Fremsat den 5. oktober 2016 af justitsministeren (Søren Pind)

Fremsat den 5. oktober 2016 af justitsministeren (Søren Pind)
Forslag til folketingsbeslutning
om Danmarks tilslutning på mellemstatsligt grundlag til EU᾽s direktiv om
databeskyttelse på retshåndhævelsesområdet
Folketinget meddeler sit samtykke til, at regeringen på Dan-
marks vegne i henhold til artikel 4 i protokollen om Dan-
marks stilling på mellemstatsligt grundlag tilslutter sig
Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af
27. april 2016 om beskyttelse af fysiske personer i forbin-
delse med kompetente myndigheders behandling af persono-
plysninger med henblik på at forebygge, efterforske, afsløre
eller retsforfølge strafbare handlinger eller fuldbyrde straffe-
retlige sanktioner og om fri udveksling af sådanne oplysnin-
ger og om ophævelse af Rådets rammeafgørelse 2008/977/
RIA.
Beslutningsforslag nr. B 3 Folketinget 2016-17
Justsmin., j.nr. 2016-7910-0009
AA009880
Bemærkninger til forslaget
1. Formål og baggrund
1.1. Formålet med forslaget til folketingsbeslutning er at op-
nå Folketingets samtykke, jf. grundlovens § 19, stk. 1, til, at
regeringen på Danmarks vegne i henhold til artikel 4 i proto-
kollen om Danmarks stilling på mellemstatsligt grundlag til-
slutter sig Europa-Parlamentets og Rådets direktiv (EU)
2016/680 af 27. april 2016 om beskyttelse af fysiske per-
soner i forbindelse med kompetente myndigheders behand-
ling af personoplysninger med henblik på at forebygge, ef-
terforske, afsløre eller retsforfølge strafbare handlinger eller
fuldbyrde strafferetlige sanktioner og om fri udveksling af
sådanne oplysninger og om ophævelse af Rådets rammeaf-
gørelse 2008/977/RIA (retshåndhævelsesdirektivet).
1.2. I januar 2012 fremsatte Europa-Kommissionen et for-
slag til en databeskyttelsespakke, herunder et forslag til et
direktiv vedrørende databeskyttelse i forbindelse med rets-
håndhævelse, som blev endeligt vedtaget den 27. april 2016.
Direktivforslaget har været forelagt for Folketingets Europa-
udvalg senest den 2. oktober 2015 forud for rådsmøde (retli-
ge og indre anliggender) den 8.-9. oktober 2015.
Retshåndhævelsesdirektivet blev fremsat som forslag og er
vedtaget under henvisning til artikel 16, stk. 2, i Traktaten
om den Europæiske Unions Funktionsmåde (TEUF), og da
det fastsætter regler vedrørende medlemsstaternes behand-
ling af personoplysninger under udøvelse af aktiviteter, der
er omfattet af det danske forbehold vedrørende retlige og
indre anliggender, er direktivet ikke bindende for og finder
ikke anvendelse i Danmark, jf. artikel 2 og 2 a i protokollen
om Danmarks stilling.
Da direktivet udbygger Schengenreglerne, skal Danmark i
henhold til artikel 4 i protokollen om Danmarks stilling se-
nest inden 6 måneder efter Rådets vedtagelse træffe afgørel-
se om, hvorvidt Danmark vil gennemføre direktivet i dansk
ret. Direktivet blev som nævnt vedtaget den 27. april 2016,
hvorfor regeringen senest den 27. oktober 2016 skal medde-
le Rådet denne afgørelse.
Træffer Danmark afgørelse om, at direktivet skal gennemfø-
res i dansk ret, skabes der en folkeretlig forpligtelse mellem
Danmark og de øvrige medlemsstater, der er bundet af rets-
håndhævelsesdirektivet.
Hvis Danmark ikke tilslutter sig retshåndhævelsesdirektivet,
skal de medlemsstater, der er bundet af direktivet, overveje,
hvilke passende foranstaltninger der skal træffes. Dette kan
ultimativt betyde ekskludering af Danmark fra Schengen-
samarbejdet.
Blandt andet hensynet til samarbejdet med retshåndhævende
myndigheder i andre medlemsstater, herunder Schengen-
samarbejdet, taler efter regeringens opfattelse for, at Dan-
mark gennemfører retshåndhævelsesdirektivet i dansk ret.
Gennemførelse af direktivet vil nødvendiggøre ændringer af
dansk lovgivning, jf. pkt. 4 nedenfor. Danmarks tilslutning
til direktivet forudsætter derfor Folketingets samtykke, jf.
grundlovens § 19, stk. 1.
2. Retshåndhævelsesdirektivet
2.1. Indledning
Retshåndhævelsesdirektivet tager i en række henseender ud-
gangspunkt i den regulering, der følger af det gældende da-
tabeskyttelsesdirektiv (direktiv 95/46/EF), som navnlig er
gennemført i dansk ret ved lov om behandling af per-
sonoplysninger (persondataloven).
Herudover tager retshåndhævelsesdirektivet udgangspunkt i
den regulering, der følger af Rådets rammeafgørelse om be-
skyttelse af personoplysninger i forbindelse med politisam-
arbejde og retligt samarbejde i kriminalsager (rammeafgø-
relse 2008/977/RIA). Rammeafgørelsen er gennemført i
dansk ret ved persondatalovens § 72 a og bekendtgørelse nr.
1287 af 25. november 2010 om beskyttelse af personoplys-
ninger i forbindelse med politisamarbejde og retligt samar-
bejde i kriminalsager inden for Den Europæiske Union og
Schengen-samarbejdet.
I det følgende vil der blive fokuseret på de væsentligste ny-
skabelser og ændringer, som direktivet indeholder, i forhold
til de gældende regler i Danmark.
2.2. Generelle bestemmelser (direktivets kapitel I)
Retshåndhævelsesdirektivets kapitel I beskriver direktivets
formål, ligesom det fastlægger dets materielle anvendelses-
område og indeholder definitioner af udvalgte begreber.
Direktivet fastsætter regler om beskyttelse af fysiske per-
soner i forbindelse med de kompetente myndigheders be-
handling af personoplysninger med henblik på at forebygge,
efterforske, afsløre eller retsforfølge strafbare handlinger el-
ler fuldbyrde strafferetlige sanktioner, herunder beskytte
mod eller forebygge trusler mod den offentlige sikkerhed.
Direktivet udelukker ikke, at medlemsstaterne fastsætter hø-
jere sikkerhedsforanstaltninger i national lovgivning end
dem, som fremgår af direktivet.
Det bemærkes, at der er tale om en udvidelse af anvendel-
sesområdet i forhold til den gældende regulering på EU-ni-
veau. Det gældende databeskyttelsesdirektiv finder bl.a. ik-
ke anvendelse på aktiviteter på det strafferetlige område, og
rammeafgørelsen finder alene anvendelse på grænseover-
skridende udveksling af personoplysninger inden for det po-
litimæssige og strafferetlige område. Det bemærkes dog, at
den danske persondatalov, som implementerer databeskyt-
telsesdirektivet fra 1995, i vidt omfang gælder på det politi-
og strafferetlige område i Danmark, selv om dette område er
undtaget fra direktivets anvendelsesområde. Dette indebæ-
2
rer, at de nye regler, som følger af det foreliggende rets-
håndhævelsesdirektiv, ikke vil medføre væsentlige ændrin-
ger i forhold til de regler, der allerede gælder i Danmark på
det politi- og strafferetlige område. Det gælder bl.a. for de
generelle behandlingsprincipper, behandlingsreglerne og
reglerne om overførsel af personoplysninger til tredjelande.
Retshåndhævelsesdirektivet finder ikke anvendelse på be-
handling af personoplysninger, som iværksættes med hen-
blik på udøvelse af aktiviteter, der ikke er omfattet af EU-
retten. Dette indebærer bl.a., at efterretningstjenesterne ikke
er omfattet af direktivets anvendelsesområde.
2.3. Principper (direktivets kapitel II)
Retshåndhævelsesdirektivets kapitel II indeholder en række
generelle behandlingsprincipper, der altid skal efterleves i
forbindelse med behandling af personoplysninger, og derud-
over en række konkrete behandlingsregler.
De generelle behandlingsprincipper svarer i vidt omfang til
de regler, som er fastsat i det gældende databeskyttelsesdi-
rektiv fra 1995.
Med retshåndhævelsesdirektivet indføres dog et par yderli-
gere principper om tidsfrister for opbevaring af personoplys-
ninger og revision af behovet herfor, sondring mellem for-
skellige kategorier af registrerede samt sondring mellem
personoplysninger og kontrol med kvaliteten af per-
sonoplysninger.
Ligesom i gældende lovgivning sondres der i retshåndhæ-
velsesdirektivet mellem almindelige personoplysninger og
følsomme personoplysninger.
Medlemsstaterne skal fastsætte, at behandling af almindeli-
ge personoplysninger kun er lovlig, i det omfang behandlin-
gen er nødvendig for den kompetente myndigheds udførelse
af en opgave, som falder ind under direktivets anvendelses-
område, og som er baseret på Unions- eller medlemsstats-
lovgivning, hvilket er en begrænsning i forhold til gældende
lovgivning.
Som noget nyt indføres endvidere regler om særlige vilkår
for behandling af personoplysninger fra en videregivende
myndighed til en modtagende myndighed.
Derudover skal medlemsstaterne fastsætte, at behandling af
følsomme personoplysninger (personoplysninger, der viser
racemæssig eller etnisk baggrund, politisk, religiøs eller fi-
losofisk overbevisning og fagforeningsmæssigt tilhørsfor-
hold, og behandling af genetiske data, helbredsoplysninger
og oplysninger om seksuelle forhold) alene skal være tilladt,
når behandlingen er strengt nødvendig og underlagt tilstræk-
kelige sikkerhedsforanstaltninger for den registreredes ret-
tigheder og frihedsrettigheder. Samtidig skal behandlingen
enten være hjemlet i EU-retten eller medlemsstaternes natio-
nale ret, ske for at beskytte den registreredes eller en anden
persons vitale interesser eller vedrøre oplysninger, som ty-
deligvis er offentliggjort af den registrerede.
Bestemmelsen om behandling af følsomme oplysninger ad-
skiller sig på visse punkter fra den gældende lovgivning,
idet mulighederne for at behandle sådanne oplysninger æn-
dres.
Når de kompetente myndigheder behandler personoplysnin-
ger til andre formål end dem, som er omfattet af retshånd-
hævelsesdirektivets anvendelsesområde, vil den generelle
forordning (EU) 2016/679 om persondatabeskyttelse finde
anvendelse.
2.4. Den registreredes rettigheder (direktivets kapitel III)
Retshåndhævelsesdirektivets kapitel III fastlægger den regi-
streredes rettigheder i forhold til den dataansvarlige. Kapit-
let indeholder nærmere bestemmelser om udøvelsen af den
registreredes rettigheder, herunder retten til information,
indsigt, berigtigelse og sletning.
Det bemærkes, at reglerne i retshåndhævelsesdirektivet om
den registreredes rettigheder som udgangspunkt vil medføre
en udvidelse af rettighederne i forhold til gældende ret om
behandling af personoplysninger på det strafferetlige områ-
de. Dette skyldes, at de gældende regler i persondataloven
om oplysningspligt over for den registrerede, den registrere-
des ret til indsigelse, berigtigelse, blokering og sletning af
personoplysninger ikke finder anvendelse på behandlinger,
der foretages for domstolene, politi og anklagemyndighed
inden for det strafferetlige område. Herudover finder de
gældende regler om den registreredes ret til indsigt ikke an-
vendelse på behandlinger, der foretages for domstolene in-
den for det strafferetlige område.
I forhold til personoplysninger, der udveksles eller stilles til
rådighed mellem myndigheder fra to forskellige medlems-
stater i forbindelse med politisamarbejde og retligt samar-
bejde i kriminalsager inden for EU og Schengen-samarbej-
det – og som i dag er omfattet af rammeafgørelsen – er det
alene retshåndhævelsesdirektivets bestemmelse om oplys-
ningspligt, som er en nyskabelse.
2.5. Den dataansvarlige og databehandlerens forpligtel-
ser mv. (direktivets kapitel IV)
Retshåndhævelsesdirektivets kapitel IV omhandler den data-
ansvarlige og databehandleren. Kapitlet indeholder regler
om generelle forpligtelser, datasikkerhed og udpegning af en
databeskyttelsesrådgiver.
Det følger bl.a. af kapitel 4 som noget nyt, at medlemsstater-
ne skal sikre, at den dataansvarlige – under hensyntagen til
det aktuelle tekniske niveau og omkostningerne ved gen-
nemførelse samt med hensyntagen til behandlingens karak-
ter, omfang og formål, samt risikoen for den registreredes
rettigheder og frihedsrettigheder – gennemfører passende
tekniske og organisatoriske foranstaltninger og procedurer
designet med henblik på effektiv implementering af databe-
skyttelsesprincipper og med henblik på integrering af de for-
3
nødne garantier i behandlingen, som sikrer, at de bestem-
melser, som gennemfører direktivet, overholdes.
Endvidere skal medlemsstaterne fastsætte bestemmelser om,
at dataansvarlige forud for behandling af personoplysninger,
der indebærer en høj risiko for fysiske personers rettigheder,
skal foretage konsekvensanalyser.
En nyskabelse er, at medlemsstaterne – hvis to eller flere da-
taansvarlige i fællesskab fastlægger formålene med og hjæl-
pemidlerne til behandling – fastsætter bestemmelser om, at
de skal være fælles dataansvarlige og krav om bl.a. gennem-
sigtig ansvarsfordeling.
Medlemsstaterne skal bl.a. sikre, at enhver dataansvarlig op-
bevarer fortegnelser over alle behandlingsaktiviterer, som de
pågældende er ansvarlige for. Disse fortegnelser skal efter
anmodning gøres tilgængelige for tilsynsmyndigheden.
Medlemsstaterne skal endvidere sikre, at følgende behand-
linger i automatiske behandlingssystemer bliver logget: Ind-
samling, ændring, søgning, videregivelse, samkøring og
sletning. Loggen skal anvendes til at kontrollere, om databe-
handlingen er lovlig, til egenkontrol og til at sikre datainte-
griteten og datasikkerheden.
En anden nyskabelse er indførelsen af et krav om, at den da-
taansvarlige uden unødig forsinkelse – og om muligt inden
for 72 timer – skal anmelde brud på persondatasikkerheden,
som sandsynligvis vil medføre en risiko for fysiske per-
soners rettigheder og frihedsrettigheder, til tilsynsmyndighe-
den.
Hvis sikkerhedsbruddet sandsynligvis vil medføre en høj ri-
siko for den registreredes rettigheder og frihedsrettigheder,
skal den dataansvarlige også uden unødig forsinkelse under-
rette den registrerede om sikkerhedsbruddet.
Det er dog i visse tilfælde ikke nødvendigt at underrette til-
synsmyndigheden eller den registrerede om et brud på per-
sondatasikkerheden. Det gælder bl.a., hvis den dataansvarli-
ge har gennemført passende teknologiske og organisatoriske
beskyttelsesforanstaltninger, og disse foranstaltninger er ble-
vet anvendt på de data, som sikkerhedsbruddet vedrørte.
Desuden skal medlemsstaterne fastsætte regler om, at til-
synsmyndigheden skal høres forud for en behandling af per-
sonoplysninger i nogle nærmere opregnede tilfælde, som ad-
skiller sig på en række punkter fra forpligtelserne efter den
gældende lovgivning.
Efter retshåndhævelsesdirektivet skal medlemsstaterne fast-
sætte regler om, at retshåndhævende myndigheder, der ikke
er uafhængige judicielle myndigheder, skal udpege en data-
beskyttelsesrådgiver.
2.6. Overførsel af personoplysninger til tredjelande eller
internationale organisationer (direktivets kapitel V)
Retshåndhævelsesdirektivets kapitel V fastlægger betingel-
serne for, hvornår de kompetente myndigheder kan videregi-
ve personoplysninger til tredjelande eller internationale or-
ganisationer.
Medlemsstaterne skal sikre, at overførsel fra en kompetent
myndighed til et tredjeland eller til en international organi-
sation, herunder også videreoverførsel til et andet tredjeland
eller international organisation, alene kan finde sted ved op-
fyldelse af særlige betingelser. Overførslen skal være nød-
vendig for at opfylde et af de formål, som er omfattet af di-
rektivets anvendelsesområde, og den dataansvarlige i tredje-
landet mv. skal være en kompetent myndighed i henhold til
disse formål. Hvis personoplysningerne er videregivet eller
stillet til rådighed af en anden medlemsstat, skal denne med-
lemsstat give forudgående tilladelse til overførslen i henhold
til dens nationale lovgivning. Oplysninger kan undtagelses-
vis overføres uden forudgående tilladelse, hvis det er nød-
vendigt for at forebygge en umiddelbar og alvorlig trussel
mod en medlemsstats eller et tredjelands offentlige sikker-
hed eller mod en medlemsstats væsentlige interesser, og den
forudgående tilladelse ikke kan indhentes i tide. Den ansvar-
lige myndighed for den forudgående tilladelse underettes
straks. Endelig skal Kommissionen have truffet en afgørelse
om, at tredjelandet mv. sikrer et tilstrækkeligt beskyttelses-
niveau, eller der skal være indført eller eksistere fornødne
garantier.
I de tilfælde, hvor Kommissionen ikke har truffet en afgørel-
se om, at tredjelandet mv. sikrer et tilstrækkeligt beskyttel-
sesniveau, eller der ikke er indført eller eksisterer fornødne
garantier, skal medlemsstaterne i national lovgivning fast-
sætte, at overførsel af personoplysninger til et tredjeland
mv., kun kan ske i en række konkrete tilfælde, herunder hvis
overførslen er nødvendig for at beskytte den registreredes
eller en anden persons vitale interesser, eller, hvis overførs-
len er nødvendig i enkeltsager med henblik på at forfølge de
formål, som er omfattet af direktivets anvendelsesområde.
I individuelle og konkrete sager kan medlemsstaterne endvi-
dere tillade, at der under iagttagelse af en række betingelser
overføres personoplysninger til private i tredjelande mv.
2.7. Uafhængige tilsynsmyndigheder (direktivets kapitel
VI)
Retshåndhævelsesdirektivets kapitel VI indeholder regler
om de nationale tilsynsmyndigheders uafhængige status, op-
gaver og beføjelser. Reglerne minder i høj grad om gælden-
de ret.
2.8. Samarbejde (direktivets kapitel VII)
Retshåndhævelsesdirektivets kapitel VII indeholder bestem-
melser om gensidig bistand og om Det Europæiske Databe-
skyttelsesråds opgaver.
Det fremgår bl.a., at medlemsstaterne skal drage omsorg for,
at tilsynsmyndighederne yder hinanden gensidig bistand
4
med henblik på at gennemføre og anvende de bestemmelser,
der vedtages i medfør af direktivet, på en ensartet måde og
træffe foranstaltninger med henblik på et effektivt samarbej-
de med hinanden.
Det Europæiske Databeskyttelsesråd, som oprettes ved den
generelle databeskyttelsesforordning, skal inden for direkti-
vets anvendelsesområde bl.a. rådgive Kommissionen om et-
hvert spørgsmål vedrørende persondatabeskyttelse i Uni-
onen og af egen drift eller efter anmodning undersøge et-
hvert spørgsmål vedrørende anvendelse af bestemmelser,
som gennemfører direktivet.
2.9. Klageadgang, ansvar og sanktioner (direktivets kapi-
tel VIII)
Retshåndhævelsesdirektivets kapitel VIII indeholder be-
stemmelser om retten til at indgive klage til en tilsynsmyn-
dighed, om retsmidler (dvs. adgang til domstolsprøvelse)
over for tilsynsmyndigheden og over for den dataansvarlige
eller databehandleren, om ret til at lade sig repræsentere af
en organisation eller lignende, om erstatningsansvar og om
ret til erstatning samt sanktioner.
2.10. Gennemførelsesforanstaltninger og afsluttende be-
stemmelser (direktivets kapitel IX og X)
Retshåndhævelsesdirektivets kapitel IX indeholder en be-
stemmelse om udvalgsproceduren, som skal finde anvendel-
se i forbindelse med udstedelsen af gennemførelsesretsakter.
I kapitel X indeholder direktivet en række afsluttende be-
stemmelser, hvor der bl.a. lægges op til at ophæve den gæl-
dende rammeafgørelse 2008/ 977/RIA.
3. Gældende dansk ret
3.1. Indledning
Retshåndhævelsesdirektivet finder anvendelse på de kompe-
tente myndigheders behandling af personoplysninger med
henblik på at forebygge, efterforske, opdage eller retsforføl-
ge straffelovsovertrædelser eller fuldbyrde strafferetlige
sanktioner samt sikring mod og forebyggelse af trusler mod
den offentlige sikkerhed.
Direktivet indebærer som nævnt i den forbindelse en væ-
sentlig udvidelse af anvendelsesområdet for den EU-retlige
regulering af behandling af personoplysninger på det politi-
mæssige og strafferetlige område. Direktivet skal således
f.eks. også omfatte politiets behandlinger af oplysninger,
som er rent interne i den enkelte medlemsstat, og som såle-
des hverken er eller påtænkes udvekslet med en anden med-
lemsstat, jf. anvendelsesområdet for den gældende rammeaf-
gørelse.
Hertil kommer, at gennemførelse af direktivet vil medføre
mindre ændringer i retshåndhævende myndigheders mulig-
heder for at behandle personoplysninger, ligesom reglerne i
direktivets kapitel III indebærer en udvidelse af den registre-
redes rettigheder i forhold til de gældende EU-regler på det
politimæssige og strafferetlige område, jf. nærmere pkt. 2.4.
I en dansk sammenhæng vil gennemførelse af direktivet der-
for kunne få betydning for behandling af personoplysninger
i alle faser af en straffesag og således, fra f.eks. det tids-
punkt politiet modtager en anmeldelse om et strafbart for-
hold, til kriminalforsorgen løslader den domfældte efter endt
afsoning.
Det bemærkes imidlertid, at persondataloven i vidt omfang
gælder på det politi- og strafferetlige område i Danmark.
En fuldstændig redegørelse for gældende dansk ret vil derfor
omfatte en omtale af al lovgivning mv., der regulerer be-
handling af personoplysninger, herunder den registreredes
eventuelle rettigheder til indsigt mv., som gælder for politi-
et, anklagemyndigheden, domstolene og Kriminalforsorgen.
I det følgende redegøres imidlertid alene for de mest centra-
le regler.
3.2. Persondataloven
I lov nr. 429 af 31. maj 2000 om behandling af personoplys-
ninger med senere ændringer (persondataloven) er der fast-
sat generelle regler om behandling af personoplysninger for
offentlige myndigheder, herunder retshåndhævende myndig-
heder, med undtagelse af PET og FE og den private sektor.
Persondataloven er først og fremmest baseret på det gælden-
de databeskyttelsesdirektiv fra 1995.
Persondataloven indeholder bl.a. regler om, hvornår behand-
ling af personoplysninger i almindelighed må finde sted, li-
gesom loven indeholder regler vedrørende behandling af
særlige typer oplysninger (f.eks. regler om personnumre).
Efter persondataloven kan retshåndhævende myndigheder,
herunder politiet og anklagemyndigheden, bl.a. behandle al-
mindelige personoplysninger, hvis den registrerede har givet
udtrykkeligt samtykke hertil, eller hvis det er nødvendigt for
myndighedsudøvelse eller udførelse af en opgave i samfun-
dets interesse, samt hvis det er nødvendigt for at forfølge en
berettiget interesse, og den registreredes interesse ikke over-
stiger denne interesse.
Der må som udgangspunkt ikke behandles særligt følsomme
oplysninger om racemæssig eller etnisk baggrund, politisk,
religiøs eller filosofisk overbevisning, fagforeningsmæssige
tilhørsforhold og oplysninger om helbredsmæssige og sek-
suelle forhold. Dette gælder imidlertid ikke, hvis den regi-
strerede har givet sit udtrykkelige samtykke til behandlin-
gen, hvis det er nødvendigt for at beskytte den registreredes
eller en anden persons vitale interesser, hvis oplysningerne
er blevet offentliggjort af den registrerede, hvis det er nød-
vendigt for at et retskrav kan fastlægges, gøres gældende el-
ler forsvares, eller hvis behandlingen er nødvendig af hen-
syn til en offentlig myndigheds varetagelse af sine opgaver
på det strafferetlige område.
5
Følsomme oplysninger om strafbare forhold, væsentlige so-
ciale problemer og andre rent private forhold må som ud-
gangspunkt heller ikke behandles, medmindre det er nød-
vendigt for varetagelsen af myndighedens opgaver. Endvi-
dere må sådanne oplysninger ikke videregives. Det gælder
dog ikke, hvis den registrerede har givet sit udtrykkelige
samtykke hertil, hvis det sker til varetagelse af private eller
offentlige interesser, der klart overstiger hensynet til de inte-
resser, der begrunder hemmeligholdelse, herunder hensynet
til den oplysningerne angår, hvis det er nødvendigt for udfø-
relsen af en myndigheds virksomhed eller påkrævet for en
afgørelse, som myndigheden skal træffe, eller hvis det er
nødvendigt for udførelsen af en persons eller virksomheds
opgaver for det offentlige. Sådanne oplysninger vil desuden
kunne behandles, herunder videregives, efter de samme und-
tagelsesmuligheder, som gælder for de særligt følsomme op-
lysninger, jf. afsnittet ovenfor.
Persondataloven indeholder desuden en række bestemmelser
om rettigheder for de personer, der behandles oplysninger
om. Det gælder f.eks. regler om den registreredes ret til in-
formation, indsigelse, indsigt, berigtigelse og sletning af
personoplysninger.
