BEGRUNDELSE

1.           BAGGRUND FOR FORSLAGET

I denne begrundelse redegøres der nærmere for den nye retlige ramme for beskyttelse af personoplysninger i EU som fremlagt i Kommissionens meddelelse COM(2012) 9 final[1]. Rammen består af to forslag til retsakt:

– et forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse)

– et forslag til Europa-Parlamentets og Rådets direktiv om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger[2].

Denne begrundelse vedrører forslaget til en generel forordning om databeskyttelse.

Kernen i den eksisterende EU-ret om beskyttelse af personoplysninger, direktiv 95/46/EF[3], blev vedtaget i 1995 med det dobbelte formål at beskytte den grundlæggende ret til databeskyttelse og at garantere fri udveksling af personoplysninger mellem medlemsstaterne. Direktivet blev suppleret med rammeafgørelse 2008/977/RIA, som er det generelle EU-instrument til beskyttelse af personoplysninger i forbindelse med politimæssigt og retligt samarbejde i straffesager[4].

Den hurtige teknologiske udvikling har skabt nye udfordringer, hvad angår beskyttelse af personoplysninger. Omfanget af datadeling og -indsamling er steget drastisk. Teknologien giver både private virksomheder og offentlige myndigheder mulighed for at udnytte personoplysninger i et hidtil uset omfang, når de udøver deres aktiviteter. Fysiske personer udbreder i stigende grad deres personoplysninger offentligt og globalt. Teknologien har ændret både samfundet og det sociale liv.

Opbygning af tillid i onlinemiljøet er afgørende for den økonomiske udvikling. Manglende tillid får forbrugerne til at være tilbageholdende med at købe varer på internettet og benytte nye tjenester. Dette kan forsinke udviklingen af innovative anvendelser af nye teknologier. Beskyttelse af personoplysninger spiller derfor en central rolle i den digitale dagsorden for Europa[5] og mere generelt i Europa 2020-strategien[6].

I artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde (TEUF), som blev indført ved Lissabontraktaten, fastsættes det, at enhver har ret til beskyttelse af personoplysninger om vedkommende selv. Ved artikel 16, stk. 2, i TEUF indførte Lissabontraktaten et specifikt retsgrundlag for vedtagelsen af regler om beskyttelse af personoplysninger. I artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder fastslås det, at beskyttelse af personoplysninger er en grundlæggende rettighed.

Det Europæiske Råd har opfordret Kommissionen til at evaluere, hvordan EU's instrumenter vedrørende databeskyttelse fungerer, og om nødvendigt fremlægge yderligere lovgivnings­mæssige eller ikke-lovgivningsmæssige initiativer[7]. I sin beslutning om Stockholm­programmet glædede Europa-Parlamentet[8] sig over forslaget til en generel databeskyttelsesordning i EU og opfordrede bl.a. til en revision af rammeafgørelsen. Kommissionen har i sin handlingsplan om gennemførelse af Stockholmprogrammet[9] understreget behovet for at sikre, at den grundlæggende ret til beskyttelse af person­oplysninger overholdes konsekvent i forbindelse med alle EU-politikker.

I sin meddelelse "En global metode til beskyttelse af personoplysninger i Den Europæiske Union"[10] konkluderede Kommissionen, at EU har brug for en mere omfattende og sammenhængende politik om den grundlæggende ret til beskyttelse af personoplysninger.

Den nuværende ramme er stadig forsvarlig, hvad angår dens målsætninger og principper, men den har ikke forhindret en fragmentering af den måde, hvorpå beskyttelsen af personoplysninger gennemføres i EU's forskellige medlemsstater, en mangelfuld retssikkerhed og en udbredt offentlig opfattelse af, at der er betydelige risici i forbindelse med navnlig onlineaktivitet[11]. Det er derfor på tide, at der opbygges en stærkere og mere sammenhængende ramme for databeskyttelse i EU, som følges op af en effektiv håndhævelse, der sikrer, at den digitale økonomi kan udvikle sig på tværs af det indre marked, giver fysiske personer kontrol over deres egne oplysninger og styrker retssikkerheden og den praktiske sikkerhed for erhvervsdrivende og offentlige myndigheder.

2.           RESULTATER AF HØRINGEN AF INTERESSEREDE PARTER OG KONSEKVENSANALYSER

Dette initiativ er resultatet af omfattende høringer af de vigtigste interesserede parter om en revision af den nuværende retlige ramme for beskyttelse af personoplysninger, der blev gennemført over en periode på mere end to år, og som omfattede en konference på højt niveau i maj 2009[12] og to offentlige høringsfaser:

– Fra den 9. juli til den 31. december 2009: høring om den retlige ramme for beskyttelse af personoplysninger, hvor Kommissionen modtog 168 svar, heraf 127 fra enkeltpersoner, erhvervsorganisationer og -sammenslutninger og 12 fra offentlige myndigheder[13]

– Fra den 4. november 2010 til den 15. januar 2011: høring om Kommissionens globale metode til beskyttelse af personoplysninger i EU, hvor Kommissionen modtog 305 svar, heraf 54 fra borgere, 31 fra offentlige myndigheder og 220 fra private organisationer, navnlig erhvervssammenslutninger og ngo'er.[14]

Der blev også gennemført målrettede høringer af centrale aktører, og i juni og juli 2010 blev der afholdt særlige arrangementer med deltagelse af myndigheder fra medlemsstaterne, aktører fra den private sektor samt organisationer, der arbejder med beskyttelse af privatlivets fred, databeskyttelse og forbrugerinteresser[15]. I november 2010 tilrettelagde Kommissionens næstformand Viviane Reding en rundbordsdrøftelse af reformen af rammen for databeskyttelse. Den 28. januar 2011 (databeskyttelsesdagen) afholdt Europa-Kommissionen og Europarådet sammen en konference på højt niveau om spørgsmål vedrørende reformen af EU's retlige ramme og behovet for fælles standarder for databeskyttelse i hele verden[16]. Det ungarske og det polske formandskab var værter for to konferencer om databeskyttelse den 16.-17. juni 2011 og den 21. september 2011.

Gennem hele 2011 blev der afholdt målrettede workshopper og seminarer om specifikke spørgsmål. I januar tilrettelagde ENISA[17] en workshop om anmeldelse af brud på datasikkerheden i Europa[18]. I februar afholdt Kommissionen en workshop med deltagelse af medlemsstaternes myndigheder med det formål at drøfte databeskyttelsesspørgsmål i forbindelse med politimæssigt og retligt samarbejde i straffesager, herunder gennemførelsen af rammeafgørelsen, og Agenturet for Grundlæggende Rettigheder afholdt et møde, hvor de berørte parter blev hørt om databeskyttelse og beskyttelse af privatlivets fred. En drøftelse af centrale spørgsmål i forbindelse med reformen blev gennemført den 13. juli 2011 med deltagelse af de nationale databeskyttelsesmyndigheder. EU-borgere blev hørt i en Eurobarometerundersøgelse i november-december 2010[19]. Der blev også indledt en række undersøgelser[20]. "Artikel 29-gruppen"[21] indgav en række udtalelser og nyttige bidrag til Kommissionen[22]. Den Europæiske Tilsynsførende for Databeskyttelse har også afgivet en omfattende udtalelse om de spørgsmål, der rejses i Kommissionens meddelelse fra november 2010[23].

Europa-Parlamentet godkendte ved sin beslutning af 6. juli 2011 en betænkning, der støttede Kommissionens tilgang til reformen af databeskyttelsesrammen[24]. Rådet støttede i sine konklusioner vedtaget den 24. februar 2011 generelt Kommissionens hensigt om at reformere databeskyttelsesrammen og tilsluttede sig mange af elementerne i Kommissionens tilgang. Det Europæiske Økonomiske og Sociale Udvalg støttede ligeledes Kommissionens hensigt om at sikre en mere sammenhængende anvendelse af EU's databeskyttelsesregler[25] på tværs af alle medlemsstater og en passende revision af direktiv 95/46/EF[26].

Under høringerne om den globale tilgang var et stort flertal af de berørte parter enige om, at de generelle principper fortsat har gyldighed, men at der er behov for at tilpasse den nuværende ramme, så den i højere grad imødegår de udfordringer, der opstår som følge af den hurtige udvikling af nye teknologier (navnlig på internettet) og den øgede globalisering, samtidig med at den retlige rammes teknologiske neutralitet bevares. Den nuværende fragmentering af beskyttelsen af personoplysninger i EU er blevet skarpt kritiseret af navnlig økonomiske aktører, der ønsker øget retssikkerhed og harmonisering af reglerne om beskyttelse af personoplysninger. Kompleksiteten ved reglerne om international udveksling af personoplysninger vurderes at udgøre en betydelig hindring for deres aktiviteter, da de regelmæssigt skal overføre personoplysninger fra EU til andre dele af verden.

Kommissionen har i overensstemmelse med sin handlingsplan for en bedre lovgivning foretaget en konsekvensanalyse af alternative politikker. Konsekvensanalysen var baseret på tre politiske målsætninger, nemlig at lægge større vægt på databeskyttelse som led i det indre marked, at forbedre fysiske personers muligheder for at udøve deres databeskyttelses­rettigheder og at skabe et omfattende og sammenhængende system, som dækker alle EU's kompetenceområder, herunder politimæssigt og retligt samarbejde i straffesager. Tre løsningsmodeller med forskellige grader af indgriben blev vurderet. Den første model bestod af minimale lovgivningsændringer og anvendelse af fortolkningsmeddelelser og politiske støtteforanstaltninger, som f.eks. finansieringsprogrammer og tekniske værktøjer. Den anden model omfattede et sæt lovgivningsbestemmelser, som omhandlede hvert af de spørgsmål, der blev udpeget i analysen, og den tredje model gjaldt centralisering af databeskyttelse på EU-plan gennem præcise og detaljerede regler for alle sektorer og oprettelse af et EU-agentur for kontrol med og håndhævelse af bestemmelserne.

I overensstemmelse med Kommissionens fastlagte metode blev hver model med hjælp fra en intern styregruppe vurderet i forhold til modellens effektivitet med hensyn til at opfylde de politiske målsætninger, dens økonomiske indvirkning på aktørerne (herunder på EU-institutionernes budget), dens sociale indvirkning og dens indvirkning på de grundlæggende rettigheder. Der blev ikke konstateret miljømæssige indvirkninger. Analysen af den overordnede indvirkning resulterede i udformningen af den foretrukne model, som er baseret på model 2, omfatter visse elementer fra de to andre modeller og indgår i dette forslag. I henhold til konsekvensanalysen vil gennemførelsen heraf bl.a. sikre betydelige forbedringer med hensyn til retssikkerheden for registeransvarlige og borgere, formindskelse af den administrative byrde, overensstemmende håndhævelse af databeskyttelse i EU, konkret mulighed for fysiske personer for at udøve deres rettigheder til beskyttelse af personoplysninger i EU og en effektiv overvågning og håndhævelse af databeskyttelse. Gennemførelsen af den foretrukne model forventes også at bidrage til Kommissionens mål om forenkling og reduktion af den administrative byrde og til målsætningerne i den digitale dagsorden for Europa, Stockholmprogrammet og Europa 2020-strategien.

Udvalget for Konsekvensanalyse afgav en udtalelse om udkastet til konsekvensanalyse den 9. september 2011. I forlængelse af denne udtalelse blev der foretaget følgende ændringer i konsekvensanalysen:

– målsætningerne for den nuværende retlige ramme (i hvilket omfang de er opfyldt og ikke opfyldt) og målsætningerne for den planlagte reform blev præciseret

– yderligere dokumentation, forklaringer og præciseringer er føjet til afsnittet med definition af problemer

– et afsnit om proportionalitet er tilføjet

– alle beregninger og overslag vedrørende den administrative byrde i basisscenariet og i den foretrukne model er blevet gennemgået og revideret fuldstændigt, og forholdet mellem omkostningerne til anmeldelse og de samlede omkostninger som følge af fragmentering er blevet præciseret (herunder bilag 10)

– indvirkningerne på mikrovirksomheder og små og mellemstore virksomheder, navnlig hvad angår databeskyttelsesansvarlige og konsekvensanalyser vedrørende databeskyttelse, er blevet præciseret yderligere.

Konsekvensanalyserapporten og et resumé er offentliggjort sammen med forslagene.

3.           FORSLAGETS RETLIGE ASPEKTER

3.1.        Retsgrundlag

Dette forslag er baseret på artikel 16 i TEUF, som er det nye retsgrundlag for vedtagelsen af databeskyttelsesregler, der blev indført ved Lissabontraktaten. Denne bestemmelse gør det muligt at vedtage regler om beskyttelse af fysiske personer i forbindelse med medlemsstaternes behandling af personoplysninger ved udførelse af aktiviteter, der falder inden for rammerne af EU-retten. Den gør det også muligt at vedtage regler om fri udveksling af personoplysninger, herunder personoplysninger, der er behandlet af medlemsstater eller private parter.

En forordning anses for at være det mest hensigtsmæssige retlige instrument til fastlæggelse af regler om beskyttelse af personoplysninger i EU. Det forhold, at en forordning er almengyldig i henhold til artikel 288 i TEUF, vil mindske lovgivningens fragmentering og øge retssikkerheden ved at indføre et harmoniseret sæt hovedregler, forbedre beskyttelsen af fysiske personers grundlæggende rettigheder og bidrage til det indre markeds gennemførelse.

Henvisningen til artikel 114, stk. 1, i TEUF er kun nødvendig for at ændre direktiv 2002/58/EF og i det omfang, direktivet også indeholder bestemmelser om beskyttelse af de legitime interesser hos deltagere, der er juridiske personer.

3.2.        Nærhedsprincippet og proportionalitetsprincippet

I medfør af nærhedsprincippet (EU-traktatens artikel 5, stk. 3) iværksættes der kun foranstaltninger på EU-plan, hvis og i det omfang de forventede mål ikke i tilstrækkelig grad kan nås af medlemsstaterne alene og derfor på grund af den påtænkte handlings omfang eller virkninger bedre kan gennemføres på EU-plan. I lyset af ovennævnte problemer giver analysen af nærhedsprincippet følgende begrundelser for nødvendigheden af en indsats på EU-plan:

– Retten til beskyttelse af personoplysninger, som er udtrykkeligt anerkendt i artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder, kræver samme databeskyttelsesniveau i hele EU. Hvis der ikke indføres fælles EU-regler, opstår der risiko for forskellige databeskyttelsesniveauer i medlemsstaterne og begrænsninger for strømmen af personoplysninger på tværs af landegrænserne mellem medlemsstater med forskellige standarder.

– Personoplysninger videregives stadig hurtigere på tværs af nationale grænser, både interne og eksterne. Der er desuden en række praktiske udfordringer i forbindelse med håndhævelsen af lovgivningen om databeskyttelse og et behov for samarbejde mellem medlemsstaterne og deres myndigheder, som bør organiseres på EU-plan for at sikre en ensartet anvendelse af EU-retten. EU er også mest velegnet til effektivt og ensartet at sikre det samme beskyttelsesniveau for fysiske personer, når deres personoplysninger videregives til tredjelande.

– Medlemsstaterne kan ikke selv mindske de aktuelle problemer, navnlig ikke problemerne vedrørende de nationale lovgivningers fragmentering. Der er også et specifikt behov for at skabe en harmoniseret og sammenhængende ramme, som muliggør nem udveksling af personoplysninger på tværs af EU's grænser, samtidig med at alle fysiske personer i EU sikres en effektiv beskyttelse.

– Den foreslåede EU-lovgivning vil være mere effektiv end tilsvarende lovgivning på medlemsstatsniveau på grund af problemernes karakter og omfang, som ikke kun gør sig gældende for en eller flere medlemsstater.

I henhold til proportionalitetsprincippet skal interventioner være målrettede og må ikke række ud over det, der er nødvendigt for at nå målene. Det har været det ledende princip i udformningen af dette forslag fra identificering og vurdering af alternative løsningsmodeller til udarbejdelsen af lovgivningsforslaget.

3.3.        Sammenfatning af aspektet "grundlæggende rettigheder"

Retten til beskyttelse af personoplysninger er indført ved artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 16 i TEUF. Som det understreges af EU-Domstolen[27], er retten til beskyttelse af personoplysninger ikke en absolut ret, men skal ses i forhold til dens funktion i samfundet[28]. Databeskyttelse hænger tæt sammen med respekten for privatliv og familieliv, som er omhandlet i chartrets artikel 7. Dette afspejles i artikel 1, stk. 1, i direktiv 95/46/EF, som fastsætter, at medlemsstaterne sikrer beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger.

Andre af chartrets grundlæggende rettigheder, som eventuelt berøres, omfatter ytringsfrihed (artikel 11 i chartret), frihed til at oprette og drive egen virksomhed (artikel 16), ejendomsretten og navnlig beskyttelsen af intellektuel ejendom (artikel 17, stk. 2), forbuddet mod forskelsbehandling på grund af bl.a. race, etnisk oprindelse, genetiske anlæg, religion eller tro, politiske eller andre anskuelser, handicap eller seksuel orientering (artikel 21), børns rettigheder (artikel 24), retten til et højt sundhedsbeskyttelsesniveau (artikel 35) og retten til aktindsigt (artikel 42) og retten til indsigt i dokumenter (artikel 42) og retten til adgang til effektive retsmidler og til en upartisk domstol (artikel 47).

3.4.        Nærmere beskrivelse af forslaget

3.4.1.     KAPITEL I - GENERELLE BESTEMMELSER

I artikel 1 fastsættes genstanden for forordningen og - som i artikel 1 i direktiv 95/46/EF - tillige forordningens to målsætninger.

I artikel 2 fastsættes forordningens materielle anvendelsesområde.

I artikel 3 fastsættes forordningens territoriale anvendelsesområde.

Artikel 4 indeholder definitioner af udtryk, der anvendes i forordningen. Nogle definitioner er overtaget fra direktiv 95/46/EF, mens andre er ændret og suppleres af yderligere elementer, og endnu andre er nye ("brud på persondatasikkerheden", jf. artikel 2, litra h), i direktiv 2002/58/EF om e-databeskyttelse[29] som ændret ved direktiv 2009/136/EF[30], "genetiske data", "biometriske data", "helbredsoplysninger", "hovedvirksomhed", "repræsentant", "virksom­hed", "koncern", "bindende virksomhedsregler" og "barn", jf. FN's konvention om barnets rettigheder[31], og "tilsynsmyndighed").

I definitionen af samtykke er kriteriet "udtrykkeligt" tilføjet for at undgå en forvirrende sidestilling med "utvetydigt" samtykke og for at opnå én fælles og ensartet definition af samtykke, så den registrerede gøres opmærksom på, at og til hvad han eller hun afgiver sit samtykke.

3.4.2.     KAPITEL II - PRINCIPPER

I artikel 5 fastsættes principperne for behandling af personoplysninger, som svarer til principperne i artikel 6 i direktiv 95/46/EF. Yderligere nye elementer omfatter gennem­sigtighedsprincippet, præcisering af princippet om dataminimering og fastlæggelse af de registeransvarliges omfattende ansvar, herunder erstatningsansvar.

I artikel 6 fastsættes med udgangspunkt i artikel 7 i direktiv 95/46/EF kriterierne for lovlig behandling, som præciseres yderligere, hvad angår kriteriet om interesseafvejning og overholdelsen af retlige forpligtelser og samfundsinteresser.

Artikel 7 præciserer betingelserne for, at et samtykke kan anvendes som juridisk begrundelse for lovlig behandling.

I artikel 8 fastsættes nærmere bestemmelser om det lovlige i at behandle personoplysninger om børn i forbindelse med informationssamfundstjenester, som tilbydes dem direkte.

I artikel 9 fastsættes det generelle forbud mod behandling af særlige kategorier af personoplysninger og undtagelserne fra denne generelle regel baseret på artikel 8 i direktiv 95/46/EF.

I artikel 10 præciseres det, at en registeransvarlig ikke er forpligtet til at indhente yderligere oplysninger for at kunne identificere den registrerede alene med det formål at overholde bestemmelserne i denne forordning.

3.4.3.     KAPITEL III - DEN REGISTREREDES RETTIGHEDER

3.4.3.1.  Afdeling 1 - Gennemsigtighed og nærmere regler

Ved artikel 11 indføres forpligtelsen for registeransvarlige til at levere gennemsigtig, lettilgængelig og forståelig information, navnlig inspireret af Madridresolutionen om internationale standarder for beskyttelse af personlige oplysninger og privatlivets fred[32].

Artikel 12 forpligter den registeransvarlige til at fastlægge procedurer for og systemer til udøvelse af den registreredes rettigheder, herunder systemer til elektroniske anmodninger, idet den registreredes anmodninger skal besvares inden for en fastsat tidsfrist, og afslag skal begrundes.

Ved artikel 13 fastlægges rettigheder i forbindelse med modtagere på grundlag af artikel 12, litra c), i direktiv 95/46/EF, som gælder for alle modtagere, herunder fælles registeransvarlige og registerførere.

3.4.3.2.  Afdeling 2 - Information og indsigt i oplysninger

I artikel 14 fastsættes nærmere bestemmelser om den registeransvarliges underretningspligt over for den registrerede med udgangspunkt i artikel 10 og 11 i direktiv 95/46/EF, så der gives yderligere oplysninger til den registrerede, herunder om opbevaringsperiode og retten til at indgive klage, i forbindelse med international udveksling og den kilde, oplysningerne kommer fra. Den fastholder også de mulige undtagelser i direktiv 95/46/EF. Der pålægges f.eks. ikke en sådan pligt, hvis registreringen eller videregivelsen udtrykkeligt er fastsat ved lov. Dette kan f.eks. gøre sig gældende i sager, der føres af konkurrencemyndigheder, skatte- eller toldforvaltninger eller socialsikringsmyndigheder.

Artikel 15 omhandler den registreredes ret til indsigt i sine personoplysninger med udgangspunkt i artikel 12, litra a), i direktiv 95/46/EF, idet der tilføjes nye elementer, som har til formål at oplyse de registrerede om opbevaringsperioden samt retten til berigtigelse, sletning og indgivelse af klager.

3.4.3.3.  Afdeling 3 - Berigtigelse og sletning

I artikel 16 fastsættes den registreredes ret til berigtigelse, som er baseret på artikel 12, litra b), i direktiv 95/46/EF.

Artikel 17 omhandler den registreredes ret til at blive glemt og til sletning. Den uddyber og beskriver retten til sletning, der er omhandlet i artikel 12, litra b), i direktiv 95/46/EF, og angiver betingelserne for retten til at blive glemt, herunder den pligt, som registeransvarlige, der har offentliggjort personoplysningerne, har til at informere tredjeparter om den registreredes anmodning om at slette alle link til, kopier af eller gengivelser af de pågældende personoplysninger. Den integrerer også retten til i visse tilfælde at få behandlingen begrænset, så den tvetydige terminologi "blokering" undgås.

Ved artikel 18 indføres den registreredes ret til dataportabilitet, dvs. til at overføre oplysninger fra et elektronisk databehandlingssystem til et andet, uden at den registeransvarlige kan forhindre det. Som en forudsætning og for yderligere at forbedre fysiske personers indsigt i deres personoplysninger fastsættes der bestemmelser om retten til at få disse oplysninger fra den registeransvarlige i et almindeligt anvendt elektronisk format.

3.4.3.4.  Afdeling 4 - Indsigelsesret og profilering

Artikel 19 omhandler den registreredes indsigelsesret. Den er baseret på artikel 14 i direktiv 95/46/EF med visse ændringer, herunder med hensyn til bevisbyrden og anvendelsen på direkte markedsføring.

Artikel 20 omhandler den registreredes ret til ikke at være genstand for foranstaltninger baseret på profilering. Med ændringer og yderligere garantier er den baseret på artikel 15, stk. 1, i direktiv 95/46/EF om edb-behandlede individuelle afgørelser, og der tages hensyn til Europarådets anbefaling om profilering[33].

3.4.3.5.  Afdeling 5 - Begrænsninger

I artikel 21 præciseres EU's eller medlemsstaternes beføjelse til at fastholde eller indføre begrænsninger af principperne i artikel 5 og for den registreredes rettigheder, som er fastsat i artikel 11-20 og i artikel 32. Denne bestemmelse er baseret på artikel 13 i direktiv 95/46/EF og de krav, der følger af Den Europæiske Unions charter om grundlæggende rettigheder og den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder som fortolket af EU-Domstolen og Den Europæiske Menneskerettighedsdomstol.

3.4.4.     KAPITEL IV - REGISTERANSVARLIG OG REGISTERFØRER

3.4.4.1.  Afdeling 1 - Generelle forpligtelser

Artikel 22 inddrager drøftelserne om et "princip om ansvarlighed" og beskriver i detaljer den registeransvarliges ansvar for at overholde denne forordning og påvise overholdelsen, herunder ved indførelse af interne regler og systemer, som kan sikre denne overholdelse.

I artikel 23 fastsættes den registeransvarliges forpligtelser som følge af principperne om indbygget databeskyttelse og databeskyttelse gennem indstillinger.

I artikel 24 om fælles registeransvarlige fastlægges ansvarsområderne for fælles registeransvarlige, hvad angår deres indbyrdes forhold og forhold til den registrerede.

Artikel 25 forpligter på visse betingelser registeransvarlige, som ikke er etableret i EU, hvor forordningen gælder for deres behandlingsaktiviteter, til at udpege en repræsentant i EU.

Artikel 26 afklarer registerførernes position og forpligtelse delvist baseret på artikel 17, stk. 2, i direktiv 95/46/EF og tilføjer nye elementer, herunder at en registerfører, som behandler data ud over den registeransvarliges anvisninger, betragtes som en fælles registeransvarlig.

Artikel 27 om behandling, der udføres under den registeransvarlige eller registerføreren, er baseret på artikel 16 i direktiv 95/46/EF.

Ved artikel 28 indføres forpligtelsen for de registeransvarlige og registerførere til at opbevare dokumentation for behandling, der udføres under deres ansvar, i stedet for en generel anmeldelse til tilsynsmyndigheden som krævet i artikel 18, stk. 1, og artikel 19 i direktiv 95/46/EF.

I artikel 29 præciseres den registeransvarliges og registerførerens forpligtelse til at samarbejde med tilsynsmyndigheden.

3.4.4.2.  Afdeling 2 - Datasikkerhed

Ved artikel 30 forpligtes den registeransvarlige og registerføreren til at gennemføre passende foranstaltninger, der tager sigte på at garantere behandlingssikkerheden, med udgangspunkt i artikel 17, stk. 1, i direktiv 95/46/EF, idet denne forpligtelse udvides til at omfatte registerførere uanset aftalen med den registeransvarlige.

Ved artikel 31 og 32 indføres en forpligtelse til at anmelde brud på persondatasikkerheden, som er baseret på anmeldelsen af brud på persondatasikkerheden i artikel 4, stk. 3, i direktiv 2002/58/EF om e-databeskyttelse.

3.4.4.3.  Afdeling 3 - Konsekvensanalyse vedrørende databeskyttelse og forudgående godkendelse

Ved artikel 33 indføres forpligtelsen for de registeransvarlige og registerførere til at foretage en konsekvensanalyse vedrørende databeskyttelse, inden de foretager risikobehæftet behandling.

Artikel 34 vedrører tilfælde, hvor tilsynsmyndighedens godkendelse og høring kræves inden behandling, med udgangspunktet i bestemmelsen om forudgående kontrol i artikel 20 i direktiv 95/46/EF.

3.4.4.4.  Afdeling 4 - Databeskyttelsesansvarlig

Ved artikel 35 indføres krav om, at der skal udpeges en databeskyttelsesansvarlig for den offentlige sektor og i den private sektor for store virksomheder eller virksomheder, hvor den registeransvarliges eller registerførerens kerneaktiviteter består af behandling, der kræver regelmæssig og systematisk overvågning. Denne artikel er baseret på artikel 18, stk. 2, i direktiv 95/46/EF, som gav medlemsstaterne mulighed for at indføre et sådant krav i stedet for en generel anmeldelsespligt.

Artikel 36 omhandler stillingen som databeskyttelsesansvarlig.

Artikel 37 omhandler den databeskyttelsesansvarliges hovedopgaver.

3.4.4.5.  Afdeling 5 - Adfærdskodekser og certificering

Artikel 38 omhandler adfærdskodekser med udgangspunkt i bestemmelsen i artikel 27, stk. 1, i direktiv 95/46/EF, afklarer indholdet af kodekserne og procedurerne og fastsætter bestem­melser om Kommissionens beføjelse til at træffe afgørelse og adfærdskodeksers generelle gyldighed.

Artikel 39 indfører muligheden for at fastlægge certificeringsordninger og databeskyttelses­mærkninger og -mærker.

3.4.5.     KAPITEL V - VIDEREGIVELSE AF PERSONOPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER

I artikel 40 præciseres det generelt, at overholdelse af forpligtelserne i dette kapitel er obligatorisk ved enhver videregivelse af personoplysninger til tredjelande eller internationale organisationer, herunder videreoverførsel.

I artikel 41 fastsættes kriterierne, betingelserne og procedurerne for Kommissionens vedtagelse af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet med udgangspunkt i artikel 25 i direktiv 95/46/EF. De kriterier, der skal indgå i Kommissionens vurdering af, om et beskyttelses­niveau er tilstrækkeligt eller ej, omfatter udtrykkeligt retsregler, adgang til retsmidler og uafhængigt tilsyn. Muligheden for, at Kommissionen vurderer det beskyttelsesniveau, der sikres af et område eller en behandlingssektor i et tredjeland, bekræftes nu udtrykkeligt i bestemmelsen.

I artikel 42 kræves det ved videregivelse af oplysninger til tredjelande, hvor Kommissionen ikke har vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, at der indføres de fornødne garantier, navnlig særlige standardbestemmelser om databeskyttelse, bindende virksomhedsregler og kontraktbestemmelser. Muligheden for at bruge Kommissionens standardbestemmelser om databeskyttelse er baseret på artikel 26, stk. 4, i direktiv 95/46/EF. Som en ny komponent kan sådanne standardbestemmelser om databeskyttelse nu også vedtages af en tilsynsmyndighed og erklæres for alment gyldige af Kommissionen. Bindende virksomhedsregler nævnes nu specifikt i retsakten. Muligheden for kontraktbestemmelser giver den registeransvarlige eller registerføreren en vis fleksibilitet, men skal på forhånd godkendes af tilsynsmyndighederne.

I artikel 43 beskrives betingelserne for videregivelse i form af bindende virksomhedsregler baseret på tilsynsmyndighedernes nuværende praksis og krav.

I artikel 44 anføres og afklares mulighederne for undtagelser i forbindelse med videregivelse af oplysninger med udgangspunkt i bestemmelserne i artikel 26 i direktiv 95/46/EF. Dette gælder navnlig for videregivelse af oplysninger, der udføres af hensyn til vigtige samfunds­interesser, f.eks. ved international udveksling af oplysninger mellem konkurrence­myndigheder, skatte- eller toldforvaltninger eller socialsikringsmyndigheder eller fiskeri­myndigheder. Videregivelse af oplysninger kan endvidere under visse omstændigheder begrundes af den registeransvarliges eller registerførerens legitime interesse, men først efter at denne har vurderet og dokumenteret omstændighederne for den pågældende videregivelse.

I artikel 45 fastsættes udtrykkeligt bestemmelser om internationale samarbejdsmekanismer om beskyttelse af personoplysninger mellem Kommissionen og tilsynsmyndighederne i tredjelande, navnlig lande, der vurderes at tilbyde et tilstrækkeligt beskyttelsesniveau, på grundlag af OECD's anbefaling af 12. juni 2007om grænseoverskrivende samarbejde om håndhævelse af lovgivning om beskyttelse af privatlivets fred.

3.4.6.     KAPITEL VI - UAFHÆNGIGE TILSYNSMYNDIGHEDER

3.4.6.1.  Afdeling 1 - Uafhængig status

I artikel 46 forpligtes medlemsstaterne til at oprette tilsynsmyndigheder baseret på artikel 28, stk. 1, i direktiv 95/46/EF, og tilsynsmyndighederne forpligtes yderligere til at samarbejde med hinanden og med Kommissionen.

I artikel 47 afklares betingelserne for tilsynsmyndighedens uafhængighed i overensstemmelse med EU-Domstolens retspraksis[34], også med udgangspunkt i artikel 44 i forordning (EF) nr. 45/2001[35].

I artikel 48 fastsættes de generelle betingelser for medlemmerne af tilsynsmyndigheden i overensstemmelse med den relevante retspraksis[36], også med udgangspunkt i artikel 42, stk. 2-6, i forordning (EF) nr. 45/2001.

I artikel 49 fastsættes de regler for oprettelse af tilsynsmyndigheden, som skal fastlægges i medlemsstaternes lovgivning.

Artikel 50 omhandler tavshedspligt for tilsynsmyndighedens medlemmer og personale og er baseret på artikel 28, stk. 7, i direktiv 95/46/EF.

3.4.6.2.  Afdeling 2 - Opgaver og beføjelser

Artikel 51 omhandler tilsynsmyndighedernes kompetence. Den generelle regel, som er baseret på artikel 28, stk. 6, i direktiv 95/46/EF (kompetence inden for medlemsstatens eget område), suppleres med en ny kompetence som hovedmyndighed, hvis en registeransvarlig eller registerfører er etableret i flere medlemsstater, for at sikre ensartet anvendelse ("one-stop-shop"). Når domstole handler i deres egenskab af retslig myndighed er de ikke underlagt tilsynsmyndighedens kontrol, men de skal fortsat anvende de materielle regler om databeskyttelse.

Artikel 52 omhandler tilsynsmyndighedens opgaver, herunder høring og undersøgelse af klager og bevidstgørelse af offentligheden om risici, regler, garantier og rettigheder.

Artikel 53 omhandler tilsynsmyndighedens kompetencer delvist baseret på artikel 28, stk. 3, i direktiv 95/46/EF og artikel 47 i forordning (EF) nr. 45/2001 og tilføjer nogle nye elementer, herunder beføjelsen til at sanktionere administrative overtrædelser.

Artikel 54 forpligter tilsynsmyndighederne til at udarbejde årlige aktivitetsrapporter og er baseret på artikel 28, stk. 5, i direktiv 95/46/EF.

3.4.7.     KAPITEL VII - SAMARBEJDE OG SAMMENHÆNG

3.4.7.1.  Afdeling 1 - Samarbejde

Ved artikel 55 indføres der udtrykkelige regler om obligatorisk gensidig bistand, herunder konsekvenser ved ikke at efterkomme en anden tilsynsmyndigheds anmodning, med udgangspunkt i artikel 28, stk. 6, andet afsnit, i direktiv 95/46/EF.

Ved artikel 56 indføres regler om fælles aktiviteter inspireret af artikel 17 i Rådets afgørelse 2008/615/RIA[37], herunder tilsynsmyndighedernes ret til at deltage i sådanne aktiviteter.

3.4.7.2.  Afdeling 2 - Sammenhæng

Ved artikel 57 indføres en sammenhængsmekanisme, som har til formål at sikre ensartet anvendelse i forbindelse med behandling, der kan berøre registrerede i flere medlemsstater.

I artikel 58 fastsættes procedurer og betingelser for udtalelser fra Det Europæiske Databeskyttelsesråd.

Artikel 59 omhandler dels Kommissionens udtalelser om forhold, der er omfattet af sammenhængsmekanismen, som kan enten understøtte Det Europæiske Databeskyttelsesråds udtalelse eller udtrykke uenighed med denne udtalelse, dels tilsynsmyndighedens foreslåede foranstaltning. Hvis sagen er rejst af Det Europæiske Databeskyttelsesråd i henhold til artikel 58, stk. 3, kan det forventes, at Kommissionen vil udøve sine skønsbeføjelser og om nødvendigt afgive udtalelse.

Artikel 60 vedrører Kommissionens afgørelser, som kræver, at den kompetente myndighed suspenderer sin foreslåede foranstaltning, når dette er nødvendigt for at sikre korrekt anvendelse af denne forordning.

Artikel 61 omhandler muligheden for at vedtage foreløbige foranstaltninger i en haste­procedure.

I artikel 62 fastsættes kravene til Kommissionens gennemførelsesbestemmelser i henhold til sammenhængsmekanismen.

Artikel 63 omhandler forpligtelsen til, at en tilsynsmyndigheds foranstaltninger håndhæves i alle berørte medlemsstater, og det fastsættes, at anvendelsen af sammenhængsmekanismen er en forudsætning for den retlige gyldighed og håndhævelsen af den pågældende foranstaltning.

3.4.7.3.  Afdeling 3 - Det Europæiske Databeskyttelsesråd

Ved artikel 64 oprettes Det Europæiske Databeskyttelsesråd, som sammensættes af chefen for tilsynsmyndigheden i hver medlemsstat og Den Europæiske Tilsynsførende for Databeskyttelse. Det Europæiske Databeskyttelsesråd erstatter Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger, der er nedsat ved direktiv 95/46/EF. Det præciseres, at Kommissionen ikke er medlem af Det Europæiske Databeskyttelsesråd, men har ret til at deltage i aktiviteterne og til at være repræsenteret.

I artikel 65 understreges og præciseres Det Europæiske Databeskyttelsesråds uafhængighed.

I artikel 66 beskrives Det Europæiske Databeskyttelsesråds opgaver med udgangspunkt i artikel 30, stk. 1, i direktiv 95/46/EF, og der fastsættes yderligere elementer, som afspejler det øgede aktivitetsområde for Det Europæiske Databeskyttelsesråd i EU og tredjelande. For at kunne reagere i hastende situationer gives Kommissionen mulighed for at anmode om en udtalelse inden en bestemt frist.

