(Ordinarie lagstiftningsförfarande: första behandlingen)

Europaparlamentet utfärdar denna resolution

–  med beaktande av kommissionens förslag till Europaparlamentet och rådet (COM(2012)0011),

–  med beaktande av artiklarna 294.2, 16.2 och 114.1 i fördraget om Europeiska unionens funktionssätt, i enlighet med vilka kommissionen har lagt fram sitt förslag för parlamentet (C7‑0025/2012),

–  med beaktande av artikel 294.3 i fördraget om Europeiska unionens funktionssätt,

–  med beaktande av de motiverade yttranden från den belgiska deputeradekammaren, det tyska förbundsrådet, den franska senaten, den italienska deputeradekammaren och Sveriges riksdag som lagts fram i enlighet med protokoll nr 2 om tillämpning av subsidiaritets- och proportionalitetsprinciperna, och enligt vilka utkastet till lagstiftningsakt inte är förenligt med subsidiaritetsprincipen,

–  med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande av den 23 maj 2012(1),

–  efter att ha hört Regionkommittén,

–  med beaktande av Europeiska datatillsynsmannens yttrande av den 7 mars 2012(2),

–  med beaktande av yttrandet av den 1 oktober 2012 från Europeiska unionens byrå för grundläggande rättigheter,

–  med beaktande av artikel 55 i arbetsordningen,

–  med beaktande av betänkandet från utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor och yttrandena från utskottet för sysselsättning och sociala frågor, utskottet för industrifrågor, forskning och energi, utskottet för den inre marknaden och konsumentskydd och utskottet för rättsliga frågor (A7-0402/2013).

1.  Europaparlamentet antar nedanstående ståndpunkt vid första behandlingen.

2.  Europaparlamentet uppmanar kommissionen att lägga fram en ny text för parlamentet om den har för avsikt att väsentligt ändra sitt förslag eller ersätta det med ett nytt.

3.  Europaparlamentet uppdrar åt talmannen att översända parlamentets ståndpunkt till rådet, kommissionen och de nationella parlamenten.

(1) EUT C 229, 31.7.2012, s. 90. (2) EUT C 192, 30.6.2012, s. 7.

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 16.2 och 114.1,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande(1),

efter att ha hört Regionkommittén,

med beaktande av Europeiska datatillsynsmannens yttrande(2),

i enlighet med det ordinarie lagstiftningsförfarandet(3), och

av följande skäl:

(1)  Skyddet av fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artiklarna 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 i fördraget garanterar var och en rätten till skydd av de personuppgifter som rör honom eller henne.

(2)  Avsikten med att behandla personuppgifter är att betjäna människor. Principerna och reglerna för skyddet av enskilda personer vid behandling av deras personuppgifter bör, oavsett medborgarskap eller hemvist, respektera deras grundläggande rättigheter och friheter, främst deras rätt till skydd av personuppgifter. Behandlingen av personuppgifter bör bidra till att skapa ett område av frihet, säkerhet och rättvisa och en ekonomisk union, till ekonomiska och sociala framsteg, till förstärkning och konvergens av ekonomierna inom den inre marknaden samt till enskilda människors välbefinnande.

(3)  Europaparlamentets och rådets direktiv 95/46/EG(4) syftar till att harmonisera skyddet av fysiska personers grundläggande rättigheter och friheter vid uppgiftsbehandling och att garantera det fria flödet av personuppgifter mellan medlemsstaterna.

(4)  Den ekonomiska och sociala integration som uppstått tack vare den inre marknaden har lett till en betydande ökning av de gränsöverskridande flödena. Utbytet av uppgifter mellan ekonomiska och sociala, offentliga och privata aktörer över hela unionen har ökat. Nationella myndigheter i medlemsstaterna uppmanas i unionslagstiftningen att samarbeta och utbyta personuppgifter för att vara i stånd att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat.

(5)  Den snabba tekniska utvecklingen och globaliseringen har ställt oss inför nya utmaningar vad gäller skyddet av personuppgifter. Omfattningen på datadelning och insamling av uppgifter har ökat spektakulärt. Tekniken gör det möjligt för både företag och myndigheter att i sitt arbete använda sig av personuppgifter i en helt ny omfattning. Allt fler privatpersoner behandlar sina personliga uppgifter på ett sätt som gör att de blir tillgängliga för var och en, oberoende av plats i världen. Tekniken har omvandlat både ekonomin och det sociala livet, vilket gör det nödvändigt att ytterligare underlätta det fria flödet av uppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer, parallellt med att en hög skyddsnivå säkerställs för person­uppgifter.

(6)  Dessa förändringar kräver en stark och mer sammanhängande ram för uppgiftsskyddet inom unionen, uppbackad av kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs som för att utveckla den digitala ekonomin över hela den inre marknaden. Enskilda bör ha kontroll över sina egna personuppgifter och rättssäkerheten och smidigheten för enskilda, ekonomiska operatörer och myndigheter bör stärkas.

(7)  Målen och principerna för direktiv 95/46/EG fungerar ännu på ett tillfredsställande sätt, men detta har inte kunnat förhindra bristande enhetlighet i genomförandet av uppgiftsskyddet i olika delar av unionen, rättsosäkerhet och allmänt spridda uppfattningar om att betydande risker kvarstår, särskilt vid användning av internet. Skillnader i skyddet av enskildas rättigheter och friheter, främst rätten till skydd av personuppgifter, vid behandling av personuppgifter i olika medlemsstater kan förhindra det fria flödet av personuppgifter över hela unionen. Dessa skillnader kan därför utgöra ett hinder för att bedriva ekonomisk verksamhet över hela unionen, de kan snedvrida konkurrensen och hindra myndigheterna att fullgöra de skyldigheter som de har enligt unionslagstiftningen. De varierande skyddsnivåerna beror på skillnader i genomförandet och tillämpningen av direktiv 95/46/EG.

(8)  För att säkra en enhetlig och hög skyddsnivå för enskilda och för att undanröja hindren för flödena av personuppgifter bör nivån på skyddet av enskildas fri- och rättigheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En enhetlig och likartad tillämpning av bestämmelserna om skydd av fysiska personers grundläggande fri- och rättigheter vid behandling av personuppgifter bör garanteras i hela unionen.

(9)  Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och specificeras och att de registeransvarigas och registerförarnas skyldigheter vid behandling av personuppgifter klargörs, men också att det finns likvärdiga befogenheter för övervakning och ser till att reglerna för skyddet av personuppgifter efterlevs och att påföljderna är likvärdiga i medlemsstaterna.

(10)  I artikel 16.2 i fördraget bemyndigas Europaparlamentet och rådet att fastställa regler om skydd av enskilda vid behandling av personuppgifter och regler som rör personuppgifters fria rörlighet.

(11)  För att säkra en enhetlig nivå på skyddet av enskilda över hela unionen och undvika avvikelser som hindrar den fria rörligheten av uppgifter inom den inre marknaden behövs en förordning som skapar rättssäkerhet och öppenhet för ekonomiska aktörer, däribland mikroföretag samt små och medelstora företag, och som ger enskilda personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger registeransvariga och registerförare samma ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, påföljderna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater mer effektivt. För att ta hänsyn till mikroföretagens samt de små och medelstora företagens särskilda situation innehåller förordningen ett antal undantag. Dessutom uppmanas unionens institutioner och organ samt medlemsstaterna och deras tillsynsmyndigheter att vid tillämpningen av denna förordning ta hänsyn till mikroföretagens samt de små och medelstora företagens särskilda behov. Begreppet ”mikroföretag samt små och medelstora företag” bör bygga på kommissionens rekommendation 2003/361/EG(5).

(12)  Det skydd som ska tillhandahållas enligt denna förordning gäller för fysiska personer, oavsett medborgarskap eller hemvist, vid behandling av personuppgifter. När det gäller behandling av uppgifter rörande juridiska personer, exempelvis uppgifter om namn och typ av juridisk person samt kontaktuppgifter, bör denna förordning inte kunna tillämpas. Det gäller särskilt fråga om företag som bildats som juridiska personer. Detta bör också gälla när namnet på den juridiska personen innehåller namnet på en eller flera fysiska personer.

(13)  Skyddet av enskilda bör vara tekniskt neutralt, det vill säga inte vara beroende av den teknik som används, eftersom detta skulle kunna skapa en allvarlig risk för att reglerna kan kringgås. Skyddet av enskilda bör vara tillämpligt på både automatisk och manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter liksom deras omslag, som inte är strukturerade enligt särskilda kriterier, bör inte omfattas av denna förordning.

(14)  Denna förordning tar inte upp frågor som rör skyddet av grundläggande rättigheter och friheter eller det fria flödet av uppgifter på områden som inte omfattas av unionslagstiftningen, och den tar heller inte upp behandling av personuppgifter som sker i EU:s institutioner, organ och byråer, som omfattas av. Europaparlamentets och rådets förordning (EG) nr 45/2001(6), och inte heller medlemsstaternas behandling av personuppgifter när de agerar inom ramen för unionen gemensamma utrikes- och säkerhetspolitik bör göras förenlig med bestämmelserna i denna förordning och tillämpas i enlighet med denna förordning. [Ändr. 1]

(15)  Denna förordning bör inte vara tillämplig på fysiska personers behandling av personuppgifter, som är helt personliga, familjerelaterade eller privata, t.ex. korrespondens, och adressförteckningar och privatförsäljningar, och som helt saknar vinstintresse och därmed också koppling till yrkes- eller affärsmässig verksamhet. Undantaget Denna förordning bör heller inte dock vara tillämpligt tillämplig på registeransvariga eller och registerförare som tillhandahåller utrustning för behandling av personuppgifter får för sådana personliga eller privata verksamheter. [Ändr. 2]

(16)  Skyddet av enskilda personer när det gäller behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, samt fri rörlighet för sådana uppgifter, säkerställs på unionsnivå av ett särskilt rättsinstrument. Av denna anledning bör denna förordning inte vara tillämplig på behandling som sker för dessa ändamål. Uppgifter som av myndigheter behandlats enligt denna förordning för att användas i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder bör dock regleras genom ett mer specifikt rättsligt instrument på unionsnivå (Europaparlamentets och rådets direktiv 2014/.../EU om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter).

(17)  Denna förordning bör inte påverka tillämpningen av Europaparlamentets och rådets direktiv 2000/31/EG(7), särskilt bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet.

(18)  Denna förordning gör det möjligt att vid tillämpningen av bestämmelserna i den ta hänsyn till principen om allmänhetens rätt att få tillgång till allmänna handlingar. Personuppgifter i handlingar som innehas av en offentlig myndighet eller ett offentligt organ får lämnas ut av den myndigheten eller det organet i enlighet med unionslagstiftningen eller en medlemsstats lagstiftning om allmänhetens tillgång till offentliga handlingar för att förena uppgiftsskyddsrätten med allmänhetens rätt till tillgång till offentliga handlingar, förutsatt att en lämplig avvägning av de berörda parternas intressen kan säkerställas. [Ändr. 3]

(19)  All behandling av personuppgifter som sker inom ramen för arbetet på registeransvarigas eller registerförares verksamhetsställen inom unionen bör ske i överensstämmelse med denna förordning, oavsett om behandlingen i sig äger rum inom unionen eller inte. “Verksamhetsställe” innebär det faktiska och reella utförandet av verksamhet med hjälp av en stabil struktur. Den rättsliga formen för en sådan struktur, oavsett om det är en filial eller ett dotterbolag med status som juridisk person, bör här inte vara den avgörande faktorn.

(20)  För att enskilda inte ska fråntas det skydd denna förordning ger dem bör behandling av personuppgifter om inom unionen boende registrerade som görs av en registeransvarig som inte är etablerad inom unionen omfattas av denna förordning när behandlingen avser utbjudande av varor eller tjänster, oavsett om det sker mot betalning eller inte, till de aktuella registrerade, eller övervakning av deras beteende de aktuella registrerade. I syfte att fastställa om en registeransvarig erbjuder varor eller tjänster till registrerade inom unionen bör man fastställa om det är uppenbart att den registeransvarige avser att erbjuda tjänster till registrerade i en eller flera av unionens medlemsstater. [Ändr. 4]

(21)  För att avgöra huruvida en viss behandling kan anses ”övervaka beteendet” hos registrerade, bör det utrönas om enskilda personer spåras på internet med hjälp, oavsett uppgifternas ursprung, eller om andra uppgifter samlas in om dem, även från offentliga register och meddelanden som offentliggörs i unionen och finns tillgängliga utanför unionen, även i syfte att använda eller för eventuell senare användning av uppgiftsbehandlingsteknik som består i att en ”profil” appliceras på en enskild person, främst i syfte att fatta beslut rörande honom eller henne eller för att analysera eller förutsäga hans eller hennes personliga preferenser, beteende och attityder. [Ändr. 5]

(22)  När nationell lagstiftning i en medlemsstat är tillämplig i kraft av folkrätten bör denna förordning också vara tillämplig på registeransvariga som inte är etablerade inom unionen, exempelvis i en medlemsstats diplomatiska beskickning eller konsulat.

(23)  Principerna för skyddet uppgiftsskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. För att avgöra om en person är identifierbar bör man uppmärksamma alla hjälpmedel som, antingen av den registeransvarige eller av någon annan person, rimligen kan komma att använda användas för att direkt eller indirekt identifiera eller särskilja vederbörande. För att fastställa om hjälpmedel rimligen kan komma att användas för att identifiera vederbörande bör man ta i beaktande samtliga objektiva faktorer som kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Skyddsprinciperna bör därför inte gälla för anonyma uppgifter, som gjorts anonyma på ett sådant sätt att den registrerade är uppgifter som inte längre är kopplade till en identifierad eller identifierbar fysisk person. Denna förordning berör därför inte behandling av sådana anonyma uppgifter, inbegripet uppgifter för statistiska ändamål och forskningsändamål. [Ändr. 6]

(24)  Vid användning av nättjänster kan enskilda personer knytas till nätidentifierare Denna förordning bör vara tillämplig på behandling som inbegriper identifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser eller, kakor. Detta kan efterlämna spår som i kombination med unika identifierare och andra uppgifter som tas emot av servrarna kan användas för att skapa profiler för enskilda personer och identifiera dem. Således utgör inte alltid identifieringsnummer, lokaliseringsuppgifter, nätidentifierare eller andra särskilda uppgifter i sig nödvändigtvis personuppgifter och radiofrekvensidentifiering, såvida inte dessa identifierare är kopplade till en identifierad eller identifierbar fysisk person. [Ändr. 7]

(25)  Samtycke bör lämnas uttryckligen med lämplig metod som möjliggör en frivillig, särskild och informerad viljeyttring från de registrerades sida, antingen genom ett uttalande eller genom en entydig affirmativ handling som är resultatet av de registrerades val och visar att de är medvetna om att de ger sitt samtycke till behandlingen av personuppgifter, exempelvis. En entydig affirmativ handling skulle kunna inbegripa en ruta som klickas i vid besök på en internetsida eller genom något annat uttalande eller beteende som i sammanhanget tydligt visar att de registrerade godtar den föreslagna behandlingen av deras personuppgifter. Tystnad, enbart användning av en tjänst eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran måste denna vara tydlig, koncis och får inte onödigtvis störa användningen av den tjänst som den avser. [Ändr. 8]

(26)  Personuppgifter som rör hälsan bör framför allt innefatta alla uppgifter som hänför sig till en registrerad persons hälsotillstånd, uppgifter om registrering av personen för tillhandahållande av hälso- och sjukvårdstjänster, uppgifter om betalning för eller rätt till hälso- och sjukvård avseende personen i fråga, ett nummer, en symbol eller ett kännetecken som personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål, alla uppgifter om personen som insamlats i samband med tillhandahållande av hälso- och sjukvårdstjänster till denne, uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland biologiska prov, identifiering av en person som tillhandahåller hälso- och sjukvård till personen, eller andra uppgifter om t.ex. en sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling, eller den registrerades faktiska fysiologiska eller biomedicinska tillstånd oberoende av källan, exempelvis från en läkare eller annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.

(27)  En registeransvarigs huvudsakliga verksamhetsställe inom unionen bör avgöras med objektiva kriterier och bör inbegripa den effektiva och faktiska ledning som fattar de huvudsakliga besluten vad avser ändamål, villkor och medel för behandlingen med hjälp av en stabil struktur. Detta kriterium bör inte vara avhängigt om behandlingen av personuppgifter faktiskt utförs på det stället. Att tekniska medel samt teknik för behandling av personuppgifter eller behandlingsverksamhet finns och används, visar i sig inte att det rör sig om ett sådant huvudsakligt verksamhetsställe och utgör därför inte avgörande kriterier för ett huvudsakligt verksamhetsställe. Registerförares huvudsakliga verksamhetsställe bör vara den ort i unionen där de har sin centrala förvaltning.

(28)  En företagsgrupp bör innefatta ett kontrollerande företag samt de företag detta företag kontrollerar (kontrollerade företag), varvid det kontrollerande företaget bör vara det företag som kan utöva ett dominerande inflytande på övriga företag i kraft av exempelvis ägarskap, finansiellt deltagande eller de bestämmelser som det regleras av eller befogenheten att införa regler som rör personuppgiftsskyddet.

(29)  Barns personuppgifter förtjänar ett särskilt skydd, eftersom de kan vara mindre medvetna om risker, följder, skyddsåtgärder samt sina rättigheter när det gäller behandling av personuppgifter. Definitionen av vem som betraktas som barn bör vara densamma som i FN:s konvention om barnets rättigheter. Om uppgiftsbehandlingen grundar sig på den registrerades samtycke när det gäller erbjudande av varor eller tjänster direkt till ett barn bör samtycke ges eller godkännas av barnets förälder eller vårdnadshavare i fall där barnet är under 13 år. Åldersanpassat språk bör användas om de avsedda mottagarna är barn. Andra grunder för laglig behandling, såsom samhällsintressen, bör fortsatt vara tillämpliga, till exempel för behandling inom ramen för förebyggande eller rådgivande tjänster som erbjuds direkt till ett barn. [Ändr. 9]

(30)  Varje behandling av personuppgifter måste vara laglig, rättvis och öppen i förhållande till berörda enskilda. De specifika ändamål som uppgifterna behandlas för, bör vara uttryckliga och legitima och ha bestämts vid den tidpunkt då uppgifterna samlades in. Uppgifterna bör vara adekvata, relevanta och begränsa sig till vad som är strikt nödvändigt för de ändamål som uppgifterna behandlas för. Detta innebär bl.a. att de uppgifter som insamlats inte är orimligt omfattande och att den period de lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte kan uppnås genom andra medel. Alla rimliga åtgärder bör vidtas för att rätta eller radera felaktiga uppgifter. För att säkerställa att uppgifter inte sparas längre än nödvändigt bör den registeransvarige införa tidsfrister för radering eller för regelbunden kontroll.

(31)  För att behandling ska vara laglig bör personuppgifterna behandlas efter samtycke från berörd person eller på någon annan legitim lagfäst grund, antingen denna förordning eller annan unionslagstiftning eller nationell lagstiftning som aves i denna förordning. När det gäller barn eller personer som saknar rättskapacitet bör relevant unionslagstiftning eller nationell lagstiftning fastställa villkoren för hur samtycke ska ges eller godkännas av vederbörande. [Ändr. 10]

(32)  När behandling sker efter samtycke från registrerade bör registeransvariga ha bevisbördan när det gäller att visa att de registrerade har lämnat sitt samtycke till behandlingen. Vid skriftliga deklarationer som också rör andra frågor bör skyddsåtgärder finnas som ser till att de registrerade är medvetna om detta och hur långt samtycket sträcker sig. För att följa principen om uppgiftsminimering bör bevisbördan inte tolkas som att det krävs en positiv identifiering av registrerade om så inte är nödvändigt. I likhet med civilrättsliga bestämmelser (till exempel rådets direktiv 93/13/EEG(8)) bör uppgiftsskyddsstrategier vara så tydliga och insynsvänliga som möjligt. De bör inte innehålla några dolda eller ofördelaktiga bestämmelser. Samtycke kan inte ges för behandling av tredje personers personuppgifter. [Ändr. 11]

(33)  För att säkerställa att samtycket är frivilligt bör det klargöras att ett samtycke inte är giltig rättslig grund om den enskilde inte har något genuin och fri valmöjlighet och därför inte utan problem kan vägra eller ta tillbaka sitt samtycke. Detta är särskilt fallet om den registeransvarige är en offentlig myndighet som i kraft av sina offentliga befogenheter kan ålägga skyldigheter och samtycket inte kan anses ha lämnats frivilligt. Användning av standardalternativ som den registrerade måste ändra för att vägra behandling, såsom förkryssade rutor, utgör inte frivilligt samtycke. Samtycke till behandling av ytterligare personuppgifter som inte är nödvändiga för tillhandahållandet av en tjänst bör inte krävas för användning av tjänsten. Om samtycket tas tillbaka kan detta utgöra en grund för tjänsteleverantören att säga upp eller att inte fullfölja en tjänst som är beroende av uppgifterna. Om det inte kan fastställas tydligt att det avsedda ändamålet har uppnåtts bör den registeransvarige regelbundet förse den registrerade med information om behandlingen och begära en ny bekräftelse av det ursprungliga samtycket från den registrerade. [Ändr. 12]

(34)  Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter om det finns en betydande obalans mellan den registrerade och den registeransvarige. Detta är särskilt fallet när den registrerade befinner sig i ett beroendeförhållande till den registeransvarige, bl.a. när arbetstagares personuppgifter behandlas av arbetsgivare inom ramen för en anställning. Är den registeransvarige en myndighet torde obalans endast uppkomma vid specifika uppgiftsbehandlingar där myndigheten i kraft av sina offentliga befogenheter kan ålägga skyldigheter och samtycket, med hänsyn tagen till den registrerades intresse, inte kan anses ha lämnats frivilligt. [Ändr. 13]

(35)  Behandling bör vara laglig när den är nödvändig i samband med avtal eller när avsikten är att avtal ska ingås.

(36)  Behandling som grundar sig på en lagstadgad skyldighet som den register­ansvarige måste följa eller när behandling krävs för att utföra en arbetsuppgift av samhällsintresse eller när en myndighet utövar sitt uppdrag, bör behandlingen, om den begränsar rättigheter och friheter, ha rättslig grund i unionell eller nationell lagstiftning som uppfyller kraven i stadgan. Detta bör även inbegripa kollektivavtal som enligt nationell lagstiftning skulle kunna erkännas som allmänt giltiga. Unionslagstiftning eller nationell lagstiftning bör också reglera frågan huruvida en registeransvarig som utför en arbetsuppgift i det allmännas intresse eller vid myndighets­utövning ska vara en offentlig förvaltning eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller om det kan vara en fysisk eller juridisk person som lyder under civilrättslig lagstiftning, exempelvis en yrkesorganisation. [Ändr. 14]

(37)  Behandling av personuppgifter bör även anses tillåten när den är nödvändig för att skydda ett intresse som är av avgörande betydelse för den registrerades liv.

(38)  De berättigade intressena för registeransvariga eller, i fall av utlämnande, för tredje parter till vilka uppgifterna lämnats ut kan utgöra rättslig grund för behandling, på villkor att de uppfyller den registrerades rimliga förväntningar baserat på dennes förhållande till de registeransvariga och att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts. För detta krävs en noggrann bedömning, särskilt när den registrerade är ett barn, mot bakgrund av att barn förtjänar specifikt skydd. Under förutsättning att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts bör behandling som är begränsad till pseudonymiserade uppgifter antas uppfylla den registrerades rimliga förväntningar baserat på dennes förhållande till de registeransvariga. Den registrerade bör kostnadsfritt och av skäl som rör vederbörandes särskilda situation ha rätt att göra invändningar mot behandling. För att säkra öppenheten bör registeransvariga vara skyldiga att uttryckligen informera de registrerade om vilka berättigade intressen som man eftersträvar att tillvarata och om rätten att göra invändningar. De bör även vara skyldiga att dokumentera dessa berättigade intressen. De registrerades intressen och grundläggande rättigheter skulle i synnerhet kunna väga tyngre än de registeransvarigas intressen om personuppgifter behandlas under omständigheter där de registrerade inte rimligen förväntar sig ytterligare behandling. Mot bakgrund av att det är lagstiftaren som genom lagstiftning fastställer den rättsliga grunden för myndigheters behandling av uppgifter bör denna förordning inte vara tillämplig när myndigheter behandlar uppgifter inom ramen för sin myndighetsutövning. [Ändr. 15]

(39)  Behandling av uppgifter utgör ett berättigat intresse för berörd registeransvarig i den mån den är nödvändig och proportionerlig för att säkerställa nät- och informationssäkerheten, dvs. förmågan hos ett nät eller ett informationssystem att, vid en viss tillförlitlighetsnivå, tåla olyckshändelser, olagliga handlingar eller illvilligt uppträdande som äventyrar tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda data och besläktade tjänster som tillhandahålls av eller är tillgängliga via dessa nät och system av myndigheter, incidenthanteringsorganisationer (Cert), enheter för hantering av datasäkerhetsincidenter, tillhandahållare av elektroniska kommunikationsnät och kommunikationstjänster och av tillhandahållare av säkerhetsteknik och säkerhetstjänster. Detta skulle t.ex. kunna innefatta förhindrande av obehörigt tillträde till elektroniska kommunikationsnät och felaktig kodfördelning och att sätta stopp för överbelastningsattacker och skador på datasystem och elektroniska kommunikationssystem. Denna princip är tillämplig även på behandling av personuppgifter för att begränsa oegentlig tillgång till och användning av offentligt tillgängliga nätverks- eller informationssystem, såsom svartlistning av elektroniska identifierare. [Ändr. 16]

(39a)  Under förutsättning att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts bör förebyggande eller begränsning av skada från den registeransvariges sida antas vara utförd för de berättigade intressena för den registeransvarige eller, i fall av utlämnande, för den tredje part till vilka uppgifterna lämnats ut, och bör antas uppfylla de registrerades rimliga förväntningar baserat på dessas förhållande till den registeransvarige. Samma princip är tillämplig även på verkställandet av rättsliga krav gentemot en registrerad, såsom skuldindrivning eller civilrättsligt skadestånd och rättsmedel. [Ändr. 17]

(39b)  Under förutsättning att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts bör behandling av personuppgifter för direkt marknadsföring av egna eller liknande produkter och tjänster eller för direkt marknadsföring per post antas vara utförd för de berättigade intressena för den registeransvarige eller, i fall av utlämnande, för den tredje part till vilka uppgifterna lämnats ut, och bör antas uppfylla de registrerades rimliga förväntningar baserat på dessas förhållande till den registeransvarige om mycket tydlig information ges om såväl rätten att göra invändningar som källan till personuppgifterna. Behandling av affärskontaktuppgifter bör i allmänhet betraktas som utförd för de berättigade intressena för den registeransvarige eller, i fall av utlämnande, för den tredje part till vilka uppgifterna lämnats ut, och bör i allmänhet anses uppfylla de registrerades rimliga förväntningar baserat på dessas förhållande till den registeransvarige. Samma princip bör vara tillämplig på behandling av personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade. [Ändr. 18]

(40)  Behandling av personuppgifter för andra ändamål bör endast vara tillåten när detta är förenligt med de ändamål som uppgifterna ursprungligen samlades in för, särskilt när behandlingen är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål. När ett annat ändamål inte är förenligt med det ursprungliga som uppgifterna samlas in för, bör den registeransvarige skaffa sig den registrerades samtycke för detta andra ändamål eller åberopa en annan legitim grund för laglig behandling, exempelvis föreskrifter i unionslagstiftning eller i den medlemsstats lagstiftning som den registeransvarige omfattas av. Under alla omständigheter bör principerna i denna förordning tillämpas, särskilt när det gäller informationen till den registrerade om dessa andra ändamål. [Ändr. 19]

(41)  Personuppgifter som till sin karaktär är särskilt känsliga och ömtåliga i förhållande till de grundläggande rättigheterna eller integriteten, förtjänar särskilt skydd. Sådana uppgifter bör inte behandlas, såvida inte den registrerade lämnar sitt uttryckliga samtycke. Undantag från detta förbud bör dock uttryckligen föreskrivas för att tillgodose specifika behov, främst när behandling inom ramen för legitima verksamheter utförs av vissa sammanslutningar eller stiftelser vars ändamål är att göra det möjlig att utöva grundläggande friheter. [Ändr. 20]

(42)  Undantag från förbudet att behandla känsliga uppgiftskategorier bör även tillåtas om de grundar sig på lagstiftning och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när samhälleliga intressen motiverar detta och i synnerhet för hälsosyften, bl.a. folkhälsa och social trygghet samt administration av hälso- och sjukvårdstjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet för de förfaranden som används vid prövning av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, eller för historiska, statistiska och vetenskapliga forskningsändamål eller för arkivtjänster. [Ändr. 21]

(43)  Myndigheters behandling av personuppgifter på officiellt erkända religiösa sammanslutningars vägnar för att uppfylla målsättningar som uttrycks i grundlag eller genom folkrätten anses också grunda sig på samhälleliga intressen.

(44)  Om det för att det demokratiska systemet ska fungera i samband med allmänna val är nödvändigt att politiska partier i vissa medlemsstater samlar in uppgifter om enskilda personers politiska uppfattningar får behandling av sådana uppgifter tillåtas i det allmännas intresse, på villkor att bestämmelser finns om lämpliga skyddsåtgärder.

(45)  Om de uppgifter som behandlas av registeransvariga inte innebär att de kan identifiera fysiska personer bör de registeransvariga inte vara tvungna att skaffa ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Om en registeransvarig mottar en begäran om tillgång bör denne ha rätt att be den begärande registrerade personen om ytterligare information för att kunna lokalisera de personuppgifter som denne söker. Om det är möjligt för den registrerade att tillhandahålla sådana uppgifter bör de registeransvariga inte kunna åberopa avsaknad av information för att vägra tillmötesgå en begäran om tillgång. [Ändr. 22]

(46)  Öppenhetsprincipen kräver att all information som riktar sig till allmänheten eller till registrerade är lätt åtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk. Detta är särskilt relevant när mängden av olika aktörer och den tekniska komplexiteten i vissa situationer, exempelvis i fråga om reklam på nätet, försvårar för de registrerade att känna till och förstå om personuppgifter som rör dem samlas in, vem som gör det och för vilket syfte. Mot bakgrund av att barn förtjänar särskilt skydd bör all information och kommunikation som riktar sig särskilt till barn ges på ett tydligt och enkelt språk som barnet lätt kan förstå.

(47)  Förfaranden bör fastställas som gör det lättare för registrerades att utöva sina rättigheter enligt denna förordning, bl.a. mekanismer för att kostnadsfritt särskilt begära få tillgång till uppgifterna, rättelser, radering och att utöva rätten att göra invändningar. Registeransvariga bör inom en fastställd tidsfrist rimlig tid vara skyldiga att besvara registrerades önskemål och lämna en motivering om den registrerades önskemål inte kan uppfyllas. [Ändr. 23]

(48)  Principerna om rättvis och öppen behandling fordrar att den registrerade informeras särskilt om att behandling sker och syftet med den, hur länge uppgifterna sannolikt kommer att lagras för varje syfte, om uppgifterna kommer att överföras till tredje parter eller tredjeländer, befintliga verktyg för att göra invändningar och rätten att få tillgång till dem, rätta eller radera dem samt rätten att lämna in klagomål. När uppgifterna samlas in från de registrerade bör dessa även informeras om huruvida de är skyldiga att lämna uppgifterna, och om konsekvenserna i det fall de inte lämnar dem. Denna information bör tillhandahållas, vilket även kan innebära göras lättillgänglig för, de registrerade efter det att förenklad information tillhandahållits i form av standardiserade symboler. Detta bör också innebära att personuppgifterna behandlas på ett sätt som ger de registrerade möjlighet att effektivt utöva sina rättigheter. [Ändr. 24]

(49)  Information om behandling av personuppgifter som rör registrerade bör lämnas till dem vid den tidpunkt då uppgifterna samlas in, eller om uppgifterna inte samlas in direkt från de registrerade, inom en rimlig period, beroende på omständigheterna i fallet. När uppgifter legitimt kan lämnas ut till en annan mottagare bör de registrerade informeras första gången uppgifterna lämnas ut till den mottagaren.

(50)  Det är dock inte nödvändigt att införa någon sådan skyldighet när de registrerade redan förfogar över känner till denna information eller när registreringen eller utlämnandet av uppgifterna uttryckligen föreskrivs i lag eller när det visar sig vara omöjlig eller skulle medföra orimliga ansträngningar att tillhandahålla de registrerade informationen. Det sistnämnda skulle särskilt kunna vara fallet när behandlingen sker för historiska, statistiska eller vetenskapliga forskningsändamål. Vid bedömningen kan hänsyn tas till antalet registrerade, uppgifternas ålder och eventuella kompenseringsåtgärder. [Ändr. 25]

(51)  Alla bör ha rätt att få tillgång till uppgifter som insamlats om dem och enkelt kunna utöva denna rätt så att de är medvetna om att behandling sker och kan kontrollera att den är laglig. Alla registrerade bör därför ha rätt att känna till och få underrättelse om framför allt orsaken till att uppgifterna behandlas, vilken tidsperiod behandlingen pågår beräknas pågå, vilka som mottar uppgifterna personuppgifterna, de behandlade uppgifternas personuppgifternas allmänna bakomliggande logik och, åtminstone när behandlingen bygger på profilering, vilka konsekvenserna kan bli. Denna rättighet bör inte inverka menligt på andra rättigheter och friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på, exempelvis när det gäller upphovsrätt som skyddar programvaran. Dessa överväganden bör dock inte utmynna i att den registrerade förvägras all information. [Ändr. 26]

(52)  Registeransvariga bör vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad som begär tillgång, särskilt inom ramen för nättjänster och i fråga om nätidentifierare. Registeransvariga bör inte behålla personuppgifter enbart för att kunna agera vid en potentiell sådan begäran.