Persondataloven gælder generelt for politiets, anklagemyn-
dighedens og domstolenes behandling af personoplysninger.
Lovens bestemmelser om oplysningspligt over for den regi-
strerede, den registreredes ret til indsigelse, berigtigelse,
blokering og sletning af personoplysninger finder dog ikke
anvendelse på behandlinger, der foretages for domstolene,
politiet og anklagemyndighed, inden for det strafferetlige
område. Der henvises i øvrigt til pkt. 2.4 ovenfor. Herud-
over finder lovens regler om den registreredes ret til indsigt
ikke anvendelse på behandlinger, der foretages for domsto-
lene inden for det strafferetlige område.
Persondataloven fastsætter endvidere regler om datasikker-
hed i forbindelse med behandling af personoplysninger,
hvorefter den dataansvarlige skal træffe de fornødne tekni-
ske og organisatoriske sikkerhedsforanstaltninger mod, at
oplysninger bl.a. ikke kommer til uvedkommendes kends-
kab. Disse regler suppleres for offentlige myndigheders ved-
kommende af bekendtgørelse nr. 528 af 15. juni 2000 om
sikkerhedsforanstaltninger til beskyttelse af personoplysnin-
ger, som behandles for den offentlige forvaltning. Efter den-
ne bekendtgørelse skal offentlige myndigheder bl.a. logge
anvendelse af fortrolige personoplysninger.
Persondataloven indeholder også bestemmelser om offentli-
ge myndigheders anmeldelse af behandlinger af fortrolige
personoplysninger til Datatilsynet forud for iværksættelse af
behandlingen og forudgående høring af tilsynet bl.a. forud
for behandling af følsomme personoplysninger.
Endelig indeholder persondataloven regler om Datatilsynets
tilsyn med bl.a. offentlige myndigheders behandling af per-
sonoplysninger, herunder om klageadgang og tilsynets ad-
gang til at undersøge sager af egen drift, og regler om tilsy-
nets beføjelser. Det bemærkes, at Datatilsynet efter person-
datalovens regler kun i begrænset omfang har beføjelser til
at træffe afgørelser, herunder udstede påbud og forbud, over
for offentlige myndigheder.
3.3. Bekendtgørelse om beskyttelse af personoplysninger i
forbindelse med politisamarbejde og retligt samarbejde i
kriminalsager inden for EU og Schengen-samarbejdet
Justitsministeren har i medfør af persondatalovens § 72 a
fastsat nærmere regler ved bekendtgørelse nr. 1287 af 25.
november 2010 om beskyttelse af personoplysninger i for-
bindelse med politisamarbejde og retligt samarbejde i krimi-
nalsager inden for Den Europæiske Union og Schengen-
samarbejdet. Bekendtgørelsen gennemfører Rådets ramme-
afgørelse 2008/ 977/RIA i dansk ret.
Formålet med bekendtgørelsen er at sikre beskyttelsen af
personoplysninger, der behandles inden for rammerne af det
politimæssige og strafferetlige samarbejde inden for EU.
Bekendtgørelsen finder anvendelse i forhold til personoplys-
ninger, der udveksles eller stilles til rådighed mellem en
dansk og en udenlandsk myndighed i forbindelse med politi-
samarbejde og retligt samarbejde i kriminalsager inden for
Den Europæiske Union og Schengen-samarbejdet.
Bekendtgørelsen tager således sigte på den grænseoverskri-
dende informationsudveksling i forbindelse med politisam-
arbejde og retligt samarbejde i kriminalsager. Den finder in-
den for dette område anvendelse på behandling af per-
sonoplysninger, der helt eller delvis foretages elektronisk,
og i forhold til ikke-elektronisk behandling af personoplys-
ninger, der er eller vil blive indeholdt i et register.
Bekendtgørelsen henviser bl.a. til en række af de grundlæg-
gende regler for behandling af personoplysninger i person-
dataloven. Den indeholder herudover regler om datakvalitet
og behandlingssikkerhed. Bekendtgørelsen indeholder des-
uden regler for specifikke former for databehandling, herun-
der regler om viderebehandling af personoplysninger modta-
get fra andre medlemsstater og om videregivelse af sådanne
oplysninger til private og tredjelande samt internationale or-
ganer. Herudover udvider bekendtgørelsen den registreredes
rettigheder med hensyn til bl.a. underretning og berigtigelse
af urigtige oplysninger i forhold til persondataloven.
3.4. Retsplejeloven
Retsplejeloven (lovbekendtgørelse nr. 1255 af 16. november
2015 med senere ændringer) indeholder de grundlæggende
regler i dansk ret vedrørende bl.a. efterforskning og retsfor-
følgning af strafbare forhold.
Retsplejelovens kapitel 67-75 b fastsætter således regler om
politiets efterforskning af strafbare forhold og om gennem-
førelsen af tvangsindgreb, herunder reglerne for anholdelse,
varetægtsfængsling, indgreb i meddelelseshemmeligheden,
legemsindgreb, ransagning, beslaglæggelse, edition og per-
sonundersøgelser. Disse kapitler indeholder ligeledes grund-
læggende straffeprocessuelle regler.
6
Retsplejeloven indeholder endvidere regler om aktindsigt i
domme, kendelser og andre dokumenter, der vedrører en
straffesag. Udgangspunktet er, at enhver har ret til aktindsigt
i domme og kendelser mv., ligesom den, der har en indivi-
duel, væsentlig interesse i et konkret retsspørgsmål, som ud-
gangspunkt kan forlange at blive gjort bekendt med doku-
menter, der vedrører en straffesag, herunder indførsler i rets-
bøgerne, i det omfang dokumenterne har betydning for vur-
deringen af det pågældende retsspørgsmål.
Herudover regulerer retsplejelovens § 115 bl.a., hvornår po-
litiet kan udveksle oplysninger om enkeltpersoners rent pri-
vate forhold til andre myndigheder som led i det kriminali-
tetsforebyggende samarbejde (SSP-samarbejdet).
3.5. Straffuldbyrdelsesloven
Straffuldbyrdelsesloven (lovbekendtgørelsen nr. 1242 af 11.
november 2015 med senere ændringer) regulerer fuldbyrdel-
sen af fængselsstraffe, bødestraffe, betingede domme, dom-
me med vilkår om samfundstjeneste og forvaring.
Straffuldbyrdelsesloven indeholder i en række tilfælde mu-
lighed for, at myndighederne kan behandle personoplysnin-
ger om en dømt person for at varetage sine opgaver efter lo-
ven. Det er f.eks. tilfældet, hvor kriminalforsorgen træffer
afgørelse om valg af afsoningsinstitution, om anbringelse i
åbent eller lukket fængsel, om overførsel fra åbent til lukket
fængsel og om udgang i forbindelse med afsoning af fæng-
selsstraf.
4. Lovgivningsmæssige konsekvenser
Gennemførelse af retshåndhævelsesdirektivet i dansk ret vil
indebære, at der skal ske ændringer af gældende dansk lov-
givning.
Der vil således skulle ske en tilpasning af reglerne, som i
dag følger af persondataloven, til direktivets regler, herun-
der særligt direktivets behandlingsregler og regulering for
den registreredes rettigheder.
Det er endvidere Justitsministeriets umiddelbare vurdering,
at en gennemførelse kan medføre, at det bliver nødvendigt at
revidere nogle af de gældende regler i retsplejeloven og
straffuldbyrdelsesloven, der regulerer behandling af per-
sonoplysninger.
5. Økonomiske og administrative konsekvenser
Det må forventes, at en gennemførelse af retshåndhævelses-
direktivet vil indebære administrative konsekvenser for sta-
tens retshåndhævende myndigheder i forbindelse med om-
stillingen til at skulle anvende de nye regler.
Retshåndhævelsesdirektivet medfører som nævnt ovenfor
under pkt. 2.2, at retshåndhævende myndigheder i visse si-
tuationer skal forpligtes til at give borgerne en række oplys-
ninger i forbindelse med, at de indsamler personoplysninger.
Oplysningspligten må antages i et vist omfang at kunne op-
fyldes samtidig med andre sagsbehandlingsskridt. Dertil
kommer, at der efter direktivet kan fastsættes regler om und-
tagelse fra oplysningspligten af hensyn til en række nærmere
angivne offentlige interesser. Omfanget af oplysningspligten
vil således afhænge af, hvilke undtagelser der fastsættes i
dansk ret. På nuværende tidspunkt er det derfor behæftet
med stor usikkerhed at skønne over udgifterne hertil. I nogle
situationer vil det dog formentlig isoleret set medføre øget
administration for de retshåndhævende myndigheder. Som
nævnt medfører direktivet endvidere, at den registrerede
skal have ret til berigtigelse, sletning og begrænsning af
urigtige oplysninger. Disse forpligtelser skønnes ikke i sig
selv at have administrative konsekvenser af betydning, idet
myndighederne efter gældende ret er forpligtet til af egen
drift eller efter en klage at slette eller berigtige urigtige eller
vildledende oplysninger. Retshåndhævelsesdirektivet med-
fører imidlertid den yderligere forpligtelse, at myndigheder-
ne af egen drift fremadrettet skal meddele modtagerne af op-
lysningerne, at disse er blevet berigtiget, slettet eller be-
grænset.
Herudover medfører direktivet yderligere krav til databe-
handlere og dataansvarlige, herunder i forhold til sikkerhe-
den, som imidlertid bl.a. på baggrund af Datatilsynets prak-
sis må anses at være krav, der i vidt omfang allerede gælder
på området efter reglerne i dag. Dog medfører direktivet, at
retshåndhævende myndigheder efter direktivet skal udpege
en databeskyttelsesrådgiver, hvilket skønnes at ville indebæ-
re visse mindre udgifter.
De dataansvarlige skal som noget nyt opbevare fortegnelser
om eksempelvis dataansvarliges navn, formål med behand-
lingen af personoplysninger, beskrivelse af kategorier af re-
gistrerede, overførsel af personoplysninger til tredjelande,
hvornår personoplysninger skal slettes og sikkerhedsforan-
staltninger. Til gengæld indeholder retshåndhævelsesdirekti-
vet intet krav om anmeldelse af behandlinger, hvor det i dag
er et krav, at offentlige, herunder retshåndhævende myndig-
heder, foretager anmeldelse til Datatilsynet af deres behand-
linger af fortrolige personoplysninger. En høringsforpligtel-
se opretholdes dog i tilfælde af, at personoplysninger skal
behandles i et register, hvis en konsekvensanalyse har vist
sandsynlighed for en høj risiko for den registreredes rettig-
heder og frihedsrettigheder ved den påtænkte behandling el-
ler typen af behandling er forbundet med en høj risiko for de
registreredes rettigheder. Samlet set er vurderingen dog, at
der selv med indførelsen af et krav om at opbevare forteg-
nelser samt den begrænsede høringsforpligtelse ikke vil væ-
re tale om en stigning i udgifterne, men formentlig en min-
dre lempelse i forhold til anmeldelsespligten, som følger af
gældende ret.
Anmeldelse af sikkerhedsbrud til tilsynsmyndigheden gøres
til en eksplicit forpligtelse. Dette er en ny forpligtelse, som
vil medføre visse meromkostninger for retshåndhævende
myndigheder. Det skal dog bemærkes, at der i en del situa-
tioner allerede i dag sker underretning af Datatilsynet ved
sikkerhedsbrud. Den registrerede skal efter retshåndhævel-
sesdirektivet oplyses om sikkerhedsbruddet. Dette følger ef-
7
ter Datatilsynets praksis allerede i dag også af kravet om
god databehandlingsskik i persondatalovens § 5, stk. 1, men
meddelelsen skal indeholde flere oplysninger end i dag
(mange af de samme oplysninger som til tilsynsmyndighe-
den).
Endelig vil Datatilsynet skulle varetage en række nye opga-
ver navnlig på det internationale område, som vil medføre et
øget ressourceforbrug hos tilsynet. Dette skal dog ses i sam-
menhæng med, at tilsynet får samme opgaver i forbindelse
med den generelle databeskyttelsesforordning, som får di-
rekte virkning for Danmark den 25. maj 2018, hvorfor den-
ne del for direktivets vedkommende må anses for at have en
mindre betydning.
Samlet set må det antages, at retshåndhævende myndigheder
med retshåndhævelsesdirektivet vil få en række nye forplig-
telser, som vil indebære visse merudgifter.
8
Bilag 1
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV (EU) 2016/680
af 27. april 2016
om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af per-
sonoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare hand-
linger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om
ophævelse af Rådets rammeafgørelse 2008/977/RIA
EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16, stk. 2,
under henvisning til forslag fra Europa-Kommissionen,
efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,
under henvisning til udtalelse fra Regionsudvalget (1),
efter den almindelige lovgivningsprocedure (2), og
ud fra følgende betragtninger:
(1) Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grund-
læggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende ret-
tigheder (»chartret«) og artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde
(TEUF) fastsættes det, at enhver har ret til beskyttelse af personoplysninger, der vedrører den
pågældende.
(2) Principperne og reglerne for beskyttelse af fysiske personer i forbindelse med behandling af de-
res personoplysninger bør, uanset deres nationalitet eller bopæl, respektere deres grundlæggen-
de rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger. Dette
direktiv har til formål at bidrage til skabelsen af et område med frihed, sikkerhed og retfærdig-
hed.
(3) Den hastige teknologiske udvikling og globaliseringen har skabt nye udfordringer, hvad angår
beskyttelsen af personoplysninger. Omfanget af indsamlingen og delingen af personoplysninger
er steget betydeligt. Teknologien giver mulighed for at behandle personoplysninger i et hidtil
uset omfang i forbindelse med udøvelsen af aktiviteter såsom at forebygge, efterforske, afsløre
eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner.
(4) Den frie udveksling af personoplysninger mellem kompetente myndigheder med henblik på at
forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetli-
ge sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed i Uni-
onen, og overførsel af sådanne personoplysninger til tredjelande og internationale organisatio-
ner, bør lettes samtidig med, at der sikres et højt niveau for beskyttelse af personoplysninger.
9
Denne udvikling kræver, at der opbygges en stærk og mere sammenhængende ramme for be-
skyttelse af personoplysninger i Unionen, som understøttes af en effektiv håndhævelse.
(5) Europa-Parlamentets og Rådets direktiv 95/46/EF (3) finder anvendelse på al behandling af per-
sonoplysninger i medlemsstaterne både i den offentlige og private sektor. Det finder dog ikke
anvendelse på behandling af personoplysninger under udøvelse af aktiviteter, der falder uden
for fællesskabsretten, såsom retligt samarbejde i straffesager og politisamarbejde.
(6) Rådets rammeafgørelse 2008/977/RIA (4) finder anvendelse inden for retligt samarbejde i straf-
fesager og politisamarbejde. Denne rammeafgørelses anvendelsesområde er begrænset til be-
handling af personoplysninger, der videregives eller stilles til rådighed mellem medlemsstater.
(7) Det er vigtigt at sikre et ensartet og højt niveau for beskyttelse af personoplysninger om fysiske
personer og gøre det lettere at udveksle personoplysninger mellem medlemsstaternes kompeten-
te myndigheder for at sikre et effektivt retligt samarbejde i straffesager og politisamarbejde.
Med det formål bør niveauet for beskyttelse af fysiske personers rettigheder og frihedsrettighe-
der i forbindelse med de kompetente myndigheders behandling af personoplysninger med hen-
blik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde
strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikker-
hed, være ensartet i alle medlemsstater. For at sikre en effektiv beskyttelse af personoplysninger
i hele Unionen er det nødvendigt at styrke de registreredes rettigheder og de forpligtelser, der
påhviler dem, der behandler personoplysninger, samt tilsvarende beføjelser til at kontrollere og
sikre overholdelsen af reglerne om beskyttelse af personoplysninger i medlemsstaterne.
(8) Artikel 16, stk. 2, i TEUF giver Europa-Parlamentet og Rådet beføjelse til at fastsætte regler for
beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om
fri udveksling af sådanne oplysninger.
(9) På det grundlag fastsættes der ved Europa-Parlamentets og Rådets forordning (EU) 2016/679
(5) generelle regler for at beskytte fysiske personer i forbindelse med behandling af per-
sonoplysninger og sikre fri udveksling af personoplysninger i Unionen.
(10) I erklæring nr. 21 om beskyttelse af personoplysninger inden for retligt samarbejde i straffesa-
ger og politisamarbejde, der er knyttet som bilag til slutakten fra den regeringskonference, der
vedtog Lissabontraktaten, erkendte konferencen, at det kan blive nødvendigt med specifikke
regler om beskyttelse af personoplysninger og om fri bevægelighed for personoplysninger in-
den for retligt samarbejde i straffesager og politisamarbejde baseret på artikel 16 i TEUF som
følge af disse områders specifikke karakter.
(11) Det er derfor hensigtsmæssigt at disse områder behandles i et direktiv, der fastsætter særlige
regler for beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders be-
handling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsfor-
følge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og
forebygge trusler mod den offentlige sikkerhed, idet disse aktiviteters særlige karakter respek-
teres. Disse kompetente myndigheder kan omfatte ikke blot offentlige myndigheder som judi-
cielle myndigheder, politi eller andre retshåndhævende myndigheder, men også alle andre or-
ganer eller enheder, som i henhold til medlemsstaternes nationale ret udøver offentlig myndig-
10
hed eller offentlige beføjelser med henblik på dette direktiv. Hvis det pågældende organ eller
den pågældende enhed behandler personoplysninger til andre formål end med henblik på dette
direktiv, finder forordning (EU) 2016/679 anvendelse. Forordning (EU) 2016/679 finder der-
for anvendelse i tilfælde, hvor et organ eller en enhed indsamler personoplysninger til andre
formål og viderebehandler disse personoplysninger for at opfylde en retlig forpligtelse, som
det/den er underlagt. For eksempel opbevarer finansielle institutioner med henblik på efter-
forskning, afsløring eller retsforfølgning af strafbare handlinger visse personoplysninger, som
de behandler, og disse personoplysninger videregives kun til de kompetente nationale myndig-
heder i særlige tilfælde og i henhold til medlemsstaternes nationale ret. Et organ eller en en-
hed, som behandler personoplysninger på sådanne myndigheders vegne inden for dette direk-
tivs anvendelsesområde, bør være bundet af en kontrakt eller en anden retsakt og af de bestem-
melser, der gælder for databehandlere i henhold til dette direktiv, mens anvendelsen af forord-
ning (EU) 2016/679 ikke berøres heraf, for så vidt angår databehandlerens behandlingsaktivi-
teter uden for dette direktivs anvendelsesområde.
(12) De aktiviteter, der udføres af politiet eller andre retshåndhævende myndigheder, er hovedsage-
ligt fokuseret på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger, her-
under politiaktiviteter uden forudgående viden om, hvorvidt et forhold udgør en strafbar hand-
ling eller ej. Sådanne aktiviteter kan også omfatte udøvelsen af beføjelser gennem tvangsind-
greb som f.eks. politiaktiviteter i forbindelse med demonstrationer, store sportsbegivenheder
og uroligheder. De omfatter også opretholdelse af lov og orden som en opgave, der er over-
draget til politiet eller andre retshåndhævende myndigheder, hvor det er nødvendigt for at be-
skytte mod og forebygge trusler mod den offentlige sikkerhed og de ved lov beskyttede grund-
læggende samfundsinteresser, som kan føre til en strafbar handling. Medlemsstater kan over-
drage andre opgaver, der ikke nødvendigvis foretages med henblik på at forebygge, efterfor-
ske, afsløre eller retsforfølge strafbare handlinger, herunder beskytte mod og forebygge trusler
mod den offentlige sikkerhed, til de kompetente myndigheder, således at behandlingen af per-
sonoplysninger til disse andre formål, for så vidt de er omfattet af EU-retten, falder ind under
anvendelsesområdet for forordning (EU) 2016/679.
(13) En strafbar handling som omhandlet i dette direktiv bør være et selvstændigt EU-retligt begreb
som fortolket af Den Europæiske Unions Domstol (»Domstolen«).
(14) Da dette direktiv ikke bør finde anvendelse på behandlingen af personoplysninger i forbindelse
med en aktivitet, der falder uden for EU-retten, bør aktiviteter vedrørende statens sikkerhed,
aktiviteter udført af agenturer eller enheder, der beskæftiger sig med spørgsmål om statens sik-
kerhed, og medlemsstaternes behandling af personoplysninger ved udførelsen af aktiviteter,
der falder inden for rammerne af afsnit V, kapitel 2, i traktaten om Den Europæiske Union
(TEU), ikke anses for at være aktiviteter, der falder inden for dette direktivs anvendelsesområ-
de.
(15) For at sikre et ensartet beskyttelsesniveau for fysiske personer ved hjælp af rettigheder, som
kan håndhæves i hele Unionen, og for at hindre, at forskelle hæmmer den frie udveksling af
personoplysninger mellem kompetente myndigheder, bør dette direktiv fastsætte harmonisere-
de regler for beskyttelse og fri udveksling af personoplysninger, der behandles med henblik på
at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde straffe-
retlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed.
11
Den indbyrdes tilnærmelse af medlemsstaternes lovgivninger bør ikke resultere i en forringelse
af den beskyttelse af personoplysninger, de indeholder, men bør tværtimod søge at sikre et højt
beskyttelsesniveau i Unionen. Medlemsstaterne bør ikke forhindres i at fastsætte højere stan-
darder end dem, der er indeholdt i dette direktiv, for beskyttelse af den registreredes rettighe-
der og frihedsrettigheder med hensyn til kompetente myndigheders behandling af personoplys-
ninger.
(16) Dette direktiv berører ikke princippet om aktindsigt i officielle dokumenter. I henhold til for-
ordning (EU) 2016/679 kan personoplysninger i officielle dokumenter, som opbevares af en
offentlig myndighed eller et offentligt eller privat organ med henblik på udførelse af en opgave
i samfundets interesse, videregives af denne myndighed eller dette organ i overensstemmelse
med EU-retten eller medlemsstaternes nationale ret, som den offentlige myndighed eller orga-
net er underlagt, for at forene aktindsigt i officielle dokumenter med retten til beskyttelse af
personoplysninger.
(17) Den beskyttelse, som dette direktiv yder i forbindelse med behandling af personoplysninger,
bør finde anvendelse på fysiske personer uanset nationalitet eller bopæl.
(18) For at undgå at skabe en alvorlig risiko for omgåelse bør beskyttelsen af fysiske personer være
teknologineutral og ikke afhænge af de anvendte teknikker. Beskyttelsen af fysiske personer
bør gælde for både automatisk og manuel behandling af personoplysninger, hvis per-
sonoplysningerne er indeholdt eller vil blive indeholdt i et register. Sagsmapper eller samlinger
af sagsmapper samt deres forsider, som ikke er struktureret efter bestemte kriterier, bør ikke
være omfattet af dette direktivs anvendelsesområde.
(19) Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 (6) finder anvendelse på behand-
ling af personoplysninger, der foretages af Den Europæiske Unions institutioner, organer, kon-
torer og agenturer. Forordning (EF) nr. 45/2001 og andre EU-retsakter, der finder anvendelse
på en sådan behandling af personoplysninger, bør tilpasses til principperne og bestemmelserne
i forordning (EU) 2016/679.
(20) Dette direktiv forhindrer ikke medlemsstaterne i at præcisere behandlingsaktiviteter og be-
handlingsprocedurer i deres nationale regler om strafferetspleje vedrørende behandling af per-
sonoplysninger ved domstole og andre judicielle myndigheder, navnlig for så vidt angår per-
sonoplysninger, der er indeholdt i en retsafgørelse eller et register i forbindelse med straffesa-
ger.
(21) Principperne for databeskyttelse bør gælde enhver information om en identificeret eller identi-
ficerbar fysisk person. For at afgøre, om en fysisk person er identificerbar, bør alle midler tag-
es i betragtning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller
en anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende.
For at fastslå, om midler med rimelighed kan tænkes bragt i anvendelse til at identificere en
fysisk person, bør alle objektive forhold tages i betragtning, såsom omkostninger ved og tid,
der er nødvendig til identifikation, under hensyntagen til den tilgængelige teknologi på be-
handlingstidspunktet og den teknologiske udvikling. Databeskyttelsesprincipperne bør derfor
ikke gælde for anonyme oplysninger, dvs. oplysninger, der ikke vedrører en identificeret eller
12
identificerbar fysisk person, eller for personoplysninger, som er gjort anonyme på en sådan
måde, at den registrerede ikke længere kan identificeres.
(22) Offentlige myndigheder, til hvem personoplysninger videregives i overensstemmelse med en
retlig forpligtelse i forbindelse med udøvelsen af deres officielle hverv, såsom skatte- og told-
myndigheder, finansielle efterforskningsenheder, uafhængige administrative myndigheder el-
ler finansielle markedsmyndigheder, der er ansvarlige for regulering af og tilsyn med værdipa-
pirmarkederne, bør ikke betragtes som værende modtagere, hvis de modtager per-
sonoplysninger, der er nødvendige som led i en isoleret forespørgsel af almen interesse i over-
ensstemmelse med EU-retten eller medlemsstaternes nationale ret. Anmodninger om videregi-
velse af oplysninger sendt af de offentlige myndigheder bør altid være skriftlige, begrundede
og lejlighedsvise og bør ikke vedrøre et register som helhed eller føre til samkøring af registre.
Disse offentlige myndigheders behandling af personoplysninger bør være i overensstemmelse
med de gældende databeskyttelsesregler afhængigt af formålet med behandlingen.
