Vedtaget af Folketinget ved 3. behandling den 17. maj 2018

Vedtaget af Folketinget ved 3. behandling den 17. maj 2018
Forslag
til
Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri
udveksling af sådanne oplysninger (databeskyttelsesloven)1)
Afsnit I
Indledende bestemmelser
Kapitel 1
Lovens materielle anvendelsesområde
§ 1. Loven supplerer og gennemfører Europa-Parlamen-
tets og Rådets forordning nr. 2016/679 af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med behandling
af personoplysninger og om fri udveksling af sådanne oplys-
ninger (databeskyttelsesforordningen), jf. bilag 1 til denne
lov.
Stk. 2. Loven og databeskyttelsesforordningen gælder for
al behandling af personoplysninger, der helt eller delvis
foretages ved hjælp af automatisk databehandling, og for an-
den ikkeautomatisk behandling af personoplysninger, der er
eller vil blive indeholdt i et register. Loven og databeskyttel-
sesforordningen gælder dog ikke i de tilfælde, der er nævnt i
databeskyttelsesforordningens artikel 2, stk. 2, litra b-d, og
lovens § 3.
Stk. 3. Regler om behandling af personoplysninger i an-
den lovgivning, som ligger inden for databeskyttelsesforord-
ningens rammer for særregler om behandling af personop-
lysninger, går forud for reglerne i denne lov.
§ 2. Lovens §§ 6-8 og 10 og § 11, stk. 1, og databeskyttel-
sesforordningens artikel 5, stk. 1, litra a-c, artikel 6, artikel
7, stk. 3, 1. og 2. pkt., artikel 9 og 10 og artikel 77, stk. 1,
gælder også for manuel videregivelse af personoplysninger
til en anden forvaltningsmyndighed. Datatilsynet fører i
overensstemmelse med lovens kapitel 10 tilsyn med videre-
givelse som nævnt i 1. pkt.
Stk. 2. Loven og databeskyttelsesforordningen gælder
endvidere for behandling af oplysninger om virksomheder
m.v., hvis denne behandling udføres for kreditoplysningsbu-
reauer. Tilsvarende gælder, for så vidt angår behandlinger,
som er omfattet af § 26, stk. 1, nr. 1.
Stk. 3. Kapitel 4 gælder også for behandling af oplysnin-
ger om virksomheder m.v., jf. § 1, stk. 1.
Stk. 4. Loven og databeskyttelsesforordningen gælder for
enhver form for behandling af personoplysninger i forbin-
delse med tv-overvågning.
Stk. 5. Loven og databeskyttelsesforordningen finder an-
vendelse på oplysninger om afdøde personer i 10 år efter
vedkommendes død.
Stk. 6. Justitsministeren kan efter forhandling med ved-
kommende minister fastsætte regler om, at loven og databe-
skyttelsesforordningen helt eller delvis skal finde anvendel-
se på oplysninger om afdøde personer i en længere eller kor-
tere periode end angivet i stk. 5.
Stk. 7. Uden for de tilfælde, der er nævnt i stk. 2, kan ju-
stitsministeren fastsætte regler om, at lovens regler helt eller
delvis skal finde anvendelse på behandling af oplysninger
om virksomheder m.v., som udføres for private.
Stk. 8. Uden for de tilfælde, der er nævnt i stk. 3, kan
vedkommende minister fastsætte regler om, at lovens regler
helt eller delvis skal finde anvendelse på behandling af op-
lysninger om virksomheder m.v., som udføres for den of-
fentlige forvaltning.
1) Som bilag til loven er medtaget Europa-Parlamentets og Rådets forordning nr. 679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om
databeskyttelse), EU-Tidende 2016, nr. L 119, side 1. Ifølge artikel 288 i EUF-traktaten gælder en forordning umiddelbart i hver medlemsstat.
Gengivelsen af forordningen i lovens bilag er således udelukkende begrundet i praktiske hensyn og berører ikke forordningens umiddelbare gyldighed i
Danmark.
Til lovforslag nr. L 68 Folketinget 2017-18
Justitsmin., j.nr. 2017-7910-0004
AX021558
§ 3. Loven og databeskyttelsesforordningen finder ikke
anvendelse, hvis det vil være i strid med artikel 10 i Den
Europæiske Menneskerettighedskonvention eller artikel 11 i
Den Europæiske Unions Charter om Grundlæggende Rettig-
heder.
Stk. 2. Loven og databeskyttelsesforordningen finder ikke
anvendelse på den behandling af personoplysninger, som
udføres for eller af politiets og forsvarets efterretningstjene-
ster.
Stk. 3. Loven og databeskyttelsesforordningen finder ikke
anvendelse på behandling af oplysninger, der foretages som
led i Folketingets parlamentariske arbejde.
Stk. 4. Loven og databeskyttelsesforordningen finder ikke
anvendelse på behandlinger, der er omfattet af lov om mas-
semediers informationsdatabaser.
Stk. 5. Loven og databeskyttelsesforordningens kapitel II-
VII og kapitel IX finder ikke anvendelse på informationsda-
tabaser, hvori der udelukkende er indlagt allerede offentlig-
gjorte periodiske skrifter eller lyd- og billedprogrammer, der
er omfattet af medieansvarslovens § 1, nr. 1 eller 2, eller de-
le heraf, når indlæggelsen i informationsdatabasen er sket
uændret i forhold til offentliggørelsen. Dog gælder bestem-
melserne i databeskyttelsesforordningens artikel 28 og 32.
Stk. 6. Loven og databeskyttelsesforordningens kapitel II-
VII og kapitel IX gælder ikke for informationsdatabaser,
hvori der udelukkende er indlagt allerede offentliggjorte
tekster, billeder og lydprogrammer, der omfattes af medie-
ansvarslovens § 1, nr. 3, eller dele heraf, når indlæggelsen i
informationsdatabasen er sket uændret i forhold til offentlig-
gørelsen. Dog gælder bestemmelserne i databeskyttelsesfor-
ordningens artikel 28 og 32.
Stk. 7. Loven og databeskyttelsesforordningens kapitel II-
VII og kapitel IX finder ikke anvendelse på manuelle arki-
ver over udklip fra offentliggjorte trykte artikler, som ude-
lukkende behandles i journalistisk øjemed. Dog gælder be-
stemmelserne i databeskyttelsesforordningens artikel 28 og
32.
Stk. 8. Loven og databeskyttelsesforordningens kapitel II-
VII og kapitel IX finder ikke anvendelse ved behandling af
oplysninger, som i øvrigt udelukkende finder sted i journali-
stisk øjemed. Dog gælder bestemmelserne i databeskyttel-
sesforordningens artikel 28 og 32. 1. og 2. pkt. gælder til-
svarende for behandling af oplysninger, som udelukkende
sker med henblik på kunstnerisk eller litterær virksomhed.
Stk. 9. Justitsministeren kan efter forhandling med ved-
kommende minister fastsætte regler om, at personoplysnin-
ger, der behandles i nærmere bestemte it-systemer, og som
føres for den offentlige forvaltning, helt eller delvis alene
må opbevares her i landet.
Stk. 10. Forsvarsministeren kan fastsætte regler om, at lo-
ven og databeskyttelsesforordningen helt eller delvis ikke
finder anvendelse på forsvarets behandling af personoplys-
ninger i forbindelse med forsvarets internationale operative
virke.
Kapitel 2
Lovens geografiske anvendelsesområde
§ 4. Loven og regler udstedt i medfør af loven gælder for
behandling af personoplysninger, som foretages som led i
aktiviteter, der udføres for en dataansvarlig eller en databe-
handler, som er etableret i Danmark, uanset om behandlin-
gen finder sted i EU.
Stk. 2. Loven og regler udstedt i medfør af loven gælder
endvidere for den behandling, som udføres for danske diplo-
matiske repræsentationer.
Stk. 3. Loven og regler udstedt i medfør af loven gælder
for behandling af personoplysninger om registrerede, der
befinder sig i Danmark, som foretages af en dataansvarlig
eller databehandler, der ikke er etableret i EU, hvis behand-
lingsaktiviteterne vedrører
1) udbud af varer eller tjenester til sådanne registrerede,
der befinder sig i Danmark, uanset om betaling fra den
registrerede er påkrævet, eller
2) overvågning af sådanne registreredes adfærd, for så
vidt deres adfærd finder sted i Danmark.
Afsnit II
Behandlingsregler
Kapitel 3
Behandling af oplysninger
§ 5. Personoplysninger skal indsamles til udtrykkeligt an-
givne og legitime formål og må ikke viderebehandles på en
måde, der er uforenelig med disse formål.
Stk. 2. For at afgøre, om behandling til et andet formål er
forenelig med det formål, som personoplysningerne oprin-
delig blev indsamlet til, jf. stk. 1, tager den dataansvarlige
efter databeskyttelsesforordningens artikel 6, stk. 4, bl.a.
hensyn til
1) enhver forbindelse mellem det formål, som personop-
lysningerne er indsamlet til, og formålet med den på-
tænkte viderebehandling,
2) den sammenhæng, hvori personoplysningerne er blevet
indsamlet, navnlig med hensyn til forholdet mellem
den registrerede og den dataansvarlige,
3) personoplysningernes art, navnlig om særlige kategori-
er af personoplysninger behandles, jf. artikel 9, eller
om personoplysninger vedrørende straffedomme og
lovovertrædelser behandles, jf. artikel 10,
4) den påtænkte viderebehandlings mulige konsekvenser
for de registrerede og
5) tilstedeværelse af fornødne garantier, som kan omfatte
kryptering eller pseudonymisering.
Stk. 3. Uanset stk. 1 og 2 kan vedkommende minister ef-
ter forhandling med justitsministeren og inden for rammerne
af databeskyttelsesforordningens artikel 23 fastsætte nærme-
re regler om, at personoplysninger af offentlige myndighe-
der må viderebehandles til andre formål, end de oprindelig
var indsamlet til, uafhængigt af formålenes forenelighed. 1.
pkt. finder ikke anvendelse på behandling af oplysninger i
medfør af § 10. For så vidt angår helbredsoplysninger og ge-
netiske data nævnt i databeskyttelsesforordningens artikel 9,
2
stk. 1, som er indsamlet i medfør af denne lovs § 7, stk. 3,
eller i medfør af sundhedslovgivningen, finder 1. pkt. alene
anvendelse, i det omfang formålet med den videre anvendel-
se af disse oplysninger er foreneligt med det formål, som
disse personoplysninger oprindelig blev indsamlet til.
§ 6. Behandling af personoplysninger må finde sted, hvis
mindst en af betingelserne i databeskyttelsesforordningens
artikel 6, stk. 1, litra a-f, er opfyldt.
Stk. 2. Finder databeskyttelsesforordningens artikel 6, stk.
1, litra a, anvendelse i forbindelse med udbud af informati-
onssamfundstjenester direkte til børn, er behandling af per-
sonoplysninger om et barn lovlig, hvis barnet er mindst 13
år.
Stk. 3. Er barnet under 13 år, er behandling kun lovlig,
hvis og i det omfang samtykke gives eller godkendes af in-
dehaveren af forældremyndigheden over barnet.
§ 7. Forbuddet mod behandling af følsomme personoplys-
ninger omfattet af databeskyttelsesforordningens artikel 9,
stk. 1, gælder ikke i tilfælde, hvor betingelserne for behand-
ling af personoplysninger i databeskyttelsesforordningens
artikel 9, stk. 2, litra a, c, d, e eller f, er opfyldt.
Stk. 2. Behandling af oplysninger omfattet af databeskyt-
telsesforordningens artikel 9, stk. 1, kan ske, hvis behand-
ling er nødvendig for at overholde den dataansvarliges eller
den registreredes arbejdsretlige forpligtelser og specifikke
rettigheder, jf. databeskyttelsesforordningens artikel 9, stk.
2, litra b.
Stk. 3. Behandling af oplysninger omfattet af databeskyt-
telsesforordningens artikel 9, stk. 1, kan ske, hvis behand-
ling af oplysninger er nødvendig med henblik på forebyg-
gende sygdomsbekæmpelse, medicinsk diagnose, sygepleje
eller patientbehandling eller forvaltning af læge- og sund-
hedstjenester og behandlingen af oplysningerne foretages af
en person inden for sundhedssektoren, der efter lovgivnin-
gen er undergivet tavshedspligt, jf. databeskyttelsesforord-
ningens artikel 9, stk. 2, litra h.
Stk. 4. Behandling af oplysninger omfattet af databeskyt-
telsesforordningens artikel 9, stk. 1, kan ske, hvis behand-
ling af oplysninger er nødvendig af hensyn til væsentlige
samfundsinteresser, jf. databeskyttelsesforordningens artikel
9, stk. 2, litra g. Tilsynsmyndigheden giver tilladelse hertil,
hvis behandlingen efter 1. pkt. ikke foretages for en offent-
lig myndighed. Der kan i en tilladelse efter 2. pkt. fastsættes
nærmere vilkår for behandlingen.
Stk. 5. Uden for de i stk. 1-4 nævnte tilfælde kan
vedkommende minister efter forhandling med justitsministe-
ren og inden for databeskyttelsesforordningens rammer fast-
sætte nærmere regler om behandling af personoplysninger
omfattet af databeskyttelsesforordningens artikel 9, stk. 1.
§ 8. For den offentlige forvaltning må der ikke behandles
oplysninger om strafbare forhold, medmindre det er nødven-
digt for varetagelsen af myndighedens opgaver.
Stk. 2. De oplysninger, der er nævnt i stk. 1, må ikke vide-
regives. Videregivelse kan dog ske, hvis
1) den registrerede har givet sit udtrykkelige samtykke til
videregivelsen,
2) videregivelsen sker til varetagelse af private eller of-
fentlige interesser, der klart overstiger hensynet til de
interesser, der begrunder hemmeligholdelse, herunder
hensynet til den, oplysningen angår,
3) videregivelsen er nødvendig for udførelsen af en myn-
digheds virksomhed eller påkrævet for en afgørelse,
som myndigheden skal træffe, eller
4) videregivelsen er nødvendig for udførelsen af en per-
sons eller virksomheds opgaver for det offentlige.
Stk. 3. Private må behandle oplysninger om strafbare for-
hold, hvis den registrerede har givet sit udtrykkelige sam-
tykke hertil. Herudover kan behandling ske, hvis det er nød-
vendigt til varetagelse af en berettiget interesse og denne in-
teresse klart overstiger hensynet til den registrerede.
Stk. 4. De oplysninger, der er nævnt i stk. 3, må ikke vide-
regives uden den registreredes udtrykkelige samtykke. Vide-
regivelse kan dog ske uden samtykke, når det sker til vareta-
gelse af offentlige eller private interesser, herunder hensynet
til den pågældende selv, der klart overstiger hensynet til de
interesser, der begrunder hemmeligholdelse.
Stk. 5. Behandling af oplysninger i de tilfælde, der er re-
guleret i stk. 1-4, kan i øvrigt finde sted, hvis betingelserne i
§ 7 er opfyldt.
§ 9. Oplysninger omfattet af databeskyttelsesforordnin-
gens artikel 9, stk. 1, og artikel 10 må behandles, hvis dette
alene sker med henblik på at føre retsinformationssystemer
af væsentlig samfundsmæssig betydning, og hvis behandlin-
gen er nødvendig for førelsen af systemerne.
Stk. 2. Oplysninger omfattet af stk. 1 må ikke senere be-
handles i andet øjemed. Det samme gælder behandling af
andre oplysninger, som alene foretages med henblik på at
føre retsinformationssystemer efter forordningens artikel 6.
Stk. 3. Tilsynsmyndigheden kan meddele nærmere vilkår
for de behandlinger, der er nævnt i stk. 1. Tilsvarende gæl-
der for de oplysninger, der er nævnt i forordningens artikel
6, og som alene behandles i forbindelse med førelsen af
retsinformationssystemer.
§ 10. Oplysninger som nævnt i databeskyttelsesforordnin-
gens artikel 9, stk. 1, og artikel 10 må behandles, hvis dette
alene sker med henblik på at udføre statistiske eller viden-
skabelige undersøgelser af væsentlig samfundsmæssig be-
tydning, og hvis behandlingen er nødvendig af hensyn til
udførelsen af undersøgelserne.
Stk. 2. De oplysninger, der er omfattet af stk. 1, må ikke
senere behandles i andet end videnskabeligt eller statistisk
øjemed. Det samme gælder behandling af andre oplysnin-
ger, som alene foretages i statistisk eller videnskabeligt øje-
med efter databeskyttelsesforordningens artikel 6.
Stk. 3. Videregivelse af oplysninger omfattet af stk. 1 og 2
til tredjemand kræver forudgående tilladelse fra tilsynsmyn-
digheden, når videregivelsen
1) sker til behandling uden for databeskyttelsesforordnin-
gens territoriale anvendelsesområde, jf. databeskyttel-
sesforordningens artikel 3,
2) vedrører biologisk materiale eller
3) sker med henblik på offentliggørelse i et anerkendt vi-
denskabeligt tidsskrift el.lign.
3
Stk. 4. Tilsynsmyndigheden kan fastsætte generelle vilkår
for videregivelse af oplysninger omfattet af stk. 1 og 2, her-
under for videregivelse, der ikke kræver tilladelse efter stk.
3. Tilsynsmyndigheden kan endvidere fastsætte nærmere
vilkår for videregivelse af oplysninger efter stk. 3.
Stk. 5. Sundhedsministeren kan efter forhandling med ju-
stitsministeren uanset stk. 2 fastsætte regler om, at oplysnin-
ger omfattet af stk. 1 og 2, som er behandlet med henblik på
at udføre sundhedsfaglige statistiske og videnskabelige un-
dersøgelser, senere kan behandles i andet end statistisk eller
videnskabeligt øjemed, hvis behandlingen er nødvendig af
hensyn til varetagelse af den registreredes vitale interesser.
§ 11. Offentlige myndigheder kan behandle oplysninger
om personnummer med henblik på en entydig identifikation
eller som journalnummer.
Stk. 2. Private må behandle oplysninger om personnum-
mer, når
1) det følger af lovgivningen,
2) den registrerede har givet samtykke hertil i overens-
stemmelse med databeskyttelsesforordningens artikel
7,
3) behandlingen alene finder sted til videnskabelige eller
statistiske formål, eller hvis der er tale om videregivel-
se af oplysninger om personnummer, når videregivel-
sen er et naturligt led i den normale drift af virksomhe-
der m.v. af den pågældende art, og når videregivelsen
er af afgørende betydning for at sikre en entydig identi-
fikation af den registrerede eller videregivelsen kræves
af en offentlig myndighed eller
4) betingelserne i § 7 er opfyldt.
Stk. 3. Uanset bestemmelsen i stk. 2, nr. 3, må person-
nummer ikke offentliggøres, medmindre der er givet sam-
tykke i overensstemmelse med databeskyttelsesforordnin-
gens artikel 7.
§ 12. Behandling af personoplysninger i forbindelse med
ansættelsesforhold omfattet af artikel 6, stk. 1, og artikel 9,
stk. 1, i databeskyttelsesforordningen kan finde sted, hvis
behandlingen er nødvendig for at overholde den dataansvar-
liges eller den registreredes arbejdsretlige forpligtelser eller
rettigheder som fastlagt i anden lovgivning eller kollektive
overenskomster.
Stk. 2. Behandling af oplysninger som nævnt i stk. 1 må
også finde sted, hvis behandlingen er nødvendig for, at den
dataansvarlige eller en tredjemand kan forfølge en legitim
interesse, som udspringer af anden lovgivning eller kollekti-
ve overenskomster, medmindre den registreredes interesser
eller grundlæggende rettigheder og frihedsrettigheder går
forud herfor.
Stk. 3. Behandling af personoplysninger i ansættelsesfor-
hold kan finde sted på baggrund af den registreredes sam-
tykke i overensstemmelse med artikel 7 i databeskyttelses-
forordningen.
§ 13. En virksomhed må ikke videregive oplysninger om
en forbruger til en anden virksomhed til brug ved direkte
markedsføring eller anvende oplysningerne på vegne af en
anden virksomhed i dette øjemed, medmindre forbrugeren
har givet sit udtrykkelige samtykke hertil. Et samtykke skal
indhentes i overensstemmelse med reglerne i markedsfø-
ringslovens § 10.
Stk. 2. Videregivelse og anvendelse som nævnt i stk. 1
kan dog ske uden samtykke, hvis der er tale om generelle
kundeoplysninger, der danner grundlag for inddeling i kun-
dekategorier, og hvis betingelserne i databeskyttelsesforord-
ningens artikel 6, stk. 1, litra f, er opfyldt.
Stk. 3. Der kan efter stk. 2 ikke videregives eller anvendes
oplysninger som nævnt i databeskyttelsesforordningens arti-
kel 9, stk. 1, eller denne lovs § 8.
Stk. 4. Inden en virksomhed videregiver oplysninger om
en forbruger til en anden virksomhed med henblik på direkte
markedsføring eller anvender oplysningerne på vegne af en
anden virksomhed i dette øjemed, skal den undersøge i
CPR, om forbrugeren har frabedt sig henvendelser i mar-
kedsføringsøjemed.
Stk. 5. Dataansvarlige, der med henblik på direkte mar-
kedsføring sælger fortegnelser over grupper af personer, el-
ler som for tredjemand foretager adressering eller udsendel-
se af meddelelser til sådanne grupper, må kun behandle
1) oplysninger om navn, adresse, stilling, erhverv, e-mail-
adresse, telefon- og telefaxnummer,
2) oplysninger, der indgår i erhvervsregistre, som i hen-
hold til lov eller bestemmelser fastsat i henhold til lov
er beregnet til at informere offentligheden, og
3) andre oplysninger, hvis den registrerede har givet ud-
trykkeligt samtykke dertil.
Stk. 6. Et samtykke efter stk. 5 skal indhentes i overens-
stemmelse med markedsføringslovens § 10.
Stk. 7. Behandling af oplysninger som nævnt i stk. 5 må
ikke omfatte oplysninger som nævnt i databeskyttelsesfor-
ordningens artikel 9, stk. 1, eller denne lovs § 8.
Stk. 8. Justitsministeren kan fastsætte yderligere begræns-
ninger i adgangen til at videregive eller anvende bestemte
typer af oplysninger efter stk. 2.
Stk. 9. Justitsministeren kan fastsætte yderligere begræns-
ninger end de i stk. 7 nævnte i adgangen til at behandle be-
stemte typer af oplysninger.
§ 14. Oplysninger, der er omfattet af denne lov, kan over-
føres til opbevaring i arkiv efter reglerne i arkivlovgivnin-
gen.
Kapitel 4
Videregivelse til kreditoplysningsbureauer af oplysninger
om gæld til det offentlige
§ 15. Oplysninger om gæld til det offentlige kan efter be-
stemmelserne i dette kapitel videregives til kreditoplys-
ningsbureauer.
Stk. 2. Oplysninger som nævnt i databeskyttelsesforord-
ningens artikel 9, stk. 1, eller artikel 10 må ikke videregives
til kreditoplysningsbureauer.
Stk. 3. Fortrolige oplysninger, som videregives efter reg-
lerne i dette kapitel, anses ikke som følge af videregivelsen
som offentligt tilgængelige.
4
§ 16. Oplysninger om gæld til det offentlige kan videregi-
ves til et kreditoplysningsbureau, hvis
1) det følger af lov eller bestemmelser fastsat i henhold til
lov eller
2) den samlede gæld er forfalden og overstiger 7.500 kr.,
idet der dog ikke heri må indgå gældsposter, der er om-
fattet af en overholdt aftale om henstand eller afdrags-
vis betaling, jf. dog stk. 2 og 3.
Stk. 2. Det er en betingelse for videregivelse efter stk. 1,
nr. 2, at den samlede gæld administreres af samme inddri-
velsesmyndighed.
Stk. 3. Det er endvidere en betingelse for videregivelse ef-
ter stk. 1, nr. 2, at
1) gælden kan inddrives ved udpantning og der er frem-
sendt to rykkere til skyldneren,
2) der er foretaget eller forsøgt foretaget udlæg for kravet,
3) kravet er fastslået ved endelig dom eller
4) det offentlige har erhvervet skyldnerens skriftlige er-
kendelse af den forfaldne gæld.
§ 17. Myndigheden skal give skyldneren skriftlig medde-
lelse, forinden videregivelse finder sted. Videregivelse må
tidligst ske, 4 uger efter at denne meddelelse er givet.
Stk. 2. Den meddelelse, der er nævnt i stk. 1, skal indehol-
de oplysninger om,
1) hvilke oplysninger der vil blive videregivet,
2) til hvilket kreditoplysningsbureau videregivelsen vil
ske,
3) hvornår videregivelse vil finde sted, og
4) at videregivelse ikke vil ske, hvis betaling af gælden
sker inden videregivelsen eller der indrømmes henstand
eller indgås og overholdes en aftale om afdragsvis beta-
ling.
§ 18. Vedkommende minister kan fastsætte nærmere reg-
ler om fremgangsmåden ved videregivelse til kreditoplys-
ningsbureauer af oplysninger om gæld til det offentlige. Der
kan i den forbindelse fastsættes regler om, at oplysninger
om visse former for gæld til det offentlige ikke må videregi-
ves eller kun må videregives, hvis yderligere betingelser end
dem, der er nævnt i § 16, er opfyldt.
Kapitel 5
Kreditoplysningsbureauer
§ 19. Den, som ønsker at drive virksomhed med behand-
ling af oplysninger til bedømmelse af økonomisk soliditet
og kreditværdighed med henblik på videregivelse (kreditop-
lysningsbureau), skal indhente tilladelse hertil fra Datatilsy-
net, inden behandlingen påbegyndes, jf. § 26, stk. 1, nr. 2.
§ 20. Kreditoplysningsbureauer må kun behandle oplys-
ninger, som efter deres art er af betydning for bedømmelse
af økonomisk soliditet og kreditværdighed.
Stk. 2. Kreditoplysningsbureauer må ikke behandle oplys-
ninger som nævnt i databeskyttelsesforordningens artikel 9,
stk. 1, eller artikel 10.
Stk. 3. Oplysninger om forhold, der taler imod kreditvær-
dighed, og som er mere end 5 år gamle, må ikke behandles,
medmindre det i det enkelte tilfælde er åbenbart, at forholdet
er af afgørende betydning for bedømmelsen af den pågæl-
dendes økonomiske soliditet og kreditværdighed.
Stk. 4. Databeskyttelsesforordningens artikel 12-19 skal
overholdes ved behandling af oplysninger om virksomheder
m.v., hvis denne behandling udføres for kreditoplysningsbu-
reauer.
§ 21. Oplysninger om økonomisk soliditet og kreditvær-
dighed til abonnenter må kun meddeles skriftligt. Kreditop-
lysningsbureauet kan dog meddele summariske oplysninger
mundtligt eller på lignende måde, hvis spørgerens navn og
adresse noteres og opbevares i mindst 6 måneder.
Stk. 2. Kreditoplysningsbureauers publikationer må kun
indeholde oplysninger i summarisk form og kun udsendes til
personer eller virksomheder, der abonnerer på meddelelser
fra bureauet. Publikationerne må ikke indeholde oplysninger
om de registreredes personnummer.
Stk. 3. Summariske oplysninger om skyldforhold må kun
videregives, hvis oplysningerne hidrører fra Statstidende, er
indberettet af en offentlig myndighed efter reglerne i kapitel
4, eller hvis oplysningerne vedrører skyldforhold til samme
kreditor på mere end 1.000 kr. og kreditor enten har erhver-
vet den registreredes skriftlige erkendelse af en forfalden
gæld eller der er foretaget retslige skridt mod den pågælden-
de. Oplysninger om endelig godkendt gældssanering må dog
ikke videregives. De regler, der er nævnt i 1. og 2. pkt., gæl-
der tillige for videregivelse af summariske oplysninger om
skyldforhold i forbindelse med udarbejdelse af bredere kre-
ditbedømmelser.
Stk. 4. Videregivelse af summariske oplysninger om en-
keltpersoners skyldforhold må kun ske på en sådan måde, at
oplysningerne ikke kan danne grundlag for vurderingen af
økonomisk soliditet og kreditværdighed for andre end de på-
gældende enkeltpersoner.
Afsnit III
Registreredes rettigheder
Kapitel 6
Begrænsninger i registreredes rettigheder
§ 22. Bestemmelserne i databeskyttelsesforordningens ar-
tikel 13, stk. 1-3, artikel 14, stk. 1-4, artikel 15 og artikel 34
gælder ikke, hvis den registreredes interesse i oplysningerne
findes at burde vige for afgørende hensyn til private interes-
ser, herunder hensynet til den pågældende selv.
Stk. 2. Undtagelse fra bestemmelserne i databeskyttelses-
forordningens artikel 13, stk. 1-3, artikel 14, stk. 1-4, artikel
15 og artikel 34 kan tillige gøres, hvis den registreredes inte-
resse i at få kendskab til oplysningerne findes at burde vige
for afgørende hensyn til offentlige interesser, herunder
navnlig til
1) statens sikkerhed,
2) forsvaret,
3) den offentlige sikkerhed,
4) forebyggelse, efterforskning, afsløring eller retsfor-
følgning af strafbare handlinger eller fuldbyrdelse af
strafferetlige sanktioner, herunder beskyttelse mod og
forebyggelse af trusler mod den offentlige sikkerhed,
5
5) andre vigtige målsætninger i forbindelse med beskyt-
telse af Den Europæiske Unions eller en medlemsstats
generelle samfundsinteresser, navnlig Den Europæ-
iske Unions eller en medlemsstats væsentlige økono-
miske eller finansielle interesser, herunder valuta-,
budget- og skatteanliggender, folkesundhed og social
sikkerhed,
6) beskyttelse af retsvæsenets uafhængighed og retssa-
ger,
7) forebyggelse, efterforskning, afsløring og retsforfølg-
ning i forbindelse med brud på etiske regler for lovre-
gulerede erhverv,
8) kontrol-, tilsyns- eller reguleringsfunktioner, herunder
opgaver af midlertidig karakter, der er forbundet med
offentlig myndighedsudøvelse i de tilfælde, der er om-
handlet i nr. 1-5 og 7,
9) beskyttelse af den registreredes eller andres rettighe-
der og frihedsrettigheder og
10) håndhævelse af civilretlige krav.
Stk. 3. Oplysninger, der behandles for den offentlige for-
valtning som led i administrativ sagsbehandling, kan undta-
ges fra retten til indsigt efter databeskyttelsesforordningens
artikel 15, stk. 1, i samme omfang som efter reglerne i §§
19-29 og 35 i lov om offentlighed i forvaltningen.
Stk. 4. Databeskyttelsesforordningens artikel 13-15 finder
ikke anvendelse på behandling af personoplysninger, der
foretages for domstolene, når disse handler i deres egenskab
af domstol.
Stk. 5. Databeskyttelsesforordningens artikel 15, 16, 18
og 21 finder ikke anvendelse, hvis oplysningerne udeluk-
kende behandles i videnskabeligt eller statistisk øjemed.
Stk. 6. Databeskyttelsesforordningens artikel 34 gælder
ikke, så længe underretning af registrerede konkret må anta-
ges at vanskeliggøre efterforskningen af strafbare forhold.
Anvendelse af 1. pkt. kan alene besluttes af politiet.
§ 23. Oplysningspligten efter databeskyttelsesforordnin-
gens artikel 13, stk. 3, og artikel 14, stk. 4, finder ikke an-
vendelse, når offentlige myndigheder viderebehandler per-
sonoplysningerne til et andet formål end det, hvortil de er
indsamlet, og viderebehandlingen sker på baggrund af regler
fastsat efter lovens § 5, stk. 3. 1. pkt. finder ikke anvendelse,
når formålet er sammenstilling eller samkøring af personop-
lysninger i kontroløjemed.
Afsnit IV
Supplerende bestemmelser til
databeskyttelsesforordningens kapitel IV
Kapitel 7
Tavshedspligt for databeskyttelsesrådgivere
§ 24. Databeskyttelsesrådgivere, der er udpeget efter data-
beskyttelsesforordningens artikel 37, stk. 1, litra b og c, må
ikke uberettiget videregive eller udnytte oplysninger, som de
under udøvelsen af deres hverv som databeskyttelsesrådgi-
ver er blevet bekendt med.
Kapitel 8
Akkreditering af certificeringsorganer
§ 25. Datatilsynet og det nationale akkrediteringsorgan,
som er udpeget i overensstemmelse med Europa-Parlamen-
tets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008
om kravene til akkreditering og markedsovervågning i for-
bindelse med markedsføring af produkter og om ophævelse
af Rådets forordning (EØF) nr. 339/93, er bemyndiget til at
akkreditere certificeringsorganer, jf. databeskyttelsesforord-
ningens artikel 43, stk. 1, litra a og b.
Afsnit V
Tilladelse til behandling
Kapitel 9
Tilladelse til behandling
§ 26. Forinden iværksættelse af en behandling, der foreta-
ges for en privat dataansvarlig, skal Datatilsynets tilladelse
indhentes, når
1) behandlingen af oplysningerne sker med henblik på at
advare andre mod forretningsforbindelser med eller an-
sættelsesforhold til en registreret,
2) behandlingen sker med henblik på erhvervsmæssig vi-
deregivelse af oplysninger til bedømmelse af økono-
misk soliditet og kreditværdighed eller
3) behandlingen udelukkende finder sted med henblik på
at føre retsinformationssystemer.
Stk. 2. Justitsministeren kan fastsætte regler om undtagel-
ser fra bestemmelserne i stk. 1.
Stk. 3. Justitsministeren kan fastsætte regler om, at der
forinden iværksættelse af andre behandlinger end dem, der
er nævnt i stk. 1, skal indhentes tilladelse fra tilsynet, herun-
der for behandlinger, der foretages for en offentlig myndig-
hed.
Stk. 4. Tilsynet kan i forbindelse med meddelelse af tilla-
delse efter stk. 1 eller 3 fastsætte vilkår for udførelsen af be-
handlingerne til beskyttelse af de registreredes privatliv.
Stk. 5. Forinden iværksættelse af ændringer i de behand-
linger, der er nævnt i stk. 1 eller 3, skal Datatilsynets tilla-
delse indhentes på ny, hvis der er tale om væsentlige æn-
dringer.
Afsnit VI
Uafhængige tilsynsmyndigheder
Kapitel 10
Datatilsynet
§ 27. Datatilsynet, der består af et råd og et sekretariat, fø-
rer i overensstemmelse med databeskyttelsesforordningens
kapitel VI og VII tilsyn med enhver behandling, der omfat-
tes af denne lov, databeskyttelsesforordningen og anden lov-
givning, som ligger inden for databeskyttelsesforordningens
rammer for særregler om behandling af personoplysninger,
jf. dog lovens kapitel 11. Datatilsynet udøver sine funktioner
i fuld uafhængighed.
6
Stk. 2. Tilsynets daglige forretninger varetages af et sekre-
tariat, der ledes af en direktør.
Stk. 3. Justitsministeren nedsætter Datarådet, som består
af 1 formand, der skal være landsdommer eller højesterets-
dommer, og af 7 andre medlemmer. Erhvervsministeren og
ministeren for offentlig innovation udnævner hver 1 af de 7
andre medlemmer omfattet af 1. pkt. Justitsministeren kan
udnævne stedfortrædere for 5 medlemmer, og erhvervsmini-
steren og ministeren for offentlig innovation kan udnævne
hver en af stedfortræderne. Formanden, medlemmerne og
stedfortræderne for disse udnævnes for 4 år. Der kan ske
genudpegning to gange. Udpegelsen af formand, medlem-
mer og stedfortrædere for disse sker på baggrund af disses
faglige kvalifikationer.
Stk. 4. Rådet fastsætter sin forretningsorden og de nærme-
re regler om arbejdets fordeling mellem råd og sekretariat.
Stk. 5. Udpegelsen af formand, medlemmer og stedfortræ-
dere for disse er betinget af, at de pågældende sikkerheds-
godkendes, og at godkendelsen opretholdes i hele embeds-
perioden.
Stk. 6. Hvervet som formand, medlem eller stedfortræder
ophører ved udgangen af embedsperioden eller ved frivillig
fratræden.
Stk. 7. Formanden, medlemmerne og stedfortræderne for
disse kan alene afskediges i tilfælde af alvorligt embedsmis-
brug, eller hvis disse ikke længere opfylder betingelserne for
at varetage hvervet.
Stk. 8. Sekretariatets personale samt Datarådets formand
og medlemmer og stedfortrædere for disse kan kun have bi-
beskæftigelse, i det omfang det er foreneligt med udøvelsen
af de pligter, der er knyttet til stillingen eller hvervet.
Stk. 9. Datatilsynet repræsenterer tilsynsmyndighederne i
Det Europæiske Databeskyttelsesråd i overensstemmelse
med databeskyttelsesforordningens kapitel VII, afdeling 1
og 2.
§ 28. Ved udarbejdelse af lovforslag, bekendtgørelser, cir-
kulærer eller lignende generelle retsforskrifter, der har be-
tydning for beskyttelsen af privatlivet i forbindelse med be-
handling af personoplysninger, skal der indhentes en udta-
lelse fra Datatilsynet.
§ 29. Datatilsynet kan kræve enhver oplysning, der er af
betydning for dets virksomhed, herunder til afgørelse af, om
et forhold falder ind under databeskyttelsesforordningens og
lovens bestemmelser.
Stk. 2. Datatilsynets medlemmer og personale har mod
behørig legitimation til enhver tid uden retskendelse adgang
til alle lokaler, hvorfra en behandling af personoplysninger
foretages. Politiet yder om fornødent bistand hertil.
§ 30. Datatilsynets afgørelser kan ikke indbringes for an-
den administrativ myndighed.
Stk. 2. Datatilsynet kan indbringe spørgsmål om overtræ-
delser af denne lov og databeskyttelsesforordningen for ret-
ten i den borgerlige retsplejes former.
§ 31. Er der ikke vedtaget en afgørelse om tilstrækkelig-
heden af beskyttelsesniveauet efter artikel 45 i databeskyt-
telsesforordningen, kan Datatilsynet i særlige tilfælde forby-
de, begrænse eller suspendere overførsel af særlige kategori-
er af oplysninger omfattet af databeskyttelsesforordningens
artikel 9, stk. 1, til et tredjeland eller en international organi-
sation.
§ 32. Datatilsynet kan påse, at en behandling af oplysnin-
ger, som finder sted i Danmark, er lovlig, uanset at den på-
gældende behandling er undergivet en anden medlemsstats
lovgivning. Bestemmelsen i § 29 finder tilsvarende anven-
delse.
Stk. 2. Datatilsynet kan videregive oplysninger til tilsyns-
myndigheder i andre medlemsstater, i det omfang det er
nødvendigt for at påse overholdelsen af bestemmelserne i
denne lov, databeskyttelsesforordningen eller den pågælden-
de medlemsstats databeskyttelseslovgivning.
§ 33. Datatilsynet kan offentliggøre sine udtalelser og af-
gørelser. Bestemmelsen i § 22 finder anvendelse på offent-
liggørelsen.
§ 34. Datatilsynet og Domstolsstyrelsen samarbejder, i
det omfang det er nødvendigt for at opfylde deres pligter,
navnlig ved at udveksle alle relevante oplysninger.
§ 35. Justitsministeren kan fastsætte nærmere regler om,
at Datatilsynet og Domstolsstyrelsen har yderligere beføjel-
ser end dem, der er omhandlet i databeskyttelsesforord-
ningens artikel 58, stk. 1, 2 og 3.
§ 36. Datatilsynet kan bestemme, at ansøgninger om tilla-
delse efter denne lov og ændringer heri kan eller skal indgi-
ves på nærmere angiven måde.
Stk. 2. Justitsministeren kan i henhold til denne lov fast-
sætte regler om betaling af gebyr for indgivelse af ansøgnin-
ger om tilladelser og ændringer heri, herunder regler om ge-
byrets størrelse og om, at en tilladelse ikke meddeles, før be-
taling er sket.
Stk. 3. Justitsministeren kan fastsætte regler om betaling
af gebyr efter databeskyttelsesforordningens artikel 57, stk.
4.
Stk. 4. Justitsministeren kan fastsætte regler om, at hen-
vendelser til Datatilsynet om databeskyttelsesforordningen
og loven skal foregå digitalt. Justitsministeren kan i den for-
bindelse fastsætte nærmere regler om digital kommunika-
tion, herunder om anvendelse af bestemte it-systemer, særli-
ge digitale formater og digital signatur el.lign. Justitsmini-
steren kan endvidere fastsætte nærmere regler om afvisning
af henvendelser, der ikke indgives digitalt, og om undtagel-
ser herfra. Justitsministeren kan endelig fastsætte nærmere
regler om, hvornår en digital meddelelse anses for at være
kommet frem.
Kapitel 11
Tilsyn med domstolene
§ 37. Domstolsstyrelsen fører i overensstemmelse med
databeskyttelsesforordningens kapitel VI og VII tilsyn med
behandling af oplysninger, der foretages for domstolene, når
disse ikke handler i deres egenskab af domstol.
Stk. 2. For anden behandling af oplysninger træffes afgø-
relse af vedkommende ret. Afgørelsen kan kæres til højere
7
ret. For særlige domstole, hvis afgørelser ikke kan indbrin-
ges for højere ret, kan den afgørelse, der er nævnt i 1. pkt.,
kæres til den landsret, i hvis kreds retten er beliggende. Kæ-
refristen er 4 uger, fra den dag afgørelsen er meddelt den på-
gældende.
§ 38. For Domstolsstyrelsens udøvelse af tilsyn i henhold
til § 37 gælder bestemmelserne i §§ 29 og 34. Domstolssty-
relsens afgørelser er endelige.
Afsnit VII
Retsmidler, ansvar, sanktioner og afsluttende
bestemmelser
Kapitel 12
Retsmidler, ansvar og sanktioner
§ 39. Den registrerede eller dennes repræsentant kan kla-
ge til vedkommende tilsynsmyndighed over behandling af
oplysninger vedrørende den registrerede, jf. databeskyttel-
sesforordningens artikel 77.
Stk. 2. Tilsynsmyndighedernes afgørelser, undladelser af
at behandle en klage fra en registreret eller manglende un-
derretning kan af den registrerede eller dennes repræsentant
indbringes for domstolene i den borgerlige retsplejes former,
jf. databeskyttelsesforordningens artikel 78.
Stk. 3. Den registrerede eller dennes repræsentant kan ind-
bringe spørgsmål om dataansvarliges og databehandleres
overholdelse af denne lov for domstolene i den borgerlige
retsplejes former, jf. databeskyttelsesforordningens artikel
79.
§ 40. Enhver person, som har lidt materiel eller immateri-
el skade som følge af en ulovlig behandlingsaktivitet eller
enhver anden behandling i strid med denne lov og databe-
skyttelsesforordningen, har ret til erstatning efter databe-
skyttelsesforordningens artikel 82.
§ 41. Medmindre højere straf er forskyldt efter den øvrige
lovgivning, straffes med bøde eller fængsel indtil 6 måneder
den, der overtræder bestemmelserne om
1) den dataansvarliges og databehandlerens forpligtelser i
henhold til databeskyttelsesforordningens artikel 8, 11,
25-39, 42 eller 43,
2) certificeringsorganets forpligtelser i henhold til databe-
skyttelsesforordningens artikel 42 eller 43,
3) kontrolorganets forpligtelser i henhold til databeskyt-
telsesforordningens artikel 41, stk. 4,
4) de grundlæggende principper for behandling, herunder
betingelserne for samtykke, i databeskyttelsesforord-
ningens artikel 5-7 og 9,
5) de registreredes rettigheder i henhold til databeskyttel-
sesforordningen artikel 12-22 eller
6) overførsel af personoplysninger til en modtager i et
tredjeland eller en international organisation i henhold
til databeskyttelsesforordningens artikel 44-49.
Stk. 2. På samme måde straffes den, der
1) overtræder § 5, stk. 1 og 2, § 6, § 7, stk. 1-4, § 8, § 9,
stk. 1 og 2, § 10, stk. 1-4, §§ 11 og 12, § 13, stk. 1-7, §
20, § 21 eller § 26, stk. 1 og 5,
2) overtræder databeskyttelsesforordningens artikel 10,
medmindre forholdet er omfattet af § 8,
3) hindrer tilsynsmyndigheden i at få adgang efter artikel
58, stk. 1,
4) undlader at efterkomme et påbud eller en midlertidig
eller definitiv begrænsning af behandling eller tilsyns-
myndighedens suspension af overførsel af oplysninger i
henhold til databeskyttelsesforordningens artikel 58,
stk. 2,
5) undlader at efterkomme et påbud fra tilsynsmyndighe-
den som omhandlet i databeskyttelsesforordningens ar-
tikel 58, stk. 2,
6) undlader at efterkomme Datatilsynets krav efter § 29,
stk. 1, eller § 32, stk. 1, 2. pkt., jf. § 29, stk. 1,
7) hindrer Datatilsynet i at få adgang efter § 29, stk. 2, el-
ler § 32, stk. 1, 2. pkt., jf. § 29, stk. 2, eller
8) i øvrigt undlader at efterkomme Datatilsynets afgørel-
ser efter loven eller tilsidesætter Datatilsynets vilkår for
en tilladelse i medfør af loven.
Stk. 3. Databeskyttelsesforordningens artikel 83, stk. 2,
skal følges ved pålæggelse af straf efter stk. 1 og 2.
Stk. 4. Den, der overtræder § 24, straffes med bøde, med-
mindre højere straf er forskyldt efter den øvrige lovgivning.
Stk. 5. I regler, der udstedes i medfør af loven, kan der
fastsættes straf af bøde eller fængsel indtil 6 måneder.
Stk. 6. Der kan pålægges selskaber m.v. (juridiske perso-
ner) strafansvar efter reglerne i straffelovens 5. kapitel. Uan-
set straffelovens § 27, stk. 2, kan offentlige myndigheder og
institutioner m.v., som er omfattet af forvaltningslovens § 1,
stk. 1 eller 2, straffes i anledning af overtrædelser, der begås
ved udøvelse af virksomhed, der ikke svarer til eller kan si-
destilles med virksomhed udøvet af private.
Stk. 7. Forældelsesfristen for overtrædelse af databeskyt-
telsesforordningen, denne lov eller regler udstedt i medfør af
loven er 5 år.
§ 42. Skønnes en overtrædelse af denne lov eller databe-
skyttelsesforordningen eller regler, der er udstedt i medfør
af loven, ikke at ville medføre højere straf end bøde, kan
Datatilsynet i et bødeforelæg tilkendegive, at sagen kan af-
gøres uden retssag, hvis den, der har begået overtrædelsen,
erklærer sig skyldig i overtrædelsen og erklærer sig rede til
inden en nærmere angivet frist, der efter begæring kan for-
længes, at betale en i bødeforelægget angivet bøde.
Stk. 2. Retsplejelovens regler om krav til indholdet af et
anklageskrift og om, at en sigtet ikke er forpligtet til at udta-
le sig, finder tilsvarende anvendelse på bødeforelæg.
Stk. 3. Vedtages bøden, bortfalder videre forfølgning.
§ 43. Den, der driver eller er beskæftiget med virksomhed
som nævnt i § 26 eller som privat databehandler opbevarer
personoplysninger, kan ved dom for strafbart forhold fra-
kendes retten hertil, såfremt det udviste forhold begrunder
en nærliggende fare for misbrug. I øvrigt finder straffelo-
vens § 79, stk. 3 og 4, anvendelse.
8
Kapitel 13
Afsluttende bestemmelser
§ 44. Vedkommende minister kan i særlige tilfælde og in-
den for databeskyttelsesforordningens rammer for særregler
om behandling af personoplysninger efter forhandling med
justitsministeren fastsætte nærmere regler om behandlinger,
som udføres for den offentlige forvaltning.
Stk. 2. Justitsministeren kan inden for databeskyttelsesfor-
ordningens rammer for særregler om behandling af person-
oplysninger fastsætte nærmere regler om bestemte typer af
behandlinger, som udføres for private dataansvarlige, herun-
der at bestemte typer oplysninger ikke må behandles.
§ 45. Justitsministeren kan fastsætte regler, som er nød-
vendige for at gennemføre de af Den Europæiske Union ud-
stedte beslutninger, som træffes med henblik på gennemfø-
relse af databeskyttelsesforordningen, eller regler, som er
nødvendige for at anvende de af Den Europæiske Union ud-
stedte retsakter på forordningens område.
