Annan behandling för vilken samråd måste ske med tillsynsmyndigheten enligt artikel 34.2 b.

3.           Bedömningen ska innehålla åtminstone en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för de registrerades fri- och rättigheter, de åtgärder som planeras för att hantera risker, skyddsåtgärder, säkerhetsåtgärder och rutiner för att garantera skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen.

4.           Den registeransvarige ska inhämta synpunkter från de registrerade och deras företrädare om den avsedda behandlingen, utan att det påverkar skyddet av kommersiella eller allmänna intressen eller behandlingens säkerhet.

5.           Om den registeransvarige är en offentlig myndighet eller ett offentligt organ och om behandlingen följer av en rättslig skyldighet enligt artikel 6.1 c som föreskriver regler och förfaranden som rör behandlingen och regleras av unionslagstiftningen, ska punkterna 1–4 inte gälla, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen.

6.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för sådan behandling som sannolikt medför särskilda risker enligt punkterna 1 och 2 och kraven för den bedömning som avses i punkt 3, däribland villkor för skalbarhet, kontroll och granskningsmöjligheter. Kommissionen ska därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag.

7.           Kommissionen får ange standarder och förfaranden för utförandet samt kontrollen och granskningen av den bedömning som avses i punkt 3. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 87.

Artikel 34 Förhandstillstånd och förhandssamråd

1.           Den registeransvarige eller registerföraren, allt efter omständigheterna, ska erhålla ett godkännande från tillsynsmyndigheten före behandlingen av personuppgifterna, i syfte att se till att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade när en registeransvarig eller en registerförare antar avtalsklausuler enligt artikel 42.2 d eller inte tillhandahåller lämpliga skyddsåtgärder i ett rättsligt bindande instrument enligt artikel 42.5 för överföring av personuppgifter till ett tredjeland eller en internationell organisation.

2.           Den registeransvarige eller registerföraren som handlar på den registeransvariges vägnar ska samråda med tillsynsmyndigheten före behandlingen av personuppgifter för att se till att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade om

a)      en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33 visar att behandlingen på grund av sin karaktär, sin omfattning eller sina ändamål sannolikt medför höggradiga särskilda risker, eller

b)      tillsynsmyndigheten anser det nödvändigt att utföra ett förhandssamråd om behandling som sannolikt medför särskilda risker för de registrerades fri- och rättigheter på grund av sin karaktär, sin omfattning och/eller sina ändamål, och som preciseras enligt punkt 4.

3.           Om tillsynsmyndigheten anser att den avsedda behandlingen inte överensstämmer med denna förordning, särskilt om riskerna är otillräckligt fastställda eller begränsade, ska den förbjuda den avsedda behandlingen och lägga fram lämpliga förslag för att åtgärda sådan brist på överensstämmelse.

4.           Tillsynsmyndigheten ska inrätta och offentliggöra en förteckning över den behandling som omfattas av förhandssamråd enligt punkt 2 b. Tillsynsmyndigheten ska översända dessa förteckningar till Europeiska dataskyddsstyrelsen.

5.           Om den förteckning som avses i punkt 4 inbegriper behandling som rör erbjudande av varor och tjänster till registrerade i flera medlemsstater, eller övervakning av deras beteende, eller som väsentligt kan påverka den fria rörligheten för personuppgifter i unionen, ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57 före antagandet av förteckningen.

6.           Den registeransvarige eller registerföraren ska till tillsynsmyndigheten lämna den konsekvensbedömning avseende uppgiftsskydd som avses i artikel 33 och, på begäran, eventuell övrig information som gör att tillsynsmyndigheten kan göra en bedömning av behandlingens överensstämmelse och särskilt av riskerna för skyddet av den registrerades personuppgifter och av därmed sammanhängande skyddåtgärder.

7.           Medlemsstaterna ska samråda med tillsynsmyndigheten vid utarbetandet av lagstiftningsåtgärder som ska antas av det nationella parlamentet eller av en åtgärd som grundar sig på en sådan lagstiftningsåtgärd, som fastställer behandlingens karaktär, för att garantera att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade.

8.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för fastställandet av de höggradiga särskilda risker som avses i punkt 2 a.

9.           Kommissionen får fastställa standardformulär och förfaranden för sådana förhandstillstånd och förhandssamråd som avses i punkterna 1 och 2, och standardformulär och förfaranden för att informera tillsynsmyndigheterna enligt punkt 6. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2.

AVSNITT 4 UPPGIFTSSKYDDSOMBUD

Artikel 35 Utnämning av uppgiftsskyddsombudet

1.           Den registeransvarige och registerföraren ska utnämna ett uppgiftsskyddsombud om

a)      behandlingen utförs av en offentlig myndighet eller ett offentligt organ, eller

b)      behandlingen utförs av ett företag som har minst 250 anställda, eller

c)      den registeransvariges och registerförarens kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade.

2.           I det fall som avses i punkt 1 b får en företagsgrupp utnämna ett enda uppgiftsskyddsombud.

3.           Om den registeransvarige och registerföraren är en offentlig myndighet eller ett offentligt organ, får uppgiftsskyddsombudet utnämnas för flera av dess enheter, med hänsyn till den offentliga myndighetens eller det offentliga organets struktur.

4.           I andra fall än de som anges i punkt 1 får den registeransvarige eller registerföraren eller sammanslutningar och andra organ som företräder kategorier av registeransvariga eller registerförare utnämna ett uppgiftsskyddsombud.

5.           Den registeransvarige eller registerföraren ska utnämna uppgiftsskyddsombudet på grundval av yrkesmässiga kvalifikationer och, i synnerhet, expertkunnande om lagstiftning och praxis avseende uppgiftsskydd samt förmåga att fullgöra de arbetsuppgifter som avses i artikel 37. Den nödvändiga nivån på expertkunnandet ska fastställas särskilt i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av den registeransvarige och registerföraren.

6.           Den registeransvarige eller registerföraren ska se till att uppgiftskyddsombudets eventuella övriga yrkesuppgifter är förenliga med personens arbetsuppgifter och uppdrag som uppgiftsskyddsombud och inte leder till en intressekonflikt.

7.           Den registeransvarige och registerföraren ska utnämna ett uppgiftsskyddsombud för en period på minst två år. Uppgiftsskyddsombudet får utnämnas för ytterligare perioder. Uppgiftsskyddsombudet får under sin mandatperiod endast avsättas om uppgiftsskyddsombudet inte längre uppfyller de villkor som krävs för fullgörandet av sitt uppdrag.

8.           Uppgiftsskyddsombudet får anställas av den registeransvarige eller registerföraren, eller utföra sina arbetsuppgifter på grundval av ett tjänsteavtal.

9.           Den registeransvarige eller registerföraren ska informera tillsynsmyndigheten och allmänheten om uppgiftsskyddsombudets namn och kontaktuppgifter.

10.         Den registrerade ska ha rätt att kontakta uppgiftsskyddsombudet om alla frågor som rör behandlingen av den registrerades uppgifter och begära att få utöva sina rättigheter enligt denna förordning.

11.         Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den kärnverksamhet som bedrivs av den registeransvarige eller registerföraren och som avses i punkt 1 c och det kriterium för uppgiftsskyddsombudets yrkesmässiga kvalifikationer som avses i punkt 5.

Artikel 36 Uppgiftsskyddsombudets ställning

1.           Den registeransvarige eller registerföraren ska se till att uppgiftsskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

2.           Den registeransvarige eller registerföraren ska se till att uppgiftskyddsombudet fullgör sitt uppdrag och utför sina arbetsuppgifter på ett oberoende sätt och inte tar emot instruktioner när det gäller utövandet av funktionen. Uppgiftsskyddsombudet ska rapportera direkt till den registeransvariges eller registerförarens förvaltning.

3.           Den registeransvarige eller registerföraren ska stödja uppgiftsskyddsombudet i utförandet av dennes arbetsuppgifter och ska tillhandahålla personal, lokaler, utrustning och alla andra resurser som krävs för att fullgöra det uppdrag och utföra de arbetsuppgifter som avses i artikel 37.

Artikel 35 Uppgiftsskyddsombudets arbetsuppgifter

1.           Den registeransvarige eller registerföraren ska anförtro uppgiftsskyddsombudet åtminstone följande arbetsuppgifter:

a)      Att informera och ge råd till den registeransvarige eller registerföraren om deras skyldigheter enligt denna förordning och att dokumentera denna verksamhet och de inkomna svaren.

b)      Att övervaka genomförandet och tillämpningen av den registeransvariges eller registerförarens policy för skydd av personuppgifter, inbegripet ansvarstilldelning, utbildning av personal som deltar i behandlingen och tillhörande granskning.

c)      Att övervaka genomförandet och tillämpningen av denna förordning, särskilt när det gäller de krav som avser inbyggt uppgiftsskydd, uppgiftsskydd som standard och datasäkerhet samt information till de registrerade och deras begäranden i utövandet av sina rättigheter enligt denna förordning.

d)      Att se till att den dokumentation som avses i artikel 28 bevaras.

e)      Att övervaka dokumentationen om, anmälan av och informationen om personuppgiftsbrott enligt artiklarna 31 och 32.

f)       Att övervaka genomförandet av den registeransvariges eller registerförarens konsekvensbedömning avseende uppgiftsskydd och ansökan om förhandstillstånd eller förhandssamråd, om så krävs enligt artiklarna 33 och 34.

g)      Att övervaka svaret på begäranden från tillsynsmyndigheten, och, inom uppgiftsskyddsombudets behörighet, att samarbeta med tillsynsmyndigheten på den senares begäran eller på uppgiftsskyddsombudets eget initiativ.

h)      Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandlingen och, om så är lämpligt, samråda med tillsynsmyndigheten på hans eller hennes eget initiativ.       

2.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för uppgiftsskyddsombudets arbetsuppgifter, certifiering, ställning, befogenheter och resurser i enlighet med punkt 1.

AVSNITT 5 UPPFÖRANDEKODEX OCH CERTIFIERING

Artikel 38 Uppförandekodex

1.           Medlemsstaterna, tillsynsmyndigheterna och kommissionen ska uppmuntra utarbetandet av uppförandekodexar avsedda att bidra till att förordningen genomförs korrekt, med hänsyn till de särskilda egenskaperna hos de olika sektorer där uppgifter behandlas, särskilt när det gäller

a)      rättvis och öppen behandling,

b)      insamling av uppgifter,

c)      information till allmänheten och de registrerade,

d)      begäranden som de registrerade gör i utövandet av sina rättigheter,

e)      information till och skydd av barn,

f)       överföring av uppgifter till tredjeländer eller internationella organisationer,

g)      rutiner för att övervaka kodexen och se till att den iakttas av de registeransvariga som anslutit sig till den,

h)      utomrättsliga förfaranden och andra förfaranden för biläggande av tvister mellan registeransvariga och registrerade när det gäller behandling av personuppgifter, utan att detta påverkar de registrerades rättigheter enligt artiklarna 73 och 75.

2.           Sammanslutningar och andra organ som representerar kategorier av registeransvariga eller registerförare i en medlemsstat och som avser att utarbeta uppförandekodexar eller ändra eller utöka befintliga uppförandekodexar får inge dessa för ett yttrande från tillsynsmyndigheten i den berörda medlemsstaten. Tillsynsmyndigheten får yttra sig om huruvida utkastet till uppförandekodex eller ändringen överensstämmer med denna förordning. Tillsynsmyndigheten ska inhämta synpunkter från de registrerade eller deras företrädare om dessa utkast.

3.           Sammanslutningar och andra organ som företräder kategorier av registrerade i flera medlemsstater får lämna in utkast till uppförandekodexar och ändringar eller utökningar av befintliga uppförandekodexar till kommissionen.

4.           Kommissionen får anta genomförandeakter för att fastställa att de uppförandekodexar och ändringar eller utökningar av befintliga uppförandekodexar som inges till den enligt punkt 3 är allmänt giltiga inom unionen. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87.

5.           Kommissionen ska se till att de kodexar om vilka det har beslutats att de har allmän giltighet enligt punkt 4 offentliggörs på lämpligt sätt.

Artikel 39 Certifiering

1.           Medlemsstaterna och kommissionen ska, särskilt på EU-nivå, uppmuntra införandet av certifieringsmekanismer för uppgiftsskydd och förseglingar och märkningar för uppgiftsskydd, och på så sätt göra det möjligt för registrerade att snabbt bedöma nivån på det uppgiftsskydd som tillhandahålls av registeransvariga och registerförare. Certifieringsmekanismerna för uppgiftsskydd ska bidra till att denna förordning genomförs korrekt, med hänsyn till de särskilda egenskaperna hos de olika sektorerna och behandlingarna.

2.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för de certifieringsmekanismer för uppgiftsskydd som avses i punkt 1, inbegripet villkor för beviljande och återkallande, och kraven för erkännande inom unionen och i tredjeländer.

3.           Kommissionen får fastställa tekniska standarder för certifieringsmekanismer och förseglingar och märkningar för uppgiftsskydd samt rutiner för att främja och erkänna certifieringsmekanismer och förseglingar och märkningar för uppgiftsskydd. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87.

KAPITEL V ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJELÄNDER ELLER INTERNATIONELLA ORGANISATIONER

Artikel 40 Allmän princip för överföring av uppgifter

Överföring av personuppgifter som håller på att behandlas eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation får bara ske under förutsättning att den registeransvarige och registerföraren uppfyller villkoren i detta kapitel samt övriga bestämmelser i denna förordning, inklusive för vidare överföring av personuppgifter från tredjelandet eller den internationella organisationen till ett annat tredjeland eller en annan internationell organisation.

Artikel 41 Överföring efter beslut om adekvat skyddsnivå

1.           Om kommissionen har beslutat att tredjelandet, ett territorium eller en behandlande sektor i tredjelandet eller den internationella organisationen i fråga utgör en garant för en adekvat skyddsnivå får uppgifterna överföras. I dessa fall ska det inte krävas något ytterligare tillstånd.

2.           När kommissionen bedömer om en adekvat skyddsnivå råder ska den ta hänsyn till

a)      rättsstatsprincipen, befintlig allmän och sektorsspecifik lagstiftning inom områden som allmän säkerhet, försvar, nationell säkerhet och straffrätt, yrkesregler och säkerhetsbestämmelser som ska följas i det tredjeland eller inom den internationella organisation som berörs, huruvida det finns faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom Europeiska unionen och vars personuppgifter överförs,

b)      huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet eller inom den internationella organisationen med ansvar för att se till att bestämmelserna för uppgiftsskydd följs, ge de registrerade råd och assistans när det gäller utövandet av deras rättigheter och samarbeta med unionens och medlemsstaternas tillsynsmyndigheter, och

c)      vilka internationella åtaganden tredjelandet eller den internationella organisationen har gjort.

3.           Kommissionen får besluta att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet ifråga eller en internationell organisation är en garant för adekvat skydd i den mening som avses i punkt 2. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

4.           Beslutets geografiska och sektorsmässiga tillämpning ska regleras i genomförandeakten, där det också i förekommande fall ska anges vilken myndighet som är tillsynsmyndighet enligt punkt 2 b.

5.           Kommissionen får fastställa att ett tredjeland, ett territorium eller en bahandlande sektor inom tredjelandet i fråga eller en internationell organisation inte kan garantera en adekvat skyddsnivå i den mening som avses i punkt 2, särskilt om den relevanta allmänna eller sektorsspecifika lagstiftning som tillämpas i tredjelandet eller av den internationella organisationen inte garanterar faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom unionen och vars personuppgifter överförs. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2 eller, i fall som är ytterst brådskande för den individ vars personuppgifter behöver skyddas, enligt förfarandet i artikel 87.3.

6.           Om kommissionen fattar beslut enligt punkt 5 får inga uppgifter överföras till tredjelandet, territoriet eller den behandlande sektorn inom tredjelandet, eller den internationella organisationen i fråga, utan att detta påverkar tillämpningen av artiklarna 42–44. Kommissionen ska vid lämplig tidpunkt samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den situation som uppstått som följd av beslutet enligt punkt 5.