(23) Genetiske data bør defineres som personoplysninger vedrørende en fysisk persons arvede eller
erhvervede genetiske karakteristika, som giver entydig information om den pågældende fysi-
ske persons fysiologi eller helbred, og som foreligger efter en analyse af en biologisk prøve fra
den pågældende fysiske person, navnlig en analyse på kromosomniveau, af deoxyribonuklein-
syre (DNA) eller ribonukleinsyre (RNA), eller efter en analyse af et andet element til indhent-
ning af lignende oplysninger. I betragtning af genetiske oplysningers kompleksitet og følsom-
hed er der stor risiko for misbrug og genanvendelse til forskellige formål fra den dataansvarli-
ges side. Enhver forskelsbehandling på grund af genetiske anlæg bør i princippet være forbudt.
(24) Helbredsoplysninger bør omfatte alle personoplysninger om den registreredes helbredstilstand,
som giver oplysninger om den registreredes tidligere, nuværende eller fremtidige fysiske eller
mentale helbredstilstand. Dette omfatter oplysninger om den fysiske person indsamlet i løbet
af registreringen af denne med henblik på eller under levering af sundhedsydelser, jf. Europa-
Parlamentets og Rådets direktiv 2011/24/EU (7), til den fysiske person; et nummer, symbol el-
ler særligt mærke, der tildeles en fysisk person for entydigt at identificere den fysiske person
til sundhedsformål; oplysninger, der hidrører fra prøver eller undersøgelser af en legemsdel el-
ler legemlig substans, herunder fra genetiske data og biologiske prøver; og enhver oplysninger
om f.eks. en sygdom, et handicap, en sygdomsrisiko, en sygehistorie, en sundhedsfaglig be-
handling eller den registreredes fysiologiske eller biomedicinske tilstand uafhængigt af kilden
hertil, f.eks. fra en læge eller anden sundhedsperson, et hospital, medicinsk udstyr eller in vi-
tro-diagnostik.
(25) Alle medlemsstater er tilknyttet Den Internationale Kriminalpolitiorganisation (Interpol). Med
henblik på at opfylde sin funktion modtager, opbevarer og videregiver Interpol personoplys-
ninger for at bistå de kompetente myndigheder med at forebygge og bekæmpe international
kriminalitet. Det er derfor relevant at styrke samarbejdet mellem Unionen og Interpol ved at
fremme en effektiv udveksling af personoplysninger, samtidig med at overholdelsen af de
grundlæggende rettigheder og frihedsrettigheder med hensyn til elektronisk behandling af per-
sonoplysninger sikres. Når der videregives personoplysninger fra Unionen til Interpol og til
lande, der er medlemmer af Interpol, bør dette direktiv, navnlig bestemmelserne om internatio-
nale overførsler, finde anvendelse. Dette direktiv bør ikke berøre de særlige regler, der er fast-
sat i Rådets fælles holdning 2005/69/RIA (8) og Rådets afgørelse 2007/533/RIA (9).
13
(26) Enhver behandling af personoplysninger skal være lovlig, rimelig og gennemsigtig i forhold til
de berørte fysiske personer og må kun finde sted til specifikke formål fastlagt ved lov. Det for-
hindrer ikke i sig selv de retshåndhævende myndigheder i at udføre aktiviteter som f.eks. hem-
melige undersøgelser eller videoovervågning. Disse aktiviteter kan udføres med henblik på at
forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferet-
lige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, så
længe de er fastlagt ved lov og udgør en nødvendig og forholdsmæssig foranstaltning i et de-
mokratisk samfund under behørigt hensyn til den berørte fysiske persons legitime interesser.
Databeskyttelsesprincippet om rimelig behandling er et særskilt begreb i forhold til retten til en
retfærdig rettergang som defineret i chartrets artikel 47 og artikel 6 i den europæiske konventi-
on til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder (EMRK). Fysi-
ske personer bør gøres bekendt med risici, regler, garantier og rettigheder i forbindelse med
behandling af deres personoplysninger og med, hvordan de skal udøve deres rettigheder i for-
bindelse med behandlingen. De konkrete formål med behandlingen af personoplysningerne bør
navnlig være udtrykkelige og legitime og fastlagt, når personoplysningerne indsamles. Per-
sonoplysningerne bør være tilstrækkelige og relevante i forhold til de formål, hvortil de be-
handles. Det bør navnlig sikres, at de indsamlede personoplysninger ikke er for omfattende og
ikke opbevares i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil
de behandles. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke med
rimelighed kan opfyldes på anden måde. For at sikre, at oplysningerne ikke opbevares i længe-
re tid end nødvendigt, bør den dataansvarlige indføre tidsfrister for sletning eller regelmæssig
revision. Medlemsstaterne bør fastsætte de fornødne garantier for personoplysninger, der i
længere perioder opbevares til arkivformål i samfundets interesse eller til videnskabelig, stati-
stisk eller historisk brug.
(27) Med henblik på forebyggelse, efterforskning og retsforfølgning af strafbare handlinger er det
nødvendigt, at de kompetente myndigheder behandler personoplysninger, der er indsamlet i
forbindelse med forebyggelse, efterforskning, afsløring eller retsforfølgning af konkrete straf-
bare handlinger, i en bredere sammenhæng for derved at få en forståelse af kriminelle handlin-
ger og sammenkoble forskellige strafbare handlinger, som er blevet afsløret.
(28) For at opretholde sikkerheden i forhold til behandling og hindre behandling i strid med dette
direktiv bør personoplysninger behandles på en måde, der garanterer et tilstrækkeligt niveau af
sikkerhed og fortrolighed, herunder hindring af uautoriseret adgang til eller anvendelse af per-
sonoplysninger og af det udstyr, der anvendes til behandlingen, og under hensyntagen til det
aktuelle tekniske niveau og den teknologi, der er tilgængelig, implementeringsomkostningerne
i forbindelse med risiciene ved og karakteren af de personoplysninger, der skal beskyttes.
(29) Personoplysninger bør indsamles til udtrykkeligt angivne og legitime formål inden for dette di-
rektivs anvendelsesområde og bør ikke behandles til formål, der er uforenelige med formålene
med at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde
strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sik-
kerhed. Hvis personoplysninger behandles af den samme eller en anden dataansvarlig til et for-
mål inden for dette direktivs anvendelsesområde, men som adskiller sig fra det, hvortil de er
indsamlet, bør en sådan behandling være tilladt, forudsat at en sådan behandling er godkendt i
overensstemmelse med gældende retlige bestemmelser og er nødvendig for og står i et rimeligt
forhold til dette andet formål.
14
(30) Princippet om oplysningernes rigtighed bør anvendes under hensyntagen til den pågældende
behandlings karakter og formål. Navnlig i retssager er udsagn, der indeholder personoplysnin-
ger, baseret på en subjektiv opfattelse af fysiske personer, og det er ikke altid muligt at kon-
trollere dem. Kravet om oplysningernes rigtighed bør derfor ikke vedrøre et udsagns rigtighed,
men blot det forhold, at der er fremsat et konkret udsagn.
(31) Behandling af personoplysninger inden for retligt samarbejde i straffesager og politisamarbej-
de indebærer i sagens natur behandling af personoplysninger om forskellige kategorier af regi-
strerede. Der bør således, hvis det er relevant og så vidt muligt, sondres klart mellem per-
sonoplysninger om forskellige kategorier af registrerede såsom mistænkte, personer, der er
dømt for en strafbar handling, ofre og andre parter som f.eks. vidner, personer, der ligger inde
med relevante oplysninger eller kontakter, eller mistænktes og dømte kriminelles ledsageper-
soner. Dette bør ikke være til hinder for anvendelsen af princippet om uskyldsformodning,
som er sikret ved chartret og ved EMRK, som fortolket i retspraksis ved henholdsvis Domsto-
len og Den Europæiske Menneskerettighedsdomstol.
(32) De kompetente myndigheder bør sikre, at personoplysninger, som er urigtige, ufuldstændige
eller ikke ajourførte, ikke videregives eller stilles til rådighed. For at sikre beskyttelsen af fysi-
ske personer, rigtigheden, fuldstændigheden, eller graden af ajourføring og pålideligheden af
de personoplysninger, der videregives eller stilles til rådighed, bør de kompetente myndighe-
der så vidt muligt tilføje nødvendige oplysninger ved enhver videregivelse af per-
sonoplysninger.
(33) Når dette direktiv henviser til medlemsstaternes nationale ret, et retsgrundlag eller en lovgiv-
ningsmæssig foranstaltning, kræver det ikke nødvendigvis en lov, der er vedtaget af et parla-
ment, med forbehold for krav i henhold til den forfatningsmæssige orden i den pågældende
medlemsstat. En sådan national ret i medlemsstaterne, et sådant retsgrundlag eller en sådan
lovgivningsmæssig foranstaltning bør imidlertid være klar(t) og præcis(t), og anvendelse heraf
bør være forudsigelig for de personer, der er omfattet af dets/dens anvendelsesområde, jf. rets-
praksis fra Domstolen og Den Europæiske Menneskerettighedsdomstol. Medlemsstaternes na-
tionale ret, som regulerer behandling af personoplysninger inden for dette direktivs anvendel-
sesområde, bør som minimum angive målene, de personoplysninger, der skal behandles, for-
målene med behandlingen og procedurerne for sikring af personoplysningernes integritet og
fortrolighed samt procedurerne for deres tilintetgørelse og derved i tilstrækkelig grad sikre op-
lysningerne mod risikoen for misbrug og vilkårlighed.
(34) Kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, ef-
terforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktio-
ner, herunder at beskytte mod eller forebygge trusler mod den offentlige sikkerhed, bør dække
enhver aktivitet eller række af aktiviteter, med eller uden brug af automatisk behandling, som
personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsam-
ling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, gen-
finding, søgning, brug, sammenstilling eller samkøring, begrænsning af behandling, sletning
eller tilintetgørelse. Bestemmelserne i dette direktiv bør navnlig finde anvendelse på videregi-
velse af personoplysninger med henblik på dette direktiv til en modtager, der ikke er omfattet
af dette direktiv. En sådan modtager bør omfatte en fysisk eller juridisk person, offentlig myn-
dighed, institution eller ethvert andet organ, som personoplysningerne lovligt videregives til af
15
den kompetente myndighed. Hvis personoplysningerne oprindeligt blev indsamlet af en kom-
petent myndighed til et af dette direktivs formål, bør forordning (EU) 2016/679 finde anven-
delse på behandlingen af disse oplysninger til andre formål end med henblik på dette direktiv,
hvis en sådan behandling er hjemlet i EU-retten eller medlemsstaternes nationale ret. Bestem-
melserne i forordning (EU) 2016/679 bør navnlig finde anvendelse på videregivelse af per-
sonoplysninger til formål, der ikke er omfattet af dette direktiv. Forordning (EU) 2016/679 bør
finde anvendelse på behandling af personoplysninger, der udføres af en modtager, der ikke er
en kompetent myndighed, eller der ikke fungerer som en sådan med henblik på dette direktiv,
og til hvilken en kompetent myndighed lovligt videregiver personoplysninger. Ved gennemfø-
relsen af dette direktiv bør medlemsstaterne også yderligere kunne præcisere anvendelsen af
bestemmelserne i forordning (EU) 2016/679 med forbehold af de betingelser, som er fastsat i
forordningen.
(35) For at være lovlig bør en behandling af personoplysninger i medfør af dette direktiv være nød-
vendig for en kompetent myndigheds udførelse af en opgave i samfundets interesse på grund-
lag af EU-retten eller medlemsstaternes nationale ret med henblik på at forebygge, efterforske,
afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder
beskytte mod og forebygge trusler mod den offentlige sikkerhed. Disse aktiviteter bør omfatte
beskyttelsen af den registreredes vitale interesser. Udførelsen af opgaverne med at forebygge,
efterforske, afsløre eller retsforfølge strafbare handlinger, som institutionelt er tillagt de kom-
petente myndigheder ved lov, gør det muligt for disse myndigheder at kræve, at fysiske per-
soner efterlever de anmodninger, der fremsættes. I så fald bør den registreredes samtykke som
defineret i forordning (EU) 2016/679 ikke udgøre et retsgrundlag for de kompetente myndig-
heders behandling af personoplysninger. Hvis det kræves, at den registrerede opfylder en retlig
forpligtelse, har den registrerede ikke et reelt og frit valg, hvorfor den registreredes reaktion
ikke kan anses for at være en frivillig viljetilkendegivelse. Dette bør ikke forhindre medlems-
staterne i ved lov at fastsætte bestemmelser om, at den registrerede kan acceptere behandling
af vedkommendes personoplysninger med henblik på dette direktiv, som f.eks. DNA-test i
strafferetlige efterforskninger eller elektronisk overvågning af vedkommendes geografiske po-
sition ved elektronisk fodlænke med henblik på fuldbyrdelse af strafferetlige sanktioner.
(36) Medlemsstaterne bør, når EU-retten eller medlemsstatens nationale ret, der finder anvendelse
for den videregivende kompetente myndighed, fastsætter særlige vilkår, der finder anvendelse
under særlige omstændigheder på behandling af personoplysninger, såsom anvendelse af reg-
ler for behandling af oplysninger, fastsætte bestemmelser om, at den videregivende kompeten-
te myndighed underretter modtageren af sådanne personoplysninger om disse vilkår og kravet
om at opfylde dem. Sådanne vilkår kunne f.eks. indebære et forbud mod at videregive per-
sonoplysninger til andre, eller at anvende dem til andre formål end dem, på baggrund af hvilke
de blev videregivet til modtageren, eller at underrette den registrerede i tilfælde af en begræns-
ning af retten til oplysninger uden forudgående godkendelse fra den videregivende kompetente
myndighed. Disse forpligtelser bør også finde anvendelse for overførsler fra den videregivende
kompetente myndighed til modtagere i tredjelande eller internationale organisationer. Med-
lemsstaterne bør sikre, at den videregivende kompetente myndighed ikke anvender sådanne
betingelser på modtagere i andre medlemsstater eller på agenturer, kontorer og organer, der er
oprettet i henhold til afsnit V, kapitel 4 og 5, i TEUF, bortset fra de betingelser, der gælder for
lignende videregivelser af oplysninger inden for den pågældende kompetente myndigheds
medlemsstat.
16
(37) Personoplysninger, der i kraft af deres karakter er særligt følsomme i forhold til grundlæggen-
de rettigheder og frihedsrettigheder, bør nyde specifik beskyttelse, da sammenhængen for be-
handlingen af dem kan indebære betydelige risici for grundlæggende rettigheder og frihedsret-
tigheder. Disse oplysninger bør omfatte personoplysninger om racemæssig eller etnisk oprin-
delse, idet anvendelsen af udtrykket »racemæssig oprindelse« i dette direktiv ikke betyder, at
Unionen accepterer teorier, der søger at fastslå, at der findes forskellige menneskeracer. Så-
danne personoplysninger bør ikke behandles, medmindre behandling er omfattet af de fornød-
ne garantier for den registreredes rettigheder og frihedsrettigheder, der er fastsat ved lov, og er
tilladt i tilfælde hjemlet ved lov; hvis ikke allerede er hjemlet i henhold til en sådan lov, be-
handlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interes-
ser; eller behandlingen vedrører oplysninger, som tydeligvis er offentliggjort af den registrere-
de. Fornødne garantier for den registreredes rettigheder og frihedsrettigheder kan omfatte mu-
ligheden for kun at indsamle disse oplysninger i forbindelse med andre oplysninger om den
pågældende fysiske person, muligheden for tilstrækkelig sikring af de indsamlede oplysninger,
skærpede regler for den kompetente myndigheds personales adgang til oplysningerne og for-
bud mod videregivelse af disse oplysninger. Behandlingen af sådanne oplysninger bør desuden
tillades ved lov, hvis den registrerede udtrykkeligt har givet sit samtykke til en behandling,
som er særlig indgribende for vedkommende. Den registreredes samtykke bør dog ikke i sig
selv udgøre et retsgrundlag for de kompetente myndigheders behandling af sådanne følsomme
personoplysninger.
(38) Den registrerede bør have ret til ikke at blive gjort til genstand for en afgørelse, der evaluerer
personlige forhold vedrørende vedkommende, og som alene bygger på automatisk behandling,
og som har negative retsvirkninger eller som betydeligt påvirker den pågældende. En sådan
behandling bør under alle omstændigheder ledsages af de fornødne garantier, herunder speci-
fik underretning af den registrerede og ret til menneskelig indgriben, navnlig til at fremkomme
med sine synspunkter, til at få en forklaring på den afgørelse, der er truffet efter en sådan eva-
luering, og til at bestride afgørelsen. Profilering, der fører til forskelsbehandling af fysiske per-
soner på grund af personoplysninger, der i kraft af deres karakter er særligt følsomme i forhold
til de grundlæggende rettigheder og frihedsrettigheder, bør være forbudt på de betingelser, der
er fastsat i chartrets artikel 21 og 52.
(39) For at sætte den registrerede i stand til at udøve sine rettigheder, bør alle oplysninger til den
registrerede være nemt tilgængelige, herunder på den dataansvarliges websted, og letforståeli-
ge, under anvendelse af et klart og forståeligt sprog. Sådanne oplysninger bør tilpasses behove-
ne hos sårbare personer såsom børn.
(40) Der bør fastsættes nærmere regler, som kan lette udøvelsen af de registreredes rettigheder i
medfør af de bestemmelser, der vedtages i henhold til dette direktiv, herunder mekanismer til
at anmode om og i givet fald opnå navnlig gratis indsigt i og berigtigelse eller sletning af per-
sonoplysninger og begrænsning af behandling. Den dataansvarlige bør være forpligtet til at be-
svare sådanne anmodninger fra en registreret uden unødig forsinkelse, medmindre den dataan-
svarlige anvender begrænsninger af den registreredes rettigheder i overensstemmelse med det-
te direktiv. Hvis der imidlertid er tale om anmodninger, som er åbenbart grundløse eller ufor-
holdsmæssige, som f.eks. når den registrerede på urimelig vis og gentagne gange anmoder om
oplysninger, eller hvis den registrerede misbruger sin ret til at modtage oplysninger, f.eks. ved
17
at give urigtige eller vildledende oplysninger ved fremsættelsen af anmodningen, bør den data-
ansvarlige kunne opkræve et rimeligt gebyr eller afvise at efterkomme anmodningen.
(41) Hvis den dataansvarlige anmoder om supplerende oplysninger, der er nødvendige for at be-
kræfte den registreredes identitet, bør sådanne oplysninger kun behandles til dette specifikke
formål og bør ikke opbevares længere end nødvendigt til dette formål.
(42) Som minimum bør følgende oplysninger gøres tilgængelige for den registrerede: den dataan-
svarliges identitet, behandlingsaktivitetens eksistens, formålene med behandlingen, retten til at
indgive en klage og retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller
sletning af personoplysninger eller begrænsning af behandling. Dette kan ske på den kompe-
tente myndigheds websted. Den registrerede bør endvidere i konkrete sager og for at muliggø-
re udøvelsen af vedkommendes rettigheder oplyses om retsgrundlaget for behandlingen og om,
hvor længe oplysningerne opbevares, for så vidt som disse yderligere oplysninger er nødvendi-
ge under hensyntagen til de specifikke omstændigheder, hvorunder oplysningerne behandles
med henblik på at sikre den registrerede en rimelig behandling af oplysningerne.
(43) En fysisk person bør have ret til indsigt i oplysninger, der er indsamlet om vedkommende, og
til let og med rimelige mellemrum at udøve denne ret med henblik på at forvisse sig om og
kontrollere en behandlings lovlighed. Enhver registreret bør derfor navnlig have ret til at kende
og blive underrettet om de formål, hvortil oplysningerne behandles, perioden, hvor oplysnin-
gerne behandles, og modtagerne af oplysningerne, herunder sådanne i tredjelande. Når sådan
en underretning omfatter meddelelse om personoplysningernes oprindelse, bør oplysningerne
ikke afsløre identiteten på fysiske personer, navnlig fortrolige kilder. Med henblik på overhol-
delse af denne ret er det tilstrækkeligt, at den registrerede er i besiddelse af et fuldstændigt re-
sumé af disse oplysninger i en letforståelig form, det vil sige en form, der giver den pågælden-
de registrerede mulighed for at blive opmærksom på disse oplysninger og kontrollere, at de er
korrekte og behandlet i overensstemmelse med dette direktiv, så det er muligt for den pågæl-
dende at udøve de rettigheder, der tilkommer vedkommende i henhold til dette direktiv. Et så-
dant resumé kan have form af en kopi af de personoplysninger, der behandles.
(44) Medlemsstaterne bør have beføjelse til at vedtage lovgivningsmæssige foranstaltninger, der
udsætter, begrænser eller afskærer meddelelse af oplysninger til de registrerede eller helt eller
delvis begrænser deres ret til indsigt i oplysningerne, i det omfang og så længe en sådan foran-
staltning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund un-
der behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime inte-
resser, for at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser,
for at undgå, at forebyggelsen, efterforskningen, afsløringen eller retsforfølgningen af strafbare
handlinger skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner, for at beskytte
den offentlige sikkerhed eller statens sikkerhed eller for at beskytte andres rettigheder og fri-
hedsrettigheder. Den dataansvarlige bør gennem en konkret og individuel undersøgelse af de
enkelte tilfælde vurdere, hvorvidt indsigtsretten helt eller delvis bør begrænses.
(45) Ethvert afslag på eller begrænsning af indsigt bør i princippet meddeles den registrerede skrift-
ligt og omfatte de faktuelle eller retlige årsager til afgørelsen.
18
(46) Enhver begrænsning af den registreredes rettigheder skal overholde chartret og EMRK som
fortolket i retspraksis henholdsvis ved Domstolen og ved Den Europæiske Menneskerettig-
hedsdomstol og navnlig respekten for det væsentlige indhold i disse rettigheder og frihedsret-
tigheder.
(47) En fysisk person bør have ret til at få berigtiget urigtige personoplysninger om sig selv, navn-
lig når det angår faktiske omstændigheder, og til at få slettet oplysninger, hvis behandlingen af
sådanne oplysninger overtræder dette direktiv. Retten til berigtigelse bør imidlertid ikke berøre
eksempelvis indholdet af et vidneudsagn. En fysisk person bør også have ret til begrænsning af
behandlingen, hvis vedkommende bestrider personoplysningers rigtighed, og det ikke kan kon-
stateres, om oplysningerne er rigtige eller ej, eller hvis personoplysningerne skal bevares som
bevismiddel. I stedet for at slette personoplysninger bør behandling navnlig begrænses, hvis
der i et konkret tilfælde er rimelig grund til at tro, at sletning vil kunne påvirke den registrere-
des legitime interesser. I så fald bør begrænsede oplysninger kun behandles til det formål, der
gjorde, at de ikke blev slettet. Metoderne til at begrænse behandlingen af personoplysninger
kan bl.a. omfatte, at udvalgte oplysninger flyttes til et andet behandlingssystem, f.eks. til arkiv-
formål, eller at udvalgte oplysninger gøres utilgængelige. I automatiske registre bør behand-
ling i princippet begrænses ved hjælp af tekniske hjælpemidler. Det forhold, at behandlingen
af personoplysningerne er begrænset, bør angives i registret på en sådan måde, at det tydeligt
fremgår, at behandlingen af personoplysningerne er begrænset. En sådan berigtigelse eller slet-
ning af personoplysninger eller begrænsning af behandling bør meddeles de modtagere, hvortil
oplysningerne er videregivet, og de kompetente myndigheder, hvorfra de urigtige oplysninger
stammer. Den dataansvarlige bør også afstå fra yderligere udbredelse af sådanne oplysninger.
(48) Hvis den dataansvarlige nægter en registreret dennes ret til oplysninger, indsigt i eller berigti-
gelse eller sletning af personoplysninger eller begrænsning af behandling, bør den registrerede
have ret til at anmode om, at den nationale tilsynsmyndighed kontrollerer, at behandlingen af
oplysningerne er lovlig. Den registrerede bør underrettes om denne rettighed. Hvis tilsynsmyn-
digheden handler på vegne af den registrerede, bør den registrerede som minimum underrettes
af den pågældende tilsynsmyndighed om, at tilsynsmyndigheden har foretaget den nødvendige
kontrol eller undersøgelse. Tilsynsmyndigheden bør også underrette den registrerede om ad-
gangen til retsmidler.
(49) Hvis personoplysningerne behandles under en strafferetlig efterforskning og strafferetssag, bør
medlemsstaterne kunne fastsætte bestemmelser om, at udøvelsen af retten til oplysninger, ind-
sigt i og berigtigelse eller, sletning af personoplysninger og begrænsning af behandling skal
udføres i henhold til de nationale retsplejeregler.
(50) Der bør fastsættes bestemmelser om den dataansvarliges ansvar, herunder erstatningsansvar,
for enhver behandling af personoplysninger, der foretages af den dataansvarlige eller på den
dataansvarliges vegne. Den dataansvarlige bør navnlig have pligt til at gennemføre passende
og effektive foranstaltninger og bør kunne påvise, at behandlingsaktiviteterne overholder dette
direktiv. Sådanne foranstaltninger bør tage højde for behandlingens karakter, omfang, sam-
menhæng og formål samt risikoen for fysiske personers rettigheder og frihedsrettigheder. De
foranstaltninger, som den dataansvarlige træffer, bør omfatte udarbejdelse og gennemførelse af
særlige garantier vedrørende behandling af personoplysninger om sårbare fysiske personer
såsom børn.
