Procedure : 2012/0011(COD)
Forløb i plenarforsamlingen
Dokumentforløb : A7-0402/2013

Indgivne tekster :

A7-0402/2013

Forhandlinger :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13
PV 13/04/2016 - 15
CRE 13/04/2016 - 15

Afstemninger :

PV 12/03/2014 - 8.5
CRE 12/03/2014 - 8.5

Vedtagne tekster :


BETÆNKNING     ***I
PDF 3324kWORD 4455k
22. november 2013
PE 501.927v02-00 A7-0402/2013

om forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender

Ordfører: Jan Philipp Albrecht

ÆNDRINGSFORSLAG
FORSLAG TIL EUROPA-PARLAMENTETS LOVGIVNINGSMÆSSIGE BESLUTNING
 BEGRUNDELSE
 UDTALELSE fra Udvalget om Beskæftigelse og Sociale Anliggender
 UDTALELSE fra Udvalget om Industri, Forskning og Energi
 UDTALELSE fra Udvalget om det Indre Marked og Forbrugerbeskyttelse
 UDTALELSE fra Retsudvalget
 PROCEDURE

FORSLAG TIL EUROPA-PARLAMENTETS LOVGIVNINGSMÆSSIGE BESLUTNING

om forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

(Almindelig lovgivningsprocedure: Førstebehandling)

Europa-Parlamentet,

–   der henviser til Kommissionens forslag til Europa-Parlamentet og Rådet (COM(2012)0011),

–   der henviser til artikel 294, stk. 2, artikel 16, stk. 2, og artikel 114, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde, på grundlag af hvilke Kommissionen har forelagt forslaget for Parlamentet (C7-0025/2012),

–   der henviser til artikel 294, stk. 3, i traktaten om Den Europæiske Unions funktionsmåde,

–   der henviser til de begrundede udtalelser, som inden for rammerne af protokollen (nr. 2) om anvendelse af nærhedsprincippet og proportionalitetsprincippet er blevet forelagt af det belgiske Repræsentantkammer, det tyske Bundesrat, det franske Senat, det italienske Deputeretkammer og det svenske parlament, ifølge hvilke udkastet til lovgivningsmæssig retsakt ikke overholder nærhedsprincippet,

–   der henviser til udtalelse fra Det Økonomiske og Sociale Udvalg af 23. maj 2012(1),

–   efter høring af Regionsudvalget,

–   der henviser til udtalelse af 7. marts 2012 fra Den Europæiske Tilsynsførende for Databeskyttelse,

–   der henviser til udtalelse af 1. oktober 2012 fra Den Europæiske Unions Agentur for Grundlæggende Rettigheder,

–   der henviser til forretningsordenens artikel 55,

–   der henviser til betænkning fra Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender og udtalelser fra Udvalget om Beskæftigelse og Sociale Anliggender, Udvalget om Industri, Forskning og Energi, Udvalget om det Indre Marked og Forbrugerbeskyttelse og Retsudvalget (A7-0402/2013),

1.  vedtager nedenstående holdning ved førstebehandling;

2.  anmoder om fornyet forelæggelse for Parlamentet, hvis Kommissionen agter at ændre sit forslag væsentligt eller erstatte det med en anden tekst;

3.  pålægger sin formand om at sende Parlamentets holdning til Rådet, Kommissionen og de nationale parlamenter.

Ændringsforslag       1

Forslag til forordning

Betragtning 14

Kommissionens forslag

Ændringsforslag

(14) Denne forordning omhandler ikke spørgsmål vedrørende beskyttelse af grundlæggende rettigheder og frihedsrettigheder eller fri udveksling af data, der vedrører aktiviteter, som falder uden for EU-retten, og den omhandler ikke behandling af personoplysninger, der foretages af Unionens institutioner, organer, kontorer og agenturer, der er omfattet af forordning (EF) nr. 45/200144, eller behandling af personoplysninger, der foretages af medlemsstaterne, når de udfører aktiviteter vedrørende Unionens fælles udenrigs- og sikkerhedspolitik.

(14) Denne forordning omhandler ikke spørgsmål vedrørende beskyttelse af grundlæggende rettigheder og frihedsrettigheder eller fri udveksling af data, der vedrører aktiviteter, som falder uden for EU-retten. Europa-Parlamentets og Rådets forordning (EF) nr. 45/20011 bør rettes ind efter og anvendes i overensstemmelse med denne forordning.

____________

______________

44 EFT L 8 af 12.1.2001, s. 1.

1 Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).

Ændringsforslag  2

Forslag til forordning

Betragtning 15

Kommissionens forslag

Ændringsforslag

(15) Denne forordning bør ikke gælde for en fysisk persons behandling af oplysninger som led i rent personlige eller familiemæssige aktiviteter, som f.eks. korrespondance og udarbejdelse af en adressefortegnelse, som ikke er led i lønnet arbejde og dermed ikke har forbindelse til erhvervsmæssige eller kommercielle aktiviteter. Undtagelsen bør heller ikke gælde for registeransvarlige eller registerførere, som tilvejebringer midlerne til behandling af personoplysninger til sådanne personlige eller familiemæssige aktiviteter.

(15) Denne forordning bør ikke gælde for en fysisk persons behandling af oplysninger som led i rent personlige, familiemæssige eller private aktiviteter, som f.eks. korrespondance og udarbejdelse af en adressefortegnelse eller et privat salg, som dermed ikke har forbindelse til erhvervsmæssige eller kommercielle aktiviteter. Denne forordning bør dog gælde for dataansvarlige og databehandlere, som tilvejebringer midlerne til behandling af personoplysninger til sådanne personlige eller private aktiviteter.

Ændringsforslag  3

Forslag til forordning

Betragtning 18

Kommissionens forslag

Ændringsforslag

(18) Denne forordning giver mulighed for, at der ved gennemførelsen af de principper, der er fastsat heri, kan tages hensyn til princippet om aktindsigt i offentlige dokumenter.

(18) Denne forordning giver mulighed for, at der ved gennemførelsen af de principper, der er fastsat heri, kan tages hensyn til princippet om aktindsigt i offentlige dokumenter. Personoplysninger i dokumenter, som en offentlig myndighed eller et offentligt organ er i besiddelse af, kan videregives af denne myndighed eller dette organ i henhold til EU- eller medlemsstatslovgivning om aktindsigt i offentlige dokumenter, som forener retten til beskyttelse af personoplysninger med retten til aktindsigt i offentlige dokumenter og sikrer, at der er en passende balance mellem de forskellige interesser.

Ændringsforslag  4

Forslag til forordning

Betragtning 20

Kommissionens forslag

Ændringsforslag

(20) For at forhindre, at en fysisk person unddrages den beskyttelse, der sikres ved denne forordning, bør behandling af personoplysninger om registrerede, der er bosiddende i Unionen, som foretages af en registeransvarlig, der ikke er etableret i Unionen, være omfattet af denne forordning, hvis behandlingsaktiviteterne vedrører udbud af varer eller tjenester til sådanne registrerede, eller overvågning af sådanne registreredes adfærd.

(20) For at forhindre, at en fysisk person unddrages den beskyttelse, vedkommende har ret til i henhold til denne forordning, bør behandling af personoplysninger om registrerede, der er bosiddende i Unionen, som foretages af en dataansvarlig, der ikke er etableret i Unionen, være omfattet af denne forordning, hvis behandlingsaktiviteterne vedrører udbud af varer eller tjenester til sådanne registrerede, uanset om disse er forbundet med betaling eller ej, eller overvågning af sådanne registrerede. Med henblik på at fastslå, om en sådan dataansvarlig tilbyder varer eller tjenester til sådanne registrerede i Unionen, bør det fastslås, om det er åbenbart, at den dataansvarlige påtænker at tilbyde tjenesteydelser til registrerede, der er bosiddende i en eller flere af Unionens medlemsstater.

Ændringsforslag  5

Forslag til forordning

Betragtning 21

Kommissionens forslag

Ændringsforslag

(21) For at afgøre, om en behandlingsaktivitet kan betragtes som "overvågning af registreredes adfærd", bør det kontrolleres, om personer spores på internettet ved hjælp af databehandlingsaktiviteter, hvor en "profil" anvendes på en person, navnlig med det formål at træffe beslutninger om den pågældende eller analysere eller forudsige den pågældendes præferencer, adfærd og holdninger.

(21) For at afgøre, om en behandlingsaktivitet kan betragtes som "overvågning af registrerede", bør det kontrolleres, om personer spores, uanset hvor oplysningerne stammer fra, eller om der indsamles andre oplysninger om vedkommende, herunder fra offentlige registre og meddelelser i Unionen, som er tilgængelige uden for Unionen, herunder med henblik brug eller muligheden for senere brug af databehandlingsaktiviteter, hvor der anvendes en "profil", navnlig med det formål at træffe beslutninger om den pågældende eller analysere eller forudsige den pågældendes præferencer, adfærd og holdninger.

Ændringsforslag  6

Forslag til forordning

Betragtning 23

Kommissionens forslag

Ændringsforslag

(23) Principperne om databeskyttelse bør gælde for alle former for oplysninger om en identificeret eller identificerbar person. For at afgøre, om en person er identificerbar, bør alle de hjælpemidler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den registeransvarlige eller af enhver anden person. Beskyttelsesprincipperne bør ikke gælde for oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres.

(23) Principperne om databeskyttelse bør gælde for alle former for oplysninger om en identificeret eller identificerbar fysisk person. For at afgøre, om en person er identificerbar, bør alle de hjælpemidler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere eller udpege den pågældende direkte eller indirekte enten af den dataansvarlige eller af enhver anden person. For at fastslå, om midler med rimelighed kan tænkes bragt i anvendelse til at identificere en fysisk person, bør alle objektive forhold tages i betragtning, såsom omkostningerne ved og den tid, der er nødvendig til identifikationen, under hensyn til såvel den tilgængelige teknologi på behandlingstidspunktet som den teknologiske udvikling. Beskyttelsesprincipperne bør derfor ikke gælde for anonyme oplysninger, som er oplysninger, der ikke relaterer til en identificeret eller identificerbar fysisk person. Denne forordning vedrører derfor ikke behandling af sådanne anonyme oplysninger, herunder til statistiske og forskningsmæssige formål.

Ændringsforslag  7

Forslag til forordning

Betragtning 24

Kommissionens forslag

Ændringsforslag

(24) Når fysiske personer bruger onlinetjenester, kan de forbindes med onlineidentifikatorer, som leveres af deres enheder, applikationer, værktøjer og protokoller, som f.eks. IP-adresser eller cookie-id'er. Dette kan efterlade spor, der kombineret med unikke id'er og andre oplysninger, som serverne modtager, kan bruges til at oprette profiler af de fysiske personer og identificere dem. Id-numre, lokaliseringsdata, online-id'er eller andre specifikke faktorer bør derfor ikke som sådan betragtes som personoplysninger under alle omstændigheder.

(24) Denne forordning finder anvendelse på databehandling, der involverer identifikatorer, som leveres af enheder, applikationer, værktøjer og protokoller, som f.eks. IP-adresser eller cookie-id'er og radiofrekvensidentifikationsmærker, med mindre disse identifikatorer ikke relaterer til en identificeret eller identificerbar person.

Ændringsforslag  8

Forslag til forordning

Betragtning 25

Kommissionens forslag

Ændringsforslag

(25) Der bør gives udtrykkeligt samtykke ved hjælp af en passende metode, der muliggør en frivillig, specifik og informeret viljetilkendegivelse fra den registrerede enten ved en erklæring eller en klar bekræftelse fra den registrerede, for at sikre, at den pågældende er bekendt med, at han eller hun giver sit samtykke til behandlingen af personoplysninger, herunder ved at markere et afkrydsningsfelt, når han eller hun besøger et websted, eller en anden erklæring eller handling, der tydeligt tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed eller inaktivitet kan derfor ikke indebære samtykke. Samtykke bør dække alle behandlingsaktiviteter, der foretages til det eller de samme formål. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, præcis og ikke unødigt forstyrre brugen af den tjeneste, det gives til.

(25) Der bør gives udtrykkeligt samtykke ved hjælp af en passende metode, der muliggør en frivillig, specifik og informeret viljetilkendegivelse fra den registrerede enten ved en erklæring eller en klar bekræftelse, som er resultatet af et valg fra den registreredes side, for at sikre, at den pågældende er bekendt med, at han eller hun giver sit samtykke til behandlingen af personoplysninger. En klar bekræftelse kan f.eks. omfatte markering af et afkrydsningsfelt ved besøg på et websted, eller en anden erklæring eller handling, der i denne forbindelse tydeligt tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, den blotte anvendelse af en tjeneste eller inaktivitet kan derfor ikke indebære samtykke. Samtykke bør dække alle behandlingsaktiviteter, der foretages til det eller de samme formål. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, præcis og ikke unødigt forstyrre brugen af den tjeneste, det gives til.

Ændringsforslag  9

Forslag til forordning

Betragtning 29

Kommissionens forslag

Ændringsforslag

(29) Børn bør nyde særlig beskyttelse af deres personoplysninger, eftersom de ofte er mindre bevidste om risici, konsekvenser, garantier og rettigheder, for så vidt angår behandling af personoplysninger. For at afgøre, om en person er et barn, bør denne forordning benytte definitionen i FN's konvention om barnets rettigheder.

(29) Børn bør nyde særlig beskyttelse af deres personoplysninger, eftersom de ofte er mindre bevidste om risici, konsekvenser, garantier og rettigheder, for så vidt angår behandling af personoplysninger. Hvis databehandling er baseret på samtykke fra den behandledes side i forbindelse med varer eller serviceydelser, der tilbydes direkte til et barn, bør samtykket gives eller godkendes af barnets forælder eller værge i tilfælde, hvor barnet er under 13 år gammelt. Der bør anvendes et alderssvarende sprog, hvis det tilsigtede publikum er børn. Andre kriterier for lovlig behandling, såsom hensynet til samfundets interesse, bør fortsat være gældende, som f.eks. behandling i forbindelse med forebyggende eller rådgivende tjenester, der tilbydes direkte til et barn.

Ændringsforslag  10

Forslag til forordning

Betragtning 31

Kommissionens forslag

Ændringsforslag

(31) For at behandling kan betragtes som lovlig, bør personoplysninger behandles på grundlag af den berørte persons samtykke eller et andet legitimt grundlag, der er fastlagt ved lov enten i denne forordning eller i anden EU-ret eller medlemsstatslovgivning, der henvises til i denne forordning.

(31) For at behandling kan betragtes som lovlig, bør personoplysninger behandles på grundlag af den berørte persons samtykke eller et andet legitimt grundlag, der er fastlagt ved lov enten i denne forordning eller i anden EU-ret eller medlemsstatslovgivning, der henvises til i denne forordning. Hvis der er tale om et barn eller en person, der ikke er myndig, bør relevant EU- eller medlemsstatslovgivning fastsætte de betingelser, hvorunder samtykke gives eller godkendes af denne person.

Ændringsforslag  11

Forslag til forordning

Betragtning 32

Kommissionens forslag

Ændringsforslag

(32) Når behandlingen er baseret på den registreredes samtykke, bør den registeransvarlige bevise, at den registrerede har givet sit samtykke til behandlingen. I forbindelse med navnlig skriftlige erklæringer om andre forhold bør garantier sikre, at den registrerede er bekendt med, at og i hvilket omfang der afgives samtykke.

(32) Når behandlingen er baseret på den registreredes samtykke, bør den dataansvarlige bære bevisbyrden for, at den registrerede har givet sit samtykke til behandlingen. I forbindelse med navnlig skriftlige erklæringer om andre forhold bør garantier sikre, at den registrerede er bekendt med, at der afgives samtykke og med rækkevidden heraf. Med henblik på overholdelse af princippet om dataminimering bør bevisbyrden ikke omfatte positiv identifikation af registrerede, medmindre det er nødvendigt. På linje med de civilretlige bestemmelser (f.eks. Rådets direktiv 93/13/EØF1) bør databeskyttelsespolitikker være så klare og gennemsigtige som muligt. De bør ikke indeholde skjulte eller ufordelagtige bestemmelser. Der kan ikke gives samtykke til behandling af en tredjepersons personoplysninger.

 

1 Rådets direktiv 93/13/EØF af 5. april 1993 om urimelige kontraktvilkår i forbrugeraftaler (EFT L 95 af 21.4.1993, s. 29).

Ændringsforslag  12

Forslag til forordning

Betragtning 33

Kommissionens forslag

Ændringsforslag

(33) For at sikre frivilligt samtykke bør det præciseres, at samtykke ikke udgør et gyldigt retligt grundlag, hvor personen ikke har et reelt og frit valg og efterfølgende ikke kan afvise eller tilbagetrække sit samtykke, uden at det er til skade for den pågældende.

(33) For at sikre frivilligt samtykke bør det præciseres, at samtykke ikke udgør et gyldigt retligt grundlag, hvor personen ikke har et reelt og frit valg og efterfølgende ikke kan afvise eller tilbagetrække sit samtykke, uden at det er til skade for den pågældende. Dette er navnlig tilfældet, hvis databehandleren er en offentlig myndighed, som kan pålægge nogen en forpligtelse i kraft af sine relevante offentligretlige beføjelser, og hvis samtykket ikke kan betragtes som frit afgivet. Standardindstillinger, som den registrerede skal ændre for at gøre indsigelse mod behandlingen, såsom forudmarkerede afkrydsningsfelter, er ikke udtryk for frivilligt samtykke. Samtykke til behandling af supplerende personoplysninger, som ikke er nødvendige for leveringen af en tjenesteydelse, bør ikke være et krav for at benytte ydelsen. Når et samtykke trækkes tilbage, kan det gøre, at en tjenesteydelse, som er afhængig af oplysningerne afbrydes eller ikke gennemføres. Hvis det er uklart, hvornår det ønskede formål er opfyldt, bør den dataansvarlige med jævne mellemrum informere den registrerede om behandlingen og anmode den registrerede om at genbekræfte sit oprindelige samtykke.

Ændringsforslag  13

Forslag til forordning

Betragtning 34

Kommissionens forslag

Ændringsforslag

(34) Samtykke bør ikke udgøre et gyldigt retligt grundlag, hvis der er en klar skævhed mellem den registrerede og den registeransvarlige. Dette er navnlig tilfældet, når den registrerede befinder sig i et afhængighedsforhold til den registeransvarlige, bl.a. når personoplysninger behandles af arbejdsgiveren som led i behandlingen af ansattes personoplysninger i et ansættelsesforhold. Hvis den registeransvarlige er en offentlig myndighed, vil der kun være en skævhed i forbindelse med den specifikke databehandling, hvis den offentlige myndighed som følge af dens relevante offentlige beføjelser kan pålægge en forpligtelse, og samtykket ikke kan skønnes at være afgivet frivilligt under hensyntagen til den registreredes interesser.

udgår

Ændringsforslag  14

Forslag til forordning

Betragtning 36

Kommissionens forslag

Ændringsforslag

(36) Når behandling foretages i overensstemmelse med en retlig forpligtelse, som den registeransvarlige er underlagt, eller når behandling er nødvendig for at udføre en opgave, der udføres i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, bør behandlingen have sit retsgrundlag i EU-retten eller medlemsstatens lovgivning, som opfylder kravene i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt angår enhver begrænsning af rettigheder og frihedsrettigheder. EU-retten eller den nationale lovgivning afgør, hvorvidt den registeransvarlige, der udfører en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, bør være en offentlig myndighed eller en offentligretlig eller privatretlig person, f.eks. en faglig sammenslutning.

(36) Når behandling foretages i overensstemmelse med en retlig forpligtelse, som den dataansvarlige er underlagt, eller når behandling er nødvendig for at udføre en opgave, der udføres i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, bør behandlingen have sit retsgrundlag i EU-retten eller medlemsstatens lovgivning, som opfylder kravene i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt angår enhver begrænsning af rettigheder og frihedsrettigheder. Dette bør også omfatte kollektive aftaler, der bør anerkendes i henhold til national lov som havende generel gyldighed EU-retten eller den nationale lovgivning afgør, hvorvidt den dataansvarlige, der udfører en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, bør være en offentlig myndighed eller en offentligretlig eller privatretlig person, f.eks. en faglig sammenslutning.

Ændringsforslag  15

Forslag til forordning

Betragtning 38

Kommissionens forslag

Ændringsforslag

(38) En registeransvarligs legitime interesser kan udgøre et retligt grundlag for behandling, medmindre den registreredes interesser, grundlæggende rettigheder og frihedsrettigheder går forud herfor. Dette kræver omhyggelig vurdering, navnlig hvis den registrerede er et barn, idet børn bør nyde særlig beskyttelse. Den registrerede bør have ret til at gøre indsigelse mod behandlingen af grunde, der vedrører den pågældendes særlige situation, og uden udgifter. For at sikre gennemsigtigheden bør den registeransvarlige forpligtes til udtrykkeligt at oplyse den registrerede om de legitime interesser, der forfølges, og om retten til indsigelse og til at dokumentere disse legitime interesser. Det er lovgiveren, der i henhold til lovgivningen fastsætter retsgrundlaget for offentlige myndigheders behandling af oplysninger, og derfor bør dette retsgrundlag ikke gælde for den behandling, offentlige myndigheder foretager som led i udførelsen af deres opgaver.

(38) Den dataansvarliges legitime interesser eller – i tilfælde af videregivelse til tredjepart – denne tredjeparts legitime interesser kan udgøre et retligt grundlag for behandling, forsat at de lever op til den registreredes rimelige forventninger på baggrund af hans eller hendes forhold til den dataansvarlige og medmindre den registreredes interesser, grundlæggende rettigheder og frihedsrettigheder går forud herfor. Dette kræver omhyggelig vurdering, navnlig hvis den registrerede er et barn, idet børn bør nyde særlig beskyttelse. Forudsat at den registreredes grundlæggende rettigheder og frihedsrettigheder er ikke går forud herfor, bør behandling, der er begrænset til pseudonyme oplysninger formodes at leve op til den registreredes rimelige forventninger på baggrund af hans eller hendes forhold til den dataansvarlige. Den registrerede bør have ret til at gøre indsigelse mod behandlingen uden udgifter. For at sikre gennemsigtigheden bør den dataansvarlige forpligtes til udtrykkeligt at oplyse den registrerede om de legitime interesser, der forfølges, og om retten til indsigelse og til at dokumentere disse legitime interesser. Den registreredes grundlæggende rettigheder og frihedsrettigheder kan navnlig gå forud for den dataansvarliges interesser, hvis personoplysninger behandles under forhold, hvor registrerede ikke med rimelighed vil forvente yderligere behandling. Det er lovgiveren, der i henhold til lovgivningen fastsætter retsgrundlaget for offentlige myndigheders behandling af oplysninger, og derfor bør dette retsgrundlag ikke gælde for den behandling, offentlige myndigheder foretager som led i udførelsen af deres opgaver.

Ændringsforslag  16

Forslag til forordning

Betragtning 39

Kommissionens forslag

Ændringsforslag

(39) Behandling af oplysninger i det omfang, det er strengt nødvendigt for at sikre net- og informationssikkerhed, dvs. et nets eller et informationssystems evne til på et givet sikkerhedsniveau at modstå hændelige tildragelser eller ulovlige eller skadelige handlinger, som er til fare for tilgængeligheden, autenticiteten, integriteten og fortroligheden af lagrede og videresendte oplysninger, og sikkerheden ved hermed forbundne tjenester udbudt af eller tilgængelige via disse net og systemer, der foretages af offentlige myndigheder, CERT'er (Computer Emergency Response Teams - it-udrykningshold), CSIRT'er (Computer Security Incident Response Teams), udbydere af elektroniske kommunikationsnet og -tjenester og udbydere af sikkerhedsteknologier og -tjenester, udgør en legitim interesse for den berørte registeransvarlige. Behandlingen kunne f.eks. have til formål at forhindre uautoriseret adgang til elektroniske kommunikationsnet og skadelig distribution af koder og at sætte en stopper for målrettede overbelastninger af servere ("denial of service"-angreb) og beskadigelser af computere og elektroniske kommunikationssystemer.

(39) Behandling af oplysninger i det omfang, det er strengt nødvendigt for og tilstrækkeligt til at sikre net- og informationssikkerhed, dvs. et nets eller et informationssystems evne til at modstå hændelige tildragelser eller skadelige handlinger, som er til fare for tilgængeligheden, autenticiteten, integriteten og fortroligheden af lagrede og videresendte oplysninger, og sikkerheden ved hermed forbundne tjenester udbudt af disse net og systemer, der foretages af offentlige myndigheder, CERT'er (Computer Emergency Response Teams - it-udrykningshold), CSIRT'er (Computer Security Incident Response Teams), udbydere af elektroniske kommunikationsnet og -tjenester og udbydere af sikkerhedsteknologier og -tjenester, udgør en legitim interesse for den berørte dataansvarlige. Behandlingen kunne f.eks. have til formål at forhindre uautoriseret adgang til elektroniske kommunikationsnet og skadelig distribution af koder og at sætte en stopper for målrettede overbelastninger af servere ("denial of service"-angreb) og beskadigelser af computere og elektroniske kommunikationssystemer. Dette princip gælder også for behandling af personoplysninger for at begrænse krænkende adgang til og anvendelse af offentligt tilgængelige netværk eller informationssystemer, herunder sortlistning af elektroniske identifikatorer.

Ændringsforslag  17

Forslag til forordning

Betragtning 39 a (ny)

Kommissionens forslag

Ændringsforslag

 

(39a) Forudsat at den registreredes grundlæggende rettigheder og frihedsrettigheder ikke går forud herfor, bør skadesforebyggelse eller -begrænsning fra den dataansvarliges side formodes at være gennemført i den dataansvarliges legitime interesse, eller – i tilfælde af videregivelse til tredjepart – i denne tredjeparts legitime interesse samt at leve op til den registreredes rimelige forventninger på baggrund af hans eller hendes forhold til den dataansvarlige. Samme princip gælder også for håndhævelsen af retskrav over for en registreret, herunder gældsinddrivelse eller civile klage- og retsmidler.

Ændringsforslag  18

Forslag til forordning

Betragtning 39 b (ny)

Kommissionens forslag

Ændringsforslag

 

(39b) Forudsat at den registreredes grundlæggende rettigheder og frihedsrettigheder ikke går forud herfor, bør behandlingen af personoplysninger med henblik på direkte markedsføring af egne eller lignende produkter og tjenesteydelser eller med henblik på direkte markedsføring pr. post formodes at være gennemført i den dataansvarliges legitime interesse, eller – i tilfælde af videregivelse til tredjepart – i denne tredjeparts legitime interesse samt at leve op til den registreredes rimelige forventninger på baggrund af hans eller hendes forhold til den dataansvarlige, hvis der er angivet meget synlige oplysninger om retten til at gøre indsigelse og om kilden til personoplysningerne. Behandling af forretningskontaktoplysninger bør generelt anses for at være gennemført i den dataansvarliges legitime interesse, eller – i tilfælde af videregivelse til tredjepart – i denne tredjeparts legitime interesse samt at leve op til den registreredes rimelige forventninger på baggrund af hans eller hendes forhold til den dataansvarlige. Det samme bør gælde for behandlingen af personoplysninger, som tydeligvis er offentliggjort af den registrerede.

Ændringsforslag  19

Forslag til forordning

Betragtning 40

Kommissionens forslag

Ændringsforslag

(40) Behandlingen af personoplysninger til andre formål bør kun tillades, hvis behandlingen er forenelig med de formål, som oplysningerne oprindelig var indsamlet til, navnlig hvis behandlingen er nødvendig til historiske, statistiske eller videnskabelige forskningsformål. Hvis det andet formål ikke er foreneligt med det formål, som oplysningerne oprindeligt var indsamlet til, bør den registeransvarlige indhente den registreredes samtykke til dette andet formål eller basere behandlingen på en anden legitim grund til lovlig behandling, navnlig hvis det kræves i EU-retten eller medlemsstatens lovgivning, som den registeransvarlige er underlagt. Under alle omstændigheder bør det sikres, at de principper, der fastsættes ved denne forordning, og navnlig den registreredes oplysninger om disse andre formål anvendes.

udgår

Ændringsforslag  20

Forslag til forordning

Betragtning 41

Kommissionens forslag

Ændringsforslag

(41) Personoplysninger, der i kraft af deres karakter er særligt følsomme i forbindelse med grundlæggende rettigheder eller beskyttelse af privatlivets fred, bør nyde særlig beskyttelse. Sådanne oplysninger bør ikke behandles, medmindre den registrerede giver sit udtrykkelige samtykke. Der bør dog udtrykkeligt gives mulighed for undtagelser fra dette forbud for at imødekomme visse behov, navnlig når behandlingen udføres i forbindelse med visse sammenslutningers eller stiftelsers legitime aktiviteter, hvis formål er at sikre udøvelsen af grundlæggende frihedsrettigheder.

udgår

Ændringsforslag  21

Forslag til forordning

Betragtning 42

Kommissionens forslag

Ændringsforslag

(42) Der bør også gives mulighed for at fravige forbuddet mod at behandle følsomme kategorier af data, hvis det sker i henhold til loven og er omfattet af de fornødne garantier, der sikrer beskyttelse af personoplysninger og andre grundlæggende rettigheder, når hensynet til samfundsmæssige interesser berettiger det, navnlig til sundhedsformål, herunder folkesundhed og social sikring samt forvaltning af læge- og sundhedstjenester, for især at sikre kvaliteten og rentabiliteten af de procedurer, der anvendes i forbindelse med ansøgninger om ydelser og tjenester inden for en sygesikringsordning, eller til historiske, statistiske eller videnskabelige forskningsformål.

(42) Der bør også gives mulighed for at fravige forbuddet mod at behandle følsomme kategorier af data, hvis det sker i henhold til loven og er omfattet af de fornødne garantier, der sikrer beskyttelse af personoplysninger og andre grundlæggende rettigheder, når hensynet til samfundsmæssige interesser berettiger det, navnlig til sundhedsformål, herunder folkesundhed og social sikring samt forvaltning af læge- og sundhedstjenester, for især at sikre kvaliteten og rentabiliteten af de procedurer, der anvendes i forbindelse med ansøgninger om ydelser og tjenester inden for en sygesikringsordning, eller til historiske, statistiske og videnskabelige forskningsformål eller for arkivtjenester.

Ændringsforslag  22

Forslag til forordning

Betragtning 45

Kommissionens forslag

Ændringsforslag

(45) Hvis de oplysninger, der behandles af en registeransvarlig, ikke sætter den registeransvarlige i stand til at identificere en fysisk person, bør den registeransvarlige ikke være forpligtet til at indhente yderligere oplysninger for at identificere den registrerede udelukkende med det formål at overholde bestemmelserne i denne forordning. I tilfælde af en anmodning om indsigt bør den registeransvarlige være berettiget til at anmode den registrerede om yderligere oplysninger, således at den registeransvarlig kan finde de personoplysninger, som den pågældende efterspørger

(45) Hvis de oplysninger, der behandles af en dataansvarlig, ikke sætter den dataansvarlige i stand til at identificere en fysisk person, bør den dataansvarlige ikke være forpligtet til at indhente yderligere oplysninger for at identificere den registrerede udelukkende med det formål at overholde bestemmelserne i denne forordning. I tilfælde af en anmodning om indsigt bør den dataansvarlige være berettiget til at anmode den registrerede om yderligere oplysninger, således at den dataansvarlige kan finde de personoplysninger, som den pågældende efterspørger. Hvis det er muligt for den registrerede at fremkomme med sådanne oplysninger, bør dataansvarlige ikke kunne påberåbe sig manglende oplysninger som begrundelse for at afvise en anmodning om adgang.

Ændringsforslag  23

Forslag til forordning

Betragtning 47

Kommissionens forslag

Ændringsforslag

(47) Der bør fastsættes nærmere bestemmelser, som kan lette de registreredes udøvelse af deres rettigheder i overensstemmelse med denne forordning, herunder systemer til gratis at anmode om indsigt, berigtigelse og sletning og til at udøve retten til indsigelse. Den registeransvarlige bør være forpligtet til at besvare sådanne anmodninger fra den registrerede inden for en fast tidsfrist og begrunde det, hvis vedkommende ikke imødekommer den registreredes anmodning.

(47) Der bør fastsættes nærmere bestemmelser, som kan lette de registreredes udøvelse af deres rettigheder i overensstemmelse med denne forordning, herunder systemer til gratis at opnå indsigt, berigtigelse og sletning og til at udøve retten til indsigelse. Den dataansvarlige bør være forpligtet til at besvare sådanne anmodninger fra den registrerede inden for en rimelig tidsfrist og begrunde det, hvis vedkommende ikke imødekommer den registreredes anmodning.

Ændringsforslag  24

Forslag til forordning

Betragtning 48

Kommissionens forslag

Ændringsforslag

(48) Principperne om en loyal og gennemsigtig behandling kræver, at den registrerede informeres om navnlig behandlingens eksistens og dens formål, hvor længe oplysningerne opbevares, retten til indsigt, berigtigelse eller sletning og retten til at indgive klage. Hvis oplysningerne indsamles fra den registrerede, bør den registrerede også oplyses om, hvorvidt han er forpligtet til at afgive sådanne oplysninger, og om konsekvenserne, hvis han ikke afgiver sådanne oplysninger.

(48) Principperne om en loyal og gennemsigtig behandling kræver, at den registrerede informeres om navnlig behandlingens eksistens og dens formål, hvor længe oplysningerne forventes opbevaret til det enkelte formål, hvorvidt oplysningerne videregives til tredjepart eller tredjelande, om eksistensen af foranstaltninger til at gøre indsigelse og om retten til indsigt, berigtigelse eller sletning og retten til at indgive klage. Hvis oplysningerne indsamles fra den registrerede, bør den registrerede også oplyses om, hvorvidt han eller hun er forpligtet til at afgive sådanne oplysninger, og om konsekvenserne, hvis vedkommende ikke afgiver sådanne oplysninger. Disse oplysninger bør afgives til den registrerede, hvilket også kan betyde gøres umiddelbart tilgængelige for vedkommende, efter afgivelse af simplificerede oplysninger i form af standardiserede ikoner. Dette bør også betyde, at personoplysninger behandles på en måde, der giver den registrerede mulighed for at udøve sine rettigheder.

Ændringsforslag  25

Forslag til forordning

Betragtning 50

Kommissionens forslag

Ændringsforslag

(50) Det er imidlertid ikke nødvendigt at pålægge en sådan forpligtelse, hvis den registrerede allerede er bekendt med de registrerede oplysninger, eller hvis registreringen eller videregivelsen udtrykkeligt er fastsat ved lov, eller hvis det viser sig umuligt eller uforholdsmæssigt vanskeligt at underrette den pågældende. Sidstnævnte kan være tilfældet i forbindelse med behandling til historiske, statistiske eller videnskabelige forskningsformål; i denne forbindelse kan der tages hensyn til antallet af registrerede, oplysningernes alder og de kompensatoriske foranstaltninger, der kan træffes.

(50) Det er imidlertid ikke nødvendigt at pålægge en sådan forpligtelse, hvis den registrerede allerede kender de registrerede oplysninger, eller hvis registreringen eller videregivelsen udtrykkeligt er fastsat ved lov, eller hvis det viser sig umuligt eller uforholdsmæssigt vanskeligt at underrette den pågældende.

Ændringsforslag  26

Forslag til forordning

Betragtning 51

Kommissionens forslag

Ændringsforslag

(51) Enhver bør have ret til indsigt i oplysninger, der er indsamlet om den pågældende, og til let at udøve denne ret med henblik på at forvisse sig om oplysningernes eksistens og behandlingens lovlighed. Enhver registreret bør derfor have ret til at kende og blive underrettet om navnlig det formål, hvortil oplysningerne behandles, hvor lang tid de gemmes, og hvem modtagerne af oplysningerne er, den logik, der ligger bag behandlingen af oplysningerne, og om de mulige konsekvenser af denne behandling, i hvert fald når behandlingen er baseret på profilering. Denne ret må ikke krænke andres rettigheder og frihedsrettigheder, herunder forretningshemmeligheder eller den intellektuelle ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af. Dette må dog ikke resultere i, at den registrerede nægtes alle oplysninger.

(51) Enhver bør have ret til indsigt i oplysninger, der er indsamlet om den pågældende, og til let at udøve denne ret med henblik på at forvisse sig om behandlingens lovlighed. Enhver registreret bør derfor have ret til at kende og blive underrettet om navnlig det formål, hvortil oplysningerne behandles, hvor lang tid de forventes gemt, og hvem modtagerne af oplysningerne er, den overordnede logik, der ligger bag behandlingen af oplysningerne, og om de mulige konsekvenser af denne behandling. Denne ret må ikke krænke andres rettigheder og frihedsrettigheder, herunder forretningshemmeligheder eller den intellektuelle ejendomsret, f.eks. i forbindelse med den ophavsret, som programmerne er beskyttet af. Dette må dog ikke resultere i, at den registrerede nægtes alle oplysninger.