7.           Kommissionen ska offentliggöra en förteckning i Europeiska unionens officiella tidning över de tredjeländer och de territorier och behandlande sektorer i ett givet tredjeland samt de internationella organisationer där den har beslutat att en adekvat skyddsnivå inte kan garanteras.

8.           De beslut som fattas av kommissionen på grundval av artiklarna 25.6 eller 26.4 i direktiv 95/46/EG ska förbli i kraft tills de ändrats, ersatts eller upphävts av kommissionen.

Artikel 42 Överföring med stöd av lämpliga skyddsåtgärder

1.           Om kommissionen inte har fattat något sådant beslut som avses i artikel 41 får en registeransvarig eller registerförare endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder för personuppgifter genom ett juridiskt bindande instrument.

2.           Lämpliga skyddsåtgärder enligt punkt 1 kan bland annat ta formen av

a)      bindande företagsregler enligt artikel 43,

b)      standardiserade uppgiftsskyddsbestämmelser som antas av kommissionen; genomförandeakterna ska i dessa fall antas enligt det granskningsförfarande som avses i artikel 87.2,

c)      standardiserade uppgiftsskyddsbestämmelser som antagits av en tillsynsmyndighet enligt den mekanism för enhetlighet som avses i artikel 57 förutsatt att denna bestämmelse förklarats allmänt sett giltig enligt artikel 62.1 b, eller

d)      avtalsklausuler mellan den registeransvarige eller registerföraren och mottagaren av uppgifterna, förutsatt att dessa klausuler har godkänts av tillsynsmyndigheten enligt punkt 4.

3.           En överföring som grundar sig på standardiserade uppgiftsskyddsbestämmelser eller bindande företagsregler enligt punkt 2 a, b eller c ska inte kräva något ytterligare tillstånd.

4.           Om en överföring grundar sig på avtalsklausuler enligt punkt 2 d ska den registeransvarige eller registerföraren först ansöka om att få dessa klausuler godkända av tillsynsmyndigheten enligt artikel 34.1 a. Om överföringen har samband med behandling av uppgifter om registrerade personer i en eller flera andra medlemsstater eller om den väsentligt påverkar det fria flödet av personuppgifter inom unionen ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57.

5.           Om lämpliga skyddsåtgärder för personuppgifter inte garanteras genom ett juridiskt bindande instrument ska den registeransvarige eller registerföraren i förväg söka tillstånd för överföring eller för en serie överföringar, eller söka tillstånd att få införa bestämmelser för ändamålet som en del i de administrativa arrangemang som överföringen ska grundas på. Tillsynsmyndigheten ska besluta om sådant tillstånd enligt artikel 34.1 a. Om överföringen har samband med behandling av uppgifter om registrerade personer i en eller flera andra medlemsstater eller om den väsentligt påverkar det fria flödet av personuppgifter inom unionen ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57. Tillstånd som beviljats av tillsynsmyndigheten på grundval av artikel 26.2 i direktiv 95/46/EG ska förbli giltiga tills de ändrats, ersatts eller upphävts av samma myndighet.

Artikel 43 Överföring med stöd av bindande företagsbestämmelser

1.           En tillsynsmyndighet ska godkänna bindande företagsbestämmelser enligt den mekanism för enhetlighet som föreskrivs i artikel 58, förutsatt att dessa bestämmelser

a)      är rättsligt bindande, tillämpas på och verkställs av alla delar av den registeransvariges eller registerförarens företagsgrupp och av dess anställda,

b)      innehåller uttryckliga bestämmelser om de registrerades lagstadgade rättigheter,

c)      uppfyller villkoren i punkt 2.

2.           De bindande företagsbestämmelserna ska åtminstone precisera

a)      struktur och kontaktuppgifter för företagsgruppen och dess beståndsdelar,

b)      vilka överföringar eller serier av överföringar av uppgifter som omfattas, inklusive kategorierna av personuppgifter, typen av behandling och dess ändamål, den typ av registrerade som berörs samt vilket eller vilka tredjeländer som avses,

c)      reglernas rättsligt bindande natur, såväl internt som externt,

d)      allmänna principer för uppgiftsskydd, särskilt avgränsning av syfte, kvalitet på uppgifterna, rättslig grund för behandlingen av dem, principer för behandlingen av känsliga personuppgifter, åtgärder för att garantera skyddet av uppgifterna och villkoren för vidarebefordran av uppgifter till organisationer som inte är bundna av företagsgruppens policy,

e)      de registrerades rättigheter och formerna för utövandet av dessa rättigheter, inklusive rätten att inte utsättas för åtgärder baserade på profilering enligt artikel 20, rätten att inge klagomål till tillsynsmyndigheten och till behöriga domstolar i medlemsstaterna enligt artikel 75, rätten till prövning samt i förekommande fall rätten till kompensation för överträdelse av de bindande företagsreglerna,

f)       att den registeransvarige eller registerföraren som är etablerad inom medlemsstaternas territorium tar på sig ansvaret om en enhet i företagsgruppen som inte är etablerad inom unionen bryter mot de bindande företagsreglerna; den registeransvarige eller registerföraren får helt eller delvis fritas från denna skyldighet endast på villkoret att den berörda enheten i företagsgruppen inte kan hållas ansvarig för den skada som uppkommit,

g)      hur de registrerade i enlighet med artikel 11 ska informeras om innehållet i de bindande företagsreglerna, särskilt de bestämmelser som avses i d, e och f i denna punkt,

h)      arbetsuppgifterna för det uppgiftsskyddsombud som utsetts enligt artikel 35, särskilt när det gäller att kontrollera hur de bindande företagsreglerna följs inom företagsgruppen samt i fråga om utbildning och behandling av klagomål,

i)       företagsgruppens rutiner för att kontrollera att de bindande företagsreglerna följs,

j)       rutinerna för att rapportera och dokumentera ändringar i gruppens policy, samt rutinerna för att rapportera dessa ändringar till tillsynsmyndigheten,

k)      rutinerna för att samarbeta med tillsynsmyndigheten i syfte att se till att alla enheter i företagsgruppen följer reglerna, särskilt genom att meddela tillsynsmyndigheten alla resultat av de kontroller som avses i led i.

3.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och kraven för bindande företagsbestämmelser i den mening som avses i denna artikel, särskilt i fråga om kriterierna för godkännande av sådana bestämmelser, tillämpningen av punkt 2 b, d, e och f i fråga om bindande företagsbestämmelser som tillämpas av registerförare, samt om ytterligare krav som gäller skyddet av de registrerades personuppgifter.

4.           Kommissionen får precisera vilket format och vilka rutiner som ska användas för de registeransvarigas, registerförarnas och tillsynsmyndigheternas elektroniska utbyte av information om bindande företagsregler i den mening som avses i denna artikel. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2.

Artikel 44 Undantag

1.           Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 41 eller lämpliga skyddsåtgärder enligt artikel 42 får en överföring eller serier av överföringar till ett tredjeland eller en internationell organisation bara ske om något av följande villkor är uppfyllt:

a)      Den registrerade har samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de risker en överföring kan medföra när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder.

b)      Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den registeransvarige eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran.

c)      Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den registeransvarige och en annan fysisk eller juridisk person i den registrerades intresse.

d)      Överföringen bedöms gynna viktiga samhälleliga intressen.

e)      Överföringen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.

f)       Överföringen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

g)      Överföringen görs från ett register som enligt unionens eller medlemsstatens lagstiftning är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i unionslagstiftningen eller medlemsstatens lagstiftning angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.

h)      Överföringen är nödvändig för att tillgodose den registeransvariges eller registerförarens berättigade intressen, där överföringen inte kan anses vara ofta återkommande eller omfattande, och där den registeransvarige eller registerföraren har bedömt alla omständigheter kring en överföring eller en serie av överföringar av uppgifter och utifrån denna bedömning om så krävts vidtagit lämpliga åtgärder för att skydda personuppgifter.

2.           En överföring enligt punkt 1 g får inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.

3.           Om behandlingen av uppgifter grundas på punkt 1 h ska den registeransvarige eller registerföraren ta särskild hänsyn till uppgiftens art, den eller de avsedda behandlingarnas ändamål och varaktighet samt situationen i ursprungslandet, tredjelandet och det slutliga bestämmelselandet, och om så krävs vidta lämpliga åtgärder för att skydda personuppgifter.

4.           Punkt 1 b, c och h ska inte gälla åtgärder som vidtas av offentliga myndigheter som en del av deras offentliga befogenheter.

5.           Allmänhetens intresse enligt punkt 1 d får bara åberopas om det har stöd i unionslagstiftning eller i den medlemsstats lagstiftning som är tillämplig på den registeransvarige.

6.           Den registeransvarige eller registerföraren ska, som en del av den dokumentation som avses i artikel 28, bevara uppgifter både om den bedömning som gjorts och de lämpliga skyddsåtgärder som vidtagits enligt punkt 1 h, och ska underrätta tillsynsmyndigheten om överföringen.

7.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att precisera villkoren för vad som bedöms ”gynna viktiga samhälleliga intressen” enligt punkt 1 d liksom kriterierna och kraven för lämpliga åtgärder för att skydda personuppgifter enligt punkt 1 h.

Artikel 45 Internationellt samarbete för skydd av personuppgifter

1.           I förbindelser med tredjeland och internationella organisationer ska kommissionen och tillsynsmyndigheterna vidta lämpliga åtgärder för att

a)      utveckla ändamålsenliga rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om skydd av personuppgifter,

b)      på internationell nivå erbjuda ömsesidigt bistånd för en effektiv tillämpning av lagstiftningen om skydd av personuppgifter, bland annat genom rutiner för anmälan, hänskjutande av klagomål, assistans vid utredningar samt informationsutbyte, med iakttagande av lämpliga skyddsåtgärder för personuppgifter samt skyddet av andra grundläggande rättigheter och friheter,

c)      involvera berörda aktörer i diskussioner och åtgärder som syftar till att öka det internationella samarbetet när det gäller tillämpningen av lagstiftningen om skydd av personuppgifter,

d)      främja utbyte och dokumentation om lagstiftning och praxis för skydd av personuppgifter.

2.           Vid tillämpningen av punkt 1 ska kommissionen vidta lämpliga åtgärder för att vidareutveckla förbindelserna med tredjeländer och internationella organisationer, och särskilt med deras tillsynsmyndigheter, i de fall då kommissionen har bedömt att motparten i fråga garanterar en adekvat skyddsnivå i den mening som avses i artikel 41.3.

KAPITEL VI OBEROENDE TILLSYNSMYNDIGHETER

AVSNITT 1  OBEROENDE STÄLLNING

Artikel 46 Tillsynsmyndigheter

1.           Varje medlemsstat ska utse en eller flera offentliga myndigheter som ska vara ansvariga för att övervaka tillämpningen av denna förordning och medverka till dess enhetliga tillämpning i hela unionen, i syfte att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av deras personuppgifter samt underlätta det fria flödet av sådana uppgifter inom unionen. För dessa ändamål ska tillsynsmyndigheterna samarbeta såväl inbördes som med kommissionen.

2.           Om det finns fler än en tillsynsmyndighet i en medlemsstat ska medlemsstaten utse den tillsynsmyndighet som ska fungera som enda kontaktpunkt, så att myndigheten i fråga kan delta effektivt i Europeiska dataskyddsstyrelsens arbete; medlemsstaten ska också upprätta en rutin för att se till att övriga myndigheter följer reglerna för den mekanism för enhetlighet som avses i artikel 57.

3.           Varje medlemsstat ska senast den dag som anges i artikel 91 anmäla till kommissionen vilka nationella bestämmelser den antar som en följd av bestämmelserna i detta kapitel, och alla framtida ändringar som rör dessa bestämmelser ska anmälas utan dröjsmål.

Artikel 47 Oberoende

1.           Tillsynsmyndigheten ska vara fullständigt oberoende i utövandet av det uppdrag och de befogenheter som den anförtrotts.

2.           Tillsynsmyndighetens ledamöter ska i utövandet av sitt uppdrag varken begära eller ta emot instruktioner av någon.

3.           Tillsynsmyndighetens ledamöter ska avstå från alla handlingar som står i strid med deras tjänsteutövning och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som står i strid med deras tjänsteutövning.

4.           Efter sin mandatttid ska tillsynsmyndighetens ledamöter visa integritet och omdöme i fråga om att acceptera utnämningar och ta emot förmåner.

5.           Varje medlemsstat ska se till att tillsynsmyndigheten förfogar över tillräckliga mänskliga, tekniska och finansiella resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utöva sitt uppdrag och sina befogenheter, inklusive inom ramen för det ömsesidiga biståndet, samarbetet och deltagandet i Europeiska dataskyddsstyrelsens verksamhet.

6.           Varje medlemsstat ska se till att tillsynsmyndigheten förfogar över egen personal, som ska tillsättas av och ta instruktioner från tillsynsmyndighetens chef.

7.           Medlemsstaterna ska se till att tillsynsmyndigheterna också blir föremål för finansiell kontroll, utan att detta påverkar tillsynsmyndigheternas oberoende. Medlemsstaterna ska se till att tillsynsmyndigheterna förfogar över en egen årsbudget. Denna budget ska offentliggöras.

Artikel 48 Allmänna villkor för tillsynsmyndighetens ledamöter

1.           Varje medlemsstat ska fastställa att tillsynsmyndighetens ledamöter ska utses antingen av medlemsstatens parlament eller av dess regering.

2.           Ledamöterna ska utses bland personer vars oberoende är ställt utom varje tvivel och som har erkänd erfarenhet och sakkunskap för att utföra sitt uppdrag, särskilt inom området för skydd av personuppgifter.

3.           Varje ledamots uppdrag ska i enlighet med punkt 5 upphöra då mandattiden löper ut eller då ledamoten avgår eller avsätts från sin tjänst.

4.           En ledamot kan avsättas eller berövas rätten till pension eller andra förmåner av den behöriga nationella domstolen om han eller hon inte längre uppfyller villkoren för att utöva uppdraget eller har gjort sig skyldig till ett allvarligt fel.

5.           När mandattiden löper ut eller ledamoten avgår ska han eller hon fortsätta fullgöra sina uppgifter tills en ny ledamot tillsatts.

Artikel 49 Regler för inrättandet av en tillsynsmyndighet

Varje medlemsstat ska inom ramen för bestämmelserna i denna förordning fastställa följande i lag:

a)      Att en tillsynsmyndighet ska inrättas och vilken ställning denna myndighet ska ha.

b)      Vilken kompetens, erfarenhet och sakkunskap som krävs för att utöva uppdraget som ledamot vid tillsynsmyndigheten.

c)      Regler och förfaranden för att utse tillsynsmyndighetens ledamöter samt regler om vilka handlingar och vilken yrkesverksamhet som ska vara oförenliga med ledamöternas uppdrag under deras mandattid.

d)      Mandattiden för tillsynsmyndighetens ledamöter, vilken inte får understiga fyra år utom vid tillsättandet av de första ledamöterna efter det att denna förordning trätt ikraft, då ett stegvis tillsättningsförfarande med kortare mandatperioder för några av ledamöterna får tillämpas om detta är nödvändigt för att garantera myndighetens oberoende.

e)      Huruvida myndighetens ledamöter får ges förnyat mandat.

f)       Vilka bestämmelser och allmänna villkor som myndighetens ledamöter och personal omfattas av.

g)      Bestämmelser och förfaranden för när tillsynsmyndighetens ledamöter ska fråntas sitt uppdrag, bland annat om de inte längre uppfyller villkoren för att utöva uppdraget eller om de gjort sig skyldiga till ett allvarligt fel.

Artikel 50 Tystnadsplikt

Både under och efter sin mandattid respektive anställning ska tillsynsmyndighetens ledamöter och personal omfattas av tystnadsplikt vad avser konfidentiell information som har kommit till deras kännedom under tjänsteutövningen.