19
(51) Risiciene for fysiske personers rettigheder og frihedsrettigheder, der er af varierende sandsyn-
lighed og alvor, kan opstå som følge af behandling af oplysninger, der kan føre til fysisk, ma-
teriel eller immateriel skade, navnlig hvis behandlingen kan give anledning til forskelsbehand-
ling, identitetstyveri eller -svig, finansielle tab, skade på omdømme, tab af fortrolighed for op-
lysninger, der er omfattet af tavshedspligt, uautoriseret ophævelse af pseudonymisering eller
andre betydelige økonomiske eller sociale konsekvenser; hvis de registrerede kan blive berøvet
deres rettigheder og frihedsrettigheder eller forhindret i at udøve kontrol med deres per-
sonoplysninger; hvis der behandles personoplysninger, der viser race eller etnisk oprindelse,
politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold; hvis
genetiske data eller biometriske data behandles for entydigt at identificere en person, eller hvis
helbredsoplysninger eller oplysninger om seksuelle forhold og seksuel orientering, straffedom-
me og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger behandles; hvis personlige
forhold evalueres, navnlig analyse eller forudsigelse af forhold vedrørende indsats på arbejds-
pladsen, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed el-
ler adfærd eller geografisk position eller bevægelser, med henblik på at oprette eller anvende
personlige profiler; hvis der behandles personoplysninger om sårbare fysiske personer, navnlig
børn; eller hvis behandlingen omfatter en stor mængde personoplysninger og berører et stort
antal registrerede.
(52) Risikoens sandsynlighed og alvor bør bestemmes med henvisning til behandlingens karakter,
omfang, sammenhæng og formål. Risikoen bør evalueres på grundlag af en objektiv vurdering,
hvorved det fastslås, om databehandlingsaktiviteter indebærer en høj risiko. En høj risiko er en
særlig risiko for skade på de registreredes rettigheder og frihedsrettigheder.
(53) Beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling
af personoplysninger kræver, at der træffes passende tekniske og organisatoriske foranstaltnin-
ger for at sikre, at dette direktivs krav opfyldes. Gennemførelsen af sådanne foranstaltninger
bør ikke alene afhænge af økonomiske hensyn. For at kunne påvise overholdelse af dette di-
rektiv bør den dataansvarlige vedtage interne politikker og gennemføre foranstaltninger, som
især lever op til principperne om databeskyttelse gennem design og databeskyttelse gennem
standardindstillinger. Hvis den dataansvarlige har foretaget en konsekvensanalyse vedrørende
databeskyttelse i henhold til dette direktiv, bør der tages behørigt hensyn til resultaterne heraf i
forbindelse med udviklingen af disse foranstaltninger og procedurer. Foranstaltningerne kan
bl.a. bestå i anvendelse af pseudonymisering tidligst muligt. Anvendelse af pseudonymisering
med henblik på dette direktiv kan tjene som et redskab, der navnlig kan lette fri udveksling af
personoplysninger inden for området med frihed, sikkerhed og retfærdighed.
(54) Beskyttelse af registreredes rettigheder og frihedsrettigheder samt dataansvarliges og databe-
handlernes ansvar, herunder erstatningsansvar, også i forbindelse med tilsynsmyndighedernes
kontrol og foranstaltninger, kræver en klar fordeling af de ansvarsområder, der er fastsat i dette
direktiv, herunder når en dataansvarlig fastlægger formålene med og hjælpemidlerne til be-
handlingen sammen med andre dataansvarlige, eller når en behandlingsaktivitet foretages på
vegne af en dataansvarlig.
(55) En databehandlers behandling bør være omfattet af et retligt dokument, herunder en kontrakt,
der binder databehandleren til den dataansvarlige, og som navnlig fastlægger, at databehandle-
ren alene bør handle efter instruks fra den dataansvarlige. Databehandleren bør tage hensyn til
20
principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillin-
ger.
(56) For at påvise overholdelse af dette direktiv bør den dataansvarlige eller databehandleren føre
fortegnelser over alle kategorier af behandlingsaktiviteter under sit ansvar. Hver dataansvarlig
og databehandler bør have pligt til at samarbejde med tilsynsmyndigheden og efter anmodning
stille disse fortegnelser til rådighed for tilsynsmyndigheden, så de kan bruges til at føre tilsyn
med sådanne behandlingsaktiviteter. Den dataansvarlige eller databehandler, der behandler
personoplysninger i ikkeautomatiske databehandlingssystemer, bør have indført effektive me-
toder til at påvise, at behandlingen er lovlig, udøve egenkontrol og sikre dataintegriteten og
datasikkerheden, såsom logning eller andre former for fortegnelser.
(57) Der bør som minimum ske logning af aktiviteter i automatiske databehandlingssystemer såsom
indsamling, ændring, søgning, videregivelse, herunder overførsel, samkøring eller sletning.
Navnet på den person, som har søgt eller videregivet personoplysninger, bør logges, og herud-
fra bør det være muligt at fastlægge begrundelsen for behandlingsaktiviteterne. Loggene bør
udelukkende anvendes til at kontrollere, om databehandlingen er lovlig, til egenkontrol, til at
sikre dataintegriteten og datasikkerheden og i forbindelse med straffesager. Egenkontrol om-
fatter også kompetente myndigheders interne disciplinærsager.
(58) Den dataansvarlige bør foretage en konsekvensanalyse af databeskyttelsen, hvis behandlings-
aktiviteterne sandsynligvis vil indebære en høj risiko for den registreredes rettigheder og fri-
hedsrettigheder som følge af deres karakter, omfang eller formål, som navnlig bør omfatte de
foranstaltninger, garantier og mekanismer, der er planlagt for at sikre beskyttelsen af per-
sonoplysninger, og at påvise overholdelse af dette direktiv. Konsekvensanalyser bør omfatte
behandlingsaktiviteters relevante systemer og processer, men ikke enkeltsager.
(59) For at sikre en effektiv beskyttelse af de registreredes rettigheder og frihedsrettigheder bør den
dataansvarlige eller databehandleren i visse tilfælde høre tilsynsmyndigheden inden behandlin-
gen.
(60) For at opretholde sikkerheden og forhindre behandling i strid med dette direktiv bør den data-
ansvarlige eller databehandleren vurdere de risici, som en behandling indebærer, og bør gen-
nemføre foranstaltninger, der kan begrænse disse risici, som f.eks. kryptering. Sådanne foran-
staltninger bør sikre et tilstrækkeligt sikkerhedsniveau, herunder fortrolighed, og tage hensyn
til det aktuelle tekniske niveau, implementeringsomkostningerne i forhold til risikoen og ka-
rakteren af de personoplysninger, der skal beskyttes. Ved vurderingen af datasikkerhedsrisici
bør der tages hensyn til de risici, som behandling af oplysninger indebærer, såsom hændelig
eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse af eller adgang til per-
sonoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, og som navnlig
kan føre til fysisk, materiel eller immateriel skade. Den dataansvarlige og databehandleren bør
sikre, at behandlingen af personoplysninger ikke udføres af uautoriserede personer.
(61) Et brud på persondatasikkerheden kan, hvis det ikke håndteres på en passende og rettidig må-
de, påføre fysiske personer fysisk, materiel eller immateriel skade, såsom tab af kontrol over
deres personoplysninger eller begrænsning af deres rettigheder, forskelsbehandling, identitets-
tyveri eller -svig, finansielle tab, uautoriseret ophævelse af pseudonymisering, skade på om-
21
dømme, tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt, eller andre
væsentlige økonomiske eller sociale konsekvenser for den berørte fysiske person. Så snart den
dataansvarlige bliver bekendt med, at der er sket et brud på persondatasikkerheden, bør den
dataansvarlige derfor anmelde bruddet på persondatasikkerheden til tilsynsmyndigheden uden
unødig forsinkelse og om muligt inden for 72 timer efter, at denne er blevet bekendt med det,
medmindre den dataansvarlige i overensstemmelse med ansvarlighedsprincippet kan påvise, at
bruddet på persondatasikkerheden sandsynligvis ikke vil indebære en risiko for fysiske per-
soners rettigheder og frihedsrettigheder. Hvis en sådan anmeldelse ikke kan ske inden for 72
timer, bør den ledsages af en begrundelse for forsinkelsen, og oplysningerne kan gives trinvis
uden unødig yderligere forsinkelse.
(62) Fysiske personer bør uden unødig forsinkelse oplyses derom, når bruddet på persondatasikker-
heden sandsynligvis vil indebære en høj risiko for de fysiske personers rettigheder og friheds-
rettigheder, med henblik på at give dem mulighed for at træffe de nødvendige forholdsregler.
Underretningen bør beskrive karakteren af bruddet på persondatasikkerheden og indeholde an-
befalinger til den berørte fysiske person med henblik på at begrænse de mulige skadevirknin-
ger. Underretninger til registrerede bør gives, så snart det med rimelighed er muligt, i tæt sam-
arbejde med tilsynsmyndigheden og i overensstemmelse med retningslinjer, der er udstukket
af denne eller andre relevante myndigheder. Eksempelvis kræver behovet for at begrænse en
umiddelbar risiko for skade omgående underretning af de registrerede, mens behovet for at
gennemføre passende foranstaltninger mod fortsatte eller lignende brud på persondatasikkerhe-
den kan begrunde en længere frist for underretningen. Hvor det ikke er muligt at undgå, at der
lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller proce-
durer, at undgå, at forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af straf-
bare handlinger eller fuldbyrdelsen af strafferetlige sanktioner skades, at beskytte den offentli-
ge sikkerhed eller statens sikkerhed eller at beskytte andres rettigheder og frihedsrettigheder
ved at udsætte eller begrænse underretningen af brud på persondatasikkerheden til den berørte
fysiske person, kan denne underretning under særlige omstændigheder udelades.
(63) Den dataansvarlige bør udpege en person, der skal hjælpe denne med at overvåge, at de be-
stemmelser, der vedtages i henhold til dette direktiv, overholdes internt, medmindre en med-
lemsstat beslutter at fritage domstole og andre uafhængige judicielle myndigheder, når de ud-
fører deres judicielle opgaver. Denne person kan være en af den dataansvarliges eksisterende
medarbejdere, som har fået særlig uddannelse inden for databeskyttelsesret og -praksis for at
tilegne sig ekspertise på dette område. Den nødvendige ekspertise fastlægges navnlig i henhold
til den databehandling, der skal udføres, og den beskyttelse, der kræves for de personoplysnin-
ger, som den dataansvarlige behandler. Vedkommendes opgaver vil kunne udføres på deltid
eller fuldtid. Flere dataansvarlige kan udpege en fælles databeskyttelsesansvarlig i overens-
stemmelse med deres struktur og størrelse, for eksempel i tilfælde af fælles ressourcer i centra-
le enheder. Denne person kan også udpeges til forskellige stillinger i de berørte dataansvarli-
ges struktur. Denne person bør hjælpe den dataansvarlige og de medarbejdere, der behandler
personoplysninger, ved at oplyse og rådgive dem om opfyldelse af deres relevante databeskyt-
telsesforpligtelser. Disse databeskyttelsesrådgivere bør være i stand til at udøve deres opgaver
på uafhængig vis i henhold til medlemsstaternes nationale ret.
(64) Medlemsstaterne bør sikre, at overførsel af personoplysninger til et tredjeland eller til en inter-
national organisation kun sker, hvis det er nødvendigt for at forebygge, efterforske, afsløre el-
22
ler retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte
mod og forebygge trusler mod den offentlige sikkerhed, og at den dataansvarlige i det på-
gældende tredjeland eller den pågældende internationale organisation er en kompetent offent-
lig myndighed som defineret i dette direktiv. Der bør kun finde overførsel sted ved kompetente
myndigheder, der fungerer som dataansvarlige, medmindre databehandlere har fået udtrykkeli-
ge instrukser om overførsel på vegne af dataansvarlige. En sådan overførsel kan finde sted i de
tilfælde, hvor Kommissionen har afgjort, at det pågældende tredjeland eller den pågældende
internationale organisation sikrer et tilstrækkeligt beskyttelsesniveau, hvis der er indført de
fornødne garantier eller hvis der gælder undtagelser i særlige situationer. Når personoplysnin-
ger videregives fra Unionen til dataansvarlige, databehandlere eller andre modtagere i tredje-
lande eller til internationale organisationer, må det beskyttelsesniveau for fysiske personer,
som er fastsat i Unionen i medfør af dette direktiv, ikke undermineres, herunder i tilfælde af
videreoverførsel af personoplysninger fra tredjelandet eller den internationale organisation til
dataansvarlige eller databehandlere i det samme eller et andet tredjeland eller en anden interna-
tional organisation.
(65) Hvis der overføres personoplysninger fra en medlemsstat til tredjelande eller internationale or-
ganisationer, bør denne overførsel principielt kun finde sted, efter at den medlemsstat, hvor
oplysningerne blev indsamlet, har godkendt overførslen. Af hensyn til et effektivt samarbejde
på retshåndhævelsesområdet bør den kompetente myndighed være i stand til at overføre de re-
levante personoplysninger til det pågældende tredjeland eller den pågældende internationale
organisation uden en sådan forudgående godkendelse i tilfælde, hvor truslen mod den offentli-
ge sikkerhed i en medlemsstat eller et tredjeland eller mod en medlemsstats væsentlige interes-
ser er af en så hastende karakter, at det er umuligt at indhente en forudgående godkendelse i
tide. Medlemsstaterne bør fastsætte bestemmelser om, at alle særlige betingelser vedrørende
overførslen bør meddeles til tredjelande eller internationale organisationer. Videreoverførsel af
personoplysninger bør være genstand for forudgående godkendelse af den kompetente myn-
dighed, som foretog den oprindelige overførsel. Når der træffes afgørelse om en anmodning
om tilladelse til videreoverførsel, bør den kompetente myndighed, som foretog den oprindelige
overførsel, tage behørigt hensyn til alle relevante faktorer, herunder den strafbare handlings
grovhed, de særlige betingelser, der gælder for den oprindelige overførsel, og det formål, hvor-
til oplysningerne oprindeligt blev overført, karakteren af og betingelserne for fuldbyrdelsen af
den strafferetlige sanktion og beskyttelsesniveauet for personoplysninger i det tredjeland eller
den internationale organisation, som personoplysningerne videreoverføres til. Den kompetente
myndighed, som foretog den oprindelige overførsel, bør også kunne fastsætte særlige betingel-
ser for videreoverførselen. Sådanne særlige betingelser kan f.eks. beskrives i regler for be-
handling af oplysninger.
(66) Kommissionen bør med virkning for hele Unionen træffe afgørelse om, at visse tredjelande, et
område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation
har et tilstrækkeligt databeskyttelsesniveau, og dermed skabe retssikkerhed og ensartethed i
hele Unionen, hvad angår de tredjelande eller internationale organisationer, der vurderes at ha-
ve et sådant beskyttelsesniveau. I sådanne tilfælde bør personoplysninger kunne overføres til
disse lande uden yderligere godkendelse, undtagen når en anden medlemsstat, hvor oplysnin-
gerne blev indsamlet, skal godkende overførslen.
23
(67) I overensstemmelse med de grundlæggende værdier, som Unionen bygger på, navnlig beskyt-
telse af menneskerettighederne, bør Kommissionen i sin vurdering af et tredjeland eller et om-
råde eller en specifik sektor i et tredjeland tage hensyn til, hvordan et bestemt tredjeland efter-
lever retsstatsprincippet, klageadgang og domstolsprøvelse, internationale menneskerettig-
hedsnormer og -standarder samt sin generelle og sektorbestemte ret, herunder lovgivning ve-
drørende offentlig sikkerhed, forsvar, statens sikkerhed samt offentlig orden og strafferet. Når
der vedtages en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i et område eller en
specifik sektor i et tredjeland, bør der tages hensyn til klare og objektive kriterier, som f.eks.
specifikke behandlingsaktiviteter og anvendelsesområdet for gældende retsstandarder og lov-
givning i tredjelandet. Tredjelandet bør give garantier, der sikrer et passende beskyttelsesni-
veau, som i det væsentlige svarer til det, der sikres i Unionen, især når oplysninger behandles i
en eller flere specifikke sektorer. Tredjelandet bør navnlig sikre et effektivt og uafhængigt da-
tabeskyttelsestilsyn og bør fastlægge samarbejdsmekanismer med medlemsstaternes databe-
skyttelsesmyndigheder, og de registrerede bør have effektive rettigheder, som kan håndhæves,
og adgang til effektiv administrativ og retslig prøvelse.
(68) Ud over de internationale forpligtelser, som tredjelandet eller den internationale organisation
har indgået, bør Kommissionen også tage hensyn til forpligtelser, der følger af tredjelandets
eller den internationale organisations deltagelse i multilaterale eller regionale systemer, navn-
lig i forbindelse med beskyttelse af personoplysninger, samt gennemførelsen af sådanne for-
pligtelser. Der bør navnlig tages hensyn til tredjelandets tiltrædelse af Europarådets konventi-
on af 28. januar 1981 om beskyttelse af det enkelte menneske i forbindelse med elektronisk
databehandling af personoplysninger og tillægsprotokollen hertil. Kommissionen bør høre Det
Europæiske Databeskyttelsesråd oprettet ved forordning (EU) 2016/679 (»Databeskyttelsesrå-
det«), når den vurderer beskyttelsesniveauet i tredjelande eller internationale organisationer.
Kommissionen bør også tage hensyn til eventuelle kommissionsafgørelser om tilstrækkelighe-
den af beskyttelsesniveauet vedtaget i overensstemmelse med artikel 45 i forordning (EU)
2016/679.
(69) Kommissionen bør overvåge virkningen af afgørelser om beskyttelsesniveauet i et tredjeland,
et område eller en specifik sektor i et tredjeland eller en international organisation. I sine afgø-
relser om tilstrækkeligheden af beskyttelsesniveauet bør Kommissionen fastsætte en mekanis-
me for regelmæssig revision af afgørelsernes virkning. Denne regelmæssige revision bør fore-
tages i samråd med det pågældende tredjeland eller den pågældende internationale organisati-
on og tage hensyn til enhver relevant udvikling i tredjelandet eller den internationale organisa-
tion.
(70) Kommissionen bør også kunne fastslå, at et tredjeland, et område eller en specifik sektor i et
tredjeland, eller en international organisation ikke længere sikrer et tilstrækkeligt databeskyt-
telsesniveau. Overførsel af personoplysninger til et sådant tredjeland eller en sådan internatio-
nal organisation bør derfor forbydes, medmindre kravene i dette direktiv vedrørende overførsel
omfattet af fornødne garantier og undtagelser i særlige situationer, er opfyldt. Der bør fastlæg-
ges bestemmelser om en procedure for konsultationer mellem Kommissionen og sådanne tred-
jelande eller internationale organisationer. Kommissionen bør rettidigt underrette tredjelandet
eller den internationale organisation om årsagerne og indlede konsultationer med tredjelandet
eller den internationale organisation for at afhjælpe situationen.
24
(71) Overførsler, der ikke er baseret på en sådan afgørelse om tilstrækkeligheden af beskyttelsesni-
veauet, bør kun tillades, hvis der er givet de fornødne garantier i et juridisk bindende instru-
ment, der sikrer beskyttelsen af personoplysninger, eller hvis den dataansvarlige har vurderet
samtlige de forhold, der har indflydelse på overførslen, og på grundlag af denne vurdering
konkluderer, at de fornødne garantier for beskyttelsen af personoplysninger er til stede. Sådan-
ne juridisk bindende instrumenter kunne for eksempel være juridisk bindende bilaterale aftaler,
der er indgået af medlemsstaterne og gennemført i deres retsorden, og som kan håndhæves af
de registrerede i disse stater, og som sikrer, at databeskyttelseskravene og de registreredes ret-
tigheder opfyldes, herunder retten til effektiv administrativ eller retslig prøvelse. Den dataan-
svarlige bør ved vurderingen af samtlige forhold, der har indflydelse på overførslen, kunne
tage højde for samarbejdsaftaler, der er indgået mellem Europol eller Eurojust og tredjelande,
som tillader udveksling af personoplysninger. Den dataansvarlige bør også kunne tage højde
for, at overførslen af personoplysninger vil være underlagt tavshedspligt og omfattet af specia-
litetsprincippet, hvorved det sikres, at oplysningerne ikke bliver behandlet til andre formål end
formålene med overførslen. Desuden bør den dataansvarlige tage højde for, at personoplysnin-
gerne ikke vil blive anvendt til at kræve, idømme eller fuldbyrde dødsstraf eller nogen anden
form for grusom og umenneskelig behandling. Selv om disse betingelser kan betragtes som
værende fornødne garantier, der muliggør overførsel af oplysninger, bør den dataansvarlige
kunne kræve yderligere garantier.
(72) Hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller de
fornødne garantier ikke foreligger, kan en overførsel eller en kategori af overførsler kun finde
sted i særlige situationer, hvis det er nødvendigt for at beskytte den registreredes eller en anden
persons vitale interesser eller beskytte den registreredes legitime interesser, såfremt der er
hjemmel hertil i national ret i den medlemsstat, der overfører personoplysningerne, for at fore-
bygge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige
sikkerhed, eller i enkeltsager med henblik på at forebygge, efterforske, afsløre eller retsforføl-
ge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og
forebygge trusler mod den offentlige sikkerhed, eller i enkeltsager med henblik på at retskrav
kan fastlægges, gøres gældende eller forsvares. Disse undtagelser bør fortolkes restriktivt og
bør ikke give mulighed for hyppige, omfattende og strukturelle overførsler af per-
sonoplysninger eller omfattende overførsler af oplysninger, men bør begrænses til de oplysnin-
ger, der er strengt nødvendige. Sådanne overførsler bør dokumenteres og efter anmodning stil-
les til rådighed for tilsynsmyndigheden med henblik på at føre tilsyn med, om overførslen er
lovlig.
(73) Medlemsstaternes kompetente myndigheder anvender gældende bilaterale eller multilaterale
internationale aftaler, der er indgået med tredjelande om retligt samarbejde i straffesager og
politisamarbejde, til udveksling af relevante oplysninger, så de kan udføre de opgaver, der er
tildelt dem efter loven. Dette sker principielt via eller i det mindste i samarbejde med de myn-
digheder, der i de pågældende tredjelande er kompetente med henblik på dette direktiv, under-
tiden selv i mangel af en bilateral eller multilateral international aftale. I konkrete enkeltsager
kan de regelmæssige procedurer, der kræver kontakt med en sådan myndighed i tredjelandet,
være ineffektive eller uhensigtsmæssige, navnlig fordi overførslen ikke kunne gennemføres
rettidigt, eller fordi den nævnte myndighed i tredjelandet ikke respekterer retsstatsprincippet
eller internationale menneskerettighedsnormer og -standarder, således at medlemsstaternes
kompetente myndigheder kan beslutte at overføre personoplysninger direkte til modtagere i
disse tredjelande. Dette kan være tilfældet, hvis der er akut behov for at overføre personoplys-
25
ninger for at redde en persons liv, som er i fare for at blive offer for en strafbar handling, eller
for at forhindre en nært forestående forbrydelse, herunder terrorisme. Selv om en sådan over-
førsel mellem kompetente myndigheder og modtagere i tredjelande kun bør finde sted i kon-
krete enkeltsager, bør dette direktiv fastsætte betingelser for regulering af sådanne tilfælde.
Disse bestemmelser bør ikke betragtes som værende undtagelser fra eksisterende bilaterale el-
ler multilaterale internationale aftaler om retligt samarbejde i straffesager og politisamarbejde.
Disse regler bør finde anvendelse som supplement til de andre regler i dette direktiv, navnlig
reglerne om lovlig behandling af personoplysninger og reglerne i kapitel V.
(74) Når personoplysninger overføres på tværs af grænser, kan det medføre yderligere risici for fy-
siske personers mulighed for at udøve deres databeskyttelsesrettigheder for at beskytte sig mod
ulovlig brug eller videregivelse af disse oplysninger. Samtidig må tilsynsmyndighederne i nog-
le tilfælde konstatere, at de ikke kan følge op på klager eller foretage undersøgelser vedrørende
aktiviteter uden for deres grænser. Samarbejdet på tværs af grænserne kan også hæmmes af
utilstrækkelige forebyggende eller afhjælpende beføjelser og uensartede retlige ordninger. Der
er derfor behov for at fremme tættere samarbejde mellem datatilsynsmyndigheder, så de bedre
kan udveksle oplysninger med de tilsvarende udenlandske organer.
(75) Oprettelse af tilsynsmyndigheder i medlemsstaterne, som kan udøve deres hverv i fuld uaf-
hængighed, har afgørende betydning for beskyttelse af fysiske personer i forbindelse med be-
handling af personoplysninger. Tilsynsmyndighederne bør føre tilsyn med anvendelsen af de
bestemmelser, der vedtages i henhold til dette direktiv, og bidrage til en ensartet anvendelse i
hele Unionen med det formål at beskytte fysiske personer i forbindelse med behandlingen af
deres personoplysninger. Med henblik herpå bør tilsynsmyndighederne samarbejde med hinan-
den og med Kommissionen.
(76) Medlemsstaterne kan overdrage ansvaret for de opgaver, som skal udføres af de nationale til-
synsmyndigheder, der oprettes i henhold til dette direktiv, til en tilsynsmyndighed, der allerede
er oprettet i henhold til forordning (EU) 2016/679.
(77) Medlemsstaterne bør kunne oprette mere end én tilsynsmyndighed for at afspejle deres forfat-
ningsmæssige, organisatoriske og administrative struktur. Hver tilsynsmyndighed bør have de
nødvendige finansielle og menneskelige ressourcer, samt lokaler og infrastrukturer til effektivt
at kunne udføre sine opgaver, herunder opgaver vedrørende gensidig bistand og samarbejde
med andre tilsynsmyndigheder i hele Unionen. Hver tilsynsmyndighed bør have et separat of-
fentligt årligt budget, der kan indgå i det samlede statsbudget eller nationale budget.