§ 46. Loven træder i kraft den 25. maj 2018.
Stk. 2. Lov nr. 429 af 31. maj 2000 om behandling af per-
sonoplysninger ophæves.
§ 47. For behandlinger, hvortil der inden lovens ikrafttræ-
den er opnået tilladelse efter § 50, stk. 1, nr. 2, 3 og 5, i lov
nr. 429 af 31. maj 2000 om behandling af personoplysninger
som ændret senest ved lov nr. 426 af 3. maj 2017, gælder til-
ladelsen efter denne lovs ikrafttræden, indtil den erstattes af
en ny tilladelse efter lovens § 26, stk. 1.
§ 48. Loven gælder ikke for Færøerne og Grønland.
Folketinget, den 17. maj 2018
PIA KJÆRSGAARD
/ Karen J. Klint
9
Bilag 1
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016
om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri ud-
veksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om da-
tabeskyttelse)
(EØS-relevant tekst)
EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16,
under henvisning til forslag fra Europa-Kommissionen,
efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,
under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg (1),
under henvisning til udtalelse fra Regionsudvalget (2),
efter den almindelige lovgivningsprocedure (3), og
ud fra følgende betragtninger:
(1)Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggen-
de rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (»char-
tret«) og i artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde (TEUF) fastsættes
det, at enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende.
(2)Principperne og reglerne for beskyttelse af fysiske personer i forbindelse med behandling af deres per-
sonoplysninger bør, uanset deres nationalitet eller bopæl, respektere deres grundlæggende rettigheder
og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger. Denne forordning har til
formål at bidrage til skabelsen af et område med frihed, sikkerhed og retfærdighed samt en økonomisk
union og til økonomiske og sociale fremskridt, styrkelse af og konvergens mellem økonomierne inden
for det indre marked og fysiske personers velfærd.
(3)Europa-Parlamentets og Rådets direktiv 95/46/EF (4) har til formål at harmonisere beskyttelsen af fysi-
ske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandlingsaktivite-
ter og at sikre den frie udveksling af personoplysninger mellem medlemsstaterne.
(4)Behandling af personoplysninger bør have til formål at tjene menneskeheden. Retten til beskyttelse af
personoplysninger er ikke en absolut ret; den skal ses i sammenhæng med sin funktion i samfundet og
afvejes i forhold til andre grundlæggende rettigheder i overensstemmelse med proportionalitetsprincip-
pet. Denne forordning overholder alle de grundlæggende rettigheder og følger de frihedsrettigheder og
principper, der anerkendes i chartret som forankret i traktaterne, navnlig respekten for privatliv og fa-
milieliv, hjem og kommunikation, beskyttelsen af personoplysninger, retten til at tænke frit, til samvit-
tigheds- og religionsfrihed, ytrings- og informationsfrihed, frihed til at oprette og drive egen virksom-
hed, adgang til effektive retsmidler og til en retfærdig rettergang og kulturel, religiøs og sproglig
mangfoldighed.
(5)Den økonomiske og sociale integration, der er en følge af det indre markeds funktion, har medført en
kraftig vækst i bevægelserne af personoplysninger på tværs af landegrænserne. Udvekslingen af person-
oplysninger mellem offentlige og private aktører, herunder fysiske personer, sammenslutninger og
virksomheder, i Unionen er steget. De nationale myndigheder i medlemsstaterne opfordres i EU-retten
10
til at samarbejde og udveksle personoplysninger for at kunne varetage deres hverv og udføre opgaver
på vegne af en myndighed i en anden medlemsstat.
(6)Den hastige teknologiske udvikling og globaliseringen har skabt nye udfordringer, hvad angår beskyt-
telsen af personoplysninger. Omfanget af indsamlingen og delingen af personoplysninger er steget be-
tydeligt. Teknologien giver både private selskaber og offentlige myndigheder mulighed for at udnytte
personoplysninger i et hidtil uset omfang, når de udøver deres aktiviteter. Fysiske personer udbreder i
stigende grad deres personoplysninger offentligt og globalt. Teknologien har ændret både økonomien
og sociale aktiviteter og bør yderligere fremme den frie udveksling af personoplysninger inden for
Unionen og overførslen af oplysninger til tredjelande og internationale organisationer, samtidig med at
der sikres et højt niveau for beskyttelse af personoplysninger.
(7)Denne udvikling kræver en stærk og mere sammenhængende databeskyttelsesramme i Unionen, som
understøttes af effektiv håndhævelse, fordi det er vigtigt at skabe den tillid, der gør det muligt, at den
digitale økonomi kan udvikle sig på det indre marked. Fysiske personer bør have kontrol over deres
personoplysninger. Sikkerheden både retligt og praktisk bør styrkes for fysiske personer, erhvervsdri-
vende og offentlige myndigheder.
(8)Når denne forordning fastsætter, at der kan indføres specifikationer eller begrænsninger af dens regler
ved medlemsstaternes nationale ret, kan medlemsstaterne, i det omfang det er nødvendigt af hensyn til
sammenhængen og for at gøre de nationale bestemmelser forståelige for de personer, som de finder
anvendelse på, indarbejde elementer af denne forordning i deres nationale ret.
(9)Målsætningerne og principperne i direktiv 95/46/EF er stadig gyldige, men direktivet har ikke forhin-
dret en fragmentering af gennemførelsen af databeskyttelse i Unionen, manglende retssikkerhed eller
en udbredt offentlig opfattelse af, at der er betydelige risici for beskyttelsen af fysiske personer, navn-
lig i forbindelse med onlineaktivitet. Forskelle i niveauet for beskyttelsen af fysiske personers rettighe-
der og frihedsrettigheder, navnlig retten til beskyttelse af personoplysninger, i forbindelse med behand-
ling af personoplysninger i medlemsstaterne, kan forhindre fri udveksling af personoplysninger i Uni-
onen. Disse forskelle kan derfor udgøre en hindring for udøvelsen af en række økonomiske aktiviteter
på EU-plan, virke konkurrenceforvridende og hindre myndighederne i at varetage de opgaver, de er
pålagt i medfør af EU-retten. En sådan forskel i beskyttelsesniveauet skyldes forskelle i gennemførel-
sen og anvendelsen af direktiv 95/46/EF.
(10)For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne
for udveksling af personoplysninger inden for Unionen bør beskyttelsesniveauet for fysiske personers
rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i
alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende ret-
tigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent
og ensartet overalt i Unionen. I forbindelse med behandling af personoplysninger for at overholde en
retlig forpligtelse eller for at udføre en opgave i samfundets interesse, eller som henhører under offent-
lig myndighedsudøvelse, som den dataansvarlige har fået pålagt, bør medlemsstaterne kunne oprethol-
de eller indføre nationale bestemmelser for yderligere at præcisere anvendelsen af denne forordnings
bestemmelser. Sammen med generel og horisontal lovgivning om databeskyttelse til gennemførelse af
direktiv 95/46/EF har medlemsstaterne flere sektorspecifikke love på områder, hvor der er behov for
mere specifikke bestemmelser. Denne forordning indeholder også en manøvremargen, så medlemssta-
terne kan præcisere reglerne heri, herunder for behandling af særlige kategorier af personoplysninger
(»følsomme oplysninger«). Denne forordning udelukker således ikke, at medlemsstaternes nationale
ret fastlægger omstændighederne i forbindelse med specifikke databehandlingssituationer, herunder
mere præcis fastlæggelse af de forhold, hvorunder behandling af personoplysninger er lovlig.
(11)For at sikre effektiv beskyttelse af personoplysninger i Unionen er det nødvendigt at styrke og præci-
sere de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler og træffer afgørel-
se om behandling af personoplysninger, samt at der gives tilsvarende beføjelser til at føre tilsyn med
11
og sikre overholdelse af reglerne om beskyttelse af personoplysninger og indføres tilsvarende sanktio-
ner ved overtrædelser i medlemsstaterne.
(12)Artikel 16, stk. 2, i TEUF giver Europa-Parlamentet og Rådet beføjelse til at fastsætte regler om be-
skyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri ud-
veksling af sådanne oplysninger.
(13)For at sikre et ensartet beskyttelsesniveau for fysiske personer i hele Unionen og for at hindre, at for-
skelle hæmmer den frie udveksling af personoplysninger på det indre marked, er der behov for en for-
ordning for at skabe retssikkerhed og gennemsigtighed for erhvervsdrivende, herunder mikrovirksom-
heder og små og mellemstore virksomheder, at give fysiske personer i alle medlemsstaterne det samme
niveau af rettigheder, som kan håndhæves, og forpligtelser og ansvar for dataansvarlige og databe-
handlere og at sikre konsekvent tilsyn med behandling af personoplysninger og tilsvarende sanktioner i
alle medlemsstaterne samt effektivt samarbejde mellem tilsynsmyndighederne i de forskellige med-
lemsstater. Et velfungerende indre marked kræver, at den frie udveksling af personoplysninger i Uni-
onen hverken indskrænkes eller forbydes af grunde, der vedrører beskyttelse af fysiske personer i for-
bindelse med behandling af personoplysninger. For at tage hensyn til den særlige situation for mikro-
virksomheder og små og mellemstore virksomheder indeholder denne forordning en undtagelse for or-
ganisationer med mindre end 250 ansatte med hensyn til at føre fortegnelser. Derudover opfordres EU-
institutionerne og -organerne samt medlemsstaterne og deres tilsynsmyndigheder til at tage hensyn til
mikrovirksomheders og små og mellemstore virksomheders særlige behov i forbindelse med anvendel-
sen af denne forordning. Begreberne mikrovirksomheder og små og mellemstore virksomheder bør ba-
seres på artikel 2 i bilaget til Kommissionens henstilling 2003/361/EF (5).
(14)Den beskyttelse, som denne forordning yder i forbindelse med behandling af personoplysninger, bør
finde anvendelse på fysiske personer uanset nationalitet eller bopæl. Denne forordning finder ikke an-
vendelse på behandling af personoplysninger, der vedrører juridiske personer, navnlig virksomheder,
der er etableret som juridiske personer, herunder den juridiske persons navn, form og kontaktoplysnin-
ger.
(15)For at undgå at skabe en alvorlig risiko for omgåelse bør beskyttelsen af fysiske personer være tekno-
logineutral og ikke afhænge af de anvendte teknikker. Beskyttelsen af fysiske personer bør gælde for
både automatisk og manuel behandling af personoplysninger, hvis personoplysningerne er indeholdt
eller vil blive indeholdt i et register. Sagsmapper eller samlinger af sagsmapper samt deres forsider,
som ikke er struktureret efter bestemte kriterier, bør ikke være omfattet af denne forordnings anvendel-
sesområde.
(16)Denne forordning finder ikke anvendelse på spørgsmål vedrørende beskyttelse af grundlæggende ret-
tigheder og frihedsrettigheder eller fri udveksling af personoplysninger, der vedrører aktiviteter, som
falder uden for EU-retten, såsom aktiviteter vedrørende statens sikkerhed. Denne forordning finder ik-
ke anvendelse på behandling af personoplysninger, der foretages af medlemsstaterne, når de udfører
aktiviteter i forbindelse med Unionens fælles udenrigs- og sikkerhedspolitik.
(17)Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 (6) finder anvendelse på behandling af
personoplysninger, der foretages af Unionens institutioner, organer, kontorer og agenturer. Forordning
(EF) nr. 45/2001 og andre EU-retsakter, der finder anvendelse på sådan behandling af personoplysning-
er, bør tilpasses til principperne og bestemmelserne fastsat i nærværende forordning og anvendes i ly-
set af nærværende forordning. Med henblik på at sikre en stærk og sammenhængende databeskyttelses-
ramme i Unionen bør de nødvendige tilpasninger af forordning (EF) nr. 45/2001 følge efter vedtagel-
sen af nærværende forordning, således at de finder anvendelse samtidig med nærværende forordning.
(18)Denne forordning gælder ikke for en fysisk persons behandling af oplysninger under en rent personlig
eller familiemæssig aktivitet og således uden forbindelse med en erhvervsmæssig eller kommerciel ak-
tivitet. Personlige eller familiemæssige aktiviteter kan omfatte korrespondance og føring af en adresse-
fortegnelse eller sociale netværksaktiviteter og onlineaktiviteter, der udøves som led i sådanne aktivite-
12
ter. Denne forordning gælder dog for dataansvarlige eller databehandlere, som tilvejebringer midlerne
til behandling af personoplysninger til sådanne personlige eller familiemæssige aktiviteter.
(19)Beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af person-
oplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger el-
ler fuldbyrde strafferetlige sanktioner, herunder beskyttelsen mod og forebyggelsen af trusler mod den
offentlige sikkerhed og den frie udveksling af sådanne oplysninger, er genstand for en specifik EU-
retsakt. Denne forordning bør derfor ikke gælde for behandlingsaktiviteter med disse formål. Behand-
ling af personoplysninger af offentlige myndigheder, som er omfattet af denne forordning, med hen-
blik på disse formål bør imidlertid være genstand for en mere specifik EU-retsakt, Europa-Parlamen-
tets og Rådets direktiv (EU) 2016/680 (7). Medlemsstater kan overdrage opgaver, der ikke nødvendig-
vis foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger
eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentli-
ge sikkerhed, til de kompetente myndigheder som omhandlet i direktiv (EU) 2016/680, således at be-
handling af personoplysninger til disse andre formål, for så vidt som de er omfattet af EU-retten, falder
ind under denne forordnings anvendelsesområde. Med hensyn til disse kompetente myndigheders be-
handling af personoplysninger til formål, der er omfattet af anvendelsesområdet for denne forordning,
bør medlemsstaterne kunne opretholde eller indføre mere specifikke bestemmelser for at tilpasse an-
vendelsen af reglerne i denne forordning. Sådanne bestemmelser kan mere præcist fastlægge specifik-
ke krav til disse kompetente myndigheders behandling af personoplysninger til disse andre formål
under hensyntagen til den forfatningsmæssige, organisatoriske og administrative struktur i den pågæl-
dende medlemsstat. Når behandling af personoplysninger foretaget af private organer er omfattet af
denne forordnings anvendelsesområde, bør forordningen give medlemsstaterne mulighed for på særli-
ge betingelser ved lov at begrænse visse forpligtelser og rettigheder, når en sådan begrænsning udgør
en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund for at sikre bestemte vigtige
interesser, herunder den offentlige sikkerhed og forebyggelse, efterforskning, afsløring eller retsfor-
følgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse
mod og forebyggelse af trusler mod den offentlige sikkerhed. Dette er f.eks. relevant inden for ramme-
rne af bekæmpelse af hvidvaskning af penge eller kriminaltekniske laboratoriers aktiviteter.
(20)Selv om denne forordning bl.a. finder anvendelse på domstoles og andre judicielle myndigheders ak-
tiviteter, kan EU-retten eller medlemsstaternes nationale ret præcisere, hvilke behandlingsaktiviteter og
-procedurer der finder anvendelse i forbindelse med domstoles og andre judicielle myndigheders be-
handling af personoplysninger. Tilsynsmyndighedernes kompetence bør af hensyn til dommerstandens
uafhængighed under udførelsen af dens judicielle opgaver, herunder ved beslutningstagning, ikke om-
fatte domstolenes behandling af personoplysninger, når domstole handler i deres egenskab af domstol.
Tilsynet med sådanne databehandlingsaktiviteter bør kunne overdrages til specifikke organer i med-
lemsstatens retssystem, der navnlig bør sikre overholdelsen af reglerne i denne forordning, gøre dom-
merstanden bekendt med dens forpligtelser i henhold til denne forordning og behandle klager over så-
danne databehandlingsaktiviteter.
(21)Denne forordning berører ikke anvendelsen af Europa-Parlamentets og Rådets direktiv 2000/31/EF
(8), navnlig reglerne om formidleransvar for tjenesteydere, der er fastsat i artikel 12-15 i dette direktiv.
Direktivet har til formål at bidrage til et velfungerende indre marked ved at sikre den frie bevægelig-
hed for informationssamfundstjenester mellem medlemsstaterne.
(22)Enhver behandling af personoplysninger, som foretages som led i aktiviteter, der udføres for en data-
ansvarlig eller en databehandler, som er etableret i Unionen, bør gennemføres i overensstemmelse med
denne forordning, uanset om selve behandlingen finder sted i Unionen. Etablering indebærer effektiv
og faktisk udøvelse af aktivitet gennem en mere permanent struktur. De pågældende ordningers retlige
form, hvad enten det er en filial eller et datterselskab med status som juridisk person, har ikke afgøren-
de betydning i denne forbindelse.
13
(23)For at sikre, at fysiske personer ikke unddrages den beskyttelse, som de har ret til i medfør af denne
forordning, bør behandling af personoplysninger om registrerede, der er i Unionen, som foretages af en
dataansvarlig eller en databehandler, der ikke er etableret i Unionen, være omfattet af denne forord-
ning, hvis behandlingsaktiviteterne vedrører udbud af varer eller tjenesteydelser til sådanne registrere-
de, uanset om de er knyttet til en betaling. Med henblik på at afgøre, om en sådan dataansvarlig eller
databehandler udbyder varer eller tjenesteydelser til registrerede, der befinder sig i Unionen, bør det
undersøges, om det er åbenbart, at den dataansvarlige eller databehandleren påtænker at udbyde tjene-
steydelser til registrerede i en eller flere EU-medlemsstater. Selv om det forhold, at der er adgang til
den dataansvarliges, databehandlerens eller en mellemmands websted i Unionen, til en e-mailadresse
eller til andre kontaktoplysninger, eller at der anvendes et sprog, der almindeligvis anvendes i det tred-
jeland, hvor den dataansvarlige er etableret, i sig selv er utilstrækkeligt til at fastslå en sådan hensigt,
kan faktorer såsom anvendelse af et sprog eller en valuta, der almindeligvis anvendes i en eller flere
medlemsstater, med mulighed for at bestille varer og tjenesteydelser på det pågældende sprog eller
omtale af kunder eller brugere, der befinder sig i Unionen, gøre det åbenbart, at den dataansvarlige
påtænker at udbyde varer eller tjenesteydelser til registrerede i Unionen.
(24)Behandling af personoplysninger om registrerede, der befinder sig i Unionen, foretaget af en dataan-
svarlig eller en databehandler, der ikke er etableret i Unionen, bør også være omfattet af denne forord-
ning, når den vedrører overvågning af sådanne registreredes adfærd, så længe denne adfærd foregår
inden for Unionen. For at afgøre, om en behandlingsaktivitet kan betragtes som overvågning af regi-
streredes adfærd, bør det undersøges, om fysiske personer spores på internettet, herunder mulig efter-
følgende brug af teknikker til behandling af personoplysninger, der består i profilering af en fysisk per-
son, navnlig med det formål at træffe beslutninger om den pågældende eller analysere eller forudsige
den pågældendes præferencer, adfærd og holdninger.
(25)Hvis medlemsstaternes nationale ret finder anvendelse i medfør af folkeretten, bør denne forordning
også gælde for en dataansvarlig, der ikke er etableret i Unionen, som f.eks. ved en medlemsstats diplo-
matiske eller konsulære repræsentation.
(26)Principperne for databeskyttelse bør gælde for enhver information om en identificeret eller identifi-
cerbar fysisk person. Personoplysninger, der har været genstand for pseudonymisering, og som kan
henføres til en fysisk person ved brug af supplerende oplysninger, bør anses for at være oplysninger
om en identificerbar fysisk person. For at afgøre, om en fysisk person er identificerbar, bør alle midler
tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en
anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende. For at fastslå,
om midler med rimelighed kan tænkes bragt i anvendelse til at identificere en fysisk person, bør alle
objektive forhold tages i betragtning, såsom omkostninger ved og tid der er nødvendig til identifika-
tion, under hensyntagen til den tilgængelige teknologi på behandlingstidspunktet og den teknologiske
udvikling. Databeskyttelsesprincipperne bør derfor ikke gælde for anonyme oplysninger, dvs. oplys-
ninger, der ikke vedrører en identificeret eller identificerbar fysisk person, eller for personoplysninger,
som er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres.
Denne forordning vedrører derfor ikke behandling af sådanne anonyme oplysninger, herunder til stati-
stiske eller forskningsmæssige formål.
(27)Denne forordning finder ikke anvendelse på personoplysninger om afdøde personer. Medlemsstaterne
kan fastsætte regler for behandling af personoplysninger om afdøde personer.
(28)Anvendelsen af pseudonymisering af personoplysninger kan mindske risikoen for de berørte registre-
rede og gøre det lettere for dataansvarlige og databehandlere at opfylde deres databeskyttelsesforplig-
telser. Det er ikke tanken med den udtrykkelige indførelse af »pseudonymisering« i denne forordning
at udelukke andre databeskyttelsesforanstaltninger.
(29)For at skabe incitamenter til anvendelse af pseudonymisering i forbindelse med behandling af person-
oplysninger bør pseudonymiseringsforanstaltninger, som samtidig tillader en generel analyse, under
14
den samme dataansvarlige være mulige, når den dataansvarlige har truffet de tekniske og organisatori-
ske foranstaltninger, der er nødvendige for at sikre, at denne forordning gennemføres for så vidt angår
den pågældende behandling, og at yderligere oplysninger, der gør det muligt at henføre personoplys-
ninger til en bestemt registreret, opbevares separat. Den dataansvarlige, som behandler personoplys-
ningerne, bør anføre de autoriserede personer under den samme dataansvarlige.
(30)Fysiske personer kan tilknyttes onlineidentifikatorer, som tilvejebringes af deres enheder, applikatio-
ner, værktøjer og protokoller, såsom IP-adresser og cookieidentifikatorer, eller andre identifikatorer,
såsom radiofrekvensidentifikationsmærker. Dette kan efterlade spor, der, navnlig når de kombineres
med unikke identifikatorer og andre oplysninger, som serverne modtager, kan bruges til at oprette pro-
filer om fysiske personer og identificere dem.
(31)Offentlige myndigheder, til hvem personoplysninger videregives i overensstemmelse med en retlig
forpligtelse i forbindelse med udøvelsen af deres officielle hverv, såsom skatte- og toldmyndigheder,
finansielle efterforskningsenheder, uafhængige administrative myndigheder eller finansielle markeds-
myndigheder, der er ansvarlige for regulering af og tilsyn med værdipapirmarkederne, bør ikke betrag-
tes som værende modtagere, hvis de modtager personoplysninger, der er nødvendige som led i en iso-
leret forespørgsel af almen interesse i overensstemmelse med EU-retten eller medlemsstaternes natio-
nale ret. Anmodninger om videregivelse af oplysninger sendt af offentlige myndigheder bør altid være
skriftlige, begrundede og lejlighedsvise og bør ikke vedrøre et register som helhed eller føre til samkø-
ring af registre. Disse offentlige myndigheders behandling af personoplysninger bør være i overens-
stemmelse med de gældende databeskyttelsesregler afhængigt af formålet med behandlingen.
(32)Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og
utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplys-
ninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en
mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved
valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling,
der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslåede behandling af
vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke
udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme
formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes
samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke
unødigt forstyrre brugen af den tjeneste, som samtykke gives til.
(33)Det er ofte ikke muligt fuldt ud at fastlægge formålet med behandling af personoplysninger til viden-
skabelige forskningsformål, når oplysninger indsamles. De registrerede bør derfor kunne give deres
samtykke til bestemte videnskabelige forskningsområder, når dette er i overensstemmelse med aner-
kendte etiske standarder for videnskabelig forskning. Registrerede bør have mulighed for kun at give
deres samtykke til bestemte forskningsområder eller dele af forskningsprojekter i det omfang, det til-
sigtede formål tillader det.
(34)Genetiske data bør defineres som personoplysninger vedrørende en fysisk persons arvede eller er-
hvervede genetiske karakteristika, som foreligger efter en analyse af en biologisk prøve fra den pågæl-
dende fysiske person, navnlig en analyse på kromosomniveau, af deoxyribonukleinsyre (DNA) eller af
ribonukleinsyre (RNA), eller efter en analyse af et andet element til indhentning af lignende oplysnin-
ger.
(35)Helbredsoplysninger bør omfatte alle personoplysninger om den registreredes helbredstilstand, som
giver oplysninger om den registreredes tidligere, nuværende eller fremtidige fysiske eller mentale hel-
bredstilstand. Dette omfatter oplysninger om den fysiske person indsamlet i løbet af registreringen af
denne med henblik på eller under levering af sundhedsydelser, jf. Europa-Parlamentets og Rådets di-
rektiv 2011/24/EU (9), til den fysiske person; et nummer, symbol eller særligt mærke, der tildeles en
fysisk person for entydigt at identificere den fysiske person til sundhedsformål; oplysninger, der hidrø-
15
rer fra prøver eller undersøgelser af en legemsdel eller legemlig substans, herunder fra genetiske data
og biologiske prøver; og enhver oplysning om f.eks. en sygdom, et handicap, en sygdomsrisiko, en sy-
gehistorie, en sundhedsfaglig behandling eller den registreredes fysiologiske eller biomedicinske til-
stand uafhængigt af kilden hertil, f.eks. fra en læge eller anden sundhedsperson, et hospital, medicinsk
udstyr eller in vitro-diagnostik.
(36)En dataansvarligs hovedvirksomhed i Unionen bør være stedet for dennes centrale administration i
Unionen, medmindre der træffes beslutninger vedrørende formål og hjælpemidler i forbindelse med
behandling af personoplysninger et andet sted i Unionen, hvor den dataansvarlige er etableret; i dette
tilfælde bør dette andet sted anses for at være hovedvirksomheden. En dataansvarligs hovedvirksom-
hed i Unionen bør fastlægges ud fra objektive kriterier og bør indebære effektiv og faktisk udøvelse af
ledelsesaktiviteter, der fastlægger de vigtigste beslutninger om behandlingsformål og -hjælpemidler
gennem en mere permanent struktur. Dette kriterium bør ikke afhænge af, om behandling af person-
oplysninger foretages på dette sted. Det forhold, at der findes og anvendes tekniske midler og teknolo-
gi til behandling af personoplysninger eller behandlingsaktiviteter, medfører ikke i sig selv, at der er
etableret en hovedvirksomhed, og er derfor ikke afgørende for kriteriet om hovedvirksomhed. Databe-
handlerens hovedvirksomhed bør være stedet for den pågældendes centrale administration i Unionen,
eller hvis databehandleren ikke har nogen central administration i Unionen, det sted, hvor hovedbe-
handlingsaktiviteterne foregår i Unionen. I tilfælde, der involverer både den dataansvarlige og databe-
handleren, bør den kompetente ledende tilsynsmyndighed fortsat være tilsynsmyndigheden i den med-
lemsstat, hvor den dataansvarlige har sin hovedvirksomhed, men databehandlerens tilsynsmyndighed
bør anses for at være en berørt tilsynsmyndighed, og denne tilsynsmyndighed bør deltage i den samar-
bejdsprocedure, der er fastsat i denne forordning. Under alle omstændigheder bør tilsynsmyndigheder-
ne i den eller de medlemsstater, hvor databehandleren har en eller flere etableringer, ikke anses for at
være berørte tilsynsmyndigheder, når et udkast til afgørelse kun vedrører den dataansvarlige. Foretages
behandlingen af en koncern, bør den kontrollerende virksomheds hovedvirksomhed anses for at være
koncernens hovedvirksomhed, medmindre formål og hjælpemidler fastlægges af en anden virksomhed.
(37)En koncern bør omfatte en virksomhed, der udøver kontrol, og de af denne kontrollerede virksomhe-
der, hvor den kontrollerende virksomhed bør være den virksomhed, der kan udøve bestemmende ind-
flydelse på de øvrige virksomheder, f.eks. i kraft af ejendomsret, finansiel deltagelse eller de regler,
den er underlagt, eller beføjelsen til at få gennemført regler om beskyttelse af personoplysninger. En
virksomhed, der udøver kontrol med behandlingen af personoplysninger i de virksomheder, der er
knyttet til den, bør sammen med disse virksomheder anses som en koncern.
(38)Børn bør nyde særlig beskyttelse af deres personoplysninger, eftersom de ofte er mindre bevidste om
de pågældende risici, konsekvenser og garantier og deres rettigheder for så vidt angår behandling af
personoplysninger. En sådan særlig beskyttelse bør navnlig gælde for brug af børns personoplysninger
med henblik på markedsføring eller til at oprette personligheds- eller brugerprofiler og indsamling af
personoplysninger vedrørende børn, når de anvender tjenester, der tilbydes direkte til et barn. Samtyk-
ke fra indehaveren af forældremyndigheden er ikke nødvendigt, når det drejer sig om forebyggende
eller rådgivende tjenester, der tilbydes direkte til et barn.
(39)Enhver behandling af personoplysninger bør være lovlig og rimelig. Det bør være gennemsigtigt for
de pågældende fysiske personer, at personoplysninger, der vedrører dem, indsamles, anvendes, tilgås
eller på anden vis behandles, og i hvilket omfang personoplysningerne behandles eller vil blive be-
handlet. Princippet om gennemsigtighed tilsiger, at enhver information og kommunikation vedrørende
behandling af disse personoplysninger er lettilgængelig og letforståelig, og at der benyttes et klart og
enkelt sprog. Dette princip vedrører navnlig oplysningen til de registrerede om den dataansvarliges
identitet og formålene med den pågældende behandling samt yderligere oplysninger for at sikre en ri-
melig og gennemsigtig behandling for de berørte fysiske personer og deres ret til at få bekræftelse og
meddelelse om de personoplysninger vedrørende dem, der behandles. Fysiske personer bør gøres be-
16
kendt med risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger og
med, hvordan de skal udøve deres rettigheder i forbindelse med en sådan behandling. Især bør de spe-
cifikke formål med behandlingen af personoplysninger være udtrykkelige og legitime og fastlagt, når
personoplysningerne indsamles. Personoplysningerne bør være tilstrækkelige, relevante og begrænset
til, hvad der er nødvendigt i forhold til formålene med deres behandling. Dette kræver navnlig, at det
sikres, at perioden for opbevaring af personoplysningerne ikke er længere end strengt nødvendigt. Per-
sonoplysninger bør kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes
på anden måde. For at sikre, at personoplysninger ikke opbevares i længere tid end nødvendigt, bør
den dataansvarlige indføre tidsfrister for sletning eller periodisk gennemgang. Der bør træffes enhver
rimelig foranstaltning for at sikre, at personoplysninger, som er urigtige, berigtiges eller slettes. Person-
oplysninger bør behandles på en måde, der garanterer tilstrækkelig sikkerhed og fortrolighed, herunder
for at hindre uautoriseret adgang til eller anvendelse af personoplysninger eller af det udstyr, der an-
vendes til behandlingen.
(40)For at behandling kan betragtes som lovlig, bør personoplysninger behandles på grundlag af den regi-
streredes samtykke eller et andet legitimt grundlag, der er fastlagt ved lov enten i denne forordning
eller i anden EU-ret eller i medlemsstaternes nationale ret, som omhandlet i denne forordning, herun-
der når det er nødvendigt for overholdelse af de retlige forpligtelser, som påhviler den dataansvarlige,
eller behovet for opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til foranstalt-
ninger, der træffes på dennes anmodning forud for indgåelse af en sådan kontrakt.
(41)Når denne forordning henviser til et retsgrundlag eller en lovgivningsmæssig foranstaltning, kræver
det ikke nødvendigvis en lov, der er vedtaget af et parlament, med forbehold for krav i henhold til den
forfatningsmæssige orden i den pågældende medlemsstat. Et sådant retsgrundlag eller en sådan lovgiv-
ningsmæssig foranstaltning bør imidlertid være klar(t) og præcis(t), og anvendelse heraf bør være for-
udsigelig for personer, der er omfattet af dets/dens anvendelsesområde, jf. retspraksis fra Den Europæ-
iske Unions Domstol (»Domstolen«) og Den Europæiske Menneskerettighedsdomstol.
(42)Hvis behandling er baseret på den registreredes samtykke, bør den dataansvarlige kunne påvise, at
den registrerede har givet samtykke til behandlingen. Navnlig i forbindelse med skriftlige erklæringer
om andre forhold bør garantier sikre, at den registrerede er bekendt med, at og i hvilket omfang der er
givet samtykke. I overensstemmelse med Rådets direktiv 93/13/EØF (10) bør der stilles en samtyk-
keerklæring udformet af den dataansvarlige til rådighed i en letforståelig og lettilgængelig form og i et
klart og enkelt sprog, og den bør ikke indeholde urimelige vilkår. For at sikre, at samtykket er informe-
ret, bør den registrerede som minimum være bekendt med den dataansvarliges identitet og formålene
med den behandling, som personoplysningerne skal bruges til. Samtykke bør ikke anses for at være
givet frivilligt, hvis den registrerede ikke har et reelt eller frit valg eller ikke kan afvise eller tilbage-
trække sit samtykke, uden at det er til skade for den pågældende.
(43)Med henblik på at sikre, at der frivilligt er givet samtykke, bør samtykke ikke udgøre et gyldigt rets-
grundlag for behandling af personoplysninger i et specifikt tilfælde, hvis der er en klar skævhed mel-
lem den registrerede og den dataansvarlige, navnlig hvis den dataansvarlige er en offentlig myndighed,
og det derfor er usandsynligt, at samtykket er givet frivilligt under hensyntagen til alle de omstændig-
heder, der kendetegner den specifikke situation. Samtykke formodes ikke at være givet frivilligt, hvis
det ikke er muligt at give særskilt samtykke til forskellige behandlingsaktiviteter vedrørende person-
oplysninger, selv om det er hensigtsmæssigt i det enkelte tilfælde, eller hvis opfyldelsen af en kontrakt,
herunder ydelsen af en tjeneste, gøres afhængig af samtykke, selv om et sådant samtykke ikke er nød-
vendigt for dennes opfyldelse.
(44)Behandling bør anses for lovlig, når den er nødvendig i forbindelse med en kontrakt eller en påtænkt
indgåelse af en kontrakt.
(45)Hvis behandling foretages i overensstemmelse med en retlig forpligtelse, som påhviler den dataan-
svarlige, eller hvis behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som
17
henhører under offentlig myndighedsudøvelse, bør behandlingen have retsgrundlag i EU-retten eller
medlemsstaternes nationale ret. Denne forordning indebærer ikke, at der kræves en specifik lov til hver
enkelt behandling. Det kan være tilstrækkeligt med en lov som grundlag for adskillige databehand-
lingsaktiviteter, som baseres på en retlig forpligtelse, som påhviler den dataansvarlige, eller hvis be-
handling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offent-
lig myndighedsudøvelse. Det bør også henhøre under EU-retten eller medlemsstaternes nationale ret at
fastlægge formålet med behandlingen. Endvidere kan dette retsgrundlag præcisere denne forordnings
generelle betingelser for lovlig behandling af personoplysninger og nærmere præcisere, hvem den da-
taansvarlige er, hvilken type personoplysninger der skal behandles, de berørte registrerede, hvilke en-
heder personoplysningerne kan videregives til, formålsbegrænsninger, opbevaringsperiode og andre
foranstaltninger til at sikre lovlig og rimelig behandling. Det bør ligeledes henhøre under EU-retten
eller medlemsstaternes nationale ret at afgøre, om den dataansvarlige, der udfører en opgave i samfun-
dets interesse eller i forbindelse med offentlig myndighedsudøvelse, skal være en offentlig myndighed
eller en anden fysisk eller juridisk person, der er omfattet af offentlig ret, eller, hvis dette er i samfun-
dets interesse, herunder sundhedsformål, såsom folkesundhed og social sikring samt forvaltning af
sundhedsydelser, af privatret som f.eks. en erhvervssammenslutning.
(46)Behandling af personoplysninger, der er nødvendig for at beskytte et hensyn af fundamental betyd-
ning for den registreredes eller en anden fysisk persons liv, bør ligeledes anses for lovlig. Behandling
af personoplysninger på grundlag af en anden fysisk persons vitale interesser bør i princippet kun finde
sted, hvis behandlingen tydeligvis ikke kan baseres på et andet retsgrundlag. Nogle typer behandling
kan tjene både vigtige samfundsmæssige interesser og den registreredes vitale interesser, f.eks. når be-
handling er nødvendig af humanitære årsager, herunder med henblik på at overvåge epidemier og de-
res spredning eller i humanitære nødsituationer, navnlig i tilfælde af naturkatastrofer og menneske-
skabte katastrofer.
(47)En dataansvarligs legitime interesser, herunder en dataansvarlig, som personoplysninger kan videre-
gives til, eller en tredjemands legitime interesser kan udgøre et retsgrundlag for behandling, medmin-
dre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud herfor
under hensyntagen til registreredes rimelige forventninger på grundlag af deres forhold til den dataan-
svarlige. For eksempel kan der foreligge sådanne legitime interesser, når der er et relevant og passende
forhold mellem den registrerede og den dataansvarlige, f.eks. hvis den registrerede er kunde hos eller
gør tjeneste under den dataansvarlige. I alle tilfælde kræver tilstedeværelsen af en legitim interesse en
nøje vurdering, herunder af, om en registreret på tidspunktet for og i forbindelse med indsamling af
personoplysninger med rimelighed kan forvente, at behandling med dette formål kan finde sted. Den
registreredes interesser og grundlæggende rettigheder kan navnlig gå forud for den dataansvarliges in-
teresser, hvis personoplysninger behandles under omstændigheder, hvor registrerede ikke med rimelig-
hed forventer viderebehandling. Eftersom det er op til lovgiver ved lov at fastsætte retsgrundlaget for
offentlige myndigheders behandling af personoplysninger, bør dette retsgrundlag ikke gælde for be-
handling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver. Behandling af
personoplysninger, der er strengt nødvendig for at forebygge svig, udgør også en legitim interesse for
den berørte dataansvarlige. Behandling af personoplysninger til direkte markedsføring kan anses for at
være foretaget i en legitim interesse.
(48)Dataansvarlige, der indgår i en koncern eller institutioner, som er tilknyttet et centralt organ, kan have
en legitim interesse i at videregive personoplysninger inden for koncernen til interne administrative
formål, herunder behandling af kunders eller medarbejderes personoplysninger. De generelle princip-
per for overførsler af personoplysninger inden for en koncern til en virksomhed i et tredjeland forbliver
uændrede.
(49)Behandling af personoplysninger i det omfang, det er strengt nødvendigt og forholdsmæssigt for at
sikre net- og informationssikkerhed, dvs. et nets eller et informationssystems evne til på et givet sik-
18
kerhedsniveau at kunne modstå utilsigtede hændelser eller ulovlige eller ondsindede handlinger, som
kompromitterer tilgængeligheden, autenticiteten, integriteten og fortroligheden af opbevarede eller
transmitterede personoplysninger, og sikkerheden ved hermed forbundne tjenester udbudt af eller til-
gængelige via sådanne net og systemer, der foretages af offentlige myndigheder, Computer Emergency
Response Teams (CERT᾽er), Computer Security Incident Response Teams (CSIRT᾽er), udbydere af
elektroniske kommunikationsnet og -tjenester og udbydere af sikkerhedsteknologier og -tjenester, ud-
gør en legitim interesse for den berørte dataansvarlige. Behandlingen kan f.eks. have til formål at hin-
dre uautoriseret adgang til elektroniske kommunikationsnet, distribution af ondsindet kode, standsning
af overbelastningsangreb (»denial of service«-angreb) og beskadigelser af computersystemer og elek-
troniske kommunikationssystemer.
(50)Behandling af personoplysninger til andre formål end de formål, som personoplysningerne oprindelig
blev indsamlet til, bør kun tillades, hvis behandlingen er forenelig med de formål, som personoplys-
ningerne oprindelig blev indsamlet til. I dette tilfælde kræves der ikke andet retsgrundlag end det, der
begrundede indsamlingen af personoplysningerne. Hvis behandling er nødvendig for at udføre en op-
gave i samfundets interesse eller henhører under offentlig myndighedsudøvelse, som den dataansvarli-
ge har fået pålagt, kan EU-retten eller medlemsstaternes nationale ret fastsætte og præcisere de opga-
ver og formål, hvortil det bør være foreneligt og lovligt at foretage viderebehandling. Viderebehand-
ling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til
statistiske formål bør anses for at være forenelige lovlige behandlingsaktiviteter. Retsgrundlaget i EU-
retten eller medlemsstaternes nationale ret for behandling af personoplysninger kan også udgøre et
retsgrundlag for viderebehandling. For at fastslå, om et formål med viderebehandling er foreneligt med
det formål, som personoplysningerne oprindelig blev indsamlet til, bør den dataansvarlige efter at have
opfyldt alle kravene til lovlighed af den oprindelige behandling bl.a. tage hensyn til enhver forbindelse
mellem disse formål og formålet med den påtænkte viderebehandling, den sammenhæng, som perso-
noplysningerne er blevet indsamlet i, navnlig de registreredes rimelige forventninger til den videre an-
vendelse heraf på grundlag af deres forhold til den dataansvarlige, personoplysningernes art, konse-
kvenserne af den påtænkte viderebehandling for de registrerede og tilstedeværelse af fornødne garanti-
er i forbindelse med både de oprindelige og de påtænkte yderligere behandlingsaktiviteter. Når den re-
gistrerede har givet samtykke, eller behandlingen er baseret på EU-retten eller medlemsstaternes natio-
nale ret, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund med
henblik på at beskytte navnlig vigtige målsætninger af generel samfundsinteresse, bør den dataansvar-
lige kunne viderebehandle personoplysningerne uafhængigt af formålenes forenelighed. Under alle
omstændigheder bør de principper, der fastsættes i denne forordning, og navnlig information til den
registrerede om disse andre formål og om vedkommendes rettigheder, herunder retten til at gøre indsi-
gelse, sikres. Hvis den dataansvarlige påviser mulige strafbare handlinger eller trusler mod den offent-
lige sikkerhed og videresender de relevante personoplysninger i enkelte eller flere sager, der vedrører
den samme strafbare handling eller trusler mod den offentlige sikkerhed, til en kompetent myndighed,
bør det anses som værende i den dataansvarliges legitime interesse. En sådan videresendelse i den da-
taansvarliges legitime interesse eller viderebehandling af personoplysninger bør forbydes, hvis be-
handlingen krænker en retlig eller anden bindende tavshedspligt.
(51)Personoplysninger, der i kraft af deres karakter er særligt følsomme i forhold til grundlæggende ret-
tigheder og frihedsrettigheder, bør nyde specifik beskyttelse, da sammenhængen for behandling af dem
kan indebære betydelige risici for grundlæggende rettigheder og frihedsrettigheder. Disse personoplys-
ninger bør omfatte personoplysninger om race eller etnisk oprindelse, idet anvendelsen af udtrykket
»race« i denne forordning ikke betyder, at Unionen accepterer teorier, der søger at fastslå, at der findes
forskellige menneskeracer. Behandling af fotografier bør ikke systematisk anses for at være behand-
ling af særlige kategorier af personoplysninger, eftersom de kun vil være omfattet af definitionen af
biometriske data, når de behandles ved en specifik teknisk fremgangsmåde, der muliggør entydig iden-
19
tifikation eller autentifikation af en fysisk person. Sådanne personoplysninger bør ikke behandles,
medmindre behandling er tilladt i specifikke tilfælde, der er fastsat i denne forordning, under hensynta-
gen til at medlemsstaternes nationale ret kan fastsætte specifikke bestemmelser om databeskyttelse for
at tilpasse anvendelsen af reglerne i denne forordning med henblik på overholdelse af en retlig forplig-
telse eller udførelse af en opgave i samfundets interesse eller henhørende under offentlig myndigheds-
udøvelse, som den dataansvarlige har fået pålagt. Foruden de specifikke krav til sådan behandling bør
de generelle principper og andre regler i denne forordning finde anvendelse, navnlig for så vidt angår
betingelserne for lovlig behandling. Der bør udtrykkelig gives mulighed for undtagelser fra det gene-
relle forbud mod behandling af sådanne særlige kategorier af personoplysninger, bl.a. hvis den regi-
strerede giver sit udtrykkelige samtykke eller for så vidt angår specifikke behov, navnlig hvis behand-
ling foretages i forbindelse med visse sammenslutningers eller stiftelsers legitime aktiviteter, hvis for-
mål er at muliggøre udøvelse af grundlæggende frihedsrettigheder.
(52)Der bør også gives mulighed for at fravige forbuddet mod at behandle særlige kategorier af persono-
plysninger, når det er fastsat i EU-retten eller medlemsstaternes nationale ret og er omfattet af de for-
nødne garantier, således at personoplysninger og andre grundlæggende rettigheder beskyttes, hvis dette
er i samfundets interesse, navnlig behandling af personoplysninger inden for ansættelsesret, socialret,
herunder pensioner og med henblik på sundhedssikkerhed, overvågning og varsling, forebyggelse eller
kontrol af overførbare sygdomme og andre alvorlige trusler mod sundheden. En sådan fravigelse kan
ske til sundhedsformål, herunder folkesundhed og forvaltning af sundhedsydelser, især for at sikre
kvaliteten og omkostningseffektiviteten af de procedurer, der anvendes til afregning i forbindelse med
ydelser og tjenester inden for sygesikringsordninger, eller til arkivformål i samfundets interesse, til vi-
denskabelige eller historiske forskningsformål eller til statistiske formål. En fravigelse bør desuden gø-
re det muligt at behandle sådanne personoplysninger, hvis det er nødvendigt, for at retskrav kan fasts-
lås, gøres gældende eller forsvares, uanset om det er i forbindelse med en retssag eller en administrativ
eller udenretslig procedure.
(53)Særlige kategorier af personoplysninger, som bør nyde højere beskyttelse, bør kun behandles til sund-
hedsmæssige formål, når det er nødvendigt for at opfylde disse formål til gavn for fysiske personer og
samfundet som helhed, navnlig i forbindelse med forvaltning af sundheds- eller socialydelser og -sy-
stemer, herunder administrationens og centrale nationale sundhedsmyndigheders behandling af sådan-
ne oplysninger med henblik på kvalitetskontrol, ledelsesinformation og det generelle nationale og lo-
kale tilsyn med sundheds- eller socialsystemet, og for at sikre kontinuitet inden for sundheds- eller so-
cialforsorg og sundhedsydelser på tværs af grænserne eller med henblik på sundhedssikkerhed, over-
vågning og varsling eller til arkivformål i samfundets interesse, til videnskabelige eller historiske
forskningsformål eller til statistiske formål baseret på EU-retten eller medlemsstaternes nationale ret,
og som skal opfylde et formål af offentlig interesse, samt studier, der foretages i samfundets interesse
på folkesundhedsområdet. Denne forordning bør derfor fastsætte harmoniserede betingelser for be-
handling af særlige kategorier af personoplysninger om helbredsforhold for så vidt angår specifikke
behov, navnlig hvis behandlingen af sådanne oplysninger foretages til visse sundhedsmæssige formål
af personer, der er underlagt tavshedspligt. EU-retten eller medlemsstaternes nationale ret bør omfatte
specifikke og passende foranstaltninger til at beskytte fysiske personers grundlæggende rettigheder og
personoplysninger. Medlemsstaterne bør kunne opretholde eller indføre yderligere betingelser, herun-
der begrænsninger, for behandling af genetiske data, biometriske data eller helbredsoplysninger. Dette
bør dog ikke hæmme den frie udveksling af personoplysninger i Unionen, når disse betingelser finder
anvendelse på grænseoverskridende behandling af sådanne oplysninger.
(54)Behandling af særlige kategorier af personoplysninger kan være nødvendig af hensyn til samfundsin-
teresser hvad angår folkesundhed uden den registreredes samtykke. En sådan behandling bør være un-
derlagt passende og specifikke foranstaltninger med henblik på at beskytte fysiske personers rettighe-
der og frihedsrettigheder. I denne sammenhæng fortolkes »folkesundhed« som defineret i Europa-Par-
20
lamentets og Rådets forordning (EF) nr. 1338/2008 (11), dvs. alle elementer vedrørende sundhed,
nemlig helbredstilstand, herunder sygelighed og invaliditet, determinanter med en indvirkning på hel-
bredstilstanden, behov for sundhedspleje, ressourcer tildelt sundhedsplejen, ydelse af og almen adgang
til sundhedspleje, udgifter til og finansiering af sundhedspleje samt dødsårsager. Sådan behandling af
helbredsoplysninger af hensyn til samfundsinteresser bør ikke medføre, at tredjemænd såsom arbejds-
givere eller forsikringsselskaber og pengeinstitutter behandler personoplysninger til andre formål.