I artikel 67 fastsættes et krav om, at Det Europæiske Databeskyttelsesråd årligt skal aflægge beretning om sine aktiviteter, med udgangspunkt i artikel 30, stk. 6, i direktiv 95/46/EF.

I artikel 68 fastsættes beslutningsprocedurerne for Det Europæiske Databeskyttelsesråd, herunder forpligtelsen til at vedtage en forretningsorden, der også bør gælde for arbejdsgange.

Artikel 69 indeholder bestemmelser om formanden for og næstformændene i Det Europæiske Databeskyttelsesråd.

Artikel 70 omhandler formandens opgaver.

I artikel 71 fastsættes det, at sekretariatsfunktionen for Det Europæiske Databeskyttelsesråd varetages af Den Europæiske Tilsynsførende for Databeskyttelse, og sekretariatets opgaver angives nærmere.

Artikel 72 omhandler fortrolighed.

3.4.8.     KAPITEL VIII - KLAGEADGANG, ANSVAR OG SANKTIONER

I artikel 73 fastsættes den registreredes ret til at indgive en klage til en tilsynsmyndighed baseret på artikel 28, stk. 4, i direktiv 95/46/EF. Den angiver også de organer, organisationer eller sammenslutninger, der kan indgive en klage på vegne af den registrerede eller uafhængigt af en registrerets klage, hvis der er tale om brud på persondatasikkerheden.

Artikel 74 vedrører retten til domstolsprøvelse af en tilsynsmyndigheds afgørelser. Den er baseret på den almindelige bestemmelse i artikel 28, stk. 3, i direktiv 95/46/EF. Den omhandler specifikt et retsmiddel, der forpligter tilsynsmyndigheden til at reagere på en klage, og afklarer kompetencen for domstolene i den medlemsstat, hvor tilsynsmyndigheden er etableret. Den giver også mulighed for, at tilsynsmyndigheden i den medlemsstat, hvor den registrerede er bosiddende, kan indbringe en klage på vegne af den registrerede for domstolene i en anden medlemsstat, hvor den kompetente tilsynsmyndighed er etableret.

Artikel 75 omhandler retsmidler over for den registeransvarlige eller registerføreren og er baseret på artikel 22 i direktiv 95/46/EF. Den giver sagsøger mulighed for at indbringe sagen for en domstol i den medlemsstat, hvor den sagsøgte er etableret, eller hvor den registrerede er bosiddende. Hvis en sag er under overvejelse i sammenhængsmekanismen, kan domstolen udsætte den verserende sag, medmindre der er tale om et hastetilfælde.

Artikel 76 fastlægger fælles regler for retssager, herunder organers, organisationers eller sammenslutningers ret til at repræsentere registrerede for domstolene, tilsynsmyndighedernes ret til at optræde som part i retssager og information af domstolene om parallelle sager i en anden medlemsstat, og domstolenes mulighed for at udsætte verserende sager i sådanne tilfælde.[38] Medlemsstaterne har pligt til at sikre hurtig domstolsbehandling.[39]

Artikel 77 omhandler retten til erstatning og ansvar. Den er baseret på artikel 23 i direktiv 95/46/EF, udvider retten til erstatning for den forvoldte skade fra registerførere og præciserer ansvaret for fælles registeransvarlige og fælles registerførere.

Ved artikel 78 forpligtes medlemsstaterne til at fastsætte regler om sanktioner med henblik på at sanktionere overtrædelser af denne forordning og sikre deres gennemførelse.

I artikel 79 forpligtes hver tilsynsmyndighed til at sanktionere de administrative overtræ­delser, der er anført i katalogerne ifølge denne bestemmelse, og pålægge bøder mellem minimums- og maksimumsbeløbene under hensyntagen til de konkrete omstændigheder i hver sag.

3.4.9.     KAPITEL IX - BESTEMMELSER VEDRØRENDE SPECIFIKKE DATABEHAND­LINGSSITUATIONER

I artikel 80 forpligtes medlemsstaterne til at vedtage undtagelser fra specifikke bestemmelser i forordningen, hvis dette er nødvendigt for at forene retten til beskyttelse af personoplysninger med retten til ytringsfrihed. Artiklen er baseret på artikel 9 i direktiv 95/46/EF som fortolket af EU-Domstolen.[40]

I artikel 81 forpligtes medlemsstaterne i fortsættelse af betingelserne for særlige datakategorier til at sørge for særlige garantier vedrørende databehandling til sundhedsformål.

I artikel 82 gives medlemsstaterne beføjelse til at vedtage særlige love vedrørende behandling af personoplysninger ved ansættelsesforhold.

I artikel 83 fastsættes der særlige betingelser for behandling af personoplysninger til historiske, statistiske eller videnskabelige forskningsformål.

I artikel 84 gives medlemsstaterne beføjelse til at vedtage særlige regler om tilsynsmyndigheders adgang til personoplysninger og områder, hvor de registeransvarlige er underlagt krav om fortrolighed.

Artikel 85 omhandler på grundlag af artikel 17 i traktaten om Den Europæiske Unions funktionsmåde kirkernes fortsatte anvendelse af eksisterende omfattende databeskyttelses­regler, hvis de bringes i overensstemmelse med denne forordning.

3.4.10.   KAPITEL X - DELEGEREDE RETSAKTER OG GENNEMFØRELSES­FORANSTALTNINGER

Artikel 86 indeholder standardbestemmelserne om udøvelse af delegerede beføjelser i overensstemmelse med artikel 290 i TEUF. Dette giver lovgiveren mulighed for til at tillægge Kommissionen beføjelser til at vedtage almengyldige ikke-lovgivningsmæssige retsakter, der udbygger eller ændrer visse ikke-væsentlige bestemmelser i en lovgivningsmæssig retsakt (retsakter af lovgivningslignende karakter).

Artikel 87 indeholder bestemmelsen om den udvalgsprocedure, der skal gennemføres for at tillægge Kommissionen gennemførelsesbeføjelser, når ensartede betingelser for gennem­førelse af juridisk bindende EU-retsakter er nødvendige i henhold til artikel 291 i TEUF. Undersøgelsesproceduren finder anvendelse.

3.4.11.   KAPITEL XI - AFSLUTTENDE BESTEMMELSER

Artikel 88 ophæver direktiv 95/46/EF.

I artikel 89 afklares forholdet til direktiv 2002/58/EF om e-databeskyttelse.

I artikel 90 forpligtes Kommissionen til at evaluere forordningen og indgive tilknyttede rapporter.

I artikel 91 fastsættes datoen for forordningens ikrafttræden med en overgangsfase, hvad angår anvendelsesdatoen.

4.           VIRKNINGER FOR BUDGETTET

De specifikke budgetmæssige virkninger af forslaget vedrører de opgaver, der er tildelt Den Europæiske Tilsynsførende for Databeskyttelse som nærmere beskrevet i den finansieringsoversigt, der er vedlagt dette forslag. Disse virkninger kræver omprogrammering af udgiftsområde 5 i de finansielle overslag.

Forslaget har ingen virkninger for driftsomkostningerne.

Finansieringsoversigten til dette forslag til forordning omhandler budgetmæssige virkninger for selve forordningen og for direktivet om databeskyttelse inden for politimæssigt og retligt samarbejde i straffesager.

2012/0011 (COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse)

(EØS-relevant tekst)

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16, stk. 2, og artikel 114, stk. 1,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg[41],

efter høring af Den Europæiske Tilsynsførende for Databeskyttelse[42],

efter den almindelige lovgivningsprocedure og

ud fra følgende betragtninger:

(1)       Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 16, stk. 1, i traktaten fastsættes det, at enhver har ret til beskyttelse af personoplysninger om vedkommende selv.

(2)       Personoplysninger behandles for menneskets skyld; principperne og reglerne for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger bør, uanset de fysiske personers nationalitet eller bopæl, respektere deres grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger. Behandlingen af personoplysninger bør bidrage til skabelsen af et område med frihed, sikkerhed og retfærdighed samt en økonomisk union og til økonomiske og sociale fremskridt, styrkelse af og konvergens mellem økonomierne i det indre marked og fysiske personers velfærd.

(3)       Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger[43] har til formål at harmonisere beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger og at garantere fri udveksling af personoplysninger mellem medlemsstaterne.

(4)       Den økonomiske og sociale integration, der er en følge af det indre markeds funktion, har medført en kraftig vækst i strømmen af personoplysninger på tværs af landegrænserne. Udvekslingen af oplysninger mellem økonomiske og sociale offentlige og private aktører i Unionen er steget. Medlemsstaternes myndigheder opfordres i EU-retten til at samarbejde og udveksle personoplysninger indbyrdes for at kunne varetage deres opgaver og udføre hverv på vegne af en anden medlemsstats myndighed.

(5)       Den hastige teknologiske udvikling og globaliseringen har skabt nye udfordringer, hvad angår beskyttelsen af personoplysninger. Omfanget af datadeling og -indsamling er steget drastisk. Teknologien giver både private virksomheder og offentlige myndigheder mulighed for at udnytte personoplysninger i et hidtil uset omfang, når de udøver deres aktiviteter. Fysiske personer udbreder i stigende grad deres personoplysninger offentligt og globalt. Teknologien har ændret både økonomien og samfundslivet og skal yderligere fremme den frie udveksling af oplysninger inden for Unionen og videregivelsen af oplysninger til tredjelande og internationale organisationer, samtidig med at der sikres et højt niveau for beskyttelse af personoplysninger.

(6)       Denne udvikling kræver, at der opbygges en stærk og mere sammenhængende databeskyttelsesramme i Unionen, som understøttes af en effektiv håndhævelse, fordi det er vigtigt, at der skabes den tillid, der er nødvendig for, at den digitale økonomi kan udvikle sig på tværs af det indre marked. Fysiske personer bør have kontrol over deres egne personoplysninger, og sikkerheden både retligt og praktisk bør styrkes for enkeltpersoner, erhvervsdrivende og offentlige myndigheder.

(7)       Målsætningerne og principperne i direktiv 95/46/EF er stadig gyldige, men direktivet har ikke forhindret en fragmentering af den måde, hvorpå databeskyttelse gennemføres i Unionens forskellige medlemsstater, manglende retssikkerhed og en udbredt offentlig opfattelse af, at der er betydelige risici for beskyttelsen af fysiske personer i forbindelse med navnlig onlineaktivitet. Forskelle i beskyttelsen af fysiske personers rettigheder og frihedsrettigheder, navnlig retten til beskyttelse af personoplysninger, som de enkelte medlemsstater yder i forbindelse med behandling af personoplysninger, kan forhindre fri udveksling af personoplysninger i Unionen. Disse forskelle kan derfor udgøre en hindring for udøvelsen af en række økonomiske aktiviteter på EU-plan, virke konkurrenceforvridende og hindre myndighederne i at varetage de opgaver, de er pålagt i medfør af EU-retten. Denne forskel i beskyttelsesniveauet skyldes forskelle i gennemførelsen og anvendelsen af direktiv 95/46/EF.

(8)       For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger bør niveauet for beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen.

(9)       For at sikre en effektiv beskyttelse af personoplysninger i Unionen er det nødvendigt at styrke og præcisere de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler og træffer afgørelse om behandling af personoplysninger, men der skal også gives tilsvarende beføjelser til at kontrollere og sikre overholdelse af reglerne om beskyttelse af personoplysninger og indføres tilsvarende sanktioner over for dem, som ikke overholder bestemmelserne i medlemsstaterne.

(10)     Artikel 16, stk. 2, i traktaten giver Europa-Parlamentet og Rådet beføjelse til at fastsætte regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

(11)     For at sikre et ensartet beskyttelsesniveau for fysiske personer i hele Unionen og for at forhindre forskelle, der kan hæmme den frie udveksling af data i det indre marked, bør der vedtages en forordning, som kan skabe retssikkerhed og gennemsigtighed for erhvervsdrivende, herunder mikrovirksomheder og små og mellemstore virksomheder, og give fysiske personer i alle medlemsstater de samme pligter og rettigheder, der kan håndhæves retsligt, samt pålægge registeransvarlige og registerførere et ansvar med det formål at sikre ensartet kontrol med behandlingen af personoplysninger og ensartede sanktioner i alle medlemsstater samt et effektivt samarbejde mellem tilsynsmyndighederne i de forskellige medlemsstater. For at tage hensyn til den særlige situation for mikrovirksomheder og små og mellemstore virksomheder indeholder denne forordning en række undtagelser. Derudover opfordres EU-institutionerne og ‑organerne, medlemsstaterne og deres tilsynsmyndigheder til at tage hensyn til mikrovirksomheders og små og mellemstore virksomheders særlige behov ved anvendelsen af denne forordning. Begreberne mikrovirksomheder og små og mellemstore virksomheder bør baseres på Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.

(12)     Den beskyttelse, som denne forordning sikrer, vedrører fysiske personer uanset nationalitet eller bopæl i forbindelse med behandling af personoplysninger. Hvad angår behandling af oplysninger, der vedrører juridiske personer, navnlig virksomheder, der er etableret som juridiske personer, herunder den juridiske persons navn, form og kontaktoplysninger, bør ingen personer ikke kunne kræve beskyttelse under denne forordning. Det bør også gælde, når den juridiske persons navn indeholder navnene på en eller flere fysiske personer.

(13)     Beskyttelsen af fysiske personer bør være teknologineutral og må ikke afhænge af de anvendte teknikker, da der ellers vil være alvorlig risiko for omgåelse. Beskyttelsen af fysiske personer bør gælde for både automatisk og manuel behandling af personoplysninger, hvis oplysningerne er indeholdt eller påtænkes indeholdt i et register. Sagsmapper eller samlinger af sagsmapper eller deres forsider, som ikke er struktureret efter bestemte kriterier, hører ikke under denne forordnings anvendelsesområde.

(14)     Denne forordning omhandler ikke spørgsmål vedrørende beskyttelse af grundlæg­gende rettigheder og frihedsrettigheder eller fri udveksling af data, der vedrører aktiviteter, som falder uden for EU-retten, og den omhandler ikke behandling af personoplysninger, der foretages af Unionens institutioner, organer, kontorer og agenturer, der er omfattet af forordning (EF) nr. 45/2001[44], eller behandling af personoplysninger, der foretages af medlemsstaterne, når de udfører aktiviteter vedrørende Unionens fælles udenrigs- og sikkerhedspolitik.

(15)     Denne forordning bør ikke gælde for en fysisk persons behandling af oplysninger som led i rent personlige eller familiemæssige aktiviteter, som f.eks. korrespondance og udarbejdelse af en adressefortegnelse, som ikke er led i lønnet arbejde og dermed ikke har forbindelse til erhvervsmæssige eller kommercielle aktiviteter. Undtagelsen bør heller ikke gælde for registeransvarlige eller registerførere, som tilvejebringer midlerne til behandling af personoplysninger til sådanne personlige eller familie­mæssige aktiviteter.

(16)     Beskyttelsen af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og fri udveksling af sådanne oplysninger er genstand for en specifik retsakt på EU-plan. Denne forordning bør derfor ikke gælde for behandlingsaktiviteter med sådanne formål. Offentlige myndigheders behandling af personoplysninger i henhold til denne forordning bør imidlertid være genstand for et mere specifikt retligt instrument på EU-plan (direktiv XX/YYY), når behandlingen af personoplysninger sker med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner.

(17)     Denne forordning bør ikke berøre anvendelsen af direktiv 2000/31/EF, navnlig formidleransvaret for tjenesteydere, der er fastsat i artikel 12-15 i dette direktiv.

(18)     Denne forordning giver mulighed for, at der ved gennemførelsen af de principper, der er fastsat heri, kan tages hensyn til princippet om aktindsigt i offentlige dokumenter.

(19)     Behandling af personoplysninger, der foretages som led i en virksomheds eller et organs aktiviteter inden for Unionen, hvor den registeransvarlige eller registerføreren er etableret, bør gennemføres i overensstemmelse med denne forordning, uanset om behandlingen finder sted i Unionen eller ej. Ved etablering forstås en effektiv og reel udøvelse af aktiviteter gennem en mere permanent struktur. Den pågældende strukturs retlige form, hvad enten det blot er en filial eller et datterselskab med status som juridisk person, har ikke afgørende betydning i denne forbindelse.

(20)     For at forhindre, at en fysisk person unddrages den beskyttelse, der sikres ved denne forordning, bør behandling af personoplysninger om registrerede, der er bosiddende i Unionen, som foretages af en registeransvarlig, der ikke er etableret i Unionen, være omfattet af denne forordning, hvis behandlingsaktiviteterne vedrører udbud af varer eller tjenester til sådanne registrerede, eller overvågning af sådanne registreredes adfærd.

(21)     For at afgøre, om en behandlingsaktivitet kan betragtes som "overvågning af registreredes adfærd", bør det kontrolleres, om personer spores på internettet ved hjælp af databehandlingsaktiviteter, hvor en "profil" anvendes på en person, navnlig med det formål at træffe beslutninger om den pågældende eller analysere eller forudsige den pågældendes præferencer, adfærd og holdninger.

(22)     Hvis en medlemsstats lovgivning gælder i medfør af folkeretten, bør denne forordning også gælde for en registeransvarlig, der ikke er etableret i Unionen, som f.eks. i en medlemsstats diplomatiske eller konsulære repræsentation.

(23)     Principperne om databeskyttelse bør gælde for alle former for oplysninger om en identificeret eller identificerbar person. For at afgøre, om en person er identificerbar, bør alle de hjælpemidler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den registeransvarlige eller af enhver anden person. Beskyttelsesprincipperne bør ikke gælde for oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres.

(24)     Når fysiske personer bruger onlinetjenester, kan de forbindes med online­identifikatorer, som leveres af deres enheder, applikationer, værktøjer og protokoller, som f.eks. IP-adresser eller cookie-id'er. Dette kan efterlade spor, der kombineret med unikke id'er og andre oplysninger, som serverne modtager, kan bruges til at oprette profiler af de fysiske personer og identificere dem. Id-numre, lokaliseringsdata, online-id'er eller andre specifikke faktorer bør derfor ikke som sådan betragtes som personoplysninger under alle omstændigheder.

(25)     Der bør gives udtrykkeligt samtykke ved hjælp af en passende metode, der muliggør en frivillig, specifik og informeret viljetilkendegivelse fra den registrerede enten ved en erklæring eller en klar bekræftelse fra den registrerede, for at sikre, at den pågældende er bekendt med, at han eller hun giver sit samtykke til behandlingen af personoplysninger, herunder ved at markere et afkrydsningsfelt, når han eller hun besøger et websted, eller en anden erklæring eller handling, der tydeligt tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed eller inaktivitet kan derfor ikke indebære samtykke. Samtykke bør dække alle behandlingsaktiviteter, der foretages til det eller de samme formål. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, præcis og ikke unødigt forstyrre brugen af den tjeneste, det gives til.

(26)     Personlige helbredsoplysninger bør navnlig omfatte alle oplysninger om den registreredes helbredstilstand, oplysninger om registrering af personen med henblik på modtagelse af sundhedsydelser, oplysninger om betaling for eller berettigelse til sundhedsydelser for så vidt angår personen, et nummer, symbol eller særligt mærke, der tildeles en person for entydigt at identificere personen i sundhedsanliggender, enhver oplysning om personen, som indsamles i tilknytning til leveringen af sundhedsydelser til personen, oplysninger, der hidrører fra prøver eller undersøgelser af en legemsdel eller legemlig substans, herunder biologiske prøver, identifikation af en person som leverandør af sundhedsydelser til en person og alle oplysninger om f.eks. en sygdom, et handicap, en sygdomsrisiko, sygehistorie, hospitalsbehandling eller den registreredes faktiske fysiologiske eller biomedicinske tilstand uafhængigt af, hvad kilden til oplysningerne er, f.eks. en læge eller andet lægeligt personale, et hospital, medicinsk udstyr eller en in vitro-diagnostik.

(27)     En registeransvarligs eller registerførers hovedvirksomhed i Unionen bør fastlægges ud fra objektive kriterier og bør forstås som en effektiv og reel udøvelse af ledelsesaktiviteter, der afgør de vigtigste elementer, som f.eks. formål, betingelser og behandlingsmetoder, gennem permanente strukturer. Dette kriterium afhænger ikke af, om behandlingen af personoplysninger faktisk udføres på dette sted; det forhold, at der findes og anvendes tekniske og teknologiske hjælpemidler til behandling af personoplysninger eller behandlingsaktiviteter, medfører ikke i sig selv, at der er etableret en hovedvirksomhed, og er derfor ikke afgørende for kriteriet om hovedvirksomhed. Registerførerens hovedvirksomhed er stedet for dennes centrale administration i Unionen.

(28)     En koncern bør omfatte en virksomhed, der udøver kontrol, og de af denne kontrollerede virksomheder, hvor den kontrollerende virksomhed er den virksomhed, der kan udøve bestemmende indflydelse på de øvrige virksomheder f.eks. i kraft af ejendomsret, finansiel deltagelse eller de regler, den er underlagt, eller beføjelsen til at få gennemført regler om beskyttelse af personoplysninger.

(29)     Børn bør nyde særlig beskyttelse af deres personoplysninger, eftersom de ofte er mindre bevidste om risici, konsekvenser, garantier og rettigheder, for så vidt angår behandling af personoplysninger. For at afgøre, om en person er et barn, bør denne forordning benytte definitionen i FN's konvention om barnets rettigheder.

(30)     Enhver behandling af personoplysninger bør udføres lovligt, loyalt og gennemsigtigt i forhold til de berørte personer. De specifikke formål med behandlingen af oplysningerne bør navnlig være udtrykkelige og legitime og fremgå, når oplysningerne indsamles. Oplysningerne bør være passende, relevante og begrænset til det minimum, der er nødvendigt til formålene med behandlingen af oplysningerne; det kræver navnlig, at det sikres, at de indsamlede oplysninger ikke er for omfattende, og at perioden for opbevaring af oplysningerne begrænses til et strengt minimum. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke kan opfyldes på anden måde. Der bør træffes enhver rimelig foranstaltning for at sikre, at personoplysninger, som ikke er nøjagtige, berigtiges eller slettes. For at sikre, at oplysningerne ikke opbevares i længere tid end nødvendigt, bør den registeransvarlige indføre tidsfrister for sletning eller periodisk gennemgang.

(31)     For at behandling kan betragtes som lovlig, bør personoplysninger behandles på grundlag af den berørte persons samtykke eller et andet legitimt grundlag, der er fastlagt ved lov enten i denne forordning eller i anden EU-ret eller medlemsstatslovgivning, der henvises til i denne forordning.

(32)     Når behandlingen er baseret på den registreredes samtykke, bør den registeransvarlige bevise, at den registrerede har givet sit samtykke til behandlingen. I forbindelse med navnlig skriftlige erklæringer om andre forhold bør garantier sikre, at den registrerede er bekendt med, at og i hvilket omfang der afgives samtykke.

(33)     For at sikre frivilligt samtykke bør det præciseres, at samtykke ikke udgør et gyldigt retligt grundlag, hvor personen ikke har et reelt og frit valg og efterfølgende ikke kan afvise eller tilbagetrække sit samtykke, uden at det er til skade for den pågældende.

(34)     Samtykke bør ikke udgøre et gyldigt retligt grundlag, hvis der er en klar skævhed mellem den registrerede og den registeransvarlige. Dette er navnlig tilfældet, når den registrerede befinder sig i et afhængighedsforhold til den registeransvarlige, bl.a. når person­oplysninger behandles af arbejdsgiveren som led i behandlingen af ansattes personoplysninger i et ansættelsesforhold. Hvis den registeransvarlige er en offentlig myndighed, vil der kun være en skævhed i forbindelse med den specifikke databe­handling, hvis den offentlige myndighed som følge af dens relevante offentlige beføjelser kan pålægge en forpligtelse, og samtykket ikke kan skønnes at være afgivet frivilligt under hensyntagen til den registreredes interesser.

(35)     Behandling bør anses for lovlig, når den er nødvendig i forbindelse med en kontrakt eller den påtænkte indgåelse af en kontrakt.

(36)     Når behandling foretages i overensstemmelse med en retlig forpligtelse, som den registeransvarlige er underlagt, eller når behandling er nødvendig for at udføre en opgave, der udføres i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, bør behandlingen have sit retsgrundlag i EU-retten eller medlemsstatens lovgivning, som opfylder kravene i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt angår enhver begrænsning af rettigheder og frihedsrettigheder. EU-retten eller den nationale lovgivning afgør, hvorvidt den registeransvarlige, der udfører en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, bør være en offentlig myndighed eller en offentligretlig eller privatretlig person, f.eks. en faglig sammenslutning.

(37)     Behandling af personoplysninger, der har til formål at beskytte et hensyn af fundamental betydning for den registreredes liv, bør ligeledes anses for lovlig.

(38)     En registeransvarligs legitime interesser kan udgøre et retligt grundlag for behandling, medmindre den registreredes interesser, grundlæggende rettigheder og frihedsrettigheder går forud herfor. Dette kræver omhyggelig vurdering, navnlig hvis den registrerede er et barn, idet børn bør nyde særlig beskyttelse. Den registrerede bør have ret til at gøre indsigelse mod behandlingen af grunde, der vedrører den pågældendes særlige situation, og uden udgifter. For at sikre gennemsigtigheden bør den registeransvarlige forpligtes til udtrykkeligt at oplyse den registrerede om de legitime interesser, der forfølges, og om retten til indsigelse og til at dokumentere disse legitime interesser. Det er lovgiveren, der i henhold til lovgivningen fastsætter retsgrundlaget for offentlige myndigheders behandling af oplysninger, og derfor bør dette retsgrundlag ikke gælde for den behandling, offentlige myndigheder foretager som led i udførelsen af deres opgaver.

(39)     Behandling af oplysninger i det omfang, det er strengt nødvendigt for at sikre net- og informationssikkerhed, dvs. et nets eller et informationssystems evne til på et givet sikkerhedsniveau at modstå hændelige tildragelser eller ulovlige eller skadelige handlinger, som er til fare for tilgængeligheden, autenticiteten, integriteten og fortroligheden af lagrede og videresendte oplysninger, og sikkerheden ved hermed forbundne tjenester udbudt af eller tilgængelige via disse net og systemer, der foretages af offentlige myndigheder, CERT'er (Computer Emergency Response Teams - it-udrykningshold), CSIRT'er (Computer Security Incident Response Teams), udbydere af elektroniske kommunikationsnet og ‑tjenester og udbydere af sikkerheds­teknologier og -tjenester, udgør en legitim interesse for den berørte registeransvarlige. Behandlingen kunne f.eks. have til formål at forhindre uautoriseret adgang til elektroniske kommunikationsnet og skadelig distribution af koder og at sætte en stopper for målrettede overbelastninger af servere ("denial of service"-angreb) og beskadigelser af computere og elektroniske kommunikationssystemer.

(40)     Behandlingen af personoplysninger til andre formål bør kun tillades, hvis behandlingen er forenelig med de formål, som oplysningerne oprindelig var indsamlet til, navnlig hvis behandlingen er nødvendig til historiske, statistiske eller videnskabelige forskningsformål. Hvis det andet formål ikke er foreneligt med det formål, som oplysningerne oprindeligt var indsamlet til, bør den registeransvarlige indhente den registreredes samtykke til dette andet formål eller basere behandlingen på en anden legitim grund til lovlig behandling, navnlig hvis det kræves i EU-retten eller medlemsstatens lovgivning, som den registeransvarlige er underlagt. Under alle omstændigheder bør det sikres, at de principper, der fastsættes ved denne forordning, og navnlig den registreredes oplysninger om disse andre formål anvendes.

(41)     Personoplysninger, der i kraft af deres karakter er særligt følsomme i forbindelse med grundlæggende rettigheder eller beskyttelse af privatlivets fred, bør nyde særlig beskyttelse. Sådanne oplysninger bør ikke behandles, medmindre den registrerede giver sit udtrykkelige samtykke. Der bør dog udtrykkeligt gives mulighed for undtagelser fra dette forbud for at imødekomme visse behov, navnlig når behandlingen udføres i forbindelse med visse sammenslutningers eller stiftelsers legitime aktiviteter, hvis formål er at sikre udøvelsen af grundlæggende frihedsrettigheder.

(42)     Der bør også gives mulighed for at fravige forbuddet mod at behandle følsomme kategorier af data, hvis det sker i henhold til loven og er omfattet af de fornødne garantier, der sikrer beskyttelse af personoplysninger og andre grundlæggende rettigheder, når hensynet til samfundsmæssige interesser berettiger det, navnlig til sundhedsformål, herunder folkesundhed og social sikring samt forvaltning af læge- og sundhedstjenester, for især at sikre kvaliteten og rentabiliteten af de procedurer, der anvendes i forbindelse med ansøgninger om ydelser og tjenester inden for en sygesikringsordning, eller til historiske, statistiske eller videnskabelige forsknings­formål.

(43)     Offentlige myndigheders behandling af personoplysninger for officielt anerkendte religiøse sammenslutninger for at opfylde mål, der er fastsat i forfatningsretten eller i folkeretten, udføres af hensyn til samfundsmæssige interesser.

(44)     Hvis det i forbindelse med afholdelse af valg i en medlemsstat er nødvendigt, for at det demokratiske system kan fungere, at politiske partier indsamler oplysninger om enkeltpersoners politiske holdning, kan behandling af sådanne oplysninger tillades af hensyn til varetagelsen af samfundsinteresser, såfremt der fastsættes bestemmelser om de fornødne garantier.

(45)     Hvis de oplysninger, der behandles af en registeransvarlig, ikke sætter den registeransvarlige i stand til at identificere en fysisk person, bør den registeransvarlige ikke være forpligtet til at indhente yderligere oplysninger for at identificere den registrerede udelukkende med det formål at overholde bestemmelserne i denne forordning. I tilfælde af en anmodning om indsigt bør den registeransvarlige være berettiget til at anmode den registrerede om yderligere oplysninger, således at den registeransvarlig kan finde de personoplysninger, som den pågældende efterspørger

(46)     Princippet om gennemsigtighed kræver, at alle oplysninger, som er rettet til det offentlige og den registrerede, bør være nemt tilgængelige og letforståelige, og at der benyttes et klart og forståeligt sprog. Dette er især relevant inden for f.eks. annoncering på internettet, hvor såvel den store vækst i udbydere af annoncering på internettet som den anvendte teknologis kompleksitet gør det vanskeligt for den registrerede at vide og forstå, om der indsamles personoplysninger om vedkommende, af hvem og til hvilket formål. Eftersom børn bør nyde særlig beskyttelse, bør alle oplysninger og meddelelser, hvor behandling specifikt er rettet mod et barn, være i et klart og enkelt sprog, som barnet let kan forstå.

(47)     Der bør fastsættes nærmere bestemmelser, som kan lette de registreredes udøvelse af deres rettigheder i overensstemmelse med denne forordning, herunder systemer til gratis at anmode om indsigt, berigtigelse og sletning og til at udøve retten til indsigelse. Den registeransvarlige bør være forpligtet til at besvare sådanne anmodninger fra den registrerede inden for en fast tidsfrist og begrunde det, hvis vedkommende ikke imødekommer den registreredes anmodning.

(48)     Principperne om en loyal og gennemsigtig behandling kræver, at den registrerede informeres om navnlig behandlingens eksistens og dens formål, hvor længe oplysningerne opbevares, retten til indsigt, berigtigelse eller sletning og retten til at indgive klage. Hvis oplysningerne indsamles fra den registrerede, bør den registrerede også oplyses om, hvorvidt han er forpligtet til at afgive sådanne oplysninger, og om konsekvenserne, hvis han ikke afgiver sådanne oplysninger.

(49)     Informationen om behandlingen af personoplysninger bør gives til den registrerede på tidspunktet for indsamlingen, eller, hvis oplysningerne ikke indsamles fra den registrerede, inden for en rimelig periode afhængigt af de konkrete omstændigheder. Hvis oplysninger legitimt kan videregives til en anden modtager, bør den registrerede informeres, når oplysningerne første gang videregives til modtageren.

(50)     Det er imidlertid ikke nødvendigt at pålægge en sådan forpligtelse, hvis den registrerede allerede er bekendt med de registrerede oplysninger, eller hvis registreringen eller videregivelsen udtrykkeligt er fastsat ved lov, eller hvis det viser sig umuligt eller uforholdsmæssigt vanskeligt at underrette den pågældende. Sidstnævnte kan være tilfældet i forbindelse med behandling til historiske, statistiske eller videnskabelige forskningsformål; i denne forbindelse kan der tages hensyn til antallet af registrerede, oplysningernes alder og de kompensatoriske foranstaltninger, der kan træffes.

(51)     Enhver bør have ret til indsigt i oplysninger, der er indsamlet om den pågældende, og til let at udøve denne ret med henblik på at forvisse sig om oplysningernes eksistens og behandlingens lovlighed. Enhver registreret bør derfor have ret til at kende og blive underrettet om navnlig det formål, hvortil oplysningerne behandles, hvor lang tid de gemmes, og hvem modtagerne af oplysningerne er, den logik, der ligger bag behandlingen af oplysningerne, og om de mulige konsekvenser af denne behandling, i hvert fald når behandlingen er baseret på profilering. Denne ret må ikke krænke andres rettigheder og frihedsrettigheder, herunder forretningshemmeligheder eller den intellektuelle ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af. Dette må dog ikke resultere i, at den registrerede nægtes alle oplysninger.

(52)     Den registeransvarlige bør træffe alle rimelige foranstaltninger for at bekræfte identiteten af en registreret, som anmoder om indsigt, navnlig i forbindelse med onlinetjenester og online-id'er. En registeransvarlig må ikke opbevare personoplysninger alene for at kunne reagere på mulige anmodninger.

(53)     Enhver person bør have ret til at få berigtiget personoplysninger om vedkommende og "ret til at blive glemt", hvis opbevaringen af sådanne oplysninger ikke er i overensstemmelse med denne forordning. En registreret bør navnlig have ret til at få sine personoplysninger slettet og ikke længere behandlet, hvis oplysningerne ikke længere er nødvendige til de formål, hvortil de blev indsamlet eller på anden måde behandlet, hvis den registrerede har trukket sit samtykke til behandling tilbage, hvis den registrerede gør indsigelse mod behandlingen af personoplysninger om vedkommende, eller hvis behandlingen af vedkommendes personoplysninger i øvrigt ikke er i overensstemmelse med denne forordning. Denne ret er særlig relevant, når den registrerede har givet sit samtykke som barn, da denne ikke fuldt ud var bekendt med risiciene i forbindelse med behandlingen, og senere ønsker at fjerne sådanne personoplysninger, navnlig fra internettet. Yderligere opbevaring af oplysningerne bør dog tillades, hvis det er nødvendigt til historiske, statistiske eller videnskabelige forskningsformål, af hensyn til samfundsinteresser på folkesundhedsområdet, med henblik på at udøve retten til ytringsfrihed, når det kræves i henhold til lovgivningen, eller hvis der er grund til at begrænse behandlingen af oplysninger i stedet for at slette dem.

(54)     For at styrke "retten til at blive glemt" i onlinemiljøet bør retten til sletning udvides, så den registeransvarlige, der har offentliggjort personoplysningerne, forpligtes til at underrette tredjeparter, der behandler sådanne oplysninger, om, at en registreret har anmodet dem om at slette alle link til, kopier af eller gengivelser af de pågældende personoplysninger. For at sikre disse oplysninger bør den registeransvarlige træffe alle rimelige foranstaltninger, herunder tekniske foranstaltninger, vedrørende de oplysninger, hvis offentliggørelse den registeransvarlige er ansvarlig for. I forhold til en tredjeparts offentliggørelse af personoplysninger betragtes den registeransvarlige som ansvarlig for offentliggørelsen, hvis den registeransvarlige har godkendt tredjepartens offentliggørelse.

(55)     For at give de registrerede øget kontrol over deres egne personoplysninger og deres ret til indsigt bør de, når personoplysninger behandles elektronisk og i et struktureret og almindeligt anvendt format, have ret til at få en kopi af oplysningerne om dem i et almindeligt anvendt elektronisk format. Den registrerede bør også kunne videregive de oplysninger, vedkommende har udleveret, fra en automatisk applikation, f.eks. et socialt netværk, til et andet. Dette bør gælde, hvis den registrerede har udleveret oplysningerne til databehandlingssystemet, baseret på dennes samtykke eller under opfyldelsen af en kontrakt.

(56)     Hvis behandlingen af personoplysninger kan udføres fuldt lovligt for at beskytte den registreredes vitale interesser eller af hensyn til samfundsmæssige interesser, af hensyn til offentlig myndighedsudøvelse eller i en registeransvarligs legitime interesse, bør en registreret have ret til at gøre indsigelse mod behandlingen af oplysninger om vedkommende selv. Det bør være den registeransvarlige, der beviser, at dennes legitime interesser har forrang for den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder.

(57)     Hvis personoplysninger behandles med henblik på direkte markedsføring, bør den registrerede have ret til gratis og på en måde, der let og effektivt kan gøres gældende, at gøre indsigelse mod en sådan behandling.

(58)     Enhver fysisk person bør have ret til ikke at blive gjort til genstand for en foranstaltning, der er baseret på profilering ved hjælp af automatisk databehandling. En sådan foranstaltning bør dog tillades, når den udtrykkeligt er tilladt i loven, når den gennemføres som led i indgåelsen eller opfyldelsen af en kontrakt, eller når den registrerede har givet sit samtykke. En sådan behandling bør under alle omstændigheder ledsages af de fornødne garantier, herunder specifik underretning af den registrerede og ret til menneskelig indgriben, og sådanne foranstaltninger må ikke vedrøre et barn.