(78) Tilsynsmyndighederne bør være underlagt uafhængige kontrol- eller overvågningsmekanis-
mer, hvad angår deres finansielle udgifter, forudsat at sådan finansiel kontrol ikke påvirker de-
res uafhængighed.
(79) De generelle betingelser for tilsynsmyndighedens medlem eller medlemmer bør fastsættes ved
medlemsstaternes nationale ret og bør navnlig fastsætte, at disse medlemmer udnævnes af en-
ten parlamentet eller regeringen eller statschefen i den pågældende medlemsstat på grundlag af
et forslag fra regeringen eller et medlem af regeringen eller parlamentet eller et kammer i par-
lamentet eller af et uafhængigt organ, der i henhold til medlemsstaternes nationale ret har be-
myndigelse til udnævnelsen ved en gennemsigtig procedure. For at sikre tilsynsmyndighedens
26
uafhængighed bør medlemmet eller medlemmerne handle med integritet, afholde sig fra enh-
ver handling, der er uforenelig med deres hverv, og ikke, så længe deres embedsperiode varer,
udøve uforenelig lønnet eller ulønnet virksomhed. For at sikre tilsynsmyndighedens uafhæn-
gighed bør personalet udvælges af tilsynsmyndigheden, eventuelt med medvirken af et uaf-
hængigt organ, der har fået bemyndigelse hertil i henhold til medlemsstaternes nationale ret.
(80) Selv om dette direktiv også finder anvendelse på de nationale domstoles og andre judicielle
myndigheders aktiviteter, bør tilsynsmyndighedernes kompetence ikke omfatte behandling af
personoplysninger, når domstole handler i deres egenskab af domstol, for at sikre dommernes
uafhængighed under udførelsen af deres judicielle opgaver. Denne undtagelse bør begrænses
til retlige aktiviteter i forbindelse med retssager og ikke gælde for andre aktiviteter, hvori dom-
mere kan deltage i henhold til medlemsstaternes nationale ret. Medlemsstaterne bør også kun-
ne fastsætte bestemmelser om, at tilsynsmyndighedens kompetence ikke omfatter andre uaf-
hængige judicielle myndigheders behandling af personoplysninger, når de udfører deres judici-
elle opgaver, f.eks. anklagemyndigheden. Under alle omstændigheder er domstolenes og andre
uafhængige judicielle myndigheders overholdelse af reglerne i dette direktiv altid underlagt en
uafhængig myndigheds kontrol i overensstemmelse med chartrets artikel 8, stk. 3.
(81) Hver tilsynsmyndighed bør behandle klager, der indgives af registrerede, og undersøge sagen
eller videresende den til den kompetente myndighed. Undersøgelsen af en klage bør foretages i
det omfang det er passende i det specifikke tilfælde, med forbehold af domstolskontrol. Til-
synsmyndigheden bør underrette den registrerede om forløbet og resultatet af klagen inden for
en rimelig frist. Hvis sagen kræver yderligere undersøgelse eller koordinering med en anden
tilsynsmyndighed, bør den registrerede undervejs underrettes herom.
(82) For at sikre effektiv, pålidelig og ensartet tilsyn med overholdelse og håndhævelse af dette di-
rektiv i hele Unionen i henhold til TEUF som fortolket af Domstolen bør tilsynsmyndigheder-
ne i hver medlemsstat have samme opgaver og effektive beføjelser, herunder undersøgelsesbe-
føjelser, korrigerende beføjelser og rådgivningsbeføjelser, som udgør nødvendige midler for
udførelsen af deres opgaver. Disse myndigheders beføjelser bør imidlertid ikke gribe ind i de
særlige regler for straffesager, herunder efterforskning og retsforfølgning af strafbare handlin-
ger, eller i retsvæsnets uafhængighed. Uden at dette berører de retsforfølgende myndigheders
beføjelser i henhold til medlemsstaternes nationale ret, bør tilsynsmyndigheder også have be-
føjelse til at indbringe overtrædelser af dette direktiv for de judicielle myndigheder eller delta-
ge i retssager. Tilsynsmyndighedernes beføjelser bør udøves i overensstemmelse med de for-
nødne retssikkerhedsgarantier, der er fastsat i EU-retten og medlemsstaternes nationale ret,
uvildigt, retfærdigt og inden for en rimelig frist. Hver foranstaltning bør navnlig være passen-
de, nødvendig og forholdsmæssig for at sikre overholdelsen af dette direktiv, idet der tages
hensyn til omstændighederne i hver enkelt sag, bør overholde enhver persons ret til at blive
hørt, inden der træffes en individuel foranstaltning, som vil berøre den pågældende person ne-
gativt, og undgå overflødige udgifter og urimelige ulemper for denne person. Hvad angår ad-
gang til lokaliteter bør undersøgelsesbeføjelserne udøves i henhold til særlige krav i medlems-
staternes nationale ret, f.eks. kravet om en forudgående retskendelse. Vedtagelsen af en
juridisk bindende afgørelse bør være underlagt domstolskontrol i medlemsstaten for den til-
synsmyndighed, der har vedtaget afgørelsen.
27
(83) Tilsynsmyndighederne bør bistå hinanden i forbindelse med udførelsen af deres opgaver og
yde gensidig bistand for at sikre ensartet anvendelse og håndhævelse af de bestemmelser, der
vedtages i henhold til dette direktiv.
(84) Databeskyttelsesrådet bør bidrage til en ensartet anvendelse af dette direktiv i hele Unionen,
herunder ved at rådgive Kommissionen og fremme samarbejdet mellem tilsynsmyndighederne
i hele Unionen.
(85) Enhver registreret bør have ret til at indgive klage til en enkelt tilsynsmyndighed og have ad-
gang til effektive retsmidler i overensstemmelse med artikel 47 i chartret, hvis den registrerede
finder, at vedkommendes rettigheder i medfør af de bestemmelser, der vedtages i henhold til
dette direktiv, er blevet krænket, eller hvis tilsynsmyndigheden ikke reagerer på en klage, del-
vist eller helt afslår eller afviser en klage eller ikke handler, hvis handling er nødvendig for at
beskytte den registreredes rettigheder. Undersøgelse af en klage bør foretages i det omfang, det
er passende i det specifikke tilfælde, med forbehold af domstolskontrol. Den kompetente til-
synsmyndighed bør underrette den registrerede om forløbet og resultatet af klagen inden for en
rimelig frist. Hvis sagen kræver yderligere undersøgelse eller koordinering med en anden til-
synsmyndighed, bør den registrerede undervejs underrettes herom. For at lette indgivelsen af
klager bør hver tilsynsmyndighed træffe foranstaltninger som f.eks. at tilbyde en klageformu-
lar, der også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmidler.
(86) Enhver fysisk eller juridisk person bør have adgang til effektive retsmidler ved den kompeten-
te nationale domstol til prøvelse af en tilsynsmyndigheds afgørelse, som har retsvirkninger for
denne person. En sådan afgørelse vedrører navnlig tilsynsmyndighedens udøvelse af undersø-
gelsesbeføjelser, korrigerende beføjelser og godkendelsesbeføjelser eller afslag eller afvisning
af klager. Denne ret omfatter dog ikke andre foranstaltninger truffet af tilsynsmyndigheder, der
ikke er juridisk bindende, som f.eks. udtalelser eller rådgivning fra tilsynsmyndigheden. En
sag mod en tilsynsmyndighed bør anlægges ved domstolene i den medlemsstat, hvor tilsyns-
myndigheden er etableret, og bør føres i henhold til medlemsstatens nationale ret. Disse dom-
stole bør have fuld jurisdiktion, herunder jurisdiktion til at undersøge alle de faktiske og retlige
omstændigheder, der er relevante for den tvist, som de får forelagt.
(87) Hvis en registreret finder, at vedkommendes rettigheder i henhold til dette direktiv er blevet
krænket, bør den pågældende have ret til at give et organ, der er etableret i henhold til med-
lemsstaternes nationale ret, og som har til formål at beskytte registreredes rettigheder og inte-
resser i forbindelse med beskyttelsen af deres personoplysninger, bemyndigelse til på vedkom-
mendes vegne at indgive en klage til en tilsynsmyndighed og udøve adgangen til retsmidler.
Registreredes ret til at være repræsenteret bør ikke berøre medlemsstaternes nationale retsple-
jeregler, som vil kunne kræve obligatorisk repræsentation af registrerede ved en advokat som
defineret i Rådets direktiv 77/249/EØF (10) for en national domstol.
(88) Personer, der måtte lide skade som følge af en behandling, der overtræder de bestemmelser,
der vedtages i henhold til dette direktiv, bør have ret til erstatning fra den dataansvarlige eller
en hvilken som helst anden myndighed, der er kompetent i henhold til medlemsstaternes natio-
nale ret. Begrebet »skade« bør fortolkes bredt i lyset af retspraksis ved Domstolen, således at
det fuldt ud afspejler formålene for dette direktiv. Dette berører ikke eventuelle erstatningskrav
for skade som følge af overtrædelse af andre bestemmelser i EU-retten eller medlemsstaternes
28
nationale ret. Når der henvises til en behandling, der er ulovlig eller overtræder dette direktiv,
omfatter det også behandling, der overtræder de gennemførelsesretsakter, der er vedtaget i
henhold til dette direktiv. Registrerede bør have fuld erstatning for den skade, de har lidt.
(89) Sanktioner bør kunne pålægges fysiske eller juridiske personer, der overtræder dette direktiv,
uanset om de henhører under privat- eller offentligretlig lovgivning. Medlemsstaterne bør sik-
re, at sanktionerne er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende
virkning, og bør træffe alle nødvendige foranstaltninger til at gennemføre sanktionerne.
(90) For at sikre ensartede betingelser for gennemførelsen af dette direktiv bør Kommissionen til-
lægges gennemførelsesbeføjelser, for så vidt angår det tilstrækkelige databeskyttelsesniveau,
der skal sikres af et tredjeland, et område eller en specifik sektor i dette tredjeland, eller en
international organisation, og formatet og procedurerne for gensidig bistand og ordningerne
for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder og mellem tilsynsmyn-
digheder og Databeskyttelsesrådet. Disse beføjelser bør udøves i overensstemmelse med Euro-
pa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (11).
(91) Undersøgelsesproceduren bør anvendes til at vedtage gennemførelsesretsakter om det tilstræk-
kelige databeskyttelsesniveau, der skal sikres af et tredjeland eller et område eller en specifik
sektor i dette tredjeland, eller en international organisation og om formatet og procedurerne for
gensidig bistand og ordningerne for elektronisk udveksling af oplysninger mellem tilsynsmyn-
digheder og mellem tilsynsmyndigheder og Databeskyttelsesrådet, eftersom disse retsakter er
af generel karakter.
(92) Kommissionen bør vedtage gennemførelsesretsakter, der finder anvendelse straks, når det er
påkrævet i behørigt begrundede særligt hastende tilfælde vedrørende et tredjeland, et område
eller en specifik sektor i dette tredjeland, eller en international organisation, som ikke længere
sikrer et tilstrækkeligt beskyttelsesniveau.
(93) Målene for dette direktiv, nemlig at beskytte fysiske personers grundlæggende rettigheder og
frihedsrettigheder, herunder navnlig deres ret til beskyttelse af personoplysninger og fri ud-
veksling af personoplysninger mellem de kompetente myndigheder i Unionen, kan ikke i til-
strækkelig grad opfyldes af medlemsstaterne, men kan på grund af den foreslåede handlings
omfang og virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i
overensstemmelse med nærhedsprincippet, jf. artikel 5 i TEU. I overensstemmelse med pro-
portionalitetsprincippet, jf. nævnte artikel, går dette direktiv ikke videre, end hvad der er nød-
vendigt for at nå disse mål.
(94) Specifikke bestemmelser i EU-retsakter, der er vedtaget inden for området retligt samarbejde i
straffesager og politisamarbejde, og som er vedtaget før datoen for vedtagelsen af dette direk-
tiv, og som regulerer behandlingen af personoplysninger mellem medlemsstater og medlems-
staters udpegede myndigheders adgang til informationssystemer, der er udviklet i medfør af
traktaterne, bør finde uændret anvendelse, såsom f.eks. de særlige bestemmelser vedrørende
beskyttelse af personoplysninger, der finder anvendelse i henhold til Rådets afgørelse
2008/615/RIA (12), eller artikel 23 i konventionen om gensidig retshjælp i straffesager mellem
Den Europæiske Unions medlemsstater (13). Eftersom chartrets artikel 8 og artikel 16 i TEUF
kræver, at den grundlæggende ret til beskyttelse af personoplysninger bør sikres på en ensartet
29
måde i hele Unionen, bør Kommissionen se nærmere på forholdet mellem direktivet og retsak-
ter, der er vedtaget før vedtagelsen af dette direktiv, og som regulerer behandlingen af per-
sonoplysninger mellem medlemsstater eller medlemsstaters udpegede myndigheders adgang til
informationssystemer, der er udviklet i medfør af traktaterne, med det formål at vurdere, om
der er behov for at tilpasse disse særlige bestemmelser til direktivet. Hvor det er hensigtsmæs-
sigt, bør Kommissionen fremsætte forslag med henblik på at sikre ensartede retsregler vedrø-
rende behandling af personoplysninger.
(95) For at sikre en overordnet og sammenhængende beskyttelse af personoplysninger i Unionen
bør internationale aftaler, der er indgået af medlemsstaterne inden datoen for dette direktivs
ikrafttræden og som overholder relevant EU-ret, der er gældende inden denne dato, forblive i
kraft, indtil de bliver ændret, erstattet eller ophævet.
(96) Medlemsstaterne bør have en frist på højst to år fra datoen for dette direktivs ikrafttræden til at
gennemføre det. Behandlinger, der allerede er iværksat på denne dato, bør bringes i overens-
stemmelse med dette direktiv senest to år efter dette direktivs ikrafttræden. Hvis en sådan be-
handling imidlertid overholder den EU-ret, der er gældende inden datoen for dette direktivs
ikrafttræden, bør kravene i dette direktiv om forudgående høring af tilsynsmyndigheden ikke
finde anvendelse på de behandlingsaktiviteter, der allerede var iværksat på denne dato, idet
disse krav i sagens natur skal opfyldes forud for behandlingen. Hvis medlemsstaterne anvender
den længere gennemførelsesperiode, som udløber syv år efter datoen for dette direktivs ikraft-
træden, til at opfylde logningsforpligtelserne for automatiske databehandlingssystemer, der er
oprettet inden denne dato, bør den dataansvarlige eller databehandleren have indført effektive
metoder til at påvise, at databehandlingen er lovlig, til at udøve egenkontrol og til at sikre data-
integriteten og datasikkerheden, såsom logning eller andre former for fortegnelser.
(97) Nærværende direktiv påvirker ikke bestemmelserne om bekæmpelse af seksuelt misbrug og
seksuel udnyttelse af børn og børnepornografi i Europa-Parlamentets og Rådets direktiv
2011/93/EU (14).
(98) Rammeafgørelse 2008/977/RIA bør derfor ophæves.
(99) I medfør af artikel 6a i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling, for så
vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til TEU og
TEUF, er Det Forenede Kongerige og Irland ikke bundet af regler fastsat i dette direktiv ve-
drørende medlemsstaternes behandling af personoplysninger under udøvelsen af aktiviteter,
der er omfattet af tredje del, afsnit V, kapitel 4 eller 5, i TEUF, når Det Forenede Kongerige og
Irland ikke er bundet af regler vedrørende former for strafferetligt samarbejde eller politisam-
arbejde, der kræver overholdelse af de bestemmelser, der er fastsat på grundlag af artikel 16 i
TEUF.
(100) I medfør af artikel 2 og 2a i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til
TEU og TEUF, er de regler, der er fastsat i dette direktiv, vedrørende medlemsstaternes be-
handling af personoplysninger under udøvelsen af aktiviteter, der er omfattet af tredje del, af-
snit V, kapitel 4 eller 5, i TEUF, ikke bindende for og finder ikke anvendelse i Danmark. Da
dette direktiv udbygger Schengenreglerne efter bestemmelserne i tredje del, afsnit V, i TEUF,
skal Danmark i henhold til artikel 4 i nævnte protokol inden seks måneder efter direktivets
30
vedtagelse træffe afgørelse om, hvorvidt det vil gennemføre direktivet i sin nationale lovgiv-
ning.
(101) For så vidt angår Island og Norge, udgør dette direktiv en udvikling af bestemmelser i Schen-
genreglerne, jf. aftalen indgået mellem Rådet for Den Europæiske Union og Republikken Is-
land og Kongeriget Norge om disse to staters associering i gennemførelsen, anvendelsen og
udviklingen af Schengenreglerne (15).
(102) For så vidt angår Schweiz, udgør dette direktiv en udvikling af bestemmelser i Schengenreg-
lerne, jf. aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schwei-
ziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og
udviklingen af Schengenreglerne (16).
(103) For så vidt angår Liechtenstein, udgør dette direktiv en udvikling af bestemmelser i Schen-
genreglerne, jf. protokollen mellem Den Europæiske Union, Det Europæiske Fællesskab, Det
Schweiziske Forbund og Fyrstendømmet Liechtenstein om Fyrstendømmet Liechtensteins til-
trædelse af aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det
Schweiziske Forbund om dette lands associering i gennemførelsen, anvendelsen og udviklin-
gen af Schengenreglerne (17).
(104) I dette direktiv overholdes de grundlæggende rettigheder og principper, der anerkendes i
chartret som forankret i TEUF, navnlig retten til respekt for privatliv og familieliv, retten til
beskyttelse af personoplysninger og adgang til effektive retsmidler og til en retfærdig retter-
gang. I overensstemmelse med chartrets artikel 52, stk. 1, kan der indføres begrænsninger i
udøvelsen af disse rettigheder, såfremt de er nødvendige for at nå mål af almen interesse, der
er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og frihedsrettig-
heder.
(105) I henhold til den fælles politiske erklæring af 28. september 2011 fra medlemsstaterne og
Kommissionen om forklarende dokumenter har medlemsstaterne forpligtet sig til i tilfælde,
hvor det er berettiget, at lade meddelelsen af gennemførelsesforanstaltninger ledsage af et el-
ler flere dokumenter, der forklarer forholdet mellem et direktivs bestanddele og de tilsvaren-
de dele i de nationale gennemførelsesforanstaltninger. Lovgiver finder fremsendelse af sådan-
ne dokumenter velbegrundet i forbindelse med dette direktiv.
(106) Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med
artikel 28, stk. 2, i forordning (EF) nr. 45/2001 og afgav en udtalelse den 7. marts 2012 (18).
(107) Dette direktiv bør ikke forhindre medlemsstaterne i at gennemføre bestemmelserne om
udøvelsen af registreredes ret til oplysninger, retten til indsigt i og berigtigelse, sletning og
begrænsning af behandling under en straffesag, samt mulige begrænsninger heraf i deres nati-
onale regler om strafferetspleje —
31
VEDTAGET DETTE DIREKTIV:
KAPITEL I
Generelle bestemmelser
Artikel 1
Genstand og formål
1. I dette direktiv fastsættes regler om beskyttelse af fysiske personer i forbindelse med de kompetente
myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller
retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod eller
forebygge trusler mod den offentlige sikkerhed.
2. Medlemsstaterne sikrer i overensstemmelse med dette direktiv:
a) at fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til be-
skyttelse af personoplysninger, beskyttes, og
b) at udvekslingen af personoplysninger mellem kompetente myndigheder i Unionen, hvor en så-
dan udveksling kræves i henhold til EU-retten eller medlemsstaternes nationale ret, hverken ind-
skrænkes eller forbydes af grunde, der vedrører beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger.
3. Dette direktiv forhindrer ikke medlemsstaterne i at fastsætte højere standarder end dem, der er fastsat i
dette direktiv, for beskyttelse af den registreredes rettigheder og frihedsrettigheder med hensyn til kompe-
tente myndigheders behandling af personoplysninger.
Artikel 2
Anvendelsesområde
1. Dette direktiv finder anvendelse på kompetente myndigheders behandling af personoplysninger med
henblik på artikel 1, stk. 1.
2. Dette direktiv finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved
hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er
eller vil blive indeholdt i et register.
3. Dette direktiv gælder ikke for behandling af personoplysninger:
a) under udøvelse af aktiviteter, der falder uden for EU-retten
b) af EU-institutioner, -organer, -kontorer og -agenturer.
Artikel 3
Definitioner
I dette direktiv forstås ved:
1) »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk per-
son (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indi-
rekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokalise-
32
ringsdata, en online-identifikator eller et eller flere elementer, der er særlige for denne fysiske persons
fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet
2) »behandling«: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behand-
ling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsam-
ling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søg-
ning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammen-
stilling eller samkøring, begrænsning, sletning eller tilintetgørelse
3) »begrænsning af behandling«: mærkning af opbevarede personoplysninger med den hensigt at be-
grænse fremtidig behandling af disse oplysninger
4) »profilering«: enhver form for automatisk behandling af personoplysninger, der består i at anvende
personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at
analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation,
helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk position eller bevægelser
5) »pseudonymisering«: behandling af personoplysninger på en sådan måde, at personoplysningerne ik-
ke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at så-
danne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstalt-
ninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk per-
son
6) »register«: enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriteri-
er, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på funktionsbestemt eller geo-
grafisk grundlag
7) »kompetent myndighed«:
a) enhver offentlig myndighed, der er kompetent med hensyn til at forebygge, efterforske, afsløre
eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte
mod og forebygge trusler mod den offentlige sikkerhed, eller
b) ethvert andet organ eller enhver anden enhed, som i henhold til medlemsstaternes nationale ret
udøver offentlig myndighed og offentlige beføjelser med henblik på at forebygge, efterforske,
afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder
beskytte mod og forebygge trusler mod den offentlige sikkerhed
8) »dataansvarlig«: den kompetente myndighed, der alene eller sammen med andre afgør, til hvilke for-
mål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og
hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan
den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller med-
lemsstaternes nationale ret
9) »databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet
organ, der behandler personoplysninger på den dataansvarliges vegne
10) »modtager«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet or-
gan, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej. Offentlige myndighe-
der, som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel i henhold til medlems-
staternes nationale ret, anses dog ikke for modtagere; de offentlige myndigheders behandling af disse op-
lysninger skal overholde de gældende databeskyttelsesregler afhængigt af formålet med behandlingen
33
11) »brud på persondatasikkerheden«: et brud på sikkerheden, der fører til hændelig eller ulovlig tilin-
tetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitte-
ret, opbevaret eller på anden måde behandlet
12) »genetiske data«: personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske
karakteristika, som giver entydig information om den fysiske persons fysiologi eller helbred, og som
navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person
13) »biometriske data«: personoplysninger, der som følge af specifik teknisk behandling vedrørende en
fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en enty-
dig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger
14) »helbredsoplysninger«: personoplysninger, der vedrører en fysisk persons fysiske eller mentale hel-
bred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstil-
stand
15) »tilsynsmyndighed«: en uafhængig offentlig myndighed, der er etableret i en medlemsstat i henhold
til artikel 41
16) »international organisation«: en folkeretlig organisation og organer, der er underordnet den, samt
ethvert andet organ, der er oprettet ved eller med hjemmel i en aftale mellem to eller flere lande.
KAPITEL II
Principper
Artikel 4
Principper for behandling af personoplysninger
1. Medlemsstaterne fastsætter bestemmelser om, at personoplysninger skal:
a) behandles lovligt og rimeligt
b) indsamles til udtrykkeligt angivne og legitime formål og ikke behandles på en måde, der er ufor-
enelig med disse formål
c) være tilstrækkelige, relevante og ikke omfatte mere end, hvad der kræves til opfyldelse af de for-
mål, hvortil de behandles
d) være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at
personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller
berigtiges
e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tids-
rum end det, der er nødvendigt til de formål, hvortil de behandles
f) behandles på en måde, der sikrer en tilstrækkelig sikkerhed for de pågældende personoplysnin-
ger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilin-
tetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foran-
staltninger.
34
2. Behandling, der foretages af den samme eller en anden dataansvarlig til et andet formål omfattet af
artikel 1, stk. 1, end det, hvortil personoplysningerne er indsamlet, er tilladt i det omfang:
a) den dataansvarlige er bemyndiget til at behandle sådanne personoplysninger til et sådant formål i
overensstemmelse med EU-retten eller medlemsstaternes nationale ret, og
b) behandlingen er nødvendig for og forholdsmæssig i forhold til dette andet formål i overensstem-
melse med EU-retten eller medlemsstaternes nationale ret.
3. Behandling, der foretages af den samme eller en anden dataansvarlig, kan omfatte behandling til arkiv-
formål i samfundets interesse eller til videnskabelig, statistisk eller historisk brug med henblik på artikel
1, stk. 1, forudsat at behandlingen er omfattet af de fornødne garantier for den registreredes rettigheder og
frihedsrettigheder.
4. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1, 2 og 3 overholdes.
Artikel 5
Tidsfrister for opbevaring og revision
Medlemsstaterne fastsætter bestemmelser om, at der skal fastsættes hensigtsmæssige tidsfrister for slet-
ning af personoplysninger eller for regelmæssig revision af behovet for opbevaring af personoplysninger.
Det sikres ved proceduremæssige foranstaltninger, at disse tidsfrister overholdes.
Artikel 6
Sondring mellem forskellige kategorier af registrerede
Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige, hvor det er relevant og så vidt mu-
ligt, klart sondrer mellem personoplysninger om forskellige kategorier af registrerede såsom:
a) personer, om hvem der er væsentlig grund til at tro, at de har begået eller vil begå en strafbar
handling
b) personer, der er dømt for en strafbar handling
c) ofre for en strafbar handling eller personer, om hvem visse faktiske omstændigheder giver anled-
ning til at tro, at de kunne blive offer for en strafbar handling, og
d) andre parter i forbindelse med en strafbar handling, såsom personer, der kan blive indkaldt som
vidner i efterforskninger i forbindelse med strafbare handlinger eller i efterfølgende straffesager,
personer, der kan tilvejebringe oplysninger om strafbare handlinger, eller kontakt- eller ledsage-
personer for en af de i litra a) og b) omhandlede personer.