(55)Offentlige myndigheders behandling af personoplysninger med henblik på at forfølge officielt aner-
kendte religiøse sammenslutningers målsætninger, der er fastsat ved forfatningsretten eller ved folke-
retten, foretages også i samfundets interesse.
(56)Hvis det i forbindelse med afholdelse af valg i en medlemsstat er nødvendigt, for at det demokratiske
system kan fungere, at politiske partier indsamler personoplysninger om enkeltpersoners politiske
holdninger, kan behandling af sådanne oplysninger tillades af hensyn til varetagelsen af samfundsinte-
resser, såfremt fornødne garantier er etableret.
(57)Hvis de personoplysninger, der behandles af en dataansvarlig, ikke sætter den dataansvarlige i stand
til at identificere en fysisk person, bør den dataansvarlige ikke være forpligtet til at indhente yderligere
oplysninger for at identificere den registrerede udelukkende med det formål at overholde bestemmel-
serne i denne forordning. Den dataansvarlige bør dog ikke nægte at tage imod yderligere oplysninger
fra den registrerede, som han eller hun giver med henblik på udøvelsen af sine rettigheder. Identifika-
tion bør omfatte digital identifikation af en registreret, for eksempel gennem en autentifikationsmeka-
nisme, såsom de samme legitimationsoplysninger, som den registrerede anvender til at logge på den
onlinetjeneste, der tilbydes af den dataansvarlige.
(58)Princippet om gennemsigtighed kræver, at enhver oplysning, som er rettet til offentligheden eller den
registrerede, er kortfattet, lettilgængelig og letforståelig, og at der benyttes et klart og enkelt sprog og
endvidere, hvis det er passende, visualisering. Sådanne oplysninger kan gøres tilgængelige i elektro-
nisk form, f.eks. når de er rettet mod offentligheden, via et websted. Dette er især relevant i situationer,
hvor den hastige vækst i antallet af aktører og den anvendte teknologis kompleksitet gør det vanskeligt
for den registrerede at vide og forstå, om, af hvem og til hvilket formål der indsamles personoplysning-
er om vedkommende, såsom i forbindelse med annoncering på internettet. Eftersom børn bør nyde
særlig beskyttelse, bør alle oplysninger og meddelelser, hvis behandling er rettet mod et barn, være i et
så klart og enkelt sprog, at et barn let kan forstå dem.
(59)Der bør fastsættes nærmere regler, som kan lette udøvelsen af de registreredes rettigheder i henhold
til denne forordning, herunder mekanismer til at anmode om og i givet fald opnå navnlig gratis indsigt
i og berigtigelse eller sletning af personoplysninger og udøvelsen af retten til indsigelse. Den dataan-
svarlige bør også give mulighed for elektroniske anmodninger, navnlig hvis personoplysninger be-
handles elektronisk. Den dataansvarlige bør være forpligtet til at besvare sådanne anmodninger fra en
registreret uden unødig forsinkelse og senest inden for en måned og begrunde det, hvis vedkommende
ikke agter at imødekomme sådanne anmodninger.
(60)Principperne om rimelig og gennemsigtig behandling kræver, at den registrerede informeres om be-
handlingsaktiviteters eksistens og deres formål. Den dataansvarlige bør give den registrerede eventuel-
le yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling, under
hensyntagen til de specifikke omstændigheder og forhold, som personoplysningerne behandles under.
Den registrerede bør desuden informeres om tilstedeværelse af profilering og konsekvenserne heraf.
Hvis personoplysninger indsamles fra den registrerede, bør den registrerede også informeres om, hvor-
vidt den pågældende er forpligtet til at meddele personoplysningerne, og om konsekvenserne, hvis
vedkommende ikke meddeler sådanne oplysninger. Denne information kan gives sammen med stan-
dardiserede ikoner med henblik på at give et meningsfuldt overblik over den planlagte behandling på
en klart synlig, letlæselig og letforståelig måde. Hvis ikonerne præsenteres elektronisk, bør de være
maskinlæsbare.
21
(61)Oplysninger om behandling af personoplysninger bør gives til den registrerede på tidspunktet for ind-
samlingen fra den registrerede, eller hvis personoplysningerne indhentes fra en anden kilde, inden for
en rimelig periode afhængigt af de konkrete omstændigheder. Hvis personoplysninger lovligt kan vide-
regives til en anden modtager, bør den registrerede informeres, når personoplysningerne første gang
videregives til modtageren. Hvis den dataansvarlige agter at behandle personoplysningerne til et andet
formål end det, hvortil de er indsamlet, bør den dataansvarlige forud for denne viderebehandling give
den registrerede oplysninger om dette andet formål og andre nødvendige oplysninger. Hvis den regi-
strerede ikke kan informeres om personoplysningernes oprindelse, fordi der er anvendt forskellige kil-
der, bør der gives generelle oplysninger.
(62)Det er imidlertid ikke nødvendigt at pålægge forpligtelsen til at give information, hvis den registrere-
de allerede er bekendt med oplysningerne, hvis registrering eller videregivelse af personoplysningerne
udtrykkelig er fastsat ved lov, eller hvis det viser sig at være umuligt eller vil kræve en uforholdsmæs-
sigt stor indsats at underrette den registrerede. Sidstnævnte kan navnlig være tilfældet i forbindelse
med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsfor-
mål eller til statistiske formål. I denne forbindelse bør der tages hensyn til antallet af registrerede, op-
lysningernes alder og eventuelle fornødne garantier, der er stillet.
(63)En registreret bør have ret til indsigt i personoplysninger, der er indsamlet om vedkommende, og til
let og med rimelige mellemrum at udøve denne ret med henblik på at forvisse sig om og kontrollere en
behandlings lovlighed. Dette omfatter registreredes ret til indsigt i deres helbredsoplysninger, f.eks. da-
ta i deres lægejournaler om diagnoser, undersøgelsesresultater, lægelige vurderinger samt enhver be-
handling og ethvert indgreb, der er foretaget. Enhver registreret bør derfor have ret til at kende og blive
underrettet om navnlig de formål, hvortil personoplysningerne behandles, om muligt perioden, hvor
personoplysningerne behandles, modtagerne af personoplysningerne, logikken der ligger bag en auto-
matisk behandling af personoplysninger, og om konsekvenserne af sådan behandling, i hvert fald når
den er baseret på profilering. Hvis det er muligt, bør den dataansvarlige kunne give fjernadgang til et
sikkert system, der giver den registrerede direkte adgang til vedkommendes personoplysninger. Denne
ret bør ikke krænke andres rettigheder eller frihedsrettigheder, herunder forretningshemmeligheder el-
ler intellektuel ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af. Denne vurde-
ring bør dog ikke resultere i en afvisning af at give al information til den registrerede. Hvis den dataan-
svarlige behandler en stor mængde oplysninger om den registrerede, bør den dataansvarlige kunne an-
mode om, at den registrerede, inden informationen gives, præciserer den information eller de behand-
lingsaktiviteter, som anmodningen vedrører.
(64)Den dataansvarlige bør træffe alle rimelige foranstaltninger for at bekræfte identiteten af en registre-
ret, som anmoder om indsigt, navnlig i forbindelse med onlinetjenester og onlineidentifikatorer. En da-
taansvarlig bør ikke opbevare personoplysninger alene for at kunne reagere på mulige anmodninger.
(65)En registreret bør have ret til at få berigtiget sine personoplysninger og »ret til at blive glemt«, hvis
opbevaringen af sådanne oplysninger overtræder denne forordning eller EU-ret eller medlemsstaternes
nationale ret, som den dataansvarlige er underlagt. En registreret bør navnlig have ret til at få sine per-
sonoplysninger slettet og ikke længere behandlet, hvis personoplysningerne ikke længere er nødvendi-
ge til de formål, hvortil de er blevet indsamlet eller på anden måde behandlet, hvis en registreret har
trukket sit samtykke tilbage eller gør indsigelse mod behandling af personoplysninger om
vedkommende, eller hvis behandlingen af vedkommendes personoplysninger i øvrigt ikke er i overens-
stemmelse med denne forordning. Denne ret er navnlig relevant, når den registrerede har givet sit sam-
tykke som barn og ikke er fuldt ud var bekendt med risiciene i forbindelse med behandling, og senere
ønsker at fjerne sådanne personoplysninger, særligt på internettet. Den registrerede bør kunne udøve
denne rettighed, uanset om vedkommende ikke længere er et barn. Yderligere opbevaring af persono-
plysningerne bør dog være lovlig, hvis det er nødvendigt for at udøve retten til ytrings- og informati-
onsfrihed, for at overholde en retlig forpligtelse, for udførelsen af en opgave i samfundets interesse
22
eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, af
hensyn til samfundsinteresser på folkesundhedsområdet, til arkivformål i samfundets interesse, til vi-
denskabelige eller historiske forskningsformål eller statistiske formål, eller for at retskrav kan fastlæg-
ges, gøres gældende eller forsvares.
(66)For at styrke retten til at blive glemt i onlinemiljøet bør retten til sletning udvides, så en dataansvarlig,
der har offentliggjort personoplysninger, forpligtes til at underrette de dataansvarlige, der behandler så-
danne personoplysninger, med henblik på at få slettet alle link til, kopier af eller gengivelser af disse
personoplysninger. I den forbindelse bør den dataansvarlige tage rimelige skridt under hensyntagen til
den tilgængelige teknologi og de midler, som den dataansvarlige har til sin rådighed, herunder tekniske
foranstaltninger, til at informere de dataansvarlige, der behandler personoplysningerne, om den regi-
streredes anmodning.
(67)Metoder til at begrænse behandlingen af personoplysninger kan bl.a. omfatte, at udvalgte oplysninger
midlertidig flyttes til et andet behandlingssystem, at udvalgte personoplysninger gøres utilgængelige
for brugere, eller at offentliggjorte oplysninger midlertidig fjernes fra et websted. I automatiske regi-
stre bør begrænsning af behandling i princippet sikres ved hjælp af tekniske midler på en sådan måde,
at personoplysningerne ikke kan viderebehandles og ikke kan ændres. Det forhold, at behandling af
personoplysninger er begrænset, bør angives tydeligt i systemet.
(68)For at give den registrerede øget kontrol over sine personoplysninger bør vedkommende, når behand-
ling af personoplysninger foretages automatisk, også kunne modtage personoplysninger vedrørende
vedkommende, som vedkommende har givet til en dataansvarlig, i et struktureret, almindeligt anvendt,
maskinlæsbart og indbyrdes kompatibelt format og kunne transmittere dem til en anden dataansvarlig.
Dataansvarlige bør opfordres til at udvikle indbyrdes kompatible formater, der muliggør dataportabili-
tet. Denne ret bør gælde, hvis den registrerede har givet personoplysningerne på grundlag af sit sam-
tykke, eller hvis behandlingen er nødvendig for opfyldelsen af en kontrakt. Den bør ikke gælde, hvis
behandlingen er baseret på et andet retsgrundlag end samtykke eller kontrakt. Denne ret bør på grund
af selve sin karakter ikke udøves over for dataansvarlige, der behandler personoplysninger under udø-
velsen af deres offentlige opgaver. Derfor bør den ikke gælde, hvis behandlingen af personoplysninger
er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, eller for at udføre
en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den da-
taansvarlige har fået pålagt. Den registreredes ret til at transmittere eller modtage personoplysninger
vedrørende vedkommende bør ikke skabe en forpligtelse for dataansvarlige til at indføre eller oprethol-
de behandlingssystemer, som er teknisk kompatible. Såfremt et sæt personoplysninger vedrører mere
end én registreret, bør retten til at modtage personoplysningerne ikke berøre andre registreredes rettig-
heder og frihedsrettigheder i overensstemmelse med denne forordning. Denne ret bør endvidere ikke
berøre den registreredes ret til at få slettet personoplysninger og begrænsningerne i denne ret som fast-
sat i denne forordning og bør navnlig ikke indebære, at personoplysninger, som den registrerede har
givet til opfyldelse af en kontrakt, slettes, i det omfang og så længe personoplysningerne er nødvendi-
ge for opfyldelse af kontrakten. Hvis det er teknisk muligt, bør den registrerede have ret til at få person-
oplysningerne transmitteret direkte fra en dataansvarlig til en anden.
(69)Hvis personoplysninger kan behandles lovligt, fordi behandling er nødvendig for at udføre en opgave
i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarli-
ge har fået pålagt, eller af hensyn til en dataansvarligs eller en tredjemands legitime interesse, bør en
registreret ikke desto mindre have ret til at gøre indsigelse mod behandling af personoplysninger på
baggrund af den pågældendes særlige situation. Det bør være op til den dataansvarlige at påvise, at
dennes vægtige legitime interesse har forrang for den registreredes interesser eller grundlæggende ret-
tigheder og frihedsrettigheder.
(70)Hvis personoplysninger behandles med henblik på direkte markedsføring, bør den registrerede til en-
hver tid have ret til gratis at gøre indsigelse mod en sådan behandling, herunder profilering, i det om-
23
fang den vedrører direkte marketing, uanset om det drejer sig om indledende behandling eller videre-
behandling. Den registrerede bør udtrykkelig gøres opmærksom på denne ret, og oplysningerne bør gi-
ves klart og adskilt fra alle andre oplysninger.
(71)Den registrerede bør have ret til ikke at blive gjort til genstand for en afgørelse, der kan omfatte en
foranstaltning, som evaluerer personlige forhold vedrørende vedkommende, og som alene bygger på
automatisk behandling, og som har retsvirkning eller som på tilsvarende vis betydeligt påvirker den
pågældende, såsom et automatisk afslag på en onlineansøgning om kredit eller e-rekrutteringsprocedu-
rer uden nogen menneskelig indgriben. En sådan behandling omfatter »profilering«, der består af en-
hver form for automatisk behandling af personoplysninger, der evaluerer de personlige forhold vedrø-
rende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den registreredes
arbejdsindsats, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed eller
adfærd eller geografiske position eller bevægelser, når den har retsvirkning for den pågældende eller
på tilsvarende vis betydeligt påvirker den pågældende. Afgørelser baseret på en sådan behandling, her-
under profilering, bør dog være tilladt, når EU-ret eller medlemsstaternes nationale ret, som den data-
ansvarlige er underlagt, udtrykkelig tillader det, herunder med henblik på overvågning og forebyggelse
af svig og skatteunddragelse i overensstemmelse med EU-institutionernes eller nationale tilsynsmyn-
digheders forskrifter, standarder og henstillinger og for at garantere sikkerheden og pålideligheden af
en tjeneste, der ydes af den dataansvarlige, eller hvis det er nødvendigt for indgåelse eller opfyldelse af
en kontrakt mellem den registrerede og en dataansvarlig, eller når den registrerede har givet sit udtryk-
kelige samtykke. En sådan behandling bør under alle omstændigheder være omfattet af de fornødne
garantier, herunder specifik underretning af den registrerede og retten til menneskelig indgriben, til at
fremkomme med synspunkter, til at få en forklaring på den afgørelse, der er truffet efter en sådan eva-
luering, og til at bestride afgørelsen. En sådan foranstaltning bør ikke omfatte et barn. For at sikre en
rimelig og gennemsigtig behandling for så vidt angår den registrerede under hensyntagen til de speci-
fikke omstændigheder og forhold, som personoplysningerne behandles under, bør den dataansvarlige
anvende passende matematiske eller statistiske procedurer til profileringen, gennemføre tekniske og
organisatoriske foranstaltninger, der navnlig kan sikre, at faktorer, der resulterer i unøjagtige persono-
plysninger, bliver rettet, og at risikoen for fejl minimeres, samt sikre personoplysninger på en måde,
der tager højde for de potentielle risici for den registreredes interesser og rettigheder, og som hindrer
bl.a. forskelsbehandling af fysiske personer på grund af race eller etnisk oprindelse, politisk, religiøs
eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetisk status eller helbredstilstand
eller seksuel orientering, eller som resulterer i foranstaltninger, der har en sådan virkning. Automatiske
afgørelser og profilering baseret på særlige kategorier af personoplysninger bør kun tillades under sær-
lige omstændigheder.
(72)Profilering er omfattet af reglerne i denne forordning vedrørende behandlingen af personoplysninger,
såsom retsgrundlaget for behandling og databeskyttelsesprincipper. Det Europæiske Databeskyttelses-
råd oprettet ved denne forordning (»Databeskyttelsesrådet«) bør kunne udstede retningslinjer i denne
forbindelse.
(73)Specifikke principper og retten til oplysninger, indsigt i og berigtigelse eller sletning af personoplys-
ninger, retten til dataportabilitet, retten til indsigelse, afgørelser baseret på profilering og meddelelse af
et brud på persondatasikkerheden til en registreret og visse tilknyttede forpligtelser for de dataansvarli-
ge kan begrænses af EU-retten eller medlemsstaternes nationale ret, for så vidt det er nødvendigt og
forholdsmæssigt i et demokratisk samfund af hensyn til den offentlige sikkerhed, herunder beskyttelse
af menneskeliv, især som reaktion på naturkatastrofer eller menneskeskabte katastrofer, forebyggelse,
efterforskning og retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner,
herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed, eller brud på de eti-
ske regler for lovregulerede erhverv, andre af Unionens eller en medlemsstats samfundsinteresser,
navnlig Unionens eller en medlemsstats vigtige økonomiske eller finansielle interesser, føring af of-
24
fentlige registre i offentlighedens interesse, viderebehandling af arkiverede personoplysninger for at
tilvejebringe specifikke oplysninger om politisk adfærd under tidligere totalitære regimer eller beskyt-
telse af den registrerede eller andres rettigheder og frihedsrettigheder, herunder social sikring, folke-
sundhed og humanitære formål. En sådan begrænsning bør være i overensstemmelse med kravene i
chartret og i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende fri-
hedsrettigheder.
(74)Der bør fastsættes bestemmelser om den dataansvarliges ansvar, herunder erstatningsansvar, for en-
hver behandling af personoplysninger, der foretages af den dataansvarlige eller på den dataansvarliges
vegne. Den dataansvarlige bør navnlig have pligt til at gennemføre passende og effektive foranstaltnin-
ger og til at påvise, at behandlingsaktiviteter overholder denne forordning, herunder foranstaltninger-
nes effektivitet. Disse foranstaltninger bør tage højde for behandlingens karakter, omfang, sammen-
hæng og formål og risikoen for fysiske personers rettigheder og frihedsrettigheder.
(75)Risiciene for fysiske personers rettigheder og frihedsrettigheder, af varierende sandsynlighed og al-
vor, kan opstå som følge af behandling af personoplysninger, der kan føre til fysisk, materiel eller im-
materiel skade, navnlig hvis behandlingen kan give anledning til forskelsbehandling, identitetstyveri
eller -svig, finansielle tab, skade på omdømme, tab af fortrolighed for personoplysninger, der er omfat-
tet af tavshedspligt, uautoriseret ophævelse af pseudonymisering eller andre betydelige økonomiske el-
ler sociale konsekvenser; hvis de registrerede kan blive berøvet deres rettigheder og frihedsrettigheder
eller forhindret i at udøve kontrol med deres personoplysninger; hvis der behandles personoplysninger,
der viser race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæs-
sigt tilhørsforhold, og behandling af genetiske data, helbredsoplysninger eller oplysninger om seksuel-
le forhold eller straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger; hvis
personlige forhold evalueres, navnlig analyse eller forudsigelse af forhold vedrørende indsats på ar-
bejdspladsen, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed eller
adfærd eller geografisk position eller bevægelser, med henblik på at oprette eller anvende personlige
profiler; hvis der behandles personoplysninger om sårbare fysiske personer, navnlig børn; eller hvis
behandlingen omfatter en stor mængde personoplysninger og berører et stort antal registrerede.
(76)Risikoens sandsynlighed og alvor for så vidt angår den registreredes rettigheder og frihedsrettigheder
bør bestemmes med henvisning til behandlingens karakter, omfang, sammenhæng og formål. Risikoen
bør evalueres på grundlag af en objektiv vurdering, hvorved det fastslås, om databehandlingsaktiviteter
indebærer en risiko eller en høj risiko.
(77)Retningslinjer til den dataansvarlige eller databehandleren om implementering af passende foranstalt-
ninger og for påvisning af vedkommendes overholdelse af denne forordning, navnlig for så vidt angår
identificering af risikoen i forbindelse med behandlingen, deres vurdering med hensyn til risikoens op-
rindelse, karakter, sandsynlighed og alvor og om identificering af bedste praksis med henblik på at be-
grænse denne risiko, kan opstilles, navnlig gennem godkendte adfærdskodekser, godkendte certifice-
ringer, retningslinjer fra Databeskyttelsesrådet eller en databeskyttelsesrådgivers anvisninger. Databe-
skyttelsesrådet kan også opstille retningslinjer for behandlingsaktiviteter, som anses for sandsynligvis
ikke at medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder, og give anvisnin-
ger for, hvilke foranstaltninger der kan være tilstrækkelige i disse tilfælde for at afhjælpe en sådan risi-
ko.
(78)Beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af per-
sonoplysninger kræver, at der træffes passende tekniske og organisatoriske foranstaltninger for at sik-
re, at denne forordnings krav opfyldes. For at kunne påvise overholdelse af denne forordning bør den
dataansvarlige vedtage interne politikker og gennemføre foranstaltninger, som især lever op til princip-
perne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger. Sådanne
foranstaltninger kan bl.a. bestå i minimering af behandlingen af personoplysninger, pseudonymisering
af personoplysninger så hurtigt som muligt og gennemsigtighed for så vidt angår personoplysningers
25
funktion og behandling, således at den registrerede kan overvåge databehandlingen, og den dataansvar-
lige kan tilvejebringe og forbedre sikkerhedselementer. Når producenter af produkter, tjenester og ap-
plikationer udvikler, designer, udvælger og bruger applikationer, tjenester og produkter, der er baseret
på behandling af personoplysninger eller behandler personoplysninger, for at udføre deres opgaver, bør
de tilskyndes til at tage højde for retten til databeskyttelse i forbindelse med udvikling og design af
sådanne produkter, tjenester og applikationer og til under behørig hensyntagen til det aktuelle tekniske
niveau at sørge for, at de dataansvarlige og databehandlerne er i stand til at opfylde deres databeskyt-
telsesforpligtelser. Der bør også tages hensyn til principperne om databeskyttelse gennem design og
databeskyttelse gennem standardindstillinger i forbindelse med offentlige udbud.
(79)Beskyttelse af registreredes rettigheder og frihedsrettigheder samt de dataansvarliges og databehand-
lernes ansvar, herunder erstatningsansvar, også i forbindelse med tilsynsmyndighedernes kontrol og
foranstaltninger, kræver en klar fordeling af ansvarsområderne i medfør af denne forordning, herunder
når en dataansvarlig fastlægger formålene med og hjælpemidlerne til behandling sammen med andre
dataansvarlige, eller når en behandlingsaktivitet foretages på vegne af en dataansvarlig.
(80)Hvis en dataansvarlig eller en databehandler, som ikke er etableret i Unionen, behandler personoplys-
ninger om registrerede, der er i Unionen, og hvis behandlingsaktiviteter vedrører udbud af varer eller
tjenesteydelser til sådanne registrerede i Unionen, uanset om betaling fra de registrerede er påkrævet,
eller overvågning af deres adfærd, hvis adfærden finder sted i Unionen, bør den dataansvarlige eller
databehandleren udpege en repræsentant, medmindre behandlingen er lejlighedsvis, ikke i stort om-
fang indebærer behandling af særlige kategorier af personoplysninger eller behandlingen af personop-
lysninger vedrørende straffedomme og lovovertrædelser, og sandsynligvis ikke indebærer en risiko for
fysiske personers rettigheder og frihedsrettigheder under hensyntagen til behandlingens karakter, sam-
menhæng, omfang og formål, eller hvis den dataansvarlige er en offentlig myndighed eller et offentligt
organ. Repræsentanten bør handle på den dataansvarliges eller databehandlerens vegne og kan kontak-
tes af enhver tilsynsmyndighed. Repræsentanten bør udtrykkelig udpeges ved et skriftligt mandat fra
den dataansvarlige eller fra databehandleren til at handle på dennes vegne for så vidt angår dennes for-
pligtelser i henhold til denne forordning. Udpegelsen af en sådan repræsentant berører ikke den dataan-
svarliges eller databehandlerens ansvar, herunder erstatningsansvar, i henhold til denne forordning. En
sådan repræsentant bør udføre sine opgaver i overensstemmelse med mandatet fra den dataansvarlige
eller databehandleren, herunder samarbejde med de kompetente tilsynsmyndigheder med hensyn til en-
hver foranstaltning, der træffes for at sikre overholdelse af denne forordning. Den udpegede repræsen-
tant bør være underlagt håndhævelsesforanstaltninger i tilfælde af manglende overholdelse fra den da-
taansvarliges eller databehandlerens side.
(81)Med henblik på at sikre overholdelse af kravene i denne forordning i forbindelse med behandling, der
foretages af en databehandler på vegne af den dataansvarlige, når databehandleren overdrages behand-
lingsaktiviteter, bør den dataansvarlige udelukkende benytte sig af databehandlere, der giver tilstræk-
kelige garantier, navnlig i form af ekspertise, pålidelighed og ressourcer, for implementering af tekni-
ske og organisatoriske foranstaltninger, der opfylder kravene i denne forordning, herunder med hensyn
til behandlingssikkerhed. Databehandlerens overholdelse af en godkendt adfærdskodeks eller en god-
kendt certificeringsmekanisme kan bruges som et element til at påvise, at den dataansvarlige overhol-
der sine forpligtelser. Bestemmelserne om behandling ved en databehandler bør fastsættes i en kon-
trakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der
binder databehandleren til den dataansvarlige, og hvori behandlingens genstand og varighed, behand-
lingens karakter og formål, typen af personoplysninger og kategorierne af registrerede er fastsat, idet
der tages hensyn til databehandleres specifikke opgaver og ansvar i forbindelse med den behandling,
der skal foretages, og risikoen for den registreredes rettigheder og frihedsrettigheder. Den dataansvarli-
ge og databehandleren kan vælge at anvende en individuel kontrakt eller standardkontraktbestemmel-
ser, der er vedtaget enten direkte af Kommissionen eller af en tilsynsmyndighed i henhold til sammen-
26
hængsmekanismen og derefter vedtaget af Kommissionen. Databehandleren bør efter den dataansvarli-
ges valg tilbagelevere eller slette de pågældende personoplysninger efter afslutning af den behandling,
der er foretaget på vegne af den dataansvarlige, medmindre der er et krav om at opbevare personop-
lysningerne i EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt.
(82)For at påvise overholdelse af denne forordning bør den dataansvarlige eller databehandleren føre for-
tegnelser over behandlingsaktiviteter under sit ansvar. Hver dataansvarlig og databehandler bør have
pligt til at samarbejde med tilsynsmyndigheden og efter anmodning stille disse fortegnelser til rådig-
hed for tilsynsmyndigheden, så de kan bruges til at føre tilsyn med sådanne behandlingsaktiviteter.
(83)For at opretholde sikkerheden og hindre behandling i strid med denne forordning bør den dataansvar-
lige eller databehandleren vurdere de risici, som en behandling indebærer, og gennemføre foranstalt-
ninger, der kan begrænse disse risici, som f.eks. kryptering. Disse foranstaltninger bør under hensynta-
gen til det aktuelle tekniske niveau og implementeringsomkostningerne sikre et tilstrækkeligt sikker-
hedsniveau, herunder fortrolighed, i forhold til risiciene og karakteren af de personoplysninger, der
skal beskyttes. Ved vurderingen af datasikkerhedsrisikoen bør der tages hensyn til de risici, som be-
handling af personoplysninger indebærer, såsom hændelig eller ulovlig tilintetgørelse, tab, ændring el-
ler uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller
på anden måde behandlet, og som navnlig kan føre til fysisk, materiel eller immateriel skade.
(84)For at fremme overholdelse af denne forordning bør den dataansvarlige, hvor behandlingsaktiviteter
sandsynligvis indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder, have an-
svaret for at foretage en konsekvensanalyse vedrørende databeskyttelse for navnlig at vurdere denne
risikos oprindelse, karakter, særegenhed og alvor. Resultatet af analysen bør tages i betragtning, når
der skal træffes passende foranstaltninger med henblik på at påvise, at behandlingen af personoplys-
ningerne overholder denne forordning. Hvis det fremgår af en konsekvensanalyse vedrørende databe-
skyttelse, at behandlingsaktiviteter indebærer en høj risiko, som den dataansvarlige ikke kan begrænse
ved passende foranstaltninger med hensyn til tilgængelig teknologi og gennemførelsesomkostninger,
bør tilsynsmyndigheden høres forud for behandlingen.
(85)Et brud på persondatasikkerheden kan, hvis det ikke håndteres på en passende og rettidig måde, påfø-
re fysiske personer fysisk, materiel eller immateriel skade, såsom tab af kontrol over deres personop-
lysninger eller begrænsning af deres rettigheder, forskelsbehandling, identitetstyveri eller -svig, finan-
sielle tab, uautoriseret ophævelse af pseudonymisering, skade på omdømme, tab af fortrolighed for op-
lysninger, der er omfattet af tavshedspligt, eller andre betydelige økonomiske eller sociale konsekven-
ser for den berørte fysiske person. Så snart den dataansvarlige bliver bekendt med, at der er sket et
brud på persondatasikkerheden, bør vedkommende derfor anmelde bruddet på persondatasikkerheden
til den kompetente tilsynsmyndighed uden unødig forsinkelse og om muligt senest 72 timer efter, at
denne er blevet bekendt med det, medmindre den dataansvarlige i overensstemmelse med ansvarlig-
hedsprincippet kan påvise, at bruddet på persondatasikkerheden sandsynligvis ikke indebærer risiko
for fysiske personers rettigheder eller frihedsrettigheder. Hvis en sådan anmeldelse ikke kan ske inden
for 72 timer, bør den ledsages af en begrundelse for forsinkelsen, og oplysningerne kan indgives trin-
vis uden unødig yderligere forsinkelse.
(86)Den dataansvarlige bør underrette den registrerede om et brud på persondatasikkerheden uden unødig
forsinkelse, når dette brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for den
fysiske persons rettigheder og frihedsrettigheder, med henblik på at give vedkommende mulighed for
at træffe de fornødne forholdsregler. Underretningen bør beskrive karakteren af bruddet på persondata-
sikkerheden og indeholde anbefalinger til den berørte fysiske person med henblik på at begrænse de
mulige skadevirkninger. Sådanne underretninger til registrerede bør gives, så snart det med rimelighed
er muligt og i tæt samarbejde med tilsynsmyndigheden, i overensstemmelse med retningslinjer, der er
udstukket af denne eller af andre relevante myndigheder, såsom de retshåndhævende myndigheder.
Eksempelvis kræver behovet for at begrænse en umiddelbar risiko for skade omgående underretning af
27
registrerede, mens behovet for at gennemføre passende foranstaltninger mod fortsatte eller lignende
brud på persondatasikkerheden kan begrunde en længere frist for underretning.
(87)Det bør undersøges, om alle passende teknologiske beskyttelsesforanstaltninger og organisatoriske
foranstaltninger er blevet gennemført, for omgående at kunne fastslå, om et brud på persondatasikker-
heden har fundet sted, og for straks at kunne informere tilsynsmyndigheden og den registrerede. Om
anmeldelsen fandt sted uden unødig forsinkelse bør fastslås, under særlig hensyntagen til karakteren og
alvoren af bruddet på persondatasikkerheden og dets konsekvenser og skadevirkninger for den regi-
strerede. En sådan anmeldelse kan føre til indgriben fra tilsynsmyndigheden i overensstemmelse med
dens opgaver og beføjelser i henhold til denne forordning.
(88)Når der fastsættes nærmere regler for, hvilket format og hvilke procedurer der skal anvendes ved an-
meldelse af brud på persondatasikkerheden, bør der tages hensyn til omstændighederne ved det pågæl-
dende brud, herunder om personoplysningerne var beskyttet med passende tekniske beskyttelsesforan-
staltninger, der effektivt begrænser sandsynligheden for identitetssvig eller andre former for misbrug.
Sådanne regler og procedurer bør endvidere tage hensyn til de retshåndhævende myndigheders legiti-
me interesser, da en tidlig videregivelse unødigt kan hæmme undersøgelsen af omstændighederne ved
et brud på persondatasikkerheden.
(89)Ved direktiv 95/46/EF blev der fastsat en generel forpligtelse til at anmelde behandlingen af person-
oplysninger til tilsynsmyndighederne. Denne forpligtelse medførte en administrativ og finansiel byrde,
men den bidrog ikke i alle tilfælde til at forbedre beskyttelsen af personoplysninger. En sådan vilkårlig
og generel anmeldelsespligt bør derfor afskaffes og erstattes med effektive procedurer og mekanismer,
som i stedet fokuserer på de typer behandlingsaktiviteter, der sandsynligvis vil indebære en høj risiko
for fysiske personers rettigheder og frihedsrettigheder i medfør af deres karakter, omfang, sammen-
hæng og formål. Sådanne typer behandlingsaktiviteter kan være aktiviteter, der navnlig indebærer brug
af ny teknologi, eller aktiviteter som er af en ny slags, og hvor den dataansvarlige endnu ikke har fore-
taget en konsekvensanalyse vedrørende databeskyttelse, eller hvor de er blevet nødvendige på grund af
den tid, der er gået siden den oprindelige behandling.
(90)I sådanne tilfælde bør den dataansvarlige inden behandlingen foretage en konsekvensanalyse vedrø-
rende databeskyttelse med henblik på at vurdere den høje risikos specifikke sandsynlighed og alvor
under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risikokilderne.
Konsekvensanalysen bør navnlig omfatte de foranstaltninger, garantier og mekanismer, der er planlagt
til begrænsning af denne risiko, til sikring af beskyttelsen af personoplysninger og påvisning af over-
holdelse af denne forordning.
(91)Dette er især relevant i forbindelse med omfattende behandlingsaktiviteter til behandling af meget
store mængder personoplysninger på regionalt, nationalt eller overnationalt plan, der kan berøre mange
registrerede, og som sandsynligvis vil indebære en høj risiko, f.eks. på grund af behandlingsaktiviteter-
nes følsomhed, hvis der i overensstemmelse med det opnåede niveau af teknologisk viden sker omfat-
tende brug af ny teknologi, samt i forbindelse med andre behandlingsaktiviteter, der indebærer en høj
risiko for registreredes rettigheder og frihedsrettigheder, navnlig hvis disse aktiviteter gør det vanskeli-
gere for registrerede at udøve deres rettigheder. Der bør også foretages en konsekvensanalyse vedrø-
rende databeskyttelse, hvis personoplysninger behandles med det formål at træffe afgørelser vedrøren-
de specifikke fysiske personer efter en systematisk og omfattende vurdering af personlige forhold ved-
rørende fysiske personer baseret på profilering af disse oplysninger eller efter behandling af særlige
kategorier af personoplysninger, biometriske data eller oplysninger om straffedomme og lovovertræ-
delser eller tilknyttede sikkerhedsforanstaltninger. En konsekvensanalyse vedrørende databeskyttelse
er ligeledes påkrævet ved omfattende overvågning af offentligt tilgængelige områder, navnlig ved brug
af optoelektronisk udstyr, eller ved alle andre aktiviteter, hvor den kompetente tilsynsmyndighed me-
ner, at den pågældende behandling sandsynligvis indebærer en høj risiko for registreredes rettigheder
og frihedsrettigheder, navnlig fordi den hindrer registrerede i at udøve en rettighed eller gøre brug af
28
en tjeneste eller en kontrakt, eller fordi den foretages på systematisk og omfattende vis. Behandling af
personoplysninger bør ikke anses for at være omfattende, hvis der er tale om en læges, sundhedsperso-
nales eller en advokats behandling af personoplysninger om patienter eller klienter. I sådanne tilfælde
bør en konsekvensanalyse vedrørende databeskyttelse ikke være obligatorisk.
(92)Der kan være tilfælde, hvor det kan være rimeligt og økonomisk at foretage en konsekvensanalyse
vedrørende databeskyttelse, som omfatter mere end ét enkelt projekt, f.eks. hvis offentlige myndighe-
der eller organer har planer om at indføre en fælles applikation eller behandlingsplatform, eller hvis
flere dataansvarlige planlægger at indføre en fælles applikation eller behandlingsplatform på tværs af
en industrisektor eller et industrisegment eller for en udbredt horisontal aktivitet.
(93)I forbindelse med vedtagelsen af national lovgivning i medlemsstaterne, der udgør grundlaget for en
offentlig myndigheds eller et offentligt organs udførelse af opgaver, og som regulerer den eller de på-
gældende specifikke behandlingsaktiviteter, kan medlemsstaterne vurdere, at en sådan analyse skal
foretages inden behandlingsaktiviteterne.
(94)Såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at en behandling uden garantier, sik-
kerhedsforanstaltninger og mekanismer til at begrænse risikoen vil føre til en høj risiko for fysiske per-
soners rettigheder og frihedsrettigheder, og den dataansvarlige mener, at risikoen ikke kan begrænses
gennem rimelige midler for så vidt angår tilgængelig teknologi og gennemførelsesomkostninger, bør
tilsynsmyndigheden høres inden indledning af behandlingsaktiviteterne. En sådan høj risiko vil sand-
synligvis være en følge af visse typer behandling og omfanget og hyppigheden af behandlingen, der
også kan føre til skade for eller indgreb i fysiske personers rettigheder og frihedsrettigheder. Tilsyns-
myndigheden bør reagere på en høringsanmodning inden for et fastsat tidsrum. Tilsynsmyndighedens
manglende reaktion inden for dette tidsrum bør dog ikke berøre tilsynsmyndighedens mulighed for at
gribe ind i overensstemmelse med dens opgaver og beføjelser i henhold til denne forordning, herunder
beføjelsen til at forbyde behandlingsaktiviteter. Som led i denne høringsproces kan resultatet af en
konsekvensanalyse vedrørende databeskyttelse, der foretages for den pågældende behandling, forelæg-
ges tilsynsmyndigheden, navnlig de foranstaltninger, der påtænkes for at begrænse risikoen for fysiske
personers rettigheder og frihedsrettigheder.
(95)Databehandleren bør bistå den dataansvarlige, når det er nødvendigt og efter anmodning, med at sikre
overholdelse af de forpligtelser, der udspringer af foretagelse af konsekvensanalyser vedrørende data-
beskyttelse og forudgående høring af tilsynsmyndigheden.
(96)Tilsynsmyndigheden bør ligeledes høres som led i udarbejdelsen af lovgivning eller regulerende for-
anstaltninger, som omhandler behandling af personoplysninger, med henblik på at sikre, at den plan-
lagte behandling overholder denne forordning, og navnlig for at begrænse risiciene for den registrere-
de.
(97)Hvis behandling foretages af en offentlig myndighed, bortset fra domstole eller andre uafhængige ju-
dicielle myndigheder, når de handler i deres egenskab af domstol, hvis behandling i den private sektor
foretages af en dataansvarlig, hvis kerneaktiviteter består i behandlingsaktiviteter, som kræver regel-
mæssig og systematisk overvågning af de registrerede i stort omfang, eller hvis den dataansvarliges
eller databehandlerens kerneaktiviteter består af behandling i stort omfang af særlige kategorier af op-
lysninger og oplysninger vedrørende straffedomme og lovovertrædelser, bør en person med ekspertise
i databeskyttelsesret og -praksis bistå den dataansvarlige eller databehandleren med at overvåge den
interne overholdelse af denne forordning. I den private sektor vedrører en dataansvarligs kerneaktivite-
ter vedkommendes hovedaktiviteter og ikke behandling af personoplysninger som biaktivitet. Den
nødvendige ekspertise bør navnlig fastlægges i henhold til de databehandlingsaktiviteter, der foretages,
og den beskyttelse de personoplysninger, som den dataansvarlige eller databehandleren behandler,
kræver. Sådanne databeskyttelsesrådgivere bør, uanset om de er ansat hos den dataansvarlige eller ej,
være i stand til at udøve deres hverv på uafhængig vis.
29
(98)Sammenslutninger eller andre organer, der repræsenterer kategorier af dataansvarlige eller databe-
handlere, bør opfordres til at udarbejde adfærdskodekser inden for rammerne af denne forordning med
henblik på at fremme en effektiv anvendelse af denne forordning under hensyntagen til de specifikke
typer af behandling, der foretages i visse sektorer, og de særlige behov hos mikrovirksomheder og små
og mellemstore virksomheder. Sådanne adfærdskodekser bør navnlig kunne justere dataansvarliges og
databehandleres forpligtelser, så der tages hensyn til den risiko, som sandsynligvis vil følge af behand-
lingen for fysiske personers rettigheder og frihedsrettigheder.
(99)Under udarbejdelsen af en adfærdskodeks eller i forbindelse med ændring eller udvidelse af en sådan
kodeks bør sammenslutninger og andre organer, der repræsenterer kategorier af dataansvarlige eller
databehandlere, høre relevante interessenter, herunder i muligt omfang registrerede, og tage hensyn til
bemærkninger og synspunkter, der er fremsat som svar på sådanne høringer.
(100)For at forbedre gennemsigtigheden og overholdelsen af denne forordning bør fastlæggelsen af certi-
ficeringsmekanismer og databeskyttelsesmærkninger og -mærker fremmes, så registrerede hurtigt kan
vurdere databeskyttelsesniveauet i forbindelse med relevante produkter og tjenester.
(101)Strømmen af personoplysninger til og fra lande uden for Unionen og til og fra internationale organi-
sationer er nødvendig af hensyn til udbygningen af den internationale samhandel og det internationale
samarbejde. Udvidelsen af denne strøm har skabt nye udfordringer og betænkeligheder med hensyn til
beskyttelsen af personoplysninger. Når personoplysninger overføres fra Unionen til dataansvarlige, da-
tabehandlere eller andre modtagere i tredjelande eller til internationale organisationer, må det beskyt-
telsesniveau, som fysiske personer sikres i Unionen i medfør af denne forordning, dog ikke undermine-
res, herunder i tilfælde af videreoverførsel af personoplysninger fra et tredjeland eller en international
organisation til dataansvarlige, databehandlere i det samme eller et andet tredjeland eller en anden in-
ternational organisation. Overførsel til tredjelande og internationale organisationer må under alle om-
stændigheder kun finde sted under fuld overholdelse af denne forordning. En overførsel vil kun kunne
finde sted, hvis den dataansvarlige eller databehandleren opfylder betingelserne i denne forordning
vedrørende overførsel af personoplysninger til tredjelande eller internationale organisationer, jf. dog de
øvrige bestemmelser i denne forordning.
(102)Denne forordning berører ikke internationale aftaler indgået mellem Unionen og tredjelande om
overførsel af personoplysninger, herunder de fornødne garantier for registrerede. Medlemsstaterne kan
indgå internationale aftaler, som omfatter overførsel af personoplysninger til tredjelande eller internati-
onale organisationer, for så vidt sådanne aftaler ikke berører denne forordning eller andre bestemmel-
ser i EU-retten og omfatter et passende beskyttelsesniveau for registreredes grundlæggende rettighe-
der.
(103)Kommissionen kan med virkning for hele Unionen træffe afgørelse om, at et tredjeland, et område
eller en specifik sektor i et tredjeland, eller en international organisation har et tilstrækkeligt databe-
skyttelsesniveau, og dermed skabe retssikkerhed og ensartethed i hele Unionen hvad angår det tredje-
land eller den internationale organisation, der vurderes at have et sådant beskyttelsesniveau. I sådanne
tilfælde kan personoplysninger overføres til det pågældende tredjeland uden yderligere godkendelse.
Kommissionen kan også træffe afgørelse om at tilbagekalde en sådan afgørelse efter at have underret-
tet og fyldestgørende begrundet det over for det pågældende tredjeland eller den pågældende internati-
onale organisation.
(104)I overensstemmelse med de grundlæggende værdier, som Unionen bygger på, navnlig beskyttelse af
menneskerettighederne, bør Kommissionen i sin vurdering af et tredjeland eller et område eller en spe-
cifik sektor i et tredjeland tage hensyn til, hvordan et bestemt tredjeland efterlever retsstatsprincippet,
klageadgang og domstolsprøvelse, internationale menneskerettighedsnormer og -standarder samt sin
generelle og sektorbestemte ret, herunder lovgivning vedrørende offentlig sikkerhed, forsvar, statens
sikkerhed samt offentlig orden og strafferet. Når der vedtages en afgørelse om tilstrækkeligheden af
beskyttelsesniveauet i et område eller en specifik sektor i et tredjeland, bør der tages hensyn til klare
30
og objektive kriterier, som f.eks. specifikke behandlingsaktiviteter og anvendelsesområdet for gælden-
de retsstandarder og lovgivning i tredjelandet. Tredjelandet bør give garantier, der sikrer et passende
beskyttelsesniveau, som i det væsentlige svarer til det, der sikres i Unionen, især når personoplysnin-
ger behandles i en eller flere specifikke sektorer. Tredjelandet bør navnlig sikre et effektivt uafhængigt
databeskyttelsestilsyn og bør fastlægge samarbejdsmekanismer med medlemsstaternes databeskyttel-
sesmyndigheder, og de registrerede bør have effektive rettigheder, som kan håndhæves, og adgang til
effektiv administrativ og retslig prøvelse.
(105)Ud over de internationale forpligtelser, som tredjelandet eller den internationale organisation har
indgået, bør Kommissionen tage hensyn til forpligtelser, der følger af tredjelandets eller den internatio-
nale organisations deltagelse i multilaterale eller regionale systemer, navnlig i forbindelse med beskyt-
telse af personoplysninger, samt gennemførelsen af sådanne forpligtelser. Der bør navnlig tages hen-
syn til tredjelandets tiltrædelse af Europarådets konvention af 28. januar 1981 om beskyttelse af det
enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger og tillægsproto-
kollen hertil. Kommissionen bør høre Databeskyttelsesrådet, når den vurderer beskyttelsesniveauet i
tredjelande eller internationale organisationer.
(106)Kommissionen bør overvåge virkningen af afgørelser om beskyttelsesniveauet i et tredjeland, et om-
råde eller en specifik sektor i et tredjeland, eller en international organisation, og overvåge virkningen
af afgørelser vedtaget på grundlag af artikel 25, stk. 6, eller artikel 26, stk. 4, i direktiv 95/46/EF. I sine
afgørelser om tilstrækkeligheden af beskyttelsesniveauet bør Kommissionen fastsætte en mekanisme
for regelmæssig revision af afgørelsernes virkning. Denne regelmæssige revision bør foretages i sam-
råd med det pågældende tredjeland eller den pågældende internationale organisation og tage hensyn til
enhver relevant udvikling i tredjelandet eller den internationale organisation. I forbindelse med over-
vågning og den regelmæssige revision bør Kommissionen tage hensyn til synspunkter og resultater fra
Europa-Parlamentet og fra Rådet såvel som fra andre relevante organer og kilder. Kommissionen bør
inden for en rimelig frist evaluere virkningen af sidstnævnte afgørelser og rapportere alle relevante re-
sultater til det udvalg som er omhandlet i Europa-Parlamentets og Rådets forordning (EU) nr.
182/2011 (12), der nedsættes ved nærværende forordning, og til Europa-Parlamentet og Rådet.
(107)Kommissionen kan fastslå, at et tredjeland, et område eller en specifik sektor i et tredjeland, eller en
international organisation ikke længere sikrer et tilstrækkeligt databeskyttelsesniveau. Overførsel af
personoplysninger til et sådant tredjeland eller en sådan international organisation bør derfor forbydes,
medmindre kravene i denne forordning vedrørende overførsel omfattet af fornødne garantier, herunder
bindende virksomhedsregler og undtagelser i særlige situationer, er opfyldt. Der bør i sådanne tilfælde
fastlægges bestemmelser om en procedure for konsultationer mellem Kommissionen og sådanne tred-
jelande eller internationale organisationer. Kommissionen bør rettidigt underrette tredjelandet eller den
internationale organisation om årsagerne og indlede konsultationer med tredjelandet eller den internati-
onale organisation for at afhjælpe situationen.