Ændringsforslag  27

Forslag til forordning

Betragtning 53

Kommissionens forslag

Ændringsforslag

(53) Enhver person bør have ret til at få berigtiget personoplysninger om vedkommende og "ret til at blive glemt", hvis opbevaringen af sådanne oplysninger ikke er i overensstemmelse med denne forordning. En registreret bør navnlig have ret til at få sine personoplysninger slettet og ikke længere behandlet, hvis oplysningerne ikke længere er nødvendige til de formål, hvortil de blev indsamlet eller på anden måde behandlet, hvis den registrerede har trukket sit samtykke til behandling tilbage, hvis den registrerede gør indsigelse mod behandlingen af personoplysninger om vedkommende, eller hvis behandlingen af vedkommendes personoplysninger i øvrigt ikke er i overensstemmelse med denne forordning. Denne ret er særlig relevant, når den registrerede har givet sit samtykke som barn, da denne ikke fuldt ud var bekendt med risiciene i forbindelse med behandlingen, og senere ønsker at fjerne sådanne personoplysninger, navnlig fra internettet. Yderligere opbevaring af oplysningerne bør dog tillades, hvis det er nødvendigt til historiske, statistiske eller videnskabelige forskningsformål, af hensyn til samfundsinteresser på folkesundhedsområdet, med henblik på at udøve retten til ytringsfrihed, når det kræves i henhold til lovgivningen, eller hvis der er grund til at begrænse behandlingen af oplysninger i stedet for at slette dem.

(53) Enhver person bør have ret til at få berigtiget personoplysninger om vedkommende og "ret til sletning", hvis opbevaringen af sådanne oplysninger ikke er i overensstemmelse med denne forordning. En registreret bør navnlig have ret til at få sine personoplysninger slettet og ikke længere behandlet, hvis oplysningerne ikke længere er nødvendige til de formål, hvortil de blev indsamlet eller på anden måde behandlet, hvis den registrerede har trukket sit samtykke til behandling tilbage, hvis den registrerede gør indsigelse mod behandlingen af personoplysninger om vedkommende, eller hvis behandlingen af vedkommendes personoplysninger i øvrigt ikke er i overensstemmelse med denne forordning. Yderligere opbevaring af oplysningerne bør dog tillades, hvis det er nødvendigt til historiske, statistiske eller videnskabelige forskningsformål, af hensyn til samfundsinteresser på folkesundhedsområdet, med henblik på at udøve retten til ytringsfrihed, når det kræves i henhold til lovgivningen, eller hvis der er grund til at begrænse behandlingen af oplysninger i stedet for at slette dem. Retten til sletning bør heller ikke gælde i de tilfælde, hvor opbevaring af personoplysninger er nødvendig for at opfylde en kontrakt med den registrerede, eller hvor der findes et lovkrav om, at oplysningerne skal opbevares.

Ændringsforslag  28

Forslag til forordning

Betragtning 54

Kommissionens forslag

Ændringsforslag

(54) For at styrke "retten til at blive glemt" i onlinemiljøet bør retten til sletning udvides, så den registeransvarlige, der har offentliggjort personoplysningerne, forpligtes til at underrette tredjeparter, der behandler sådanne oplysninger, om, at en registreret har anmodet dem om at slette alle link til, kopier af eller gengivelser af de pågældende personoplysninger. For at sikre disse oplysninger bør den registeransvarlige træffe alle rimelige foranstaltninger, herunder tekniske foranstaltninger, vedrørende de oplysninger, hvis offentliggørelse den registeransvarlige er ansvarlig for. I forhold til en tredjeparts offentliggørelse af personoplysninger betragtes den registeransvarlige som ansvarlig for offentliggørelsen, hvis den registeransvarlige har godkendt tredjepartens offentliggørelse.

(54) For at styrke "retten til sletning" i onlinemiljøet bør retten til sletning udvides, så en dataansvarlig, der uden retligt grundlag har offentliggjort personoplysningerne, forpligtes til at træffe de foranstaltninger, der er nødvendige for at slette oplysningerne, herunder af tredjepart, uden at dette berører den registreredes ret til at kræve erstatning.

Ændringsforslag  29

Forslag til forordning

Betragtning 54 a (ny)

Kommissionens forslag

Ændringsforslag

 

(54a) Oplysninger, der anfægtes af den registrerede, og hvis rigtighed eller urigtighed ikke kan afgøres, bør spærres, indtil sagen er afklaret.

Ændringsforslag  30

Forslag til forordning

Betragtning 55

Kommissionens forslag

Ændringsforslag

(55) For at give de registrerede øget kontrol over deres egne personoplysninger og deres ret til indsigt bør de, når personoplysninger behandles elektronisk og i et struktureret og almindeligt anvendt format, have ret til at få en kopi af oplysningerne om dem i et almindeligt anvendt elektronisk format. Den registrerede bør også kunne videregive de oplysninger, vedkommende har udleveret, fra en automatisk applikation, f.eks. et socialt netværk, til et andet. Dette bør gælde, hvis den registrerede har udleveret oplysningerne til databehandlingssystemet, baseret på dennes samtykke eller under opfyldelsen af en kontrakt.

(55) For at give de registrerede øget kontrol over deres egne personoplysninger og deres ret til indsigt bør de, når personoplysninger behandles elektronisk og i et struktureret og almindeligt anvendt format, have ret til at få en kopi af oplysningerne om dem i et almindeligt anvendt elektronisk format. Den registrerede bør også kunne videregive de oplysninger, vedkommende har udleveret, fra en automatisk applikation, f.eks. et socialt netværk, til et andet. Dataansvarlige bør tilskyndes til at udvikle interoperable formater, som muliggør dataportabilitet. Dette bør gælde, hvis den registrerede har udleveret oplysningerne til databehandlingssystemet, baseret på dennes samtykke eller under opfyldelsen af en kontrakt. Udbydere af informationssamfundstjenester bør ikke gøre videregivelsen af disse oplysninger til en obligatorisk forudsætning for levering af deres tjenester.

Ændringsforslag  31

Forslag til forordning

Betragtning 56

Kommissionens forslag

Ændringsforslag

(56) Hvis behandlingen af personoplysninger kan udføres fuldt lovligt for at beskytte den registreredes vitale interesser eller af hensyn til samfundsmæssige interesser, af hensyn til offentlig myndighedsudøvelse eller i en registeransvarligs legitime interesse, bør en registreret have ret til at gøre indsigelse mod behandlingen af oplysninger om vedkommende selv. Det bør være den registeransvarlige, der beviser, at dennes legitime interesser har forrang for den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder.

(56) Hvis behandlingen af personoplysninger kan udføres fuldt lovligt for at beskytte den registreredes vitale interesser eller af hensyn til samfundsmæssige interesser, af hensyn til offentlig myndighedsudøvelse eller i en dataansvarligs legitime interesse, bør en registreret alligevel have ret til gratis og på en måde, der let og effektivt kan gøres gældende, at gøre indsigelse mod behandlingen af oplysninger om vedkommende. Det bør være den registeransvarlige, der beviser, at dennes legitime interesser har forrang for den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder.

Ændringsforslag  32

Forslag til forordning

Betragtning 57

Kommissionens forslag

Ændringsforslag

(57) Hvis personoplysninger behandles med henblik på direkte markedsføring, bør den registrerede have ret til gratis og på en måde, der let og effektivt kan gøres gældende, at gøre indsigelse mod en sådan behandling.

(57) Hvis den registrerede har ret til indsigelse, bør den dataansvarlige eksplicit give den registrerede mulighed herfor på en letforståelig måde og i letforståelig form under anvendelse af klart og enkelt sprog og klart adskilt fra de øvrige oplysninger.

Ændringsforslag  33

Forslag til forordning

Betragtning 58

Kommissionens forslag

Ændringsforslag

(58) Enhver fysisk person bør have ret til ikke at blive gjort til genstand for en foranstaltning, der er baseret på profilering ved hjælp af automatisk databehandling. En sådan foranstaltning bør dog tillades, når den udtrykkeligt er tilladt i loven, når den gennemføres som led i indgåelsen eller opfyldelsen af en kontrakt, eller når den registrerede har givet sit samtykke. En sådan behandling bør under alle omstændigheder ledsages af de fornødne garantier, herunder specifik underretning af den registrerede og ret til menneskelig indgriben, og sådanne foranstaltninger må ikke vedrøre et barn.

(58) Uden at dette berører lovligheden af databehandlingen, bør enhver fysisk person have ret til at gøre indsigelse mod profilering. Profilering, der fører til foranstaltninger, der har retsvirkning for den registrerede eller som på lignende betydelig vis indvirker på den pågældende registreredes interesser, rettigheder eller frihedsrettigheder bør kun tillades, når den udtrykkeligt er tilladt i loven, når den gennemføres som led i indgåelsen eller opfyldelsen af en kontrakt, eller når den registrerede har givet sit samtykke. En sådan behandling bør under alle omstændigheder ledsages af de fornødne garantier, herunder specifik underretning af den registrerede og ret til menneskelig vurdering, og sådanne foranstaltninger må ikke vedrøre et barn. Sådanne foranstaltninger må ikke medføre forskelsbehandling af fysiske personer på grundlag af race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, seksuel orientering eller kønsidentitet.

Ændringsforslag  34

Forslag til forordning

Betragtning 58 a (ny)

Kommissionens forslag

Ændringsforslag

 

(58a) Profilering udelukkende på basis af pseudonyme oplysninger bør formodes ikke i betydelig grad at indvirke på den registreredes interesser, frihedsrettigheder eller andre rettigheder. Hvis profilering – uanset om den er baseret på én enkelt kilde af pseudonyme oplysninger eller på sammenlægning af pseudonyme oplysninger fra forskellige kilder – giver den dataansvarlige mulighed for at henføre pseudonyme oplysninger til en bestemt registreret, bør de behandlede oplysninger ikke længer betragtes som pseudomyme.

Ændringsforslag  35

Forslag til forordning

Betragtning 59

Kommissionens forslag

Ændringsforslag

(59) Specifikke principper og retten til oplysninger, til indsigt, berigtigelse og sletning af oplysninger, retten til dataportabilitet, retten til indsigelse, foranstaltninger baseret på profilering og meddelelse af et brud på persondatasikkerheden til en registreret og visse tilknyttede forpligtelser for de registeransvarlige kan indskrænkes af EU-retten eller medlemsstatslovgivning, for så vidt det er nødvendigt og hensigtsmæssigt i et demokratisk samfund og af hensyn til den offentlige sikkerhed, herunder beskyttelse af menneskeliv som reaktion på navnlig naturkatastrofer eller menneskeskabte katastrofer, forebyggelse, efterforskning og retsforfølgning af straffelovsovertrædelser, eller brud på de etiske regler for lovregulerede erhverv, andre af Unionens eller en medlemsstats samfundsinteresser, Unionens eller en medlemsstats væsentlige økonomiske eller finansielle interesser eller beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder. En sådan indskrænkning bør opfylde kravene i Den Europæiske Unions charter om grundlæggende rettigheder og den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder.

(59) Specifikke principper og retten til oplysninger, til berigtigelse og sletning af oplysninger eller retten til indsigt og til at skaffe oplysninger, retten til indsigelse, profilering og meddelelse af et brud på persondatasikkerheden til en registreret og visse tilknyttede forpligtelser for de dataansvarlige kan indskrænkes af EU-retten eller medlemsstatslovgivning, for så vidt det er nødvendigt og hensigtsmæssigt i et demokratisk samfund og af hensyn til den offentlige sikkerhed, herunder beskyttelse af menneskeliv som reaktion på navnlig naturkatastrofer eller menneskeskabte katastrofer, forebyggelse, efterforskning og retsforfølgning af straffelovsovertrædelser, eller brud på de etiske regler for lovregulerede erhverv, andre af Unionens eller en medlemsstats specifikke og veldefinerede samfundsinteresser, navnlig Unionens eller en medlemsstats væsentlige økonomiske eller finansielle interesser eller beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder. En sådan indskrænkning bør opfylde kravene i Den Europæiske Unions charter om grundlæggende rettigheder og den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder.

Ændringsforslag  36

Forslag til forordning

Betragtning 60

Kommissionens forslag

Ændringsforslag

(60) Der bør fastsættes bestemmelser om den registeransvarliges overordnede ansvar, herunder erstatningsansvar, for den behandling af personoplysninger, der foretages af den registeransvarlige eller på vegne af den registeransvarlige. Den registeransvarlige bør navnlig sikre og være forpligtet til at påvise, at hver behandlingsaktivitet gennemføres i overensstemmelse med denne forordning.

(60) Der bør fastsættes bestemmelser om den dataansvarliges overordnede ansvar, herunder erstatningsansvar, for den behandling af personoplysninger, der foretages af den dataansvarlige eller på vegne af den dataansvarlige, navnlig for så vidt angår dokumentation, datasikkerhed, konsekvensanalyse samt den databeskyttelsesansvarlige og databeskyttelsesmyndighedernes tilsyn. Den dataansvarlige bør navnlig sikre og være i stand til at påvise, at hver behandlingsaktivitet gennemføres i overensstemmelse med denne forordning. Dette bør kontrolleres af uafhængige interne eller eksterne revisorer.

Ændringsforslag  37

Forslag til forordning

Betragtning 61

Kommissionens forslag

Ændringsforslag

(61) Beskyttelsen af de registreredes rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger forudsætter, at der træffes de fornødne tekniske og organisatoriske foranstaltninger, både under udformningen af behandlingen og under selve behandlingen, med henblik på at sikre, at denne forordnings krav opfyldes. For at sikre og påvise overensstemmelse med denne forordning bør den registeransvarlige indføre interne regler og gennemføre passende foranstaltninger, som navnlig er i overensstemmelse med principperne om indbygget databeskyttelse og databeskyttelse gennem indstillinger.

(61) Beskyttelsen af de registreredes rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger forudsætter, at der træffes de fornødne tekniske og organisatoriske foranstaltninger, både under udformningen af behandlingen og under selve behandlingen, med henblik på at sikre, at denne forordnings krav opfyldes. For at sikre og påvise overensstemmelse med denne forordning bør den dataansvarlige indføre interne regler og gennemføre passende foranstaltninger, som navnlig er i overensstemmelse med principperne om indbygget databeskyttelse og databeskyttelse gennem indstillinger. Princippet om indbygget databeskyttelse indebærer, at hensynet til databeskyttelse indarbejdes i alle faser af en teknologis livscyklus, fra den første udformning til indførelsen på markedet, brugen og bortskaffelsen. Dette bør også omfatte ansvaret for produkter og tjenesteydelser, der anvendes af den dataansvarlige eller databehandleren. Princippet om databeskyttelse gennem indstillinger kræver privatlivsbeskyttende indstillinger i tjenester og produkter, som bør være i overensstemmelse med de generelle principper om databeskyttelse, f.eks. dataminimering og formålsbegrænsning.

Ændringsforslag  38

Forslag til forordning

Betragtning 62

Kommissionens forslag

Ændringsforslag

(62) Beskyttelsen af registreredes rettigheder og frihedsrettigheder samt registeransvarliges og registerføreres ansvar, også i forbindelse med tilsynsmyndighedernes kontrol og foranstaltninger, kræver en klar fordeling af ansvarsområderne under denne forordning, herunder når en registeransvarlig fastlægger formålene med, betingelserne for og metoderne til behandlingen sammen med andre registeransvarlige, eller når en behandling foretages på vegne af en registeransvarlig.

(62) Beskyttelsen af registreredes rettigheder og frihedsrettigheder samt dataansvarliges og databehandleres ansvar, også i forbindelse med tilsynsmyndighedernes overvågning og foranstaltninger, kræver en klar fordeling af ansvarsområderne under denne forordning, herunder når en dataansvarlig fastlægger formålene med behandlingen sammen med andre dataansvarlige, eller når en behandling foretages på vegne af en dataansvarlig. Aftalen mellem de fælles dataansvarlige bør afspejle de fælles dataansvarliges faktiske roller og forhold. Behandlingen af personoplysninger i henhold til denne forordning bør omfatte en dataansvarligs tilladelse til at videregive oplysninger til en fælles dataansvarlig eller –behandler med henblik på behandling af oplysninger på vedkommendes vegne.

Ændringsforslag  39

Forslag til forordning

Betragtning 63

Kommissionens forslag

Ændringsforslag

(63) Når en registeransvarlig, som ikke er etableret i Unionen, behandler personoplysninger vedrørende registrerede, der er bosiddende i Unionen, og hvis behandlingsaktiviteter vedrører udbud af varer eller tjenester til sådanne registrerede eller overvågning af deres adfærd, bør den registrerede udpege en repræsentant i Unionen, medmindre den registeransvarlige er etableret i et tredjeland, som sikrer et tilstrækkeligt beskyttelsesniveau, eller den registeransvarlige er en lille eller mellemstor virksomhed, en offentlig myndighed eller et offentligt organ, eller den registeransvarlige kun lejlighedsvis udbyder varer eller tjenester til sådanne registrerede. Repræsentanten handler på den registeransvarliges vegne og kan kontaktes af tilsynsmyndigheden.

(63) Når en dataansvarlig, som ikke er etableret i Unionen, behandler personoplysninger vedrørende registrerede, der er bosiddende i Unionen, bør den registrerede udpege en repræsentant i Unionen, medmindre den dataansvarlige er etableret i et tredjeland, som sikrer et tilstrækkeligt beskyttelsesniveau, eller behandlingen vedrører færre end 5 000 registrerede over en sammenhængende periode på 12 måneder og ikke gennemføres på en særlig kategori af personoplysninger, eller er en offentlig myndighed eller et offentligt organ, eller den dataansvarlige kun lejlighedsvis udbyder varer eller tjenester til sådanne registrerede. Repræsentanten bør handle på den dataansvarliges vegne og kan kontaktes af tilsynsmyndigheden.

Ændringsforslag  40

Forslag til forordning

Betragtning 64

Kommissionens forslag

Ændringsforslag

(64) For at afgøre, om en registeransvarlig kun lejlighedsvis udbyder varer eller tjenester til registrerede med bopæl i Unionen, bør det kontrolleres, om det fremgår af den registeransvarliges overordnede aktiviteter, at udbuddet af varer eller tjenester til sådanne registrerede er en aktivitet i tilknytning til hovedaktiviteterne.

(64) For at afgøre, om en dataansvarlig kun lejlighedsvis udbyder varer eller tjenester til registrerede i Unionen, bør det kontrolleres, om det fremgår af den dataansvarliges overordnede aktiviteter, at udbuddet af varer eller tjenester til sådanne registrerede er en aktivitet i tilknytning til hovedaktiviteterne.

Ændringsforslag  41

Forslag til forordning

Betragtning 65

Kommissionens forslag

Ændringsforslag

(65) For at påvise overensstemmelse med denne forordning bør den registeransvarlige eller registerføreren dokumentere hver behandlingsaktivitet. Hver registeransvarlig og registerfører bør have pligt til at samarbejde med tilsynsmyndigheden og efter anmodning stille denne dokumentation til rådighed for tilsynsmyndigheden, så den kan bruges til at kontrollere sådan behandling.

(65) For at kunne påvise overensstemmelse med denne forordning bør den dataansvarlige eller databehandleren bevare den dokumentation, der er nødvendig for at leve op til kravene i denne forordning. Hver dataansvarlig og databehandler bør have pligt til at samarbejde med tilsynsmyndigheden og efter anmodning stille denne dokumentation til rådighed for tilsynsmyndigheden, så den kan bruges til at vurdere overholdelsen af denne forordning. Der bør imidlertid lægges ligelig vægt på god praksis og forenelighed og ikke kun på tilvejebringelse af dokumentation.

Ændringsforslag  42

Forslag til forordning

Betragtning 66

Kommissionens forslag

Ændringsforslag

(66) For at opretholde sikkerheden og forhindre behandling i strid med denne forordning bør den registeransvarlige eller registerføreren vurdere de risici, som behandlingen indebærer, og gennemføre foranstaltninger, der kan mindske disse risici. Disse foranstaltninger bør under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til risiciene og karakteren af de oplysninger, der bør beskyttes. Kommissionen bør ved fastsættelsen af tekniske standarder og organisatoriske foranstaltninger for at sikre databehandlingssikkerheden fremme teknologisk neutralitet, interoperabilitet og innovation og, når det er relevant, samarbejde med tredjelande.

(66) For at opretholde sikkerheden og forhindre behandling i strid med denne forordning bør den dataansvarlige eller databehandleren vurdere de risici, som behandlingen indebærer, og gennemføre foranstaltninger, der kan mindske disse risici. Disse foranstaltninger bør under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til risiciene og karakteren af de oplysninger, der bør beskyttes. Ved fastsættelsen af tekniske standarder og organisatoriske foranstaltninger til at sikre databehandlingssikkerheden bør teknologisk neutralitet, interoperabilitet og innovation fremmes og, når det er relevant, bør samarbejde med tredjelande befordres.

 

Ændringsforslag  43

Forslag til forordning

Betragtning 67

Kommissionens forslag

Ændringsforslag

(67) Et brud på persondatasikkerheden kan, hvis det ikke afhjælpes tilstrækkeligt og rettidigt, påføre den berørte person betydelige økonomiske tab og sociale problemer, herunder identitetsbedrageri. Så snart den registeransvarlige bliver bekendt med, at et sådant brud har fundet sted, bør vedkommende anmelde bruddet til tilsynsmyndigheden uden unødig forsinkelse og om muligt inden for 24 timer. Hvis dette ikke kan nås inden for 24 timers, bør anmeldelsen ledsages af en begrundelse for forsinkelsen. Fysiske personer, hvis personoplysninger kan blive krænket af bruddet, bør underrettes uden unødig forsinkelse, så de kan træffe de nødvendige forholdsregler. Et brud bør betragtes som krænkende for en registrerets personoplysninger eller beskyttelsen af vedkommendes privatliv, hvis det kan indebære f.eks. identitetstyveri eller svig, fysisk skade, betydelig tort eller skade af omdømme. Underretningen bør beskrive arten af bruddet på persondatasikkerheden og indeholde anbefalinger til den berørte person med henblik på at afhjælpe de mulige skadevirkninger. Underretninger til registrerede bør gives så snart, det er rimeligt muligt, og i tæt samarbejde med tilsynsmyndigheden og bør overholde retningslinjer, der er givet af denne eller andre relevante myndigheder (f.eks. de retshåndhævende myndigheder). Registreredes mulighed for at afhjælpe en umiddelbar risiko for skade kræver f.eks. omgående underretning af de registrerede, mens behovet for at gennemføre fornødne foranstaltninger mod fortsatte eller lignende brud kan begrunde en længere forsinkelse.

(67) Et brud på persondatasikkerheden kan, hvis det ikke afhjælpes tilstrækkeligt og rettidigt, påføre den berørte person betydelige økonomiske tab og sociale problemer, herunder identitetsbedrageri. Den dataansvarlige bør derfor anmelde bruddet til tilsynsmyndigheden uden unødig forsinkelse, hvilket bør anses for at være senest inden for 72 timer. Hvis det bliver aktuelt, bør anmeldelsen ledsages af en begrundelse for forsinkelsen. Fysiske personer, hvis personoplysninger kan blive krænket af bruddet, bør underrettes uden unødig forsinkelse, så de kan træffe de nødvendige forholdsregler. Et brud bør betragtes som krænkende for en registrerets personoplysninger eller beskyttelsen af vedkommendes privatliv, hvis det kan indebære f.eks. identitetstyveri eller svig, fysisk skade, betydelig tort eller skade af omdømme. Underretningen bør beskrive arten af bruddet på persondatasikkerheden og indeholde anbefalinger til den berørte person med henblik på at afhjælpe de mulige skadevirkninger. Underretninger til registrerede bør gives så snart, det er rimeligt muligt, og i tæt samarbejde med tilsynsmyndigheden og bør overholde retningslinjer, der er givet af denne eller andre relevante myndigheder (f.eks. de retshåndhævende myndigheder). Registreredes mulighed for at afhjælpe en umiddelbar risiko for skade kræver f.eks. omgående underretning af de registrerede, mens behovet for at gennemføre fornødne foranstaltninger mod fortsatte eller lignende brud kan begrunde en længere forsinkelse.

Ændringsforslag  44

Forslag til forordning

Betragtning 71 a (ny)

Kommissionens forslag

Ændringsforslag

 

(71a) Konsekvensanalyser udgør et centralt element i enhver bæredygtig databeskyttelsesramme og sikrer, at virksomhederne fra start af får kendskab til de mulige konsekvenser af deres databehandlingsaktiviteter. Hvis konsekvensanalyserne gennemføres grundigt, kan brud på datasikkerheden eller midler, der griber ind i privatlivets fred, begrænses betydeligt. Konsekvensanalyserne vedrørende databeskyttelse bør følgelig vedrøre hele livscyklussen for behandlingen af personoplysninger, fra indsamling over behandling til sletning, og bør i detaljer beskrive den planlagte behandling, risiciene for registreredes rettigheder og frihedsrettigheder samt de foranstaltninger, der er indført med henblik på at afhjælpe disse risici, samt garantier, sikkerhedsforanstaltninger og mekanismer, der skal sikre overensstemmelse med denne forordning.

Ændringsforslag  45

Forslag til forordning

Betragtning 71 b (ny)

Kommissionens forslag

Ændringsforslag

 

(71b) De dataansvarlige bør fokusere på beskyttelse af personoplysninger i alle faser af et produkts livscyklus, fra indsamling over behandling til sletning, ved fra starten at sikre en bæredygtig dataforvaltningsramme og ved at følge op med en omfattende overholdelsesmekanisme.

Ændringsforslag  46

Forslag til forordning

Betragtning 73

Kommissionens forslag

Ændringsforslag

(73) Konsekvensanalyser vedrørende databeskyttelse bør foretages af en offentlig myndighed eller et offentligt organ, hvis en sådan analyse ikke allerede er blevet foretaget i forbindelse med vedtagelsen af den nationale lovgivning, der udgør grundlaget for den offentlige myndigheds eller det offentlige organs udøvelse af opgaver, og som regulerer den pågældende specifikke behandling.

udgår

Ændringsforslag  47

Forslag til forordning

Betragtning 74

Kommissionens forslag

Ændringsforslag

(74) Hvis en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen involverer en høj grad af specifikke risici for registreredes rettigheder og frihedsrettigheder, som f.eks. at personer fratages en rettighed, eller ved brug af bestemte nye teknologier, bør tilsynsmyndigheden inden iværksættelse af behandlingsaktiviteter høres om en risikobehæftet behandling, der muligvis ikke er i overensstemmelse med denne forordning, og bør fremsætte forslag om afhjælpning af en sådan situation. En sådan høring bør ligeledes gennemføres som led i udarbejdelsen af en lovgivningsmæssig foranstaltning, der vedtages af det nationale parlament, eller af en anden foranstaltning med hjemmel i en sådan lovgivningsmæssig foranstaltning, som fastlægger karakteren af behandlingen og indfører de fornødne garantier.

(74) Hvis en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen involverer en høj grad af specifikke risici for registreredes rettigheder og frihedsrettigheder, som f.eks. at personer fratages en rettighed, eller ved brug af bestemte nye teknologier, bør den databeskyttelsesansvarlige eller tilsynsmyndigheden inden iværksættelse af behandlingsaktiviteter høres om en risikobehæftet behandling, der muligvis ikke er i overensstemmelse med denne forordning, og bør fremsætte forslag om afhjælpning af en sådan situation. En høring af tilsynsmyndigheden bør ligeledes gennemføres som led i udarbejdelsen af en lovgivningsmæssig foranstaltning, der vedtages af det nationale parlament, eller af en anden foranstaltning med hjemmel i en sådan lovgivningsmæssig foranstaltning, som fastlægger karakteren af behandlingen og indfører de fornødne garantier.

Ændringsforslag  48

Forslag til forordning

Betragtning 74 a (ny)

Kommissionens forslag

Ændringsforslag

 

(74a) Konsekvensanalyser er kun nyttige, hvis de dataansvarlige sikrer, at de overholder de løfter, der oprindeligt blev fastlagt i dem. De dataansvarlige bør derfor med jævne mellemrum gennemføre en evaluering af opfyldelsen af kravene til databeskyttelse, der skal vise, at de databehandlingsmekanismer, der er oprettet, overholder de forsikringer, der blev fastlagt i konsekvensanalysen vedrørende databeskyttelse. Den skal ligeledes demonstrere den dataansvarliges evne til at respektere den registreredes egne valg. Hvis undersøgelsen påviser mangel på konsekvens i overholdelse, bør dette desuden fremhæves, og der bør fremsættes anbefalinger, som kan sikre fuldstændig overholdelse.

Ændringsforslag  49

Forslag til forordning

Betragtning 75

Kommissionens forslag

Ændringsforslag

(75) Hvis behandlingen foretages i den offentlige sektor, eller hvis behandlingen i den private sektor foretages af en stor virksomhed, eller hvis virksomhedens kerneaktiviteter - uanset dens størrelse - omfatter behandling, som kræver regelmæssig og systematisk overvågning, bør en person hjælpe den registeransvarlige eller registerføreren med at kontrollere, at denne forordning overholdes internt. Den person, der har ansvar for databeskyttelse, bør, uanset om han er ansat hos den registeransvarlige eller ej, være i stand til at udøve sit hverv i fuld uafhængighed.

(75) Hvis behandlingen foretages i den offentlige sektor, eller hvis behandlingen i den private sektor omfatter mere end 5000 registrerede i løbet af en periode på 12 måneder, eller hvis virksomhedens kerneaktiviteter - uanset dens størrelse - omfatter behandling af følsomme oplysninger eller behandlinger, som kræver regelmæssig og systematisk overvågning, bør en person hjælpe den dataansvarlige eller databehandleren med at kontrollere, at denne forordning overholdes internt. Når det fastslås, om der behandles oplysninger vedrørende et stort antal registrerede, bør arkiverede oplysninger, som er begrænset således, at de ikke er underlagt den dataansvarliges normale procedure for dataadgang og -behandling og ikke længere kan ændres, ikke medtages. Den person, der har ansvar for databeskyttelse, bør, uanset om han eller hun er ansat hos den dataansvarlige eller ej, og uanset om vedkommende udøver sit hverv på fuldtid, være i stand til at udøve sit hverv i fuld uafhængighed og nyde godt af en særlig opsigelsesbeskyttelse. Det endelige ansvar bør ligge hos organisationens ledelse. Den databeskyttelsesansvarlige bør navnlig høres forud for udformningen, indkøbet, udviklingen og oprettelsen af systemer til automatisk behandling af personoplysninger for at sikre principperne om indbygget databeskyttelse og databeskyttelse gennem indstillinger.

Ændringsforslag  50

Forslag til forordning

Betragtning 75 a (ny)

Kommissionens forslag

Ændringsforslag

 

(75a) Den databeskyttelsesansvarlige bør mindst besidde følgende kvalifikationer: omfattende viden om databeskyttelseslovgivningens indhold og anvendelse, herunder tekniske og organisatoriske foranstaltninger og procedurer; kendskab til de tekniske krav til indbygget databeskyttelse, databeskyttelse gennem indstillinger og datasikkerhed; virksomhedsspecifik viden i overensstemmelse med den dataansvarliges eller databehandlerens størrelse og oplysningernes følsomhed; evnen til at gennemføre inspektioner, høringer, dokumentation og logfilanalyser og evnen til at samarbejde med medarbejderrepræsentationer. Den dataansvarlige bør give den databeskyttelsesansvarlige mulighed for at deltage i videreuddannelseskurser for at vedligeholde den specialviden, der er nødvendig for udførelsen af hans eller hendes opgaver. Udpegelsen som databeskyttelsesansvarlig kræver ikke nødvendigvis fuldtidsbeskæftigelse af den pågældende medarbejder.

 

Ændringsforslag  51

Forslag til forordning

Betragtning 76

Kommissionens forslag

Ændringsforslag

(76) Sammenslutninger eller andre organer, der repræsenterer kategorier af registeransvarlige, bør opfordres til at udarbejde adfærdskodekser inden for rammerne af denne forordning med henblik på at fremme den effektive anvendelse af denne forordning under hensyntagen til de særlige former for behandling, der foretages i visse sektorer.

(76) Sammenslutninger eller andre organer, der repræsenterer kategorier af dataansvarlige, bør opfordres til efter høring af medarbejderrepræsentanterne at udarbejde adfærdskodekser inden for rammerne af denne forordning med henblik på at fremme den effektive anvendelse af denne forordning under hensyntagen til de særlige former for behandling, der foretages i visse sektorer. Sådanne kodekser burde gøre det lettere for erhvervslivet at overholde bestemmelserne i nærværende forordning.

Ændringsforslag  52

Forslag til forordning

Betragtning 77

Kommissionens forslag

Ændringsforslag

(77) For at forbedre gennemsigtigheden og overholdelsen af denne forordning bør fastlæggelsen af certificeringsordninger og databeskyttelsesmærkninger og -mærker fremmes, så registrerede hurtigt kan vurdere databeskyttelsesniveauet i forbindelse med relevante produkter og tjenester.

(77) For at forbedre gennemsigtigheden og overholdelsen af denne forordning bør fastlæggelsen af certificeringsordninger og databeskyttelsesmærkninger og standardiserede mærker fremmes, så registrerede hurtigt, pålideligt og beviseligt kan vurdere databeskyttelsesniveauet i forbindelse med relevante produkter og tjenester. Der bør indføres en europæisk databeskyttelsesmærkning for at skabe tillid blandt de registrerede, sikre juridisk sikkerhed for dataansvarlige og samtidig udbrede de europæiske databeskyttelsesstandarder ved at gøre det lettere for ikke-europæiske virksomheder at komme ind på de europæiske markeder og opnå certificering.

Ændringsforslag  53

Forslag til forordning

Betragtning 79

Kommissionens forslag

Ændringsforslag

(79) Denne forordning berører ikke internationale aftaler indgået mellem Unionen og tredjelande om videregivelse af personoplysninger, herunder de fornødne garantier for registrerede.

(79) Denne forordning berører ikke internationale aftaler indgået mellem Unionen og tredjelande om videregivelse af personoplysninger, herunder de fornødne garantier for registrerede, som sikrer et tilstrækkeligt beskyttelsesniveau for borgernes grundlæggende rettigheder.

Ændringsforslag  54

Forslag til forordning

Betragtning 80

Kommissionens forslag

Ændringsforslag

(80) Kommissionen kan med virkning for hele Unionen fastslå, at visse tredjelande, et område, en behandlingssektor i et tredjeland eller en international organisation har et tilstrækkeligt databeskyttelsesniveau, og dermed skabe retssikkerhed og ensartethed i hele Unionen, hvad angår tredjelande eller internationale organisationer, der vurderes at tilbyde et sådant beskyttelsesniveau. I disse tilfælde kan personoplysninger videregives til disse lande uden krav om yderligere godkendelse.

(80) Kommissionen kan med virkning for hele Unionen fastslå, at visse tredjelande, et område, en behandlingssektor i et tredjeland eller en international organisation har et tilstrækkeligt databeskyttelsesniveau, og dermed skabe retssikkerhed og ensartethed i hele Unionen, hvad angår tredjelande eller internationale organisationer, der vurderes at tilbyde et sådant beskyttelsesniveau. Kommissionen kan, efter at have varslet og fyldestgørende begrundet det over for tredjelandet, desuden beslutte at tilbagekalde en sådan beslutning

Ændringsforslag  55

Forslag til forordning

Betragtning 82

Kommissionens forslag

Ændringsforslag

(82) Kommissionen kan ligeledes fastslå, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation ikke har et tilstrækkeligt databeskyttelsesniveau. Som følge deraf bør videregivelsen af personoplysninger til det pågældende tredjeland forbydes. Der bør fastlægges bestemmelser for procedurer for forhandling mellem Kommissionen og sådanne tredjelande eller internationale organisationer.

(82) Kommissionen kan ligeledes fastslå, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation ikke har et tilstrækkeligt databeskyttelsesniveau. En lovgivning, som giver ekstraterritorial adgang til personoplysninger, der behandles i Unionen, uden tilladelse i henhold til EU-lovgivningen eller en medlemsstats lovgivning, bør anses for en indikation på et utilstrækkeligt niveau. Som følge deraf bør videregivelsen af personoplysninger til det pågældende tredjeland forbydes. Der bør fastlægges bestemmelser for procedurer for forhandling mellem Kommissionen og sådanne tredjelande eller internationale organisationer.

Ændringsforslag  56

Forslag til forordning

Betragtning 83

Kommissionens forslag

Ændringsforslag

(83) Hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, bør den registeransvarlige eller registerføreren iværksætte foranstaltninger, som kan kompensere for den manglende beskyttelse i tredjelandet, i form af de fornødne garantier for den registrerede. Sådanne fornødne garantier kan bestå af anvendelse af bindende virksomhedsregler, standardbestemmelser om databeskyttelse vedtaget af Kommissionen, standardbestemmelser om databeskyttelse vedtaget af en tilsynsmyndighed eller kontraktbestemmelser godkendt af en tilsynsmyndighed eller andre passende og forholdsmæssige foranstaltninger, der er begrundet af omstændighederne ved en videregivelse af personoplysninger eller en serie af videregivelser af personoplysninger, og som er godkendt af en tilsynsmyndighed.

(83) Hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, bør den dataansvarlige eller databehandleren iværksætte foranstaltninger, som kan kompensere for den manglende beskyttelse i tredjelandet, i form af de fornødne garantier for den registrerede. Sådanne fornødne garantier kan bestå af anvendelse af bindende virksomhedsregler, standardbestemmelser om databeskyttelse vedtaget af Kommissionen, standardbestemmelser om databeskyttelse vedtaget af en tilsynsmyndighed eller kontraktbestemmelser godkendt af en tilsynsmyndighed. De passende foranstaltninger skal give de registrerede samme rettigheder, som gives i forbindelse med den interne behandling i EU, navnlig vedrørende formålsbegrænsning og retten til indsigt, berigtigelse, sletning og erstatning. Disse garantier bør navnlig sikre overholdelsen af principperne for behandling af personoplysninger, sikre registreredes rettigheder og sikre effektiv klageadgang samt sikre overholdelse af principperne om indbygget databeskyttelse og databeskyttelse gennem indstillinger og sikre tilstedeværelsen af en databeskyttelsesansvarlig.