(59)     Specifikke principper og retten til oplysninger, til indsigt, berigtigelse og sletning af oplysninger, retten til dataportabilitet, retten til indsigelse, foranstaltninger baseret på profilering og meddelelse af et brud på persondatasikkerheden til en registreret og visse tilknyttede forpligtelser for de registeransvarlige kan indskrænkes af EU-retten eller medlemsstatslovgivning, for så vidt det er nødvendigt og hensigtsmæssigt i et demokratisk samfund og af hensyn til den offentlige sikkerhed, herunder beskyttelse af menneskeliv som reaktion på navnlig naturkatastrofer eller menneskeskabte katastrofer, forebyggelse, efterforskning og retsforfølgning af straffelovsovertrædelser, eller brud på de etiske regler for lovregulerede erhverv, andre af Unionens eller en medlemsstats samfundsinteresser, Unionens eller en medlemsstats væsentlige økonomiske eller finansielle interesser eller beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder. En sådan indskrænkning bør opfylde kravene i Den Europæiske Unions charter om grundlæggende rettigheder og den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettig­heder.

(60)     Der bør fastsættes bestemmelser om den registeransvarliges overordnede ansvar, herunder erstatningsansvar, for den behandling af personoplysninger, der foretages af den registeransvarlige eller på vegne af den registeransvarlige. Den registeransvarlige bør navnlig sikre og være forpligtet til at påvise, at hver behandlingsaktivitet gennemføres i overensstemmelse med denne forordning.

(61)     Beskyttelsen af de registreredes rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger forudsætter, at der træffes de fornødne tekniske og organisatoriske foranstaltninger, både under udformningen af behandlingen og under selve behandlingen, med henblik på at sikre, at denne forordnings krav opfyldes. For at sikre og påvise overensstemmelse med denne forordning bør den registeransvarlige indføre interne regler og gennemføre passende foranstaltninger, som navnlig er i overensstemmelse med principperne om indbygget databeskyttelse og databeskyttelse gennem indstillinger.

(62)     Beskyttelsen af registreredes rettigheder og frihedsrettigheder samt registeransvarliges og registerføreres ansvar, også i forbindelse med tilsynsmyndighedernes kontrol og foranstaltninger, kræver en klar fordeling af ansvarsområderne under denne forordning, herunder når en registeransvarlig fastlægger formålene med, betingelserne for og metoderne til behandlingen sammen med andre registeransvarlige, eller når en behandling foretages på vegne af en registeransvarlig.

(63)     Når en registeransvarlig, som ikke er etableret i Unionen, behandler personoplysninger vedrørende registrerede, der er bosiddende i Unionen, og hvis behandlingsaktiviteter vedrører udbud af varer eller tjenester til sådanne registrerede eller overvågning af deres adfærd, bør den registrerede udpege en repræsentant i Unionen, medmindre den registeransvarlige er etableret i et tredjeland, som sikrer et tilstrækkeligt beskyttelsesniveau, eller den registeransvarlige er en lille eller mellemstor virksomhed, en offentlig myndighed eller et offentligt organ, eller den registeransvarlige kun lejlighedsvis udbyder varer eller tjenester til sådanne registrerede. Repræsentanten handler på den registeransvarliges vegne og kan kontaktes af tilsynsmyndigheden.

(64)     For at afgøre, om en registeransvarlig kun lejlighedsvis udbyder varer eller tjenester til registrerede med bopæl i Unionen, bør det kontrolleres, om det fremgår af den registeransvarliges overordnede aktiviteter, at udbuddet af varer eller tjenester til sådanne registrerede er en aktivitet i tilknytning til hovedaktiviteterne.

(65)     For at påvise overensstemmelse med denne forordning bør den registeransvarlige eller registerføreren dokumentere hver behandlingsaktivitet. Hver registeransvarlig og registerfører bør have pligt til at samarbejde med tilsynsmyndigheden og efter anmodning stille denne dokumentation til rådighed for tilsynsmyndigheden, så den kan bruges til at kontrollere sådan behandling.

(66)     For at opretholde sikkerheden og forhindre behandling i strid med denne forordning bør den registeransvarlige eller registerføreren vurdere de risici, som behandlingen indebærer, og gennemføre foranstaltninger, der kan mindske disse risici. Disse foranstaltninger bør under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til risiciene og karakteren af de oplysninger, der bør beskyttes. Kommissionen bør ved fastsættelsen af tekniske standarder og organisatoriske foranstaltninger for at sikre databehandlingssikkerheden fremme teknologisk neutralitet, interoperabilitet og innovation og, når det er relevant, samarbejde med tredjelande.

(67)     Et brud på persondatasikkerheden kan, hvis det ikke afhjælpes tilstrækkeligt og rettidigt, påføre den berørte person betydelige økonomiske tab og sociale problemer, herunder identitetsbedrageri. Så snart den registeransvarlige bliver bekendt med, at et sådant brud har fundet sted, bør vedkommende anmelde bruddet til tilsynsmyndigheden uden unødig forsinkelse og om muligt inden for 24 timer. Hvis dette ikke kan nås inden for 24 timers, bør anmeldelsen ledsages af en begrundelse for forsinkelsen. Fysiske personer, hvis personoplysninger kan blive krænket af bruddet, bør underrettes uden unødig forsinkelse, så de kan træffe de nødvendige forholdsregler. Et brud bør betragtes som krænkende for en registrerets personoplysninger eller beskyttelsen af vedkommendes privatliv, hvis det kan indebære f.eks. identitetstyveri eller svig, fysisk skade, betydelig tort eller skade af omdømme. Underretningen bør beskrive arten af bruddet på persondatasikkerheden og indeholde anbefalinger til den berørte person med henblik på at afhjælpe de mulige skadevirkninger. Underretninger til registrerede bør gives så snart, det er rimeligt muligt, og i tæt samarbejde med tilsynsmyndigheden og bør overholde retningslinjer, der er givet af denne eller andre relevante myndigheder (f.eks. de retshåndhævende myndigheder). Registreredes mulighed for at afhjælpe en umiddelbar risiko for skade kræver f.eks. omgående underretning af de registrerede, mens behovet for at gennemføre fornødne foranstaltninger mod fortsatte eller lignende brud kan begrunde en længere forsinkelse.

(68)     For at afgøre, om et brud på persondatasikkerheden skal meddeles tilsynsmyndigheden og den registrerede uden unødig forsinkelse, bør det kontrolleres, om den registeransvarlige har gennemført og anvendt fornøden teknologi og fornødne organisatoriske foranstaltninger til omgående at fastslå, om et brud på persondatasikkerheden har fundet sted, og til omgående at underrette tilsynsmyndigheden og den registrerede, inden der opstår skade for personlige og økonomiske interesser, under hensyntagen til navnlig karakteren og alvoren af bruddet på persondatasikkerheden og dets konsekvenser og skadevirkninger for den registrerede.

(69)     Når der fastsættes nærmere regler for, hvilket format og hvilke procedurer der skal anvendes ved anmeldelse af brud på persondatasikkerheden, bør der tages hensyn til omstændighederne ved sikkerhedsbruddet, herunder til om personoplysningerne var beskyttet ved passende tekniske beskyttelsesforanstaltninger, der effektivt begrænser sandsynligheden for identitetsmisbrug eller andre former for misbrug. Sådanne regler og procedurer bør endvidere tage hensyn til de retshåndhævende myndigheders legitime interesser, hvis tidlig meddelelse unødigt kan hæmme undersøgelsen af omstændighederne ved et brud.

(70)     Ved direktiv 95/46/EF blev der fastsat en generel forpligtelse til at anmelde behandling af personoplysninger til tilsynsmyndighederne. Denne forpligtelse medførte en administrativ og finansiel byrde, men den bidrog ikke i alle tilfælde til at forbedre beskyttelsen af personoplysninger. En så vilkårlig og generel anmeldelsespligt bør derfor afskaffes og erstattes med effektive procedurer og systemer, som i stedet fokuserer på behandling, der sandsynligvis kan indebære specifikke risici for registreredes rettigheder og frihedsrettigheder i medfør af deres karakter, omfang eller formål. I sådanne tilfælde bør den registeransvarlige eller registerføreren inden behandlingen foretage en konsekvensanalyse vedrørende databeskyttelse, der navnlig omhandler de planlagte foranstaltninger, garantier og systemer, der skal sikre beskyttelsen af personoplysninger og overensstemmelsen med denne forordning.

(71)     Dette er især relevant i forbindelse med nye omfattende registre til behandling af meget store mængder personoplysninger på regionalt, nationalt eller overnationalt plan, der kan berøre mange registrerede.

(72)     Der kan være tilfælde, hvor det kan være fornuftigt og økonomisk at foretage en konsekvensanalyse vedrørende databeskyttelse, som omhandler andet end ét enkelt projekt, f.eks. hvis offentlige myndigheder eller organer har planer om at indføre en fælles applikation eller behandlingsplatform, eller hvis flere registeransvarlige planlægger at indføre en fælles applikation eller behandlingsplatform på tværs af en industrisektor eller et industrisegment eller for en udbredt horisontal aktivitet.

(73)     Konsekvensanalyser vedrørende databeskyttelse bør foretages af en offentlig myndighed eller et offentligt organ, hvis en sådan analyse ikke allerede er blevet foretaget i forbindelse med vedtagelsen af den nationale lovgivning, der udgør grundlaget for den offentlige myndigheds eller det offentlige organs udøvelse af opgaver, og som regulerer den pågældende specifikke behandling.

(74)     Hvis en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen involverer en høj grad af specifikke risici for registreredes rettigheder og frihedsrettigheder, som f.eks. at personer fratages en rettighed, eller ved brug af bestemte nye teknologier, bør tilsynsmyndigheden inden iværksættelse af behandlingsaktiviteter høres om en risikobehæftet behandling, der muligvis ikke er i overensstemmelse med denne forordning, og bør fremsætte forslag om afhjælpning af en sådan situation. En sådan høring bør ligeledes gennemføres som led i udarbejdelsen af en lovgivningsmæssig foranstaltning, der vedtages af det nationale parlament, eller af en anden foranstaltning med hjemmel i en sådan lovgivningsmæssig foranstaltning, som fastlægger karakteren af behandlingen og indfører de fornødne garantier.

(75)     Hvis behandlingen foretages i den offentlige sektor, eller hvis behandlingen i den private sektor foretages af en stor virksomhed, eller hvis virksomhedens kerneaktiviteter - uanset dens størrelse - omfatter behandling, som kræver regelmæssig og systematisk overvågning, bør en person hjælpe den registeransvarlige eller registerføreren med at kontrollere, at denne forordning overholdes internt. Den person, der har ansvar for databeskyttelse, bør, uanset om han er ansat hos den registeransvarlige eller ej, være i stand til at udøve sit hverv i fuld uafhængighed.

(76)     Sammenslutninger eller andre organer, der repræsenterer kategorier af registeransvarlige, bør opfordres til at udarbejde adfærdskodekser inden for rammerne af denne forordning med henblik på at fremme den effektive anvendelse af denne forordning under hensyntagen til de særlige former for behandling, der foretages i visse sektorer.

(77)     For at forbedre gennemsigtigheden og overholdelsen af denne forordning bør fastlæggelsen af certificeringsordninger og databeskyttelsesmærkninger og -mærker fremmes, så registrerede hurtigt kan vurdere databeskyttelsesniveauet i forbindelse med relevante produkter og tjenester.

(78)     Strømmen af personoplysninger på tværs af landegrænserne er nødvendig af hensyn til udbygningen af den internationale samhandel og det internationale samarbejde. Udvidelsen af denne strøm har skabt nye udfordringer og bekymringer med hensyn til beskyttelsen af personoplysninger. Når personoplysninger videregives fra Unionen til tredjelande eller til internationale organisationer, må det beskyttelsesniveau, som fysiske personer garanteres i Unionen i medfør af denne forordning, dog ikke undermineres. Videregivelse til tredjelande må under alle omstændigheder kun finde sted under fuld overholdelse af denne forordning.

(79)     Denne forordning berører ikke internationale aftaler indgået mellem Unionen og tredjelande om videregivelse af personoplysninger, herunder de fornødne garantier for registrerede.

(80)     Kommissionen kan med virkning for hele Unionen fastslå, at visse tredjelande, et område, en behandlingssektor i et tredjeland eller en international organisation har et tilstrækkeligt databeskyttelsesniveau, og dermed skabe retssikkerhed og ensartethed i hele Unionen, hvad angår tredjelande eller internationale organisationer, der vurderes at tilbyde et sådant beskyttelsesniveau. I disse tilfælde kan personoplysninger videregives til disse lande uden krav om yderligere godkendelse.

(81)     I overensstemmelse med de grundlæggende værdier, som Unionen er baseret på, navnlig beskyttelsen af menneskerettighederne, bør Kommissionen i sin vurdering af tredjelandet overveje, hvorvidt det pågældende tredjeland respekterer retsstats­princippet, adgangen til klage samt internationale menneskerettighedsnormer og ‑standarder.

(82)     Kommissionen kan ligeledes fastslå, at et tredjeland, et område eller en behandlings­sektor i dette tredjeland eller en international organisation ikke har et tilstrækkeligt databeskyttelsesniveau. Som følge deraf bør videregivelsen af personoplysninger til det pågældende tredjeland forbydes. Der bør fastlægges bestemmelser for procedurer for forhandling mellem Kommissionen og sådanne tredjelande eller internationale organisationer.

(83)     Hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, bør den registeransvarlige eller registerføreren iværksætte foranstaltninger, som kan kompensere for den manglende beskyttelse i tredjelandet, i form af de fornødne garantier for den registrerede. Sådanne fornødne garantier kan bestå af anvendelse af bindende virksomhedsregler, standardbestemmelser om databeskyttelse vedtaget af Kommissionen, standardbestemmelser om databeskyttelse vedtaget af en tilsyns­myndighed eller kontraktbestemmelser godkendt af en tilsynsmyndighed eller andre passende og forholdsmæssige foranstaltninger, der er begrundet af omstændighederne ved en videregivelse af personoplysninger eller en serie af videregivelser af personoplysninger, og som er godkendt af en tilsynsmyndighed.

(84)     Den registeransvarliges eller registerførerens mulighed for at bruge standard­bestemmelser om databeskyttelse vedtaget af Kommissionen eller af en tilsynsmyndighed, bør ikke udelukke muligheden for, at den registeransvarlige eller registerføreren medtager standardbestemmelser om databeskyttelse i en bredere kontrakt eller medtager andre bestemmelser, såfremt de hverken direkte eller indirekte er i strid med de standardkontraktbestemmelser, der er vedtaget af Kommissionen eller en tilsynsmyndighed, eller berører de registreredes grundlæggende rettigheder eller frihedsrettigheder.

(85)     En koncern bør kunne benytte godkendte bindende virksomhedsregler for sine internationale videregivelser fra Unionen til organisationer inden for samme koncern, såfremt sådanne virksomhedsregler omfatter væsentlige principper og rettigheder, der kan håndhæves, med henblik på at sikre de fornødne garantier for videregivelser eller kategorier af videregivelser af personoplysninger.

(86)     Videregivelse bør tillades under bestemte omstændigheder, hvor den registrerede har meddelt sit samtykke, hvor videregivelsen er nødvendig i forbindelse med en kontrakt eller et retskrav, hvor beskyttelsen af væsentlige samfundsinteresser i henhold til EU-retten eller medlemsstatslovgivning kræver det, eller hvor videregivelsen sker fra et register, der er oprettet ved lov, og som offentligheden eller personer med en legitim interesse heri bør kunne konsultere. I sidstnævnte tilfælde bør en sådan videregivelse ikke omfatte alle oplysningerne eller hele kategorier af oplysninger i dette register, og når et register er beregnet til at blive konsulteret af personer, der har en legitim interesse heri, bør videregivelse kun ske på anmodning af disse personer, eller hvis de selv er modtageren.

(87)     Disse undtagelser bør navnlig gælde for videregivelse af oplysninger, der udføres af hensyn til vigtige samfundsinteresser, f.eks. ved international udveksling af oplys­ninger mellem konkurrencemyndigheder, skatte- eller toldforvaltninger, finansielle tilsynsmyndigheder, socialsikringsmyndigheder eller de kompetente myndigheder for forebyggelse, efterforskning, opdagelse og retsforfølgning af straffelovsovertrædelser.

(88)     Videregivelser, der ikke kan betegnes som hyppige eller omfattende, kan begrundes af den registeransvarliges eller registerførerens legitime interesse, men først efter at de har vurderet og dokumenteret alle omstændigheder ved videregivelserne. I forbindelse med behandling til historiske, statistiske eller videnskabelige forskningsformål bør samfundets legitime forventninger om øget viden tages med i overvejelserne.

(89)     Hvis Kommissionen ikke har truffet en afgørelse om tilstrækkeligheden af databeskyttelsesniveauet i et tredjeland, bør den registeransvarlige eller registerføreren under alle omstændigheder benytte løsninger, der giver de registrerede en garanti for, at de fortsat vil nyde godt af de grundlæggende rettigheder og garantier, hvad angår behandling af deres personoplysninger i Unionen, når disse oplysninger er blevet videregivet.

(90)     Visse tredjelande vedtager love, bestemmelser og andre retlige instrumenter med det formål at regulere databehandlingsaktiviteter vedrørende fysiske og juridiske personer direkte under medlemsstaternes jurisdiktion. Ekstraterritorial anvendelse af disse love, bestemmelser og andre retsakter kan være i strid med folkeretten og kan hindre virkeliggørelsen af den beskyttelse af fysiske personer, der garanteres i Unionen af denne forordning. Videregivelser af oplysninger bør kun tillades, hvis denne forordnings betingelser for videregivelser til tredjelande er opfyldt. Det kan bl.a. være tilfældet, hvis videregivelsen er nødvendig af hensyn til vigtige samfundsinteresser, der anerkendes i EU-retten eller en medlemsstats lovgivning, som den registeransvarlige er omfattet af. Kommissionen bør i en delegeret retsakt yderligere præcisere betingelserne for, at der er tale om vigtige samfundsinteresser.

(91)     Når personoplysninger overføres på tværs af grænser, kan det medføre yderligere risici for fysiske personers mulighed for at udøve deres databeskyttelsesrettigheder og beskytte sig mod ulovlig brug eller videregivelse af disse oplysninger. Samtidig må tilsynsmyndighederne i nogle tilfælde konstatere, at de ikke kan indgive klager eller gennemføre undersøgelser vedrørende aktiviteter uden for deres grænser. Samarbejdet på tværs af grænserne kan også hæmmes af utilstrækkelige forebyggende eller afhjælpende beføjelser, uensartede retlige ordninger og praktiske hindringer som f.eks. ressourcebegrænsninger. Der er derfor et behov for tættere samarbejde mellem datatilsynsmyndigheder, så de bedre kan udveksle oplysninger og gennemføre undersøgelser sammen med de tilsvarende internationale organer.

(92)     Oprettelsen af tilsynsmyndigheder i medlemsstaterne, som udøver deres hverv i fuld uafhængighed, har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger. Medlemsstaterne kan oprette mere end én tilsynsmyndighed for at afspejle deres forfatningsmæssige, organisatoriske og administrative struktur.

(93)     Hvis en medlemsstat opretter flere tilsynsmyndigheder, bør den ved lov fastlægge ordninger, der sikrer disse tilsynsmyndigheders effektive deltagelse i sammenhængs­mekanismen. Den pågældende medlemsstat bør navnlig udpege den tilsynsmyndighed, der fungerer som fælles kontaktpunkt for disse myndigheders effektive deltagelse i mekanismen, med henblik på at sikre et hurtigt og smidigt samarbejde med andre tilsynsmyndigheder, Det Europæiske Databeskyttelsesråd og Kommissionen.

(94)     Hver tilsynsmyndighed bør have tilstrækkelige finansielle og menneskelige ressourcer, lokaler og infrastrukturer til effektivt at udføre sine opgaver, herunder opgaver vedrørende gensidig bistand og samarbejde med andre tilsynsmyndigheder i Unionen.

(95)     De generelle betingelser for tilsynsmyndighedens medlemmer bør fastsættes ved lov i hver medlemsstat, og det bør navnlig fastsættes, om disse medlemmer udpeges af parlamentet eller regeringen i den pågældende medlemsstat, og der bør ligeledes fastsættes regler om medlemmernes personlige kvalifikationer og stilling.

(96)     Tilsynsmyndighederne bør kontrollere anvendelsen af bestemmelserne i henhold til denne forordning og bidrage til dens ensartede anvendelse i hele Unionen med det formål at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger og lette fri udveksling af personoplysninger på det indre marked. Til det formål bør tilsynsmyndighederne samarbejde med hinanden og med Kommissionen.

(97)     Når behandlingen af personoplysninger i forbindelse med aktiviteter, der gennemføres af en registeransvarligs eller registerførers virksomhed i Unionen, finder sted i mere end én medlemsstat, bør en enkelt tilsynsmyndighed være ansvarlig for at kontrollere den registeransvarliges eller registerførerens aktiviteter i hele Unionen og for at træffe de relaterede beslutninger med henblik på at styrke en ensartet anvendelse, sikre retssikkerheden og mindske den administrative byrde for sådanne registeransvarlige og registerførere.

(98)     Den kompetente myndighed, som udgør et sådant centralt kontaktpunkt, bør være tilsynsmyndigheden i den medlemsstat, hvor den registeransvarlige eller register­føreren har sin hovedvirksomhed.

(99)     Selv om denne forordning også gælder for de nationale domstoles aktiviteter, bør der af hensyn til domstolenes uafhængighed, når de udfører deres retslige opgaver, ikke tillægges tilsynsmyndighederne kompetence til at behandle personoplysninger, når domstolene handler som led i deres retspleje. Denne undtagelse bør dog alene begrænses til egentlige retslige aktiviteter i forbindelse med retssager og ikke gælde for andre aktiviteter, som dommere kan inddrages i efter national lovgivning.

(100)   For at sikre ensartet kontrol med og håndhævelse af denne forordning i hele Unionen bør tilsynsmyndighederne i hver medlemsstat have samme opgaver og effektive beføjelser, herunder undersøgelsesbeføjelser, beføjelser til retligt bindende indgriben og beføjelser til at træffe afgørelser og fastsætte sanktioner, navnlig i tilfælde af klager fra fysiske personer, og til at deltage i retssager. Tilsynsmyndighedernes undersøgelsesbeføjelser, hvad angår adgang til lokaler, bør udøves i overensstemmelse med EU-retten og national ret. Det gælder bl.a. kravet om en forudgående retskendelse.

(101)   Hver tilsynsmyndighed bør behandle klager, der indgives af registrerede, og undersøge sagen. Undersøgelsen af en klage bør gennemføres med forbehold af domstols­prøvelse, i det omfang det er relevant i det konkrete tilfælde. Tilsynsmyndig­heden bør underrette den registrerede om gennemførelsen og resultatet af klagen inden for en rimelig frist. Hvis sagen kræver yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed, bør den registrerede underrettes herom.

(102)   Tilsynsmyndigheders oplysningskampagner over for offentligheden bør omfatte specifikke foranstaltninger rettet mod registeransvarlige, registerførere, herunder mikrovirksomheder og små og mellemstore virksomheder, og registrerede.

(103)   Tilsynsmyndighederne bør bistå hinanden i udøvelsen af deres opgaver og yde gensidig bistand med det formål at sikre ensartet anvendelse og håndhævelse af denne forordning på det indre marked.

(104)   Hver tilsynsmyndighed bør have ret til at deltage i fælles aktiviteter sammen med andre tilsynsmyndigheder. Den tilsynsmyndighed, der modtager anmodningen, bør være forpligtet til at besvare anmodningen inden for en bestemt frist.

(105)   For at sikre en ensartet anvendelse af denne forordning i hele Unionen indføres der en sammenhængsmekanisme for samarbejdet mellem tilsynsmyndighederne og Kommis­sionen. Denne mekanisme bør navnlig anvendes, når en tilsynsmyndighed agter at iværksætte en foranstaltning med hensyn til behandling, der vedrører udbud af varer eller tjenester til registrerede i flere medlemsstater eller overvågning af sådanne registrerede, eller som i væsentlig grad kan påvirke den frie udveksling af personoplysninger. Den bør også anvendes, hvis en tilsynsmyndighed eller Kommissionen ønsker, at sagen håndteres inden for sammenhængsmekanismen. Denne mekanisme berører ikke foranstaltninger, som Kommissionen iværksætter som led i udøvelsen af sine beføjelser i henhold til traktaterne.

(106)   Ved anvendelsen af sammenhængsmekanismen bør Det Europæiske Databeskyttelses­råd inden for en bestemt frist afgive en udtalelse, hvis det besluttes af et simpelt flertal af dets medlemmer, eller hvis en tilsynsmyndighed eller Kommissionen anmoder herom.

(107)   For at sikre overensstemmelse med denne forordning kan Kommissionen vedtage en udtalelse om denne sag eller en afgørelse, som kræver, at tilsynsmyndigheden suspenderer sin foreslåede foranstaltning.

(108)   Det kan være nødvendigt at handle omgående for at beskytte registreredes interesser, navnlig hvis der er alvorlig risiko for en begrænsning af håndhævelsen af en registrerets rettigheder. En tilsynsmyndighed bør derfor kunne vedtage foreløbige foranstaltninger med en angivet gyldighedsperiode, når sammenhængsmekanismen anvendes.

(109)   Anvendelsen af denne mekanisme bør være en forudsætning for den retlige gyldighed og en tilsynsmyndigheds håndhævelse af den pågældende afgørelse. I andre tilfælde af tværnational relevans kan gensidig bistand og fælles undersøgelser gennemføres mellem de berørte tilsynsmyndigheder på et bilateralt eller multilateralt grundlag, uden at det udløser sammenhængsmekanismen.

(110)   På EU-plan bør der oprettes et europæisk databeskyttelsesråd. Det bør erstatte Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger, der er nedsat ved direktiv 95/46/EF. Det bør sammensættes af chefen for tilsynsmyndigheden i hver medlemsstat og Den Europæiske Tilsynsførende for Databeskyttelse. Kommissionen bør deltage i rådets aktiviteter. Det Europæiske Databeskyttelsesråd bør bidrage til den ensartede anvendelse af denne forordning i hele Unionen, herunder ved at rådgive Kommissionen og fremme samarbejdet mellem tilsynsmyndighederne i hele Unionen. Det Europæiske Databeskyttelsesråd bør handle uafhængigt, når det udfører sine opgaver.

(111)   Alle registrerede bør have ret til at indgive klage til tilsynsmyndighederne i alle medlemsstater og adgang til domstolsprøvelse, hvis de finder, at deres rettigheder i henhold til denne forordning er blevet krænket, eller hvis tilsynsmyndigheden ikke reagerer på en klage eller ikke vil handle, hvis dette er nødvendigt for at beskytte den registreredes rettigheder.

(112)   Alle organer, organisationer eller sammenslutninger, der har til formål at beskytte registreredes rettigheder og interesser i forbindelse med beskyttelsen af deres personoplysninger, og som er etableret i overensstemmelse med en medlemsstats lovgivning, bør have ret til at indgive en klage til en tilsynsmyndighed eller udøve retten til domstolsprøvelse på vegne af registrerede eller til uafhængigt af en registrerets klage på egne vegne at indgive en klage, hvis de vurderer, at et brud på persondatasikkerheden har fundet sted.

(113)   Enhver fysisk eller juridisk person bør have adgang til domstolsprøvelse af afgørelser truffet af en tilsynsmyndighed vedrørende vedkommende. En sag mod en tilsynsmyndighed bør anlægges ved domstolen i den medlemsstat, hvor tilsynsmyndigheden er etableret.

(114)   For at styrke den retlige beskyttelse af den registrerede i situationer, hvor den kompetente tilsynsmyndighed er etableret i en anden medlemsstat end den medlemsstat, hvor den registrerede er bosiddende, kan den registrerede anmode et organ, en organisation eller en sammenslutning, der har til formål at beskytte registreredes rettigheder og interesser i forbindelse med beskyttelsen af deres personoplysninger, om at anlægge den registreredes sag mod den pågældende tilsynsmyndighed ved den kompetente domstol i den anden medlemsstat.

(115)   I situationer, hvor den kompetente tilsynsmyndighed, der er etableret i en anden medlemsstat, undlader at handle eller har iværksat utilstrækkelige foranstaltninger i forbindelse med en klage, kan den registrerede anmode tilsynsmyndigheden i den medlemsstat, hvor han eller hun har sit sædvanlige opholdssted, om at anlægge sag mod den pågældende tilsynsmyndighed ved den kompetente domstol i den anden medlemsstat. Den tilsynsmyndighed, der har modtaget en sådan anmodning, kan med forbehold af domstolsprøvelse afgøre, om anmodningen bør efterkommes.

(116)   Ved sager mod en registeransvarlig eller registerfører bør sagsøgeren have mulighed for at indbringe sagen for domstolene i de medlemsstater, hvor den registeransvarlige eller registerføreren er etableret, eller hvor den registrerede er bosiddende, medmindre den registeransvarlige er en offentlig myndighed, der udøver offentligretlige beføjelser.

(117)   Hvis det viser sig, at der verserer parallelle sager for domstolene i forskellige medlemsstater, bør domstolene have pligt til at kontakte hinanden. Domstolene bør have mulighed for at udsætte en sag, hvis en parallel sag verserer i en anden medlemsstat. Medlemsstaterne bør sikre, at domstolssager - for at være effektive - kan føre til hurtig vedtagelse af foranstaltninger, der kan afhjælpe eller forhindre en overtrædelse af denne forordning.

(118)   Personer, der lider skade som følge af en ulovlig behandling, bør have ret til erstatning fra den registeransvarlige eller registerføreren. Denne kan fritages for erstatningsansvar, hvis det bevises, at han ikke er skyld i den forvoldte skade, navnlig hvis der kan henvises til en fejl fra den registreredes side eller et tilfælde af force majeure.

(119)   Personer, der overtræder denne forordning, bør kunne pålægges sanktioner, uanset om de er omfattet af privat- eller offentligretlig lovgivning. Medlemsstaterne bør sikre, at sanktionerne er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, og bør træffe alle foranstaltninger for at gennemføre sanktionerne.

(120)   For at styrke og harmonisere de administrative sanktioner for overtrædelse af denne forordning bør hver tilsynsmyndighed have beføjelse til at sanktionere administrative overtrædelser. Denne forordning bør angive disse overtrædelser og maksimumsbeløb for de tilknyttede administrative bøder, der bør fastsættes i hver sag i forhold til den konkrete situation med behørig hensyntagen til karakteren, alvoren og varigheden af hver overtrædelse. Sammenhængsmekanismen kan også anvendes til at dække forskelle i anvendelsen af administrative sanktioner.

(121)   Der bør fastsættes undtagelser fra visse bestemmelser i denne forordning i forbindelse med behandling af personoplysninger alene i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed, for at forene retten til beskyttelse af personoplysninger med retten til ytringsfrihed, herunder retten til at modtage og give oplysninger, som fastslået bl.a. i artikel 11 i Den Europæiske Unions charter om grundlæggende rettigheder. Dette bør navnlig gælde for behandling af person­oplysninger på det audiovisuelle område samt i nye arkiver og mediebiblioteker. Medlemsstaterne bør derfor vedtage lovgivningsmæssige foranstaltninger, der fastlægger undtagelser og fravigelser, som er nødvendige af hensyn til balancen mellem disse grundlæggende rettigheder. Medlemsstaterne bør vedtage sådanne undtagelser og fravigelser bør vedrørende generelle principper, den registreredes rettigheder, den registeransvarlige og registerføreren, videregivelse af person­oplysninger til tredjelande eller internationale organisationer, de uafhængige tilsynsmyndigheder samt samarbejde og sammenhæng. Dette må dog ikke føre til, at medlemsstaterne fastsætter undtagelser fra de øvrige bestemmelser i denne forordning. For at tage hensyn til betydningen af retten til ytringsfrihed i ethvert demokratisk samfund er det nødvendigt at tolke begreber vedrørende den frihed såsom journalisme bredt. Medlemsstaterne bør derfor klassificere aktiviteter som "journalistiske" med henblik på de undtagelser og fravigelser, der er fastsat i denne forordning, hvis formålet med disse aktiviteter er at udbrede oplysninger, holdninger eller idéer, uanset hvilket medie der anvendes hertil. De bør ikke begrænses til medievirksomheder og kan gennemføres med udbyttegivende eller ikke-udbyttegivende formål.

(122)   Behandling af personlige helbredsoplysninger - en særlig kategori af oplysninger, der kræver større beskyttelse - kan være begrundet i en række legitime forhold til gavn for enkeltpersoner og samfundet som helhed, navnlig indsatsen for at sikre kontinuitet i sundhedsydelser på tværs af grænserne. Denne forordning bør derfor skabe harmoniserede betingelser for behandling af personlige helbredsoplysninger, der er omfattet af specifikke og fornødne garantier med henblik på at beskytte fysiske personers grundlæggende rettigheder og personoplysninger. Dette omfatter fysiske personers ret til indsigt i deres personlige helbredsoplysninger, f.eks. data i deres lægejournaler om diagnoser, undersøgelsesresultater, lægelige vurderinger samt behandling og indgreb, der er foretaget.

(123)   Behandling af personlige helbredsoplysninger kan være nødvendig af hensyn til samfundsinteresser, hvad angår folkesundhed, uden den registreredes samtykke. I den sammen­hæng fortolkes "folkesundhed" som defineret i Europa-Parlamentets og Rådets forordning (EF) nr. 1338/2008 af 16. december 2008 om fællesskabs­statistikker over folkesundhed og arbejdsmiljø, dvs. alle elementer vedrørende sundhed, nemlig helbredstilstand, herunder sygelighed og invaliditet, determinanter med en indvirkning på denne helbredstilstand, behov for sundhedspleje, ressourcer tildelt sundhedsplejen, ydelse af og almen adgang til sundhedspleje, udgifter til og finansiering af sundhedspleje samt dødsårsager. Denne behandling af personlige helbredsoplysninger af samfundsinteresse bør ikke medføre, at tredjeparter såsom arbejdsgivere, forsikringsselskaber eller pengeinstitutter behandler personoplysninger til andre formål.

(124)   De generelle principper vedrørende beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger bør også gælde i ansættelsesforhold. For at regulere behandlingen af arbejdstageres personoplysninger i ansættelsesforhold bør medlemsstaterne under overholdelse af denne forordnings øvrige bestemmelser ved lov kunne indføre specifikke regler for behandling af personoplysninger ved ansættelsesforhold.

(125)   Behandling af personoplysninger til historiske, statistiske eller videnskabelige forskningsformål bør også - for at være lovlig - overholde anden relevant lovgivning, f.eks. om kliniske forsøg.

(126)   Videnskabelig forskning med henblik på dette direktiv bør omfatte grundforskning, anvendt forskning og privat finansieret forskning og desuden tage hensyn til Unionens mål om et europæisk forskningsrum, jf. artikel 179, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde.

(127)   Hvad angår tilsynsmyndighedernes beføjelser til af den registeransvarlige eller registerføreren at få indsigt i personoplysninger og adgang til dennes lokaler, kan medlemsstaterne under overholdelse af denne forordnings øvrige bestemmelser ved lov indføre specifikke regler med det formål at sikre den faglige eller anden tilsvarende tavshedspligt med henblik på at forene retten til beskyttelse af personoplysninger med en tavshedspligt.

(128)   Denne forordning respekterer og anfægter ikke den status i henhold til national lovgivning, som kirker og religiøse sammenslutninger eller samfund har i medlemsstaterne, jf. artikel 17 i traktaten om Den Europæiske Unions funktionsmåde. Hvis en kirke i en medlemsstat følgelig på tidspunktet for denne forordnings ikrafttræden anvender omfattende regler om beskyttelse af fysiske personer, hvad angår behandling af personoplysninger, bør disse eksisterende regler fortsat gælde, hvis de bringes i overensstemmelse med denne forordning. Sådanne kirker og religiøse sammenslutninger bør være forpligtet til at sørge for at have en fuldstændig uafhængig tilsynsmyndighed.

(129)   For at opfylde denne forordnings målsætninger, dvs. at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder og navnlig deres ret til beskyttelse af personoplysninger og at sikre fri udveksling af personoplysninger i Unionen, bør beføjelsen til at vedtage retsakter i henhold til artikel 290 i traktaten om Den Europæiske Unions funktionsmåde delegeres til Kommissionen. Der bør navnlig vedtages delegerede retsakter med nærmere bestemmelser om det lovlige i at behandle personoplysninger, om angivelse af kriterierne og betingelserne for et barns samtykke, om behandling af særlige kategorier af personoplysninger, om angivelse af kriterierne og betingelserne for tydeligt overdrevne anmodninger og gebyrer for udøvelse af den registreredes rettigheder, om kriterier og krav i forbindelse med underretning af den registrerede og retten til indsigt, om retten til at blive glemt og til sletning, om foranstaltninger baseret på profilering, om kriterier og krav i forbindelse med den registeransvarliges ansvar og indbygget databeskyttelse og databeskyttelse gennem indstillinger, om en registerfører, om kriterier og krav i forbindelse med dokumentation og behandlingssikkerhed, om kriterier og krav i forbindelse med konstatering af et brud på persondatasikkerheden og anmeldelse heraf til tilsynsmyn­digheden og om de omstændigheder, hvor et brud på persondatasikkerheden kan krænke den registrerede, om kriterier og betingelser for behandling, der kræver en konsekvensanalyse vedrørende databeskyttelse, om kriterier og krav i forbindelse med fastlæggelse af større konkrete risici, der kræver forudgående høring, om udpegning af og opgaver for den databeskyttelsesansvarlige, om adfærdskodekser, om kriterier og krav i forbindelse med certificeringsordninger, om kriterier og krav i forbindelse med videregivelse i form af bindende virksomhedsregler, om fravigelser ved videregivelser, om administrative sanktioner, om behandling til sundhedsformål og om behandling i forbindelse med ansættelsesforhold og til historiske, statistiske eller videnskabelige forskningsformål. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau. Kommissionen bør sikre en samtidig, rettidig og hensigtsmæssig fremsendelse af relevante dokumenter til Europa-Parlamentet og Rådet, når den udarbejder og gennemfører delegerede retsakter.