(108)I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet bør den dataansvarlige eller
databehandleren træffe foranstaltninger for at kompensere for den manglende databeskyttelse i et tred-
jeland i form af fornødne garantier for den registrerede. Sådanne fornødne garantier kan bestå i anven-
delse af bindende virksomhedsregler, standardbestemmelser om databeskyttelse vedtaget af Kommissi-
onen, standardbestemmelser om databeskyttelse vedtaget af en tilsynsmyndighed eller kontraktbestem-
melser godkendt af en tilsynsmyndighed. Disse garantier bør sikre overholdelse af databeskyttelseskra-
vene og de registreredes rettigheder i forbindelse med intern behandling i Unionen, herunder tilgænge-
lighed af rettigheder, som kan håndhæves, for registrerede og effektive retsmidler, herunder til at opnå
effektiv administrativ eller retslig prøvelse og til at kræve erstatning, i Unionen eller et tredjeland. Ga-
rantierne bør navnlig vedrøre overholdelse af de generelle principper for behandling af personoplys-
ninger og principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstil-
linger. Overførsel kan også foretages af offentlige myndigheder eller organer til offentlige myndighe-
31
der eller organer i tredjelande eller til internationale organisationer med tilsvarende opgaver eller funk-
tioner, herunder på grundlag af bestemmelser, der medtages i administrative ordninger, f.eks. et aftale-
memorandum, hvorved de registrerede sikres effektive rettigheder, som kan håndhæves. Godkendelse
fra den kompetente tilsynsmyndighed bør indhentes, når garantierne indgår i administrative ordninger,
der ikke er juridisk bindende.
(109)Den dataansvarliges eller databehandlerens mulighed for at bruge standardbestemmelser om databe-
skyttelse vedtaget af Kommissionen eller en tilsynsmyndighed bør hverken udelukke muligheden for,
at den dataansvarlige eller databehandleren medtager standardbestemmelser om databeskyttelse i en
bredere kontrakt, såsom en kontrakt mellem databehandleren og en anden databehandler, eller medta-
ger andre bestemmelser eller yderligere garantier, såfremt de hverken direkte eller indirekte er i strid
med de standardkontraktbestemmelser, der er vedtaget af Kommissionen eller en tilsynsmyndighed, el-
ler berører de registreredes grundlæggende rettigheder eller frihedsrettigheder. Dataansvarlige og data-
behandlere bør tilskyndes til at give yderligere garantier gennem kontraktmæssige forpligtelser, der
supplerer standardbestemmelserne om beskyttelse.
(110)En koncern eller en gruppe af foretagender, der udøver en fælles økonomisk aktivitet, bør kunne be-
nytte godkendte bindende virksomhedsregler for sine internationale overførsler fra Unionen til organi-
sationer inden for samme koncern eller gruppe af foretagender, der udøver en fælles økonomisk aktivi-
tet, forudsat at sådanne virksomhedsregler omfatter alle væsentlige principper og rettigheder, som kan
håndhæves, med henblik på at sikre de fornødne garantier for overførsel eller kategorier af overførsler
af personoplysninger.
(111)Overførsel bør tillades under visse omstændigheder, når den registrerede har givet sit udtrykkelige
samtykke, og hvor overførsel er lejlighedsvis og nødvendig i forbindelse med en kontrakt eller et rets-
krav, uanset om det sker i forbindelse med en retssag eller en administrativ eller udenretslig procedure,
herunder procedurer ved reguleringsorganer. Overførsel bør også tillades, når vigtige samfundsinteres-
ser i henhold til EU-retten eller medlemsstaternes nationale ret kræver det, eller når overførsel sker fra
et register, der er oprettet ved lov, og som er tilgængeligt for offentligheden eller personer med en legi-
tim interesse. I sidstnævnte tilfælde bør sådan overførsel ikke omfatte alle personoplysningerne eller
alle kategorier af oplysninger i registeret, og når registeret er beregnet til at blive konsulteret af perso-
ner, der har en legitim interesse, bør overførsel under fuld hensyntagen til den registreredes interesser
og grundlæggende rettigheder kun ske på anmodning af disse personer, eller hvis de skal være modta-
gere.
(112)Disse fravigelser bør navnlig gælde for overførsel af oplysninger, der foretages af hensyn til vigtige
samfundsinteresser, f.eks. international udveksling af oplysninger mellem konkurrencemyndigheder,
skatte- eller toldforvaltninger, finansielle tilsynsmyndigheder eller socialsikringsmyndigheder eller
med henblik på folkesundhed, f.eks. i tilfælde af kontaktopsporing i forbindelse med smitsomme syg-
domme eller for at nedbringe og/eller afskaffe doping inden for sport. Overførsel af personoplysninger,
der er nødvendig for at beskytte et hensyn af fundamental betydning for den registreredes eller en an-
den persons vitale interesser, herunder fysisk integritet eller liv, bør ligeledes anses for lovlig, hvis den
registrerede er ude af stand til at give sit samtykke. I mangel af en afgørelse om tilstrækkeligheden af
beskyttelsesniveauet kan EU-retten eller medlemsstaternes nationale ret af hensyn til vigtige sam-
fundsinteresser udtrykkelig fastsætte grænser for overførsel af særlige kategorier af oplysninger til et
tredjeland eller en international organisation. Medlemsstaterne bør give Kommissionen meddelelse om
sådanne bestemmelser. Enhver overførsel til en international humanitær organisation af personoplys-
ninger om en registreret, der ikke fysisk eller juridisk er i stand til at give sit samtykke, med henblik på
udførelse af en opgave i henhold til Genèvekonventionerne eller for at overholde international humani-
tær ret, som finder anvendelse i væbnede konflikter, kan anses for at være nødvendig af hensyn til vig-
tige samfundsinteresser, eller fordi det er af vital interesse for den registrerede.
32
(113)Overførsler, der ikke kan betegnes som værende præget af gentagelser, og som kun vedrører et be-
grænset antal registrerede, kan også være mulig af hensyn til vægtige legitime interesser, som forfølges
af den dataansvarlige, hvis den registreredes interesser eller rettigheder og frihedsrettigheder ikke går
forud for disse interesser, og hvis den dataansvarlige har vurderet alle omstændigheder i forbindelse
med overførslen. Den dataansvarlige bør lægge særlig vægt på de pågældende personoplysningers ka-
rakter, formålet med og varigheden af den eller de foreslåede behandlinger samt situationen i oprindel-
seslandet, tredjelandet og det endelige bestemmelsesland og bør give fornødne garantier for beskyttel-
se af fysiske personers grundlæggende rettigheder og frihedsrettigheder med hensyn til behandling af
deres personoplysninger. Sådan overførsel bør kun være mulig i enkelttilfælde, hvor ingen af de andre
grunde til overførsel kan finde anvendelse. Med henblik på videnskabelige eller historiske forsknings-
formål eller statistiske formål bør samfundets legitime forventninger om øget viden tages med i over-
vejelserne. Den dataansvarlige bør underrette tilsynsmyndigheden og den registrerede om overførslen.
(114)Hvis Kommissionen ikke har truffet afgørelse om tilstrækkeligheden af databeskyttelsesniveauet i et
tredjeland, bør den dataansvarlige eller databehandleren under alle omstændigheder benytte løsninger,
der giver de registrerede effektive rettigheder, som kan håndhæves, hvad angår behandlingen af deres
personoplysninger i Unionen, når disse oplysninger er blevet overført, så de fortsat vil nyde godt af
grundlæggende rettigheder og garantier.
(115)Visse tredjelande vedtager love, forskrifter og andre retsakter med det formål direkte at regulere be-
handlingsaktiviteter udøvet af fysiske og juridiske personer under medlemsstaternes jurisdiktion. Dette
kan omfatte retsafgørelser eller administrative myndigheders afgørelser i tredjelande, der kræver, at en
dataansvarlig eller en databehandler overfører personoplysninger, og som ikke er baseret på en gæl-
dende international aftale som en traktat om gensidig retshjælp mellem det anmodende tredjeland og
Unionen eller en medlemsstat. Ekstraterritorial anvendelse af sådanne love, forskrifter og andre retsak-
ter kan være i strid med folkeretten og hindre opnåelse af den beskyttelse af fysiske personer, der sik-
res i Unionen ved denne forordning. Overførsel af oplysninger bør kun tillades, hvis denne forordnings
betingelser for overførsel til tredjelande er opfyldt. Det kan være tilfældet, bl.a. hvis videregivelse er
nødvendig af hensyn til vigtige samfundsinteresser, der anerkendes i EU-retten eller medlemsstaternes
nationale ret, som den dataansvarlige er omfattet af.
(116)Når personoplysninger overføres på tværs af grænser uden for Unionen, kan det medføre yderligere
risici for fysiske personers mulighed for at udøve deres databeskyttelsesrettigheder og beskytte sig
mod ulovlig brug eller videregivelse af disse oplysninger. Samtidig må tilsynsmyndighederne i nogle
tilfælde konstatere, at de er ude af stand til at følge op på klager eller foretage undersøgelser vedrøren-
de aktiviteter uden for deres grænser. Samarbejdet på tværs af grænserne kan også hæmmes af util-
strækkelige forebyggende eller afhjælpende beføjelser, uensartede retlige ordninger og praktiske hin-
dringer som f.eks. ressourcebegrænsninger. Der er derfor behov for at fremme tættere samarbejde mel-
lem datatilsynsmyndigheder, så de bedre kan udveksle oplysninger og gennemføre undersøgelser sam-
men med de tilsvarende internationale organer. Med henblik på at udvikle mekanismer for internatio-
nalt samarbejde for at lette og yde international gensidig bistand til håndhævelsen af lovgivning om
beskyttelse af personoplysninger bør Kommissionen og tilsynsmyndighederne udveksle oplysninger
og samarbejde om aktiviteter i forbindelse med udøvelsen af deres beføjelser med de kompetente myn-
digheder i tredjelande på grundlag af gensidighed og i overensstemmelse med denne forordning.
(117)Oprettelse af tilsynsmyndigheder i medlemsstaterne, som har beføjelser til at udføre deres opgaver
og udøve deres beføjelser i fuld uafhængighed, har afgørende betydning for beskyttelse af fysiske per-
soner i forbindelse med behandling af personoplysninger. Medlemsstaterne bør kunne oprette mere
end én tilsynsmyndighed for at afspejle deres forfatningsmæssige, organisatoriske og administrative
struktur.
33
(118)Tilsynsmyndighedernes uafhængighed bør ikke betyde, at tilsynsmyndighederne ikke kan underka-
stes kontrol eller tilsynsmekanismer hvad angår deres finansielle udgifter eller underkastes domstol-
skontrol.
(119)Hvis en medlemsstat opretter flere tilsynsmyndigheder, bør den ved lov fastlægge mekanismer, der
sikrer disse tilsynsmyndigheders effektive deltagelse i sammenhængsmekanismen. Den pågældende
medlemsstat bør navnlig udpege den tilsynsmyndighed, der fungerer som fælles kontaktpunkt for disse
myndigheders effektive deltagelse i mekanismen, med henblik på at sikre et hurtigt og smidigt samar-
bejde med andre tilsynsmyndigheder, Databeskyttelsesrådet og Kommissionen.
(120)Hver tilsynsmyndighed bør have de nødvendige finansielle og menneskelige ressourcer samt lokaler
og infrastruktur til effektivt at kunne udføre sine opgaver, herunder opgaver vedrørende gensidig bi-
stand og samarbejde med andre tilsynsmyndigheder i hele Unionen. Hver tilsynsmyndighed bør have
et separat offentligt årligt budget, der kan indgå i det samlede statsbudget eller nationale budget.
(121)De generelle betingelser for en tilsynsmyndigheds medlem eller medlemmer bør fastsættes ved lov i
hver medlemsstat og bør navnlig fastsætte, at disse medlemmer skal udnævnes ved en gennemsigtig
procedure enten af parlamentet, regeringen eller statschefen i den pågældende medlemsstat på grund-
lag af et forslag fra regeringen, et medlem af regeringen, parlamentet eller et kammer i parlamentet
eller af et uafhængigt organ, der har bemyndigelse hertil i henhold til medlemsstaternes nationale ret.
For at sikre tilsynsmyndighedens uafhængighed bør medlemmet eller medlemmerne handle med inte-
gritet, afholde sig fra enhver handling, der er uforenelig med deres hverv, og ikke, så længe deres em-
bedsperiode varer, udøve uforenelig lønnet eller ulønnet virksomhed. Tilsynsmyndigheden bør have sit
eget personale, der er udvalgt af tilsynsmyndigheden eller et uafhængigt organ, der er oprettet ved
medlemsstaternes nationale ret, og som udelukkende bør være underlagt tilsynsmyndighedens med-
lems eller medlemmers ledelse.
(122)Hver tilsynsmyndighed bør på sin egen medlemsstats område have kompetence til at udøve sine be-
føjelser og varetage de opgaver, der er tildelt den i henhold til denne forordning. Dette bør navnlig
omfatte behandling, som foretages som led i aktiviteter, der udføres for den dataansvarliges eller data-
behandlerens etablering på dens egen medlemsstats område, behandling af personoplysninger, der ud-
føres af offentlige myndigheder eller af private organer i offentlighedens interesse, behandling, der på-
virker registrerede på dens område, eller behandling, der udføres af en dataansvarlig eller en databe-
handler, som ikke er etableret i Unionen, når den er rettet mod registrerede, som har bopæl på dens
område. Dette bør omfatte behandling af klager, der er indgivet af en registreret, udførelse af undersø-
gelser vedrørende denne forordnings anvendelse og en indsats for at fremme offentlighedens bevidst-
gørelse om risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger.
(123)Tilsynsmyndighederne bør føre tilsyn med anvendelsen af bestemmelserne i henhold til denne for-
ordning og bidrage til ensartet anvendelse heraf i hele Unionen for at beskytte fysiske personer i for-
bindelse med behandling af deres personoplysninger og lette fri udveksling af personoplysninger på
det indre marked. Til det formål bør tilsynsmyndighederne samarbejde med hinanden og Kommissio-
nen, uden at der er behov for en aftale mellem medlemsstater om gensidig bistand eller om et sådant
samarbejde.
(124)Hvis behandling af personoplysninger foretages som led i aktiviteter, der udføres for en dataansvar-
lig eller en databehandler, der er etableret i Unionen, og den dataansvarlige eller databehandleren er
etableret i mere end én medlemsstat, eller hvis den behandling, der finder sted som led i aktiviteter,
som udføres for en dataansvarlig eller en databehandler, som kun er etableret i én medlemsstat i Uni-
onen, og behandlingen i væsentlig grad påvirker eller sandsynligvis i væsentlig grad vil påvirke regi-
strerede i mere end én medlemsstat, bør tilsynsmyndigheden for den dataansvarliges eller databehand-
lerens hovedvirksomhed eller for den dataansvarliges eller databehandlerens eneste etablering i Uni-
onen fungere som ledende tilsynsmyndighed. Den ledende tilsynsmyndighed bør samarbejde med de
andre berørte myndigheder, fordi den dataansvarlige eller databehandleren har en etablering på deres
34
medlemsstats område, fordi de registrerede, der har bopæl på deres område, er påvirket i væsentlig
grad, eller fordi der er blevet indgivet en klage til dem. Også hvis en registreret, der ikke har bopæl i
den medlemsstat, har indgivet en klage, bør den tilsynsmyndighed, til hvem klagen er indgivet, være
en berørt tilsynsmyndighed. Databeskyttelsesrådet bør inden for rammerne af sine opgaver med at ud-
stede retningslinjer om ethvert spørgsmål vedrørende anvendelsen af denne forordning navnlig kunne
udstede retningslinjer om, hvilke kriterier der skal tages i betragtning for at fastlægge, hvorvidt en be-
handling i væsentlig grad påvirker registrerede i mere end én medlemsstat, og hvad der udgør en rele-
vant og begrundet indsigelse.
(125)Den ledende tilsynsmyndighed bør have kompetence til at vedtage bindende afgørelser vedrørende
foranstaltninger, der anvender de beføjelser, den er tillagt i overensstemmelse med denne forordning.
Tilsynsmyndigheden bør i sin egenskab af ledende tilsynsmyndighed nøje inddrage og koordinere de
berørte tilsynsmyndigheder i beslutningsprocessen. Hvis der træffes afgørelse om helt eller delvist at
afvise den registreredes klage, bør denne afgørelse vedtages af den tilsynsmyndighed, til hvem klagen
er indgivet.
(126)Afgørelsen bør træffes i fællesskab af den ledende tilsynsmyndighed og de berørte tilsynsmyndighe-
der og bør være rettet mod den dataansvarliges eller databehandlerens hovedvirksomhed eller eneste
etablering samt være bindende for den dataansvarlige og databehandleren. Den dataansvarlige eller da-
tabehandleren bør træffe de nødvendige foranstaltninger til at sikre overholdelse af denne forordning
samt gennemførelse af den afgørelse, som af den ledende tilsynsmyndighed meddeles den dataansvar-
lige eller databehandlerens hovedvirksomhed for så vidt angår behandlingsaktiviteter i Unionen.
(127)Hver tilsynsmyndighed, der ikke fungerer som den ledende tilsynsmyndighed, bør være kompetent
til at behandle lokale sager, hvis den dataansvarlige eller databehandleren er etableret i mere end én
medlemsstat, men genstanden for den specifikke behandling kun vedrører behandling i én medlemsstat
og kun vedrører registrerede i denne ene medlemsstat, f.eks. hvis genstanden er behandling af arbejds-
tageres personoplysninger i en bestemt beskæftigelsessammenhæng i en medlemsstat. I sådanne tilfæl-
de bør tilsynsmyndigheden straks underrette den ledende tilsynsmyndighed om forholdet. Efter at være
blevet underrettet bør den ledende tilsynsmyndighed afgøre, om den vil behandle sagen i medfør af
bestemmelsen om samarbejde mellem den ledende tilsynsmyndighed og andre berørte tilsynsmyndig-
heder (»one-stop-shop mekanismen«), eller om den tilsynsmyndighed, der underrettede den, bør be-
handle sagen på lokalt plan. Når den ledende tilsynsmyndighed afgør, om den vil behandle sagen, bør
den tage hensyn til, om den dataansvarlige eller databehandleren er etableret i medlemsstaten for den
tilsynsmyndighed, der underrettede den, med henblik på at sikre effektiv håndhævelse af en afgørelse
over for den dataansvarlige eller databehandleren. Hvis den ledende tilsynsmyndighed beslutter at be-
handle sagen, bør den tilsynsmyndighed, der underrettede den, have mulighed for at forelægge et ud-
kast til afgørelse, som den ledende tilsynsmyndighed bør tage størst muligt hensyn til ved udarbejdel-
sen af sit udkast til afgørelse inden for denne one-stop-shop mekanisme.
(128)Reglerne om den ledende tilsynsmyndighed og one-stop-shop mekanismen bør ikke gælde, når be-
handling foretages af offentlige myndigheder eller af private organer i offentlighedens interesse. I så-
danne tilfælde bør kun tilsynsmyndigheden i den medlemsstat, hvor den offentlige myndighed eller det
private organ er etableret, have kompetence til at udøve de beføjelser, som den er tillagt i henhold til
denne forordning.
(129)For at sikre ensartet tilsyn med og håndhævelse af denne forordning i hele Unionen bør tilsynsmyn-
dighederne i hver medlemsstat have samme opgaver og effektive beføjelser, herunder undersøgelses-
beføjelser og beføjelser til at fastsætte korrigerende foranstaltninger og sanktioner samt godkendelses-
og rådgivningsbeføjelser, navnlig i tilfælde af klager fra fysiske personer, og med forbehold for de
retsforfølgende myndigheders beføjelser i henhold til medlemsstaternes nationale ret, til at indbringe
overtrædelser af denne forordning for de judicielle myndigheder og deltage i retssager. Disse beføjel-
ser bør også omfatte beføjelse til midlertidig eller definitivt at begrænse, herunder forbyde, behandling.
35
Medlemsstaterne kan fastsætte andre opgaver, som vedrører beskyttelse af personoplysninger i hen-
hold til denne forordning. Tilsynsmyndighedernes beføjelser bør udøves i overensstemmelse med de
fornødne proceduremæssige garantier, der er fastsat i EU-retten og medlemsstaternes nationale ret,
uvildigt, retfærdigt og inden for en rimelig frist. Hver foranstaltning bør især være passende, nødven-
dig og forholdsmæssig for at sikre overholdelse af denne forordning, idet der tages hensyn til omstæn-
dighederne i hver enkelt sag, bør overholde enhver persons ret til at blive hørt, inden der træffes en
individuel foranstaltning, som vil berøre den pågældende negativt, og bør undgå overflødige udgifter
og urimelige ulemper for de berørte personer. Hvad angår adgang til lokaler bør undersøgelsesbeføjel-
serne udøves i overensstemmelse med specifikke krav i medlemsstaternes retspleje, f.eks. krav om en
forudgående retskendelse. Hver juridisk bindende foranstaltning, der træffes af en tilsynsmyndighed,
bør være skriftlig, klar og utvetydig, angive navnet på den tilsynsmyndighed, der har truffet foranstalt-
ningen, og datoen for iværksættelse af foranstaltningen, være underskrevet af chefen for eller et med-
lem af tilsynsmyndigheden, som vedkommende har givet bemyndigelse hertil, angive begrundelsen for
foranstaltningen og indeholde en henvisning til adgang til effektive retsmidler. Dette bør ikke udelukke
yderligere krav i medfør af medlemsstaternes retspleje. Vedtagelse af en juridisk bindende afgørelse
indebærer, at den kan undergives domstolskontrol i medlemsstaten for den tilsynsmyndighed, der har
vedtaget afgørelsen.
(130)Hvis den tilsynsmyndighed, til hvem en klage er indgivet, ikke er den ledende tilsynsmyndighed,
bør den ledende tilsynsmyndighed samarbejde tæt med den tilsynsmyndighed, til hvem klagen er ind-
givet, i overensstemmelse med bestemmelserne om samarbejde og sammenhæng i denne forordning. I
sådanne tilfælde bør den ledende tilsynsmyndighed, når den træffer foranstaltninger, der skal have
retsvirkning, herunder pålæggelse af administrative bøder, tage størst muligt hensyn til synspunkterne
hos den tilsynsmyndighed, til hvem klagen er indgivet, og som fortsat bør være kompetent til at foreta-
ge undersøgelser på sin egen medlemsstats område i samråd med den ledende tilsynsmyndighed.
(131)Hvis en anden tilsynsmyndighed burde fungere som ledende tilsynsmyndighed i forbindelse med
den dataansvarliges eller databehandlerens behandlingsaktiviteter, men en klages konkrete indhold el-
ler en mulig overtrædelse kun vedrører den dataansvarliges eller databehandlerens behandlingsaktivite-
ter i den medlemsstat, hvor klagen er indgivet, eller den konstaterede mulige overtrædelse og forholdet
ikke i væsentlig grad påvirker eller sandsynligvis ikke i væsentlig grad vil påvirke registrerede i andre
medlemsstater, bør den tilsynsmyndighed, der modtager en klage eller konstaterer eller på anden måde
underrettes om situationer, som indebærer mulige overtrædelser af denne forordning, søge at nå frem
til en mindelig løsning med den dataansvarlige, og hvis dette ikke lykkes, udøve alle sine beføjelser.
Dette bør omfatte specifik behandling, der foretages på tilsynsmyndighedens medlemsstats område el-
ler for så vidt angår registrerede på den pågældende medlemsstats område, behandling, der foretages
som led i udbud af varer eller tjenesteydelser specifikt rettet mod registrerede på tilsynsmyndighedens
medlemsstats område, eller behandling som skal vurderes under hensyntagen til relevante retlige for-
pligtelser i henhold til medlemsstaternes nationale ret.
(132)Tilsynsmyndigheders oplysningskampagner over for offentligheden bør omfatte specifikke foran-
staltninger rettet mod dataansvarlige og databehandlere, herunder mikrovirksomheder og små og mel-
lemstore virksomheder, samt fysiske personer, navnlig i uddannelsessammenhæng.
(133)Tilsynsmyndighederne bør bistå hinanden i forbindelse med udførelsen af deres opgaver og yde gen-
sidig bistand for at sikre ensartet anvendelse og håndhævelse af denne forordning på det indre marked.
En tilsynsmyndighed, der har anmodet om gensidig bistand, kan vedtage en foreløbig foranstaltning,
hvis den ikke har modtaget svar på en anmodning om gensidig bistand inden for en måned fra den
anden tilsynsmyndigheds modtagelse af anmodningen.
(134)Hver tilsynsmyndighed bør, hvis det er relevant, deltage i fælles aktiviteter sammen med andre til-
synsmyndigheder. En tilsynsmyndighed, der modtager en anmodning, bør være forpligtet til at besvare
anmodningen inden for en angiven frist.
36
(135)For at sikre ensartet anvendelse af denne forordning i hele Unionen bør der etableres en sammen-
hængsmekanisme for samarbejde mellem tilsynsmyndighederne. Denne mekanisme bør navnlig an-
vendes, når en tilsynsmyndighed agter at vedtage en foranstaltning, der skal have retsvirkning, i for-
hold til behandlingsaktiviteter, der i væsentlig grad påvirker et betydeligt antal registrerede i flere med-
lemsstater. Den bør også anvendes, hvis en berørt tilsynsmyndighed eller Kommissionen ønsker, at en
sådan sag behandles inden for sammenhængsmekanismen. Denne mekanisme berører ikke foranstalt-
ninger, som Kommissionen måtte træffe som led i udøvelsen af sine beføjelser i henhold til traktaterne.
(136)I forbindelse med anvendelsen af sammenhængsmekanismen bør Databeskyttelsesrådet inden for en
bestemt frist afgive en udtalelse, hvis det besluttes af et flertal af dets medlemmer, eller hvis en berørt
tilsynsmyndighed eller Kommissionen anmoder herom. Databeskyttelsesrådet bør også tillægges befø-
jelse til at vedtage juridisk bindende afgørelser i tilfælde af tvister mellem tilsynsmyndigheder. Til det-
te formål bør Databeskyttelsesrådet i princippet med et flertal på to tredjedele af sine medlemmer ved-
tage juridisk bindende afgørelser i klart angivne tilfælde, hvor der er modstridende synspunkter blandt
tilsynsmyndighederne, særlig i samarbejdsmekanismen mellem den ledende tilsynsmyndighed og de
berørte tilsynsmyndigheder om en sags realitet, navnlig hvorvidt der foreligger en overtrædelse af den-
ne forordning.
(137)Det kan være nødvendigt at handle omgående for at beskytte registreredes rettigheder og frihedsret-
tigheder, navnlig hvis der er fare for væsentlig vanskeliggørelse af håndhævelsen af en registerets ret-
tigheder. En tilsynsmyndighed bør derfor kunne vedtage behørigt begrundede foreløbige foranstaltnin-
ger på sit område med en angivet gyldighedsperiode, der ikke bør overstige tre måneder.
(138)Anvendelse af sammenhængsmekanismen bør være en betingelse for lovligheden af en af en tilsyns-
myndighed truffet foranstaltning, der skal have retsvirkning, i tilfælde, hvor anvendelse heraf er obli-
gatorisk. I andre tilfælde af grænseoverskridende relevans bør mekanismen for samarbejde mellem den
ledende tilsynsmyndighed og de berørte tilsynsmyndigheder finde anvendelse, og gensidig bistand og
fælles aktiviteter kan gennemføres mellem de berørte tilsynsmyndigheder på bilateralt eller multilate-
ralt grundlag, uden at det udløser sammenhængsmekanismen.
(139)Med henblik på at fremme, at denne forordning anvendes på en ensartet måde, bør Databeskyttelses-
rådet oprettes som et uafhængigt EU-organ. Databeskyttelsesrådet bør for at kunne opfylde sine mål-
sætninger have status som juridisk person. Det bør repræsenteres af sin formand. Databeskyttelsesrådet
bør erstatte Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplys-
ninger, der er nedsat ved direktiv 95/46/EF. Det bør sammensættes af chefen for en tilsynsmyndighed i
hver medlemsstat og Den Europæiske Tilsynsførende for Databeskyttelse eller deres respektive repræ-
sentanter. Kommissionen bør deltage i Databeskyttelsesrådets aktiviteter uden stemmeret, og Den
Europæiske Tilsynsførende for Databeskyttelse bør have særlige stemmerettigheder. Databeskyttelses-
rådet bør bidrage til ensartet anvendelse af denne forordning i hele Unionen, herunder ved at rådgive
Kommissionen, navnlig om beskyttelsesniveauet i tredjelande eller internationale organisationer, og
fremme samarbejdet mellem tilsynsmyndighederne i hele Unionen. Databeskyttelsesrådet bør handle
uafhængigt, når det udfører sine opgaver.
(140)Databeskyttelsesrådet bør bistås af et sekretariat, som stilles til rådighed af Den Europæiske Tilsyns-
førende for Databeskyttelse. Det personale hos Den Europæiske Tilsynsførende for Databeskyttelse,
der deltager i udførelsen af de opgaver, som Databeskyttelsesrådet tildeles ved denne forordning, bør
udelukkende udføre sine opgaver efter instruks fra formanden for Databeskyttelsesrådet og rapportere
til denne.
(141)Enhver registreret bør have ret til at indgive klage til en enkelt tilsynsmyndighed, navnlig i den med-
lemsstat, hvor vedkommende har sit sædvanlige opholdssted, og have adgang til effektive retsmidler i
overensstemmelse med artikel 47 i chartret, hvis den registrerede finder, at vedkommendes rettigheder
i henhold til denne forordning er blevet krænket, eller hvis tilsynsmyndigheden ikke reagerer på en
klage, delvist eller helt afslår eller afviser en klage eller ikke handler, hvis handling er nødvendig for at
37
beskytte den registreredes rettigheder. Undersøgelse af en klage bør foretages i det omfang, det er pas-
sende i det specifikke tilfælde, med forbehold af domstolskontrol. Tilsynsmyndigheden bør underrette
den registrerede om forløbet og resultatet af klagen inden for en rimelig frist. Hvis sagen kræver yder-
ligere undersøgelse eller koordinering med en anden tilsynsmyndighed, bør den registrerede undervejs
underrettes herom. For at lette indgivelsen af klager bør hver tilsynsmyndighed træffe foranstaltninger
som f.eks. at tilbyde en klageformular, der også kan udfyldes elektronisk, uden at udelukke andre kom-
munikationsmidler.
(142)Hvis en registreret finder, at vedkommendes rettigheder i henhold til denne forordning er blevet
krænket, bør den pågældende have ret til at give et organ, en organisation eller en sammenslutning,
som ikke arbejder med gevinst for øje, som er etableret i overensstemmelse med en medlemsstats ret,
hvis vedtægtsmæssige formål er i samfundets interesse, og som beskæftiger sig med beskyttelse af per-
sonoplysninger, bemyndigelse til på vedkommendes vegne at indgive en klage til en tilsynsmyndighed,
udøve adgangen til retsmidler på vegne af vedkommende eller, hvis det er fastsat i medlemsstaternes
nationale ret, udøve retten til erstatning på vegne af vedkommende. En medlemsstat kan fastsætte, at et
sådant organ eller en sådan organisation eller sammenslutning skal have ret til uafhængigt af en regi-
strerets bemyndigelse at indgive en klage i den pågældende medlemsstat og have adgang til effektive
retsmidler, hvis det eller den har grund til at formode, at en registrerets rettigheder er blevet krænket
som følge af behandling af personoplysninger, der overtræder denne forordning. Dette organ eller den-
ne organisation eller sammenslutning kan ikke kræve erstatning på en registrerets vegne uafhængigt af
bemyndigelse fra den registrerede.
(143)Enhver fysisk eller juridisk person har ret til at anlægge annullationssøgsmål til prøvelse af afgørel-
ser fra Databeskyttelsesrådet ved Domstolen på de betingelser, der er fastsat i artikel 263 i TEUF. De
berørte tilsynsmyndigheder, som sådanne afgørelser er rettet til, skal, hvis de ønsker at anfægte afgø-
relserne, anlægge søgsmål inden for to måneder efter meddelelse af afgørelserne til dem i overens-
stemmelse med artikel 263 i TEUF. Når en dataansvarlig, databehandler eller klager er umiddelbart og
individuelt berørt af Databeskyttelsesrådets afgørelser, kan disse anlægge annullationssøgsmål til prø-
velse af disse afgørelser senest to måneder efter afgørelsernes offentliggørelse på Databeskyttelsesrå-
dets websted i overensstemmelse med artikel 263 i TEUF. Uden at dette berører denne ret i henhold til
artikel 263 i TEUF, bør enhver fysisk eller juridisk person have adgang til effektive retsmidler ved den
kompetente nationale domstol til prøvelse af en tilsynsmyndigheds afgørelse, som har retsvirkninger
for denne person. En sådan afgørelse vedrører navnlig tilsynsmyndighedens udøvelse af undersøgel-
sesbeføjelser, korrigerende beføjelser og godkendelsesbeføjelser eller afslag eller afvisning af klager.
Denne ret til adgang til effektive retsmidler omfatter dog ikke foranstaltninger truffet af tilsynsmyndig-
heder, der ikke er juridisk bindende, som f.eks. udtalelser eller rådgivning fra tilsynsmyndigheden. En
sag mod en tilsynsmyndighed bør anlægges ved domstolene i den medlemsstat, hvor tilsynsmyndighe-
den er etableret, og bør føres i overensstemmelse med den pågældende medlemsstats retspleje. Disse
domstole bør have fuld jurisdiktion, herunder jurisdiktion til at undersøge alle de faktiske og retlige
omstændigheder, der er relevante for den tvist, som de får forelagt. Hvis en klage er blevet afslået eller
afvist af en tilsynsmyndighed, kan klageren anlægge sag ved domstolene i samme medlemsstat. I for-
bindelse med domstolskontrol vedrørende anvendelsen af denne forordning kan eller i det tilfælde, der
er omhandlet i artikel 267 i TEUF, skal de nationale domstole, som anser en afgørelse om spørgsmålet
for nødvendig for at afsige dom, anmode Domstolen om en præjudiciel afgørelse om fortolkning af
EU-retten, herunder denne forordning. Hvis en afgørelse truffet af en tilsynsmyndighed, som gennem-
fører en afgørelse fra Databeskyttelsesrådet, anfægtes ved en national domstol, og gyldigheden af Da-
tabeskyttelsesrådets afgørelse er omtvistet, har den nationale domstol ikke beføjelse til at erklære Data-
beskyttelsesrådets afgørelse for ugyldig, men skal forelægge Domstolen spørgsmålet om gyldighed i
henhold til artikel 267 i TEUF som fortolket af Domstolen, hvis den anser afgørelsen for ugyldig. En
national domstol kan imidlertid ikke forelægge et spørgsmål om gyldigheden af Databeskyttelsesrådets
38
afgørelse efter anmodning fra en fysisk eller juridisk person, der havde mulighed for at indbringe et
annullationssøgsmål til prøvelse af den pågældende afgørelse, navnlig hvis personen er umiddelbart og
individuelt berørt af afgørelsen, men ikke havde gjort dette inden for fristen i henhold til artikel 263 i
TEUF.
(144)Hvis en domstol, for hvilken der indbringes en sag til prøvelse af en afgørelse truffet af en tilsyns-
myndighed, har grund til at tro, at en sag vedrørende samme behandling, f.eks. med samme genstand
for så vidt angår behandling udført af den samme dataansvarlige eller databehandler, eller som hviler
på samme grundlag, anlægges ved en kompetent domstol i en anden medlemsstat, bør den kontakte
den pågældende domstol for at bekræfte eksistensen af sådanne relaterede sager. Hvis der verserer re-
laterede sager for en domstol i en anden medlemsstat, kan enhver anden domstol end den, ved hvilken
sagen først er anlagt, udsætte sagen eller kan efter begæring fra en af parterne erklære sig inkompetent
til fordel for den domstol, ved hvilken sagen først er anlagt, forudsat at denne domstol har kompetence
til at behandle den pågældende sag, og forening af sådanne relaterede sager er tilladt i henhold til dens
lovgivning. Sager anses for at være relaterede, når de er så snævert forbundne, at det er ønskeligt at
behandle og påkende dem samtidig for at undgå risiko for uforenelige afgørelser som følge af, at de
blev påkendt hver for sig.
(145)For så vidt angår sager mod en dataansvarlig eller databehandler bør sagsøger have valget mellem at
indbringe sagen for domstolene i de medlemsstater, hvor den dataansvarlige eller databehandleren er
etableret, eller i den medlemsstat, hvor den registrerede er bosiddende, medmindre den dataansvarlige
er en offentlig myndighed i en medlemsstat og udøver offentligretlige beføjelser.
(146)Den dataansvarlige eller databehandleren bør yde erstatning for enhver skade, som en person måtte
lide som følge af behandling, der overtræder denne forordning. Den dataansvarlige eller databehandle-
ren bør være fritaget for erstatningsansvar, hvis den pågældende beviser ikke at være ansvarlig for den
forvoldte skade. Begrebet »skade« bør fortolkes bredt i lyset af retspraksis ved Domstolen, således at
det fuldt ud afspejler formålene for denne forordning. Dette berører ikke eventuelle erstatningskrav for
skade som følge af overtrædelse af andre bestemmelser i EU-retten eller medlemsstaternes nationale
ret. Behandling, der overtræder denne forordning, omfatter også behandling, der overtræder delegerede
retsakter og gennemførelsesretsakter vedtaget i henhold til denne forordning og til medlemsstaternes
nationale ret, der præciserer bestemmelserne i denne forordning. Registrerede bør have fuld erstatning
for den skade, som de har lidt. Hvis dataansvarlige eller databehandlere er involveret i den samme be-
handling, bør den enkelte dataansvarlige eller databehandler hæfte for hele erstatningen. Hvis de imid-
lertid er inddraget i den samme retssag i overensstemmelse med medlemsstaternes nationale ret, kan
erstatning fordeles i henhold til den enkelte dataansvarliges eller databehandlers ansvar for den skade,
der er forvoldt af behandlingen, forudsat at der sikres fuld erstatning til den registrerede, som har lidt
skaden. Enhver dataansvarlig eller databehandler, der har betalt fuld erstatning, kan efterfølgende gøre
regres mod andre dataansvarlige eller databehandlere, der er involveret i samme behandling.
(147)Når denne forordning indeholder specifikke kompetenceregler, navnlig for så vidt angår sager om
adgang til retsmidler, herunder erstatning, mod en dataansvarlig eller databehandler, bør de almindeli-
ge kompetenceregler i Europa-Parlamentets og Rådets forordning (EU) nr. 1215/2012 (13) ikke berøre
anvendelsen af sådanne specifikke regler.
(148)For at styrke håndhævelsen af reglerne i denne forordning bør der pålægges sanktioner, herunder
administrative bøder, for overtrædelse af denne forordning i tillæg til eller i stedet for passende foran-
staltninger, som tilsynsmyndigheden har pålagt i henhold til denne forordning. I tilfælde af en mindre
overtrædelse, eller hvis den bøde, der kunne blive pålagt, ville udgøre en uforholdsmæssig stor byrde
for en fysisk person, kan der udstedes en irettesættelse i stedet for en bøde. Der bør dog tages behørigt
hensyn til overtrædelsens karakter, alvor og varighed, overtrædelsens eventuelle forsætlige karakter,
foranstaltninger, der er truffet for at begrænse den forvoldte skade, graden af ansvar eller eventuelle
relevante tidligere overtrædelser, måden, hvorpå tilsynsmyndigheden fik kendskab til overtrædelsen,
39
overholdelse af foranstaltninger truffet over for den dataansvarlige eller databehandleren, overholdelse
af en adfærdskodeks samt andre skærpende eller formildende faktorer. Pålæggelse af sanktioner, her-
under administrative bøder, bør være omfattet af fornødne proceduremæssige garantier i overensstem-
melse med de generelle principper i EU-retten og chartret, herunder effektiv retsbeskyttelse og en ret-
færdig procedure.
(149)Medlemsstaterne bør kunne fastsætte regler om strafferetlige sanktioner for overtrædelse af denne
forordning, herunder for overtrædelse af nationale regler vedtaget i henhold til og inden for rammerne
af denne forordning. Disse strafferetlige sanktioner kan også åbne mulighed for fratagelse af den op-
nåede fortjeneste ved overtrædelse af denne forordning. Pålæggelse af strafferetlige sanktioner for
overtrædelse af sådanne nationale regler og administrative sanktioner bør dog ikke føre til et brud på
ne bis in idem-princippet som fortolket af Domstolen.
(150)For at styrke og harmonisere de administrative sanktioner for overtrædelse af denne forordning bør
hver tilsynsmyndighed have beføjelse til at pålægge administrative bøder. Denne forordning bør angi-
ve overtrædelser og maksimumsbeløb og kriterier for fastsættelse af de tilknyttede administrative bø-
der, der bør bestemmes af den kompetente tilsynsmyndighed i hvert enkelt tilfælde under hensyntagen
til alle relevante omstændigheder i den specifikke situation og med behørig hensyntagen til karakteren,
alvoren og varigheden af overtrædelsen og dens konsekvenser og de foranstaltninger, der er truffet for
at sikre overholdelse af forpligtelserne i henhold til denne forordning og for at forebygge eller begræn-
se følgerne af overtrædelsen. Når en virksomhed pålægges administrative bøder, forstås en virksomhed
i denne forbindelse som en virksomhed som omhandlet i artikel 101 og 102 i TEUF. Når personer, der
ikke er en virksomhed, pålægges administrative bøder, bør tilsynsmyndigheden i forbindelse med fast-
sættelsen af bødestørrelsen tage hensyn til det generelle indkomstniveau i den pågældende medlems-
stat og personens økonomiske situation. Sammenhængsmekanismen kan også anvendes til at fremme
konsekvent anvendelse af administrative bøder. Det bør være op til medlemsstaterne at bestemme, om
og i hvilket omfang de offentlige myndigheder bør kunne pålægges administrative bøder. Pålæggelse
af en administrativ bøde eller udstedelse af en advarsel berører ikke anvendelsen af tilsynsmyndighe-
dernes øvrige beføjelser eller andre sanktioner i henhold til denne forordning.
(151)Retssystemerne i Danmark og Estland giver ikke mulighed for administrative bøder som fastsat i
denne forordning. Reglerne om administrative bøder kan i Danmark anvendes ved, at bøder pålægges
af de kompetente nationale domstole som en strafferetlig sanktion, og i Estland ved, at bøder pålægges
af tilsynsmyndigheden inden for rammerne af en forseelsesprocedure, forudsat at en sådan anvendelse
af reglerne i disse medlemsstater har en virkning, der svarer til virkningen af administrative bøder, som
tilsynsmyndighederne pålægger. De kompetente nationale domstole bør derfor tage hensyn til en anbe-
faling fra den tilsynsmyndighed, der har taget skridt til en bøde. De pålagte bøder bør under alle om-
stændigheder være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.
(152)Når denne forordning ikke harmoniserer administrative sanktioner eller om nødvendigt i andre til-
fælde, f.eks. i tilfælde af alvorlige overtrædelser af denne forordning, bør medlemsstaterne indføre en
ordning, der giver mulighed for at pålægge sanktioner, som er effektive, står i rimeligt forhold til over-
trædelsen og har afskrækkende virkning. Sanktionernes art, strafferetlig eller administrativ, bør fast-
sættes i medlemsstaternes nationale ret.
(153)Medlemsstatslovgivningen bør forene reglerne om ytrings- og informationsfrihed, herunder i forbin-
delse med journalistisk, akademisk, kunstnerisk og/eller litterær virksomhed, med retten til beskyttelse
af personoplysninger i henhold til denne forordning. Der bør fastsættes undtagelser eller fravigelser fra
visse bestemmelser i denne forordning for behandling af personoplysninger, der udelukkende finder
sted i journalistisk øjemed eller med henblik på akademisk, kunstnerisk eller litterær virksomhed, hvis
det er nødvendigt for at forene retten til beskyttelse af personoplysninger med retten til ytrings- og in-
formationsfrihed som garanteret ved artikel 11 i chartret. Dette bør navnlig gælde for behandlingen af
personoplysninger på det audiovisuelle område og i nyhedsarkiver og pressebiblioteker. Medlemssta-
40
terne bør derfor vedtage lovgivningsmæssige foranstaltninger, der fastlægger undtagelser og fravigel-
ser, som er nødvendige af hensyn til balancen mellem disse grundlæggende rettigheder. Medlemssta-
terne bør vedtage sådanne undtagelser og fravigelser vedrørende generelle principper, den registrere-
des rettigheder, den dataansvarlige og databehandleren, overførsel af personoplysninger til tredjelande
eller internationale organisationer, de uafhængige tilsynsmyndigheder, samarbejde og sammenhæng
samt specifikke databehandlingssituationer. Hvis disse undtagelser eller fravigelser varierer fra en
medlemsstat til en anden, bør den nationale ret i den medlemsstat, som den dataansvarlige er underlagt,
finde anvendelse. For at tage hensyn til betydningen af retten til ytringsfrihed i ethvert demokratisk
samfund er det nødvendigt at tolke begreber vedrørende denne frihed, f.eks. journalistik, bredt.
(154)Denne forordning giver mulighed for, at der ved anvendelsen af denne forordning, kan tages hensyn
til princippet om aktindsigt i officielle dokumenter. Aktindsigt i officielle dokumenter kan anses for at
være i samfundets interesse. Personoplysninger i dokumenter, der opbevares af en offentlig myndighed
eller et offentligt organ, bør kunne offentliggøres af denne myndighed eller dette organ, hvis dette er
fastsat i EU-retten eller medlemsstaternes nationale ret, som den offentlige myndighed eller det offent-
lige organ er underlagt. Sådanne regler bør forene aktindsigt i officielle dokumenter og videreanven-
delse af den offentlige sektors information med retten til beskyttelse af personoplysninger og kan der-
for indeholde den nødvendige forening med retten til beskyttelse af personoplysninger i henhold til
denne forordning. Offentlige myndigheder og organer bør i denne sammenhæng omfatte alle myndig-
heder eller andre organer, der er omfattet af medlemsstaternes nationale ret om aktindsigt. Europa-Par-
lamentets og Rådets direktiv 2003/98/EF (14) opretholder og griber på ingen måde ind i beskyttelses-
niveauet for fysiske personer med hensyn til behandling af personoplysninger i henhold til EU-retten
og medlemsstaternes nationale ret, og det ændrer navnlig ikke de forpligtelser og rettigheder, der er
fastsat i denne forordning. Dette direktiv bør navnlig ikke gælde for dokumenter, hvortil adgang er
udelukket eller begrænset i henhold til aktindsigtsordningerne under henvisning til beskyttelse af per-
sonoplysninger, og dele af dokumenter, der i henhold til disse ordninger er adgang til, og som indehol-
der personoplysninger, hvis videreanvendelse ifølge lovgivningen er uforenelig med lovgivningen om
beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.
(155)Medlemsstaternes nationale ret eller kollektive overenskomster, herunder »lokalaftaler«, kan fast-
sætte specifikke bestemmelser om behandling af arbejdstageres personoplysninger i ansættelsesfor-
hold, navnlig betingelserne for, hvorledes personoplysninger i ansættelsesforhold kan behandles på
grundlag af arbejdstagerens samtykke, og i forbindelse med ansættelse, ansættelseskontrakter, herun-
der godtgørelse for forpligtelser fastlagt ved lov eller kollektive overenskomster, ledelse, planlægning
og tilrettelæggelse af arbejdet, ligestilling og mangfoldighed på arbejdspladsen, sikkerhed og sundhed
på arbejdspladsen, individuel eller kollektiv udøvelse og nydelse af rettigheder og fordele i forbindelse
med ansættelse samt ophør af ansættelsesforhold.