Ændringsforslag  57

Forslag til forordning

Betragtning 84

Kommissionens forslag

Ændringsforslag

(84) Den registeransvarliges eller registerførerens mulighed for at bruge standardbestemmelser om databeskyttelse vedtaget af Kommissionen eller af en tilsynsmyndighed, bør ikke udelukke muligheden for, at den registeransvarlige eller registerføreren medtager standardbestemmelser om databeskyttelse i en bredere kontrakt eller medtager andre bestemmelser, såfremt de hverken direkte eller indirekte er i strid med de standardkontraktbestemmelser, der er vedtaget af Kommissionen eller en tilsynsmyndighed, eller berører de registreredes grundlæggende rettigheder eller frihedsrettigheder.

(84) Den dataansvarliges eller databehandlerens mulighed for at bruge standardbestemmelser om databeskyttelse vedtaget af Kommissionen eller af en tilsynsmyndighed, bør ikke udelukke muligheden for, at den dataansvarlige eller databehandleren medtager standardbestemmelser om databeskyttelse i en bredere kontrakt eller medtager andre bestemmelser eller supplerende garantier, såfremt de hverken direkte eller indirekte er i strid med de standardkontraktbestemmelser, der er vedtaget af Kommissionen eller en tilsynsmyndighed, eller berører de registreredes grundlæggende rettigheder eller frihedsrettigheder. De standardbestemmelser om databeskyttelse, som Kommissionen vedtager, kan dække forskellige situationer, navnlig videregivelse af oplysninger fra dataansvarlige, der er etableret i Den Europæiske Union, til dataansvarlige, der er etableret uden for Den Europæiske Union, og fra dataansvarlige, der er etableret i Den Europæiske Union, til databehandlere, herunder underleverandører, der er etableret uden for Den Europæiske Union. Dataansvarlige og –behandlere bør tilskyndes til at tilvejebringe endnu mere holdbare garantier gennem yderligere kontaktmæssige forpligtelser, der supplerer standardbeskyttelsesbestemmelserne.

Ændringsforslag  58

Forslag til forordning

Betragtning 85

Kommissionens forslag

Ændringsforslag

(85) En koncern bør kunne benytte godkendte bindende virksomhedsregler for sine internationale videregivelser fra Unionen til organisationer inden for samme koncern, såfremt sådanne virksomhedsregler omfatter væsentlige principper og rettigheder, der kan håndhæves, med henblik på at sikre de fornødne garantier for videregivelser eller kategorier af videregivelser af personoplysninger.

(85) En koncern bør kunne benytte godkendte bindende virksomhedsregler for sine internationale videregivelser fra Unionen til organisationer inden for samme koncern, såfremt sådanne virksomhedsregler omfatter alle væsentlige principper og rettigheder, der kan håndhæves, med henblik på at sikre de fornødne garantier for videregivelser eller kategorier af videregivelser af personoplysninger.

Ændringsforslag  59

Forslag til forordning

Betragtning 86

Kommissionens forslag

Ændringsforslag

(86) Videregivelse bør tillades under bestemte omstændigheder, hvor den registrerede har meddelt sit samtykke, hvor videregivelsen er nødvendig i forbindelse med en kontrakt eller et retskrav, hvor beskyttelsen af væsentlige samfundsinteresser i henhold til EU-retten eller medlemsstatslovgivning kræver det, eller hvor videregivelsen sker fra et register, der er oprettet ved lov, og som offentligheden eller personer med en legitim interesse heri bør kunne konsultere. I sidstnævnte tilfælde bør en sådan videregivelse ikke omfatte alle oplysningerne eller hele kategorier af oplysninger i dette register, og når et register er beregnet til at blive konsulteret af personer, der har en legitim interesse heri, bør videregivelse kun ske på anmodning af disse personer, eller hvis de selv er modtageren.

(86) Videregivelse bør tillades under bestemte omstændigheder, hvor den registrerede har meddelt sit samtykke, hvor videregivelsen er nødvendig i forbindelse med en kontrakt eller et retskrav, hvor beskyttelsen af væsentlige samfundsinteresser i henhold til EU-retten eller medlemsstatslovgivning kræver det, eller hvor videregivelsen sker fra et register, der er oprettet ved lov, og som offentligheden eller personer med en legitim interesse heri bør kunne konsultere. I sidstnævnte tilfælde bør en sådan videregivelse ikke omfatte alle oplysningerne eller hele kategorier af oplysninger i dette register, og når et register er beregnet til at blive konsulteret af personer, der har en legitim interesse heri, bør videregivelse kun ske på anmodning af disse personer, eller hvis de selv er modtageren, samtidig med at der fuldt ud tages hensyn til den registreredes interesser og grundlæggende rettigheder.

Ændringsforslag  60

Forslag til forordning

Betragtning 87

Kommissionens forslag

Ændringsforslag

(87) Disse undtagelser bør navnlig gælde for videregivelse af oplysninger, der udføres af hensyn til vigtige samfundsinteresser, f.eks. ved international udveksling af oplysninger mellem konkurrencemyndigheder, skatte- eller toldforvaltninger, finansielle tilsynsmyndigheder, socialsikringsmyndigheder eller de kompetente myndigheder for forebyggelse, efterforskning, opdagelse og retsforfølgning af straffelovsovertrædelser.

(87) Disse undtagelser bør navnlig gælde for videregivelse af oplysninger, der udføres af hensyn til vigtige samfundsinteresser, f.eks. ved international udveksling af oplysninger mellem konkurrencemyndigheder, skatte- eller toldforvaltninger, finansielle tilsynsmyndigheder, socialsikrings- eller folkesundhedsmyndigheder eller de kompetente offentlige myndigheder for forebyggelse, efterforskning, opdagelse og retsforfølgning af straffelovsovertrædelser, herunder forebyggelse af hvidvaskning af penge og bekæmpelse af finansiering af terrorisme. Videregivelse af personoplysninger bør ligeledes anses for lovlig, hvis den er nødvendig for at beskytte et hensyn af fundamental betydning for den registreredes eller en anden persons liv, og den registrerede er ude af stand til at give sit samtykke. Videregivelse af personoplysninger, der udføres af hensyn til sådanne vigtige samfundsinteresser, bør kun finde sted lejlighedsvist. I hvert enkelt tilfælde skal der foretages en nøje vurdering af alle forhold omkring videregivelsen.

Ændringsforslag  61

Forslag til forordning

Betragtning 88

Kommissionens forslag

Ændringsforslag

(88) Videregivelser, der ikke kan betegnes som hyppige eller omfattende, kan begrundes af den registeransvarliges eller registerførerens legitime interesse, men først efter at de har vurderet og dokumenteret alle omstændigheder ved videregivelserne. I forbindelse med behandling til historiske, statistiske eller videnskabelige forskningsformål bør samfundets legitime forventninger om øget viden tages med i overvejelserne.

I forbindelse med behandling til historiske, statistiske eller videnskabelige forskningsformål bør samfundets legitime forventninger om øget viden tages med i overvejelserne.

Ændringsforslag  62

Forslag til forordning

Betragtning 89

Kommissionens forslag

Ændringsforslag

(89) Hvis Kommissionen ikke har truffet en afgørelse om tilstrækkeligheden af databeskyttelsesniveauet i et tredjeland, bør den registeransvarlige eller registerføreren under alle omstændigheder benytte løsninger, der giver de registrerede en garanti for, at de fortsat vil nyde godt af de grundlæggende rettigheder og garantier, hvad angår behandling af deres personoplysninger i Unionen, når disse oplysninger er blevet videregivet.

(89) Hvis Kommissionen ikke har truffet en afgørelse om tilstrækkeligheden af databeskyttelsesniveauet i et tredjeland, bør den dataansvarlige eller databehandleren under alle omstændigheder benytte løsninger, der giver de registrerede en juridisk bindende garanti for, at de fortsat vil nyde godt af de grundlæggende rettigheder og garantier, hvad angår behandling af deres personoplysninger i Unionen, når disse oplysninger er blevet videregivet og forudsat, at behandlingen ikke er af massiv og strukturel art eller har karakter af gentagelser. Denne garanti bør indebære økonomisk erstatning i tilfælde af tab eller uautoriseret adgang til og behandling af oplysningerne samt en forpligtelse til, uanset national lovgivning, at give fuldstændige oplysninger om et tredjelands offentlige myndigheders adgang til oplysningerne.

Ændringsforslag  63

Forslag til forordning

Betragtning 90

Kommissionens forslag

Ændringsforslag

(90) Visse tredjelande vedtager love, bestemmelser og andre retlige instrumenter med det formål at regulere databehandlingsaktiviteter vedrørende fysiske og juridiske personer direkte under medlemsstaternes jurisdiktion. Ekstraterritorial anvendelse af disse love, bestemmelser og andre retsakter kan være i strid med folkeretten og kan hindre virkeliggørelsen af den beskyttelse af fysiske personer, der garanteres i Unionen af denne forordning. Videregivelser af oplysninger bør kun tillades, hvis denne forordnings betingelser for videregivelser til tredjelande er opfyldt. Det kan bl.a. være tilfældet, hvis videregivelsen er nødvendig af hensyn til vigtige samfundsinteresser, der anerkendes i EU-retten eller en medlemsstats lovgivning, som den registeransvarlige er omfattet af. Kommissionen bør i en delegeret retsakt yderligere præcisere betingelserne for, at der er tale om vigtige samfundsinteresser.

(90) Visse tredjelande vedtager love, bestemmelser og andre retlige instrumenter med det formål at regulere databehandlingsaktiviteter vedrørende fysiske og juridiske personer direkte under medlemsstaternes jurisdiktion. Ekstraterritorial anvendelse af disse love, bestemmelser og andre retsakter kan være i strid med folkeretten og kan hindre virkeliggørelsen af den beskyttelse af fysiske personer, der garanteres i Unionen af denne forordning. Videregivelser af oplysninger bør kun tillades, hvis denne forordnings betingelser for videregivelser til tredjelande er opfyldt. Det kan bl.a. være tilfældet, hvis videregivelsen er nødvendig af hensyn til vigtige samfundsinteresser, der anerkendes i EU-retten eller en medlemsstats lovgivning, som den dataansvarlige er omfattet af. Kommissionen bør i en delegeret retsakt yderligere præcisere betingelserne for, at der er tale om vigtige samfundsinteresser. Hvis de dataansvarlige eller databehandlerne møder forskellige tilsynskrav mellem EU's jurisdiktion på den ene side og et tredjelands på den anden, bør Kommissionen sikre, at EU-retten til enhver tid har forrang. Kommissionen bør vejlede og bistå den dataansvarlige og databehandleren og bør sammen med det pågældende tredjeland forsøge at løse den jurisdiktionelle tvist.

Ændringsforslag  64

Forslag til forordning

Betragtning 92

Kommissionens forslag

Ændringsforslag

(92) Oprettelsen af tilsynsmyndigheder i medlemsstaterne, som udøver deres hverv i fuld uafhængighed, har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger. Medlemsstaterne kan oprette mere end én tilsynsmyndighed for at afspejle deres forfatningsmæssige, organisatoriske og administrative struktur.

(92) Oprettelsen af tilsynsmyndigheder i medlemsstaterne, som udøver deres hverv i fuld uafhængighed, har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger. Medlemsstaterne kan oprette mere end én tilsynsmyndighed for at afspejle deres forfatningsmæssige, organisatoriske og administrative struktur. Myndigheden skal sikres tilstrækkelige finansielle og menneskelige ressourcer til at kunne udøve sin rolle under hensyntagen til befolkningens størrelse og omfanget af behandlede personoplysninger.

Ændringsforslag  65

Forslag til forordning

Betragtning 94

Kommissionens forslag

Ændringsforslag

(94) Hver tilsynsmyndighed bør have tilstrækkelige finansielle og menneskelige ressourcer, lokaler og infrastrukturer til effektivt at udføre sine opgaver, herunder opgaver vedrørende gensidig bistand og samarbejde med andre tilsynsmyndigheder i Unionen.

(94) Hver tilsynsmyndighed bør have tilstrækkelige finansielle og menneskelige ressourcer, navnlig med henblik på at sikre personalets tilstrækkelige tekniske og juridiske kvalifikationer, lokaler og infrastrukturer til effektivt at udføre sine opgaver, herunder opgaver vedrørende gensidig bistand og samarbejde med andre tilsynsmyndigheder i Unionen.

Ændringsforslag  66

Forslag til forordning

Betragtning 95

Kommissionens forslag

Ændringsforslag

(95) De generelle betingelser for tilsynsmyndighedens medlemmer bør fastsættes ved lov i hver medlemsstat, og det bør navnlig fastsættes, om disse medlemmer udpeges af parlamentet eller regeringen i den pågældende medlemsstat, og der bør ligeledes fastsættes regler om medlemmernes personlige kvalifikationer og stilling.

(95) De generelle betingelser for tilsynsmyndighedens medlemmer bør fastsættes ved lov i hver medlemsstat, og det bør navnlig fastsættes, at disse medlemmer bør udpeges af parlamentet eller regeringen i den pågældende medlemsstat under behørig opmærksomhed omkring en mindskelse af risikoen for politisk indblanding, og der bør ligeledes fastsættes regler om medlemmernes personlige kvalifikationer, undgåelsen af interessekonflikter og om medlemmernes stilling.

Ændringsforslag  67

Forslag til forordning

Betragtning 97

Kommissionens forslag

Ændringsforslag

(97) Når behandlingen af personoplysninger i forbindelse med aktiviteter, der gennemføres af en registeransvarligs eller registerførers virksomhed i Unionen, finder sted i mere end én medlemsstat, bør en enkelt tilsynsmyndighed være ansvarlig for at kontrollere den registeransvarliges eller registerførerens aktiviteter i hele Unionen og for at træffe de relaterede beslutninger med henblik på at styrke en ensartet anvendelse, sikre retssikkerheden og mindske den administrative byrde for sådanne registeransvarlige og registerførere.

(97) Når behandlingen af personoplysninger i forbindelse med aktiviteter, der gennemføres af en dataansvarligs eller databehandlers virksomhed i Unionen, finder sted i mere end én medlemsstat, bør en enkelt tilsynsmyndighed fungere som den dataansvarliges eller databehandlerens fælles kontaktpunkt og ledende myndighed med ansvar for kontrol i hele Unionen og for at træffe de relaterede beslutninger med henblik på at styrke en ensartet anvendelse, sikre retssikkerheden og mindske den administrative byrde for sådanne dataansvarlige og databehandlere.

Ændringsforslag  68

Forslag til forordning

Betragtning 98

Kommissionens forslag

Ændringsforslag

(98) Den kompetente myndighed, som udgør et sådant centralt kontaktpunkt, bør være tilsynsmyndigheden i den medlemsstat, hvor den registeransvarlige eller registerføreren har sin hovedvirksomhed.

(98) Den ledende myndighed, som udgør et sådant centralt kontaktpunkt, bør være tilsynsmyndigheden i den medlemsstat, hvor den dataansvarlige eller databehandleren har sin hovedvirksomhed eller en repræsentant for denne. Det Europæiske Databeskyttelsesråd kan i visse tilfælde udpege den ledende myndighed gennem sammenhængsmekanismen efter anmodning fra en kompetent myndighed.

Ændringsforslag  69

Forslag til forordning

Betragtning 98 a (ny)

Kommissionens forslag

Ændringsforslag

 

(98a) Registrerede, hvis personoplysninger behandles af en dataansvarlig eller databehandler i en anden medlemsstat, bør kunne klage til en tilsynsmyndighed efter eget valg. Den ledende databeskyttelsesmyndighed bør koordinere sit arbejde med de andre involverede myndigheders arbejde.

Ændringsforslag  70

Forslag til forordning

Betragtning 101

Kommissionens forslag

Ændringsforslag

(101) Hver tilsynsmyndighed bør behandle klager, der indgives af registrerede, og undersøge sagen. Undersøgelsen af en klage bør gennemføres med forbehold af domstolsprøvelse, i det omfang det er relevant i det konkrete tilfælde. Tilsynsmyndigheden bør underrette den registrerede om gennemførelsen og resultatet af klagen inden for en rimelig frist. Hvis sagen kræver yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed, bør den registrerede underrettes herom.

(101) Hver tilsynsmyndighed bør behandle klager, der indgives af registrerede eller sammenslutninger, der handler i samfundets interesse, og undersøge sagen. Undersøgelsen af en klage bør gennemføres med forbehold af domstolsprøvelse, i det omfang det er relevant i det konkrete tilfælde. Tilsynsmyndigheden bør underrette den registrerede eller sammenslutningen om gennemførelsen og resultatet af klagen inden for en rimelig frist. Hvis sagen kræver yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed, bør den registrerede underrettes herom.

Ændringsforslag  71

Forslag til forordning

Betragtning 105

Kommissionens forslag

Ændringsforslag

(105) For at sikre en ensartet anvendelse af denne forordning i hele Unionen indføres der en sammenhængsmekanisme for samarbejdet mellem tilsynsmyndighederne og Kommissionen. Denne mekanisme bør navnlig anvendes, når en tilsynsmyndighed agter at iværksætte en foranstaltning med hensyn til behandling, der vedrører udbud af varer eller tjenester til registrerede i flere medlemsstater eller overvågning af sådanne registrerede, eller som i væsentlig grad kan påvirke den frie udveksling af personoplysninger. Den bør også anvendes, hvis en tilsynsmyndighed eller Kommissionen ønsker, at sagen håndteres inden for sammenhængsmekanismen. Denne mekanisme berører ikke foranstaltninger, som Kommissionen iværksætter som led i udøvelsen af sine beføjelser i henhold til traktaterne.

(105) For at sikre en ensartet anvendelse af denne forordning i hele Unionen indføres der en sammenhængsmekanisme for samarbejdet mellem tilsynsmyndighederne og Kommissionen. Denne mekanisme bør navnlig anvendes, når en tilsynsmyndighed agter at iværksætte en foranstaltning med hensyn til behandling, der vedrører udbud af varer eller tjenester til registrerede i flere medlemsstater eller overvågning af sådanne registrerede, eller som i væsentlig grad kan påvirke den frie udveksling af personoplysninger. Den bør også anvendes, hvis en tilsynsmyndighed eller Kommissionen ønsker, at sagen håndteres inden for sammenhængsmekanismen. De registrerede bør endvidere have ret til denne sammenhæng, hvis de skønner, at en foranstaltning pålagt af en medlemsstats datatilsynsmyndighed ikke opfylder dette kriterium. Denne mekanisme berører ikke foranstaltninger, som Kommissionen iværksætter som led i udøvelsen af sine beføjelser i henhold til traktaterne.

Ændringsforslag                  72

Forslag til forordning

Betragtning 106 a (ny)

Kommissionens forslag

Ændringsforslag

 

(106a) Med henblik på at sikre en sammenhængende anvendelse af denne forordning kan Det Europæiske Databeskyttelsesråd i individuelle sager vedtage en afgørelse, der er bindende for de kompetente tilsynsmyndigheder.

Ændringsforslag  73

Forslag til forordning

Betragtning 107

Kommissionens forslag

Ændringsforslag

(107) For at sikre overensstemmelse med denne forordning kan Kommissionen vedtage en udtalelse om denne sag eller en afgørelse, som kræver, at tilsynsmyndigheden suspenderer sin foreslåede foranstaltning.

udgår

Ændringsforslag  74

Forslag til forordning

Betragtning 110

Kommissionens forslag

Ændringsforslag

(110) På EU-plan bør der oprettes et europæisk databeskyttelsesråd. Det bør erstatte Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger, der er nedsat ved direktiv 95/46/EF. Det bør sammensættes af chefen for tilsynsmyndigheden i hver medlemsstat og Den Europæiske Tilsynsførende for Databeskyttelse. Kommissionen bør deltage i rådets aktiviteter. Det Europæiske Databeskyttelsesråd bør bidrage til den ensartede anvendelse af denne forordning i hele Unionen, herunder ved at rådgive Kommissionen og fremme samarbejdet mellem tilsynsmyndighederne i hele Unionen. Det Europæiske Databeskyttelsesråd bør handle uafhængigt, når det udfører sine opgaver.

(110) På EU-plan bør der oprettes et europæisk databeskyttelsesråd. Det bør erstatte Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger, der er nedsat ved direktiv 95/46/EF. Det bør sammensættes af chefen for en tilsynsmyndighed i hver medlemsstat og Den Europæiske Tilsynsførende for Databeskyttelse. Det Europæiske Databeskyttelsesråd bør bidrage til den ensartede anvendelse af denne forordning i hele Unionen, herunder ved at rådgive EU's institutioner og fremme samarbejdet mellem tilsynsmyndighederne i hele Unionen, herunder koordinering af fælles aktiviteter. Det Europæiske Databeskyttelsesråd bør handle uafhængigt, når det udfører sine opgaver. Det Europæiske Databeskyttelsesråd bør styrke dialogen med de berørte interessenter, som f.eks. sammenslutninger af registrerede, forbrugerorganisationer, dataansvarlige og andre relevante interessenter og eksperter.

Ændringsforslag  75

Forslag til forordning

Betragtning 111

Kommissionens forslag

Ændringsforslag

(111) Alle registrerede bør have ret til at indgive klage til tilsynsmyndighederne i alle medlemsstater og adgang til domstolsprøvelse, hvis de finder, at deres rettigheder i henhold til denne forordning er blevet krænket, eller hvis tilsynsmyndigheden ikke reagerer på en klage eller ikke vil handle, hvis dette er nødvendigt for at beskytte den registreredes rettigheder.

(111) Registrerede bør have ret til at indgive klage til tilsynsmyndighederne i alle medlemsstater og adgang til effektiv domstolsprøvelse i overensstemmelse med artikel 47 i charteret om grundlæggende rettigheder, hvis de finder, at deres rettigheder i henhold til denne forordning er blevet krænket, eller hvis tilsynsmyndigheden ikke reagerer på en klage eller ikke vil handle, hvis dette er nødvendigt for at beskytte den registreredes rettigheder.

Ændringsforslag  76

Forslag til forordning

Betragtning 112

Kommissionens forslag

Ændringsforslag

(112) Alle organer, organisationer eller sammenslutninger, der har til formål at beskytte registreredes rettigheder og interesser i forbindelse med beskyttelsen af deres personoplysninger, og som er etableret i overensstemmelse med en medlemsstats lovgivning, bør have ret til at indgive en klage til en tilsynsmyndighed eller udøve retten til domstolsprøvelse på vegne af registrerede eller til uafhængigt af en registrerets klage på egne vegne at indgive en klage, hvis de vurderer, at et brud på persondatasikkerheden har fundet sted.

(112) Alle organer, organisationer eller sammenslutninger, der handler i samfundets interesse, og som er etableret i overensstemmelse med en medlemsstats lovgivning, bør have ret til at indgive en klage til en tilsynsmyndighed på vegne af registrerede og med deres samtykke eller udøve retten til domstolsprøvelse, hvis den registrerede har givet bemyndigelse hertil, eller til uafhængigt af en registrerets klage på egne vegne at indgive en klage, hvis de vurderer, at en overtrædelse af denne forordning har fundet sted.

Ændringsforslag                  77

Forslag til forordning

Betragtning 114

Kommissionens forslag

Ændringsforslag

(114) For at styrke den retlige beskyttelse af den registrerede i situationer, hvor den kompetente tilsynsmyndighed er etableret i en anden medlemsstat end den medlemsstat, hvor den registrerede er bosiddende, kan den registrerede anmode et organ, en organisation eller en sammenslutning, der har til formål at beskytte registreredes rettigheder og interesser i forbindelse med beskyttelsen af deres personoplysninger, om at anlægge den registreredes sag mod den pågældende tilsynsmyndighed ved den kompetente domstol i den anden medlemsstat.

(114) For at styrke den retlige beskyttelse af den registrerede i situationer, hvor den kompetente tilsynsmyndighed er etableret i en anden medlemsstat end den medlemsstat, hvor den registrerede er bosiddende, kan den registrerede bemyndige et organ, en organisation eller en sammenslutning, der handler i samfundets interesse, til at anlægge den registreredes sag mod den pågældende tilsynsmyndighed ved den kompetente domstol i den anden medlemsstat.

Ændringsforslag  78

Forslag til forordning

Betragtning 115

Kommissionens forslag

Ændringsforslag

(115) I situationer, hvor den kompetente tilsynsmyndighed, der er etableret i en anden medlemsstat, undlader at handle eller har iværksat utilstrækkelige foranstaltninger i forbindelse med en klage, kan den registrerede anmode tilsynsmyndigheden i den medlemsstat, hvor han eller hun har sit sædvanlige opholdssted, om at anlægge sag mod den pågældende tilsynsmyndighed ved den kompetente domstol i den anden medlemsstat. Den tilsynsmyndighed, der har modtaget en sådan anmodning, kan med forbehold af domstolsprøvelse afgøre, om anmodningen bør efterkommes.

(115) I situationer, hvor den kompetente tilsynsmyndighed, der er etableret i en anden medlemsstat, undlader at handle eller har iværksat utilstrækkelige foranstaltninger i forbindelse med en klage, kan den registrerede anmode tilsynsmyndigheden i den medlemsstat, hvor han eller hun har sit sædvanlige opholdssted, om at anlægge sag mod den pågældende tilsynsmyndighed ved den kompetente domstol i den anden medlemsstat. Dette gælder ikke for ikke-EU-borgere. Den tilsynsmyndighed, der har modtaget en sådan anmodning, kan med forbehold af domstolsprøvelse afgøre, om anmodningen bør efterkommes.

Ændringsforslag                  79

Forslag til forordning

Betragtning 116

Kommissionens forslag

Ændringsforslag

(116) Ved sager mod en registeransvarlig eller registerfører bør sagsøgeren have mulighed for at indbringe sagen for domstolene i de medlemsstater, hvor den registeransvarlige eller registerføreren er etableret, eller hvor den registrerede er bosiddende, medmindre den registeransvarlige er en offentlig myndighed, der udøver offentligretlige beføjelser.

(116) Ved sager mod en dataansvarlig eller databehandler bør sagsøgeren have mulighed for at indbringe sagen for domstolene i de medlemsstater, hvor den dataansvarlige eller databehandleren er etableret, eller – hvis vedkommende har bopæl i EU – hvor den registrerede er bosiddende, medmindre den dataansvarlige er en offentlig EU-myndighed eller en myndighed i en medlemsstat, der udøver offentligretlige beføjelser.

Ændringsforslag  80

Forslag til forordning

Betragtning 118

Kommissionens forslag

Ændringsforslag

(118) Personer, der lider skade som følge af en ulovlig behandling, bør have ret til erstatning fra den registeransvarlige eller registerføreren. Denne kan fritages for erstatningsansvar, hvis det bevises, at han ikke er skyld i den forvoldte skade, navnlig hvis der kan henvises til en fejl fra den registreredes side eller et tilfælde af force majeure.

(118) Personer, der lider skade, uanset om den er økonomisk eller ej, som følge af en ulovlig behandling, bør have ret til erstatning fra den dataansvarlige eller databehandleren, som kun kan fritages for erstatningsansvar, hvis denne kan bevise, at han ikke er skyld i den forvoldte skade, særlig hvis den pågældende fastslår, at fejlen ligger hos den registrerede, eller i tilfælde af force majeure.

Ændringsforslag  81

Forslag til forordning

Betragtning 119

Kommissionens forslag

Ændringsforslag

(119) Personer, der overtræder denne forordning, bør kunne pålægges sanktioner, uanset om de er omfattet af privat- eller offentligretlig lovgivning. Medlemsstaterne bør sikre, at sanktionerne er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, og bør træffe alle foranstaltninger for at gennemføre sanktionerne.

(119) Personer, der overtræder denne forordning, bør kunne pålægges sanktioner, uanset om de er omfattet af privat- eller offentligretlig lovgivning. Medlemsstaterne bør sikre, at sanktionerne er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, og bør træffe alle foranstaltninger for at gennemføre sanktionerne. Reglerne om sanktioner bør være underlagt tilstrækkelige proceduremæssige sikkerhedsforanstaltninger i overensstemmelse med de generelle principper i EU-lovgivningen og charteret om grundlæggende rettigheder, herunder retten til effektive retsmidler, en retfærdig rettergang og respekt for ne bis in idem-princippet.

Ændringsforslag  82

Forslag til forordning

Betragtning 119 a (ny)

Kommissionens forslag

Ændringsforslag

 

(119a) Ved pålæggelse af sanktioner bør medlemsstaterne udvise fuld respekt for tilstrækkelige proceduremæssige sikkerhedsforanstaltninger, herunder retten til effektive retsmidler, en retfærdig rettergang og respekt for ne bis in idem-princippet.

Ændringsforslag  83

Forslag til forordning

Betragtning 121

Kommissionens forslag

Ændringsforslag

(121) Der bør fastsættes undtagelser fra visse bestemmelser i denne forordning i forbindelse med behandling af personoplysninger alene i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed, for at forene retten til beskyttelse af personoplysninger med retten til ytringsfrihed, herunder retten til at modtage og give oplysninger, som fastslået bl.a. i artikel 11 i Den Europæiske Unions charter om grundlæggende rettigheder. Dette bør navnlig gælde for behandling af personoplysninger på det audiovisuelle område samt i nye arkiver og mediebiblioteker. Medlemsstaterne bør derfor vedtage lovgivningsmæssige foranstaltninger, der fastlægger undtagelser og fravigelser, som er nødvendige af hensyn til balancen mellem disse grundlæggende rettigheder. Medlemsstaterne bør vedtage sådanne undtagelser og fravigelser bør vedrørende generelle principper, den registreredes rettigheder, den registeransvarlige og registerføreren, videregivelse af personoplysninger til tredjelande eller internationale organisationer, de uafhængige tilsynsmyndigheder samt samarbejde og sammenhæng. Dette må dog ikke føre til, at medlemsstaterne fastsætter undtagelser fra de øvrige bestemmelser i denne forordning. For at tage hensyn til betydningen af retten til ytringsfrihed i ethvert demokratisk samfund er det nødvendigt at tolke begreber vedrørende den frihed såsom journalisme bredt. Medlemsstaterne bør derfor klassificere aktiviteter som "journalistiske" med henblik på de undtagelser og fravigelser, der er fastsat i denne forordning, hvis formålet med disse aktiviteter er at udbrede oplysninger, holdninger eller idéer, uanset hvilket medie der anvendes hertil. De bør ikke begrænses til medievirksomheder og kan gennemføres med udbyttegivende eller ikke-udbyttegivende formål.

(121) Det bør om nødvendigt være muligt at fastsætte undtagelser eller fravigelser fra visse bestemmelser i denne forordning i forbindelse med behandling af personoplysninger for at forene retten til beskyttelse af personoplysninger med retten til ytringsfrihed, herunder retten til at modtage og give oplysninger, som fastslået bl.a. i artikel 11 i Den Europæiske Unions charter om grundlæggende rettigheder. Medlemsstaterne bør derfor vedtage lovgivningsmæssige foranstaltninger, der fastlægger undtagelser og fravigelser, som er nødvendige af hensyn til balancen mellem disse grundlæggende rettigheder. Medlemsstaterne bør vedtage sådanne undtagelser og fravigelser vedrørende generelle principper, den registreredes rettigheder, den dataansvarlige og databehandleren, videregivelse af personoplysninger til tredjelande eller internationale organisationer, de uafhængige tilsynsmyndigheder, samarbejde og sammenhæng samt om specifikke databehandlingssituationer. Dette må dog ikke føre til, at medlemsstaterne fastsætter undtagelser fra de øvrige bestemmelser i denne forordning. For at tage hensyn til betydningen af retten til ytringsfrihed i ethvert demokratisk samfund er det nødvendigt at tolke begreber vedrørende den frihed bredt, således at de omfatter alle aktiviteter, der har til formål at udbrede oplysninger, holdninger eller idéer, uanset hvilket medie der anvendes hertil, ligeledes under hensyntagen til den teknologiske udvikling. De bør ikke begrænses til medievirksomheder og kan gennemføres med udbyttegivende eller ikke-udbyttegivende formål.

Ændringsforslag  84

Forslag til forordning

Betragtning 122 a (ny)

Kommissionens forslag

Ændringsforslag

 

(122a) En fagperson, som behandler personlige helbredsoplysninger, bør, om muligt, modtage anonyme eller pseudonymiserede oplysninger, således at identiteten kun er kendt af den praktiserende læge eller den specialist, der har anmodet om behandling af oplysningerne.

Ændringsforslag  85

Forslag til forordning

Betragtning 123

Kommissionens forslag

Ændringsforslag

(123) Behandling af personlige helbredsoplysninger kan være nødvendig af hensyn til samfundsinteresser, hvad angår folkesundhed, uden den registreredes samtykke. I den sammenhæng fortolkes "folkesundhed" som defineret i Europa-Parlamentets og Rådets forordning (EF) nr. 1338/2008 af 16. december 2008 om fællesskabsstatistikker over folkesundhed og arbejdsmiljø, dvs. alle elementer vedrørende sundhed, nemlig helbredstilstand, herunder sygelighed og invaliditet, determinanter med en indvirkning på denne helbredstilstand, behov for sundhedspleje, ressourcer tildelt sundhedsplejen, ydelse af og almen adgang til sundhedspleje, udgifter til og finansiering af sundhedspleje samt dødsårsager. Denne behandling af personlige helbredsoplysninger af samfundsinteresse bør ikke medføre, at tredjeparter såsom arbejdsgivere, forsikringsselskaber eller pengeinstitutter behandler personoplysninger til andre formål.

(123) Behandling af personlige helbredsoplysninger kan være nødvendig af hensyn til samfundsinteresser hvad angår folkesundhed uden den registreredes samtykke. I den sammenhæng fortolkes "folkesundhed" som defineret i Europa-Parlamentets og Rådets forordning (EF) nr. 1338/20081, dvs. alle elementer vedrørende sundhed, nemlig helbredstilstand, herunder sygelighed og invaliditet, determinanter med en indvirkning på denne helbredstilstand, behov for sundhedspleje, ressourcer tildelt sundhedsplejen, ydelse af og almen adgang til sundhedspleje, udgifter til og finansiering af sundhedspleje samt dødsårsager.

 

1 Europa-Parlamentets og Rådets forordning (EF) nr. 1338/2008 af 16. december 2008 om fællesskabsstatistikker over folkesundhed og arbejdsmiljø (EUT L 354 af 31.12.2008, s. 70).

Ændringsforslag  86

Forslag til forordning

Betragtning 123 a (ny)

Kommissionens forslag

Ændringsforslag

 

(123a) Behandling af personlige helbredsoplysninger som særlig oplysningskategori kan være nødvendig til historiske, statistiske eller videnskabelige forskningsformål. Derfor opereres der i denne forordning med en undtagelse fra kravet om samtykke i tilfælde af forskning af stor samfundsmæssig betydning.

Ændringsforslag  87

Forslag til forordning

Betragtning 124

Kommissionens forslag

Ændringsforslag

(124) De generelle principper vedrørende beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger bør også gælde i ansættelsesforhold. For at regulere behandlingen af arbejdstageres personoplysninger i ansættelsesforhold bør medlemsstaterne under overholdelse af denne forordnings øvrige bestemmelser ved lov kunne indføre specifikke regler for behandling af personoplysninger ved ansættelsesforhold.

(124) De generelle principper vedrørende beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger bør også gælde i ansættelsesforhold og i forbindelse med social sikring. Medlemsstaterne bør kunne regulere behandlingen af arbejdstageres personoplysninger i ansættelsesforhold og behandlingen af personoplysninger i forbindelse med social sikring i overensstemmelse med bestemmelserne og minimumsnormerne i denne forordning. Hvis der i den pågældende medlemsstat gælder et lovmæssigt grundlag til regulering af spørgsmål inden for ansættelsesforholdet som følge af en aftale mellem arbejdstagerrepræsentanter og virksomhedsledelsen eller den kontrollerende virksomhed i en koncern (kollektiv overenskomst) eller i henhold til Europa-Parlamentets og Rådets direktiv 2009/38/EF1, kan behandlingen af personoplysningerne inden for en ansættelseskontekst også reguleres gennem en sådan aftale.

 

 

1 Europa-Parlamentets og Rådets direktiv 2009/38/EF af 6. maj 2009 om indførelse af europæiske samarbejdsudvalg eller en procedure i fællesskabsvirksomheder og fællesskabskoncerner med henblik på at informere og høre arbejdstagerne (EUT L 122 af 16.5.2009, s. 28).

Ændringsforslag  88

Forslag til forordning

Betragtning 125 a (ny)

Kommissionens forslag

Ændringsforslag

 

(125a) Personoplysninger kan også gøres til genstand for behandling af arkivtjenester, der har som hovedopgave eller lovpligtig opgave at indsamle, opbevare, oplyse om, udnytte og formidle arkiver i samfundets interesse. Medlemsstaternes lovgivning bør forene retten til beskyttelse af personoplysninger med bestemmelserne vedrørende arkiver og om borgernes adgang til administrative oplysninger. Medlemsstaterne bør tilskynde navnlig den europæiske arkivgruppe til at udarbejde regler, der skal sikre datafortroligheden over for tredjepart og oplysningernes ægthed og integritet samt forsvarlig opbevaring af disse.

Ændringsforslag                  89

Forslag til forordning

Betragtning 126

Kommissionens forslag

Ændringsforslag

(126) Videnskabelig forskning med henblik på dette direktiv bør omfatte grundforskning, anvendt forskning og privat finansieret forskning og desuden tage hensyn til Unionens mål om et europæisk forskningsrum, jf. artikel 179, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde.

(126) Videnskabelig forskning med henblik på dette direktiv bør omfatte grundforskning, anvendt forskning og privat finansieret forskning og desuden tage hensyn til Unionens mål om et europæisk forskningsrum, jf. artikel 179, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde. Behandling af personoplysninger til historiske, statistiske eller videnskabelige forskningsformål må ikke medføre, at der behandles oplysninger til andre formål, medmindre det sker med den registreredes samtykke eller på grundlag af EU-retten eller medlemsstatslovgivning.