(130)   For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser, for så vidt angår angivelse af standardformularer i forbindelse med behandling af et barns personoplysninger, standardprocedurer og -formularer til udøvelse af registreredes rettigheder; standardformularer til underretning af den registrerede; standardformularer og ‑procedurer i forbindelse med retten til indsigt og retten til dataportabilitet; standardformularer i forbindelse med den registeransvarliges ansvar for indbygget databeskyttelse og databeskyttelse gennem indstillinger og dokumentation; specifikke krav til behandlingssikkerhed; standardformat og procedurer for anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og meddelelse af brud på persondatasikkerheden til den registrerede; standarder og procedurer for konsekvens­analyser vedrørende databeskyttelse; formularer og procedurer for forudgående godkendelse og høring; tekniske standarder og certificeringsordninger; det tilstrækkelige databeskyttelsesniveau, der sikres af et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation; videregivelse uden hjemmel i EU-retten; gensidig bistand; fælles operationer og afgørelser under sammenhængs­mekanismen. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser[45]. I den forbindelse bør Kommissionen overveje særlige foranstaltninger for mikrovirksomheder og små og mellemstore virksomheder.

(131)   Undersøgelsesproceduren bør anvendes til at vedtage fastlæggelsen af standard­formularer i forbindelse med et barns samtykke, standardprocedurer og -formularer til registreredes udøvelse af deres rettigheder, standardformularer til underretning af den registrerede, standardformularer og ‑procedurer i forbindelse med retten til indsigt og retten til dataportabilitet, standardformularer i forbindelse med den registeransvarliges ansvar for indbygget databeskyttelse og databeskyttelse gennem indstillinger og dokumentation, specifikke krav til behandlingssikkerhed, standardformat og procedurer for anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og underretning af den registrerede om brud på persondatasikkerheden, standarder og procedurer for konsekvensanalyser vedrørende databeskyttelse, formularer og procedurer for forud­gående godkendelse og høring, tekniske standarder og certificeringsordninger, det tilstrækkelige databeskyttelsesniveau, der sikres af et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation, videregivelse uden hjemmel i EU-retten, gensidig bistand samt fælles aktiviteter og afgørelser i henhold til sammenhængsmekanismen, eftersom disse retsakter er af generel karakter.

(132)   Kommissionen bør, i behørigt begrundede tilfælde vedrørende et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation, som ikke sikrer et tilstrækkeligt beskyttelsesniveau, og vedrørende forhold, der er meddelt af tilsynsmyndigheder i henhold til sammenhængsmekanismen, vedtage gennem­førelsesretsakter, der straks finder anvendelse.

(133)   Målene for denne forordning, nemlig at sikre et ensartet beskyttelsesniveau for fysiske personer og fri udveksling af personoplysninger i hele Unionen, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne alene og kan derfor på grund af handlingens omfang eller virkninger bedre nås på EU-plan. Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitets­princippet, jf. nævnte artikel, rækker forordningen ikke ud over, hvad der er nødvendigt for at nå dette mål.

(134)   Direktiv 95/46/EF bør ophæves ved denne forordning. Kommissionens afgørelser, der er vedtaget i henhold til direktiv 95/46/EF, og tilsynsmyndigheders godkendelser baseret på direktiv 95/46/EF bør dog fortsat gælde.

(135)   Denne forordning bør gælde for alle forhold vedrørende beskyttelse af grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger, som ikke er underlagt specifikke forpligtelser med samme formål som direktiv 2002/58/EF, herunder den registeransvarliges forpligtelser og fysiske personers rettigheder. For at afklare forholdet mellem denne forordning og direktiv 2002/58/EF bør sidstnævnte ændres tilsvarende.

(136)   For så vidt angår Island og Norge udgør denne forordning en udvikling af bestemmelser i Schengenreglerne, for så vidt den gælder for behandling af personoplysninger, som foretages af myndigheder, der deltager i gennemførelsen af disse regler, jf. den aftale, som Rådet for Den Europæiske Union har indgået med Republikken Island og Kongeriget Norge om disse to staters associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne[46].

(137)   For så vidt angår Schweiz udgør denne forordning en udvikling af bestemmelser i Schengenreglerne, for så vidt den gælder for behandling af personoplysninger, som foretages af myndigheder, der deltager i gennemførelsen af disse regler, jf. aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne[47].

(138)   For så vidt angår Liechtenstein udgør denne forordning en udvikling af bestemmelser i Schengenreglerne, for så vidt den gælder for behandling af personoplysninger, som foretages af myndigheder, der deltager i gennemførelsen af disse regler, jf. protokollen mellem Den Europæiske Union, Det Europæiske Fællesskab, Det Schweiziske Forbund og Fyrstendømmet Liechtenstein om Fyrstendømmet Liechtensteins tiltrædelse af aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne[48].

(139)   Da retten til beskyttelse af personoplysninger som understreget af EU-Domstolen ikke er en absolut ret, men skal ses i forbindelse med sin funktion i samfundet og afvejes mod andre grundlæggende rettigheder, respekterer denne forordning i henhold til proportionalitetsprincippet de grundlæggende rettigheder og overholder de principper, som anerkendes i Den Europæiske Unions charter om grundlæggende rettigheder som anført i traktaterne, navnlig retten til respekt for privatliv og familieliv, hjem og kommunikation, retten til beskyttelse af personoplysninger, retten til at tænke frit og til samvittigheds- og religionsfrihed, ytringsfriheden og informationsfriheden, friheden til at oprette og drive egen virksomhed og adgang til effektive retsmidler og til en upartisk domstol samt kulturel, religiøs og sproglig mangfoldighed —

VEDTAGET DENNE FORORDNING:

KAPITEL I

GENERELLE BESTEMMELSER

Artikel 1 Genstand og formål

1.           I denne forordning fastsættes regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger.

2.           Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til beskyttelse af personoplysninger.

3.           Denne forordning sikrer, at den frie udveksling af personoplysninger i Unionen hverken indskrænkes eller forbydes af grunde, der vedrører beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.

Artikel 2 Materielt anvendelsesområde

1.           Denne forordning anvendes på behandling af personoplysninger, der helt eller delvis foretages automatisk, samt på anden behandling end automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

2.           Denne forordning gælder ikke for behandling af personoplysninger:

a)      som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af EU-retten, navnlig for så vidt angår national sikkerhed

b)      som foretages af EU-institutioner, ‑organer, ‑kontorer og ‑agenturer

c)      som foretages af medlemsstaterne ved udførelse af aktiviteter, der falder inden for rammerne af kapitel 2 i traktaten om Den Europæiske Union

d)      som uden vederlag foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter

e)      som foretages af kompetente myndigheder med henblik på forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner.

3.           Denne forordning berører ikke anvendelsen af direktiv 2000/31/EF, navnlig formidleransvaret for tjenesteydere, der er fastsat i artikel 12-15 i nævnte direktiv.

Artikel 3 Territorialt anvendelsesområde

1.           Denne forordning anvendes på behandling af personoplysninger i forbindelse med aktiviteter, der gennemføres af en registeransvarligs eller registerførers virksomhed i Unionen.

2.           Denne forordning anvendes på behandling af personoplysninger om registrerede, der er bosiddende i Unionen, som foretages af en registeransvarlig, der ikke er etableret i Unionen, hvis behandlingsaktiviteterne vedrører:

a)      udbud af varer eller tjenester til sådanne registrerede i Unionen

b)      overvågning af sådanne registreredes adfærd.

3.           Denne forordning anvendes på behandling af personoplysninger, som foretages af en registeransvarlig, der ikke er etableret i Unionen, men et sted, hvor en medlemsstats nationale lovgivning gælder i henhold til folkeretten.

Artikel 4 Definitioner

I denne forordning forstås ved:

1)           "registreret": en identificeret fysisk person eller en fysisk person, der direkte eller indirekte kan identificeres ved hjælp af de hjælpemidler, der med rimelighed kan tænkes bragt i anvendelse af den registeransvarlige eller af enhver anden fysisk eller juridisk person, bl.a. ved et id-nummer, lokaliseringsdata, online-id eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

2)           "personoplysninger": enhver form for information om en registreret

3)           "behandling": enhver operation eller række af operationer - med eller uden brug af automatiseret databehandling - som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt sletning eller tilintetgørelse

4)           "register": enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag

5)           "registeransvarlig": en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål, på hvilke betingelser og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålet, betingelserne og hjælpemidlerne til behandlingen er fastlagt i EU-retten eller medlemsstatens lovgivning, kan den registeransvarlige eller de specifikke kriterier for udpegning af denne angives i EU-retten eller en medlemsstats lovgivning

6)           "registerfører": en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, der behandler personoplysninger på den registeransvarliges vegne

7)           "modtager": en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, som personoplysninger videregives til

8)           "den registreredes samtykke": enhver frivillig, specifik, informeret og udtrykkelig viljestilkendegivelse baseret på en erklæring eller klar bekræftelse fra den registrerede, hvorved den registrerede indvilliger i, at personoplysninger om vedkommende gøres til genstand for behandling

9)           "brud på persondatasikkerheden": brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgang til personoplysninger, der er videregivet, lagret eller på anden måde behandlet

10)         "genetiske data": alle data af enhver type vedrørende en fysisk persons karakteristika, der er arvet eller erhvervet under tidlig prænatal udvikling

11)         "biometriske data": alle data vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika, der gør det muligt entydigt at identificere vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger

12)         "helbredsoplysninger": enhver oplysning, der vedrører en persons fysiske eller mentale helbred eller levering af sundhedsydelser til vedkommende

13)         "hovedvirksomhed": for så vidt angår den registeransvarlige, stedet for dennes virksomhed i Unionen, hvor de vigtigste beslutninger vedrørende formål, betingelser eller metoder i forbindelse med behandling af personoplysninger træffes; hvis der ikke træffes beslutninger vedrørende formål, betingelser eller metoder i forbindelse med behandling af personoplysninger i Unionen, er hovedvirksomheden det sted, hvor de vigtigste behandlingsaktiviteter i forbindelse med en registeransvarligs virksomhed i Unionen finder sted. For så vidt angår registerføreren, er "hovedvirk­somhed" stedet for dennes centrale administration i Unionen

14)         "repræsentant": enhver fysisk eller juridisk person, der er etableret i Unionen, som udtrykkeligt er udpeget af den registeransvarlige, og som handler og kan kontaktes af en tilsynsmyndighed og andre organer i Unionen i stedet for den registeransvarlige, hvad angår den registeransvarliges forpligtelser i medfør af denne forordning

15)         "virksomhed": enhver enhed, som udøver økonomisk virksomhed, uanset dens retlige status, herunder navnlig fysiske og juridiske personer, partnerskaber og sammenslutninger, der regelmæssigt udøver økonomisk virksomhed

16)         "koncern": en virksomhed, der udøver kontrol, og de af denne kontrollerede virksomheder

17)         "bindende virksomhedsregler": regler om beskyttelse af personoplysninger, som en registeransvarlig eller registerfører, der er etableret i en EU-medlemsstats område, overholder i forbindelse med videregivelser eller en serie af videregivelser af personoplysninger til en registeransvarlig eller registerfører i et eller flere tredjelande inden for en koncern

18)         "barn": en person under atten år

19)         "tilsynsmyndighed": en offentlig myndighed, der er etableret i en medlemsstat i overensstemmelse med artikel 46.

KAPITEL II PRINCIPPER

Artikel 5 Principper for behandling af personoplysninger    

Personoplysninger:

a)      skal behandles lovligt, loyalt og på en gennemsigtig måde i forhold til den registrerede

b)      skal indsamles til udtrykkeligt angivne og legitime formål og må ikke senere gøres til genstand for behandling, som er uforenelig med disse formål

c)      skal være tilstrækkelige og relevante og ikke omfatte mere end det, der kræves for at opfylde de formål, hvortil de behandles, og de må kun behandles, hvis og så længe disse formål ikke kan opfyldes ved at behandle oplysninger, der ikke omfatter personoplysninger

d)      skal være korrekte og ajourførte; der skal tages ethvert rimeligt skridt til at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, omgående slettes eller berigtiges

e)      skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles; personoplysninger kan opbevares i længere tidsrum, hvis oplysningerne alene behandles til historiske, statistiske eller videnskabelige forskningsformål i overensstemmelse med bestemmelserne og betingelserne i artikel 83, og hvis behovet for fortsat opbevaring regelmæssigt vurderes

f)       skal behandles under den registeransvarliges ansvar, og den registeransvarlige skal sikre og for hver behandlingsaktivitet påvise overensstemmelse med denne forordning.

Artikel 6 Lovlig behandling af personoplysninger

1.           Behandling af personoplysninger er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

a)      den registrerede har givet sit samtykke til behandlingen af vedkommendes personoplysninger til et eller flere specifikke formål

b)      behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelsen af foranstaltninger, der træffes på dennes anmodning forud for indgåelsen af en sådan kontrakt

c)      behandlingen er nødvendig for at overholde en retlig forpligtelse, som gælder for den registeransvarlige

d)      behandlingen er nødvendig for at beskytte den registreredes vitale interesser

e)      behandlingen er nødvendig for udførelse af en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, som den registeransvarlige har fået pålagt

f)       behandlingen er nødvendig, for at den registeransvarlige kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud herfor, navnlig hvis den registrerede er et barn. Dette gælder ikke for den behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.

2.           Behandling af personoplysninger, der er nødvendig til historiske, statistiske eller videnskabelige forskningsformål, er lovlig med forbehold af de betingelser og garantier, der er omhandlet i artikel 83.

3.           Behandling, jf. stk. 1, litra c) og e), skal være omhandlet i:

a)      EU-retten eller

b)       lovgivningen i den medlemsstat, som den registeransvarlige er underlagt.

Medlemsstatens lovgivning skal forfølge almene hensyn eller skal være nødvendig for at beskytte andres rettigheder og frihedsrettigheder, respektere kernen i retten til beskyttelse af personoplysninger og stå i rimeligt forhold til det legitime mål, der forfølges.

4.           Hvis formålet med yderligere behandling ikke er foreneligt med det formål, hvortil personoplysningerne er indsamlet, skal behandlingen have sit retsgrundlag i mindst én af de grunde, der er anført i stk. 1, litra a)-e). Dette gælder navnlig for ændring af kontraktlige vilkår og betingelser.

5.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overens­stemmelse med artikel 86 med henblik på nærmere fastlæggelse af de betingelser, der er omhandlet i stk. 1, litra f), for forskellige sektorer og databehandlingssituationer, herunder med hensyn til behandling af personoplysninger om et barn.

Artikel 7 Betingelser for samtykke

1.           Den registeransvarlige bærer ansvaret for at bevise, at den registrerede har givet sit samtykke til behandlingen af vedkommendes personoplysninger til de angivne formål.

2.           Hvis den registreredes samtykke skal gives i en skriftlig erklæring, der også vedrører et andet forhold, skal kravet om samtykke synligt kunne skelnes fra dette andet forhold.

3.           Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækningen af samtykke berører ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækning heraf.

4.           Samtykke tilvejebringer ikke et retsgrundlag for behandling, hvis der er en klar skævhed mellem den registrerede og den registeransvarlige.

Artikel 8 Behandling af et barns personoplysninger

1.           I denne forordning er behandling af personoplysninger om et barn under 13 år, for så vidt angår direkte tilbud om informationssamfundstjenester til et barn, kun tilladt, hvis og i det omfang samtykke hertil gives eller godkendes af barnets forælder eller værge. Den registeransvarlige træffer enhver rimelig foranstaltning for at indhente verificerbart samtykke under hensyn til den tilgængelige teknologi.

2.           Stk. 1 berører ikke medlemsstaternes almindelige aftaleret, som f.eks. bestemmelser om gyldighed, indgåelse eller virkning af en kontrakt, når der er tale om et barn.

3.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav for metoderne til at indhente verificerbart samtykke, der er omhandlet i stk. 1. I den forbindelse overvejer Kommissionen særlige foranstaltninger for mikrovirksomheder og små og mellemstore virksomheder.

4.           Kommissionen kan fastsætte standardformularer for de specifikke metoder til at indhente verificerbart samtykke, der er nævnt i stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

Artikel 9 Behandling af særlige kategorier af personoplysninger

1.           Behandling af personoplysninger, der viser race og etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning og fagforeningsmæssigt tilhørsforhold og behandling af genetiske data, helbredsoplysninger og oplysninger om seksuelle forhold, straffedomme eller tilknyttede sikkerhedsforanstaltninger er forbudt.

2.           Stk. 1 finder ikke anvendelse, hvis:

a)      den registrerede har givet sit samtykke til en sådan behandling i henhold til betingelserne i artikel 7 og 8, medmindre det i EU-retten eller medlemsstatens lovgivning fastsættes, at det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke, eller

b)      behandlingen er nødvendig for overholdelsen af den registeransvarliges arbejdsretlige forpligtelser og specifikke rettigheder, for så vidt den er hjemlet i EU-retten eller medlemsstatens lovgivning, som fastsætter de fornødne garantier, eller

c)      behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke, eller

d)      behandlingen foretages af en stiftelse, en sammenslutning eller et andet almennyttigt organ, hvis sigte er af politisk, filosofisk, religiøs eller faglig art, som led i organets legitime aktiviteter og med de fornødne garantier, på betingelse af, at behandlingen alene vedrører organets medlemmer, tidligere medlemmer eller personer, der på grund af organets formål er i regelmæssig kontakt hermed, og at oplysningerne ikke videregives uden for organet uden den registreredes samtykke, eller

e)      behandlingen vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede, eller

f)       behandlingen er nødvendig for, at et retskrav kan fastslås, gøres gældende eller forsvares ved en domstol, eller

g)      behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse på grundlag af EU-retten eller medlemsstatslovgivning, som fastsætter tilstrækkelige foranstaltninger til beskyttelse af den registreredes legitime interesser, eller

h)      behandlingen af helbredsoplysninger er nødvendig til sundhedsformål med forbehold af de betingelser og garantier, der er omhandlet i artikel 81, eller

i)       behandlingen er nødvendig til historiske, statistiske eller videnskabelige forskningsformål med forbehold af de betingelser og garantier, der er omhandlet i artikel 83, eller

j)       behandlingen af personoplysninger vedrørende straffedomme eller tilknyttede sikkerhedsforanstaltninger foretages enten under kontrol af en offentlig myndighed, eller hvis behandlingen er nødvendig for at efterkomme love eller andre retsforskrifter, som den registeransvarlige er omfattet af, eller for at udføre en opgave af hensyn til vigtige samfundsinteresser, og for så vidt den er hjemlet i EU-retten eller medlemsstatslovgivning, som fastsætter de fornødne garantier. Et fuldstændigt register over straffedomme må kun føres under kontrol af en offentlig myndighed.

3.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterierne, betingelserne og de fornødne garantier for behandling af de særlige kategorier af personoplysninger, der er omhandlet i stk. 1, og de undtagelser, der er fastsat ved stk. 2.

Artikel 10 Behandling, der ikke muliggør identifikation

Hvis de oplysninger, der behandles af en registeransvarlig, ikke sætter den registeransvarlige i stand til at identificere en fysisk person, er den registeransvarlige ikke forpligtet til at indhente yderligere oplysninger for at kunne identificere den registrerede alene for at overholde bestemmelserne i denne forordning.

KAPITEL III DEN REGISTREREDES RETTIGHEDER

AFDELING 1 GENNEMSIGTIGHED OG NÆRMERE REGLER

Artikel 11 Gennemsigtige oplysninger og meddelelser

1.           Den registeransvarlige fastsætter gennemsigtige og lettilgængelige regler for behandlingen af personoplysninger og udøvelsen af registreredes rettigheder.

2.           Den registeransvarlige udleverer alle oplysninger og meddelelser vedrørende behandlingen af personoplysninger til den registrerede i en letforståelig form og i et klart og forståeligt sprog, som er tilpasset den registrerede, navnlig hvis oplysningerne specifikt er henvendt til et barn.

Artikel 12 Procedurer og ordninger for udøvelse af den registreredes rettigheder

1.           Den registeransvarlige fastlægger procedurer for udlevering af de oplysninger, der er omhandlet i artikel 14, og for udøvelsen af de registreredes rettigheder, der er omhandlet i artikel 13 samt artikel 15-19. Den registeransvarlige fastlægger navnlig ordninger, der gør det lettere at fremsætte anmodninger om de handlinger, der er nævnt i artikel 13 samt artikel 15-19. Hvis personoplysninger behandles automatisk, fastlægger den registeransvarlige også midler til elektronisk indgivelse af anmodninger.

2.           Den registeransvarlige meddeler straks og senest en måned efter modtagelsen af anmodningen, om en handling er iværksat i henhold til artikel 13 samt artikel 15-19, og udleverer de ønskede oplysninger. Denne frist kan forlænges med endnu en måned, hvis flere registrerede udøver deres rettigheder, og deres samarbejde i rimeligt omfang sikrer, at en uberettiget og uforholdsmæssig indsats fra den registeransvarliges side undgås. Denne meddelelse gives skriftligt. Hvis den registrerede indgiver anmodningen elektronisk, gives meddelelsen elektronisk, medmindre den registrerede anmoder om andet.

3.           Hvis den registeransvarlige afviser at imødekomme den registreredes anmodning, underretter den registeransvarlige den registrerede om årsagen til afvisningen og om mulighederne for at indgive en klage til tilsynsmyndigheden og anlægge sag ved domstolene.

4.           Meddelelser og handlinger, der iværksættes efter anmodning, jf. stk. 1, er gratis. Hvis anmodninger er tydeligt overdrevne, bl.a. fordi de gentages, kan den register­ansvarlige opkræve et gebyr for fremsendelse af meddelelsen eller iværksættelse af den ønskede handling, eller den registeransvarlige kan undlade at iværksætte den ønskede handling. I det tilfælde bærer den registeransvarlige ansvaret for at bevise, at anmodningen er tydeligt overdreven.

5.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og betingelser for de tydeligt overdrevne anmodninger og gebyrer, der er omhandlet i stk. 4.

6.           Kommissionen kan fastlægge standardformularer og angive standardprocedurer for den meddelelse, der er omhandlet i stk. 2, herunder det elektroniske format. Kommissionen træffer herved passende foranstaltninger for mikrovirksomheder og små og mellemstore virksomheder. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

Artikel 13 Rettigheder i forbindelse med modtagere

Den registeransvarlige meddeler enhver berigtigelse eller sletning, der er udført i henhold til artikel 16 og 17, til hver modtager, som oplysningerne er videregivet til, medmindre dette viser sig umuligt eller er uforholdsmæssigt vanskeligt.

AFDELING 2 INFORMATION OG ADGANG TIL OPLYSNINGER

Artikel 14 Information til den registrerede

1.           Hvis personoplysninger om en registreret indsamles, udleverer den registeransvarlige mindst følgende oplysninger til den registrerede:

a)      identitet og kontaktoplysninger for den registeransvarlige, dennes eventuelle repræsentant og den databeskyttelsesansvarlige

b)      formålene med den behandling, som personoplysningerne skal bruges til, herunder kontraktvilkår og generelle betingelser, såfremt behandlingen er baseret på artikel 6, stk. 1, litra b), og de legitime interesser, der forfølges af den registeransvarlige, såfremt behandlingen er baseret på artikel 6, stk. 1, litra f)

c)      det tidsrum, hvori personoplysningerne opbevares

d)      retten til at anmode den registeransvarlige om indsigt i og berigtigelse eller sletning af personoplysninger vedrørende den registrerede eller gøre indsigelse mod behandlingen af sådanne personoplysninger

e)      retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysningerne for tilsynsmyndigheden

f)       modtagerne eller kategorierne af modtagere af personoplysningerne

g)      såfremt den registeransvarlige agter at videregive personoplysninger til et tredjeland eller en international organisation, oplysninger om det beskyttelses­niveau, som det pågældende tredjeland eller den pågældende internationale organisation har, med henvisning til Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveauet

h)      yderligere information, for så vidt denne information er nødvendig under hensyn til de særlige forhold, hvorunder personoplysningerne indsamles, for at garantere en retfærdig behandling af den registrerede.

2.           Hvis personoplysningerne indsamles fra den registrerede, meddeler den register­ansvarlige i tillæg til de i stk. 1 omhandlede oplysninger den registrerede, hvorvidt indgivelsen af personoplysninger er obligatorisk eller frivillig, og de mulige konsekvenser, hvis sådanne oplysninger ikke indgives.

3.           Hvis personoplysningerne ikke indsamles fra den registrerede, meddeler den registeransvarlige i tillæg til de i stk. 1 omhandlede oplysninger den registrerede, fra hvilken kilde personoplysningerne stammer.

4.           Den registeransvarlige fremlægger de oplysninger, der er omhandlet i stk. 1, 2 og 3:

a)      på det tidspunkt, hvor personoplysningerne indhentes fra den registrerede, eller

b)      såfremt personoplysningerne ikke indsamles fra den registrerede, på tidspunktet for registreringen eller inden for et rimeligt tidsrum efter indsamlingen afhængigt af de konkrete omstændigheder for indsamlingen eller behandlingen af oplysningerne, eller, hvis videregivelse til en anden modtager forventes, senest når oplysningerne første gange videregives.

5.           Bestemmelserne i stk. 1-4 gælder ikke, hvis:

a)      den registrerede allerede har de oplysninger, der er omhandlet i stk. 1, 2 og 3, eller

b)      oplysningerne ikke indsamles fra den registrerede, og hvis det viser sig umuligt eller uforholdsmæssigt vanskeligt at underrette den pågældende, eller

c)      oplysningerne ikke indsamles fra den registrerede, og registrering eller videregivelse udtrykkeligt er fastsat ved lov, eller

d)      oplysningerne ikke indsamles fra den registrerede og fremlæggelsen af sådanne oplysninger vil påvirke andres rettigheder og frihedsrettigheder som fastsat i EU-retten eller medlemsstatslovgivning, jf. artikel 21.

6.           I det tilfælde, der er nævnt i stk. 5, litra b), træffer den registeransvarlige tilstrækkelige foranstaltninger til at beskytte den registreredes legitime interesser.

7.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier for kategorier af modtagere, jf. stk. 1, litra f), krav til meddelelsen om mulig adgang, jf. stk. 1, litra g), kriterier for yderligere nødvendige informationer, jf. stk. 1, litra h), for særlige sektorer og i særlige situationer samt betingelserne og de fornødne garantier for undtagelser, jf. stk. 5, litra b). Kommissionen træffer herved passende foranstaltninger for mikrovirksomheder og små og mellemstore virksomheder.

8.           Kommissionen kan fastlægge standardformularer for indgivelse af de oplysninger, der er omhandlet i stk. 1, 2 og 3, under behørigt hensyn til de særlige karakteristika og behov i forskellige sektorer og databehandlingssituationer. Disse gennemførelses­retsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

Artikel 15 Den registreredes ret til indsigt

1.           Den registrerede har til enhver tid ret til efter anmodning at få bekræftet fra den registeransvarlige, om personoplysninger vedrørende vedkommende behandles. Hvis sådanne personoplysninger behandles, fremlægger den registeransvarlige følgende oplysninger:

a)      formålene med behandlingen

b)      de pågældende kategorier af personoplysninger

c)      de modtagere eller kategorier af modtagere, som personoplysningerne videregives eller er blevet videregivet til, navnlig modtagere i tredjelande

d)      det tidsrum, hvori personoplysningerne opbevares

e)      retten til at anmode den registeransvarlige om berigtigelse eller sletning af personoplysninger om den registrerede eller gøre indsigelse mod behandlingen af sådanne personoplysninger

f)       retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysningerne for tilsynsmyndigheden

g)      hvilke personoplysninger der er omfattet af behandlingen, samt enhver tilgængelig information om, hvorfra disse oplysninger stammer

h)      betydningen og de forventede konsekvenser af denne behandling, hvad angår mindst de foranstaltninger, der er omhandlet i artikel 20.

2.           Den registrerede har ret til fra den registeransvarlige at modtage underretning om de personoplysninger, der er genstand for behandling. Hvis den registrerede indgiver anmodningen elektronisk, gives meddelelsen elektronisk, medmindre den registrerede anmoder om andet.

3.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende meddelelsen til den registrerede af indholdet i de personoplysninger, der er omhandlet i stk. 1, litra g).

4.           Kommissionen kan fastlægge standardformularer og -procedurer for anmodning om og meddelelse af adgang til oplysninger, der er omhandlet i stk. 1, herunder med henblik på verifikation af den registreredes identitet og meddelelse af personoplysninger til den registrerede under hensyntagen til de særlige karakteristika og behov i forskellige sektorer og databehandlingssituationer. Disse gennemførelses­retsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

AFDELING 3

BERIGTIGELSE OG SLETNING

Artikel 16 Ret til berigtigelse

Den registrerede kan kræve, at den registeransvarlige berigtiger urigtige personoplysninger om den registrerede. Den registrerede har ret til få kompletteret ufuldstændige personoplysninger, bl.a. ved at kræve en berigtigelse.

Artikel 17 Ret til at blive glemt og ret til sletning

1.           Den registrerede kan kræve, at den registeransvarlige sletter personoplysninger vedrørende den registrerede og undlader yderligere udbredelse af sådanne oplysninger, navnlig hvad angår personoplysninger, som den registrerede har stillet til rådighed, da vedkommende var barn, såfremt:

a)      personoplysningerne ikke længere er nødvendige til opfyldelse af de formål, hvortil de blev indsamlet eller på anden vis behandlet, eller

b)      den registrerede tilbagetrækker sit samtykke, som er grundlaget for behandlingen i henhold til artikel 6, stk. 1, litra a), eller hvis den opbevaringsperiode, der er givet samtykke til, er udløbet, og hvis der ikke længere er et retligt grundlag for behandlingen af oplysningerne, eller

c)      den registrerede gør indsigelse mod behandlingen af personoplysninger i henhold til artikel 19, eller

d)      behandlingen af personoplysningerne af andre grunde er i strid med denne forordning.

2.           Hvis den i stk. 1 omhandlede registeransvarlige har offentliggjort person­oplysningerne, træffer denne alle rimelige foranstaltninger, herunder tekniske foranstaltninger, vedrørende oplysninger, hvis offentliggørelse den registeransvarlige er ansvarlig for, for at underrette tredjeparter, der behandler sådanne oplysninger, om, at en registreret ønsker, at de sletter alle link til, kopier af og gengivelser af disse personoplysninger. Hvis den registeransvarlige har godkendt, at en tredjepart offentliggør personoplysninger, er den registeransvarlige ansvarlig for denne offentliggørelse.

3.           Den registeransvarlige foretager omgående sletningen, medmindre det er nødvendigt at bevare personoplysningerne:

a)      med henblik på at udøve retten til ytringsfrihed i henhold til artikel 80

b)      af hensyn til samfundsinteresser på folkesundhedsområdet i henhold til artikel 81

c)      til historiske, statistiske eller videnskabelige forskningsformål i henhold til artikel 83

d)      for at opfylde en retlig forpligtelse til at bevare personoplysninger i henhold til EU-retten eller medlemsstatslovgivning, som den registeransvarlige er underlagt; medlemsstatens lovgivning skal forfølge almene hensyn, respektere kernen i retten til beskyttelse af personoplysninger og stå i et rimeligt forhold til det legitime mål, der forfølges

e)      i de tilfælde, der er nævnt i stk. 4.

4.           I stedet for sletning begrænser den registeransvarlige behandlingen af personoplysninger, hvis:

a)      deres rigtighed bestrides af den registrerede, indtil den registeransvarlige har haft mulighed for at fastslå, om de er rigtige

b)      den registeransvarlige ikke længere har behov for dem til udførelsen af sine opgaver, men de fortsat skal opbevares som bevismiddel

c)      behandlingen af dem er ulovlig, og den registrerede modsætter sig deres sletning og i stedet kræver, at anvendelsen heraf begrænses

d)      den registrerede anmoder om, at personoplysninger overføres til et andet automatisk databehandlingssystem i overensstemmelse med artikel 18, stk. 2.

5.           De i stk. 4 omhandlede personoplysninger må, bortset fra opbevaringen af dem, kun gøres til genstand for behandling, når de benyttes som bevismiddel, eller når de benyttes til med den registreredes samtykke at beskytte en anden fysisk eller juridisk persons rettigheder eller forfølge almene hensyn.

6.           Hvis behandlingen af personoplysninger er begrænset i henhold til stk. 4, underretter den registeransvarlige den registrerede, inden begrænsningen for behandling ophæves.

7.           Den registeransvarlige iværksætter mekanismer med henblik på at sikre, at de frister, der er fastsat for sletningen af personoplysninger og/eller for en regelmæssig undersøgelse af behovet for opbevaringen af oplysningerne, overholdes.

8.           Hvis personoplysninger slettes, foretager den registeransvarlige ikke senere behandling af disse oplysninger.

9.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i henhold til artikel 86 med henblik på nærmere fastlæggelse af:

a)      kriterier og krav i forbindelse med anvendelse af stk. 1, der stilles i bestemte sektorer og i bestemte databehandlingssituationer

b)      betingelserne for sletning af link til, kopier af eller gengivelser af personoplysninger fra offentligt tilgængelige kommunikationstjenester som omhandlet i stk. 2

c)      kriterierne og betingelserne for begrænsning af behandlingen af personoplysninger som omhandlet i stk. 4.

Artikel 18 Ret til dataportabilitet

1.           Den registrerede har, når personoplysninger behandles elektronisk og i et struktureret og almindeligt anvendt format, ret til af den registeransvarlige at få en kopi af oplysninger, der er genstand for behandling, i et almindeligt anvendt elektronisk og struktureret format, som den registrerede kan anvende senere.

2.           Hvis den registrerede har afgivet personoplysningerne, og behandlingen er baseret på samtykke eller en kontrakt, har den registreredes ret til at overføre disse personoplysninger og andre oplysninger, som den registrerede har afgivet, og som opbevares i et databehandlingssystem, til et andet system i et almindeligt anvendt elektronisk format uden hindring fra den registeransvarlige, som personoplysningerne flyttes fra.

3.           Kommissionen kan specificere det elektroniske format, der er omhandlet i stk. 1, og de tekniske standarder, nærmere regler og procedurer for videregivelse af personoplysninger i henhold til stk. 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

AFDELING 4

RET TIL INDSIGELSE OG PROFILERING

Artikel 19 Ret til indsigelse

1.           Den registrerede har til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af personoplysninger baseret på artikel 6, stk. 1, litra d), e) og f), medmindre den registeransvarlige påviser vægtige legitime grunde til behandlingen, der tilsidesætter den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder.

2.           Hvis personoplysninger behandles med henblik på direkte markedsføring, har den registrerede ret til gratis at gøre indsigelse mod behandlingen af vedkommendes personoplysninger til sådan markedsføring. Den registrerede skal udtrykkeligt informeres om denne ret på en letforståelig måde, og denne information skal klart kunne skelnes fra andre informationer.

3.           Hvis der gøres indsigelse i henhold til stk. 1 og 2, anvender eller foretager den registeransvarlige ikke senere behandling af de pågældende personoplysninger.

Artikel 20 Foranstaltninger baseret på profilering

1.           Enhver fysisk person har ret til ikke at være genstand for en foranstaltning, der har retsvirkning for vedkommende, eller som berører vedkommende i væsentlig grad, og som er baseret alene på automatisk databehandling, der har til formål at vurdere bestemte personlige forhold vedrørende vedkommende eller analysere eller forudsige f.eks. vedkommendes erhvervsevne, økonomiske situation, lokalitet, sundhed, personlige præferencer, pålidelighed eller adfærd.

2.           Uden at dette berører de øvrige bestemmelser i denne forordning, kan en person kun gøres til genstand for en foranstaltning af den art, der er omhandlet i stk. 1, hvis behandlingen:

a)      foretages som led i indgåelsen eller opfyldelsen af en kontrakt, såfremt den registreredes anmodning om indgåelse eller opfyldelse af kontrakten er blevet efterkommet, eller der findes passende foranstaltninger til at beskytte den registreredes legitime interesser, som f.eks. retten til menneskelig indgriben, eller

b)      er hjemlet i EU-retten eller medlemsstatens lovgivning, der også fastsætter tilstrækkelige bestemmelser til beskyttelse af den registreredes legitime interesser eller

c)      er baseret på den registreredes samtykke med forbehold af bestemmelserne i artikel 7 og passende garantier.

3.           Automatisk behandling af personoplysninger, der har til formål at vurdere bestemte personlige forhold vedrørende en fysisk person, må ikke alene baseres på de særlige kategorier af personoplysninger, der er nævnt i artikel 9.