(53)  Alla bör ha rätt till rättelse av sina personuppgifter och en ”rätt att bli bortglömd till radering” när lagring av uppgifterna inte stämmer överens med denna förordning. Registrerade bör särskilt ha rätt att få sina personuppgifter raderade och kunna begära att dessa uppgifter inte behandlas om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om de registrerade har återtagit sitt samtycke till behandling eller om de registrerade invänder mot behandling av personuppgifter som rör dem eller när behandlingen av deras personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Ytterligare lagring av uppgifterna bör dock tillåtas när så behövs för historiska, statistiska och vetenskapliga forskningsändamål, i det allmännas intresse på folkhälsoområdet, för utövandet av yttrandefriheten, när lagen så kräver eller när det finns anledning att begränsa behandlingen av uppgifterna i ställe för att radera dem. Rätten till radering bör heller inte tillämpas om det är nödvändigt att lagra personuppgifterna för verkställande av ett avtal med den registrerade eller om det finns en rättslig förpliktelse att lagra uppgifterna. [Ändr. 27]

(54)  För att stärka ”rätten att bli bortglömd till radering” i nätmiljön bör rätten till radering även utvidgas på ett sådant sätt att registeransvariga som offentliggjort personuppgifter utan stöd i lagen bör vara förpliktigade att informera tredje part som behandlar dessa uppgifter om att en registrerad person begärt att de ska radera alla länkar till och kopior eller reproduktioner av dessa personuppgifter. För att säkerställa informationen i fråga bör registeransvariga vidta alla rimliga åtgärder, däribland tekniska sådana, vad avser de uppgifter som de är ansvariga för. När tredje part offentliggör personuppgifter bör de registeransvariga anses bära ansvaret för offentliggörandet om de har lämnat tillstånd till det vidta alla åtgärder som krävs för att uppgifterna ska raderas, även genom tredje parts försorg, dock utan att det påverkar den registrerades rätt att kräva ersättning. [Ändr. 28]

(54a)  Uppgifter som den registrerade hävdar är inkorrekta och vars korrekthet eller inkorrekthet inte går att fastställa bör blockeras tills frågan klargjorts. [Ändr. 29]

(55)  För att ytterligare stärka de registrerades kontroll över sina egna uppgifter och rätt till tillgång bör de, när personuppgifter behandlas genom elektroniska medel och i strukturerat och gängse format, också ha rätt att få en kopia av uppgifter som rör dem i gängse elektroniskt format. Den registrerade bör även tillåtas överföra uppgifter som han eller hon själv har tillhandahållit från en automastisk tillämpning, exempelvis ett socialt nätverk, till en annan. Registeransvariga bör uppmuntras att utveckla interoperabla format som möjliggör uppgiftsportabilitet. Detta bör vara tillämpligt när de registrerade har lämnat uppgifterna till ett automastiskt databehandlingssystem, antingen efter att ha lämnat sitt samtycke eller inom ramen för genomförandet av ett avtal. De som tillhandahåller informationssamhällets tjänster bör inte göra överföring av dessa uppgifter till ett obligatoriskt villkor för tillhandahållandet av sina tjänster. [Ändr. 30]

(56)  I de fall när personuppgifter lagligen får behandlas för att skydda den registrerades grundläggande intressen eller på grund av samhälleliga intressen, myndighetsutövning eller en registeransvarigs berättigade intressen bör alla registrerade personer likväl ha rätt att kostnadsfritt och på ett enkelt och verkningsfullt sätt göra invändningar mot behandling av alla uppgifter som rör dem. Den registeransvarige bör åläggas bevisbördan när det gäller att visa att deras berättigade intressen kan överskugga den registrerades intressen eller grundläggande rättigheter och friheter. [Ändr. 31]

(57)  När personuppgifter behandlas för direkt marknadsföring bör den registrerade ha har rätt att kostnadsfritt och på ett enkelt och effektivt sätt resa invändningar mot behandlingen bör den registeransvarige uttryckligen erbjuda den registrerade detta på ett begripligt sätt och i en begriplig form genom att använda ett klart och tydligt språk samt tydligt åtskilja detta från övrig information. [Ändr. 32]

(58)  Utan att det påverkar uppgiftsbehandlingens lagenlighet bör fysiska personer bör inte vara tvungna ha rätt att underkasta sig åtgärder som bygger på resa invändningar mot profilering genom automatisk behandling. Sådana Profilering som leder till åtgärder som har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar den berörda registrerades intressen, rättigheter eller friheter bör dock endast godtas när de uttryckligen är tillåtna enligt lag, när de vidtas vid ingåendet eller genomförandet av ett avtal eller när den registrerade har gett sitt samtycke. Denna form av uppgiftsbehandling bör emellertid omgärdas av lämpliga skyddsåtgärder, bl.a. särskild information till den registrerade, rätt till personlig kontakt bedömning samt att garantier för att åtgärderna inte berör barn. Sådana åtgärder bör inte leda till diskriminering av enskilda på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, sexuell läggning eller könsidentitet. [Ändr. 33]

(58a)   Profilering som bygger enbart på behandling av pseudonymiserade uppgifter bör antas inte i betydande grad påverka den registrerades intressen, rättigheter eller friheter. Om profileringen, baserad på antingen pseudonymiserade uppgifter från en enda källa eller aggregering av pseudonymiserade uppgifter från olika källor, gör det möjligt för den registeransvarige att hänföra pseudonymiserade uppgifter till en specifik registrerad bör de behandlade uppgifterna inte längre betraktas som pseudonymiserade. [Ändr. 34]

(59)  Begränsningar av specifika principer och av rätten till information, tillgång, rättelse och radering eller av rätten att få tillgång till uppgiftsportabilitet och erhålla uppgifter, av rätten att göra invändningar, av profileringsbaserade åtgärder profilering samt information till den registrerade om personuppgiftsbrott och av vissa av den registeransvariges relaterade skyldigheter kan införas genom unionslagstiftning eller nationell lagstiftning, i den mån de är nödvändiga och proportionella i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten, exempelvis för att skydda människoliv särskilt vid naturkatastrofer eller katastrofer framkallade av människan, vid förebyggande, utredning och lagföring av brott eller överträdelser av etiska principer för reglerade yrken, vad gäller unionens eller en medlemsstats övriga specifika och väldefinierade allmänna intressen, särskilt om de är av stort ekonomiskt eller finansiellt intresse för unionen eller en medlemsstat, eller vad gäller skydd av den registrerade eller andras rättigheter och friheter. Dessa begränsningar bör stå i samklang med kraven i stadgan och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. [Ändr. 35]

(60)  Registeransvariga bör åläggas ett heltäckande ansvar för all behandling av personuppgifter som de utför eller som utförs på deras vägnar, särskilt när det gäller dokumentation, uppgiftsskydd, konsekvensbedömningar, uppgiftsskyddsombudet och tillsyn genom försorg av myndigheter som ansvarar för uppgiftsskydd. Registeransvariga bör särskilt säkerställa och vara skyldiga att och kunna visa att varje behandling är förenlig med denna förordning. Detta bör kontrolleras av oberoende interna eller externa granskare. [Ändr. 36]

(61)  Skyddet av de registrerades fri- och rättigheter i samband med behandling av personuppgifter kräver lämpliga tekniska och organisatoriska åtgärder vidtas både när behandlingen utformas och i själva behandlingsögonblicket så att kraven i denna förordning uppfylls. För att säkerställa och visa att denna förordning följs, bör den registeransvarige anta interna strategier och vidta lämpliga åtgärder, särskilt för att uppfylla principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard. Principen om inbyggt uppgiftsskydd kräver att uppgiftsskyddet beaktas under teknikens hela livscykel, från det tidiga utformningsstadiet till slutgiltigt ibruktagande, användning och slutligt bortskaffande. Detta bör även inbegripa ansvaret för de produkter och tjänster som den registeransvarige eller registerföraren använder. Principen om uppgiftsskydd som standard kräver dessutom att integritetsinställningarna för tjänster och produkter i standardfallet bör överensstämma med de allmänna uppgiftsskyddsprinciperna, såsom uppgiftsminimering och ändamålsbegränsning. [Ändr. 37]

(62)  Skyddet av de registrerades rättigheter och friheter samt de registeransvarigas och registerförarna ansvar, också i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när registeransvariga bestämmer ändamål, villkor och medel för en behandling gemensamt tillsammans med andra registeransvariga eller när en behandling utförs på en registeransvarigs vägnar. Arrangemanget mellan de gemensamma registeransvariga bör återspegla de gemensamma registeransvarigas roller och relationer i praktiken. Behandlingen av personuppgifter enligt denna förordning bör inbegripa tillstånd för en registeransvarig att överföra uppgifterna till en gemensam registeransvarig eller till en registerförare för behandling av uppgifterna på deras vägnar. [Ändr. 38]

(63)  När registeransvariga som inte är etablerade inom unionen behandlar personuppgifter om registrerade som bor inom unionen, och det bakomliggande syftet med uppgiftsbehandlingen är att erbjuda de registrerade personerna varor och tjänster eller att övervaka deras beteende, bör de registeransvariga utnämna en företrädare, såvida inte de inte är etablerade i ett tredjeland som har en adekvat skyddsnivå, – eller uppgiftsbehandlingen gäller färre än 5 000 registrerade under en sammanhängande period på 12 månader och inte utförs på särskilda kategorier av personuppgifter – eller de registeransvariga är ett litet eller medelstort företag eller en myndighet eller ett organ, eller när de registeransvariga bara undantagsvis erbjuder varor eller tjänster till de registrerade. Företrädaren bör agera på den registeransvariges vägnar och kan kontaktas av samtliga tillsynsmyndigheter. [Ändr. 39]

(64)  För att avgöra om registeransvariga endast undantagsvis erbjuder varor och tjänster till registrerade som bor inom unionen bör det utrönas om det är uppenbart med anledning av den registeransvariges övergripande verksamheter att erbjudandet av varor och tjänster till dessa registrerade personer är sidoverksamhet till huvudverksamheten. [Ändr. 40]

(65)  För att kunna påvisa att denna förordning följs, bör de registeransvariga eller registerförarna dokumentera varje behandling upprätthålla den dokumentation som krävs för att uppfylla kraven i denna förordning. Alla registeransvariga och registerförare bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra dokumenteringen tillgänglig så att den kan tjäna som grund för övervakningen av behandlingen utvärderingen av huruvida denna förordning följs. Lika stor vikt bör dock fästas vid god praxis och efterlevnad och inte bara vid slutförande av dokumentationen. [Ändr. 41]

(66)  För att bibehålla säkerheten och förhindra behandling som bryter mot denna förordning bör registeransvariga eller registerförare utvärdera de risker som hör till behandlingen och vidta åtgärder för att mildra dem. Åtgärderna bör leda till en lämplig säkerhetsnivå med hänsyn till dagens tekniska utveckling och till kostnaderna för genomförandet med hänsyn till riskerna och vilken typ av personuppgifter som ska skyddas. Vid införandet av tekniska standarder och organisatoriska åtgärder som ska borga för säkerheten vid behandling bör kommissionen främja teknikneutralitet, interoperabilitet och innovation främjas, och om så är lämpligt samarbeta samarbete med tredjeland tredjeländer uppmuntras. [Ändr. 42]

(67)  Ett personuppgiftsbrott som inte snabbt åtgärdas på lämpligt sätt kan för den enskilde leda till betydande ekonomisk förlust eller social skada. Registeransvariga bör därför så snart de blir medvetna om ett sådant brott anmäla det till tillsynsmyndigheten utan onödigt dröjsmål och, när så är möjligt, inom 24 vilket bör antas vara senast efter 72 timmar. Om detta inte kan uppnås inom 24 timmar tillämpligt bör en förklaring av skälen till fördröjningen åtfölja anmälan. Enskilda personer vars personuppgifter kan påverkas negativt av brottet bör meddelas utan onödig fördröjning så att de kan vidta nödvändiga försiktighetsåtgärder. Ett brott bör anses negativt påverka en registrerad persons personuppgifter eller integritet när det exempelvis kan leda till identitetsstöld eller bedrägeri, fysik skada, betydande förödmjukelse eller skadat anseende. Anmälan bör beskriva personuppgiftsbrottets art och formulera rekommendationer för berörd enskild person om hur de potentiella negativa effekterna kan mildras. De registrerade bör meddelas så snart detta rimligtvis är möjligt, i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra relevanta myndigheter (t.ex. brottsbekämpande myndigheter). För att den drabbade personen ska kunna mildra en omedelbar skaderisk bör han eller hon meddelas omedelbart. Däremot kan behovet att vidta lämpliga åtgärder vid fortlöpande eller likartade personuppgiftsbrott motivera en viss fördröjning. [Ändr. 43]

(68)  För att avgöra om tillsynsmyndigheten och den registrerade fått meddelande om ett personuppgiftsbrott utan onödigt dröjsmål bör det utrönas om den registeransvarige har infört och tillämpat lämpligt tekniskt skydd och lämpliga organisatoriska åtgärder för att omedelbart fastställa om ett personuppgiftsbrott har ägt rum och skyndsamt informera tillsynsmyndigheten och den registrerade innan några skador uppstår på personliga och ekonomiska intressen, med hänsyn tagen bl.a. till personuppgiftsbrottets art och svårhetsgrad och dess följder och negativa effekter på den registrerade.

(69)  När ingående regler fastställs för format och förfaranden för anmälan av personuppgiftsbrott, bör vederbörlig hänsyn tas till omständigheterna kring brottet, däribland om personuppgifterna var skyddade av lämpliga tekniska skyddsåtgärder som betydligt begränsar sannolikheten för identitetsbedrägeri eller andra former av missbruk. Dessutom bör sådana regler och förfaranden beakta brottsbekämpande myndigheters berättigade intressen i fall där en för tidig redovisning kan riskera att i onödan hämma utredning av omständigheterna kring ett brott.

(70)  Direktiv 95/46/EG innehöll bestämmelser om en allmän skyldighet att anmäla behandling av personuppgifter till tillsynsmyndigheterna. Denna skyldighet medförde administrativa och ekonomiska bördor, men förbättrade inte alltid personuppgiftsskyddet. Denna övergripande och allmänna anmälningsskyldighet bör därför avskaffas och ersättas av effektiva förfaranden och en mekanism som i stället fokuseras på de behandlingar som sannolikt utsätter de registrerades rättigheter och friheter för särskilda risker i kraft av sin karaktär, omfattning eller ändamål. I sådana fall bör den registeransvarige eller registerföraren före behandlingen göra en konsekvensbedömning avseende uppgiftsskydd, som främst bör innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska säkerställa personuppgiftskyddet och som ska visa att denna förordning efterlevs.

(71)  Detta bör särskilt vara tillämpligt på nyligen etablerade storskaliga register, vars syfte är behandla betydande mängder personuppgifter på regional, nationell eller övernationell nivå och som skulle kunna påverka ett stort antal av de registrerade.

(71a)  Konsekvensbedömningar är en oumbärlig del av varje hållbar ram för uppgiftsskydd, eftersom de säkerställer att företag redan från början är medvetna om alla möjliga konsekvenser av uppgiftsbehandlingen. Genom grundliga konsekvensbedömningar kan risken för personuppgiftsbrott eller integritetskränkande åtgärder begränsas väsentligt. I konsekvensbedömningar avseende uppgiftsskydd bör man följaktligen alltid ta hänsyn till hela livscykelhanteringen av personuppgifter, från insamling och behandling till radering, och i detalj beskriva vilka behandlingar som planeras, vilka risker de innebär för de registrerades rättigheter och friheter, vilka åtgärder som vidtas för att hantera riskerna samt vilka skyddsåtgärder, säkerhetsåtgärder och rutiner som tillämpas för att se till att denna förordning följs. [Ändr. 44]

(71b)  Registeransvariga bör fokusera på att skydda personuppgifter under hela deras livscykel, från insamling och behandling till radering, genom att redan från början investera i en hållbar ram för uppgiftshantering och genom att följa upp med heltäckande rutiner för överensstämmelse. [Ändr. 45]

(72)  Ibland kan det vara förnuftigt och ekonomiskt att en konsekvensbedömning avseende uppgiftsskydd inriktar sig på ett vidare område än ett enda projekt, exempelvis när myndigheter eller organ avser att skapa en gemensam tillämpnings- eller behandlingsplattform eller när flera registeransvariga planerar att införa en gemensam tillämpnings- eller behandlingsmiljö för en hel bransch eller ett helt segment eller för en allmänt utnyttjad horisontell verksamhet.

(73)  Konsekvensbedömningar avseende uppgiftsskydd bör göras av en myndighet eller ett offentligt organ om en sådan bedömning inte redan har gjorts i samband med antagandet av den nationella lagstiftning som utförandet av myndighetens eller det offentliga organets arbetsuppgifter bygger på, och som reglerar den aktuella specifika behandlingsåtgärden eller serien av åtgärder. [Ändr. 46]

(74)  Om det av en konsekvensbedömning avseende uppgiftsskydd framgår att behandlingen innebär att de registrerades rättigheter och friheter utsätts för höggradiga särskilda risker, exempelvis att enskilda fråntas sina rättigheter eller genom att särskild ny teknik används, bör innan behandlingen inleds samråd ske med uppgiftsskyddsombudet eller tillsynsmyndigheten om den behandling som medför risker och eventuellt inte överensstämmer med denna förordning och förslag lämnas som åtgärdar situationen. Denna typ av Samråd med tillsynsmyndigheten bör även ske som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd som definierar behandlingens art och anger lämpliga skyddsåtgärder. [Ändr. 47]

(74a)  Konsekvensbedömningar kan vara till hjälp endast om registeransvariga ser till att de åtaganden som fastställs i dem fullgörs. Därför bör registeransvariga genomföra periodiska översyner av uppgiftsskyddet som visar att de befintliga rutinerna för uppgiftsbehandling överensstämmer med utfästelserna i konsekvensbedömningen avseende uppgiftsskydd. De bör även visa på den registeransvariges förmåga att respektera de självständiga val som görs av de registrerade. Om bristande överensstämmelse upptäcks vid översynen bör de framhäva detta och lägga fram rekommendationer om hur fullständig överensstämmelse ska kunna uppnås. [Ändr. 48]

(75)  När en behandling utförs inom den offentliga sektorn eller av ett stort företag när en behandling inom den privata sektorn omfattar fler än 5 000 registrerade under en period på 12 månader, eller när ett företags kärnverksamheter, oavsett företagets storlek, inbegriper behandling av känsliga uppgifter eller behandling som kräver regelbunden och systematisk övervakning bör en person bistå den registeransvarige eller registerföraren för att övervaka den interna efterlevnaden av denna förordning. Arkiverade uppgifter som är begränsade på ett sådant sätt att de inte omfattas av den registeransvariges gängse tillgång till uppgifter och behandling och uppgifter som inte längre kan ändras bör inte beaktas vid fastställandet av om uppgifter om ett stort antal registrerade behandlas. Denna typ av uppgiftsskyddsombud bör, vare sig de är anställda av den registeransvarige eller ej och vare sig de arbetar heltid eller ej, kunna fullgöra sitt uppdrag och utföra sina arbetsuppgifter på ett oberoende sätt och ha ett särskilt anställningsskydd. Det slutgiltiga ansvaret bör ligga hos organisationens ledning. För att säkerställa att principerna om inbyggt integritetsskydd och integritetsskydd som standard efterlevs bör uppgiftsskyddsombudet rådfrågas särskilt före utformning, upphandling, utveckling och inrättande av system för automatisk behandling av personuppgifter. [Ändr. 49]

(75a)  Uppgiftsskyddsombudet bör minst ha följande kvalifikationer: omfattande kunskap om uppgiftsskyddslagstiftningens innehåll och tillämpning, inklusive tekniska och organisatoriska åtgärder och förfaranden, kunskap om de tekniska kraven för inbyggt integritetsskydd, integritetsskydd som standard samt datasäkerhet, branschspecifik kunskap som står i proportion till omfattningen av den registeransvariges eller registerförarens verksamhet samt hur känsliga de uppgifter som ska behandlas är, förmåga att utföra inspektioner, sökningar, dokumentering och analys av loggfiler samt förmåga att arbeta med personalombudsfrågor. Den registeransvarige bör ge uppgiftsskyddsombudet möjlighet att delta i avancerad utbildning så att han eller hon kan upprätthålla den specialiserade kunskap som behövs i arbetet. Utnämningen till uppgiftsskyddsombud kräver inte nödvändigtvis heltidssysselsättning för respektive anställd. [Ändr. 50]

(76)  Sammanslutningar eller andra organ som företräder kategorier av registeransvariga bör uppmuntras att, efter samråd med de anställdas företrädare, utarbeta uppförandekodexar inom gränserna för denna förordning, så att tillämpningen av förordningen effektiviseras, under beaktande av de särdrag som finns vid behandling som sker inom vissa sektorer. Sådana kodexar bör göra det lättare för branschen att efterleva denna förordning. [Ändr. 51]

(77)  För att förbättra öppenheten och efterlevnaden av denna förordning bör införandet av certifieringsmekanismer, uppgiftsskyddsförsegling och uppgiftsskyddsmärkning standardiserad märkning uppmuntras, så att registrerade snabbt, tillförlitligt och verifierbart kan bedöma nivån på relevanta produkters och tjänsters uppgiftsskydd. En europeisk uppgiftsskyddsförsegling bör inrättas på europeisk nivå för att skapa förtroende hos de registrerade och klarhet om rättsläget för de registeransvariga och samtidigt exportera unionens uppgiftsskyddsstandarder genom att företag från länder utanför unionen lättare kan ta sig in på unionsmarknaderna om de är certifierade. [Ändr. 52]

(78)  Gränsöverskridande flöden av personuppgifter är nödvändiga för utvecklingen av internationell handel och internationellt samarbete. Ökningen av dessa flöden har medfört nya utmaningar och nya farhågor när det gäller skyddet av personuppgifter. Det är viktigt att den skyddsnivå som enskilda garanteras inom unionen genom denna förordning inte undergrävs när personuppgifter överförs från unionen till tredjeland eller till internationella organisationer. Överföringar till tredjeländer får under alla omständigheter endast utföras i full överensstämmelse med denna förordning.

(79)  Denna förordning påverkar inte internationella avtal mellan unionen och tredjeländer som reglerar överföring av personuppgifter, däribland lämpliga skyddsåtgärder som gagnar de registrerade, med garantier för en adekvat skyddsnivå för medborgarnas grundläggande rättigheter. [Ändr. 53]

(80)  Kommissionen kan med verkan för hela unionen fastställa att vissa tredjeländer, ett visst territorium eller en viss behandlande sektor i ett tredjeland eller en internationell organisation kan garantera adekvat uppgiftsskydd, och på så sätt skapa rättssäkerhet och enhetlighet i hela unionen vad gäller dessa tredjeländer eller internationella organisationer. I dessa fall får överföringar av personuppgifter till dessa länder ske utan vidare tillstånd. Kommissionen kan också efter att ha varslat tredjelandet i fråga och lämnat en fullständig motivering besluta att ett sådant beslut ska återkallas. [Ändr. 54]

(81)  I linje med de grundläggande värderingar som unionen bygger på, bl.a. skyddet av mänskliga rättigheter, bör kommissionen i sin bedömning av tredjeländer beakta hur ett visst tredjeland respekterar rättsstatsprincipen, tillgången till rättslig prövning samt internationella människorättsnormer och -standarder.

(82)  Kommissionen kan likaså konstatera att ett tredjeland, ett visst territorium eller en viss behandlande sektor i ett tredjeland eller en internationell organisation inte garanterar adekvat skyddsnivå. Lagstiftning som föreskriver extraterritoriell åtkomst till personuppgifter som behandlas i unionen utan tillstånd enligt unionens eller medlemsstaternas lagstiftning bör betraktas som ett tecken på att adekvat skyddsnivå saknas. Överföring av personuppgifter till detta tredjeland bör då förbjudas. I så fall bör det finnas möjlighet till samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer. [Ändr. 55]

(83)  Saknas beslut om adekvat skyddsnivå bör den registeransvarige eller registerföraren vidta åtgärder för att kompensera för det bristande uppgiftsskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av bindande företagsbestämmelser, standardbestämmelser om uppgiftsskydd som antagits av kommissionen, standardbestämmelser om uppgiftsskydd som antagits av en tillsynsmyndighet, eller avtalsbestämmelser som godkänts av en tillsynsmyndighet eller andra passande och proportionella åtgärder som kan vara motiverade med hänsyn till alla omständigheterna kring en uppgiftsöverföring eller en serie av uppgiftsöverföringar och som har godkänts av en tillsynsmyndighet. Genom dessa lämpliga skyddsåtgärder bör respekten upprätthållas för de registrerades rättigheter på ett adekvat sätt för behandling av uppgifter inom unionen, i synnerhet när det gäller ändamålsbegränsning, rätten till tillgång, rättelse eller radering och rätten att begära ersättning. Dessa skyddsåtgärder bör i synnerhet garantera respekten för principerna för behandling av personuppgifter, trygga de registrerades rättigheter och säkerställa ändamålsenliga prövningsmekanismer, garantera respekten för principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard och säkerställa att det finns ett uppgiftsskyddsombud. [Ändr. 56]

(84)  Registeransvarigas eller registerförares möjlighet att använda standardiserade uppgiftsskyddsbestämmelser som antagits av kommissionen eller av en tillsynsmyndighet bör inte hindra att de infogar standardiserade uppgiftsskyddsbestämmelser i ett vidare avtal eller lägger till andra bestämmelser eller kompletterande skyddsåtgärder såvida dessa inte, direkt eller indirekt, står i strid mot standardavtalsklausuler som antagits av kommissionen eller av en tillsynsmyndighet eller påverkar de registrerades grundläggande rättigheter eller friheter. De standardiserade uppgiftsskyddsbestämmelser som kommissionen antar skulle kunna omfatta olika situationer, närmare bestämt överföringar från registeransvariga etablerade i unionen till registeransvariga etablerade utanför unionen och från registeransvariga etablerade i unionen till registerförare – inklusive deras underleverantörer – etablerade utanför unionen. Registeransvariga och registerförare bör uppmuntras att tillhandahålla ännu mer kraftfulla skyddsåtgärder via ytterligare avtalsmässiga åtaganden som kompletterar de standardiserade skyddsbestämmelserna. [Ändr. 57]

(85)  En företagsgrupp bör kunna använda sig av godkända bindande företagsregler företagsbestämmelser för sina internationella överföringar från unionen till organisationer inom samma företagsgrupp, i den mån företagsreglerna företagsbestämmelserna inbegriper alla nödvändiga principer och bindande rättigheter som garanterar lämpliga skyddsåtgärder för överföringar eller serier av överföringar av personuppgifter. [Ändr. 58]

(86)  Bestämmelser bör införas som ger möjlighet att under vissa omständigheter göra överföringar om den registrerade har lämnat sitt samtycke, när överföringen är nödvändig med hänsyn till ett avtal eller ett rättsligt anspråk, när viktiga samhälleliga intressen fastställda genom unionell eller nationell lag så kräver eller när överföringen görs från ett register som inrättats genom lag och är avsett att konsulteras av allmänheten eller av personer med ett berättigat intresse. I sistnämnda fall bör en sådan överföring inte omfatta alla uppgifter eller hela kategorier av uppgifter som finns i registret. När registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska bör överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna, samtidigt som fullständig hänsyn tas till den registrerades intressen och grundläggande rättigheter. [Ändr. 59]

(87)  Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga för att skydda viktiga samhälleliga intressen, exempelvis vid internationella uppgiftsöverföringar mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, mellan socialförsäkringsmyndigheter eller folkhälsomyndigheter, eller till myndigheter som är behöriga att förebygga, utreda, avslöja och lagföra brott, inbegripet för förebyggande av penningtvätt och för kampen mot finansiering av terrorism. En överföring av personuppgifter bör likaså betraktas som lagenlig om den är nödvändig för att skydda ett intresse som är väsentligt för den registrerades eller en annan persons liv, om den registrerade är oförmögen att ge sitt samtycke. Överföring av personuppgifter som grundas på sådana viktiga samhällsintressen bör användas endast för enstaka överföringar. I varje enskilt fall bör en omsorgsfull bedömning göras av alla omständigheter för den överföring som ska utföras. [Ändr. 60]

(88)  Överföringar som inte kan anses vara ofta återkommande eller omfattande bör också vara möjliga när registeransvariga eller registerförare har berättigade intressen för detta och sedan de har bedömt omständigheterna kring uppgiftsöverföringen. Vid behandling för historiska, statistiska och vetenskapliga forskningsändamål bör hänsyn tas till samhällets legitima förväntningar om kunskaps­ökning. [Ändr. 61]

(89)  Om kommissionen inte har fattat beslut om adekvat uppgiftsskyddsnivå i ett tredjeland bör den registeransvarige eller registerföraren i alla fall använda sig av lösningar som ger de registrerade en rättsligt bindande garanti för att de fortsatt kan utöva sina grundläggande rättigheter och att skyddsåtgärderna kvarstår vad gäller behandling av deras personuppgifter inom unionen när dessa uppgifter väl har överförts, i den mån behandlingen inte är omfattande, upprepad eller systematisk. Denna garanti bör omfatta ekonomisk gottgörelse vid förlust eller otillåten tillgång till eller behandling av uppgifter samt en skyldighet, oavsett nationell lagstiftning, att lämna ut all information om vilka uppgifter som myndigheterna i tredjelandet har haft tillgång till. [Ändr. 62]

(90)  Vissa tredjeländer har antagit lagar och andra författningar som syftar till att direkt reglera uppgiftsbehandling som utövas av fysiska och juridiska personer under medlemsstaternas jurisdiktion. Extraterritoriell tillämpning av dessa lagar och andra författningar kan strida mot internationell rätt och inverka menligt på det skydd av enskilda som garanteras inom unionen genom denna förordning. Överföringar bör endast tillåtas om villkoren i denna förordning för en överföring till tredjeländer är uppfyllda. Detta kan bl.a. vara fallet när utlämnande är nödvändigt på grund av ett viktigt samhällsintresse som erkänns i unionslagstiftningen eller i en medlemsstats lagstiftning som den registeransvarige omfattas av. Villkoren för att ett viktigt samhällsintresse ska anses föreligga bör ytterligare specificeras av kommissionen i en delegerad akt. I de fall då registeransvariga eller registerförare ställs inför motstridiga efterlevnadskrav mellan å ena sidan unionens jurisdiktion och å andra sidan ett tredjelands jurisdiktion bör kommissionen se till att unionsrätten alltid har företräde. Kommissionen bör tillhandahålla vägledning och stöd till den registeransvarige och registerföraren och sträva efter att lösa behörighetskonflikten med tredjelandet i fråga. [Ändr. 63]

(91)  När personuppgifter förs över gränser kan detta öka risken för att enskilda inte ska kunna utöva sina uppgiftsskyddsrättigheter, i första hand för att skydda sig från otillåten användning eller otillåtet utlämnande av denna information. Samtidigt kan tillsynsmyndigheter finna att de inte är i stånd att handlägga klagomål eller göra utredningar som gäller verksamheter utanför gränserna för deras land. Deras strävan att arbeta tillsammans över gränserna kan också hindras av otillräckliga preventiva eller korrigerande befogenheter, oenhetliga rättsliga regelverk, och praktiska hinder som exempelvis bristande resurser. Närmare samarbete måste därför främjas mellan uppgiftsskyddstillsynsmyndigheter för att hjälpa dem att utbyta information och utföra utredningar med sina internationella motsvarigheter.

(92)  För att skydda enskilda vid behandlingen av personuppgifter är det avgörande att medlemsstaterna inrättar tillsynsmyndigheter som utför sitt uppdrag under fullständigt oberoende. Medlemsstaterna kan inrätta fler än en tillsynsmyndighet om det behövs för att ta hänsyn till den egna konstitutionella, organisatoriska och administrativa strukturen. Tillsynsmyndigheterna bör ha tillräckliga ekonomiska och personella resurser för att kunna fullgöra sitt uppdrag, med hänsyn till befolkningens storlek och omfattningen på behandlingen av personuppgifter. [Ändr. 64]

(93)  I det fall en medlemsstat inrättar flera tillsynsmyndigheter bör den lagstiftningsvägen införa åtgärder som säkerställer att dessa tillsynsmyndigheter effektivt deltar i mekanismen för enhetlighet. Medlemsstaten bör i detta fall utnämna en tillsynsmyndighet som fungerar som samlande kontaktpunkt för dessa myndigheters effektiva deltagande i mekanismen för att säkra ett snabbt och smidigt samarbete med övriga tillsynsmyndigheter, Europeiska dataskyddsstyrelsen och kommissionen.

(94)  Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser – med särskilt fokus på adekvat teknisk och juridisk kompetens hos personalen – och de lokalutrymmen samt den infrastruktur som krävs för att den effektivt ska kunna utföra sina arbetsuppgifter, däribland de arbetsuppgifter som är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen. [Ändr. 65]

(95)  De allmänna villkoren för tillsynsmyndighetens ledamöter bör fastställas genom lag i varje medlemsstat. Bestämmelserna bör bl.a. föreskriva att de ska utnämnas antingen av parlamentet eller av medlemsstatens regering, varvid risken för politisk inblandning bör minimeras på vederbörligt sätt, och inkludera regler om deras personliga kvalifikationer och, undvikande av intressekonflikter samt deras ställning. [Ändr. 66]

(96)  Tillsynsmyndigheterna bör övervaka tillämpningen av bestämmelserna i denna förordning och bidra till att tillämpningen blir enhetlig over hela unionen för att skydda fysiska personer vid behandling av deras personuppgifter och för att underlätta det fria flödet av personuppgifter inom den inre marknaden. För detta ändamål bör tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen.

(97)  Om behandlingen av personuppgifter inom ramen för den verksamhet som en registeransvarig eller registerförare bedriver inom unionen äger rum i fler än en medlemsstat bör en enda tillsynsmyndighet vara behörig att övervaka den registeransvariges eller registerförarens verksamheter agera som den gemensamma kontaktpunkten och den ansvariga myndigheten med ansvar för tillsynen över registeransvariga och registerförare i hela unionen och fatta alla därmed sammanhängande beslut. Detta för att öka enhetligheten i tillämpningen, skapa rättssäkerhet och minska den administrativa bördan för dessa registeransvariga och registerförare. [Ändr. 67]

(98)  Den behöriga ansvariga myndighet som tar på sig detta bör vara tillsynsmyndigheten i den medlemsstat där den registeransvarige eller registerföraren har sitt huvudsakliga verksamhetsställe eller sin företrädare. I vissa fall kan Europeiska dataskyddsstyrelsen, genom mekanismen för enhetlighet, utse den ansvariga myndigheten på begäran av en behörig myndighet. [Ändr. 68]

(98a)  Registrerade vilkas personuppgifter behandlas av en registeransvarig eller en registerförare i en annan medlemsstat bör kunna lämna in klagomål till valfri tillsynsmyndighet. Den ansvariga dataskyddsmyndigheten bör samordna sitt arbete med övriga involverade myndigheter. [Ändr. 69]

(99)  Denna förordning är visserligen tillämplig på nationella domstolars verksamheter, men tillsynsmyndigheterna bör inte ha behörighet att övervaka behandling av personuppgifter i domstolarna när detta sker som en del av deras dömande verksamhet. Syftet är att garantera domarnas oberoende när de utför sina rättsliga arbetsuppgifter. Detta undantag bör dock vara strikt inskränkt till genuint rättsliga verksamheter i domstolsmål och inte vara tillämpligt på övriga verksamheter där domare i enlighet med nationell lagstiftning kan medverka.

(100)  För att denna förordning ska övervakas och verkställas på ett enhetligt sätt i hela unionen bör tillsynsmyndigheterna i alla medlemsstater ha samma uppdrag och effektiva befogenheter, bl.a. befogenheter att utreda, vidta rättsligt bindande åtgärder, fatta beslut och ålägga påföljder, särskilt vid klagomål från enskilda, samt delta i rättsliga förfaranden. Tillsynsmyndigheternas utredningsbefogenheter vad avser tillträde till lokaler bör utövas överensstämmelse med unionens och medlemsstaternas lagstiftning. Detta gäller särskilt kravet på att inhämta förhandstillstånd från rättsliga myndigheter.

(101)  Tillsynsmyndigheterna bör ta emot klagomål som lämnas in av registrerade eller av sammanslutningar som agerar i allmänintresset och utreda ärendena i fråga. Utredningen av ett klagomål bör, med förbehåll för eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör i rimlig tid informera den registrerade eller sammanslutningen om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om ärendet fordrar ytterligare utredning eller samordning med en annan tillsynsmyndighet bör den registrerade underrättas även om detta. [Ändr. 70]

(102)  Medvetandehöjande kampanjer som tillsynsmyndigheter genomför bör innefatta särskilda åtgärder riktade dels till registeransvariga och registerförare, exempelvis mikroföretag samt små och medelstora företag, dels till de registrerade.

(103)  Tillsynsmyndigheterna bör hjälpa varandra att utföra sina uppdrag och ge ömsesidigt bistånd så att denna förordning tillämpas och verkställs enhetligt på den inre marknaden.

(104)  Alla tillsynsmyndigheter bör ha rätt att delta i gemensamma insatser mellan tillsynsmyndigheter. Den anmodade tillsynsmyndigheten bör vara skyldig att besvara en begäran inom en fastställd tidsperiod.

(105)  För att denna förordning ska tillämpas enhetligt i hela unionen bör en mekanism för enhetlighet för samarbete mellan tillsynsmyndigheterna själva och kommissionen skapas. Denna mekanism bör främst vara tillämplig när en tillsynsmyndighet avser att vidta en åtgärd gällande behandlingar som avser erbjudande av varor eller tjänster till registrerade i flera medlemsstater, eller som avser övervakning av registrerade, eller som påtagligt kan påverka personuppgifternas fria flöde. Den bör också vara tillämplig när en tillsynsmyndighet eller kommissionen begär att ärendet bör hanteras inom ramen för mekanismen för enhetlighet. De registrerade bör vidare ha rätt till enhetlighet om de anser att en åtgärd som vidtagits av en medlemsstats dataskyddsmyndighet inte har uppfyllt detta villkor. Mekanismen bör inte påverka åtgärder som kommissionen kan komma att vidta när den utövar sina befogenheter enligt fördragen. [Ändr. 71]

(106)  Vid tillämpningen av mekanismen för enhetlighet bör Europeiska dataskyddsstyrelsen inom en fastställd tidsperiod avge ett yttrande, om en enkel majoritet av dess ledamöter så beslutar eller om någon tillsynsmyndighet eller kommissionen begär detta.

(106a)  För att säkerställa en enhetlig tillämpning av denna förordning kan Europeiska dataskyddsstyrelsen i enskilda fall anta beslut som är bindande för de behöriga tillsynsmyndigheterna. [Ändr. 72]

(107)  Kommissionen kan för att se till att denna förordning följs avge ett yttrande i denna fråga, eller fatta ett beslut som ålägger tillsynsmyndigheten att skjuta upp utkastet till åtgärd. [Ändr. 73]

(108)  Brådskande behov att agera kan uppstå för att skydda de registrerades intressen, särskilt när fara föreligger att säkerställandet av en registrerad persons rättighet kan komma att försvåras avsevärt. En tillsynsmyndighet bör därför kunna vidta preliminära åtgärder med viss giltighetsperiod när den tillämpar mekanismen för enhetlighet.

(109)  Tillämpningen av denna mekanism bör vara ett villkor för att en tillsynsmyndighets beslut ska var rättsligt giltiga och kunna verkställas. I andra ärenden som inbegriper flera länder kan ömsesidigt bistånd och gemensamma insatser komma ifråga mellan berörda tillsynsmyndigheter på bilateral eller multilateral basis utan att mekanismen för enhetlighet utlöses.