AVSNITT 2 UPPDRAG OCH BEFOGENHETER

Artikel 51 Behörighet

1.           Varje tillsynsmyndighet ska inom sin respektive medlemsstats territorium utöva de befogenheter som tilldelas den enligt denna förordning.

2.           När personuppgifter behandlas som en del av verksamheten hos en registeransvarig eller registerförare som är etablerad i unionen, och den registeransvarige eller registerföraren i fråga är etablerad i fler än en medlemsstat, ska den tillsynsmyndighet som är behörig på dess huvudsakliga verksamhetsställe vara behörig att utöva tillsyn över all behandling av personuppgifter som utförs av denne registeransvarige eller registerförare i alla medlemsstater, utan att detta påverkar tillämpningen av kapitel VII i denna förordning.

3.           Tillsynsmyndigheten ska inte vara behörig att utöva tillsyn över domstolar som behandlar personuppgifter som en del av sin dömande verksamhet.

Artikel 52 Uppdrag

1.           Tillsynsmyndigheten ska ansvara för följande:

a)      Övervaka och garantera tillämpningen av denna förordning.

b)      Ta emot klagomål från registrerade eller från sammanslutningar som representerar registrerade enligt artikel 73, där så är lämpligt undersöka sakfrågan och inom rimlig tid underrätta den registrerade eller sammanslutningen om hur behandlingen av klagomålet fortskrider och vilken slutsats som nås, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet.

c)      Utbyta information och ömsesidigt bistånd med andra tillsynsmyndigheter och se till att denna förordning tillämpas och verkställs på ett enhetligt sätt.

d)      Utföra undersökningar på eget initiativ, på grundval av klagomål eller på begäran av en annan tillsynsmyndighet och – om en undersökning grundar sig på ett klagomål som en registrerad lämnat in till myndigheten – underrätta den registrerade om resultatet inom rimlig tid.

e)      Följa sådan utveckling som påverkar skyddet av personuppgifter, bland annat inom informations- och kommunikationsteknik och affärspraxis.

f)       Ge råd till institutioner och organ i medlemsstaterna i fråga om lagstiftningsåtgärder och administrativa åtgärder som rör skyddet av enskildas fri- och rättigheter i samband med behandling av personuppgifter.

g)      Rådfrågas om och ge tillstånd till behandling av personuppgifter enligt artikel 34.

h)      Avge yttranden om utkast till uppförandekodexar enligt artikel 38.2.

i)       Godkänna sådana bindande företagsregler som avses i artikel 43.

j)       Delta i Europeiska dataskyddsstyrelsens verksamhet.

2.           Alla tillsynsmyndigheter har i uppdrag att öka allmänhetens medvetenhet om risker, regler, skyddsåtgärder och rättigheter i fråga om behandlingen av personuppgifter. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn.

3.           En tillsynsmyndighet ska på begäran ge råd till registrerade om hur de ska utöva sina rättigheter enligt denna förordning, och ska om så krävs samarbeta med tillsynsmyndigheter i andra medlemsstater för detta ändamål.

4.           För klagomål enligt punkt 1 b ska tillsynsmyndigheten bistå med ett särskilt formulär för ändamålet, vilket ska kunna fyllas i elektroniskt; det elektroniska formuläret ska inte utesluta andra kommunikationsformer.

5.           Tillsynsmyndighetens tjänster ska vara avgiftsfria för den registrerade.

6.           Om en registrerad begär tjänster som uppenbart är orimligt omfattande, till exempel på grund av repetitiv karaktär, får tillsynsmyndigheten ta ut en avgift eller avstå från att utföra de tjänster som den registrerade begär. I så fall ska det åligga tillsynsmyndigheten att visa att begäran är uppenbart orimlig.

Artikel 53 Befogenheter

1.           Varje tillsynsmyndighet ska ha befogenhet att

a)      meddela den registeransvarige eller registerföraren om det finns en påstådd överträdelse av bestämmelserna om behandling av personuppgifter, och om så krävs specifikt beordra den registeransvarige eller registerföraren att komma tillrätta med överträdelsen och därigenom skydda den registrerade,

b)      beordra den registeransvarige eller registerföraren att följa den registrerades krav att få utöva sina rättigheter enligt den här förordningen,

c)      beordra den registeransvarige eller registerföraren, och där så krävs företrädaren, att lägga fram alla uppgifter som behövs för att myndigheten ska kunna fullgöra sitt uppdrag,

d)      se till att de förhandstillstånd eller förhandssamråd som avses i artikel 34 efterlevs,

e)      varna eller tillrättavisa den registeransvarige eller registerföraren,

f)       beordra rättelse, radering eller förstöring av alla uppgifter som har behandlats på ett sätt som står i strid med denna förordning samt underrätta den tredje part till vilken uppgifterna har lämnats ut om dessa åtgärder,

g)      tillfälligt eller definitivt förbjuda behandling,

h)      avbryta flödet av uppgifter till en mottagare i tredje land eller en internationell organisation,

i)       avge yttranden i frågor som rör skydd av personuppgifter,

j)       informera nationella parlament, regeringar, andra politiska institutioner och allmänhet om frågor som rör skydd av personuppgifter.

2.           Varje tillsynsmyndighet ska ha de undersökningsbefogenheter som behövs för att kräva följande av den registeransvarige eller registerföraren:

a)      Tillgång till personuppgifter och all annan information som myndigheten behöver för att kunna fullgöra sitt uppdrag.

b)      Tillgång till den registeransvariges eller registerförarens lokaler, inklusive all utrustning och alla andra medel för behandling av personuppgifter, om det finns rimliga skäl att anta att där har förekommit överträdelser av denna förordning.

Befogenheterna i b ska utövas på ett sätt som är förenligt med unionens och medlemsstatens lagstiftning.

3.           Varje tillsynsmyndighet ska ha befogenhet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och att väcka talan vid domstol, särskilt enligt artiklarna 74.4 och 75.2.

4.           Varje tillsynsmyndighet ska också ha befogenhet att utfärda sanktioner vid administrativa överträdelser, särskilt enligt artikel 79.4, 79.5 och 79.6.

Artikel 54 Verksamhetsrapport

Varje tillsynsmyndighet ska lägga fram en årlig verksamhetsrapport. Rapporten ska läggas fram inför det nationella parlamentet och göras tillgänglig för allmänheten samt för kommissionen och Europeiska dataskyddsstyrelsen.

KAPITEL VII

SAMARBETE OCH ENHETLIGHET

Avsnitt 1 Samarbete

Artikel 55 Ömsesidigt bistånd

1.           Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning enhetligt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Som en del av det ömsesidiga biståndet ska tillsynsmyndigheterna bland annat kunna begära information från varandra och bistå varandra i tillsynsarbetet, till exempel genom att uppmana varandra att utfärda förhandstillstånd eller bedriva förhandssamråd, utföra inspektioner och komma med snabb information i samband med att ärenden inleds och fortskrider i fall där registrerade personer i flera medlemsstater kan komma att påverkas av att uppgifter behandlas.

2.           Varje tillsynsmyndighet ska vidta lämpliga åtgärder för att besvara en begäran från en annan tillsynsmyndighet; detta bör ske så snart som möjligt och inte senare än en månad efter det att den tagit emot begäran. Till sådana åtgärder hör bland annat att översända relevant information om utvecklingen av pågående undersökningar eller verkställighetsåtgärder som syftar till att avbryta eller förbjuda uppgiftsbehandling som står i strid med denna förordning.

3.           En begäran om bistånd ska innehålla alla nödvändiga uppgifter, inklusive syftet med begäran och dess bakgrund. Information som utbytts får endast användas i det ärende för vilket den har begärts.

4.           En tillsynsmyndighet som tar emot en begäran om bistånd få bara vägra att tillmötesgå begäran om

a)      den inte är behörig att behandla den, eller

b)      det skulle stå i strid med denna förordning att tillmötesgå begäran.

5.           Den tillsynsmyndighet som tagit emot begäran ska meddela den myndighet som begäran kommer ifrån om resultatet eller, i förekommande fall, om hur de åtgärder som vidtagits för att tillmötesgå begäran fortskrider.

6.           Varje tillsynsmyndighet ska överföra den information som begärts av andra tillsynsmyndigheter på elektronisk väg, i standardiserat format och med minsta möjliga dröjsmål.

7.           Åtgärder som vidtagits efter en begäran om ömsesidigt bistånd ska inte vara belagda med någon avgift.

8.           Om en tillsynsmyndighet som tagit emot en begäran från en annan tillsynsmyndighet inte agerat inom en månad ska den myndighet som lämnat begäran ha befogenhet att vidta en provisorisk åtgärd på sin medlemsstats territorium i kraft av artikel 51.1, och ska lämna över ärendet till Europeiska dataskyddsstyrelsen enligt förfarandet i artikel 57.

9.           Tillsynsmyndigheten ska då precisera hur länge denna provisoriska åtgärd ska gälla. Denna tidsperiod får inte överskrida tre månader. Tillsynsmyndigheten ska utan dröjsmål underrätta Europeiska dataskyddsstyrelsen och kommissionen om dessa åtgärder, och ge en uttömmande motivering.

10.         Kommissionen får precisera format och förfaranden för sådant ömsesidigt bistånd som avses i denna artikel samt formerna för elektronisk överföring av information tillsynsmyndigheter emellan, samt mellan tillsynsmyndigheter och Europeiska dataskyddsstyrelsen, i synnerhet det standardiserade format som avses i punkt 6. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

Artikel 56 Åtgärder som utförs gemensamt av fler än en tillsynsmyndighet

1.           För att vidareutveckla samarbetet och det ömsesidiga biståndet ska tillsynsmyndigheter utföra undersökande arbete, verkställighetsåtgärder och andra insatser gemensamt, genom att utvalda ledamöter från andra medlemsstaters tillsynsmyndigheter deltar.

2.           Om registrerade personer i flera medlemsstater kan komma att påverkas av att uppgifter behandlas ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i det gemensamma undersökningsarbetet eller i andra gemensamma insatser enligt vad som är lämpligt i det enskilda fallet. Den behöriga tillsynsmyndigheten ska inbjuda tillsynsmyndigheterna i var och en av de berörda medlemsstaterna att delta i det gemensamma underökningsarbetet eller de gemensamma insatserna och ska utan dröjsmål svara på en annan tillsynsmyndighets begäran att få delta.

3.           Värdlandets tillsynsmyndighet får inom ramen för sin nationella lagstiftning och efter godkännande från ursprungslandets tillsynsmyndighet anförtro verkställande befogenheter, inklusive undersökande arbete, åt ledamöter eller personal från ursprungslandets tillsynsmyndighet som deltar i de gemensamt utförda åtgärderna eller, så långt som värdlandets lagstiftning tillåter, medge att ursprungslandets ledamöter eller personal utövar verkställande befogenheter enligt ursprungslandets lagstiftning. Sådana verkställande befogenheter får endast utövas under överinsyn av och i regel i närvaro av ledamöter eller personal från värdlandets tillsynsmyndighet. Ledamöter och tjänstemän från ursprungslandets tillsynsmyndighet ska lyda under den nationella lagstiftning som gäller för värdlandets tillsynsmyndighet. Värdlandets tillsynsmyndighet ska ansvara för deras handlingar.

4.           Tillsynsmyndigheterna ska själva reglera de praktiska aspekterna av enskilda åtgärder som genomförs gemensamt.

5.           Om en tillsynsmyndighet inte inom en månad har uppfyllt sin skyldighet enligt punkt 2 ska övriga tillsynsmyndigheter ha befogenhet att vidta provisoriska åtgärder på sina respektive medlemsstaters territorium i kraft av artikel 51.1.

6.           Tillsynsmyndigheten ska precisera hur länge den provisoriska åtgärd den beslutat om enligt punkt 5 ska gälla. Denna period får inte överskrida tre månader. Tillsynsmyndigheten ska utan dröjsmål underrätta Europeiska dataskyddsstyrelsen och kommissionen om dessa åtgärder och ge en uttömmande motivering, samt ta upp frågan inom ramen för den mekanism som avses i artikel 57.

Avsnitt 2 Enhetlighet

Artikel 57 Mekanism för enhetlighet

För de ändamål som anges i artikel 46.1 ska tillsynsmyndigheterna samarbeta inbördes och med kommissionen genom den mekanism för enhetlighet som regleras i detta avsnitt.

Artikel 58 Yttrande från Europeiska dataskyddsstyrelsen

1.           Innan en tillsynsmyndighet vidtar en åtgärd enligt punkt 2 ska den skicka ett utkast till den planerade åtgärden till Europeiska dataskyddsstyrelsen och till kommissionen.

2.           Skyldigheten enligt punkt 1 ska omfatta alla åtgärder som är avsedda att ge rättsliga följder och som

a)      gäller behandling av uppgifter i samband med tillhandahållande av varor eller tjänster till registrerade i flera medlemsstater eller till kartläggning av dessa registrerade personers beteende,

b)      som väsentligt kan påverka det fria flödet av personuppgifter inom unionen,

c)      som syftar till att anta en förteckning över sådan behandling som omfattas av förhandssamråd enligt artikel 34.5,

d)      syftar till att fastställa standardiserade uppgiftsskyddsbestämmelser enligt artikel 42.2 c,

e)      syftar till att godkänna avtalsklausuler enligt artikel 42.2 d, eller

f)       syftar till att godkänna bindande företagsbestämmelser enligt artikel 43.

3.           Varje tillsynsmyndighet kan liksom Europeiska dataskyddsstyrelsen begära att en fråga ska tas upp inom mekanismen för enhetlighet, särskilt i fall där en tillsynsmyndighet inte har skickat ett utkast till en planerad åtgärd enligt punkt 2 eller inte har uppfyllt villkoren för ömsesidigt bistånd enligt artikel 55 eller för gemensamma insatser enligt artikel 56.

4.           För att garantera en korrekt och enhetlig tillämpning av denna förordning ska kommissionen ha befogenhet att begära att vilken fråga som helst ska tas upp inom mekanismen för enhetlighet.

5.           Tillsynsmyndigheterna och kommissionen ska i ett standardiserat elektroniskt format översända all relevant information, i förekommande fall en sammanfattning av sakförhållanden, ett utkast till åtgärd och en motivering till att en sådan åtgärd bedöms vara nödvändig.

6.           Europeiska dataskyddsstyrelsens ordförande ska i ett standardiserat elektroniskt format omedelbart upplysa dess ledamöter samt kommissionen om all relevant information som meddelats styrelsen. Där så krävs ska Europeiska dataskyddsstyrelsens ordförande se till att relevant information översätts.

7.           Europeiska dataskyddsstyrelsen ska lägga fram ett yttrande i frågan om styrelsen själv så beslutar med enkel majoritet av ledamöterna eller på begäran av en tillsynsmyndighet eller kommissionen inom en vecka efter att den relevanta informationen enligt punkt 5 har lagts fram. Yttrandet ska antas inom en månad med enkel majoritet av Europeiska dataskyddsstyrelsens ledamöter. Europeiska dataskyddsstyrelsens ordförande ska utan onödigt dröjsmål underrätta den berörda tillsynsmyndigheten enligt punkt 1 eller 3 beroende på det enskilda fallet, samt kommissionen och den behöriga tillsynsmyndigheten enligt artikel 51 om yttrandet, och yttrandet ska också offentliggöras.

8.           Den tillsynsmyndighet som avses i punkt 1 och den tillsynsmyndighet som är behörig enligt artikel 51 ska ta hänsyn till Europeiska dataskyddsstyrelsen yttrande och ska – inom två veckor efter det att Europeiska dataskyddsstyrelsens ordförande har underrättat dem om yttrandet – i ett standardiserat elektroniskt format meddela Europeiska dataskyddsstyrelsens ordförande och kommissionen om huruvida den avser att hålla fast vid eller ändra sitt utkast till åtgärd, och i förekommande fall bifoga en text till den ändrade åtgärden.