4.           I de tilfælde, der er nævnt i stk. 2, omfatter de oplysninger, som den register­ansvarlige fremlægger i henhold til artikel 14, oplysninger om eksistensen af behandling med henblik på en foranstaltning af den art, der er omhandlet i stk. 1, og de forventede konsekvenser af denne behandling for den registrerede.

5.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og betingelser for tilstrækkelige foranstaltninger til at beskytte den registreredes legitime interesser, der er omhandlet i stk. 2.

AFDELING 5 Begrænsninger

Artikel 21 Begrænsninger

1.           EU-retten eller en medlemsstats lovgivning kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de rettigheder og forpligtelser, der er omhandlet i artikel 5, litra a)-e), artikel 11-20 og artikel 32, når en sådan begrænsning er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund med henblik på:

a)      beskyttelse af den offentlige sikkerhed

b)      forebyggelse, efterforskning, opdagelse og retsforfølgning i straffesager

c)      beskyttelse af Unionens eller en medlemsstats andre samfundsinteresser, navnlig væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender og beskyttelsen af markedets stabilitet og integritet

d)      forebyggelse, efterforskning, opdagelse og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv

e)      kontrol-, tilsyns- eller reguleringsfunktioner, selv af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse i de tilfælde, der er nævnt i litra a)-d)

f)       beskyttelse af den registreredes interesser eller andres rettigheder og frihedsrettigheder.

2.           Enhver lovgivningsmæssig foranstaltning, der er omhandlet i stk. 1, skal bl.a. indeholde specifikke bestemmelser mindst vedrørende de formål, der søges opnået med behandlingen, og fastlæggelse af begrebet registeransvarlig.

KAPITEL IV

REGISTERANSVARLIG OG REGISTERFØRER

AFDELING 1 GENERELLE FORPLIGTELSER

Artikel 22 Den registeransvarliges ansvar

1.           Den registeransvarlige indfører regler og gennemfører passende foranstaltninger med henblik på at sikre og være i stand til at påvise, at behandlingen af personoplysninger foretages i overensstemmelse med denne forordning.

2.           Foranstaltningerne, jf. stk. 1, omfatter navnlig:

a)      opbevaring af dokumentation i overensstemmelse med artikel 28

b)      gennemførelse af datasikkerhedskrav som fastsat i artikel 30

c)      gennemførelse af konsekvensanalyser vedrørende databeskyttelse i henhold til artikel 33

d)      overholdelse af kravene om forudgående godkendelse eller høring af tilsynsmyndigheden i henhold til artikel 34, stk. 1 og 2

e)      udpegning af en databeskyttelsesansvarlig i henhold til artikel 35, stk. 1.

3.           Den registeransvarlige gennemfører mekanismer, der har til formål at kontrollere effektiviteten af de foranstaltninger, der er nævnt i stk. 1 og 2. Denne kontrol udføres af uafhængige interne eller eksterne revisorer, hvis det er hensigtsmæssigt.

4.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på at fastlægge kriterier og krav vedrørende passende foranstaltninger, jf. stk. 1, ud over de foranstaltninger, der er nævnt i stk. 2, betingelser for de kontrol- og revisionsmekanismer, der er nævnt i stk. 3, og kriterier for hensigtsmæssighed i henhold til stk. 3, og med henblik på at overveje særlige foranstaltninger for mikrovirksomheder og små og mellemstore virksomheder.

Artikel 23 Indbygget databeskyttelse og databeskyttelse gennem indstillinger

1.           Den registeransvarlige iværksætter under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen, både når metoderne til behandling fastlægges, og når selve behandlingen foretages, passende tekniske og organisatoriske foranstaltninger og procedurer, så behandlingen opfylder denne forordnings krav og sikrer beskyttelsen af den registreredes rettigheder.

2.           Den registeransvarlige gennemfører mekanismer med henblik på som udgangspunkt at sikre, at kun de personoplysninger, der er nødvendige til det specifikke formål med behandlingen, behandles, og at de navnlig ikke indsamles eller opbevares ud over, hvad der er nødvendigt til disse formål, både med hensyn til mængden af oplysninger og opbevaringsperioden. Disse mekanismer sikrer navnlig, at personoplysninger som udgangspunkt ikke stilles til rådighed for et ubegrænset antal personer.

3.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende tilstrækkelige foranstaltninger og mekanismer som omhandlet i stk. 1 og 2, navnlig med hensyn til krav til indbygget databeskyttelse og databeskyttelse gennem indstillinger, der gælder på tværs af sektorer, produkter og tjenesteydelser.

4.           Kommissionen kan fastsætte tekniske standarder for kravene i stk. 1 og 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

Artikel 24 Fælles registeransvarlige

Når en registeransvarlig fastsætter formålene med, betingelserne for og metoderne til behandling af personoplysninger sammen med andre, fastsætter de fælles registeransvarlige deres respektive ansvar for overholdelsen af forpligtelserne i henhold til denne forordning, navnlig hvad angår procedurer for og mekanismer til udøvelse af den registreredes rettigheder, ved hjælp af en ordning mellem dem.

Artikel 25 Repræsentanter for registeransvarlige, der ikke er etableret i Unionen

1.           I den situation, der er omhandlet i artikel 3, stk. 2, udpeger den registeransvarlige en repræsentant i Unionen.

2.           Denne forpligtelse gælder ikke for:

a)      en registeransvarlig i et tredjeland, hvor Kommissionen har afgjort, at dette tredjeland sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 41

b)      virksomheder, der beskæftiger under 250 personer

c)      offentlige myndigheder eller organer

d)      en registeransvarlig, der kun lejlighedsvis tilbyder varer eller tjenester til registrerede, der er bosiddende i Unionen.

3.           Repræsentanten etableres i en af de medlemsstater, hvor de registrerede, hvis personoplysninger behandles i forbindelse med udbuddet af varer eller tjenesteydelser rettet mod dem, eller hvis adfærd overvåges, er bosiddende.

4.           Den registeransvarliges udpegning af en repræsentant berører ikke eventuelle retslige skridt mod den registeransvarlige selv.

Artikel 26 Registerfører

1.           Hvis en behandlingsaktivitet foretages på vegne af en registeransvarlig, vælger den registeransvarlige en registerfører, som giver de fornødne garantier for gennemførelsen af passende tekniske og organisatoriske foranstaltninger og procedurer, så behandlingen opfylder denne forordnings krav og sikrer beskyttelsen af den registreredes rettigheder, herunder især med hensyn til de tekniske sikkerhedsforanstaltninger og organisatoriske foranstaltninger, der regulerer den behandling, der foretages, og sikrer overensstemmelse med disse foranstaltninger.

2.           Behandling ved en registerfører foretages i henhold til en kontrakt eller et andet retligt bindende dokument mellem registerføreren og den registeransvarlige, hvori det navnlig fastsættes, at registerføreren:

a)      kun handler efter instruks fra den registeransvarlige, navnlig hvis videregivelse af de anvendte personoplysninger er forbudt

b)      kun beskæftiger personale, som har forpligtet sig til at overholde en tavshedspligt eller i henhold til lovgivningen er underlagt tavshedspligt

c)      iværksætter alle krævede foranstaltninger i henhold til artikel 30

d)      kun gør brug af en anden registerfører med den registeransvarliges forudgående tilladelse

e)      for så vidt det er muligt i betragtning af behandlingens karakter, efter aftale med den registeransvarlige tilvejebringer de nødvendige tekniske og organisatoriske forudsætninger for opfyldelsen af den registeransvarliges forpligtelse til at besvare anmodninger om udøvelse af den registreredes rettigheder som fastsat i kapitel III

f)       bistår den registeransvarlige i indsatsen for at sikre, at kravene i henhold til artikel 30-34 overholdes

g)      overdrager alle resultater til den registeransvarlige efter afslutningen af behandlingen og ikke senere behandler personoplysningerne

h)      stiller alle informationer, der er nødvendige for at kontrollere overholdelsen af kravene i denne artikel, til rådighed for den registeransvarlige og tilsynsmyndigheden.

3.           Den registeransvarlige og registerføreren dokumenterer skriftligt den registeransvarliges instrukser og registerførerens forpligtelser, der er omhandlet stk. 2.

4.           Hvis en registerfører behandler personoplysninger ud over den registeransvarliges instrukser, betragtes registerføreren som registeransvarlig for den pågældende behandling og er underlagt reglerne for fælles registeransvarlige i artikel 24.

5.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende en registerførers ansvar, pligter og opgaver i overensstemmelse med stk. 1 samt betingelser, der gør det muligt at behandle personoplysninger i en koncern, navnlig hvad angår kontrol og rapportering.

Artikel 27 Behandling, der udføres under den registeransvarlige eller registerføreren

Registerføreren eller enhver, der udfører arbejde under den registeransvarlige eller registerføreren, og som får adgang til personoplysninger, må kun behandle disse efter instruks fra den registeransvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstatslovgivning.

Artikel 28 Dokumentation

1.           En registeransvarlig og registerfører samt den registeransvarliges eventuelle repræsentant opbevarer dokumentation for enhver behandling, der gennemføres under denne.

2.           Dokumentationen omfatter mindst følgende oplysninger:

a)      navn og kontaktoplysninger for den registeransvarlige eller den fælles register­ansvarlige og dennes eventuelle repræsentant

b)      navn og kontaktoplysninger for den eventuelle databeskyttelsesansvarlige

c)      formålene med behandlingen, herunder de legitime interesser, der forfølges af den registeransvarlige, såfremt behandlingen er baseret på artikel 6, stk. 1, litra f)

d)      en beskrivelse af kategorierne af registrerede og de kategorier af personoplysninger, der vedrører dem

e)      modtagerne eller kategorierne af modtagere af personoplysningerne, herunder registeransvarlige, som personoplysninger videregives til som led i de legitime interesser, de forfølger

f)       eventuelle videregivelser af personoplysninger til et tredjeland eller en international organisation, herunder identifikation af dette tredjeland eller denne internationale organisation, og i tilfælde af videregivelser i henhold til artikel 44, stk. 1, litra h), dokumentation af fornødne garantier

g)      en generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger

h)      en beskrivelse af de mekanismer, der er omhandlet i artikel 22, stk. 3.

3.           Den registeransvarlige og registerføreren samt den registeransvarliges eventuelle repræsentant stiller efter anmodning dokumentationen til rådighed for tilsynsmyndigheden.

4.           Den i stk. 1 og 2 omhandlede forpligtelse finder ikke anvendelse på følgende registeransvarlige og registerførere:

a)      en fysisk person, der behandler personoplysninger uden kommerciel interesse

b)      en virksomhed eller organisation, der beskæftiger under 250 personer, og som udelukkende behandler personoplysninger som en aktivitet i tilknytning til dens hovedaktiviteter.

5.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende den dokumentation, der er omhandlet i stk. 1, for navnlig at opfylde de forpligtelser, der tillægges den registeransvarlige og registerføreren samt den registeransvarliges eventuelle repræsentant.

6.           Kommissionen kan fastsætte standardformularer for den dokumentation, der er nævnt i stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproce­duren i artikel 87, stk. 2.

Artikel 29 Samarbejde med tilsynsmyndigheden

1.           Den registeransvarlige og registerføreren samt den registeransvarliges eventuelle repræsentant samarbejder efter anmodning med tilsynsmyndigheden ved udøvelsen af dennes hverv, navnlig ved at udlevere oplysninger som nævnt i artikel 53, stk. 2, litra a), og ved at give adgang som nævnt i litra b) i samme stykke.

2.           Som svar på tilsynsmyndighedens udøvelse af de beføjelser, der er tillagt ham i medfør af artikel 53, stk. 2, svarer den registeransvarlige og registerføreren tilsyns­myndigheden inden for en rimelig frist, som fastsættes af tilsynsmyndigheden. Svaret omfatter en redegørelse for de iværksatte foranstaltninger og de opnåede resultater som reaktion på bemærkningerne fra tilsynsmyndigheden.

AFDELING 2 DATASIKKERHED

Artikel 30 Behandlingssikkerhed

1.           Den registeransvarlige og registerføreren træffer under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen passende tekniske og organisatoriske foranstaltninger for at tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, behandlingen af personoplysninger indebærer, og karakteren af de personoplysninger, der skal beskyttes.

2.           Efter en evaluering af risiciene træffer den registeransvarlige og registerføreren foranstaltninger som omhandlet i stk. 1 for at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse eller hændeligt tab og for at forhindre enhver form for ulovlig behandling, navnlig ubeføjet videregivelse, udbredelse eller adgang, eller ændring af personoplysninger.

3.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterierne og betingelserne for de tekniske og organisatoriske foranstaltninger, der er omhandlet i stk. 1 og 2, herunder fastlæggelse af det aktuelle tekniske niveau, for bestemte sektorer og i bestemte databehandlingssituationer, under særlig hensyntagen til udviklingen af teknologi og løsninger til indbygget beskyttelse af privatlivets fred og databeskyttelse gennem indstillinger, medmindre stk. 4 finder anvendelse.

4.           Kommissionen kan om nødvendigt vedtage gennemførelsesretsakter med henblik på at angive de krav, der fastlagt i stk. 1 og 2, for forskellige situationer for bl.a.:

a)      at forhindre ubeføjet adgang til personoplysninger

b)      at forhindre ubeføjet videregivelse, læsning, kopiering, ændring, sletning eller fjernelse af personoplysninger

c)      at sikre kontrol af behandlingens lovlighed.

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

Artikel 31 Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden

1.           Ved brud på persondatasikkerheden anmelder den registeransvarlige uden unødig forsinkelse og om muligt senest 24 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til tilsynsmyndigheden. Anmeldelsen til tilsynsmyndigheden ledsages af en begrundelse, hvis den ikke er indgivet inden for 24 timer.

2.           I henhold til artikel 26, stk. 2, litra f), varsler og underretter registerføreren omgående den registeransvarlige, når et brud på persondatasikkerheden er konstateret.

3.           Den i stk. 1 omhandlede anmeldelse skal mindst:

a)      beskrive karakteren af bruddet på persondatasikkerheden, herunder kategorierne og antallet af berørte registrerede samt kategorierne og antallet af berørte registreringer

b)      angive identitet og kontaktoplysninger for den databeskyttelsesansvarlige eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes

c)      anbefale foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på persondatasikkerheden

d)      beskrive konsekvenserne af bruddet på persondatasikkerheden

e)      beskrive de foranstaltninger, som den registeransvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden.

4.           Den registeransvarlige dokumenterer alle brud på persondatasikkerheden, herunder kendsgerningerne i forbindelse med bruddet, dets virkninger og de iværksatte afhjælpende foranstaltninger. Denne dokumentation skal være tilstrækkeligt detaljeret til at sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel overholdes. Dokumentationen skal kun indeholde de oplysninger, der er nødvendige til dette formål.

5.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende fastlæggelse af databrud som omhandlet i stk. 1 og 2, og vedrørende de særlige omstændigheder, hvor en registeransvarlig og registerfører har pligt til at anmelde brud på persondatasikkerheden.

6.           Kommissionen kan fastlægge standardformatet for en sådan anmeldelse til tilsynsmyndigheden, procedurerne for anmeldelsespligten samt formen og de nærmere regler for den dokumentation, der er omhandlet i stk. 4, herunder tidsfrister for sletning af oplysninger deri. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

Artikel 32 Meddelelse af brud på persondatasikkerheden til den registrerede

1.           Når bruddet på persondatasikkerheden kan forventes at krænke beskyttelsen af personoplysninger eller privatlivets fred for en registreret, underretter den registeransvarlige i tillæg til den i artikel 31 omhandlede anmeldelse uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

2.           Underretningen til den registrerede i henhold til stk. 1 skal omfatte karakteren af bruddet på persondatasikkerheden og indeholde mindst de oplysninger og anbefalinger, der er omhandlet i artikel 31, stk. 3, litra b) og c).

3.           Det er ikke nødvendigt at underrette den registrerede om et brud på persondata­sikkerheden, hvis tilsynsmyndigheden finder det godtgjort fra den registeransvarliges side, at denne har gennemført passende teknologiske beskyttelsesforanstaltninger, og at disse foranstaltninger er blevet anvendt på de data, som sikkerhedsbruddet vedrørte. Sådanne teknologiske beskyttelsesforanstaltninger skal gøre dataene uforståelige for alle, der ikke har lovlig adgang hertil.

4.           Uden at det berører den registeransvarliges forpligtelse til at underrette den registrerede, kan tilsynsmyndigheden i tilfælde, hvor den registeransvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, og efter at have vurderet bruddets sandsynlige negative virkninger kræve, at den registeransvarlige gør dette.

5.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overens­stemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende omstændigheder, hvor et brud på persondatasikkerheden kan forventes at krænke personoplysninger omhandlet i stk. 1.

6.           Kommissionen kan fastlægge formatet for meddelelsen til den registrerede, som er omhandlet i stk. 1, og procedurer for denne meddelelse. Disse gennemførelses­retsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

AFDELING 3 KONSEKVENSANALYSE VEDRØRENDE DATABESKYTTELSE OG FORUDGÅENDE GODKENDELSE

Artikel 33 Konsekvensanalyse vedrørende databeskyttelse

1.           Hvis behandlingen af personoplysninger kan indebære specifikke risici for registreredes rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål, gennemfører den registeransvarlige eller den registerfører, der handler på den registeransvarliges vegne, en konsekvensanalyse af den planlagte behandling, for så vidt angår beskyttelsen af personoplysninger.

2.           Følgende former for behandling kan indebære de i stk. 1 omhandlede specifikke risici:

a)      systematisk og omfattende evaluering af personlige aspekter vedrørende en fysisk person eller med henblik på analyse eller forudsigelse af en fysisk persons økonomiske situation, lokalitet, sundhed, personlige præferencer, pålidelighed eller adfærd baseret på elektronisk databehandling, som kan resultere i foranstaltninger, der har retsvirkning for vedkommende eller berører vedkommende i væsentlig grad

b)      oplysninger om seksuelle forhold, helbred, race og etnisk oprindelse eller med henblik på ydelse af sundhedsydelser, epidemiologisk forskning eller undersøgelse af psykiske eller smitsomme sygdomme, hvis oplysningerne behandles med det formål at træffe foranstaltninger eller beslutninger vedrørende omfattende grupper af specifikke personer

c)      overvågning af offentligt tilgængelige områder, navnlig ved omfattende brug af optoelektronisk udstyr (videoovervågning)

d)      personoplysninger i omfattende registre vedrørende børn, genetiske data eller biometriske data

e)      andre former for behandling, hvor høring af tilsynsmyndigheden er påkrævet i henhold til artikel 34, stk. 2, litra b).

3.           Analysen omfatter mindst en generel beskrivelse af den planlagte behandling, en analyse af risiciene for registreredes rettigheder og frihedsrettigheder, de foranstaltninger, der er nødvendige for at afhjælpe disse risici, samt garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelsen af personoplysninger og påvise overensstemmelse med denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

4.           Den registeransvarlige indhenter udtalelser fra registrerede eller deres repræsentanter vedrørende den planlagte behandling, uden at det berører beskyttelsen af kommercielle eller samfundsmæssige interesser eller behandlingens sikkerhed.

5.           Hvis den registeransvarlige er en offentlig myndighed eller et offentligt organ, og hvis behandlingen følger af en retlig forpligtelse i henhold til artikel 6, stk. 1, litra c), der indeholder bestemmelser om regler og procedurer for behandlingen, og som er reguleret i EU-retten, finder stk. 1-4 ikke anvendelse, medmindre medlemsstaterne vurderer, at en sådan analyse skal foretages inden behandlingen.

6.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og betingelser for behandling, der kan medføre specifikke risici som omhandlet i stk. 1 og 2, og krav vedrørende den i stk. 3 omhandlede analyse, herunder betingelser for skalerbarhed, kontrol og mulighed for revision. I den forbindelse overvejer Kommissionen særlige foranstaltninger for mikrovirksomheder og små og mellemstore virksomheder.

7.           Kommissionen kan fastsætte standarder og procedurer for gennemførelse, kontrol og revision af den i stk. 3 omhandlede analyse. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

Artikel 34 Forudgående godkendelse og forudgående høring

1.           Den registeransvarlige eller registerføreren indhenter godkendelse fra tilsyns­myndigheden inden behandlingen af personoplysninger for at sikre, at den planlagte behandling er i overensstemmelse med denne forordning, og for at mindske risiciene for de registrerede, såfremt en registeransvarlig eller registerfører vedtager kontraktbestemmelser som omhandlet i artikel 42, stk. 2, litra d), eller ikke fastsætter de fornødne garantier i et retligt bindende instrument som omhandlet i artikel 42, stk. 5, om videregivelse af personoplysninger til et tredjeland eller en international organisation, eller

2.           Den registeransvarlige eller den registerfører, der handler på den registeransvarliges vegne, hører tilsynsmyndigheden inden behandlingen af personoplysninger for at sikre, at den planlagte behandling er i overensstemmelse med denne forordning, og for at mindske risiciene for de registrerede, såfremt:

a)      en konsekvensanalyse vedrørende databeskyttelse udført i henhold til artikel 33 viser, at en behandling i medfør af dens karakter, omfang eller formål kan indebære store konkrete risici, eller

b)      tilsynsmyndigheden vurderer, at det er nødvendigt at udføre en forudgående høring vedrørende en behandling, der sandsynligvis kan indebære specifikke risici for registreredes rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål, og som er angivet i henhold til stk. 4.

3.           Hvis tilsynsmyndigheden finder, at den planlagte behandling ikke er i overensstemmelse med denne forordning, navnlig hvis risiciene ikke identificeres eller afhjælpes tilstrækkeligt, forbyder myndigheden den planlagte behandling og stiller forslag til, hvordan den manglende overholdelse kan afhjælpes.

4.           Tilsynsmyndigheden fastsætter og offentliggør en liste over de former for behandling, som er underlagt krav om forudgående høring i henhold til stk. 2, litra b). Tilsynsmyndigheden indgiver disse lister til Det Europæiske Databeskyttelsesråd.

5.           Hvis listen indgivet i henhold til stk. 4 omfatter behandlingsaktiviteter, der vedrører udbud af varer eller tjenester til registrerede i flere medlemsstater eller overvågning af sådanne registreredes adfærd, eller som i væsentlig grad kan påvirke den frie udveksling af personoplysninger i Unionen, anvender tilsynsmyndigheden den sammenhængs­mekanisme, der er omhandlet i artikel 57, inden vedtagelsen af listen.

6.           Den registeransvarlige eller registerføreren indgiver den i artikel 33 omhandlede konsekvensanalyse vedrørende databeskyttelse til tilsynsmyndigheden og efter anmodning andre oplysninger, der sætter tilsynsmyndigheden i stand til at vurdere behandlingens overensstemmelse og navnlig risiciene for beskyttelsen af registreredes personoplysninger og tilknyttede garantier.

7.           Medlemsstater hører tilsynsmyndigheden, når de forbereder lovgivningsforslag til vedtagelse i det nationale parlament eller foranstaltninger baseret på et sådant lovgivningsforslag, som fastlægger karakteren af behandlingen, for at sikre, at den planlagte behandling er i overensstemmelse med denne forordning, og for at mindske risiciene for de registrerede.

8.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav i forbindelse med bestemmelsen af de store konkrete risici, der er omhandlet i stk. 2, litra a).

9.           Kommissionen kan fastsætte de standardformularer og procedurer for forudgående godkendelse og høring, der er nævnt i stk. 1 og 2 og standardformularer og procedurer for underretning af tilsynsmyndighederne i henhold til stk. 6. Disse gennemførelses­retsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

AFDELING 4 DATABESKYTTELSESANSVARLIG

Artikel 35 Udpegning af den databeskyttelsesansvarlige

1.           Den registeransvarlige og registerføreren udpeger altid en databeskyttelsesansvarlig, når:

a)      behandlingen foretages af en offentlig myndighed eller et offentligt organ, eller

b)      behandlingen foretages af en virksomhed, der beskæftiger mindst 250 personer, eller

c)      den registeransvarliges eller registerførerens kerneaktiviteter består af behandling, der i medfør af dens karakter, omfang eller formål kræver regelmæssig og systematisk overvågning af registrerede.

2.           I det tilfælde, der er nævnt i stk. 1, litra b), kan en koncern udpege en fælles databeskyttelsesansvarlig.

3.           Hvis den registeransvarlige eller registerføreren er en offentlig myndighed eller et offentligt organ, kan den databeskyttelsesansvarlige udpeges for flere enheder i overensstemmelse med den offentlige myndigheds eller det offentlige organs struktur.

4.           I andre tilfælde end de i stk. 1 nævnte kan den registeransvarlige eller registerføreren eller sammenslutninger og andre organer, som repræsenterer kategorier af registeransvarlige eller registerførere, udpege en databeskyttelsesansvarlig.

5.           Den registeransvarlige eller registerføreren udpeger en databeskyttelsesansvarlig på grundlag af dennes faglige kvalifikationer, ekspertise på området for databeskyttel­seslovgivning og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 37. Det nødvendige niveau af ekspertise afgøres navnlig ud fra den udførte databehandling og den beskyttelse, der kræves af de personoplysninger, som behandles af den registeransvarlige eller registerføreren.

6.           Den registeransvarlige eller registerføreren sikrer, at den databeskyttelsesansvarliges øvrige arbejdsopgaver er forenelige med den pågældendes opgaver og ansvar som databeskyttelsesansvarlig og ikke medfører interessekonflikt.

7.           Den registeransvarlige og registerføreren udpeger en databeskyttelsesansvarlig for en periode på mindst to år. Den databeskyttelsesansvarlige kan genudnævnes til yderligere perioder. I sin embedsperiode kan den databeskyttelsesansvarlige kun afskediges, hvis vedkommende ikke længere opfylder betingelserne for at varetage hvervet.

8.           Den databeskyttelsesansvarlige kan være ansat af den registeransvarlige eller registerføreren eller udføre sit hverv på grundlag af en tjenesteydelseskontrakt.

9.           Den registeransvarlige eller registerføreren meddeler navnet på og kontaktoplysningerne for den databeskyttelsesansvarlige til tilsynsmyndigheden og offentligheden.

10.         Den registrerede har ret til at kontakte den databeskyttelsesansvarlige, hvad angår alle spørgsmål vedrørende behandlingen af vedkommendes personoplysninger, og anmode om at udøve sine rettigheder i henhold til denne forordning.

11.         Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende den registeransvarliges eller registerførerens kerneaktiviteter, der er nævnt i stk. 1, litra c), og kriterierne for den databeskyttelsesansvarliges faglige kvalifikationer, der er nævnt i stk. 5.

Artikel 36 Den databeskyttelsesansvarliges stilling

1.           Den registeransvarlige eller registerføreren sikrer, at den databeskyttelsesansvarlige inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.

2.           Den registeransvarlige eller registerføreren sikrer, at den databeskyttelsesansvarlige varetager sit hverv uafhængigt og ikke modtager instrukser med hensyn til udøvelsen af hvervet. Den databeskyttelsesansvarlige rapporterer direkte til ledelsen hos den registeransvarlige eller registerføreren.

3.           Den registeransvarlige eller registerføreren støtter den databeskyttelsesansvarlige i udøvelsen af dennes hverv og tilvejebringer personale, lokaler, udstyr og andre ressourcer, der er nødvendige for udøvelsen af det hverv, der er omhandlet i artikel 37.

Artikel 37 Den databeskyttelsesansvarliges hverv

1.           Den registeransvarlige og registerføreren overdrager mindst følgende opgaver til den databeskyttelsesansvarlige:

a)      at underrette og rådgive den registeransvarlige eller registerføreren om deres forpligtelser i henhold til denne forordning eller at dokumentere denne aktivitet og de modtagne reaktioner

b)      at overvåge gennemførelsen og anvendelsen af den registeransvarliges eller registerførerens regler om beskyttelse af personoplysninger, herunder fordeling af ansvar, uddannelse af det personale, der medvirker ved databehandlingen, og de tilhørende kontroller

c)      at kontrollere gennemførelsen og anvendelsen af denne forordning, navnlig med hensyn til kravene vedrørende indbygget databeskyttelse, databeskyttelse gennem indstillinger og datasikkerhed og oplysninger til registrerede og deres anmodninger i forbindelse med udøvelsen af deres rettigheder i henhold til denne forordning

d)      at sikre vedligeholdelse af dokumentation, jf. artikel 28

e)      at kontrollere dokumentation, anmeldelse og meddelelser vedrørende brud på persondatasikkerheden i henhold til artikel 31 og 32

f)       at kontrollere den registeransvarliges eller registerførerens gennemførelse af konsekvensanalyser vedrørende databeskyttelse og anvendelsen af forudgående godkendelse eller høring, hvis det kræves i henhold til artikel 33 og 34

g)      at kontrollere besvarelsen af anmodninger fra tilsynsmyndigheden og inden for rammerne af den databeskyttelsesansvarliges beføjelser at samarbejde med tilsynsmyndigheden på dennes anmodning eller på eget initiativ

h)      at fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling og på eget initiativ og efter behov rådføre sig med tilsynsmyn­digheden.

2.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og betingelser for den databeskyttelsesansvarliges opgaver, certificering, status, beføjelser og ressourcer, der er omhandlet i stk. 1.

AFDELING 5 ADFÆRDSKODEKSER OG CERTIFICERING

Artikel 38 Adfærdskodekser

1.           Medlemsstaterne, tilsynsmyndighederne og Kommissionen tilskynder til udarbejdelsen af adfærdskodekser, der afhængigt af de særlige forhold i de forskellige behandlingssektorer bidrager til en korrekt anvendelse af denne forordning, navnlig vedrørende:

a)      loyal og gennemsigtig databehandling

b)      dataindsamling

c)      information til offentligheden og registrerede

d)      anmodninger fra registrerede i forbindelse med udøvelsen af deres rettigheder

e)      information og beskyttelse af børn

f)       videregivelse af personoplysninger til tredjelande eller internationale organisationer

g)      mekanismer til at kontrollere og sikre, at kodeksen overholdes af de registeransvarlige, den gælder for

h)      udenretslige procedurer og andre procedurer til bilæggelse af tvister mellem registeransvarlige og registrerede vedrørende behandlingen af person­oplysninger, uden at det berører registreredes rettigheder i henhold til artikel 73 og 75.

2.           Sammenslutninger og andre organer, som repræsenterer kategorier af registeransvarlige eller registerførere i en medlemsstat, der har til hensigt at udforme adfærdskodekser eller at ændre eller udvide eksisterende adfærdskodekser, kan fremlægge dem for tilsynsmyndigheden i den pågældende medlemsstat til udtalelse. Tilsynsmyndigheden kan afgive udtalelse om, hvorvidt forslaget til adfærdskodeks eller ændringen er i overensstemmelse med denne forordning. Tilsynsmyndigheden indhenter udtalelser om disse forslag fra registrerede eller deres repræsentanter.

3.           Sammenslutninger og andre organer, som repræsenterer kategorier af registeransvarlige i flere medlemsstater, kan forelægge Kommissionen forslag til adfærdskodekser og forslag om ændring eller udvidelse af eksisterende adfærdskodekser.

4.           Kommissionen kan vedtage gennemførelsesretsakter med henblik på at afgøre, om adfærdskodekser eller ændringer eller udvidelser af eksisterende adfærdskodekser, den har fået forelagt i henhold til stk. 3, generelt er gyldige i Unionen. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

5.           Kommissionen tilser, at de kodekser, som i henhold til Kommissionen har generel gyldighed, jf. stk. 4, offentliggøres på passende vis.

Artikel 39 Certificering

1.           Medlemsstaterne og Kommissionen tilskynder navnlig på europæisk plan til fastlæggelsen af certificeringsordninger for databeskyttelse og databeskyttelses­mærkninger og ‑mærker, som giver registrerede mulighed for hurtigt at vurdere det beskyttelsesniveau, som registeransvarlige og registerførere sikrer. Certificerings­ordninger for databeskyttelse bidrager til korrekt anvendelse af denne forordning under hensyntagen til de forskellige sektorers og behandlingens særlige forhold.

2.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende de certificeringsordninger for databeskyttelse, der er omhandlet i stk. 1, herunder betingelser for tildeling og tilbagekaldelse samt betingelser for anerkendelse i Unionen og tredjelande.

3.           Kommissionen kan fastlægge tekniske standarder for certificeringsordninger og databeskyttelsesmærkninger og -mærker samt ordninger, der har til formål at fremme og anerkende certificeringsordninger og databeskyttelsesmærkninger og -mærker. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

KAPITEL V VIDEREGIVELSE AF PERSONOPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER

Artikel 40 Generelt princip for videregivelse

Enhver videregivelse af personoplysninger, som underkastes behandling eller er beregnet til behandling efter videregivelse til et tredjeland eller en international organisation, må kun finde sted, hvis betingelserne i dette kapitel med forbehold af de øvrige bestemmelser i denne forordning overholdes af den registeransvarlige og registerføreren, herunder ved videreoverførsel af personoplysninger fra tredjelandet eller den internationale organisation til et andet tredjeland eller en anden international organisation.

Artikel 41 Videregivelse ved afgørelse om tilstrækkeligheden af beskyttelsesniveauet

1.           Videregivelse kan finde sted, hvis Kommissionen har fastslået, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation har et tilstrækkeligt databeskyttelsesniveau. En sådan videregivelse kræver ikke yderligere godkendelse.

2.           Ved vurdering af beskyttelsesniveauets tilstrækkelighed tager Kommissionen hensyn til følgende elementer:

a)      retsstatsprincippet, gældende lovgivning, både almindelig og sektorbestemt, herunder vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og strafferet, regler for god forretningsskik og de sikkerhedsforanstaltninger, der gælder i tredjelandet eller den internationale organisation, samt effektive rettigheder, der kan håndhæves retsligt, herunder effektiv klageadgang for registrerede, navnlig registrerede, der er bosiddende i Unionen, hvis person­oplysninger videregives

b)      tilstedeværelsen af en eller flere velfungerende uafhængige tilsynsmyndigheder i tredjelandet eller den internationale organisation, der har ansvaret for at sikre, at databeskyttelsesreglerne overholdes, og for at bistå og rådgive de registrerede, når de udøver deres rettigheder, og samarbejde med tilsyns­myndighederne i Unionen og medlemsstaterne

c)      de internationale forpligtelser, som tredjelandet eller den internationale organisation har indgået.

3.           Kommissionen kan afgøre, at et tredjeland, et område eller en behandlingssektor i tredjelandet eller en international organisation sikrer et tilstrækkeligt beskyttelses­niveau i overensstemmelse med stk. 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

4.           I gennemførelsesretsakten angives dennes geografiske og sektorbestemte anvendelsesområde og i påkommende tilfælde den tilsynsmyndighed, der er nævnt i stk. 2, litra b).

5.           Kommissionen kan fastslå, at et tredjeland, et område eller en behandlingssektor i et tredjeland eller en international organisation ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, navnlig hvis den gældende lovgivning, både almindelig og sektorbestemt, i tredjelandet eller den internationale organisation ikke garanterer effektive rettigheder, der kan håndhæves retsligt, herunder effektiv adgang til administrativ og retlig prøvelse for registrerede, navnlig registrerede, der er bosiddende i Unionen, hvis personoplysninger videregives. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2, eller efter proceduren i artikel 87, stk. 3, i særligt hastende tilfælde for fysiske personer, hvad angår beskyttelse af deres personoplysninger.

6.           Når Kommissionen træffer afgørelse som angivet i stk. 5, forbydes enhver form for videregivelse af personoplysninger til tredjelandet eller et område eller en behandlingssektor i dette tredjeland eller den pågældende internationale organisation, jf. dog artikel 42, 43 og 44. Kommissionen hører i rette tid tredjelandet eller den internationale organisation med henblik på at afhjælpe den situation, der opstår i medfør af afgørelsen i henhold til denne artikels stk. 5.

7.           Kommissionen offentliggør i Den Europæiske Unions Tidende en liste over tredjelande, områder og behandlingssektorer i et tredjeland eller en international organisation, hvor den har fastslået, om der er et tilstrækkeligt beskyttelsesniveau eller ej.

8.           Afgørelser, som træffes af Kommissionen på grundlag af artikel 25, stk. 6, eller 26, stk. 4, i direktiv 95/46/EF, finder anvendelse, indtil de ændres, erstattes eller ophæves af Kommissionen.

Artikel 42 Videregivelse ved anvendelse af de fornødne garantier

1.           Hvis Kommissionen ikke har truffet en afgørelse i henhold til artikel 41, må en registeransvarlig eller registerfører kun overføre personoplysninger til et tredjeland eller en international organisation, hvis der er indført de fornødne garantier i et retligt bindende instrument, der sikrer beskyttelsen af personoplysninger.

2.           De fornødne garantier nævnt i stk. 1 sikres gennem bl.a.:

a)      bindende virksomhedsregler i henhold til artikel 43

b)      standardbestemmelser om databeskyttelse vedtaget af Kommissionen. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2

c)      standardbestemmelser om databeskyttelse vedtaget af en tilsynsmyndighed i overensstemmelse med sammenhængsmekanismen, jf. artikel 57, når disse er erklæret generelt gyldige af Kommissionen i henhold til artikel 62, stk. 1, litra b)

d)      kontraktbestemmelser mellem den registeransvarlige eller registerføreren og modtageren af personoplysningerne, som en tilsynsmyndighed har godkendt i henhold til stk. 4.

3.           Videregivelse baseret på standardbestemmelser om databeskyttelse eller bindende virksomhedsregler som nævnt i stk. 2, litra a), b) eller c), kræver ikke yderligere godkendelse.