Ændringsforslag  90

Forslag til forordning

Betragtning 128

Kommissionens forslag

Ændringsforslag

(128) Denne forordning respekterer og anfægter ikke den status i henhold til national lovgivning, som kirker og religiøse sammenslutninger eller samfund har i medlemsstaterne, jf. artikel 17 i traktaten om Den Europæiske Unions funktionsmåde. Hvis en kirke i en medlemsstat følgelig på tidspunktet for denne forordnings ikrafttræden anvender omfattende regler om beskyttelse af fysiske personer, hvad angår behandling af personoplysninger, bør disse eksisterende regler fortsat gælde, hvis de bringes i overensstemmelse med denne forordning. Sådanne kirker og religiøse sammenslutninger bør være forpligtet til at sørge for at have en fuldstændig uafhængig tilsynsmyndighed.

(128) Denne forordning respekterer og anfægter ikke den status i henhold til national lovgivning, som kirker og religiøse sammenslutninger eller samfund har i medlemsstaterne, jf. artikel 17 i traktaten om Den Europæiske Unions funktionsmåde. Hvis en kirke i en medlemsstat følgelig på tidspunktet for denne forordnings ikrafttræden anvender tilstrækkelige regler om beskyttelse af fysiske personer, hvad angår behandling af personoplysninger, bør disse eksisterende regler fortsat gælde, hvis de bringes i overensstemmelse med denne forordning og anerkendes som værende i overensstemmelse med reglerne.

Ændringsforslag  91

Forslag til forordning

Betragtning 129

Kommissionens forslag

Ændringsforslag

(129) For at opfylde denne forordnings målsætninger, dvs. at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder og navnlig deres ret til beskyttelse af personoplysninger og at sikre fri udveksling af personoplysninger i Unionen, bør beføjelsen til at vedtage retsakter i henhold til artikel 290 i traktaten om Den Europæiske Unions funktionsmåde delegeres til Kommissionen. Der bør navnlig vedtages delegerede retsakter med nærmere bestemmelser om det lovlige i at behandle personoplysninger, om angivelse af kriterierne og betingelserne for et barns samtykke, om behandling af særlige kategorier af personoplysninger, om angivelse af kriterierne og betingelserne for tydeligt overdrevne anmodninger og gebyrer for udøvelse af den registreredes rettigheder, om kriterier og krav i forbindelse med underretning af den registrerede og retten til indsigt, om retten til at blive glemt og til sletning, om foranstaltninger baseret på profilering, om kriterier og krav i forbindelse med den registeransvarliges ansvar og indbygget databeskyttelse og databeskyttelse gennem indstillinger, om en registerfører, om kriterier og krav i forbindelse med dokumentation og behandlingssikkerhed, om kriterier og krav i forbindelse med konstatering af et brud på persondatasikkerheden og anmeldelse heraf til tilsynsmyndigheden og om de omstændigheder, hvor et brud på persondatasikkerheden kan krænke den registrerede, om kriterier og betingelser for behandling, der kræver en konsekvensanalyse vedrørende databeskyttelse, om kriterier og krav i forbindelse med fastlæggelse af større konkrete risici, der kræver forudgående høring, om udpegning af og opgaver for den databeskyttelsesansvarlige, om adfærdskodekser, om kriterier og krav i forbindelse med certificeringsordninger, om kriterier og krav i forbindelse med videregivelse i form af bindende virksomhedsregler, om fravigelser ved videregivelser, om administrative sanktioner, om behandling til sundhedsformål og om behandling i forbindelse med ansættelsesforhold og til historiske, statistiske eller videnskabelige forskningsformål. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau. Kommissionen bør sikre en samtidig, rettidig og hensigtsmæssig fremsendelse af relevante dokumenter til Europa-Parlamentet og Rådet, når den udarbejder og gennemfører delegerede retsakter.

(129) For at opfylde denne forordnings målsætninger, dvs. at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger, og for at sikre fri udveksling af personoplysninger i Unionen bør beføjelsen til at vedtage retsakter i henhold til artikel 290 i traktaten om Den Europæiske Unions funktionsmåde delegeres til Kommissionen. Der bør navnlig vedtages delegerede retsakter med nærmere bestemmelser om den ikonbaserede metode til videregivelse af oplysninger, om retten til sletning, der erklærer, at adfærdskodekser er i overensstemmelse med forordningen, om kriterier og krav i forbindelse med certificeringsordninger, om et tilstrækkeligt beskyttelsesniveau i et tredjeland eller en international organisation, om kriterier og krav i forbindelse med videregivelse i form af bindende virksomhedsregler, om administrative sanktioner, om behandling til sundhedsformål og om behandling i forbindelse med ansættelsesforhold. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau og navnlig med Det Europæiske Databeskyttelsesråd. Kommissionen bør sikre en samtidig, rettidig og hensigtsmæssig fremsendelse af relevante dokumenter til Europa-Parlamentet og Rådet, når den udarbejder og gennemfører delegerede retsakter.

Ændringsforslag  92

Forslag til forordning

Betragtning 130

Kommissionens forslag

Ændringsforslag

(130) For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser, for så vidt angår angivelse af standardformularer i forbindelse med behandling af et barns personoplysninger, standardprocedurer og -formularer til udøvelse af registreredes rettigheder; standardformularer til underretning af den registrerede; standardformularer og -procedurer i forbindelse med retten til indsigt og retten til dataportabilitet; standardformularer i forbindelse med den registeransvarliges ansvar for indbygget databeskyttelse og databeskyttelse gennem indstillinger og dokumentation; specifikke krav til behandlingssikkerhed; standardformat og procedurer for anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og meddelelse af brud på persondatasikkerheden til den registrerede; standarder og procedurer for konsekvensanalyser vedrørende databeskyttelse; formularer og procedurer for forudgående godkendelse og høring; tekniske standarder og certificeringsordninger; det tilstrækkelige databeskyttelsesniveau, der sikres af et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation; videregivelse uden hjemmel i EU-retten; gensidig bistand; fælles operationer og afgørelser under sammenhængsmekanismen.. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser. I den forbindelse bør Kommissionen overveje særlige foranstaltninger for mikrovirksomheder og små og mellemstore virksomheder.

(130) For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser for så vidt angår angivelse af standardformularer for specifikke metoder til at indhente verificerbart samtykke i forbindelse med behandling af et barns personoplysninger, standardformularer til underretning af de registrerede om udøvelse af deres rettigheder; standardformularer til underretning af den registrerede; standardformularer i forbindelse med retten til indsigt, herunder til underretning af den registrerede om personoplysninger; standardformularer i forbindelse med den dokumentation, der skal føres af den dataansvarlige og databehandleren; standardformen for anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og til dokumentation af brud på persondatasikkerheden; formularer for forudgående høring og informering af tilsynsmyndigheden. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/20111, og i den forbindelse bør Kommissionen overveje særlige foranstaltninger for mikrovirksomheder og små og mellemstore virksomheder.

 

1 Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser. I den forbindelse bør Kommissionen overveje særlige foranstaltninger for mikrovirksomheder og små og mellemstore virksomheder.

Ændringsforslag  93

Forslag til forordning

Betragtning 131

Kommissionens forslag

Ændringsforslag

(131) Undersøgelsesproceduren bør anvendes til at vedtage fastlæggelsen af standardformularer i forbindelse med et barns samtykke, standardprocedurer og -formularer til registreredes udøvelse af deres rettigheder, standardformularer til underretning af den registrerede; standardformularer og procedurer i forbindelse med retten til indsigt og retten til dataportabilitet, standardformularer i forbindelse med den registeransvarliges ansvar for indbygget databeskyttelse og databeskyttelse gennem indstillinger og dokumentation, specifikke krav til behandlingssikkerhed; standardformat og procedurer for anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og meddelelse af brud på persondatasikkerheden til den registrerede; standarder og procedurer for konsekvensanalyser vedrørende databeskyttelse; formularer og procedurer for forudgående godkendelse og høring; tekniske standarder og certificeringsordninger; det tilstrækkelige databeskyttelsesniveau, der sikres af et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation; videregivelse uden hjemmel i EU-retten; gensidig bistand; samt fælles aktiviteter og afgørelser i henhold til sammenhængsmekanismen, eftersom disse retsakter er af generel karakter.

(131) Undersøgelsesproceduren bør anvendes til at vedtage fastlæggelsen af standardformularer; angive standardformularer for specifikke metoder til at indhente verificerbart samtykke i forbindelse med behandling af et barns personoplysninger; standardformularer til underretning af de registrerede om udøvelse af deres rettigheder; standardformularer til underretning af den registrerede; standardformularer i forbindelse med retten til indsigt, herunder til underretning af den registrerede om personoplysninger; standardformularer i forbindelse med den dokumentation, der skal føres af den dataansvarlige og databehandleren; standardformularen for anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og for dokumentation af brud på persondatasikkerheden; formularer for forudgående godkendelse og høring og informering af tilsynsmyndigheden, for så vidt som disse retsakter er af generel karakter.

Ændringsforslag  94

Forslag til forordning

Betragtning 132

Kommissionens forslag

Ændringsforslag

(132) Kommissionen bør, i behørigt begrundede tilfælde vedrørende et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation, som ikke sikrer et tilstrækkeligt beskyttelsesniveau, og vedrørende forhold, der er meddelt af tilsynsmyndigheder i henhold til sammenhængsmekanismen, vedtage gennemførelsesretsakter, der straks finder anvendelse.

udgår

Ændringsforslag                  95

Forslag til forordning

Betragtning 134

Kommissionens forslag

Ændringsforslag

(134) Direktiv 95/46/EF bør ophæves ved denne forordning. Kommissionens afgørelser, der er vedtaget i henhold til direktiv 95/46/EF, og tilsynsmyndigheders godkendelser baseret på direktiv 95/46/EF bør dog fortsat gælde.

(134) Direktiv 95/46/EF bør ophæves ved denne forordning. Kommissionens afgørelser, der er vedtaget i henhold til direktiv 95/46/EF, og tilsynsmyndigheders godkendelser baseret på direktiv 95/46/EF bør dog fortsat gælde. Kommissionens afgørelser og tilsynsmyndigheders godkendelser vedrørende videregivelse af personoplysninger til tredjelande i overensstemmelse med artikel 41, stk. 8, bør fortsat være gældende i en overgangsperiode på fem år efter denne forordnings ikrafttræden, med mindre de ændres, erstattes eller ophæves af Kommissionen inden udløbet af denne periode.

Ændringsforslag  96

Forslag til forordning

Artikel 2

Kommissionens forslag

Ændringsforslag

Materielt anvendelsesområde

Materielt anvendelsesområde

1. Denne forordning anvendes på behandling af personoplysninger, der helt eller delvis foretages automatisk, samt på anden behandling end automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

1. Denne forordning anvendes på behandling af personoplysninger, der helt eller delvis foretages automatisk, uden at der sondres mellem behandlingsmetoderne, samt på anden behandling end automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

2. Denne forordning gælder ikke for behandling af personoplysninger:

2. Denne forordning gælder ikke for behandling af personoplysninger:

a) som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af EU-retten, navnlig for så vidt angår national sikkerhed

a) som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af EU-retten

b) som foretages af EU-institutioner, -organer, -kontorer og -agenturer

 

c) som foretages af medlemsstaterne ved udførelse af aktiviteter, der falder inden for rammerne af kapitel 2 i traktaten om Den Europæiske Union

c) som foretages af medlemsstaterne ved udførelse af aktiviteter, der falder inden for rammerne af kapitel 2 af afsnit V i traktaten om Den Europæiske Union

d) som uden vederlag foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter

d) som foretages af en fysisk person som led i en rent personlig eller familiemæssig aktivitet. Denne undtagelse gælder også for offentliggørelsen af persondata, hvor det med rimelighed kan forventes, at kun et begrænset antal personer har adgang til dem.

e) som foretages af kompetente myndigheder med henblik på forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner.

e) som foretages af kompetente offentlige myndigheder med henblik på forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner.

3. Denne forordning berører ikke anvendelsen af direktiv 2000/31/EF, navnlig formidleransvaret for tjenesteydere, der er fastsat i artikel 12-15 i nævnte direktiv.

3. Denne forordning berører ikke anvendelsen af direktiv 2000/31/EF, navnlig formidleransvaret for tjenesteydere, der er fastsat i artikel 12-15 i nævnte direktiv.

Ændringsforslag  97

Forslag til forordning

Artikel 3

Kommissionens forslag

Ændringsforslag

Territorialt anvendelsesområde

Territorialt anvendelsesområde

1. Denne forordning anvendes på behandling af personoplysninger i forbindelse med aktiviteter, der gennemføres af en registeransvarligs eller registerførers virksomhed i Unionen.

1. Denne forordning anvendes på behandling af personoplysninger i forbindelse med aktiviteter, der gennemføres af en dataansvarligs eller databehandlers virksomhed i Unionen, uanset om behandlingen finder sted i Unionen eller ej.

2. Denne forordning anvendes på behandling af personoplysninger om registrerede, der er bosiddende i Unionen, som foretages af en registeransvarlig, der ikke er etableret i Unionen, hvis behandlingsaktiviteterne vedrører:

2. Denne forordning anvendes på behandling af personoplysninger om registrerede i Unionen, som foretages af en dataansvarlig eller -behandler, der ikke er etableret i Unionen, hvis behandlingsaktiviteterne vedrører:

a) udbud af varer eller tjenester til sådanne registrerede i Unionen

a) udbud af varer eller tjenester til sådanne registrerede i Unionen, uanset om der kræves betaling fra den registrerede, eller

b) overvågning af sådanne registreredes adfærd.

b) overvågning af sådanne registrerede.

3. Denne forordning anvendes på behandling af personoplysninger, som foretages af en registeransvarlig, der ikke er etableret i Unionen, men et sted, hvor en medlemsstats nationale lovgivning gælder i henhold til folkeretten.

3. Denne forordning anvendes på behandling af personoplysninger, som foretages af en dataansvarlig, der ikke er etableret i Unionen, men et sted, hvor en medlemsstats nationale lovgivning gælder i henhold til folkeretten.

Ændringsforslag  98

Forslag til forordning

Artikel 4

Kommissionens forslag

Ændringsforslag

Definitioner

Definitioner

I denne forordning forstås ved:

I denne forordning forstås ved:

1) "registreret": en identificeret fysisk person eller en fysisk person, der direkte eller indirekte kan identificeres ved hjælp af de hjælpemidler, der med rimelighed kan tænkes bragt i anvendelse af den registeransvarlige eller af enhver anden fysisk eller juridisk person, bl.a. ved et id-nummer, lokaliseringsdata, online-id eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

 

2) "personoplysninger": enhver form for information om en registreret

2) "personoplysninger": enhver form for information om en identificeret eller identificerbar fysisk person ("en registreret"); en identificerbar person er en person, som direkte eller indirekte kan identificeres, navnlig gennem en identifikator som et navn, et identifikationsnummer, lokaliseringsdata, en unik identifikator eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet eller kønsidentitet

 

2a) "pseudonyme oplysninger": personoplysninger, der ikke kan tilskrives en konkret registreret uden brug af supplerende oplysninger, så længe sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger med henblik på at sikre, at sådan tilskrivelse ikke kan forekomme

 

2b) "krypterede oplysninger": personoplysninger, som gennem teknologiske beskyttelsesforanstaltninger gøres uforståelige for en hvilken som helst person, der ikke må få adgang til disse data

3) "behandling": enhver operation eller række af operationer - med eller uden brug af automatiseret databehandling - som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt sletning eller tilintetgørelse

3) "behandling": enhver operation eller række af operationer - med eller uden brug af automatiseret databehandling - som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt sletning eller tilintetgørelse

 

3a) "profilering": enhver form for automatisk behandling af personlige oplysninger, der har til formål at vurdere bestemte personlige forhold vedrørende en fysisk person eller analysere eller forudsige navnlig den fysiske persons erhvervsevne, økonomiske situation, opholdssted, sundhed, personlige præferencer, pålidelighed eller adfærd

4) "register": enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag

4) "register": enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag

5) "registeransvarlig": en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål, på hvilke betingelser og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålet, betingelserne og hjælpemidlerne til behandlingen er fastlagt i EU-retten eller medlemsstatens lovgivning, kan den registeransvarlige eller de specifikke kriterier for udpegning af denne angives i EU-retten eller en medlemsstats lovgivning

5) "dataansvarlig": en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålet og hjælpemidlerne til behandlingen er fastlagt i EU-retten eller medlemsstatens lovgivning, kan den dataansvarlige eller de specifikke kriterier for udpegning af denne angives i EU-retten eller en medlemsstats lovgivning

6) "registerfører": en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, der behandler personoplysninger på den registeransvarliges vegne

6) "databehandler": en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, der behandler personoplysninger på den dataansvarliges vegne

7) "modtager": en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, som personoplysninger videregives til

7) "modtager": en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, som personoplysninger videregives til

 

7a) "tredjepart": enhver anden fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der har beføjelse til at behandle oplysningerne

8) "den registreredes samtykke": enhver frivillig, specifik, informeret og udtrykkelig viljestilkendegivelse baseret på en erklæring eller klar bekræftelse fra den registrerede, hvorved den registrerede indvilliger i, at personoplysninger om vedkommende gøres til genstand for behandling

8) "den registreredes samtykke": enhver frivillig, specifik, informeret og udtrykkelig viljestilkendegivelse baseret på en erklæring eller klar bekræftelse fra den registrerede, hvorved den registrerede indvilliger i, at personoplysninger om vedkommende gøres til genstand for behandling

9) "brud på persondatasikkerheden": brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgang til personoplysninger, der er videregivet, lagret eller på anden måde behandlet

9) "brud på persondatasikkerheden": hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgang til personoplysninger, der er videregivet, lagret eller på anden måde behandlet

10) "genetiske data": alle data af enhver type vedrørende en fysisk persons karakteristika, der er arvet eller erhvervet under tidlig prænatal udvikling

10) "genetiske data": alle personoplysninger vedrørende en fysisk persons genetiske karakteristika, der er blevet arvet eller erhvervet, og som fremgår af en analyse af biologiske prøver fra den pågældende person, navnlig en analyse på kromosomniveau, af deoxyribonukleinsyre (dna) eller ribonukleinsyre (rna) eller en analyse af andre elementer til indhentning af lignende oplysninger

11) "biometriske data": alle data vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika, der gør det muligt entydigt at identificere vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger

11) "biometriske data": alle personoplysninger vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika, der gør det muligt entydigt at identificere vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger

12) "helbredsoplysninger": enhver oplysning, der vedrører en persons fysiske eller mentale helbred eller levering af sundhedsydelser til vedkommende

12) "helbredsoplysninger": personoplysninger, der vedrører en persons fysiske eller mentale helbred eller levering af sundhedsydelser til vedkommende

13) "hovedvirksomhed": for så vidt angår den registeransvarlige, stedet for dennes virksomhed i Unionen, hvor de vigtigste beslutninger vedrørende formål, betingelser eller metoder i forbindelse med behandling af personoplysninger træffes; hvis der ikke træffes beslutninger vedrørende formål, betingelser eller metoder i forbindelse med behandling af personoplysninger i Unionen, er hovedvirksomheden det sted, hvor de vigtigste behandlingsaktiviteter i forbindelse med en registeransvarligs virksomhed i Unionen finder sted. For så vidt angår registerføreren, er "hovedvirksomhed" stedet for dennes centrale administration i Unionen

13) "hovedvirksomhed": stedet for et foretagendes eller en koncerns virksomhed i Unionen – uanset om der er tale om en dataansvarlig eller databehandler– hvor de vigtigste beslutninger vedrørende formål, betingelser eller metoder i forbindelse med behandling af personoplysninger træffes. Der kan bl.a. tages hensyn til følgende objektive kriterier: Beliggenheden af den dataansvarliges eller databehandlerens hovedsæde; beliggenheden af den virksomhed i en koncern, som er bedst placeret i forhold til at håndtere og håndhæve reglerne i denne forordning med hensyn til ledelsesfunktioner og administrativt ansvar; stedet, hvor der udøves reelle og effektive ledelsesaktiviteter, som fastlægger databehandlingen gennem permanente strukturer.

14) "repræsentant": enhver fysisk eller juridisk person, der er etableret i Unionen, som udtrykkeligt er udpeget af den registeransvarlige, og som handler og kan kontaktes af en tilsynsmyndighed og andre organer i Unionen i stedet for den registeransvarlige, hvad angår den registeransvarliges forpligtelser i medfør af denne forordning

14) "repræsentant": enhver fysisk eller juridisk person, der er etableret i Unionen, som udtrykkeligt er udpeget af den dataansvarlige, og som repræsenterer databehandleren, hvad angår den registeransvarliges forpligtelser i medfør af denne forordning

15) "virksomhed": enhver enhed, som udøver økonomisk virksomhed, uanset dens retlige status, herunder navnlig fysiske og juridiske personer, partnerskaber og sammenslutninger, der regelmæssigt udøver økonomisk virksomhed

15) "virksomhed": enhver enhed, som udøver økonomisk virksomhed, uanset dens retlige status, herunder navnlig fysiske og juridiske personer, partnerskaber og sammenslutninger, der regelmæssigt udøver økonomisk virksomhed

16) "koncern": en virksomhed, der udøver kontrol, og de af denne kontrollerede virksomheder

16) "koncern": en virksomhed, der udøver kontrol, og de af denne kontrollerede virksomheder

17) "bindende virksomhedsregler": regler om beskyttelse af personoplysninger, som en registeransvarlig eller registerfører, der er etableret i en EU-medlemsstats område, overholder i forbindelse med videregivelser eller en serie af videregivelser af personoplysninger til en registeransvarlig eller registerfører i et eller flere tredjelande inden for en koncern

17) "bindende virksomhedsregler": regler om beskyttelse af personoplysninger, som en dataansvarlig eller databehandler, der er etableret i en EU-medlemsstats område, overholder i forbindelse med videregivelser eller en serie af videregivelser af personoplysninger til en dataansvarlig eller databehandler i et eller flere tredjelande inden for en koncern

18) "barn": en person under atten år

18) "barn": en person under atten år

19) "tilsynsmyndighed": en offentlig myndighed, der er etableret i en medlemsstat i overensstemmelse med artikel 46.

19) "tilsynsmyndighed": en offentlig myndighed, der er etableret i en medlemsstat i overensstemmelse med artikel 46.

Ændringsforslag  99

Forslag til forordning

Artikel 5

Kommissionens forslag

Ændringsforslag

Principper for behandling af personoplysninger

Principper for behandling af personoplysninger

1. Personoplysninger:

1. Personoplysninger:

a) skal behandles lovligt, loyalt og på en gennemsigtig måde i forhold til den registrerede

a) behandles lovligt, loyalt og på en gennemsigtig måde i forhold til den registrerede (lovlighed, loyalitet og gennemsigtighed)

b) skal indsamles til udtrykkeligt angivne og legitime formål og må ikke senere gøres til genstand for behandling, som er uforenelig med disse formål

b) indsamles til udtrykkeligt angivne og legitime formål og må ikke senere gøres til genstand for behandling, som er uforenelig med disse formål (formålsbegrænsning)

c) skal være tilstrækkelige og relevante og ikke omfatte mere end det, der kræves for at opfylde de formål, hvortil de behandles, og de må kun behandles, hvis og så længe disse formål ikke kan opfyldes ved at behandle oplysninger, der ikke omfatter personoplysninger

c) skal være tilstrækkelige og relevante og ikke omfatte mere end det, der kræves for at opfylde de formål, hvortil de behandles og de må kun behandles, hvis og så længe disse formål ikke kan opfyldes ved at behandle oplysninger, der ikke omfatter personoplysninger (dataminimering)

d) skal være korrekte og ajourførte; der skal tages ethvert rimeligt skridt til at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, omgående slettes eller berigtiges

d) skal være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt til at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, omgående slettes eller berigtiges (saglig rigtighed)

e) skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles; personoplysninger kan opbevares i længere tidsrum, hvis oplysningerne alene behandles til historiske, statistiske eller videnskabelige forskningsformål i overensstemmelse med bestemmelserne og betingelserne i artikel 83, og hvis behovet for fortsat opbevaring regelmæssigt vurderes

e) opbevares på en sådan måde, at det ikke er muligt direkte eller indirekte at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles; personoplysninger kan opbevares i længere tidsrum, hvis oplysningerne alene behandles til historiske, statistiske eller videnskabelige forskningsformål eller med henblik på arkivering i overensstemmelse med bestemmelserne og betingelserne i artikel 83 og 83a, og hvis behovet for fortsat opbevaring regelmæssigt vurderes, og der træffes en række tekniske og organisatoriske foranstaltninger med henblik på at begrænse adgangen til data udelukkende til disse formål (opbevaringsminimering)

 

ea) behandles på en måde, som giver den registrerede reel mulighed for at udøve sine rettigheder (effektivitet)

 

eb) behandles på en måde, der beskytter mod ubeføjet eller ulovlig behandling og mod utilsigtet tab, tilintetgørelse eller beskadigelse ved brug af tekniske eller organisatoriske foranstaltninger (integritet)

f) skal behandles under den registeransvarliges ansvar, og den registeransvarlige skal sikre og for hver behandlingsaktivitet påvise overensstemmelse med denne forordning.

f) behandles under den dataansvarliges ansvar, og den dataansvarlige skal sikre og kunne påvise overensstemmelse med denne forordning (ansvarliggørelse).

Ændringsforslag                  100

Forslag til forordning

Artikel 6

Kommissionens forslag

Ændringsforslag

Lovlig behandling af personoplysninger

Lovlig behandling af personoplysninger

1. Behandling af personoplysninger er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

1. Behandling af personoplysninger er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

a) den registrerede har givet sit samtykke til behandlingen af vedkommendes personoplysninger til et eller flere specifikke formål

a) den registrerede har givet sit samtykke til behandlingen af vedkommendes personoplysninger til et eller flere specifikke formål

b) behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelsen af foranstaltninger, der træffes på dennes anmodning forud for indgåelsen af en sådan kontrakt

b) behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelsen af foranstaltninger, der træffes på dennes anmodning forud for indgåelsen af en sådan kontrakt

c) behandlingen er nødvendig for at overholde en retlig forpligtelse, som gælder for den registeransvarlige

c) behandlingen er nødvendig for at overholde en retlig forpligtelse, som gælder for den registeransvarlige

d) behandlingen er nødvendig for at beskytte den registreredes vitale interesser

d) behandlingen er nødvendig for at beskytte den registreredes vitale interesser

e) behandlingen er nødvendig for udførelse af en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, som den registeransvarlige har fået pålagt

e) behandlingen er nødvendig for udførelse af en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt

f) behandlingen er nødvendig, for at den registeransvarlige kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud herfor, navnlig hvis den registrerede er et barn. Dette gælder ikke for den behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.

f) behandlingen er nødvendig, for at den dataansvarlige eller – ved videregivelse – den tredjepart, som oplysningerne er videregivet til, og som lever op til den registreredes rimelige forventninger på baggrund af hans eller hendes forhold til den dataansvarlige, kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud herfor. Dette gælder ikke for den behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.

2. Behandling af personoplysninger, der er nødvendig til historiske, statistiske eller videnskabelige forskningsformål, er lovlig med forbehold af de betingelser og garantier, der er omhandlet i artikel 83.

2. Behandling af personoplysninger, der er nødvendig til historiske, statistiske eller videnskabelige forskningsformål, er lovlig med forbehold af de betingelser og garantier, der er omhandlet i artikel 83.

3. Behandling, jf. stk. 1, litra c) og e), skal være omhandlet i:

3. Behandling, jf. stk. 1, litra c) og e), skal være omhandlet i:

a) EU-retten eller

a) EU-retten eller

b) lovgivningen i den medlemsstat, som den registeransvarlige er underlagt.

b) lovgivningen i den medlemsstat, som den dataansvarlige er underlagt.

Medlemsstatens lovgivning skal forfølge almene hensyn eller skal være nødvendig for at beskytte andres rettigheder og frihedsrettigheder, respektere kernen i retten til beskyttelse af personoplysninger og stå i rimeligt forhold til det legitime mål, der forfølges.

Medlemsstatens lovgivning skal forfølge almene hensyn eller skal være nødvendig for at beskytte andres rettigheder og frihedsrettigheder, respektere kernen i retten til beskyttelse af personoplysninger og stå i rimeligt forhold til det legitime mål, der forfølges. Inden for rammerne af denne forordning kan der i medlemsstatens lovgivning fastlægges nærmere detaljer vedrørende behandlingens lovlighed, navnlig hvad angår dataansvarlige, behandlingens formål og begrænsning af formålet, oplysningernes art, hvilken type registrerede, behandlinger og behandlingsmetoder samt modtagere der er tale om, og hvor lang tid oplysningerne gemmes.

4. Hvis formålet med yderligere behandling ikke er foreneligt med det formål, hvortil personoplysningerne er indsamlet, skal behandlingen have sit retsgrundlag i mindst én af de grunde, der er anført i stk. 1, litra a)-e). Dette gælder navnlig for ændring af kontraktlige vilkår og betingelser.

 

5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af de betingelser, der er omhandlet i stk. 1, litra f), for forskellige sektorer og databehandlingssituationer, herunder med hensyn til behandling af personoplysninger om et barn.

 

Ændringsforslag  101

Forslag til forordning

Artikel 7

Kommissionens forslag

Ændringsforslag

Betingelser for samtykke

Betingelser for samtykke

1. Den registeransvarlige bærer ansvaret for at bevise, at den registrerede har givet sit samtykke til behandlingen af vedkommendes personoplysninger til de angivne formål.

1. Hvis behandlingen er baseret på samtykke bærer den dataansvarlige ansvaret for at bevise, at den registrerede har givet sit samtykke til behandlingen af vedkommendes personoplysninger til de angivne formål.

2. Hvis den registreredes samtykke skal gives i en skriftlig erklæring, der også vedrører et andet forhold, skal kravet om samtykke synligt kunne skelnes fra dette andet forhold.

2. Hvis den registreredes samtykke skal gives i en skriftlig erklæring, der også vedrører et andet forhold, skal kravet om samtykke klart og synligt kunne skelnes fra dette andet forhold. Bestemmelser vedrørende samtykke fra registrerede, der er delvis i strid med denne forordning, er ugyldige i deres helhed

3. Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækningen af samtykke berører ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækning heraf.

3. Uanset andre retlige grundlag for behandling har den registrerede til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækningen af samtykke berører ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækning heraf. Det skal være lige så let at trække sit samtykke tilbage som at give det. Den registrerede informeres af den dataansvarlige, hvis tilbagetrækning af et samtykke kan resultere i en afbrydelse af de tjenester, som leveres, eller af forholdet til den dataansvarlige.

4. Samtykke tilvejebringer ikke et retsgrundlag for behandling, hvis der er en klar skævhed mellem den registrerede og den registeransvarlige.

4. Samtykke skal være formålsbegrænset og mister sin gyldighed, hvis formålet ophører med at eksistere eller så snart behandlingen af personoplysninger ikke længere er nødvendig til det formål, som de oprindeligt blev indsamlet til. Gennemførelsen af en kontrakt eller leveringen af en tjenesteydelse må ikke betinges af samtykke til behandling eller brug af oplysninger, som ikke er nødvendige for gennemførelsen af kontrakten eller leveringen af tjenesteydelsen i henhold til artikel 6, stk. 1, litra b).

Ændringsforslag                  102

Forslag til forordning

Artikel 8

Kommissionens forslag

Ændringsforslag

Behandling af et barns personoplysninger

Behandling af et barns personoplysninger

1. I denne forordning er behandling af personoplysninger om et barn under 13 år, for så vidt angår direkte tilbud om informationssamfundstjenester til et barn, kun tilladt, hvis og i det omfang samtykke hertil gives eller godkendes af barnets forælder eller værge. Den registeransvarlige træffer enhver rimelig foranstaltning for at indhente verificerbart samtykke under hensyn til den tilgængelige teknologi.

1. I denne forordning er behandling af personoplysninger om et barn under 13 år, for så vidt angår direkte tilbud om varer eller tjenesteydelser til et barn, kun tilladt, hvis og i det omfang samtykke hertil gives eller godkendes af barnets forælder eller værge. Den dataansvarlige træffer enhver rimelig foranstaltning til at verificere et sådant samtykke under hensyn til den tilgængelige teknologi uden i øvrigt at foretage unødig behandling af personoplysningerne.

 

1a. De oplysninger, der gives til børn, forældre og værger med henblik på, at børn udtrykker deres samtykke, herunder til den dataansvarliges indsamling og anvendelse af personoplysninger, bør formidles i et klart sprog, der er passende i forhold til det tilsigtede publikum:

2. Stk. 1 berører ikke medlemsstaternes almindelige aftaleret, som f.eks. bestemmelser om gyldighed, indgåelse eller virkning af en kontrakt, når der er tale om et barn.

2. Stk. 1 berører ikke medlemsstaternes almindelige aftaleret, som f.eks. bestemmelser om gyldighed, indgåelse eller virkning af en kontrakt, når der er tale om et barn.

3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav for metoderne til at indhente verificerbart samtykke, der er omhandlet i stk. 1. I den forbindelse overvejer Kommissionen særlige foranstaltninger for mikrovirksomheder og små og mellemstore virksomheder.

3. Det Europæiske Databeskyttelsesråd betros opgaven med at udstede retningslinjer, anbefalinger og bedste praksis for de metoder til verificering af samtykke, der er omhandlet i stk. 1, i overensstemmelse med artikel 66.

4. Kommissionen kan fastsætte standardformularer for de specifikke metoder til at indhente verificerbart samtykke, der er nævnt i stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

 

Ændringsforslag  103

Forslag til forordning

Artikel 9

Kommissionens forslag

Ændringsforslag

Behandling af særlige kategorier af personoplysninger

Særlige kategorier af oplysninger

1. Behandling af personoplysninger, der viser race og etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning og fagforeningsmæssigt tilhørsforhold og behandling af genetiske data, helbredsoplysninger og oplysninger om seksuelle forhold, straffedomme eller tilknyttede sikkerhedsforanstaltninger er forbudt.

1. Behandling af personoplysninger, der viser race og etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, seksuel orientering eller kønsidentitet, fagforeningsmæssigt tilhørsforhold og fagforeningsmæssige aktiviteter samt behandling af genetiske eller biometriske data, helbredsoplysninger og oplysninger om seksuelle forhold, administrative sanktioner, retsafgørelser, overtrædelser eller mistanke om overtrædelser af straffeloven, domme eller tilknyttede sikkerhedsforanstaltninger er forbudt.

2. Stk. 1 finder ikke anvendelse, hvis:

2. Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende:

a) den registrerede har givet sit samtykke til en sådan behandling i henhold til betingelserne i artikel 7 og 8, medmindre det i EU-retten eller medlemsstatens lovgivning fastsættes, at det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke, eller

a) den registrerede har givet sit samtykke til en sådan behandling til et eller flere specifikke formål i henhold til betingelserne i artikel 7 og 8, medmindre det i EU-retten eller medlemsstatens lovgivning fastsættes, at det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke, eller

 

aa) behandlingen er nødvendig af hensyn til opfyldelsen eller gennemførelsen af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan kontrakt,

b) behandlingen er nødvendig for overholdelsen af den registeransvarliges arbejdsretlige forpligtelser og specifikke rettigheder, for så vidt den er hjemlet i EU-retten eller medlemsstatens lovgivning, som fastsætter de fornødne garantier, eller

b) behandlingen er nødvendig for overholdelsen af den dataansvarliges arbejdsretlige forpligtelser og specifikke rettigheder, for så vidt den er hjemlet i EU-retten eller medlemsstatens lovgivning eller i kollektive overenskomster, som fastsætter de fornødne garantier for den registreredes grundlæggende rettigheder og interesser, såsom retten til ikkeforskelsbehandling, i henhold til betingelserne og garantierne i artikel 82, eller

c) behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke, eller

c) behandlingen er nødvendig for at beskytte den registreredes eller en anden persons interesser i tilfælde, hvor den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke, eller

d) behandlingen foretages af en stiftelse, en sammenslutning eller et andet almennyttigt organ, hvis sigte er af politisk, filosofisk, religiøs eller faglig art, som led i organets legitime aktiviteter og med de fornødne garantier, på betingelse af, at behandlingen alene vedrører organets medlemmer, tidligere medlemmer eller personer, der på grund af organets formål er i regelmæssig kontakt hermed, og at oplysningerne ikke videregives uden for organet uden den registreredes samtykke, eller

d) behandlingen foretages af en stiftelse, en sammenslutning eller et andet almennyttigt organ, hvis sigte er af politisk, filosofisk, religiøs eller faglig art, som led i organets legitime aktiviteter og med de fornødne garantier, på betingelse af, at behandlingen alene vedrører organets medlemmer, tidligere medlemmer eller personer, der på grund af organets formål er i regelmæssig kontakt hermed, og at oplysningerne ikke videregives uden for organet uden den registreredes samtykke, eller

e) behandlingen vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede,

e) behandlingen vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede,

f) behandlingen er nødvendig for, at et retskrav kan fastslås, gøres gældende eller forsvares ved en domstol,

f) behandlingen er nødvendig for, at et retskrav kan fastslås, gøres gældende eller forsvares ved en domstol,

g) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse på grundlag af EU-retten eller medlemsstatslovgivning, som fastsætter tilstrækkelige foranstaltninger til beskyttelse af den registreredes legitime interesser, eller

g) behandlingen er nødvendig af hensyn til udførelsen af en opgave af stor offentlig interesse på grundlag af EU-retten eller medlemsstatslovgivning, som står i et rimeligt forhold til det mål, der forfølges, respekterer kernen i retten til databeskyttelse og fastsætter passende foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser, eller

h) behandlingen af helbredsoplysninger er nødvendig til sundhedsformål med forbehold af de betingelser og garantier, der er omhandlet i artikel 81, eller

h) behandlingen af helbredsoplysninger er nødvendig til sundhedsformål med forbehold af de betingelser og garantier, der er omhandlet i artikel 81, eller

i) behandlingen er nødvendig til historiske, statistiske eller videnskabelige forskningsformål med forbehold af de betingelser og garantier, der er omhandlet i artikel 83, eller

i) behandlingen er nødvendig til historiske, statistiske eller videnskabelige forskningsformål med forbehold af de betingelser og garantier, der er omhandlet i artikel 83, eller

 

ia) behandlingen er nødvendig for arkivtjenester i overensstemmelse med betingelserne og garantierne i artikel 83a, eller

j) behandlingen af personoplysninger vedrørende straffedomme eller tilknyttede sikkerhedsforanstaltninger foretages enten under kontrol af en offentlig myndighed, eller hvis behandlingen er nødvendig for at efterkomme love eller andre retsforskrifter, som den registeransvarlige er omfattet af, eller for at udføre en opgave af hensyn til vigtige samfundsinteresser, og for så vidt den er hjemlet i EU-retten eller medlemsstatslovgivning, som fastsætter de fornødne garantier. Et fuldstændigt register over straffedomme må kun føres under kontrol af en offentlig myndighed.

j) behandlingen af personoplysninger vedrørende administrative sanktioner, retsafgørelser, overtrædelser af straffeloven, straffedomme eller tilknyttede sikkerhedsforanstaltninger foretages enten under kontrol af en offentlig myndighed, eller hvis behandlingen er nødvendig for at efterkomme love eller andre retsforskrifter, som den dataansvarlige er omfattet af, eller for at udføre en opgave af hensyn til vigtige samfundsinteresser, og for så vidt den er hjemlet i EU-retten eller medlemsstatslovgivning, som fastsætter de fornødne garantier for så vidt angår registreredes grundlæggende rettigheder og interesser. Et register over straffedomme må kun føres under kontrol af en offentlig myndighed.