Artikel 7
Sondring mellem personoplysninger og kontrol med kvaliteten af personoplysninger
1. Medlemsstaterne fastsætter bestemmelser om, at der så vidt muligt skal sondres mellem personoplys-
ninger, der bygger på faktiske omstændigheder, og personoplysninger, der bygger på personlige vurderin-
ger.
35
2. Medlemsstaterne fastsætter bestemmelser om, at de kompetente myndigheder iværksætter alle rimelige
tiltag for at sikre, at personoplysninger, som er urigtige, ufuldstændige eller ikke ajourførte, ikke videregi-
ves eller stilles til rådighed. Med henblik herpå kontrollerer hver kompetent myndighed, så vidt det er
praktisk muligt, kvaliteten af personoplysninger, før disse videregives eller stilles til rådighed. I forbindel-
se med al videregivelse af personoplysninger skal nødvendige oplysninger, der gør det muligt for den
modtagende kompetente myndighed at vurdere, i hvor høj grad personoplysningerne er rigtige, fuldstæn-
dige og pålidelige, og i hvilket omfang de er ajourførte, så vidt muligt tilføjes.
3. Hvis det konstateres, at der er videregivet urigtige personoplysninger, eller at personoplysninger er vi-
deregivet ulovligt, skal dette straks meddeles modtageren. I så fald skal personoplysningerne berigtiges
eller slettes, eller behandling skal begrænses i overensstemmelse med artikel 16.
Artikel 8
Lovlig behandling
1. Medlemsstaterne fastsætter bestemmelser om, at behandling kun er lovlig, hvis og i det omfang denne
behandling er nødvendig, for at en kompetent myndighed kan udføre en opgave med henblik på artikel 1,
stk. 1, og at den sker på grundlag af EU-retten eller medlemsstaternes nationale ret.
2. Medlemsstaternes nationale ret, der regulerer behandling inden for dette direktivs anvendelsesområde,
skal som minimum angive målene med behandling, de personoplysninger, der skal behandles, og formå-
lene med behandlingen.
Artikel 9
Særlige betingelser for behandling
1. Personoplysninger indsamlet af kompetente myndigheder med henblik på artikel 1, stk. 1, må ikke be-
handles til andre formål end med henblik på artikel 1, stk. 1, medmindre en sådan behandling er hjemlet i
EU-retten eller medlemsstaternes nationale ret. Hvis personoplysninger behandles til disse andre formål,
finder forordning (EU) 2016/679 anvendelse, medmindre behandlingen udføres i forbindelse med en akti-
vitet, der falder uden for EU-rettens anvendelsesområde.
2. Hvis kompetente myndigheder i henhold til medlemsstaternes nationale ret har fået overdraget andre
opgaver end dem, der udføres med henblik på artikel 1, stk. 1, finder forordning (EU) 2016/679 anvendel-
se på behandling til disse formål, herunder til arkivformål i samfundets interesse, til videnskabelige eller
historiske forskningsformål eller til statistiske formål, medmindre behandlingen udføres i forbindelse med
en aktivitet, der falder uden for EU-rettens anvendelsesområde.
3. Medlemsstaterne fastsætter bestemmelser om, at den videregivende kompetente myndighed, hvis EU-
retten eller medlemsstaternes nationale ret, der finder anvendelse på den videregivende kompetente myn-
dighed, fastsætter særlige vilkår for behandling, underretter modtageren af sådanne personoplysninger om
disse vilkår og kravet om at overholde dem.
4. Medlemsstaterne fastsætter bestemmelser om, at den videregivende kompetente myndighed ikke an-
vender andre vilkår, jf. stk. 3, på modtagere i andre medlemsstater eller på agenturer, kontorer og organer,
der er oprettet i henhold til afsnit V, kapitel 4 og 5, i TEUF, end de vilkår, der gælder for lignende videre-
givelser af oplysninger inden for den medlemsstat, hvor den videregivende kompetente myndighed er be-
liggende.
36
Artikel 10
Behandling af særlige kategorier af personoplysninger
Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbe-
visning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med
det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk
persons seksuelle forhold eller seksuelle orientering må kun tillades, når det er strengt nødvendigt, forud-
sat at behandlingen er omfattet af de fornødne garantier for den registreredes rettigheder og frihedsrettig-
heder, og kun:
a) hvis hjemlet i EU-retten eller medlemsstaternes nationale ret
b) for at beskytte den registreredes eller en anden fysisk persons vitale interesser, eller
c) hvis denne behandling vedrører oplysninger, som tydeligvis er offentliggjort af den registrerede.
Artikel 11
Automatiske individuelle afgørelser
1. Medlemsstaterne fastsætter bestemmelser om, at en afgørelse, der alene er baseret på automatisk be-
handling, herunder profilering, som har negativ retsvirkning for den registrerede eller betydeligt påvirker
den pågældende, er forbudt, medmindre den er hjemlet i EU-retten eller medlemsstaternes nationale ret,
som den dataansvarlige er underlagt, og som fastsætter de fornødne garantier for den registreredes rettig-
heder og frihedsrettigheder, i det mindste den registreredes ret til menneskelig indgriben fra den dataan-
svarliges side.
2. De afgørelser, der er omhandlet i nærværende artikels stk. 1, må ikke baseres på særlige kategorier af
personoplysninger, jf. artikel 10, medmindre der er indført passende foranstaltninger til beskyttelse af den
registreredes rettigheder og frihedsrettigheder samt legitime interesser.
3. Profilering, der fører til forskelsbehandling af fysiske personer på grundlag af særlige kategorier af per-
sonoplysninger, jf. artikel 10, er forbudt i henhold til EU-retten.
KAPITEL III
Den registreredes rettigheder
Artikel 12
Meddelelser og nærmere regler for udøvelse af den registreredes rettigheder
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal iværksætte rimelige tiltag for
at give enhver oplysning som omhandlet i artikel 13 og enhver meddelelse som omhandlet i artikel 11,
14-18 og 31 om behandling til den registrerede i en kortfattet, letforståelig og lettilgængelig form og i et
klart og enkelt sprog. Oplysningerne gives på enhver hensigtsmæssig måde, herunder ved hjælp af elek-
troniske midler. Som hovedregel skal den dataansvarlige give oplysningerne i samme form som anmod-
ningen.
2. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal lette udøvelsen af den regi-
streredes rettigheder i medfør af artikel 11 og 14-18.
37
3. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal give den registrerede skriftlig
meddelelse om opfølgningen på dennes anmodning uden unødig forsinkelse.
4. Medlemsstaterne fastsætter bestemmelser om, at de oplysninger, der gives i medfør af artikel 13, og
enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 11, 14-18 og 31, er gratis.
Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan
den dataansvarlige enten:
a) opkræve et rimeligt gebyr under hensyntagen til de administrative omkostninger ved at give op-
lysninger eller meddelelser eller træffe den ønskede foranstaltning, eller
b) afvise at efterkomme anmodningen.
Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven, påhviler den dataansvarlige.
5. Den dataansvarlige kan, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der frem-
sætter en anmodning som omhandlet i artikel 14 eller 16, anmode om de yderligere oplysninger, der er
nødvendige for at bekræfte den registreredes identitet.
Artikel 13
Oplysninger, der skal stilles til rådighed for eller gives til den registrerede
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige som minimum stiller følgende op-
lysninger til rådighed for den registrerede:
a) identitet på og kontaktoplysninger for den dataansvarlige
b) kontaktoplysninger for en eventuel databeskyttelsesrådgiver
c) formålene med den behandling, som personoplysningerne skal bruges til
d) retten til at indgive en klage til en tilsynsmyndighed og kontaktoplysningerne for tilsynsmyndig-
heden
e) retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplys-
ninger og begrænsning af behandling af personoplysningerne vedrørende den registrerede.
2. Ud over de oplysninger, der er omhandlet i stk. 1, fastsætter medlemsstaterne ved lov bestemmelser
om, at den dataansvarlige i særlige tilfælde skal give den registrerede følgende yderligere oplysninger, for
at vedkommende kan udøve sine rettigheder:
a) retsgrundlaget for behandlingen
b) det tidsrum, hvor personoplysningerne vil blive opbevaret, eller, hvis dette ikke er muligt, de kri-
terier, der anvendes til at fastlægge dette tidsrum
c) hvor det er relevant, kategorierne af modtagere af personoplysningerne, herunder i tredjelande
eller internationale organisationer
d) hvis det er nødvendigt, yderligere oplysninger, navnlig hvis personoplysningerne indsamles
uden den registreredes vidende.
38
3. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger, der udsætter, begrænser eller af-
skærer meddelelse af oplysninger til de registrerede, jf. stk. 2, i det omfang og så længe en sådan foran-
staltning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt
hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:
a) undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger
eller procedurer
b) undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare
handlinger eller fuldbyrdelsen af strafferetlige sanktioner
c) beskytte den offentlige sikkerhed
d) beskytte statens sikkerhed
e) beskytte andres rettigheder og frihedsrettigheder.
4. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger for at fastsætte de kategorier af be-
handling, som helt eller delvis er omfattet af ethvert af de litraer, der er anført i stk. 3.
Artikel 14
Den registreredes indsigtsret
Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til at få den dataansvarliges be-
kræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til per-
sonoplysningerne og følgende information, jf. dog artikel 15:
a) formålene med og retsgrundlaget for behandlingen
b) de berørte kategorier af personoplysninger
c) de modtagere eller kategorier af modtagere, som personoplysningerne er videregivet til, navnlig
modtagere i tredjelande eller internationale organisationer
d) om muligt, det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret, eller, hvis dette
ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum
e) retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller
begrænsning af behandling vedrørende den registrerede
f) retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysningerne for tilsynsmyndig-
heden
g) meddelelse af hvilke personoplysninger, der er omfattet af behandlingen, og enhver tilgængelig
oplysning om, hvorfra de stammer.
39
Artikel 15
Begrænsninger af indsigtsretten
1. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser den
registreredes ret til indsigt, i det omfang og så længe en sådan delvis eller fuldstændig begrænsning udgør
en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den
berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:
a) undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger
eller procedurer
b) undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare
handlinger eller fuldbyrdelsen af strafferetlige sanktioner
c) beskytte den offentlige sikkerhed
d) beskytte statens sikkerhed
e) beskytte andres rettigheder og frihedsrettigheder.
2. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger for at fastsætte de kategorier af be-
handling, som helt eller delvis er omfattet af stk. 1, litra a)-e).
3. I de i stk. 1 og 2 omhandlede tilfælde fastsætter medlemsstaterne bestemmelser om, at den dataansvar-
lige uden unødig forsinkelse skal give den registrerede skriftlig meddelelse om ethvert afslag på indsigt i
personoplysninger eller begrænsning af indsigten og om begrundelsen for afslaget eller begrænsningen.
En sådan meddelelse kan udelades, hvis sådanne oplysninger ville være til skade for et af formålene i stk.
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal underrette den registrerede om
muligheden for at indgive en klage til en tilsynsmyndighed eller adgangen til retsmidler.
4. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal dokumentere den faktiske el-
ler retlige begrundelse, som afgørelsen hviler på. Disse oplysninger stilles til rådighed for tilsynsmyndig-
hederne.
Artikel 16
Ret til berigtigelse, sletning og begrænsning af behandling
1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til at få urigtige personoplys-
ninger om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Medlemsstaterne fastsætter
bestemmelser om, at den registrerede under hensyntagen til formålene med behandlingen skal have ret til
at få fuldstændiggjort ufuldstændige personoplysninger, bl.a. ved at fremlægge en supplerende erklæring.
2. Medlemsstaterne kræver, at den dataansvarlige sletter personoplysninger uden unødig forsinkelse, og
fastsætter bestemmelser om, at den registrerede skal have ret til at få personoplysninger om sig selv slettet
af den dataansvarlige uden unødig forsinkelse, hvis behandling overtræder de bestemmelser, der vedtages
i henhold til artikel 4, 8 eller 10, eller hvis personoplysninger skal slettes for at overholde en retlig for-
pligtelse, som den dataansvarlige er underlagt.
3. I stedet for sletning begrænser den dataansvarlige behandling, hvis:
40
a) rigtigheden af personoplysningerne bestrides af den registrerede og deres rigtighed eller urigtig-
hed ikke kan konstateres, eller
b) personoplysningerne skal bevares som bevismiddel.
Hvis behandling er begrænset i henhold til første afsnit, litra a), underretter den dataansvarlige den regi-
strerede herom, inden begrænsningen af behandling ophæves.
4. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal give den registrerede skriftlig
meddelelse om ethvert afslag på berigtigelse eller sletning af personoplysninger eller begrænsning af be-
handling og om begrundelsen for afslaget. Medlemsstaterne kan vedtage lovgivningsmæssige foranstalt-
ninger, der helt eller delvis begrænser forpligtelsen til at give sådanne oplysninger, i det omfang en sådan
begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behø-
rigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:
a) undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger
eller procedurer
b) undgå at skade forebyggelsen, afsløringen, efterforskningen eller retsforfølgningen af strafbare
handlinger eller fuldbyrdelsen af strafferetlige sanktioner
c) beskytte den offentlige sikkerhed
d) beskytte statens sikkerhed
e) beskytte andres rettigheder og frihedsrettigheder.
Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal underrette den registrerede om
muligheden for at indgive klage til en tilsynsmyndighed eller adgangen til retsmidler.
5. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal meddele berigtigelse af urigti-
ge personoplysninger til den kompetente myndighed, hvorfra de urigtige oplysninger stammer.
6. Medlemsstaterne fastsætter, hvis personoplysningerne er blevet berigtiget eller slettet eller behandlin-
gen er blevet begrænset, jf. stk. 1, 2 og 3, bestemmelser om, at den dataansvarlige skal underrette modta-
gerne, og at modtagerne berigtiger eller sletter personoplysningerne eller begrænser behandling af per-
sonoplysninger, som de har ansvaret for.
Artikel 17
Den registreredes udøvelse af rettigheder og tilsynsmyndighedens kontrol
1. I de tilfælde, der er omhandlet i artikel 13, stk. 3, artikel 15, stk. 3, og artikel 16, stk. 4, vedtager med-
lemsstaterne foranstaltninger, der fastsætter, at den registreredes rettigheder også kan udøves gennem den
kompetente tilsynsmyndighed.
2. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal underrette den registrerede om
dennes mulighed for at udøve sine rettigheder gennem tilsynsmyndigheden i henhold til stk. 1.
3. Hvis den i stk. 1 omhandlede ret udøves, underretter tilsynsmyndigheden som minimum den registrere-
de om, at tilsynsmyndigheden har foretaget den nødvendige kontrol eller undersøgelse. Tilsynsmyndighe-
den underretter også den registrerede om dennes adgang til retsmidler.
41
Artikel 18
Den registreredes rettigheder i forbindelse med strafferetlige efterforskninger og straffesager
Medlemsstaterne kan fastsætte bestemmelser om, at udøvelsen af de rettigheder, der er omhandlet i artikel
13, 14 og 16, skal gennemføres i henhold til medlemsstaternes nationale ret, når personoplysningerne er
indeholdt i en retsafgørelse eller et register eller en sagsakt, der behandles i forbindelse med strafferetlige
efterforskninger og straffesager.
KAPITEL IV
Dataansvarlig og databehandler
Afdeling 1
Generelle forpligtelser
Artikel 19
Den dataansvarliges forpligtelser
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige under hensyntagen til behandlin-
gens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for
fysiske personers rettigheder og frihedsrettigheder skal gennemføre passende tekniske og organisatoriske
foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med
dette direktiv. Disse foranstaltninger skal om nødvendigt revideres og ajourføres.
2. Hvis det står i rimeligt forhold til behandlingsaktiviteterne, skal de foranstaltninger, der er omhandlet i
stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker.
Artikel 20
Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige under hensyntagen til det aktuelle
tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sam-
menhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder
og frihedsrettigheder, som behandlingen indebærer, både på tidspunktet for fastlæggelse af midlerne til
behandling og på tidspunktet for selve behandlingen skal gennemføre passende tekniske og organisatori-
ske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering
af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne ga-
rantier i behandlingen for at opfylde kravene i dette direktiv og beskytte de registreredes rettigheder.
2. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal gennemføre passende tekniske
og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun per-
sonoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forplig-
telse gælder den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres
opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillin-
ger sikre, at personoplysninger ikke uden den fysiske persons indgriben stilles til rådighed for et ubegræn-
set antal fysiske personer.
42
Artikel 21
Fælles dataansvarlige
1. Medlemsstaterne fastsætter, hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og
hjælpemidlerne til behandling, bestemmelser om, at de skal være fælles dataansvarlige. De fastsætter på
en gennemsigtig måde deres respektive ansvar for overholdelse af dette direktiv, navnlig hvad angår udø-
velsen af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger,
der er omhandlet i artikel 13, ved hjælp af en ordning mellem dem, medmindre og i det omfang de data-
ansvarliges respektive ansvar er fastlagt i EU-retten eller medlemsstaternes nationale ret, som de dataan-
svarlige er underlagt. I ordningen udpeges kontaktpunktet for de registrerede. Medlemsstaterne kan udpe-
ge den af de fælles dataansvarlige, der kan fungere som fælles kontaktpunkt for de registrerede, når disse
udøver deres rettigheder.
2. Uanset udformningen af den ordning, der er omhandlet i stk. 1, kan medlemsstaterne fastsætte bestem-
melser om, at den registrerede kan udøve sine rettigheder i medfør af de bestemmelser, der vedtages i
henhold til dette direktiv, med hensyn til og over for den enkelte dataansvarlige.
Artikel 22
Databehandler
1. Medlemsstaterne fastsætter, hvis en behandling foretages på vegne af en dataansvarlig, bestemmelser
om, at den dataansvarlige udelukkende må benytte databehandlere, der kan stille de fornødne garantier
for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at
behandlingen opfylder kravene i dette direktiv og sikrer beskyttelse af den registreredes rettigheder.
2. Medlemsstaterne fastsætter bestemmelser om, at databehandleren ikke må gøre brug af en anden data-
behandler uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige. I tilfælde
af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle plan-
lagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataan-
svarlige mulighed for at gøre indsigelse mod sådanne ændringer.
3. Medlemsstaterne fastsætter bestemmelser om, at en databehandlers behandling skal være omfattet af en
kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er
bindende for databehandleren med hensyn til den dataansvarlige, og fastsætter genstanden for og varighe-
den af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af re-
gistrerede samt den dataansvarliges forpligtelser og rettigheder. Denne kontrakt eller andet retlige doku-
ment fastlægger navnlig, at databehandleren:
a) kun må handle efter instruks fra den dataansvarlige
b) sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til
fortrolighed eller er underlagt en passende lovbestemt tavshedspligt
c) bistår den dataansvarlige på enhver hensigtsmæssig måde med at sikre overholdelse af bestem-
melserne om den registreredes rettigheder
d) efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysningerne til den dataan-
svarlige, efter at tjenesterne vedrørende behandling er ophørt, og sletter eksisterende kopier,
43
medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af per-
sonoplysningerne
e) stiller alle oplysninger, der er nødvendige for at påvise overholdelse af denne artikel, til rådighed
for den dataansvarlige
f) overholder de betingelser, der er omhandlet i stk. 2 og 3, med henblik på at gøre brug af en anden
databehandler.
4. Kontrakten eller det andet retlige dokument, der er omhandlet i stk. 3, skal foreligge skriftligt, herunder
elektronisk.
5. Hvis en databehandler i strid med dette direktiv fastlægger formålene med og hjælpemidlerne til be-
handling, anses denne databehandler for at være en dataansvarlig, for så vidt angår den pågældende be-
handling.
Artikel 23
Behandling, der udføres for den dataansvarlige eller databehandleren
Medlemsstaterne fastsætter bestemmelser om, at databehandleren og enhver, der udfører arbejde for den
dataansvarlige eller databehandleren, og som har adgang til personoplysninger, kun må behandle disse
oplysninger efter instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller med-
lemsstaternes nationale ret.
Artikel 24
Fortegnelser over behandlingsaktiviteter
1. Medlemsstaterne fastsætter bestemmelser om, at de dataansvarlige fører fortegnelser over alle kategori-
er af behandlingsaktiviteter under deres ansvar. Disse fortegnelser skal omfatte alle af følgende oplysnin-
ger:
a) navn på og kontaktoplysninger for den dataansvarlige og, hvis det er relevant, den fælles dataan-
svarlige og databeskyttelsesrådgiveren
b) formålene med behandlingen
c) de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder
modtagere i tredjelande eller internationale organisationer
d) en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger
e) hvor det er relevant, brugen af profilering
f) hvor det er relevant, kategorierne af overførsler af personoplysninger til et tredjeland eller en in-
ternational organisation
g) en angivelse af retsgrundlaget for behandlingsaktiviteten, herunder overførsler, hvortil per-
sonoplysningerne er bestemt
44
h) hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af per-
sonoplysninger
i) hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstalt-
ninger omhandlet i artikel 29, stk. 1.
2. Medlemsstaterne fastsætter bestemmelser om, at hver databehandler skal føre fortegnelser over alle ka-
tegorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig, idet fortegnelsen skal inde-
holde:
a) navn på og kontaktoplysninger for databehandleren eller databehandlerne, for hver dataansvar-
lig, på hvis vegne databehandleren handler, samt, hvis det er relevant, databeskyttelsesrådgive-
ren
b) de kategorier af behandling, der foretages på vegne af den enkelte dataansvarlige
c) hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international orga-
nisation, når den dataansvarlige udtrykkeligt har givet instruks herom, herunder angivelse af det-
te tredjeland eller denne internationale organisation
d) hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstalt-
ninger omhandlet i artikel 29, stk. 1.
3. De fortegnelser, der er omhandlet i stk. 1 og 2, skal foreligge skriftligt, herunder elektronisk.
Den dataansvarlige og databehandleren stiller efter anmodning disse fortegnelser til rådighed for tilsyns-
myndigheden.
Artikel 25
Logning
1. Medlemsstaterne fastsætter bestemmelser om, at der som minimum skal foretages logning af følgende
former for behandlingsaktiviteter i automatiske databehandlingssystemer: indsamling, ændring, søgning,
videregivelse, herunder overførsel, samkøring og sletning. Logning af søgning og videregivelse skal gøre
det muligt at fastlægge begrundelsen, datoen og tidspunktet for sådanne aktiviteter og i videst muligt om-
fang identifikation af den person, som har søgt eller videregivet personoplysninger, og identiteten på
modtagerne af sådanne personoplysninger.
2. Loggene anvendes udelukkende til at kontrollere, om behandling er lovlig, til egenkontrol, til at sikre
integriteten og sikkerheden af personoplysningerne og i forbindelse med straffesager.
3. Den dataansvarlige og databehandleren stiller efter anmodning loggene til rådighed for tilsynsmyndig-
heden.
Artikel 26
Samarbejde med tilsynsmyndigheden
Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige og databehandleren efter anmodning
skal samarbejde med tilsynsmyndigheden i forbindelse med udførelsen af dens opgaver.
45
Artikel 27
Konsekvensanalyse vedrørende databeskyttelse
1. Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sam-
menhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og friheds-
rettigheder, fastsætter medlemsstaterne bestemmelser om, at den dataansvarlige forud for behandlingen
foretager en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplys-
ninger.
2. Den i stk. 1 omhandlede analyse skal mindst omfatte en generel beskrivelse af de planlagte behand-
lingsaktiviteter, en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder, de foran-
staltninger, der påtænkes for at imødegå disse risici, garantier, sikkerhedsforanstaltninger og mekanismer,
som kan sikre beskyttelse af personoplysninger og påvise overholdelse af dette direktiv, under hensynta-
gen til de registreredes og andre berørte personers rettigheder og legitime interesser.
Artikel 28
Forudgående høring af tilsynsmyndigheden
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige eller databehandleren skal høre til-
synsmyndigheden inden behandling af personoplysninger, der vil indgå som en del af et nyt register, der
skal oprettes, såfremt:
a) en konsekvensanalyse vedrørende databeskyttelse, jf. artikel 27, viser, at behandlingen vil føre
til en høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risiko-
en, eller
b) den type behandling, navnlig ved brug af nye teknologier, mekanismer eller procedurer, indebæ-
rer en høj risiko for de registreredes rettigheder og frihedsrettigheder.
2. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden skal høres som led i udarbejdel-
sen af et forslag til lovgivningsmæssig foranstaltning, som skal vedtages af et nationalt parlament, eller af
en regulerende foranstaltning, der har hjemmel i en sådan lovgivningsmæssig foranstaltning, og som ve-
drører behandling.
3. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden kan fastsætte en liste over de be-
handlingsaktiviteter, hvor der i henhold til stk. 1 skal foretages en forudgående høring.
4. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige forelægger tilsynsmyndigheden
den i artikel 27 omhandlede konsekvensanalyse vedrørende databeskyttelse og efter anmodning andre op-
lysninger, der sætter tilsynsmyndigheden i stand til at vurdere behandlingens overensstemmelse, og navn-
lig risiciene for beskyttelsen af registreredes personoplysninger og tilknyttede garantier.