4.           Når videregivelse er baseret på kontraktbestemmelser som nævnt i denne artikels stk. 2, litra d), indhenter den registeransvarlige eller registerføreren forudgående godkendelse af kontraktbestemmelserne i henhold til artikel 34, stk. 1, litra a), hos tilsynsmyndigheden. Hvis videregivelsen vedrører behandlingsaktiviteter, der berører registrerede i en anden medlemsstat eller andre medlemsstater, eller som i væsentlig grad påvirker den frie udveksling af personoplysninger i Unionen, anvender tilsynsmyndigheden den sammenhængsmekanisme, der er omhandlet i artikel 57.

5.           Hvis de fornødne garantier for beskyttelsen af personoplysninger ikke er omhandlet i et retligt bindende instrument, indhenter den registeransvarlige eller registerføreren på forhånd en godkendelse af videregivelsen eller serien af videregivelser eller af medtagelsen af bestemmelser, som udgør grundlaget for en sådan videregivelse, i administrative ordninger. En sådan godkendelse fra tilsynsmyndigheden skal være i overensstemmelse med artikel 34, stk. 1, litra a). Hvis videregivelsen vedrører behandlingsaktiviteter, der berører registrerede i en anden medlemsstat eller andre medlemsstater, eller som i væsentlig grad påvirker den frie udveksling af personoplysninger i Unionen, anvender tilsynsmyndigheden den sammenhængs­mekanisme, der er omhandlet i artikel 57. Godkendelser fra en tilsynsmyndighed på grundlag af artikel 26, stk. 2, i direktiv 95/46/EF, er gyldige, indtil de ændres, erstattes eller ophæves af den pågældende tilsynsmyndighed.

Artikel 43 Videregivelse ved anvendelse af bindende virksomhedsregler

1.           I overensstemmelse med den sammenhængsmekanisme, der er omhandlet i artikel 58, godkender en tilsynsmyndighed bindende virksomhedsregler, såfremt de:

a)      er retligt bindende, gælder for og anvendes af alle virksomheder i den registeransvarliges eller registerførerens koncern, og omfatter deres medarbejdere

b)      udtrykkeligt tillægger registrerede rettigheder, der kan håndhæves retsligt

c)      opfylder kravene i stk. 2.

2.           De bindende virksomhedsregler angiver mindst:

a)      struktur og kontaktoplysninger for koncernen og virksomhederne heri

b)      videregivelserne eller en serie af videregivelser, herunder kategorier af personoplysninger, behandlingstype og -formål, typen af berørte registrerede og identifikation af det pågældende tredjeland eller de pågældende tredjelande

c)      deres retligt bindende karakter, både internt og eksternt

d)      de generelle databeskyttelsesprincipper, navnlig formålsbegrænsning, datakvalitet, retsgrundlag for behandling, behandling af følsomme personoplysninger, foranstaltninger til at sikre datasikkerhed og krav vedrørende videreoverførsel til organisationer, der ikke er underlagt reglerne

e)      de registreredes rettigheder og midler til at udøve disse rettigheder, herunder til ikke at blive gjort til genstand for en foranstaltning, der er baseret på profilering, jf. artikel 20, retten til at indgive klage til den kompetente tilsynsmyndighed og de kompetente domstole i medlemsstaterne, jf. artikel 75, og til at modtage erstatning og kompensation for brud på de bindende virksomhedsregler

f)       den registeransvarliges eller registerførerens accept af ansvaret for ethvert brud på de bindende virksomhedsregler, der begås af en virksomhed i koncernen, som ikke er etableret i Unionen, når den registeransvarlige eller registerføreren er etableret inden for en medlemsstats område; den registeransvarlige eller registerføreren kan kun helt eller delvis fritages for dette ansvar, hvis han beviser, at den pågældende virksomhed ikke er skyld i den begivenhed, der medførte skaden

g)      hvordan information om de bindende virksomhedsregler, navnlig de bestemmelser, der er nævnt i dette stykkes litra d), e) og f), gives de registrerede i henhold til artikel 11

h)      opgaverne for den databeskyttelsesansvarlige, der er udpeget i henhold til artikel 35, herunder kontrol inden for koncernen af overholdelsen af de bindende virksomhedsregler og kontrol af uddannelse og håndtering af klager

i)       de mekanismer i koncernen, der har til formål at kontrollere overholdelsen af de bindende virksomhedsregler

j)       mekanismerne til rapportering og registrering af ændringer af reglerne og rapportering af disse ændringer til tilsynsmyndigheden

k)      den mekanisme til samarbejde med tilsynsmyndigheden, som har til formål at sikre, at alle virksomheder i koncernen overholder reglerne, navnlig ved at forelægge tilsynsmyndigheden resultaterne af kontrollen af de foranstaltninger, der er nævnt i dette stykkes litra i).

3.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende bindende virksomhedsregler som omhandlet i denne artikel, navnlig med hensyn til kriterierne for deres godkendelse, anvendelsen af stk. 2, litra b), d), e) og f), på bindende virksomhedsregler, der gælder for registerførere, og med hensyn til yderligere krav for at sikre beskyttelsen af de berørte registreredes personoplysninger.

4.           Kommissionen kan angive formatet og procedurerne for den elektroniske udveksling af oplysninger mellem registeransvarlige, registerførere og tilsynsmyndigheder vedrørende bindende virksomhedsregler som omhandlet i denne artikel. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

Artikel 44 Undtagelser

1.           Hvis der ikke er truffet en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 41, eller de fornødne garantier i henhold til artikel 42 ikke foreligger, må en videregivelse eller en serie af videregivelser af personoplysninger til et tredjeland eller en international organisation kun finde sted, såfremt:

a)      den registrerede har givet sit samtykke til den foreslåede videregivelse efter at være blevet informeret om risiciene ved sådanne videregivelser som følge af den manglende afgørelse om tilstrækkeligheden af beskyttelsesniveauet og de fornødne garantier, eller

b)      videregivelsen er nødvendig af hensyn til opfyldelsen af en kontrakt mellem den registrerede og den registeransvarlige eller af hensyn til gennemførelsen af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan kontrakt, eller

c)      videregivelsen er nødvendig af hensyn til indgåelsen eller opfyldelsen af en kontrakt, der i den registreredes interesse er indgået mellem den registeransvarlige og en anden fysisk eller juridisk person, eller

d)      videregivelsen er nødvendig af hensyn til vigtige samfundsinteresser, eller

e)      videregivelsen er nødvendig for, at et retskrav kan fastslås, gøres gældende eller forsvares ved en domstol, eller

f)       videregivelsen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den registrerede ikke fysisk eller juridisk er i stand til at give sit samtykke, eller

g)      videregivelsen finder sted fra et register, der ifølge EU-retten eller medlemsstatens lovgivning er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri, i det omfang de ved lov fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde, eller

h)      videregivelsen er nødvendig af hensyn til den registeransvarliges eller registerførerens legitime interesser, der ikke kan betegnes som hyppige eller omfattende, og den registeransvarlige eller registerføreren har vurderet samtlige de forhold, der har indflydelse på en videregivelse eller en serie af videregivelser af oplysninger, og på grundlag af denne vurdering yder de fornødne garantier for beskyttelsen af personoplysninger.

2.           En videregivelse i henhold til stk. 1, litra g), omfatter ikke alle personoplysninger eller hele kategorier af personoplysninger i registret. Når et register er beregnet til at blive konsulteret af personer, der har en legitim interesse heri, sker videregivelse kun på anmodning af disse personer, eller hvis de selv er modtageren.

3.           Hvis behandlingen er baseret på stk. 1, litra h), tager den registeransvarlige eller registerføreren særligt hensyn til personoplysningernes karakter, den påtænkte behandlings formål og varighed samt situationen i oprindelseslandet, tredjelandet og det endelige bestemmelsessted og de fornødne garantier, der ydes for beskyttelsen af personoplysninger.

4.           Stk. 1, litra b), c) og h), finder ikke anvendelse på aktiviteter, der gennemføres af offentlige myndigheder som led i deres myndighedsudøvelse.

5.           De samfundsinteresser, der er omhandlet i stk. 1, litra d, skal være anerkendt i EU-retten eller lovgivningen i den medlemsstat, som den registeransvarlige er underlagt.

6.           Den registeransvarlige eller registerføreren dokumenterer vurderingen og de fornødne garantier, der ydes, som omhandlet i denne artikels stk. 1, litra h), i den dokumentation, der er nævnt i artikel 28, og underretter tilsynsmyndigheden om videregivelsen.

7.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på yderligere at præcisere "vigtige samfundsinteresser" i betydningen i stk. 1, litra d), og at fastlægge kriterier og krav vedrørende de fornødne garantier, der er omhandlet i stk. 1, litra h).

Artikel 45 Internationalt samarbejde om beskyttelse af personoplysninger

1.           I henseende til tredjelande og internationale organisationer iværksætter Kommissionen og tilsynsmyndighederne de nødvendige foranstaltninger for at:

a)      udvikle internationale samarbejdsmekanismer om beskyttelse af persono­plysninger med henblik på at lette håndhævelsen af lovgivningen om beskyttelse af personoplysninger

b)      yde international gensidig bistand i håndhævelsen af lovgivningen om beskyttelse af personoplysninger, herunder gennem anmeldelse, indbringelse af klager, efterforskningsbistand og informationsudveksling, med forbehold af de fornødne garantier for beskyttelse af personoplysninger og andre grund­læggende rettigheder og frihedsrettigheder

c)      inddrage berørte parter i drøftelser og aktiviteter, der har til formål at fremme det internationale samarbejde om håndhævelsen af lovgivningen om beskyttelse af personoplysninger

d)      fremme udveksling og dokumentation af lovgivningen om beskyttelse af personoplysninger og praksis på området.

2.           For så vidt angår stk. 1, træffer Kommissionen de nødvendige foranstaltninger for at styrke forholdet til tredjelande og internationale organisationer og navnlig deres tilsynsmyndigheder, når Kommissionen har truffet afgørelse om, at de sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 41, stk. 3.

KAPITEL VI UAFHÆNGIGE TILSYNSMYNDIGHEDER

AFDELING 1 UAFHÆNGIG STATUS

Artikel 46 Tilsynsmyndighed

1.           Hver medlemsstat vedtager bestemmelser om, at en eller flere tilsynsmyndigheder er ansvarlige for at kontrollere anvendelsen af denne forordning og bidrage til en ensartet anvendelse i hele Unionen med det formål at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandlingen af deres personoplysninger og lette fri udveksling af personoplysninger i Unionen. Til disse formål samarbejder tilsynsmyndighederne med hinanden og med Kommissionen.

2.           Hvis der er mere end én tilsynsmyndighed i en medlemsstat, udpeger den pågældende medlemsstat den tilsynsmyndighed, der fungerer som fælles kontaktpunkt for disse myndigheders effektive deltagelse i Det Europæiske Databeskyttelsesråd, og fastsætter bestemmelser, som sikrer, at de andre myndigheder overholder reglerne vedrørende den sammenhængsmekanisme, der er nævnt i artikel 57.

3.           Hver medlemsstat meddeler Kommissionen de bestemmelser, den vedtager i henhold til dette kapitel, senest den dato, der er fastsat i artikel 91, stk. 2, og underretter den straks om eventuelle senere ændringer af disse.

Artikel 47 Uafhængighed

1.           Tilsynsmyndigheden udøver i fuld uafhængighed de opgaver og beføjelser, der tillægges den.

2.           Medlemmer af tilsynsmyndigheden må ved udøvelsen af deres opgaver hverken søge eller modtage instrukser fra andre.

3.           Medlemmer af tilsynsmyndigheden skal afholde sig fra enhver handling, der er uforenelig med deres hverv, og må ikke, så længe deres embedsperiode varer, udøve uforenelig lønnet eller ulønnet virksomhed.

4.           Medlemmer af tilsynsmyndigheden skal efter embedsperiodens ophør udvise hæderlighed og tilbageholdenhed med hensyn til at påtage sig visse hverv eller at acceptere visse fordele.

5.           Hver medlemsstat sikrer, at tilsynsmyndigheden råder over tilstrækkelige finansielle og menneskelige ressourcer, lokaler og infrastrukturer til effektivt at udføre sine opgaver og udøve sine beføjelser, herunder opgaver og beføjelser vedrørende gensidig bistand samt samarbejde med og deltagelse i Det Europæiske Databeskyttelsesråd.

6.           Hver medlemsstat sikrer, at tilsynsmyndigheden råder over sit eget personale, der udpeges af og er under ledelse af chefen for tilsynsmyndigheden.

7.           Hver medlemsstat sikrer, at tilsynsmyndigheden er underlagt finansiel kontrol, som ikke påvirker dens uafhængighed. Hver medlemsstat sikrer, at tilsynsmyndigheden fører særskilt årsregnskab og -budget. Budgetterne offentliggøres.

Artikel 48  Generelle betingelser for medlemmerne af tilsynsmyndigheden

1.           Medlemsstaterne vedtager bestemmelser om, at medlemmerne af tilsynsmyn­digheden udpeges af parlamentet eller regeringen i den pågældende medlemsstat.

2.           Medlemmerne udvælges blandt personer, hvis uafhængighed er uomtvistelig, og som kan dokumentere den erfaring og kompetence, som er nødvendig for at varetage opgaver på området beskyttelse af personoplysninger.

3.           Et medlems opgaver ophører ved udløbet af embedsperioden, ved frivillig fratræden eller ved opnåelse af tvungen pensionsalder, jf. stk. 5.

4.           Et medlem kan af den kompetente nationale domstol afskediges eller fratages sin ret til pension eller lignende goder, hvis vedkommende ikke længere opfylder de nødvendige betingelser for at udøve sit hverv, eller hvis vedkommende har begået alvorligt embedsmisbrug.

5.           Hvis embedsperioden udløber, eller medlemmet fratræder, varetager medlemmet sine opgaver, indtil et nyt medlem er udpeget.

Artikel 49 Regler om oprettelse af tilsynsmyndigheden

Hver medlemsstat fastsætter ved lov under overholdelse af denne forordning:

a)      tilsynsmyndighedens oprettelse og status

b)      de kvalifikationer og den erfaring og kompetence, der er nødvendig for at udøve hvervet som medlem af tilsynsmyndigheden

c)      reglerne og procedurerne for udnævnelsen af medlemmerne af tilsynsmyndigheden samt regler om handlinger og hverv, der er uforenelige med dette hverv

d)      embedsperioden for medlemmerne af tilsynsmyndigheden, som skal være mindst fire år, med undtagelse af den første udnævnelse efter denne forordnings ikrafttræden, som kan være af kortere varighed, hvis det er nødvendigt for at beskytte tilsynsmyndighedens uafhængighed ved hjælp af en forskudt udpegelsesprocedure

e)      om medlemmerne af tilsynsmyndigheden kan genudnævnes

f)       bestemmelser og fælles betingelser vedrørende de pligter, der påhviler tilsynsmyndighedens medlemmer og personale

g)      regler og procedurer, når medlemmerne af tilsynsmyndigheden fratræder deres hverv, herunder hvis de ikke længere opfylder de nødvendige betingelser for at udøve hvervet, eller hvis de har begået alvorligt embedsmisbrug.

Artikel 50 Tavshedspligt

Tilsynsmyndighedens medlemmer og personale har såvel under embeds- og ansættelsesperioden som efter dens ophør tavshedspligt, for så vidt angår alle fortrolige oplysninger, der er kommet til deres kendskab under udøvelsen af deres hverv.

AFDELING 2 OPGAVER OG BEFØJELSER

Artikel 51 Kompetence

1.           Hver tilsynsmyndighed udøver på sin medlemsstats område de beføjelser, der tillægges den i overensstemmelse med denne forordning.

2.           Når personoplysninger behandles i forbindelse med aktiviteter, der gennemføres af en registeransvarligs eller registerførers virksomhed i Unionen, og den registeransvarlige eller registerføreren er etableret i mere end én medlemsstat, er tilsynsmyndigheden i den medlemsstat, hvor den registeransvarliges eller registerførerens hovedvirk­somhed er etableret, ansvarlig for at kontrollere den registeransvarliges eller registerførerens behandlingsaktiviteter i alle medlemsstater, uden at dette berører bestemmelserne i denne forordnings kapitel VII.

3.           Tilsynsmyndigheden har ikke beføjelse til at føre tilsyn med domstolenes behandling af personoplysninger, når disse handler som led i deres retspleje.

Artikel 52 Opgaver

1.           Tilsynsmyndigheden:

a)      kontrollerer og sikrer anvendelsen af denne forordning

b)      hører klager, der indgives af en registreret eller en sammenslutning, der repræsenterer den registrerede i overensstemmelse med artikel 73, undersøger, så vidt det er hensigtsmæssigt, sagen og underretter den registrerede eller sammenslutningen om forløbet og resultatet af klagen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig

c)      deler oplysninger med og yder gensidig bistand til andre tilsynsmyndigheder og sikrer ensartet anvendelse og håndhævelse af denne forordning

d)      gennemfører undersøgelser på eget initiativ, på grundlag af en klage eller efter anmodning fra en anden tilsynsmyndighed og underretter den registrerede, hvis vedkommende har indgivet en klage til denne tilsynsmyndighed, om resultatet af undersøgelsen inden for en rimelig frist

e)      overvåger den relevante udvikling, for så vidt den har indvirkning på beskyttelsen af personoplysninger, navnlig udviklingen i informations- og kommunikationsteknologier og kommerciel praksis

f)       høres af medlemsstaternes institutioner og organer om administrative foranstaltninger til beskyttelse af personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger

g)      godkender og høres om behandling i henhold til artikel 34

h)      afgiver udtalelse om forslag til adfærdskodekser i henhold til artikel 38, stk. 2

i)       godkender bindende virksomhedsregler i henhold til artikel 43

j)       deltager i Det Europæiske Databeskyttelsesråds aktiviteter.

2.           Hver tilsynsmyndighed styrker offentlighedens kendskab til risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger med særlig fokus på aktiviteter, der er direkte rettet mod børn.

3.           Tilsynsmyndigheden rådgiver efter anmodning en registreret om udøvelsen af vedkommendes rettigheder i henhold til denne forordning og samarbejder i den forbindelse med tilsynsmyndighederne i andre medlemsstater, hvis det er relevant.

4.           I forbindelse med de klager, der er omhandlet i stk. 1, litra b), udarbejder tilsynsmyndigheden en klageformular, der kan udfyldes elektronisk, uden dog at udelukke andre kommunikationsmidler.

5.           Tilsynsmyndigheden varetager sine opgaver uden udgifter for den registrerede.

6.           Hvis anmodninger er tydeligt overdrevne, bl.a. fordi de gentages, kan tilsynsmyn­digheden opkræve et gebyr eller undlade at iværksætte den handling, den registrerede anmoder om. Tilsynsmyndigheden bærer ansvaret for at bevise, at anmodningen er tydeligt overdreven.

Artikel 53 Beføjelser

1.           Hver tilsynsmyndighed har beføjelse:

a)      til at underrette den registeransvarlige eller registerføreren om en påstået overtrædelse af bestemmelserne om behandling af personoplysninger og i givet fald give den registeransvarlige eller registerføreren påbud om at råde bod på overtrædelsen og forbedre beskyttelsen af den registrerede

b)      til at give den registeransvarlige påbud om at imødekomme den registreredes anmodning om at udøve de rettigheder, der er omfattet af denne forordning

c)      til at give den registeransvarlige og registerføreren samt den registeransvarliges eventuelle repræsentant påbud om at udlevere alle oplysninger, der er relevante for udøvelsen af dennes hverv

d)      til at sikre overensstemmelse med forudgående godkendelser og høringer, jf. artikel 34

e)      til at rette en advarsel eller en påtale til den registeransvarlige eller registerføreren

f)       til at give påbud om berigtigelse, sletning eller tilintetgørelse af alle personoplysninger, når de er blevet behandlet i strid med bestemmelserne i denne forordning, og meddelelse af sådanne handlinger til tredjemand, til hvem disse oplysninger er videregivet

g)      til midlertidigt eller definitivt at forbyde en behandling

h)      til at suspendere videregivelsen af oplysninger til et tredjeland eller en international organisation

i)       til at afgive udtalelser om ethvert spørgsmål vedrørende beskyttelse af personoplysninger

j)       til at informere det nationale parlament, regeringen eller andre politiske institutioner samt offentligheden om ethvert spørgsmål vedrørende beskyttelse af personoplysninger.

2.           Hver tilsynsmyndighed har undersøgelsesbeføjelser til fra den registeransvarlige eller registerføreren:

a)      at få indsigt i alle personoplysninger og informationer, der er nødvendige for at varetage dens opgaver

b)      at få adgang til lokaler, herunder databehandlingsudstyr og -midler, hvis der er begrundet formodning om, at der dér udøves en aktivitet, som er i strid med denne forordning.

De i litra b) omhandlede beføjelser udøves i henhold til EU-retten og medlemsstatens lovgivning.

3.           Hver tilsynsmyndighed har beføjelse til at indbringe overtrædelser af denne forordning for domstolene og deltage i retssager i henhold til artikel 74, stk. 4, og artikel 75, stk. 2.

4.           Hver tilsynsmyndighed har beføjelse til at sanktionere administrative overtrædelser, navnlig overtrædelser omhandlet i artikel 79, stk. 4, 5 og 6.

Artikel 54 Aktivitetsrapport

Hver tilsynsmyndighed udarbejder en årlig rapport om sin virksomhed. Rapporten forelægges det nationale parlament og stilles til rådighed for offentligheden, Kommissionen og Det Europæiske Databeskyttelsesråd.

KAPITEL VII

SAMARBEJDE OG SAMMENHÆNG

Afdeling 1 Samarbejde

Artikel 55 Gensidig bistand

1.           Tilsynsmyndighederne udveksler oplysninger og yder hinanden gensidig bistand med henblik på at gennemføre og anvende denne forordning på en ensartet måde og træffer foranstaltninger med henblik på et effektivt samarbejde med hinanden. Gensidig bistand omfatter bl.a. anmodninger om oplysninger og tilsynsforan­staltninger, som f.eks. anmodninger om gennemførelse af forudgående godkendelse og høring, inspektioner og øjeblikkelig informering om indledning af sager og udviklingen heri, når det er sandsynligt, at registrerede i flere medlemsstater vil blive påvirket af behandlingen.

2.           Hver tilsynsmyndighed træffer alle foranstaltninger, som er nødvendige for at besvare anmodninger fra en anden tilsynsmyndighed uden forsinkelse og senest en måned efter modtagelsen af anmodningen. Sådanne foranstaltninger kan bl.a. omfatte videregivelse af relevante oplysninger under undersøgelsen eller håndhævelses­foranstaltninger, der har til formål at stoppe eller forbyde behandling, der er i strid med denne forordning.

3.           Anmodningen om bistand skal indeholde alle nødvendige oplysninger, herunder formålet med og baggrunden for anmodningen. De udvekslede oplysninger må kun anvendes i forbindelse med den sag, der ligger til grund for anmodningen.

4.           En tilsynsmyndighed, der modtager en anmodning om bistand, kan ikke afvise at imødekomme denne, medmindre:

a)      den ikke har kompetence i forbindelse med anmodningen

b)      imødekommelse af anmodningen er uforenelig med bestemmelserne i denne forordning.

5.           Den anmodede tilsynsmyndighed underretter den anmodende tilsynsmyndighed om resultaterne eller om forløbet eller de foranstaltninger, der er iværksat for at imødekomme anmodningen fra den anmodende tilsynsmyndighed.

6.           Tilsynsmyndighederne fremsender hurtigst muligt elektronisk de oplysninger, som andre tilsynsmyndigheder anmoder om, i et standardformat.

7.           Der opkræves ikke gebyr for foranstaltninger, der iværksættes efter en anmodning om gensidig bistand.

8.           Hvis en tilsynsmyndighed ikke iværksætter en foranstaltning senest en måned efter modtagelsen af en anmodning fra en anden tilsynsmyndighed, kan den anmodende tilsynsmyndighed iværksætte en foreløbig foranstaltning på sin medlemsstats område i henhold til artikel 51, stk. 1, og forelægge sagen for Det Europæiske Databe­skyttelsesråd i overensstemmelse med proceduren omhandlet i artikel 57.

9.           Tilsynsmyndigheden angiver gyldighedsperioden for en sådan foreløbig foranstaltning. Denne periode må højst være på tre måneder. Tilsynsmyndigheden meddeler straks Det Europæiske Databeskyttelsesråd og Kommissionen disse foranstaltninger med en udførlig begrundelse.

10.         Kommissionen kan angive formatet og procedurerne for gensidig bistand som omhandlet i denne artikel og ordningerne for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder og mellem tilsynsmyndigheder og Det Europæiske Databeskyttelsesråd, navnlig standardformatet nævnt i stk. 6. Disse gennemførelses­retsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

Artikel 56 Tilsynsmyndigheders fælles aktiviteter

1.           For at intensivere samarbejdet og den gensidige bistand gennemfører tilsynsmyn­dighederne fælles undersøgelsesopgaver, fælles håndhævelsesforanstaltninger og andre fælles aktiviteter, som udpegede medlemmer eller medarbejdere fra andre medlemsstaters tilsynsmyndigheder er involveret i.

2.           Når registrerede i flere medlemsstater sandsynligvis berøres af behandling, har tilsynsmyndigheden i hver af disse medlemsstater ret til at deltage i fælles undersøgelsesopgaver eller fælles aktiviteter. Den kompetente tilsynsmyndighed indbyder tilsynsmyndigheden i hver af disse medlemsstater til at deltage i de respektive fælles undersøgelsesopgaver eller fælles aktiviteter og besvarer straks en tilsynsmyndigheds anmodning om deltagelse i aktiviteterne.

3.           Hver tilsynsmyndighed kan som værtstilsynsmyndighed i overensstemmelse med sin nationale lovgivning og med den udsendende tilsynsmyndigheds godkendelse delegere forvaltningsbeføjelser, herunder undersøgelsesopgaver, til den udsendende tilsynsmyndigheds medlemmer eller medarbejdere, som deltager i fælles aktiviteter, eller, for så vidt værtstilsynsmyndighedens lovgivning tillader det, tillade, at den udsendende tilsynsmyndigheds medlemmer eller medarbejdere udøver deres forvaltningsbeføjelser i overensstemmelse med den udsendende tilsynsmyndigheds lovgivning. Sådanne forvaltningsbeføjelser må kun udøves under vejledning og i reglen også tilstedeværelse af værtstilsynsmyndighedens medlemmer eller medarbejdere. Den udsendende tilsynsmyndigheds medlemmer eller medarbejdere er underlagt værtstilsynsmyndighedens nationale lovgivning. Værtstilsynsmyndigheden påtager sig ansvaret for deres handlinger.

4.           Tilsynsmyndighederne fastlægger de praktiske aspekter af specifikke samarbejds­aktiviteter.

5.           Hvis en tilsynsmyndighed ikke opfylder forpligtelsen i stk. 2 inden for en måned, kan den anden tilsynsmyndighed iværksætte en foreløbig foranstaltning på sin medlemsstats område i henhold til artikel 51, stk. 1.

6.           Tilsynsmyndigheden angiver gyldighedsperioden for en foreløbig foranstaltning omhandlet i stk. 5. Denne periode må ikke overstige tre måneder. Tilsynsmyn­digheden meddeler straks Det Europæiske Databeskyttelsesråd og Kommissionen disse foranstaltninger med en udførlig begrundelse og forelægger sagen for den mekanisme, der er omhandlet i artikel 57.

AFDELING 2 SAMMENHÆNG

Artikel 57 Sammenhængsmekanisme

Med henblik på artikel 46, stk. 1, samarbejder tilsynsmyndighederne med hinanden og med Kommissionen via den sammenhængsmekanisme, der fastsættes i denne afdeling.

Artikel 58 Det Europæiske Databeskyttelsesråds udtalelse

1.           Inden en tilsynsmyndighed vedtager en foranstaltning omhandlet i stk. 2, meddeler denne tilsynsmyndighed den foreslåede foranstaltning til Det Europæiske Databeskyttelsesråd og Kommissionen.

2.           Forpligtelsen i henhold til stk. 1 gælder for foranstaltninger, der skal have retsvirkning, og som:

a)      omfatter behandlingsaktiviteter, der vedrører udbud af varer eller tjenester til registrerede i flere medlemsstater eller overvågning af deres adfærd

b)      i væsentlig grad kan påvirke den frie udveksling af personoplysninger i Unionen

c)      har til formål at vedtage en liste over former for behandling, som er underlagt krav om forudgående høring i henhold til artikel 34, stk. 5

d)      har til formål at fastlægge standardbestemmelser om databeskyttelse som omhandlet i artikel 42, stk. 2, litra c)

e)      har til formål at godkende kontraktbestemmelser som omhandlet i artikel 42, stk. 2, litra d)

f)       har til formål at godkende bindende virksomhedsregler som omhandlet i artikel 43.

3.           Enhver tilsynsmyndighed eller Det Europæiske Databeskyttelsesråd kan kræve, at en sag underlægges sammenhængsmekanismen, navnlig hvis en tilsynsmyndighed ikke forelægger en foreslået foranstaltning, jf. stk. 2, eller ikke overholder forpligtelsen til gensidig bistand, jf. artikel 55, eller fælles aktiviteter, jf. artikel 56.

4.           For at sikre en korrekt og ensartet anvendelse af denne forordning kan Kommissionen kræve, at enhver sag underlægges sammenhængsmekanismen.

5.           Tilsynsmyndigheder og Kommissionen fremsender elektronisk alle relevante oplysninger, herunder et resumé af kendsgerningerne, den foreslåede foranstaltning og begrundelsen for iværksættelsen af en sådan foranstaltning, i et standardformat.

6.           Formanden for Det Europæiske Databeskyttelsesråd underretter straks elektronisk medlemmerne af Det Europæiske Databeskyttelsesråd og Kommissionen om alle relevante oplysninger, han har modtaget, i et standardformat. Formanden for Det Europæiske Databeskyttelsesråd sørger efter behov for oversættelse af de relevante oplysninger.

7.           Det Europæiske Databeskyttelsesråd afgiver en udtalelse om sagen, hvis Det Europæiske Databeskyttelsesråd beslutter dette ved simpelt flertal, eller hvis en tilsynsmyndighed eller Kommissionen anmoder herom, senest en uge efter modtagelsen af de relevante oplysninger i henhold til stk. 5. Udtalelsen vedtages ved simpelt flertal af Det Europæiske Databeskyttelsesråd inden for en måned. Formanden for Det Europæiske Databeskyttelsesråd underretter uden unødig forsinkelse den tilsynsmyndighed, der er nævnt i stk. 1 eller 3, Kommissionen og den tilsynsmyndighed, der er kompetent i henhold til artikel 51, om udtalelsen og offentliggør den.

8.           Den tilsynsmyndighed, der er nævnt i stk. 1, og den tilsynsmyndighed, der er kompetent i henhold til artikel 51, overvejer Det Europæiske Databeskyttelsesråds udtalelse og giver senest to uger efter modtagelsen af meddelelsen om udtalelsen fra formanden for Det Europæiske Databeskyttelsesråd formanden for Det Europæiske Databeskyttelsesråd og Kommissionen elektronisk meddelelse om, hvorvidt den agter at fastholde eller ændre sit forslag til foranstaltning, og forelægger i givet fald det ændrede forslag til foranstaltning for Det Europæiske Databeskyttelsesråd og Kommissionen i et standardformat.

Artikel 59 Kommissionens udtalelse

1.           Senest 10 uger efter indledning af en sag i henhold til artikel 58 eller senest seks uger, for så vidt angår artikel 61, kan Kommissionen - for at sikre korrekt og ensartet anvendelse af denne forordning ­- vedtage en udtalelse om sager, som er rejst i henhold til artikel 58 eller 61.

2.           Hvis Kommissionen har vedtaget en udtalelse i henhold til stk. 1, tager den pågældende tilsynsmyndighed størst muligt hensyn til Kommissionens udtalelse og meddeler Kommissionen og Det Europæiske Databeskyttelsesråd, om den agter at fastholde eller ændre sit forslag til foranstaltning.

3.           I den periode, der er nævnt i stk. 1, vedtages den foreslåede foranstaltning ikke af tilsynsmyndigheden.

4.           Hvis den pågældende tilsynsmyndighed ikke agter at følge Kommissionens udtalelse, meddeler den dette og begrundelsen herfor til Kommissionen og Det Europæiske Databeskyttelsesråd inden for den frist, der er nævnt i stk. 1. I så fald vedtages den foreslåede foranstaltning ikke i endnu en måned.

Artikel 60 Suspension af en foreslået foranstaltning

1.           Senest en måned efter meddelelsen i henhold til artikel 59, stk. 4, og såfremt Kommissionen er i alvorlig tvivl om, hvorvidt den foreslåede foranstaltning vil sikre korrekt anvendelse af denne forordning eller på anden måde vil resultere i uensartet anvendelse, kan Kommissionen vedtage en begrundet afgørelse, som kræver, at tilsynsmyndigheden suspenderer vedtagelsen af den foreslåede foranstaltning på grundlag af udtalelse fra Det Europæiske Databeskyttelsesråd i henhold til artikel 58, stk. 7, eller artikel 61, stk. 2, hvis dette forekommer nødvendigt for at:

a)      forene tilsynsmyndighedens og Det Europæiske Databeskyttelsesråds forskellige holdninger, hvis dette stadig forekommer muligt

b)      vedtage en foranstaltning i henhold til artikel 62, stk. 1, litra a).

2.           Kommissionen angiver varigheden af suspensionen, som ikke kan overstige 12 måneder.

3.           I den periode, der er nævnt i stk. 2, må tilsynsmyndigheden ikke gennemføre den foreslåede foranstaltning.

Artikel 61 Hasteprocedure

1.           Når en tilsynsmyndighed under ekstraordinære omstændigheder mener, at det er nødvendigt at handle omgående for at beskytte registreredes interesser, navnlig hvis der er alvorlig risiko for begrænsning af håndhævelsen af en registrerets rettigheder som følge af en ændring af de nuværende forhold, for at afhjælpe alvorlige ulemper eller af andre grunde, kan den omgående vedtage foreløbige foranstaltninger med en angivet gyldighedsperiode som en undtagelse fra den procedure, der er nævnt i artikel 58. Tilsynsmyndigheden meddeler straks Det Europæiske Databeskyttelsesråd og Kommissionen disse foranstaltninger med en udførlig begrundelse.

2.           Hvis en tilsynsmyndighed har iværksat en foranstaltning i henhold til stk. 1 og mener, at endelige foranstaltninger skal vedtages omgående, kan den anmode om en hasteudtalelse fra Det Europæiske Databeskyttelsesråd, idet tilsynsmyndigheden begrunder anmodningen om en sådan udtalelse, herunder den påtrængende nødvendighed af endelige foranstaltninger.

3.           Enhver tilsynsmyndighed kan anmode om en hasteudtalelse, hvis den kompetente tilsynsmyndighed ikke har iværksat en fornøden foranstaltning i en situation, hvor det er nødvendigt at handle omgående for at beskytte registreredes interesser, idet tilsynsmyndigheden begrunder anmodningen om en sådan udtalelse, herunder behovet for at handle omgående.

4.           Som undtagelse fra artikel 58, stk. 7, vedtages en hasteudtalelse omhandlet i denne artikels stk. 2 og 3, ved simpelt flertal af Det Europæiske Databeskyttelsesråd inden for to uger.

Artikel 62 Gennemførelsesretsakter

1.           Kommissionen kan vedtage gennemførelsesretsakter med henblik på:

a)      at træffe beslutning om den korrekte anvendelse af denne forordning i overensstemmelse med dens mål og krav vedrørende sager, der meddeles af tilsynsmyndigheder i henhold til artikel 58 eller 61, vedrørende sager, hvor en begrundet afgørelse er truffet i henhold til artikel 60, stk. 1, eller vedrørende sager, hvor en tilsynsmyndighed ikke indgiver en foreslået foranstaltning, og hvor den pågældende tilsynsmyndighed har angivet, at den ikke agter at følge Kommissionens afgørelse vedtaget i henhold til artikel 59

b)      inden for den periode, der er omhandlet i artikel 59, stk. 1, at afgøre, om de foreslåede standardbestemmelser om databeskyttelse, der er omhandlet i artikel 58, stk. 2, litra d), skal finde generel anvendelse

c)      angive formatet og procedurerne for anvendelsen af den sammenhængs­mekanisme, der er omhandlet i denne afdeling

d)      angive ordningerne for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder og mellem tilsynsmyndigheder og Det Europæiske Databeskyttelsesråd, navnlig det standardformat, der er nævnt i artikel 58, stk. 5, 6 og 8.

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

2.           I behørigt begrundede tilfælde af særligt hastende karakter vedrørende registreredes interesser omhandlet i stk. 1, litra a), vedtager Kommissionen omgående gennemførelsesretsakter i overensstemmelse med den procedure, der er omhandlet i artikel 87, stk. 3. Disse retsakter gælder i en periode på højst 12 måneder.

3.           Manglende vedtagelse eller vedtagelse af en foranstaltning i henhold til denne afdeling berører ikke andre foranstaltninger, der vedtages af Kommissionen i henhold til traktaterne.

Artikel 63 Håndhævelse

1.           For så vidt angår denne forordning, håndhæves en foranstaltning, der er vedtaget af en tilsynsmyndighed i en medlemsstat, og som kan håndhæves retsligt, i alle berørte medlemsstater.