(110)  På unionsnivå bör en europeisk dataskyddsstyrelse inrättas. Den bör ersätta arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättas genom direktiv 95/46/EG. Den bör bestå av en chef för en tillsynsmyndighet i varje medlemsstat och av Europeiska datatillsynsmannen. Kommissionen bör delta i dess verksamheter. Europeiska dataskyddsstyrelsen bör bidra till denna förordnings enhetliga tillämpning i hela unionen, bl.a. genom att lämna råd till kommissionen unionens institutioner och främja samarbetet mellan tillsynsmyndigheterna i hela unionen, inbegripet samordning av gemensamma insatser. Europeiska dataskyddsstyrelsen bör agera oberoende när den utför sina arbetsuppgifter. Europeiska dataskyddsstyrelsen bör stärka dialogen med berörda parter, t.ex. sammanslutningar för registrerade, konsumentorganisationer, registeransvariga och andra berörda parter och experter. [Ändr. 74]

(111)  Alla Registrerade bör ha rätt klaga hos en tillsynsmyndighet i en medlemsstat och ha rätt till domstolsprövning ett effektivt rättsmedel i enlighet med artikel 47 i stadgan om de anser att deras rättigheter enligt denna förordning har kränkts eller om tillsynsmyndigheten inte reagerar på ett klagomål eller inte agerar när så är nödvändigt för att skydda de registrerades rättigheter. [Ändr. 75]

(112)  Alla organ, organisationer eller sammanslutningar som syftar till att skydda registrerades rättigheter vad gäller personuppgifter agerar i det allmännas intresse och som inrättats i enlighet med lagstiftningen i en medlemsstat bör ha rätt att klaga hos en tillsynsmyndighet eller på de registrerades vägnar om dessa gett sitt samtycke till detta eller utöva rätten till domstolsprövning om de registrerade gett dem ett sådant mandat, eller att oberoende av en registrerad persons klagomål själv klaga när de anser att ett personuppgiftsbrott har skett en överträdelse av denna förordning ägt rum. [Ändr. 76]

(113)  Varje fysisk eller juridisk person bör ha rätt till ett rättsmedel mot beslut rörande dem som meddelats av en tillsynsmyndighet. En eventuell talan mot en tillsynsmyndighet bör väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte.

(114)  För att stärka de registrerades rättsliga skydd i situationer då den behöriga tillsynsmyndigheten är belägen i en annan medlemsstat än den där den de registrerade bor, kan dessa begära att ge organ, organisationer eller sammanslutningar vars syfte är att skydda deras rättigheter och intressen vad gäller personuppgifter på deras vägnar väcker som agerar i allmänintresset mandat att väcka talan mot den tillsynsmyndigheten vid behörig domstol i den andra medlemsstaten. [Ändr. 77]

(115)  I situationer då en behörig tillsynsmyndighet belägen i en annan medlemsstat underlåter att agera eller har vidtagit otillräckliga åtgärder i samband med klagomål kan de registrerade anmoda tillsynsmyndigheten i den medlemsstat där de har hemvist att väcka talan mot den tillsynsmyndigheten vid behörig domstol i den andra medlemsstaten. Detta är inte tillämpligt på personer som inte är bosatta i unionen. Den anmodade tillsynsmyndigheten kan fatta beslut om huruvida denna begäran bör hörsammas eller ej. Beslutet bör kunna bli föremål för domstolsprövning. [Ändr. 78]

(116)  Vid rättsliga förfaranden mot en registeransvarig eller en registerförare bör käranden kunna välja att väcka talan antingen vid domstolarna i de medlemsstater där den registeransvarige eller registerföraren är etablerad eller, om det rör sig om en person som är bosatt i unionen, där den registrerade bor, såvida inte den registeransvarige är en unionsmyndighet eller en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning. [Ändr. 79]

(117)  Vid indikationer på att parallella rättsliga förfaranden pågår vid domstolar i olika medlemsstater bör domstolarna vara skyldiga att kontakta varandra. Domstolarna bör ha möjlighet att skjuta upp ett mål när ett parallellt mål handläggs i en annan medlemsstat. Medlemsstaterna bör se till att domstolsförfaranden, för att vara effektiva, medger att åtgärder snabbt vidtas för att åtgärda eller förhindra överträdelser av denna förordning.

(118)  Personer som lider ekonomisk skada eller annan skada till följd av otillåten behandling bör ha rätt till ersättning av registeransvariga eller registerförare, som dock kan befrias från skadeståndsskyldighet endast om de kan visa att de inte är ansvariga för skadan, särskilt om de kan påvisa att ett fel begåtts av den registrerade eller om det föreligger ett fall av force majeure. [Ändr. 80]

(119)  Om någon underlåter att följa denna förordning bör detta leda till påföljder, oavsett om personen omfattas av privaträttslig eller offentligrättslig lagstiftning. Medlemsstaterna bör se till att påföljderna är effektiva, proportionella och avskräckande och bör vidta alla åtgärder som krävs för att påföljderna ska verkställas. Föreskrifterna om påföljder bör omfattas av lämpliga rättssäkerhetsgarantier i överensstämmelse med de allmänna principerna i unionsrätten och i stadgan, däribland principerna om rätten till ett effektivt rättsmedel och ett korrekt rättsförfarande och principen ne bis in idem. [Ändr. 81]

(119a)  Vid tillämpningen av påföljder bör medlemsstaterna till fullo respektera lämpliga rättssäkerhetsgarantier, däribland rätten till ett effektivt rättsmedel och ett korrekt rättsförfarande och principen ne bis in idem. [Ändr. 82]

(120)  För att förstärka och harmonisera de administrativa sanktioner som kan föranledas av överträdelser av denna förordning bör samtliga tillsynsmyndigheter ha befogenhet att utfärda sanktioner för administrativa överträdelser. I denna förordning bör det anges vilka dessa överträdelser är och en övre gräns för de administrativa böter som i varje enskilt fall bör fastställas proportionellt i det enskilda fallet, med vederbörlig hänsyn bl.a. till överträdelsens natur, svårhetsgrad och varaktighet. Avvikelser i tillämpningen av de administrativa sanktionerna kan också tas upp inom ramen för mekanismen för enhetlighet.

(121)  Behandling av personuppgifter enkom för journalistiska, konstnärliga eller litterära ändamål När så är nödvändigt bör undantas det föreskrivas befrielser eller undantag från vissa av kraven i denna förordning när det gäller behandling av personuppgifter, så att rätten till skydd av personuppgifter kan förenas med rätten till yttrandefrihet, särskilt rätten att ta emot och lämna upplysningar, som särskilt garanteras genom artikel 11 i stadgan. Detta bör särskilt gälla vid behandling av personuppgifter inom det audiovisuella området och i nyhetsarkiv och pressbibliotek. Medlemsstaterna bör därför anta lagstiftningsåtgärder som fastställer de olika undantag som behövs för att skapa en balans mellan dessa grundläggande rättigheter. Medlemsstaterna bör fastställa sådana undantag med avseende på: allmänna principer, de registrerades rättigheter, registeransvariga och registerförare, överföring av uppgifter till tredjeländer eller internationella organisationer, de oberoende tillsynsmyndigheterna samt, samarbete och enhetlighet samt specifika uppgiftsbehandlingssituationer. Detta får dock inte föranleda medlemsstaterna att fastställa undantag från andra bestämmelser i denna förordning. För att ta hänsyn till yttrandefrihetens betydelse i varje demokratiskt samhälle måste en bred tolkning tillämpas av vad som innefattas i denna frihet, som till exempel ”journalism”. Medlemsstaterna bör därför med avseende på de undantag som ska fastställas enligt denna förordning klassificera så att den omfattar alla verksamheter som ”journalistiska” om målet för dem är syftar till att bland allmänheten sprida information, åsikter eller idéer, oavsett vilket medium som används för att nå detta mål överföra dem, också med beaktande av den tekniska utvecklingen. Kategorin bör inte begränsas till medieföretag, och såväl vinstdrivande verksamhet som verksamhet som drivs utan vinstintresse bör inbegripas. [Ändr. 83]

(122)  Behandling av personuppgifter som rör hälsa, som är en särskild kategori av uppgifter som förtjänar ett mer omfattande skydd, kan ofta motiveras med ett antal legitima skäl som gagnar de enskilda och samhället i stort, framför allt säkerställande av kontinuitet vid gränsöverskridande hälsovård. Denna förordning bör därför innehålla harmoniserade villkor för behandling av personuppgifter som rör hälsa, som omgärdas med särskilda och lämpliga skyddsåtgärder som skyddar enskildas grundläggande rättigheter och personuppgifter. Detta innefattar rätten för enskilda att få tillgång till sina personuppgifter som rör hälsa, exempelvis uppgifter i deras läkarjournaler med t.ex. diagnoser, undersökningsresultat, bedömningar av behandlande läkare och eventuella vårdbehandlingar eller interventioner som gjorts.

(122a)   Personer som yrkesmässigt behandlar personuppgifter om hälsa bör om möjligt få anonymiserade eller pseudonymiserade uppgifter, så att endast den allmänläkare eller specialistläkare som har begärt uppgiftsbehandlingen känner till den registrerades identitet. [Ändr. 84]

(123)  På folkhälsoområdet kan det bli nödvändigt att med hänsyn till det allmännas intresse behandla personuppgifter som rör hälsa utan att den registrerades samtycke inhämtas. I det sammanhanget bör ”folkhälsan” tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbete(9), nämligen alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. Behandling av personuppgifter rörande hälsan i det allmännas intresse bör inte innebära att personuppgifter behandlas för andra ändamål av tredje part, exempelvis arbetsgivare, försäkrings- och bankföretag. [Ändr. 85]

(123a)   Behandling av personuppgifter som rör hälsa, som är en särskild kategori av uppgifter, kan behövas för historiska, statistiska eller vetenskapliga forskningsändamål. Därför föreskrivs i denna förordning ett undantag från kravet på samtycke för forskning som tjänar ett viktigt allmänt intresse. [Ändr. 86]

(124)  De allmänna principerna för skyddet av enskilda vid behandling av personuppgifter bör även vara tillämpliga vid anställningar och när det gäller social trygghet. För att Medlemsstaterna bör kunna reglera behandling av arbetstagares personuppgifter inom ramen för ett anställningsförhållande bör medlemsstaterna därför, inom gränserna för denna och behandling av personuppgifter när det gäller social trygghet i enlighet med bestämmelserna och miniminormerna i denna förordning, lagstiftningsvägen kunna anta särskilda regler för behandling av personuppgifter under anställningar. Om det i medlemsstaten i fråga finns lagstiftning som reglerar frågor rörande anställningsförhållanden genom avtal mellan arbetstagarnas företrädare och ledningen i företaget eller i det kontrollerande företaget i en företagsgrupp (kollektivavtal) eller enligt Europaparlamentets och rådets direktiv 2009/38/EG(10), kan behandlingen av personuppgifter inom ramen för anställningsförhållanden även regleras genom ett sådant avtal. [Ändr. 87]

(125)  Behandling av personuppgifter för historiska, statistiska eller vetenskapliga forskningsändamål bör för att vara laglig också respektera annan relevant lagstiftning, exempelvis den som gäller kliniska prövningar.

(125a)  Personuppgifter kan även behandlas i ett senare skede av arkivtjänster vilkas huvudsakliga uppgift eller lagstadgade skyldighet är att samla in, lagra, tillhandahålla information om, använda och sprida arkivalier i allmänintresset. Medlemsstaternas lagstiftning bör förena rätten till skydd av personuppgifter med arkivbestämmelserna och bestämmelserna om allmänhetens tillgång till administrativ information. Medlemsstaterna bör uppmuntra utarbetande, särskilt från Europeiska arkivgruppens sida, av bestämmelser som garanterar uppgifternas konfidentialitet gentemot tredje parter och uppgifternas autenticitet och integritet samt korrekt bevarande av dem. [Ändr. 88]

(126)  Vetenskaplig forskning bör i denna förordning också omfatta grundforskning, målforskning och privatfinansierad forskning och bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Behandling av personuppgifter för historiska, statistiska eller vetenskapliga forskningsändamål bör inte resultera i att personuppgifter behandlas för andra ändamål, såvida inte den registrerade gett sitt samtycke eller unionslagstiftningen eller en medlemsstats lagstiftning medger detta. [Ändr. 89]

(127)  Vad beträffar tillsynsmyndigheternas befogenheter att från registeransvariga eller registerförare få tillgång till personuppgifter och tillgång till deras lokaler får medlemsstaterna genom lagstiftning, och förutsatt att det sker inom gränserna för denna förordning, anta särskilda regler för att garantera yrkesmässig eller annan jämförlig tystnadsplikt, i den mån detta är nödvändigt för att jämka samman rätten till skydd av personuppgifter med tystnadsplikten.

(128)  I enlighet med artikel 17 i EUF-fördraget är denna förordning förenlig med kravet på att respektera och inte påverka den ställning som kyrkor och religiösa sammanslutningar eller samfund har i medlemsstaterna enligt nationell lagstiftning. Om en kyrka i en medlemsstat vid tidpunkten för ikraftträdandet av denna förordning tillämpar övergripande adekvata regler rörande skyddet av enskilda vid behandling av personuppgifter bör dessa befintliga regler följaktligen fortsätta att vara tillämpliga under förutsättning att de görs förenliga med bestämmelserna i denna förordning och erkänns som förenliga. Kyrkor och religiösa sammanslutningar bör vara förpliktade att bilda en fullständigt oberoende tillsynsmyndighet. [Ändr. 90]

(129)  I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra den fria rörligheten för personuppgifter inom unionen bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen. Delegerade akter bör framför allt antas när det gäller följande: behandlingens laglighet precisering av villkoren för symbolbaserade metoder för tillhandahållande av information, precisering av kriterier och villkor för barns samtycke, behandling av särskilda kategorier av uppgifter, precisering av kriterier och villkor vad gäller uppenbart orimliga krav och avgifter för att den registrerade ska kunna utöva sina rättigheter, kriterier och krav vad gäller information till den registrerade och rätten till tillgång, rätten att bli bortglömd och rätten till radering, profileringsbaserade åtgärder, kriterier och krav vad gäller den registeransvariges ansvar samt inbyggt uppgiftsskydd och uppgiftsskydd som standard, registerförare, kriterier och krav vad gäller dokumentering av och säkerhet vid behandlingen, kriterier och krav vad gäller konstaterandet av personuppgiftsbrott och anmälan av detta till tillsynsmyndigheten, och gällande omständigheterna när ett personuppgiftsbrott sannolikt påverkar den registrerade negativt, kriterier och villkor vad gäller behandling som kräver en konsekvensbedömning av uppgiftsskyddet, kriterier och krav när man avgör om höggradiga särskilda risker föreligger som kräver förhandssamråd, uppgiftsskyddsombudets utnämning och arbetsuppgifter, förklaringar om att uppförandekodexar är förenliga med denna förordning, kriterier och krav vad gäller certifieringsmekanismer, adekvat skyddsnivå som garanteras av tredjeländer eller internationella organisationer, kriterier och krav vad gäller överföringar som sker på grundval av bindande företagsregler, överföringsundantag, företagsbestämmelser, administrativa påföljder, behandling för hälso- och sjukvårdsändamål, och behandling vid anställningar och behandling för historiska, statistiska och vetenskapliga forskningsändamål. Det är av särskild betydelse att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå, i synnerhet med Europeiska dataskyddsstyrelsen. Kommissionen bör, då den förbereder och utarbetar delegerade akter, se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så snabbt som möjligt och på lämpligt sätt. [Ändr. 91]

(130)  För att säkra enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter för att: specificera standardformulär för specifika metoder för att erhålla ett kontrollerbart samtycke när det gäller behandling av barns personuppgifter, standardförfaranden och formulär standardformulär för kommunikationen med de registrerade med avseende på utövandet av den registrerades deras rättigheter, standardformulär för information till den registrerade, standardformulär och förfaranden för rätten till tillgång, rätten till uppgiftsportabilitet, inklusive för kommunikation av personuppgifterna till den registrerade, standardformulär avseende den registeransvariges ansvar för inbyggt uppgiftsskydd och uppgiftsskydd som standard samt dokumentering, särskilda krav på säkerhet vid behandling, standardformat och förfaranden dokumentation som den registeransvarige och registerföraren ska föra, standardformuläret för anmälan av personuppgiftsbrott till tillsynsmyndigheten och meddelanden om för dokumentering av personuppgiftsbrott till den registrerade, standarder och förfaranden för konsekvensbedömning avseende uppgiftsskydd, samt formulär och förfaranden för förhandstillstånd och förhandssamråd, tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland eller ett territorium eller av en behandlande sektor inom detta tredjeland eller en internationell organisation, utlämnande som inte har stöd i unionslagstiftningen, ömsesidigt bistånd, gemensamma insatser och beslut enligt mekanismen för enhetlighet och förhandsinformation till tillsynsmyndigheten. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter(11). Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag. [Ändr. 92]

(131)  Mot bakgrund av att nedanstående rättsakter har allmän räckvidd bör granskningsförfarandet användas vid antagande av följande: specificerande standardformulär för barns samtycke, standardförfaranden och formulär för utövandet av den registrerades rättigheter, standardformulär för specifika metoder för att erhålla ett kontrollerbart samtycke när det gäller behandling av barns personuppgifter, för kommunikationen med de registrerade med avseende på utövandet av deras rättigheter, för information till den registrerade, standardformulär och förfaranden för rätten till tillgång, rätten till uppgiftsportabilitet, standardformulär avseende den registeransvariges ansvar för inbyggt uppgiftsskydd och uppgiftsskydd som standard samt dokumentation, särskilda krav på säkerhet vid behandling, standard­format och förfaranden för anmälan av personuppgiftsbrott till tillsynsmyndigheten och meddelanden om personuppgiftsbrott till den registrerade, standarder och förfaranden för konsekvensbedömning avseende uppgiftsskydd, formulär och förfaranden för förhandstillstånd och förhandssamråd, tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland eller ett territorium eller av en behandlande sektor inom detta tredjeland eller en internationell organisation, utlämnande som inte har stöd i unionslagstiftningen, ömsesidigt bistånd, gemensamma insatser och beslut enligt mekanismen för enhetlighet inklusive för kommunikation av personuppgifterna till den registrerade, avseende den dokumentation som den registeransvarige och registerföraren ska föra, för anmälan av personuppgiftsbrott till tillsynsmyndigheten och för dokumentering av personuppgiftsbrott, samt för förhandssamråd och förhandsinformation till tillsynsmyndigheten. [Ändr. 93]

(132)  Kommissionen bör när tvingande skäl till skyndsamhet föreligger i vederbörligen motiverade fall anta omedelbart tillämpliga genomförandeakter avseende ett tredjeland, ett territorium eller en behandlande sektor i ett tredjeland eller en internationell organisation vars skyddsnivå inte är adekvat och som avser frågor som tillsynsmyndigheterna tar upp genom mekanismen för enhetlighet. [Ändr. 94]

(133)  Eftersom målen för denna förordning, nämligen att säkerställa en likvärdig nivå på skyddet av enskilda och de fria flödena av uppgifter inom hela unionen, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, på grund av åtgärdens omfattning eller verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i EUF-fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå dessa mål.

(134)  Direktiv 95/46/EG ska därför bör ersättas med denna förordning. Kommissionens beslut som antagits och tillsynsmyndigheternas tillstånd på grundval av direktiv 95/46/EC bör dock fortsatt vara giltiga. Kommissionens beslut och tillsynsmyndigheternas tillstånd avseende överföringar av personuppgifter till tredjeländer enligt artikel 41.8 bör fortsatt vara i kraft under en övergångsperiod av fem år efter denna förordnings ikraftträdande såvida inte förordningen ändras, ersätts eller upphävs av kommissionen före utgången av nämnda period. [Ändr. 95]

(135)  Denna förordning bör vara tillämplig på alla frågor som gäller skyddet av grundläggande rättigheter och friheter i förhållande till behandlingen av personuppgifter, som inte omfattas av särskilda skyldigheter med samma mål som anges i Europaparlamentets och rådets direktiv 2002/58/EG(12), däribland den registeransvariges skyldigheter och de enskildas rättigheter. För att klargöra förhållandet mellan denna förordning och direktiv 2002/58/EG bör sistnämnda direktiv därför ändras.

(136)  När det gäller Island och Norge utgör denna förordning, i enlighet med avtalet mellan Europeiska unionens råd och Republiken Island och Konungariket Norge om dessa staters associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket, en utveckling av bestämmelserna i Schengenregelverket i den utsträckning som den är tillämplig på behandling av personuppgifter som sköts av myndigheter som deltar i genomförandet av detta regelverk(13).

(137)  När det gäller Schweiz utgör denna förordning, i enlighet med avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket, en utveckling av bestämmelserna i Schengenregelverket i den utsträckning som den är tillämplig på behandling av personuppgifter som sköts av myndigheter som deltar i genomförandet av detta regelverk(14).

(138)  När det gäller Liechtenstein utgör denna förordning, i enlighet med protokollet mellan Europeiska unionen, Europeiska gemenskapen, Schweiziska edsförbundet och Furstendömet Liechtenstein om Furstendömet Liechtensteins anslutning till avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket, en utveckling av bestämmelserna i Schengenregelverket i den utsträckning som den är tillämplig på behandling av personuppgifter som sköts av myndigheter som deltar i genomförandet av detta regelverk(15).

(139)  Med hänsyn till att rätten till skydd av personuppgifter, såsom EU-domstolen har påpekat, inte är någon absolut rättighet, utan måste förstås utifrån sin funktion i samhället och balanseras i enlighet med proportionalitetsprincipen med andra grundläggande rättigheter, respekterar denna förordning alla grundläggande rättigheter och iakttar de principer som erkänns i stadgan, främst rätten till skydd för privat- och familjeliv, bostad och kommunikationer, rätten till skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till effektivt rättsmedel och opartisk domstol samt kulturell, religiös och språklig mångfald.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

ALLMÄNNA BESTÄMMELSER

Artikel 1

Syfte och mål

1.  I denna förordning fastställs bestämmelser om skydd för enskilda personer med avseende på behandlingen av personuppgifter och om den fria rörligheten för personuppgifter.

2.  Förordningen skyddar fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter.

3.  Den fria rörligheten för personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för enskilda personer med avseende på behandlingen av personuppgifter.

Artikel 2

Materiellt tillämpningsområde

1.  Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg, oavsett behandlingsmetod, samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2.  Förordningen ska inte tillämpas på behandling av personuppgifter

a)  som utgör ett led i en verksamhet som inte omfattas av unionslagstiftningen, särskilt avseende nationell säkerhet,

b)  som utförs av unionens institutioner, organ och byråer,

c)  som medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen,

d)  som en fysisk person utför utan vinstintresse som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll; denna befrielse ska även tillämpas på offentliggörande av personuppgifter om det rimligen kan förväntas att bara ett begränsat antal personer kommer att ha tillgång till dem,

e)  som behöriga offentliga myndigheter utför i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

3.  Förordningen ska inte påverka tillämpningen av direktiv 2000/31/EG, särskilt bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet. [Ändr. 96]

Artikel 3

Territoriellt tillämpningsområde

1.  Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs av en registeransvarig eller registerförare som är etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte.

2.  Förordningen ska tillämpas på behandling av personuppgifter som avser registrerade som är bosatta i unionen och som utförs av en registeransvarig eller en registerförare som inte är etablerad i unionen, om behandlingen har anknytning till

a)  utbjudande av varor eller tjänster till sådana registrerade i unionen, oavsett om det krävs en betalning av den registrerade eller ej, eller

b)  övervakning av deras beteende sådana registrerade.

3.  Förordningen ska tillämpas på behandling av personuppgifter som utförs av en registeransvarig som inte är etablerad i unionen, men på en plats där den nationella lagstiftningen i en medlemsstat gäller på grund av folkrätten. [Ändr. 97]

Artikel 4

Definitioner

I denna förordning gäller följande definitioner:

(1)  den registrerade: en fysisk person som är direkt eller indirekt identifierad eller identifierbar, med medel som rimligen kan komma att användas av den registeransvarige eller av någon annan fysisk eller juridisk person, framför allt med hänvisning till ett identifikationsnummer, en lokaliseringsuppgift eller nätidentifierare, eller till en eller fler faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

(2)  personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade); en identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift, en unik identifierare eller till en eller flera faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet eller könsidentitet.

(2a)  pseudonymiserade uppgifter: personuppgifter som inte kan hänföras till en specifik registrerad utan att kompletterande uppgifter används, så länge dessa hålls separata och är underkastade tekniska och organisatoriska åtgärder för att garantera att inget sådant hänförande är möjligt.

(2b)  krypterade uppgifter: personuppgifter som via tekniska skyddsåtgärder har gjorts oläsbara för alla personer som inte är behöriga att få tillgång till dem.

(3)  behandling: varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, radering eller förstöring.

(3a)   profilering: varje form av automatisk behandling av personuppgifter som syftar till att utvärdera vissa personliga egenskaper hos en fysisk person eller att analysera eller förutsäga i synnerhet vederbörandes arbetsprestationer, ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende.

(4)  register: varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

(5)  registeransvarig: en fysisk eller juridisk person, myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen, villkoren och medlen för behandlingen av personuppgifter; om ändamålen, villkoren och medlen för behandlingen bestäms av unionslagstiftningen eller medlemsstaternas lagstiftning kan den registeransvarige eller de särskilda kriterierna för hur denne ska utses anges i unionslagstiftningen eller i medlemsstaternas lagstiftning.

(6)  registerförare: en fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar personuppgifter för den registeransvariges räkning.

(7)  mottagare: en fysisk eller juridisk person, myndighet, institution eller annat organ till vilket uppgifterna utlämnas.

(7a)  tredje part: en fysisk eller juridisk person, myndighet, institution eller annat organ som inte är den registrerade, den registeransvarige, registerföraren eller de personer som under den registeransvariges eller registerförarens direkta ansvar är behöriga att behandla uppgifterna.

(8)  den registrerades samtycke: varje slag av frivillig, specifik, informerad och uttrycklig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig affirmativ handling godtar behandling av personuppgifter som rör honom eller henne.

(9)  personuppgiftsbrott: ett säkerhetsbrott som leder till förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

(10)  genetiska uppgifter: alla uppgifter, oavsett typ, personuppgifter som rör sådana genetiska kännetecken för en enskild person som är nedärvda eller har erhållits under tidig prenatal utveckling och som framgår av en analys av ett biologiskt prov från personen i fråga, framför allt kromosom-, DNA- och RNA-analys eller alla andra former av analyser som gör det möjligt att inhämta motsvarande information.

(11)  biometriska uppgifter: alla uppgifter personuppgifter som rör en enskild persons fysiska, fysiologiska eller beteendemässiga kännetecken och som gör det möjligt att identifiera vederbörande individuellt, såsom ansiktsbilder eller fingeravtrycksuppgifter.

(12)  uppgifter om hälsa: alla uppgifter personuppgifter som rör en enskild persons fysiska eller psykiska hälsa eller de hälso- och sjukvårdstjänster som tillhandahållits personen.

(13)  huvudsakligt verksamhetsställe: när det gäller den registeransvarige, den plats i unionen, oavsett om det rör sig om en registeransvarig eller en registerförare, där denne är företaget eller företagsgruppen är etablerad, där de huvudsakliga besluten om syftena, villkoren och medlen för behandlingen av personuppgifter fattas; om inga beslut om syftena, villkoren och metoderna för behandlingen av personuppgifter fattas i unionen är det huvudsakliga verksamhetsstället den plats där den huvudsakliga behandlingen inom ramen för den verksamhet som bedrivs vid en registeransvarigs verksamhetsställe i unionen äger rum. När det gäller registerföraren avses med huvudsakligt verksamhetsställe den plats i unionen där vederbörande har sin centrala förvaltning. Bland annat följande objektiva kriterier får beaktas: platsen för den registeransvariges eller registerförarens huvudkontor, platsen för den enhet inom en företagsgrupp som med avseende på ledningsfunktioner och förvaltningsansvar är bäst lämpad att ha hand om och verkställa bestämmelserna i denna förordning samt den plats där den verkliga ledningsverksamhet bedrivs som genom stabila strukturer är avgörande för uppgiftsbehandlingen.

(14)  företrädare: en i unionen etablerad fysisk eller juridisk person som den registeransvarige uttryckligen utsett och som tillsynsmyndigheter och instanser inom unionen kan vända sig till företrädare i stället för till den registeransvarige i frågor som gäller den registeransvariges skyldigheter enligt denna förordning.

(15)  företag: en enhet som bedriver ekonomisk verksamhet, oavsett dess juridiska form, vilket således särskilt inbegriper fysiska och juridiska personer, partnerskap eller föreningar som regelbundet bedriver ekonomisk verksamhet.

(16)  företagsgrupp: ett kontrollerande företag och dess kontrollerade företag.

(17)  bindande företagsbestämmelser: strategier för skydd av personuppgifter som en registeransvarig eller registerförare som är etablerad på en medlemsstats territorium använder sig av vid överföringar eller en uppsättning av överföringar av personuppgifter till en registeransvarig eller registerförare i en eller flera tredjeländer inom en företagsgrupp.

(18)  barn: alla personer som är yngre än arton år.

(19)  tillsynsmyndighet: en myndighet som är etablerad av en medlemsstat i enlighet med artikel 46. [Ändr. 98]

KAPITEL II

PRINCIPER

Artikel 5

Principer om behandling av personuppgifter

Vid behandling av personuppgifter ska följande gälla:

a)  Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b)  De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning).

c)  De ska vara adekvata, relevanta och begränsade till ett strikt minimum när det gäller de syften för vilka de behandlas; de ska bara behandlas om, och så länge som, syftena inte kan uppnås genom att man behandlar information som inte rör personuppgifter (uppgiftsminimering).

d)  De ska vara riktiga och när så är nödvändigt aktuella; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga oriktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet).

e)  De ska förvaras i en form som förhindrar direkt eller indirekt identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas; personuppgifter får lagras under längre perioder i den mån som uppgifterna endast behandlas för historiska, statistiska eller vetenskapliga forskningsändamål eller för arkivändamål i enlighet med bestämmelserna och villkoren i artikel 83 och 83a och om en periodisk översyn genomförs för att bedöma behovet av fortsatt lagring och lämpliga tekniska och organisatoriska åtgärder införs för att se till att uppgifterna görs tillgängliga endast för dessa ändamål (lagringsminimering).

ea)  De ska behandlas på ett sätt som ger de registrerade möjlighet att effektivt utöva sina rättigheter (effektivitet).

eb)  De ska behandlas på ett sätt som medför ett skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse med hjälp av lämpliga tekniska eller organisatoriska åtgärder (integritet).

f)  Den registeransvarige ska ansvara för behandlingen av personuppgifterna, och ska se till och kunna visa att bestämmelserna i denna förordning efterlevs vid varje behandling (ansvarsskyldighet). [Ändr. 99]

Artikel 6

När personuppgifter får behandlas

1.  Personuppgifter får behandlas endast om och i den mån som åtminstone ett av följande villkor är uppfyllda:

a)  Den registrerade har lämnat sitt samtycke till att vederbörandes personuppgifter behandlas för ett eller flera specifika ändamål.

b)  Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c)  Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige.

d)  Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade,

e)  Behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige.

f)  Behandlingen är nödvändig för ändamål som rör den registeransvariges berättigade intressen eller, i fall av utlämnande, de berättigade intressena för den tredje part till vilken uppgifterna lämnats ut och som uppfyller den registrerades rimliga förväntningar baserat på dennes förhållande till den registeransvarige, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Detta ska inte gälla för behandling som utförs av myndigheter i deras myndighetsutövning.

2.  Personuppgifter ska få behandlas om detta är nödvändigt för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83.

3.  Den grund för behandlingen som avses i punkt 1 c och e ska föreskrivas i

a)  unionslagstiftningen, eller

b)  lagstiftningen i den medlemsstat vars lagstiftning den registeransvarige lyder under.

Lagstiftningen i medlemsstaten måste uppfylla ett mål av allmänt intresse eller vara nödvändig för att skydda andras fri- och rättigheter, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas. Inom ramen för bestämmelserna i denna förordning får lagstiftningen i medlemsstaten reglera detaljer som rör behandlingens laglighet, särskilt med avseende på registeransvariga, behandlingsändamål och ändamålsbegränsning, uppgifternas karaktär och de registrerade, behandlingsmetoder och behandlingsförfaranden, mottagare samt lagringstid.

4.  När ändamålet med ytterligare behandling inte är förenligt med det ändamål för vilket personuppgifterna har samlats in, måste behandlingen ha en rättslig grund i minst en av de grunder som anges i punkt 1 a–e. Detta ska särskilt gälla eventuella ändringar av förutsättningarna och de allmänna villkoren för ett avtal.

5.  Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera de villkor som avses i punkt 1 f för olika sektorer och situationer vid behandlingen av personuppgifter, bland annat när det gäller behandlingen av personuppgifter som rör barn. [Ändr. 100]

Artikel 7

Villkor för samtycke

1.  Om behandlingen grundar sig på samtycke ska den registeransvarige ska bära bevisbördan när det gäller den registrerades samtycke till behandlingen av hans eller hennes personuppgifter för bestämda ändamål.

2.  Om den registrerades samtycke ska lämnas inom ramen för en skriftlig deklaration som också rör en annan fråga, måste kravet att lämna samtycke läggas fram i en sådan form att det kan särskiljas klart och tydligt från denna andra fråga. Bestämmelser om den registrerades samtycke som till viss del strider mot bestämmelserna i denna förordning ska betraktas som helt ogiltiga.

3.  Utan hinder av andra rättsliga grunder för behandling ska de registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten hos behandling som grundar sig på samtycke, innan detta återkallas. Det ska vara lika lätt att återkalla sitt samtycke som att ge det. Den registrerade ska informeras av den registeransvarige om återkallande av samtycke kan leda till att de tillhandahållna tjänsterna eller förhållandet till den registeransvarige avslutas.

4.  Samtycke ska inte utgöra en rättslig grund för vara bundet till ändamålet och förlora sin giltighet om ändamålet inte längre föreligger eller så snart behandlingen, om det föreligger en betydande obalans mellan den registrerades och den registeransvariges ställning av personuppgifter inte längre är nödvändig för det ändamål för vilket de ursprungligen samlades in. Verkställandet av ett avtal eller tillhandahållandet av en tjänst får inte villkoras med samtycke till behandling av uppgifter som inte är nödvändig för verkställandet av avtalet eller tillhandahållandet av tjänsten i enlighet med artikel 6.1 b. [Ändr. 101]

Artikel 8

Behandling av barns personuppgifter

1.  Vid tillämpningen av denna förordning och när det gäller erbjudande av informationssamhällets varor eller tjänster direkt till ett barn, ska det endast vara tillåtet att behandla personuppgifter som rör ett barn som är under 13 år om och i den mån som samtycket ges eller godkänns av barnets förälder eller förmyndare vårdnadshavare. Den registeransvarige ska göra rimliga ansträngningar för att erhålla ett kontrollerbart kontrollera detta samtycke, med hänsyn tagen till tillgänglig teknik och utan att det ger upphov till annars onödig behandling av personuppgifter.

1a.  Information som tillhandahålls barn, föräldrar och vårdnadshavare för samtyckesändamål, även avseende den registeransvariges insamling och användning av personuppgifter, bör vara klar och tydlig och språkligt anpassad till de avsedda mottagarna.

2.  Punkt 1 ska inte påverka den allmänna avtalsrätten i medlemsstaterna, såsom bestämmelser om giltigheten hos eller upprättandet eller effekten av ett avtal som gäller ett barn.

3.  Kommissionen Europeiska dataskyddsstyrelsen ska ha befogenhet anförtros uppgiften att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven utfärda riktlinjer, rekommendationer och bästa praxis för metoderna för att erhålla ett sådant kontrollerbart kontrollera det samtycke enligt som avses i punkt 1, i överensstämmelse med artikel 66. Kommissionen ska därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag.

4.  Kommissionen får fastställa standardformulär för specifika metoder för att erhålla ett sådant kontrollerbart samtycke enligt punkt 1. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 87. [Ändr. 102]

Artikel 9

Behandling av Särskilda kategorier av personuppgifter uppgifter

1.  Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse livsåskådning, sexuell läggning eller könsidentitet eller medlemskap och verksamhet i fackförening, och behandling av genetiska eller biometriska uppgifter eller uppgifter om hälsa eller sexualliv eller administrativa sanktioner, domar, brott eller misstänkta brott, fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder är förbjuden.