Artikel 59 Yttrande från kommissionen

1.           Inom tio veckor efter det att en fråga tagits upp enligt artikel 58, eller inom sex veckor när det gäller frågor som omfattas av artikel 61, kan kommissionen anta ett yttrande i den fråga som tagits upp enligt någon av dessa artiklar i syfte att slå vakt om en korrekt och enhetlig tillämpning av denna förordning.

2.           När kommissionen har antagit ett yttrande enligt punkt 1 ska den berörda tillsynsmyndigheten fästa yttersta vikt vid kommissionens yttrande och meddela kommissionen och Europeiska dataskyddsstyrelsen om den avser att hålla fast vid sitt utkast till åtgärd eller ändra det.

3.           Tillsynsmyndigheten får inte anta sitt utkast till åtgärd innan den tid som anges i punkt 1 har löpt ut.

4.           Om den berörda tillsynsmyndigheten inte avser att rätta sig efter kommissionens yttrande ska den underrätta kommissionen och Europeiska dataskyddsstyrelsen om detta inom den tid som anges i punkt 1, samt motivera sitt beslut. I detta fall får utkastet till åtgärd inte antas på ytterligare en månad.

Artikel 60 Uppskjutet antagande av ett utkast till åtgärd

1.           Om kommissionen hyser allvarliga tvivel om huruvida ett utkast till åtgärd är förenligt med en korrekt och enhetlig tillämpning av denna förordning får den, inom en månad efter en underrättelse enligt artikel 59.4 och efter att ha tagit hänsyn till Europeiska dataskyddsstyrelsens yttrande enligt artikel 58.7 eller artikel 61.2, anta ett motiverat beslut om att antagandet av utkastet till åtgärd bör skjutas upp, om detta bedöms vara nödvändigt för att

a)      om möjligt jämka samman tillsynsmyndighetens och Europeiska dataskyddsstyrelsens avvikande ståndpunkter, eller

b)      anta en åtgärd enligt artikel 62.1 a.

2.           Kommissionen ska ange hur länge antagandet av åtgärden ska skjutas upp; denna period får inte överstiga tolv månader.

3.           Tillsynsmyndigheten får inte anta utkastet till åtgärd under den period som avses i punkt 2.

Artikel 61 Påskyndat förfarande

1.           Under exceptionella omständigheter får en tillsynsmyndighet med avsteg från förfarandet i artikel 58 omedelbart vidta provisoriska åtgärder med förutbestämd varaktighet om den anser att det finns ett brådskande behov av att agera för att skydda registrerades intressen, särskilt om möjligheten att förverkliga den registrerades rättigheter allvarligt kan undergrävas av att situationen förändras, om så krävs för att förebygga allvarliga nackdelar eller av andra orsaker. Tillsynsmyndigheten ska utan dröjsmål underrätta Europeiska dataskyddsstyrelsen och kommissionen om dessa åtgärder, och ge en uttömmande motivering.

2.           Om en tillsynsmyndighet har vidtagit en åtgärd enligt punkt 1 och anser att en definitiv åtgärd snabbt måste antas kan den begära ett brådskande yttrande från Europeiska dataskyddsstyrelsen; den ska då motivera varför den begär ett sådant yttrande och varför den bedömer att den definitiva åtgärden måste antas snabbt.

3.           Om den behöriga tillsynsmyndigheten inte har vidtagit någon lämplig åtgärd i en situation där man snabbt måste agera för att skydda den registrerades intressen får vilken tillsynsmyndighet som helst begära ett brådskande yttrande, varvid den ska motivera varför den begär ett sådant yttrande och varför åtgärden måste vidtas snabbt.

4.           Genom undantag från artikel 58.7 ska ett snabbt yttrande enligt punkt 2 och 3 antas inom två veckor med enkel majoritet av Europeiska dataskyddsstyrelsens ledamöter.

Artikel 62 Genomförandeakter

1.           Kommissionen får anta genomförandeakter i syfte att

a)      fatta beslut med avseende på den korrekta tillämpningen av denna förordning i linje med dess mål och krav; detta kan gälla frågor som tas upp av tillsynsmyndigheterna enligt artikel 58 eller 61, frågor som varit föremål för ett motiverat beslut enligt artikel 60.1 eller frågor där en tillsynsmyndighet inte har lagt fram något utkast till åtgärd och där samma myndighet har meddelat att den inte har för avsikt att följa det yttrande som kommissionen antagit enligt artikel 59,

b)      inom den period som anges i artikel 59.1 besluta om den anser att ett utkast till standardiserade uppgiftsskyddsbestämmelser enligt artikel 58.2 d har allmän giltighet,

c)      precisera format och förfaranden för tillämpningen av den mekanism för enhetlighet som regleras i detta avsnitt,

d)      Precisera tillvägagångssätten för elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyndigheter och Europeiska dataskyddsstyrelsen, särskilt det standardiserade format som avses i artikel 58.5, 58.6 och 58.8.

Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

2.           Om det i fall enligt punkt 1 a finns vederbörligen motiverade och tvingande skäl till skyndsamhet i de registrerades intresse ska kommissionen anta genomförandeakter med omedelbar verkan enligt förfarandet i artikel 87.3. Dessa akter ska vara giltiga i högst 12 månader.

3.           Det faktum att ingen åtgärd har vidtagits enligt detta avsnitt utesluter inte att kommissionen kan vidta andra åtgärder enligt fördragen.

Artikel 63 Verkställighet

1.           Vid tillämpningen av denna förordning ska en verkställbar åtgärd som vidtagits av en tillsynsmyndighet i en medlemsstat verkställas i samtliga medlemsstater.

2.           Om en tillsynsmyndighet bryter mot artikel 58.1–5 genom att inte lägga fram ett utkast till åtgärd inom ramen för mekanismen för enhetlighet ska denna åtgärd inte anses vara rättsligt giltig och verkställbar.

Avsnitt 3 Europeiska dataskyddsstyrelsen

Artikel 64 Europeiska dataskyddsstyrelsen

1.           Härmed inrättas en europeisk dataskyddsstyrelse.

2.           Europeiska dataskyddsstyrelsen ska bestå av chefen för en tillsynsmyndighet per medlemsstat samt Europeiska datatillsynsmannen.

3.           Om en medlemsstat har fler än en tillsynsmyndighet som ansvarar för att övervaka tillämpningen av bestämmelserna i denna förordning ska den utse chefen för en av dessa myndigheter som gemensam företrädare.

4.           Kommissionen har rätt att delta i Europeiska dataskyddsstyrelsens verksamhet och möten, och ska utse en egen företrädare. Europeiska dataskyddsstyrelsens ordförande ska utan dröjsmål underrätta kommissionen om all verksamhet inom Europeiska dataskyddsstyrelsen.

Artikel 65 Oberoende

1.           Europeiska dataskyddsstyrelsen ska i enlighet med artiklarna 66 och 67 vara oberoende när den utövar sina arbetsuppgifter.

2.           Utan att detta påverkar kommissionens rätt att lämna en begäran enligt artikel 66.1 b och 66.2 ska Europeiska dataskyddsstyrelsen när den utövar sina arbetsuppgifter varken begära eller ta emot instruktioner av någon.

Artikel 66 Europeiska dataskyddsstyrelsens arbetsuppgifter

1.           Europeiska dataskyddsstyrelsen ska se till att denna förordning tillämpas enhetligt. För detta ändamål ska Europeiska dataskyddsstyrelsen i synnerhet, på eget initiativ eller på begäran av kommissionen,

a)      ge kommissionen råd i alla frågor som gäller skydd av personuppgifter inom unionen, och den ska också yttra sig om eventuella förslag till ändring av denna förordning,

b)      på eget initiativ eller på begäran av en av sina ledamöter eller av kommissionen undersöka frågor som omfattas av denna förordning och sprida riktlinjer, rekommendationer och exempel på god praxis till tillsynsmyndigheterna i syfte att främja en enhetlig tillämpning av denna förordning,

c)      se över den praktiska tillämpningen av de riktlinjer, rekommendationer och exempel på god praxis som avses i b samt rapportera regelbundet till kommissionen om detta,

d)      yttra sig över utkast till åtgärder som läggs fram av tillsynsmyndigheterna inom den mekanism för enhetlighet som avses i artikel 57,

e)      främja samarbete och effektivt bilateralt och multilateralt utbyte av praxis och information mellan tillsynsmyndigheterna,

f)       främja gemensamma utbildningsprogram och underlätta personalutbyte mellan tillsynsmyndigheterna, där så är lämpligt även med tillsynsmyndigheter i tredjeland och internationella organisationer,

g)      främja utbyte av kunskap och dokumentation om lagstiftning om och praxis för uppgiftsskydd med tillsynsmyndigheter för uppgiftsskydd i andra delar av världen.

2.           När kommissionen begär rådgivning från Europeiska dataskyddsstyrelsen får den med hänsyn till hur brådskande frågan är fastställa en tidsfrist för denna rådgivning.

3.           Europeiska dataskyddsstyrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer och exempel på god praxis till kommissionen och till den kommitté som avses i artikel 87, samt offentliggöra dem.

4.           Kommissionen ska hålla Europeiska dataskyddsstyrelsen underrättad om de åtgärder den vidtagit som en följd av den senares yttranden, riktlinjer, rekommendationer och exempel på god praxis.

Artikel 67 Rapporter

1.           Europeiska dataskyddsstyrelsen ska regelbundet och vid lämplig tidpunkt rapportera till kommissionen om resultaten av sin verksamhet. Den ska sammanställa en årsrapport som beskriver situationen i fråga om skydd av privatpersoner vid behandling av personuppgifter inom unionen och i tredjeland.

Denna rapport ska också innehålla en översikt över den praktiska tillämpningen av de riktlinjer, rekommendationer och exempel på god praxis som avses i artikel 66.1 c.

2.           Rapporten ska offentliggöras och översändas till Europaparlamentet, rådet och kommissionen.

Artikel 68 Beslutsgång

1.           Europeiska dataskyddsstyrelsen ska fatta beslut med enkel majoritet av dess ledamöter.

2.           Europeiska dataskyddsstyrelsen ska själv anta sin arbetsordning och fastställa sina arbetsformer. Den ska särskilt slå vakt om kontinuiteten i sin verksamhet när en ledamots mandatperiod löper ut eller en ledamot avgår, inrätta undergrupper för särskilda frågor eller sektorer och fastställa sina rutiner när det gäller den mekanism för enhetlighet som avses i artikel 57.

Artikel 69 Ordförande

1.           Europeiska dataskyddsstyrelsen ska välja en ordförande och två vice ordförande bland sina ledamöter. Om inte Europeiska datatillsynsmannen valts till ordförande ska han eller hon tilldelas en av posterna som vice ordförande.

2.           Ordförandens och de vice ordförandenas mandatperioder ska vara fem år och kunna förnyas.

Artikel 70 Ordförandens arbetsuppgifter

1.           Ordföranden ska ha i uppgift att

a)      sammankalla till Europeiska dataskyddsstyrelsens möten och planera dagordningen,

b)      se till att Europeiska dataskyddsstyrelsens arbetsuppgifter utförs i tid, särskilt i fråga om den mekanism för enhetlighet som avses i artikel 57.

2.           Fördelningen av arbetsuppgifter mellan ordföranden och de vice ordförandena ska regleras i Europeiska dataskyddsstyrelsen arbetsordning.

Artikel 71 Sekretariat

1.           Europeiska dataskyddsstyrelsen ska förfoga över ett sekretariat. Det är Europeiska datatillsynsmannen som ska stå för detta sekretariat.

2.           Sekretariatet ska bistå Europeiska dataskyddsstyrelsen med analysarbete samt administrativt och logistiskt stöd under ordförandens ledning.

3.           Sekretariatet ska särskilt ansvara för

a)      Europeiska dataskyddsstyrelsens löpande arbete,

b)      kommunikationen mellan Europeiska dataskyddsstyrelsens ledamöter, dess ordförande och kommissionen, samt kommunikationen med andra institutioner och med allmänheten,

c)      användningen av de elektroniska hjälpmedlen för intern och extern kommunikation,

d)      översättning av relevant information,

e)      förberedelser och uppföljning av Europeiska dataskyddsstyrelsens möten,

f)       förberedelse, sammanställning och offentliggörande av yttranden och andra texter som antas av Europeiska dataskyddsstyrelsen.

Artikel 72 Sekretess

1.           Europeiska dataskyddsstyrelsens överläggningar ska vara konfidentiella.

2.           Dokument som skickas till Europeiska dataskyddsstyrelsens ledamöter, till experter eller till företrädare för tredje part ska vara konfidentiella såvida inte tillgång till dokumenten i fråga garanteras enligt förordning (EG) 1049/2001 eller om Europeiska dataskyddsstyrelsen av andra skäl beslutar att offentliggöra dem.

3.           Europeiska dataskyddsstyrelsens ledamöter samt experter och företrädare för tredje part ska vara skyldiga att följa de konfidentialitetskrav som anges i denna artikel. Ordföranden ska se till att experter och företrädare för tredje part underrättas om dessa krav.

KAPITEL VIII

RÄTTSMEDEL, ANSVAR, PÅFÖLJDER OCH ADMINISTRATIVA SANKTIONER

Artikel 73 Rätt att klaga på beslut som fattats av en tillsynsmyndighet

1.           Utan att det påverkar andra möjligheter att lämna klagomål till berörda myndigheter eller domstolar ska varje registrerad som anser att uppgifter rörande henne eller honom inte är förenliga med denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat.

2.           Varje organisation eller sammanslutning som har till uppgift att skydda registrerades rättigheter och intressen när det gäller skyddet av deras personuppgifter och som har inrättats på vederbörligt sätt i enlighet med lagen i en medlemsstat, ska ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat för en eller flera registrerades räkning, om den anser att de rättigheter som tillkommer en registrerad enligt denna förordning har åsidosatts som en följd av behandling av vederbörandes personuppgifter.

3.           Oberoende av eventuella klagomål från en registrerad ska varje sådan organisation eller sammanslutning som avses i punkt 2 ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat om den anser att ett personuppgiftsbrott har begåtts.

Artikel 74 Rätt att begära rättslig prövning av en tillsynsmyndighets beslut

1.           Varje fysisk eller juridisk person ska ha rätt till ett rättsmedel mot beslut som en tillsynsmyndighet har fattat med avseende på vederbörande.

2.           Varje registrerad ska ha rätt till ett rättsmedel som förpliktar tillsynsmyndigheten att behandla ett klagomål om ett beslut som krävs för att skydda den registrerades rättigheter inte har fattats eller om tillsynsmyndigheten inte inom tre månader informerar den registrerade om hur ärendet fortskrider eller vilket beslut som har fattats med anledning av klagomålet i enlighet med artikel 52.1 b.

3.           Talan mot beslut som har fattats av en tillsynsmyndighet ska ges in vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte.

4.           En registrerad som berörs av ett beslut av en tillsynsmyndighet i en annan medlemsstat än den där den registrerade har hemvist får anmoda tillsynsmyndigheten i den registrerades hemviststat att föra talan på hans eller hennes vägnar mot den behöriga tillsynsmyndigheten i den andra medlemsstaten.

5.           Medlemsstaterna ska verkställa lagakraftvunna avgöranden som meddelats av de domstolar som det hänvisas till i denna artikel.

Artikel 75 Rätt att föra talan mot en registeransvarig eller en registerförare

1.           Utan att det påverkar tillgängliga administrativa rättsmedel, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 73, ska varje fysisk person som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen ha rätt att begära domstolsprövning.

2.           Talan mot en registeransvarig eller en registerförare ska väckas vid domstolarna i den medlemsstat där den registeransvarige eller registerföraren är etablerad. Alternativt får sådan talan väckas vid domstolarna i den medlemsstat där den registrerade har hemvist, såvida inte registerföraren är en offentlig myndighet som agerar inom ramen för sin myndighetsutövning.