(156)Behandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige eller hi-
storiske forskningsformål eller til statistiske formål bør være omfattet af fornødne garantier for den re-
gistreredes rettigheder og frihedsrettigheder i henhold til denne forordning. Disse garantier bør sikre, at
der er truffet tekniske og organisatoriske foranstaltninger for især at sikre princippet om dataminime-
ring. Viderebehandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige
eller historiske forskningsformål eller til statistiske formål skal foretages, når den dataansvarlige har
vurderet muligheden for at opfylde disse formål ved at behandle oplysninger, som ikke gør det muligt
eller ikke længere gør det muligt at identificere de registrerede, forudsat at de fornødne garantier fore-
ligger (såsom f.eks. pseudonymisering af oplysninger). Medlemsstaterne bør sikre de fornødne garanti-
er for behandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige eller
historiske forskningsformål eller til statistiske formål. Medlemsstaterne bør have tilladelse til på særli-
ge betingelser og med de fornødne garantier for de registrerede at fastsætte præciseringer af og undta-
gelser med hensyn til oplysningskravene og retten til berigtigelse eller sletning af personoplysninger,
41
retten til at blive glemt, retten til begrænsning af behandling, retten til dataportabilitet og retten til ind-
sigelse i forbindelse med behandling af personoplysninger til arkivformål i samfundets interesse, til vi-
denskabelige eller historiske forskningsformål eller til statistiske formål. De pågældende betingelser og
garantier kan indebære specifikke procedurer for registreredes udøvelse af rettigheder, hvis dette er re-
levant i lyset af de formål, der tilstræbes med den specifikke behandling, foruden tekniske og organisa-
toriske foranstaltninger med henblik på at minimere behandlingen af personoplysninger i medfør af
proportionalitetsprincippet og nødvendighedsprincippet. Behandling af personoplysninger til videnska-
belige formål bør også overholde anden relevant lovgivning, f.eks. om kliniske forsøg.
(157)Ved at sammenstille oplysninger fra registre kan forskere opnå ny viden af stor værdi for så vidt
angår udbredte sygdomstilstande såsom hjerte-kar-sygdomme, kræft og depression. På basis af registre
kan forskningsresultater styrkes, da de bygger på en større befolkningsgruppe. Inden for samfundsvi-
denskab gør forskning på basis af registre det muligt for forskere at opnå afgørende viden om langtids-
sammenhæng mellem en række sociale forhold, f.eks. arbejdsløshed og uddannelse, med andre livsvil-
kår. Forskningsresultater, der opnås gennem registre, leverer solid viden af høj kvalitet, som kan danne
grundlag for udformning og gennemførelse af videnbaseret politik, forbedre livskvaliteten for mange
mennesker og øge effektiviteten af de sociale tjenester. For at fremme videnskabelig forskning kan
personoplysninger behandles til videnskabelige forskningsformål under iagttagelse af passende betin-
gelser og garantier i EU-retten eller medlemsstaternes nationale ret.
(158)Når personoplysninger behandles til arkivformål, bør denne forordning også gælde for den pågæl-
dende behandling, idet denne forordning dog ikke bør finde anvendelse på afdøde personer. Offentlige
myndigheder eller offentlige eller private organer, der opbevarer fortegnelser af samfundsinteresse, bør
være tjenester, der i henhold til EU-retten eller medlemsstaternes nationale ret har retlig forpligtelse til
at indhente, bevare, vurdere, ordne, beskrive, udlevere, fremme, formidle og give adgang til fortegnel-
ser af blivende værdi i samfundets interesse. Medlemsstaterne bør også have tilladelse til at fastsætte,
at personoplysninger kan viderebehandles til arkivformål, f.eks. for at tilvejebringe specifikke oplys-
ninger om politisk adfærd under tidligere totalitære regimer, folkedrab, forbrydelser mod menneskehe-
den, navnlig holocaust, eller krigsforbrydelser.
(159)Når personoplysninger behandles til videnskabelige forskningsformål, bør denne forordning også
finde anvendelse på denne behandling. Behandlingen af personoplysninger til videnskabelige forsk-
ningsformål bør med henblik på denne forordning fortolkes bredt og f.eks. omfatte teknologisk udvik-
ling og demonstration, grundforskning, anvendt forskning og privat finansieret forskning. Desuden bør
den tage hensyn til Unionens mål om et europæisk forskningsrum, jf. artikel 179, stk. 1, i TEUF. Vi-
denskabelige forskningsformål bør også omfatte studier, der udføres i samfundets interesse på folke-
sundhedsområdet. For at tage hensyn til de særlige forhold, der gør sig gældende ved behandling af
personoplysninger til videnskabelige forskningsformål, bør der gælde særlige betingelser navnlig for
offentliggørelse eller anden fremlæggelse af personoplysninger i forbindelse med videnskabelige
forskningsformål. Hvis resultatet af videnskabelig forskning navnlig inden for sundhed giver grund til
yderligere foranstaltninger i den registreredes interesse, bør de generelle regler i denne forordning fin-
de anvendelse med henblik på disse foranstaltninger.
(160)Når personoplysninger behandles til historiske forskningsformål, bør denne forordning også gælde
for denne behandling. Dette bør også omfatte historisk forskning og forskning i genealogisk øjemed,
idet denne forordning dog ikke bør gælde for afdøde personer.
(161)For så vidt angår samtykke til deltagelse i videnskabelige forskningsaktiviteter i forbindelse med kli-
niske forsøg bør de relevante bestemmelser i Europa-Parlamentets og Rådets forordning (EU) nr.
536/2014 (15) finde anvendelse.
(162)Når personoplysninger behandles til statistiske formål, bør denne forordning finde anvendelse på
denne behandling. EU-retten eller medlemsstaternes nationale ret bør inden for rammerne af denne for-
ordning fastsætte statistisk indhold, adgangskontrol, præciseringer for behandling af personoplysninger
42
til statistiske formål og passende foranstaltninger til at beskytte den registreredes rettigheder og fri-
hedsrettigheder og sikre statistisk fortrolighed. Ved statistiske formål forstås enhver indsamling og be-
handlingen af personoplysninger, der er nødvendig for statistiske undersøgelser eller frembringelse af
statistiske resultater. Disse statistiske resultater kan videreanvendes til forskellige formål, herunder vi-
denskabelige forskningsformål. Det statistiske formål indebærer, at resultatet af behandling til statisti-
ske formål ikke er personoplysninger, men aggregerede data, og at dette resultat eller personoplysnin-
gerne ikke anvendes til støtte for foranstaltninger eller afgørelser, der vedrører bestemte fysiske perso-
ner.
(163)De fortrolige oplysninger, som Unionen og de nationale statistikmyndigheder indsamler til udarbej-
delse af officielle europæiske og officielle nationale statistikker, bør beskyttes. Europæiske statistikker
bør udvikles, udarbejdes og formidles i overensstemmelse med de statistiske principper, der er beskre-
vet i artikel 338, stk. 2, i TEUF, mens nationale statistikker også bør overholde medlemsstaternes nati-
onale ret. Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 (16) indeholder yderligere
præciseringer om statistisk fortrolighed for europæiske statistikker.
(164)Hvad angår tilsynsmyndighedernes beføjelser til af den dataansvarlige eller databehandleren at få
indsigt i personoplysninger og adgang til den pågældendes lokaler kan medlemsstaterne inden for ram-
merne af denne forordning ved lov vedtage specifikke regler med det formål at sikre faglig eller anden
tilsvarende tavshedspligt, for så vidt det er nødvendigt for at forene retten til beskyttelse af personop-
lysninger med tavshedspligt. Dette berører ikke medlemsstaternes eksisterende forpligtelser til at ved-
tage regler om tavshedspligt, hvis det kræves i EU-retten.
(165)Denne forordning respekterer og anfægter ikke den status i henhold til eksisterende forfatningsretli-
ge bestemmelser, som kirker og religiøse sammenslutninger eller samfund har i medlemsstaterne, jf.
artikel 17 i TEUF.
(166)For at opfylde denne forordnings målsætninger, dvs. at beskytte fysiske personers grundlæggende
rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger, og for at sikre
fri udveksling af personoplysninger i Unionen bør beføjelsen til at vedtage retsakter i henhold til arti-
kel 290 i TEUF delegeres til Kommissionen. Der bør navnlig vedtages delegerede retsakter om kriteri-
er for og krav til certificeringsmekanismer, oplysninger, der skal fremgå af standardiserede ikoner, og
procedurer for tilvejebringelse af sådanne ikoner. Det er navnlig vigtigt, at Kommissionen gennemfø-
rer relevante høringer under sit forberedende arbejde, herunder på ekspertniveau. Kommissionen bør
sikre samtidig, rettidig og hensigtsmæssig fremsendelse af relevante dokumenter til Europa-Parlamen-
tet og til Rådet, når den forbereder og udarbejder delegerede retsakter.
(167)For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillæg-
ges gennemførelsesbeføjelser, når dette er fastsat i denne forordning. Disse beføjelser bør udøves i
overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011. I den forbindel-
se bør Kommissionen overveje specifikke foranstaltninger for mikrovirksomheder og små og mellem-
store virksomheder.
(168)Undersøgelsesproceduren bør anvendes til vedtagelse af gennemførelsesretsakter om standardkon-
traktbestemmelser mellem dataansvarlige og databehandlere og mellem databehandlere indbyrdes, ad-
færdskodekser, tekniske standarder og certificeringsmekanismer, tilstrækkeligt databeskyttelsesniveau,
der sikres af et tredjeland, et område eller en specifik sektor i dette tredjeland, eller en international
organisation, standardbestemmelser om databeskyttelse, formater og procedurer for elektronisk ud-
veksling af oplysninger mellem dataansvarlige, databehandlere og tilsynsmyndigheder for bindende
virksomhedsregler, gensidig bistand og ordninger for elektronisk udveksling af oplysninger mellem til-
synsmyndigheder og mellem tilsynsmyndigheder og Databeskyttelsesrådet.
(169)Kommissionen bør vedtage gennemførelsesretsakter, der finder anvendelse straks, når foreliggende
dokumentation viser, at et tredjeland, et område eller en specifik sektor i dette tredjeland, eller en inter-
43
national organisation ikke sikrer et tilstrækkeligt beskyttelsesniveau, og når det er påkrævet i særlig
hastende tilfælde.
(170)Målet for denne forordning, nemlig at sikre et ensartet niveau for beskyttelse af fysiske personer og
fri udveksling af oplysninger i Unionen, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne,
men kan på grund af handlingens omfang og virkninger bedre nås på EU-plan; Unionen kan derfor
vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den
Europæiske Union (TEU). I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går
denne forordning ikke videre, end hvad der er nødvendigt for at nå dette mål.
(171)Direktiv 95/46/EF bør ophæves ved denne forordning. Behandling, der allerede er indledt på datoen
for denne forordnings anvendelse, bør bringes i overensstemmelse med forordningen senest to år efter
ikrafttrædelsen heraf. Når behandling er baseret på samtykke i henhold til direktiv 95/46/EF, er det ik-
ke nødvendigt, at den registrerede på ny giver sit samtykke, såfremt den måde, som samtykket er givet
på, er i overensstemmelse med betingelserne i denne forordning; i så fald kan den dataansvarlige fort-
sætte behandlingen efter denne forordnings anvendelsesdato. Kommissionsafgørelser og -beslutninger,
der er vedtaget i henhold til direktiv 95/46/EF, og tilsynsmyndigheders godkendelser baseret på direk-
tiv 95/46/EF bør fortsat gælde, indtil de ændres, erstattes eller ophæves.
(172)Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel
28, stk. 2, i forordning (EF) nr. 45/2001 og afgav en udtalelse den 7. marts 2012 (17).
(173)Denne forordning bør gælde for alle forhold vedrørende beskyttelse af grundlæggende rettigheder
og frihedsrettigheder i forbindelse med behandling af personoplysninger, som ikke er underlagt speci-
fikke forpligtelser med samme formål som fastsat i Europa-Parlamentets og Rådets direktiv
2002/58/EF (18), herunder den dataansvarliges forpligtelser og fysiske personers rettigheder. For at af-
klare forholdet mellem denne forordning og direktiv 2002/58/EF bør nævnte direktiv ændres i overens-
stemmelse hermed. Når denne forordning er vedtaget, bør direktiv 2002/58/EF revideres, navnlig for at
sikre forenelighed med denne forordning —
HAR VEDTAGET DENNE FORORDNING
KAPITEL I
Generelle bestemmelser
Artikel 1
Genstand og formål
1. I denne forordning fastsættes regler om beskyttelse af fysiske personer i forbindelse med behandling af
personoplysninger og regler om fri udveksling af personoplysninger.
2. Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig
deres ret til beskyttelse af personoplysninger.
3. Den frie udveksling af personoplysninger i Unionen må hverken indskrænkes eller forbydes af grunde,
der vedrører beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.
44
Artikel 2
Materielt anvendelsesområde
1. Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages
ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger,
der er eller vil blive indeholdt i et register.
2. Denne forordning gælder ikke for behandling af personoplysninger:
a) under udøvelse af aktiviteter, der falder uden for EU-retten
b) som foretages af medlemsstaterne, når de udfører aktiviteter, der falder inden for rammerne af afsnit V,
kapitel 2, i TEU
c) som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter
d) som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller rets-
forfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebyg-
ge trusler mod den offentlige sikkerhed.
3. Forordning (EF) nr. 45/2001 finder anvendelse på behandling af personoplysninger, som Unionens in-
stitutioner, organer, kontorer og agenturer foretager. Forordning (EF) nr. 45/2001 og andre EU-retsakter,
der finder anvendelse på sådan behandling af personoplysninger, tilpasses til principperne og bestemmel-
serne i nærværende forordning i overensstemmelse med artikel 98.
4. Denne forordning berører ikke anvendelsen af direktiv 2000/31/EF, navnlig reglerne om formidleran-
svar for tjenesteydere, der er fastsat i artikel 12-15 i nævnte direktiv.
Artikel 3
Territorialt anvendelsesområde
1. Denne forordning finder anvendelse på behandling af personoplysninger, som foretages som led i akti-
viteter, der udføres for en dataansvarlig eller en databehandler, som er etableret i Unionen, uanset om be-
handlingen finder sted i Unionen eller ej.
2. Denne forordning finder anvendelse på behandling af personoplysninger om registrerede, der er i Uni-
onen, og som foretages af en dataansvarlig eller databehandler, der ikke er etableret i Unionen, hvis be-
handlingsaktiviteterne vedrører:
a) udbud af varer eller tjenester til sådanne registrerede i Unionen, uanset om betaling fra den registrerede
er påkrævet, eller
b) overvågning af sådanne registreredes adfærd, for så vidt deres adfærd finder sted i Unionen.
3. Denne forordning anvendes på behandling af personoplysninger, som foretages af en dataansvarlig, der
ikke er etableret i Unionen, men et sted, hvor medlemsstaternes nationale ret gælder i medfør af folkeret-
ten.
45
Artikel 4
Definitioner
I denne forordning forstås ved:
1) »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person
(»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte
kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliserings-
data, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske,
fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet
2) »behandling«: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behand-
ling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsam-
ling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søg-
ning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammen-
stilling eller samkøring, begrænsning, sletning eller tilintetgørelse
3) »begrænsning af behandling«: mærkning af opbevarede personoplysninger med den hensigt at begræn-
se fremtidig behandling af disse oplysninger
4) »profilering«: enhver form for automatisk behandling af personoplysninger, der består i at anvende
personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at
analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation,
helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk position eller bevægelser
5) »pseudonymisering«: behandling af personoplysninger på en sådan måde, at personoplysningerne ikke
længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne
supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger
for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person
6) »register«: enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier,
hvad enten denne samling er placeret centralt eller decentralt eller er fordelt på funktionsbestemt eller ge-
ografisk grundlag
7) »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet
organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må fore-
tages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fast-
lagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier
for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret
8) »databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet
organ, der behandler personoplysninger på den dataansvarliges vegne
9) »modtager«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ,
hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej. Offentlige myndigheder,
som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel i henhold til EU-retten el-
ler medlemsstaternes nationale ret, anses dog ikke for modtagere; de offentlige myndigheders behandling
af disse oplysninger skal overholde de gældende databeskyttelsesregler afhængigt af formålet med be-
handlingen
46
10) »tredjemand«: en anden fysisk eller juridisk person, offentlig myndighed eller institution eller ethvert
andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataan-
svarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle personoplysninger
11) »samtykke« fra den registrerede: enhver frivillig, specifik, informeret og utvetydig viljestilkendegi-
velse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at
personoplysninger, der vedrører den pågældende, gøres til genstand for behandling
12) »brud på persondatasikkerheden«: et brud på sikkerheden, der fører til hændelig eller ulovlig tilintet-
gørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret,
opbevaret eller på anden måde behandlet
13) »genetiske data«: personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske
karakteristika, som giver entydig information om den fysiske persons fysiologi eller helbred, og som
navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person
14) »biometriske data«: personoplysninger, der som følge af specifik teknisk behandling vedrørende en
fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en enty-
dig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger
15) »helbredsoplysninger«: personoplysninger, der vedrører en fysisk persons fysiske eller mentale hel-
bred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstil-
stand
16) »hovedvirksomhed«:
a) for så vidt angår en dataansvarlig som er etableret i mere end én medlemsstat, stedet for dennes centra-
le administration i Unionen, medmindre beslutninger vedrørende formål og hjælpemidler i forbindelse
med behandling af personoplysninger træffes i en anden af den dataansvarliges etableringer i Unionen, og
sidstnævnte etablering har beføjelse til få sådanne beslutninger gennemført; i så fald anses den etablering,
der har truffet sådanne beslutninger, for hovedvirksomheden
b) for så vidt angår en databehandler som er etableret i mere end én medlemsstat, stedet for dennes centra-
le administration i Unionen, eller, hvis denne ikke har en central administration i Unionen, den etablering
i Unionen, hvor databehandlerens hovedbehandlingsaktiviteter foretages i databehandlerens egenskab af
at være databehandler, i det omfang databehandleren er underlagt specifikke forpligtelser i henhold til
denne forordning
17) »repræsentant«: en fysisk eller juridisk person, der er etableret i Unionen, som skriftligt er udpeget af
den dataansvarlige eller databehandleren i henhold til artikel 27, og som repræsenterer den dataansvarlige
eller databehandleren hvad angår deres respektive forpligtelser i medfør af denne forordning
18) »foretagende«: en fysisk eller juridisk person, som udøver økonomisk aktivitet, uanset dens retlige
status, herunder partnerskaber eller sammenslutninger, der regelmæssigt udøver økonomisk aktivitet
19) »koncern«: en virksomhed, der udøver kontrol, og de af denne kontrollerede virksomheder
20) »bindende virksomhedsregler«: regler om beskyttelse af personoplysninger, som en dataansvarlig el-
ler databehandler, der er etableret på en medlemsstats område, overholder i forbindelse med overførsel
eller en række overførsler af personoplysninger til en dataansvarlig eller databehandler i et eller flere tred-
jelande inden for en koncern eller gruppe af foretagender, der udøver en fælles økonomisk aktivitet
47
21) »tilsynsmyndighed«: en uafhængig offentlig myndighed, der er etableret i en medlemsstat i henhold
til artikel 51
22) »berørt tilsynsmyndighed«: en tilsynsmyndighed, der er berørt af en behandling af personoplysninger,
fordi:
a) den dataansvarlige eller databehandleren er etableret på denne tilsynsmyndigheds medlemsstats område
b) de registrerede, der har bopæl i denne tilsynsmyndigheds medlemsstat, i væsentlig grad er påvirket af
eller sandsynligvis i væsentlig grad vil kunne blive påvirket af behandlingen, eller
c) en klage er blevet indgivet til denne tilsynsmyndighed
23) »grænseoverskridende behandling«:
a) behandling af personoplysninger, der finder sted som led i aktiviteter, som udføres for en dataansvar-
ligs eller en databehandlers virksomheder i mere end én medlemsstat i Unionen, hvor den dataansvarlige
eller databehandleren er etableret i mere end én medlemsstat, eller
b) behandling af personoplysninger, der finder sted som led i aktiviteter, som udføres for en dataansvar-
ligs eller en databehandlers eneste etablering i Unionen, men som i væsentlig grad påvirker eller sandsyn-
ligvis i væsentlig grad vil kunne påvirke registrerede i mere end én medlemsstat
24) »relevant og begrundet indsigelse«: en indsigelse mod et udkast til afgørelse om, hvorvidt der forelig-
ger en overtrædelse af denne forordning, eller hvorvidt en planlagt foranstaltning i forbindelse med den
dataansvarlige eller databehandleren overholder denne forordning, og som klart påviser betydningen af de
risici, som udkastet til afgørelse udgør for registreredes grundlæggende rettigheder og frihedsrettigheder
og, hvis det er relevant, for den frie udveksling af personoplysninger i Unionen
25) »informationssamfundstjeneste«: en tjeneste som defineret i artikel 1, stk. 1, litra b), i Europa-Parla-
mentets og Rådets direktiv (EU) 2015/1535 (19)
26) »international organisation«: en folkeretlig organisation og organer, der er underordnet den, samt et-
hvert andet organ, der er oprettet ved eller med hjemmel i en aftale mellem to eller flere lande.
KAPITEL II
Principper
Artikel 5
Principper for behandling af personoplysninger
1. Personoplysninger skal:
a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rime-
lighed og gennemsigtighed«)
b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er
uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige
eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal
ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«)
48
c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de
behandles (»dataminimering«)
d) være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at per-
sonoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges
(»rigtighed«)
e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum
end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; persono-
plysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i
samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i over-
ensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og
organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og
frihedsrettigheder (»opbevaringsbegrænsning«)
f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herun-
der beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller be-
skadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og
fortrolighed«).
2. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).
Artikel 6
Lovlig behandling
1. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:
a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke
formål.
b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af
hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgå-
else af en kontrakt.
c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
d) Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interes-
ser.
e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører
under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
f) Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interes-
se, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræ-
ver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.
Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførel-
sen af deres opgaver.
2. Medlemsstaterne kan opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen
af denne forordnings bestemmelser om behandling med henblik på overholdelse af stk. 1, litra c) og e),
49
ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og
rimelig behandling, herunder for andre specifikke databehandlingssituationer som omhandlet i kapitel IX.
3. Grundlaget for behandling i henhold til stk. 1, litra c) og e), skal fremgå af:
a) EU-retten, eller
b) medlemsstaternes nationale ret, som den dataansvarlige er underlagt.
Formålet med behandlingen skal være fastlagt i dette retsgrundlag eller for så vidt angår den behandling,
der er omhandlet i stk. 1, litra e), være nødvendig for udførelsen af en opgave i samfundets interesse eller
som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Dette rets-
grundlag kan indeholde specifikke bestemmelser med henblik på at tilpasse anvendelsen af bestemmelser-
ne i denne forordning, bl.a. de generelle betingelser for lovlighed af den dataansvarliges behandling, hvil-
ke typer oplysninger der skal behandles, berørte registrerede, hvilke enheder personoplysninger må vide-
regives til, og formålet hermed, formålsbegrænsninger, opbevaringsperioder og behandlingsaktiviteter
samt behandlingsprocedurer, herunder foranstaltninger til sikring af lovlig og rimelig behandling såsom i
andre specifikke databehandlingssituationer som omhandlet i kapitel IX. EU-retten eller medlemsstater-
nes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål,
der forfølges.
4. Når behandling til et andet formål end det, som personoplysningerne er indsamlet til, ikke er baseret på
den registreredes samtykke eller EU-retten eller medlemsstaternes nationale ret, som udgør en nødvendig
og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål, der er omhandlet i artikel
23, stk. 1, tager den dataansvarlige, for at afgøre, om behandling til et andet formål er forenelig med det
formål, som personoplysningerne oprindelig blev indsamlet til, bl.a. hensyn til følgende:
a) enhver forbindelse mellem det formål, som personoplysningerne er indsamlet til, og formålet med den
påtænkte viderebehandling
b) den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet
mellem den registrerede og den dataansvarlige
c) personoplysningernes art, navnlig om særlige kategorier af personoplysninger behandles, jf. artikel 9,
eller om personoplysninger vedrørende straffedomme og lovovertrædelser behandles, jf. artikel 10
d) den påtænkte viderebehandlings mulige konsekvenser for de registrerede
e) tilstedeværelse af fornødne garantier, som kan omfatte kryptering eller pseudonymisering.
Artikel 7
Betingelser for samtykke
1. Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har
givet samtykke til behandling af sine personoplysninger.
2. Hvis den registreredes samtykke gives i en skriftlig erklæring, der også vedrører andre forhold, skal en
anmodning om samtykke forelægges på en måde, som klart kan skelnes fra de andre forhold, i en letfor-
ståelig og lettilgængelig form og i et klart og enkelt sprog. Enhver del af en sådan erklæring, som udgør
en overtrædelse af denne forordning, er ikke bindende.
50
3. Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke
berører ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækningen. Inden
der gives samtykke, skal den registrerede oplyses om, at samtykket kan trækkes tilbage. Det skal være
lige så let at trække sit samtykke tilbage som at give det.
4. Ved vurdering af, om samtykke er givet frit, tages der størst muligt hensyn til, bl.a. om opfyldelse af en
kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysning-
er, som ikke er nødvendig for opfyldelse af denne kontrakt.
Artikel 8
Betingelser for et barns samtykke i forbindelse med informationssamfundstjenester
1. Hvis artikel 6, stk. 1, litra a), finder anvendelse i forbindelse med udbud af informationssamfundstjene-
ster direkte til børn, er behandling af personoplysninger om et barn lovlig, hvis barnet er mindst 16 år. Er
barnet under 16 år, er sådan behandling kun lovlig, hvis og i det omfang samtykke gives eller godkendes
af indehaveren af forældremyndigheden over barnet.
Medlemsstaterne kan ved lov fastsætte en lavere aldersgrænse til disse formål, forudsat at en sådan al-
dersgrænse ikke er under 13 år.
2. Under hensyntagen til den tilgængelige teknologi skal den dataansvarlige gøre sig rimelige bestræbel-
ser på i sådanne tilfælde at kontrollere, at indehaveren af forældremyndigheden over barnet har givet eller
godkendt samtykket.
3. Stk. 1 berører ikke medlemsstaternes generelle aftaleret, som f.eks. bestemmelser om gyldighed, indgå-
else eller virkning af en kontrakt, når der er tale om et barn.
Artikel 9
Behandling af særlige kategorier af personoplysninger
1. Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk over-
bevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data
med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fy-
sisk persons seksuelle forhold eller seksuelle orientering er forbudt.
2. Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende:
a) Den registrerede har givet udtrykkeligt samtykke til behandling af sådanne personoplysninger til et el-
ler flere specifikke formål, medmindre det i EU-retten eller medlemsstaternes nationale ret er fastsat, at
det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke.
b) Behandling er nødvendig for at overholde den dataansvarliges eller den registreredes arbejds-, sund-
heds- og socialretlige forpligtelser og specifikke rettigheder, for så vidt den har hjemmel i EU-retten eller
medlemsstaternes nationale ret eller en kollektiv overenskomst i medfør af medlemsstaternes nationale
ret, som giver fornødne garantier for den registreredes grundlæggende rettigheder og interesser.
c) Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser
i tilfælde, hvor den registrerede fysisk eller juridisk ikke er i stand til at give samtykke.
51
d) Behandling foretages af en stiftelse, en sammenslutning eller et andet organ, som ikke arbejder med
gevinst for øje, og hvis sigte er af politisk, filosofisk, religiøs eller fagforeningsmæssig art, som led i or-
ganets legitime aktiviteter og med de fornødne garantier, og på betingelse af at behandlingen alene vedrø-
rer organets medlemmer, tidligere medlemmer eller personer, der på grund af organets formål er i regel-
mæssig kontakt hermed, og at personoplysningerne ikke videregives uden for organet uden den registrere-
des samtykke.
e) Behandling vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede.
f) Behandling er nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares, eller når dom-
stole handler i deres egenskab af domstol.
g) Behandling er nødvendig af hensyn til væsentlige samfundsinteresser på grundlag af EU-retten eller
medlemsstaternes nationale ret og står i rimeligt forhold til det mål, der forfølges, respekterer det væsent-
ligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse
af den registreredes grundlæggende rettigheder og interesser.
h) Behandling er nødvendig med henblik på forebyggende medicin eller arbejdsmedicin til vurdering af
arbejdstagerens erhvervsevne, medicinsk diagnose, ydelse af social- og sundhedsomsorg eller -behandling
eller forvaltning af social- og sundhedsomsorg og -tjenester på grundlag af EU-retten eller medlemsstater-
nes nationale ret eller i henhold til en kontrakt med en sundhedsperson og underlagt de betingelser og
garantier, der er omhandlet i stk. 3.
i) Behandling er nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet, f.eks. beskyttelse
mod alvorlige grænseoverskridende sundhedsrisici eller sikring af høje kvalitets- og sikkerhedsstandarder
for sundhedspleje og lægemidler eller medicinsk udstyr på grundlag af EU-retten eller medlemsstaternes
nationale ret, som fastsætter passende og specifikke foranstaltninger til beskyttelse af den registreredes
rettigheder og frihedsrettigheder, navnlig tavshedspligt.
j) Behandling er nødvendig til arkivformål i samfundets interesse, til videnskabelige eller historiske forsk-
ningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, på grundlag af EU-retten
eller medlemsstaternes nationale ret og står i rimeligt forhold til det mål, der forfølges, respekterer det
væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til be-
skyttelse af den registreredes grundlæggende rettigheder og interesser.
3. Personoplysninger som omhandlet i stk. 1 kan behandles til de formål, der er omhandlet i stk. 2, litra
h), hvis disse oplysninger behandles af en fagperson, der har tavshedspligt i henhold til EU-retten eller
medlemsstaternes nationale ret eller regler, der er fastsat af nationale kompetente organer, eller under en
sådan persons ansvar, eller af en anden person, der også har tavshedspligt i henhold til EU-retten eller
medlemsstaternes nationale ret eller regler, der er fastsat af nationale kompetente organer.
4. Medlemsstaterne kan opretholde eller indføre yderligere betingelser, herunder begrænsninger, for be-
handling af genetiske data, biometriske data eller helbredsoplysninger.
Artikel 10
Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser
Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikker-
hedsforanstaltninger på grundlag af artikel 6, stk. 1, må kun foretages under kontrol af en offentlig myn-
dighed, eller hvis behandling har hjemmel i EU-retten eller medlemsstaternes nationale ret, som giver
52
passende garantier for registreredes rettigheder og frihedsrettigheder. Ethvert omfattende register over
straffedomme må kun føres under kontrol af en offentlig myndighed.
Artikel 11
Behandling, der ikke kræver identifikation
1. Hvis formålene med en dataansvarligs behandling af personoplysninger ikke kræver eller ikke længere
kræver, at den registrerede kan identificeres af den dataansvarlige, er den dataansvarlige ikke forpligtet til
at beholde, indhente eller behandle yderligere oplysninger for at kunne identificere den registrerede alene
med det formål at overholde denne forordning.
2. Hvis den dataansvarlige i tilfælde, der er omhandlet i denne artikels stk. 1, kan påvise, at
vedkommende ikke kan identificere den registrerede, underretter den dataansvarlige den registrerede her-
om, hvis det er muligt. I sådanne tilfælde finder artikel 15-20 ikke anvendelse, medmindre den registrere-
de for at udøve sine rettigheder i henhold til disse artikler giver yderligere oplysninger, der gør det muligt
at identificere den pågældende.
KAPITEL III
Den registreredes rettigheder
Afdeling 1
Gennemsigtighed og nærmere regler
Artikel 12
Gennemsigtig oplysning, meddelelser og nærmere regler for udøvelsen af den registreredes rettig-
heder
1. Den dataansvarlige træffer passende foranstaltninger til at give enhver oplysning som omhandlet i arti-
kel 13 og 14 og enhver meddelelse i henhold til artikel 15-22 og 34 om behandling til den registrerede i
en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog, navnlig når
oplysninger specifikt er rettet mod et barn. Oplysningerne gives skriftligt eller med andre midler, herun-
der, hvis det er hensigtsmæssigt, elektronisk. Når den registrerede anmoder om det, kan oplysningerne
gives mundtligt, forudsat at den registreredes identitet godtgøres med andre midler.
2. Den dataansvarlige letter udøvelsen af den registreredes rettigheder i henhold til artikel 15-22. I de til-
fælde, der er omhandlet i artikel 11, stk. 2, må den dataansvarlige ikke afvise at efterkomme den registre-
redes anmodning om at udøve sine rettigheder i henhold til artikel 15-22, medmindre den dataansvarlige
påviser, at vedkommende ikke er i stand til at identificere den registrerede.
3. Den dataansvarlige oplyser uden unødig forsinkelse og i alle tilfælde senest en måned efter modtagel-
sen af anmodningen den registrerede om foranstaltninger, der træffes på baggrund af en anmodning i hen-
hold til artikel 15-22. Denne periode kan forlænges med to måneder, hvis det er nødvendigt, under hen-
syntagen til anmodningernes kompleksitet og antal. Den dataansvarlige underretter den registrerede om
enhver sådan forlængelse senest en måned efter modtagelsen af anmodningen sammen med begrundelsen
for forsinkelsen. Hvis den registrerede indgiver en anmodning elektronisk, meddeles oplysningerne så
vidt muligt elektronisk, medmindre den registrerede anmoder om andet.
53
4. Hvis den dataansvarlige ikke træffer foranstaltninger i anledning af den registreredes anmodning, un-
derretter den dataansvarlige straks og senest en måned efter modtagelsen af anmodningen den registrerede
om årsagen hertil og om muligheden for at indgive en klage til en tilsynsmyndighed og indbringe sagen
for en retsinstans.
5. Oplysninger, der gives i henhold til artikel 13 og 14, og enhver meddelelse og enhver foranstaltning,
der træffes i henhold til artikel 15-22 og 34, er gratis. Hvis anmodninger fra en registreret er åbenbart
grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige enten:
a) opkræve et rimeligt gebyr under hensyntagen til de administrative omkostninger ved at give oplysnin-
ger eller meddelelser eller træffe den ønskede foranstaltning, eller
b) afvise at efterkomme anmodningen.
Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven, påhviler den dataansvarlige.
6. Uden at det berører artikel 11 kan den dataansvarlige, hvis der hersker rimelig tvivl om identiteten af
den fysiske person, der fremsætter en anmodning som omhandlet i artikel 15-21, anmode om yderligere
oplysninger, der er nødvendige for at bekræfte den registreredes identitet.
7. De oplysninger, der skal gives til registrerede i henhold til artikel 13 og 14, kan gives sammen med
standardiserede ikoner for at give et meningsfuldt overblik over den planlagte behandling på en klart syn-
lig, letforståelig og letlæselig måde. Hvis ikonerne præsenteres elektronisk, skal de være maskinlæsbare.
8. Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel
92 med henblik på at fastlægge de oplysninger, der skal fremgå af ikoner, og procedurerne for tilvejebrin-
gelse af standardiserede ikoner.
Afdeling 2
Oplysning og indsigt i personoplysninger
Artikel 13
Oplysningspligt ved indsamling af personoplysninger hos den registrerede
1. Hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på
det tidspunkt, hvor personoplysningerne indsamles, den registrerede alle følgende oplysninger:
a) identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræsentant
b) kontaktoplysninger for en eventuel databeskyttelsesrådgiver
c) formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behand-
lingen
d) de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er
baseret på artikel 6, stk. 1, litra f)
e) eventuelle modtagere eller kategorier af modtagere af personoplysningerne
f) hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til et tredjeland eller en
international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af
beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 46 eller 47 eller artikel 49, stk. 1,
54
andet afsnit, litra h), henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi
heraf, eller hvor de er blevet gjort tilgængelige.
2. Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige på det tidspunkt, hvor per-
sonoplysningerne indsamles, den registrerede følgende yderligere oplysninger, der er nødvendige for at
sikre en rimelig og gennemsigtig behandling:
a) det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier,
der anvendes til at fastlægge dette tidsrum
b) retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger
eller begrænsning af behandling vedrørende den registrerede eller til at gøre indsigelse mod behandling
samt retten til dataportabilitet
c) når behandling er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), retten til at trække
samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på
samtykke, inden tilbagetrækning heraf
d) retten til at indgive en klage til en tilsynsmyndighed
e) om meddelelse af personoplysninger er lovpligtigt eller et krav i henhold til en kontrakt eller et krav,
der skal være opfyldt for at indgå en kontrakt, samt om den registrerede har pligt til at give personop-
lysningerne og de eventuelle konsekvenser af ikke at give sådanne oplysninger
f) forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og
i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de for-
ventede konsekvenser af en sådan behandling for den registrerede.
3. Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil
de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger
om dette andet formål og andre relevante yderligere oplysninger, jf. stk. 2.
4. Stk. 1, 2 og 3 finder ikke anvendelse, hvis og i det omfang den registrerede allerede er bekendt med
oplysningerne.
Artikel 14
Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede
1. Hvis personoplysningerne ikke er indsamlet hos den registrerede, giver den dataansvarlige den registre-
rede følgende oplysninger:
a) identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræsentant
b) kontaktoplysninger for en eventuel databeskyttelsesrådgiver
c) formålene med den behandling, som personoplysningerne skal bruges til, samt retsgrundlaget for be-
handlingen
d) de berørte kategorier af personoplysninger
e) eventuelle modtagere eller kategorier af modtagere af personoplysningerne
55
f) hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til en modtager i et tred-
jeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstræk-
keligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 46 eller 47 eller arti-
kel 49, stk. 1, andet afsnit, litra h), henvisning til de fornødne eller passende garantier, og hvordan der kan
fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.
2. Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige den registrerede følgende
oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling for så vidt angår den
registrerede:
a) det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier,
der anvendes til at fastlægge dette tidsrum
b) de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er
baseret på artikel 6, stk. 1, litra f)
c) retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger
eller begrænsning af behandling vedrørende den registrerede og til at gøre indsigelse mod behandling
samt retten til dataportabilitet
d) når behandling er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), retten til at trække
samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på
samtykke, inden tilbagetrækning heraf
e) retten til at indgive en klage til en tilsynsmyndighed
f) hvilken kilde personoplysningerne hidrører fra, og eventuelt hvorvidt de stammer fra offentligt tilgæn-
gelige kilder
g) forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og
i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de for-
ventede konsekvenser af en sådan behandling for den registrerede.
3. Den dataansvarlige giver de oplysninger, der er omhandlet i stk. 1 og 2:
a) inden for en rimelig frist efter indsamlingen af personoplysningerne, men senest inden for en måned
under hensyn til de specifikke forhold, som personoplysningerne er behandlet under,
b) hvis personoplysningerne skal bruges til at kommunikere med den registrerede, senest på tidspunktet
for den første kommunikation med den registrerede, eller
c) hvis personoplysningerne er bestemt til videregivelse til en anden modtager, senest når personoplys-
ningerne videregives første gang.
4. Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil
de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger
om dette andet formål samt andre relevante yderligere oplysninger, jf. stk. 2.
5. Stk. 1-4 finder ikke anvendelse, hvis og i det omfang:
a) den registrerede allerede er bekendt med oplysningerne
b) meddelelse af sådanne oplysninger viser sig umulig eller vil kræve en uforholdsmæssigt stor indsats,
navnlig i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller histo-
56
riske forskningsformål eller til statistiske formål underlagt de betingelser og garantier, der er omhandlet i
artikel 89, stk. 1, eller i det omfang den forpligtelse, der er omhandlet i nærværende artikels stk. 1, sand-
synligvis vil gøre det umuligt eller i alvorlig grad vil hindre opfyldelse af formålene med denne behand-
ling. I sådanne tilfælde træffer den dataansvarlige passende foranstaltninger for at beskytte den registrere-
des rettigheder og frihedsrettigheder samt legitime interesser, herunder ved at gøre oplysningerne offent-
ligt tilgængelige
c) indsamling eller videregivelse udtrykkelig er fastsat i EU-ret eller medlemsstaternes nationale ret, som
den dataansvarlige er underlagt, og som fastsætter passende foranstaltninger til beskyttelse af den regi-
streredes legitime interesser, eller
d) personoplysningerne skal forblive fortrolige som følge af tavshedspligt i henhold til EU-retten eller
medlemsstaternes nationale ret, herunder lovbestemt tavshedspligt.
Artikel 15
Den registreredes indsigtsret
1. Den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende
den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information:
a) formålene med behandlingen
b) de berørte kategorier af personoplysninger
c) de modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til,
navnlig modtagere i tredjelande eller internationale organisationer
d) om muligt det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er
muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum
e) retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller be-
grænsning af behandling af personoplysninger vedrørende den registrerede eller til at gøre indsigelse mod
en sådan behandling
f) retten til at indgive en klage til en tilsynsmyndighed
g) enhver tilgængelig information om, hvorfra personoplysningerne stammer, hvis de ikke indsamles hos
den registrerede
h) forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og
som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konse-
kvenser af en sådan behandling for den registrerede.
2. Hvis personoplysningerne overføres til et tredjeland eller en international organisation, har den regi-
strerede ret til at blive underrettet om de fornødne garantier i medfør af artikel 46 i forbindelse med over-
førslen.
3. Den dataansvarlige udleverer en kopi af de personoplysninger, der behandles. For yderligere kopier,
som den registrerede anmoder om, kan den dataansvarlige opkræve et rimeligt gebyr baseret på de admi-
nistrative omkostninger. Hvis den registrerede indgiver anmodningen elektronisk, og medmindre den re-
gistrerede anmoder om andet, udleveres oplysningerne i en almindeligt anvendt elektronisk form.
57
4. Retten til at modtage en kopi som omhandlet i stk. 3 må ikke krænke andres rettigheder og frihedsret-
tigheder.
Afdeling 3
Berigtigelse og sletning
Artikel 16
Ret til berigtigelse
Den registrerede har ret til at få urigtige personoplysninger om sig selv berigtiget af den dataansvarlige
uden unødig forsinkelse. Den registrerede har under hensyntagen til formålene med behandlingen ret til få
fuldstændiggjort ufuldstændige personoplysninger, bl.a. ved at fremlægge en supplerende erklæring.
Artikel 17
Ret til sletning (»retten til at blive glemt«)
1. Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unø-
dig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse,
hvis et af følgende forhold gør sig gældende:
a) Personoplysningerne er ikke længere nødvendige til at opfylde de formål, hvortil de blev indsamlet el-
ler på anden vis behandlet.
b) Den registrerede trækker det samtykke, der er grundlaget for behandlingen, jf. artikel 6, stk. 1, litra a),
eller artikel 9, stk. 2, litra a), tilbage, og der er ikke et andet retsgrundlag for behandlingen.
c) Den registrerede gør indsigelse mod behandlingen i henhold til artikel 21, stk. 1, og der foreligger ikke
legitime grunde til behandlingen, som går forud for indsigelsen, eller den registrerede gør indsigelse mod
behandlingen i medfør af artikel 21, stk. 2.
d) Personoplysningerne er blevet behandlet ulovligt.
e) Personoplysningerne skal slettes for at overholde en retlig forpligtelse i EU-retten eller medlemsstater-
nes nationale ret, som den dataansvarlige er underlagt.
f) Personoplysningerne er blevet indsamlet i forbindelse med udbud af informationssamfundstjenester
som omhandlet i artikel 8, stk. 1.
2. Hvis den dataansvarlige har offentliggjort personoplysningerne og i henhold til stk. 1 er forpligtet til at
slette personoplysningerne, træffer den dataansvarlige under hensyntagen til den teknologi, der er tilgæn-
gelig, og omkostningerne ved implementeringen, rimelige foranstaltninger, herunder tekniske foranstalt-
ninger, for at underrette de dataansvarlige, som behandler personoplysningerne, om, at den registrerede
har anmodet disse dataansvarlige om at slette alle link til eller kopier eller gengivelser af de pågældende
personoplysninger.
3. Stk. 1 og 2 finder ikke anvendelse, i det omfang denne behandling er nødvendig:
a) for at udøve retten til ytrings- og informationsfrihed
58
b) for at overholde en retlig forpligtelse, der kræver behandling i henhold til EU-retten eller medlemssta-
ternes nationale ret, og som den dataansvarlige er underlagt, eller for at udføre en opgave i samfundets
interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt
c) af hensyn til samfundsinteresser på folkesundhedsområdet i overensstemmelse med artikel 9, stk. 2,
litra h) og i), samt artikel 9, stk. 3
d) til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til stati-
stiske formål i overensstemmelse med artikel 89, stk. 1, i det omfang den rettighed, der er omhandlet i stk.
1, sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af denne behandling, eller
e) for, at retskrav kan fastlægges, gøres gældende eller forsvares.
Artikel 18
Ret til begrænsning af behandling
1. Den registrerede har ret til fra den dataansvarlige at opnå begrænsning af behandling, hvis et af følgen-
de forhold gør sig gældende:
a) rigtigheden af personoplysningerne bestrides af den registrerede, i perioden indtil den dataansvarlige
har haft mulighed for at fastslå, om personoplysningerne er korrekte
b) behandlingen er ulovlig, og den registrerede modsætter sig sletning af personoplysningerne og i stedet
anmoder om, at anvendelse heraf begrænses
c) den dataansvarlige ikke længere har brug for personoplysningerne til behandlingen, men de er nødven-
dige for, at et retskrav kan fastlægges, gøres gældende eller forsvares
d) den registrerede har gjort indsigelse mod behandlingen i medfør af artikel 21, stk. 1, i perioden mens
det kontrolleres, om den dataansvarliges legitime interesser går forud for den registreredes legitime inte-
resser.
2. Hvis behandling er blevet begrænset i medfør af stk. 1, må sådanne personoplysninger, bortset fra op-
bevaring, kun behandles med den registreredes samtykke eller med henblik på, at et retskrav kan fastlæg-
ges, gøres gældende eller forsvares eller for at beskytte en anden fysisk eller juridisk person eller af hen-
syn til Unionens eller en medlemsstats vigtige samfundsinteresser.
3. En registreret, der har opnået begrænsning af behandling i medfør af stk. 1, underrettes af den dataan-
svarlige, inden begrænsningen af behandlingen ophæves.
Artikel 19
Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begræns-
ning af behandling
Den dataansvarlige underretter hver modtager, som personoplysningerne er videregivet til, om enhver be-
rigtigelse eller sletning af personoplysningerne eller begrænsning af behandling, der er udført i henhold til
artikel 16, artikel 17, stk. 1, og artikel 18, medmindre dette viser sig umuligt eller er uforholdsmæssigt
vanskeligt. Den dataansvarlige oplyser den registrerede om disse modtagere, hvis den registrerede anmo-
der herom.
59
Artikel 20
Ret til dataportabilitet
1. Den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage
personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, og har ret til at transmit-
tere disse oplysninger til en anden dataansvarlig uden hindring fra den dataansvarlige, som personop-
lysningerne er blevet givet til, når:
a) behandlingen er baseret på samtykke, jf. artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), eller på
en kontrakt, jf. artikel 6, stk. 1, litra b), og
b) behandlingen foretages automatisk.
2. Når den registrerede udøver sin ret til dataportabilitet i henhold til stk. 1, har den registrerede ret til at
få transmitteret personoplysningerne direkte fra en dataansvarlig til en anden, hvis det er teknisk muligt.
3. Udøvelsen af den ret, der er omhandlet i denne artikels stk. 1, berører ikke artikel 17. Den nævnte ret
finder ikke anvendelse på behandling, der er nødvendig for udførelse af en opgave i samfundets interesse
eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
4. Den ret, der er omhandlet i stk. 1, må ikke krænke andres rettigheder eller frihedsrettigheder.
Afdeling 4
Ret til indsigelse og automatiske individuelle afgørelser
Artikel 21
Ret til indsigelse
1. Den registrerede har til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at
gøre indsigelse mod behandling af sine personoplysninger baseret på artikel 6, stk. 1, litra e) eller f), her-
under profilering baseret på disse bestemmelser. Den dataansvarlige må ikke længere behandle personop-
lysningerne, medmindre den dataansvarlige påviser vægtige legitime grunde til behandlingen, der går for-
ud for registreredes interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at
retskrav kan fastlægges, gøres gældende eller forsvares.
2. Hvis personoplysninger behandles med henblik på direkte markedsføring, har den registrerede til en-
hver tid ret til at gøre indsigelse mod behandling af sine personoplysninger til sådan markedsføring, her-
under at gøre indsigelse mod profilering, i det omfang den vedrører direkte markedsføring.