2.  Punkt 1 ska inte gälla om något av följande villkor är uppfyllda:

a)  Den registrerade har lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller fler angivna ändamål, på de villkor som anges i artiklarna 7 och 8, utom då unionslagstiftningen eller medlemsstaternas lagstiftning föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade.

aa)  Behandlingen är nödvändig för att fullgöra eller verkställa ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

b)  Behandlingen är nödvändig för att den registeransvarige ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten, i den omfattning detta är tillåtet enligt unionslagstiftningen eller en medlemsstats lagstiftning eller kollektivavtal som föreskriver lämpliga skyddsåtgärder som garanterar den registrerades grundläggande rättigheter och intressen, såsom rätten till icke-diskriminering, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 82.

c)  Behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

d)  Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke.

e)  Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

f)  Behandlingen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.

g)  Behandlingen är nödvändig för att genomföra en arbetsuppgift som utförs i allmänhetens ett viktigt allmänt intresse, på grundval av unionslagstiftningen eller en medlemsstats lagstiftning som ska stå i proportion till det eftersträvade syftet, respektera kärnan i rätten till uppgiftsskydd och innehålla bestämmelser om lämpliga åtgärder för att säkerställa den registrerades berättigade grundläggande rättigheter och intressen.

h)  Behandlingen av uppgifter som rör hälsa är nödvändig för hälsoändamål och omfattas av de villkor och skyddsåtgärder som avses i artikel 81.

i)  Behandlingen är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83.

ia)  Behandlingen är nödvändig för arkivtjänster med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83a.

j)  Behandlingen av uppgifter som rör administrativa sanktioner, domar, brott, fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder utförs antingen under kontroll av en officiell myndighet eller behandlingen är nödvändig för att fullgöra en förpliktelse i lagstiftning eller bestämmelser som den registeransvarige omfattas av, eller för att genomföra en arbetsuppgift som utförs för viktiga ändamål av allmänt intresse, i den mån som den bemyndigas av unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen. Ett fullständigt Alla register över brottmålsdomar ska föras endast under kontroll av en myndighet.

3.  Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna, villkoren och de lämpliga skyddsåtgärderna Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis för behandlingen av de särskilda kategorier av personuppgifter som avses i punkt 1 och de undantag som fastställs i punkt 2, i överensstämmelse med artikel 66. [Ändr. 103]

Artikel 10

Behandling som inte möjliggör identifiering

1.   Om de uppgifter som behandlas av en registeransvarig inte gör det möjligt för den registeransvarige eller registerföraren att direkt eller indirekt identifiera en fysisk person, eller om det endast rör sig om pseudonymiserade uppgifter, ska den registeransvarige inte vara tvungen att erhålla behandla eller inhämta ytterligare information för att identifiera den registrerade endast i syfte att iaktta någon av bestämmelserna i denna förordning.

2.  Om den registeransvarige inte kan iaktta en bestämmelse i denna förordning på grund av punkt 1 ska den registeransvarige inte vara skyldig att iaktta denna specifika bestämmelse i denna förordning. Om den registeransvarige som en följd av detta inte kan tillmötesgå en begäran från den registrerade ska vederbörande informera den registrerade om detta. [Ändr. 104]

Artikel 10a

Allmänna principer för registrerade personers rättigheter

1.  Grunden för uppgiftsskyddet är att den registrerade ska ha tydliga och entydiga rättigheter som ska respekteras av den registeransvarige. Bestämmelserna i denna förordning syftar till att stärka, förtydliga, garantera och vid behov lagfästa dessa rättigheter.

2.  Dessa rättigheter omfattar bland annat tillhandahållande av tydlig och lättbegriplig information om behandlingen av vederbörandes personuppgifter, rätten till tillgång till och rättelse och radering av vederbörandes uppgifter, rätten att erhålla uppgifter, rätten att invända mot profilering, rätten att lämna in klagomål till den behöriga dataskyddsmyndigheten och att väcka talan samt rätten till ersättning och skadestånd med anledning av otillåten behandling. Sådana rättigheter ska i allmänhet utövas kostnadsfritt. Den registeransvarige ska besvara begäranden från den registrerade inom rimlig tid. [Ändr. 105]

KAPITEL III

DEN REGISTRERADES RÄTTIGHETER

AVSNITT 1

INSYN OCH VILLKOR

Artikel 11

Klar och tydlig information och kommunikation

1.  Den registeransvarige ska ha en koncis, klar och tydlig och lätt tillgänglig policy för behandlingen av personuppgifter och för utövandet av den registrerades rättigheter.

2.  Den registeransvarige ska tillhandahålla all information och kommunikation som rör behandlingen av personuppgifter till den registrerade i en begriplig form, med användning av klart och tydligt språk, anpassat till den registrerade, i synnerhet för eventuell information särskilt riktad till barn. [Ändr. 106]

Artikel 12

Förfaranden och rutiner för den registrerades utövande av sina rättigheter

1.  Den registeransvarige ska inrätta förfaranden för att tillhandahålla den information som avses i artikel 14 och för de registrerades utövande av sina rättigheter i enlighet med artikel 13 och artiklarna 15–19. Den registeransvarige ska särskilt skapa rutiner för att underlätta begäran om de åtgärder som avses i artikel 13 och artiklarna 15–19. Om personuppgifter behandlas på automatisk väg ska den registeransvarige om möjligt också skapa förutsättningar för att begäran ska kunna göras elektroniskt.

2.  Den registeransvarige ska utan onödigt dröjsmål och senast en månad 40 kalenderdagar efter att ha mottagit begäran underrätta den registrerade om huruvida åtgärder har vidtagits i enlighet med artikel 13 och artiklarna 15–19 samt tillhandahålla den information som begärts. Denna period får förlängas med ytterligare en månad, om flera registrerade utövar sina rättigheter och deras samarbete i rimlig utsträckning är nödvändigt för att förhindra en onödig och oproportionell ansträngning från den registeransvariges sida. Information ska ges skriftligt, och om möjligt får den registeransvarige erbjuda fjärråtkomst till ett säkert system där den registrerade får direkt tillgång till sina personuppgifter. Om den registrerade gör begäran i elektronisk form ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade inte begär något annat.

3.  Om den registeransvarige vägrar att vidta inte vidtar åtgärder på den registrerades begäran, ska den registeransvarige informera den registrerade om orsaken till vägran att inga åtgärder vidtas och om möjligheterna att lämna in ett klagomål till tillsynsmyndigheten och begära rättslig prövning.

4.  Den information och de åtgärder som vidtas på sådan begäran som avses i punkt 1 ska vara gratis. Om begäran är uppenbart orimlig, särskilt på grund av dess repetitiva karaktär, får den registeransvarige ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, och får om denna avgift inte betalas avstå från att vidta åtgärden. I så fall ska det åligga den registeransvarige att visa att begäran är uppenbart orimlig.

5.  Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för en sådan uppenbart orimlig begäran och sådana avgifter som avses i punkt 4.

6.  Kommissionen får fastställa standardformulär och precisera standardförfaranden för den kommunikation som avses i punkt 2, inbegripet det elektroniska formatet. Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. [Ändr. 107]

Artikel 13

Rättigheter i fråga om mottagare Anmälningskrav vid rättelser och raderingar

Den registeransvarige ska underrätta varje mottagare till vilken uppgifterna har lämnats ut överförts om eventuella rättelser eller raderingar som utförts i enlighet med artiklarna 16 och 17, om inte detta visar sig vara omöjligt eller inbegripa en oproportionell ansträngning. Den registeransvarige ska informera den registrerade om dessa mottagare på den registrerades begäran. [Ändr. 108]

Artikel 13a

Standardiserade informationsstrategier

1.  Om personuppgifter som rör en registrerad person samlas in ska den registeransvarige ge den registrerade följande upplysningar innan information lämnas enligt artikel 14:

a)  Huruvida personuppgifter samlas in utöver vad som är strikt nödvändigt för varje specifikt ändamål med behandlingen.

b)  Huruvida personuppgifter bevaras utöver vad som är strikt nödvändigt för varje specifikt ändamål med behandlingen.

c)  Huruvida personuppgifter behandlas för andra ändamål än dem för vilka uppgifterna samlades in.

d)  Huruvida personuppgifter lämnas ut till kommersiella tredje parter.

e)  Huruvida personuppgifter säljs eller hyrs ut.

f)  Huruvida personuppgifter bevaras i krypterad form.

2.  De upplysningar som avses i punkt 1 ska presenteras i enlighet med bilagan till denna förordning i anpassad tabellform, med text och symboler, i följande tre kolumner:

a)  Den första kolumnen ska innehålla grafiska former som symboliserar de enskilda upplysningarna.

b)  Den andra kolumnen ska innehålla grundläggande uppgifter om de enskilda upplysningarna.

c)  Den tredje kolumnen ska innehålla grafiska former som anger om en viss upplysning är tillämplig.

3.  Den information som avses i punkterna 1 och 2 ska presenteras på ett tydligt och lättläst sätt och vara avfattad på ett språk som lätt förstås av konsumenterna i de medlemsstater till vilka den lämnas. Om upplysningarna ges på elektronisk väg ska de vara maskinläsbara.

4.  Ytterligare upplysningar ska inte ges. Detaljerade förklaringar eller ytterligare kommentarer om de upplysningar som avses i punkt 1 får lämnas tillsammans med den övriga information som ska lämnas i enlighet med artikel 14.

5.  Kommissionen ska, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen, ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att närmare precisera de upplysningar som avses i punkt 1 och den presentation av dem som avses i punkt 2 och bilagan till denna förordning. [Ändr. 109]

AVSNITT 2

INFORMATION OCH TILLGÅNG TILL UPPGIFTER

Artikel 14

Information till den registrerade

1.  Om personuppgifter som rör en registrerad person samlas in, ska den registeransvarige till den registrerade åtminstone lämna information om följande, efter att ha gett upplysningarna enligt artikel 13a:

a)  Identitet och kontaktuppgifter för den registeransvarige och, i förekommande fall, för dennes företrädare samt för uppgiftsskyddsombudet.

b)  Ändamålen med den behandling för vilken personuppgifterna är avsedda samt information om säkerheten vid behandling av personuppgifter, inbegripet förutsättningarna och de allmänna villkoren för avtalet när behandlingen grundar sig på artikel 6.1 b och den registeransvariges berättigade intressen när behandlingen grundar sig på, om tillämpligt, hur de förverkligar och uppfyller kraven i artikel 6.1 f.

c)  Den period under vilken personuppgifterna kommer att lagras eller, om det inte är möjligt, de kriterier som används för att fastställa denna period.

d)  Förekomsten av rättigheten att av den registeransvarige begära tillgång till och rättelse eller radering av de personuppgifter som rör den registrerade eller att invända mot behandlingen av sådana personuppgifter eller att erhålla uppgifter.

e)  Rätten att inge klagomål till tillsynsmyndigheten och tillsynsmyndighetens kontaktuppgifter.

f)  Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna.

g)  I tillämpliga fall, att den registeransvarige avser att överföra personuppgifterna uppgifterna till ett tredjeland eller en internationell organisation och nivån på det skydd som detta tredjeland eller denna internationella organisation kan erbjuda med hänvisning till att ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas, eller, när det gäller de överföringar som avses i artiklarna 42 eller 43, att det finns lämpliga skyddsåtgärder och hur en kopia av dem kan erhållas.

ga)  I tillämpliga fall, information om förekomsten av profilering och av profileringsbaserade åtgärder samt information om de profileringseffekter på den registrerade som kan förutses.

gb)  Relevant information om logiken i all automatisk behandling.

h)  Eventuell ytterligare information som är nödvändig för att tillförsäkra den registrerade en korrekt behandling med hänsyn tagen till de särskilda omständigheter under vilka personuppgifterna samlas in eller behandlas, i synnerhet förekomsten av vissa inslag och insatser inom ramen för behandlingen vilka en konsekvensbedömning avseende skydd av personuppgifter har visat kan medföra en hög risk.

ha)  I tillämpliga fall, information om huruvida uppgifter har lämnats till myndigheter under den senaste sammanhängande tolvmånadersperioden.

2.  Om personuppgifterna samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om huruvida tillhandahållandet av personuppgifter är obligatoriskt eller frivilligt, samt om de möjliga följderna om sådana uppgifter inte lämnas.

2a.   Vid beslut om ytterligare information som är nödvändig för att behandlingen ska bli korrekt enligt punkt 1 h ska registeransvariga ta hänsyn till all relevant vägledning enligt artikel 34.

3.  Om personuppgifterna inte samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om var de specifika personuppgifterna har sitt ursprung. Om personuppgifterna har sitt ursprung i offentligt tillgängliga källor får detta redovisas i form av en allmän angivelse.

4.  Den registeransvarige ska lämna den information som anges i punkterna 1, 2 och 3

a)  vid den tidpunkt när personuppgifterna erhålls från den registrerade eller, om detta inte är möjligt, utan onödigt dröjsmål, eller,

aa)  på begäran av en sådan organisation eller sammanslutning som avses i artikel 73,

b)  om personuppgifterna inte samlas in från den registrerade, vid tidpunkten för registreringen eller inom en rimlig period efter insamlingen, med hänsyn tagen till de särskilda omständigheter under vilka uppgifterna samlas in eller på annat sätt behandlas, eller, om det planeras att lämna ut överföra uppgifterna till en annan mottagare, och senast när uppgifterna lämnas ut vid tidpunkten för den första gången. överföringen, eller, om uppgifterna ska användas i kommunikation med den registrerade i fråga, senast vid tidpunkten för den första kommunikationen med den registrerade, eller,

ba)  endast på begäran om uppgifterna behandlas av ett litet företag eller ett mikroföretag som behandlar uppgifter enbart som en sidoverksamhet.

5.  Punkterna 1–4 ska inte tillämpas i följande fall:

a)  Den registrerade har redan den information som anges i punkterna 1, 2 och 3.

b)  Uppgifterna behandlas för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artiklarna 81 och 83, de samlas inte in från den registrerade och, tillhandahållandet av sådan information visar sig vara omöjligt eller skulle inbegripa en oproportionell ansträngning och den registeransvarige har offentliggjort informationen så att den finns allmänt tillgänglig.

c)  Uppgifterna samlas inte in från den registrerade och registreringen eller utlämnandet fastställs uttryckligen i lagen den lag som den registeransvarige omfattas av och som föreskriver lämpliga åtgärder för att skydda den registrerades berättigade intressen, med tanke på de risker som behandlingen av uppgifterna utgör och personuppgifternas karaktär.

d)  Uppgifterna samlas inte in från den registrerade och tillhandahållandet av sådan information kommer att ha en negativ inverkan på andras andra fysiska personers fri- och rättigheter, såsom fastställs i unionslagstiftningen eller medlemsstatens lagstiftning i enlighet med artikel 21.

da)  Uppgifterna behandlas av, anförtros åt eller blir kända för en yrkesutövare som omfattas av tystnadsplikt enligt unionens eller en medlemsstats lagstiftning eller av andra lagstadgade sekretessförpliktelser, såvida inte uppgifterna samlas in direkt från den registrerade.

6.  I det fall som avses i punkt 5 b ska den registeransvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter eller berättigade intressen.

7.  Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna för de kategorier av mottagare som anges i punkt 1 f, de krav på meddelandet om möjlig tillgång som anges i punkt 1 g, kriterierna för den ytterligare nödvändiga information som anges i punkt 1 h för särskilda sektorer och situationer samt villkoren och de lämpliga skyddsåtgärderna vid undantag enligt punkt 5 b. Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag.

8.  Kommissionen får fastställa standardformulär för tillhandahållandet av den information som anges i punkterna 1–3, med hänsyn till de särskilda kännetecknen för och behoven inom särskilda sektorer och situationer vid behandlingen av personuppgifter när så krävs. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. [Ändr. 110]

Artikel 15

Den registrerades rätt till tillgång och rätt att erhålla uppgifter

1.  Med förbehåll för artikel 12.4 ska den registrerade ska ha rätt att av den registeransvarige när som helst på begäran få bekräftelse på huruvida personuppgifter som rör den registrerade håller på att behandlas. Om sådana personuppgifter håller på att behandlas ska den registeransvarige tillhandahålla samt i klar och lättbegriplig form följande information:

a)  Ändamålen med behandlingen för varje kategori av personuppgifter.

b)  De kategorier av personuppgifter som behandlingen gäller.

c)  De mottagare eller kategorier av mottagare till vilka personuppgifterna ska lämnas ut eller har lämnats ut, särskilt inklusive mottagare i tredjeländer.

d)  Den period under vilken personuppgifterna kommer att lagras eller, om det inte är möjligt, de kriterier som används för att fastställa denna period.

e)  Förekomsten av rättigheten att av den registeransvarige begära rättelse eller radering av personuppgifter som rör den registrerade eller att invända mot behandlingen av sådana personuppgifter.

f)  Rätten att inge klagomål till tillsynsmyndigheten, samt tillsynsmyndighetens kontaktuppgifter.

g)  Information om vilka personuppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer.

h)  Betydelsen och de förutsedda följderna av sådan behandling, åtminstone när det rör sig om de åtgärder som anges i artikel 20.

ha)  Relevant information om logiken i all automatisk behandling.

hb)  Utan att det påverkar tillämpningen av artikel 21, i fall av utlämnande av personuppgifter till en myndighet på en myndighets begäran, bekräftelse av att en sådan begäran gjorts.

2.  Den registrerade ska ha rätt att av den registeransvarige erhålla information om de personuppgifter som håller på att behandlas. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i elektronisk form ett elektroniskt och strukturerat format, om den registrerade inte begär något annat. Utan att det påverkar tillämpningen av artikel 10 ska den registeransvarige vidta alla rimliga åtgärder för att kontrollera att den person som begär tillgång till uppgifterna är den registrerade.

2a.  Om den registrerade har lämnat personuppgifterna och de behandlas på elektronisk väg ska den registrerade ha rätt att av den registeransvarige erhålla en kopia av de lämnade personuppgifterna i ett elektroniskt och interoperabelt format som är allmänt använt och som den registrerade kan fortsätta att använda, utan att hindras av den registeransvarige från vilken personuppgifterna hämtas. Om det är tekniskt möjligt och om en sådan lösning finns att tillgå ska uppgifterna överföras direkt från registeransvarig till registeransvarig på begäran av den registrerade.

2b.  Denna artikel ska inte påverka skyldigheten att radera uppgifter när de inte längre är nödvändiga enligt artikel 5.1 e.

2c.  Rätt till tillgång enligt punkterna 1 och 2 får inte medges för uppgifter i den mening som avses i artikel 14.5 da, förutom om den registrerade har rätt att häva den aktuella sekretessen och gör detta.

3.  Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den information till den registrerade om innehållet i personuppgifter som avses i punkt 1 g.

4.  Kommissionen får specificera standardformulär och förfaranden för att begära och bevilja tillgång till den information som avses i punkt 1, inbegripet för kontroll av den registrerades identitet och kommunikation av personuppgifterna till den registrerade, med hänsyn till de särskilda egenskaperna och behoven inom olika sektorer och situationer vid behandlingen av personuppgifter. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87. [Ändr. 111]

AVSNITT 3

RÄTTELSE OCH RADERING

Artikel 16

Rätt till rättelse

Den registrerade ska ha rätt att av den registeransvarige erhålla rättelse av personuppgifter som rör vederbörande och som är felaktiga. Den registrerade ska ha rätt att få till stånd komplettering av ofullständiga personuppgifter, bland annat genom att lägga till en korrigering.

Artikel 17

Rätt att bli bortglömd och till radering

1.  Den registrerade ska ha rätt att av den registeransvarige utverka att personuppgifter som rör vederbörande raderas och att man avstår från ytterligare spridning av sådana uppgifter, särskilt när det gäller personuppgifter som gjordes tillgängliga av den registrerade när vederbörande var barn, och där och att av tredje parter utverka att eventuella länkar till eller kopior eller reproduktioner av uppgifterna raderas, om en av följande grunder är tillämpliga:

a)  Uppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

b)  Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a, eller om en lagringsperiod för vilken samtycke har lämnats har löpt ut, och om det inte finns någon annan rättslig grund för behandlingen av uppgifterna.

c)  Den registrerade invänder mot behandlingen av personuppgifter enligt artikel 19.

ca)  De berörda uppgifterna ska raderas enligt ett lagakraftvunnet avgörande från en domstol eller en regleringsmyndighet i unionen.

d)  Behandlingen av Uppgifterna uppfyller inte villkoren i denna förordning av andra skäl har behandlats på ett otillåtet sätt.

1a.  Tillämpningen av punkt 1 ska vara beroende av förmågan hos den registeransvarige att kontrollera att den person som begär raderingen är den registrerade.

2.  Om den registeransvarige som avses i punkt 1 har offentliggjort personuppgifterna utan en motivering enligt artikel 6.1 ska vederbörande vidta alla rimliga åtgärder, inbegripet tekniska åtgärder, avseende uppgifter för vars offentliggörande den registeransvarige är ansvarig, för att underrätta tredje parter som håller på att behandla sådana uppgifter om att en registrerad begär att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter få uppgifterna raderade, även genom en tredje parts försorg, utan att det påverkar tillämpningen av artikel 77. Om den registeransvarige har gett en tredje part befogenhet att offentliggöra personuppgifter ska den registeransvarige anses vara ansvarig för detta offentliggörande. Den registeransvarige ska om möjligt informera den registrerade om den åtgärd som vidtagits av tredje parten i fråga.

3.  Den registeransvarige och i tillämpliga fall den tredje parten ska genomföra raderingen utan dröjsmål, utom i den utsträckning som det är nödvändigt att bevara personuppgifterna av följande skäl:

a)  För att utöva rätten till yttrandefrihet enligt artikel 80.

b)  Av viktiga skäl av allmänt intresse på folkhälsoområdet enligt artikel 81.

c)  För historiska, statistiska eller vetenskapliga forskningsändamål enligt artikel 83.

d)  För att iaktta en rättslig förpliktelse att bevara personuppgifter enligt unionslagstiftningen eller enligt en medlemsstats lagstiftning som den registeransvarige lyder under; medlemsstaternas lagstiftning ska uppfylla ett mål av allmänt intresse, respektera det väsentliga innehållet idet väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas.

e)  I de fall som avses i punkt 4.

4.  Istället I stället för radering ska den registeransvarige begränsa behandlingen av personuppgifter på ett sådant sätt att uppgifterna inte omfattas av de normala förfarandena för tillgång och behandling och inte längre kan ändras om

a)  den registrerade bestrider deras korrekthet, under en tid som ger den registeransvarige möjlighet att kontrollera om personuppgifterna är korrekta,

b)  den registeransvarige inte längre behöver personuppgifterna för att fullgöra sin arbetsuppgift men de måste bevaras för bevisändamål,

c)  behandlingen är olaglig och den registrerade motsätter sig att de raderas och i stället begär en begränsning av deras användning,

ca)  behandlingen av de berörda uppgifterna ska begränsas enligt ett lagakraftvunnet avgörande från en domstol eller en regleringsmyndighet i unionen,

d)  den registrerade begär att personuppgifterna ska överföras till ett annat system för automatisk behandling enligt artikel 18.2. 15.2a,

da)  den specifika typen av lagringsteknik inte medger radering och installerades före denna förordnings ikraftträdande.

5.  Sådana personuppgifter som avses i punkt 4 får, med undantag för lagring, endast behandlas för bevisändamål, eller med den registrerades samtycke, eller för att skydda en annan fysisk eller juridisk persons rättigheter, eller för ett mål av allmänt intresse.

6.  Om behandlingen av personuppgifter är begränsad enligt punkt 4 ska den registeransvarige underrätta den registrerade innan vederbörande häver begränsningen på behandlingen.

7.  Den registeransvarige ska införa rutiner för att se till att de tidsgränser som införts för raderingen av personuppgifter och/eller för en periodisk översyn av behovet att lagra uppgifter iakttas.

8.  Om raderingen genomförs ska den registeransvarige inte på annat sätt behandla sådana personuppgifter.

8a.  Den registeransvarige ska införa rutiner för att se till att de tidsgränser som införts för raderingen av personuppgifter och/eller för en periodisk översyn av behovet att lagra uppgifter iakttas.

9.  Kommissionen ska ha, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen, ges befogenhet att anta delegerade akter i enlighet med enligt artikel 86 i syfte med avseende på att närmare precisera

a)  kriterierna och kraven för tillämpningen av punkt 1 i fråga om särskilda sektorer och i särskilda situationer vid behandlingen av personuppgifter,

b)  de villkor för att stryka länkar, kopior eller reproduktioner av personuppgifter från allmänt tillgängliga kommunikationstjänster enligt punkt 2,

c)  de kriterier och villkor för att begränsa behandlingen av personuppgifter som anges i punkt 4. [Ändr. 112]

Artikel 18

Rätt till uppgiftsportabilitet

1.  Om personuppgifter behandlas på elektronisk väg och i ett strukturerat och allmänt använt format, ska den registrerade ha rätt att av den registeransvarige erhålla en kopia av de uppgifter som håller på att behandlas i ett elektroniskt och strukturerat format som är allmänt använt och som den registrerade kan fortsätta att använda.

2.  Om den registrerade har tillhandahållit personuppgifterna och behandlingen grundar sig på samtycke eller ett avtal, ska den registrerade ha rätt att överföra dessa personuppgifter och eventuell övrig information som tillhandahållits av den registrerade och bevarats i ett system för automatisk behandling, till ett annat system, i ett elektroniskt format som är allmänt använt, utan att hindras av den registeransvarige från vilken personuppgifterna återkallas.

3.  Kommissionen får specificera det elektroniska format som avses i punkt 1 samt de tekniska standarderna, villkoren och förfarandena för överföringen av personuppgifter enligt punkt 2. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 87. [Ändr. 113]

AVSNITT 4

RÄTT ATT GÖRA INVÄNDNINGAR OCH PROFILERING

Artikel 19

Rätt att göra invändningar

1.  Den registrerade ska, av skäl som hänför sig till vederbörandes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter som grundar sig på artikel 6.1 d, och e och f, om inte den registeransvarige visar på avgörande och berättigade skäl för behandlingen som väger tyngre än den registrerades intressen eller grundläggande fri- och rättigheter.

2.  Om personuppgifterna behandlas för direkt marknadsföring, behandlingen av personuppgifter grundar sig på artikel 6.1 f ska den registrerade ha rätt att när som helst och utan ytterligare motivering – i allmänhet eller av något specifikt skäl – kostnadsfritt invända mot behandlingen av sina personuppgifter för sådan marknadsföring. Denna rätt ska uttryckligen erbjudas den registrerade på ett begripligt sätt och ska vara tydligt åtskiljbar från övrig information.

2a.   Den rätt som avses i punkt 2 ska uttryckligen erbjudas den registrerade på ett begripligt sätt och i begriplig form med användning av ett klart och enkelt språk, i synnerhet om erbjudandet riktas specifikt till ett barn, och ska vara tydligt åtskiljbar från övrig information.

2b.  När det gäller användning av informationssamhällets tjänster, och utan hinder av vad som sägs i direktiv 2002/58/EG, får rätten att göra invändningar utövas på automatisk väg med användning av en teknisk standard som gör det möjligt för den registrerade att tydligt uttrycka sin vilja.

3.  Om en invändning godtas enligt punkt 1 och 2, ska den registeransvarige inte längre använda eller på annat sätt behandla de berörda personuppgifterna för de ändamål som anges i invändningen. [Ändr. 114]

Artikel 20

Åtgärder på grundval av Profilering

1.  Utan att det påverkar tillämpningen av bestämmelserna i artikel 6 ska varje fysisk person ska ha rätt att inte omfattas av en åtgärd som har rättsliga följder för vederbörande eller märkbart påverkar vederbörande, och som enbart grundas på automatisk behandling som är avsedd att bedöma vissa personliga egenskaper hos vederbörande eller att analysera eller förutsäga i synnerhet vederbörandes arbetsprestationer, ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende göra invändningar mot profilering i enlighet med artikel 19. Den registrerade ska informeras om rätten att göra invändningar mot profilering på ett mycket tydligt sätt.

2.  Om inte annat följer av övriga bestämmelser i denna förordning får en person omfattas av en åtgärd av den typ som avses i punkt 1 profilering som leder till åtgärder som har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar den berörda registrerades intressen, rättigheter eller friheter endast om behandlingen

a)  utförs som ett led i är nödvändig för ingåendet eller fullgörandet av ett avtal, om den registrerades begäran om ingående eller fullgörande av avtalet har bifallits eller om, under förutsättning att lämpliga åtgärder för att skydda den registrerades berättigade intressen, exempelvis rätten att få till stånd mänsklig medverkan, har vidtagits, eller

b)  uttryckligen tillåts enligt unionslagstiftningen eller en medlemsstats lagstiftning där det också fastställs lämpliga åtgärder till skydd för den registrerades berättigade intressen, eller

c)  grundar sig på den registrerades samtycke, på de villkor som fastställs i artikel 7 och under förutsättning att lämpliga skyddsåtgärder har införts.

3.  Automatisk behandling av personuppgifter i syfte att bedöma vissa personliga aspekter hos en fysisk person Profilering som medför diskriminering av enskilda personer på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, sexuell läggning eller könsidentitet, eller som leder till åtgärder med denna verkan, ska vara förbjuden. Den registeransvarige ska vidta effektiva skyddsåtgärder mot eventuell diskriminering till följd av profilering. Profilering får inte enbart grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9.

4.  I de fall som anges i punkt 2 ska den information som ska lämnas av den registeransvarige enligt artikel 14 inbegripa information om förekomsten av behandling för en åtgärd av den typ som anges i punkt 1 och de förutsedda effekterna av sådan behandling på den registrerade.

5.  Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för sådana Profilering som leder till åtgärder som har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar den berörda registrerades intressen, rättigheter eller friheter får inte grundas enbart eller till största delen på automatisk behandling, och den ska inbegripa personlig bedömning, inklusive en förklaring av det beslut som fattats efter en sådan bedömning. De lämpliga åtgärder för att skydda den registrerades berättigade intressen som avses i punkt 2 ska inbegripa rätten till personlig bedömning och en förklaring av det beslut som fattats efter en sådan bedömning.

5a.  Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med artikel 66.1 b för att närmare precisera kriterierna och villkoren för profilering enligt punkt 2. [Ändr. 115]

AVSNITT 5

BEGRÄNSNINGAR

Artikel 21

Begränsningar

1.  Det ska vara möjligt att i unionslagstiftningen eller medlemsstaternas lagstiftning införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 5 a–e, artiklarna 11–20 19 och artikel 32, om en sådan begränsning uppfyller ett tydligt definierat mål av allmänt intresse, respekterar det väsentliga innehållet i rätten till skydd av personuppgifter, står i proportion till det berättigade mål som eftersträvas samt respekterar den registrerades grundläggande rättigheter och intressen och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att garantera

a)  den allmänna säkerheten,

b)  förebyggande, utredning, avslöjande och lagföring av brott,

c)  andra av unionens eller en medlemsstats allmänna intressen, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor och skydd av marknadens stabilitet och integritet,

d)  förebyggande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken,

e)  en tillsyns-, inspektions- eller regleringsfunktion som, även om den är av övergående karaktär, är förbunden med inom ramen för behörig myndighetsutövning i de i led leden a, b, c och d nämnda avsedda fallen,

f)  skydd av den registrerade eller andras fri- och rättigheter.

2.  I synnerhet ska alla lagstiftningsåtgärder som avses i punkt 1 vara nödvändiga och proportionella i ett demokratiskt samhälle och innehålla särskilda bestämmelser åtminstone avseende målen för behandlingen och fastställandet av den registeransvarige.

a)   målen för behandlingen,

b)   fastställandet av den registeransvarige,

c)  de specifika ändamålen med och metoderna för behandlingen,

d)  garantierna för att förhindra missbruk och otillåten tillgång eller överföring,

e)  de registrerades rätt att bli informerade om begränsningen.

2a.  De lagstiftningsåtgärder som avses i punkt 1 ska varken tillåta eller ålägga privata registeransvariga att bevara andra uppgifter än sådana uppgifter som är strikt nödvändiga för det ursprungliga ändamålet. [Ändr. 116]

KAPITEL IV

REGISTERANSVARIG OCH REGISTERFÖRARE

AVSNITT 1

ALLMÄNNA SKYLDIGHETER

Artikel 22

Den registeransvariges ansvar och ansvarsskyldighet

1.  Den registeransvarige ska anta lämpliga policyer och genomföra lämpliga och påvisbara tekniska och organisatoriska åtgärder för att säkerställa och kunna visa klart och tydligt att behandlingen av personuppgifter utförs i enlighet med denna förordning, med beaktande av dagens tillgängliga teknik, typen av personuppgiftsbehandling, sammanhanget för, omfattningen på och ändamålen med behandlingen, riskerna för de registrerades rättigheter och friheter samt typen av organisation, både vid tidpunkten för fastställandet av behandlingsmetoden och vid tidpunkten för själva behandlingen.

1a.  Med beaktande av dagens tillgängliga teknik och genomförandekostnaden ska den registeransvarige vidta alla rimliga åtgärder för att genomföra policyer och rutiner för efterlevnad vilka utan undantag respekterar de registrerades autonoma val. Dessa policyer för efterlevnad ska ses över minst vartannat år och uppdateras vid behov.

2.  De åtgärder som nämns i punkt 1 ska särskilt avse att

a)  förvara dokumentationen enligt artikel 28,

b)  genomföra de krav på datasäkerhet som fastställs i artikel 30,

c)  genomföra en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33,

d)  uppfylla kraven på förhandstillstånd eller förhandssamråd med tillsynsmyndigheten enligt artikel 34.1 och 34.2,

e)  utse en datatillsynsman enligt artikel 35.1.

3.  Den registeransvarige ska införa rutiner för att säkerställa kontrollen av kunna visa att de åtgärder som anges i punkterna 1 och 2 är adekvata och verkningsfulla. Om det är proportionellt, ska denna kontroll utföras av oberoende interna eller externa granskare. Eventuella regelbundna allmänna rapporter om den registeransvariges verksamhet, såsom de obligatoriska rapporterna från noterade företag, ska innehålla en sammanfattande beskrivning av de policyer och åtgärder som avses i punkt 1.

3a.  Den registeransvarige ska ha rätt att överföra personuppgifter i unionen inom den företagsgrupp som den registeransvarige är en del av, om sådan behandling är nödvändig för berättigade interna administrativa ändamål mellan sammankopplade affärsområden för företagsgruppen och om en adekvat skyddsnivå för personuppgifter samt respekt för de registrerades intressen garanteras genom interna uppgiftsskyddsbestämmelser eller motsvarande uppförandekodexar i enlighet med artikel 38.

4.  Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att precisera eventuella ytterligare kriterier och krav för de lämpliga åtgärder som avses i punkt 1 utöver dem som redan angetts i punkt 2, villkoren för de kontroll- och granskningsrutiner som avses i punkt 3 och när det gäller kriterierna för proportionalitet enligt punkt 3, samt med hänsyn till särskilda åtgärder för mikroföretag och små och medelstora företag. [Ändr. 117]

Artikel 23

Inbyggt uppgiftsskydd och uppgiftsskydd som standard

1.  Med beaktande av dagens tillgängliga teknik, aktuell teknisk kunskap, internationell bästa praxis och genomförandekostnaden de risker som uppgiftsbehandling medför ska den registeransvarige och i förekommande fall registerföraren, både vid tidpunkten för fastställandet av ändamålen med behandlingen och behandlingsmetoden och vid tidpunkten för själva behandlingen, genomföra lämpliga och proportionella tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter, särskilt med hänsyn till de principer som fastställs i artikel 5. Vid inbyggt uppgiftsskydd ska hela livscykelhanteringen av personuppgifter beaktas, från insamling och behandling till radering, med systematisk inriktning på omfattande rättssäkerhetsgarantier för korrekthet, konfidentialitet, integritet, fysisk säkerhet och radering av personuppgifter. Om den registeransvarige har utfört en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33 ska resultaten av bedömningen beaktas i utarbetandet av dessa åtgärder och förfaranden.

1a.  I syfte att främja en utbredd användning inom olika ekonomiska sektorer ska inbyggt uppgiftsskydd vara en förutsättning för offentliga upphandlingar i enlighet med Europaparlamentets och rådets direktiv 2004/18/EG(16) och Europaparlamentets och rådets direktiv 2004/17/EG(17) (försörjningsdirektivet).

2.  Den registeransvarige ska införa rutiner för att se till att, i standardfallet, endast de personuppgifter behandlas som är nödvändiga för varje specifikt ändamål med behandlingen, och särskilt att de inte samlas in eller, bevaras eller lämnas ut utöver vad som är strikt nödvändigt för dessa ändamål, både i fråga om både antalet uppgifter och tidpunkten för deras lagring. Dessa rutiner ska i synnerhet säkerställa att personuppgifter i standardfallet inte görs tillgängliga till för ett obegränsat antal enskilda och att de registrerade kan kontrollera spridningen av sina personuppgifter.

3.  Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 för att precisera eventuella ytterligare kriterier och krav för sådana lämpliga åtgärder och rutiner som avses i punkt 1 och 2, särskilt när det gäller krav på inbyggt uppgiftsskydd som är tillämpliga över sektorer, produkter och tjänster.