5. Medlemsstaterne fastsætter, hvis tilsynsmyndigheden finder, at den planlagte behandling omhandlet i
nærværende artikels stk. 1, overtræder de bestemmelser, der vedtages i henhold til dette direktiv, navnlig
hvis den dataansvarlige ikke tilstrækkeligt har identificeret eller begrænset risikoen, bestemmelser om, at
tilsynsmyndigheden inden for en periode på op til seks uger efter modtagelse af anmodningen om høring
skal give den dataansvarlige og, hvor det er relevant, databehandleren skriftlig rådgivning og i den forbin-
delse kan anvende enhver af sine beføjelser, jf. artikel 47. Denne periode kan forlænges med en måned
under hensyntagen til den påtænkte behandlings kompleksitet. Tilsynsmyndigheden underretter den data-
46
ansvarlige og, hvor det er relevant, databehandleren om enhver sådan forlængelse senest en måned efter
modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen.
Afdeling 2
Personoplysningssikkerhed
Artikel 29
Behandlingssikkerhed
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige og databehandleren under hensyn-
tagen til det aktuelle tekniske niveau, implementeringsomkostningerne og behandlingens karakter, om-
fang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers
rettigheder og frihedsrettigheder skal gennemføre passende tekniske og organisatoriske foranstaltninger
for at sikre et sikkerhedsniveau, der passer til disse risici, navnlig for så vidt angår behandlingen af de
særlige kategorier af personoplysninger, der er omhandlet i artikel 10.
2. For så vidt angår automatisk behandling, fastsætter medlemsstaterne bestemmelser om, at den dataan-
svarlige eller databehandleren på grundlag af en risikovurdering gennemfører foranstaltninger til at sikre,
at:
a) uautoriserede personer ikke kan få adgang til det behandlingsudstyr, der benyttes til behandling
(»kontrol med fysisk adgang til udstyret«)
b) der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af datamedier (»kontrol med
datamedier«)
c) der ikke sker uautoriseret indlæsning af personoplysninger samt uautoriseret læsning, ændring
eller sletning af opbevarede personoplysninger (»kontrol med opbevaring«)
d) automatiske behandlingssystemer ikke via datakommunikationsudstyr kan benyttes af uautorise-
rede personer (»brugerkontrol«)
e) personer med bemyndigelse til at anvende et automatisk behandlingssystem kun har adgang til
de personoplysninger, der er omfattet af deres adgangstilladelse (»kontrol med dataadgangen«)
f) det er muligt at kontrollere og fastslå de organer, til hvilke der er blevet eller kan transmitteres
eller stilles til rådighed ved hjælp af datakommunikationsudstyr (»kommunikationskontrol«)
g) det er muligt efterfølgende at undersøge og fastslå, hvilke personoplysninger der er indlæst i
automatiske behandlingssystemer, og hvornår og af hvem personoplysningerne blev indlæst
(»kontrol med indlæsning«)
h) der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af personoplysninger i for-
bindelse med overførsler af disse eller under transport af datamedier (»transportkontrol«)
i) de anvendte systemer i tilfælde af teknisk uheld kan genetableres (»genopretning«)
47
j) systemet fungerer, at indtrufne fejl meldes (»pålidelighed«), og at opbevarede personoplysninger
ikke bliver ødelagt som følge af fejlfunktioner i systemet (»integritet«).
Artikel 30
Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
1. Medlemsstaterne fastsætter ved brud på persondatasikkerheden bestemmelser om, at den dataansvarlige
uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, skal an-
melde bruddet på persondatasikkerheden til tilsynsmyndigheden, medmindre at det er usandsynligt, at
bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder og frihedsrettighe-
der. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en begrundel-
se for forsinkelsen.
2. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærk-
som på, at der er sket et brud på persondatasikkerheden.
3. Den i stk. 1 omhandlede anmeldelse skal mindst:
a) beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategori-
erne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal be-
rørte registreringer af personoplysninger
b) angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontakt-
punkt, hvor yderligere oplysninger kan indhentes
c) beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden
d) beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at hånd-
tere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at be-
grænse dets mulige skadevirkninger.
4. Når og for så vidt som det ikke er muligt at forelægge oplysningerne samlet, kan oplysningerne medde-
les trinvist uden unødig yderligere forsinkelse.
5. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal dokumentere alle brud på per-
sondatasikkerheden som omhandlet i stk. 1, herunder de faktiske omstændigheder vedrørende bruddet på
persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation
skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel er overholdt.
6. Medlemsstaterne fastsætter, hvis bruddet på persondatasikkerheden omfatter personoplysninger, der er
transmitteret af eller til den dataansvarlige i en anden medlemsstat, bestemmelser om, at de i stk. 3 om-
handlede oplysninger uden unødig forsinkelse skal meddeles til den dataansvarlige i denne medlemsstat.
Artikel 31
Underretning om brud på persondatasikkerheden til den registrerede
1. Medlemsstaterne fastsætter, når et brud på persondatasikkerheden sandsynligvis vil indebære en høj ri-
siko for fysiske personers rettigheder og frihedsrettigheder, bestemmelser om, at den dataansvarlige uden
unødig forsinkelse skal underrette den registrerede om bruddet på persondatasikkerheden.
48
2. Underretningen af den registrerede i henhold til denne artikels stk. 1 skal i et klart og forståeligt sprog
beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foran-
staltninger, der er omhandlet i artikel 30, stk. 3, litra b), c) og d).
3. Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis en af følgende betin-
gelser er opfyldt:
a) den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstalt-
ninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af
bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne ufor-
ståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering
b) den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de
registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1 sandsynligvis ikke længere
er reel
c) det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en of-
fentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en til-
svarende effektiv måde.
4. Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikker-
heden, kan tilsynsmyndigheden efter at have overvejet sandsynligheden for, at bruddet på persondatasik-
kerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingel-
serne i stk. 3 er opfyldt.
5. Den i nærværende artikels stk. 1 omhandlede underretning af den registrerede kan udsættes, begrænses
eller afskæres på de betingelser og af de årsager, der er omhandlet i artikel 13, stk. 3.
Afdeling 3
Databeskyttelsesrådgiver
Artikel 32
Udpegelse af databeskyttelsesrådgiveren
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal udpege en databeskyttelses-
rådgiver. Medlemsstaterne kan fritage domstole og andre uafhængige judicielle myndigheder, når de ud-
fører deres judicielle opgaver, for denne forpligtelse.
2. Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise in-
den for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 34.
3. En fælles databeskyttelsesansvarlig kan udpeges for flere kompetente myndigheder under hensyntagen
til deres organisatoriske struktur og størrelse.
4. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal offentliggøre kontaktoplysnin-
gerne for databeskyttelsesrådgiveren og meddele disse til tilsynsmyndigheden.
49
Artikel 33
Databeskyttelsesrådgiverens stilling
1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal sikre, at databeskyttelsesråd-
giveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
2. Den dataansvarlige støtter databeskyttelsesrådgiveren i forbindelse med udførelsen af de i artikel 34
omhandlede opgaver ved at tilvejebringe de ressourcer, der er nødvendige for at udføre disse opgaver og
opretholde databeskyttelsesrådgiverens ekspertise, samt adgang til personoplysninger og behandlingsakti-
viteter.
Artikel 34
Databeskyttelsesrådgiverens opgaver
Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige som minimum skal overdrage følgen-
de opgaver til databeskyttelsesrådgiveren:
a) at underrette og rådgive den dataansvarlige og de ansatte, der behandler personoplysninger, om
deres forpligtelser i henhold til dette direktiv og anden EU-ret eller national ret i medlemsstater-
ne om databeskyttelse
b) at overvåge overholdelsen af dette direktiv, af anden EU-ret eller national ret i medlemsstaterne
om databeskyttelse og af den dataansvarliges politikker om beskyttelse af personoplysninger,
herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvir-
ker ved behandlingsaktiviteterne, og de tilhørende revisioner
c) at rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyt-
telse og overvåge dens opfyldelse i henhold til artikel 27
d) at samarbejde med tilsynsmyndigheden
e) at fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling, herunder
den forudgående høring, der er omhandlet i artikel 28, og at høre tilsynsmyndigheden, når det er
hensigtsmæssigt, om eventuelle andre spørgsmål.
KAPITEL V
Overførsler af personoplysninger til tredjelande eller internationale organisationer
Artikel 35
Generelle principper for overførsler af personoplysninger
1. Medlemsstaterne fastsætter bestemmelser om, at enhver overførsel af personoplysninger, der foretages
af kompetente myndigheder, og som underkastes behandling eller planlægges behandlet efter overførsel
til et tredjeland eller en international organisation, herunder videreoverførsel til et andet tredjeland eller
en anden international organisation, kun må finde sted, hvis de nationale bestemmelser, der vedtages i
henhold til dette direktiv, er overholdt, og hvis betingelserne i dette kapitel er opfyldt, navnlig at:
a) overførslen er nødvendig med henblik på artikel 1, stk. 1
50
b) personoplysningerne overføres til en dataansvarlig i et tredjeland eller en international organisa-
tion, der er en myndighed, der er kompetent med henblik på artikel 1, stk. 1
c) hvor personoplysninger transmitteres eller stilles til rådighed fra en anden medlemsstat, denne
medlemsstat har givet sin forudgående godkendelse til overførslen i henhold til dens nationale
ret
d) Kommissionen i henhold til artikel 36 har truffet en afgørelse om tilstrækkeligheden af beskyt-
telsesniveauet, eller der i fravær af en sådan afgørelse er blevet indført, eller der eksisterer de
fornødne garantier i henhold til artikel 37, eller, i fravær af en afgørelse om tilstrækkeligheden af
beskyttelsesniveauet i henhold til artikel 36 og de fornødne garantier, jf. artikel 37, undtagelser
for særlige situationer finder anvendelse i henhold til artikel 38, og
e) den kompetente myndighed, der foretog den oprindelige overførsel, eller en anden kompetent
myndighed i den samme medlemsstat, i tilfælde af videreoverførsel til et andet tredjeland eller
en anden international organisation, giver bemyndigelse til videreoverførslen, efter at den har ta-
get behørigt hensyn til alle relevante faktorer, herunder den strafbare handlings grovhed, det for-
mål, hvortil personoplysningerne oprindeligt blev overført, og beskyttelsesniveauet for per-
sonoplysninger i det tredjeland eller den internationale organisation, hvortil personoplysningerne
videreoverføres.
2. Medlemsstaterne fastsætter bestemmelser om, at overførsel uden forudgående godkendelse fra en an-
den medlemsstat i overensstemmelse med stk. 1, litra c), kun må tillades, hvis overførslen af per-
sonoplysningerne er nødvendig for at forebygge en umiddelbar og alvorlig trussel mod en medlemsstats
eller et tredjelands offentlige sikkerhed eller mod en medlemsstats væsentlige interesser, og den forudgå-
ende godkendelse ikke kan indhentes i tide. Den myndighed, der er ansvarlig for at give den forudgående
godkendelse, underrettes straks.
3. Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau for fysiske per-
soner, som sikres i dette direktiv, ikke undermineres.
Artikel 36
Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet
1. Medlemsstaterne fastsætter bestemmelser om, at overførsel af personoplysninger til et tredjeland eller
en international organisation kan finde sted, hvis Kommissionen har fastslået, at tredjelandet, et område
eller en eller flere specifikke sektorer i dette tredjeland, eller den pågældende internationale organisation
har et tilstrækkeligt beskyttelsesniveau. En sådan overførsel af oplysninger kræver ikke specifik godken-
delse.
2. Ved vurdering af beskyttelsesniveauets tilstrækkelighed tager Kommissionen navnlig følgende elemen-
ter i betragtning:
a) retsstatsprincippet, respekt for menneskerettighederne og de grundlæggende frihedsrettigheder,
relevant lovgivning, både generel og sektorbestemt, herunder vedrørende offentlig sikkerhed,
forsvar, statens sikkerhed og strafferet og offentlige myndigheders adgang til personoplysninger,
samt gennemførelsen af sådan lovgivning, databeskyttelsesregler, faglige regler og sikkerheds-
foranstaltninger, herunder regler for videreoverførslen af personoplysninger til et andet tredje-
land eller en anden international organisation, der gælder i dette land eller denne internationale
51
organisation, retspraksis samt effektive rettigheder for registrerede, som kan håndhæves, og ef-
fektiv administrativ og retslig prøvelse for de registrerede, hvis personoplysninger overføres
b) tilstedeværelsen af en eller flere velfungerende uafhængige tilsynsmyndigheder i tredjelandet,
eller som den internationale organisation er underlagt, med ansvar for at sikre og håndhæve, at
databeskyttelsesregler overholdes, herunder tilstrækkelige håndhævelsesbeføjelser, for at bistå
og rådgive de registrerede, når de udøver deres rettigheder, og for samarbejde med tilsynsmyn-
dighederne i medlemsstaterne, og
c) de internationale forpligtelser, som tredjelandet eller den internationale organisation har påtaget
sig, eller andre forpligtelser, der følger af retligt bindende konventioner eller instrumenter og af
landets eller organisationens deltagelse i multilaterale eller regionale systemer, navnlig vedrøren-
de beskyttelse af personoplysninger.
3. Kommissionen kan efter vurdering af beskyttelsesniveauets tilstrækkelighed ved hjælp af gennemførel-
sesretsakter fastslå, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller
en international organisation sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne ar-
tikels stk. 2. I den pågældende gennemførelsesretsakt fastsættes en mekanisme for regelmæssig revision,
som foretages mindst hvert fjerde år, og som inddrager enhver relevant udvikling i tredjelandet eller den
internationale organisation. I gennemførelsesretsakten angives dennes territoriale og sektorbestemte an-
vendelsesområde og i påkommende tilfælde den eller de tilsynsmyndigheder, jf. denne artikels stk. 2, litra
b). Gennemførelsesretsakten vedtages efter undersøgelsesproceduren i artikel 58, stk. 2.
4. Kommissionen overvåger løbende udviklinger i tredjelande og internationale organisationer, der kan
påvirke virkningen af de afgørelser, der er vedtaget i henhold til stk. 3.
5. Kommissionen ophæver, ændrer eller suspenderer i det omfang, det er nødvendigt, uden tilbagevirken-
de kraft afgørelsen omhandlet i denne artikels stk. 3, hvis tilgængelige oplysninger, navnlig efter den i
denne artikels stk. 3 omhandlede revision, viser, at et tredjeland, et område eller en eller flere specifikke
sektorer i et tredjeland, eller en international organisation ikke længere sikrer et tilstrækkeligt beskyttel-
sesniveau i overensstemmelse med denne artikels stk. 2. Disse gennemførelsesretsakter vedtages efter un-
dersøgelsesproceduren i artikel 58, stk. 2.
I behørigt begrundede særligt hastende tilfælde vedtager Kommissionen efter proceduren i artikel 58, stk.
3, gennemførelsesretsakter, der finder anvendelse straks.
6. Kommissionen fører konsultationer med tredjelandet eller den internationale organisation med henblik
på at afhjælpe den situation, der giver anledning til en afgørelse vedtaget i henhold til stk. 5.
7. Medlemsstaterne fastsætter bestemmelser om, at en afgørelse som angivet i stk. 5 ikke berører overfør-
sel af personoplysninger til det pågældende tredjeland, det pågældende område eller en eller flere speci-
fikke sektorer i dette tredjeland, eller den pågældende internationale organisation i medfør af artikel 37 og
38.
8. Kommissionen offentliggør i Den Europæiske Unions Tidende og på sit websted en liste over de tredje-
lande, områder og specifikke sektorer i tredjelande samt internationale organisationer, som den har fast-
slået sikrer eller ikke længere sikrer et tilstrækkeligt beskyttelsesniveau.
52
Artikel 37
Overførsler omfattet af fornødne garantier
1. Hvis der ikke er vedtaget en afgørelse i henhold til artikel 36, stk. 3, fastsætter medlemsstaterne be-
stemmelser om, at en overførsel af personoplysninger til et tredjeland eller en international organisation
kan finde sted, hvis:
a) der er givet de fornødne garantier, hvad angår beskyttelsen af personoplysninger, i et retligt bin-
dende instrument, eller
b) den dataansvarlige har vurderet alle forhold i forbindelse med overførslen af personoplysninger
og konkluderer, at der findes de fornødne garantier, hvad angår beskyttelsen af personoplysnin-
ger.
2. Den dataansvarlige underretter tilsynsmyndigheden om kategorier af overførsler i medfør af stk. 1, litra
b).
3. En overførsel, der er hjemlet i stk. 1, litra b), dokumenteres, og dokumentationen stilles til rådighed for
tilsynsmyndigheden efter anmodning, herunder dato og tidspunkt for overførslen, oplysninger om den
modtagende kompetente myndighed, begrundelsen for overførslen og de overførte personoplysninger.
Artikel 38
Undtagelser i særlige situationer
1. I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 36 eller for-
nødne garantier i henhold til artikel 37 fastsætter medlemsstaterne bestemmelser om, at en overførsel eller
en kategori af overførsler af personoplysninger til et tredjeland eller en international organisation kun må
finde sted, såfremt overførslen er nødvendig:
a) for at beskytte den registreredes eller en anden persons vitale interesser
b) for at beskytte den registreredes legitime interesser, hvis det er fastsat i national ret i den med-
lemsstat, der overfører personoplysningerne
c) for at afværge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offent-
lige sikkerhed
d) i enkeltsager med henblik på artikel 1, stk. 1, eller
e) i en enkeltsag for, at retskrav kan fastlægges, gøres gældende eller forsvares med henblik på arti-
kel 1, stk. 1.
2. Personoplysninger må ikke overføres, hvis den overførende kompetente myndighed fastslår, at den på-
gældende registreredes grundlæggende rettigheder og frihedsrettigheder går forud for samfundets interes-
se i overførslen, jf. stk. 1, litra d) og e).
3. En overførsel, der er hjemlet i stk. 1, skal dokumenteres, og dokumentationen stilles til rådighed for
tilsynsmyndigheden efter anmodning og skal omfatte dato og tidspunkt for overførslen, oplysninger om
den modtagende kompetente myndighed, begrundelsen for overførslen og angivelse af de overførte per-
sonoplysninger.
53
Artikel 39
Overførsler af personoplysninger til modtagere i tredjelande
1. Uanset artikel 35, stk. 1, litra b), og uden at det berører en eventuel international aftale, jf. nærværende
artikels stk. 2, kan EU-retten eller medlemsstaternes nationale ret fastsætte bestemmelser om, at de kom-
petente myndigheder omhandlet i artikel 3, nr. 7), litra a), i enkeltstående og specifikke tilfælde skal over-
føre personoplysninger direkte til modtagere i tredjelande, men kun hvis de øvrige bestemmelser i dette
direktiv overholdes, og alle af følgende betingelser er opfyldt:
a) overførslen er strengt nødvendig for den overførende kompetente myndigheds udførelse af en
opgave som fastlagt i EU-retten eller medlemsstaternes nationale ret med henblik på artikel 1,
stk. 1
b) den overførende kompetente myndighed fastslår, at ingen af den pågældende registreredes
grundlæggende rettigheder og frihedsrettigheder går forud for samfundets interesse, der nødven-
diggør overførslen i det foreliggende tilfælde
c) den overførende kompetente myndighed mener, at overførslen til en myndighed, der i tredje-
landet er kompetent med henblik på artikel 1, stk. 1, er ineffektiv eller uhensigtsmæssig, navnlig
fordi overførslen ikke kan foretages i tide
d) den myndighed, der i tredjelandet er kompetent med henblik på artikel 1, stk. 1, underrettes uden
unødig forsinkelse, medmindre dette er ineffektivt eller uhensigtsmæssigt
e) den overførende kompetente myndighed underretter modtageren om det eller de specifikke for-
mål, hvortil sidstnævnte udelukkende kan behandle personoplysningerne, forudsat at denne be-
handling er nødvendig.
2. En international aftale, jf. stk. 1, skal være en bilateral eller multilateral international aftale, der er ind-
gået mellem medlemsstater og tredjelande om retligt samarbejde i straffesager og politisamarbejde.
3. Den overførende kompetente myndighed underretter tilsynsmyndigheden om overførsler i medfør af
denne artikel.
4. Hvis en overførsel er hjemlet i stk. 1, skal denne overførsel dokumenteres.
Artikel 40
Internationalt samarbejde om beskyttelse af personoplysninger
Kommissionen og tilsynsmyndighederne træffer i forhold til tredjelande og internationale organisationer
de nødvendige foranstaltninger til at:
a) udvikle internationale samarbejdsmekanismer med henblik på at lette effektiv håndhævelse af
lovgivningen om beskyttelse af personoplysninger
b) yde international gensidig bistand i håndhævelse af lovgivningen om beskyttelse af personoplys-
ninger, herunder gennem anmeldelse, indbringelse af klager, efterforskningsbistand og informa-
tionsudveksling, under iagttagelse af de fornødne garantier for beskyttelse af personoplysninger
og andre grundlæggende rettigheder og frihedsrettigheder
54
c) inddrage relevante parter i drøftelser og aktiviteter, der har til formål at fremme det internationa-
le samarbejde om håndhævelse af lovgivningen om beskyttelse af personoplysninger
d) fremme udveksling og dokumentation af lovgivningen om beskyttelse af personoplysninger og
praksis på området, herunder om kompetencekonflikter med tredjelande.
KAPITEL VI
Uafhængige tilsynsmyndigheder
Afdeling 1
Uafhængig status
Artikel 41
Tilsynsmyndighed
1. Hver medlemsstat fastsætter bestemmelser om, at en eller flere uafhængige offentlige myndigheder
skal være ansvarlige for at føre tilsyn med anvendelsen af dette direktiv, for at beskytte fysiske personers
grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveks-
ling af personoplysninger i Unionen (»tilsynsmyndighed«).
2. Hver enkelt tilsynsmyndighed bidrager til den ensartede anvendelse af dette direktiv i hele Unionen. Til
dette formål samarbejder tilsynsmyndighederne med hinanden og med Kommissionen i henhold til kapi-
tel VII.
3. Medlemsstaterne kan fastsætte bestemmelser om, at en tilsynsmyndighed, der er oprettet ved forord-
ning (EU) 2016/679, skal være den tilsynsmyndighed, der er omhandlet i dette direktiv, og skal overdra-
ges ansvaret for de opgaver, som skal udføres af den tilsynsmyndighed, der skal oprettes i medfør af den-
ne artikels stk. 1.
4. Hvis der er mere end én tilsynsmyndighed i en medlemsstat, udpeger den pågældende medlemsstat en
tilsynsmyndighed, der skal repræsentere disse myndigheder i det i artikel 51 omhandlede databeskyttel-
sesråd.
Artikel 42
Uafhængighed
1. Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed skal udføre sine opga-
ver og udøve sine beføjelser i henhold til dette direktiv i fuld uafhængighed.
2. Medlemsstaterne fastsætter bestemmelser om, at medlemmet eller medlemmerne af deres tilsynsmyn-
digheder i forbindelse med udførelsen af deres opgaver og udøvelsen af deres beføjelser i henhold til dette
direktiv skal være frie for udefrakommende indflydelse, det være sig direkte eller indirekte, og at de hver-
ken søger eller modtager instrukser fra andre.
3. Medlemmer af medlemsstaternes tilsynsmyndigheder skal afholde sig fra enhver handling, der er ufor-
enelig med deres hverv, og må ikke, så længe deres embedsperiode varer, udøve uforenelig lønnet eller
ulønnet virksomhed.
55
4. Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed råder over de nødvendige menneskelige, tek-
niske og finansielle ressourcer samt lokaler og infrastruktur til effektivt at kunne udføre sine opgaver og
udøve sine beføjelser, herunder opgaver og beføjelser vedrørende gensidig bistand samt samarbejde med
og deltagelse i Databeskyttelsesrådet.
5. Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed vælger og råder over sit eget personale, der
alene er under ledelse af medlemmet eller medlemmerne af den pågældende tilsynsmyndighed.
6. Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed er underlagt finansiel kontrol, som ikke på-
virker dens uafhængighed, og at den fører særskilte, offentlige årsbudgetter, der kan være en del af det
samlede statsbudget eller nationale budget.
Artikel 43
Generelle betingelser for medlemmer af en tilsynsmyndighed
1. Medlemsstaterne fastsætter bestemmelser om, at hvert medlem af deres tilsynsmyndigheder skal ud-
nævnes efter en gennemsigtig procedure af:
— deres parlament
— deres regering
— deres statschef, eller
— et uafhængigt organ, der i henhold til medlemsstaternes nationale ret har fået overdraget ansva-
ret for udnævnelsen.
2. Hvert medlem skal have de kvalifikationer, den erfaring og den kompetence, navnlig på området be-
skyttelse af personoplysninger, der er nødvendig for at varetage dets hverv og udøve dets beføjelser.
3. Et medlems hverv ophører ved udløbet af embedsperioden, ved frivillig fratrædelse eller ved obligato-
risk fratrædelse i henhold til den pågældende medlemsstats nationale ret.
4. Et medlem må kun afskediges i tilfælde af alvorligt embedsmisbrug, eller hvis medlemmet ikke længe-
re opfylder betingelserne for at varetage sit hverv.
Artikel 44
Regler om oprettelse af en tilsynsmyndighed
1. Hver medlemsstat fastsætter ved lov bestemmelse om alle af følgende:
a) den enkelte tilsynsmyndigheds oprettelse
b) de nødvendige kvalifikationer og udvælgelseskriterier, der skal være opfyldt for at kunne blive
udnævnt til medlem af den enkelte tilsynsmyndighed
c) reglerne og procedurerne for udnævnelsen af medlemmet eller medlemmerne af den enkelte til-
synsmyndighed
d) embedsperioden for medlemmet eller medlemmerne af den enkelte tilsynsmyndighed, som skal
være mindst fire år, med undtagelse af den første udnævnelse efter den 6. maj 2016, som kan
56
være af kortere varighed, hvis det er nødvendigt for at beskytte den pågældende tilsynsmyndig-
heds uafhængighed ved hjælp af en forskudt udnævnelsesprocedure
e) om og i bekræftende fald i hvor mange embedsperioder medlemmet eller medlemmerne af den
enkelte tilsynsmyndighed kan genudnævnes
f) betingelserne vedrørende forpligtelserne for den enkelte tilsynsmyndigheds medlem eller med-
lemmer og personale, forbud mod handlinger, hverv og fordele, der er uforenelige hermed, under
og efter embedsperioden samt regler for arbejdsophør.