3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterierne, betingelserne og de fornødne garantier for behandling af de særlige kategorier af personoplysninger, der er omhandlet i stk. 1, og de undtagelser, der er fastsat ved stk. 2.

3. Det Europæiske Databeskyttelsesråd betros opgaven med at udstede retningslinjer, anbefalinger og bedste praksis vedrørende behandling af de særlige kategorier af personoplysninger, der er omhandlet i stk. 1, og de undtagelser, der er fastsat ved stk. 2, i overensstemmelse med artikel 66.

Ændringsforslag                  104

Forslag til forordning

Artikel 10

Kommissionens forslag

Ændringsforslag

Hvis de oplysninger, der behandles af en registeransvarlig, ikke sætter den registeransvarlige i stand til at identificere en fysisk person, er den registeransvarlige ikke forpligtet til at indhente yderligere oplysninger for at kunne identificere den registrerede alene for at overholde bestemmelserne i denne forordning.

Hvis de oplysninger, der behandles af en dataansvarlig, ikke sætter den dataansvarlige i stand til direkte eller indirekte at identificere en fysisk person eller udelukkende består af pseudonyme data, skal den dataansvarlige ikke behandle eller indhente yderligere oplysninger for at kunne identificere den registrerede alene for at overholde bestemmelserne i denne forordning.

 

2. Hvis den dataansvarlige er ude af stand til at efterleve en bestemmelse i denne forordning grundet stk. 1, er den dataansvarlige ikke forpligtet til at efterleve den pågældende bestemmelse i denne forordning. Hvis en dataansvarlig som følge heraf er ude af stand til at efterkomme en anmodning fra den registrerede, skal vedkommende informere den registrerede herom.

Ændringsforslag  105

Forslag til forordning

Artikel 10 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 10a

 

Generelle principper for registreredes rettigheder

 

1. Grundlaget for databeskyttelsen er klare og entydige rettigheder for den registrerede, som skal respekteres af den dataansvarlige. Bestemmelserne i denne forordning har til hensigt at styrke, præcisere, sikre og om nødvendigt kodificere disse rettigheder.

 

2. Disse rettigheder skal bl.a. omfatte forsyning med klare og letforståelige oplysninger om behandlingen af vedkommendes personoplysninger, retten til indsigt, berigtigelse og sletning af disse personoplysninger og retten til at få adgang til oplysninger, retten til at gøre indsigelse mod profilering, retten til at fremsætte klage til den kompetente databeskyttelsesmyndighed og indlede retsforfølgning samt retten til erstatning for skader, som hidrører fra en ulovlig behandling. Sådanne rettigheder udøves generelt uden betaling. Den dataansvarlige skal svare på anmodninger fra den registrerede inden for en rimelig tidsfrist.

Ændringsforslag  106

Forslag til forordning

Artikel 11

Kommissionens forslag

Ændringsforslag

1. Den registeransvarlige fastsætter gennemsigtige og lettilgængelige regler for behandlingen af personoplysninger og udøvelsen af registreredes rettigheder.

1. Den dataansvarlige fastsætter kortfattede, gennemsigtige, klare og lettilgængelige regler for behandlingen af personoplysninger og udøvelsen af registreredes rettigheder.

2. Den registeransvarlige udleverer alle oplysninger og meddelelser vedrørende behandlingen af personoplysninger til den registrerede i en letforståelig form og i et klart og forståeligt sprog, som er tilpasset den registrerede, navnlig hvis oplysningerne specifikt er henvendt til et barn.

2. Den dataansvarlige udleverer alle oplysninger og meddelelser vedrørende behandlingen af personoplysninger til den registrerede i en letforståelig form og i et klart og forståeligt sprog, navnlig hvis oplysningerne specifikt er henvendt til et barn.

Ændringsforslag  107

Forslag til forordning

Artikel 12

Kommissionens forslag

Ændringsforslag

1. Den registeransvarlige fastlægger procedurer for udlevering af de oplysninger, der er omhandlet i artikel 14, og for udøvelsen af de registreredes rettigheder, der er omhandlet i artikel 13 samt artikel 15-19. Den registeransvarlige fastlægger navnlig ordninger, der gør det lettere at fremsætte anmodninger om de handlinger, der er nævnt i artikel 13 samt artikel 15-19. Hvis personoplysninger behandles automatisk, fastlægger den registeransvarlige også midler til elektronisk indgivelse af anmodninger.

1. Hvis personoplysninger behandles automatisk, fastlægger den dataansvarlige også midler til elektronisk indgivelse af anmodninger, hvor dette er muligt.

2. Den registeransvarlige meddeler straks og senest en måned efter modtagelsen af anmodningen, om en handling er iværksat i henhold til artikel 13 samt artikel 15-19, og udleverer de ønskede oplysninger. Denne frist kan forlænges med endnu en måned, hvis flere registrerede udøver deres rettigheder, og deres samarbejde i rimeligt omfang sikrer, at en uberettiget og uforholdsmæssig indsats fra den registeransvarliges side undgås. Denne meddelelse gives skriftligt. Hvis den registrerede indgiver anmodningen elektronisk, gives meddelelsen elektronisk, medmindre den registrerede anmoder om andet.

2. Den dataansvarlige meddeler uden unødig forsinkelse og senest 40 kalenderdage efter modtagelsen af anmodningen, om en handling er iværksat i henhold til artikel 13 samt artikel 15-19, og udleverer de ønskede oplysninger. Denne frist kan forlænges med endnu en måned, hvis flere registrerede udøver deres rettigheder, og deres samarbejde i rimeligt omfang sikrer, at en uberettiget og uforholdsmæssig indsats fra den dataansvarliges side undgås. Denne meddelelse gives skriftligt eller, hvis det er muligt, kan den dataansvarlige give adgang til en sikker onlineplatform, der kan give de registrerede direkte adgang til deres personoplysninger. Hvis den registrerede indgiver anmodningen elektronisk, gives meddelelsen om muligt elektronisk, medmindre den registrerede anmoder om andet.

3. Hvis den registeransvarlige afviser at imødekomme den registreredes anmodning, underretter den registeransvarlige den registrerede om årsagen til afvisningen og om mulighederne for at indgive en klage til tilsynsmyndigheden og anlægge sag ved domstolene.

3. Hvis den dataansvarlige ikke imødekommer den registreredes anmodning, underretter den dataansvarlige den registrerede om årsagen til inaktiviteten og om mulighederne for at indgive en klage til tilsynsmyndigheden og anlægge sag ved domstolene.

4. Meddelelser og handlinger, der iværksættes efter anmodning, jf. stk. 1, er gratis. Hvis anmodninger er tydeligt overdrevne, bl.a. fordi de gentages, kan den registeransvarlige opkræve et gebyr for fremsendelse af meddelelsen eller iværksættelse af den ønskede handling, eller den registeransvarlige kan undlade at iværksætte den ønskede handling. I det tilfælde bærer den registeransvarlige ansvaret for at bevise, at anmodningen er tydeligt overdreven.

4. Meddelelser og handlinger, der iværksættes efter anmodning, jf. stk. 1, er gratis. Hvis anmodninger er tydeligt overdrevne, bl.a. fordi de gentages, kan den dataansvarlige opkræve et rimeligt gebyr i forhold til administrationsudgifterne til fremsendelse af meddelelsen eller iværksættelse af den ønskede handling. I det tilfælde bærer den dataansvarlige ansvaret for at bevise, at anmodningen er tydeligt overdreven.

5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og betingelser for de tydeligt overdrevne anmodninger og gebyrer, der er omhandlet i stk. 4.

 

6. Kommissionen kan fastlægge standardformularer og angive standardprocedurer for den meddelelse, der er omhandlet i stk. 2, herunder det elektroniske format. Kommissionen træffer herved passende foranstaltninger for mikrovirksomheder og små og mellemstore virksomheder. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

 

Ændringsforslag                  108

Forslag til forordning

Artikel 13

Kommissionens forslag

Ændringsforslag

Rettigheder i forbindelse med modtagere

Underretningspligt i forbindelse med berigtigelse og sletning

Den registeransvarlige meddeler enhver berigtigelse eller sletning, der er udført i henhold til artikel 16 og 17, til hver modtager, som oplysningerne er videregivet til, medmindre dette viser sig umuligt eller er uforholdsmæssigt vanskeligt.

Den dataansvarlige meddeler enhver berigtigelse eller sletning, der er udført i henhold til artikel 16 og 17, til hver modtager, som oplysningerne er overført til, medmindre dette viser sig umuligt eller er uforholdsmæssigt vanskeligt. Den dataansvarlige oplyser den registrerede om disse modtagere, såfremt den registrerede anmoder herom.

Ændringsforslag  109

Forslag til forordning

Artikel 13 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 13a

 

Standardiserede informationspolitikker

 

1. Hvis personoplysninger om en registreret indsamles, udleverer den dataansvarlige følgende informationer til den registrerede, før der forelægges oplysninger i henhold til artikel 14:

 

a) hvorvidt der indsamles personoplysninger, ud over hvad der er nødvendigt for hvert specifikt formål i behandlingen

 

b) hvorvidt der opbevares personoplysninger, ud over hvad der er strengt nødvendigt for hvert specifikt formål i behandlingen

 

c) hvorvidt personoplysninger behandles til andre formål end de formål, hvortil de blev indsamlet

d) hvorvidt personoplysninger videregives til kommercielle tredjeparter

 

e) hvorvidt personoplysninger sælges eller udlejes

 

f) hvorvidt personoplysninger opbevares i krypteret form.

 

2. De i stk. 1 omhandlede informationer præsenteres i henhold til bilag X i et tilpasset tabelformat, hvori der anvendes tekst og symboler, i følgende tre kolonner:

 

a) den første kolonne afbilder grafik, som symboliserer de pågældende informationer

 

b) den anden kolonne indeholder vigtige oplysninger, som beskriver de pågældende informationer

 

c) den tredje kolonne afbilder grafik, som viser, om et særligt informationskrav er opfyldt.

 

3. De i stk. 1 og 2 omhandlede oplysninger præsenteres på en let synlig og let læselig måde og anføres på et sprog, der er letforståeligt for forbrugerne i de medlemsstater, som oplysningerne gives til. Såfremt informationerne præsenteres elektronisk, skal de være maskinlæsbare.

 

4. Der udleveres ikke yderligere informationer. Der kan gives detaljerede forklaringer eller yderligere bemærkninger vedrørende de i stk. 1 omhandlede informationer sammen med de øvrige informationskrav i henhold til artikel 14.

 

5. Kommissionen tillægges beføjelser til efter anmodning om en udtalelse fra Det Europæiske Databeskyttelsesråd at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af de i stk. 1 omhandlede informationer og præsentationen af dem som omhandlet i stk. 2 og i bilag I.

Ændringsforslag  110

Forslag til forordning

Artikel 14

Kommissionens forslag

Ændringsforslag

Information til den registrerede

Information til den registrerede

1. Hvis personoplysninger om en registreret indsamles, udleverer den registeransvarlige mindst følgende oplysninger til den registrerede:

1. Hvis personoplysninger om en registreret indsamles, udleverer den dataansvarlige mindst følgende oplysninger til den registrerede, efter informationerne i henhold til artikel 13a er blevet udleveret:

a) identitet og kontaktoplysninger for den registeransvarlige, dennes eventuelle repræsentant og den databeskyttelsesansvarlige

a) identitet og kontaktoplysninger for den dataansvarlige, dennes eventuelle repræsentant og den databeskyttelsesansvarlige

b) formålene med den behandling, som personoplysningerne skal bruges til, herunder kontraktvilkår og generelle betingelser, såfremt behandlingen er baseret på artikel 6, stk. 1, litra b), og de legitime interesser, der forfølges af den registeransvarlige, såfremt behandlingen er baseret på artikel 6, stk. 1, litra f)

b) formålene med den behandling, som personoplysningerne skal bruges til, og oplysninger om sikkerheden i forbindelse med behandling af personoplysninger, herunder kontraktvilkår og generelle betingelser, såfremt behandlingen er baseret på artikel 6, stk. 1, litra b), og, hvor det er relevant, oplysninger om, hvordan de gennemfører og opfylder kravene i artikel 6, stk. 1, litra f)

c) det tidsrum, hvori personoplysningerne opbevares

c) det tidsrum, hvori personoplysningerne opbevares, eller, hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum

d) retten til at anmode den registeransvarlige om indsigt i og berigtigelse eller sletning af personoplysninger vedrørende den registrerede eller gøre indsigelse mod behandlingen af sådanne personoplysninger

d) retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger vedrørende den registrerede, gøre indsigelse mod behandlingen af sådanne personoplysninger eller få oplysninger

e) retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysningerne for tilsynsmyndigheden

e) retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysningerne for tilsynsmyndigheden

f) modtagerne eller kategorierne af modtagere af personoplysningerne

f) modtagerne eller kategorierne af modtagere af personoplysningerne

g) såfremt den registeransvarlige agter at videregive personoplysninger til et tredjeland eller en international organisation, oplysninger om det beskyttelsesniveau, som det pågældende tredjeland eller den pågældende internationale organisation har, med henvisning til Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveauet

g) såfremt den dataansvarlige agter at videregive personoplysninger til et tredjeland eller en international organisation, og hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller i tilfælde af videregivelser i henhold til artikel 42, artikel 43 eller artikel 44, stk. 1, litra h), henvisning til de fornødne garantier og mulighed for at få en kopi heraf

 

ga) eventuelle oplysninger om eksistensen af profilering, af foranstaltninger baseret på profilering og profilerings forventede konsekvenser for den registrerede

 

gb) relevante oplysninger om logikken bag enhver automatisk behandling

h) yderligere information, for så vidt denne information er nødvendig under hensyn til de særlige forhold, hvorunder personoplysningerne indsamles, for at garantere en retfærdig behandling af den registrerede.

h) yderligere information, som er nødvendig for at garantere en retfærdig behandling af den registrerede, under hensyn til de særlige forhold, hvorunder personoplysningerne indsamles eller behandles, navnlig eksistensen af visse behandlingsaktiviteter, for hvilke en konsekvensanalyse vedrørende personoplysninger har vist, at der kan være en høj risiko

 

ha) eventuelle oplysninger om, hvorvidt personoplysninger er blevet videregivet til offentlige myndigheder inden for den seneste sammenhængende periode på 12 måneder.

 

2. Hvis personoplysningerne indsamles fra den registrerede, meddeler den registeransvarlige i tillæg til de i stk. 1 omhandlede oplysninger den registrerede, hvorvidt indgivelsen af personoplysninger er obligatorisk eller frivillig, og de mulige konsekvenser, hvis sådanne oplysninger ikke indgives.

2. Hvis personoplysningerne indsamles fra den registrerede, meddeler den registeransvarlige i tillæg til de i stk. 1 omhandlede oplysninger den registrerede, hvorvidt indgivelsen af personoplysninger er obligatorisk eller frivillig, og de mulige konsekvenser, hvis sådanne oplysninger ikke indgives.

 

2a. Når der træffes beslutning om yderligere information, der er nødvendig for at gøre behandlingen retfærdig i henhold til stk. 1, litra h), skal dataansvarlige tage hensyn til alle relevante retningslinjer under artikel 38.

3. Hvis personoplysningerne ikke indsamles fra den registrerede, meddeler den registeransvarlige i tillæg til de i stk. 1 omhandlede oplysninger den registrerede, fra hvilken kilde personoplysningerne stammer.

3. Hvis personoplysningerne ikke indsamles fra den registrerede, meddeler den dataansvarlige i tillæg til de i stk. 1 omhandlede oplysninger den registrerede, fra hvilken kilde de specifikke personoplysninger stammer. Såfremt personoplysningerne stammer fra offentligt tilgængelige kilder, kan der gives en generel angivelse.

4. Den registeransvarlige fremlægger de oplysninger, der er omhandlet i stk. 1, 2 og 3:

4. Den dataansvarlige fremlægger de oplysninger, der er omhandlet i stk. 1, 2 og 3:

a) på det tidspunkt, hvor personoplysningerne indhentes fra den registrerede, eller

a) på det tidspunkt, hvor personoplysningerne indhentes fra den registrerede, eller uden unødig forsinkelse hvis ovenstående ikke er muligt, eller

 

aa) efter anmodning fra et organ, en organisation eller en sammenslutning som omhandlet i artikel 73

b) såfremt personoplysningerne ikke indsamles fra den registrerede, på tidspunktet for registreringen eller inden for et rimeligt tidsrum efter indsamlingen afhængigt af de konkrete omstændigheder for indsamlingen eller behandlingen af oplysningerne, eller, hvis videregivelse til en anden modtager forventes, senest når oplysningerne første gange videregives.

b) såfremt personoplysningerne ikke indsamles fra den registrerede, på tidspunktet for registreringen eller inden for et rimeligt tidsrum efter indsamlingen afhængigt af de konkrete omstændigheder for indsamlingen eller behandlingen af oplysningerne, eller, hvis overførsel til en anden modtager forventes, senest når oplysningerne første gang overføres, eller, hvis oplysningerne skal bruges til at kommunikere med den pågældende registrerede, senest når der første gang kommunikeres med den registrerede, eller

 

ba) udelukkende efter anmodning, hvis oplysningerne behandles af en lille virksomhed eller en mikrovirksomhed, der kun behandler oplysninger som biaktivitet.

5. Bestemmelserne i stk. 1-4 gælder ikke, hvis:

5. Bestemmelserne i stk. 1-4 gælder ikke, hvis:

a) den registrerede allerede har de oplysninger, der er omhandlet i stk. 1, 2 og 3, eller

a) den registrerede allerede har de oplysninger, der er omhandlet i stk. 1, 2 og 3, eller

b) oplysningerne ikke indsamles fra den registrerede, og hvis det viser sig umuligt eller uforholdsmæssigt vanskeligt at underrette den pågældende, eller

b) oplysningerne behandles med henblik på historiske, statistiske eller videnskabelige forskningsformål, med forbehold af de betingelser og garantier, der er omhandlet i artikel 81 og 83, ikke indsamles fra den registrerede, og hvis det viser sig umuligt eller uforholdsmæssigt vanskeligt at underrette den pågældende, og den dataansvarlige har offentliggjort oplysningerne, således at de er frit tilgængelige for alle, eller

c) oplysningerne ikke indsamles fra den registrerede, og registrering eller videregivelse udtrykkeligt er fastsat ved lov, eller

c) oplysningerne ikke indsamles fra den registrerede, og registrering eller videregivelse udtrykkeligt er fastsat ved lov, som den dataansvarlige er underlagt, og som fastsætter hensigtsmæssige foranstaltninger til beskyttelse af den registreredes legitime interesser, under hensyntagen til de risici, som behandlingen indebærer, og personoplysningernes art, eller

d) oplysningerne ikke indsamles fra den registrerede og fremlæggelsen af sådanne oplysninger vil påvirke andres rettigheder og frihedsrettigheder som fastsat i EU-retten eller medlemsstatslovgivning, jf. artikel 21.

d) oplysningerne ikke indsamles fra den registrerede og fremlæggelsen af sådanne oplysninger vil påvirke andre fysiske personers rettigheder og frihedsrettigheder som fastsat i EU-retten eller medlemsstatslovgivning, jf. artikel 21

 

da) oplysningerne behandles i forbindelse med erhvervsudøvelse af eller overdrages til eller bliver kendt af en person, som er underlagt tavshedspligt i henhold til EU-retten eller medlemsstatslovgivning eller lovpligtig tavshedspligt, medmindre oplysningerne indhentes direkte fra den registrerede.

6. I det tilfælde, der er nævnt i stk. 5, litra b), træffer den registeransvarlige tilstrækkelige foranstaltninger til at beskytte den registreredes legitime interesser.

6. I det tilfælde, der er nævnt i stk. 5, litra b), træffer den dataansvarlige tilstrækkelige foranstaltninger til at beskytte den registreredes rettigheder eller legitime interesser.

7. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier for kategorier af modtagere, jf. stk. 1, litra f), krav til meddelelsen om mulig adgang, jf. stk. 1, litra g), kriterier for yderligere nødvendige informationer, jf. stk. 1, litra h), for særlige sektorer og i særlige situationer samt betingelserne og de fornødne garantier for undtagelser, jf. stk. 5, litra b). Kommissionen træffer herved passende foranstaltninger for mikrovirksomheder og små og mellemstore virksomheder.

 

8. Kommissionen kan fastlægge standardformularer for indgivelse af de oplysninger, der er omhandlet i stk. 1, 2 og 3, under behørigt hensyn til de særlige karakteristika og behov i forskellige sektorer og databehandlingssituationer. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

 

Ændringsforslag  111

Forslag til forordning

Artikel 15

Kommissionens forslag

Ændringsforslag

Den registreredes ret til indsigt

Den registreredes ret til indsigt og til at få adgang til oplysninger

1. Den registrerede har til enhver tid ret til efter anmodning at få bekræftet fra den registeransvarlige, om personoplysninger vedrørende vedkommende behandles. Hvis sådanne personoplysninger behandles, fremlægger den registeransvarlige følgende oplysninger:

 

1. Med forbehold af artikel 12, stk. 4, har den registrerede til enhver tid ret til efter anmodning at få bekræftet fra den dataansvarlige, om personoplysninger vedrørende vedkommende behandles, og til at få adgang til følgende oplysninger i et klart og forståeligt sprog:

a) formålene med behandlingen

a) formålene med behandlingen for hver enkelt kategori af personoplysninger

b) de pågældende kategorier af personoplysninger

b) de pågældende kategorier af personoplysninger

c) de modtagere eller kategorier af modtagere, som personoplysningerne videregives eller er blevet videregivet til, navnlig modtagere i tredjelande

c) de modtagere, som personoplysningerne videregives eller er blevet videregivet til, herunder modtagere i tredjelande

d) det tidsrum, hvori personoplysningerne opbevares

d) det tidsrum, hvori personoplysningerne opbevares, eller, hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum

e) retten til at anmode den registeransvarlige om berigtigelse eller sletning af personoplysninger om den registrerede eller gøre indsigelse mod behandlingen af sådanne personoplysninger

e) retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger om den registrerede eller gøre indsigelse mod behandlingen af sådanne personoplysninger

f) retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysningerne for tilsynsmyndigheden

f) retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysningerne for tilsynsmyndigheden

g) hvilke personoplysninger der er omfattet af behandlingen, samt enhver tilgængelig information om, hvorfra disse oplysninger stammer

 

h) betydningen og de forventede konsekvenser af denne behandling, hvad angår mindst de foranstaltninger, der er omhandlet i artikel 20.

h) betydningen og de forventede konsekvenser af denne behandling

 

ha) relevante oplysninger om logikken bag enhver automatisk behandling

 

hb) i tilfælde af videregivelse af personoplysninger til en offentlig myndighed efter dennes anmodning, bekræftelse af denne anmodning, jf. dog artikel 21.

2. Den registrerede har ret til fra den registeransvarlige at modtage underretning om de personoplysninger, der er genstand for behandling. Hvis den registrerede indgiver anmodningen elektronisk, gives meddelelsen elektronisk, medmindre den registrerede anmoder om andet.

2. Den registrerede har ret til fra den dataansvarlige at modtage underretning om de personoplysninger, der er genstand for behandling. Hvis den registrerede indgiver anmodningen elektronisk, gives meddelelsen i et elektronisk og struktureret format, medmindre den registrerede anmoder om andet. Med forbehold af artikel 10 træffer den dataansvarlige alle rimelige foranstaltninger til at kontrollere, at den person, som anmoder om indsigt, er den registrerede.

 

2a. Hvis den registrerede har afgivet personoplysningerne, og hvis personoplysningerne behandles elektronisk, har den registrerede ret til af den dataansvarlige at få en kopi af de afgivne personoplysninger i et almindeligt anvendt elektronisk og interoperabelt format, som den registrerede kan anvende senere, uden hindring fra den dataansvarlige, som personoplysningerne trækkes tilbage fra. Såfremt det er teknisk muligt og tilgængeligt, skal oplysningerne overføres direkte fra dataansvarlig til dataansvarlig efter anmodning fra den registrerede.

 

2b. Denne artikel berører ikke pligten til at slette oplysninger, som ikke længere er nødvendige, i henhold til artikel 5, stk. 1, litra e).

 

2c. Der gives ingen ret til indsigt i henhold til stk. 1 og 2, når der er tale om oplysninger, som er omhandlet i artikel 14, stk. 5, litra da), undtagen hvis den registrerede har beføjelser til at ophæve den pågældende tavshedspligt og handler i overensstemmelse hermed.

3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende meddelelsen til den registrerede af indholdet i de personoplysninger, der er omhandlet i stk. 1, litra g).

 

4. Kommissionen kan fastlægge standardformularer og -procedurer for anmodning om og meddelelse af adgang til oplysninger, der er omhandlet i stk. 1, herunder med henblik på verifikation af den registreredes identitet og meddelelse af personoplysninger til den registrerede under hensyntagen til de særlige karakteristika og behov i forskellige sektorer og databehandlingssituationer. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

 

Ændringsforslag  112

Forslag til forordning

Artikel 17

Kommissionens forslag

Ændringsforslag

Ret til at blive glemt og ret til sletning

Ret til sletning

1. Den registrerede kan kræve, at den registeransvarlige sletter personoplysninger vedrørende den registrerede og undlader yderligere udbredelse af sådanne oplysninger, navnlig hvad angår personoplysninger, som den registrerede har stillet til rådighed, da vedkommende var barn, såfremt:

1. Den registrerede kan kræve, at den dataansvarlige sletter personoplysninger vedrørende den registrerede og undlader yderligere udbredelse af sådanne oplysninger, og at tredjeparter sletter eventuelle links til eller kopier eller gengivelser af de pågældende oplysninger, såfremt:

a) personoplysningerne ikke længere er nødvendige til opfyldelse af de formål, hvortil de blev indsamlet eller på anden vis behandlet, eller

a) personoplysningerne ikke længere er nødvendige til opfyldelse af de formål, hvortil de blev indsamlet eller på anden vis behandlet, eller

b) den registrerede tilbagetrækker sit samtykke, som er grundlaget for behandlingen i henhold til artikel 6, stk. 1, litra a), eller hvis den opbevaringsperiode, der er givet samtykke til, er udløbet, og hvis der ikke længere er et retligt grundlag for behandlingen af oplysningerne, eller

b) den registrerede tilbagetrækker sit samtykke, som er grundlaget for behandlingen i henhold til artikel 6, stk. 1, litra a), eller hvis den opbevaringsperiode, der er givet samtykke til, er udløbet, og hvis der ikke længere er et retligt grundlag for behandlingen af oplysningerne, eller

c) den registrerede gør indsigelse mod behandlingen af personoplysninger i henhold til artikel 19, eller

c) den registrerede gør indsigelse mod behandlingen af personoplysninger i henhold til artikel 19, eller

 

ca) en domstol eller en tilsynsmyndighed, der er etableret i Unionen, ved endelig og uomstødelig dom har besluttet, at de pågældende oplysninger skal slettes, eller

d) behandlingen af personoplysningerne af andre grunde er i strid med denne forordning.

d) personoplysningerne er blevet behandlet ulovligt.

 

1a. Anvendelsen af stk. 1 afhænger af den dataansvarliges evne til at kontrollere, at den person, som anmoder om at få slettet oplysningerne, er den registrerede.

2. Hvis den i stk. 1 omhandlede registeransvarlige har offentliggjort personoplysningerne, træffer denne alle rimelige foranstaltninger, herunder tekniske foranstaltninger, vedrørende oplysninger, hvis offentliggørelse den registeransvarlige er ansvarlig for, for at underrette tredjeparter, der behandler sådanne oplysninger, om, at en registreret ønsker, at de sletter alle link til, kopier af og gengivelser af disse personoplysninger. Hvis den registeransvarlige har godkendt, at en tredjepart offentliggør personoplysninger, er den registeransvarlige ansvarlig for denne offentliggørelse.

2. Hvis den i stk. 1 omhandlede dataansvarlige har offentliggjort personoplysningerne uden en begrundelse på grundlag af artikel 6, stk. 1, træffer denne alle rimelige foranstaltninger for at få oplysningerne slettet, herunder at tredjeparter ligeledes sletter oplysningerne, uden at dette berører artikel 77. Den dataansvarlige oplyser så vidt muligt den registrerede om de foranstaltninger, som relevante tredjeparter har truffet.

3. Den registeransvarlige foretager omgående sletningen, medmindre det er nødvendigt at bevare personoplysningerne:

3. Den dataansvarlige og den eventuelle tredjepart foretager omgående sletningen, medmindre det er nødvendigt at bevare personoplysningerne:

a) med henblik på at udøve retten til ytringsfrihed i henhold til artikel 80

a) med henblik på at udøve retten til ytringsfrihed i henhold til artikel 80

b) af hensyn til samfundsinteresser på folkesundhedsområdet i henhold til artikel 81

b) af hensyn til samfundsinteresser på folkesundhedsområdet i henhold til artikel 81

c) til historiske, statistiske eller videnskabelige forskningsformål i henhold til artikel 83

c) til historiske, statistiske eller videnskabelige forskningsformål i henhold til artikel 83

d) for at opfylde en retlig forpligtelse til at bevare personoplysninger i henhold til EU-retten eller medlemsstatslovgivning, som den registeransvarlige er underlagt; medlemsstatens lovgivning skal forfølge almene hensyn, respektere kernen i retten til beskyttelse af personoplysninger og stå i et rimeligt forhold til det legitime mål, der forfølges

d) for at opfylde en retlig forpligtelse til at bevare personoplysninger i henhold til EU-retten eller medlemsstatslovgivning, som den dataansvarlige er underlagt; medlemsstatens lovgivning skal forfølge almene hensyn, respektere retten til beskyttelse af personoplysninger og stå i et rimeligt forhold til det legitime mål, der forfølges

e) i de tilfælde, der er nævnt i stk. 4.

e) i de tilfælde, der er nævnt i stk. 4.

4. I stedet for sletning begrænser den registeransvarlige behandlingen af personoplysninger, hvis:

4. I stedet for sletning begrænser den dataansvarlige behandlingen af personoplysninger således, at de ikke er underlagt den dataansvarliges normale aktiviteter i forbindelse med adgang til og behandling af oplysninger og ikke længere kan ændres, hvis:

a) deres rigtighed bestrides af den registrerede, indtil den registeransvarlige har haft mulighed for at fastslå, om de er rigtige

a) deres rigtighed bestrides af den registrerede, indtil den dataansvarlige har haft mulighed for at fastslå, om de er rigtige

b) den registeransvarlige ikke længere har behov for dem til udførelsen af sine opgaver, men de fortsat skal opbevares som bevismiddel

b) den dataansvarlige ikke længere har behov for dem til udførelsen af sine opgaver, men de fortsat skal opbevares som bevismiddel

c) behandlingen af dem er ulovlig, og den registrerede modsætter sig deres sletning og i stedet kræver, at anvendelsen heraf begrænses

c) behandlingen af dem er ulovlig, og den registrerede modsætter sig deres sletning og i stedet kræver, at anvendelsen heraf begrænses

 

ca) en domstol eller en tilsynsmyndighed, der er etableret i Unionen, ved endelig og uomstødelig dom har besluttet, at der skal være begrænset adgang til de pågældende oplysninger

d) den registrerede anmoder om, at personoplysninger overføres til et andet automatisk databehandlingssystem i overensstemmelse med artikel 18, stk. 2.

d) den registrerede anmoder om, at personoplysninger overføres til et andet automatisk databehandlingssystem i overensstemmelse med artikel 15, stk. 2a

 

da) den særlige type lagerteknologi ikke giver mulighed for sletning og er blevet installeret før denne forordnings ikrafttræden.

5. De i stk. 4 omhandlede personoplysninger må, bortset fra opbevaringen af dem, kun gøres til genstand for behandling, når de benyttes som bevismiddel, eller når de benyttes til med den registreredes samtykke at beskytte en anden fysisk eller juridisk persons rettigheder eller forfølge almene hensyn.

5. De i stk. 4 omhandlede personoplysninger må, bortset fra opbevaringen af dem, kun gøres til genstand for behandling, når de benyttes som bevismiddel, eller når de benyttes til med den registreredes samtykke at beskytte en anden fysisk eller juridisk persons rettigheder eller forfølge almene hensyn.

6. Hvis behandlingen af personoplysninger er begrænset i henhold til stk. 4, underretter den registeransvarlige den registrerede, inden begrænsningen for behandling ophæves.

6. Hvis behandlingen af personoplysninger er begrænset i henhold til stk. 4, underretter den dataansvarlige den registrerede, inden begrænsningen for behandling ophæves.

7. Den registeransvarlige iværksætter mekanismer med henblik på at sikre, at de frister, der er fastsat for sletningen af personoplysninger og/eller for en regelmæssig undersøgelse af behovet for opbevaringen af oplysningerne, overholdes.

 

8. Hvis personoplysninger slettes, foretager den registeransvarlige ikke senere behandling af disse oplysninger.

8. Hvis personoplysninger slettes, foretager den dataansvarlige ikke senere behandling af disse oplysninger.

 

8a. Den dataansvarlige gennemfører mekanismer med henblik på at sikre, at de frister, der er fastsat for sletningen af personoplysninger og/eller for en periodisk evaluering af nødvendigheden af at opbevare oplysningerne, overholdes.

9. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i henhold til artikel 86 med henblik på nærmere fastlæggelse af:

9. Kommissionen tillægges beføjelser til efter at have anmodet Det Europæiske Databeskyttelsesråd om en udtalelse at vedtage delegerede retsakter i henhold til artikel 86 med henblik på nærmere fastlæggelse af:

a) kriterier og krav i forbindelse med anvendelse af stk. 1, der stilles i bestemte sektorer og i bestemte databehandlingssituationer

a) kriterier og krav i forbindelse med anvendelse af stk. 1, der stilles i bestemte sektorer og i bestemte databehandlingssituationer

b) betingelserne for sletning af link til, kopier af eller gengivelser af personoplysninger fra offentligt tilgængelige kommunikationstjenester som omhandlet i stk. 2

b) betingelserne for sletning af link til, kopier af eller gengivelser af personoplysninger fra offentligt tilgængelige kommunikationstjenester som omhandlet i stk. 2

c) kriterierne og betingelserne for begrænsning af behandlingen af personoplysninger som omhandlet i stk. 4.

c) kriterierne og betingelserne for begrænsning af behandlingen af personoplysninger som omhandlet i stk. 4.

Ændringsforslag  113

Forslag til forordning

Artikel 18

Kommissionens forslag

Ændringsforslag

Ret til dataportabilitet

udgår

1. Den registrerede har, når personoplysninger behandles elektronisk og i et struktureret og almindeligt anvendt format, ret til af den registeransvarlige at få en kopi af oplysninger, der er genstand for behandling, i et almindeligt anvendt elektronisk og struktureret format, som den registrerede kan anvende senere.

 

2. Hvis den registrerede har afgivet personoplysningerne, og behandlingen er baseret på samtykke eller en kontrakt, har den registreredes ret til at overføre disse personoplysninger og andre oplysninger, som den registrerede har afgivet, og som opbevares i et databehandlingssystem, til et andet system i et almindeligt anvendt elektronisk format uden hindring fra den registeransvarlige, som personoplysningerne flyttes fra.