4.  Kommissionen får fastställa tekniska standarder för de krav som fastställs i punkterna 1 och 2. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2. [Ändr. 118]

Artikel 24

Gemensamma registeransvariga

Om en registeransvarig flera registeransvariga gemensamt fastställer ändamålen, villkoren och medlen för behandlingen av personuppgifter tillsammans med andra ska de gemensamma registeransvariga fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt avseende förfarandena och rutinerna för den registrerades utövande av sina rättigheter, genom ett arrangemang som de enas om sinsemellan. Arrangemanget ska vederbörligen återspegla de gemensamma registeransvarigas respektive roller och förhållanden gentemot registrerade, och det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade. I fall av oklar ansvarsfördelning ska var och en av de registeransvariga vara solidariskt ansvariga. [Ändr. 119]

Artikel 25

Företrädare för registeransvariga som inte är etablerade i unionen

1.  I den situation som avses i artikel 3.2 ska den registeransvarige utse en företrädare i unionen.

2.  Denna skyldighet ska inte gälla

a)  en registeransvarig som är etablerad i ett tredjeland om kommissionen har beslutat att tredjelandet garanterar en adekvat skyddsnivå i enlighet med artikel 41, eller

b)  ett företag med färre än 250 anställda en registeransvarig som behandlar uppgifter som gäller färre än 5 000 registrerade under en sammanhängande period på 12 månader och inte behandlar särskilda kategorier av personuppgifter i enlighet med artikel 9.1, lokaliseringsuppgifter eller uppgifter om barn eller anställda i storskaliga register, eller

c)  en offentlig myndighet eller ett offentligt organ, eller

d)  en registeransvarig som endast sporadiskt erbjuder varor eller tjänster till registrerade som är bosatta i unionen, såvida inte behandlingen av personuppgifter gäller särskilda kategorier av personuppgifter i enlighet med artikel 9.1, lokaliseringsuppgifter eller uppgifter om barn eller anställda i storskaliga register.

3.  Företrädaren ska vara etablerad i en av de medlemsstater där de registrerade vars personuppgifter behandlas i samband med att de erbjuds varor eller tjänster, eller vars beteende där de övervakas, är bosatta.

4.  Att den registeransvarige utser en företrädare ska inte påverka de rättsliga åtgärder som skulle kunna inledas mot den registeransvarige. [Ändr. 120]

Artikel 26

Registerförare

1.  Om en behandling ska utföras på en registeransvarigs vägnar ska den registeransvarige välja en registerförare som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter, särskilt respekten för de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som reglerar den behandling som ska utföras och se till att dessa åtgärder efterlevs.

2.  När uppgifter behandlas av en registerförare ska hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling mellan registerföraren och den registeransvarige och i handlingen ska det särskilt föreskrivas att. Den registeransvarige och registerföraren ska ha rätt att fastställa sina respektive roller och uppgifter med avseende på kraven i denna förordning, varvid registerföraren

a)  endast får handla behandla personuppgifter på instruktioner från den registeransvarige, särskilt om överföringen av de personuppgifter som används är förbjuden såvida inte unionslagstiftningen eller en medlemsstats lagstiftning föreskriver något annat,

b)  endast får anställa personal som har åtagit sig att iaktta sekretess eller som omfattas av en lagstadgad sekretessförpliktelse,

c)  ska vidta alla åtgärder som krävs enligt artikel 30,

d)  endast får fastställa villkoren för att engagera en annan registerförare om den registeransvarige först har godkänt detta, om inget annat beslutats,

e)  i samförstånd med den registeransvarige, och så långt det är möjligt med tanke på behandlingens karaktär, ska inrätta de nödvändiga lämpliga och relevanta tekniska och organisatoriska kraven för att den registeransvarige ska kunna fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III,

f)  ska bistå den registeransvarige med att se till att skyldigheterna enligt artiklarna 30–34 fullgörs, med beaktande av typen av behandling och den information som registerföraren har att tillgå,

g)  ska lämna återlämna alla resultat till den registeransvarige efter behandlingens slut och inte behandla personuppgifterna på annat sätt samt förstöra befintliga kopior såvida inte unionslagstiftningen eller en medlemsstats lagstiftning föreskriver lagring av uppgifterna,

h)  ska ge den registeransvarige och tillsynsmyndigheten tillgång till all information som krävs för att kontrollera visa på fullgörandet av de skyldigheter som fastställs i denna artikel och tillåta inspektioner på plats.

3.  Den registeransvarige och registerföraren ska skriftligen dokumentera den registeransvariges instruktioner och registerförarens skyldigheter enligt punkt 2.

3a.  De tillräckliga garantier som avses i punkt 1 kan påvisas genom överensstämmelse med uppförandekodexar eller certifieringsmekanismer enligt artiklarna 38 eller 39 i denna förordning.

4.  Om en registerförare behandlar andra personuppgifter än de dem som den registeransvarige gett instruktioner om eller blir den part som fastställer ändamålen med och medlen för uppgiftsbehandlingen ska registerföraren anses vara en registeransvarig med avseende på den behandlingen och ska omfattas av de bestämmelser om gemensamma registeransvariga som fastställs i artikel 24.

5.  Kommissionen ska ha rätt att anta delegerade akter i enlighet med artikel 86 i syfte att närmare precisera kriterierna och kraven för registerförarens ansvarsområden, uppdrag och arbetsuppgifter med avseende på en registerförare enligt punkt 1, och de omständigheter som gör det möjligt att underlätta behandlingen av personuppgifter inom en företagsgrupp, särskilt för kontroll- och rapporteringsändamål. [Ändr. 121]

Artikel 27

Behandling under den registeransvariges och registerförarens överinseende

Registerföraren och personer som utför arbete under den registeransvariges eller registerförarens överinseende, och som får tillgång till personuppgifter, får behandla dessa endast enligt instruktion från den registeransvarige, om han eller hon inte är skyldig att göra det enligt unionslagstiftningen eller medlemsstaternas lagstiftning.

Artikel 28

Dokumentation

1.  Varje registeransvarig och registerförare samt den registeransvariges eventuella företrädare ska bevara den regelbundet uppdaterade dokumentation om all behandling som utförts under dess ansvar som krävs för att uppfylla de krav som fastställs i denna förordning.

2.  Dokumentationen ska innehålla åtminstone Därutöver ska varje registeransvarig och registerförare bevara dokumentation av följande uppgifter:

a)  Namn och kontaktuppgifter för den registeransvarige, eller eventuella gemensamma registeransvariga eller registerförare, samt för den eventuella företrädaren.

b)  Namn och kontaktuppgifter för det eventuella uppgiftsskyddsombudet.

c)  Ändamålen med behandlingen, inbegripet den registeransvariges berättigade intressen när behandlingen grundar sig på artikel 6.1 f.

d)  En beskrivning av de kategorier av registrerade som berörs och av de kategorier av personuppgifter som hänför sig till dem.

e)  Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, inbegripet Namn och kontaktuppgifter för de eventuella registeransvariga till vilka personuppgifter lämnas ut för deras berättigade intressen.

f)  I tillämpliga fall, överföringar av uppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 44.1 h, dokumentationen om lämpliga skyddsåtgärder.

g)  En allmän anvisning om tidsfristerna för radering av de olika kategorierna av uppgifter.

h)  Beskrivning av de rutiner som avses i artikel 22.3.

3.  Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran göra dokumentationen tillgänglig för tillsynsmyndigheten.

4.  De skyldigheter som anges i punkterna 1 och 2 ska inte gälla för följande registeransvariga och registerförare:

a)  En fysisk person som behandlar personuppgifter utan vinstintresse.

b)  Ett företag eller en organisation med färre än 250 anställda som behandlar personuppgifter endast som en sidoverksamhet till sin huvudverksamhet.

5.  Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den dokumentation som avses i punkt 1, för att ta hänsyn särskilt till de områden som den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ansvarar för.

6.  Kommissionen får fastställa standardformulär för den dokumentation som anges i punkt 1. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2. [Ändr. 122]

Artikel 29

Samarbete med tillsynsmyndigheten

1.  Den registeransvarige och den eventuella registerföraren samt den registeransvariges eventuella företrädare ska på begäran samarbeta med tillsynsmyndigheten i utövandet av dess uppdrag, särskilt genom att tillhandahålla den information som avses i artikel 53.2 a och genom att ge tillgång i enlighet med artikel 53.2 b.

2.  Som reaktion på tillsynsmyndighetens utövande av sina befogenheter enligt artikel 53.2 ska den registeransvarige och registerföraren svara tillsynsmyndigheten inom en rimlig period som ska fastställas av tillsynsmyndigheten. Svaret ska inbegripa en beskrivning av de åtgärder som vidtagits och de resultat som uppnåtts som svar på tillsynsmyndighetens anmärkningar. [Ändr. 123]

AVSNITT 2

DATASÄKERHET

Artikel 30

Säkerhet i samband med behandlingen av uppgifter

1.  Den registeransvarige och registerföraren ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå med tanke på de risker som behandlingen medför och karaktären hos de personuppgifter som ska skyddas – med beaktande av resultaten av en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33 –, med hänsyn till dagens tillgängliga teknik och kostnaderna för att vidta åtgärderna.

1a.  Med hänsyn till dagens tillgängliga teknik och genomförandekostnaden ska en sådan säkerhetsstrategi inbegripa följande:

a)  Förmågan att säkerställa personuppgifternas integritet.

b)  Förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och återhämtningsförmåga hos de system och tjänster som behandlar personuppgifter.

c)  Förmågan att återställa tillgängligheten och tillgången till uppgifterna i tid vid en fysisk eller teknisk olycka som påverkar tillgängligheten, integriteten och konfidentialiteten hos informationssystem och informationstjänster.

d)  När det gäller behandling av känsliga personuppgifter i enlighet med artiklarna 8 och 9, ytterligare säkerhetsåtgärder för att säkerställa riskmedvetenhet och förmågan att vidta förebyggande, korrigerande och begränsande åtgärder i tid mot svagheter eller olyckor som skulle kunna innebära en risk för uppgifterna.

e)  Ett förfarande för att regelbundet testa, bedöma och utvärdera effektiviteten hos de strategier, förfaranden och planer för säkerhet som har införts för att säkerställa fortgående effektivitet.

2.  Efter en bedömning av riskerna ska den registeransvarige och registerföraren vidta De åtgärder som avses i punkt 1 för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse och för att förhindra otillåten behandling, särskilt obehörigt röjande, obehörig spridning eller åtkomst, eller ändringar av personuppgifter. ska minst

a)  säkerställa att endast auktoriserad personal, och endast för lagligen tillåtna ändamål, får tillgång till personuppgifter,

b)  skydda personuppgifter som lagrats eller överförts mot förstöring genom olyckshändelse eller olaglig förstöring, mot förlust eller ändring genom olyckshändelse samt mot obehörig eller olaglig lagring, behandling och tillgång och obehörigt eller olagligt röjande, och

c)  säkra genomförandet av en säkerhetsstrategi för behandling av personuppgifter.

3.  Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med artikel 66.1 b med avseende på de tekniska och organisatoriska åtgärder som avses i punkterna 1 och 2, inbegripet fastställandet av vad som utgör dagens tillgängliga teknik, för specifika sektorer och i specifika situationer vid behandlingen av personuppgifter, med särskild hänsyn till den tekniska utvecklingen och utvecklingen i fråga om lösningar för inbyggt integritetsskydd och uppgiftsskydd som standard, om inte punkt 4 är tillämplig.

4.  När så är nödvändigt får kommissionen anta genomförandeakter i syfte att specificera kraven i punkterna 1 och 2 för olika situationer, särskilt för att

a)  förhindra obehörig åtkomst till personuppgifter,

b)  förhindra obehörigt röjande, obehörig läsning, kopiering, ändring eller radering eller obehörigt avlägsnande av personuppgifter,

c)  se till att det kontrolleras att behandlingen är laglig.

Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. [Ändr. 124]

Artikel 31

Anmälan av ett personuppgiftsbrott till tillsynsmyndigheten

1.  Vid ett personuppgiftsbrott ska den registeransvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 24 timmar efter att ha fått vetskap om det, anmäla personuppgiftsbrottet till tillsynsmyndigheten. Om anmälan till tillsynsmyndigheten inte görs inom 24 timmar ska den åtföljas av en utförlig motivering.

2.  I enlighet med artikel 26.2 f ska Registerföraren ska underrätta och informera den registeransvarige omedelbart utan onödigt dröjsmål efter det att ett personuppgiftsbrott har konstaterats.

3.  Den anmälan som avses i punkt 1 ska åtminstone

a)  beskriva personuppgiftsbrottets karaktär, inbegripet de kategorier av och antalet registrerade som berörs samt de kategorier av och antalet uppgiftsposter som berörs,

b)  förmedla identiteten på och kontaktuppgifterna för uppgiftsskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,

c)  rekommendera åtgärder för att begränsa de möjliga negativa effekterna av personuppgiftsbrottet,

d)  beskriva konsekvenserna av personuppgiftsbrottet,

e)  beskriva de åtgärder som den registeransvarige föreslagit eller vidtagit för att åtgärda personuppgiftsbrottet och begränsa dess verkan.

Informationen får vid behov lämnas i faser.

4.  Den registeransvarige ska dokumentera alla personuppgiftsbrott, inbegripet omständigheterna kring brottet, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska vara tillräckligt utförlig för att göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel och av artikel 30. Dokumentationen ska endast innehålla den information som behövs för detta ändamål.

4a.  Tillsynsmyndigheten ska föra ett offentligt register över typer av anmälda uppgiftsbrott.

5.  Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med artikel 66.1 b med avseende på fastställandet av det uppgiftsbrott och det onödiga dröjsmål som avses i punkterna 1 och 2 samt för de särskilda omständigheter under vilka en registeransvarig och en registerförare ska anmäla personuppgiftsbrottet.

6.  Kommissionen får fastställa standardformatet för sådana anmälningar till tillsynsmyndigheten, de förfaranden som gäller för anmälningskravet och formen och villkoren för den dokumentation som avses i punkt 4, inbegripet tidsgränserna för raderingen av informationen i denna. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87. [Ändr. 125]

Artikel 32

Information till den registrerade om ett personuppgiftsbrott

1.  Om personuppgiftsbrottet sannolikt har en negativ inverkan på skyddet av den registrerades personuppgifter eller, integritet, rättigheter eller berättigade intressen ska den registeransvarige, efter den anmälan som avses i artikel 31, utan onödigt dröjsmål informera den registrerade om personuppgiftsbrottet.

2.  Den information till den registrerade som avses i punkt 1 ska vara uttömmande och avfattad på ett klart och enkelt språk. Den ska innehålla en beskrivning av personuppgiftsbrottets karaktär och åtminstone de upplysningar och de rekommendationer som anges i artikel 31.3 b och, c och d samt information om den registrerades rättigheter, däribland rätten till prövning.

3.  Det ska inte vara ett krav att informera den registrerade om personuppgiftsbrottet om den registeransvarige tillfredsställande visar för den behöriga myndigheten att den har genomfört lämpliga tekniska skyddsåtgärder och att dessa åtgärder tillämpats på de uppgifter som berördes av personuppgiftsbrottet. Sådana tekniska skyddsåtgärder ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till uppgifterna.

4.  Utan att det påverkar den registeransvariges skyldighet att informera den registrerade om personuppgiftsbrottet, får tillsynsmyndigheten, om den registeransvarige inte redan har informerat den registrerade, efter att ha tagit hänsyn till de möjliga negativa effekterna av brottet, begära att den registeransvarige gör detta.

5.  Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera villkoren och kraven när det gäller Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med artikel 66.1 b med avseende på de omständigheter under vilka ett personuppgiftsbrott sannolikt har en negativ inverkan på de den registrerades personuppgifter, integritet, rättigheter eller berättigade intressen som avses i punkt 1.

6.  Kommissionen får fastställa formatet för den information till den registrerade som avses i punkt 1 och de förfaranden som gäller för den informationen. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. [Ändr. 126]

Artikel 32a

Riskanalys

1.  Den registeransvarige eller i tillämpliga fall registerföraren ska utföra en riskanalys av den planerade uppgiftsbehandlingens konsekvenser för de registrerades rättigheter och friheter med en bedömning av frågan huruvida behandlingen sannolikt medför särskilda risker.

2.  Följande former av behandling medför sannolikt särskilda risker:

a)  Behandling av personuppgifter som gäller fler än 5 000 registrerade under en sammanhängande period på 12 månader.

b)  Behandling av de särskilda personuppgiftskategorier som avses i artikel 9.1, lokaliseringsuppgifter eller uppgifter om barn eller anställda i storskaliga register.

c)  Profilering på vilken åtgärder grundar sig som har rättsliga följder för den enskilde eller på liknande sätt i betydande grad påverkar honom eller henne.

d)  Behandling av personuppgifter för tillhandahållande av hälso- och sjukvård, epidemiologisk forskning eller undersökningar av psykiska sjukdomar eller infektionssjukdomar där uppgifterna behandlas i syfte att vidta åtgärder eller fatta beslut om specifika enskilda personer i stor skala.

e)  Automatisk övervakning av allmän plats i stor skala.

f)  Annan behandling för vilken samråd ska ske med uppgiftsskyddsombudet eller tillsynsmyndigheten enligt artikel 34.2 b.

g)  Situationer där ett personuppgiftsbrott sannolikt skulle få negativa konsekvenser för skyddet av den registrerades personuppgifter, integritet, rättigheter eller berättigade intressen.

h)  Den registeransvariges eller registerförarens kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade.

i)  Om personuppgifter görs tillgängliga för ett antal personer som inte rimligen kan förväntas vara begränsat.

3.  Om resultatet av riskanalysen

a)  visar att någon av de former av behandling som avses i punkt 2 a eller b utförs ska registeransvariga som inte är etablerade i unionen utse en företrädare i unionen i linje med de krav och befrielser som fastställs i artikel 25,

b)  visar att någon av de former av behandling som avses i punkt 2 a, b eller h utförs ska den registeransvarige utse ett uppgiftsskyddsombud i linje med de krav och befrielser som fastställs i artikel 35,

c)  visar att någon av de former av behandling som avses i punkt 2 a, b, c, d, e, f, g eller h utförs ska den registeransvarige, eller registerföraren på den registeransvariges vägnar, utföra en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33,

d)  visar att den behandling som avses i punkt 2 f utförs ska den registeransvarige samråda med uppgiftsskyddsombudet eller, om något sådant inte utnämnts, tillsynsmyndigheten enligt artikel 34,

4.  Riskanalysen ska ses över senast efter ett år, eller omedelbart om uppgiftsbehandlingens karaktär, omfattning eller ändamål ändras i betydande grad. Om den registeransvarige enligt punkt 3 c inte är skyldig att utföra en konsekvensbedömning avseende uppgiftsskydd ska riskanalysen dokumenteras. [Ändr. 127]

AVSNITT 3

KONSEKVENSBEDÖMNING AVSEENDE LIVSCYKELHANTERING AV UPPGIFTSSKYDD OCH FÖRHANDSTILLSTÅND [Ändr. 128]

Artikel 33

Konsekvensbedömning avseende uppgiftsskydd

1.  Om behandlingen på grund av sin karaktär, sin omfattning eller sina ändamål medför särskilda risker för de registrerades fri- och rättigheter, det enligt artikel 32a.3 c krävs ska den registeransvarige, eller registerföraren på den registeransvariges vägnar, utföra en bedömning av den planerade behandlingens konsekvenser för skyddet de registrerades rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. En enda bedömning ska vara tillräcklig för att hantera en serie liknande behandlingsåtgärder som medför liknande risker.

2.  I synnerhet följande typer av behandling medför sådana särskilda risker som avses i punkt 1:

a)  En systematisk och omfattande bedömning av en fysisk persons personliga aspekter eller i syfte att analysera eller förutse särskilt den fysiska personens ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende, vilket grundar sig på automatisk behandling och på vilka sådana åtgärder grundar sig som har rättsliga följder för den enskilde eller som märkbart påverkar honom eller henne.

b)  Information om sexualliv, hälsa, ras och etniskt ursprung eller – i samband med tillhandahållande av hälso- och sjukvård – epidemiologisk forskning, eller undersökningar av psykiska sjukdomar eller infektionssjukdomar, där uppgifterna behandlas i syfte att vidta åtgärder eller fatta beslut om specifika enskilda personer i stor skala.

c)  Övervakning av allmän plats, särskilt vid användning av optisk-elektroniska anordningar (videoövervakning) i stor skala.

d)  Personuppgifter i storskaliga register om barn, genetiska uppgifter eller biometriska uppgifter.

e)  Annan behandling för vilken samråd måste ske med tillsynsmyndigheten enligt artikel 34.2 b.

3.  Bedömningen ska ta hänsyn till hela livscykelhanteringen av personuppgifter från insamling och behandling till radering. Den ska innehålla åtminstone en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för de registrerades fri- och rättigheter, de åtgärder som planeras för att hantera risker, skyddsåtgärder, säkerhetsåtgärder och rutiner för att garantera skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen. följande:

a)  En systematisk beskrivning av den planerade behandlingen, dess ändamål och, om tillämpligt, den registeransvariges berättigade intressen.

b)  En bedömning av behandlingens nödvändighet och proportionalitet i förhållande till ändamålen.

c)  En bedömning av riskerna för de registrerades rättigheter och friheter, inklusive den risk för diskriminering som behandlingen medför eller förstärker.

d)  En beskrivning av de åtgärder som planeras för att hantera risker och minimera den mängd personuppgifter som behandlas.

e)  En förteckning över skyddsåtgärder, säkerhetsåtgärder och rutiner för att garantera skyddet av personuppgifterna, till exempel pseudonymisering, och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen.

f)  En allmän angivelse av tidsfristerna för radering av de olika kategorierna av uppgifter.

g)  En förklaring om vilka uppgiftskyddsrutiner avseende inbyggt uppgiftsskydd och uppgiftsskydd som standard som har genomförts i enlighet med artikel 23.

h)  En förteckning över mottagarna eller kategorierna av mottagare av personuppgifterna.

i)  I tillämpliga fall, en förteckning över de planerade överföringarna av uppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen.

j)  En bedömning av det sammanhang i vilket uppgiftsbehandlingen utförs.

3a.  Om den registeransvarige eller registerföraren har utsett ett uppgiftsskyddsombud ska han eller hon involveras i processen med konsekvensbedömningen.

3b.  Bedömningen ska dokumenteras och inbegripa ett schema för regelbundna periodiska granskningar av uppgiftsskyddets överensstämmelse i enlighet med artikel 33a.1. Bedömningen ska uppdateras utan onödigt dröjsmål om resultatet av den granskning av uppgiftsskyddets överensstämmelse som avses i artikel 33a visar på bristande överensstämmelse. Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran göra bedömningen tillgänglig för tillsynsmyndigheten.

4.  Den registeransvarige ska inhämta synpunkter från de registrerade och deras företrädare om den avsedda behandlingen, utan att det påverkar skyddet av kommersiella eller allmänna intressen eller behandlingens säkerhet.

5.  Om den registeransvarige är en offentlig myndighet eller ett offentligt organ och om behandlingen följer av en rättslig skyldighet enligt artikel 6.1 c som föreskriver regler och förfaranden som rör behandlingen och regleras av unionslagstiftningen, ska punkterna 1–4 inte gälla, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen.

6.  Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för sådan behandling som sannolikt medför särskilda risker enligt punkterna 1 och 2 och kraven för den bedömning som avses i punkt 3, däribland villkor för skalbarhet, kontroll och granskningsmöjligheter. Kommissionen ska därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag.

7.  Kommissionen får ange standarder och förfaranden för utförandet samt kontrollen och granskningen av den bedömning som avses i punkt 3. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 87. [Ändr. 129]

Artikel 33a

Granskning av uppgiftsskyddets överensstämmelse

1.  Senast två år efter utförandet av en konsekvensbedömning enligt artikel 33.1 ska den registeransvarige, eller registerföraren på den registeransvariges vägnar, utföra en granskning av överensstämmelsen med konsekvensbedömningen. Denna granskning av överensstämmelsen ska visa att personuppgifter behandlas i överensstämmelse med konsekvensbedömningen avseende uppgiftsskydd.

2.  Granskningen av överensstämmelse ska utföras regelbundet, minst vartannat år, eller omedelbart om de särskilda risker som behandlingen medför ändras.

3.  Om resultatet av granskningen av överensstämmelse visar på bristande överensstämmelse ska granskningen omfatta rekommendationer för hur fullständig överensstämmelse kan uppnås.

4.  Granskningen av överensstämmelse samt dess rekommendationer ska dokumenteras. Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran göra granskningen av överensstämmelse tillgänglig för tillsynsmyndigheten.

5.  Om den registeransvarige eller registerföraren har utsett ett uppgiftsskyddsombud ska han eller hon involveras i processen med granskningen av överensstämmelse. [Ändr. 130]

Artikel 34

Förhandstillstånd och Förhandssamråd

1.  Den registeransvarige eller registerföraren, allt efter omständigheterna, ska erhålla ett godkännande från tillsynsmyndigheten före behandlingen av personuppgifterna, i syfte att se till att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade när en registeransvarig eller en registerförare antar avtalsklausuler enligt artikel 42.2 d eller inte tillhandahåller lämpliga skyddsåtgärder i ett rättsligt bindande instrument enligt artikel 42.5 för överföring av personuppgifter till ett tredjeland eller en internationell organisation.

2.  Den registeransvarige, eller registerföraren som handlar på den registeransvariges vägnar, ska samråda med uppgiftsskyddsombudet eller, om något sådant inte utnämnts, tillsynsmyndigheten före behandlingen av personuppgifter för att se till att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade om

a)  en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33 visar att behandlingen på grund av sin karaktär, sin omfattning eller sina ändamål sannolikt medför höggradiga särskilda risker, eller

b)  uppgiftsskyddsombudet eller tillsynsmyndigheten anser det nödvändigt att utföra ett förhandssamråd om behandling som sannolikt medför särskilda risker för de registrerades fri- och rättigheter på grund av sin karaktär, sin omfattning och/eller sina ändamål, och som preciseras enligt punkt 4.

3.  Om den behöriga tillsynsmyndigheten anser i enlighet med sina befogenheter fastställer att den avsedda behandlingen inte överensstämmer med denna förordning, särskilt om riskerna är otillräckligt fastställda eller begränsade, ska den förbjuda den avsedda behandlingen och lägga fram lämpliga förslag för att åtgärda sådan brist på överensstämmelse.

4.  Tillsynsmyndigheten Europeiska dataskyddsstyrelsen ska inrätta och offentliggöra en förteckning över den behandling som omfattas av förhandssamråd enligt punkt 2. Tillsynsmyndigheten ska översända dessa förteckningar till Europeiska dataskyddsstyrelsen.

5.  Om den förteckning som avses i punkt 4 inbegriper behandling som rör erbjudande av varor och tjänster till registrerade i flera medlemsstater, eller övervakning av deras beteende, eller som väsentligt kan påverka den fria rörligheten för personuppgifter i unionen, ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57 före antagandet av förteckningen.

6.  Den registeransvarige eller registerföraren ska, på begäran, till tillsynsmyndigheten lämna den konsekvensbedömning avseende uppgiftsskydd som avses i artikel 33 och, på begäran, eventuell övrig information som gör att tillsynsmyndigheten kan göra en bedömning av behandlingens överensstämmelse och särskilt av riskerna för skyddet av den registrerades personuppgifter och av därmed sammanhängande skyddåtgärder.

7.  Medlemsstaterna ska samråda med tillsynsmyndigheten vid utarbetandet av lagstiftningsåtgärder som ska antas av det nationella parlamentet eller av en åtgärd som grundar sig på en sådan lagstiftningsåtgärd, som fastställer behandlingens karaktär, för att garantera att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade.

8.  Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för fastställandet av de höggradiga särskilda risker som avses i punkt 2 a.

9.  Kommissionen får fastställa standardformulär och förfaranden för sådana förhandstillstånd och förhandssamråd som avses i punkterna 1 och 2, och standardformulär och förfaranden för att informera tillsynsmyndigheterna enligt punkt 6. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2. [Ändr. 131]

AVSNITT 4

UPPGIFTSSKYDDSOMBUD

Artikel 35

Utnämning av uppgiftsskyddsombudet

1.  Den registeransvarige och registerföraren ska utnämna ett uppgiftsskyddsombud om

a)  behandlingen utförs av en offentlig myndighet eller ett offentligt organ, eller

b)  behandlingen utförs av ett företag som har minst 250 anställda en juridisk person och gäller fler än 5 000 registrerade under en sammanhängande period på 12 månader, eller

c)  den registeransvariges och registerförarens kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade, eller

d)  den registeransvariges och registerförarens kärnverksamhet består av behandling av särskilda kategorier av uppgifter enligt artikel 9.1, lokaliseringsuppgifter eller uppgifter om barn eller anställda i storskaliga register.

2.  I det fall som avses i punkt 1 b får En företagsgrupp får utnämna ett enda huvudansvarigt uppgiftsskyddsombud om det säkerställs att det på varje etableringsort är lätt att nå ett uppgiftsskyddsombud.

3.  Om den registeransvarige och registerföraren är en offentlig myndighet eller ett offentligt organ, får uppgiftsskyddsombudet utnämnas för flera av dess enheter, med hänsyn till den offentliga myndighetens eller det offentliga organets struktur.

4.  I andra fall än de som anges i punkt 1 får den registeransvarige eller registerföraren eller sammanslutningar och andra organ som företräder kategorier av registeransvariga eller registerförare utnämna ett uppgiftsskyddsombud.

5.  Den registeransvarige eller registerföraren ska utnämna uppgiftsskyddsombudet på grundval av yrkesmässiga kvalifikationer och, i synnerhet, expertkunnande om lagstiftning och praxis avseende uppgiftsskydd samt förmåga att fullgöra de arbetsuppgifter som avses i artikel 37. Den nödvändiga nivån på expertkunnandet ska fastställas särskilt i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av den registeransvarige och registerföraren.

6.  Den registeransvarige eller registerföraren ska se till att uppgiftskyddsombudets eventuella övriga yrkesuppgifter är förenliga med personens arbetsuppgifter och uppdrag som uppgiftsskyddsombud och inte leder till en intressekonflikt.

7.  Den registeransvarige och eller registerföraren ska utnämna ett uppgiftsskyddsombud för en period på minst två fyra år om det rör sig om en anställd och två år om det rör sig om en extern tjänsteleverantör. Uppgiftsskyddsombudet får utnämnas för ytterligare perioder. Uppgiftsskyddsombudet får under sin mandatperiod endast avsättas om uppgiftsskyddsombudet han eller hon inte längre uppfyller de villkor som krävs för fullgörandet av sitt uppdrag.

8.  Uppgiftsskyddsombudet får anställas av den registeransvarige eller registerföraren, eller utföra sina arbetsuppgifter på grundval av ett tjänsteavtal.

9.  Den registeransvarige eller registerföraren ska informera tillsynsmyndigheten och allmänheten om uppgiftsskyddsombudets namn och kontaktuppgifter.

10.  Den registrerade ska ha rätt att kontakta uppgiftsskyddsombudet om alla frågor som rör behandlingen av den registrerades uppgifter och begära att få utöva sina rättigheter enligt denna förordning.

11.  Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den kärnverksamhet som bedrivs av den registeransvarige eller registerföraren och som avses i punkt 1 c och det kriterium för uppgiftsskyddsombudets yrkesmässiga kvalifikationer som avses i punkt 5. [Ändr. 132]

Artikel 36

Uppgiftsskyddsombudets ställning

1.  Den registeransvarige eller registerföraren ska se till att uppgiftsskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

2.  Den registeransvarige eller registerföraren ska se till att uppgiftskyddsombudet fullgör sitt uppdrag och utför sina arbetsuppgifter på ett oberoende sätt och inte tar emot instruktioner när det gäller utövandet av funktionen. Uppgiftsskyddsombudet ska rapportera direkt till den registeransvariges eller registerförarens verkställande förvaltning. Den registeransvarige eller registerföraren ska för detta ändamål utnämna en person i den verkställande förvaltningen till ansvarig för överensstämmelsen med bestämmelserna i denna förordning.

3.  Den registeransvarige eller registerföraren ska stödja uppgiftsskyddsombudet i utförandet av dennes arbetsuppgifter och ska tillhandahålla alla resurser, inklusive personal, lokaler, utrustning och alla andra resurser som krävs för att fullgöra det uppdrag och utföra de arbetsuppgifter som avses i artikel 37 samt upprätthålla yrkeskunskaperna.

4.  Uppgiftsskyddsombud ska omfattas av tystnadsplikt rörande de registrerades identitet och sådana omständigheter som gör det möjligt att identifiera dem, om de inte befrias från denna skyldighet av den registrerade. [Ändr. 133]

Artikel 37

Uppgiftsskyddsombudets arbetsuppgifter

1.  Den registeransvarige eller registerföraren ska anförtro uppgiftsskyddsombudet åtminstone följande arbetsuppgifter:

a)  Att öka medvetenheten, att informera och ge råd till den registeransvarige eller registerföraren om deras skyldigheter enligt denna förordning, särskilt när det gäller tekniska och organisatoriska åtgärder och förfaranden, och att dokumentera denna verksamhet och de inkomna svaren.

b)  Att övervaka genomförandet och tillämpningen av den registeransvariges eller registerförarens policy för skydd av personuppgifter, inbegripet ansvarstilldelning, utbildning av personal som deltar i behandlingen och tillhörande granskning.

c)  Att övervaka genomförandet och tillämpningen av denna förordning, särskilt när det gäller de krav som avser inbyggt uppgiftsskydd, uppgiftsskydd som standard och datasäkerhet samt information till de registrerade och deras begäranden i utövandet av sina rättigheter enligt denna förordning.

d)  Att se till att den dokumentation som avses i artikel 28 bevaras.

e)  Att övervaka dokumentationen om, anmälan av och informationen om personuppgiftsbrott enligt artiklarna 31 och 32.

f)  Att övervaka genomförandet av den registeransvariges eller registerförarens konsekvensbedömning avseende uppgiftsskydd och ansökan om förhandstillstånd eller förhandssamråd, om så krävs enligt artiklarna 32a, 33 och 34.

g)  Att övervaka svaret på begäranden från tillsynsmyndigheten, och, inom uppgiftsskyddsombudets behörighet, att samarbeta med tillsynsmyndigheten på den senares begäran eller på uppgiftsskyddsombudets eget initiativ.

h)  Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandlingen och, om så är lämpligt, samråda med tillsynsmyndigheten på hans eller hennes eget initiativ.

i)  Att kontrollera överensstämmelsen med den mekanism för förhandssamråd som fastställs i artikel 34 i denna förordning.

j)  Att informera de anställdas företrädare om behandlingen av de anställdas personuppgifter.

2.  Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för uppgiftsskyddsombudets arbetsuppgifter, certifiering, ställning, befogenheter och resurser i enlighet med punkt 1. [Ändr. 134]

AVSNITT 5

UPPFÖRANDEKODEX OCH CERTIFIERING

Artikel 38

Uppförandekodex

1.  Medlemsstaterna, tillsynsmyndigheterna och kommissionen ska uppmuntra utarbetandet av uppförandekodexar, eller antagandet av uppförandekodexar utarbetade av en tillsynsmyndighet, avsedda att bidra till att förordningen genomförs korrekt, med hänsyn till de särskilda egenskaperna hos de olika sektorer där uppgifter behandlas, särskilt när det gäller

a)  rättvis och öppen behandling,

aa)  respekt för konsumenträttigheter,

b)  insamling av uppgifter,

c)  information till allmänheten och de registrerade,

d)  begäranden som de registrerade gör i utövandet av sina rättigheter,

e)  information till och skydd av barn,

f)  överföring av uppgifter till tredjeländer eller internationella organisationer,

g)  rutiner för att övervaka kodexen och se till att den iakttas av de registeransvariga som anslutit sig till den,

h)  utomrättsliga förfaranden och andra förfaranden för biläggande av tvister mellan registeransvariga och registrerade när det gäller behandling av personuppgifter, utan att detta påverkar de registrerades rättigheter enligt artiklarna 73 och 75.

2.  Sammanslutningar och andra organ som representerar kategorier av registeransvariga eller registerförare i en medlemsstat och som avser att utarbeta uppförandekodexar eller ändra eller utöka befintliga uppförandekodexar får inge dessa för ett yttrande från tillsynsmyndigheten i den berörda medlemsstaten. Tillsynsmyndigheten får ska utan onödigt dröjsmål yttra sig om huruvida behandlingen enligt utkastet till uppförandekodex eller ändringen överensstämmer med denna förordning. Tillsynsmyndigheten ska inhämta synpunkter från de registrerade eller deras företrädare om dessa utkast.

3.  Sammanslutningar och andra organ som företräder kategorier av registrerade registeransvariga eller registerförare i flera medlemsstater får lämna in utkast till uppförandekodexar och ändringar eller utökningar av befintliga uppförandekodexar till kommissionen.

4.  Kommissionen får anta genomförandeakter för ska, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen, ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att fastställa att de uppförandekodexar och ändringar eller utökningar av befintliga uppförandekodexar som inges till den enligt punkt 3 är förenliga med denna förordning och allmänt giltiga inom unionen. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87. Dessa delegerade akter ska innehålla bestämmelser om de registrerades lagstadgade rättigheter.