3.           Om förfaranden angående samma åtgärd, beslut eller praxis har inletts inom ramen för den mekanism för enhetlighet som avses i artikel 58, får den berörda domstolen vilandeförklara målet, såvida inte skyddet av den registrerades rättigheter är så brådskande att det inte finns tid att invänta resultatet av förfarandet inom ramen för mekanismen för enhetlighet.

4.           Medlemsstaterna ska verkställa lagakraftvunna avgöranden som meddelats av de domstolar som avses i denna artikel.

Artikel 76 Gemensamma bestämmelser om domstolsförfaranden

1.           Varje organisation eller sammanslutning som avses i artikel 73.2 ska vara berättigad att utöva de rättigheter som avses i artiklarna 74 och 75 för en eller flera registrerades räkning.

2.           Varje tillsynsmyndighet ska ha rätt att delta i rättsliga förfaranden och väcka talan vid domstol för att säkerställa tillämpningen av bestämmelserna i denna förordning eller för att garantera ett konsekvent skydd av personuppgifter i unionen.

3.           När en behörig domstol i en medlemsstat har skälig grund att anta att det pågår parallella förfaranden i en annan medlemsstat, ska den kontakta den behöriga domstolen i den andra medlemsstaten för att bekräfta om det finns sådana parallella förfaranden.

4.           Om sådana parallella förfaranden i en annan medlemsstat rör samma åtgärd, beslut eller praxis får domstolen vilandeförklara målet.

5.           Medlemsstaterna ska se till att de möjligheter att föra talan inför domstol som är tillgängliga enligt nationell lagstiftning gör det möjligt att snabbt vidta åtgärder, även interimistiska sådana, i syfte att avbryta den påstådda överträdelsen och hindra ytterligare skada av berörda intressen.

Artikel 77 Ansvar och rätt till ersättning

1.           Varje person eller medlemsstat som har lidit skada till följd av en otillåten behandling av uppgifter eller av något annat handlande som är oförenligt med denna förordning ska ha rätt till ersättning av den registeransvarige eller den registerförfarare som bär ansvaret för den uppkomna skadan.

2.           Om fler än en registeransvarig eller registerförare har medverkat vid behandlingen av uppgifter, ska var och en av dem ansvara solidariskt för hela den uppkomna skadan.

3.           Den registeransvarige eller registerföraren kan helt eller delvis undgå detta ansvar om vederbörande bevisar att han inte är ansvarig för den händelse som orsakade skadan.

Artikel 78 Påföljder

1.           Medlemsstaterna ska föreskriva påföljder för överträdelser av bestämmelserna i denna förordning och ska vidta de åtgärder som krävs för att se till att dessa påföljder tillämpas, inbegripet i situationer där den registeransvarige inte följt kravet att utse en företrädare. Påföljderna ska vara effektiva, proportionella och avskräckande.

2.           Om den registeransvarige har utsett en företrädare ska eventuella påföljder tillämpas med avseende på företrädaren, utan att det påverkar de påföljder som skulle kunna utdömas för den registeransvarige.

3.           Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt 1; dessutom ska alla framtida ändringar som rör dessa bestämmelser anmälas utan dröjsmål.

Artikel 79 Administrativa sanktioner

1.           Varje tillsynsmyndighet ska ha befogenhet att ålägga administrativa sanktioner i enlighet med denna artikel.

2.           Den administrativa sanktionen ska i varje enskilt fall vara effektiv, proportionell och avskräckande. De administrativa böterna ska fastställas med vederbörlig hänsyn till överträdelsens natur, svårhetsgrad och varaktighet, om överträdelsen skett med uppsåt eller genom oaktsamhet, graden av ansvar hos den berörda fysiska eller juridiska personen och eventuella tidigare överträdelser av samma person, de tekniska och organisatoriska åtgärder och förfaranden som genomförts i enlighet med artikel 23 och graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen.

3.           Vid en första oavsiktlig underlåtenhet att följa denna förordning ska det vara möjligt att utfärda en skriftlig varning utan påföljd, om det rör sig om

(a) en fysisk person som har behandlat personuppgifter utan vinstintresse, eller

(b) ett företag eller en organisation med högst 250 anställda som behandlar personuppgifter endast som en sidoverksamhet till huvudverksamheten.

4.           Tillsynsmyndigheten ska utfärda böter på upp till 250 000 euro eller, om det är fråga om ett företag, på upp till 0,5 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet

(a) underlåter att tillhandahålla nödvändiga mekanismer för att underlätta framställningar från registrerade eller att besvara framställningar från registrerade tillräckligt snabbt eller i rätt form enligt artikel 12.1–2,

(b) tar ut en avgift för att lämna information till eller besvara framställningar från registrerade i strid med artikel 12.4.

5.           Tillsynsmyndigheten ska utfärda böter på upp till 500 000 euro eller, om det är fråga om ett företag, på upp till 1 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet

(a) underlåter att tillhandahålla information, tillhandahåller ofullständig information eller försummar att tillhandahålla information på ett tillräckligt öppet sätt i enlighet med artiklarna 11, 12.3 och 14,

(b) underlåter att ge den registrerade tillgång till uppgifter eller att rätta personuppgifter i enlighet med artiklarna 15 och 16, eller underlåter att meddela relevant information till en mottagare i enlighet med artikel 13,

(c) underlåter att respektera rätten att bli bortglömd eller att få uppgifter raderade, eller försummar att införa rutiner för att säkerställa att tidsfrister iakttas, eller underlåter att vidta alla nödvändiga åtgärder för att underrätta tredje man om att en registrerad ansökt om radering av länkar till personuppgifter eller av kopior eller reproduktioner av sådana uppgifter i enlighet med artikel 17,

(d) underlåter att tillhandahålla en kopia av personuppgifterna i elektroniskt format eller hindrar den registrerade från att översända personuppgifterna till en annan applikation, i strid med artikel 18,

(e) helt eller delvis underlåter att fastställa respektive ansvarsområden tillsammans med registermedansvariga i enlighet med artikel 24,

(f) helt eller delvis underlåter att bevara dokumentation i enlighet med artiklarna 28, 31.4 och 44.3,

(g) i sådana fall där det inte är fråga om särskilda kategorier av uppgifter underlåter att i enlighet med artiklarna 80, 82 och 83 följa bestämmelser om yttrandefrihet, bestämmelser om uppgiftsbehandling i anställningsförhållanden eller villkoren för att behandla uppgifter för historiska, statistiska och vetenskapliga forskningsändamål.

6.           Tillsynsmyndigheten ska utfärda böter på upp till 1 000 000 euro eller, om det är fråga om ett företag, på upp till 2 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet

(a) behandlar personuppgifter utan tillräcklig rättslig grund för ändamålet eller underlåter att följa villkoren för samtycke enligt artiklarna 6, 7 och 8,

(b) behandlar särskilda kategorier av uppgifter i strid med artiklarna 9 och 81,

(c) underlåter att hörsamma en invändning eller att uppfylla kravet i artikel 19,

(d) underlåter att uppfylla villkoren vid åtgärder på grundval av profilering i enlighet med artikel 20,

(e) underlåter att anta interna strategier eller att genomföra lämplig åtgärder för att garantera och visa överensstämmelse i enlighet med artiklarna 22, 23 och 30,

(f) underlåter att utse en företrädare i enlighet med artikel 25,

(g) behandlar eller ger instruktioner för behandlingen av personuppgifter på ett sätt som strider mot skyldigheterna i samband med behandling för en registeransvarigs räkning i enlighet med artiklarna 26 och 27,

(h) underlåter att signalera eller meddela ett personuppgiftsbrott eller att i tid och utan inskränkningar anmäla personuppgiftsbrottet till tillsynsmyndigheten eller meddela den registrerade i enlighet med artiklarna 31 och 32,

(i) underlåter att utföra en konsekvensbedömning avseende uppgiftsskydd eller behandlar personuppgifter utan att först ha erhållit tillstånd från eller ha samrått med tillsynsmyndigheten i enlighet med artiklarna 33 och 34,

(j) underlåter att utse ett uppgiftsskyddsombud eller att skapa de förutsättningar som krävs för att utföra arbetsuppgifterna enligt artiklarna 35, 36 och 37,

(k) missbrukar en uppgiftsskyddsförsegling eller en uppgiftsskyddsmärkning i den mening som avses i artikel 39,

(l) verkställer eller ger instruktioner om en överföring av uppgifter till ett tredjeland eller en internationell organisation som inte är tillåten på grundval av ett beslut om adekvat skyddsnivå, lämpliga skyddsåtgärder eller ett undantag i enlighet med artiklarna 40–44,

(m) underlåter att hörsamma en order, ett tillfälligt eller permanent förbud mot behandling av uppgifter eller ett beslut om att avbryta av uppgiftsflödena som meddelats av tillsynsmyndigheten i enlighet med artikel 53.1,

(n) underlåter att uppfylla skyldigheten att bistå tillsynsmyndigheten eller lämna tillsynsmyndigheten svar, relevant information eller tillträde till lokaler i enlighet med artiklarna 28.3, 29, 34.6 och 53.2,

(o) underlåter att följa bestämmelserna om säkerställande av tystnadsplikt i artikel 84.

7.           Kommissionen ska ha befogenhet att anta delegerade akter i enlighet med artikel 86 i syfte att uppdatera de administrativa bötesbelopp som avses i punkterna 4, 5 och 6, med hänsyn till kriterierna i punkt 2.

KAPITEL IX BESTÄMMELSER OM SÄRSKILDA SITUATIONER VID BEHANDLING AV PERSONUPPGIFTER

Artikel 80 Behandling av personuppgifter och yttrandefriheten

1.           Medlemsstaterna ska med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande besluta om undantag och avvikelser från bestämmelserna om allmänna principer i kapitel II, om den registrerades rättigheter i kapitel III, om registeransvariga och registerförare i kapitel IV, om överföring av personuppgifter till tredjeländer och internationella organisationer i kapitel V, om oberoende tillsynsmyndigheter i kapitel VI och om samarbete och enhetlighet i kapitel VII endast om sådana undantag eller avvikelser är nödvändiga för att förena rätten till integritet med reglerna om yttrandefrihet.

2.           Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den har antagit i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringslagstiftning eller ändringar som rör dessa bestämmelser.

Artikel 81 Behandling av personuppgifter om en registrerads hälsotillstånd

1.           Inom ramen för bestämmelserna i denna förordning och i enlighet med artikel 9.2 h ska behandling av personuppgifter om en registrerads hälsotillstånd ske på grundval av unionslagstiftning eller medlemsstaternas nationella lagstiftning, vilken ska föreskriva lämpliga och konkreta åtgärder för att skydda den registrerades berättigade intressen och vara nödvändig med hänsyn till

a)      förebyggande hälso- och sjukvård och yrkesmedicin, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvårdstjänster, om uppgifterna behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt, eller av en annan person som är ålagd en motsvarande tystnadsplikt,

b)      skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa skydd mot allvarliga gränsöverskridande hot mot hälsan eller garantera höga kvalitets- och säkerhetsnormer, bland annat för läkemedelsprodukter och medicinsk utrustning, eller

c)      andra skäl av allmänt intresse på områden som socialt skydd, särskilt för att säkerställa kvalitet och kostnadseffektivitet i de förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet.

2.           Behandling av personuppgifter om en registrerads hälsotillstånd som är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål, såsom patientregister som upprättas för att förbättra diagnoser, göra åtskillnad mellan likartade typer av sjukdomar och förbereda undersökningar om terapimetoder, omfattas av de villkor och skyddsåtgärder som avses i artikel 83.

3.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare specificera andra skäl av allmänt intresse inom folkhälsoområdet enligt punkt 1 b, samt kriterier och krav för det skydd som ska finnas vid behandling av personuppgifter för de ändamål som anges i punkt 1.

Artikel 82 Behandling av personuppgifter i anställningsförhållanden

1.           Inom ramen för bestämmelserna i denna förordning får medlemsstaterna i lag föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering, genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet.

2.           Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringslagstiftning eller ändringar som rör dessa bestämmelser.

3.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och villkoren för de skyddsåtgärder som ska tillämpas vid behandling av personuppgifter för sådana ändamål som anges i punkt 1.

Artikel 83 Behandling för historiska, statistiska och vetenskapliga forskningsändamål

1.           Inom ramen för denna förordning får personuppgifter behandlas för historiska, statistiska och vetenskapliga forskningsändamål endast under förutsättning att

a)      dessa ändamål inte kan uppfyllas på annat sätt genom behandling av uppgifter som inte medger eller inte längre medger identifiering av den registrerade,

b)      uppgifter som gör det möjligt att hänföra information till en identifierad eller identifierbar registrerad person hålls åtskilda från övrig information så länge som dessa ändamål kan uppfyllas på det sättet.

2.           Organ som utför historisk, statistisk eller vetenskaplig forskning får publicera eller avslöja personuppgifter på annat sätt endast under förutsättning att

a)      den registrerade har lämnat sitt samtycket till detta, med förbehåll för villkoren i artikel 7,

b)      offentliggörandet av personuppgifter är nödvändigt för att lägga fram forskningsresultat eller för att underlätta forskning, så länge inte den registrerades intressen eller grundläggande rättigheter och friheter överskuggar dessa intressen,

c)      den registrerade har gjort uppgifterna offentliga.

3.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och kraven för behandling av personuppgifter för de ändamål som anges i punkterna 1 och 2 samt eventuella begränsningar av den registrerades rätt till information och tillgång, och att närmare beskriva villkoren och skyddet för den registrerades rättigheter under dessa förhållanden.

Artikel 84 Tystnadsplikt

1.           Inom ramen för denna förordning får medlemsstaterna anta särskilda bestämmelser för att fastställa tillsynsmyndigheternas undersökande befogenheter enligt artikel 53.2 gentemot registeransvariga eller registerförare som enligt nationell lag eller bestämmelser som fastställts av behöriga nationella organ omfattas av tystnadsplikt eller andra motsvarande former av förbud mot att lämna ut uppgifter, om det är nödvändigt och står i proportion till vad som behövs för att förena rätten till skydd för personuppgifter och tystnadsplikten. Dessa bestämmelser ska endast tillämpas med avseende på personuppgifter som den registeransvarige eller registerföraren har erhållit i samband med en verksamhet som omfattas av denna tystnadsplikt.

2.           Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka bestämmelser den har antagit i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla framtida ändringslagstiftning eller ändringar som rör dessa bestämmelser.

Artikel 85 Befintliga bestämmelser om uppgiftsskydd inom kyrkor och religiösa samfund

1.           Om kyrkor och religiösa samfund eller gemenskaper i en medlemsstat vid tidpunkten för ikraftträdandet av denna förordning tillämpar övergripande bestämmelser om skyddet av enskilda i samband med behandling av personuppgifter, får sådana befintliga regler fortsätta att tillämpas under förutsättning att de görs förenliga med bestämmelserna i denna förordning.

2.           Kyrkor och religiösa samfund som tillämpar övergripande bestämmelser i enlighet med punkt 1 ska se till att det finns en oberoende tillsynsmyndighet i enlighet med kapitel VI i denna förordning.

KAPITEL X DELEGERADE AKTER OCH GENOMFÖRANDEAKTER

Artikel 86 Delegeringens utövande

1.           Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

2.           Den delegering av befogenhet som avses i artiklarna 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 79.6, 81.3, 82.3 och 83.3 ska ges till kommissionen på obestämd tid från och med den dag då denna förordning träder i kraft.

3.           Den delegering av befogenhet som avses i artiklarna 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 79.6, 81.3, 82.3 och 83.3 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

4.           Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

5.           En delegerad akt som antas enligt artikel 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 79.6, 81.3, 82.3 eller 83.3 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med två månader på Europaparlamentets eller rådets initiativ.

Artikel 87 Kommittéförfarande

1.           Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2.           När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.