3. Hvis den registrerede gør indsigelse mod behandling med henblik på direkte markedsføring, må person-
oplysningerne ikke længere behandles til dette formål.
4. Senest på tidspunktet for den første kommunikation med den registrerede skal denne udtrykkeligt gøres
opmærksom på den ret, der er omhandlet i stk. 1 og 2, og oplysninger herom skal meddeles klart og ad-
skilt fra alle andre oplysninger.
5. I forbindelse med anvendelse af informationssamfundstjenester og uanset direktiv 2002/58/EF kan den
registrerede udøve sin ret til indsigelse gennem automatiske midler ved brug af tekniske specifikationer.
60
6. Hvis personoplysninger behandles med henblik på videnskabelige eller historiske forskningsformål el-
ler statistiske formål i henhold til artikel 89, stk. 1, har den registrerede ret til af grunde, der vedrører den
pågældendes særlige situation, at gøre indsigelse mod behandling af personoplysninger vedrørende den
pågældende, medmindre behandlingen er nødvendig for at udføre en opgave i samfundets interesse.
Artikel 22
Automatiske individuelle afgørelser, herunder profilering
1. Den registrerede har ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk
behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den på-
gældende.
2. Stk. 1 finder ikke anvendelse, hvis afgørelsen:
a) er nødvendig for indgåelse eller opfyldelse af en kontrakt mellem den registrerede og en dataansvarlig
b) er hjemlet i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, og som
også fastsætter passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettighe-
der samt legitime interesser eller
c) er baseret på den registreredes udtrykkelige samtykke.
3. I de tilfælde, der er omhandlet i stk. 2, litra a) og c), gennemfører den dataansvarlige passende foran-
staltninger til at beskytte den registreredes rettigheder og frihedsrettigheder samt legitime interesser, i det
mindste den registreredes ret til menneskelig indgriben fra den dataansvarliges side, til at fremkomme
med sine synspunkter og til at bestride afgørelsen.
4. De afgørelser, der er omhandlet i stk. 2, må ikke baseres på særlige kategorier af personoplysninger, jf.
artikel 9, stk. 1, medmindre artikel 9, stk. 2, litra a) eller g), finder anvendelse, og der er indført passende
foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interes-
ser.
Afdeling 5
Begrænsninger
Artikel 23
Begrænsninger
1. EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige eller databehandleren er underlagt,
kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de forpligtelser og rettigheder,
der er omhandlet i artikel 12-22 og 34 samt artikel 5, for så vidt bestemmelserne heri svarer til rettighe-
derne og forpligtelserne i artikel 12-22, når en sådan begrænsning respekterer det væsentligste indhold af
de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning
i et demokratisk samfund af hensyn til:
a) statens sikkerhed
b) forsvaret
c) den offentlige sikkerhed
61
d) forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af
strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikker-
hed
e) andre vigtige målsætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle
samfundsinteresser, navnlig Unionens eller en medlemsstats væsentlige økonomiske eller finansielle inte-
resser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed
f) beskyttelse af retsvæsenets uafhængighed og retssager
g) forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for
lovregulerede erhverv
h) kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet
med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i litra a)-e) og g)
i) beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder
j) håndhævelse af civilretlige krav.
2. Navnlig skal enhver lovgivningsmæssig foranstaltning, der er omhandlet i stk. 1, som minimum, hvor
det er relevant, indeholde specifikke bestemmelser vedrørende:
a) formålene med behandlingen eller kategorierne af behandling
b) kategorierne af personoplysninger
c) rækkevidden af de indførte begrænsninger
d) garantierne for at undgå misbrug eller ulovlig adgang eller overførsel
e) specifikation af den dataansvarlige eller kategorierne af dataansvarlige
f) opbevaringsperioder og de gældende garantier under hensyntagen til behandlingens karakter, omfang
og formål eller kategorier af behandling
g) risiciene for de registreredes rettigheder og frihedsrettigheder, og
h) de registreredes ret til at blive underrettet om begrænsningen, medmindre dette kan skade formålet med
begrænsningen.
62
KAPITEL IV
Dataansvarlig og databehandler
Afdeling 1
Generelle forpligtelser
Artikel 24
Den dataansvarliges ansvar
1. Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt ri-
siciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gen-
nemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at
være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltnin-
ger skal om nødvendigt revideres og ajourføres.
2. Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i
stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker.
3. Overholdelse af godkendte adfærdskodekser som omhandlet i artikel 40 eller godkendte certificerin-
gsmekanismer som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af den
dataansvarliges forpligtelser.
Artikel 25
Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger
1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågælden-
de behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og
alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører
den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for
selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som
er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering,
og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne for-
ordning og beskytte de registreredes rettigheder.
2. Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på
gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt for-
mål med behandlingen, behandles. Denne forpligtelse gælder den mængde personoplysninger, der ind-
samles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne for-
anstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågæl-
dende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.
3. En godkendt certificeringsmekanisme i medfør af artikel 42 kan blive brugt som et element til at påvise
overholdelse af kravene i nærværende artikels stk. 1 og 2.
63
Artikel 26
Fælles dataansvarlige
1. Hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behand-
ling, er de fælles dataansvarlige. De fastlægger på en gennemsigtig måde deres respektive ansvar for
overholdelse af forpligtelserne i henhold til denne forordning, navnlig hvad angår udøvelse af den regi-
streredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i
artikel 13 og 14, ved hjælp af en ordning mellem dem, medmindre og i det omfang de dataansvarliges
respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er un-
derlagt. I ordningen kan der udpeges et kontaktpunkt for registrerede.
2. Ordningen, der er omhandlet i stk. 1, skal på behørig vis afspejle de fælles dataansvarliges respektive
roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal gøres tilgængeligt for de
registrerede.
3. Uanset udformningen af den ordning, der er omhandlet i stk. 1, kan den registrerede udøve sine rettig-
heder i medfør af denne forordning med hensyn til og over for den enkelte dataansvarlige.
Artikel 27
Repræsentanter for dataansvarlige og databehandlere, der ikke er etableret i Unionen
1. Hvis artikel 3, stk. 2, finder anvendelse, udpeger den dataansvarlige eller databehandleren skriftligt en
repræsentant i Unionen.
2. Forpligtelsen fastsat i denne artikels stk. 1 gælder ikke for:
a) behandling, der er lejlighedsvis, som ikke i stort omfang omfatter behandling af særlige kategorier af
oplysninger, jf. artikel 9, stk. 1, eller behandling af personoplysninger vedrørende straffedomme og lov-
overtrædelser, jf. artikel 10, og som sandsynligvis ikke indebærer en risiko for fysiske personers rettighe-
der eller frihedsrettigheder under hensyntagen til behandlingens karakter, sammenhæng, omfang og for-
mål, eller
b) offentlige myndigheder eller organer.
3. Repræsentanten skal være etableret i en af de medlemsstater, hvor de registrerede, hvis personoplys-
ninger behandles i forbindelse med udbud af varer eller tjenesteydelser til dem, eller hvis adfærd overvå-
ges, er.
4. Repræsentanten bemyndiges af den dataansvarlige eller databehandleren til at modtage henvendelser
ud over eller i stedet for den dataansvarlige eller databehandleren, navnlig fra tilsynsmyndigheder og regi-
strerede, i forbindelse med alle spørgsmål vedrørende behandling med henblik på at sikre overholdelse af
denne forordning.
5. Den dataansvarliges eller databehandlerens udpegning af en repræsentant berører ikke eventuelle retli-
ge skridt mod den dataansvarlige eller databehandleren selv.
64
Artikel 28
Databehandler
1. Hvis en behandling skal foretages på vegne af en dataansvarlig, benytter den dataansvarlige udelukken-
de databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og
organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og
sikrer beskyttelse af den registreredes rettigheder.
2. Databehandleren må ikke gøre brug af en anden databehandler uden forudgående specifik eller generel
skriftligt godkendelse fra den dataansvarlige. I tilfælde af generel skriftlig godkendelse skal databehandle-
ren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning
af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne
ændringer.
3. En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument i hen-
hold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn
til den dataansvarlige, og der fastsætter genstanden for og varigheden af behandlingen, behandlingens ka-
rakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges for-
pligtelser og rettigheder. Denne kontrakt eller dette andet retlige dokument fastsætter navnlig, at databe-
handleren:
a) kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så
vidt angår overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre
det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i
så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmin-
dre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser
b) sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolig-
hed eller er underlagt en passende lovbestemt tavshedspligt
c) iværksætter alle foranstaltninger, som kræves i henhold til artikel 32
d) opfylder de betingelser, der er omhandlet i stk. 2 og 4, for at gøre brug af en anden databehandler
e) under hensyntagen til behandlingens karakter, så vidt muligt bistår den dataansvarlige ved hjælp af pas-
sende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til
at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i kapitel III
f) bistår den dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af artikel 32-36 under
hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren
g) efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysninger til den dataansvarlige,
efter at tjenesterne vedrørende behandling er ophørt, og sletter eksisterende kopier, medmindre EU-retten
eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne
h) stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i denne artikel, til rå-
dighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der
foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
For så vidt angår første afsnit, litra h), underretter databehandleren omgående den dataansvarlige, hvis en
instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser
i anden EU-ret eller medlemsstaternes nationale ret.
65
4. Gør en databehandler brug af en anden databehandler i forbindelse med udførelse af specifikke behand-
lingsaktiviteter på vegne af den dataansvarlige, pålægges denne anden databehandler de samme databe-
skyttelsesforpligtelser som dem, der er fastsat i kontrakten eller et andet retligt dokument mellem den da-
taansvarlige og databehandleren som omhandlet i stk. 3, gennem en kontrakt eller et andet retligt doku-
ment i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne
garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan
måde, at behandlingen opfylder kravene i denne forordning. Hvis denne anden databehandler ikke opfyl-
der sine databeskyttelsesforpligtelser, forbliver den oprindelige databehandler fuldt ansvarlig over for den
dataansvarlige for opfyldelsen af denne anden databehandlers forpligtelser.
5. En databehandlers overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40 eller en god-
kendt certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at påvise fornød-
ne garantier som omhandlet i nærværende artikels stk. 1 og 4.
6. Uden at det berører en individuel kontrakt mellem den dataansvarlige og databehandleren, kan kontrak-
ten eller det andet retlige dokument, der er omhandlet i denne artikels stk. 3 og 4, helt eller delvis baseres
på de standardkontraktbestemmelser, der er anført i denne artikels stk. 7 og 8, herunder når de indgår i en
certificering, der er meddelt den dataansvarlige eller databehandleren i henhold til artikel 42 og 43.
7. Kommissionen kan fastsætte standardkontraktbestemmelser i de tilfælde, der er omhandlet i denne arti-
kels stk. 3 og 4, og i overensstemmelse med undersøgelsesproceduren, der er omhandlet i artikel 93, stk.
2.
8. En tilsynsmyndighed kan vedtage standardkontraktbestemmelser i de tilfælde, der er omhandlet i denne
artikels stk. 3 og 4, og i overensstemmelse med sammenhængsmekanismen, der er omhandlet i artikel 63.
9. Kontrakten eller det andet retlige dokument, der er omhandlet i stk. 3 og 4, skal foreligge skriftligt,
herunder elektronisk.
10. Hvis en databehandler overtræder denne forordning ved at fastlægge formålene med og hjælpemidler-
ne til behandling, anses databehandleren for at være en dataansvarlig for så vidt angår den pågældende
behandling, uden at dette berører artikel 82, 83 og 84.
Artikel 29
Behandling, der udføres for den dataansvarlige eller databehandleren
Databehandleren og enhver, der udfører arbejde for den dataansvarlige eller databehandleren, og som har
adgang til personoplysninger, behandler kun disse oplysninger efter instruks fra den dataansvarlige, med-
mindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret.
Artikel 30
Fortegnelser over behandlingsaktiviteter
1. Hver dataansvarlig og hvis det er relevant, den dataansvarliges repræsentant fører fortegnelser over be-
handlingsaktiviteter under deres ansvar. Disse fortegnelser skal omfatte alle af følgende oplysninger:
a) navn på og kontaktoplysninger for den dataansvarlige og, hvis det er relevant, den fælles dataansvarli-
ge, den dataansvarliges repræsentant og databeskyttelsesrådgiveren
b) formålene med behandlingen
66
c) en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger
d) de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modta-
gere i tredjelande eller internationale organisationer
e) hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisa-
tion, herunder angivelse af dette tredjeland eller denne internationale organisation og i tilfælde af over-
førsler i henhold til artikel 49, stk. 1, andet afsnit, dokumentation for passende garantier
f) hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger
g) hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger
omhandlet i artikel 32, stk. 1.
2. Hver databehandler og, hvis det er relevant, databehandlerens repræsentant fører fortegnelser over alle
kategorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig, idet fortegnelsen skal in-
deholde:
a) navn på og kontaktoplysninger for databehandleren eller databehandlerne og for hver dataansvarlig, på
hvis vegne databehandleren handler, samt, hvis det er relevant, den dataansvarliges eller databehandlerens
repræsentant og databeskyttelsesrådgiveren
b) de kategorier af behandling, der foretages på vegne af den enkelte dataansvarlige
c) hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisa-
tion, herunder angivelse af dette tredjeland eller denne internationale organisation og i tilfælde af over-
førsler i henhold til artikel 49, stk. 1, andet afsnit, dokumentation for passende garantier
d) hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger
omhandlet i artikel 32, stk. 1.
3. De fortegnelser, der er omhandlet i stk. 1 og 2, skal foreligge skriftligt, herunder elektronisk.
4. Den dataansvarlige eller databehandleren samt, hvis det er relevant, den dataansvarliges eller databe-
handlerens repræsentant stiller efter anmodning fortegnelserne til rådighed for tilsynsmyndigheden.
5. De i stk. 1 og 2 omhandlede forpligtelser finder ikke anvendelse på et foretagende eller en organisation,
der beskæftiger under 250 personer, medmindre den behandling, som den foretager, sandsynligvis vil
medføre en risiko for registreredes rettigheder og frihedsrettigheder, behandlingen ikke er lejlighedsvis,
eller behandlingen omfatter særlige kategorier af oplysninger, jf. artikel 9, stk. 1, eller personoplysninger
vedrørende straffedomme og lovovertrædelser, jf. artikel 10.
Artikel 31
Samarbejde med tilsynsmyndigheden
Den dataansvarlige og databehandleren samt, hvis det er relevant, deres repræsentanter samarbejder efter
anmodning med tilsynsmyndigheden i forbindelse med udførelsen af dens opgaver.
67
Afdeling 2
Personoplysningssikkerhed
Artikel 32
Behandlingssikkerhed
1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågælden-
de behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og
alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databe-
handleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der pas-
ser til disse risici, herunder bl.a. alt efter hvad der er relevant:
a) pseudonymisering og kryptering af personoplysninger
b) evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssyste-
mer og -tjenester
c) evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en
fysisk eller teknisk hændelse
d) en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og
organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
2. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici,
som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret vide-
regivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde be-
handlet.
3. Overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40 eller en godkendt certificerin-
gsmekanisme som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af kravene i
nærværende artikels stk. 1.
4. Den dataansvarlige og databehandleren tager skridt til at sikre, at enhver fysisk person, der udfører ar-
bejde for den dataansvarlige eller databehandleren, og som får adgang til personoplysninger, kun behand-
ler disse efter instruks fra den dataansvarlige, medmindre behandling kræves i henhold til EU-retten eller
medlemsstaternes nationale ret.
Artikel 33
Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
1. Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om mu-
ligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til den
tilsynsmyndighed, som er kompetent i overensstemmelse med artikel 55, medmindre at det er usandsyn-
ligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller fri-
hedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en
begrundelse for forsinkelsen.
2. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærk-
som på, at der er sket brud på persondatasikkerheden.
68
3. Den i stk. 1 omhandlede anmeldelse skal mindst:
a) beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og
det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer
af personoplysninger
b) angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor
yderligere oplysninger kan indhentes
c) beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden
d) beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere
bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets
mulige skadevirkninger.
4. Når og for så vidt som det ikke er muligt at give oplysningerne samlet, kan oplysningerne meddeles
trinvist uden unødig yderligere forsinkelse.
5. Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændig-
heder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger.
Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel er
overholdt.
Artikel 34
Underretning om brud på persondatasikkerheden til den registrerede
1. Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers
rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede
om bruddet på persondatasikkerheden.
2. Underretningen af den registrerede i henhold til denne artikels stk. 1 skal i et klart og forståeligt sprog
beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foran-
staltninger, der er omhandlet i artikel 33, stk. 3, litra b), c) og d).
3. Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis en af følgende betin-
gelser er opfyldt:
a) den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger,
og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på person-
datasikkerheden, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke
har autoriseret adgang hertil, som f.eks. kryptering
b) den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de regi-
streredes rettigheder og frihedsrettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel
c) det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en offentlig
meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv
måde.
4. Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikker-
heden, kan tilsynsmyndigheden efter at have overvejet sandsynligheden for, at bruddet på persondatasik-
69
kerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingel-
serne i stk. 3 er opfyldt.
Afdeling 3
Konsekvensanalyse vedrørende databeskyttelse og forudgående høring
Artikel 35
Konsekvensanalyse vedrørende databeskyttelse
1. Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sam-
menhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og friheds-
rettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsak-
tiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende
behandlingsaktiviteter, der indebærer lignende høje risici.
2. Den dataansvarlige rådfører sig med databeskyttelsesrådgiveren, hvis en sådan er udpeget, når der fore-
tages en konsekvensanalyse vedrørende databeskyttelse.
3. En konsekvensanalyse vedrørende databeskyttelse som omhandlet i stk. 1 er navnlig påkrævet i følgen-
de tilfælde:
a) en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er base-
ret på automatisk behandling, herunder profilering, og som er grundlag for afgørelser, der har retsvirkning
for den fysiske person eller på tilsvarende vis betydeligt påvirker den fysiske person
b) behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 9, stk. 1, eller af personoplys-
ninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10, eller
c) systematisk overvågning af et offentligt tilgængeligt område i stort omfang.
4. Tilsynsmyndigheden udarbejder og offentliggør en liste over de typer af behandlingsaktiviteter, der er
underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse i henhold til stk. 1. Tilsynsmyn-
digheden indgiver disse lister til det i artikel 68 omhandlede Databeskyttelsesråd.
5. Tilsynsmyndigheden kan også udarbejde og offentliggøre en liste over de typer af behandlingsaktivite-
ter, for hvilke der ikke kræves nogen konsekvensanalyse vedrørende databeskyttelse. Tilsynsmyndighe-
den indgiver disse lister til Databeskyttelsesrådet.
6. Inden vedtagelsen af listerne i stk. 4 og 5 anvender den kompetente tilsynsmyndighed den sammen-
hængsmekanisme, der er omhandlet i artikel 63, hvis sådanne lister omfatter behandlingsaktiviteter, der
vedrører udbud af varer eller tjenesteydelser til registrerede eller overvågning af sådanne registreredes ad-
færd i flere medlemsstater, eller som i væsentlig grad kan påvirke den frie udveksling af personoplysning-
er i Unionen.
7. Analysen skal mindst omfatte:
a) en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen, her-
under i givet fald de legitime interesser, der forfølges af den dataansvarlige
b) en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene
70
c) en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1,
og
d) de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstalt-
ninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne
forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime inte-
resser.
8. Overholdelse af godkendte adfærdskodekser, jf. artikel 40, inddrages behørigt ved vurderingen af kon-
sekvenserne af de behandlingsaktiviteter, der udføres af de pågældende dataansvarlige eller databehandle-
re, navnlig i forbindelse med en konsekvensanalyse vedrørende databeskyttelse.
9. Den dataansvarlige indhenter, hvis det er relevant, de registreredes eller deres repræsentanters syns-
punkter vedrørende den planlagte behandling, uden at det berører beskyttelse af kommercielle eller sam-
fundsmæssige interesser eller behandlingsaktiviteternes sikkerhed.
10. Hvis behandling i henhold til artikel 6, stk. 1, litra c) eller e), har et retsgrundlag i EU-retten eller i
den medlemsstats nationale ret, som den dataansvarlige er underlagt, og denne ret regulerer den eller de
pågældende specifikke behandlingsaktiviteter, og der allerede er foretaget en konsekvensanalyse vedrø-
rende databeskyttelse som led i en generel konsekvensanalyse i forbindelse med vedtagelsen af dette rets-
grundlag, finder stk. 1-7 ikke anvendelse, medmindre medlemsstaterne anser det for nødvendigt at foreta-
ge en sådan analyse inden behandlingsaktiviteter.
11. Den dataansvarlige foretager, hvis det er nødvendigt, en fornyet gennemgang for at vurdere, hvorvidt
behandling er foretaget i overensstemmelse med konsekvensanalysen vedrørende databeskyttelse, i hvert
fald når der er en ændring af den risiko, som behandlingsaktiviteterne udgør.
Artikel 36
Forudgående høring
1. Den dataansvarlige hører tilsynsmyndigheden inden behandling, såfremt en konsekvensanalyse vedrø-
rende databeskyttelse foretaget i henhold til artikel 35 viser, at behandlingen vil føre til høj risiko i man-
gel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.
2. Hvis tilsynsmyndigheden finder, at den planlagte behandling omhandlet i stk. 1 overtræder denne for-
ordning, navnlig hvis den dataansvarlige ikke tilstrækkeligt har identificeret eller begrænset risikoen, skal
tilsynsmyndigheden inden for en periode på op til otte uger efter modtagelse af anmodningen om høring
give den dataansvarlige og, hvor det er relevant, databehandleren skriftlig rådgivning og kan i den forbin-
delse anvende enhver af sine beføjelser, jf. artikel 58. Denne periode kan forlænges med seks uger under
hensyntagen til den påtænkte behandlings kompleksitet. Tilsynsmyndigheden underretter den dataansvar-
lige og, hvor det er relevant, databehandleren om enhver sådan forlængelse senest en måned efter modta-
gelse af anmodningen om høring sammen med begrundelsen for forsinkelsen. Disse perioder kan suspen-
deres, indtil tilsynsmyndigheden har modtaget oplysninger, som den har anmodet om med henblik på hø-
ringen.
3. Når tilsynsmyndigheden skal høres i henhold til stk. 1, indgiver den dataansvarlige følgende til tilsyns-
myndigheden:
a) hvor det er relevant, ansvarsområderne for henholdsvis den dataansvarlige, fælles dataansvarlige og da-
tabehandleren, der er involveret i behandlingen, navnlig med hensyn til behandling inden for en koncern
71
b) den planlagte behandlings formål og hjælpemidler
c) foranstaltninger og garantier til beskyttelse af de registreredes rettigheder og frihedsrettigheder i hen-
hold til denne forordning
d) hvor det er relevant, databeskyttelsesrådgiverens kontaktoplysninger
e) konsekvensanalysen vedrørende databeskyttelse i henhold til artikel 35, og
f) andre oplysninger, som tilsynsmyndigheden anmoder om.
4. Medlemsstaterne hører tilsynsmyndigheden som led i udarbejdelse af et forslag til lovgivningsmæssige
foranstaltninger, som skal vedtages af et nationalt parlament, eller af en regulerende foranstaltning, der
har hjemmel i en sådan lovgivningsmæssig foranstaltning, som vedrører behandling.
5. Uanset stk. 1 kan det i medlemsstaternes nationale ret kræves, at dataansvarlige hører og opnår forud-
gående tilladelse fra tilsynsmyndigheden i forbindelse med en dataansvarligs behandling under udførelsen
af en opgave i samfundets interesse, herunder behandling i forbindelse med social sikring og folkesund-
hed.
Afdeling 4
Databeskyttelsesrådgiver
Artikel 37
Udpegelse af en databeskyttelsesrådgiver
1. Den dataansvarlige og databehandleren udpeger altid en databeskyttelsesrådgiver, når:
a) behandling foretages af en offentlig myndighed eller et offentligt organ, undtagen domstole, der hand-
ler i deres egenskab af domstol
b) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlingsaktiviteter, der i med-
før af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registre-
rede i stort omfang, eller
c) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling i stort omfang af særli-
ge kategorier af oplysninger, jf. artikel 9, og personoplysninger vedrørende straffedomme og lovovertræ-
delser, jf. artikel 10.
2. En koncern kan udnævne en fælles databeskyttelsesrådgiver, forudsat at alle etableringer har let adgang
til databeskyttelsesrådgiveren.
3. Hvis den dataansvarlige eller databehandleren er en offentlig myndighed eller et offentligt organ, kan
en fælles databeskyttelsesrådgiver udpeges for flere af sådanne myndigheder eller organer i overensstem-
melse med deres organisatoriske struktur og størrelse.
4. I andre tilfælde end de i stk. 1 omhandlede kan eller, når det kræves i henhold til EU-retten eller med-
lemsstaternes nationale ret, skal den dataansvarlige eller databehandleren eller sammenslutninger og an-
dre organer, som repræsenterer kategorier af dataansvarlige eller databehandlere, udpege en databeskyt-
telsesrådgiver. Databeskyttelsesrådgiveren kan handle på vegne af sådanne sammenslutninger og andre
organer, som repræsenterer dataansvarlige eller databehandlere.
72
5. Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise in-
den for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 39.
6. Databeskyttelsesrådgiveren kan være den dataansvarliges eller databehandlerens medarbejder eller kan
udføre hvervet på grundlag af en tjenesteydelseskontrakt.
7. Den dataansvarlige eller databehandleren offentliggør kontaktoplysninger for databeskyttelsesrådgive-
ren og meddeler disse til tilsynsmyndigheden.
Artikel 38
Databeskyttelsesrådgiverens stilling
1. Den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og
rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.
2. Den dataansvarlige og databehandleren støtter databeskyttelsesrådgiveren i forbindelse med udførelsen
af de i artikel 39 omhandlede opgaver ved at tilvejebringe de ressourcer, der er nødvendige for at udføre
disse opgaver og opretholde databeskyttelsesrådgiverens ekspertise, samt adgang til personoplysninger og
behandlingsaktiviteter.
3. Den dataansvarlige og databehandleren sikrer, at databeskyttelsesrådgiveren ikke modtager instrukser
vedrørende udførelsen af disse opgaver. Den pågældende må ikke afskediges eller straffes af den dataan-
svarlige eller databehandleren for at udføre sine opgaver. Databeskyttelsesrådgiveren rapporterer direkte
til det øverste ledelsesniveau hos den dataansvarlige eller databehandleren.
4. Registrerede kan kontakte databeskyttelsesrådgiveren angående alle spørgsmål om behandling af deres
oplysninger og om udøvelse af deres rettigheder i henhold til denne forordning.
5. Databeskyttelsesrådgiveren er underlagt tavshedspligt eller fortrolighed vedrørende udførelsen af sine
opgaver i overensstemmelse med EU-retten eller medlemsstaternes nationale ret.
6. Databeskyttelsesrådgiveren kan udføre andre opgaver og have andre pligter. Den dataansvarlige eller
databehandleren sikrer, at sådanne opgaver og pligter ikke medfører en interessekonflikt.
Artikel 39
Databeskyttelsesrådgiverens opgaver
1. Databeskyttelsesrådgiveren har som minimum følgende opgaver:
a) at underrette og rådgive den dataansvarlige eller databehandleren og de ansatte, der behandler person-
oplysninger, om deres forpligtelser i henhold til denne forordning og anden EU-ret eller national ret i
medlemsstaterne om databeskyttelse
b) at overvåge overholdelsen af denne forordning, af anden EU-ret eller national ret i medlemsstaterne om
databeskyttelse og af den dataansvarliges eller databehandlerens politikker om beskyttelse af personoplys-
ninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker
ved behandlingsaktiviteter, og de tilhørende revisioner
c) at rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyttelse og
overvåge dens opfyldelse i henhold til artikel 35
73
d) at samarbejde med tilsynsmyndigheden
e) at fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling, herunder den
forudgående høring, der er omhandlet i artikel 36, og at høre tilsynsmyndigheden, når det er hensigtsmæs-
sigt, om eventuelle andre spørgsmål.
2. Databeskyttelsesrådgiveren tager under udførelsen af sine opgaver behørigt hensyn til den risiko, der er
forbundet med behandlingsaktiviteter, under hensyntagen til den pågældende behandlings karakter, om-
fang, sammenhæng og formål.
Afdeling 5
Adfærdskodekser og certificering
Artikel 40
Adfærdskodekser
1. Medlemsstaterne, tilsynsmyndighederne, Databeskyttelsesrådet og Kommissionen tilskynder til udar-
bejdelse af adfærdskodekser, der under hensyntagen til de særlige forhold i de forskellige behandlingssek-
torer og mikrovirksomheders og små og mellemstore virksomheders specifikke behov bidrager til korrekt
anvendelse af denne forordning.
2. Sammenslutninger eller andre organer, der repræsenterer kategorier af dataansvarlige eller databehand-
lere, kan udarbejde adfærdskodekser eller ændre eller udvide sådanne kodekser med henblik på at specifi-
cere anvendelsen af denne forordning, såsom med hensyn til:
a) rimelig og gennemsigtig behandling
b) de legitime interesser, som forfølges af den dataansvarlige i specifikke sammenhænge
c) indsamlingen af personoplysninger
d) pseudonymiseringen af personoplysninger
e) informationen, der gives til offentligheden og til registrerede
f) udøvelsen af registreredes rettigheder
g) informationen, der gives til børn, og beskyttelsen af børn og den måde, hvorpå samtykket fra indehave-
re af forældremyndighed over børn skal indhentes
h) foranstaltningerne og procedurerne omhandlet i artikel 24 og 25 og foranstaltningerne til at sikre be-
handlingssikkerhed som omhandlet i artikel 32
i) anmeldelsen af brud på persondatasikkerheden til tilsynsmyndighederne og underretningen af de regi-
strerede om sådanne brud på persondatasikkerheden
j) overførslen af personoplysninger til tredjelande eller internationale organisationer, eller
k) udenretslige procedurer og andre procedurer for bilæggelse af tvister mellem dataansvarlige og regi-
strerede vedrørende behandling, uden at det berører registreredes rettigheder i henhold til artikel 77 og 79.
74
3. Adfærdskodekser, der er godkendt i henhold til denne artikels stk. 5 og er generelt gyldige i henhold til
denne artikels stk. 9, kan — ud over overholdelse af de dataansvarlige eller databehandlere, der er omfat-
tet af denne forordning — også overholdes af dataansvarlige eller databehandlere, der i henhold til artikel
3 ikke er omfattet af denne forordning, med henblik på at sikre fornødne garantier inden for rammerne af
overførsel af personoplysninger til tredjelande eller internationale organisationer, jf. artikel 46, stk. 2, litra
e). Sådanne dataansvarlige eller databehandlere skal, gennem kontrakter eller andre retligt bindende in-
strumenter, afgive bindende tilsagn, som kan håndhæves, om at anvende disse fornødne garantier, herun-
der for så vidt angår registreredes rettigheder.
4. En adfærdskodeks omhandlet i denne artikels stk. 2 skal indeholde mekanismer, der sætter organet om-
handlet i artikel 41, stk. 1, i stand til at foretage obligatorisk kontrol for at sikre, at den dataansvarlige
eller databehandler, der påtager sig at anvende adfærdskodeksen, overholder dens bestemmelser, uden at
dette berører opgaverne og beføjelserne for de tilsynsmyndigheder, der er kompetente i henhold til artikel
55 eller 56.
5. Sammenslutninger og andre organer omhandlet i denne artikels stk. 2, der har til hensigt at udarbejde
en adfærdskodeks eller at ændre eller udvide en eksisterende adfærdskodeks, forelægger et udkast til ko-
deks, ændring eller udvidelse for den tilsynsmyndighed, der er kompetent i henhold til artikel 55. Tilsyns-
myndigheden afgiver udtalelse om, hvorvidt udkastet til adfærdskodeks, ændring eller udvidelse overhol-
der denne forordning, og godkender dette udkast til kodeks, ændring eller udvidelse, hvis den finder, at
kodeksen sikrer tilstrækkelige fornødne garantier.
6. Hvis udkastet til kodeks eller ændring eller udvidelse godkendes i overensstemmelse med stk. 5, og
hvis den pågældende adfærdskodeks ikke vedrører behandlingsaktiviteter i flere medlemsstater, registre-
rer og offentliggør tilsynsmyndigheden kodeksen.
7. Hvis et udkast til adfærdskodeks vedrører behandlingsaktiviteter i flere medlemsstater, forelægger den
tilsynsmyndighed, der er kompetent i henhold til artikel 55, inden godkendelsen af udkastet til kodeks,
ændring eller udvidelse, efter proceduren i artikel 63 udkastet for Databeskyttelsesrådet, der afgiver en
udtalelse om, hvorvidt udkastet til kodeks, ændring eller udvidelse overholder denne forordning eller sik-
rer fornødne garantier i den situation, der er omhandlet i denne artikels stk. 3.
8. Hvis den i stk. 7 omhandlede udtalelse bekræfter, at udkastet til kodeks, ændring eller udvidelse over-
holder denne forordning eller sikrer fornødne garantier i den situation, der er omhandlet i stk. 3, indsender
Databeskyttelsesrådet sin udtalelse til Kommissionen.
9. Kommissionen kan ved hjælp af gennemførelsesretsakter afgøre, at den godkendte adfærdskodeks, æn-
dring eller udvidelse, som den har modtaget i henhold til denne artikels stk. 8, generelt er gyldige i Uni-
onen. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 93, stk. 2.
10. Kommissionen tilser, at de godkendte kodekser, som i henhold til Kommissionen har generel gyldig-
hed, jf. stk. 9, offentliggøres på passende vis.
11. Databeskyttelsesrådet samler alle godkendte adfærdskodekser, ændringer og udvidelser i et register og
gør dem offentligt tilgængelige på passende vis.
Artikel 41
Kontrol af godkendte adfærdskodekser
1. Uden at dette berører den kompetente tilsynsmyndigheds opgaver og beføjelser i henhold til artikel 57
og 58, kan kontrol af overholdelsen af en adfærdskodeks i henhold til artikel 40 foretages af et organ, der
75
har et passende ekspertiseniveau for så vidt angår kodeksens genstand, og som er akkrediteret til dette
formål af den kompetente tilsynsmyndighed.
2. Et organ som omhandlet i stk. 1 kan akkrediteres til at kontrollere overholdelsen af en adfærdskodeks,
hvis dette organ har:
a) påvist sin uafhængighed og ekspertise for så vidt angår kodeksens genstand til den kompetente tilsyns-
myndigheds tilfredshed
b) fastlagt procedurer, der gør det muligt for organet at vurdere dataansvarliges og databehandleres egnet-
hed til at anvende kodeksen, kontrollere deres overholdelse af dens bestemmelser og regelmæssigt vurde-
re kodeksens virkemåde
c) fastlagt procedurer og ordninger for behandling af klager over overtrædelser af kodeksen eller den må-
de, hvorpå kodeksen er blevet eller bliver gennemført af en dataansvarlig eller en databehandler, og at
gøre disse procedurer og ordninger gennemsigtige for registrerede og offentligheden, og
d) påvist til den kompetente tilsynsmyndigheds tilfredshed, at dets opgaver og pligter ikke fører til en in-
teressekonflikt.
3. Den kompetente tilsynsmyndighed forelægger et udkast til kriterier for akkreditering af et organ som
omhandlet i denne artikels stk. 1 for Databeskyttelsesrådet i henhold til sammenhængsmekanismen, der er
omhandlet i artikel 63.
4. Uden at dette berører den kompetente tilsynsmyndigheds opgaver og beføjelser eller bestemmelserne i
kapitel VIII, træffer et organ som omhandlet i denne artikels stk. 1 under forudsætning af fornødne garan-
tier de nødvendige foranstaltninger i tilfælde af en dataansvarligs eller databehandlers overtrædelse af ko-
deksen, herunder suspension eller udelukkelse af den dataansvarlige eller databehandleren fra kodeksen.
Organet underretter den kompetente tilsynsmyndighed om sådanne foranstaltninger og begrundelsen for
at have truffet dem.
5. Den kompetente tilsynsmyndighed tilbagekalder akkrediteringen af et organ som omhandlet i stk. 1,
hvis betingelserne for akkreditering ikke er eller ikke længere er opfyldt, eller hvis foranstaltninger truffet
af organet overtræder denne forordning.
6. Denne artikel finder ikke anvendelse på behandling, der udføres af offentlige myndigheder og organer.
Artikel 42
Certificering
1. Medlemsstaterne, tilsynsmyndighederne, Databeskyttelsesrådet og Kommissionen tilskynder navnlig
på EU-plan til fastlæggelse af certificeringsmekanismer for databeskyttelse samt databeskyttelsesmærk-
ninger og -mærker med henblik på at påvise, at dataansvarliges og databehandleres behandlingsaktiviteter
overholder denne forordning. Mikrovirksomheders og små og mellemstore virksomheders særlige behov
tages i betragtning.
2. Certificeringsmekanismer for databeskyttelse samt databeskyttelsesmærkninger eller -mærker, der er
godkendt i henhold til denne artikels stk. 5, kan — ud over overholdelse af de dataansvarlige eller databe-
handlere, der er omfattet af denne forordning — fastlægges med det formål at påvise tilstedeværelse af
fornødne garantier afgivet af dataansvarlige eller databehandlere, der i henhold til artikel 3 ikke er omfat-
tet af denne forordning, inden for rammerne af overførsel af personoplysninger til tredjelande eller inter-
76
nationale organisationer, jf. artikel 46, stk. 2, litra f). Disse dataansvarlige eller databehandlere skal, gen-
nem kontrakter eller andre retligt bindende instrumenter, afgive bindende tilsagn, som kan håndhæves,
om at anvende disse fornødne garantier, herunder for så vidt angår registreredes rettigheder.
3. Certificering skal være frivillig og tilgængelig gennem en gennemsigtig proces.
4. Certificering i henhold til denne artikel indskrænker ikke den dataansvarliges eller databehandlerens
ansvar for at overholde denne forordning og berører ikke opgaverne og beføjelserne for de tilsynsmyndig-
heder, der er kompetente i henhold til artikel 55 eller 56.
5. Certificering i henhold til denne artikel udstedes af certificeringsorganer, jf. artikel 43, eller af den
kompetente tilsynsmyndighed på grundlag af kriterier, der er godkendt af den pågældende kompetente til-
synsmyndighed i henhold til artikel 58, stk. 3, eller af Databeskyttelsesrådet i henhold til artikel 63. Hvis
kriterierne er godkendt af Databeskyttelsesrådet, kan det føre til en fælles certificering, Den Europæiske
Databeskyttelsesmærkning.
6. Den dataansvarlige eller databehandler, der forelægger sin behandling for certificeringsmekanismen,
giver det i artikel 43 omhandlede certificeringsorgan eller eventuelt den kompetente tilsynsmyndighed al-
le oplysninger og adgang til de behandlingsaktiviteter, der er nødvendige for at gennemføre certificerin-
gsproceduren.
7. Certificering udstedes til en dataansvarlig eller en databehandler for en periode på højst tre år og kan
forlænges på de samme betingelser, så længe de relevante krav stadig er opfyldt. Certificering trækkes
tilbage af certificeringsorganerne, jf. artikel 43, eller i givet fald den kompetente tilsynsmyndighed, hvis
kravene til certificering ikke er eller ikke længere er opfyldt.
8. Databeskyttelsesrådet samler alle certificeringsmekanismer og databeskyttelsesmærkninger og -mærker
i et register og gør dem offentligt tilgængelige på passende vis.
Artikel 43
Certificeringsorganer
1. Uden at dette berører den kompetente tilsynsmyndigheds opgaver og beføjelser i henhold til artikel 57
og 58, udsteder og forlænger certificeringsorganer, der har et passende ekspertiseniveau for så vidt angår
databeskyttelse, certificering, efter at have underrettet tilsynsmyndigheden for at gøre det muligt for den
at udøve sine beføjelser i henhold til artikel 58, stk. 2, litra h), hvis det er nødvendigt. Medlemsstaterne
sikrer, at disse certificeringsorganer akkrediteres af en eller begge af følgende:
a) den tilsynsmyndighed, der er kompetent i henhold til artikel 55 eller 56
b) det nationale akkrediteringsorgan, som er udpeget i overensstemmelse med Europa-Parlamentets og
Rådets forordning (EF) nr. 765/2008 (20) i overensstemmelse med EN-ISO/IEC 17065/2012 og med de
supplerende krav, der er fastsat af den tilsynsmyndighed, som er kompetent i henhold til artikel 55 eller
56.
2. Certificeringsorganer som omhandlet i stk. 1 akkrediteres kun i overensstemmelse med nævnte stykke,
hvis de har:
a) påvist deres uafhængighed og ekspertise med hensyn til certificeringens genstand til den kompetente
tilsynsmyndigheds tilfredshed
77
b) påtaget sig at opfylde kriterierne i artikel 42, stk. 5, og er blevet godkendt af den tilsynsmyndighed, der
er kompetent i henhold til artikel 55 eller 56, eller af Databeskyttelsesrådet i henhold til artikel 63
c) fastlagt procedurer for udstedelse, regelmæssig revision og tilbagetrækning af databeskyttelsescertifice-
ringer, -mærkninger og -mærker
d) fastlagt procedurer og ordninger for behandling af klager over overtrædelser af certificering eller den
måde, hvorpå certificering er blevet eller bliver gennemført af en dataansvarlig eller en databehandler, og
for, hvordan disse procedurer og ordninger gøres gennemsigtige for registrerede og offentligheden, og
e) vist til den kompetente tilsynsmyndigheds tilfredshed, at deres opgaver og pligter ikke fører til en inte-
ressekonflikt.
3. Akkreditering af de i denne artikels stk. 1 og 2 omhandlede certificeringsorganer finder sted på grund-
lag af kriterier, der er godkendt af den tilsynsmyndighed, som er kompetent i henhold til artikel 55 eller
56, eller af Databeskyttelsesrådet i henhold til artikel 63. I tilfælde af akkreditering i henhold til nærvæ-
rende artikels stk. 1, litra b), supplerer disse krav kravene i forordning (EF) nr. 765/2008 og de tekniske
regler, der beskriver certificeringsorganers metoder og procedurer.
4. De i stk. 1 omhandlede certificeringsorganer er ansvarlige for en korrekt vurdering, der fører til certifi-
cering eller tilbagetrækning af certificering, uden at dette berører den dataansvarliges eller databehandle-
rens ansvar for at overholde denne forordning. Akkreditering udstedes for en periode på højst fem år og
kan forlænges på samme betingelser, såfremt certificeringsorganet opfylder de i denne artikel fastsatte
krav.
5. De i stk. 1 omhandlede certificeringsorganer giver de kompetente tilsynsmyndigheder oplysninger om
begrundelsen for at udstede eller tilbagetrække den certificering, der er anmodet om.
6. Tilsynsmyndigheden offentliggør de i denne artikels stk. 3 omhandlede krav og de i artikel 42, stk. 5,
omhandlede kriterier i lettilgængelig form. Tilsynsmyndighederne meddeler også disse krav og kriterier
til Databeskyttelsesrådet. Databeskyttelsesrådet samler alle certificeringsmekanismer og databeskyttelses-
mærkninger i et register og gør dem offentligt tilgængelige på passende vis.
7. Uden at dette berører kapitel VIII, tilbagekalder den kompetente tilsynsmyndighed eller det nationale
akkrediteringsorgan en akkreditering af et certificeringsorgan, jf. denne artikels stk. 1, hvis betingelserne
for akkrediteringen ikke er eller ikke længere er opfyldt, eller hvis de foranstaltninger, som organet har
truffet, overtræder denne forordning.
8. Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel
92 med henblik på at fastlægge de krav, der skal tages i betragtning vedrørende de certificeringsmekanis-
mer for databeskyttelse, der er omhandlet i artikel 42, stk. 1.
9. Kommissionen kan vedtage gennemførelsesretsakter, der fastlægger tekniske standarder for certificer-
ingsmekanismer og databeskyttelsesmærkninger og -mærker samt ordninger, der har til formål at fremme
og anerkende disse certificeringsmekanismer, mærkninger og -mærker. Disse gennemførelsesretsakter
vedtages efter undersøgelsesproceduren i artikel 93, stk. 2.
78
KAPITEL V
Overførsler af personoplysninger til tredjelande eller internationale organisationer
Artikel 44
Generelt princip for overførsler
Enhver overførsel af personoplysninger, som underkastes behandling eller planlægges behandlet efter
overførsel til et tredjeland eller en international organisation, må kun finde sted, hvis betingelserne i dette
kapitel med forbehold af de øvrige bestemmelser i denne forordning opfyldes af den dataansvarlige og
databehandleren, herunder ved videreoverførsel af personoplysninger fra det pågældende tredjeland eller
den pågældende internationale organisation til et andet tredjeland eller en anden international organisa-
tion. Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau, som fysiske per-
soner garanteres i medfør af denne forordning, ikke undermineres.
Artikel 45
Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet
1. Overførsel af personoplysninger til et tredjeland eller en international organisation kan finde sted, hvis
Kommissionen har fastslået, at tredjelandet, et område eller en eller flere specifikke sektorer i dette tredje-
land, eller den pågældende internationale organisation har et tilstrækkeligt beskyttelsesniveau. En sådan
overførsel kræver ikke specifik godkendelse.
2. Ved vurdering af beskyttelsesniveauets tilstrækkelighed tager Kommissionen navnlig følgende elemen-
ter i betragtning:
a) retsstatsprincippet, respekt for menneskerettighederne og de grundlæggende frihedsrettigheder, rele-
vant lovgivning, både generel og sektorbestemt, herunder vedrørende offentlig sikkerhed, forsvar, statens
sikkerhed og strafferet og offentlige myndigheders adgang til personoplysninger, samt gennemførelsen af
sådan lovgivning, databeskyttelsesregler, faglige regler og sikkerhedsforanstaltninger, herunder regler for
videreoverførsel af personoplysninger til et andet tredjeland eller en anden international organisation, der
gælder i dette land eller denne internationale organisation, retspraksis samt effektive rettigheder for regi-
strerede, som kan håndhæves, og effektiv administrativ og retslig prøvelse for de registrerede, hvis person-
oplysninger overføres
b) tilstedeværelse af en eller flere velfungerende uafhængige tilsynsmyndigheder i tredjelandet, eller som
den internationale organisation er underlagt, med ansvar for at sikre og håndhæve, at databeskyttelsesreg-
lerne overholdes, herunder tilstrækkelige håndhævelsesbeføjelser, for at bistå og rådgive de registrerede,
når de udøver deres rettigheder, og for samarbejde med tilsynsmyndighederne i medlemsstaterne, og
c) de internationale forpligtelser, som tredjelandet eller den internationale organisation har påtaget sig, el-
ler andre forpligtelser, der følger af retligt bindende konventioner eller instrumenter og af landets eller
organisationens deltagelse i multilaterale eller regionale systemer, navnlig vedrørende beskyttelse af per-
sonoplysninger.
3. Kommissionen kan efter vurdering af beskyttelsesniveauets tilstrækkelighed ved hjælp af en gennemfø-
relsesretsakt fastslå, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller
en international organisation sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne ar-
tikels stk. 2. I den pågældende gennemførelsesretsakt fastsættes en mekanisme for regelmæssig revision,
79
som foretages mindst hvert fjerde år, og som inddrager enhver relevant udvikling i tredjelandet eller den
internationale organisation. I gennemførelsesretsakten angives dennes territoriale og sektorbestemte an-
vendelsesområde og i påkommende tilfælde den eller de tilsynsmyndigheder, der er omhandlet i denne
artikels stk. 2, litra b). Gennemførelsesretsakten vedtages efter undersøgelsesproceduren i artikel 93, stk.
2.
4. Kommissionen overvåger løbende udvikling i tredjelande og internationale organisationer, der kan på-
virke virkningen af afgørelser, der er vedtaget i henhold til denne artikels stk. 3, og afgørelser og beslut-
ninger, der er vedtaget på grundlag af artikel 25, stk. 6, i direktiv 95/46/EF.