5.  Kommissionen ska se till att de kodexar om vilka det har beslutats att de har allmän giltighet enligt punkt 4 offentliggörs på lämpligt sätt. [Ändr. 135]

Artikel 39

Certifiering

1.  Medlemsstaterna och kommissionen ska, särskilt på EU-nivå, uppmuntra införandet av certifieringsmekanismer för uppgiftsskydd och förseglingar och märkningar för uppgiftsskydd, och på så sätt göra det möjligt för registrerade att snabbt bedöma nivån på det uppgiftsskydd som tillhandahålls av registeransvariga och registerförare. Certifieringsmekanismerna för uppgiftsskydd ska bidra till att denna förordning genomförs korrekt, med hänsyn till de särskilda egenskaperna hos de olika sektorerna och behandlingarna.

1a.  En registeransvarig eller registerförare får begära att en valfri tillsynsmyndighet i unionen, mot en rimlig avgift som täcker de administrativa kostnaderna, certifiera att personuppgifter behandlas i enlighet med denna förordning, särskilt de principer som anges i artiklarna 5, 23 och 30, den registeransvariges och registerförarens skyldigheter och den registrerades rättigheter.

1b.   Certifieringen ska vara frivillig, överkomlig och tillgänglig via ett öppet förfarande som inte är onödigt betungande.

1c.  Tillsynsmyndigheterna och Europeiska dataskyddsstyrelsen ska samarbeta inom ramen för mekanismen för enhetlighet enligt artikel 57 för att garantera en harmoniserad certifieringsmekanism för uppgiftsskydd, inklusive harmoniserade avgifter inom unionen.

1d.  Under certifieringsförfarandet får tillsynsmyndigheten ackreditera specialiserade tredjepartsgranskare för granskningen av den registeransvarige eller registerföraren för myndighetens räkning. Tredjepartsgranskare ska ha tillräckligt kvalificerad personal och vara opartiska och får inte ha några intressekonflikter i fråga om sina uppdrag. Tillsynsmyndigheterna ska återkalla ackrediteringen om det finns skäl att anta att granskaren inte fullgör sitt uppdrag på ett korrekt sätt. Den slutliga certifieringen ska utföras av tillsynsmyndigheten.

1e.  Registeransvariga och registerförare som på grundval av granskningen blivit certifierade eftersom de behandlar personuppgifter i överensstämmelse med denna förordning ska av tillsynsmyndigheterna tilldelas den standardiserade uppgiftsskyddsmärkningen ”den europeiska uppgiftsskyddsförseglingen”.

1f.  ”Den europeiska uppgiftsskyddsförseglingen” ska vara giltig så länge den certifierade registeransvariges eller registerförarens uppgiftsbehandling är fullt ut förenlig med denna förordning.

1g.  Utan hinder av vad som sägs i punkt 1 f ska certifieringen vara giltig i högst fem år.

1h.  Europeiska dataskyddsstyrelsen ska upprätta ett offentligt elektroniskt register i vilket allmänheten kan se alla giltiga och ogiltiga certifikat som utfärdats i medlemsstaterna.

1i.  Europeiska dataskyddsstyrelsen får på eget initiativ certifiera att en teknisk standard som stärker uppgiftsskyddet är förenlig med denna förordning.

2.  Kommissionen ska ha, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen och samrått med de berörda parterna, särskilt näringslivsorganisationer och icke-statliga organisationer, ges befogenhet att anta delegerade akter enligt artikel 86 i syfte med avseende på att närmare precisera kriterierna och kraven för de certifieringsmekanismer för uppgiftsskydd som avses i punkt 1 punkterna 1a–h, inbegripet villkor kraven för ackreditering av granskare, villkoren för beviljande och återkallande, och kraven för erkännande inom unionen och i tredjeländer. Dessa delegerade akter ska innehålla bestämmelser om de registrerades lagstadgade rättigheter.

3.  Kommissionen får fastställa tekniska standarder för certifieringsmekanismer och förseglingar och märkningar för uppgiftsskydd samt rutiner för att främja och erkänna certifieringsmekanismer och förseglingar och märkningar för uppgiftsskydd. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87. [Ändr. 136]

KAPITEL V

ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJELÄNDER ELLER INTERNATIONELLA ORGANISATIONER

Artikel 40

Allmän princip för överföring av uppgifter

Överföring av personuppgifter som håller på att behandlas eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation får bara ske under förutsättning att den registeransvarige och registerföraren uppfyller villkoren i detta kapitel samt övriga bestämmelser i denna förordning, inklusive för vidare överföring av personuppgifter från tredjelandet eller den internationella organisationen till ett annat tredjeland eller en annan internationell organisation.

Artikel 41

Överföring efter beslut om adekvat skyddsnivå

1.  Om kommissionen har beslutat att tredjelandet, ett territorium eller en behandlande sektor i tredjelandet eller den internationella organisationen i fråga utgör en garant för en adekvat skyddsnivå får uppgifterna överföras. I dessa fall ska det inte krävas något ytterligare särskilt tillstånd.

2.  När kommissionen bedömer om en adekvat skyddsnivå råder ska den ta hänsyn till

a)  rättsstatsprincipen, befintlig allmän och sektorsspecifik lagstiftning inom områden som allmän säkerhet, försvar, nationell säkerhet och straffrätt samt genomförandet av denna lagstiftning, yrkesregler och säkerhetsbestämmelser som ska följas i det tredjeland eller inom den internationella organisation som berörs, och huruvida det finns rättsprejudikat eller faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom Europeiska unionen och vars personuppgifter överförs,

b)  huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet eller inom den internationella organisationen med ansvar för att se till att bestämmelserna för uppgiftsskydd följs, inklusive tillräckliga sanktionsbefogenheter, ge de registrerade råd och assistans när det gäller utövandet av deras rättigheter och samarbeta med unionens och medlemsstaternas tillsynsmyndigheter, och

c)  vilka internationella åtaganden tredjelandet eller den internationella organisationen har gjort, särskilt rättsligt bindande konventioner eller instrument när det gäller skydd av personuppgifter.

3.  Kommissionen får ska ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att besluta att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet ifråga i fråga eller en internationell organisation är en garant för adekvat skydd i den mening som avses i punkt 2. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. Sådana delegerade akter ska innehålla en tidsfristklausul om de gäller en behandlande sektor, och ska upphävas enligt punkt 5 så snart en adekvat skyddsnivå enligt denna förordning inte längre kan garanteras.

4.  Beslutets geografiska territoriella och sektorsmässiga tillämpning ska regleras i genomförandeakten den delegerade akten, där det också i förekommande fall ska anges vilken myndighet som är tillsynsmyndighet enligt punkt 2 b.

4a.  Kommissionen ska fortlöpande övervaka utveckling i tredjeländer och internationella organisationer vilken kan påverka det som anges i punkt 2 om en delegerad akt antagits enligt punkt 3.

5.  Kommissionen får ska ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att fastställa att ett tredjeland, ett territorium eller en bahandlande sektor inom tredjelandet i fråga eller en internationell organisation inte kan eller inte längre kan garantera en adekvat skyddsnivå i den mening som avses i punkt 2, särskilt om den relevanta allmänna eller sektorsspecifika lagstiftning som tillämpas i tredjelandet eller av den internationella organisationen inte garanterar faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom unionen och vars personuppgifter överförs. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2 eller, i fall som är ytterst brådskande för den individ vars personuppgifter behöver skyddas, enligt förfarandet i artikel 87.3.

6.  Om kommissionen fattar beslut enligt punkt 5 får inga uppgifter överföras till tredjelandet, territoriet eller den behandlande sektorn inom tredjelandet, eller den internationella organisationen i fråga, utan att detta påverkar tillämpningen av artiklarna 42–44. Kommissionen ska vid lämplig tidpunkt samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den situation som uppstått som följd av beslutet enligt punkt 5.

6a.  Innan kommissionen antar en delegerad akt enligt punkterna 3 och 5 ska den från Europeiska dataskyddsstyrelsen begära ett yttrande över huruvida skyddsnivån är adekvat. I detta syfte ska kommissionen lämna all nödvändig dokumentation till Europeiska dataskyddsstyrelsen, inklusive korrespondens med regeringen i tredjelandet, territoriet eller den behandlande sektorn i tredjelandet eller den internationella organisationen.

7.  Kommissionen ska offentliggöra en förteckning i Europeiska unionens officiella tidning och på sin webbplats över de tredjeländer och de territorier och behandlande sektorer i ett givet tredjeland samt de internationella organisationer där den har beslutat fastställt att en adekvat skyddsnivå inte kan garanteras.

8.  De beslut som fattas av kommissionen på grundval av artiklarna 25.6 eller 26.4 i direktiv 95/46/EG ska förbli i kraft tills fem år efter denna förordnings ikraftträdande såvida de inte ändrats, ersatts eller upphävts av kommissionen före utgången av denna period. [Ändr. 137]

Artikel 42

Överföring med stöd av lämpliga skyddsåtgärder

1.  Om kommissionen inte har fattat något sådant beslut som avses i artikel 41, eller om den fastställer att ett tredjeland, ett territorium eller en behandlande sektor inom detta tredjeland eller en internationell organisation inte garanterar en adekvat skyddsnivå i enlighet med artikel 41.5, får en registeransvarig eller registerförare endast inte överföra personuppgifter till ett tredjeland, ett territorium eller en internationell organisation efter att ha såvida inte den registeransvarige eller registerföraren vidtagit lämpliga skyddsåtgärder för personuppgifter genom ett juridiskt bindande instrument.

2.  Lämpliga skyddsåtgärder enligt punkt 1 kan bland annat ta formen av

a)  bindande företagsregler företagsbestämmelser enligt artikel 43,

aa)  en giltig märkning med ”den europeiska uppgiftsskyddsförseglingen” för den registeransvarige och mottagaren i enlighet med artikel 39.1e,

b)  standardiserade uppgiftsskyddsbestämmelser som antas av kommissionen; genomförandeakterna ska i dessa fall antas enligt det granskningsförfarande som avses i artikel 87.2,

c)  standardiserade uppgiftsskyddsbestämmelser som antagits av en tillsynsmyndighet enligt den mekanism för enhetlighet som avses i artikel 57 förutsatt att denna bestämmelse förklarats allmänt sett giltig enligt artikel 62.1 b, eller

d)  avtalsklausuler mellan den registeransvarige eller registerföraren och mottagaren av uppgifterna, förutsatt att dessa klausuler har godkänts av tillsynsmyndigheten enligt punkt 4.

3.  En överföring som grundar sig på standardiserade uppgiftsskyddsbestämmelser, ”den europeiska uppgiftsskyddsförseglingen” eller bindande företagsregler företagsbestämmelser enligt punkt 2 a, b aa eller c ska inte kräva något ytterligare särskilt tillstånd.

4.  Om en överföring grundar sig på avtalsklausuler enligt punkt 2 d ska den registeransvarige eller registerföraren först ansöka om att få dessa klausuler godkända av tillsynsmyndigheten enligt artikel 34.1 a. Om överföringen har samband med behandling av uppgifter om registrerade personer i en eller flera andra medlemsstater eller om den väsentligt påverkar det fria flödet av personuppgifter inom unionen ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57.

5.  Om lämpliga skyddsåtgärder för personuppgifter inte garanteras genom ett juridiskt bindande instrument ska den registeransvarige eller registerföraren i förväg söka tillstånd för överföring eller för en serie överföringar, eller söka tillstånd att få införa bestämmelser för ändamålet som en del i de administrativa arrangemang som överföringen ska grundas på. Tillsynsmyndigheten ska besluta om sådant tillstånd enligt artikel 34.1 a. Om överföringen har samband med behandling av uppgifter om registrerade personer i en eller flera andra medlemsstater eller om den väsentligt påverkar det fria flödet av personuppgifter inom unionen ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57. Tillstånd som beviljats av tillsynsmyndigheten på grundval av artikel 26.2 i direktiv 95/46/EG ska förbli giltiga tills i två år efter denna förordnings ikraftträdande såvida de inte ändrats, ersatts eller upphävts av samma myndighet före utgången av den perioden. [Ändr. 138]

Artikel 43

Överföring med stöd av bindande företagsbestämmelser

1.  En tillsynsmyndighet Tillsynsmyndigheten ska godkänna bindande företagsbestämmelser enligt den mekanism för enhetlighet som föreskrivs i artikel 58, förutsatt att dessa bestämmelser

a)  är rättsligt bindande, och tillämpas på och verkställs av alla delar av den registeransvariges eller registerförarens företagsgrupp, av dess externa underleverantörer som omfattas av de bindande företagsbestämmelserna och av dess anställda,

b)  innehåller uttryckliga bestämmelser om de registrerades lagstadgade rättigheter,

c)  uppfyller villkoren i punkt 2.

1a.  När det gäller anställningsuppgifter ska de anställdas företrädare informeras om och, i enlighet med unionens eller en medlemsstats lagstiftning och praxis, involveras i utarbetandet av bindande företagsbestämmelser enligt artikel 43.

2.  De bindande företagsbestämmelserna ska åtminstone precisera

a)  struktur och kontaktuppgifter för företagsgruppen och, dess beståndsdelar och de externa underleverantörer som omfattas av de bindande företagsbestämmelserna,

b)  vilka överföringar eller serier av överföringar av uppgifter som omfattas, inklusive kategorierna av personuppgifter, typen av behandling och dess ändamål, den typ av registrerade som berörs samt vilket eller vilka tredjeländer som avses,

c)  reglernas bestämmelsernas rättsligt bindande natur, såväl internt som externt,

d)  allmänna principer för uppgiftsskydd, särskilt avgränsning av syfte, uppgiftsminimering, begränsade perioder för bevarande, kvalitet på uppgifterna, inbyggt uppgiftsskydd och uppgiftsskydd som standard, rättslig grund för behandlingen av dem, principer för behandlingen av känsliga personuppgifter, åtgärder för att garantera skyddet av uppgifterna och villkoren för vidarebefordran av uppgifter till organisationer som inte är bundna av företagsgruppens policy,

e)  de registrerades rättigheter och formerna för utövandet av dessa rättigheter, inklusive rätten att inte utsättas för åtgärder baserade på profilering enligt artikel 20, rätten att inge klagomål till tillsynsmyndigheten och till behöriga domstolar i medlemsstaterna enligt artikel 75, rätten till prövning samt i förekommande fall rätten till kompensation för överträdelse av de bindande företagsreglerna företagsbestämmelserna,

f)  att den registeransvarige eller registerföraren som är etablerad inom medlemsstaternas territorium tar på sig ansvaret om en enhet i företagsgruppen som inte är etablerad inom unionen bryter mot de bindande företagsreglerna företagsbestämmelserna; den registeransvarige eller registerföraren får helt eller delvis fritas från denna skyldighet endast på villkoret att den berörda enheten i företagsgruppen inte kan hållas ansvarig för den skada som uppkommit,

g)  hur de registrerade i enlighet med artikel 11 ska informeras om innehållet i de bindande företagsreglerna företagsbestämmelserna, särskilt de bestämmelser som avses i d, e och f i denna punkt,

h)  arbetsuppgifterna för det uppgiftsskyddsombud som utsetts enligt artikel 35, särskilt när det gäller att kontrollera hur de bindande företagsreglerna företagsbestämmelserna följs inom företagsgruppen samt i fråga om utbildning och behandling av klagomål,

i)  företagsgruppens rutiner för att kontrollera att de bindande företagsreglerna företagsbestämmelserna följs,

j)  rutinerna för att rapportera och dokumentera ändringar i gruppens policy, samt rutinerna för att rapportera dessa ändringar till tillsynsmyndigheten,

k)  rutinerna för att samarbeta med tillsynsmyndigheten i syfte att se till att alla enheter i företagsgruppen följer reglerna, särskilt genom att meddela tillsynsmyndigheten alla resultat av de kontroller som avses i led i.

3.  Kommissionen ska ha ges befogenhet att anta delegerade akter enligt artikel 86 i syfte med avseende på att ytterligare precisera formaten, förfarandena, kriterierna och kraven för bindande företagsbestämmelser i den mening som avses i denna artikel, särskilt i fråga om kriterierna för godkännande av sådana bestämmelser – inklusive insyn för de registrerade –, tillämpningen av punkt 2 b, d, e och f i fråga om bindande företagsbestämmelser som tillämpas av registerförare, samt om ytterligare krav som gäller skyddet av de registrerades personuppgifter.

4.  Kommissionen får precisera vilket format och vilka rutiner som ska användas för de registeransvarigas, registerförarnas och tillsynsmyndigheternas elektroniska utbyte av information om bindande företagsregler i den mening som avses i denna artikel. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2. [Ändr. 139]

Artikel 43a

Överföringar och utlämnanden som inte är tillåtna enligt unionslagstiftningen

1.  Domar respektive beslut som meddelas av domstolar eller av administrativa myndigheter i ett tredjeland och som ålägger en registeransvarig eller registerförare att lämna ut personuppgifter får inte vare sig erkännas eller på något vis vara verkställbara, dock utan att detta påverkar tillämpningen av fördrag om ömsesidig rättslig hjälp eller ett gällande internationellt avtal mellan det tredjeland som framställer en begäran och unionen eller en medlemsstat.

2.  Om det i en dom respektive ett beslut som meddelas av en domstol eller av en administrativ myndighet i ett tredjeland begärs att en registeransvarig eller registerförare ska lämna ut personuppgifter ska den registeransvarige eller registerföraren och den registeransvariges eventuella företrädare utan onödigt dröjsmål anmäla detta till tillsynsmyndigheten och ansöka om tillsynsmyndighetens förhandstillstånd till överföringen eller utlämnandet.

3.  Tillsynsmyndigheten ska bedöma om det begärda utlämnandet är förenligt med denna förordning och i synnerhet om utlämnandet är nödvändigt och ett lagstadgat krav i enlighet med artikel 44.1 d och e och artikel 44.5. Om registrerade från andra medlemsstater påverkas ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57.

4.  Tillsynsmyndigheten ska informera den behöriga nationella myndigheten om begäran. Utan att det påverkar tillämpningen av artikel 21 ska den registeransvarige eller registerföraren även informera de registrerade om begäran och om det tillstånd som tillsynsmyndigheten utfärdat samt, i tillämpliga fall, informera den registrerade om huruvida personuppgifter lämnats ut till offentliga myndigheter under den senaste sammanhängande tolvmånadersperioden, i enlighet med artikel 14.1 ha. [Ändr. 140]

Artikel 44

Undantag

1.  Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 41 eller lämpliga skyddsåtgärder enligt artikel 42 får en överföring eller serier av överföringar till ett tredjeland eller en internationell organisation bara ske om något av följande villkor är uppfyllt:

a)  Den registrerade har samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de risker en överföring kan medföra när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder.

b)  Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den registeransvarige eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran.

c)  Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den registeransvarige och en annan fysisk eller juridisk person i den registrerades intresse.

d)  Överföringen bedöms gynna viktiga samhälleliga intressen.

e)  Överföringen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.

f)  Överföringen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

g)  Överföringen görs från ett register som enligt unionens eller medlemsstatens lagstiftning är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i unionslagstiftningen eller medlemsstatens lagstiftning angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.

h)  Överföringen är nödvändig för att tillgodose den registeransvariges eller registerförarens berättigade intressen, där överföringen inte kan anses vara ofta återkommande eller omfattande, och där den registeransvarige eller registerföraren har bedömt alla omständigheter kring en överföring eller en serie av överföringar av uppgifter och utifrån denna bedömning om så krävts vidtagit lämpliga åtgärder för att skydda personuppgifter.

2.  En överföring enligt punkt 1 g får inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.

3.  Om behandlingen av uppgifter grundas på punkt 1 h ska den registeransvarige eller registerföraren ta särskild hänsyn till uppgiftens art, den eller de avsedda behandlingarnas ändamål och varaktighet samt situationen i ursprungslandet, tredjelandet och det slutliga bestämmelselandet, och om så krävs vidta lämpliga åtgärder för att skydda personuppgifter.

4.  Punkt 1 b, och c och h ska inte gälla åtgärder som vidtas av offentliga myndigheter som en del av deras offentliga befogenheter.

5.  Allmänhetens intresse enligt punkt 1 d får bara åberopas om det har stöd i unionslagstiftning eller i den medlemsstats lagstiftning som är tillämplig på den registeransvarige.

6.  Den registeransvarige eller registerföraren ska, som en del av den dokumentation som avses i artikel 28, bevara uppgifter både om den bedömning som gjorts och de lämpliga skyddsåtgärder som vidtagits enligt punkt 1 h, och ska underrätta tillsynsmyndigheten om överföringen.

7.  Kommissionen Europeiska dataskyddsstyrelsen ska ha befogenhet anförtros uppgiften att anta delegerade akter enligt artikel 86 i syfte utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med artikel 66.1 b för att precisera villkoren för vad som bedöms ”gynna viktiga samhälleliga intressen” enligt punkt 1 d liksom kriterierna och kraven för lämpliga åtgärder för att skydda personuppgifter enligt uppgiftsöverföringar på grundval av punkt 1 h 1. [Ändr. 141]

Artikel 45

Internationellt samarbete för skydd av personuppgifter

1.  I förbindelser med tredjeland och internationella organisationer ska kommissionen och tillsynsmyndigheterna vidta lämpliga åtgärder för att

a)  utveckla ändamålsenliga rutiner för det internationella samarbetet för att underlätta garantera en effektiv tillämpning av lagstiftningen om skydd av personuppgifter, [Ändr. 142]

b)  på internationell nivå erbjuda ömsesidigt bistånd för en effektiv tillämpning av lagstiftningen om skydd av personuppgifter, bland annat genom rutiner för anmälan, hänskjutande av klagomål, assistans vid utredningar samt informationsutbyte, med iakttagande av lämpliga skyddsåtgärder för personuppgifter samt skyddet av andra grundläggande rättigheter och friheter,

c)  involvera berörda aktörer i diskussioner och åtgärder som syftar till att öka det internationella samarbetet när det gäller tillämpningen av lagstiftningen om skydd av personuppgifter,

d)  främja utbyte och dokumentation om lagstiftning och praxis för skydd av personuppgifter,

da)  klargöra och samråda om behörighetskonflikter med tredjeländer. [Ändr. 143]

2.  Vid tillämpningen av punkt 1 ska kommissionen vidta lämpliga åtgärder för att vidareutveckla förbindelserna med tredjeländer och internationella organisationer, och särskilt med deras tillsynsmyndigheter, i de fall då kommissionen har bedömt att motparten i fråga garanterar en adekvat skyddsnivå i den mening som avses i artikel 41.3.

Artikel 45a

Rapport från kommissionen

Kommissionen ska regelbundet och med början senast fyra år efter den dag som avses i artikel 91.1 lämna en rapport till Europaparlamentet och rådet om tillämpningen av artiklarna 40–45. För det ändamålet får kommissionen begära in information från medlemsstaterna och tillsynsmyndigheterna, vilken ska lämnas utan onödigt dröjsmål. Rapporten ska offentliggöras. [Ändr. 144]

KAPITEL VI

OBEROENDE TILLSYNSMYNDIGHETER

AVSNITT 1

OBEROENDE STÄLLNING

Artikel 46

Tillsynsmyndigheter

1.  Varje medlemsstat ska utse en eller flera offentliga myndigheter som ska vara ansvariga för att övervaka tillämpningen av denna förordning och medverka till dess enhetliga tillämpning i hela unionen, i syfte att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av deras personuppgifter samt underlätta det fria flödet av sådana uppgifter inom unionen. För dessa ändamål ska tillsynsmyndigheterna samarbeta såväl inbördes som med kommissionen.

2.  Om det finns fler än en tillsynsmyndighet i en medlemsstat ska medlemsstaten utse den tillsynsmyndighet som ska fungera som enda kontaktpunkt, så att myndigheten i fråga kan delta effektivt i Europeiska dataskyddsstyrelsens arbete; medlemsstaten ska också upprätta en rutin för att se till att övriga myndigheter följer reglerna för den mekanism för enhetlighet som avses i artikel 57.

3.  Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar som en följd av bestämmelserna i detta kapitel, och alla framtida ändringar som rör dessa bestämmelser ska anmälas utan dröjsmål.

Artikel 47

Oberoende

1.  Tillsynsmyndigheten ska vara fullständigt oberoende och opartisk i utövandet av det uppdrag och de befogenheter som den anförtrotts, utan hinder av arrangemang för samarbete och enhetlighet enligt kapitel VII i denna förordning. [Ändr. 145]

2.  Tillsynsmyndighetens ledamöter ska i utövandet av sitt uppdrag varken begära eller ta emot instruktioner av någon.

3.  Tillsynsmyndighetens ledamöter ska avstå från alla handlingar som står i strid med deras tjänsteutövning och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som står i strid med deras tjänsteutövning.

4.  Efter sin mandatttid ska tillsynsmyndighetens ledamöter visa integritet och omdöme i fråga om att acceptera utnämningar och ta emot förmåner.

5.  Varje medlemsstat ska se till att tillsynsmyndigheten förfogar över tillräckliga mänskliga, tekniska och finansiella resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utöva sitt uppdrag och sina befogenheter, inklusive inom ramen för det ömsesidiga biståndet, samarbetet och deltagandet i Europeiska dataskyddsstyrelsens verksamhet.

6.  Varje medlemsstat ska se till att tillsynsmyndigheten förfogar över egen personal, som ska tillsättas av och ta instruktioner från tillsynsmyndighetens chef.

7.  Medlemsstaterna ska se till att tillsynsmyndigheterna också blir föremål för finansiell kontroll, utan att detta påverkar tillsynsmyndigheternas oberoende. Medlemsstaterna ska se till att tillsynsmyndigheterna förfogar över en egen årsbudget. Denna budget ska offentliggöras.

7a.  Alla medlemsstater ska se till att tillsynsmyndigheterna är ansvariga inför de nationella parlamenten när det gäller budgetkontrollen. [Ändr. 146]

Artikel 48

Allmänna villkor för tillsynsmyndighetens ledamöter

1.  Varje medlemsstat ska fastställa att tillsynsmyndighetens ledamöter ska utses antingen av medlemsstatens parlament eller av dess regering.

2.  Ledamöterna ska utses bland personer vars oberoende är ställt utom varje tvivel och som har erkänd erfarenhet och sakkunskap för att utföra sitt uppdrag, särskilt inom området för skydd av personuppgifter.

3.  Varje ledamots uppdrag ska i enlighet med punkt 5 upphöra då mandattiden löper ut eller då ledamoten avgår eller avsätts från sin tjänst.

4.  En ledamot kan avsättas eller berövas rätten till pension eller andra förmåner av den behöriga nationella domstolen om han eller hon inte längre uppfyller villkoren för att utöva uppdraget eller har gjort sig skyldig till ett allvarligt fel.

5.  När mandattiden löper ut eller ledamoten avgår ska han eller hon fortsätta fullgöra sina uppgifter tills en ny ledamot tillsatts.

Artikel 49

Regler för inrättandet av en tillsynsmyndighet

Varje medlemsstat ska inom ramen för bestämmelserna i denna förordning fastställa följande i lag:

a)  Att en tillsynsmyndighet ska inrättas och vilken ställning denna myndighet ska ha.

b)  Vilken kompetens, erfarenhet och sakkunskap som krävs för att utöva uppdraget som ledamot vid tillsynsmyndigheten.

c)  Regler och förfaranden för att utse tillsynsmyndighetens ledamöter samt regler om vilka handlingar och vilken yrkesverksamhet som ska vara oförenliga med ledamöternas uppdrag under deras mandattid.

d)  Mandattiden för tillsynsmyndighetens ledamöter, vilken inte får understiga fyra år utom vid tillsättandet av de första ledamöterna efter det att denna förordning trätt ikraft, då ett stegvis tillsättningsförfarande med kortare mandatperioder för några av ledamöterna får tillämpas om detta är nödvändigt för att garantera myndighetens oberoende.

e)  Huruvida myndighetens ledamöter får ges förnyat mandat.

f)  Vilka bestämmelser och allmänna villkor som myndighetens ledamöter och personal omfattas av.

g)  Bestämmelser och förfaranden för när tillsynsmyndighetens ledamöter ska fråntas sitt uppdrag, bland annat om de inte längre uppfyller villkoren för att utöva uppdraget eller om de gjort sig skyldiga till ett allvarligt fel.

Artikel 50

Tystnadsplikt

Både under och efter sin mandattid respektive anställning ska tillsynsmyndighetens ledamöter och personal, i enlighet med nationell lagstiftning och praxis, omfattas av tystnadsplikt vad avser konfidentiell information som har kommit till deras kännedom under tjänsteutövningen samt utföra sina arbetsuppgifter på ett oberoende och öppet sätt i enlighet med denna förordning. [Ändr. 147]

AVSNITT 2

UPPDRAG OCH BEFOGENHETER

Artikel 51

Behörighet

1.  Utan att det påverkar tillämpningen av artiklarna 73 och 74 ska varje tillsynsmyndighet ska inom sin respektive medlemsstats territorium vara behörig att utföra de arbetsuppgifter och utöva de befogenheter som tilldelas den enligt denna förordning. Tillsyn över offentliga myndigheters uppgiftsbehandling ska utövas uteslutande av tillsynsmyndigheten i respektive medlemsstat. [Ändr. 148]

2.  När personuppgifter behandlas som en del av verksamheten hos en registeransvarig eller registerförare som är etablerad i unionen, och den registeransvarige eller registerföraren i fråga är etablerad i fler än en medlemsstat, ska den tillsynsmyndighet som är behörig på dess huvudsakliga verksamhetsställe vara behörig att utöva tillsyn över all behandling av personuppgifter som utförs av denne registeransvarige eller registerförare i alla medlemsstater, utan att detta påverkar tillämpningen av kapitel VII i denna förordning. [Ändr. 149]

3.  Tillsynsmyndigheten ska inte vara behörig att utöva tillsyn över domstolar som behandlar personuppgifter som en del av sin dömande verksamhet.

Artikel 52

Uppdrag

1.  Tillsynsmyndigheten ska ansvara för följande:

a)  Övervaka och garantera tillämpningen av denna förordning.

b)  Ta emot klagomål från registrerade eller från sammanslutningar som representerar registrerade enligt artikel 73, där så är lämpligt undersöka sakfrågan och inom rimlig tid underrätta den registrerade eller sammanslutningen om hur behandlingen av klagomålet fortskrider och vilken slutsats som nås, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet. [Ändr. 150]

c)  Utbyta information och ömsesidigt bistånd med andra tillsynsmyndigheter och se till att denna förordning tillämpas och verkställs på ett enhetligt sätt.

d)  Utföra undersökningar på eget initiativ, på grundval av klagomål eller specifika och dokumenterade uppgifter som mottagits och som tyder på otillåten behandling eller på begäran av en annan tillsynsmyndighet och – om en undersökning grundar sig på ett klagomål som en registrerad lämnat in till myndigheten – underrätta den registrerade om resultatet inom rimlig tid. [Ändr. 151]

e)  Följa sådan utveckling som påverkar skyddet av personuppgifter, bland annat inom informations- och kommunikationsteknik och affärspraxis.

f)  Ge råd till institutioner och organ i medlemsstaterna i fråga om lagstiftningsåtgärder och administrativa åtgärder som rör skyddet av enskildas fri- och rättigheter i samband med behandling av personuppgifter.

g)  Rådfrågas om och ge tillstånd till behandling av personuppgifter enligt artikel 34.

h)  Avge yttranden om utkast till uppförandekodexar enligt artikel 38.2.

i)  Godkänna sådana bindande företagsregler som avses i artikel 43.

j)  Delta i Europeiska dataskyddsstyrelsens verksamhet.

ja)  Certifiera registeransvariga och registerförare enligt artikel 39. [Ändr. 152]

2.  Alla tillsynsmyndigheter har i uppdrag att öka allmänhetens medvetenhet om risker, regler, skyddsåtgärder och rättigheter i fråga om behandlingen av personuppgifter samt om lämpliga åtgärder för skydd av personuppgifter. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn. [Ändr. 153]

2a.  Alla tillsynsmyndigheter ska tillsammans med Europeiska dataskyddsstyrelsen främja registeransvarigas och registerförares medvetenhet om risker, regler, skyddsåtgärder och rättigheter i fråga om behandlingen av personuppgifter. Detta inbegriper att föra ett register över sanktioner och överträdelser. Registret ska i så stor detalj som möjligt innehålla alla varningar och sanktioner samt information om avhjälpande av överträdelser. Alla tillsynsmyndigheter ska på begäran förse mikroföretag, små och medelstora företag, registeransvariga och registerförare med allmän information om deras ansvarsområden och skyldigheter i enlighet med denna förordning. [Ändr. 154]

3.  En tillsynsmyndighet ska på begäran ge råd till registrerade om hur de ska utöva sina rättigheter enligt denna förordning, och ska om så krävs samarbeta med tillsynsmyndigheter i andra medlemsstater för detta ändamål.

4.  För klagomål enligt punkt 1 b ska tillsynsmyndigheten bistå med ett särskilt formulär för ändamålet, vilket ska kunna fyllas i elektroniskt; det elektroniska formuläret ska inte utesluta andra kommunikationsformer.

5.  Tillsynsmyndighetens tjänster ska vara avgiftsfria för den registrerade.

6.  Om en registrerad begär tjänster som uppenbart är orimligt omfattande, till exempel på grund av repetitiv karaktär, får tillsynsmyndigheten ta ut en rimlig avgift eller avstå från att utföra de tjänster som den registrerade begär. Avgiften får inte överstiga kostnaden för att utföra de begärda tjänsterna. I så fall ska det åligga tillsynsmyndigheten att visa att begäran är uppenbart orimlig. [Ändr. 155]

Artikel 53

Befogenheter

1.  Varje tillsynsmyndighet ska i linje med denna förordning ha befogenhet att

a)  meddela den registeransvarige eller registerföraren om det finns en påstådd överträdelse av bestämmelserna om behandling av personuppgifter, och om så krävs specifikt beordra den registeransvarige eller registerföraren att komma tillrätta med överträdelsen och därigenom skydda den registrerade, eller beordra den registeransvarige att meddela den registrerade att ett personuppgiftsbrott begåtts,

b)  beordra den registeransvarige eller registerföraren att följa den registrerades krav att få utöva sina rättigheter enligt den här förordningen,

c)  beordra den registeransvarige eller registerföraren, och där så krävs företrädaren, att lägga fram alla uppgifter som behövs för att myndigheten ska kunna fullgöra sitt uppdrag,

d)  se till att de förhandstillstånd eller förhandssamråd som avses i artikel 34 efterlevs,

e)  varna eller tillrättavisa den registeransvarige eller registerföraren,

f)  beordra rättelse, radering eller förstöring av alla uppgifter som har behandlats på ett sätt som står i strid med denna förordning samt underrätta den tredje part till vilken uppgifterna har lämnats ut om dessa åtgärder,

g)  tillfälligt eller definitivt förbjuda behandling,

h)  avbryta flödet av uppgifter till en mottagare i tredje land eller en internationell organisation,

i)  avge yttranden i frågor som rör skydd av personuppgifter,

ia)  certifiera registeransvariga och registerförare enligt artikel 39,

j)  informera nationella parlament, regeringar, andra politiska institutioner och allmänhet om frågor som rör skydd av personuppgifter,

ja)  införa ändamålsenliga mekanismer för att uppmuntra konfidentiell rapportering av överträdelser av denna förordning, med beaktande av vägledningen från Europeiska dataskyddsstyrelsen enligt artikel 66.4b.

2.  Varje tillsynsmyndighet ska ha de undersökningsbefogenheter som behövs för att kräva följande av den registeransvarige eller registerföraren utan föregående meddelande:

a)  Tillgång till personuppgifter, alla handlingar och all annan information som myndigheten behöver för att kunna fullgöra sitt uppdrag.

b)  Tillgång till den registeransvariges eller registerförarens lokaler, inklusive all utrustning och alla andra medel för behandling av personuppgifter, om det finns rimliga skäl att anta att där har förekommit överträdelser av denna förordning.

Befogenheterna i b ska utövas på ett sätt som är förenligt med unionens och medlemsstatens lagstiftning.

3.  Varje tillsynsmyndighet ska ha befogenhet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och att väcka talan vid domstol, särskilt enligt artiklarna 74.4 och 75.2.

4.  Varje tillsynsmyndighet ska också ha befogenhet att utfärda sanktioner vid administrativa överträdelser, särskilt enligt artikel 79.4, 79.5 och 79.6 i enlighet med artikel 79. Denna befogenhet ska utövas på ett effektivt, proportionellt och avskräckande sätt. [Ändr. 156]

Artikel 54

Verksamhetsrapport

Varje tillsynsmyndighet ska minst vartannat år lägga fram en årlig verksamhetsrapport rapport om sin verksamhet. Rapporten ska läggas fram inför det nationella parlamentet för respektive parlament och göras tillgänglig för allmänheten samt för kommissionen och Europeiska dataskyddsstyrelsen. [Ändr. 157]

Artikel 54a

Ansvarig myndighet

1.  Om personuppgifter behandlas inom ramen för verksamheten vid en registeransvarigs eller registerförares verksamhetsställe i unionen och denne registeransvarige eller registerförare är verksam i mer än en medlemsstat, eller om personuppgifter från bosatta i olika medlemsstater behandlas, ska tillsynsmyndigheten för den registeransvariges eller registerförarens huvudsakliga verksamhetsställe fungera som den ansvariga myndigheten med ansvar för tillsynen över den registeransvariges eller registerförarens uppgiftsbehandling i alla medlemsstater, i enlighet med bestämmelserna i kapitel VII i denna förordning.