3.           När det hänvisas till denna punkt ska artikel 8 i förordning (EU) nr 182/2011, jämförd med artikel 5 i samma förordning, tillämpas.

KAPITEL XI

SLUTBESTÄMMELSER

Artikel 88 Upphävande av direktiv 95/46/EG

1.           Direktiv 95/46/EG ska upphöra att gälla.

2.           Hänvisningar till det upphävda direktivet ska anses som hänvisningar till denna förordning. Hänvisningar till arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, som inrättades genom artikel 29 i direktiv 95/46/EG, ska anses som hänvisningar till Europeiska dataskyddsstyrelsen, som inrättas genom denna förordning.

Artikel 89 Förhållande till och ändring av direktiv 2002/58/EG

1.           Denna förordning ska inte innebära några ytterligare förpliktelser för fysiska eller juridiska personer som behandlar personuppgifter inom ramen för tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster i allmänna kommunikationsnät i unionen, när det gäller områden inom vilka de redan omfattas av särskilda skyldigheter för samma ändamål i enlighet med direktiv 2002/58/EG.

2            Artikel 1.2 i direktiv 2002/58/EG ska utgå.

Artikel 90 Utvärdering

Kommissionen ska regelbundet överlämna rapporter om tillämpningen och översynen av denna förordning till Europaparlamentet och rådet. Den första rapporten ska överlämnas senast fyra år efter det att denna förordning träder i kraft. Därefter ska rapporter överlämnas vart fjärde år. Kommissionen ska om nödvändigt överlämna lämpliga förslag om ändring av denna förordning och om anpassning av andra rättsakter, med särskild hänsyn till informationsteknikens utveckling och mot bakgrund av tendenserna inom informationssamhället. Rapporterna ska offentliggöras.

Artikel 91 Ikraftträdande och tillämpning

1.           Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

2.           Den ska tillämpas från och med [två år från den dag som anges i punkt 1].

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdat i Bryssel den 25.1.2012

På Europaparlamentets vägnar                    På rådets vägnar

Ordförande                                                    Ordförande

FINANSIERINGSÖVERSIKT FÖR RÄTTSAKT

1.           GRUNDLÄGGANDE UPPGIFTER OM FÖRSLAGET ELLER INITIATIVET

              1.1.    Förslagets eller initiativets beteckning

              1.2.    Berörda politikområden i den verksamhetsbaserade förvaltningen och budgeteringen

              1.3.    Typ av förslag eller initiativ

              1.4.    Mål

              1.5.    Motivering till förslaget eller initiativet

              1.6.    Tid under vilken åtgärden kommer att pågå respektive påverka resursanvändningen

              1.7.    Planerade förvaltningsmetod(er)

2.           FÖRVALTNING

              2.1.    Bestämmelser om uppföljning och rapportering

              2.2.    Administrations- och kontrollsystem

              2.3.    Åtgärder för att förebygga bedrägeri och oegentligheter/oriktigheter

3.           BERÄKNADE BUDGETKONSEKVENSER AV FÖRSLAGET ELLER INITIATIVET

              3.1.    Berörda rubriker i den fleråriga budgetramen och budgetrubriker i den årliga budgetens utgiftsdel

              3.2.    Beräknad inverkan på utgifterna

              3.2.1. Sammanfattning av den beräknade inverkan på utgifterna

              3.2.2. Beräknad inverkan på driftsanslagen

              3.2.3. Beräknad inverkan på de administrativa anslagen

              3.2.4. Förenlighet med den gällande fleråriga budgetramen

              3.2.5. Bidrag från tredje part

              3.3.    Beräknad inverkan på inkomster

FINANSIERINGSÖVERSIKT FÖR RÄTTSAKT

1. GRUNDLÄGGANDE UPPGIFTER OM FÖRSLAGET ELLER INITIATIVET

I denna finansieringsöversikt redogörs närmare för de behov räknat i administrativa utgifter som reformen av lagstiftningen om uppgiftsskydd kommer att medföra, i linje med konsekvensbedömningen. Reformen innefattar två lagförslag. Det ena gäller en allmän förordning om uppgiftsskydd och det andra ett direktiv om skydd av individer när behöriga myndigheter behandlar personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Finansieringsöversikten omfattar budgetkonsekvenserna för båda de föreslagna rättsakterna.

Alltefter fördelningen av ansvarsområden behöver resurser tillföras dels kommissionen, dels Europeiska datatillsynsmannen.

För kommissionen har de nödvändiga resurserna redan tagits upp i den föreslagna budgetramen för 2014–2020. Uppgiftsskydd är ett av målen för programmet Rättigheter och medborgarskap, och detta program kommer också att bidra till att omsätta den planerade rättsliga ramen i praktiken. De administrativa anslagen, inklusive personalanslag, ingår i administrationsbudgeten för GD Rättsliga frågor

När det gäller Europeiska datatillsynsmannen måste de nödvändiga medlen tas upp i den institutionens årsbudget. Resursbehoven redovisas i bilagan till denna finansieringsöversikt. För att kunna frigöra resurserna för de nya arbetsuppgifter som enligt lagförslagen tilldelas Europeiska dataskyddsstyrelsen, för vilken Europeiska datatillsynsmannen ska stå för sekretariatsfunktionen, kommer det att krävas omfördelningar i programplaneringen för rubrik 5 i budgetramen för 2014–2020.

1.1. Förslagets eller initiativets beteckning

Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning).

Förslag till Europaparlamentets och rådets direktiv om skyddet av enskilda vid behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, samt fri rörlighet för sådana uppgifter.

1.2. Berörda politikområden i den verksamhetsbaserade förvaltningen och budgeteringen[49]

Rättsliga frågor – skydd av personuppgifter

Budgetkonsekvenserna faller på kommissionen och Europeiska datatillsynsmannen. Inverkan på kommissionens budget redovisas i tabellerna i denna finansieringsöversikt. Driftsutgifterna ingår i programmet Rättigheter och medborgarskap, och har redan tagits med i beräkningarna i finansieringsöversikten för det programmet. De administrativa utgifterna har på motsvarande sätt inkluderats i ramanslaget för GD Rättsliga frågor. De aspekter som gäller Europeiska datatillsynsmannen tas upp i bilagan.

1.3. Typ av förslag eller initiativ

¨ Ny åtgärd

¨ Ny åtgärd som bygger på ett pilotprojekt eller en förberedande åtgärd[50]

þ Befintlig åtgärd vars genomförande förlängs i tiden

¨ Tidigare åtgärd som omformas till eller ersätts av en ny

1.4. Mål 1.4.1. Fleråriga strategiska mål för kommissionen som förslaget eller initiativet är avsett att bidra till

Syftet med reformen är att bättre förverkliga de ursprungliga målen genom att ta hänsyn till nya utvecklingstendenser och nya utmaningar:

- Den grundläggande rätten till skydd av personuppgifter behöver tillämpas effektivare, så att den enskilde har kontroll över sina uppgifter. Detta gäller inte minst med tanke på den tekniska utvecklingen och den ökade globaliseringen.

- Den inre marknadens funktion när det gäller uppgiftsskydd bör förbättras genom en minskad fragmentering, ökad enhetlighet och förenklingar av den rättsliga ramen. På så sätt kan man också undvika onödiga kostnader och administrativa bördor.

Genom att Lissabonfördraget nu har trätt i kraft och erbjuder en ny rättslig grund (artikel 16 i EUF-fördraget) har det också blivit möjligt att lägga till ett nytt mål, nämligen

- att skapa en övergripande rättslig ram för uppgiftsskydd som täcker alla områden.

1.4.2. Specifika mål eller verksamheter inom den verksamhetsbudgeterade förvaltningen och budgeteringen som berörs

Specifikt mål nr 1

Att säkerställa en enhetlig tillämpning av bestämmelserna om uppgiftsskydd

Specifikt mål nr 2

Att rationalisera den befintliga styrningsstrukturen och därigenom bidra till en mer enhetlig tillämpning

Berörda verksamheter enligt den verksamhetsbaserade förvaltningen och budgeteringen

[…]

1.4.3. Verkan eller resultat som förväntas

Beskriv den verkan som förslaget eller initiativet förväntas få på de mottagare eller den del av befolkningen som berörs.

I fråga om de registeransvariga kommer både offentliga och privata enheter att gynnas av en ökad rättslig förutsebarhet genom att EU:s regler och förfaranden för uppgiftsskydd harmoniseras och förtydligas. Detta kommer sin tur att bidra till likvärdiga förutsättningar och ett mer enhetligt genomföranse av uppgiftsskyddsbestämmelserna, samtidigt som den administrativa bördan kommer att minska betydligt.

Den enskilde individen kommer att få bättre kontroll över sina personuppgifter och kan på så sätt känna ökad trygghet i den digitala miljön. Dessutom kommer skyddet av personuppgifter att bestå även om uppgifterna behandlas utomlands. Ansvarsskyldigheten för dem som behandlar personuppgifterna kommer också att stärkas.

Vidare kommer ett heltäckande uppgiftsskyddssystem även att omfatta polis- och rättsväsende, vilket innebär att det både täcker in och går utöver de bestämmelser som ingick i den f.d. tredje pelaren.

1.4.4. Indikatorer för bedömning av resultat eller verkan

Ange vilka indikatorer som ska användas för att följa upp hur förslaget eller initiativet genomförs.

(Jfr. avsnitt 8 i konsekvensbedömningen)

Indikatorerna ska utvärderas regelbundet, och innefatta följande:

•        Tid och kostnader som de registeransvariga behöver avdela för att korrekt kunna följa lagstiftning i andra medlemsstater.

•        Resurser som tilldelas tillsynsmyndigheterna.

•        Uppgiftsskyddsombud som utsetts inom offentliga och privata organisationer.

•        Användningen av särskilda konsekvensbedömningar för uppgiftsskydd.

•        Antal klagomål som lämnas in av registrerade och ersättningar som betalas ut till dem.

•        Antal ärenden som leder till att registeransvariga åtalas.

•        Böter som utfärdas till registeransvariga som brutit mot uppgiftsskyddsbestämmelser.

1.5. Motivering till förslaget eller initiativet 1.5.1. Behov som ska tillgodoses på kort eller lång sikt

Det faktum att medlemsstaterna idag tillämpar, tolkar och verkställer bestämmelserna i det gällande direktivet på olika sätt hämmar såväl den inre marknadens funktion som samarbetet mellan offentliga myndigheter när det gäller genomförandet av EU-åtgärder i allmänhet. Detta förhållande strider mot direktivets mål att underlätta det fria flödet av personuppgifter inom den inre marknaden. Problemet accentueras också ytterligare genom den tekniska utvecklingen och ökade globaliseringen.

På grund av fragmenteringen och den inkonsekventa tillämpningen och verkställigheten i medlemsstaterna åtnjuter således inte alla samma skydd för sina personuppgifter. Dessutom har den enskilde ofta varken någon kunskap om eller någon kontroll över vad som händer med hans eller hennes personuppgifter, och kan därför inte utöva sina rättigheter fullt ut.

1.5.2. Mervärdet av en åtgärd på unionsnivå

Medlemsstaterna kan inte på egen hand få bukt med dessa brister. Detta gäller särskilt de problem som uppstår på grund av fragmenteringen i fråga om de nationella bestämmelser som införts för att genomföra EU:s rambestämmelser om uppgiftsskydd. Det finns därför starka allmänt för att införa en rättslig ram för uppgiftsskydd direkt på EU-nivå. Man behöver särskilt införa en harmoniserad och väl sammanhängande ram som möjliggör en smidig överföring av personuppgifter mellan EU:s medlemsstater, samtidigt som man garanterar ett faktiskt skydd av alla enskilda i EU.

1.5.3. Erfarenheter från liknande försök eller åtgärder

De aktuella förslagen bygger på erfarenheterna från direktiv 95/46/EG och problemet med fragmentering vid införlivandet och genomförandet av direktivet. Detta problem har lett till att direktivet inte har kunnat uppfylla något av sina två mål, dvs. en hög uppgiftsskyddsnivå och en väl fungerande inre marknad med avseende på uppgiftsskydd.

1.5.4. Förenlighet med andra finansieringsformer och eventuella synergieffekter

Paketet för reform av uppgiftsskyddslagstiftningen syftar till att skapa en stark, enhetlig och modern rättslig ram för uppgiftsskydd på EU-nivå. Den nya rättsliga ramen ska vara neutral med avseende på vilken teknologi som används, och därmed kunna stå sig under flera årtionden framåt. Den kommer att gynna enskilda individer genom att stärka deras rättigheter när det gäller uppgiftsskydd, särskilt i den digitala miljön, samtidigt som den förenklar det rättsliga klimatet för företagen och den offentliga sektorn. Detta kommer att stimulera den digitala ekonomins utveckling både inom och utanför EU:s inre marknad, i linje med målen för Europa-2020 strategin.

Huvudelementen i reformpaketet är

–        en förordning som ska ersätta direktiv 95/46/EG,

–        ett direktiv om skyddet av enskilda vid behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, samt fri rörlighet för sådana uppgifter.

Lagförslagen åtföljs av en rapport om medlemsstaternas genomförande av den enda nu gällande EU-rättsakten om uppgiftsskydd inom ramen för polissamarbetet och det rättsliga samarbetet, nämligen rambeslut 2008/977/RIF.

1.6. Tid under vilken åtgärden kommer att pågå respektive påverka resursanvändningen

¨ Förslag eller initiativ som pågår under begränsad tid

1. ¨  Förslaget eller initiativet ska gälla från [den DD/MM]ÅÅÅÅ till [den DD/MM]ÅÅÅÅ.

2. ¨  Det påverkar resursanvändningen från ÅÅÅÅ till ÅÅÅÅ.

þ Förslag eller initiativ som pågår under en obegränsad tid

1. Efter en inledande period 2014–2016,

2. beräknas genomförandetakten nå en stabil nivå.

1.7. Planerad(e) förvaltningsmetod(er)[51]

þ Direkt centraliserad förvaltning som sköts av kommissionen

¨ Indirekt centraliserad förvaltning genom delegering till

3. ¨  genomförandeorgan

4. ¨  byråer/organ som inrättats av gemenskaperna[52]

5. ¨  nationella offentligrättsliga organ eller organ som anförtrotts uppgifter som faller inom offentlig förvaltning

3. ¨  personer som anförtrotts ansvaret för genomförandet av särskilda åtgärder som följer av avdelning V i fördraget om Europeiska unionen och som anges i den grundläggande rättsakten i den mening som avses i artikel 49 i budgetförordningen

¨ Delad förvaltning med medlemsstaterna

¨ Decentraliserad förvaltning med tredjeländer

¨ Gemensam förvaltning med internationella organisationer (ange vilka)

Vid fler än en metod, ange kompletterande uppgifter under ”Anmärkningar”.

Anmärkningar

//

2. FÖRVALTNING 2.1. Bestämmelser om uppföljning och rapportering

Ange intervall och andra villkor för sådana åtgärder

Den första utvärderingen ska göras inom fyra år efter det att de nya rättsinstrumenten trätt i kraft. De föreslagna rättsinstrumenten innehåller uttryckliga bestämmelser om översyn, enligt vilka kommissionen ansvarar för att utvärdera genomförandet. Kommissionen kommer att avlägga rapport till Europaparlamentet och rådet om dessa utvärderingar, som kommer att äga rum vart fjärde år. Kommissionen kommer att använda den utvärderingsmetod som den själv har utformat, och arbetet kommer att genomföras med hjälp av riktade studier av hur lagstiftningsakterna har genomförts, enkäter bland de nationella myndigheter som ansvarar för uppgiftsskydd, expertdiskussioner, workshoppar, Eurobarometer- undersökningar m.m.

2.2. Administrations- och kontrollsystem 2.2.1. Risker som identifierats

I samband med reformen av den rättsliga ramen för uppgiftsskydd i EU har en konsekvensbedömning genomförts, och resultatet av denna bifogas förslagen till förordning och direktiv.