 

3. Kommissionen kan specificere det elektroniske format, der er omhandlet i stk. 1, og de tekniske standarder, nærmere regler og procedurer for videregivelse af personoplysninger i henhold til stk. 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

 

Ændringsforslag  114

Forslag til forordning

Artikel 19

Kommissionens forslag

Ændringsforslag

Ret til indsigelse

Ret til indsigelse

1. Den registrerede har til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af personoplysninger baseret på artikel 6, stk. 1, litra d), e) og f), medmindre den registeransvarlige påviser vægtige legitime grunde til behandlingen, der tilsidesætter den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder.

1. Den registrerede har til enhver tid ret til at gøre indsigelse mod behandling af personoplysninger baseret på artikel 6, stk. 1, litra d), og e), medmindre den dataansvarlige påviser vægtige legitime grunde til behandlingen, der tilsidesætter den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder.

2. Hvis personoplysninger behandles med henblik på direkte markedsføring, har den registrerede ret til gratis at gøre indsigelse mod behandlingen af vedkommendes personoplysninger til sådan markedsføring. Den registrerede skal udtrykkeligt informeres om denne ret på en letforståelig måde, og denne information skal klart kunne skelnes fra andre informationer.

2. Hvis behandlingen af personoplysninger er baseret på artikel 6, stk. 1, litra f), har den registrerede ret til på et hvilket som helst tidspunkt og uden yderligere begrundelser gratis at gøre indsigelse i almindelighed eller med et særligt formål mod behandlingen af vedkommendes personoplysninger.

 

2a. Den registrerede skal udtrykkeligt informeres om den i stk. 2 omhandlede ret på en letforståelig måde og i letforståelig form og i et klart og forståeligt sprog, navnlig hvis informationerne specifikt er henvendt til et barn, og denne information skal klart kunne skelnes fra andre informationer.

 

2b. I forbindelse med anvendelsen af informationssamfundstjenester og uanset direktiv 2002/58/EF kan retten til at gøre indsigelse udøves automatisk gennem anvendelse af en teknisk standard, der giver den registrerede mulighed for klart at udtrykke sine ønsker.

3. Hvis der gøres indsigelse i henhold til stk. 1 og 2, anvender eller foretager den registeransvarlige ikke senere behandling af de pågældende personoplysninger.

3. Hvis der gøres indsigelse i henhold til stk. 1 og 2, anvender eller foretager den dataansvarlige ikke senere behandling af de pågældende personoplysninger på grundlag af indsigelsen.

(Den sidste sætning i stk. 2 i Kommissionens tekst er blevet stk. 2a i Parlamentets ændringsforslag)

 

Ændringsforslag  115

Forslag til forordning

Artikel 20

Kommissionens forslag

Ændringsforslag

Foranstaltninger baseret på profilering

Profilering

1. Enhver fysisk person har ret til ikke at være genstand for en foranstaltning, der har retsvirkning for vedkommende, eller som berører vedkommende i væsentlig grad, og som er baseret alene på automatisk databehandling, der har til formål at vurdere bestemte personlige forhold vedrørende vedkommende eller analysere eller forudsige f.eks. vedkommendes erhvervsevne, økonomiske situation, lokalitet, sundhed, personlige præferencer, pålidelighed eller adfærd.

1. Med forbehold af bestemmelserne i artikel 6 har enhver fysisk person ret til at gøre indsigelse mod profilering i overensstemmelse med artikel 19. Den registrerede informeres om retten til at gøre indsigelse mod profilering på en særdeles synlig måde.

2. Uden at dette berører de øvrige bestemmelser i denne forordning, kan en person kun gøres til genstand for en foranstaltning af den art, der er omhandlet i stk. 1, hvis behandlingen:

2. Uden at dette berører de øvrige bestemmelser i denne forordning, kan en person kun gøres til genstand for profilering, som medfører foranstaltninger, der har retlige virkninger for den registrerede eller på tilsvarende vis i væsentlig grad berører den pågældende registreredes interesser, rettigheder eller frihedsrettigheder, hvis behandlingen:

a) foretages som led i indgåelsen eller opfyldelsen af en kontrakt, såfremt den registreredes anmodning om indgåelse eller opfyldelse af kontrakten er blevet efterkommet, eller der findes passende foranstaltninger til at beskytte den registreredes legitime interesser, som f.eks. retten til menneskelig indgriben, eller

a) er nødvendig for indgåelsen eller opfyldelsen af en kontrakt, såfremt den registreredes anmodning om indgåelse eller opfyldelse af kontrakten er blevet efterkommet, forudsat at der findes passende foranstaltninger til at beskytte den registreredes legitime interesser, eller

b) er hjemlet i EU-retten eller medlemsstatens lovgivning, der også fastsætter tilstrækkelige bestemmelser til beskyttelse af den registreredes legitime interesser eller

b) er hjemlet i EU-retten eller medlemsstatens lovgivning, der også fastsætter tilstrækkelige bestemmelser til beskyttelse af den registreredes legitime interesser eller

c) er baseret på den registreredes samtykke med forbehold af bestemmelserne i artikel 7 og passende garantier.

c) er baseret på den registreredes samtykke med forbehold af bestemmelserne i artikel 7 og passende garantier.

3. Automatisk behandling af personoplysninger, der har til formål at vurdere bestemte personlige forhold vedrørende en fysisk person, må ikke alene baseres på de særlige kategorier af personoplysninger, der er nævnt i artikel 9.

3. Profilering, der indebærer forskelsbehandling af fysiske personer på grund af race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, seksuel orientering eller kønsidentitet, eller som resulterer i en sådan forskelsbehandling, er forbudt. Den dataansvarlige gennemfører en effektiv beskyttelse mod mulig forskelsbehandling, der skyldes profilering. Profilering må ikke alene baseres på de særlige kategorier af personoplysninger, der er nævnt i artikel 9.

4. I de tilfælde, der er nævnt i stk. 2, omfatter de oplysninger, som den registeransvarlige fremlægger i henhold til artikel 14, oplysninger om eksistensen af behandling med henblik på en foranstaltning af den art, der er omhandlet i stk. 1, og de forventede konsekvenser af denne behandling for den registrerede.

 

5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og betingelser for tilstrækkelige foranstaltninger til at beskytte den registreredes legitime interesser, der er omhandlet i stk. 2.

5. Profilering, som medfører foranstaltninger, der har retlige virkninger for den registrerede, eller som på tilsvarende vis i væsentlig grad berører den pågældende registreredes interesser, rettigheder eller frihedsrettigheder, må ikke alene eller primært baseres på automatisk behandling og skal omfatte menneskelig vurdering, herunder en redegørelse for afgørelsen truffet efter en sådan vurdering. De tilstrækkelige foranstaltninger til at beskytte den registreredes legitime interesser, der er omhandlet i stk. 2., omfatter retten til at få en menneskelig vurdering og en redegørelse for afgørelsen truffet efter en sådan vurdering.

 

5a. Det Europæiske Databeskyttelsesråd betros opgaven med at udstede retningslinjer, henstillinger og bedste praksis, jf. artikel 66, stk. 1, litra b), med henblik på yderligere at præcisere kriterier og betingelser for profilering i henhold til stk. 2.

Ændringsforslag  116

Forslag til forordning

Artikel 21

Kommissionens forslag

Ændringsforslag

Begrænsninger

Begrænsninger

1. EU-retten eller en medlemsstats lovgivning kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de rettigheder og forpligtelser, der er omhandlet i artikel 5, litra a)-e), artikel 11-20 og artikel 32, når en sådan begrænsning er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund med henblik på:

1. EU-retten eller en medlemsstats lovgivning kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de rettigheder og forpligtelser, der er omhandlet i artikel 11-19 og artikel 32, når en sådan begrænsning forfølger et klart defineret alment hensyn, respekterer kernen i retten til beskyttelse af personoplysninger, står i rimeligt forhold til det legitime mål, der forfølges, og respekterer den registreredes grundlæggende rettigheder og interesser og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund med henblik på:

a) beskyttelse af den offentlige sikkerhed

a) beskyttelse af den offentlige sikkerhed

b) forebyggelse, efterforskning, opdagelse og retsforfølgning i straffesager

b) forebyggelse, efterforskning, opdagelse og retsforfølgning i straffesager

c) beskyttelse af Unionens eller en medlemsstats andre samfundsinteresser, navnlig væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender og beskyttelsen af markedets stabilitet og integritet

c) skatteanliggender

d) forebyggelse, efterforskning, opdagelse og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv

d) forebyggelse, efterforskning, opdagelse og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv

e) kontrol-, tilsyns- eller reguleringsfunktioner, selv af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse i de tilfælde, der er nævnt i litra a)-d)

e) kontrol-, tilsyns- eller reguleringsfunktioner som led i en kompetent offentlig myndigheds arbejde i de tilfælde, der er nævnt i litra a)-d)

f) beskyttelse af den registreredes interesser eller andres rettigheder og frihedsrettigheder.

f) beskyttelse af den registreredes interesser eller andres rettigheder og frihedsrettigheder.

2. Enhver lovgivningsmæssig foranstaltning, der er omhandlet i stk. 1, skal bl.a. indeholde specifikke bestemmelser mindst vedrørende de formål, der søges opnået med behandlingen, og fastlæggelse af begrebet registeransvarlig.

2. Enhver lovgivningsmæssig foranstaltning, der er omhandlet i stk. 1, skal være nødvendig og forholdsmæssig i et demokratisk samfund og skal bl.a. indeholde specifikke bestemmelser mindst vedrørende:

 

a) de formål, der søges opnået med behandlingen

 

b) fastlæggelse af begrebet dataansvarlig

 

c) behandlingens specifikke formål og hjælpemidler

 

d) foranstaltninger for at undgå misbrug eller ulovlig adgang eller overførsel

 

e) registreredes ret til information om begrænsningen.

 

2a. De lovgivningsmæssige foranstaltninger, der er omhandlet i stk. 1, må ikke tillade eller forpligte private dataansvarlige til at opbevare oplysninger ud over de oplysninger, der er strengt nødvendige for det oprindelige formål.

(Den sidste del af ordlyden i stk. 2 i Kommissionens tekst er blevet til litra a) og b) i Parlamentets ændringsforslag)

Ændringsforslag  117

Forslag til forordning

Artikel 22

Kommissionens forslag

Ændringsforslag

Den registeransvarliges ansvar

Den dataansvarliges ansvar og ansvarlighed

1. Den registeransvarlige indfører regler og gennemfører passende foranstaltninger med henblik på at sikre og være i stand til at påvise, at behandlingen af personoplysninger foretages i overensstemmelse med denne forordning.

1. Den dataansvarlige indfører passende regler og gennemfører passende og påviselige tekniske og organisatoriske foranstaltninger med henblik på at sikre og være i stand til på en gennemsigtig måde at påvise, at behandlingen af personoplysninger foretages i overensstemmelse med denne forordning, under hensyntagen til det aktuelle tekniske niveau, arten af behandlingen af personoplysninger, de forhold, den foregår under, og dens omfang og formål samt risiciene for de registreredes rettigheder og frihedsrettigheder og organisationstypen både når metoderne til behandling fastlægges, og når selve behandlingen foretages.

 

1a. Den dataansvarlige træffer under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen alle rimelige foranstaltninger for at gennemføre politikker vedrørende overholdelse og procedurer, der konsekvent respekterer de registreredes selvstændige valg. Disse politikker vedrørende overholdelse revideres mindst hvert andet år og ajourføres om nødvendigt.

2. Foranstaltningerne, jf. stk. 1, omfatter navnlig:

 

a) opbevaring af dokumentation i overensstemmelse med artikel 28

 

b) gennemførelse af datasikkerhedskrav som fastsat i artikel 30

 

c) gennemførelse af konsekvensanalyser vedrørende databeskyttelse i henhold til artikel 33

 

d) overholdelse af kravene om forudgående godkendelse eller høring af tilsynsmyndigheden i henhold til artikel 34, stk. 1 og 2

 

e) udpegning af en databeskyttelsesansvarlig i henhold til artikel 35, stk. 1.

 

3. Den registeransvarlige gennemfører mekanismer, der har til formål at kontrollere effektiviteten af de foranstaltninger, der er nævnt i stk. 1 og 2. Denne kontrol udføres af uafhængige interne eller eksterne revisorer, hvis det er hensigtsmæssigt.

3. Den dataansvarlige skal kunne påvise, om de foranstaltninger, der er nævnt i stk. 1 og 2, er passende og effektive. Enhver regelmæssig generel rapport om den dataansvarliges aktiviteter, som f.eks. børsnoterede selskabers obligatoriske rapporter, skal indeholde en kortfattet beskrivelse af de politikker og foranstaltninger, der er nævnt i stk. 1.

 

3a. Den dataansvarlige har ret til at overføre personoplysninger i Unionen inden for den koncern, som den dataansvarlige er en del af, hvis en sådan behandling er nødvendig til legitime interne administrative formål mellem koncernens forbundne forretningsområder, og et passende databeskyttelsesniveau og de registreredes interesser beskyttes af interne databeskyttelsesbestemmelser eller lignende adfærdskodekser som omhandlet i artikel 38.

4. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på at fastlægge kriterier og krav vedrørende passende foranstaltninger, jf. stk. 1, ud over de foranstaltninger, der er nævnt i stk. 2, betingelser for de kontrol- og revisionsmekanismer, der er nævnt i stk. 3, og kriterier for hensigtsmæssighed i henhold til stk. 3, og med henblik på at overveje særlige foranstaltninger for mikrovirksomheder og små og mellemstore virksomheder.

 

Ændringsforslag  118

Forslag til forordning

Artikel 23

Kommissionens forslag

Ændringsforslag

Indbygget databeskyttelse og databeskyttelse gennem indstillinger

Indbygget databeskyttelse og databeskyttelse gennem indstillinger

1. Den registeransvarlige iværksætter under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen, både når metoderne til behandling fastlægges, og når selve behandlingen foretages, passende tekniske og organisatoriske foranstaltninger og procedurer, så behandlingen opfylder denne forordnings krav og sikrer beskyttelsen af den registreredes rettigheder.

1. Den dataansvarlige og en eventuel databehandler iværksætter under hensyntagen til det aktuelle tekniske niveau, den aktuelle tekniske viden, international bedste praksis og de risici, behandlingen af personoplysninger indebærer, både når formålene med og metoderne til behandling fastlægges, og når selve behandlingen foretages, passende og forholdsmæssige tekniske og organisatoriske foranstaltninger og procedurer, så behandlingen opfylder denne forordnings krav og sikrer beskyttelsen af den registreredes rettigheder, navnlig med hensyn til principperne i artikel 5. I forbindelse med indbygget databeskyttelse skal der især tages hensyn til den fulde livscyklusforvaltning af personoplysninger fra indsamling over behandling til sletning, idet der systematisk fokuseres på omfattende proceduremæssige sikkerhedsforanstaltninger med hensyn til personoplysningers nøjagtighed, fortrolighed, integritet, fysiske sikkerhed og sletning. Når den dataansvarlige har foretaget en konsekvensanalyse vedrørende databeskyttelse, jf. artikel 33, skal der tages højde for resultaterne heraf under udarbejdelsen af disse foranstaltninger og procedurer.

 

 

1a. Med henblik på at fremme en udbredt gennemførelse af indbygget databeskyttelse i forskellige økonomiske sektorer skal indbygget databeskyttelse være en forudsætning for offentlige udbud i overensstemmelse med Europa-Parlamentets og Rådets direktiv 2004/18/EF1 og med Europa-Parlamentets og Rådets direktiv 2004/17/EF2 (forsyningsvirksomhedsdirektivet).

2. Den registeransvarlige gennemfører mekanismer med henblik på som udgangspunkt at sikre, at kun de personoplysninger, der er nødvendige til det specifikke formål med behandlingen, behandles, og at de navnlig ikke indsamles eller opbevares ud over, hvad der er nødvendigt til disse formål, både med hensyn til mængden af oplysninger og opbevaringsperioden. Disse mekanismer sikrer navnlig, at personoplysninger som udgangspunkt ikke stilles til rådighed for et ubegrænset antal personer.

2. Den dataansvarlige sikrer som udgangspunkt, at kun de personoplysninger, der er nødvendige til det specifikke formål med behandlingen, behandles, og at de navnlig ikke indsamles, opbevares eller videregives ud over, hvad der er nødvendigt til disse formål, både med hensyn til mængden af oplysninger og opbevaringsperioden. Disse mekanismer sikrer navnlig, at personoplysninger som udgangspunkt ikke stilles til rådighed for et ubegrænset antal personer, og at de registrerede kan kontrollere udbredelsen af deres personoplysninger.

3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende tilstrækkelige foranstaltninger og mekanismer som omhandlet i stk. 1 og 2, navnlig med hensyn til krav til indbygget databeskyttelse og databeskyttelse gennem indstillinger, der gælder på tværs af sektorer, produkter og tjenesteydelser.

 

4. Kommissionen kan fastsætte tekniske standarder for kravene i stk. 1 og 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

 

 

1Europa-Parlamentets og Rådets direktiv nr. 2004/18/EF af 31. marts 2004 om samordning af fremgangsmåderne ved indgåelse af offentlige vareindkøbskontrakter, offentlige tjenesteydelseskontrakter og offentlige bygge- og anlægskontrakter (EUT L 134 af 30.4.2004, s. 114).

2Europa-Parlamentets og Rådets direktiv 2004/17/EF af 31. marts 2004 om samordning af fremgangsmåderne ved indgåelse af kontrakter inden for vand- og energiforsyning, transport samt posttjenester ("forsyningsvirksomhedsdirektivet") (EUT L 134 af 30.4.2004, s. 1).

Ændringsforslag  119

Forslag til forordning

Artikel 24

Kommissionens forslag

Ændringsforslag

Fælles registeransvarlige

Fælles registeransvarlige

Når en registeransvarlig fastsætter formålene med, betingelserne for og metoderne til behandling af personoplysninger sammen med andre, fastsætter de fælles registeransvarlige deres respektive ansvar for overholdelsen af forpligtelserne i henhold til denne forordning, navnlig hvad angår procedurer for og mekanismer til udøvelse af den registreredes rettigheder, ved hjælp af en ordning mellem dem.

Når flere dataansvarlige i fællesskab fastsætter formålene med og metoderne til behandling af personoplysninger, fastsætter de fælles dataansvarlige deres respektive ansvar for overholdelsen af forpligtelserne i henhold til denne forordning, navnlig hvad angår procedurer for og mekanismer til udøvelse af den registreredes rettigheder, ved hjælp af en ordning mellem dem. Ordningen skal på behørig vis afspejle de fælles dataansvarliges respektive effektive roller og forhold til de registrerede, og det væsentligste indhold af ordningen gøres tilgængelig for den registrerede. Såfremt der hersker tvivl om ansvaret, hæfter de dataansvarlige solidarisk.

Ændringsforslag  120

Forslag til forordning

Artikel 25

Kommissionens forslag

Ændringsforslag

Repræsentanter for registeransvarlige, der ikke er etableret i Unionen

Repræsentanter for dataansvarlige, der ikke er etableret i Unionen

1. I den situation, der er omhandlet i artikel 3, stk. 2, udpeger den registeransvarlige en repræsentant i Unionen.

1. I den situation, der er omhandlet i artikel 3, stk. 2, udpeger den dataansvarlige en repræsentant i Unionen.

2. Denne forpligtelse gælder ikke for:

2. Denne forpligtelse gælder ikke for:

a) en registeransvarlig i et tredjeland, hvor Kommissionen har afgjort, at dette tredjeland sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 41

a) en dataansvarlig i et tredjeland, hvor Kommissionen har afgjort, at dette tredjeland sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 41

b) virksomheder, der beskæftiger under 250 personer

b) en dataansvarlig, der behandler personoplysninger vedrørende færre end 5 000 registrerede over en sammenhængende periode på 12 måneder, og som ikke behandler særlige kategorier af personoplysninger, der er omhandlet i artikel 9, stk. 1, lokaliseringsoplysninger eller oplysninger om børn eller medarbejdere i omfattende registre

c) offentlige myndigheder eller organer

c) offentlige myndigheder eller organer

d) en registeransvarlig, der kun lejlighedsvis tilbyder varer eller tjenester til registrerede, der er bosiddende i Unionen.

d) en dataansvarlig, der kun lejlighedsvis tilbyder varer eller tjenester til registrerede i Unionen, medmindre behandlingen af personoplysninger vedrører særlige kategorier af personoplysninger, som er omhandlet i artikel 9, stk. 1, lokaliseringsoplysninger eller oplysninger om børn eller medarbejdere i omfattende registre.

3. Repræsentanten etableres i en af de medlemsstater, hvor de registrerede, hvis personoplysninger behandles i forbindelse med udbuddet af varer eller tjenesteydelser rettet mod dem, eller hvis adfærd overvåges, er bosiddende.

3. Repræsentanten etableres i en af de medlemsstater, hvor udbuddet af varer eller tjenesteydelser rettet mod de registrerede eller overvågningen af dem finder sted.

4. Den registeransvarliges udpegning af en repræsentant berører ikke eventuelle retslige skridt mod den registeransvarlige selv.

4. Den dataansvarliges udpegning af en repræsentant berører ikke eventuelle retslige skridt mod den dataansvarlige selv.

Ændringsforslag  121

Forslag til forordning

Artikel 26

Kommissionens forslag

Ændringsforslag

Registerfører

Databehandler

1. Hvis en behandlingsaktivitet foretages på vegne af en registeransvarlig, vælger den registeransvarlige en registerfører, som giver de fornødne garantier for gennemførelsen af passende tekniske og organisatoriske foranstaltninger og procedurer, så behandlingen opfylder denne forordnings krav og sikrer beskyttelsen af den registreredes rettigheder, herunder især med hensyn til de tekniske sikkerhedsforanstaltninger og organisatoriske foranstaltninger, der regulerer den behandling, der foretages, og sikrer overensstemmelse med disse foranstaltninger.

1. Hvis en behandling foretages på vegne af en dataansvarlig, vælger den dataansvarlige en databehandler, som giver de fornødne garantier for gennemførelsen af passende tekniske og organisatoriske foranstaltninger og procedurer, så behandlingen opfylder denne forordnings krav og sikrer beskyttelsen af den registreredes rettigheder, herunder især med hensyn til de tekniske sikkerhedsforanstaltninger og organisatoriske foranstaltninger, der regulerer den behandling, der foretages, og sikrer overensstemmelse med disse foranstaltninger.

2. Behandling ved en registerfører foretages i henhold til en kontrakt eller et andet retligt bindende dokument mellem registerføreren og den registeransvarlige, hvori det navnlig fastsættes, at registerføreren:

2. Behandling ved en databehandler foretages i henhold til en kontrakt eller et andet retligt bindende dokument mellem databehandleren og den dataansvarlige. Den dataansvarlige og databehandleren skal frit kunne fastlægge deres respektive roller og ansvarsområder med hensyn til kravene i denne forordning og fastsætte bestemmelser om, at databehandleren:

a) kun handler efter instruks fra den registeransvarlige, navnlig hvis videregivelse af de anvendte personoplysninger er forbudt

a) kun behandler personoplysninger efter instruks fra den dataansvarlige, medmindre andet er fastsat i EU-lovgivningen eller medlemsstaternes lovgivning

b) kun beskæftiger personale, som har forpligtet sig til at overholde en tavshedspligt eller i henhold til lovgivningen er underlagt tavshedspligt

b) kun beskæftiger personale, som har forpligtet sig til at overholde en tavshedspligt eller i henhold til lovgivningen er underlagt tavshedspligt

c) iværksætter alle krævede foranstaltninger i henhold til artikel 30

c) iværksætter alle krævede foranstaltninger i henhold til artikel 30

d) kun gør brug af en anden registerfører med den registeransvarliges forudgående tilladelse

d) fastlægger betingelserne for kun at gøre brug af en anden databehandler med den dataansvarliges forudgående tilladelse, medmindre andet er fastlagt

e) for så vidt det er muligt i betragtning af behandlingens karakter, efter aftale med den registeransvarlige tilvejebringer de nødvendige tekniske og organisatoriske forudsætninger for opfyldelsen af den registeransvarliges forpligtelse til at besvare anmodninger om udøvelse af den registreredes rettigheder som fastsat i kapitel III

e) for så vidt det er muligt i betragtning af behandlingens karakter, efter aftale med den dataansvarlige tilvejebringer de passende og relevante tekniske og organisatoriske forudsætninger for opfyldelsen af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af den registreredes rettigheder som fastsat i kapitel III

f) bistår den registeransvarlige i indsatsen for at sikre, at kravene i henhold til artikel 30-34 overholdes

f) bistår den dataansvarlige i indsatsen for at sikre, at kravene i henhold til artikel 30-34 overholdes, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for behandleren

g) overdrager alle resultater til den registeransvarlige efter afslutningen af behandlingen og ikke senere behandler personoplysningerne

g) leverer alle resultater tilbage til den dataansvarlige efter afslutningen af behandlingen, ikke senere behandler personoplysningerne og sletter eksisterende kopier, medmindre det i Unionens eller medlemsstaternes lovgivning kræves, at oplysningerne opbevares

h) stiller alle informationer, der er nødvendige for at kontrollere overholdelsen af kravene i denne artikel, til rådighed for den registeransvarlige og tilsynsmyndigheden.

h) stiller alle informationer, der er nødvendige for at påvise overholdelsen af kravene i denne artikel, til rådighed for den dataansvarlige og giver mulighed for kontroller på stedet.

3. Den registeransvarlige og registerføreren dokumenterer skriftligt den registeransvarliges instrukser og registerførerens forpligtelser, der er omhandlet stk. 2.

3. Den dataansvarlige og databehandleren dokumenterer skriftligt den dataansvarliges instrukser og databehandlerens forpligtelser, der er omhandlet i stk. 2.

 

3a. De fornødne garantier, der er omhandlet i stk. 1, kan påvises gennem overholdelse af adfærdskodekser eller certificeringsmekanismer i henhold til artikel 38 og 39 i denne forordning.

4. Hvis en registerfører behandler personoplysninger ud over den registeransvarliges instrukser, betragtes registerføreren som registeransvarlig for den pågældende behandling og er underlagt reglerne for fælles registeransvarlige i artikel 24.

4. Hvis en databehandler behandler personoplysninger ud over den dataansvarliges instrukser eller får en afgørende rolle i forhold til formålene med og metoderne til behandling af personoplysninger, betragtes databehandleren som dataansvarlig for den pågældende behandling og er underlagt reglerne for fælles dataansvarlige i artikel 24.

5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende en registerførers ansvar, pligter og opgaver i overensstemmelse med stk. 1 samt betingelser, der gør det muligt at behandle personoplysninger i en koncern, navnlig hvad angår kontrol og rapportering.

 

Ændringsforslag                  122

Forslag til forordning

Artikel 28

Kommissionens forslag

Ændringsforslag

Dokumentation

Dokumentation

1. En registeransvarlig og registerfører samt den registeransvarliges eventuelle repræsentant opbevarer dokumentation for enhver behandling, der gennemføres under denne.

1. En dataansvarlig og databehandler opbevarer dokumentation, der ajourføres regelmæssigt, og som er nødvendig for at opfylde kravene i denne forordning.

2. Dokumentationen omfatter mindst følgende oplysninger:

2. En dataansvarlig og databehandler opbevarer desuden dokumentation af følgende oplysninger:

a) navn og kontaktoplysninger for den registeransvarlige eller den fælles registeransvarlige og dennes eventuelle repræsentant

a) navn og kontaktoplysninger for den dataansvarlige eller den fælles dataansvarlige og dennes eventuelle repræsentant

b) navn og kontaktoplysninger for den eventuelle databeskyttelsesansvarlige

b) navn og kontaktoplysninger for den eventuelle databeskyttelsesansvarlige

c) formålene med behandlingen, herunder de legitime interesser, der forfølges af den registeransvarlige, såfremt behandlingen er baseret på artikel 6, stk. 1, litra f)

 

d) en beskrivelse af kategorierne af registrerede og de kategorier af personoplysninger, der vedrører dem

 

e) modtagerne eller kategorierne af modtagere af personoplysningerne, herunder registeransvarlige, som personoplysninger videregives til som led i de legitime interesser, de forfølger

e) navn og kontaktoplysninger for de dataansvarlige, som eventuelle personoplysninger videregives til

f) eventuelle videregivelser af personoplysninger til et tredjeland eller en international organisation, herunder identifikation af dette tredjeland eller denne internationale organisation, og i tilfælde af videregivelser i henhold til artikel 44, stk. 1, litra h), dokumentation af fornødne garantier

 

g) en generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger

 

h) en beskrivelse af de mekanismer, der er omhandlet i artikel 22, stk. 3.

 

3. Den registeransvarlige og registerføreren samt den registeransvarliges eventuelle repræsentant stiller efter anmodning dokumentationen til rådighed for tilsynsmyndigheden.

 

4. Den i stk. 1 og 2 omhandlede forpligtelse finder ikke anvendelse på følgende registeransvarlige og registerførere:

udgår

a) en fysisk person, der behandler personoplysninger uden kommerciel interesse

 

b) en virksomhed eller organisation, der beskæftiger under 250 personer, og som udelukkende behandler personoplysninger som en aktivitet i tilknytning til dens hovedaktiviteter.

 

5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende den dokumentation, der er omhandlet i stk. 1, for navnlig at opfylde de forpligtelser, der tillægges den registeransvarlige og registerføreren samt den registeransvarliges eventuelle repræsentant.

 

6. Kommissionen kan fastsætte standardformularer for den dokumentation, der er nævnt i stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

 

Ændringsforslag  123

Forslag til forordning

Artikel 29 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Den registeransvarlige og registerføreren samt den registeransvarliges eventuelle repræsentant samarbejder efter anmodning med tilsynsmyndigheden ved udøvelsen af dennes hverv, navnlig ved at udlevere oplysninger som nævnt i artikel 53, stk. 2, litra a), og ved at give adgang som nævnt i litra b) i samme stykke.

1. Den dataansvarlige, den eventuelle databehandler samt den dataansvarliges repræsentant samarbejder efter anmodning med tilsynsmyndigheden ved udøvelsen af dennes hverv, navnlig ved at udlevere oplysninger som nævnt i artikel 53, stk. 2, litra a), og ved at give adgang som nævnt i litra b) i samme stykke.

Ændringsforslag  124

Forslag til forordning

Artikel 30

Kommissionens forslag

Ændringsforslag

Behandlingssikkerhed

Behandlingssikkerhed

1. Den registeransvarlige og registerføreren træffer under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen passende tekniske og organisatoriske foranstaltninger for at tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, behandlingen af personoplysninger indebærer, og karakteren af de personoplysninger, der skal beskyttes.

1. Den dataansvarlige og databehandleren træffer under hensyntagen til resultaterne af en konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 33 og det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen passende tekniske og organisatoriske foranstaltninger for at tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, behandlingen af personoplysninger indebærer.

 

1a. Under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen bør en sådan sikkerhedspolitik omfatte:

 

a) evnen til at sikre, at personoplysningers integritet valideres

 

b) evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed i forbindelse med de systemer og tjenester, der anvendes til behandling af personoplysninger

 

c) evnen til rettidigt at genoprette tilgængeligheden af og adgangen til oplysninger i tilfælde af en fysisk eller teknisk hændelse, der har en indvirkning på informationssystemernes og -tjenesternes tilgængelighed, integritet og fortrolighed

 

d) yderligere sikkerhedsforanstaltninger i tilfælde af behandling af følsomme personoplysninger i henhold til artikel 8 og 9 med henblik på at sikre situationskendskabet til risici og evnen til at træffe forebyggende, korrigerende og afhjælpende foranstaltninger i næsten realtid mod påviste svagheder eller hændelser, som kan udgøre en risiko for oplysningerne

 

e) en procedure til regelmæssig afprøvning, vurdering og evaluering af effektiviteten af fastlagte sikkerhedspolitikker, -procedurer og -planer for at sikre fortsat effektivitet.

2. Efter en evaluering af risiciene træffer den registeransvarlige og registerføreren foranstaltninger som omhandlet i stk. 1 for at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse eller hændeligt tab og for at forhindre enhver form for ulovlig behandling, navnlig ubeføjet videregivelse, udbredelse eller adgang, eller ændring af personoplysninger.

2. De foranstaltninger, som er omhandlet i stk. 1, skal mindst:

 

a) sikre, at det udelukkende er autoriseret personale, der kan få adgang til personoplysninger til lovlige formål

 

b) beskytte lagrede eller sendte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab eller ændring og ubeføjet eller ulovlig lagring, behandling, adgang eller videregivelse og

 

c) sikre gennemførelsen af en sikkerhedspolitik for behandling af personoplysninger.

3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterierne og betingelserne for de tekniske og organisatoriske foranstaltninger, der er omhandlet i stk. 1 og 2, herunder fastlæggelse af det aktuelle tekniske niveau, for bestemte sektorer og i bestemte databehandlingssituationer, under særlig hensyntagen til udviklingen af teknologi og løsninger til indbygget beskyttelse af privatlivets fred og databeskyttelse gennem indstillinger, medmindre stk. 4 finder anvendelse.

3. Det Europæiske Databeskyttelsesråd betros opgaven med at udstede retningslinjer, henstillinger og bedste praksis, jf. artikel 66, stk. 1, litra b), for de tekniske og organisatoriske foranstaltninger, der er omhandlet i stk. 1 og 2, herunder fastlæggelse af det aktuelle tekniske niveau, for bestemte sektorer og i bestemte databehandlingssituationer, under særlig hensyntagen til udviklingen af teknologi og løsninger til indbygget beskyttelse af privatlivets fred og databeskyttelse gennem indstillinger.

4. Kommissionen kan om nødvendigt vedtage gennemførelsesretsakter med henblik på at angive de krav, der fastlagt i stk. 1 og 2, for forskellige situationer for bl.a.:

 

a) at forhindre ubeføjet adgang til personoplysninger

 

b) at forhindre ubeføjet videregivelse, læsning, kopiering, ændring, sletning eller fjernelse af personoplysninger

 

c) at sikre kontrol af behandlingens lovlighed.

 

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

 

(Stk. 2 i Kommissionens tekst er delvis blevet til litra b) i Parlamentets ændringsforslag)

Ændringsforslag  125

Forslag til forordning

Artikel 31

Kommissionens forslag

Ændringsforslag

Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden

Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden

1. Ved brud på persondatasikkerheden anmelder den registeransvarlige uden unødig forsinkelse og om muligt senest 24 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til tilsynsmyndigheden. Anmeldelsen til tilsynsmyndigheden ledsages af en begrundelse, hvis den ikke er indgivet inden for 24 timer.

1. Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse bruddet på persondatasikkerheden til tilsynsmyndigheden.

2. I henhold til artikel 26, stk. 2, litra f), varsler og underretter registerføreren omgående den registeransvarlige, når et brud på persondatasikkerheden er konstateret.

2. Databehandleren varsler og underretter uden unødig forsinkelse den dataansvarlige, når et brud på persondatasikkerheden er konstateret.

3. Den i stk. 1 omhandlede anmeldelse skal mindst:

3. Den i stk. 1 omhandlede anmeldelse skal mindst:

a) beskrive karakteren af bruddet på persondatasikkerheden, herunder kategorierne og antallet af berørte registrerede samt kategorierne og antallet af berørte registreringer

a) beskrive karakteren af bruddet på persondatasikkerheden, herunder kategorierne og antallet af berørte registrerede samt kategorierne og antallet af berørte registreringer

b) angive identitet og kontaktoplysninger for den databeskyttelsesansvarlige eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes

b) angive identitet og kontaktoplysninger for den databeskyttelsesansvarlige eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes

c) anbefale foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på persondatasikkerheden

c) anbefale foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på persondatasikkerheden

d) beskrive konsekvenserne af bruddet på persondatasikkerheden

d) beskrive konsekvenserne af bruddet på persondatasikkerheden

e) beskrive de foranstaltninger, som den registeransvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden.

e) beskrive de foranstaltninger, som den dataansvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden og mindske konsekvenserne heraf.

Oplysningerne kan i givet fald forelægges i etaper.

4. Den registeransvarlige dokumenterer alle brud på persondatasikkerheden, herunder kendsgerningerne i forbindelse med bruddet, dets virkninger og de iværksatte afhjælpende foranstaltninger. Denne dokumentation skal være tilstrækkeligt detaljeret til at sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel overholdes. Dokumentationen skal kun indeholde de oplysninger, der er nødvendige til dette formål.

4. Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder kendsgerningerne i forbindelse med bruddet, dets virkninger og de iværksatte afhjælpende foranstaltninger. Denne dokumentation skal være tilstrækkeligt detaljeret til at sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel og artikel 30 overholdes. Dokumentationen skal kun indeholde de oplysninger, der er nødvendige til dette formål.

 

4a. Tilsynsmyndigheden fører et offentligt register over anmeldte brud.

5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende fastlæggelse af databrud som omhandlet i stk. 1 og 2, og vedrørende de særlige omstændigheder, hvor en registeransvarlig og registerfører har pligt til at anmelde brud på persondatasikkerheden.

5. Det Europæiske Databeskyttelsesråd betros opgaven med at udstede retningslinjer, henstillinger og bedste praksis, jf. artikel 66, stk. 1, litra b), vedrørende fastlæggelse af databrud og bestemmelse af den unødige forsinkelse som omhandlet i stk. 1 og 2, og vedrørende de særlige omstændigheder, hvor en dataansvarlig og databehandler har pligt til at anmelde brud på persondatasikkerheden.