2.           Hvis en tilsynsmyndighed i strid med artikel 58, stk. 1-5, ikke forelægger en foreslået foranstaltning for sammenhængsmekanismen, er tilsynsmyndighedens foranstaltning ikke retsgyldig og kan ikke håndhæves retsligt.

AFDELING 3 DET EUROPÆISKE DATABESKYTTELSESRÅD

Artikel 64 Det Europæiske Databeskyttelsesråd

1.           Der oprettes herved et europæisk databeskyttelsesråd.

2.           Det Europæiske Databeskyttelsesråd sammensættes af chefen for tilsynsmyndig­heden i hver medlemsstat og Den Europæiske Tilsynsførende for Databeskyttelse.

3.           Hvis mere end én tilsynsmyndighed i en medlemsstat er ansvarlig for kontrollen med anvendelsen af bestemmelserne i denne forordning, udpeger de chefen for én af disse tilsynsmyndigheder som fælles repræsentant.

4.           Kommissionen har ret til at deltage i Det Europæiske Databeskyttelsesråds aktiviteter og møder og udpeger en repræsentant. Formanden for Det Europæiske Databeskyttelsesråd underretter omgående Kommissionen om alle aktiviteter i Det Europæiske Databeskyttelsesråd.

Artikel 65 Uafhængighed

1.           Det Europæiske Databeskyttelsesråd handler uafhængigt, når det udfører sine opgaver i henhold til artikel 66 og 67.

2.           Uden at det berører anmodninger fra Kommissionen som omhandlet i artikel 66, stk. 1, litra b), og artikel 66, stk. 2, søger eller modtager Det Europæiske Databeskyttelsesråd ikke instrukser fra andre ved udøvelsen af sine opgaver.

Artikel 66 Det Europæiske Databeskyttelsesråds opgaver

1.           Det Europæiske Databeskyttelsesråd sikrer, at denne forordning anvendes på en ensartet måde. På eget initiativ eller efter anmodning fra Kommissionen har Det Europæiske Databeskyttelsesråd bl.a. til opgave at:

a)      rådgive Kommissionen om ethvert spørgsmål vedrørende beskyttelse af personoplysninger i Unionen, herunder om ethvert forslag til ændring af denne forordning

b)      undersøge, på eget initiativ, efter anmodning fra et af sine medlemmer eller efter anmodning fra Kommissionen, ethvert spørgsmål vedrørende anvendelsen af denne forordning og udarbejde retningslinjer, henstillinger og bedste praksis til tilsynsmyndighederne for at fremme en ensartet anvendelse af denne forordning

c)      gennemgå den praktiske anvendelse af de retningslinjer, henstillinger og bedste praksis, som er omhandlet i litra b), og aflægge regelmæssig rapport herom til Kommissionen

d)      afgive udtalelser om tilsynsmyndigheders foreslåede afgørelser i overensstemmelse med den sammenhængsmekanisme, der er omhandlet i artikel 57

e)      fremme samarbejdet og en effektiv bilateral og multilateral udveksling af information og bedste praksis mellem tilsynsmyndighederne

f)       fremme fælles uddannelsesprogrammer og udveksling af personale mellem tilsynsmyndighederne samt i påkommende tilfælde med tilsynsmyndighederne i tredjelande og internationale organisationers tilsynsmyndigheder

g)      fremme udveksling af viden og dokumentation vedrørende databeskyttelses­lovgivning og -praksis med databeskyttelsesmyndigheder over hele verden.

2.           Når Kommissionen anmoder Det Europæiske Databeskyttelsesråd om rådgivning, kan den fastsætte en frist for, hvornår Det Europæiske Databeskyttelsesråds skal yde denne rådgivning. En sådan frist fastsættes under hensyntagen til, hvor meget den pågældende sag haster.

3.           Det Europæiske Databeskyttelsesråd fremsender sine udtalelser, retningslinjer, henstillinger og bedste praksis til Kommissionen og til det udvalg, der er nævnt i artikel 87, og offentliggør dem.

4.           Kommissionen underretter Det Europæiske Databeskyttelsesråd om Kommissionens opfølgning på udtalelser, retningslinjer, henstillinger og bedste praksis udarbejdet af Det Europæiske Databeskyttelsesråd.

Artikel 67 Rapporter

1.           Det Europæiske Databeskyttelsesråd informerer regelmæssigt og rettidigt Kommissionen om resultatet af sine aktiviteter. Det udarbejder en årlig rapport om situationen vedrørende beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger inden for Unionen og i tredjelande.

Rapporten omfatter en gennemgang af den praktiske anvendelse af de retningslinjer, henstillinger og bedste praksis, som er omhandlet i artikel 66, stk. 1, litra c).

2.           Rapporten offentliggøres og forelægges Europa-Parlamentet, Rådet og Kommis­sionen.

Artikel 68 Procedure

1.           Det Europæiske Databeskyttelsesråd træffer afgørelse med simpelt flertal.

2.           Det Europæiske Databeskyttelsesråd vedtager selv sin forretningsorden og tilrettelægger sin drift. Det fastsætter bl.a. bestemmelser om fortsat varetagelse af opgaver, når et medlems embedsperiode udløber, eller et medlem fratræder, om oprettelsen af arbejdsgrupper for særlige spørgsmål eller sektorer og om sine procedurer i forbindelse med den sammenhængsmekanisme, der er omhandlet i artikel 57.

Artikel 69 Formanden

1.           Det Europæiske Databeskyttelsesråd vælger en formand og to næstformænd blandt sine medlemmer. Den ene næstformand er Den Europæiske Tilsynsførende for Databeskyttelse, medmindre vedkommende vælges som formand.

2.           Embedsperioden for formanden og de to næstformænd er fem år og kan forlænges.

Artikel 70 Formandens opgaver

1.           Formanden har følgende opgaver:

a)      at indkalde til møder i Det Europæiske Databeskyttelsesråd og udarbejde dagsordenen herfor

b)      at sikre, at Det Europæiske Databeskyttelsesråds opgaver løses rettidigt, navnlig i forbindelse med den sammenhængsmekanisme, der er omhandlet i artikel 57.

2.           Det Europæiske Databeskyttelsesråd fastlægger fordelingen af opgaver mellem formanden og næstformændene i sin forretningsorden.

Artikel 71 Sekretariat

1.           Der oprettes et sekretariat for Det Europæiske Databeskyttelsesråd. Den Europæiske Tilsynsførende for Databeskyttelse forestår dette sekretariat.

2.           Sekretariatet yder analytisk, administrativ og logistisk støtte til Det Europæiske Databeskyttelsesråd under formandens ledelse.

3.           Sekretariatet er navnlig ansvarligt for:

a)      Det Europæiske Databeskyttelsesråds daglige arbejde

b)      kommunikationen mellem medlemmerne af Det Europæiske Databeskyttelses­råd, dets formand og Kommissionen og for kommunikationen med andre institutioner og offentligheden

c)      brugen af elektroniske midler til intern og ekstern kommunikation

d)      oversættelse af relevante oplysninger

e)      forberedelse og opfølgning af Det Europæiske Databeskyttelsesråds møder

f)       forberedelse, udarbejdelse og offentliggørelse af udtalelser og andre dokumenter, der vedtages af Det Europæiske Databeskyttelsesråd.

Artikel 72 Fortrolighed

1.           Det Europæiske Databeskyttelsesråds drøftelser er fortrolige.

2.           Dokumenter, der udleveres til medlemmer af Det Europæiske Databeskyttelsesråd, eksperter og repræsentanter for tredjemand, er fortrolige, medmindre der gives indsigt i disse dokumenter i henhold til forordning (EF) nr. 1049/2001, eller Det Europæiske Databeskyttelsesråd på anden måde offentliggør dem.

3.           Medlemmerne af Det Europæiske Databeskyttelsesråd samt eksperter og repræsentanter for tredjemand forpligtes til at respektere denne artikels bestemmelser om fortrolighed. Formanden tilser, at eksperter og repræsentanter for tredjemand oplyses om de fortrolighedskrav, de pålægges.

KAPITEL VIII

KLAGEADGANG, ANSVAR OG SANKTIONER

Artikel 73 Ret til at indgive klage til tilsynsmyndigheden

1.           Uden at det berører en eventuel administrativ klageadgang eller adgang til domstolsprøvelse, har alle registrerede ret til at indgive klage til tilsynsmyndigheden i enhver medlemsstat, hvis de finder, at behandlingen af deres personoplysninger ikke er i overensstemmelse med denne forordning.

2.           Alle organer, organisationer eller sammenslutninger, der har til formål at beskytte registreredes rettigheder og interesser i forbindelse med beskyttelsen af deres personoplysninger, og som er etableret i overensstemmelse med en medlemsstats lovgivning, har ret til at indgive klage til en tilsynsmyndighed i enhver medlemsstat på vegne af en eller flere registrerede, hvis de vurderer, at den registreredes rettigheder i henhold til denne forordning er blevet krænket som følge af behandlingen af personoplysninger.

3.           Alle de organer, organisationer eller sammenslutninger, der er omhandlet i stk. 2, har ret til, uafhængigt af en klage fra den registrerede, at indgive klage til en tilsynsmyndighed i enhver medlemsstat, hvis de vurderer, at et brud på persondatasikkerheden har fundet sted.

Artikel 74 Retsmidler over for tilsynsmyndigheden

1.           Enhver fysisk eller juridisk person har ret til domstolsprøvelse af afgørelser truffet af en tilsynsmyndighed vedrørende vedkommende.

2.           Enhver registreret har adgang til et retsmiddel, der forpligter tilsynsmyndigheden til at reagere på en klage, hvis der ikke træffes en afgørelse, som er nødvendig for at beskytte vedkommendes rettigheder, eller hvis tilsynsmyndigheden ikke inden for tre måneder underretter den registrerede om forløbet eller resultatet af klagen i henhold til artikel 52, stk. 1, litra b).

3.           En sag mod en tilsynsmyndighed anlægges ved domstolen i den medlemsstat, hvor tilsynsmyndigheden er etableret.

4.           En registreret, der berøres af en afgørelse, som er truffet af en tilsynsmyndighed i en anden medlemsstat end den medlemsstat, hvor den registrerede har sit sædvanlige opholdssted, kan anmode tilsynsmyndigheden i den medlemsstat, hvor den registrerede har sit sædvanlige opholdssted, om på den registreredes vegne at anlægge dennes sag mod den kompetente tilsynsmyndighed i den anden medlemsstat.

5.           Medlemsstaterne gennemfører endelige afgørelser, der træffes af de domstole, som er omhandlet i denne artikel.

Artikel 75 Retsmidler over for den registeransvarlige eller registerføreren

1.           Uden at det berører en eventuel administrativ klageadgang, herunder retten til at indgive klage til en tilsynsmyndighed, jf. artikel 73, har alle fysiske personer adgang til domstolsprøvelse, hvis de finder, at deres rettigheder i henhold til denne forordning er blevet krænket som følge af behandlingen af deres personoplysninger i strid med denne forordning.

2.           En sag mod en registeransvarlig eller en registerfører anlægges ved domstolen i den medlemsstat, hvor den registeransvarlige eller registerføreren er etableret. Alternativt kan en sådan sag anlægges ved domstolen i den medlemsstat, hvor den registrerede har sit sædvanlige opholdssted, medmindre den registeransvarlige er en offentlig myndighed, der udøver offentligretlige beføjelser.

3.           Hvis en sag vedrørende samme foranstaltning, afgørelse eller praksis er under overvejelse i den sammenhængsmekanisme, der er omhandlet i artikel 58, kan en domstol udsætte den verserende sag, medmindre påtrængende hensyn til beskyttelsen af den registreredes personoplysninger betyder, at der ikke er tid til at vente på resultatet af proceduren i sammenhængsmekanismen.

4.           Medlemsstaterne gennemfører endelige afgørelser, der træffes af de domstole, som er omhandlet i denne artikel.

Artikel 76 Fælles regler for retssager

1.           Alle organer, organisationer eller sammenslutninger, der er omhandlet i artikel 73, stk. 2, har ret til at udøve de rettigheder, der er omhandlet i artikel 74 og 75, på vegne af en eller flere registrerede.

2.           Hver tilsynsmyndighed har ret til at deltage i retssager og anlægge sager for en domstol med det formål at håndhæve denne forordning eller sikre ensartet beskyttelse af personoplysninger i Unionen.

3.           Hvis en kompetent domstol i en medlemsstat har rimelig grund til at formode, at en parallel sag føres i en anden medlemsstat, kontakter denne den kompetente domstol i den anden medlemsstat for at bekræfte eksistensen af en sådan parallel sag.

4.           Hvis en sådan parallel sag i en anden medlemsstat vedrører samme foranstaltning, afgørelse eller praksis, kan domstolen udsætte sagen.

5.           Medlemsstaterne sørger for, at indgivelse af søgsmål i henhold til national ret kan føre til hurtig vedtagelse af forholdsregler, herunder foreløbige forholdsregler, for at bringe den påståede overtrædelse til ophør og hindre, at der opstår yderligere skade for de berørte interesser.

Artikel 77 Ret til erstatning og erstatningsansvar

1.           Enhver, som har lidt skade som følge af en ulovlig behandling eller enhver anden handling, der er uforenelig med denne forordning, har ret til erstatning for den forvoldte skade fra den registeransvarlige eller registerføreren.

2.           Når flere registeransvarlige eller registerførere er involveret i behandlingen, hæfter den enkelte registeransvarlige eller registerfører solidarisk for hele erstatnings­beløbet.

3.           Den registeransvarlige eller registerføreren kan helt eller delvis fritages for erstatningsansvar for skade, hvis den registeransvarlige eller registerføreren beviser, at vedkommende ikke er skyld i den begivenhed, der medførte skaden.

Artikel 78 Sanktioner

1.           Medlemsstaterne fastsætter bestemmelser om sanktioner for overtrædelse af bestemmelserne i denne forordning og træffer alle nødvendige foranstaltninger for at sikre, at de bringes i anvendelse, herunder når den registeransvarlige ikke overholder forpligtelsen til at udpege en repræsentant. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

2.           Når den registeransvarlige har udpeget en repræsentant, anvendes sanktioner på repræsentanten, uden at dette berører eventuelle sanktioner mod den registeransvarlige selv.

3.           Hver medlemsstat meddeler Kommissionen de bestemmelser, den vedtager i henhold til stk. 1, senest den dato, der er fastsat i artikel 92, stk. 2, og underretter den straks om eventuelle senere ændringer af disse.

Artikel 79 Administrative sanktioner

1.           Hver tilsynsmyndighed har beføjelse til at anvende administrative sanktioner i henhold til denne artikel.

2.           Den administrative sanktion skal være effektiv, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Bødens størrelse fastlægges under hensyntagen til overtrædelsens karakter, alvor og varighed, overtrædelsens forsætlige eller uagtsomme karakter, den fysiske eller juridiske persons grad af ansvar, denne persons eventuelle tidligere overtrædelser, de tekniske og organisatoriske foranstaltninger og procedurer, der er gennemført i henhold til artikel 23, og graden af samarbejde med tilsynsmyndigheden for at afhjælpe bruddet.

3.           I tilfælde af en første og uforsætlig manglende overholdelse af denne forordning kan der gives en skriftlig advarsel uden pålæggelse af sanktioner, hvis:

a)       en fysisk person behandler personoplysninger uden kommerciel interesse

b)       en virksomhed eller organisation, der beskæftiger under 250 personer, udelukkende behandler personoplysninger som en aktivitet i tilknytning til dens hovedaktiviteter.

4.           Tilsynsmyndigheden pålægger enhver en bøde på op til 250 000 EUR, eller, hvis det drejer sig om en virksomhed, på op til 0,5 % af dens årlige globale omsætning, såfremt vedkommende forsætligt eller uagtsomt:

a)      ikke fastlægger ordninger for registreredes anmodninger, ikke rettidigt besvarer sådanne anmodninger eller ikke overholder formatkravene i henhold til artikel 12, stk. 1 og 2

b)      opkræver gebyr for oplysninger eller svar på registrerede anmodninger i strid med artikel 12, stk. 4.

5.           Tilsynsmyndigheden pålægger enhver en bøde på op til 500 000 EUR, eller, hvis det drejer sig om en virksomhed, på op til 1 % af dens årlige globale omsætning, såfremt vedkommende forsætligt eller uagtsomt:

a)      ikke fremlægger oplysninger, fremlægger ufuldstændige oplysninger eller ikke fremlægger oplysninger på en tilstrækkeligt gennemsigtig måde for den registrerede i henhold til artikel 11, artikel 12, stk. 3, og artikel 14

b)      ikke giver den registrerede indsigt i eller ikke berigtiger personoplysninger i henhold til artikel 15 og 16 eller ikke meddeler de relevante oplysninger til modtageren i henhold til artikel 13

c)      ikke overholder retten til at blive glemt eller til sletning, ikke iværksætter mekanismer, der sikrer, at tidsfristerne overholdes, eller ikke træffer alle nødvendige foranstaltninger for at oplyse tredjemand om, at en registreret anmoder om, at alle link til, kopier af eller gengivelser af personoplysningerne slettes i henhold til artikel 17

d)      ikke udleverer en elektronisk kopi af personoplysningerne eller hindrer den registrerede i at overføre personoplysningerne til en anden applikation i strid med artikel 18

e)      ikke eller ikke i tilstrækkelig grad fastlægger det respektive ansvar for fælles registeransvarlige i henhold til artikel 24

f)       ikke eller ikke i tilstrækkelig grad ajourfører dokumentationen i henhold til artikel 28, artikel 31, stk. 4, og artikel 44, stk. 3

g)      i tilfælde vedrørende særlige kategorier af oplysninger, jf. artikel 80, 82 og 83, ikke overholder reglerne om ytringsfrihed eller reglerne om behandling af personoplysninger i forbindelse med ansættelsesforhold og til historiske, statistiske eller videnskabelige forskningsformål.

6.           Tilsynsmyndigheden pålægger enhver en bøde på op til 1 000 000 EUR, eller, hvis det drejer sig om en virksomhed, på op til 2 % af dens årlige globale omsætning, såfremt vedkommende forsætligt eller uagtsomt:

a)      behandler personoplysninger uden retsgrundlag eller med utilstrækkeligt retsgrundlag for behandlingen eller ikke overholder betingelserne for samtykke i artikel 6, 7 og 8

b)      behandler særlige kategorier af personoplysninger i strid med artikel 9 og 81

c)      ikke respekter en indsigelse eller et krav i henhold til artikel 19

d)      ikke overholder betingelserne vedrørende foranstaltninger baseret på profilering i henhold til artikel 20

e)      ikke vedtager interne regler eller ikke gennemfører de fornødne foranstaltninger for at sikre og påvise overensstemmelse i henhold til artikel 22, 23 og 30

f)       ikke udpeger en repræsentant i henhold til artikel 25

g)       behandler eller giver instrukser om behandling af personoplysninger i strid med forpligtelserne vedrørende behandling på vegne af en registeransvarlig i henhold til artikel 26 og 27

h)      ikke varsler eller anmelder et brud på persondatasikkerheden eller ikke rettidigt eller udførligt anmelder bruddet på persondatasikkerheden til tilsynsmyndigheden eller den registrerede i henhold til artikel 31 og 32

i)       ikke gennemfører en konsekvensanalyse vedrørende databeskyttelse eller behandler personoplysninger uden forudgående godkendelse eller forudgående høring af tilsynsmyndigheden i henhold til artikel 33 og 34

j)       ikke udpeger en databeskyttelsesansvarlig eller ikke sikrer betingelserne for udøvelsen af dette hverv i henhold til artikel 35, 36 og 37

k)      misbruger databeskyttelsesmærkninger eller -mærker som omhandlet i artikel 39

l)       gennemfører eller giver instrukser om videregivelse af personoplysninger til et tredjeland eller en international organisation, som ikke er genstand for en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, ikke giver de fornødne garantier eller er genstand for en undtagelse i henhold til artikel 40-44

m)     ikke overholder et påbud eller et midlertidigt eller definitivt forbud mod behandling eller tilsynsmyndighedens suspension af dataoverførsel i henhold til artikel 53, stk. 1

n)      ikke overholder forpligtelserne til at bistå, besvare eller udlevere relevante oplysninger til tilsynsmyndigheden eller give denne adgang til lokaler i henhold til artikel 28, stk. 3, artikel 29, artikel 34, stk. 6, og artikel 53, stk. 2

o)      ikke overholder reglerne om tavshedspligt i henhold til artikel 84.

7.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på at ajourføre størrelsen af de administrative bøder, der er omhandlet i denne artikels stk. 4, 5 og 6 under hensyntagen til kriterierne i stk. 2.

KAPITEL IX BESTEMMELSER VEDRØRENDE SPECIFIKKE DATABEHANDLINGSSITUATIONER

Artikel 80 Behandling af personoplysninger og ytringsfriheden

1.           Medlemsstaterne fastsætter kun bestemmelser om fritagelser eller undtagelser fra de generelle principper i kapitel II, bestemmelserne om den registreredes rettigheder i kapitel III, bestemmelserne om den registeransvarlige og registerføreren i kapitel IV, bestemmelserne om videregivelse af personoplysninger til tredjelande og internationale organisationer i kapitel V, bestemmelserne om uafhængige tilsynsmyndigheder i kapitel VI og bestemmelserne om samarbejde og sammenhæng i kapitel VII i forbindelse med behandling af personoplysninger, der udelukkende finder sted i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed for at forene retten til beskyttelse af personoplysninger med reglerne for ytringsfrihed.

2.           Hver medlemsstat meddeler Kommissionen de bestemmelser, den vedtager i henhold til stk. 1, senest den dato, der er fastsat i artikel 91, stk. 2, og underretter den straks om eventuelle senere ændringer af disse.

Artikel 81 Behandling af personoplysninger om helbredsforhold

1.           Under overholdelse af denne forordning og i overensstemmelse med artikel 9, stk. 2, litra h), foretages behandling af personlige helbredsoplysninger på grundlag af EU-retten eller medlemsstatslovgivning, som fastsætter tilstrækkelige og specifikke foranstaltninger til beskyttelse af den registreredes legitime interesser, og som er nødvendig:

a)      i forbindelse med forebyggende medicin, arbejdsmedicin, medicinsk diagnose, sygepleje eller patientbehandling eller forvaltning af læge- og sundheds­tjenester, og hvis behandlingen af disse oplysninger foretages af en erhvervsudøvende i sundhedssektoren, der i henhold til medlemsstatens lovgivning eller regler, der er fastsat af kompetente nationale organer, har tavshedspligt, eller af en anden person med tilsvarende tavshedspligt

b)      af hensyn til folkesundheden, f.eks. beskyttelse mod alvorlige sundhedsrisici på tværs af grænserne eller sikring af høje kvalitets- og sikkerhedsstandarder for bl.a. lægemidler eller lægeudstyr

c)      af hensyn til andre samfundsmæssige interesser på områder, som f.eks. social sikring, navnlig for at sikre kvaliteten og rentabiliteten af de procedurer, der anvendes i forbindelse med ansøgninger om ydelser og tjenester inden for sygesikringsordningen.

2.           Behandling af personoplysninger, der er nødvendig til historiske, statistiske eller videnskabelige forskningsformål, f.eks. patientregistre, der oprettes for at forbedre diagnosticering og differentiering af lignende sygdomstyper samt forberedelse af forsøgsbehandlinger, er underlagt de betingelser og garantier, der er omhandlet i artikel 83.

3.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på at præcisere andre hensyn til samfundsinteresser på folkesundhedsområdet, jf. stk. 1, litra b), og at fastlægge kriterier og betingelser vedrørende garantierne for behandling af personoplysninger til de formål, der er omhandlet i stk. 1.

Artikel 82 Behandling i forbindelse med ansættelsesforhold

1.           Under overholdelse af denne forordning kan medlemsstaterne vedtage specifikke bestemmelser, der regulerer behandlingen af arbejdstageres personoplysninger i ansættelsesforhold, blandt andet i forbindelse med ansættelse, ansættelseskontrakter, herunder godtgørelse for forpligtelser fastlagt ved lov eller kollektive overenskomster, arbejdets ledelse, planlægning og tilrettelæggelse, arbejdsmiljø, og i forbindelse med individuel eller kollektiv udøvelse og brug af rettigheder og fordele i forbindelse med ansættelse og i forbindelse med ophør af ansættelsesforhold.

2.           Hver medlemsstat meddeler Kommissionen de bestemmelser, den vedtager i henhold til stk. 1, senest den dato, der er fastsat i artikel 91, stk. 2, og underretter den straks om eventuelle senere ændringer af disse.

3.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og betingelser vedrørende garantierne for behandling af personoplysninger til de formål, der er omhandlet i stk. 1.

Artikel 83 Behandling af personoplysninger til historiske, statistiske eller videnskabelige forskningsformål

1.           Under overholdelse af denne forordning må personoplysninger kun behandles til historiske, statistiske eller videnskabelige forskningsformål, hvis:

a)      disse formål ikke ellers kan opfyldes ved behandling af oplysninger, som ikke muliggør eller ikke længere muliggør identifikation af den registrerede

b)      de oplysninger, der gør det muligt at knytte oplysninger til en identificeret eller identificerbar registreret, opbevares adskilt fra de øvrige oplysninger, så længe disse formål kan opfyldes på denne måde.

2.           Organer, der gennemfører historisk, statistisk eller videnskabelig forskning, må kun offentliggøre eller på anden måde videregive personoplysninger, hvis:

a)      den registrerede har givet sit samtykke i overensstemmelse med betingelserne i artikel 7

b)      offentliggørelsen af personoplysninger er nødvendig for at fremlægge forskningsresultater eller fremme forskningen, for så vidt den registreredes interesser, grundlæggende rettigheder eller frihedsrettigheder ikke tilsidesætter disse interesser

c)      den registrerede har offentliggjort oplysningerne.

3.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende behandlingen af personoplysninger til de formål, der er nævnt i stk. 1 og 2, samt nødvendige begrænsninger i den registreredes ret til indsigt og adgang med en beskrivelse af betingelserne og garantierne for den registreredes rettigheder under disse omstændigheder.

Artikel 84 Tavshedspligt

1.           Under overholdelse af denne forordning kan medlemsstaterne vedtage specifikke regler om tilsynsmyndighedernes undersøgelsesbeføjelser i henhold til artikel 53, stk. 2, vedrørende registeransvarlige og registerførere, der i henhold til national lovgivning eller regler fastlagt af nationale kompetente organer er underlagt faglig eller anden tilsvarende tavshedspligt, for så vidt dette er nødvendigt og rimeligt med henblik på at forene retten til beskyttelse af personoplysninger med en tavshedspligt. Disse regler gælder kun for personoplysninger, som den registeransvarlige eller registerføreren har modtaget eller indhentet under en aktivitet, der er underlagt denne tavshedspligt.

2.           Hver medlemsstat meddeler Kommissionen de regler, den vedtager i henhold til stk. 1, senest den dato, der er fastsat i artikel 91, stk. 2, og underretter den straks om eventuelle senere ændringer af disse.

Artikel 85 Kirkers og religiøse sammenslutningers eksisterende regler

1.           Hvis kirker og religiøse sammenslutninger eller samfund i en medlemsstat på tidspunktet for denne forordnings ikrafttræden anvender omfattende regler om beskyttelse af fysiske personer, hvad angår behandling af personoplysninger, kan disse eksisterende regler fortsat gælde, hvis de bringes i overensstemmelse med denne forordning.

2.           Kirker og religiøse sammenslutninger, der anvender omfattende regler i henhold til stk. 1, fastsætter bestemmelser om oprettelse af en uafhængig tilsynsmyndighed i overensstemmelse med denne forordnings kapitel VI.

KAPITEL X DELEGEREDE RETSAKTER OG GENNEMFØRELSESFORANSTALTNINGER

Artikel 86 Udøvelse af de delegerede beføjelser

1.           Kommissionen tillægges beføjelser til at vedtage delegerede retsakter på de i denne artikel fastlagte betingelser.

2.           De beføjelser, der er omhandlet i artikel 6, stk. 5, artikel 8, stk. 3, artikel 9, stk. 3, artikel 12, stk. 5, artikel 14, stk. 7, artikel 15, stk. 3, artikel 17, stk. 9, artikel 20, stk. 6, artikel 22, stk. 4, artikel 23, stk. 3, artikel 26, stk. 5, artikel 28, stk. 5, artikel 30, stk. 3, artikel 31, stk. 5, artikel 32, stk. 5, artikel 33, stk. 6, artikel 34, stk. 8, artikel 35, stk. 11, artikel 37, stk. 2, artikel 39, stk. 2, artikel 43, stk. 3, artikel 44, stk. 7, artikel 79, stk. 6, artikel 81, stk. 3, artikel 82, stk. 3, og artikel 83, stk. 3, tillægges Kommissionen for et ubestemt tidsrum fra datoen for denne forordnings ikrafttræden.

3.           De beføjelser, der er omhandlet i artikel 6, stk. 5, artikel 8, stk. 3, artikel 9, stk. 3, artikel 12, stk. 5, artikel 14, stk. 7, artikel 15, stk. 3, artikel 17, stk. 9, artikel 20, stk. 6, artikel 22, stk. 4, artikel 23, stk. 3, artikel 26, stk. 5, artikel 28, stk. 5, artikel 30, stk. 3, artikel 31, stk. 5, artikel 32, stk. 5, artikel 33, stk. 6, artikel 34, stk. 8, artikel 35, stk. 11, artikel 37, stk. 2, artikel 39, stk. 2, artikel 43, stk. 3, artikel 44, stk. 7, artikel 79, stk. 6, artikel 81, stk. 3, artikel 82, stk. 3, og artikel 83, stk. 3, kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegeringen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Afgørelsen får virkning fra dagen efter sin offentliggørelse i Den Europæiske Unions Tidende eller fra en senere dato, der fastsættes nærmere i afgørelsen. Den berører ikke gyldigheden af de delegerede retsakter, der allerede er i kraft.

4.           Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidig Europa-Parlamentet og Rådet meddelelse herom.

5.           En delegeret retsakt vedtaget i henhold til artikel 6, stk. 5, artikel 8, stk. 3, artikel 9, stk. 3, artikel 12, stk. 5, artikel 14, stk. 7, artikel 15, stk. 3, artikel 17, stk. 9, artikel 20, stk. 6, artikel 22, stk. 4, artikel 23, stk. 3, artikel 26, stk. 5, artikel 28, stk. 5, artikel 30, stk. 3, artikel 31, stk. 5, artikel 32, stk. 5, artikel 33, stk. 6, artikel 34, stk. 8, artikel 35, stk. 11, artikel 37, stk. 2, artikel 39, stk. 2, artikel 43, stk. 3, artikel 44, stk. 7, artikel 79, stk. 6, artikel 81, stk. 3, artikel 82, stk. 3, og artikel 83, stk. 3, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på to måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet eller Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har informeret Kommissionen om, at de ikke agter at gøre indsigelse. Denne periode forlænges med to måneder på foranledning af Europa-Parlamentet eller Rådet.

Artikel 87 Udvalgsprocedure

1.           Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2.           Når der henvises til dette stykke, anvendes artikel 5 i forordning (EU) nr. 182/2011.

3.           Når der henvises til dette stykke, anvendes artikel 8 i forordning (EU) nr. 182/2011 sammenholdt med dennes artikel 5.

KAPITEL XI

AFSLUTTENDE BESTEMMELSER

Artikel 88 Ophævelse af direktiv 95/46/EF

1.           Direktiv 95/46/EF ophæves.

2.           Henvisninger til det ophævede direktiv betragtes som henvisninger til nærværende forordning. Henvisninger til Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger, der er nedsat ved artikel 29 i direktiv 95/46/EF, betragtes som henvisninger til Det Europæiske Databeskyttelsesråd oprettet ved denne forordning.

Artikel 89 Forhold til og ændring af direktiv 2002/58/EF

1.           Denne forordning indfører ikke yderligere forpligtelser for fysiske eller juridiske personer, for så vidt angår behandling af personoplysninger i forbindelse med levering af offentligt tilgængelige elektroniske kommunikationstjenester i offentlige kommunikationsnet i Unionen, i forhold, hvor de er underlagt specifikke forpligtelser med samme mål som fastsat i direktiv 2002/58/EF.

2            Artikel 1, stk. 2, i direktiv 2002/58/EF udgår.

Artikel 90 Evaluering

Kommissionen forelægger regelmæssigt Europa-Parlamentet og Rådet en rapport om evalueringen og gennemgangen af denne forordning. Den første rapport forelægges senest fire år efter denne forordnings ikrafttræden. Efterfølgende rapporter forelægges hvert fjerde år derefter. Kommissionen forelægger efter behov relevante forslag om ændring af denne forordning og tilpasning af andre retsakter, der bl.a. følger af udviklingen inden for informationsteknologien og informationssamfundet. Rapporterne offentliggøres.

Artikel 91 Ikrafttræden og anvendelse

1.           Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

2.           Den finder anvendelse fra den [to år fra datoen i stk. 1].

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 25.1.2012.

På Europa-Parlamentets vegne                    På Rådets vegne          

Formand                                                        Formand

FINANSIERINGSOVERSIGT TIL FORSLAGET

1.           FORSLAGETS/INITIATIVETS RAMME

              1.1.    Forslagets/initiativets betegnelse

              1.2.    Berørt(e) politikområde(r) i ABM/ABB-strukturen

              1.3.    Forslagets/initiativets art

              1.4.    Mål

              1.5.    Forslagets/initiativets begrundelse

              1.6.    Varighed og finansielle virkninger

              1.7.    Påtænkt(e) forvaltningsmetode(r)

2.           FORVALTNINGSFORANSTALTNINGER

              2.1.    Bestemmelser om overvågning og rapportering

              2.2.    Forvaltnings- og kontrolordning

              2.3.    Foranstaltninger til forebyggelse af svig og uregelmæssigheder

3.           FORSLAGETS/INITIATIVETS ANSLÅEDE FINANSIELLE VIRKNINGER

              3.1.    Berørt(e) udgiftspost(er) i budgettet og udgiftsområde(r) i den flerårige finansielle ramme

              3.2.    Anslåede virkninger for udgifterne

              3.2.1. Sammenfatning af den anslåede virkning for udgifterne

              3.2.2. Anslåede virkninger for aktionsbevillingerne

              3.2.3. Anslåede virkninger for administrationsbevillingerne

              3.2.4. Forenelighed med den nuværende flerårige finansielle ramme

              3.2.5. Tredjemands bidrag til finansieringen

              3.3.    Anslåede virkninger for indtægterne

FINANSIERINGSOVERSIGT TIL FORSLAGET

1.           FORSLAGETS/INITIATIVETS RAMME

I denne finansieringsoversigt beskrives kravene, hvad angår administrative udgifter, for at gennemføre databeskyttelsesreformen som forklaret i den tilsvarende konsekvensanalyse. Reformen omfatter to lovgivningsforslag, en generel forordning om databeskyttelse og et direktiv om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner. Denne finansieringsoversigt omfatter begge instrumenters budgetmæssige virkninger.

I overensstemmelse med fordelingen af opgaver kræves der ressourcer af Kommissionen og Den Europæiske Tilsynsførende for Databeskyttelse (EDPS).

Hvad angår Kommissionen, er de nødvendige ressourcer allerede medtaget i det foreslåede finansielle overslag for 2014-2020. Databeskyttelse er en af målsætningerne i programmet om grundlæggende rettigheder og unionsborgerskab, som også støtter foranstaltninger, der har til formål at gennemføre den retlige ramme. De administrative bevillinger, herunder personalebehov, er inkluderet i det administrative budget for GD JUST.

Hvad angår Den Europæiske Tilsynsførende for Databeskyttelse (EDPS), tages der hensyn til de nødvendige ressourcer i de respektive årlige budgetter for EDPS. Ressourcerne er specificeret i bilaget til denne finansieringsoversigt. For at tilvejebringe de ressourcer, der er nødvendige til de nye opgaver under Det Europæiske Databeskyttelsesråd, for hvilket EDPS varetager sekretariatsopgaverne, skal udgiftsområde 5 i de finansielle overslag for 2014-2020 omprogrammeres.

1.1.        Forslagets/initiativets betegnelse

Forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse)

Forslag til Europa-Parlamentets og Rådets direktiv om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger.

1.2.        Berørt(e) politikområde(r) inden for ABM/ABB-strukturen[49]

Retlige anliggender - Beskyttelse af personoplysninger

Den budgetmæssige virkning vedrører Kommissionen og EDPS. Virkningen på Kommissionens budget er specificeret i tabellerne i finansieringsoversigten. Driftsudgifterne er en del af programmet om grundlæggende rettigheder og unionsborgerskab og indgår i forvejen i finansieringsoversigten for dette program, da de administrative udgifter er inden for budgetrammen for GD for Retlige og Indre Anliggender. Elementerne vedrørende EDPS fremgår af bilaget.

1.3.        Forslagets/initiativets art

¨ Forslaget/initiativet drejer sig om en ny foranstaltning

¨ Forslaget/initiativet drejer sig om en ny foranstaltning som opfølgning på et pilotprojekt/en forberedende foranstaltning[50]

þ Forslaget/initiativet vedrører en forlængelse af en eksisterende foranstaltning

¨ Forslaget/initiativet drejer sig om omlægning af en foranstaltning til en ny foranstaltning

1.4.        Målsætninger

1.4.1.     Kommissionens flerårige strategiske mål med forslaget/initiativet

Reformen har til formål at afslutte gennemførelsen af de oprindelige målsætninger i lyset af ny udvikling og nye udfordringer, nemlig:

- at gøre den grundlæggende ret til databeskyttelse mere effektiv og give fysiske personer kontrol over deres egne personoplysninger, navnlig i lyset af den teknologiske udvikling og den øgede globalisering

- at lægge større vægt på databeskyttelse som led i det indre marked ved at mindske fragmenteringen, øge ensartetheden og forenkle lovgivningen for dermed at fjerne unødige omkostninger og nedbringe den administrative byrde.