Genom den nya lagstiftningsakten införs en mekanism för enhetlighet, vars syfte är att se till att de oberoende tillsynsmyndigheterna i medlemsstaterna tillämpar bestämmelserna på ett enhetligt och väl sammanhållet sätt. En viktig roll för denna mekanism kommer att innehas av Europeiska dataskyddsstyrelsen, som består av cheferna för de nationella tillsynsmyndigheterna samt Europeiska datatillsynsmannen. Europeiska dataskyddsstyrelsen kommer att ersätta den nuvarande arbetsgrupp som inrättats enligt artikel 29 i 1995 års direktiv. Europeiska datatillsynsmannen kommer att stå för det sekretariat som den nya instansen behöver.

Europeiska dataskyddsstyrelsen kommer bland annat att rådfrågas och avge yttranden i fall där medlemsstaternas myndigheter fattat beslut som skulle kunna vara motstridiga. Om detta förfarande inte ger önskat resultat, eller om en tillsynsmyndighet vägrar att rätta sig efter yttrandet får kommissionen – om den hyser allvarliga tvivel på att ett utkast till åtgärd garanterar en korrekt tillämpning av förordningen, eller om den bedömer att åtgärden i fråga på annat sätt kan leda till en inkonsekvent tillämpning – anta ett yttrande eller där så krävs ett beslut för att säkra en korrekt och enhetlig tillämpning av förordningen.

För att mekanismen för enhetlighet ska fungera behöver Europeiska datatillsynsmannen ytterligare resurser för sekretariatet (12 heltidsekvivalenter samt tillräckliga administrations- och driftsanslag, t.ex. för it-system och för interventioner). Även kommissionen behöver ett tillskott av resurser (5 heltidsekvivalenter samt administrations- och driftsanslag) för att kunna sköta sin roll i ärenden som gäller enhetlig tillämpning av bestämmelserna.

2.2.2. Planerade kontrollmetoder

De befintliga kontrollmetoder som Europeiska datatillsynsmannen och kommissionen tillämpar kommer att kunna användas även för de ytterligare anslagen.

2.3. Åtgärder för att förebygga bedrägeri och oegentligheter/oriktigheter

Beskriv förebyggande åtgärder (befintliga eller planerade)

De befintliga metoder för bedrägeriförebyggande som Europeiska datatillsynsmannen och kommissionen tillämpar kommer att kunna användas även för de ytterligare anslagen.

3. BERÄKNADE BUDGETKONSEKVENSER AV FÖRSLAGET ELLER INITIATIVET 3.1. Berörda rubriker i den fleråriga budgetramen och budgetrubriker i den årliga budgetens utgiftsdel

1. Befintliga budgetrubriker (även kallade ”budgetposter”)

Redovisa de berörda rubrikerna i budgetramen i nummerföljd och – inom varje sådan rubrik – de berörda budgetrubrikerna i den årliga budgeten i nummerföljd.

Rubrik i den fleråriga budgetramen || Budgetrubrik i den årliga budgeten || Typ av anslag || Bidrag

Nummer [Beskrivning………………………...……….] || Diff./Icke-diff. ([53]) || från Efta-länder[54] || från kandidat-länder[55] || från tredje-länder || enligt artikel 18.1 aa i budgetförordningen

|| || || || || ||

3.2. Beräknad inverkan på utgifterna 3.2.1. Sammanfattning av den beräknade inverkan på utgifterna

Miljoner euro (avrundat till tre decimaler)

Rubrik i den fleråriga budgetramen || Nummer ||

|| || || År n[56]= 2014 || År n+1 || År n+2 || År n+3 || För in så många år som behövs för att redovisa inverkan på resursanvändningen (jfr punkt 1.6) || TOTALT

Ÿ Driftsanslag || || || || || || || ||

Budgetrubrik (nr) || Åtaganden || (1) || || || || || || || ||

Betalningar || (2) || || || || || || || ||

Budgetrubrik (nr) || Åtaganden || (1a) || || || || || || || ||

Betalningar || (2a) || || || || || || || ||

Administrativa anslag som finansieras  genom ramanslagen för särskilda program[57] || || || || || || || ||

Budgetrubrik (nr) || || (3) || || || || || || || ||

TOTALA anslag för GD || Åtaganden || =1+1a +3 || || || || || || || ||

Betalningar || =2+2a+3 || || || || || || || ||

Ÿ TOTALA driftsanslag || Åtaganden || (4) || || || || || || || ||

Betalningar || (5) || || || || || || || ||

Ÿ TOTALA administrativa anslag som finansieras genom ramanslagen för särskilda program || (6) || || || || || || || ||

TOTALA anslag för RUBRIK 3 i den fleråriga budgetramen || Åtaganden || =4+ 6 || || || || || || || ||

Betalningar || =5+ 6 || || || || || || || ||

Följande ska anges om flera rubriker i budgetramen påverkas av förslaget eller initiativet:

Ÿ TOTALA driftsanslag || Åtaganden || (4) || || || || || || || ||

Betalningar || (5) || || || || || || || ||

Ÿ TOTALA administrativa anslag som finansieras genom ramanslagen för särskilda program || (6) || || || || || || || ||

TOTALA anslag för RUBRIKERNA 1–4 i den fleråriga budgetramen (referensbelopp) || Åtaganden || =4+ 6 || || || || || || || ||

Betalningar || =5+ 6 || || || || || || || ||

Rubrik i den fleråriga budgetramen || 5 || ”Administrativa utgifter”

Miljoner euro (avrundat till tre decimaler)

|| || || År n = 2014 || År 2015 || År 2016 || År 2017 || År 2018 || År 2019 || År 2020 || TOTALT

GD: RÄTTSLIGA FRÅGOR ||

Ÿ Personalresurser || || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 20.454

Ÿ Övriga administrativa utgifter || || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 3.885

TOTALT GD RÄTTSLIGA FRÅGOR || || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

TOTALA anslag för RUBRIK 5 i den fleråriga budgetramen || (Summa åtaganden = Summa betalningar) || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

Miljoner euro (avrundat till tre decimaler)

|| || || År n[58] || År n+1 || År n+2 || År n+3 || För in så många år som behövs för att redovisa inverkan på resursanvändningen (jfr punkt 1.6) || TOTALT

TOTALA anslag under RUBRIKERNA 1–5 i den fleråriga budgetramen || Åtaganden || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

Betalningar || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

3.2.2. Beräknad inverkan på driftsanslagen

6. þ  Förslaget/initiativet kräver inte att driftsanslag tas i anspråk

En hög skyddsnivå för personuppgifter är också ett av målen för programmet Rättigheter och medborgarskap.

7. ¨  Förslaget/initiativet kräver att driftsanslag tas i anspråk enligt följande:

Åtagandebemyndiganden i miljoner euro (avrundat till tre decimaler)

Mål- och resultat-beteckning ò || || || År n=2014 || År n+1 || År n+2 || År n+3 || För in så många år som behövs för att redovisa inverkan på resursanvändningen (jfr punkt 1.6) || TOTALT

RESULTAT

Typ av resultat[59] || Genom-snittliga kostna-der för resultaten || Antal resultat || Kostnad || Antal resultat || Kostnad || Antal resultat || Kostnad || Antal resultat || Kostnad || Antal resultat || Kostnad || Antal resultat || Kostnad || Antal resultat || Kostnad || Totalt antal || Total kostnad

SPECIFIKT MÅL nr 1 ||

- Resultat || Ageranden[60] || || || || || || || || || || || || || || || || ||

Delsumma för specifikt mål nr 1 || || || || || || || || || || || || || || || ||

SPECIFIKT MÅL nr 2 ||

- Resultat || Ärenden[61] || || || || || || || || || || || || || || || || ||

Delsumma för specifikt mål nr 2 || || || || || || || || || || || || || || || ||

TOTAL KOSTNAD || || || || || || || || || || || || || || || ||

3.2.3. Beräknad inverkan på de administrativa anslagen 3.2.3.1. Sammanfattning

8. ¨  Förslaget/initiativet kräver inte att administrativa anslag tas i anspråk

9. þ  Förslaget/initiativet kräver att administrativa anslag tas i anspråk enligt följande:

Miljoner euro (avrundat till tre decimaler)

|| År n[62] 2014 || År 2015 || År 2016 || År 2017 || År 2018 || År 2019 || År 2020 || TOTALT

RUBRIK 5 i den fleråriga budgetramen || || || || || || || ||

Personalresurser || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 20.454

Övriga administrativa utgifter || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 3.885

Delsumma RUBRIK 5 i den fleråriga budgetramen || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

Belopp utanför RUBRIK 5[63] i den fleråriga budgetramen || || || || || || || ||

Personalresurser || || || || || || || ||

Andra utgifter av administrativ karaktär || || || || || || || ||

Delsumma för belopp utanför RUBRIK 5 i den fleråriga budgetramen || || || || || || || ||

TOTALT || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

3.2.3.2.  Beräknat personalbehov

10. ¨         Förslaget/initiativet kräver inte att personalresurser tas i anspråk

11. þ         Förslaget/initiativet kräver att personalresurser tas i anspråk enligt följande:

Uppgifterna ska anges i hela heltidsekvivalenter (eller med högst en decimal)

|| År 2014 || År 2015 || År 2016 || År 2017 || År 2018 || År 2019 || År 2020

Ÿ Tjänster som tas upp i tjänsteförteckningen (tjänstemän och tillfälligt anställda)

XX 01 01 01 (vid huvudkontoret eller vid kommissionens kontor i medlemsstaterna) || 22 || 22 || 22 || 22 || 22 || 22 || 22

XX 01 01 02 (vid delegationer) || || || || || || ||

Ÿ Extern personal (i heltidsekvivalenter)[64]

XX 01 02 01 (kontraktsanställda, vikarier och nationella experter från ”ramanslaget”) || 2 || 2 || 2 || 2 || 2 || 2 || 2

XX 01 02 02 (kontraktsanställda, vikarier, unga experter, lokalanställda och nationella experter vid delegationerna) || || || || || || ||

XX 01 04 yy[65] || - vid huvudkontoret[66] || || || || || || ||

- vid delegationerna || || || || || || ||

XX 01 05 02 (kontraktsanställda, vikarier och nationella experter och som arbetar med indirekta forskningsåtgärder) || || || || || || ||

10 01 05 02 (kontraktsanställda, vikarier och nationella experter som arbetar med direkta forskningsåtgärder) || || || || || || ||

Annan budgetrubrik (ange vilken) || || || || || || ||

TOTALT || 24 || 24 || 24 || 24 || 24 || 24 || 24

XX motsvarar det politikområde eller den avdelning i budgeten som avses.

Reformen innebär att kommissionen, utöver sitt befintliga ansvar inom detta område, kommer att få nya arbetsuppgifter i fråga om skyddet av enskilda när personuppgifter behandlas. De nya arbetsuppgifterna uppstår framför allt vid tillämpningen av den nya mekanism för enhetlighet som införts för att garantera en väl sammanhållen tillämpning av de harmoniserade bestämmelserna om uppgiftsskydd. Kommissionens befintliga uppgifter kommer att utföras även i fortsättningen (t.ex. policyutveckling, övervakning av hur bestämmelser införlivas i nationell lagstiftning, arbete för ökad medvetenhet, behandling av klagomål) .

Personalbehoven ska täckas med personal inom generaldirektoratet som redan har avdelats för att förvalta åtgärden i fråga, eller genom en omfördelning av personal inom generaldirektoratet, om så krävs kompletterad med ytterligare resurser som kan tilldelas det förvaltande generaldirektoratet som ett led i det årliga förfarandet för tilldelning av anslag och med hänsyn tagen till rådande begränsningar i fråga om budgetmedel.

Beskrivning av arbetsuppgifter:

Tjänstemän och tillfälligt anställda || Dessa personalkategorier kommer att sköta handläggningen av enskilda ärenden inom ramen för mekanismen för enhetlighet, i syfte att slå vakt om en konsekvent tillämpning av EU:s dataskyddsbestämmelser. Till arbetsuppgifterna hör undersökning och informationsinsamling i de ärenden som medlemsstaternas myndigheter har lämnat in för beslut, förhandling med medlemsstaterna samt förberedelse av sådana beslut. Utifrån aktuella erfarenheter bedöms ca 5–10 ärenden per år komma att behöva behandlas genom mekanismen för enhetlighet. Behandlingen av ärenden som gäller adekvat skyddsnivå kräver en direkt samverkan med den medlemsstat som lagt fram begäran. Detta kan innefatta expertundersökningar av förhållandena i det aktuella landet, bedömning av omständigheterna, förberedelse av kommissionens beslut och av den därtill kopplade processen, bl.a. arbetet inom den kommitté som bistår kommissionen och de eventuella expertgrupper som behöver rådfrågas. Utifrån aktuella erfarenheter beräknas upp till fyra sådana ärenden per år behöva behandlas. Utarbetandet av genomförandebestämmelser kräver också en rad förberedelser, t.ex. diskussionsunderlag, informationsinsamling och offentliga samråd, utformning av själva lagtexten, samordning av förhandlingarna i berörda kommittéer och andra grupper, liksom kontakter med andra berörda parter. På de områden som kräver mer exakta riktlinjer bedöms sammanlagt upp till tre omgångar genomförandebestämmelser behöva inledas per år, medan varje lagstiftningsförfarande kan komma att ta upp till 24 månader beroende på hur omfattande samråd som behövs.

Extern personal || Administrativt stöd och sekretariatsfunktioner

3.2.4. Förenlighet med den gällande fleråriga budgetramen

12. ¨         Förslaget/initiativet är förenligt med nästa fleråriga budgetram

13. þ         Förslaget/initiativet kräver omfördelningar under den berörda rubriken i den fleråriga budgetramen

I tabellen nedan redovisas de årliga belopp som Europeiska datatillsynsmannen beräknas behöva för de nya arbetsuppgifterna i samband med Europeiska dataskyddsstyrelsens sekretariat, plus därtill kopplade förfaranden och verktyg. Tabellen täcker den period som omfattas av nästa budgetram, och beloppen som anges går utöver de resursbehov som redan var planerade.

År || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Total

Personal etc. || 1.555 || 1.555 || 1.543 || 1.543 || 1.543 || 1.543 || 1.543 || 10.823

Verksam-het || 0.850 || 1.500 || 1.900 || 1.900 || 1.500 || 1.200 || 1.400 || 10.250

Totalt || 2.405 || 3.055 || 3.443 || 3.443 || 3.043 || 2.743 || 2.943 || 21.073

14. ¨         Förslaget/initiativet förutsätter att flexibilitetsmekanismen utnyttjas eller att den fleråriga budgetramen revideras[67]

3.2.5. Bidrag från tredje part

15. þDet ingår inga bidrag från tredje part i det aktuella förslaget eller initiativet

16. ¨Förslaget eller initiativet kommer att medfinansieras enligt följande:

Anslag i miljoner euro (avrundat till tre decimaler)

|| År n || År n+1 || År n+2 || År n+3 || För in så många år som behövs för att redovisa inverkan på resursanvändningen (jfr punkt 1.6) || Totalt

Specificera det medfinansierande organet || || || || || || || ||

TOTALA anslag som tillförs genom medfinansiering || || || || || || || ||

3.3. Beräknad inverkan på inkomsterna

17. þ         Förslaget/initiativet påverkar inte budgetens inkomstsida.

18. ¨         Förslaget/initiativet påverkar inkomsterna på följande sätt:

· ¨         Påverkan på egna medel

· ¨         Påverkan på ”diverse inkomster”

Miljoner euro (avrundat till tre decimaler)

Budgetrubrik i den årliga budgetens inkomstdel: || Belopp som förts in för det innevarande budgetåret || Förslagets eller initiativets inverkan på inkomsterna[68]

År n || År n+1 || År n+2 || År n+3 || För in så många spalter som behövs för att redovisa inverkan (jfr punkt 1.6)

|| || || || || || || ||

Ange vilka budgetrubriker i utgiftsdelen som berörs i de fall där inkomster i diversekategorin kommer att avsättas för särskilda ändamål.