 

6. Kommissionen kan fastlægge standardformatet for en sådan anmeldelse til tilsynsmyndigheden, procedurerne for anmeldelsespligten samt formen og de nærmere regler for den dokumentation, der er omhandlet i stk. 4, herunder tidsfrister for sletning af oplysninger deri. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

 

Ændringsforslag  126

Forslag til forordning

Artikel 32

Kommissionens forslag

Ændringsforslag

Meddelelse af brud på persondatasikkerheden til den registrerede

Meddelelse af brud på persondatasikkerheden til den registrerede

1. Når bruddet på persondatasikkerheden kan forventes at krænke beskyttelsen af personoplysninger eller privatlivets fred for en registreret, underretter den registeransvarlige i tillæg til den i artikel 31 omhandlede anmeldelse uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

1. Når bruddet på persondatasikkerheden kan forventes at krænke beskyttelsen af den registreredes personoplysninger, privatliv, rettigheder eller legitime interesser, underretter den dataansvarlige i tillæg til den i artikel 31 omhandlede anmeldelse uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

2. Underretningen til den registrerede i henhold til stk. 1 skal omfatte karakteren af bruddet på persondatasikkerheden og indeholde mindst de oplysninger og anbefalinger, der er omhandlet i artikel 31, stk. 3, litra b) og c).

Underretningen til den registrerede i henhold til stk. 1 skal være omfattende og indeholde et klart og forståeligt sprog. Den skal omfatte karakteren af bruddet på persondatasikkerheden og indeholde mindst de oplysninger og anbefalinger, der er omhandlet i artikel 31, stk. 3, litra b), c) og d), og oplysninger om den registreredes rettigheder, herunder klageadgang.

3. Det er ikke nødvendigt at underrette den registrerede om et brud på persondatasikkerheden, hvis tilsynsmyndigheden finder det godtgjort fra den registeransvarliges side, at denne har gennemført passende teknologiske beskyttelsesforanstaltninger, og at disse foranstaltninger er blevet anvendt på de data, som sikkerhedsbruddet vedrørte. Sådanne teknologiske beskyttelsesforanstaltninger skal gøre dataene uforståelige for alle, der ikke har lovlig adgang hertil.

3. Det er ikke nødvendigt at underrette den registrerede om et brud på persondatasikkerheden, hvis tilsynsmyndigheden finder det godtgjort fra den dataansvarliges side, at denne har gennemført passende teknologiske beskyttelsesforanstaltninger, og at disse foranstaltninger er blevet anvendt på de data, som sikkerhedsbruddet vedrørte. Sådanne teknologiske beskyttelsesforanstaltninger skal gøre dataene uforståelige for alle, der ikke har lovlig adgang hertil.

4. Uden at det berører den registeransvarliges forpligtelse til at underrette den registrerede, kan tilsynsmyndigheden i tilfælde, hvor den registeransvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, og efter at have vurderet bruddets sandsynlige negative virkninger kræve, at den registeransvarlige gør dette.

4. Uden at det berører den dataansvarliges forpligtelse til at underrette den registrerede, kan tilsynsmyndigheden i tilfælde, hvor den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, og efter at have vurderet bruddets sandsynlige negative virkninger kræve, at den dataansvarlige gør dette.

5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende omstændigheder, hvor et brud på persondatasikkerheden kan forventes at krænke personoplysninger omhandlet i stk. 1.

Det Europæiske Databeskyttelsesråd betros opgaven med at udstede retningslinjer, henstillinger og bedste praksis, jf. artikel 66, stk. 1, litra b), vedrørende omstændigheder, hvor et brud på persondatasikkerheden kan forventes at krænke den registreredes personoplysninger, privatliv, rettigheder eller legitime interesser som omhandlet i stk. 1.

 

6. Kommissionen kan fastlægge formatet for meddelelsen til den registrerede, som er omhandlet i stk. 1, og procedurer for denne meddelelse. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

 

Ændringsforslag  127

Forslag til forordning

Artikel 32 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 32 a

 

Risikoanalyse

 

1. Den dataansvarlige eller i givet fald databehandleren foretager en risikoanalyse af den mulige indvirkning af den påtænkte behandling af oplysningerne på de registreredes rettigheder og frihedsrettigheder og vurderer samtidig, om behandlingsaktiviteterne sandsynligvis vil indebære specifikke risici.

 

2. Følgende behandlingsaktiviteter vil kunne indebære specifikke risici:

 

a) behandling af personoplysninger vedrørende mere end 5 000 registrerede over en sammenhængende periode på 12 måneder

 

b) behandling af særlige kategorier af personoplysninger, som er omhandlet i artikel 9, stk. 1, lokaliseringsoplysninger eller oplysninger om børn eller medarbejdere i omfattende registre

 

c) profilering, hvorpå foranstaltninger er baseret, og som har retsvirkning for den pågældende fysiske person eller på tilsvarende vis påvirker den fysiske person i væsentlig grad

 

d) behandling af personoplysninger med henblik på levering af sundhedsydelser, epidemiologisk forskning eller undersøgelse af psykiske eller smitsomme sygdomme, hvis oplysningerne behandles med det formål at træffe foranstaltninger eller beslutninger vedrørende omfattende grupper af specifikke fysiske personer

 

e) omfattende automatisk overvågning af offentligt tilgængelige områder

 

f) andre behandlingsaktiviteter, hvor høring af den databeskyttelsesansvarlige eller tilsynsmyndigheden er påkrævet i henhold til artikel 34, stk. 2, litra b)

 

g) såfremt et brud på persondatasikkerheden kan forventes at krænke beskyttelsen af den registreredes personoplysninger, privatliv, rettigheder eller legitime interesser

 

h) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede

 

i) såfremt personoplysninger stilles tilgængelige for et antal personer, som ikke med rimelighed kan forventes at være begrænset.

 

3. Såfremt resultatet af risikoanalysen:

 

a) viser, at én af behandlingsaktiviteterne i stk. 2, litra a) eller b), finder sted, udpeger de dataansvarlige, der ikke er etableret i Unionen, en repræsentant i Unionen i overensstemmelse med de krav og undtagelser, der er fastlagt i artikel 25

 

 

b) viser, at én af behandlingsaktiviteterne i stk. 2, litra a), b) eller h), finder sted, udpeger den dataansvarlige en databeskyttelsesansvarlig i overensstemmelse med de krav og undtagelser, der er fastlagt i artikel 35

 

c) viser, at én af behandlingsaktiviteterne i stk. 2, litra a), b), c), d), e), f), g) eller h), finder sted, gennemfører den dataansvarlige eller den databehandler, som handler på den dataansvarliges vegne, en konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 33

 

d) viser, at behandlingsaktiviteterne i stk. 2, litra f), finder sted, hører den dataansvarlige den databeskyttelsesansvarlige eller, hvis en databeskyttelsesansvarlig ikke er blevet udpeget, tilsynsmyndigheden i henhold til artikel 34.

 

4. Risikoanalysen revideres senest efter et år eller omgående, hvis databehandlingsaktiviteternes karakter, omfang eller formål ændres væsentligt. Hvis den dataansvarlige i henhold til stk. 3, litra c), ikke er forpligtet til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, skal risikoanalysen dokumenteres.

Ændringsforslag  128

Forslag til forordning

Kapitel IV – afdeling 3 – overskrift

Kommissionens forslag

Ændringsforslag

KONSEKVENSANALYSE VEDRØRENDE DATABESKYTTELSE OG FORUDGÅENDE GODKENDELSE

 

LIVSCYKLUSFORVALTNING AF DATABESKYTTELSE

Ændringsforslag  129

Forslag til forordning

Artikel 33

Kommissionens forslag

Ændringsforslag

Konsekvensanalyse vedrørende databeskyttelse

Konsekvensanalyse vedrørende databeskyttelse

1. Hvis behandlingen af personoplysninger kan indebære specifikke risici for registreredes rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål, gennemfører den registeransvarlige eller den registerfører, der handler på den registeransvarliges vegne, en konsekvensanalyse af den planlagte behandling, for så vidt angår beskyttelsen af personoplysninger.

1. Hvis det er nødvendigt i henhold til artikel 32a, stk. 3, litra c), gennemfører den dataansvarlige eller den databehandler, der handler på den dataansvarliges vegne, en konsekvensanalyse af de planlagte behandlingsaktiviteter for så vidt angår registreredes rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger. Én analyse er tilstrækkelig for at håndtere et sæt lignende behandlingsaktiviteter, der indebærer lignende risici.

2. Følgende former for behandling kan indebære de i stk. 1 omhandlede specifikke risici:

 

a) systematisk og omfattende evaluering af personlige aspekter vedrørende en fysisk person eller med henblik på analyse eller forudsigelse af en fysisk persons økonomiske situation, lokalitet, sundhed, personlige præferencer, pålidelighed eller adfærd baseret på elektronisk databehandling, som kan resultere i foranstaltninger, der har retsvirkning for vedkommende eller berører vedkommende i væsentlig grad

 

b) oplysninger om seksuelle forhold, helbred, race og etnisk oprindelse eller med henblik på ydelse af sundhedsydelser, epidemiologisk forskning eller undersøgelse af psykiske eller smitsomme sygdomme, hvis oplysningerne behandles med det formål at træffe foranstaltninger eller beslutninger vedrørende omfattende grupper af specifikke personer

 

c) overvågning af offentligt tilgængelige områder, navnlig ved omfattende brug af optoelektronisk udstyr (videoovervågning)

 

d) personoplysninger i omfattende registre vedrørende børn, genetiske data eller biometriske data

 

e) andre former for behandling, hvor høring af tilsynsmyndigheden er påkrævet i henhold til artikel 34, stk. 2, litra b).

 

3. Analysen omfatter mindst en generel beskrivelse af den planlagte behandling, en analyse af risiciene for registreredes rettigheder og frihedsrettigheder, de foranstaltninger, der er nødvendige for at afhjælpe disse risici, samt garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelsen af personoplysninger og påvise overensstemmelse med denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

3. Analysen tager hensyn til hele livscyklusforvaltningen af personoplysninger fra indsamling over behandling til sletning. Den omfatter mindst:

 

a) en systematisk beskrivelse af de planlagte behandlingsaktiviteter, formålene med behandlingen og eventuelt de legitime interesser, der forfølges af den dataansvarlige

 

b) en analyse af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til målene

 

c) en analyse af risiciene for registreredes rettigheder og frihedsrettigheder, herunder risikoen for, at diskrimination indlejres i eller forstærkes af aktiviteten

 

d) en beskrivelse af de foranstaltninger, der er nødvendige for at afhjælpe disse risici og minimere den behandlede mængde personoplysninger

 

e) en liste over garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelsen af personoplysninger, herunder pseudonymisering, og påvise overensstemmelse med denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

 

f) en generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger

 

h) en redegørelse for, hvilke former for praksis om indbygget databeskyttelse og databeskyttelse gennem indstillinger som omhandlet i artikel 23 der er gennemført

 

i) en liste over modtagerne eller kategorierne af modtagere af personoplysninger

 

j) en eventuel liste over de planlagte videregivelser af personoplysninger til et tredjeland eller en international organisation, herunder identifikation af dette tredjeland eller denne internationale organisation, og i tilfælde af videregivelser i henhold til artikel 44, stk. 1, litra h), dokumentation af fornødne garantier

 

k) en analyse af den sammenhæng, i hvilken behandlingen af personoplysninger foretages.

 

3a. Hvis den dataansvarlige eller databehandleren har udpeget en databeskyttelsesansvarlig, skal den pågældende tage del i konsekvensanalyseprocessen.

 

3b. Analysen skal dokumenteres og omfatte en tidsplan for regelmæssige periodiske evalueringer af opfyldelsen af kravene til databeskyttelse i henhold til artikel 33a, stk. 1. Analysen skal ajourføres uden unødig forsinkelse, hvis resultaterne af evalueringen af opfyldelse af kravene til databeskyttelse som omhandlet i artikel 33a viser manglende overholdelse. Den dataansvarlige og databehandleren og den dataansvarliges eventuelle repræsentant stiller efter anmodning analysen til rådighed for tilsynsmyndigheden.

4. Den registeransvarlige indhenter udtalelser fra registrerede eller deres repræsentanter vedrørende den planlagte behandling, uden at det berører beskyttelsen af kommercielle eller samfundsmæssige interesser eller behandlingens sikkerhed.

 

5. Hvis den registeransvarlige er en offentlig myndighed eller et offentligt organ, og hvis behandlingen følger af en retlig forpligtelse i henhold til artikel 6, stk. 1, litra c), der indeholder bestemmelser om regler og procedurer for behandlingen, og som er reguleret i EU-retten, finder stk. 1-4 ikke anvendelse, medmindre medlemsstaterne vurderer, at en sådan analyse skal foretages inden behandlingen.

 

6. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og betingelser for behandling, der kan medføre specifikke risici som omhandlet i stk. 1 og 2, og krav vedrørende den i stk. 3 omhandlede analyse, herunder betingelser for skalerbarhed, kontrol og mulighed for revision. I den forbindelse overvejer Kommissionen særlige foranstaltninger for mikrovirksomheder og små og mellemstore virksomheder.

 

7. Kommissionen kan fastsætte standarder og procedurer for gennemførelse, kontrol og revision af den i stk. 3 omhandlede analyse. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

 

(Stk. 3 i Kommissionens tekst er delvis blevet litra a), c), d) og e) i Parlamentets ændringsforslag)

Ændringsforslag  130

Forslag til forordning

Artikel 33 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 33a

 

Evaluering af overholdelsen af databeskyttelsesregler

 

1. Senest to år efter gennemførelsen af en konsekvensanalyse i henhold til artikel 33, stk. 1, gennemfører den dataansvarlige eller den databehandler, der handler på den dataansvarliges vegne, en evaluering af overholdelsen af databeskyttelsesregler. Denne evaluering af overholdelse skal påvise, at behandlingen af personoplysninger er gennemført i overensstemmelse med konsekvensanalysen vedrørende databeskyttelse.

 

2. Evalueringen af overholdelse skal gennemføres med jævne mellemrum og mindst én gang hvert andet år eller omgående, hvis de specifikke risici, der er forbundet med behandlingsaktiviteterne, ændres.

 

3. Hvis resultaterne af evalueringen af overholdelse viser manglende overholdelse, skal evalueringen omfatte anbefalinger af, hvordan der kan opnås fuld overholdelse.

 

4. Evalueringen af overholdelse og anbefalingerne i forbindelse hermed skal dokumenteres. Den dataansvarlige og databehandleren og den dataansvarliges eventuelle repræsentant stiller efter anmodning evalueringen af overholdelse til rådighed for tilsynsmyndigheden.

 

5. Hvis den dataansvarlige eller databehandleren har udpeget en databeskyttelsesansvarlig, skal den pågældende tage del i evalueringsprocessen.

Ændringsforslag  131

Forslag til forordning

Artikel 34

Kommissionens forslag

Ændringsforslag

Forudgående godkendelse og forudgående høring

Forudgående høring

1. Den registeransvarlige eller registerføreren indhenter godkendelse fra tilsynsmyndigheden inden behandlingen af personoplysninger for at sikre, at den planlagte behandling er i overensstemmelse med denne forordning, og for at mindske risiciene for de registrerede, såfremt en registeransvarlig eller registerfører vedtager kontraktbestemmelser som omhandlet i artikel 42, stk. 2, litra d), eller ikke fastsætter de fornødne garantier i et retligt bindende instrument som omhandlet i artikel 42, stk. 5, om videregivelse af personoplysninger til et tredjeland eller en international organisation, eller

 

2. Den registeransvarlige eller den registerfører, der handler på den registeransvarliges vegne, hører tilsynsmyndigheden inden behandlingen af personoplysninger for at sikre, at den planlagte behandling er i overensstemmelse med denne forordning, og for at mindske risiciene for de registrerede, såfremt:

2. Den dataansvarlige eller den databehandler, der handler på den dataansvarliges vegne, hører den databeskyttelsesansvarlige eller, såfremt der ikke er udpeget en databeskyttelsesansvarlig, tilsynsmyndigheden inden behandlingen af personoplysninger for at sikre, at den planlagte behandling er i overensstemmelse med denne forordning, og for at mindske risiciene for de registrerede, såfremt:

a) en konsekvensanalyse vedrørende databeskyttelse udført i henhold til artikel 33 viser, at en behandling i medfør af dens karakter, omfang eller formål kan indebære store konkrete risici, eller

a) en konsekvensanalyse vedrørende databeskyttelse udført i henhold til artikel 33 viser, at en behandling i medfør af dens karakter, omfang eller formål kan indebære store konkrete risici, eller

b) tilsynsmyndigheden vurderer, at det er nødvendigt at udføre en forudgående høring vedrørende en behandling, der sandsynligvis kan indebære specifikke risici for registreredes rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål, og som er angivet i henhold til stk. 4.

b) den databeskyttelsesansvarlige eller tilsynsmyndigheden vurderer, at det er nødvendigt at udføre en forudgående høring vedrørende en behandling, der sandsynligvis kan indebære specifikke risici for registreredes rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål, og som er angivet i henhold til stk. 4.

3. Hvis tilsynsmyndigheden finder, at den planlagte behandling ikke er i overensstemmelse med denne forordning, navnlig hvis risiciene ikke identificeres eller afhjælpes tilstrækkeligt, forbyder myndigheden den planlagte behandling og stiller forslag til, hvordan den manglende overholdelse kan afhjælpes.

3. Hvis den kompetente tilsynsmyndighed i overensstemmelse med sine beføjelser fastslår, at den planlagte behandling ikke er i overensstemmelse med denne forordning, navnlig hvis risiciene ikke identificeres eller afhjælpes tilstrækkeligt, forbyder myndigheden den planlagte behandling og stiller forslag til, hvordan den manglende overholdelse kan afhjælpes.

4. Tilsynsmyndigheden fastsætter og offentliggør en liste over de former for behandling, som er underlagt krav om forudgående høring i henhold til stk. 2, litra b). Tilsynsmyndigheden indgiver disse lister til Det Europæiske Databeskyttelsesråd.

4. Det Europæiske Databeskyttelsesråd fastsætter og offentliggør en liste over de former for behandling, som er underlagt krav om forudgående høring i henhold til stk. 2.

5. Hvis listen indgivet i henhold til stk. 4 omfatter behandlingsaktiviteter, der vedrører udbud af varer eller tjenester til registrerede i flere medlemsstater eller overvågning af sådanne registreredes adfærd, eller som i væsentlig grad kan påvirke den frie udveksling af personoplysninger i Unionen, anvender tilsynsmyndigheden den sammenhængsmekanisme, der er omhandlet i artikel 57, inden vedtagelsen af listen.

 

6. Den registeransvarlige eller registerføreren indgiver den i artikel 33 omhandlede konsekvensanalyse vedrørende databeskyttelse til tilsynsmyndigheden og efter anmodning andre oplysninger, der sætter tilsynsmyndigheden i stand til at vurdere behandlingens overensstemmelse og navnlig risiciene for beskyttelsen af registreredes personoplysninger og tilknyttede garantier.

6. Den dataansvarlige eller databehandleren indgiver efter anmodning den i artikel 33 omhandlede konsekvensanalyse vedrørende databeskyttelse til tilsynsmyndigheden og efter anmodning andre oplysninger, der sætter tilsynsmyndigheden i stand til at vurdere behandlingens overensstemmelse og navnlig risiciene for beskyttelsen af registreredes personoplysninger og tilknyttede garantier.

7. Medlemsstater hører tilsynsmyndigheden, når de forbereder lovgivningsforslag til vedtagelse i det nationale parlament eller foranstaltninger baseret på et sådant lovgivningsforslag, som fastlægger karakteren af behandlingen, for at sikre, at den planlagte behandling er i overensstemmelse med denne forordning, og for at mindske risiciene for de registrerede.

7. Medlemsstater hører tilsynsmyndigheden, når de forbereder lovgivningsforslag til vedtagelse i det nationale parlament eller foranstaltninger baseret på et sådant lovgivningsforslag, som fastlægger karakteren af behandlingen, for at sikre, at den planlagte behandling er i overensstemmelse med denne forordning, og for at mindske risiciene for de registrerede.

8. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav i forbindelse med bestemmelsen af de store konkrete risici, der er omhandlet i stk. 2, litra a).

 

9. Kommissionen kan fastsætte de standardformularer og procedurer for forudgående godkendelse og høring, der er nævnt i stk. 1 og 2 og standardformularer og procedurer for underretning af tilsynsmyndighederne i henhold til stk. 6. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

 

Ændringsforslag                  132

Forslag til forordning

Artikel 35

Kommissionens forslag

Ændringsforslag

Udpegning af den databeskyttelsesansvarlige

Udpegning af den databeskyttelsesansvarlige

1. Den registeransvarlige og registerføreren udpeger altid en databeskyttelsesansvarlig, når:

1. Den dataansvarlige og databehandleren udpeger altid en databeskyttelsesansvarlig, når:

a) behandlingen foretages af en offentlig myndighed eller et offentligt organ, eller

a) behandlingen foretages af en offentlig myndighed eller et offentligt organ, eller

 

b) behandlingen foretages af en virksomhed, der beskæftiger mindst 250 personer, eller

b) behandlingen foretages af en juridisk person og vedrører mere end 5 000 registrerede over en sammenhængende periode på 12 måneder, eller

c) den registeransvarliges eller registerførerens kerneaktiviteter består af behandling, der i medfør af dens karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede.

c) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede, eller

 

d) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling af særlige kategorier af personoplysninger i henhold til artikel 9, stk. 1, lokaliseringsoplysninger eller oplysninger om børn eller medarbejdere i omfattende registre.

2. I det tilfælde, der er nævnt i stk. 1, litra b), kan en koncern udpege en fælles databeskyttelsesansvarlig.

2. En koncern kan udpege en databeskyttelsesansvarlig, der er hovedansvarlig, forudsat at det sikres, at alle virksomheder har let adgang til en databeskyttelsesansvarlig.

3. Hvis den registeransvarlige eller registerføreren er en offentlig myndighed eller et offentligt organ, kan den databeskyttelsesansvarlige udpeges for flere enheder i overensstemmelse med den offentlige myndigheds eller det offentlige organs struktur.

3. Hvis den dataansvarlige eller databehandleren er en offentlig myndighed eller et offentligt organ, kan den databeskyttelsesansvarlige udpeges for flere enheder i overensstemmelse med den offentlige myndigheds eller det offentlige organs struktur.

4. I andre tilfælde end de i stk. 1 nævnte kan den registeransvarlige eller registerføreren eller sammenslutninger og andre organer, som repræsenterer kategorier af registeransvarlige eller registerførere, udpege en databeskyttelsesansvarlig.

4. I andre tilfælde end de i stk. 1 nævnte kan den dataansvarlige eller databehandleren eller sammenslutninger og andre organer, som repræsenterer kategorier af dataansvarlige eller databehandlere, udpege en databeskyttelsesansvarlig.

5. Den registeransvarlige eller registerføreren udpeger en databeskyttelsesansvarlig på grundlag af dennes faglige kvalifikationer, ekspertise på området for databeskyttelseslovgivning og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 37. Det nødvendige niveau af ekspertise afgøres navnlig ud fra den udførte databehandling og den beskyttelse, der kræves af de personoplysninger, som behandles af den registeransvarlige eller registerføreren.

5. Den dataansvarlige eller databehandleren udpeger en databeskyttelsesansvarlig på grundlag af dennes faglige kvalifikationer, ekspertise på området for databeskyttelseslovgivning og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 37. Det nødvendige niveau af ekspertise afgøres navnlig ud fra den udførte databehandling og den beskyttelse, der kræves af de personoplysninger, som behandles af den dataansvarlige eller databehandleren.

6. Den registeransvarlige eller registerføreren sikrer, at den databeskyttelsesansvarliges øvrige arbejdsopgaver er forenelige med den pågældendes opgaver og ansvar som databeskyttelsesansvarlig og ikke medfører interessekonflikt.

6. Den dataansvarlige eller databehandleren sikrer, at den databeskyttelsesansvarliges øvrige arbejdsopgaver er forenelige med den pågældendes opgaver og ansvar som databeskyttelsesansvarlig og ikke medfører interessekonflikt.

7. Den registeransvarlige og registerføreren udpeger en databeskyttelsesansvarlig for en periode på mindst to år. Den databeskyttelsesansvarlige kan genudnævnes til yderligere perioder. I sin embedsperiode kan den databeskyttelsesansvarlige kun afskediges, hvis vedkommende ikke længere opfylder betingelserne for at varetage hvervet.

7. Den dataansvarlige eller databehandleren udpeger en databeskyttelsesansvarlig for en periode på mindst fire år, hvis der er tale om en medarbejder, eller to år, hvis der er tale om en ekstern leverandør af tjenesteydelser. Den databeskyttelsesansvarlige kan genudnævnes til yderligere perioder. I sin embedsperiode kan den databeskyttelsesansvarlige kun afskediges fra denne stilling, hvis vedkommende ikke længere opfylder betingelserne for at varetage hvervet.

8. Den databeskyttelsesansvarlige kan være ansat af den registeransvarlige eller registerføreren eller udføre sit hverv på grundlag af en tjenesteydelseskontrakt.

8. Den databeskyttelsesansvarlige kan være ansat af den dataansvarlige eller databehandleren eller udføre sit hverv på grundlag af en tjenesteydelseskontrakt.

9. Den registeransvarlige eller registerføreren meddeler navnet på og kontaktoplysningerne for den databeskyttelsesansvarlige til tilsynsmyndigheden og offentligheden.

9. Den dataansvarlige eller databehandleren meddeler navnet på og kontaktoplysningerne for den databeskyttelsesansvarlige til tilsynsmyndigheden og offentligheden.

10. Den registrerede har ret til at kontakte den databeskyttelsesansvarlige, hvad angår alle spørgsmål vedrørende behandlingen af vedkommendes personoplysninger, og anmode om at udøve sine rettigheder i henhold til denne forordning.

10. Den registrerede har ret til at kontakte den databeskyttelsesansvarlige, hvad angår alle spørgsmål vedrørende behandlingen af vedkommendes personoplysninger, og anmode om at udøve sine rettigheder i henhold til denne forordning.

11. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende den registeransvarliges eller registerførerens kerneaktiviteter, der er nævnt i stk. 1, litra c), og kriterierne for den databeskyttelsesansvarliges faglige kvalifikationer, der er nævnt i stk. 5.

 

Ændringsforslag  133

Forslag til forordning

Artikel 36

Kommissionens forslag

Ændringsforslag

Den databeskyttelsesansvarliges stilling

Den databeskyttelsesansvarliges stilling

1. Den registeransvarlige eller registerføreren sikrer, at den databeskyttelsesansvarlige inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.

1. Den dataansvarlige eller databehandleren sikrer, at den databeskyttelsesansvarlige inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.

2. Den registeransvarlige eller registerføreren sikrer, at den databeskyttelsesansvarlige varetager sit hverv uafhængigt og ikke modtager instrukser med hensyn til udøvelsen af hvervet. Den databeskyttelsesansvarlige rapporterer direkte til ledelsen hos den registeransvarlige eller registerføreren.

2. Den dataansvarlige eller databehandleren sikrer, at den databeskyttelsesansvarlige varetager sit hverv uafhængigt og ikke modtager instrukser med hensyn til udøvelsen af hvervet. Den databeskyttelsesansvarlige rapporterer direkte til den øverste ledelse hos den dataansvarlige eller databehandleren. Den dataansvarlige eller databehandleren skal med henblik herpå udpege et medlem af den øverste ledelse, der skal bære ansvaret for, at bestemmelserne i denne forordning overholdes.

3. Den registeransvarlige eller registerføreren støtter den databeskyttelsesansvarlige i udøvelsen af dennes hverv og tilvejebringer personale, lokaler, udstyr og andre ressourcer, der er nødvendige for udøvelsen af det hverv, der er omhandlet i artikel 37.

3. Den dataansvarlige eller databehandleren støtter den databeskyttelsesansvarlige i udøvelsen af dennes hverv og tilvejebringer alle midler, herunder personale, lokaler, udstyr og andre ressourcer, der er nødvendige for udøvelsen af det hverv, der er omhandlet i artikel 37, og for opretholdelsen af dennes faglige kundskaber.

 

4. Databeskyttelsesansvarlige er omfattet af tavshedspligt med hensyn til de registreredes identitet og omstændigheder, der gør det muligt at identificere de registrerede, medmindre den registrerede fritager dem fra denne forpligtelse.

Ændringsforslag  134

Forslag til forordning

Artikel 37

Kommissionens forslag

Ændringsforslag

Den databeskyttelsesansvarliges hverv

Den databeskyttelsesansvarliges hverv

1. Den registeransvarlige og registerføreren overdrager mindst følgende opgaver til den databeskyttelsesansvarlige:

Den dataansvarlige og databehandleren overdrager mindst følgende opgaver til den databeskyttelsesansvarlige:

a) at underrette og rådgive den registeransvarlige eller registerføreren om deres forpligtelser i henhold til denne forordning eller at dokumentere denne aktivitet og de modtagne reaktioner

a) at øge bevidstheden, underrette og rådgive den dataansvarlige eller databehandleren om deres forpligtelser i henhold til denne forordning, navnlig tekniske og organisatoriske foranstaltninger og procedurer, eller at dokumentere denne aktivitet og de modtagne reaktioner

b) at overvåge gennemførelsen og anvendelsen af den registeransvarliges eller registerførerens regler om beskyttelse af personoplysninger, herunder fordeling af ansvar, uddannelse af det personale, der medvirker ved databehandlingen, og de tilhørende kontroller

b) at overvåge gennemførelsen og anvendelsen af den dataansvarliges eller databehandlerens regler om beskyttelse af personoplysninger, herunder fordeling af ansvar, uddannelse af det personale, der medvirker ved databehandlingen, og de tilhørende kontroller

c) at kontrollere gennemførelsen og anvendelsen af denne forordning, navnlig med hensyn til kravene vedrørende indbygget databeskyttelse, databeskyttelse gennem indstillinger og datasikkerhed og oplysninger til registrerede og deres anmodninger i forbindelse med udøvelsen af deres rettigheder i henhold til denne forordning

c) at kontrollere gennemførelsen og anvendelsen af denne forordning, navnlig med hensyn til kravene vedrørende indbygget databeskyttelse, databeskyttelse gennem indstillinger og datasikkerhed og oplysninger til registrerede og deres anmodninger i forbindelse med udøvelsen af deres rettigheder i henhold til denne forordning

d) at sikre vedligeholdelse af dokumentation, jf. artikel 28

d) at sikre vedligeholdelse af dokumentation, jf. artikel 28

e) at kontrollere dokumentation, anmeldelse og meddelelser vedrørende brud på persondatasikkerheden i henhold til artikel 31 og 32

e) at kontrollere dokumentation, anmeldelse og meddelelser vedrørende brud på persondatasikkerheden i henhold til artikel 31 og 32

f) at kontrollere den registeransvarliges eller registerførerens gennemførelse af konsekvensanalyser vedrørende databeskyttelse og anvendelsen af forudgående godkendelse eller høring, hvis det kræves i henhold til artikel 33 og 34

f) at kontrollere den dataansvarliges eller databehandlerens gennemførelse af konsekvensanalyser vedrørende databeskyttelse og anvendelsen af forudgående høring, hvis det kræves i henhold til artikel 32a, 33 og 34

g) at kontrollere besvarelsen af anmodninger fra tilsynsmyndigheden og inden for rammerne af den databeskyttelsesansvarliges beføjelser at samarbejde med tilsynsmyndigheden på dennes anmodning eller på eget initiativ

g) at kontrollere besvarelsen af anmodninger fra tilsynsmyndigheden og inden for rammerne af den databeskyttelsesansvarliges beføjelser at samarbejde med tilsynsmyndigheden på dennes anmodning eller på eget initiativ

h) at fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling og på eget initiativ og efter behov rådføre sig med tilsynsmyndigheden.

h) at fungere som tilsynsmyndighedens kontaktpunkt i spørgsmål vedrørende behandling og på eget initiativ og efter behov rådføre sig med tilsynsmyndigheden

 

i) at kontrollere, at denne forordning overholdes for så vidt angår den forudgående høring som fastlagt i artikel 34

 

j) at oplyse medarbejderrepræsentanterne om behandling af medarbejderes personoplysninger.

 

2. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og betingelser for den databeskyttelsesansvarliges opgaver, certificering, status, beføjelser og ressourcer, der er omhandlet i stk. 1.

 

Ændringsforslag  135

Forslag til forordning

Artikel 38

Kommissionens forslag

Ændringsforslag

Adfærdskodekser

Adfærdskodekser

1. Medlemsstaterne, tilsynsmyndighederne og Kommissionen tilskynder til udarbejdelsen af adfærdskodekser, der afhængigt af de særlige forhold i de forskellige behandlingssektorer bidrager til en korrekt anvendelse af denne forordning, navnlig vedrørende:

1. Medlemsstaterne, tilsynsmyndighederne og Kommissionen tilskynder til udarbejdelsen af adfærdskodekser eller vedtagelsen af adfærdskodekser, der er udarbejdet af en tilsynsmyndighed, og som afhængigt af de særlige forhold i de forskellige behandlingssektorer bidrager til en korrekt anvendelse af denne forordning, navnlig vedrørende:

a) loyal og gennemsigtig databehandling

a) loyal og gennemsigtig databehandling

 

aa) overholdelse af forbrugerrettighederne

b) dataindsamling

b) dataindsamling

c) information til offentligheden og registrerede

c) information til offentligheden og registrerede

d) anmodninger fra registrerede i forbindelse med udøvelsen af deres rettigheder

d) anmodninger fra registrerede i forbindelse med udøvelsen af deres rettigheder

e) information og beskyttelse af børn

e) information og beskyttelse af børn

f) videregivelse af personoplysninger til tredjelande eller internationale organisationer

f) videregivelse af personoplysninger til tredjelande eller internationale organisationer

g) mekanismer til at kontrollere og sikre, at kodeksen overholdes af de registeransvarlige, den gælder for

g) mekanismer til at kontrollere og sikre, at kodeksen overholdes af de dataansvarlige, den gælder for

h) udenretslige procedurer og andre procedurer til bilæggelse af tvister mellem registeransvarlige og registrerede vedrørende behandlingen af personoplysninger, uden at det berører registreredes rettigheder i henhold til artikel 73 og 75.

h) udenretslige procedurer og andre procedurer til bilæggelse af tvister mellem dataansvarlige og registrerede vedrørende behandlingen af personoplysninger, uden at det berører registreredes rettigheder i henhold til artikel 73 og 75.

2. Sammenslutninger og andre organer, som repræsenterer kategorier af registeransvarlige eller registerførere i en medlemsstat, der har til hensigt at udforme adfærdskodekser eller at ændre eller udvide eksisterende adfærdskodekser, kan fremlægge dem for tilsynsmyndigheden i den pågældende medlemsstat til udtalelse. Tilsynsmyndigheden kan afgive udtalelse om, hvorvidt forslaget til adfærdskodeks eller ændringen er i overensstemmelse med denne forordning. Tilsynsmyndigheden indhenter udtalelser om disse forslag fra registrerede eller deres repræsentanter.

2. Sammenslutninger og andre organer, som repræsenterer kategorier af dataansvarlige eller databehandlere i en medlemsstat, der har til hensigt at udforme adfærdskodekser eller at ændre eller udvide eksisterende adfærdskodekser, kan fremlægge dem for tilsynsmyndigheden i den pågældende medlemsstat til udtalelse. Tilsynsmyndigheden skal uden unødig forsinkelse afgive udtalelse om, hvorvidt behandlingen i henhold til forslaget til adfærdskodeks eller ændringen er i overensstemmelse med denne forordning. Tilsynsmyndigheden indhenter udtalelser om disse forslag fra registrerede eller deres repræsentanter.

3. Sammenslutninger og andre organer, som repræsenterer kategorier af registeransvarlige i flere medlemsstater, kan forelægge Kommissionen forslag til adfærdskodekser og forslag om ændring eller udvidelse af eksisterende adfærdskodekser.

3. Sammenslutninger og andre organer, som repræsenterer kategorier af dataansvarlige eller databehandlere i flere medlemsstater, kan forelægge Kommissionen forslag til adfærdskodekser og forslag om ændring eller udvidelse af eksisterende adfærdskodekser.

4. Kommissionen kan vedtage gennemførelsesretsakter med henblik på at afgøre, om adfærdskodekser eller ændringer eller udvidelser af eksisterende adfærdskodekser, den har fået forelagt i henhold til stk. 3, generelt er gyldige i Unionen. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

4. Kommissionen tillægges beføjelser til efter anmodning om en udtalelse fra Det Europæiske Databeskyttelsesråd at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på at afgøre, om adfærdskodekser eller ændringer eller udvidelser af eksisterende adfærdskodekser, den har fået forelagt i henhold til stk. 3, er i overensstemmelse med denne forordning og generelt er gyldige i Unionen. Disse delegerede retsakter tillægger de registrerede rettigheder, der kan håndhæves retsligt.

5. Kommissionen tilser, at de kodekser, som i henhold til Kommissionen har generel gyldighed, jf. stk. 4, offentliggøres på passende vis.

5. Kommissionen tilser, at de kodekser, som i henhold til Kommissionen har generel gyldighed, jf. stk. 4, offentliggøres på passende vis.

Ændringsforslag  136

Forslag til forordning

Artikel 39

Kommissionens forslag

Ændringsforslag

Certificering

Certificering

1. Medlemsstaterne og Kommissionen tilskynder navnlig på europæisk plan til fastlæggelsen af certificeringsordninger for databeskyttelse og databeskyttelsesmærkninger og -mærker, som giver registrerede mulighed for hurtigt at vurdere det beskyttelsesniveau, som registeransvarlige og registerførere sikrer. Certificeringsordninger for databeskyttelse bidrager til korrekt anvendelse af denne forordning under hensyntagen til de forskellige sektorers og behandlingens særlige forhold.