5. Kommissionen ophæver, ændrer eller suspenderer i det omfang, det er nødvendigt, uden tilbagevirken-
de kraft afgørelsen omhandlet i denne artikels stk. 3 ved hjælp af gennemførelsesretsakter, hvis tilgænge-
lige oplysninger, navnlig efter den i denne artikels stk. 3 omhandlede revision, viser, at et tredjeland, et
område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation ikke læn-
gere sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2. Disse gen-
nemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 93, stk. 2.
I behørigt begrundede særligt hastende tilfælde vedtager Kommissionen efter proceduren i artikel 93, stk.
3, gennemførelsesretsakter, der finder anvendelse straks.
6. Kommissionen fører konsultationer med tredjelandet eller den internationale organisation med henblik
på at afhjælpe den situation, der har givet anledning til en afgørelse vedtaget i henhold til stk. 5.
7. En afgørelse som angivet i denne artikels stk. 5 berører ikke overførsel af personoplysninger til det
pågældende tredjeland, et område eller en eller flere specifikke sektorer i dette tredjeland, eller den på-
gældende internationale organisation i medfør af artikel 46-49.
8. Kommissionen offentliggør i Den Europæiske Unions Tidende og på sit websted en liste over tredje-
lande, områder og specifikke sektorer i tredjelande samt internationale organisationer, som den har fast-
slået sikrer eller ikke længere sikrer et tilstrækkeligt beskyttelsesniveau.
9. Afgørelser og beslutninger, der er vedtaget af Kommissionen på grundlag af artikel 25, stk. 6, i direktiv
95/46/EF, gælder fortsat, indtil de ændres, erstattes eller ophæves ved en kommissionsafgørelse, der ved-
tages i henhold til nærværende artikels stk. 3 eller 5.
Artikel 46
Overførsler omfattet af fornødne garantier
1. Hvis der ikke er vedtaget en afgørelse i henhold til artikel 45, stk. 3, må en dataansvarlig eller databe-
handler kun overføre personoplysninger til et tredjeland eller en international organisation, hvis
vedkommende har givet de fornødne garantier, og på betingelse af at rettigheder, som kan håndhæves, og
effektive retsmidler for registrerede er tilgængelige.
2. De fornødne garantier i stk. 1 kan uden krav om specifik godkendelse fra en tilsynsmyndighed sikres
gennem:
a) et retligt bindende instrument, som kan håndhæves, mellem offentlige myndigheder eller organer
b) bindende virksomhedsregler i overensstemmelse med artikel 47
c) standardbestemmelser om databeskyttelse vedtaget af Kommissionen efter undersøgelsesproceduren i
artikel 93, stk. 2
80
d) standardbestemmelser om databeskyttelse vedtaget af en tilsynsmyndighed og godkendt af Kommissio-
nen efter undersøgelsesproceduren i artikel 93, stk. 2
e) en godkendt adfærdskodeks i medfør af artikel 40 sammen med bindende tilsagn, som kan håndhæves,
fra den dataansvarlige eller databehandleren i tredjelandet om at anvende de fornødne garantier, herunder
vedrørende registreredes rettigheder, eller
f) en godkendt certificeringsmekanisme i medfør af artikel 42 sammen med bindende tilsagn, som kan
håndhæves, fra den dataansvarlige eller databehandleren i tredjelandet om at anvende de fornødne garan-
tier, herunder vedrørende registreredes rettigheder.
3. Med forbehold af godkendelse fra den kompetente tilsynsmyndighed kan de fornødne garantier i stk. 1
også sikres gennem navnlig:
a) kontraktbestemmelser mellem den dataansvarlige eller databehandleren og den dataansvarlige, databe-
handleren eller modtageren af personoplysninger i tredjelandet eller den internationale organisation, eller
b) bestemmelser, der medtages i administrative ordninger mellem offentlige myndigheder eller organer,
og som omfatter effektive rettigheder, som kan håndhæves, for registrerede.
4. Tilsynsmyndigheden anvender den sammenhængsmekanisme, der er omhandlet i artikel 63, i de tilfæl-
de, der er omhandlet i nærværende artikels stk. 3.
5. Godkendelser fra en medlemsstat eller en tilsynsmyndighed på grundlag af artikel 26, stk. 2, i direktiv
95/46/EF er gyldige, indtil de om nødvendigt ændres, erstattes eller ophæves af den pågældende tilsyns-
myndighed. Afgørelser og beslutninger, der er vedtaget af Kommissionen på grundlag af artikel 26, stk. 4,
i direktiv 95/46/EF, er i kraft, indtil de om nødvendigt ændres, erstattes eller ophæves ved en kommissi-
onsafgørelse, der vedtages i henhold til nærværende artikels stk. 2.
Artikel 47
Bindende virksomhedsregler
1. I overensstemmelse med den sammenhængsmekanisme, der er omhandlet i artikel 63, godkender den
kompetente tilsynsmyndighed bindende virksomhedsregler, såfremt de:
a) er retligt bindende og gælder for og håndhæves af alle berørte medlemmer i den koncern eller gruppe
af foretagender, der udøver en fælles økonomisk aktivitet, herunder deres medarbejdere
b) udtrykkeligt tillægger registrerede rettigheder, som kan håndhæves, for så vidt angår behandling af de-
res personoplysninger, og
c) opfylder kravene i stk. 2.
2. De bindende virksomhedsregler i stk. 1 skal mindst angive:
a) strukturen i og kontaktoplysningerne for den koncern eller gruppe af foretagender, der er udøver en
fælles økonomisk aktivitet, og hvert af dens medlemmer
b) overførslerne eller rækken af overførsler af oplysninger, herunder kategorier af personoplysninger, be-
handlingstype og -formål, typen af berørte registrerede og angivelse af det pågældende tredjeland eller de
pågældende tredjelande
c) deres retligt bindende karakter, både internt og eksternt
81
d) anvendelsen af de generelle databeskyttelsesprincipper, navnlig formålsbegrænsning, dataminimering,
begrænsede opbevaringsperioder, datakvalitet, databeskyttelse gennem design og databeskyttelse gennem
standardindstillinger, retsgrundlag for behandling, behandling af særlige kategorier af personoplysninger,
foranstaltninger til at sikre datasikkerhed og krav til videreoverførsel til organer, der ikke er underlagt de
bindende virksomhedsregler
e) de registreredes rettigheder med hensyn til behandling og midler til at udøve disse rettigheder, herunder
til ikke at blive gjort til genstand for afgørelser, som alene er truffet på grundlag af automatisk behand-
ling, herunder profilering, jf. artikel 22, samt retten til at indgive klage til den kompetente tilsynsmyndig-
hed og de kompetente domstole i medlemsstaterne, jf. artikel 79, og til at modtage godtgørelse og, hvis
det er relevant, erstatning for brud på de bindende virksomhedsregler
f) den dataansvarliges eller databehandlerens accept af ansvaret for ethvert brud på de bindende virksom-
hedsregler, der begås af en berørt virksomhed i koncernen, som ikke er etableret i Unionen, når den data-
ansvarlige eller databehandleren er etableret inden for en medlemsstats område; den dataansvarlige eller
databehandleren fritages kun helt eller delvis for dette ansvar, hvis vedkommende beviser, at den pågæl-
dende virksomhed ikke er skyld i den begivenhed, der medførte skaden
g) hvordan informationen om bindende virksomhedsregler, navnlig de bestemmelser, der er omhandlet i
litra d), e) og f), gives til de registrerede ud over den information, der er omhandlet i artikel 13 og 14
h) opgaverne for enhver databeskyttelsesrådgiver, der er udpeget i henhold til artikel 37, eller enhver an-
den person eller enhed med ansvar for overvågning af overholdelse af de bindende virksomhedsregler in-
den for koncernen eller gruppen af foretagender, der udøver en fælles økonomisk aktivitet, samt overvåg-
ning af uddannelse og håndtering af klager
i) klageprocedurerne
j) de mekanismer i koncernen eller gruppen af foretagender, der udøver en fælles økonomisk aktivitet,
som skal sikre kontrol af overholdelse af de bindende virksomhedsregler. Sådanne mekanismer skal om-
fatte databeskyttelsesrevisioner og metoder til at sikre korrigerende foranstaltninger med henblik på at be-
skytte de registreredes rettigheder. Resultaterne af denne revision bør meddeles den person eller enhed,
der er omhandlet i litra h), og bestyrelsen i kontrolvirksomheden i en koncern eller i gruppen af foretagen-
der, der udøver en fælles økonomisk aktivitet, og bør være tilgængelige på anmodning af den kompetente
tilsynsmyndighed
k) mekanismerne til indberetning og registrering af ændringer af reglerne og indberetning af disse ændrin-
ger til tilsynsmyndigheden
l) den mekanisme til samarbejde med tilsynsmyndigheden, som har til formål at sikre, at alle virksomhe-
der i koncernen eller gruppen af foretagender, der udøver en fælles økonomisk aktivitet, overholder reg-
lerne, navnlig ved at forelægge tilsynsmyndigheden resultaterne af revisionen af de foranstaltninger, der
er omhandlet i litra j)
m) mekanismerne til indberetning til den kompetente tilsynsmyndighed af retlige forpligtelser, som en
virksomhed i koncernen eller gruppen af foretagender, der udøver en fælles økonomisk aktivitet, er om-
fattet af i et tredjeland, og som sandsynligvis vil have betydelig negativ indvirkning på garantierne i de
bindende virksomhedsregler, og
n) den passende databeskyttelsesuddannelse, som personale, der har permanent eller regelmæssig adgang
til personoplysninger, skal følge.
82
3. Kommissionen kan angive formatet og procedurerne for udveksling af oplysninger mellem dataansvar-
lige, databehandlere og tilsynsmyndigheder for bindende virksomhedsregler som omhandlet i denne arti-
kel. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 93, stk. 2.
Artikel 48
Overførsel eller videregivelse uden hjemmel i EU-retten
Enhver dom afsagt af en domstol eller ret og enhver afgørelse truffet af en administrativ myndighed i et
tredjeland, der kræver, at en dataansvarlig eller en databehandler overfører eller videregiver personoplys-
ninger, kan kun anerkendes eller håndhæves på nogen måde, hvis den bygger på en international aftale,
såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen eller en medlems-
stat, uden at det berører andre grunde til overførsel i henhold til dette kapitel.
Artikel 49
Undtagelser i særlige situationer
1. I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45, stk. 3,
eller fornødne garantier i henhold til artikel 46, herunder bindende virksomhedsregler, må en overførsel
eller flere overførsler af personoplysninger til et tredjeland eller en international organisation kun finde
sted på en af følgende betingelser:
a) den registrerede udtrykkelig har givet samtykke til den foreslåede overførsel efter at være blevet infor-
meret om de mulige risici, som sådanne overførsler kan medføre for den registrerede på grund af den
manglende afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller fornødne garantier
b) overførslen er nødvendig af hensyn til opfyldelse af en kontrakt mellem den registrerede og den data-
ansvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmod-
ning forud for indgåelsen af en sådan kontrakt
c) overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt, der i den registreredes
interesse indgås mellem den dataansvarlige og en anden fysisk eller juridisk person
d) overførslen er nødvendig af hensyn til vigtige samfundsinteresser
e) overførslen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares
f) overførslen er nødvendig for at beskytte den registreredes eller andre personers vitale interesser, hvis
den registrerede ikke fysisk eller juridisk er i stand til at give samtykke
g) overførslen finder sted fra et register, der ifølge EU-ret eller medlemsstaternes nationale ret er beregnet
til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der
kan godtgøre at have en legitim interesse heri, men kun i det omfang de ved EU-ret eller medlemsstater-
nes nationale ret fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde
Hvis overførsel ikke kan have hjemmel i en bestemmelse i artikel 45 eller 46, herunder bestemmelserne
om bindende virksomhedsregler, og ingen af undtagelserne i særlige situationer omhandlet i dette stykkes
første afsnit finder anvendelse, må en videregivelse til et tredjeland eller en international organisation kun
finde sted, hvis overførslen ikke gentages, kun vedrører et begrænset antal registrerede, er nødvendig af
hensyn til vægtige legitime interesser, som forfølges af den dataansvarlige, den registreredes interesser
eller rettigheder og frihedsrettigheder ikke går forud for disse interesser, og den dataansvarlige har vurde-
83
ret alle omstændigheder i forbindelse med overførslen og på grundlag af denne vurdering giver passende
garantier for beskyttelse af personoplysningerne. Den dataansvarlige underretter tilsynsmyndigheden om
overførslen. Ud over oplysningerne i artikel 13 og 14 underretter den dataansvarlige den registrerede om
overførslen og om de vægtige legitime interesser, der forfølges.
2. En overførsel i henhold til stk. 1, første afsnit, litra g), må ikke omfatte alle personoplysninger eller
hele kategorier af personoplysninger i et register. Når et register er beregnet til at blive konsulteret af per-
soner, der har en legitim interesse heri, må overførsel kun ske på anmodning af disse personer, eller hvis
de skal være modtagerne.
3. Stk. 1, første afsnit, litra a), b) og c), og stk. 1, andet afsnit, finder ikke anvendelse på aktiviteter, der
gennemføres af offentlige myndigheder som led udøvelsen af deres offentligretlige beføjelser.
4. De samfundsinteresser, der er omhandlet i stk. 1, første afsnit, litra d), skal være anerkendt i EU-retten
eller retten i den medlemsstat, som den dataansvarlige er underlagt.
5. Hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, kan EU-retten
eller medlemsstaternes nationale ret af hensyn til vigtige samfundsinteresser udtrykkelig fastsætte grænser
for overførsel af særlige kategorier af oplysninger til et tredjeland eller en international organisation.
Medlemsstaterne giver Kommissionen meddelelse om disse bestemmelser.
6. Den dataansvarlige eller databehandleren dokumenterer vurderingen og de passende garantier i denne
artikels stk. 1, andet afsnit, i de fortegnelser, der er omhandlet i artikel 30.
Artikel 50
Internationalt samarbejde om beskyttelse af personoplysninger
Kommissionen og tilsynsmyndighederne træffer i forhold til tredjelande og internationale organisationer
de nødvendige foranstaltninger til at:
a) udvikle internationale samarbejdsmekanismer med henblik på at lette effektiv håndhævelse af lovgiv-
ningen om beskyttelse af personoplysninger
b) yde international gensidig bistand i håndhævelse af lovgivningen om beskyttelse af personoplysninger,
herunder gennem anmeldelse, indbringelse af klager, efterforskningsbistand og informationsudveksling,
under iagttagelse af de fornødne garantier for beskyttelse af personoplysninger og andre grundlæggende
rettigheder og frihedsrettigheder
c) inddrage relevante interessenter i drøftelser og aktiviteter, der har til formål at fremme det internationa-
le samarbejde om håndhævelse af lovgivningen om beskyttelse af personoplysninger
d) fremme udveksling og dokumentation af lovgivning om beskyttelse af personoplysninger og praksis på
området, herunder om kompetencekonflikter med tredjelande.
84
KAPITEL VI
Uafhængige tilsynsmyndigheder
Afdeling 1
Uafhængig status
Artikel 51
Tilsynsmyndighed
1. Hver medlemsstat sikrer, at en eller flere uafhængige offentlige myndigheder er ansvarlige for at føre
tilsyn med anvendelsen af denne forordning, for at beskytte fysiske personers grundlæggende rettigheder
og frihedsrettigheder i forbindelse med behandling og for at lette fri udveksling af personoplysninger i
Unionen (»tilsynsmyndighed«).
2. Hver enkelt tilsynsmyndighed bidrager til ensartet anvendelse af denne forordning i hele Unionen. Til
dette formål samarbejder tilsynsmyndighederne med hinanden og med Kommissionen i henhold til kapi-
tel VII.
3. Hvis der er mere end én tilsynsmyndighed i en medlemsstat, udpeger den pågældende medlemsstat en
tilsynsmyndighed, der skal repræsentere disse myndigheder i Databeskyttelsesrådet, og fastsætter en me-
kanisme, som sikrer, at de andre myndigheder overholder reglerne vedrørende den sammenhængsmeka-
nisme, der er omhandlet i artikel 63.
4. Hver medlemsstat giver senest den 25. maj 2018 Kommissionen meddelelse om de bestemmelser, som
den vedtager i henhold til dette kapitel, og underretter den straks om alle senere ændringer, der berører
dem.
Artikel 52
Uafhængighed
1. Hver tilsynsmyndighed udfører sine opgaver og udøver sine beføjelser i henhold til denne forordning i
fuld uafhængighed.
2. Medlemmet eller medlemmerne af hver tilsynsmyndighed skal i forbindelse med udførelsen af deres
opgaver og udøvelsen af deres beføjelser i henhold til denne forordning være frie for udefrakommende
indflydelse, det være sig direkte eller indirekte, og må hverken søge eller modtage instrukser fra andre.
3. Et medlem eller medlemmer af den enkelte tilsynsmyndighed skal afholde sig fra enhver handling, der
er uforenelig med deres hverv, og må ikke, så længe deres embedsperiode varer, udøve uforenelig lønnet
eller ulønnet virksomhed.
4. Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed råder over de nødvendige menneskelige, tek-
niske og finansielle ressourcer samt lokaler og infrastruktur til effektivt at kunne udføre sine opgaver og
udøve sine beføjelser, herunder opgaver og beføjelser vedrørende gensidig bistand samt samarbejde med
og deltagelse i Databeskyttelsesrådet.
85
5. Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed vælger og råder over sit eget personale, der
alene er under ledelse af medlemmet eller medlemmerne af den pågældende tilsynsmyndighed.
6. Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed er underlagt finansiel kontrol, som ikke på-
virker dens uafhængighed, og at den fører særskilte, offentlige årsbudgetter, der kan være en del af det
samlede statsbudget eller nationale budget.
Artikel 53
Generelle betingelser for medlemmer af en tilsynsmyndighed
1. Medlemsstaterne sikrer, at hvert medlem af en tilsynsmyndighed udnævnes efter en gennemsigtig pro-
cedure af:
— deres parlament
— deres regering
— deres statschef, eller
— et uafhængigt organ, der i henhold til medlemsstaternes nationale ret har fået overdraget ansvaret for
udnævnelsen.
2. Hvert medlem skal have de kvalifikationer, den erfaring og den kompetence, navnlig på området be-
skyttelse af personoplysninger, der er nødvendige for at varetage dets hverv og udøve dets beføjelser.
3. Et medlems hverv ophører ved udløbet af embedsperioden, ved frivillig fratrædelse eller ved obligato-
risk fratrædelse i overensstemmelse med den pågældende medlemsstats nationale ret.
4. Et medlem må kun afskediges i tilfælde af alvorligt embedsmisbrug, eller hvis medlemmet ikke længe-
re opfylder betingelserne for at varetage sit hverv.
Artikel 54
Regler om oprettelse af en tilsynsmyndighed
1. Hver medlemsstat fastsætter ved lov alle af følgende:
a) den enkelte tilsynsmyndigheds oprettelse
b) de nødvendige kvalifikationer og udvælgelseskriterier, der skal være opfyldt for at kunne blive ud-
nævnt til medlem af den enkelte tilsynsmyndighed
c) reglerne og procedurerne for udnævnelse af medlemmet eller medlemmerne af den enkelte tilsynsmyn-
dighed
d) embedsperioden for medlemmet eller medlemmerne af den enkelte tilsynsmyndighed på mindst fire år,
med undtagelse af den første udnævnelse efter den 24. maj 2016, som kan være af kortere varighed, hvis
det er nødvendigt for at beskytte den pågældende tilsynsmyndigheds uafhængighed ved hjælp af en for-
skudt udnævnelsesprocedure
e) om og i bekræftende fald for hvor mange embedsperioder medlemmet eller medlemmerne af den en-
kelte tilsynsmyndighed kan genudnævnes
86
f) betingelserne vedrørende forpligtelser for den enkelte tilsynsmyndigheds medlem eller medlemmer og
personale, forbud mod handlinger, hverv og fordele, der er uforenelige hermed, under og efter embedspe-
rioden, og regler for arbejdsophør.
2. Den enkelte tilsynsmyndigheds medlem eller medlemmer og personale har i overensstemmelse med
EU-retten eller medlemsstaternes nationale ret såvel under som efter deres embedsperiode tavshedspligt
for så vidt angår alle fortrolige oplysninger, der er kommet til deres kendskab under udførelsen af deres
opgaver eller udøvelsen af deres beføjelser. I deres embedsperiode gælder denne tavshedspligt især indbe-
retninger fra fysiske personer af overtrædelser af denne forordning.
Afdeling 2
Kompetence, opgaver og beføjelser
Artikel 55
Kompetence
1. Hver tilsynsmyndighed er kompetent til at udføre de opgaver og udøve de beføjelser, der tillægges den
i overensstemmelse med denne forordning, på sin egen medlemsstats område.
2. Hvis behandling foretages af offentlige myndigheder eller af private organer, der handler på grundlag
af artikel 6, stk. 1, litra c) eller e), er tilsynsmyndigheden i den pågældende medlemsstat kompetent. I så
fald finder artikel 56 ikke anvendelse.
3. Tilsynsmyndigheder er ikke kompetente til at føre tilsyn med domstoles behandlingsaktiviteter, når dis-
se handler i deres egenskab af domstol.
Artikel 56
Den ledende tilsynsmyndigheds kompetence
1. Uden at det berører artikel 55 er tilsynsmyndigheden for den dataansvarliges eller databehandlerens ho-
vedvirksomhed eller eneste etablering kompetent til at fungere som ledende tilsynsmyndighed for den
grænseoverskridende behandling, der foretages af denne dataansvarlige eller databehandler efter procedu-
ren i artikel 60.
2. Uanset stk. 1 er hver tilsynsmyndighed kompetent til at behandle en indgivet klage eller en eventuel
overtrædelse af denne forordning, hvis genstanden alene vedrører en etablering i dens medlemsstat eller
alene i væsentlig grad påvirker registrerede i dens medlemsstat.
3. I de i denne artikels stk. 2 omhandlede tilfælde underretter tilsynsmyndigheden straks den ledende til-
synsmyndighed om dette forhold. Den ledende tilsynsmyndighed beslutter inden for en frist på tre uger
efter at være blevet underrettet, om den vil behandle sagen efter proceduren i artikel 60 under hensynta-
gen til, hvorvidt den dataansvarlige eller databehandleren er etableret i den underrettende tilsynsmyndig-
heds medlemsstat
4. Hvis den ledende tilsynsmyndighed beslutter at behandle sagen, finder proceduren i artikel 60 anven-
delse. Den tilsynsmyndighed, der underrettede den ledende tilsynsmyndighed, kan forelægge den ledende
tilsynsmyndighed et udkast til afgørelse. Den ledende tilsynsmyndighed tager størst muligt hensyn til det-
te udkast, når den udarbejder udkastet til afgørelse, jf. artikel 60, stk. 3.
87
5. Beslutter den ledende tilsynsmyndighed ikke at behandle sagen, behandler den tilsynsmyndighed, der
forelagde sagen for den ledende tilsynsmyndighed, sagen i overensstemmelse med artikel 61 og 62.
6. Den ledende tilsynsmyndighed er den dataansvarliges eller databehandlerens eneste kontakt i forbindel-
se med den grænseoverskridende behandling, der foretages af denne dataansvarlige eller databehandler.
Artikel 57
Opgaver
1. Uden at dette berører andre opgaver, der er fastsat i denne forordning, skal hver tilsynsmyndighed på
sit område:
a) føre tilsyn med og håndhæve anvendelsen af denne forordning
b) fremme offentlighedens kendskab til og forståelse af risici, regler, garantier og rettigheder i forbindelse
med behandling Der skal sættes særlig fokus på aktiviteter, der er direkte rettet mod børn
c) i henhold til medlemsstaternes nationale ret rådgive det nationale parlament, regeringen og andre insti-
tutioner og organer om lovgivningsmæssige og administrative foranstaltninger til beskyttelse af fysiske
personers rettigheder og frihedsrettigheder i forbindelse med behandling
d) fremme dataansvarliges og databehandleres kendskab til deres forpligtelser i henhold til denne forord-
ning
e) efter anmodning informere registrerede om udøvelse af deres rettigheder i henhold til denne forordning
og med henblik herpå samarbejde med tilsynsmyndighederne i andre medlemsstater, hvis det er relevant
f) behandle klager, der indgives af en registreret eller af et organ, en organisation eller en sammenslutning
i overensstemmelse med artikel 80, og, for så vidt det er hensigtsmæssigt, undersøge genstanden for kla-
gen og underrette klageren om forløbet og resultatet af undersøgelsen inden for en rimelig frist, navnlig
hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig
g) samarbejde med andre tilsynsmyndigheder, herunder gennem udveksling af oplysninger og gensidig
bistand, med henblik på at sikre ensartet anvendelse og håndhævelse af denne forordning
h) gennemføre undersøgelser om anvendelsen af denne forordning, herunder på grundlag af oplysninger,
der er modtaget fra en anden tilsynsmyndighed eller en anden offentlig myndighed
i) holde øje med relevant udvikling, for så vidt den har indvirkning på beskyttelse af personoplysninger,
navnlig udviklingen inden for informations- og kommunikationsteknologi og handelspraksis
j) vedtage standardkontraktbestemmelser som omhandlet i artikel 28, stk. 8, og i artikel 46, stk. 2, litra d)
k) opstille og føre en liste i forbindelse med kravet om en konsekvensanalyse vedrørende databeskyttelse i
henhold til artikel 35, stk. 4
l) rådgive om behandlingsaktiviteter som omhandlet i artikel 36, stk. 2
m) tilskynde til udarbejdelse af adfærdskodekser i henhold til artikel 40, stk. 1, og afgive udtalelse om og
godkende sådanne adfærdskodekser, som sikrer tilstrækkelige garantier i henhold til artikel 40, stk. 5
88
n) tilskynde til fastlæggelse af certificeringsmekanismer for databeskyttelse og databeskyttelsesmærknin-
ger og -mærker i henhold til artikel 42, stk. 1, og godkende kriterierne for certificering i henhold til artikel
42, stk. 5
o) når det er relevant, regelmæssigt gennemgå certificeringer udstedt i henhold til artikel 42, stk. 7
p) opstille og offentliggøre kriterierne for akkreditering af et organ til kontrol af adfærdskodekser i hen-
hold til artikel 41 og af et certificeringsorgan i henhold til artikel 43
q) foretage akkreditering af et organ til kontrol af adfærdskodekser i henhold til artikel 41 og af et certifi-
ceringsorgan i henhold til artikel 43
r) godkende kontraktbestemmelser og bestemmelser som omhandlet i artikel 46, stk. 3
s) godkende bindende virksomhedsregler i henhold til artikel 47
t) bidrage til Databeskyttelsesrådets aktiviteter
u) føre interne fortegnelser over overtrædelser af denne forordning og over foranstaltninger, der er truffet
i henhold til artikel 58, stk. 2, og
v) udføre enhver anden opgave i forbindelse med beskyttelse af personoplysninger.
2. Hver tilsynsmyndighed letter indgivelse af klager, jf. stk. 1, litra f), gennem foranstaltninger som f.eks.
en klageformular, der også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmidler.
3. Hver tilsynsmyndighed varetager sine opgaver uden udgifter for den registrerede og, hvis det er rele-
vant, for databeskyttelsesrådgiveren.
4. Hvis anmodninger er åbenbart grundløse eller uforholdsmæssige, især fordi de gentages, kan tilsyns-
myndigheden opkræve et rimeligt gebyr baseret på de administrative omkostninger eller afvise at efter-
komme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller uforholdsmæssig, på-
hviler tilsynsmyndigheden.
Artikel 58
Beføjelser
1. Hver tilsynsmyndighed har alle af følgende undersøgelsesbeføjelser:
a) at give den dataansvarlige og databehandleren samt den dataansvarliges eller databehandlerens eventu-
elle repræsentant påbud om at give alle oplysninger, der kræves til udførelse af myndighedens opgaver
b) at foretage undersøgelser i form af databeskyttelsesrevisioner
c) at foretage en revision af certificeringer udstedt i henhold til artikel 42, stk. 7
d) at underrette den dataansvarlige eller databehandleren om en påstået overtrædelse af denne forordning
e) af den dataansvarlige eller databehandleren at få adgang til alle personoplysninger og oplysninger, der
er nødvendige for at varetage dens opgaver
f) at få adgang til alle lokaler hos den dataansvarlige og databehandleren, herunder til databehandlingsud-
styr og -midler, i overensstemmelse med retsplejeregler i EU-retten eller medlemsstaternes nationale ret.
89
2. Hver tilsynsmyndighed har alle af følgende korrigerende beføjelser:
a) at udstede advarsler til en dataansvarlig eller en databehandler om, at planlagte behandlingsaktiviteter
sandsynligvis vil være i strid med denne forordning
b) at udtale kritik af en dataansvarlig eller en databehandler, hvis behandlingsaktiviteter har været i strid
med denne forordning
c) at give den dataansvarlige eller databehandleren påbud om at imødekomme den registreredes anmod-
ninger om at udøve sine rettigheder i henhold til denne forordning
d) at give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i overens-
stemmelse med bestemmelserne i denne forordning og, hvis det er hensigtsmæssigt, på en nærmere angi-
vet måde og inden for en nærmere angivet frist
e) at give den dataansvarlige påbud om at underrette den registrerede om et brud på persondatasikkerhe-
den
f) midlertidigt eller definitivt at begrænse, herunder forbyde, behandling
g) at give påbud om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling i
henhold til artikel 16, 17 og 18 og meddelelse af sådanne handlinger til de modtagere, som personop-
lysningerne er videregivet til i henhold til artikel 17, stk. 2, og artikel 19
h) at trække en certificering tilbage eller at give et certificeringsorgan påbud om at trække en certifice-
ring, der er udstedt i henhold til artikel 42 og 43, tilbage eller at give certificeringsorganet påbud om ikke
at udstede en certificering, hvis kravene til certificering ikke er eller ikke længere er opfyldt
i) at pålægge en administrativ bøde i henhold til artikel 83 i tillæg til eller i stedet for foranstaltningerne i
dette stykke, afhængigt af omstændighederne i hvert enkelt tilfælde, og
j) at påbyde suspension af overførsel af oplysninger til en modtager i et tredjeland eller til en international
organisation.
3. Hver tilsynsmyndighed har alle af følgende godkendelses- og rådgivningsbeføjelser:
a) at rådgive den dataansvarlige efter den procedure for forudgående høring, der er omhandlet i artikel 36
b) på eget initiativ eller på anmodning at afgive udtalelser til det nationale parlament, medlemsstatens re-
gering eller i overensstemmelse med medlemsstaternes nationale ret til andre institutioner og organer
samt offentligheden om ethvert spørgsmål om beskyttelse af personoplysninger
c) at godkende den i artikel 36, stk. 5, omhandlede behandling, hvis en sådan forudgående godkendelse er
påkrævet i henhold til den pågældende medlemsstats nationale ret
d) at afgive udtalelse og godkende forslag til adfærdskodekser i henhold til artikel 40, stk. 5
e) at akkreditere certificeringsorganer i henhold til artikel 43
f) at udstede certificeringer og godkende kriterier for certificering i overensstemmelse med artikel 42, stk.
5
g) at vedtage standardbestemmelser om databeskyttelse som omhandlet i artikel 28, stk. 8, og i artikel 46,
stk. 2, litra d)
90
h) at godkende kontraktbestemmelser som omhandlet i artikel 46, stk. 3, litra a)
i) at godkende administrative ordninger som omhandlet i artikel 46, stk. 3, litra b)
j) at godkende bindende virksomhedsregler i henhold til artikel 47.
4. Udøvelse af de beføjelser, der tillægges tilsynsmyndigheden i medfør af denne artikel, er underlagt de
fornødne garantier, herunder effektive retsmidler og retfærdig procedure, der er fastsat i EU-retten eller
medlemsstaternes nationale ret i overensstemmelse med chartret.
5. Hver medlemsstat fastsætter ved lov, at dens tilsynsmyndighed har beføjelse til at indbringe overtræ-
delser af denne forordning for de judicielle myndigheder og om nødvendigt at indlede eller på anden må-
de deltage i retssager med henblik på at håndhæve bestemmelserne i denne forordning.
6. Hver medlemsstat kan ved lov fastsætte, at dens tilsynsmyndighed har yderligere beføjelser end dem,
der er omhandlet i stk. 1, 2 og 3. Udøvelsen af disse beføjelser må ikke hindre en effektiv anvendelse af
kapitel VII.
Artikel 59
Aktivitetsrapport
Hver tilsynsmyndighed udarbejder en årlig rapport om sin virksomhed, eventuelt med en liste over, hvilke
typer overtrædelser der er blevet anmeldt, og hvilke typer foranstaltninger der er truffet i henhold til arti-
kel 58, stk. 2. Disse rapporter fremsendes til det nationale parlament, regeringen og andre myndigheder,
der er udpeget efter medlemsstaternes nationale ret. De gøres tilgængelige for offentligheden, Kommissi-
onen og Databeskyttelsesrådet.
KAPITEL VII
Samarbejde og sammenhæng
Afdeling 1
Samarbejde
Artikel 60
Samarbejde mellem den ledende tilsynsmyndighed og de andre berørte tilsynsmyndigheder
1. Den ledende tilsynsmyndighed samarbejder i henhold til denne artikel med de andre berørte tilsyns-
myndigheder med henblik på at nå til enighed. Den ledende tilsynsmyndighed og de berørte tilsynsmyn-
digheder udveksler alle relevante oplysninger med hinanden.
2. Den ledende tilsynsmyndighed kan til enhver tid anmode andre berørte tilsynsmyndigheder om at yde
gensidig bistand i henhold til artikel 61 og kan gennemføre fælles aktiviteter i henhold til artikel 62, navn-
lig med henblik på at foretage undersøgelser eller overvåge gennemførelsen af en foranstaltning vedrøren-
de en dataansvarlig eller en databehandler, der er etableret i en anden medlemsstat.
3. Den ledende tilsynsmyndighed underretter straks de andre berørte tilsynsmyndigheder om sagens rele-
vante oplysninger. Den forelægger straks de andre berørte tilsynsmyndigheder et udkast til afgørelse med
henblik på deres udtalelse og tager behørigt hensyn til deres synspunkter.
91
4. Hvis en af de andre berørte tilsynsmyndigheder inden for fire uger efter at være blevet hørt, jf. denne
artikels stk. 3, fremkommer med en relevant og begrundet indsigelse mod udkastet til afgørelse, forelæg-
ger den ledende tilsynsmyndighed, hvis den ikke følger den relevante og begrundede indsigelse eller er af
den opfattelse, at indsigelsen ikke er relevant eller begrundet, sagen for den sammenhængsmekanisme,
der er omhandlet i artikel 63.
5. Agter den ledende tilsynsmyndighed at følge den relevante og begrundede indsigelse, forelægger den
de andre berørte tilsynsmyndigheder et revideret udkast til afgørelse med henblik på deres udtalelse. Dette
reviderede udkast til afgørelse er underlagt den i stk. 4 omhandlede procedure inden for en frist på to
uger.
6. Har ingen af de andre berørte tilsynsmyndigheder gjort indsigelse mod udkastet til afgørelse, som den
ledende tilsynsmyndighed har forelagt inden for den frist, der er omhandlet i stk. 4 og 5, anses den leden-
de tilsynsmyndighed og de berørte tilsynsmyndigheder for at være enige i dette udkast til afgørelse og er
bundet af det.
7. Den ledende tilsynsmyndighed vedtager og meddeler afgørelsen til den dataansvarliges eller databe-
handlerens hovedvirksomhed eller eneste etablering, alt efter omstændighederne, og underretter de andre
berørte tilsynsmyndigheder og Databeskyttelsesrådet om den pågældende afgørelse, herunder et resumé
af de relevante faktiske omstændigheder og begrundelser. Den tilsynsmyndighed, til hvilken der er indgi-
vet klage, underretter klageren om afgørelsen.
8. Hvis en klage er blevet afslået eller afvist, vedtager den tilsynsmyndighed, til hvilken klagen er indgi-
vet, uanset stk. 7, afgørelsen og meddeler denne til klageren og underretter den dataansvarlige herom.
9. Hvis den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder er enige om at afslå eller afvise
dele af en klage og at behandle andre dele af klagen, vedtages der en særskilt afgørelse for hver af disse
dele af sagen. Den ledende tilsynsmyndighed vedtager afgørelsen for den del, der vedrører foranstaltnin-
ger over for den dataansvarlige, meddeler dette til den dataansvarliges eller databehandlerens hovedvirk-
somhed eller eneste etablering på dens medlemsstats område og underretter klageren herom, mens tilsyns-
myndigheden for klageren vedtager afgørelsen for den del, der vedrører afslag eller afvisning af klagen,
og underretter klageren herom og meddeler dette til den dataansvarlige eller databehandleren.
10. Den dataansvarlige eller databehandleren træffer efter at være blevet underrettet om den ledende til-
synsmyndigheds afgørelse i henhold til stk. 7 og 9 de nødvendige foranstaltninger til at sikre overholdelse
af afgørelsen for så vidt angår behandlingsaktiviteter i forbindelse med alle vedkommendes etableringer i
Unionen. Den dataansvarlige eller databehandleren underretter den ledende tilsynsmyndighed, der under-
retter de andre berørte tilsynsmyndigheder, om de foranstaltninger, der er truffet for at overholde afgørel-
sen.
11. Hvis en berørt tilsynsmyndighed under ekstraordinære omstændigheder har grund til at mene, at det er
nødvendigt at handle omgående for at beskytte registreredes interesser, finder den i artikel 66 omhandlede
hasteprocedure anvendelse.
12. Den ledende tilsynsmyndighed og de andre berørte tilsynsmyndigheder udveksler elektronisk de i
denne artikel omhandlede oplysninger med hinanden i et standardformat.
92
Artikel 61
Gensidig bistand
1. Tilsynsmyndighederne udveksler relevante oplysninger og yder hinanden gensidig bistand med henblik
på at gennemføre og anvende denne forordning på en ensartet måde og træffer foranstaltninger med hen-
blik på et effektivt samarbejde med hinanden. Gensidig bistand omfatter navnlig anmodninger om oplys-
ninger og tilsynsforanstaltninger, som f.eks. anmodninger om gennemførelse af forudgående godkendel-
ser og høringer, inspektioner og undersøgelser.
2. Hver tilsynsmyndighed træffer alle passende foranstaltninger, som er nødvendige for at besvare en an-
modning fra en anden tilsynsmyndighed uden unødig forsinkelse og senest en måned efter modtagelsen af
anmodningen. Sådanne foranstaltninger kan bl.a. omfatte videregivelse af relevante oplysninger om gen-
nemførelsen af en undersøgelse.
3. Anmodninger om bistand skal indeholde alle nødvendige oplysninger, herunder formålet med og grun-
den til anmodningen. Udvekslede oplysninger må kun anvendes til det formål, som er angivet i anmod-
ningen.
4. Den anmodede tilsynsmyndighed må ikke afvise at imødekomme anmodningen, medmindre:
a) den ikke har kompetence med hensyn til genstanden for anmodningen eller de foranstaltninger, som
den anmodes om at iværksætte, eller
b) imødekommelse af anmodningen ville udgøre en overtrædelse af denne forordning eller af EU-ret eller
medlemsstaternes nationale ret, som den tilsynsmyndighed, der modtager anmodningen, er underlagt.
5. Den anmodede tilsynsmyndighed underretter den anmodende tilsynsmyndighed om resultaterne eller
efter omstændighederne om fremskridtene med de foranstaltninger, der er truffet for at imødekomme an-
modningen. Den anmodede tilsynsmyndighed begrunder enhver afvisning af at imødekomme en anmod-
ning i henhold til stk. 4.
6. Anmodede tilsynsmyndigheder fremsender som hovedregel de oplysninger, som andre tilsynsmyndig-
heder anmoder om, elektronisk i et standardformat.
7. Anmodede tilsynsmyndigheder må ikke opkræve gebyr for foranstaltninger, der træffes af dem på
grundlag af en anmodning om gensidig bistand. Tilsynsmyndighederne kan vedtage regler om at godtgøre
hinanden for specifikke udgifter, der opstår under ekstraordinære omstændigheder, når der ydes gensidig
bistand.
8. Hvis en tilsynsmyndighed ikke giver de oplysninger, der er omhandlet i denne artikels stk. 5, inden for
en måned efter modtagelsen af en anmodning fra en anden tilsynsmyndighed, kan den anmodende tilsyns-
myndighed vedtage en foreløbig foranstaltning på sin medlemsstats område i henhold til artikel 55, stk. 1.
I dette tilfælde antages kravet om behovet for at handle omgående, jf. artikel 66, stk. 1, at være opfyldt,
og at kræve en hurtig bindende afgørelse fra Databeskyttelsesrådet, jf. artikel 66, stk. 2.
9. Kommissionen kan ved gennemførelsesretsakter fastlægge format og procedurer for gensidig bistand
som omhandlet i denne artikel og ordninger for elektronisk udveksling af oplysninger mellem tilsynsmyn-
digheder og mellem tilsynsmyndigheder og Databeskyttelsesrådet, navnlig standardformatet omhandlet i
denne artikels stk. 6. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 93,
stk. 2.
93
Artikel 62
Tilsynsmyndigheders fælles aktiviteter
1. Hvis det er hensigtsmæssigt, gennemfører tilsynsmyndighederne fælles aktiviteter, herunder fælles un-
dersøgelses- og håndhævelsesforanstaltninger, som medlemmer eller medarbejdere fra andre medlemssta-
ters tilsynsmyndigheder deltager i.
2. Hvis den dataansvarlige eller databehandleren har etableringer i flere medlemsstater, eller hvor et bety-
deligt antal registrerede i mere end én medlemsstat sandsynligvis påvirkes i væsentlig grad af behand-
lingsaktiviteter, har tilsynsmyndigheden i hver af disse medlemsstater ret til at deltage i fælles aktiviteter.
Den tilsynsmyndighed, der er kompetent i henhold til artikel 56, stk. 1 eller 4, indbyder tilsynsmyndighe-
den i hver af disse medlemsstater til at deltage i de fælles aktiviteter og besvarer straks en tilsynsmyndig-
heds anmodning om deltagelse.
3. En tilsynsmyndighed kan i overensstemmelse med medlemsstatens nationale ret og med den udsenden-
de tilsynsmyndigheds godkendelse delegere beføjelser, herunder undersøgelsesbeføjelser, til den udsen-
dende tilsynsmyndigheds medlemmer eller medarbejdere, som deltager i fælles aktiviteter, eller, for så
vidt national ret i værtstilsynsmyndighedens medlemsstat tillader det, tillade, at den udsendende tilsyns-
myndigheds medlemmer eller medarbejdere udøver deres undersøgelsesbeføjelser i overensstemmelse
med retten i den udsendende tilsynsmyndigheds medlemsstat. Sådanne undersøgelsesbeføjelser må kun
udøves under vejledning og i tilstedeværelse af værtstilsynsmyndighedens medlemmer eller medarbejde-
re. Den udsendende tilsynsmyndigheds medlemmer eller medarbejdere er underlagt national ret i værtstil-
synsmyndighedens medlemsstat.
4. Hvis en udsendende tilsynsmyndigheds medarbejdere i henhold til stk. 1 udfører aktiviteter i en anden
medlemsstat, påtager værtstilsynsmyndighedens medlemsstat sig ansvaret for deres handlinger, herunder
erstatningsansvar for enhver skade, som de måtte forvolde under udførelsen af deres aktiviteter, i overens-
stemmelse med retten i den medlemsstat, på hvis område de udfører aktiviteter.
5. Den medlemsstat, på hvis område skade forvoldes, erstatter den pågældende skade på samme betingel-
ser som skader forvoldt af dens egne medarbejdere. Den udsendende tilsynsmyndigheds medlemsstat,
hvis medarbejdere har forvoldt skade på personer på en anden medlemsstats område, skal fuldt ud godt-
gøre alle beløb, som denne anden medlemsstat har betalt i skadeserstatning til de berettigede personer på
deres vegne.
6. Uden at det berører udøvelsen af rettigheder over for tredjemand og med undtagelse af det i stk. 5 om-
handlede tilfælde, giver den enkelte medlemsstat i det tilfælde, der er omhandlet i stk. 1, afkald på at kræ-
ve godtgørelse fra en anden medlemsstat i forbindelse med skade som omhandlet i stk. 4.
7. Hvis der planlægges en fælles aktivitet, og en tilsynsmyndighed ikke opfylder forpligtelsen i stk. 2,
andet punktum, inden for en måned, kan de andre tilsynsmyndigheder vedtage en foreløbig foranstaltning
på deres medlemsstats område i overensstemmelse med artikel 55. I dette tilfælde antages kravet om be-
hovet for at handle omgående, jf. artikel 66, stk. 1, at være opfyldt, og at kræve en hurtig bindende afgø-
relse fra Databeskyttelsesrådet, jf. artikel 66, stk. 2.
94
Afdeling 2
Sammenhæng
Artikel 63
Sammenhængsmekanisme
Med henblik på at bidrage til en ensartet anvendelse af denne forordning i hele Unionen samarbejder til-
synsmyndighederne med hinanden og, hvis det er relevant, med Kommissionen gennem den sammen-
hængsmekanisme, der er omhandlet i denne afdeling.
Artikel 64
Udtalelse fra Databeskyttelsesrådet
1. Databeskyttelsesrådet afgiver en udtalelse, når en kompetent tilsynsmyndighed har til hensigt at vedta-
ge en af nedenstående foranstaltninger. Med henblik herpå sender den kompetente tilsynsmyndighed et
udkast til afgørelse til Databeskyttelsesrådet, når den:
a) har til hensigt at vedtage en liste over typer af behandlingsaktiviteter, som er underlagt kravet om en
konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 35, stk. 4
b) behandler et spørgsmål i henhold til artikel 40, stk. 7, om, hvorvidt et udkast til adfærdskodeks eller en
ændring eller udvidelse af en adfærdskodeks overholder denne forordning
c) har til hensigt at godkende kriterierne for akkreditering af et organ i henhold til artikel 41, stk. 3, eller
et certificeringsorgan i henhold til artikel 43, stk. 3
d) har til hensigt at vedtage standardbestemmelser om databeskyttelse som omhandlet i artikel 46, stk. 2,
litra d), og i artikel 28, stk. 8
e) har til hensigt at godkende kontraktbestemmelser som omhandlet i artikel 46, stk. 3, litra a), eller
f) har til hensigt at godkende bindende virksomhedsregler som omhandlet i artikel 47.
2. En tilsynsmyndighed, formanden for Databeskyttelsesrådet eller Kommissionen kan kræve, at ethvert
almengyldigt spørgsmål eller ethvert spørgsmål, der har virkninger i mere end én medlemsstat, drøftes af
Databeskyttelsesrådet med henblik på en udtalelse, navnlig hvis en kompetent tilsynsmyndighed ikke op-
fylder forpligtelserne vedrørende gensidig bistand, jf. artikel 61, eller vedrørende fælles aktiviteter, jf. ar-
tikel 62.
3. I de tilfælde, der er omhandlet i stk. 1 og 2, afgiver Databeskyttelsesrådet udtalelse om det spørgsmål,
som det har fået forelagt, forudsat at det ikke allerede har afgivet en udtalelse om samme spørgsmål. Den-
ne udtalelse vedtages inden for otte uger med simpelt flertal blandt medlemmerne af Databeskyttelsesrå-
det. Denne frist kan forlænges med yderligere seks uger under hensyntagen til spørgsmålets kompleksitet.
Med hensyn til det i stk. 1 omhandlede udkast til afgørelse, der i henhold til stk. 5 udsendes til medlem-
merne af Databeskyttelsesrådet, anses et medlem, som ikke har gjort indsigelse inden for en rimelig frist,
der angives af formanden, for at være enigt i udkastet til afgørelse.
4. Tilsynsmyndigheder og Kommissionen sender uden unødig forsinkelse elektronisk og i et standardfor-
mat Databeskyttelsesrådet alle relevante oplysninger, herunder et resumé af de faktiske omstændigheder,
95
den foreslåede afgørelse, begrundelsen for vedtagelse af en sådan foranstaltning og andre berørte tilsyns-
myndigheders synspunkter.