Lissabontraktatens ikrafttræden og især indførelsen af et nyt retsgrundlag (artikel 16 i TEUF) giver desuden mulighed for at opfylde en ny målsætning, nemlig:

- at fastlægge en omfattende databeskyttelsesramme, som dækker alle områder.

1.4.2.     Specifikke mål og berørte ABM/ABB-aktiviteter

Specifikt mål nr. 1.

Sikre ensartet håndhævelse af databeskyttelsesregler.

Specifikt mål nr. 2.

Rationalisere det nuværende forvaltningssystem for at medvirke til at opnå mere ensartet håndhævelse.

Berørte ABM/ABB-aktiviteter

[…]

1.4.3.     Forventede resultater og virkninger

Angiv, hvilke virkninger forslaget/initiativet forventes at få for modtagerne/målgruppen.

Hvad angår den registeransvarlige, får både offentlige og private enheder fordele i form af øget retssikkerhed takket være harmoniserede og afklarede databeskyttelsesregler og procedurer på EU-plan, som skaber lige vilkår, sikrer ensartet håndhævelse af databeskyttelsesregler og reducerer den administrative byrde markant.

Fysiske personer vil få bedre kontrol over deres personoplysninger og øget tillid til det digitale miljø, og de vil stadig være beskyttet, når deres personoplysninger behandles i udlandet. De vil også opleve en styrkelse af ansvarligheden hos de parter, der behandler personoplysninger.

Et omfattende databeskyttelsessystem dækker også områderne for politi og retlige anliggender, både under og ud over den tidligere tredje søjle.

1.4.4.     Virknings- og resultatindikatorer

Angiv indikatorerne til kontrol af forslagets/initiativets gennemførelse.

(jf. konsekvensanalysen, afdeling 8)

Indikatorerne evalueres regelmæssigt og omfatter følgende elementer:

•        tid og omkostninger, som registeransvarlige bruger for at overholde lovgivningen i "andre medlemsstater"

•        ressourcer tildelt nationale databeskyttelsesmyndigheder

•        etablerede databeskyttelsesansvarlige i offentlige og private organisationer

•        anvendelse af konsekvensanalysen vedrørende databeskyttelse

•        antal modtagne klager fra registrerede og erstatning modtaget af registrerede

•        antal sager, der fører til retsforfølgning af registeransvarlige

•        bøder pålagt registeransvarlige med ansvar for brud på datasikkerheden.

1.5.        Forslagets/initiativets begrundelse

1.5.1.     Behov, der skal opfyldes på kort eller lang sigt

De nuværende forskelle i medlemsstaternes gennemførelse, fortolkning og håndhævelse af direktivet hæmmer gennemførelsen af det indre marked og samarbejdet mellem offentlige myndigheder om EU-politikker. Dette er i strid med direktivets grundlæggende mål om at lette fri udveksling af personoplysninger i det indre marked. Den hurtige udvikling af nye teknologier og globaliseringen forværrer dette problem yderligere.

Fysiske personer har ikke de samme databeskyttelsesrettigheder på grund af fragmentering og uensartet gennemførelse og håndhævelse i forskellige medlemsstater. Endvidere er fysiske personer ofte ikke bevidste om, hvad der sker med deres personoplysninger, og har ikke kontrol over det, og derfor udøver de ikke deres rettigheder effektivt.

1.5.2.     Merværdien ved en indsats fra EU's side

Medlemsstaterne kan ikke selv mindske de aktuelle problemer. Det er navnlig tilfældet med de problemer, der hidrører fra fragmenteringen af den nationale lovgivning, hvorved EU's databeskyttelsesrammelovgivning skal gennemføres. Der er derfor en tungtvejende grund til at vedtage en retlig ramme for databeskyttelse på EU-plan. Der er et særligt behov for at skabe en harmoniseret og sammenhængende ramme, som muliggør nem udveksling af personoplysninger på tværs af EU's grænser, samtidig med at alle fysiske personer i EU sikres effektiv beskyttelse.

1.5.3.     Erfaringer fra lignende foranstaltninger

Disse forslag er baseret på erfaringerne fra direktiv 95/46/EF og de problemer, der er opstået som følge af den fragmenterede gennemførelse og praktiske anvendelse af dette direktiv, som har blokeret opnåelsen af begge dets mål, nemlig et højt niveau af databeskyttelse og et indre marked for databeskyttelse.

1.5.4.     Sammenhæng med andre relevante instrumenter og eventuel synergieffekt

Denne databeskyttelsesreformpakke har til formål at opbygge en moderne, stærk, sammenhængende og omfattende databeskyttelsesramme på EU-plan, som er teknologineutral og fremtidssikret i de kommende årtier. Den vil gavne fysiske personer - ved at styrke deres databeskyttelsesrettigheder, navnlig i det digitale miljø - og vil forenkle lovgivningsmiljøet for virksomheder og den offentlige sektor, hvilket vil stimulere udviklingen af den digitale økonomi i det indre marked og uden for EU's grænser i overensstemmelse med målsætningerne i Europa 2020-strategien.

Kernen i databeskyttelsesreformpakken består af:

-        en forordning, der erstatter direktiv 95/46/EF

-        et direktiv om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger.

Disse forslag til retsakter ledsages af en rapport om medlemsstaternes gennemførelse af det, der i øjeblikket er EU's vigtigste databeskyttelsesinstrument på området politimæssigt og retligt samarbejde i kriminalsager, rammeafgørelse 2008/977/RIA.

1.6.        Varighed og finansielle virkninger

¨ Forslag/initiativ af begrænset varighed

¨ Forslag/initiativ gældende fra [DD/MM]ÅÅÅÅ til [DD/MM]ÅÅÅÅ

¨ Finansielle virkninger fra ÅÅÅÅ til ÅÅÅÅ

þ Forslag/initiativ af ubegrænset varighed

1. Gennemførelse med en indkøringsperiode fra 2014 til 2016

2. derefter gennemførelse i fuldt omfang

1.7.        Påtænkt(e) forvaltningsmåde(r)[51]

þ Direkte central forvaltning ved Kommissionen

¨ Indirekte central forvaltning ved uddelegering af gennemførelsesopgaver til:

– ¨         gennemførelsesorganer

– ¨         organer oprettet af Fællesskaberne[52]

– ¨         nationale offentligretlige organer/organer med offentlige tjenesteydelsesopgaver

– ¨         personer, som har fået pålagt at gennemføre specifikke aktioner i henhold til afsnit V i traktaten om Den Europæiske Union, og som er identificeret i den relevante basisretsakt, jf. artikel 49 i finansforordningen

¨ Delt forvaltning sammen med medlemsstaterne

¨ Decentral forvaltning sammen med tredjelande

¨ Fælles forvaltning sammen med internationale organisationer (angives nærmere)

Hvis der angives flere metoder, gives der en nærmere forklaring i afsnittet "Bemærkninger" i dette punkt.

Bemærkninger

//

2.           FORVALTNINGSFORANSTALTNINGER

2.1.        Bestemmelser om kontrol og rapportering

Angiv hyppighed og betingelser.

Den første evaluering gennemføres fire år efter de retlige instrumenters ikrafttræden. De retlige instrumenter omfatter en udtrykkelig revisionsklausul om Kommissionens evaluering af gennemførelsen. Kommissionen forelægger efterfølgende evalueringsrapporten for Europa-Parlamentet og Rådet. Yderligere evalueringer foretages hvert fjerde år. Kommissionens evalueringsmetode anvendes. Disse evalueringer gennemføres ved hjælp af målrettede undersøgelser af gennemførelsen af de retlige instrumenter, spørgeskemaer til nationale datatilsynsmyndigheder, ekspertdrøftelser, workshopper, Eurobarometerundersøgelser osv.

2.2.        Forvaltnings- og kontrolsystem

2.2.1.     Konstaterede risici

Der er foretaget en konsekvensanalyse med henblik på reformen af databeskyttelsesrammen i EU, som ledsager forslagene til en forordning og et direktiv.

Det nye retlige instrument indfører en sammenhængsmekanisme, der sikrer, at uafhængige tilsynsmyndigheder i medlemsstaterne anvender rammen på en ensartet og sammenhængende måde. Mekanismen fungerer gennem Det Europæiske Databeskyttelsesråd, som sammensættes af chefen for tilsynsmyndigheden i hver medlemsstat og Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) og erstatter den nuværende Artikel 29-gruppe. EDPS varetager sekretariatsfunktionen for dette organ.

Hvis medlemsstaternes myndigheder træffer divergerende afgørelser, høres Det Europæiske Databeskyttelsesråd, som afgiver en udtalelse om sagen. Hvis denne procedure mislykkes, eller hvis en tilsynsmyndighed afviser at efterkomme denne udtalelse, kan Kommissionen for at sikre korrekt og ensartet anvendelse af denne forordning afgive en udtalelse eller om nødvendigt vedtage en afgørelse, såfremt Kommissionen er i alvorlig tvivl om, hvorvidt den foreslåede foranstaltning vil sikre korrekt anvendelse af denne forordning eller på anden måde vil resultere i uensartet anvendelse.

Sammenhængsmekanismen kræver yderligere ressourcer til EDPS (12 årsværk og tilstrækkelige administrative og operative bevillinger, f.eks. til it-systemer og drift) for at tilvejebringe sekretariatet og til Kommissionen (fem årsværk og tilknyttede administrative og operative bevillinger) til håndtering af sager om sammenhæng.

2.2.2.     Påtænkt(e) kontrolmetode(r)

De kontrolredskaber, der aktuelt anvendes af EDPS og Kommissionen, dækker de supplerende bevillinger.

2.3.        Foranstaltninger til forebyggelse af svig og uregelmæssigheder

Angiv eksisterende og påtænkte forebyggelses- og beskyttelsesforanstaltninger.

De foranstaltninger til forebyggelse af svig, der aktuelt anvendes af EDPS og Kommissionen, dækker de supplerende bevillinger.

3.           FORSLAGETS/INITIATIVETS ANSLÅEDE FINANSIELLE VIRKNINGER

3.1.        Berørt(e) udgiftspost(er) i budgettet og udgiftsområde(r) i den flerårige finansielle ramme

1. Eksisterende udgiftsposter i budgettet

I samme rækkefølge som udgiftsområderne i den flerårige finansielle ramme og budgetposterne.

Udgifts­område i den flerårige finansielle ramme || Budgetpost || Udgifternes art || Bidrag

Nummer [Betegnelse………………………...……….] || OB/IOB ([53]) || fra EFTA-lande[54] || fra kandidat­lande[55] || fra tredje­lande || i.h.t. artikel 18, stk. 1, litra aa), i finansforordningen

|| || || || || ||

3.2.        Anslåede virkninger for udgifterne

3.2.1.     Sammenfatning af de anslåede virkninger for udgifterne

i mio. EUR (3 decimaler)

Udgiftsområde i den flerårige finansielle ramme || Antal ||

|| || || År N[56]= 2014 || År N+1 || År N+2 || År N+3 || Der indsættes flere år, hvis virkningerne varer længere (jf. punkt 1.6) || I ALT

Ÿ Aktionsbevillinger || || || || || || || ||

Budgetpostens nummer || Forpligtelser || (1) || || || || || || || ||

Betalinger || (2) || || || || || || || ||

Budgetpostens nummer || Forpligtelser || (1a) || || || || || || || ||

Betalinger || (2a) || || || || || || || ||

Administrationsbevillinger finansieret over bevillingsrammen for særprogrammer[57] || || || || || || || ||

Budgetpostens nummer || || (3) || || || || || || || ||

Bevillinger for GD I ALT || Forpligtelser || =1+1a +3 || || || || || || || ||

Betalinger || =2+2a+3 || || || || || || || ||

Ÿ Aktionsbevillinger I ALT || Forpligtelser || (4) || || || || || || || ||

Betalinger || (5) || || || || || || || ||

Ÿ Administrationsbevillinger finansieret over bevillingsrammen for særprogrammer I ALT || (6) || || || || || || || ||

Bevillinger I ALT under UDGIFTSOMRÅDE 3 i den flerårige finansielle ramme || Forpligtelser || =4+ 6 || || || || || || || ||

Betalinger || =5+ 6 || || || || || || || ||

Hvis flere udgiftsområder påvirkes af forslaget/initiativet:

Ÿ Aktionsbevillinger I ALT || Forpligtelser || (4) || || || || || || || ||

Betalinger || (5) || || || || || || || ||

Ÿ Administrationsbevillinger finansieret over bevillingsrammen for særprogrammer I ALT || (6) || || || || || || || ||

            Bevillinger I ALT under UDGIFTSOMRÅDE 1-4 i den flerårige finansielle ramme (Referencebeløb) || Forpligtelser || =4+ 6 || || || || || || || ||

Betalinger || =5+ 6 || || || || || || || ||

Udgiftsområde i den flerårige finansielle ramme || 5 || Administration

i mio. EUR (3 decimaler)

|| || || År N = 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || I ALT

GD: JUST ||

Ÿ Menneskelige ressourcer || || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454

Ÿ Andre administrations­udgifter || || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885

I ALT GD JUST || || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Bevillinger I ALT under UDGIFTSOMRÅDE 5 i den flerårige finansielle ramme || Forpligtelser i alt = betalinger i alt) || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

i mio. EUR (3 decimaler)

|| || || År N[58] || År N+1 || År N+2 || År N+3 || Der indsættes flere år, hvis virkningerne varer længere (jf. punkt 1.6) || I ALT

            Bevillinger I ALT under UDGIFTSOMRÅDE 1-5 i den flerårige finansielle ramme || Forpligtelser || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Betalinger || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

3.2.2.     Anslåede virkninger for aktionsbevillingerne

þ Forslaget/initiativet indebærer ikke anvendelse af aktionsbevillinger.

Et højt beskyttelsesniveau for personoplysninger er også et af målene i programmet om grundlæggende rettigheder og unionsborgerskab.

¨ Forslaget/initiativet indebærer anvendelse af aktionsbevillinger som anført herunder:

Forpligtelsesbevillinger i mio. EUR (3 decimaler)

Der angives mål og resultater ò || || || År N=2014 || År N+1 || År N+2 || År N+3 || Der indsættes flere år, hvis virkningerne varer længere (jf. punkt 1.6) || I ALT

RESULTATER

Type resultat[59] || Gns. omk. ved resul­tat || Resultater (antal) || Om­kost­ninger || Resultater (antal) || Om­kost­ninger || Re­sul­ta­ter (antal) || Om­kost­ninger || Re­sulta­ter (an­tal) || Om­kost­ninger || Resultater (antal) || Om­kost­ninger || Resultater (antal) || Om­kost­ninger || Antal resultater || Om­kost­ninger || Samlede resul­tater (i alt) || Samlede omkost­ninger

SPECIFIKT MÅL nr. 1 ||

- Resultat || Ref.[60] || || || || || || || || || || || || || || || || ||

Subtotal for specifikt mål nr. 1 || || || || || || || || || || || || || || || ||

SPECIFIKT MÅL nr. 2 ||

- Resultat || Sager[61] || || || || || || || || || || || || || || || || ||

Subtotal for specifikt mål nr. 2 || || || || || || || || || || || || || || || ||

OMKOSTNINGER I ALT || || || || || || || || || || || || || || || ||

3.2.3.     Anslåede virkninger for administrationsbevillingerne

3.2.3.1.  Resumé

¨ Forslaget/initiativet medfører ikke anvendelse af administrationsbevillinger

þ Forslaget/initiativet medfører anvendelse af administrationsbevillinger som anført herunder:

i mio. EUR (3 decimaler)

|| År N[62]= 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || I ALT

UDGIFTS­OMRÅDE 5 i den flerårige finansielle ramme || || || || || || || ||

Menneskelige ressourcer || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454

Andre administrations­udgifter || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885

Subtotal UDGIFTS­OMRÅDE 5 i den flerårige finansielle ramme || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Uden for UDGIFTSOMRÅDE 5[63] i den flerårige finansielle ramme || || || || || || || ||

Menneskelige ressourcer || || || || || || || ||

Andre administrations­udgifter || || || || || || || ||

Subtotal uden for UDGIFTSOMRÅDE 5 i den flerårige finansielle ramme || || || || || || || ||

I ALT || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

3.2.3.2.  Anslået behov for menneskelige ressourcer

¨ Forslaget/initiativet indebærer intet behov for menneskelige ressourcer.

þ Forslaget/initiativet kræver brug af personaleressourcer som anført nedenfor:

Overslag angives i hele tal (eller med højst én decimal)

|| År 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020

Ÿ Stillinger i stillingsfortegnelsen (tjenestemænd og midlertidigt ansatte)

xx 01 01 01 (i hovedsædet og Kommissionens repræsentationskontorer) || 22 || 22 || 22 || 22 || 22 || 22 || 22

XX 01 01 02 (i delegationer) || || || || || || ||

Ÿ Eksternt personale (i fuldtidsækvivalenter) [64]

XX 01 02 01 (KA, V, UNE under den samlede bevillingsramme) || 2 || 2 || 2 || 2 || 2 || 2 || 2

XX 01 02 02 (KA, V, UED, LA og UNE i delegationerne) || || || || || || ||

XX 01 04 yy [65] || - i hovedsædet[66] || || || || || || ||

- i delegationerne || || || || || || ||

XX 01 05 02 (KA, V, UNE - indirekte forskning) || || || || || || ||

10 01 05 02 (KA, V, UNE - direkte forskning) || || || || || || ||

Andre budgetposter (skal angives) || || || || || || ||

I ALT || 24 || 24 || 24 || 24 || 24 || 24 || 24

XX angiver det berørte politikområde eller budgetafsnit.

Med reformen skal Kommissionen løse nye opgaver vedrørende beskyttelsen af fysiske personer i forbindelse med behandlingen af personoplysninger i tillæg til de opgaver, den allerede løser. Disse yderligere opgaver vedrører navnlig gennemførelsen af den nye sammenhængsmekanisme, der vil sikre ensartet anvendelse af den harmoniserede databeskyttelseslovgivning, vurderingen af, om beskyttelsesniveauet er tilstrækkeligt i tredjelande, som Kommissionen alene er ansvarlig for, og fastlæggelsen af gennemførelsesretsakter og delegerede retsakter. De øvrige opgaver, som Kommissionen aktuelt varetager (f.eks. udvikling af politikker, overvågning af gennemførelse, oplysningskampagner, klager osv.), fortsætter.

Personalebehovet vil blive dækket ved hjælp af det personale, som GD'et allerede har afsat til aktionen, og/eller interne rokader i GD'et, eventuelt suppleret med yderligere bevillinger, som tildeles det ansvarlige GD i forbindelse med den årlige tildelingsprocedure under hensyntagen til de budgetmæssige begrænsninger.

Beskrivelse af de opgaver, som skal udføres:

Tjenestemænd og midlertidigt ansatte || Sagsbehandlere, som varetager sammenhængsmekanismen for databeskyttelse med henblik på at sikre ensartet anvendelse af EU's databeskyttelsesregler. Opgaverne omfatter efterforskning og undersøgelse af sager, som medlemsstaternes myndigheder forelægger til afgørelse, forhandling med medlemsstaterne og udarbejdelse af Kommissionens afgørelser. Baseret på de seneste erfaringer kan der årligt forventes 5-10 sager, som kræver anvendelse af sammenhængsmekanismen. Håndteringen af anmodninger vedrørende tilstrækkelighed kræver direkte kontakt til det anmodende land, muligvis forvaltning af ekspertundersøgelser af forholdene i landet, vurdering af forholdene samt forberedelse af Kommissionens afgørelser og af processen, herunder af det udvalg, som bistår Kommissionen, og eventuelle ekspertorganer. Baseret på de seneste erfaringer kan der forventes fire anmodninger vedrørende tilstrækkelighed om året. Vedtagelsen af gennemførelsesretsakter omfatter forberedelser, som f.eks. udsendelse af dokumenter, undersøgelser og offentlige høringer, udformning af det faktiske instrument og forvaltning af forhandlingsprocessen i de relevante udvalg og andre grupper samt kontakt med berørte parter generelt. På tværs af de områder, der kræver mere specifik vejledning, kan der håndteres op til tre gennemførelsesretsakter om året, mens processen kan tage op til 24 måneder afhængigt af intensiteten af høringer.

Eksternt personale || Administrativ støtte og sekretariatsbistand

3.2.4.     Forenelighed med den indeværende flerårige finansielle ramme

¨ Forslaget/initiativet er foreneligt med den næste flerårige finansielle ramme.

þ Forslaget/initiativet kræver omlægning af det relevante udgiftsområde i den flerårige finansielle ramme.

I tabellen nedenfor angives beløbene for de finansielle ressourcer, som EDPS hvert år skal bruge for at varetage sekretariatsfunktionen for Det Europæiske Databeskyttelsesråd og til de relaterede procedurer og redskaber over perioden for det næste finansielle overslag i tillæg til de ressourcer, der allerede er planlagt.

År || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || I alt

Personale osv. || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823

Drift || 0,850 || 1,500 || 1,900 || 1,900 || 1,500 || 1,200 || 1,400 || 10,250

I alt || 2,405 || 3,055 || 3,443 || 3,443 || 3,043 || 2,743 || 2,943 || 21,073

¨ Forslaget/initiativet kræver, at fleksibilitetsinstrumentet anvendes, eller at den flerårige finansielle ramme revideres[67].

3.2.5.     Tredjeparts bidrag til finansieringen

þ Forslaget/initiativet tillader ikke samfinansiering med deltagelse af tredjepart

¨ Forslaget/initiativet indeholder bestemmelser om samfinansiering, jf. følgende overslag:

i mio. EUR (3 decimaler)

|| År N= || År N+1 || År N+2 || År N+3 || Der indsættes flere år, hvis virkningerne varer længere (jf. punkt 1.6) || I alt

Organ, som deltager i samfinansieringen (angives) || || || || || || || ||

Samfinansierede bevillinger I ALT || || || || || || || ||

3.3.        Anslåede virkninger for indtægterne

þ Forslaget/initiativet har ingen finansielle virkninger for indtægterne.

¨ Forslaget/initiativet har følgende finansielle virkninger:

· ¨         på egne indtægter

· ¨         for diverse indtægter

i mio. EUR (3 decimaler)

Indtægtspost på budgettet || Bevillinger til rådighed i indeværende regnskabsår || Forslagets/initiativets virkninger[68]

År N= || År N+1 || År N+2 || År N+3 || Indsæt så mange kolonner som nødvendigt for at vise varigheden af virkningerne (jf. punkt 1.6)

|| || || || || || || ||

For diverse indtægter, der er formålsbestemte, angives det, hvilke af budgettets udgiftsposter der påvirkes.

Det oplyses, hvilken metode der er benyttet til at beregne virkningen for indtægterne.

Bilag til lovgivningsmæssig finansieringsoversigt til forslaget til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.

Anvendt metode og vigtigste tilgrundliggende antagelser

Omkostningerne i forbindelse med de nye opgaver, der skal løses af EDPS i medfør af de to forslag, er for personaleudgifternes vedkommende anslået på grundlag af Kommissionens nuværende omkostninger til tilsvarende opgaver.

EDPS varetager sekretariatsfunktionen for Det Europæiske Databeskyttelsesråd, som erstatter Artikel 29-gruppen. På grundlag af Kommissionens nuværende arbejdsbyrde i forbindelse med denne opgave anslås det, at der er behov for tre yderligere årsværk plus tilsvarende administrations- og driftsudgifter. Denne arbejdsbyrde skal bæres fra forordningens ikrafttræden.

EDPS spiller endvidere en rolle i sammenhængsmekanismen, som forventes at kræve fem årsværk, og i udviklingen og driften af et fælles it-værktøj til nationale databeskyttelses­myndigheder, som kræver yderligere to medarbejdere.

Beregningen af stigningen i det krævede personalebudget for de første syv år er anført i detaljer i tabellen nedenfor. I en anden tabel vises det krævede driftsbudget. Dette afspejles i EU-budgettet under Sektion IX EDPS.

Omkostningstype || Beregninger || Beløb (i tusinder)

2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || I alt

Vederlag og godtgørelse af udgifter || || || || || || || || ||

- heraf Databeskyttelsesrådets formand || || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 2,100

- heraf tjenestemænd og midlertidigt ansatte || =7*0,127 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 6,223

- heraf UNE'er || =1*0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,511

- heraf kontraktansatte || =2*0,064 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,896

Udgifter til ansættelse af personale || =10*0,005 || 0,025 || 0,025 || 0,013 || 0,013 || 0,013 || 0,013 || 0,013 || 0,113

Rejseudgifter || || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,630

Andre udgifter, uddannelse || =10*0,005 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,350

Administrations­udgifter i alt || || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823

Beskrivelse af de opgaver, som skal udføres:

Tjenestemænd og midlertidigt ansatte || Områdeansvarlige med ansvar for Databeskyttelsesrådets sekretariat. Bortset fra logistisk støtte, herunder budgetmæssige og kontraktlige spørgsmål, omfatter dette forberedelse af mødedagsordener og invitation af eksperter, undersøgelse af emner på Databeskyttelsesrådets dagsorden og dokument­styring i forbindelse med rådets arbejde, herunder relevant databeskyttelse, fortrolighed og krav om indsigt. Med alle undergrupper og ekspertgrupper forventes det, at der skal tilrettelægges 50 møder og afgørelsesprocedurer om året. Sagsbehandlere, som varetager sammenhængsmekanismen for databeskyttelse med henblik på at sikre ensartet anvendelse af EU's databeskyttelsesregler. Opgaverne omfatter efterforskning og undersøgelse af sager, som medlemsstaternes myndigheder forelægger til afgørelse, forhandling med medlemsstaterne og udarbejdelse af Kommissionens afgørelser. Baseret på de seneste erfaringer kan der årligt forventes 5-10 sager, som kræver anvendelse af sammenhængsmekanismen. It-værktøjet skal forenkle det operationelle samspil mellem de nationale datatilsynsmyndigheder og registeransvarlige med pligt til at indgive oplysninger til offentlige myndigheder. De ansvarlige medarbejdere sikrer kvalitetsstyring, projektstyring og budgetmæssig opfølgning af it-processer vedrørende tekniske krav, gennemførelse og drift af systemerne.

Eksternt personale || Administrativ støtte og sekretariatsbistand

Udgifter for EDPS i forbindelse med specifikke opgaver

Der angives mål og resultater ò || || || År N=2014 || År N+1 || År N+2 || År N+3 || Der indsættes flere år, hvis virkningerne varer længere (jf. punkt 1.6) || I ALT

RESULTATER

Type resultat[69] || Gns. omk. ved resultat || Resultater (antal) || Om­kost­ninger || Resultater (antal) || Om­kost­ninger || Resultater (antal) || Om­kost­ninger || Resultater (antal) || Om­kost­ninger || Resultater (antal) || Om­kost­ninger || Resultater (antal) || Om­kost­ninger || Resultater (antal) || Om­kost­ninger || Sam­lede resul­tater (antal) || Samlede omkostninger

SPECIFIKT MÅL NR. 1[70] || Sekretariat for Det Europæiske Databeskyttelsesråd

- Resultat || Sager[71] || 0,010 || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3.200

Subtotal for specifikt mål nr. 1 || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3,200

SPECIFIKT MÅL nr. 2 || Sammenhængsmekanismen

- Resultat || Ref.[72] || 0,050 || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2.950

Subtotal for specifikt mål nr. 2 || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2,950

SPECIFIKT MÅL nr. 3 || Fælles it-værktøj til databeskyttelsesmyndigheder (EDPS)

- Resultat || Sager[73] || 0,100 || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4.100

Subtotal for specifikt mål nr. 3 || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4,100

OMKOSTNINGER I ALT || 38 || 0,850 || 56 || 1,500 || 69 || 1,900 || 69 || 1,900 || 64 || 1,500 || 61 || 1,200 || 63 || 1,400 || 420 || 10,250

[1]               Beskyttelse af privatlivets fred i en forbundet verden - En europæisk databeskyttelsesramme til det 21. århundrede (COM(2012) 9 final).

[2]               COM(2012) 10 final.

[3]               Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31).

[4]               Rådets rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (EUT L 350 af 30.12.2008, s. 60). ("rammeafgørelsen").

[5]               KOM(2010) 245 endelig.

[6]               KOM(2010) 2020 endelig.

[7]               Stockholmprogrammet - Et åbent og sikkert Europa i borgernes tjeneste og til deres beskyttelse (EUT C 115 af 4.5.2010, s.1).

[8]               Europa-Parlamentets beslutning af 25. november 2009 om meddelelsen fra Kommissionen til Europa-Parlamentet og Rådet - Et område med frihed, sikkerhed og retfærdighed i borgernes tjeneste - Stockholmprogrammet (P7_TA(2009)0090).

[9]               KOM(2010) 171 endelig.

[10]             KOM(2010) 609 endelig.

[11]             Special Eurobarometer (EB) 359, Data Protection and Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[12]             http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm.

[13]             Alle ikke-fortrolige bidrag findes på Kommissionens websted: http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[14]             Alle ikke-fortrolige bidrag findes på Kommissionens websted: http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[15]             http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm.

[16]             http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp.

[17]             Det Europæiske Agentur for Net- og Informationssikkerhed, som beskæftiger sig med sikkerhedsspørgsmål i forbindelse med kommunikationsnet og informationssystemer.

[18]             Se http://www.enisa.europa.eu/act/it/data-breach-notification.

[19]             Special Eurobarometer (EB) 359, Data Protection and Electronic Identity in the UNION (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[20]             Se undersøgelsen af de økonomiske fordele ved teknologier, der kan forbedre beskyttelsen af privatlivets fred og den sammenlignende undersøgelse af forskellige tilgange til nye udfordringer i forbindelse med beskyttelse af privatlivets fred, navnlig i lyset af den teknologiske udvikling, januar 2010: (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[21]             Arbejdsgruppen blev nedsat i 1996 (ved direktivets artikel 29) og består af repræsentanter for de nationale databeskyttelsesmyndigheder, Den Europæiske Tilsynsførende for Databeskyttelse og Kommissionen. Se yderligere oplysninger om gruppens aktiviteter på http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[22]             Jf. navnlig følgende udtalelser: om fremtiden for beskyttelse af privatlivets fred (2009, WP 168), om begreberne "registeransvarlig" og "registerfører" (1/2010, WP 169), om adfærdsbaseret annoncering på internettet (2/2010, WP 171), om princippet om ansvarlighed (3/2010, WP 173); om gældende ret (8/2010, WP 179) og om samtykke (15/2011, WP 187). På anmodning fra Kommissionen har den endvidere vedtaget følgende rådgivende dokumenter: om underretninger, om følsomme data og om den praktiske gennemførelse af artikel 28, stk. 6, i databeskyttelsesdirektivet. De findes alle på: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[23]             Findes på EDPS-webstedet: : http://www.edps.europa.eu/EDPSWEB.

[24]             Europa-Parlamentets beslutning af 6. juli 2011 om en global metode til beskyttelse af personoplysninger i Den Europæiske Union                (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244 (ordfører: Axel Voss (PPE/DE)).

[25]             SEC(2012) 72.

[26]             CESE 999/2011.

[27]             EU-Domstolens dom af 9.11.2010, forenede sager C-92/09 og C-93/09, Volker und Markus Schecke og Eifert, Sml. 2010 I, s. 0000.

[28]             I overensstemmelse med chartrets artikel 52, stk. 1, kan der indføres begrænsninger i udøvelsen af retten til databeskyttelse, såfremt disse begrænsninger er fastlagt i lovgivningen og respekterer disse rettigheders og friheders væsentligste indhold, og såfremt de under iagttagelse af proportionalitetsprincippet er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder.

[29]             Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).

[30]             Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009 om ændring af direktiv 2002/22/EF om forsyningspligt og brugerrettigheder i forbindelse med elektroniske kommunikationsnet og -tjenester, direktiv 2002/58/EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor og forordning (EF) nr. 2006/2004 om samarbejde mellem nationale myndigheder med ansvar for håndhævelse af lovgivning om forbrugerbeskyttelse (EØS-relevant tekst) (EUT L 337 af 18.12.2009, s. 11).

[31]             De Forenede Nationers konvention om barnets rettigheder, der er vedtaget og åbnet for undertegnelse, ratificering og tiltrædelse ved FN's Generalforsamlings resolution 44/25 af 20.11.1989.

[32]             Vedtaget på International Conference of Data Protection and Privacy Commissioners den 5. november 2009. Jf. også artikel 13, stk. 3, i forslaget til forordning om en fælles EU-købelov (KOM(2011) 635 endelig).

[33]             CM/Rec (2010)13.

[34]             EU-Domstolens dom af 9.3.2010, sag C-518/07, Kommissionen/Tyskland (Sml. 2010 I, s. 1885).

[35]             Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og ‑organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).

[36]             Jf. fodnote 34.

[37]             Rådets afgørelse 2008/615/RIA af 23. juni 2008 om intensivering af det grænseoverskridende samarbejde, navnlig om bekæmpelse af terrorisme og grænseoverskridende kriminalitet (EUT L 210 af 6.8.2008, s. 1).

[38]             Baseret på artikel 5, stk. 1, i Rådets rammeafgørelse 2009/948/RIA af 30. november 2009 om forebyggelse og bilæggelse af konflikter om udøvelse af jurisdiktion i straffesager (EUT L 328 af 15.12.2009, s. 42) og artikel 13, stk. 1, i Rådets forordning (EF) nr. 1/2003 af 16. december 2002 om gennemførelse af konkurrencereglerne i traktatens artikel 81 og 82 (EFT L 1 af 4.1.2003, s. 1).

[39]             Baseret på artikel 18, stk. 1, i Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked ("direktivet om elektronisk handel") (EFT L 178 af 17.7.2000, s. 1).

[40]             Jf. i forbindelse med fortolkningen f.eks. EU-Domstolens dom af 16. december 2008, sag C-73/07, Satakunnan Markkinapörssi og Satamedia, (Sml. 2008 I, s. 9831).

[41]             EUT C […] af […], s. […].

[42]             EUT C […] af […], s. […].

[43]             EFT L 281 af 23.11.1995, s. 31.

[44]             EFT L 8 af 12.1.2001, s. 1.

[45]             Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

[46]             EFT L 176 af 10.7.1999, s. 36.

[47]             EUT L 53 af 27.2.2008, s. 52.              

[48]             EUT L 160 af 18.6.2011, s. 19.

[49]             ABM: Activity-Based Management (aktivitetsbaseret ledelse) - ABB: Activity-Based Budgeting (aktivitetsbaseret budgetlægning).

[50]             Jf. artikel 49, stk. 6, litra a) eller b), i finansforordningen.

[51]             Forklaringer vedrørende forvaltningsmetoder og henvisninger til finansforordningen findes på webstedet BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html.

[52]             Organer omhandlet i finansforordningens artikel 185.

[53]             OB = opdelte bevillinger / IOB = ikke-opdelte bevillinger.

[54]             EFTA: Den Europæiske Frihandelssammenslutning.

[55]             Kandidatlande og efter omstændighederne potentielle kandidatlande fra Vestbalkan.

[56]             År n er det år, hvor gennemførelsen af forslaget/initiativet begynder.

[57]             Teknisk og/eller administrativ bistand og udgifter til støtte for gennemførelsen af EU's programmer og/eller aktioner (tidligere BA-poster), indirekte forskning, direkte forskning.

[58]             År n er det år, hvor gennemførelsen af forslaget/initiativet begynder.

[59]             Resultater er de produkter og tjenesteydelser, der skal leveres (f.eks. antal finansierede studenterudvekslinger, antal km bygget vej osv.).

[60]             Databeskyttelsesrådets udtalelser, afgørelser, forretningsorden og møder.

[61]             Sager behandlet under sammenhængsmekanismen.

[62]             År n er det år, hvor gennemførelsen af forslaget/initiativet begynder.

[63]             Teknisk og/eller administrativ bistand og udgifter til gennemførelse af EU's programmer og/eller aktioner (tidl. BA-poster), indirekte forskning, direkte forskning.

[64]             KA = kontraktansatte; V = vikarer; UED = unge eksperter i en delegation; LA = lokalt ansatte; UNE = udstationerede nationale eksperter.

[65]             Delloft for eksternt personale under aktionsbevillingerne (tidligere BA-poster).

[66]             Angår især strukturfonde, Den Europæiske Landbrugsfond for Udvikling af Landdistrikterne (ELFUL) og Den Europæiske Fiskerifond (EFF).

[67]             Se punkt 19 og 24 i den interinstitutionelle aftale.

[68]             Med hensyn til EU's traditionelle egne indtægter (told og sukkerafgifter) opgives beløbene netto, dvs. bruttobeløbene, hvorfra opkrævningsomkostningerne på 25 % er fratrukket.

[69]             Resultater er de produkter og tjenesteydelser, der skal leveres (f.eks. antal finansierede studenterudvekslinger, antal km bygget vej osv.).

[70]             Som beskrevet i del 1.4.2. "Specifikt mål...".

[71]             Sager behandlet under sammenhængsmekanismen.

[72]             Databeskyttelsesrådets udtalelser, afgørelser, forretningsorden og møder.

[73]             Totalerne for hvert år giver et overslag over indsatsen for at udvikle og drive it-værktøjerne.