2.  Den ansvariga myndigheten ska vidta lämpliga åtgärder för tillsynen över uppgiftsbehandlingen hos den registeransvarige eller registerförare för vilken den är ansvarig först efter att ha samrått med alla andra behöriga tillsynsmyndigheter i den mening som avses i artikel 51.1 i ett försök att uppnå samförstånd. I detta syfte ska den framför allt lämna all relevant information och samråda med övriga myndigheter innan den vidtar åtgärder som är avsedda att ha rättsliga följder för en registeransvarig eller registerförare i den mening som avses i artikel 51.1. Den ansvariga myndigheten ska ta största möjliga hänsyn till de berörda myndigheternas yttranden. Den ansvariga myndigheten ska vara den enda myndighet som har befogenhet att besluta om åtgärder som är avsedda att ha rättsliga följder när det gäller uppgiftsbehandlingen hos den registeransvarige eller registerförare för vilken den är ansvarig.

3.  Europeiska dataskyddsstyrelsen ska på begäran av en behörig tillsynsmyndighet avge ett yttrande över fastställandet av den ansvariga myndigheten med ansvar för en registeransvarig eller registerförare i fall där

a)  det med utgångspunkt från omständigheterna i ett ärende är oklart var den registeransvariges eller registerförarens huvudsakliga verksamhetsställe är beläget, eller

b)  de behöriga myndigheterna inte är överens om vilken tillsynsmyndighet som ska fungera som ansvarig myndighet, eller

c)  den registeransvarige inte är etablerad i unionen men bosatta i olika medlemsstater påverkas av uppgiftsbehandling som omfattas av denna förordning.

3a.  Om den registeransvarige även utför verksamhet som registerförare ska tillsynsmyndigheten för den registeransvariges huvudsakliga verksamhetsställe fungera som ansvarig myndighet med ansvar för tillsynen över uppgiftsbehandlingen.

4.  Europeiska dataskyddsstyrelsen får besluta om fastställandet av ansvarig myndighet. [Ändr. 158]

KAPITEL VII

SAMARBETE OCH ENHETLIGHET

Avsnitt 1

Samarbete

Artikel 55

Ömsesidigt bistånd

1.  Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning enhetligt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Som en del av det ömsesidiga biståndet ska tillsynsmyndigheterna bland annat kunna begära information från varandra och bistå varandra i tillsynsarbetet, till exempel genom att uppmana varandra att utfärda förhandstillstånd eller bedriva förhandssamråd, utföra inspektioner och utredningar och komma med snabb information i samband med att ärenden inleds och fortskrider i fall där den registeransvarige eller registerföraren har verksamhetsställen i flera medlemsstater eller registrerade personer i flera medlemsstater kan komma att påverkas av att uppgifter behandlas. Den ansvariga myndigheten enligt definitionen i artikel 54a ska garantera samordningen med berörda tillsynsmyndigheter och ska fungera som gemensam kontaktpunkt för den registeransvarige eller registerföraren. [Ändr. 159]

2.  Varje tillsynsmyndighet ska vidta lämpliga åtgärder för att besvara en begäran från en annan tillsynsmyndighet; detta bör ske så snart som möjligt och inte senare än en månad efter det att den tagit emot begäran. Till sådana åtgärder hör bland annat att översända relevant information om utvecklingen av pågående undersökningar eller verkställighetsåtgärder som syftar till att avbryta eller förbjuda uppgiftsbehandling som står i strid med denna förordning.

3.  En begäran om bistånd ska innehålla alla nödvändiga uppgifter, inklusive syftet med begäran och dess bakgrund. Information som utbytts får endast användas i det ärende för vilket den har begärts.

4.  En tillsynsmyndighet som tar emot en begäran om bistånd få bara vägra att tillmötesgå begäran om

a)  den inte är behörig att behandla den, eller

b)  det skulle stå i strid med denna förordning att tillmötesgå begäran.

5.  Den tillsynsmyndighet som tagit emot begäran ska meddela den myndighet som begäran kommer ifrån om resultatet eller, i förekommande fall, om hur de åtgärder som vidtagits för att tillmötesgå begäran fortskrider.

6.  Varje tillsynsmyndighet ska överföra den information som begärts av andra tillsynsmyndigheter på elektronisk väg, i standardiserat format och med minsta möjliga dröjsmål.

7.  Åtgärder som vidtagits efter en begäran om ömsesidigt bistånd ska inte vara belagda med någon avgift för den begärande tillsynsmyndigheten. [Ändr. 160]

8.  Om en tillsynsmyndighet som tagit emot en begäran från en annan tillsynsmyndighet inte agerat inom en månad ska den myndighet som lämnat begäran ha befogenhet att vidta en provisorisk åtgärd på sin medlemsstats territorium i kraft av artikel 51.1, och ska lämna över ärendet till Europeiska dataskyddsstyrelsen enligt förfarandet i artikel 57. Om det på grund av att biståndsåtgärderna ännu inte slutförts inte går att vidta en definitiv åtgärd får den myndighet som lämnat begäran vidta en provisorisk åtgärd enligt artikel 53 på sin medlemsstats territorium. [Ändr. 161]

9.  Tillsynsmyndigheten ska då precisera hur länge denna provisoriska åtgärd ska gälla. Denna tidsperiod får inte överskrida tre månader. Tillsynsmyndigheten ska utan dröjsmål underrätta Europeiska dataskyddsstyrelsen och kommissionen om dessa åtgärder, och ge en uttömmande motivering, i enlighet med det förfarande som avses i artikel 57. [Ändr. 162]

10.  Kommissionen Europeiska dataskyddsstyrelsen får precisera format och förfaranden för sådant ömsesidigt bistånd som avses i denna artikel samt formerna för elektronisk överföring av information tillsynsmyndigheter emellan, samt mellan tillsynsmyndigheter och Europeiska dataskyddsstyrelsen, i synnerhet det standardiserade format som avses i punkt 6. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. [Ändr. 163]

Artikel 56

Åtgärder som utförs gemensamt av fler än en tillsynsmyndighet

1.  För att vidareutveckla samarbetet och det ömsesidiga biståndet ska tillsynsmyndigheter utföra undersökande arbete, verkställighetsåtgärder och andra insatser gemensamt, genom att utvalda ledamöter från andra medlemsstaters tillsynsmyndigheter deltar.

2.  Om den registeransvarige eller registerföraren har verksamhetsställen i flera medlemsstater eller om registrerade personer i flera medlemsstater kan komma att påverkas av att uppgifter behandlas ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i det gemensamma undersökningsarbetet eller i andra gemensamma insatser enligt vad som är lämpligt i det enskilda fallet. Den behöriga tillsynsmyndigheten ansvariga myndigheten enligt definitionen i artikel 54a ska inbjuda involvera tillsynsmyndigheterna i var och en av de berörda medlemsstaterna att delta i det gemensamma underökningsarbetet eller de gemensamma insatserna och ska utan dröjsmål svara på en annan tillsynsmyndighets begäran att få delta. Den ansvariga myndigheten ska fungera som gemensam kontaktpunkt för den registeransvarige och registerföraren. [Ändr. 164]

3.  Värdlandets tillsynsmyndighet får inom ramen för sin nationella lagstiftning och efter godkännande från ursprungslandets tillsynsmyndighet anförtro verkställande befogenheter, inklusive undersökande arbete, åt ledamöter eller personal från ursprungslandets tillsynsmyndighet som deltar i de gemensamt utförda åtgärderna eller, så långt som värdlandets lagstiftning tillåter, medge att ursprungslandets ledamöter eller personal utövar verkställande befogenheter enligt ursprungslandets lagstiftning. Sådana verkställande befogenheter får endast utövas under överinsyn av och i regel i närvaro av ledamöter eller personal från värdlandets tillsynsmyndighet. Ledamöter och tjänstemän från ursprungslandets tillsynsmyndighet ska lyda under den nationella lagstiftning som gäller för värdlandets tillsynsmyndighet. Värdlandets tillsynsmyndighet ska ansvara för deras handlingar.

4.  Tillsynsmyndigheterna ska själva reglera de praktiska aspekterna av enskilda åtgärder som genomförs gemensamt.

5.  Om en tillsynsmyndighet inte inom en månad har uppfyllt sin skyldighet enligt punkt 2 ska övriga tillsynsmyndigheter ha befogenhet att vidta provisoriska åtgärder på sina respektive medlemsstaters territorium i kraft av artikel 51.1.

6.  Tillsynsmyndigheten ska precisera hur länge den provisoriska åtgärd den beslutat om enligt punkt 5 ska gälla. Denna period får inte överskrida tre månader. Tillsynsmyndigheten ska utan dröjsmål underrätta Europeiska dataskyddsstyrelsen och kommissionen om dessa åtgärder och ge en uttömmande motivering, samt ta upp frågan inom ramen för den mekanism som avses i artikel 57.

Avsnitt 2

Enhetlighet

Artikel 57

Mekanism för enhetlighet

För de ändamål som anges i artikel 46.1 ska tillsynsmyndigheterna samarbeta inbördes och med kommissionen genom den mekanism mekanismen för enhetlighet i samband med såväl frågor av allmän tillämpning som regleras enskilda fall, i enlighet med bestämmelserna i detta avsnitt. [Ändr. 165]

Artikel 58

Yttrande från Europeiska dataskyddsstyrelsen Enhetlighet i frågor av allmän räckvidd

1.  Innan en tillsynsmyndighet vidtar en åtgärd enligt punkt 2 ska den skicka ett utkast till den planerade åtgärden till Europeiska dataskyddsstyrelsen och till kommissionen.

2.  Skyldigheten enligt punkt 1 ska omfatta alla åtgärder som är avsedda att ge rättsliga följder och som

a)  gäller behandling av uppgifter i samband med tillhandahållande av varor eller tjänster till registrerade i flera medlemsstater eller till kartläggning av dessa registrerade personers beteende,

b)  som väsentligt kan påverka det fria flödet av personuppgifter inom unionen,

c)  som syftar till att anta en förteckning över sådan behandling som omfattas av förhandssamråd enligt artikel 34.5,

d)  syftar till att fastställa standardiserade uppgiftsskyddsbestämmelser enligt artikel 42.2 c, eller

e)  syftar till att godkänna avtalsklausuler enligt artikel 42.2 d, eller

f)  syftar till att godkänna bindande företagsbestämmelser enligt artikel 43.

3.  Varje tillsynsmyndighet kan liksom Europeiska dataskyddsstyrelsen begära att en fråga av allmän räckvidd ska tas upp inom mekanismen för enhetlighet, särskilt i fall där en tillsynsmyndighet inte har skickat ett utkast till en planerad åtgärd enligt punkt 2 eller inte har uppfyllt villkoren för ömsesidigt bistånd enligt artikel 55 eller för gemensamma insatser enligt artikel 56.

4.  För att garantera en korrekt och enhetlig tillämpning av denna förordning ska kommissionen ha befogenhet att begära att vilken varje fråga som helst av allmän räckvidd ska tas upp inom mekanismen för enhetlighet.

5.  Tillsynsmyndigheterna och kommissionen ska utan onödigt dröjsmål och i ett standardiserat elektroniskt format översända all relevant information, i förekommande fall en sammanfattning av sakförhållanden, ett utkast förslag till åtgärd och en motivering till att en sådan åtgärd bedöms vara nödvändig.

6.  Europeiska dataskyddsstyrelsens ordförande ska utan onödigt dröjsmål och i ett standardiserat elektroniskt format omedelbart upplysa dess ledamöter samt kommissionen om all relevant information som meddelats styrelsen. Där så krävs ska Europeiska dataskyddsstyrelsens ordförande sekretariat se till att relevant information översätts.

6a.  Europeiska dataskyddsstyrelsen ska anta ett yttrande i frågor som hänskjuts till den enligt punkt 2.

7.  Europeiska dataskyddsstyrelsen ska lägga fram ett yttrande i frågan om styrelsen själv så beslutar får med enkel majoritet av ledamöterna eller på begäran av en tillsynsmyndighet eller kommissionen inom en vecka efter att den relevanta informationen enligt punkt 5 har lagts fram. Yttrandet ska antas inom en månad med enkel majoritet av Europeiska dataskyddsstyrelsens ledamöter. Europeiska dataskyddsstyrelsens ordförande ska utan onödigt dröjsmål underrätta den berörda tillsynsmyndigheten enligt punkt 1 eller 3 beroende på det enskilda fallet, samt kommissionen och den behöriga tillsynsmyndigheten enligt artikel 51 om yttrandet, och yttrandet ska också offentliggöras. besluta huruvida ett yttrande ska antas i frågor som inkommit i enlighet med punkterna 3 och 4, med beaktande av

a)  huruvida frågorna inbegriper nya aspekter med hänsyn till den rättsliga eller faktiska utvecklingen, i synnerhet på it-området och i ljuset av framsteg som gjorts inom informationssamhället, och

b)  huruvida Europeiska dataskyddsstyrelsen redan avgett ett yttrande i samma fråga.

8.  Den tillsynsmyndighet som avses i punkt 1 och den tillsynsmyndighet som är behörig enligt artikel 51 ska ta hänsyn till Europeiska dataskyddsstyrelsen yttrande och ska – inom två veckor efter det att Europeiska dataskyddsstyrelsens ordförande har underrättat dem om yttrandet – i ett standardiserat elektroniskt format meddela Europeiska dataskyddsstyrelsens ordförande och kommissionen om huruvida den avser att hålla fast vid eller ändra sitt utkast till åtgärd, och i förekommande fall bifoga en text till den ändrade åtgärden med enkel majoritet av ledamöterna anta yttranden enligt punkterna 6a och 7. Dessa yttranden ska offentliggöras. [Ändr. 166]

Artikel 58a

Enhetlighet i enskilda fall

1.  Innan den ansvariga myndigheten vidtar åtgärder som är avsedda att ha rättsliga följder i den mening som avses i artikel 54a ska den lämna all relevant information samt förslaget till åtgärd till alla andra behöriga myndigheter. Den ansvariga myndigheten får inte anta åtgärden om en behörig myndighet inom en period på tre veckor har angett att den har allvarliga invändningar mot åtgärden.

2.  Om en behörig myndighet har angett att den har allvarliga invändningar mot den ansvariga myndighetens förslag till åtgärd, eller om den ansvariga myndigheten inte lämnar ett sådant förslag till åtgärd som avses i punkt 1 eller inte fullgör skyldigheterna när de gäller ömsesidigt bistånd enligt artikel 55 eller gemensamma insatser enligt artikel 56, ska frågan behandlas av Europeiska dataskyddsstyrelsen.

3.  Den ansvariga myndigheten och/eller övriga involverade behöriga myndigheter och kommissionen ska utan onödigt dröjsmål i ett standardiserat elektroniskt format översända all relevant information till Europeiska dataskyddsstyrelsen, i förekommande fall inklusive en sammanfattning av sakförhållandena, förslaget till åtgärd, motiveringen till att en sådan åtgärd bedöms vara nödvändig, invändningarna mot den samt övriga berörda tillsynsmyndigheters åsikter.

4.  Europeiska dataskyddsstyrelsen ska behandla frågan och därvid beakta konsekvenserna av den ansvariga myndighetens förslag till åtgärder för de registrerades grundläggande rättigheter och friheter, och ska inom två veckor efter det att den relevanta informationen översändes i enlighet med punkt 3 besluta med enkel majoritet av ledamöterna huruvida ett yttrande i frågan ska avges.

5.  Om Europeiska dataskyddsstyrelsen beslutar att avge ett yttrande ska den göra det inom sex veckor samt offentliggöra yttrandet.

6.  Den ansvariga myndigheten ska ta största möjliga hänsyn till Europeiska dataskyddsstyrelsen yttrande och ska – inom två veckor efter det att Europeiska dataskyddsstyrelsens ordförande underrättade den om yttrandet – i ett standardiserat elektroniskt format meddela Europeiska dataskyddsstyrelsens ordförande och kommissionen om huruvida den har för avsikt att hålla fast vid eller ändra sitt förslag till åtgärd och, i förekommande fall, bifoga det ändrade förslaget till åtgärd. Om den ansvariga myndigheten har för avsikt att inte följa Europeiska dataskyddsstyrelsens yttrande ska den ange skälen till detta.

7.  Om Europeiska dataskyddsstyrelsen fortfarande har invändningar mot den åtgärd från tillsynsmyndigheten som avses i punkt 5 får den med två tredjedelar av rösterna anta en åtgärd som ska vara bindande för tillsynsmyndigheten. [Ändr. 167]

Artikel 59

Yttrande från kommissionen

1.  Inom tio veckor efter det att en fråga tagits upp enligt artikel 58, eller inom sex veckor när det gäller frågor som omfattas av artikel 61, kan kommissionen anta ett yttrande i den fråga som tagits upp enligt någon av dessa artiklar i syfte att slå vakt om en korrekt och enhetlig tillämpning av denna förordning.

2.  När kommissionen har antagit ett yttrande enligt punkt 1 ska den berörda tillsynsmyndigheten fästa yttersta vikt vid kommissionens yttrande och meddela kommissionen och Europeiska dataskyddsstyrelsen om den avser att hålla fast vid sitt utkast till åtgärd eller ändra det.

3.  Tillsynsmyndigheten får inte anta sitt utkast till åtgärd innan den tid som anges i punkt 1 har löpt ut.

4.  Om den berörda tillsynsmyndigheten inte avser att rätta sig efter kommissionens yttrande ska den underrätta kommissionen och Europeiska dataskyddsstyrelsen om detta inom den tid som anges i punkt 1, samt motivera sitt beslut. I detta fall får utkastet till åtgärd inte antas på ytterligare en månad. [Ändr. 168]

Artikel 60

Uppskjutet antagande av ett utkast till åtgärd

1.  Om kommissionen hyser allvarliga tvivel om huruvida ett utkast till åtgärd är förenligt med en korrekt och enhetlig tillämpning av denna förordning får den, inom en månad efter en underrättelse enligt artikel 59.4 och efter att ha tagit hänsyn till Europeiska dataskyddsstyrelsens yttrande enligt artikel 58.7 eller artikel 61.2, anta ett motiverat beslut om att antagandet av utkastet till åtgärd bör skjutas upp, om detta bedöms vara nödvändigt för att

a)  om möjligt jämka samman tillsynsmyndighetens och Europeiska dataskyddsstyrelsens avvikande ståndpunkter, eller

b)  anta en åtgärd enligt artikel 62.1 a.

2.  Kommissionen ska ange hur länge antagandet av åtgärden ska skjutas upp; denna period får inte överstiga tolv månader.

3.  Tillsynsmyndigheten får inte anta utkastet till åtgärd under den period som avses i punkt 2. [Ändr. 169]

Artikel 60a

Information till Europaparlamentet och rådet

Kommissionen ska regelbundet, minst en gång i halvåret, och på grundval av en rapport från Europeiska dataskyddsstyrelsens ordförande informera Europaparlamentet och rådet om de frågor som behandlats inom ramen för mekanismen för enhetlighet, och ange de slutsatser som dragits av kommissionen och Europeiska dataskyddsstyrelsen för att se till att denna förordning tillämpas och genomförs på ett enhetligt sätt. [Ändr. 170]

Artikel 61

Påskyndat förfarande

1.  Under exceptionella omständigheter får en tillsynsmyndighet med avsteg från förfarandet i artikel 58 58a omedelbart vidta provisoriska åtgärder med förutbestämd varaktighet om den anser att det finns ett brådskande behov av att agera för att skydda registrerades intressen, särskilt om möjligheten att förverkliga den registrerades rättigheter allvarligt kan undergrävas av att situationen förändras, om så krävs för att förebygga allvarliga nackdelar eller av andra orsaker. Tillsynsmyndigheten ska utan dröjsmål underrätta Europeiska dataskyddsstyrelsen och kommissionen om dessa åtgärder, och ge en uttömmande motivering. [Ändr. 171]

2.  Om en tillsynsmyndighet har vidtagit en åtgärd enligt punkt 1 och anser att en definitiv åtgärd snabbt måste antas kan den begära ett brådskande yttrande från Europeiska dataskyddsstyrelsen; den ska då motivera varför den begär ett sådant yttrande och varför den bedömer att den definitiva åtgärden måste antas snabbt.

3.  Om den behöriga tillsynsmyndigheten inte har vidtagit någon lämplig åtgärd i en situation där man snabbt måste agera för att skydda den registrerades intressen får vilken tillsynsmyndighet som helst begära ett brådskande yttrande, varvid den ska motivera varför den begär ett sådant yttrande och varför åtgärden måste vidtas snabbt.

4.  Genom undantag från artikel 58.7 ska Ett snabbt yttrande enligt punkt 2 och 3 ska antas inom två veckor med enkel majoritet av Europeiska dataskyddsstyrelsens ledamöter. [Ändr. 172]

Artikel 62

Genomförandeakter

1.  Kommissionen får efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen anta genomförandeakter av allmän räckvidd i syfte att

a)  fatta beslut med avseende på den korrekta tillämpningen av denna förordning i linje med dess mål och krav; detta kan gälla frågor som tas upp av tillsynsmyndigheterna enligt artikel 58 eller 61, frågor som varit föremål för ett motiverat beslut enligt artikel 60.1 eller frågor där en tillsynsmyndighet inte har lagt fram något utkast till åtgärd och där samma myndighet har meddelat att den inte har för avsikt att följa det yttrande som kommissionen antagit enligt artikel 59,

b)  inom den period som anges i artikel 59.1 besluta om den anser att ett utkast förslag till standardiserade uppgiftsskyddsbestämmelser enligt artikel 58.2 d 42.2 d har allmän giltighet,

c)  precisera format och förfaranden för tillämpningen av den mekanism för enhetlighet som regleras i detta avsnitt,

d)  Precisera tillvägagångssätten för elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyndigheter och Europeiska dataskyddsstyrelsen, särskilt det standardiserade format som avses i artikel 58.5, 58.6 och 58.8.

Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

2.  Om det i fall enligt punkt 1 a finns vederbörligen motiverade och tvingande skäl till skyndsamhet i de registrerades intresse ska kommissionen anta genomförandeakter med omedelbar verkan enligt förfarandet i artikel 87.3. Dessa akter ska vara giltiga i högst 12 månader.

3.  Det faktum att ingen åtgärd har vidtagits enligt detta avsnitt utesluter inte att kommissionen kan vidta andra åtgärder enligt fördragen. [Ändr. 173]

Artikel 63

Verkställighet

1.  Vid tillämpningen av denna förordning ska en verkställbar åtgärd som vidtagits av en tillsynsmyndighet i en medlemsstat verkställas i samtliga medlemsstater.

2.  Om en tillsynsmyndighet bryter mot artikel 58.1–5 58.1 och 58.2 genom att inte lägga fram ett utkast förslag till åtgärd inom ramen för mekanismen för enhetlighet eller antar en åtgärd trots en angivelse av allvarlig invändning enligt artikel 58a.1 ska denna åtgärd inte anses vara rättsligt giltig och verkställbar. [Ändr. 174]

Avsnitt 3

Europeiska dataskyddsstyrelsen

Artikel 64

Europeiska dataskyddsstyrelsen

1.  Härmed inrättas en europeisk dataskyddsstyrelse.

2.  Europeiska dataskyddsstyrelsen ska bestå av chefen för en tillsynsmyndighet per medlemsstat samt Europeiska datatillsynsmannen.

3.  Om en medlemsstat har fler än en tillsynsmyndighet som ansvarar för att övervaka tillämpningen av bestämmelserna i denna förordning ska den utse chefen för en av dessa myndigheter som gemensam företrädare.

4.  Kommissionen har rätt att delta i Europeiska dataskyddsstyrelsens verksamhet och möten, och ska utse en egen företrädare. Europeiska dataskyddsstyrelsens ordförande ska utan dröjsmål underrätta kommissionen om all verksamhet inom Europeiska dataskyddsstyrelsen.

Artikel 65

Oberoende

1.  Europeiska dataskyddsstyrelsen ska i enlighet med artiklarna 66 och 67 vara oberoende när den utövar sina arbetsuppgifter.

2.  Utan att detta påverkar kommissionens rätt att lämna en begäran enligt artikel 66.1 b och 66.2 ska Europeiska dataskyddsstyrelsen när den utövar sina arbetsuppgifter varken begära eller ta emot instruktioner av någon.

Artikel 66

Europeiska dataskyddsstyrelsens arbetsuppgifter

1.  Europeiska dataskyddsstyrelsen ska se till att denna förordning tillämpas enhetligt. För detta ändamål ska Europeiska dataskyddsstyrelsen i synnerhet, på eget initiativ eller på begäran av Europaparlamentet, rådet eller kommissionen,

a)  ge kommissionen EU-institutionerna råd i alla frågor som gäller skydd av personuppgifter inom unionen, och den ska också yttra sig om eventuella förslag till ändring av denna förordning,

b)  på eget initiativ eller på begäran av en av sina ledamöter eller av Europaparlamentet, rådet eller kommissionen undersöka frågor som omfattas av denna förordning och sprida riktlinjer, rekommendationer och exempel på god bästa praxis till tillsynsmyndigheterna i syfte att främja en enhetlig tillämpning av denna förordning, däribland även användningen av genomförandebefogenheter,

c)  se över den praktiska tillämpningen av de riktlinjer, rekommendationer och exempel på god praxis som avses i b samt rapportera regelbundet till kommissionen om detta,

d)  yttra sig över utkast förslag till åtgärder som läggs fram av tillsynsmyndigheterna inom den mekanism för enhetlighet som avses i artikel 57,

da)  avge yttranden över vilken myndighet som bör vara ansvarig myndighet i enlighet med artikel 54a.3,

e)  främja samarbete och effektivt bilateralt och multilateralt utbyte av praxis och information mellan tillsynsmyndigheterna, inklusive samordningen av gemensamma insatser och annan gemensam verksamhet den beslutar om på begäran av en eller flera tillsynsmyndigheter,

f)  främja gemensamma utbildningsprogram och underlätta personalutbyte mellan tillsynsmyndigheterna, där så är lämpligt även med tillsynsmyndigheter i tredjeland och internationella organisationer,

g)  främja utbyte av kunskap och dokumentation om lagstiftning om och praxis för uppgiftsskydd med tillsynsmyndigheter för uppgiftsskydd i andra delar av världen,

ga)  avge yttranden till kommissionen vid utarbetandet av delegerade akter och genomförandeakter med stöd av denna förordning,

gb)  avge yttranden över de uppförandekodexar som utarbetas på unionsnivå i enlighet med artikel 38.4,

gc)  avge yttranden över kriterierna och kraven för certifieringsmekanismerna för uppgiftsskydd enligt artikel 39.2,

gd)  upprätthålla ett offentligt elektroniskt register över giltiga och ogiltiga certifikat i enlighet med artikel 39.1h,

ge)  bistå de nationella tillsynsmyndigheterna på deras begäran,

gf)  upprätta och offentliggöra en förteckning över behandling som omfattas av förhandssamråd enligt artikel 34,

gg)  upprätthålla ett register över sanktioner som de behöriga tillsynsmyndigheterna ålagt registeransvariga eller registerförare.

2.  När Om Europaparlamentet, rådet eller kommissionen begär rådgivning från Europeiska dataskyddsstyrelsen får den med hänsyn till hur brådskande frågan är fastställa en tidsfrist för denna rådgivning.

3.  Europeiska dataskyddsstyrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer och exempel på god praxis till Europaparlamentet, rådet och kommissionen och till den kommitté som avses i artikel 87, samt offentliggöra dem.

4.  Kommissionen ska hålla Europeiska dataskyddsstyrelsen underrättad om de åtgärder den vidtagit som en följd av den senares yttranden, riktlinjer, rekommendationer och exempel på god praxis.

4a.  Europeiska dataskyddsstyrelsen ska vid behov samråda med de berörda parterna och ge dem möjlighet att yttra sig inom rimlig tid. Europeiska dataskyddsstyrelsen ska, utan att det påverkar tillämpningen av artikel 72, offentliggöra resultatet av detta samrådsförfarande.

4b.  Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med punkt 1 b såväl för att fastställa gemensamma förfaranden för att ta emot och utreda information om påstådd olaglig behandling som för att skydda konfidentialiteten hos och källorna till den mottagna informationen. [Ändr. 175]

Artikel 67

Rapporter

1.  Europeiska dataskyddsstyrelsen ska regelbundet och vid lämplig tidpunkt rapportera till Europaparlamentet, rådet och kommissionen om resultaten av sin verksamhet. Den ska minst vartannat år sammanställa en årsrapport som beskriver situationen i fråga om skydd av privatpersoner vid behandling av personuppgifter inom unionen och i tredjeland. [Ändr. 176]

Denna rapport ska också innehålla en översikt över den praktiska tillämpningen av de riktlinjer, rekommendationer och exempel på god praxis som avses i artikel 66.1 c.

2.  Rapporten ska offentliggöras och översändas till Europaparlamentet, rådet och kommissionen.

Artikel 68

Beslutsgång

1.  Europeiska dataskyddsstyrelsen ska fatta beslut med enkel majoritet av dess ledamöter, om inte annat anges i dess arbetsordning. [Ändr. 177]

2.  Europeiska dataskyddsstyrelsen ska själv anta sin arbetsordning och fastställa sina arbetsformer. Den ska särskilt slå vakt om kontinuiteten i sin verksamhet när en ledamots mandatperiod löper ut eller en ledamot avgår, inrätta undergrupper för särskilda frågor eller sektorer och fastställa sina rutiner när det gäller den mekanism för enhetlighet som avses i artikel 57.

Artikel 69

Ordförande

1.  Europeiska dataskyddsstyrelsen ska välja en ordförande och minst två vice ordförande bland sina ledamöter. Om inte Europeiska datatillsynsmannen valts till ordförande ska han eller hon tilldelas en av posterna som vice ordförande. [Ändr. 178]

2.  Ordförandens och de vice ordförandenas mandatperioder ska vara fem år och kunna förnyas.

2a.  Uppdraget som ordförande ska motsvara en heltidstjänst. [Ändr. 179]

Artikel 70

Ordförandens arbetsuppgifter

1.  Ordföranden ska ha i uppgift att

a)  sammankalla till Europeiska dataskyddsstyrelsens möten och planera dagordningen,

b)  se till att Europeiska dataskyddsstyrelsens arbetsuppgifter utförs i tid, särskilt i fråga om den mekanism för enhetlighet som avses i artikel 57.

2.  Fördelningen av arbetsuppgifter mellan ordföranden och de vice ordförandena ska regleras i Europeiska dataskyddsstyrelsen arbetsordning.

Artikel 71

Sekretariat

1.  Europeiska dataskyddsstyrelsen ska förfoga över ett sekretariat. Det är Europeiska datatillsynsmannen som ska stå för detta sekretariat.

2.  Sekretariatet ska bistå Europeiska dataskyddsstyrelsen med analysarbete samt juridiskt, administrativt och logistiskt stöd under ordförandens ledning. [Ändr. 180]

3.  Sekretariatet ska särskilt ansvara för

a)  Europeiska dataskyddsstyrelsens löpande arbete,

b)  kommunikationen mellan Europeiska dataskyddsstyrelsens ledamöter, dess ordförande och kommissionen, samt kommunikationen med andra institutioner och med allmänheten,

c)  användningen av de elektroniska hjälpmedlen för intern och extern kommunikation,

d)  översättning av relevant information,

e)  förberedelser och uppföljning av Europeiska dataskyddsstyrelsens möten,

f)  förberedelse, sammanställning och offentliggörande av yttranden och andra texter som antas av Europeiska dataskyddsstyrelsen.

Artikel 72

Sekretess

1.  Europeiska dataskyddsstyrelsens överläggningar ska får vid behov vara konfidentiella, såvida inget annat anges i dess arbetsordning. Föredragningslistorna för Europeiska dataskyddsstyrelsens sammanträden ska offentliggöras. [Ändr. 181]

2.  Dokument som skickas till Europeiska dataskyddsstyrelsens ledamöter, till experter eller till företrädare för tredje part ska vara konfidentiella såvida inte tillgång till dokumenten i fråga garanteras enligt Europaparlamentets och rådets förordning (EG) 1049/2001(18) eller om Europeiska dataskyddsstyrelsen av andra skäl beslutar att offentliggöra dem.

3.  Europeiska dataskyddsstyrelsens ledamöter samt experter och företrädare för tredje part ska vara skyldiga att följa de konfidentialitetskrav som anges i denna artikel. Ordföranden ska se till att experter och företrädare för tredje part underrättas om dessa krav.

KAPITEL VIII

RÄTTSMEDEL, ANSVAR, PÅFÖLJDER OCH ADMINISTRATIVA SANKTIONER

Artikel 73

Rätt att klaga på beslut som fattats av en tillsynsmyndighet

1.  Utan att det påverkar andra möjligheter att lämna klagomål till berörda myndigheter eller domstolar samt tillämpningen av mekanismen för enhetlighet ska varje registrerad som anser att uppgifter rörande henne eller honom inte är förenliga med denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat.

2.  Varje organisation eller sammanslutning som har till uppgift att skydda registrerades rättigheter och intressen när det gäller skyddet av deras personuppgifter agerar i det allmännas intresse och som har inrättats på vederbörligt sätt i enlighet med lagen i en medlemsstat, ska ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat för en eller flera registrerades räkning, om den anser att de rättigheter som tillkommer en registrerad enligt denna förordning har åsidosatts som en följd av behandling av vederbörandes personuppgifter.

3.  Oberoende av eventuella klagomål från en registrerad ska varje sådan organisation eller sammanslutning som avses i punkt 2 ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat om den anser att ett personuppgiftsbrott har begåtts en överträdelse av denna förordning har ägt rum. [Ändr. 182]

Artikel 74

Rätt att begära rättslig prövning av en tillsynsmyndighets beslut

1.  Utan att det påverkar andra möjligheter att lämna klagomål antingen till berörda myndigheter eller inom ramen för andra förfaranden utanför domstol ska varje fysisk eller juridisk person ska ha rätt till ett rättsmedel mot beslut som en tillsynsmyndighet har fattat med avseende på vederbörande.

2.  Utan att det påverkar andra möjligheter att lämna klagomål antingen till berörda myndigheter eller inom ramen för andra förfaranden utanför domstol ska varje registrerad ska ha rätt till ett rättsmedel som förpliktar tillsynsmyndigheten att behandla ett klagomål om ett beslut som krävs för att skydda den registrerades rättigheter inte har fattats eller om tillsynsmyndigheten inte inom tre månader informerar den registrerade om hur ärendet fortskrider eller vilket beslut som har fattats med anledning av klagomålet i enlighet med artikel 52.1 b.

3.  Talan mot beslut som har fattats av en tillsynsmyndighet ska ges in vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte.

4.  Utan att det påverkar tillämpningen av mekanismen för enhetlighet får en registrerad som berörs av ett beslut av en tillsynsmyndighet i en annan medlemsstat än den där den registrerade har hemvist får anmoda tillsynsmyndigheten i den registrerades hemviststat att föra talan på hans eller hennes vägnar mot den behöriga tillsynsmyndigheten i den andra medlemsstaten.

5.  Medlemsstaterna ska verkställa lagakraftvunna avgöranden som meddelats av de domstolar som avses i denna artikel. [Ändr. 183]

Artikel 75

Rätt att föra talan mot en registeransvarig eller en registerförare

1.  Utan att det påverkar tillgängliga administrativa rättsmedel, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 73, ska varje fysisk person som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen ha rätt att begära domstolsprövning.

2.  Talan mot en registeransvarig eller en registerförare ska väckas vid domstolarna i den medlemsstat där den registeransvarige eller registerföraren är etablerad. Alternativt får sådan talan väckas vid domstolarna i den medlemsstat där den registrerade har hemvist, såvida inte registerföraren är en offentlig unionsmyndighet eller en offentlig myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning. [Ändr. 184]

3.  Om förfaranden angående samma åtgärd, beslut eller praxis har inletts inom ramen för den mekanism för enhetlighet som avses i artikel 58, får den berörda domstolen vilandeförklara målet, såvida inte skyddet av den registrerades rättigheter är så brådskande att det inte finns tid att invänta resultatet av förfarandet inom ramen för mekanismen för enhetlighet.

4.  Medlemsstaterna ska verkställa lagakraftvunna avgöranden som meddelats av de domstolar som avses i denna artikel.

Artikel 76

Gemensamma bestämmelser om domstolsförfaranden

1.  Varje organisation eller sammanslutning som avses i artikel 73.2 ska vara berättigad att utöva de rättigheter som avses i artiklarna 74 och, 75 för och 77 om en eller flera registrerades räkning registrerade gett den ett sådant mandat. [Ändr. 185]

2.  Varje tillsynsmyndighet ska ha rätt att delta i rättsliga förfaranden och väcka talan vid domstol för att säkerställa tillämpningen av bestämmelserna i denna förordning eller för att garantera ett konsekvent skydd av personuppgifter i unionen.