5. Formanden for Databeskyttelsesrådet underretter uden unødig forsinkelse elektronisk:
a) medlemmerne af Databeskyttelsesrådet og Kommissionen om alle relevante oplysninger, som
vedkommende har modtaget, i et standardformat. Sekretariatet for Databeskyttelsesrådet sørger efter be-
hov for oversættelse af de relevante oplysninger, og
b) den tilsynsmyndighed, der er omhandlet i stk. 1 og 2, og Kommissionen om den pågældende udtalelse
og offentliggør den.
6. Den kompetente tilsynsmyndighed vedtager ikke sit udkast til afgørelse omhandlet i stk. 1 i den perio-
de, der er omhandlet i stk. 3.
7. Den tilsynsmyndighed, der er omhandlet i stk. 1, tager videst muligt hensyn til Databeskyttelsesrådets
udtalelse og giver senest to uger efter modtagelsen af udtalelsen formanden for Databeskyttelsesrådet
elektronisk meddelelse om, hvorvidt den agter at fastholde eller ændre sit udkast til afgørelse, og forelæg-
ger i givet fald det ændrede udkast til afgørelse i et standardformat.
8. Hvis den berørte tilsynsmyndighed inden for den frist, der er omhandlet i denne artikels stk. 7, under-
retter formanden for Databeskyttelsesrådet om, at den helt eller delvist ikke agter at følge udtalelsen fra
Databeskyttelsesrådet, og den giver en relevant begrundelse herfor, finder artikel 65, stk. 1, anvendelse.
Artikel 65
Tvistbilæggelse ved Databeskyttelsesrådet
1. Med henblik på at sikre korrekt og konsekvent anvendelse af denne forordning i hvert enkelt tilfælde
vedtager Databeskyttelsesrådet en bindende afgørelse i følgende tilfælde:
a) hvis en berørt tilsynsmyndighed i et tilfælde som omhandlet i artikel 60, stk. 4, er fremkommet med en
relevant og begrundet indsigelse mod et udkast til afgørelse udarbejdet af den ledende myndighed, eller
den ledende myndighed har afvist en sådan indsigelse som værende uden relevans eller ubegrundet. Den
bindende afgørelse skal vedrøre alle spørgsmål, der er genstand for den relevante og begrundede indsigel-
se, navnlig hvorvidt denne forordning er overtrådt
b) hvis der er uenighed om, hvilken af de berørte tilsynsmyndigheder der er kompetent med hensyn til
hovedvirksomheden
c) hvis en kompetent tilsynsmyndighed ikke anmoder om udtalelse fra Databeskyttelsesrådet i de tilfælde,
der er omhandlet i artikel 64, stk. 1, eller ikke følger Databeskyttelsesrådets udtalelse udstedt i henhold til
artikel 64. I så fald kan enhver berørt tilsynsmyndighed eller Kommissionen indbringe spørgsmålet for
Databeskyttelsesrådet.
2. Den afgørelse, der er omhandlet i stk. 1, vedtages inden for en måned fra forelæggelsen af spørgsmålet
med et flertal på to tredjedele blandt medlemmerne af Databeskyttelsesrådet. Denne frist kan forlænges
med yderligere en måned på grund af spørgsmålets kompleksitet. Afgørelsen i stk. 1 skal være begrundet
og rettet til den ledende tilsynsmyndighed og alle de berørte tilsynsmyndigheder og have bindende virk-
ning for dem.
3. Hvis Databeskyttelsesrådet ikke har været i stand til at træffe en afgørelse inden for de i stk. 2 omhand-
lede frister, vedtager det sin afgørelse senest to uger efter udløbet af den anden måned som omhandlet i
96
stk. 2 med simpelt flertal blandt Databeskyttelsesrådets medlemmer. I tilfælde af stemmelighed blandt
medlemmerne af Databeskyttelsesrådet er formandens stemme udslagsgivende.
4. De berørte tilsynsmyndigheder må ikke vedtage en afgørelse om et spørgsmål, der er forelagt for Data-
beskyttelsesrådet i henhold til stk. 1, i løbet af de i stk. 2 og 3 omhandlede perioder.
5. Formanden for Databeskyttelsesrådet meddeler uden unødig forsinkelse den i stk. 1 omhandlede afgø-
relse til de berørte tilsynsmyndigheder. Formanden underretter Kommissionen herom. Afgørelsen offent-
liggøres straks på Databeskyttelsesrådets websted, når tilsynsmyndigheden har meddelt den endelige af-
gørelse, jf. stk. 6.
6. Den ledende tilsynsmyndighed eller efter omstændighederne den tilsynsmyndighed, til hvem en klage
er indgivet, vedtager sin endelige afgørelse på grundlag af den i denne artikels stk. 1 omhandlede afgørel-
se uden unødig forsinkelse og senest en måned efter, at Databeskyttelsesrådet har meddelt sin afgørelse.
Den ledende tilsynsmyndighed eller efter omstændighederne den tilsynsmyndighed, til hvem klagen er
indgivet, underretter Databeskyttelsesrådet om datoen for meddelelse af sin endelige afgørelse til hen-
holdsvis den dataansvarlige eller databehandleren og den registrerede. Den berørte tilsynsmyndigheds en-
delige afgørelse vedtages i henhold til artikel 60, stk. 7, 8 og 9. Den endelige afgørelse skal indeholde en
henvisning til den afgørelse, der er omhandlet i nærværende artikels stk. 1, og angive, at den i nævnte
stykke omhandlede afgørelse vil blive offentliggjort på Databeskyttelsesrådets websted i overensstemmel-
se med nærværende artikels stk. 5. Den i nærværende artikels stk. 1 omhandlede afgørelse vedlægges den
endelige afgørelse.
Artikel 66
Hasteprocedure
1. Når en berørt tilsynsmyndighed under ekstraordinære omstændigheder mener, at det er nødvendigt at
handle omgående for at beskytte registreredes rettigheder og frihedsrettigheder, kan den uanset den i arti-
kel 63, 64 og 65 omhandlede sammenhængsmekanisme eller den i artikel 60 omhandlede procedure om-
gående træffe foreløbige foranstaltninger, der skal have retsvirkning på dens eget område med en angivet
gyldighedsperiode, som ikke må overstige tre måneder. Tilsynsmyndigheden meddeler straks de andre
berørte tilsynsmyndigheder, Databeskyttelsesrådet og Kommissionen disse foranstaltninger og en begrun-
delse for vedtagelsen heraf.
2. Hvis en tilsynsmyndighed har vedtaget en foranstaltning i henhold til stk. 1 og mener, at der omgående
skal vedtages endelige foranstaltninger, kan den anmode om en hasteudtalelse eller en hurtig bindende
afgørelse fra Databeskyttelsesrådet, idet tilsynsmyndigheden begrunder anmodningen om en sådan udta-
lelse eller afgørelse.
3. Enhver tilsynsmyndighed kan anmode om en hasteudtalelse eller efter omstændighederne en hurtig
bindende afgørelse, fra Databeskyttelsesrådet, hvis en kompetent tilsynsmyndighed ikke har truffet de
fornødne foranstaltninger i en situation, hvor det er nødvendigt at handle omgående for at beskytte regi-
streredes rettigheder og frihedsrettigheder, idet tilsynsmyndigheden begrunder anmodningen om en sådan
udtalelse eller afgørelse, herunder behovet for at handle omgående.
4. Uanset artikel 64, stk. 3, og artikel 65, stk. 2, vedtages en hasteudtalelse eller en hurtig bindende afgø-
relse som omhandlet i nærværende artikels stk. 2 og 3 inden for to uger med simpelt flertal blandt med-
lemmerne af Databeskyttelsesrådet.
97
Artikel 67
Udveksling af oplysninger
Kommissionen kan vedtage gennemførelsesretsakter af generel karakter med henblik på nærmere at angi-
ve ordningerne for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder og mellem tilsyns-
myndigheder og Databeskyttelsesrådet, navnlig det standardformat, der er omhandlet i artikel 64.
Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 93, stk. 2.
Afdeling 3
Det Europæiske Databeskyttelsesråd
Artikel 68
Det Europæiske Databeskyttelsesråd
1. Det Europæiske Databeskyttelsesråd (»Databeskyttelsesrådet«) oprettes herved som et EU-organ med
status som juridisk person.
2. Databeskyttelsesrådet repræsenteres af sin formand.
3. Databeskyttelsesrådet sammensættes af chefen for en tilsynsmyndighed i hver medlemsstat og af Den
Europæiske Tilsynsførende for Databeskyttelse eller deres respektive repræsentanter.
4. Hvis mere end én tilsynsmyndighed i en medlemsstat er ansvarlig for at føre tilsyn med af anvendelsen
af bestemmelserne i denne forordning, udnævnes en fælles repræsentant i henhold til den pågældende
medlemsstats nationale ret.
5. Kommissionen har ret til at deltage i Databeskyttelsesrådets aktiviteter og møder uden stemmeret.
Kommissionen udpeger en repræsentant. Formanden for Databeskyttelsesrådet underretter Kommissionen
om aktiviteterne i Databeskyttelsesrådet.
6. I de i artikel 65 omhandlede tilfælde har Den Europæiske Tilsynsførende for Databeskyttelse kun stem-
meret i forbindelse med afgørelser, der vedrører principper og bestemmelser, som gælder for Unionens
institutioner, organer, kontorer og agenturer, og som indholdsmæssigt er i overensstemmelse med denne
forordnings principper og bestemmelser.
Artikel 69
Uafhængighed
1. Databeskyttelsesrådet handler uafhængigt, når det udfører sine opgaver eller udøver sine beføjelser i
henhold til artikel 70 og 71.
2. Uden at det berører anmodninger fra Kommissionen som omhandlet i artikel 70, stk. 1, litra b), og stk.
2, må Databeskyttelsesrådet ikke søge eller modtage instrukser fra andre i forbindelse med udførelsen af
sine opgaver eller udøvelsen af sine beføjelser.
98
Artikel 70
Databeskyttelsesrådets opgaver
1. Databeskyttelsesrådet sikrer ensartet anvendelse af denne forordning. Med henblik herpå skal Databe-
skyttelsesrådet på eget initiativ eller, når det er relevant, efter anmodning fra Kommissionen navnlig:
a) føre tilsyn med og sikre korrekt anvendelse af denne forordning i de tilfælde, der er omhandlet i artikel
64 og 65, uden at dette berører de nationale tilsynsmyndigheders opgaver
b) rådgive Kommissionen om ethvert spørgsmål vedrørende beskyttelse af personoplysninger i Unionen,
herunder om ethvert forslag til ændring af denne forordning
c) rådgive Kommissionen om format og procedurer for videregivelse af oplysninger mellem dataansvarli-
ge, databehandlere og tilsynsmyndigheder vedrørende bindende virksomhedsregler
d) udstede retningslinjer, henstillinger og bedste praksis vedrørende procedurer for sletning af link til og
kopier eller gengivelser af personoplysninger fra offentligt tilgængelige kommunikationstjenester som
omhandlet i artikel 17, stk. 2
e) på eget initiativ, efter anmodning fra et af sine medlemmer eller efter anmodning fra Kommissionen
undersøge ethvert spørgsmål vedrørende anvendelsen af denne forordning og udstede retningslinjer, hen-
stillinger og bedste praksis for at fremme ensartet anvendelse af denne forordning
f) udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e)
med henblik på nærmere at angive kriterierne og betingelserne for afgørelser baseret på profilering i hen-
hold til artikel 22, stk. 2
g) udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e)
med henblik på fastlæggelse af brud på persondatasikkerheden og den unødige forsinkelse omhandlet i
artikel 33, stk. 1 og 2, og vedrørende de særlige omstændigheder, hvor en dataansvarlig eller en databe-
handler har pligt til at anmelde brud på persondatasikkerheden
h) udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e)
vedrørende de omstændigheder, hvor brud på persondatasikkerheden sandsynligvis vil indebære en høj
risiko for fysiske personers rettigheder og frihedsrettigheder som omhandlet i artikel 34, stk. 1
i) udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med
henblik på nærmere at angive kriterierne for og kravene til overførsel af personoplysninger baseret på bin-
dende virksomhedsregler, som dataansvarlige overholder, og bindende virksomhedsregler, som databe-
handlere overholder, og vedrørende yderligere krav til at sikre beskyttelse af de berørte registreredes per-
sonoplysninger som omhandlet i artikel 47
j) udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med
henblik på nærmere at angive kriterierne for og kravene til overførsel af personoplysninger på grundlag af
artikel 49, stk. 1
k) udarbejde retningslinjer for tilsynsmyndighederne vedrørende anvendelse af foranstaltninger, jf. artikel
58, stk. 1, 2 og 3, og fastsættelse af administrative bøder i henhold til artikel 83
l) gennemgå den praktiske anvendelse af de retningslinjer og henstillinger og den bedste praksis, der er
omhandlet i litra e) og f)
99
m) udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e)
med henblik på fastlæggelse af fælles procedurer for fysiske personers indberetning af overtrædelser af
denne forordning, jf. artikel 54, stk. 2,
n) tilskynde til udarbejdelse af adfærdskodekser og fastlæggelse af certificeringsmekanismer for databe-
skyttelse og databeskyttelsesmærkninger og -mærker i henhold til artikel 40 og 42
o) foretage akkreditering af certificeringsorganer og regelmæssig revision heraf i henhold til artikel 43 og
føre et offentligt register over akkrediterede organer i henhold til artikel 43, stk. 6, og over de akkreditere-
de dataansvarlige eller databehandlere i tredjelande i henhold til artikel 42, stk. 7
p) angive de krav, der er omhandlet i artikel 43, stk. 3, med henblik på akkreditering af certificeringsorga-
ner i henhold til artikel 42
q) afgive udtalelse til Kommissionen om de certificeringskrav, der er omhandlet i artikel 43, stk. 8
r) afgive udtalelse til Kommissionen om de ikoner, der er omhandlet i artikel 12, stk. 7
s) afgive udtalelse til Kommissionen med henblik på vurdering af tilstrækkeligheden af beskyttelsesni-
veauet i et tredjeland eller en international organisation, herunder vurdering af, om et tredjeland, et områ-
de eller en eller flere specifikke sektorer i det pågældende tredjeland, eller en international organisation
ikke længere sikrer et tilstrækkeligt beskyttelsesniveau. Til dette formål forelægger Kommissionen Data-
beskyttelsesrådet al nødvendig dokumentation vedrørende tredjelandet, området eller den specifikke sek-
tor, eller den internationale organisation, herunder korrespondance med regeringen i tredjelandet,
t) afgive udtalelser om tilsynsmyndigheders udkast til afgørelse i overensstemmelse med den sammen-
hængsmekanisme, der er omhandlet i artikel 64, stk. 1, og om sager, der er forelagt i henhold til artikel
64, stk. 2, og udstede bindende afgørelser i henhold til artikel 65, herunder i de tilfælde, der er omhandlet
i artikel 66
u) fremme samarbejdet og effektiv bilateral og multilateral udveksling af oplysninger og bedste praksis
mellem tilsynsmyndighederne
v) fremme fælles uddannelsesprogrammer og udveksling af personale mellem tilsynsmyndighederne og i
relevante tilfælde med tilsynsmyndighederne i tredjelande eller med internationale organisationer
w) fremme udveksling af viden og dokumentation vedrørende databeskyttelseslovgivning og -praksis med
datatilsynsmyndigheder over hele verden
x) afgive udtalelser om adfærdskodekser, der udarbejdes på EU-plan, jf. artikel 40, stk. 9, og
y) føre et offentligt tilgængeligt elektronisk register over afgørelser truffet af tilsynsmyndigheder og dom-
stole om spørgsmål, der er blevet behandlet i sammenhængsmekanismen.
2. Hvis Kommissionen anmoder Databeskyttelsesrådet om rådgivning, kan den fastsætte en frist under
hensyntagen til, hvor meget den pågældende sag haster.
3. Databeskyttelsesrådet fremsender sine udtalelser, retningslinjer, henstillinger og bedste praksis til
Kommissionen og det udvalg, der er omhandlet i artikel 93, og offentliggør dem.
4. Databeskyttelsesrådet hører efter omstændighederne berørte parter og giver dem mulighed for at frem-
sætte bemærkninger inden for en rimelig frist. Databeskyttelsesrådet offentliggør med forbehold af artikel
76 resultaterne af høringsproceduren.
100
Artikel 71
Rapporter
1. Databeskyttelsesrådet udarbejder en årlig rapport om beskyttelse af fysiske personer i forbindelse med
behandling i Unionen og, hvis det er relevant, i tredjelande og internationale organisationer. Rapporten
offentliggøres og forelægges Europa-Parlamentet, Rådet og Kommissionen.
2. Den årlige rapport skal omfatte en gennemgang af den praktiske anvendelse af de retningslinjer og hen-
stillinger og den bedste praksis, der er omhandlet i artikel 70, stk. 1, litra l), og de bindende afgørelser, der
er omhandlet i artikel 65.
Artikel 72
Procedure
1. Databeskyttelsesrådet træffer afgørelse med simpelt flertal blandt sine medlemmer, medmindre andet
er fastsat i denne forordning.
2. Databeskyttelsesrådet vedtager sin forretningsorden med et flertal på to tredjedele blandt sine medlem-
mer og tilrettelægger sin drift.
Artikel 73
Formand
1. Databeskyttelsesrådet vælger med simpelt flertal en formand og to næstformænd blandt sine medlem-
mer.
2. Embedsperioden for formanden og de to næstformænd er fem år med mulighed for forlængelse én
gang.
Artikel 74
Formandens opgaver
1. Formanden har følgende opgaver:
a) at indkalde til møder i Databeskyttelsesrådet og udarbejde dagsordenen herfor
b) at underrette den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder om de afgørelser, der
vedtages af Databeskyttelsesrådet i henhold til artikel 65
c) at sikre, at Databeskyttelsesrådets opgaver udføres rettidigt, navnlig i forbindelse med den sammen-
hængsmekanisme, der er omhandlet i artikel 63.
2. Databeskyttelsesrådet fastlægger fordelingen af opgaver mellem formanden og næstformændene i sin
forretningsorden.
101
Artikel 75
Sekretariat
1. Databeskyttelsesrådet har et sekretariat, som stilles til rådighed af Den Europæiske Tilsynsførende for
Databeskyttelse.
2. Sekretariatet udfører udelukkende sine opgaver efter instruks fra formanden for Databeskyttelsesrådet.
3. Det personale ved Den Europæiske Tilsynsførende for Databeskyttelse, der deltager i udførelsen af Da-
tabeskyttelsesrådets opgaver i henhold til denne forordning, skal have særskilte rapporteringsveje i for-
hold til det personale, der deltager i udførelsen af opgaver, som Den Europæiske Tilsynsførende for Data-
beskyttelse har fået tildelt.
4. Databeskyttelsesrådet og Den Europæiske Tilsynsførende for Databeskyttelse udarbejder og offentlig-
gør om nødvendigt et aftalememorandum til gennemførelse af denne artikel, som fastsætter vilkårene for
deres samarbejde, og som gælder for det personale ved Den Europæiske Tilsynsførende for Databeskyt-
telse, der deltager i udførelsen af Databeskyttelsesrådets opgaver i henhold til denne forordning.
5. Sekretariatet yder analytisk, administrativ og logistisk støtte til Databeskyttelsesrådet.
6. Sekretariatet er navnlig ansvarligt for:
a) Databeskyttelsesrådets daglige arbejde
b) kommunikation mellem medlemmerne af Databeskyttelsesrådet, dets formand og Kommissionen
c) kommunikation med andre institutioner og offentligheden
d) brug af elektroniske midler til intern og ekstern kommunikation
e) oversættelse af relevante oplysninger
f) forberedelse og opfølgning af Databeskyttelsesrådets møder
g) forberedelse, udarbejdelse og offentliggørelse af udtalelser, afgørelser om bilæggelse af tvister mellem
tilsynsmyndigheder og andre dokumenter, der vedtages af Databeskyttelsesrådet.
Artikel 76
Fortrolighed
1. Databeskyttelsesrådets drøftelser er fortrolige, hvis Databeskyttelsesrådet vurderer, at det er nødven-
digt, jf. dets forretningsorden.
2. Aktindsigt i dokumenter, der forelægges medlemmer af Databeskyttelsesrådet, eksperter og repræsen-
tanter for tredjemand, er omfattet af Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 (21).
102
KAPITEL VIII
Retsmidler, ansvar og sanktioner
Artikel 77
Ret til at indgive klage til en tilsynsmyndighed
1. Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har enhver registre-
ret ret til at indgive klage til en tilsynsmyndighed, navnlig i den medlemsstat, hvor vedkommende har sit
sædvanlige opholdssted eller sit arbejdssted, eller hvor den påståede overtrædelse har fundet sted, hvis
den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder den-
ne forordning.
2. Den tilsynsmyndighed, som klagen er indgivet til, underretter klageren om forløbet og resultatet af kla-
gen, herunder om muligheden for anvendelse af retsmidler, jf. artikel 78.
Artikel 78
Adgang til effektive retsmidler over for en tilsynsmyndighed
1. Uden at det berører andre administrative eller udenretslige klageadgange, har enhver fysisk eller jurid-
isk person ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndig-
hed vedrørende vedkommende.
2. Uden at det berører andre administrative eller udenretslige klageadgange, har den enkelte registrerede
adgang til effektive retsmidler, hvis den tilsynsmyndighed, der er kompetent i henhold til artikel 55 og 56,
ikke behandler en klage eller undlader at underrette den registrerede om forløbet eller resultatet af en kla-
ge, der er indgivet i henhold til artikel 77, inden for tre måneder.
3. En sag mod en tilsynsmyndighed anlægges ved en domstol i den medlemsstat, hvor tilsynsmyndighe-
den er etableret.
4. Hvis sag anlægges mod en afgørelse fra en tilsynsmyndighed, der er truffet efter en udtalelse eller en
afgørelse fra Databeskyttelsesrådet i forbindelse med sammenhængsmekanismen, fremsender tilsynsmyn-
digheden denne udtalelse eller afgørelse til domstolen.
Artikel 79
Adgang til effektive retsmidler over for en dataansvarlig eller databehandler
1. Uden at det berører andre tilgængelige administrative eller udenretslige klageadgange, herunder retten
til at indgive klage til en tilsynsmyndighed i henhold til artikel 77, skal den enkelte registrerede have ad-
gang til effektive retsmidler, hvis vedkommende finder, at vedkommendes rettigheder i henhold til denne
forordning er blevet krænket som følge af behandling af vedkommendes personoplysninger i strid med
denne forordning.
2. En sag mod en dataansvarlig eller en databehandler anlægges ved en domstol i den medlemsstat, hvor
den dataansvarlige eller databehandleren er etableret. Alternativt kan en sådan sag anlægges ved en dom-
stol i den medlemsstat, hvor den registrerede har sit sædvanlige opholdssted, medmindre den dataansvar-
lige eller databehandleren er en offentlig myndighed i en medlemsstat, der udøver sine offentligretlige be-
føjelser.
103
Artikel 80
Repræsentation af registrerede
1. Den registrerede har ret til at bemyndige et organ, en organisation eller en sammenslutning, der er etab-
leret i overensstemmelse med en medlemsstats nationale ret, som ikke arbejder med gevinst for øje, hvis
vedtægtsmæssige formål er af almen interesse, og som er aktiv på området for beskyttelse af registreredes
rettigheder og frihedsrettigheder med hensyn til beskyttelse af deres personoplysninger, til at indgive en
klage på sine vegne, til at udøve de rettigheder, der er omhandlet i artikel 77, 78 og 79, på sine vegne og
til, hvis det er fastsat i medlemsstaternes nationale ret, at udøve retten til at modtage erstatning som om-
handlet i artikel 82 på sine vegne.
2. Medlemsstaterne kan fastsætte, at ethvert organ, enhver organisation eller enhver sammenslutning, jf.
denne artikels stk. 1, uafhængigt af en bemyndigelse fra den registrerede har ret til at indgive en klage i
den pågældende medlemsstat til den tilsynsmyndighed, der er kompetent i henhold til artikel 77, og til at
udøve de rettigheder, der er omhandlet i artikel 78 og 79, hvis den/det har grund til at formode, at den
registreredes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling.
Artikel 81
Udsættelse af en sag
1. Hvis en kompetent domstol i en medlemsstat har oplysninger om, at der verserer en sag vedrørende
samme genstand for så vidt angår behandling foretaget af den samme dataansvarlige eller databehandler
ved en domstol i en anden medlemsstat, skal den rette henvendelse til pågældende domstol i den anden
medlemsstat for at bekræfte eksistensen af en sådan sag.
2. Hvis der verserer en sag vedrørende samme genstand for så vidt angår behandling foretaget af den
samme dataansvarlige eller databehandler ved en domstol i en anden medlemsstat, kan enhver anden
kompetent domstol end den, ved hvilken sagen først er anlagt, udsætte sagen.
3. Hvis denne sag verserer ved første instans, kan enhver anden domstol end den, ved hvilken sagen først
er anlagt, efter anmodning fra en af parterne også erklære sig inkompetent, hvis den domstol, ved hvilken
sagen først er anlagt, har kompetence til at behandle de pågældende sager, og forening heraf er tilladt i
henhold til dens lovgivning.
Artikel 82
Ret til erstatning og erstatningsansvar
1. Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning,
har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.
2. Enhver dataansvarlig, der er involveret i behandling, hæfter for den skade, der er forvoldt af behand-
ling, der overtræder denne forordning. En databehandler hæfter kun for den skade, der er forvoldt af be-
handling, hvis pågældende ikke har opfyldt forpligtelser i denne forordning, der er rettet specifikt mod
databehandlere, eller hvis pågældende har undladt at følge eller handlet i strid med den dataansvarliges
lovlige instrukser.
3. En dataansvarlig eller databehandler er fritaget for erstatningsansvar i henhold til stk. 2, hvis det bevi-
ses, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.
104
4. Hvis mere end én dataansvarlig eller databehandler eller både en dataansvarlig og en databehandler er
involveret i den samme behandling, og hvis de i henhold til stk. 2 og 3 er ansvarlige for skader, der er
forvoldt af behandling, hæfter de solidarisk for hele skaden for at sikre fuld erstatning til den registrerede.
5. Hvis en dataansvarlig eller en databehandler i overensstemmelse med stk. 4 har betalt fuld erstatning
for den forvoldte skade, har den pågældende dataansvarlige eller databehandler ret til at kræve den del af
erstatningen, der svarer til andres del af ansvaret for skaden, tilbage fra de andre dataansvarlige eller data-
behandlere, der er involveret i den samme behandling, i overensstemmelse med betingelserne i stk. 2.
6. Retssager med henblik på udøvelse af retten til at modtage erstatning anlægges ved de domstole, der er
kompetente i henhold til national ret i den medlemsstat, der er omhandlet i artikel 79, stk. 2.
Artikel 83
Generelle betingelser for pålæggelse af administrative bøder
1. Hver tilsynsmyndighed sikrer, at pålæggelse af administrative bøder i henhold til denne artikel for
overtrædelse af denne forordning som omhandlet i stk. 4, 5 og 6 i hver enkelt sag er effektiv, står i rime-
ligt forhold til overtrædelsen og har afskrækkende virkning.
2. Afhængigt af omstændighederne i hver enkelt sag pålægges administrative bøder i tillæg til eller i ste-
det for foranstaltninger som omhandlet i artikel 58, stk. 2, litra a)-h) og j). Når der træffes afgørelse om,
hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt
sag, tages der behørigt hensyn til følgende:
a) overtrædelsens karakter, alvor og varighed under hensyntagen til pågældende behandlings karakter,
omfang eller formål samt antal registrerede, der er berørt, og omfanget af den skade, som de har lidt
b) hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt
c) eventuelle foranstaltninger, der er truffet af den dataansvarlige eller databehandleren for at begrænse
den skade, som den registrerede har lidt
d) den dataansvarliges eller databehandlerens grad af ansvar under hensyntagen til tekniske og organisato-
riske foranstaltninger, som de har gennemført i henhold til artikel 25 og 32
e) den dataansvarliges eller databehandlerens eventuelle relevante tidligere overtrædelser
f) graden af samarbejde med tilsynsmyndigheden for at afhjælpe overtrædelsen og begrænse de negative
konsekvenser, som overtrædelsen måtte have givet anledning til
g) de kategorier af personoplysninger, der er berørt af overtrædelsen
h) den måde, hvorpå tilsynsmyndigheden fik kendskab til overtrædelsen, navnlig om den dataansvarlige
eller databehandleren har underrettet om overtrædelsen, og i givet fald i hvilket omfang
i) overholdelse af de foranstaltninger, der er omhandlet i artikel 58, stk. 2, hvis der tidligere over for den
pågældende dataansvarlige eller databehandler er blevet truffet sådanne foranstaltninger med hensyn til
samme genstand
j) overholdelse af godkendte adfærdskodekser i henhold til artikel 40 eller godkendte certificeringsmeka-
nismer i henhold til artikel 42, og
105
k) om der er andre skærpende eller formildende faktorer ved sagens omstændigheder, såsom opnåede
økonomiske fordele eller undgåede tab som direkte eller indirekte følge af overtrædelsen.
3. Hvis en dataansvarlig eller en databehandler forsætligt eller uagtsomt i forbindelse med de samme eller
forbundne behandlingsaktiviteter overtræder flere bestemmelser i denne forordning, må den administrati-
ve bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse.
4. Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bø-
der på op til 10 000 000 EUR, eller hvis det drejer sig om en virksomhed, med op til 2 % af dens samlede
globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:
a) den dataansvarliges og databehandlerens forpligtelser i henhold til artikel 8, 11, 25-39 og 42 og 43
b) certificeringsorganets forpligtelser i henhold til artikel 42 og 43
c) kontrolorganets forpligtelser i henhold til artikel 41, stk. 4.
5. Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bø-
der på op til 20 000 000 EUR, eller hvis det drejer sig om en virksomhed, med op til 4 % af dens samlede
globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:
a) de grundlæggende principper for behandling, herunder betingelserne for samtykke, i artikel 5, 6, 7 og 9
b) de registreredes rettigheder i henhold til artikel 12-22
c) overførsel af personoplysninger til en modtager i et tredjeland eller en international organisation i hen-
hold til artikel 44-49
d) eventuelle forpligtigelser i medfør af medlemsstaternes nationale ret vedtaget i henhold til kapitel IX
e) manglende overholdelse af et påbud eller en midlertidig eller definitiv begrænsning af behandling eller
tilsynsmyndighedens suspension af overførsel af oplysninger i henhold til artikel 58, stk. 2, eller manglen-
de adgang i strid med artikel 58, stk. 1.
6. Manglende overholdelse af et påbud fra tilsynsmyndigheden som omhandlet i artikel 58, stk. 2, straffes
i overensstemmelse med nærværende artikels stk. 2 med administrative bøder på op til 20 000 000 EUR,
eller hvis det drejer sig om en virksomhed, med op til 4 % af dens samlede globale årlige omsætning i det
foregående regnskabsår, såfremt dette beløb er højere.
7. Uden at det berører tilsynsmyndighedernes korrigerende beføjelser i henhold til artikel 58, stk. 2, kan
hver medlemsstat fastsætte regler om, hvorvidt og i hvilket omfang administrative bøder må pålægges of-
fentlige myndigheder og organer, der er etableret i den pågældende medlemsstat.
8. Tilsynsmyndighedens udøvelse af beføjelser i henhold til denne artikel skal være underlagt fornødne
proceduremæssige garantier i overensstemmelse med EU-retten og medlemsstaternes nationale ret, bl.a.
effektive retsmidler og retfærdig procedure.
9. Hvis en medlemsstats retssystem ikke giver mulighed for at pålægge administrative bøder, kan denne
artikel anvendes på en sådan måde, at den kompetente tilsynsmyndighed tager skridt til bøder, og de kom-
petente nationale domstole pålægger dem, idet det sikres, at disse retsmidler er effektive, og at deres virk-
ning svarer til virkningen af administrative bøder, som pålægges af tilsynsmyndighederne. Bøder skal
under alle omstændigheder være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende
virkning. De pågældende medlemsstater giver Kommissionen meddelelse om bestemmelserne i deres lo-
106
ve, som de vedtager i henhold til dette stykke, senest den 25. maj 2018 og underretter den straks om alle
senere ændringslove eller ændringer, der berører dem.
Artikel 84
Sanktioner
1. Medlemsstaterne fastsætter regler om andre sanktioner, der skal anvendes i tilfælde af overtrædelser af
denne forordning, navnlig overtrædelser, som ikke er underlagt administrative bøder i henhold til artikel
83, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effek-
tive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.
2. Hver medlemsstat giver senest den 25. maj 2018 Kommissionen meddelelse om de bestemmelser, som
den vedtager i henhold til stk. 1, og underretter den straks om alle senere ændringer, der berører dem.
KAPITEL IX
Bestemmelser vedrørende specifikke behandlingssituationer
Artikel 85
Behandling og ytrings- og informationsfriheden
1. Medlemsstaterne forener ved lov retten til beskyttelse af personoplysninger i henhold til denne forord-
ning med retten til ytrings- og informationsfrihed, herunder behandling i journalistisk øjemed og med
henblik på akademisk, kunstnerisk eller litterær virksomhed.
2. Til behandling i journalistisk øjemed eller med henblik på akademisk, kunstnerisk eller litterær virk-
somhed fastsætter medlemsstaterne undtagelser eller fravigelser fra kapitel II (principper), kapitel III (den
registreredes rettigheder), kapitel IV (dataansvarlig og databehandler), kapitel V (overførsel af personop-
lysninger til tredjelande eller internationale organisationer), kapitel VI (uafhængige tilsynsmyndigheder),
kapitel VII (samarbejde og sammenhæng) og kapitel IX (specifikke databehandlingssituationer), hvis de
er nødvendige for at forene retten til beskyttelse af personoplysninger med ytrings- og informationsfrihe-
den.
3. Hver medlemsstat giver Kommissionen meddelelse om de lovbestemmelser, som den har vedtaget i
henhold til stk. 2, og underretter den straks om alle senere ændringslove eller ændringer, der berører dem.
Artikel 86
Behandling og aktindsigt i officielle dokumenter
Personoplysninger i officielle dokumenter, som en offentlig myndighed eller et offentligt eller privat or-
gan er i besiddelse af med henblik på udførelse af en opgave i samfundets interesse, må videregives af
myndigheden eller organet i overensstemmelse med EU-retten eller medlemsstaternes nationale ret, som
den offentlige myndighed eller organet er underlagt, for at forene aktindsigt i officielle dokumenter med
retten til beskyttelse af personoplysninger i henhold til denne forordning.
107
Artikel 87
Behandling af nationalt identifikationsnummer
Medlemsstaterne kan nærmere fastsætte de specifikke betingelser for behandling af et nationalt identifika-
tionsnummer eller andre almene midler til identifikation. I så fald anvendes det nationale identifikations-
nummer eller ethvert andet alment middel til identifikation udelukkende med de fornødne garantier for
den registreredes rettigheder og frihedsrettigheder i henhold til denne forordning.
Artikel 88
Behandling i forbindelse med ansættelsesforhold
1. Medlemsstaterne kan ved lov eller i medfør af kollektive overenskomster fastsætte mere specifikke be-
stemmelser for at sikre beskyttelse af rettighederne og frihedsrettighederne i forbindelse med behandling
af arbejdstageres personoplysninger i ansættelsesforhold, navnlig med henblik på ansættelse, ansættelses-
kontrakter, herunder opfyldelse af forpligtelser fastsat ved lov eller i kollektive overenskomster, ledelse,
planlægning og tilrettelæggelse af arbejdet, ligestilling og mangfoldighed på arbejdspladsen, arbejdsmiljø
samt beskyttelse af arbejdsgiveres eller kunders ejendom og med henblik på individuel eller kollektiv ud-
øvelse og nydelse af rettigheder og fordele i forbindelse med ansættelse samt med henblik på ophør af
ansættelsesforhold.
2. Disse bestemmelser skal omfatte passende og specifikke foranstaltninger til beskyttelse af den registre-
redes menneskelige værdighed, legitime interesser og grundlæggende rettigheder, særlig med hensyn til
gennemsigtighed i behandlingen, overførsel af personoplysninger inden for en koncern eller gruppe af
foretagender, der udøver en fælles økonomisk aktivitet, og overvågningssystemer på arbejdspladsen.
3. Hver medlemsstat giver senest den 25. maj 2018 Kommissionen meddelelse om de bestemmelser, som
den vedtager i henhold til stk. 1, og underretter den straks om alle senere ændringer, der berører dem.
Artikel 89
Garantier og undtagelser i forbindelse med behandling til arkivformål i samfundets interesse, til
videnskabelige eller historiske forskningsformål eller til statistiske formål
1. Behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål
eller til statistiske formål skal være underlagt fornødne garantier for registreredes rettigheder og friheds-
rettigheder i overensstemmelse med denne forordning. Disse garantier skal sikre, at der er truffet tekniske
og organisatoriske foranstaltninger, især for at sikre overholdelse af princippet om dataminimering. Disse
foranstaltninger kan omfatte pseudonymisering, forudsat at disse formål kan opfyldes på denne måde. Når
disse formål kan opfyldes ved viderebehandling, som ikke gør det muligt eller ikke længere gør det mu-
ligt at identificere de registrerede, skal formålene opfyldes på denne måde.
2. Når personoplysninger behandles til videnskabelige eller historiske forskningsformål eller til statistiske
formål, kan EU-retten eller medlemsstaternes nationale ret fastsætte undtagelser fra de rettigheder, der er
omhandlet i artikel 15, 16, 18 og 21, under iagttagelse af de betingelser og garantier, der er omhandlet i
nærværende artikels stk. 1, såfremt sådanne rettigheder sandsynligvis vil gøre det umuligt eller i alvorlig
grad hindre opfyldelse af de specifikke formål, og sådanne undtagelser er nødvendige for at opfylde for-
målene.
108
3. Når personoplysninger behandles til arkivformål i samfundets interesse, kan EU-retten eller medlems-
staternes nationale ret fastsætte undtagelser fra de rettigheder, der er omhandlet i artikel 15, 16, 18, 19, 20
og 21, under iagttagelse af de betingelser og garantier, der er omhandlet i nærværende artikels stk. 1, så-
fremt sådanne rettigheder sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af de
specifikke formål, og sådanne undtagelser er nødvendige for at opfylde formålene.
4. Når behandling som omhandlet i stk. 2 og 3 samtidig tjener et andet formål, anvendes undtagelser kun
på behandling til de formål, der er omhandlet i nævnte stykker.
Artikel 90
Tavshedspligt
1. Medlemsstaterne kan vedtage specifikke regler om tilsynsmyndighedernes beføjelser i henhold til arti-
kel 58, stk. 1, litra e) og f), vedrørende dataansvarlige eller databehandlere, der i henhold til EU-ret eller
medlemsstaternes nationale ret eller regler fastsat af nationale kompetente organer er underlagt faglig el-
ler anden tilsvarende tavshedspligt, hvis dette er nødvendigt og rimeligt for at forene retten til beskyttelse
af personoplysninger med tavshedspligt. Disse regler gælder kun for personoplysninger, som den dataan-
svarlige eller databehandleren har modtaget som et resultat af eller indhentet under en aktivitet, der er
underlagt denne tavshedspligt.
2. Hver medlemsstat giver senest den 25. maj 2018 Kommissionen meddelelse om de regler, som den
vedtager i henhold til stk. 1, og underretter den straks om alle senere ændringer, der berører dem.
Artikel 91
Kirkers og religiøse sammenslutningers eksisterende databeskyttelsesregler
1. Hvis kirker og religiøse sammenslutninger eller samfund i en medlemsstat på tidspunktet for denne for-
ordnings ikrafttræden anvender omfattende regler om beskyttelse af fysiske personer hvad angår behand-
ling, kan disse eksisterende regler fortsat finde anvendelse, forudsat at de bringes i overensstemmelse
med denne forordning.
2. Kirker og religiøse sammenslutninger, der anvender omfattende regler i henhold til denne artikels stk.
1, underlægges tilsyn af en uafhængig tilsynsmyndighed, som kan være specifik, forudsat at den opfylder
betingelserne i kapitel VI.
KAPITEL X
Delegerede retsakter og gennemførelsesforanstaltninger
Artikel 92
Udøvelse af de delegerede beføjelser
1. Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte
betingelser.
2. Beføjelsen til at vedtage delegerede retsakter, jf. artikel 12, stk. 8, og artikel 43, stk. 8, tillægges Kom-
missionen for en ubegrænset periode fra den 24.maj 2016.
109
3. Den i artikel 12, stk. 8, og artikel 43, stk. 8, omhandlede delegation af beføjelser kan til enhver tid
tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af
de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen efter offentlig-
gørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgø-
relsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft.
4. Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet
meddelelse herom.
5. En delegeret retsakt vedtaget i henhold til artikel 12, stk. 8, og artikel 43, stk. 8, træder kun i kraft, hvis
hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på tre måneder fra medde-
lelsen af den pågældende retsakt til Europa-Parlamentet eller Rådet, eller hvis Europa-Parlamentet og Rå-
det inden udløbet af denne frist begge har informeret Kommissionen om, at de ikke agter at gøre indsigel-
se. Fristen forlænges med tre måneder på Europa-Parlamentets eller Rådets initiativ.
Artikel 93
Udvalgsprocedure
1. Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr.
182/2011.
2. Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.
3. Når der henvises til dette stykke, finder artikel 8 i forordning (EU) nr. 182/2011 sammenholdt med
dennes artikel 5 anvendelse.
KAPITEL XI
Afsluttende bestemmelser
Artikel 94
Ophævelse af direktiv 95/46/EF
1. Direktiv 95/46/EF ophæves med virkning fra den 25. maj 2018.
2. Henvisninger til det ophævede direktiv gælder som henvisninger til denne forordning. Henvisninger til
Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger, der er
nedsat ved artikel 29 i direktiv 95/46/EF, gælder som henvisninger til Det Europæiske Databeskyttelses-
råd oprettet ved denne forordning.
Artikel 95
Forhold til direktiv 2002/58/EF
Denne forordning indfører ikke yderligere forpligtelser for fysiske eller juridiske personer for så vidt an-
går behandling i forbindelse med levering af offentligt tilgængelige elektroniske kommunikationstjenester
i offentlige kommunikationsnet i Unionen for så vidt angår spørgsmål, hvor de er underlagt specifikke
forpligtelser med samme formål som det, der er fastsat i direktiv 2002/58/EF.
110
Artikel 96
Forhold til tidligere indgåede aftaler
Internationale aftaler, der omfatter overførsel af personoplysninger til tredjelande eller internationale or-
ganisationer, som er indgået af medlemsstaterne inden den 24. maj 2016, og som overholder den EU-ret,
der finder anvendelse inden denne dato, forbliver i kraft, indtil de ændres, erstattes eller ophæves.
Artikel 97
Kommissionsrapporter
1. Senest den 25. maj 2020 og hvert fjerde år derefter forelægger Kommissionen Europa-Parlamentet og
Rådet en rapport om evaluering og revision af denne forordning.
2. I forbindelse med de i stk. 1 omhandlede evalueringer og revisioner undersøger Kommissionen navn-
lig, hvordan følgende anvendes og fungerer:
a) kapitel V om overførsel af personoplysninger til tredjelande eller internationale organisationer, særlig
med hensyn til afgørelser vedtaget i henhold til denne forordnings artikel 45, stk. 3, og afgørelser vedtaget
på grundlag af artikel 25, stk. 6, i direktiv 95/46/EF
b) kapitel VII om samarbejde og sammenhæng.
3. Kommissionen kan med henblik på stk. 1 anmode om oplysninger fra medlemsstaterne og tilsynsmyn-
dighederne.
4. Når Kommissionen foretager evaluering og revision, jf. stk. 1 og 2, tager den hensyn til holdninger og
resultater fra Europa-Parlamentet, fra Rådet og fra andre relevante organer eller kilder.
5. Kommissionen forelægger om nødvendigt relevante forslag til ændring af denne forordning, navnlig
under hensyntagen til udviklingen inden for informationsteknologi og i lyset af fremskridtene i informati-
onssamfundet.
Artikel 98
Gennemgang af andre EU-retsakter om databeskyttelse
Hvis det er relevant, fremsætter Kommissionen lovgivningsforslag til ændring af andre EU-retsakter om
beskyttelse af personoplysninger for at sikre ensartet og konsekvent beskyttelse af fysiske personer i for-
bindelse med behandling. Dette gælder især bestemmelser om beskyttelse af fysiske personer i forbindel-
se med EU-institutioners, -organers, -kontorers og -agenturers behandling og om fri udveksling af sådan-
ne oplysninger.
Artikel 99
Ikrafttræden og anvendelse
1. Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Ti-
dende.
2. Den anvendes fra den 25. maj 2018.
111
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 27. april 2016.
På Europa-Parlamentets vegne
M. SCHULZ
Formand
På Rådets vegne
J. A. HENNIS-PLASSCHAERT
Formand
________________________________________
(1) EUT C 229 af 31.7.2012, s. 90.
(2) EUT C 391 af 18.12.2012, s. 127.
(3) Europa-Parlamentets holdning af 12.3.2014 (endnu ikke offentliggjort i EUT) og Rådets førstebehand-
lingsholdning af 8.4.2016 (endnu ikke offentliggjort i EUT). Europa-Parlamentets holdning af 14.4.2016.
(4) Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske perso-
ner i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT
L 281 af 23.11.1995, s. 31).
(5) Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemsto-
re virksomheder (C(2003) 1422) (EUT L 124 af 20.5.2003, s. 36).
(6) Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af
fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -orga-
nerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).
(7) Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at
forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktio-
ner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse
2008/977/RIA (se side 89 i denne EUT).
(8) Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af infor-
mationssamfundstjenester, navnlig elektronisk handel, i det indre marked (»Direktivet om elektronisk
handel«) (EFT L 178 af 17.7.2000, s. 1).
(9) Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbin-
delse med grænseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).
(10) Rådets direktiv 93/13/EØF af 5. april 1993 om urimelige kontraktvilkår i forbrugeraftaler (EFT L 95
af 21.4.1993, s. 29).
(11) Europa-Parlamentets og Rådets forordning (EF) nr. 1338/2008 af 16. december 2008 om fælles-
skabsstatistikker over folkesundhed og arbejdsmiljø (EUT L 354 af 31.12.2008, s. 70).
112
(12) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle
regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennem-
førelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).
(13) Europa-Parlamentets og Rådets forordning (EU) nr. 1215/2012 af 12. december 2012 om retternes
kompetence og om anerkendelse og fuldbyrdelse af retsafgørelser på det civil- og handelsretlige område
(EUT L 351 af 20.12.2012, s. 1).
(14) Europa-Parlamentets og Rådets direktiv 2003/98/EF af 17. november 2003 om videreanvendelse af
den offentlige sektors informationer (EUT L 345 af 31.12.2003, s. 90).
(15) Europa-Parlamentets og Rådets forordning (EU) nr. 536/2014 af 16. april 2014 om kliniske forsøg
med humanmedicinske lægemidler og om ophævelse af direktiv 2001/20/EF (EUT L 158 af 27.5.2014, s.
1).
(16) Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 af 11. marts 2009 om europæiske stati-
stikker og om ophævelse af forordning (EF, Euratom) nr. 1101/2008 om fremsendelse af fortrolige stati-
stiske oplysninger til De Europæiske Fællesskabers Statistiske Kontor, Rådets forordning (EF) nr. 322/97
om EF-statistikker og Rådets afgørelse 89/382/EØF, Euratom om nedsættelse af et udvalg for De Euro-
pæiske Fællesskabers statistiske program (EUT L 87 af 31.3.2009, s. 164).
(17) EUT C 192 af 30.6.2012, s. 7.
(18) Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplys-
ninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (EFT L 201 af
31.7.2002, s. 37).
(19) Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 af 9. september 2015 om en informations-
procedure med hensyn til tekniske forskrifter samt forskrifter for informationssamfundets tjenester (EUT
L 241 af 17.9.2015, s. 1).
(20) Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008 om kravene til akkredi-
tering og markedsovervågning i forbindelse med markedsføring af produkter og om ophævelse af Rådets
forordning (EØF) nr. 339/93 (EUT L 218 af 13.8.2008, s. 30).
(21) Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30. maj 2001 om aktindsigt i Euro-
pa-Parlamentets, Rådets og Kommissionens dokumenter (EFT L 145 af 31.5.2001, s. 43).
113