2. Den enkelte tilsynsmyndigheds medlem eller medlemmer og personale har i overensstemmelse med
EU-retten eller medlemsstaternes nationale ret såvel under som efter deres embedsperiode tavshedspligt
for så vidt angår alle fortrolige oplysninger, der er kommet til deres kendskab under udførelsen af deres
opgaver eller udøvelsen af deres beføjelser. I deres embedsperiode gælder denne tavshedspligt især indbe-
retninger fra fysiske personer af overtrædelser af dette direktiv.
Afdeling 2
Kompetence, opgaver og beføjelser
Artikel 45
Kompetence
1. Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed skal have kompetence
til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med dette direktiv,
på dens egen medlemsstats område.
2. Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed ikke skal have kompe-
tence til at føre tilsyn med domstolenes behandlingsaktiviteter, når de handler i deres egenskab af dom-
stol. Medlemsstaterne kan fastsætte bestemmelser om, at deres tilsynsmyndighed ikke skal have kompe-
tence til at føre tilsyn med andre uafhængige judicielle myndigheders behandlingsaktiviteter, når de udfø-
rer deres judicielle opgaver.
Artikel 46
Opgaver
1. Hver medlemsstat fastsætter for sit område bestemmelser om, at den enkelte tilsynsmyndighed skal:
a) føre tilsyn med og håndhæve anvendelsen af de bestemmelser, der vedtages i henhold til dette
direktiv, og gennemførelsesbestemmelserne hertil
b) fremme offentlighedens kendskab til og forståelse af risici, regler, garantier og rettigheder i for-
bindelse med behandling
c) i henhold til medlemsstaternes nationale ret rådgive det nationale parlament, regeringen og andre
institutioner og organer om lovgivningsmæssige og administrative foranstaltninger til beskyttelse
af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling
d) fremme dataansvarliges og databehandleres kendskab til deres forpligtelser i medfør af dette di-
rektiv
57
e) efter anmodning informere alle registrerede om udøvelsen af deres rettigheder i medfør af dette
direktiv og med henblik herpå samarbejde med tilsynsmyndighederne i andre medlemsstater,
hvis det er relevant
f) behandle klager, der indgives af en registreret eller af et organ, en organisation eller en sammen-
slutning i overensstemmelse med artikel 55, og, for så vidt det er hensigtsmæssigt, undersøge
genstanden for klagen og underrette klageren om forløbet og resultatet af undersøgelsen inden
for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsyns-
myndighed er nødvendig
g) kontrollere, om en behandling er lovlig i henhold til artikel 17, og i henhold til nævnte artikels
stk. 3 underrette den registrerede inden for en rimelig frist om resultatet af undersøgelsen eller
om årsagerne til, at undersøgelsen ikke er foretaget
h) samarbejde med andre tilsynsmyndigheder, herunder gennem udveksling af oplysninger og gen-
sidig bistand med henblik på at sikre ensartet anvendelse og håndhævelse af dette direktiv
i) gennemføre undersøgelser om anvendelsen af dette direktiv, herunder på grundlag af oplysnin-
ger, der er modtaget fra en anden tilsynsmyndighed eller en anden offentlig myndighed
j) holde øje med relevant udvikling, for så vidt den har indvirkning på beskyttelse af personoplys-
ninger, navnlig udviklingen for informations- og kommunikationsteknologi
k) rådgive om behandlingsaktiviteter som omhandlet i artikel 28, og
l) bidrage til Databeskyttelsesrådets aktiviteter.
2. Hver tilsynsmyndighed letter indgivelsen af klager, jf. stk. 1, litra f), gennem foranstaltninger som
f.eks. en klageformular, der også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmid-
ler.
3. Hver tilsynsmyndighed varetager sine opgaver uden udgifter for den registrerede og for databeskyttel-
sesrådgiveren.
4. Hvis en anmodning er åbenbart grundløs eller uforholdsmæssig, især fordi den gentages, kan tilsyns-
myndigheden opkræve et rimeligt gebyr baseret på dens administrative omkostninger eller afvise at efter-
komme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller uforholdsmæssig, på-
hviler tilsynsmyndigheden.
Artikel 47
Beføjelser
1. Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have ef-
fektive undersøgelsesbeføjelser. Disse beføjelser skal som minimum indeholde beføjelse til af den dataan-
svarlige eller databehandleren at få indsigt i alle de personoplysninger, der er under behandling, og alle
oplysninger, der kræves til udførelse af myndighedens opgaver.
2. Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have ef-
fektive korrigerende beføjelser såsom f.eks.:
58
a) at udstede advarsler til en dataansvarlig eller en databehandler om, at planlagte behandlingsakti-
viteter sandsynligvis vil være i strid med de bestemmelser, der vedtages i henhold til dette direk-
tiv
b) at give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i
overensstemmelse med de bestemmelser, der vedtages i henhold til dette direktiv, hvis det er
hensigtsmæssigt, på en nærmere angivet måde og inden for en nærmere angivet frist, navnlig
ved at give påbud om berigtigelse eller sletning af personoplysninger eller begrænsning af be-
handling i henhold til artikel 16
c) midlertidigt eller definitivt at begrænse, herunder forbyde, behandling.
3. Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have ef-
fektive rådgivningsbeføjelser til at rådgive den dataansvarlige efter den procedure for forudgående høring,
der er omhandlet i artikel 28, og på eget initiativ eller efter anmodning at afgive udtalelser til dens natio-
nale parlament og dens regering eller i henhold til sin nationale ret til andre institutioner og organer samt
offentligheden om ethvert spørgsmål om beskyttelse af personoplysninger.
4. Udøvelsen af de beføjelser, der tillægges tilsynsmyndigheden i medfør af denne artikel, er underlagt de
fornødne garantier, herunder effektive retsmidler og retfærdig procedure, som fastsat i EU-retten og med-
lemsstaternes nationale ret i overensstemmelse med chartret.
5. Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have be-
føjelse til at indbringe overtrædelser af de bestemmelser, der vedtages i henhold til dette direktiv, for de
judicielle myndigheder og om nødvendigt at indlede eller på anden måde deltage i retssager med henblik
på at håndhæve de bestemmelser, der vedtages i henhold til dette direktiv.
Artikel 48
Indberetning af overtrædelser
Medlemsstaterne fastsætter bestemmelser om, at de kompetente myndigheder skal indføre effektive me-
kanismer, som tilskynder til fortrolig indberetning af overtrædelser af dette direktiv.
Artikel 49
Aktivitetsrapport
Hver tilsynsmyndighed udarbejder en årlig rapport om sin virksomhed, eventuelt med en liste over, hvilke
typer overtrædelser der er blevet anmeldt, og hvilke typer sanktioner der er blevet pålagt. Disse rapporter
fremsendes til det nationale parlament, regeringen og andre myndigheder, der er udpeget i henhold til
medlemsstaternes nationale ret. De gøres tilgængelige for offentligheden, Kommissionen og Databeskyt-
telsesrådet.
59
KAPITEL VII
Samarbejde
Artikel 50
Gensidig bistand
1. Hver medlemsstat fastsætter bestemmelser om, at deres tilsynsmyndigheder skal udveksle relevante op-
lysninger og yde hinanden gensidig bistand med henblik på at gennemføre og anvende dette direktiv på
en ensartet måde, og træffe foranstaltninger med henblik på et effektivt samarbejde med hinanden. Gensi-
dig bistand omfatter navnlig anmodninger om oplysninger og tilsynsforanstaltninger som f.eks. anmod-
ninger om gennemførelse af høringer, inspektioner og undersøgelser.
2. Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed skal træffe alle passen-
de foranstaltninger, som er nødvendige for at besvare en anmodning fra en anden tilsynsmyndighed uden
unødig forsinkelse og senest en måned efter modtagelsen af anmodningen. Sådanne foranstaltninger kan
bl.a. omfatte videregivelse af relevante oplysninger om gennemførelsen af en undersøgelse.
3. Anmodninger om bistand skal indeholde alle nødvendige oplysninger, herunder formålet med og grun-
den til anmodningen. Udvekslede oplysninger må kun anvendes til det formål, som er angivet i anmod-
ningen.
4. Den anmodede tilsynsmyndighed må ikke afvise at imødekomme anmodningen, medmindre:
a) den ikke har kompetence med hensyn til genstanden for anmodningen eller de foranstaltninger,
som den anmodes om at iværksætte, eller
b) imødekommelse af anmodningen ville udgøre en overtrædelse af dette direktiv eller af EU-ret
eller medlemsstaternes nationale ret, som den tilsynsmyndighed, der modtager anmodningen, er
underlagt.
5. Den anmodede tilsynsmyndighed underretter den anmodende tilsynsmyndighed om resultaterne eller
efter omstændighederne om fremskridtene med de foranstaltninger, der er truffet for at imødekomme an-
modningen. Den anmodede tilsynsmyndighed begrunder enhver afvisning af at imødekomme en anmod-
ning i henhold til stk. 4.
6. Anmodede tilsynsmyndigheder fremsender som hovedregel de oplysninger, som andre tilsynsmyndig-
heder anmoder om, elektronisk i et standardformat.
7. Anmodede tilsynsmyndigheder må ikke opkræve gebyr for foranstaltninger, der træffes af dem på
grundlag af en anmodning om gensidig bistand. Tilsynsmyndighederne kan vedtage regler om at godtgøre
hinanden for specifikke udgifter, der opstår under ekstraordinære omstændigheder, når der ydes gensidig
bistand.
8. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge format og procedurer for gensidig
bistand som omhandlet i denne artikel og ordninger for elektronisk udveksling af oplysninger mellem til-
synsmyndigheder og mellem tilsynsmyndigheder og Databeskyttelsesrådet. Disse gennemførelsesretsak-
ter vedtages efter undersøgelsesproceduren i artikel 58, stk. 2.
60
Artikel 51
Databeskyttelsesrådets opgaver
1. Databeskyttelsesrådet, der er oprettet ved forordning (EU) 2016/679, udøver alle af følgende opgaver i
forbindelse med behandling af personoplysninger inden for dette direktivs anvendelsesområde:
a) rådgiver Kommissionen om ethvert spørgsmål vedrørende beskyttelse af personoplysninger i
Unionen, herunder om ethvert forslag til ændring af dette direktiv
b) undersøger, på eget initiativ, efter anmodning fra et af sine medlemmer eller efter anmodning fra
Kommissionen ethvert spørgsmål vedrørende anvendelsen af dette direktiv og udsteder retnings-
linjer, henstillinger og bedste praksis for at fremme ensartet anvendelse af dette direktiv
c) udarbejder retningslinjer for tilsynsmyndighederne vedrørende anvendelse af foranstaltninger, jf.
artikel 47, stk. 1 og 3
d) udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette afsnits litra
b) med henblik på fastlæggelse af brud på persondatasikkerheden og den unødige forsinkelse
omhandlet i artikel 30, stk. 1 og 2, og vedrørende de særlige omstændigheder, hvor en dataan-
svarlig eller en databehandler har pligt til at anmelde brud på persondatasikkerheden
e) udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette afsnits litra
b) vedrørende de omstændigheder, hvor et brud på persondatasikkerheden sandsynligvis vil in-
debære en høj risiko for fysiske personers rettigheder og frihedsrettigheder som omhandlet i arti-
kel 31, stk. 1
f) gennemgår den praktiske anvendelse af de retningslinjer og henstillinger og den bedste praksis,
der er omhandlet i litra b) og c)
g) afgive udtalelse til Kommissionen med henblik på vurdering af tilstrækkeligheden af beskyttel-
sesniveauet i et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller
en international organisation, herunder vurdering af, om et sådant tredjeland, et sådant område,
en sådan specifik sektor eller en sådan international organisation ikke længere sikrer et tilstræk-
keligt beskyttelsesniveau
h) fremmer samarbejdet og en effektiv bilateral og multilateral udveksling af oplysninger og bedste
praksis mellem tilsynsmyndighederne
i) fremmer fælles uddannelsesprogrammer og udveksling af personale mellem tilsynsmyndigheder-
ne og i relevante tilfælde med tilsynsmyndighederne i tredjelande eller med internationale orga-
nisationer
j) fremmer udveksling af viden og dokumentation vedrørende databeskyttelsesret og -praksis med
datatilsynsmyndigheder over hele verden.
For så vidt angår første afsnit, litra g), forelægger Kommissionen Databeskyttelsesrådet al nødvendig do-
kumentation for, herunder korrespondance med regeringen i tredjelandet, med området eller den specifik-
ke sektor i tredjelandet, eller med den internationale organisation.
61
2. Hvis Kommissionen anmoder Databeskyttelsesrådet om rådgivning, kan den fastsætte en frist under
hensyntagen til, hvor meget den pågældende sag haster.
3. Databeskyttelsesrådet fremsender sine udtalelser, retningslinjer, henstillinger og bedste praksis til
Kommissionen og det udvalg, der er omhandlet i artikel 58, stk. 1, og offentliggør dem.
4. Kommissionen underretter Databeskyttelsesrådet om sin opfølgning på udtalelser, retningslinjer, hen-
stillinger og bedste praksis udarbejdet af Databeskyttelsesrådet.
KAPITEL VIII
Retsmidler, ansvar og sanktioner
Artikel 52
Ret til at indgive klage til en tilsynsmyndighed
1. Uden at det berører andre administrative klageadgange eller adgang til retsmidler, fastsætter medlems-
staterne bestemmelser om, at enhver registreret skal have ret til at indgive klage til en enkelt tilsynsmyn-
dighed, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende
overtræder de bestemmelser, der vedtages i henhold til dette direktiv.
2. Medlemsstaterne fastsætter bestemmelser om, at den tilsynsmyndighed, som klagen er indgivet til,
uden unødig forsinkelse skal videresende den til den kompetente tilsynsmyndighed, hvis klagen ikke er
indgivet til den tilsynsmyndighed, der er kompetent i henhold til artikel 45, stk. 1. Den registrerede under-
rettes om videresendelsen.
3. Medlemsstaterne fastsætter bestemmelser om, at den tilsynsmyndighed, som klagen er indgivet til, skal
yde supplerende bistand efter den registreredes anmodning.
4. Den kompetente tilsynsmyndighed underretter den registrerede om forløbet og resultatet af klagen, her-
under om muligheden for anvendelse af retsmidler, jf. artikel 53.
Artikel 53
Adgang til effektive retsmidler over for en tilsynsmyndighed
1. Uden at det berører andre administrative eller udenretslige klageadgange, fastsætter medlemsstaterne
bestemmelser om, at enhver fysisk eller juridisk person har ret til effektive retsmidler over for en juridisk
bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende.
2. Uden at det berører andre administrative eller udenretslige klageadgange, har den enkelte registrerede
adgang til effektive retsmidler, hvis den tilsynsmyndighed, der er kompetent i henhold til artikel 45, stk.
1, ikke behandler en klage eller undlader at underrette den registrerede om forløbet eller resultatet af en
klage, der er indgivet i henhold til artikel 52, inden for tre måneder.
3. Medlemsstaterne fastsætter bestemmelser om, at en sag mod en tilsynsmyndighed skal anlægges ved en
domstol i den medlemsstat, hvor tilsynsmyndigheden er etableret.
Artikel 54
Adgang til et effektivt retsmiddel over for en dataansvarlig eller databehandler
Uden at det berører andre tilgængelige administrative eller udenretslige klageadgange, herunder retten til
at indgive klage til en tilsynsmyndighed i henhold til artikel 52, fastsætter medlemsstaterne bestemmelser
62
om, at en registreret skal have adgang til effektive retsmidler, hvis vedkommende finder, at vedkommen-
des rettigheder fastsat i bestemmelser, der er vedtaget i henhold til dette direktiv, er blevet krænket som
følge af behandling af vedkommendes personoplysninger i strid med dette direktiv.
Artikel 55
Repræsentation af registrerede
Medlemsstaterne fastsætter i overensstemmelse med medlemsstaternes nationale retsplejeregler bestem-
melser om, at den registrerede skal have ret til at bemyndige et organ, en organisation eller en sammen-
slutning, der er etableret i overensstemmelse med medlemsstaternes nationale ret, som ikke arbejder med
gevinst for øje, hvis vedtægtsmæssige formål er af almen interesse, og som er aktiv på området for be-
skyttelse af registreredes rettigheder og frihedsrettigheder med hensyn til beskyttelse af deres per-
sonoplysninger, til at indgive en klage på sine vegne og til at udøve de rettigheder, der er omhandlet i
artikel 52, 53 og 54, på sine vegne.
Artikel 56
Ret til erstatning
Medlemsstaterne fastsætter bestemmelser om, at enhver person, som har lidt materiel eller immateriel
skade som følge af en ulovlig behandlingsaktivitet eller enhver anden handling, der overtræder de natio-
nale bestemmelser, der vedtages i henhold til dette direktiv, har ret til erstatning for den forvoldte skade
fra den dataansvarlige eller en anden myndighed, der er kompetent i henhold til medlemsstaternes natio-
nale ret.
Artikel 57
Sanktioner
Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de be-
stemmelser, der vedtages i henhold til dette direktiv, og træffer alle nødvendige foranstaltninger for at sik-
re, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have
afskrækkende virkning.
KAPITEL IX
Gennemførelsesretsakter
Artikel 58
Udvalgsprocedure
1. Kommissionen bistås af udvalget nedsat ved artikel 93 i forordning (EU) 2016/679. Dette udvalg er et
udvalg som omhandlet i forordning (EU) nr. 182/2011.
2. Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.
3. Når der henvises til dette stykke, finder artikel 8 i forordning (EU) nr. 182/2011 sammenholdt med
dennes artikel 5 anvendelse.
63
KAPITEL X
Afsluttende bestemmelser
Artikel 59
Ophævelse af rammeafgørelse 2008/977/RIA
1. Rammeafgørelse 2008/977/RIA ophæves med virkning fra den 6. maj 2018.
2. Henvisninger til den ophævede afgørelse, jf. stk. 1, gælder som henvisninger til dette direktiv.
Artikel 60
EU-retsakter, der allerede er i kraft
De særlige bestemmelser til beskyttelse af personoplysninger i EU-retsakter, der den eller inden den 6.
maj 2016 er trådt i kraft på området for retligt samarbejde i straffesager og politisamarbejde, og som regu-
lerer behandling mellem medlemsstaterne og medlemsstaternes udpegede myndigheders adgang til infor-
mationssystemer, der er oprettet i henhold til traktaterne inden for dette direktivs anvendelsesområde, be-
røres ikke.
Artikel 61
Forhold til tidligere indgåede internationale aftaler på området for retligt samarbejde i straffesager
og politisamarbejde
Internationale aftaler, der omfatter overførsel af personoplysninger til tredjelande eller internationale or-
ganisationer, som er indgået af medlemsstaterne inden den 6. maj 2016, og som overholder den EU-ret,
der finder anvendelse inden denne dato, forbliver i kraft, indtil de ændres, erstattes eller ophæves.
Artikel 62
Kommissionsrapporter
1. Senest den 6. maj 2022 og hvert fjerde år derefter forelægger Kommissionen Europa-Parlamentet og
Rådet en rapport om evaluering og revision af dette direktiv. Rapporterne skal offentliggøres.
2. I forbindelse med de i stk. 1 omhandlede evalueringer og revisioner undersøger Kommissionen navn-
lig, hvordan kapitel V om overførsel af personoplysninger til tredjelande eller internationale organisatio-
ner anvendes og fungerer, særlig med hensyn til afgørelser vedtaget i henhold til artikel 36, stk. 3, og
artikel 39.
3. Kommissionen kan med henblik på stk. 1 og 2 anmode om oplysninger fra medlemsstaterne og tilsyns-
myndighederne.
4. Når Kommissionen foretager evaluering og revision, jf. stk. 1 og 2, tager den hensyn til holdninger og
resultater fra Europa-Parlamentet, fra Rådet og fra andre relevante organer eller kilder.
5. Kommissionen forelægger om nødvendigt relevante forslag med henblik på ændring af dette direktiv,
navnlig under hensyntagen til udviklingen inden for informationsteknologi og i lyset af fremskridtene i
informationssamfundet.
6. Senest den 6. maj 2019 gennemgår Kommissionen andre vedtagne EU-retsakter, som regulerer de
kompetente myndigheders behandling med henblik på artikel 1, stk. 1, herunder dem, der er omhandlet i
64
artikel 60, for at vurdere behovet for at tilpasse dem til dette direktiv og, hvis det er hensigtsmæssigt, at
fremsætte de forslag til ændring af disse retsakter, der måtte være nødvendige for at sikre en konsekvent
tilgang til beskyttelse af personoplysninger inden for dette direktivs anvendelsesområde.
Artikel 63
Gennemførelse
1. Medlemsstaterne vedtager og offentliggør senest den 6. maj 2018 de love og administrative bestemmel-
ser, der er nødvendige for at efterkomme dette direktiv. De meddeler straks Kommissionen teksten til dis-
se love og bestemmelser. De anvender disse love og bestemmelser fra den 6. maj 2018.
Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved
offentliggørelsen ledsages af en sådan henvisning. Medlemsstaterne fastsætter de nærmere regler for hen-
visningen.
2. Uanset stk. 1 kan en medlemsstat i ekstraordinære tilfælde, og hvis det er uforholdsmæssigt vanskeligt,
fastsætte bestemmelser om, at automatiske behandlingssystemer, der er indført før den 6. maj 2016, skal
bringes i overensstemmelse med artikel 25, stk. 1, senest den 6. maj 2023.
3. Uanset denne artikels stk. 1 og 2 kan en medlemsstat under ekstraordinære omstændigheder bringe et
automatisk behandlingssystem som omhandlet i denne artikels stk. 2 i overensstemmelse med artikel 25,
stk. 1, inden for en nærmere angivet periode efter den periode, der er omhandlet i nærværende artikels stk.
2, hvis det i modsat fald ville forårsage alvorlige vanskeligheder for driften af det pågældende automati-
ske behandlingssystem. Den pågældende medlemsstat meddeler Kommissionen årsagerne til disse alvorli-
ge vanskeligheder og årsagerne til den angivne periode, inden for hvilken den bringer det pågældende
automatiske behandlingssystem i overensstemmelse med artikel 25, stk. 1. Den angivne periode må under
ingen omstændigheder være senere end den 6. maj 2026.
4. Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de ud-
steder på det område, der er omfattet af dette direktiv.
Artikel 64
Ikrafttræden
Dette direktiv træder i kraft dagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Artikel 65
Adressater
Dette direktiv er rettet til medlemsstaterne.
Udfærdiget i Bruxelles, den 27. april 2016.
På Europa-Parlamentets vegne
M. SCHULZ
Formand
På Rådets vegne
J. A. HENNIS-PLASSCHAERT
65
Formand
(1) EUT C 391 af 18.12.2012, s. 127.
(2) Europa-Parlamentets holdning af 12.3.2014 (endnu ikke offentliggjort i EUT) og Rådets førstebehand-
lingsholdning af 8.4.2016 (endnu ikke offentliggjort i EUT). Europa-Parlamentets holdning af 14.4.2016.
(3) Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske perso-
ner i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT
L 281 af 23.11.1995, s. 31).
(4) Rådets rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger i
forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (EUT L 350 af 30.12.2008, s. 60).
(5) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger
og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (se side 1 i denne EUT).
(6) Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af
fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -orga-
nerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).
(7) Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbin-
delse med grænseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).
(8) Rådets fælles holdning 2005/69/RIA af 24. januar 2005 om udveksling af bestemte oplysninger med
Interpol (EUT L 27 af 29.1.2005, s. 61).
(9) Rådets afgørelse 2007/533/RIA af 12. juni 2007 om oprettelse, drift og brug af anden generation af
Schengen-informationssystemet (SIS II) (EUT L 205 af 7.8.2007, s. 63).
(10) Rådets direktiv 77/249/EØF af 22. marts 1977 om lettelser med henblik på den faktiske gennemførel-
se af advokaters fri udveksling af tjenesteydelser (EFT L 78 af 26.3.1977, s. 17).
(11) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle
regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennem-
førelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).
(12) Rådets afgørelse 2008/615/RIA af 23. juni 2008 om intensivering af det grænseoverskridende samar-
bejde, navnlig om bekæmpelse af terrorisme og grænseoverskridende kriminalitet (EUT L 210 af
6.8.2008, s. 1).
(13) Rådets retsakt af 29. maj 2000 om udarbejdelse i henhold til artikel 34 i traktaten om Den Europæiske
Union af konventionen om gensidig retshjælp i straffesager mellem Den Europæiske Unions medlemssta-
ter (EFT C 197 af 12.7.2000, s. 1).
(14) Europa-Parlamentets og Rådets direktiv 2011/93/EU af 13. december 2011 om bekæmpelse af seksu-
elt misbrug og seksuel udnyttelse af børn og børnepornografi og om erstatning af Rådets rammeafgørelse
2004/68/RIA (EUT L 335 af 17.12.2011, s. 1).
(15) EFT L 176 af 10.7.1999, s. 36.
66
(16) EUT L 53 af 27.2.2008, s. 52.
(17) EUT L 160 af 18.6.2011, s. 21.
(18) EUT C 192 af 30.6.2012, s. 7.
67