3.  När en behörig domstol i en medlemsstat har skälig grund att anta att det pågår parallella förfaranden i en annan medlemsstat, ska den kontakta den behöriga domstolen i den andra medlemsstaten för att bekräfta om det finns sådana parallella förfaranden.

4.  Om sådana parallella förfaranden i en annan medlemsstat rör samma åtgärd, beslut eller praxis får domstolen vilandeförklara målet.

5.  Medlemsstaterna ska se till att de möjligheter att föra talan inför domstol som är tillgängliga enligt nationell lagstiftning gör det möjligt att snabbt vidta åtgärder, även interimistiska sådana, i syfte att avbryta den påstådda överträdelsen och hindra ytterligare skada av berörda intressen.

Artikel 77

Ansvar och rätt till ersättning

1.  Varje person eller medlemsstat som har lidit skada, även ideell skada, till följd av en otillåten behandling av uppgifter eller av något annat handlande som är oförenligt med denna förordning ska ha rätt till att begära ersättning av den registeransvarige eller den registerförfarare registerförare som bär ansvaret för den uppkomna skadan. [Ändr. 186]

2.  Om fler än en registeransvarig eller registerförare har medverkat vid behandlingen av uppgifter, ska var och en av dem dessa registeransvariga och registerförare ansvara solidariskt för hela den uppkomna skadan om de inte har ingått ett vederbörligt skriftligt avtal genom vilket ansvaret fastställs i enlighet med artikel 24. [Ändr. 187]

3.  Den registeransvarige eller registerföraren kan helt eller delvis undgå detta ansvar om vederbörande bevisar att han inte är ansvarig för den händelse som orsakade skadan.

Artikel 78

Påföljder

1.  Medlemsstaterna ska föreskriva påföljder för överträdelser av bestämmelserna i denna förordning och ska vidta de åtgärder som krävs för att se till att dessa påföljder tillämpas, inbegripet i situationer där den registeransvarige inte följt kravet att utse en företrädare. Påföljderna ska vara effektiva, proportionella och avskräckande.

2.  Om den registeransvarige har utsett en företrädare ska eventuella påföljder tillämpas med avseende på företrädaren, utan att det påverkar de påföljder som skulle kunna utdömas för den registeransvarige.

3.  Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt 1; dessutom ska alla framtida ändringar som rör dessa bestämmelser anmälas utan dröjsmål.

Artikel 79

Administrativa sanktioner

1.  Varje tillsynsmyndighet ska ha befogenhet att ålägga administrativa sanktioner i enlighet med denna artikel. Tillsynsmyndigheterna ska samarbeta i enlighet med artiklarna 46 och 57 i syfte att säkerställa en harmoniserad nivå på sanktionerna inom unionen.

2.  Den administrativa sanktionen ska i varje enskilt fall vara effektiv, proportionell och avskräckande. De administrativa böterna ska fastställas med vederbörlig hänsyn till överträdelsens natur, svårhetsgrad och varaktighet, om överträdelsen skett med uppsåt eller genom oaktsamhet, graden av ansvar hos den berörda fysiska eller juridiska personen och eventuella tidigare överträdelser av samma person, de tekniska och organisatoriska åtgärder och förfaranden som genomförts i enlighet med artikel 23 och graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen.

2a.  För dem som inte fullgör de skyldigheter som fastställs i denna förordning ska tillsynsmyndigheten ålägga minst en av följande sanktioner:

a)  En skriftlig varning om det rör sig om ett första och icke uppsåtligt bristfälligt fullgörande av skyldigheterna.

b)  Regelbundna granskningar av uppgiftsskyddet.

c)  Böter på upp till 100 000 000 EUR eller upp till fem procent av den totala årliga omsättningen om det är fråga om ett företag, beroende på vilket som är det högsta beloppet.

2b.  Om den registeransvarige eller registerföraren innehar en giltig märkning med ”den europeiska uppgiftsskyddsförseglingen” i enlighet med artikel 39 ska böter enligt punkt 2a c utfärdas endast om det bristfälliga fullgörandet av skyldigheterna sker uppsåtligen eller av oaktsamhet.

2c.  För de administrativa sanktionerna ska hänsyn tas till följande faktorer:

a)  Det bristfälliga fullgörandets karaktär, svårighetsgrad och varaktighet.

b)  Om överträdelsen skett uppsåtligen eller av oaktsamhet.

c)  Graden av ansvar hos den berörda fysiska eller juridiska personen och eventuella tidigare överträdelser som denne gjort sig skyldig till.

d)  Om överträdelsen är av repetitiv karaktär.

e)  Graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen och minska dess potentiella negativa effekter.

f)  De specifika kategorier av personuppgifter som påverkas av överträdelsen.

g)  Omfattningen på den skada, även ideell skada, som de registrerade har lidit.

h)  De åtgärder som den registeransvarige eller registerföraren har vidtagit för att minska den skada som de registrerade har lidit.

i)  Eventuell ekonomisk vinst – avsedd eller gjord – eller förlust som undviks, direkt eller indirekt, genom överträdelsen.

j)  Graden av tekniska och organisatoriska åtgärder och förfaranden som genomförts i enlighet med följande artiklar:

i)  Artikel 23 – Inbyggt uppgiftsskydd och uppgiftsskydd som standard.

ii)  Artikel 30 – Säkerhet i samband med behandlingen av uppgifter.

iii)  Artikel 33 – Konsekvensbedömning avseende uppgiftsskydd.

iv)  Artikel 33a – Granskning av uppgiftsskyddets överensstämmelse.

v)  Artikel 35 – Utnämning av uppgiftsskyddsombudet.

k)  Vägran att samarbeta med eller hindrande av inspektioner, granskningar och kontroller som utförs av tillsynsmyndigheten i enlighet med artikel 53.

l)  Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet.

3.  Vid en första oavsiktlig underlåtenhet att följa denna förordning ska det vara möjligt att utfärda en skriftlig varning utan påföljd, om det rör sig om

a)  en fysisk person som har behandlat personuppgifter utan vinstintresse, eller

b)  ett företag eller en organisation med högst 250 anställda som behandlar personuppgifter endast som en sidoverksamhet till huvudverksamheten.

4.  Tillsynsmyndigheten ska utfärda böter på upp till 250 000 euro eller, om det är fråga om ett företag, på upp till 0,5 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet

a)  underlåter att tillhandahålla nödvändiga mekanismer för att underlätta framställningar från registrerade eller att besvara framställningar från registrerade tillräckligt snabbt eller i rätt form enligt artikel 12.1–2,

b)  tar ut en avgift för att lämna information till eller besvara framställningar från registrerade i strid med artikel 12.4.

5.  Tillsynsmyndigheten ska utfärda böter på upp till 500 000 euro eller, om det är fråga om ett företag, på upp till 1 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet

a)  underlåter att tillhandahålla information, tillhandahåller ofullständig information eller försummar att tillhandahålla information på ett tillräckligt öppet sätt i enlighet med artiklarna 11, 12.3 och 14,

b)  underlåter att ge den registrerade tillgång till uppgifter eller att rätta personuppgifter i enlighet med artiklarna 15 och 16, eller underlåter att meddela relevant information till en mottagare i enlighet med artikel 13,

c)  underlåter att respektera rätten att bli bortglömd eller att få uppgifter raderade, eller försummar att införa rutiner för att säkerställa att tidsfrister iakttas, eller underlåter att vidta alla nödvändiga åtgärder för att underrätta tredje man om att en registrerad ansökt om radering av länkar till personuppgifter eller av kopior eller reproduktioner av sådana uppgifter i enlighet med artikel 17,

d)  underlåter att tillhandahålla en kopia av personuppgifterna i elektroniskt format eller hindrar den registrerade från att översända personuppgifterna till en annan applikation, i strid med artikel 18,

e)  helt eller delvis underlåter att fastställa respektive ansvarsområden tillsammans med registermedansvariga i enlighet med artikel 24,

f)  helt eller delvis underlåter att bevara dokumentation i enlighet med artiklarna 28, 31.4 och 44.3,

g)  i sådana fall där det inte är fråga om särskilda kategorier av uppgifter underlåter att i enlighet med artiklarna 80, 82 och 83 följa bestämmelser om yttrandefrihet, bestämmelser om uppgiftsbehandling i anställningsförhållanden eller villkoren för att behandla uppgifter för historiska, statistiska och vetenskapliga forskningsändamål.

6.  Tillsynsmyndigheten ska utfärda böter på upp till 1 000 000 euro eller, om det är fråga om ett företag, på upp till 2 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet

a)  behandlar personuppgifter utan tillräcklig rättslig grund för ändamålet eller underlåter att följa villkoren för samtycke enligt artiklarna 6, 7 och 8,

b)  behandlar särskilda kategorier av uppgifter i strid med artiklarna 9 och 81,

c)  underlåter att hörsamma en invändning eller att uppfylla kravet i artikel 19,

d)  underlåter att uppfylla villkoren vid åtgärder på grundval av profilering i enlighet med artikel 20,

e)  underlåter att anta interna strategier eller att genomföra lämplig åtgärder för att garantera och visa överensstämmelse i enlighet med artiklarna 22, 23 och 30,

f)  underlåter att utse en företrädare i enlighet med artikel 25,

g)  behandlar eller ger instruktioner för behandlingen av personuppgifter på ett sätt som strider mot skyldigheterna i samband med behandling för en registeransvarigs räkning i enlighet med artiklarna 26 och 27,

h)  underlåter att signalera eller meddela ett personuppgiftsbrott eller att i tid och utan inskränkningar anmäla personuppgiftsbrottet till tillsynsmyndigheten eller meddela den registrerade i enlighet med artiklarna 31 och 32,

i)  underlåter att utföra en konsekvensbedömning avseende uppgiftsskydd eller behandlar personuppgifter utan att först ha erhållit tillstånd från eller ha samrått med tillsynsmyndigheten i enlighet med artiklarna 33 och 34,

j)  underlåter att utse ett uppgiftsskyddsombud eller att skapa de förutsättningar som krävs för att utföra arbetsuppgifterna enligt artiklarna 35, 36 och 37,

k)  missbrukar en uppgiftsskyddsförsegling eller en uppgiftsskyddsmärkning i den mening som avses i artikel 39,

l)  verkställer eller ger instruktioner om en överföring av uppgifter till ett tredjeland eller en internationell organisation som inte är tillåten på grundval av ett beslut om adekvat skyddsnivå, lämpliga skyddsåtgärder eller ett undantag i enlighet med artiklarna 40–44,

m)  underlåter att hörsamma en order, ett tillfälligt eller permanent förbud mot behandling av uppgifter eller ett beslut om att avbryta av uppgiftsflödena som meddelats av tillsynsmyndigheten i enlighet med artikel 53.1,

n)  underlåter att uppfylla skyldigheten att bistå tillsynsmyndigheten eller lämna tillsynsmyndigheten svar, relevant information eller tillträde till lokaler i enlighet med artiklarna 28.3, 29, 34.6 och 53.2,

o)  underlåter att följa bestämmelserna om säkerställande av tystnadsplikt i artikel 84.

7.  Kommissionen ska ha ges befogenhet att anta delegerade akter i enlighet med enligt artikel 86 i syfte med avseende på att uppdatera de absoluta administrativa bötesbelopp som avses i punkterna 4, 5 och 6 punkt 2a, med hänsyn till kriterierna i punkt 2 de kriterier och faktorer som avses i punkterna 2 och 2c. [Ändr. 188]

KAPITEL IX

BESTÄMMELSER OM SÄRSKILDA SITUATIONER VID BEHANDLING AV PERSONUPPGIFTER

Artikel 80

Behandling av personuppgifter och yttrandefriheten

1.  Medlemsstaterna ska med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande besluta om undantag och avvikelser från bestämmelserna om allmänna principer i kapitel II, om den registrerades rättigheter i kapitel III, om registeransvariga och registerförare i kapitel IV, om överföring av personuppgifter till tredjeländer och internationella organisationer i kapitel V, om oberoende tillsynsmyndigheter i kapitel VI och, om samarbete och enhetlighet i kapitel VII endast och om särskilda uppgiftsbehandlingssituationer i detta kapitel om sådana undantag eller avvikelser är nödvändiga för att förena rätten till integritet skydd av personuppgifter med reglerna om yttrandefrihet i enlighet med stadgan. [Ändr. 189]

2.  Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den har antagit i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringslagstiftning eller ändringar som rör dessa bestämmelser.

Artikel 80a

Tillgång till handlingar

1.  Personuppgifter i handlingar som förvaras av en offentlig myndighet eller ett offentligt organ får lämnas ut av myndigheten eller organet i enlighet med unionslagstiftningen eller en medlemsstats lagstiftning avseende allmänhetens rätt till tillgång till offentliga handlingar, om rätten till skydd av personuppgifter därigenom förenas med principen om allmänhetens rätt till tillgång till offentliga handlingar.

2.  Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringar som rör dessa bestämmelser. [Ändr. 190]

Artikel 81

Behandling av personuppgifter om en registrerads hälsotillstånd

1.  Inom ramen för I enlighet med bestämmelserna i denna förordning och i enlighet med, särskilt artikel 9.2 h, ska behandling av personuppgifter om en registrerads hälsotillstånd ske på grundval av unionslagstiftning eller medlemsstaternas nationella lagstiftning, vilken ska föreskriva lämpliga, enhetliga och konkreta åtgärder för att skydda den registrerades berättigade intressen och vara nödvändig grundläggande rättigheter – i den mån åtgärderna är nödvändiga och proportionerliga och deras följder kan förutses av den registrerade –, med hänsyn till

a)  förebyggande hälso- och sjukvård och yrkesmedicin, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvårdstjänster, om uppgifterna behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt, eller av en annan person som är ålagd en motsvarande tystnadsplikt,

b)  skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa skydd mot allvarliga gränsöverskridande hot mot hälsan eller garantera höga kvalitets- och säkerhetsnormer, bland annat för läkemedelsprodukter och medicinsk utrustning, och om uppgifterna behandlas av någon som är underkastad tystnadsplikt, eller

c)  andra skäl av allmänt intresse på områden som socialt skydd, särskilt för att säkerställa kvalitet och kostnadseffektivitet i de förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet och tillhandahållande av hälso- och sjukvårdstjänster. Sådan behandling av personuppgifter om hälsotillstånd vilken utförs av skäl av allmänt intresse får inte resultera i att uppgifter behandlas för andra ändamål såvida inte den registrerade gett sitt samtycke eller unionslagstiftningen eller en medlemsstats lagstiftning medger detta.

1a.  Om de ändamål som avses i punkt 1 a–c kan uppnås utan användning av personuppgifter ska sådana uppgifter inte användas för dessa ändamål såvida inte den registrerade gett sitt samtycke eller en medlemsstats lagstiftning medger detta.

1b.  Om den registrerades samtycke krävs för behandling av medicinska uppgifter uteslutande för folkhälsoforskningsändamål får samtycke ges till ett eller flera specifika och liknande forskningsområden. Den registrerade får emellertid återkalla sitt samtycke när som helst.

1c.  När det gäller att ge samtycke till deltagande i vetenskaplig forskning inom ramen för kliniska prövningar ska de relevanta bestämmelserna i Europaparlamentets och rådets direktiv 2001/20/EG(19) tillämpas.

2.  Behandling av personuppgifter om en registrerads hälsotillstånd som är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål, såsom patientregister som upprättas för att förbättra diagnoser, göra åtskillnad mellan likartade typer av sjukdomar och förbereda undersökningar om terapimetoder, ska tillåtas endast med den registrerades samtycke och ska omfattas av de villkor och skyddsåtgärder som avses i artikel 83.

2a.  Medlemsstaterna får i sin lagstiftning föreskriva undantag från det krav på samtycke till forskning som avses i punkt 2 om det handlar om forskning av viktigt allmänt intresse, förutsatt att denna forskning inte kan bedrivas på annat sätt. De berörda uppgifterna ska vara anonymiserade eller, om detta inte är möjligt för forskningsändamålen, pseudonymiserade på ett sätt som uppfyller högsta tekniska krav, och alla nödvändiga åtgärder ska vidtas för att förhindra att de registrerade utan tillåtelse kan identifieras igen. Den registrerade ska emellertid ha rätt att göra invändningar när som helst, i enlighet med artikel 19.

3.  Kommissionen ska ha, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen, ges befogenhet att anta delegerade akter enligt artikel 86 i syfte med avseende på att ytterligare specificera andra skäl av allmänt intresse inom folkhälsoområdet enligt punkt 1 b, samt kriterier och krav för det skydd som ska finnas vid behandling av personuppgifter för de ändamål och skäl av viktigt allmänt intresse inom det forskningsområde som anges avses i punkt 1 2a.

3a.  Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringar som rör dessa bestämmelser. [Ändr. 191]

Artikel 82

Miniminormer för behandling av personuppgifter i anställningsförhållanden

1.  Inom ramen för I enlighet med bestämmelserna i denna förordning och med beaktande av proportionalitetsprincipen får medlemsstaterna i lag genom rättsliga bestämmelser föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller för men inte begränsat till rekrytering och platsansökningar inom företagsgruppen, genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, i enlighet med nationell lagstiftning och praxis, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet. Medlemsstaterna får tillåta att kollektivavtal ytterligare preciserar bestämmelserna i denna artikel.

1a.  Ändamålet med behandlingen av sådana uppgifter ska vara knutet till skälet till att uppgifterna samlades in och får inte gå utöver ramen för anställningsförhållandet. Profilering och användning för sekundära ändamål får inte vara tillåten.

1b.  En anställds samtycke får inte utgöra en rättslig grund för arbetsgivarens behandling av uppgifter, om samtycket inte getts frivilligt.

1c.  Utan hinder av vad som sägs i de övriga bestämmelserna i denna förordning ska medlemsstaternas rättsliga bestämmelser enligt punkt 1 omfatta minst följande miniminormer:

a)  Anställdas personuppgifter får inte behandlas utan att de anställda känner till det. Utan hinder av vad som sägs i första meningen får medlemsstaterna i lag tillåta denna praxis genom att fastställa lämpliga tidsfrister för radering av uppgifter, om det föreligger faktiska skäl, som måste dokumenteras, att anta att den anställde inom ramen för anställningsförhållandet begått ett brott eller gjort sig skyldig till ett allvarligt åsidosättande av sina skyldigheter och uppgiftsbehandlingen behövs för att frågan ska kunna uppklaras samt slutligen är av ett sådant slag eller har en sådan omfattning att den är nödvändig och proportionerlig i förhållande till ändamålet. Den anställdes privata sfär ska alltid respekteras. Undersökningen ska skötas av den behöriga myndigheten.

b)  Öppen optisk-elektronisk och öppen akustisk-elektronisk övervakning av de delar av ett företag som inte är tillgängliga för allmänheten och som främst används av anställda för privata ändamål ska vara förbjuden; detta gäller i synnerhet toaletter och sanitetsutrymmen, omklädningsrum, pausrum och vilorum. Det får under inga omständigheter vara tillåtet med dold övervakning.

c)  Om företag eller myndigheter i hälsoundersökningar och/eller lämplighetstest samlar in eller behandlar personuppgifter ska de dessförinnan förklara för den sökande eller den anställde för vilka ändamål uppgifterna används och se till att uppgifterna och resultaten i efterhand lämnas till vederbörande samt på begäran förklara deras betydelse. Uppgiftsinsamling som avser genetiska tester och analyser ska i princip vara förbjuden.

d)  Frågan om huruvida och i vilken omfattning det ska vara tillåtet att använda telefon, e-post, internet och andra telekommunikationstjänster också för privata ändamål får regleras genom kollektivavtal. Om det inte föreligger någon reglering genom kollektivavtal ska arbetsgivaren ingå ett avtal om frågan direkt med den anställde. I den mån användning för privata ändamål är tillåten ska behandling av hithörande trafikuppgifter vara tillåten särskilt för att garantera datasäkerheten, för att trygga telekommunikationsnätens och telekommunikationstjänsternas ostörda funktion samt för faktureringsändamål.

Utan hinder av vad som sägs i tredje meningen får medlemsstaterna i lag tillåta denna praxis genom att fastställa lämpliga tidsfrister för radering av uppgifter, om det föreligger faktiska skäl, som måste dokumenteras, att anta att den anställde inom ramen för anställningsförhållandet begått ett brott eller gjort sig skyldig till ett allvarligt åsidosättande av sina skyldigheter och uppgiftsbehandlingen behövs för att frågan ska kunna uppklaras samt slutligen är av ett sådant slag eller har en sådan omfattning att den är nödvändig och proportionerlig i förhållande till ändamålet. Den anställdes privata sfär ska alltid respekteras. Undersökningen ska skötas av den behöriga myndigheten.

e)  Arbetstagares personuppgifter, framförallt känsliga uppgifter som politisk åskådning, medlemskap i fackföreningar och verksamhet i fackföreningar får under inga omständigheter användas för att föra upp arbetstagare på så kallade svarta listor eller för att genomföra personkontroller eller utestänga arbetstagarna från framtida anställning. Det ska vara förbjudet att behandla, använda i anställningssammanhang, upprätta och vidarebefordra svarta listor över anställda och att göra sig skyldig till andra former av diskriminering. Medlemsstaterna ska genomföra kontroller och anta lämpliga sanktioner i enlighet med artikel 79.6 för att se till att denna punkt genomförs på ett effektivt sätt.

1d.  Det ska vara tillåtet att överföra och behandla anställdas personuppgifter mellan juridiskt självständiga företag inom en och samma företagsgrupp och med medverkan av juridiska rådgivare och skatterådgivare om detta är av relevans för driften av affärsverksamheten och används för utförandet av specifika åtgärder eller administrativa förfaranden, förutsatt att det inte strider mot intressen och grundläggande rättigheter för den berörda personen som bör åtnjuta skydd. Om överföringen av anställdas personuppgifter sker till ett tredjeland och/eller till en internationell organisation ska kapitel V tillämpas.

2.  Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt punkterna 1 och 1b, och dessutom utan dröjsmål anmäla senare ändringslagstiftning eller ändringar som rör dessa bestämmelser.

3.  Kommissionen ska ha, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen, ges befogenhet att anta delegerade akter enligt artikel 86 i syfte med avseende på att ytterligare precisera kriterierna och villkoren för de skyddsåtgärder som ska tillämpas vid behandling av personuppgifter för sådana ändamål som anges i punkt 1. [Ändr. 192]

Artikel 82a

Behandling av personuppgifter i socialförsäkringsärenden

1.  Medlemsstaterna får, i enlighet med bestämmelserna i denna förordning, anta särskilda lagstiftningsbestämmelser med närmare villkor för deras offentliga institutioners och avdelningars behandling av personuppgifter i socialförsäkringsärenden om det sker i det allmänna intresset.

2.  Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringar som rör dessa bestämmelser. [Ändr. 193]

Artikel 83

Behandling för historiska, statistiska och vetenskapliga forskningsändamål

1.  Inom ramen för I enlighet med bestämmelserna i denna förordning får personuppgifter behandlas för historiska, statistiska och vetenskapliga forskningsändamål endast under förutsättning att

a)  dessa ändamål inte kan uppfyllas på annat sätt genom behandling av uppgifter som inte medger eller inte längre medger identifiering av den registrerade,

b)  uppgifter som gör det möjligt att hänföra information till en identifierad eller identifierbar registrerad person hålls åtskilda från övrig information så länge som dessa ändamål kan uppfyllas på det sättet på ett sätt som uppfyller högsta tekniska krav, och alla nödvändiga åtgärder vidtas för att förhindra att de registrerade utan tillåtelse kan identifieras igen.

2.  Organ som utför historisk, statistisk eller vetenskaplig forskning får publicera eller avslöja personuppgifter på annat sätt endast under förutsättning att

a)  den registrerade har lämnat sitt samtycket till detta, med förbehåll för villkoren i artikel 7,

b)  offentliggörandet av personuppgifter är nödvändigt för att lägga fram forskningsresultat eller för att underlätta forskning, så länge inte den registrerades intressen eller grundläggande rättigheter och friheter överskuggar dessa intressen,

c)  den registrerade har gjort uppgifterna offentliga.

3.  Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och kraven för behandling av personuppgifter för de ändamål som anges i punkterna 1 och 2 samt eventuella begränsningar av den registrerades rätt till information och tillgång, och att närmare beskriva villkoren och skyddet för den registrerades rättigheter under dessa förhållanden. [Ändr. 194]

Artikel 83a

Arkivtjänsters behandling av personuppgifter

1.  Personuppgifter får, under en längre tid än vad som är nödvändigt för att uppnå syftena med den behandling för vilken uppgifterna samlats in, behandlas av arkivtjänster vilkas huvudsakliga uppgift eller lagstadgade skyldighet är att samla in, lagra, tillhandahålla information om, använda och sprida arkivalier i det allmännas intresse, särskilt för att försvara enskildas rättigheter eller för historiska, statistiska eller vetenskapliga forskningsändamål. Dessa uppdrag ska utföras i enlighet med medlemsstaternas bestämmelser om tillgång till och utlämnande och spridning av administrativa handlingar eller arkivhandlingar och i enlighet med bestämmelserna i denna förordning, särskilt när det gäller samtycke och rätten att göra invändningar.

2.  Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringar som rör dessa bestämmelser. [Ändr. 195]

Artikel 84

Tystnadsplikt

1.  Inom ramen för I enlighet med bestämmelserna i denna förordning får ska medlemsstaterna anta se till att det införs särskilda bestämmelser för att fastställa som fastställer tillsynsmyndigheternas undersökande befogenheter enligt artikel 53.2 53 gentemot registeransvariga eller registerförare som enligt nationell lag eller bestämmelser som fastställts av behöriga nationella organ omfattas av tystnadsplikt eller andra motsvarande former av förbud mot att lämna ut uppgifter, om det är nödvändigt och står i proportion till vad som behövs för att förena rätten till skydd för personuppgifter och tystnadsplikten. Dessa bestämmelser ska endast tillämpas med avseende på personuppgifter som den registeransvarige eller registerföraren har erhållit i samband med en verksamhet som omfattas av denna tystnadsplikt. [Ändr. 196]

2.  Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka bestämmelser den har antagit i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla framtida ändringslagstiftning eller ändringar som rör dessa bestämmelser.

Artikel 85

Befintliga bestämmelser om uppgiftsskydd inom kyrkor och religiösa samfund

1.  Om kyrkor och religiösa samfund eller gemenskaper i en medlemsstat vid tidpunkten för ikraftträdandet av denna förordning tillämpar övergripande adekvata bestämmelser om skyddet av enskilda i samband med behandling av personuppgifter, får sådana befintliga regler fortsätta att tillämpas under förutsättning att de görs förenliga med bestämmelserna i denna förordning.

2.  Kyrkor och religiösa samfund som tillämpar övergripande adekvata bestämmelser i enlighet med punkt 1 ska se till att det finns en oberoende tillsynsmyndighet erhålla ett yttrande över överensstämmelse i enlighet med kapitel VI i denna förordning artikel 38. [Ändr. 197]

Artikel 85a

Respekt för grundläggande rättigheter

Denna förordning får inte medföra ändringar av skyldigheten att respektera de grundläggande rättigheterna och de grundläggande rättsliga principerna i artikel 6 i EU-fördraget. [Ändr. 198]

Artikel 85b

Standardformulär

1.  Kommissionen får, med beaktande av olika sektorers och uppgiftsbehandlingssituationers särdrag och behov, fastställa standardformulär för

a)  särskilda metoder för att erhålla det kontrollerbara samtycke som avses i artikel 8.1,

b)  det meddelande som avses i artikel 12.2, inklusive den elektroniska formen,

c)  tillhandahållande av den information som avses i artikel 14.1–3,

d)  begäran om och beviljande av tillgång till den information som avses i artikel 15.1, även när det gäller att informera den registrerade om personuppgifterna,

e)  den dokumentation som avses i artikel 28.1,

f)  anmälningar av personuppgiftsbrott enligt artikel 31 till tillsynsmyndigheten samt den dokumentation som avses i artikel 31.4,

g)  de förhandssamråd som avses i artikel 34, och för information till tillsynsmyndigheten enligt artikel 34.6.

2.  Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag.

3.  Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2. [Ändr. 199]

KAPITEL X

DELEGERADE AKTER OCH GENOMFÖRANDEAKTER

Artikel 86

Delegeringens utövande

1.  Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

2.  Den delegering av befogenhet som avses i artiklarna 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 13a.5, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 38.4, 39.2, 41.3, 41.5, 43.3, 44.7, 79.6, 79.7, 81.3, och 82.3 och 83.3 ska ges till kommissionen på obestämd tid tills vidare från och med den dag då denna förordning träder i kraft. [Ändr. 200]

3.  Den delegering av befogenhet som avses i artiklarna 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 13a.5, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 38.4, 39.2, 41.3, 41.5, 43.3, 44.7, 79.6, 79.7, 81.3, och 82.3 och 83.3 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft. [Ändr. 201]

4.  Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

5.  En delegerad akt som antas enligt artikel 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 13a.5, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 38.4, 39.2, 41.3, 41.5, 43.3, 44.7, 79.6, 79.7, 81.3, eller 82.3 eller 83.3 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med två månader på Europaparlamentets eller rådets initiativ. [Ändr. 202]

Artikel 87

Kommittéförfarande

1.  Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2.  När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.

3.  När det hänvisas till denna punkt ska artikel 8 i förordning (EU) nr 182/2011, jämförd med artikel 5 i samma förordning, tillämpas. [Ändr. 203]

KAPITEL XI

SLUTBESTÄMMELSER

Artikel 88

Upphävande av direktiv 95/46/EG

1.  Direktiv 95/46/EG ska upphöra att gälla.

2.  Hänvisningar till det upphävda direktivet ska anses som hänvisningar till denna förordning. Hänvisningar till arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, som inrättades genom artikel 29 i direktiv 95/46/EG, ska anses som hänvisningar till Europeiska dataskyddsstyrelsen, som inrättas genom denna förordning.

Artikel 89

Förhållande till och ändring av direktiv 2002/58/EG

1.  Denna förordning ska inte innebära några ytterligare förpliktelser för fysiska eller juridiska personer som behandlar personuppgifter inom ramen för tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster i allmänna kommunikationsnät i unionen, när det gäller områden inom vilka de redan omfattas av särskilda skyldigheter för samma ändamål i enlighet med direktiv 2002/58/EG.

2.  Artikel Artiklarna 1.2, 4 och 15 i direktiv 2002/58/EG ska utgå. [Ändr. 204]

2a.   Kommissionen ska utan dröjsmål och senast den dag som anges i artikel 91.2 lägga fram ett förslag om översyn av regelverket för behandling av personuppgifter och integritetsskydd i elektronisk kommunikation, för att skapa överensstämmelse med denna förordning och för att garantera konsekventa och enhetliga lagstiftningsbestämmelser om den grundläggande rätten till skydd av personuppgifter i unionen. [Ändr. 205]

Artikel 89a

Förhållande till och ändring av förordning (EG) nr 45/2001

1.  Bestämmelserna i denna förordning ska tillämpas på den behandling av personuppgifter som EU:s institutioner, organ och byråer utför avseende ärenden för vilka de inte omfattas av ytterligare bestämmelser enligt förordning (EG) nr 45/2001.

2.  Kommissionen ska utan dröjsmål och senast den dag som anges i artikel 91.2 lägga fram ett förslag om översyn av det regelverk som är tillämpligt på den behandling av personuppgifter som EU:s institutioner, organ och byråer utför. [Ändr. 206]

Artikel 90

Utvärdering

Kommissionen ska regelbundet överlämna rapporter om tillämpningen och översynen av denna förordning till Europaparlamentet och rådet. Den första rapporten ska överlämnas senast fyra år efter det att denna förordning träder i kraft. Därefter ska rapporter överlämnas vart fjärde år. Kommissionen ska om nödvändigt överlämna lämpliga förslag om ändring av denna förordning och om anpassning av andra rättsakter, med särskild hänsyn till informationsteknikens utveckling och mot bakgrund av tendenserna inom informationssamhället. Rapporterna ska offentliggöras.

Artikel 91

Ikraftträdande och tillämpning

1.  Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

2.  Den ska tillämpas från och med ...(20).

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdat i ....

På Europaparlamentets vägnar På rådets vägnar

Ordförande Ordförande

Bilaga – Presentation av de upplysningar som avses i artikel 13a

1.  Med beaktande av de proportioner som avses i punkt 6 ska upplysningarna vara utformade på följande sätt:

2.  Följande ord i raderna i andra kolumnen i tabellen i punkt 1, som benämns ”VÄSENTLIG INFORMATION”, ska anges i fetstil:

a)  Orden ”samlas in” i första raden i andra kolumnen.

b)  Ordet ”bevaras” i andra raden i andra kolumnen.

c)  Ordet ”behandlas” i tredje raden i andra kolumnen.

d)  Orden ”lämnas ut” i fjärde raden i andra kolumnen.

e)  Orden ”säljs eller hyrs ut” i femte raden i andra kolumnen.

f)  Ordet ”okrypterad” i sjätte raden i andra kolumnen.

3.  Med beaktande av de proportioner som avses i punkt 6 ska raderna i tredje kolumnen i tabellen i punkt 1, som benämns ”UPPFYLLT”, innehålla en av följande två grafiska symboler i enlighet med de villkor som anges i punkt 4:

a)

b)

4.  

a)  Om inga personuppgifter samlas in utöver vad som är strikt nödvändigt för varje specifikt ändamål med behandlingen ska första raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 a.

b)  Om personuppgifter samlas in utöver vad som är strikt nödvändigt för varje specifikt ändamål med behandlingen ska första raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 b.

c)  Om inga personuppgifter bevaras utöver vad som är strikt nödvändigt för varje specifikt ändamål med behandlingen ska andra raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 a.

d)  Om personuppgifter bevaras utöver vad som är strikt nödvändigt för varje specifikt ändamål med behandlingen ska andra raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 b.

e)  Om inga personuppgifter behandlas för andra ändamål än dem för vilka de samlades in ska tredje raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 a.

f)  Om personuppgifter behandlas för andra ändamål än dem för vilka de samlades in ska tredje raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 b.

g)  Om inga personuppgifter lämnas ut till kommersiella tredje parter ska fjärde raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 a.

h)  Om personuppgifter lämnas ut till kommersiella tredje parter ska fjärde raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 b.

i)  Om inga personuppgifter säljs eller hyrs ut ska femte raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 a.

j)  Om personuppgifter säljs eller hyrs ut ska femte raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 b.

k)  Om inga personuppgifter bevaras i okrypterad form ska sjätte raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 a.

l)  Om personuppgifter bevaras i okrypterad form ska sjätte raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 b.

5.  Referensfärgerna för de grafiska symbolerna i punkt 1 i Pantone är Black Pantone nr 7547 och Red Pantone nr 485. Referensfärgen för den grafiska symbolen i punkt 3 a i Pantone är Green Pantone nr 370. Referensfärgen för den grafiska symbolen i punkt 3 b i Pantone är Red Pantone nr 485.

6)  De proportioner som anges i nedanstående graderade ritning ska följas, även om tabellen förminskas eller förstoras:

[Ändr. 207]

(1) EUT C 229, 31.7.2012, s. 90. (2) EUT C 192, 30.6.2012, s. 7. (3) Europaparlamentets ståndpunkt av den 12 mars 2014. (4) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31). (5) Kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (EUT L 124, 20.5.2003, s. 36). (6) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1). (7) Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden ("Direktiv om elektronisk handel") (EGT L 178, 17.7.2000, s. 1). (8) Rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal (EGT L 95, 21.4.1993, s. 29). (9) Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet (EUT L 354, 31.12.2008, s. 70). (10) Europaparlamentets och rådets direktiv 2009/38/EG av den 6 maj 2009 om inrättande av ett europeiskt företagsråd eller ett förfarande i gemenskapsföretag och grupper av gemenskapsföretag för information till och samråd med arbetstagare (EUT L 122, 16.5.2009, s. 28). (11) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13). (12) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37). (13) EGT L 176, 10.7.1999, s. 36. (14) EUT L 53, 27.2.2008, s. 52. (15) EUT L 160, 18.6.2011, s. 21. (16) Europaparlamentets och Rådets direktiv 2004/18/EG av den 31 mars 2004 om samordning av förfarandena vid offentlig upphandling av byggentreprenader, varor och tjänster (EUT L 134, 30.4.2004, s. 114). (17) Europaparlamentets och Rådets direktiv 2004/17/EG av den 31 mars 2004 om samordning av förfarandena vid upphandling på områdena vatten, energi, transporter och posttjänster (EUT L 134, 30.4.2004, s. 1). (18) Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43). (19) Europaparlamentets och rådets direktiv 2001/20/EG av den 4 april 2001 om tillnärmning av medlemsstaternas lagar och andra författningar rörande tillämpning av god klinisk sed vid kliniska prövningar av humanläkemedel (EGT L 121, 1.5.2001, s. 34). (20) Två år efter datumet för denna förordnings ikraftträdande.