Ange med vilken metod inverkan på inkomsterna har beräknats.

Bilaga till finansieringsöversikten för förslaget till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

Använd metod och huvudsakliga antaganden

Vad gäller personalresurserna har beräkningen av Europeiska datatillsynsmannens kostnader för de nya arbetsuppgifter som följer av de två förslagen grundats på aktuella kostnadsnivåer vid kommissionen för liknande uppgifter.

Europeiska datatillsynsmannen kommer att stå för sekretariatet för Europeiska dataskyddsstyrelsen, vilken ersätter den nuvarande arbetsgrupp som är grundad på artikel 29 i 1995 års direktiv. Genom att jämföra med kommissionens nuvarande arbetsbelastning för dessa uppgifter skulle arbetet kräva ett tillägg av 3 heltidsekvivalenter samt tillhörande administrations- och driftsanslag. De nya arbetsuppgifterna skulle börja utföras från det att förordningen trädde i kraft.

Europeiska datatillsynsmannen kommer också att ha en roll när det gäller mekanismen för enhetlighet, vilken förväntas kräva ett tillskott på 5 heltidsekvivalenter, samt i utvecklingen av ett gemensamt it-verktyg för de nationella tillsynsmyndigheterna, vilket kommer att ta ytterligare 2 heltidsekvivalenter i anspråk.

I nedanstående tabell redovisas beräkningen av de ytterligare personalanslag som kommer att behövas under de första sju åren, medan en andra tabell visar behoven i driftsanslag. Anslagen kommer att föras upp i Europeiska datatillsynsmannens avsnitt (avsnitt IX) i EU-budgeten.

Typ av kostnad || Beräkning || Belopp (i tusental euro)

2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Totalt

Lön och ersättningar || || || || || || || || ||

- Europeiska dataskyddsstyrelsens ordförande || || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 2.100

- tjänstemän och tillfälligt anställda || =7*0.127 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 6.223

- nationella experter || =1*0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.511

- kontraktsanställda || =2*0.064 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.896

Rekryteringskostnader || =10*0.005 || 0.025 || 0.025 || 0.013 || 0.013 || 0.013 || 0.013 || 0.013 || 0.113

Tjänsteresor || || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.630

Andra utgifter, inkl. utbildning || =10*0.005 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.350

Totala administrativa utgifter || || 1.555 || 1.555 || 1.543 || 1.543 || 1.543 || 1.543 || 1.543 || 10.823

Beskrivning av arbetsuppgifter:

Tjänstemän och tillfälligt anställda || Handläggare (desk officer) med ansvar för Europeiska dataskyddsstyrelsens sekretariat. Utöver logistiskt stöd inklusive budget- och kontraktsfrågor omfattar arbetsuppgifterna att förbereda mötesdagordningar, bjuda in experter, samla in information i ämnen med koppling till dagordningen, hantera relevant dokumentation, bland annat om uppgiftsskyddsaspekterna, samt behandla frågor som rör sekretess och krav på allmänhetens tillgång till information. Om man inkluderar möten inom undergrupper och expertgrupper förväntas upp till 50 möten och beslutsförfaranden behöva anordnas per år. Andra handläggare kommer att sköta enskilda ärenden och vara involverade i mekanismen för enhetlighet, vars syfte är att slå vakt om en konsekvent tillämpning av EU:s dataskyddsbestämmelser. Till arbetsuppgifterna hör undersökning och informationsinsamling i de ärenden som medlemsstaternas myndigheter har lämnat in för beslut, förhandling med medlemsstaterna samt förberedelse av sådana beslut. Utifrån aktuella erfarenheter bedöms ca 5–10 ärenden per år komma att behöva behandlas genom mekanismen för enhetlighet. Det tidigare nämnda it-verktyget ska underlätta operativ samverkan mellan nationella tillsynsmyndigheter och registeransvariga som är skyldiga att dela information med offentliga myndigheter. De anställda kommer att ansvara för kvalitetskontroll, projektförvaltning och budgetmässig uppföljning av it-processerna med avseende på preciseringen av krav på systemet, det praktiska genomförandet och driften.

Extern personal || Administrativt stöd och sekretariatsfunktioner

Europeiska dataskyddsstyrelsens utgifter för specifika arbetsuppgifter

Mål- och resultat-beteckning ò || || || År n=2014 || År n+1 || År n+2 || År n+3 || För in så många år som behövs för att redovisa inverkan på resursanvändningen (jfr punkt 1.6) || TOTALT

RESULTAT

Typ av resultat[69] || Genomsnittliga kostnader || Antal resultat || Kostnad || Antal resultat || Kostnad || Antal resultat || Kostnad || Antal resultat || Kostnad || Antal resultat || Kostnad || Antal resultat || Kostnad || Antal resultat || Kostnad || Totalt antal resultat || Total kostnad

SPECIFIKT MÅL nr 1[70] || Europeiska dataskyddsstyrelsens sekretariat

- Resultat || Ärenden[71] || 0.010 || 30 || 0.300 || 40 || 0.400 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 320 || 3.200

Delsumma för specifikt mål nr 1 || 30 || 0.300 || 40 || 0.400 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 320 || 3.200

SPECIFIKT MÅL nr 2 || Mekanism för enhetlighet

- Resultat || Ageranden[72] || 0.050 || 5 || 0.250 || 10 || 0.500 || 10 || 0.500 || 10 || 0.500 || 8 || 0.400 || 8 || 0.400 || 8 || 0.400 || 59 || 2.950

Delsumma för specifikt mål nr 2 || 5 || 0.250 || 10 || 0.500 || 10 || 0.500 || 10 || 0.500 || 8 || 0.400 || 8 || 0.400 || 8 || 0.400 || 59 || 2.950

SPECIFIKT MÅL nr 3 || Gemensamt it-verktyg för tillsynsmyndigheterna (förvaltat av Europeiska datatillsynsmannen)

- Resultat || Ärenden[73] || 0.100 || 3 || 0.300 || 6 || 0.600 || 9 || 0.900 || 9 || 0.900 || 6 || 0.600 || 3 || 0.300 || 5 || 0.500 || 41 || 4.100

Delsumma för specifikt mål nr 3 || 3 || 0.300 || 6 || 0.600 || 9 || 0.900 || 9 || 0.900 || 6 || 0.600 || 3 || 0.300 || 5 || 0.500 || 41 || 4.100

TOTALA KOSTNADER || 38 || 0.850 || 56 || 1.500 || 69 || 1.900 || 69 || 1.900 || 64 || 1.500 || 61 || 1.200 || 63 || 1.400 || 420 || 10.250

[1]               Integritetsskydd i en sammanlänkad värld – en europeisk ram för uppgiftsskydd för det tjugoförsta århundradet COM(2012) 9 final.

[2]               COM(2012) 10 final.

[3]               Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, EGT L 281, 23.11.1995, s. 31.

[4]               Rådets rambeslut 2008/977/RIF om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete som är strikt nödvändiga, EUT L 350, 31.12.2008, s. 60 (nedan kallat rambeslutet).

[5]               KOM(2010) 245 slutlig.

[6]               KOM(2010) 2020 slutlig.

[7]               Stockholmsprogrammet – ett öppet och säkert Europa i medborgarnas tjänst och för deras skydd (EUT C 115, 4.5.2010, s. 1).

[8]               Europaparlamentets resolution om kommissionens meddelande till Europaparlamentet och rådet om ett område med frihet, säkerhet och rättvisa i allmänhetens tjänst – Stockholmsprogrammet, antagen den 25 november 2009 (P7_TA(2009)0090).

[9]               KOM(2010) 171 slutlig.

[10]             KOM(2010) 609 slutlig.

[11]             Special Eurobarometer (EB) 359, Data Protection and Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[12]             http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm.

[13]             De icke-konfidentiella bidragen finns på kommissionens webbplats: http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[14]             De icke-konfidentiella bidragen finns på kommissionens webbplats: http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[15]             http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm.

[16]             http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp.

[17]             European Network and Information Security Agency som handhar säkerhetsfrågor som rör kommunikationsnät och informationssystem.

[18]             Europeiska byrån för nät- och informationssäkerhet som hanterar säkerhetsfrågor i samband med kommunikationsnätverk och informationssystem.

[19]             Särskild Eurobarometer (EB) 359, Uppgiftsskydd och elektronisk identitet i EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[20]             Se undersökningen av de ekonomiska fördelarna med integritetshöjande teknik och den jämförande undersökningen av olika strategier för att hantera nya integritetsutmaningar, särskilt mot bakgrund av den tekniska utvecklingen, januari 2010   (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[21]             Arbetsgruppen, som har en rådgivande ställning, inrättades 1996 (genom artikel 29 i direktiv 95/46/EG) och består av företrädare för nationella tillsynsmyndigheter med ansvar för uppgiftsskydd, Europeiska datatillsynsmannen och kommissionen. Mer information om dess verksamhet finns på http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[22]             Se särskilt följande yttranden: om ”integritetens framtid” (2009, WP 168), om begreppen registeransvarig och registerförare (1/2010, WP 169), om beteendebaserad reklam på internet (2/2010, WP 171), om principen om ansvarsskyldighet (3/2010, WP 173), om tillämplig lagstiftning (8/2010, WP 179) och om samtycke (15/2011, WP 187). På kommissionens begäran antog den också tre rådgivande dokument om anmälningar, om känsliga uppgifter och om det praktiska genomförandet av artikel 28.6 i uppgiftsskyddsdirektivet. De finns alla att tillgå på http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[23]             Tillgängligt på Europeiska datatillsynsmannens webbplats: http://www.edps.europa.eu/EDPSWEB.

[24]             Europaparlamentets resolution av den 6 juli 2011 om ett samlat grepp på skyddet av personuppgifter i Europeiska unionen (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2011-0323+0+DOC+XML+V0//SV (föredragande: Europaparlamentariker Axel Voss (EPP/DE).

[25]             SEC(2012)72.

[26]             EESK 999/2011.

[27]             EU-domstolens dom av den 9 november 2010, förenade målen C-92/09 och C-93/09 Volker und Markus Schecke och Eifert, REU 2010, s. I-0000.

[28]             I enlighet med artikel 52.1 i stadgan får utövandet av rätten till uppgiftsskydd begränsas, under förutsättning att begränsningarna föreskrivs i lag, att de i allt väsentligt är förenliga med rättigheter och friheter och, med beaktande av proportionalitetsprincipen, endast görs om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller mot behovet av skydd för andra människors rättigheter och friheter.

[29]             Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), EGT L 201, 31.7.2002, s. 37.

[30]             Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009 om ändring av direktiv 2002/22/EG om samhällsomfattande tjänster och användares rättigheter avseende elektroniska kommunikationsnät och kommunikationstjänster, direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation och förordning (EG) nr 2006/2004 om samarbete mellan de nationella tillsynsmyndigheter som ansvarar för konsumentskyddslagstiftningen – text av betydelse för EES (EUT L 337, 18.12.2009, s. 11).

[31]             Antagen och öppnad för underskrift, ratificering och anslutning genom Förenta Nationernas generalförsamlings resolution 44/45 av den 20 november 1989.

[32]             Antagen av den internationella konferensen för uppgiftsskyddsmyndigheter (International Conference of Data Protection and Privacy Commissioners) den 5 november 2009. Jfr också artikel 13.3 I förslaget till förordning om en gemensam europeisk köplag (KOM(2011) 635 slutlig).

[33]             CM/Rec (2010)13.

[34]             EU-domstolens dom av den 9 mars 2010, kommissionen/Tyskland, mål C-518/07, REU 2010 s. I-1885.

[35]             Europaparlamentets och rådets förordning (EG) nr 45/2001 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2000, s. 1).

[36]             Op. cit, fotnot 34.

[37]             Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (EUT L 210, 6.8.2008, s. 1).

[38]             På grundval av artikel 5.1 i rådets rambeslut 2009/948/JHA av den 30 november 2009 om förebyggande och lösning av tvister om utövande av jurisdiktion i straffrättsliga förfaranden, EUT L 328, 15.12.2009, s. 42, och artikel 13.1 i rådets förordning (EG) nr 1/2003 av den 16 december 2002 om tillämpning av konkurrensreglerna i artiklarna 81 och 82 i fördraget, EUT L 1, 4.1.2003, s.1.

[39]             På grundval av Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (”Direktiv om elektronisk handel”) (EGT L 178, 17.7.2000, s. 1).

[40]             Jfr angående tolkningen t.ex. EU-domstolens dom av den 16 december 2008, Satakunnan Markkinapörssi and Satamedia (C-73/07, REG 2008 s. I-9831).

[41]             EUT C , , s. .

[42]             EUT C , , s. .

[43]             EGT L 281, 23.11.1995, s. 31.

[44]             EGT L 8, 12.1.2001, s. 1.

[45]             Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).

[46]             EGT L 176, 10.7.1999, s. 36.

[47]             EUT L 53, 27.2.2008, s. 52.  

[48]             EUT L 160, 18.6.2011, s. 19.

[49]             Verksamhetsbaserad förvaltning och verksamhetsbaserad budgetering benämns ibland med de interna förkortningarna ABM respektive ABB.

[50]             I den mening som avses i artikel 49.6 a respektive 49.6 b i budgetförordningen.

[51]             Närmare förklaringar av de olika metoderna för genomförande med hänvisningar till respektive bestämmelser i budgetförordningen återfinns på BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

[52]             Organ som avses i artikel 185 i budgetförordningen.

[53]             Differentierade respektive icke-differentierade anslag.

[54]             Efta: Europeiska frihandelssammanslutningen.

[55]             Kandidatländer och i förekommande fall potentiella kandidatländer i västra Balkan.

[56]             Med år n avses det år då förslaget eller initiativet ska börja genomföras.

[57]             Detta avser tekniskt eller administrativt stöd för genomförandet av vissa av Europeiska unionens program och åtgärder (tidigare s.k. BA-poster) samt indirekta och direkta forskningsåtgärder.

[58]             Med år n avses det år då förslaget eller initiativet ska börja genomföras.

[59]             Resultaten som ska anges är de produkter eller tjänster som levererats (t.ex. antal studentutbyten som har finansierats eller antal kilometer väg som har byggts).

[60]             Styrelsens yttranden, beslut och förfaranden.

[61]             Ärenden som handläggs inom mekansimen för enhetlighet.

[62]             Med år n avses det år då förslaget eller initiativet ska börja genomföras.

[63]             Detta avser tekniskt eller administrativt stöd för genomförandet av vissa av Europeiska unionens program och åtgärder (tidigare s.k. BA-poster) samt indirekta och direkta forskningsåtgärder.

[64]             [Denna fotnot förklarar vissa initialförkortningar som inte används i den svenska versionen].

[65]             Särskilt tak för finansiering av extern personal genom driftsanslag (tidigare s.k. BA-poster).

[66]             Inom förvaltningen av strukturfonderna, Europeiska jordbruksfonden för landsbygdsutveckling (EJFLU) samt Europeiska fiskerifonden (EFF).

[67]             Se punkterna 19 och 24 i det interinstitutionella avtalet.

[68]             När det gäller traditionella egna medel (tullar och sockeravgifter) ska nettobeloppen anges, dvs. bruttobeloppen minus 25 % avdrag för uppbördskostnader.

[69]             Resultaten som ska anges är de produkter eller tjänster som levererats (t.ex. antal studentutbyten som har finansierats eller antal kilometer väg som har byggts).

[70]             Mål som redovisats under punkt 1.4.2 ”Specifikt/specifika mål”.

[71]             Ärenden som handläggs inom mekansimen för enhetlighet.

[72]             Styrelsens yttranden, beslut och förfaranden.

[73]             De totalbelopp som anges för varje år utgör kostnadsberäkningar för de insatser som behövs för att utveckla och förvalta it-verktyget.