 

 

1a. Enhver dataansvarlig eller databehandler kan mod et rimeligt gebyr, der tager hensyn til de administrative omkostninger, anmode enhver tilsynsmyndighed i Unionen om at certificere, at behandlingen af personoplysninger foretages i overensstemmelse med denne forordning, navnlig principperne i artikel 5, 23 og 30, den dataansvarliges og databehandlerens forpligtelser og den registreredes rettigheder.

 

1b. Certificeringen skal være frivillig, økonomisk overkommelig og tilgængelig via en proces, der er gennemsigtig og ikke unødvendigt byrdefuld.

 

1c. Tilsynsmyndighederne og Det Europæiske Databeskyttelsesråd samarbejder i henhold til sammenhængsmekanismen i artikel 57 om at sikre en harmoniseret certificeringsmekanisme for databeskyttelse, herunder harmoniserede gebyrer i Unionen.

 

1d. Under denne certificeringsprocedure kan tilsynsmyndigheden autorisere specialiserede tredjepartsrevisorer til at gennemføre revisionen af den dataansvarlige eller databehandleren på dens vegne. Tredjepartsrevisorer skal have tilstrækkeligt kvalificeret personale, være uvildige og ikke have interessekonflikter i forbindelse med deres opgaver. Tilsynsmyndighederne tilbagekalder autorisationen, såfremt der er grund til at tro, at revisoren ikke udfører sine opgaver korrekt. Den endelige certificering leveres af tilsynsmyndigheden.

 

1e. Tilsynsmyndighederne tildeler dataansvarlige og databehandlere, der i medfør af revisionen har modtaget en certificering af, at de behandler personoplysninger i overensstemmelse med denne forordning, den standardiserede databeskyttelsesmærkning ved navn "europæisk databeskyttelsesmærkning".

 

1f. Den "europæiske databeskyttelsesmærkning" er gyldig, så længe den certificerede dataansvarliges eller databehandlers databehandlingsaktiviteter er fuldt ud i overensstemmelse med denne forordning.

 

1g. Uanset stk. 1f er certificeringen gyldig i højst fem år.

 

1h. Det Europæiske Databeskyttelsesråd opretter et offentligt elektronisk register, hvor alle gyldige og ugyldige certifikater, som er udstedt i medlemsstaterne, kan ses af offentligheden.

 

1i. Det Europæiske Databeskyttelsesråd kan på eget initiativ certificere, at en teknisk standard, der øger databeskyttelsen, er i overensstemmelse med denne forordning.

2. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende de certificeringsordninger for databeskyttelse, der er omhandlet i stk. 1, herunder betingelser for tildeling og tilbagekaldelse samt betingelser for anerkendelse i Unionen og tredjelande.

2. Kommissionen tillægges beføjelser til efter anmodning om en udtalelse fra Det Europæiske Databeskyttelsesråd og efter høring af interesseparter, navnlig industriorganisationer og ikkestatslige organisationer, at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende de certificeringsordninger for databeskyttelse, der er omhandlet i stk. 1a-1h, herunder krav til autorisation af revisorer, betingelser for tildeling og tilbagekaldelse samt betingelser for anerkendelse i Unionen og tredjelande. Disse delegerede retsakter tillægger de registrerede rettigheder, der kan håndhæves retsligt.

3. Kommissionen kan fastlægge tekniske standarder for certificeringsordninger og databeskyttelsesmærkninger og -mærker samt ordninger, der har til formål at fremme og anerkende certificeringsordninger og databeskyttelsesmærkninger og -mærker. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

 

Ændringsforslag  137

Forslag til forordning

Artikel 41

Kommissionens forslag

Ændringsforslag

Videregivelse ved afgørelse om tilstrækkeligheden af beskyttelsesniveauet

Videregivelse ved afgørelse om tilstrækkeligheden af beskyttelsesniveauet

1. Videregivelse kan finde sted, hvis Kommissionen har fastslået, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation har et tilstrækkeligt databeskyttelsesniveau. En sådan videregivelse kræver ikke yderligere godkendelse.

1. Videregivelse kan finde sted, hvis Kommissionen har fastslået, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation har et tilstrækkeligt databeskyttelsesniveau. En sådan videregivelse kræver ikke specifik godkendelse.

2. Ved vurdering af beskyttelsesniveauets tilstrækkelighed tager Kommissionen hensyn til følgende elementer:

2. Ved vurdering af beskyttelsesniveauets tilstrækkelighed tager Kommissionen hensyn til følgende elementer:

a) retsstatsprincippet, gældende lovgivning, både almindelig og sektorbestemt, herunder vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og strafferet, regler for god forretningsskik og de sikkerhedsforanstaltninger, der gælder i tredjelandet eller den internationale organisation, samt effektive rettigheder, der kan håndhæves retsligt, herunder effektiv klageadgang for registrerede, navnlig registrerede, der er bosiddende i Unionen, hvis personoplysninger videregives

a) retsstatsprincippet, gældende lovgivning, både almindelig og sektorbestemt, herunder vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og strafferet samt gennemførelsen af denne lovgivning, regler for god forretningsskik og de sikkerhedsforanstaltninger, der gælder i tredjelandet eller den internationale organisation, retspraksis samt effektive rettigheder, der kan håndhæves retsligt, herunder effektiv klageadgang for registrerede, navnlig registrerede, der er bosiddende i Unionen, hvis personoplysninger videregives

b) tilstedeværelsen af en eller flere velfungerende uafhængige tilsynsmyndigheder i tredjelandet eller den internationale organisation, der har ansvaret for at sikre, at databeskyttelsesreglerne overholdes, og for at bistå og rådgive de registrerede, når de udøver deres rettigheder, og samarbejde med tilsynsmyndighederne i Unionen og medlemsstaterne

b) tilstedeværelsen af en eller flere velfungerende uafhængige tilsynsmyndigheder i tredjelandet eller den internationale organisation, der har ansvaret for at sikre, at databeskyttelsesreglerne overholdes, bl.a. gennem tilstrækkelige sanktionsbeføjelser, og for at bistå og rådgive de registrerede, når de udøver deres rettigheder, og samarbejde med tilsynsmyndighederne i Unionen og medlemsstaterne

c) de internationale forpligtelser, som tredjelandet eller den internationale organisation har indgået.

c) de internationale forpligtelser, som tredjelandet eller den internationale organisation har indgået, særlig retligt bindende konventioner eller instrumenter med hensyn til beskyttelse af personoplysninger.

3. Kommissionen kan afgøre, at et tredjeland, et område eller en behandlingssektor i tredjelandet eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med stk. 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på at afgøre, at et tredjeland, et område i tredjelandet eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med stk. 2. Disse delegerede retsakter skal omfatte en udløbsklausul, hvis de vedrører en behandlingssektor, og de tilbagekaldes i overensstemmelse med stk. 5, så snart der ikke længere sikres et tilstrækkeligt beskyttelsesniveau i henhold til denne forordning.

4. I gennemførelsesretsakten angives dennes geografiske og sektorbestemte anvendelsesområde og i påkommende tilfælde den tilsynsmyndighed, der er nævnt i stk. 2, litra b).

4. I den delegerede retsakt angives dennes territoriale og sektorbestemte anvendelsesområde og i påkommende tilfælde den tilsynsmyndighed, der er nævnt i stk. 2, litra b).

 

4a. Kommissionen overvåger løbende udviklinger i tredjelande og internationale organisationer, der kan påvirke elementerne i stk. 2, hvis der er vedtaget en delegeret retsakt i henhold til stk. 3.

5. Kommissionen kan fastslå, at et tredjeland, et område eller en behandlingssektor i et tredjeland eller en international organisation ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, navnlig hvis den gældende lovgivning, både almindelig og sektorbestemt, i tredjelandet eller den internationale organisation ikke garanterer effektive rettigheder, der kan håndhæves retsligt, herunder effektiv adgang til administrativ og retlig prøvelse for registrerede, navnlig registrerede, der er bosiddende i Unionen, hvis personoplysninger videregives. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2, eller efter proceduren i artikel 87, stk. 3, i særligt hastende tilfælde for fysiske personer, hvad angår beskyttelse af deres personoplysninger.

5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på at fastslå, at et tredjeland, et område eller en behandlingssektor i et tredjeland eller en international organisation ikke sikrer eller ikke længere sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2, navnlig hvis den gældende lovgivning, både almindelig og sektorbestemt, i tredjelandet eller den internationale organisation ikke garanterer effektive rettigheder, der kan håndhæves retsligt, herunder effektiv adgang til administrativ og retlig prøvelse for registrerede, navnlig registrerede, der er bosiddende i Unionen, hvis personoplysninger videregives.

6. Når Kommissionen træffer afgørelse som angivet i stk. 5, forbydes enhver form for videregivelse af personoplysninger til tredjelandet eller et område eller en behandlingssektor i dette tredjeland eller den pågældende internationale organisation, jf. dog artikel 42, 43 og 44. Kommissionen hører i rette tid tredjelandet eller den internationale organisation med henblik på at afhjælpe den situation, der opstår i medfør af afgørelsen i henhold til denne artikels stk. 5.

6. Når Kommissionen træffer afgørelse som angivet i stk. 5, forbydes enhver form for videregivelse af personoplysninger til tredjelandet eller et område eller en behandlingssektor i dette tredjeland eller den pågældende internationale organisation, jf. dog artikel 42, 43 og 44. Kommissionen hører i rette tid tredjelandet eller den internationale organisation med henblik på at afhjælpe den situation, der opstår i medfør af afgørelsen i henhold til denne artikels stk. 5.

 

6a. Kommissionen anmoder, inden den vedtager delegerede retsakter som omhandlet i stk. 3 og 5, Det Europæiske Databeskyttelsesråd om en udtalelse om beskyttelsesniveauets tilstrækkelighed. Til dette formål sørger Kommissionen for, at Det Europæiske Databeskyttelsesråd råder over den nødvendige dokumentation, herunder korrespondance med regeringen i tredjelandet, området eller behandlingssektoren i tredjelandet eller den internationale organisation.

 

7. Kommissionen offentliggør i Den Europæiske Unions Tidende en liste over tredjelande, områder og behandlingssektorer i et tredjeland eller en international organisation, hvor den har fastslået, om der er et tilstrækkeligt beskyttelsesniveau eller ej.

7. Kommissionen offentliggør i Den Europæiske Unions Tidende og på dens websted en liste over tredjelande, områder og behandlingssektorer i et tredjeland eller en international organisation, hvor den har fastslået, om der er et tilstrækkeligt beskyttelsesniveau eller ej.

8. Afgørelser, som træffes af Kommissionen på grundlag af artikel 25, stk. 6, eller 26, stk. 4, i direktiv 95/46/EF, finder anvendelse, indtil de ændres, erstattes eller ophæves af Kommissionen.

8. Afgørelser, som træffes af Kommissionen på grundlag af artikel 25, stk. 6, eller 26, stk. 4, i direktiv 95/46/EF, finder anvendelse i fem år efter denne forordnings ikrafttræden, medmindre de ændres, erstattes eller ophæves af Kommissionen inden udløbet af denne periode.

Ændringsforslag  138

Forslag til forordning

Artikel 42

Kommissionens forslag

Ændringsforslag

Videregivelse ved anvendelse af de fornødne garantier

Videregivelse ved anvendelse af de fornødne garantier

1. Hvis Kommissionen ikke har truffet en afgørelse i henhold til artikel 41, må en registeransvarlig eller registerfører kun overføre personoplysninger til et tredjeland eller en international organisation, hvis der er indført de fornødne garantier i et retligt bindende instrument, der sikrer beskyttelsen af personoplysninger.

1. Hvis Kommissionen ikke har truffet en afgørelse i henhold til artikel 41 eller fastslår, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation ikke sikrer et tilstrækkeligt beskyttelsesniveau i henhold til artikel 41, stk. 5, må en dataansvarlig eller databehandler ikke overføre personoplysninger til et tredjeland, et område eller en international organisation, medmindre der er indført de fornødne garantier i et retligt bindende instrument, der sikrer beskyttelsen af personoplysninger.

2. De fornødne garantier nævnt i stk. 1 sikres gennem bl.a.:

2. De fornødne garantier nævnt i stk. 1 sikres gennem bl.a.:

a) bindende virksomhedsregler i henhold til artikel 43

a) bindende virksomhedsregler i henhold til artikel 43

 

aa) en gyldig "europæisk databeskyttelsesmærkning" for den dataansvarlige og modtageren i overensstemmelse med artikel 39, stk. 1e

b) standardbestemmelser om databeskyttelse vedtaget af Kommissionen. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2

 

c) standardbestemmelser om databeskyttelse vedtaget af en tilsynsmyndighed i overensstemmelse med sammenhængsmekanismen, jf. artikel 57, når disse er erklæret generelt gyldige af Kommissionen i henhold til artikel 62, stk. 1, litra b)

c) standardbestemmelser om databeskyttelse vedtaget af en tilsynsmyndighed i overensstemmelse med sammenhængsmekanismen, jf. artikel 57, når disse er erklæret generelt gyldige af Kommissionen i henhold til artikel 62, stk. 1, litra b)

d) kontraktbestemmelser mellem den registeransvarlige eller registerføreren og modtageren af personoplysningerne, som en tilsynsmyndighed har godkendt i henhold til stk. 4.

d) kontraktbestemmelser mellem den dataansvarlige eller databehandleren og modtageren af personoplysningerne, som en tilsynsmyndighed har godkendt i henhold til stk. 4.

3. Videregivelse baseret på standardbestemmelser om databeskyttelse eller bindende virksomhedsregler som nævnt i stk. 2, litra a), b) eller c), kræver ikke yderligere godkendelse.

3. Videregivelse baseret på standardbestemmelser om databeskyttelse, en "europæisk databeskyttelsesmærkning" eller bindende virksomhedsregler som nævnt i stk. 2, litra a), aa) eller c), kræver ikke specifik godkendelse.

4. Når videregivelse er baseret på kontraktbestemmelser som nævnt i denne artikels stk. 2, litra d), indhenter den registeransvarlige eller registerføreren forudgående godkendelse af kontraktbestemmelserne i henhold til artikel 34, stk. 1, litra a), hos tilsynsmyndigheden. Hvis videregivelsen vedrører behandlingsaktiviteter, der berører registrerede i en anden medlemsstat eller andre medlemsstater, eller som i væsentlig grad påvirker den frie udveksling af personoplysninger i Unionen, anvender tilsynsmyndigheden den sammenhængsmekanisme, der er omhandlet i artikel 57.

4. Når videregivelse er baseret på kontraktbestemmelser som nævnt i denne artikels stk. 2, litra d), indhenter den dataansvarlige eller databehandleren forudgående godkendelse af kontraktbestemmelserne hos tilsynsmyndigheden. Hvis videregivelsen vedrører behandlingsaktiviteter, der berører registrerede i en anden medlemsstat eller andre medlemsstater, eller som i væsentlig grad påvirker den frie udveksling af personoplysninger i Unionen, anvender tilsynsmyndigheden den sammenhængsmekanisme, der er omhandlet i artikel 57.

5. Hvis de fornødne garantier for beskyttelsen af personoplysninger ikke er omhandlet i et retligt bindende instrument, indhenter den registeransvarlige eller registerføreren på forhånd en godkendelse af videregivelsen eller serien af videregivelser eller af medtagelsen af bestemmelser, som udgør grundlaget for en sådan videregivelse, i administrative ordninger. En sådan godkendelse fra tilsynsmyndigheden skal være i overensstemmelse med artikel 34, stk. 1, litra a). Hvis videregivelsen vedrører behandlingsaktiviteter, der berører registrerede i en anden medlemsstat eller andre medlemsstater, eller som i væsentlig grad påvirker den frie udveksling af personoplysninger i Unionen, anvender tilsynsmyndigheden den sammenhængsmekanisme, der er omhandlet i artikel 57. Godkendelser fra en tilsynsmyndighed på grundlag af artikel 26, stk. 2, i direktiv 95/46/EF, er gyldige, indtil de ændres, erstattes eller ophæves af den pågældende tilsynsmyndighed.

5. Godkendelser fra en tilsynsmyndighed på grundlag af artikel 26, stk. 2, i direktiv 95/46/EF, er gyldige i to år efter denne forordnings ikrafttræden, medmindre de ændres, erstattes eller ophæves af den pågældende tilsynsmyndighed inden udløbet af denne periode.

Ændringsforslag                  139

Forslag til forordning

Artikel 43

Kommissionens forslag

Ændringsforslag

Videregivelse ved anvendelse af bindende virksomhedsregler

Videregivelse ved anvendelse af bindende virksomhedsregler

1. I overensstemmelse med den sammenhængsmekanisme, der er omhandlet i artikel 58, godkender en tilsynsmyndighed bindende virksomhedsregler, såfremt de:

1. I overensstemmelse med den sammenhængsmekanisme, der er omhandlet i artikel 58, godkender tilsynsmyndigheden bindende virksomhedsregler, såfremt de:

a) er retligt bindende, gælder for og anvendes af alle virksomheder i den registeransvarliges eller registerførerens koncern, og omfatter deres medarbejdere

a) er retligt bindende, gælder for og anvendes af alle virksomheder i den dataansvarliges koncern og de eksterne underleverandører, som er omfattet af de bindende virksomhedsregler, og omfatter deres medarbejdere

b) udtrykkeligt tillægger registrerede rettigheder, der kan håndhæves retsligt

b) udtrykkeligt tillægger registrerede rettigheder, der kan håndhæves retsligt

c) opfylder kravene i stk. 2.

c) opfylder kravene i stk. 2.

 

1a. For så vidt angår beskæftigelsesoplysninger skal medarbejderrepræsentanterne være informeret om og i overensstemmelse med Unionens eller medlemsstaternes lovgivning og praksis være involveret i udarbejdelsen af bindende virksomhedsregler i henhold til artikel 43.

2. De bindende virksomhedsregler angiver mindst:

2. De bindende virksomhedsregler angiver mindst:

a) struktur og kontaktoplysninger for koncernen og virksomhederne heri

a) struktur og kontaktoplysninger for koncernen og virksomhederne heri og de eksterne underleverandører, som er omfattet af de bindende virksomhedsregler

b) videregivelserne eller en serie af videregivelser, herunder kategorier af personoplysninger, behandlingstype og -formål, typen af berørte registrerede og identifikation af det pågældende tredjeland eller de pågældende tredjelande

b) videregivelserne eller en serie af videregivelser, herunder kategorier af personoplysninger, behandlingstype og -formål, typen af berørte registrerede og identifikation af det pågældende tredjeland eller de pågældende tredjelande

c) deres retligt bindende karakter, både internt og eksternt

c) deres retligt bindende karakter, både internt og eksternt

d) de generelle databeskyttelsesprincipper, navnlig formålsbegrænsning, datakvalitet, retsgrundlag for behandling, behandling af følsomme personoplysninger, foranstaltninger til at sikre datasikkerhed og krav vedrørende videreoverførsel til organisationer, der ikke er underlagt reglerne

d) de generelle databeskyttelsesprincipper, navnlig formålsbegrænsning, dataminimering, begrænsede opbevaringsperioder, datakvalitet, indbygget databeskyttelse og databeskyttelse gennem indstillinger, retsgrundlag for behandling, behandling af følsomme personoplysninger, foranstaltninger til at sikre datasikkerhed og krav vedrørende videreoverførsel til organisationer, der ikke er underlagt reglerne

e) de registreredes rettigheder og midler til at udøve disse rettigheder, herunder til ikke at blive gjort til genstand for en foranstaltning, der er baseret på profilering, jf. artikel 20, retten til at indgive klage til den kompetente tilsynsmyndighed og de kompetente domstole i medlemsstaterne, jf. artikel 75, og til at modtage erstatning og kompensation for brud på de bindende virksomhedsregler

e) de registreredes rettigheder og midler til at udøve disse rettigheder, herunder til ikke at blive gjort til genstand for en foranstaltning, der er baseret på profilering, jf. artikel 20, retten til at indgive klage til den kompetente tilsynsmyndighed og de kompetente domstole i medlemsstaterne, jf. artikel 75, og til at modtage erstatning og kompensation for brud på de bindende virksomhedsregler

f) den registeransvarliges eller registerførerens accept af ansvaret for ethvert brud på de bindende virksomhedsregler, der begås af en virksomhed i koncernen, som ikke er etableret i Unionen, når den registeransvarlige eller registerføreren er etableret inden for en medlemsstats område; den registeransvarlige eller registerføreren kan kun helt eller delvis fritages for dette ansvar, hvis han beviser, at den pågældende virksomhed ikke er skyld i den begivenhed, der medførte skaden

f) den dataansvarliges accept af ansvaret for ethvert brud på de bindende virksomhedsregler, der begås af en virksomhed i koncernen, som ikke er etableret i Unionen, når den dataansvarlige er etableret inden for en medlemsstats område; den dataansvarlige kan kun helt eller delvis fritages for dette ansvar, hvis han beviser, at den pågældende virksomhed ikke er skyld i den begivenhed, der medførte skaden

g) hvordan information om de bindende virksomhedsregler, navnlig de bestemmelser, der er nævnt i dette stykkes litra d), e) og f), gives de registrerede i henhold til artikel 11

g) hvordan information om de bindende virksomhedsregler, navnlig de bestemmelser, der er nævnt i dette stykkes litra d), e) og f), gives de registrerede i henhold til artikel 11

h) opgaverne for den databeskyttelsesansvarlige, der er udpeget i henhold til artikel 35, herunder kontrol inden for koncernen af overholdelsen af de bindende virksomhedsregler og kontrol af uddannelse og håndtering af klager

h) opgaverne for den databeskyttelsesansvarlige, der er udpeget i henhold til artikel 35, herunder kontrol inden for koncernen af overholdelsen af de bindende virksomhedsregler og kontrol af uddannelse og håndtering af klager

i) de mekanismer i koncernen, der har til formål at kontrollere overholdelsen af de bindende virksomhedsregler

i) de mekanismer i koncernen, der har til formål at kontrollere overholdelsen af de bindende virksomhedsregler

j) mekanismerne til rapportering og registrering af ændringer af reglerne og rapportering af disse ændringer til tilsynsmyndigheden

j) mekanismerne til rapportering og registrering af ændringer af reglerne og rapportering af disse ændringer til tilsynsmyndigheden

k) den mekanisme til samarbejde med tilsynsmyndigheden, som har til formål at sikre, at alle virksomheder i koncernen overholder reglerne, navnlig ved at forelægge tilsynsmyndigheden resultaterne af kontrollen af de foranstaltninger, der er nævnt i dette stykkes litra i).

k) den mekanisme til samarbejde med tilsynsmyndigheden, som har til formål at sikre, at alle virksomheder i koncernen overholder reglerne, navnlig ved at forelægge tilsynsmyndigheden resultaterne af kontrollen af de foranstaltninger, der er nævnt i dette stykkes litra i).

3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende bindende virksomhedsregler som omhandlet i denne artikel, navnlig med hensyn til kriterierne for deres godkendelse, anvendelsen af stk. 2, litra b), d), e) og f), på bindende virksomhedsregler, der gælder for registerførere, og med hensyn til yderligere krav for at sikre beskyttelsen af de berørte registreredes personoplysninger.

3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af format, procedurer, kriterier og krav vedrørende bindende virksomhedsregler som omhandlet i denne artikel, navnlig med hensyn til kriterierne for deres godkendelse, herunder gennemsigtighed for de registrerede, anvendelsen af stk. 2, litra b), d), e) og f), på bindende virksomhedsregler, der gælder for databehandlere, og med hensyn til yderligere krav for at sikre beskyttelsen af de berørte registreredes personoplysninger.

4. Kommissionen kan angive formatet og procedurerne for den elektroniske udveksling af oplysninger mellem registeransvarlige, registerførere og tilsynsmyndigheder vedrørende bindende virksomhedsregler som omhandlet i denne artikel. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

 

Ændringsforslag  140

Forslag til forordning

Artikel 43 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 43a

 

Videregivelse uden hjemmel i EU-retten

 

1. Ingen dom fra en ret og ingen afgørelse fra en administrativ myndighed i et tredjeland, der kræver, at en dataansvarlig eller en databehandler skal videregive personoplysninger, skal på nogen måde anerkendes eller erklæres eksigibel, medmindre andet gælder ifølge en traktat om gensidig retshjælp eller en gældende international aftale mellem det anmodende tredjeland og Unionen eller en medlemsstat.

 

2. Hvis en retsafgørelse eller en afgørelse fra en administrativ myndighed i et tredjeland kræver, at en dataansvarlig eller en databehandler videregiver personoplysninger, skal den dataansvarlige eller databehandleren samt den dataansvarliges eventuelle repræsentant hurtigst muligt underrette tilsynsmyndigheden om anmodningen, og de skal indhente forhåndstilladelse til en sådan videregivelse af data fra tilsynsmyndigheden.

 

3. Tilsynsmyndigheden vurderer, om den anmodede videregivelse er i overensstemmelse med forordningen, og navnlig om videregivelsen er nødvendig og hjemlet i henhold til artikel 44, stk. 1, litra d) og e), og artikel 44, stk. 5. Hvis registrerede fra andre medlemsstater er berørt, anvender tilsynsmyndigheden den sammenhængsmekanisme, der er omhandlet i artikel 57.

 

4. Tilsynsmyndigheden underretter den kompetente nationale myndighed om anmodningen. Uden at det berører artikel 21, underretter den dataansvarlige eller databehandleren også de registrerede om anmodningen og tilsynsmyndighedens tilladelse, og i givet fald underretter de den registrerede om, hvorvidt personoplysninger er blevet videregivet til offentlige myndigheder inden for den seneste sammenhængende 12-månedersperiode, jf. artikel 14, stk. 1, litra ha).

Ændringsforslag  141

Forslag til forordning

Artikel 44

Kommissionens forslag

Ændringsforslag

Undtagelser

Undtagelser

1. Hvis der ikke er truffet en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 41, eller de fornødne garantier i henhold til artikel 42 ikke foreligger, må en videregivelse eller en serie af videregivelser af personoplysninger til et tredjeland eller en international organisation kun finde sted, såfremt:

1. Hvis der ikke er truffet en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 41, eller de fornødne garantier i henhold til artikel 42 ikke foreligger, må en videregivelse eller en serie af videregivelser af personoplysninger til et tredjeland eller en international organisation kun finde sted, såfremt:

(a) den registrerede har givet sit samtykke til den foreslåede videregivelse efter at være blevet informeret om risiciene ved sådanne videregivelser som følge af den manglende afgørelse om tilstrækkeligheden af beskyttelsesniveauet og de fornødne garantier, eller

(a) den registrerede har givet sit samtykke til den foreslåede videregivelse efter at være blevet informeret om risiciene ved sådanne videregivelser som følge af den manglende afgørelse om tilstrækkeligheden af beskyttelsesniveauet og de fornødne garantier, eller

(b) videregivelsen er nødvendig af hensyn til opfyldelsen af en kontrakt mellem den registrerede og den registeransvarlige eller af hensyn til gennemførelsen af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan kontrakt, eller

(b) videregivelsen er nødvendig af hensyn til opfyldelsen af en kontrakt mellem den registrerede og den dataansvarlige eller af hensyn til gennemførelsen af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan kontrakt, eller

(c) videregivelsen er nødvendig af hensyn til indgåelsen eller opfyldelsen af en kontrakt, der i den registreredes interesse er indgået mellem den registeransvarlige og en anden fysisk eller juridisk person, eller

(c) videregivelsen er nødvendig af hensyn til indgåelsen eller opfyldelsen af en kontrakt, der i den registreredes interesse er indgået mellem den dataansvarlige og en anden fysisk eller juridisk person, eller

(d) videregivelsen er nødvendig af hensyn til vigtige samfundsinteresser, eller

(d) videregivelsen er nødvendig af hensyn til vigtige samfundsinteresser, eller

(e) videregivelsen er nødvendig for, at et retskrav kan fastslås, gøres gældende eller forsvares ved en domstol, eller

(e) videregivelsen er nødvendig for, at et retskrav kan fastslås, gøres gældende eller forsvares ved en domstol, eller

(f) videregivelsen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den registrerede ikke fysisk eller juridisk er i stand til at give sit samtykke, eller

(f) videregivelsen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser i tilfælde, hvor den registrerede ikke fysisk eller juridisk er i stand til at give sit samtykke, eller

(g) videregivelsen finder sted fra et register, der ifølge EU-retten eller medlemsstatens lovgivning er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri, i det omfang de ved lov fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde, eller

(g) videregivelsen finder sted fra et register, der ifølge EU-retten eller medlemsstatens lovgivning er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri, i det omfang de ved lov fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde.

(h) videregivelsen er nødvendig af hensyn til den registeransvarliges eller registerførerens legitime interesser, der ikke kan betegnes som hyppige eller omfattende, og den registeransvarlige eller registerføreren har vurderet samtlige de forhold, der har indflydelse på en videregivelse eller en serie af videregivelser af oplysninger, og på grundlag af denne vurdering yder de fornødne garantier for beskyttelsen af personoplysninger.

 

2. En videregivelse i henhold til stk. 1, litra g), omfatter ikke alle personoplysninger eller hele kategorier af personoplysninger i registret. Når et register er beregnet til at blive konsulteret af personer, der har en legitim interesse heri, sker videregivelse kun på anmodning af disse personer, eller hvis de selv er modtageren.

2. En videregivelse i henhold til stk. 1, litra g), omfatter ikke alle personoplysninger eller hele kategorier af personoplysninger i registret. Når et register er beregnet til at blive konsulteret af personer, der har en legitim interesse heri, sker videregivelse kun på anmodning af disse personer, eller hvis de selv er modtageren.

3. Hvis behandlingen er baseret på stk. 1, litra h), tager den registeransvarlige eller registerføreren særligt hensyn til personoplysningernes karakter, den påtænkte behandlings formål og varighed samt situationen i oprindelseslandet, tredjelandet og det endelige bestemmelsessted og de fornødne garantier, der ydes for beskyttelsen af personoplysninger.

 

4. Stk. 1, litra b), c) og h), finder ikke anvendelse på aktiviteter, der gennemføres af offentlige myndigheder som led i deres myndighedsudøvelse.

4. Stk. 1, litra b) og c), finder ikke anvendelse på aktiviteter, der gennemføres af offentlige myndigheder som led i deres myndighedsudøvelse.

5. De samfundsinteresser, der er omhandlet i stk. 1, litra d, skal være anerkendt i EU-retten eller lovgivningen i den medlemsstat, som den registeransvarlige er underlagt.

5. De samfundsinteresser, der er omhandlet i stk. 1, litra d, skal være anerkendt i EU-retten eller lovgivningen i den medlemsstat, som den dataansvarlige er underlagt.

6. Den registeransvarlige eller registerføreren dokumenterer vurderingen og de fornødne garantier, der ydes, som omhandlet i denne artikels stk. 1, litra h), i den dokumentation, der er nævnt i artikel 28, og underretter tilsynsmyndigheden om videregivelsen.

 

7. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på yderligere at præcisere "vigtige samfundsinteresser" i betydningen i stk. 1, litra d), og at fastlægge kriterier og krav vedrørende de fornødne garantier, der er omhandlet i stk. 1, litra h).

7. Det Europæiske Databeskyttelsesråd betros opgaven med at udstede retningslinjer, henstillinger og bedste praksis, jf. artikel 66, stk. 1, litra b), med henblik på yderligere at præcisere kriterier og krav vedrørende videregivelser af oplysninger på grundlag af stk. 1.

Ændringsforslag  142

Forslag til forordning

Artikel 45 – stk. 1 – litra a

Kommissionens forslag

Ændringsforslag

(a) udvikle internationale samarbejdsmekanismer om beskyttelse af personoplysninger med henblik på at lette håndhævelsen af lovgivningen om beskyttelse af personoplysninger

(a) udvikle internationale samarbejdsmekanismer om beskyttelse af personoplysninger med henblik på at sikre håndhævelsen af lovgivningen om beskyttelse af personoplysninger

Ændringsforslag  143

Forslag til forordning

Artikel 45 – stk. 1 – litra d a (nyt)

Kommissionens forslag

Ændringsforslag

 

(da) klarlægge og føre samråd om kompetencekonflikter med tredjelande.

Ændringsforslag  144

Forslag til forordning

Artikel 45 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 45a

 

Rapport fra Kommissionen

 

Kommissionen forelægger med jævne mellemrum, første gang senest fire år efter det i artikel 91, stk. 1, nævnte tidspunkt, en rapport for Europa-Parlamentet og Rådet om anvendelsen af artikel 40-45. Kommissionen kan med henblik herpå anmode medlemsstaterne og tilsynsmyndighederne om oplysninger, som skal fremsendes uden unødig forsinkelse. Rapporten offentliggøres.

Ændringsforslag  145

Forslag til forordning

Artikel 47 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Tilsynsmyndigheden udøver i fuld uafhængighed de opgaver og beføjelser, der tillægges den.

1. Tilsynsmyndigheden udøver i fuld uafhængighed og upartiskhed de opgaver og beføjelser, der tillægges den, uanset de samarbejds- og sammenhængsmekanismer, der er omhandlet i denne forordnings kapitel VII.

Ændringsforslag  146

Forslag til forordning

Artikel 47 – stk. 7 a (nyt)

Kommissionens forslag

Ændringsforslag

 

7a. Hver medlemsstat sørger for, at tilsynsmyndigheden er ansvarlig over for det nationale parlament, når det gælder budgetkontrol.

Ændringsforslag  147

Forslag til forordning

Artikel 50

Kommissionens forslag

Ændringsforslag

Tavshedspligt

Tavshedspligt

Tilsynsmyndighedens medlemmer og personale har såvel under embeds- og ansættelsesperioden som efter dens ophør tavshedspligt, for så vidt angår alle fortrolige oplysninger, der er kommet til deres kendskab under udøvelsen af deres hverv.

Tilsynsmyndighedens medlemmer og personale har såvel under embeds- og ansættelsesperioden som efter dens ophør og i overensstemmelse med national lovgivning og praksis tavshedspligt, for så vidt angår alle fortrolige oplysninger, der er kommet til deres kendskab under udøvelsen af deres hverv, og de skal udøve deres hverv uafhængigt og åbent som fastsat i forordningen.

Ændringsforslag 148

Forslag til forordning

Artikel 51 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Hver tilsynsmyndighed udøver på sin medlemsstats område de beføjelser, der tillægges den i overensstemmelse med denne forordning.

1. Hver tilsynsmyndighed udfører de opgaver og udøver de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin medlemsstats område, jf. dog artikel 73 og 74. Offentlige myndigheders databehandling overvåges alene af tilsynsmyndigheden i den pågældende medlemsstat.

Ændringsforslag  149

Forslag til forordning

Artikel 51 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Når personoplysninger behandles i forbindelse med aktiviteter, der gennemføres af en registeransvarligs eller registerførers virksomhed i Unionen, og den registeransvarlige eller registerføreren er etableret i mere end én medlemsstat, er tilsynsmyndigheden i den medlemsstat, hvor den registeransvarliges eller registerførerens hovedvirksomhed er etableret, ansvarlig for at kontrollere den registeransvarliges eller registerførerens behandlingsaktiviteter i alle medlemsstater, uden at dette berører bestemmelserne i denne forordnings kapitel VII.

udgår

Ændringsforslag  150

Forslag til forordning

Artikel 52 – stk. 1 – litra b

Kommissionens forslag

Ændringsforslag

(b) hører klager, der indgives af en registreret eller en sammenslutning, der repræsenterer den registrerede i overensstemmelse med artikel 73, undersøger, så vidt det er hensigtsmæssigt, sagen og underretter den registrerede eller sammenslutningen om forløbet og resultatet af klagen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig

(b) hører klager, der indgives af en registreret eller en sammenslutning i overensstemmelse med artikel 73, undersøger, så vidt det er hensigtsmæssigt, sagen og underretter den registrerede eller sammenslutningen om forløbet og resultatet af klagen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig

Ændringsforslag  151

Forslag til forordning

Artikel 52 – stk. 1 – litra d

Kommissionens forslag

Ændringsforslag

(d) gennemfører undersøgelser på eget initiativ, på grundlag af en klage eller efter anmodning fra en anden tilsynsmyndighed og underretter den registrerede, hvis vedkommende har indgivet en klage til denne tilsynsmyndighed, om resultatet af undersøgelsen inden for en rimelig frist

(d) gennemfører undersøgelser på eget initiativ, på grundlag af en klage eller specifikke og dokumenterede oplysninger om mulig ulovlig behandling eller efter anmodning fra en anden tilsynsmyndighed og underretter den registrerede, hvis vedkommende har indgivet en klage til denne tilsynsmyndighed, om resultatet af undersøgelsen inden for en rimelig frist

Ændringsforslag  152

Forslag til forordning

Artikel 52 – stk. 1 – litra j a (nyt)

Kommissionens forslag

Ændringsforslag

 

(ja) certificerer dataansvarlige og databehandlere, jf. artikel 39.

Ændringsforslag  153

Forslag til forordning

Artikel 52 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Hver tilsynsmyndighed styrker offentlighedens kendskab til risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger med særlig fokus på aktiviteter, der er direkte rettet mod børn.

2. Hver tilsynsmyndighed styrker offentlighedens kendskab til risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger og til passende foranstaltninger til beskyttelse af personoplysninger med særlig fokus på aktiviteter, der er direkte rettet mod børn.

Ændringsforslag  154

Forslag til forordning

Artikel 52 – stk. 2 a (nyt)

Kommissionens forslag

Ændringsforslag

 

2a. Hver tilsynsmyndighed styrker sammen med Det Europæiske Databeskyttelsesråd dataansvarliges og databehandleres kendskab til risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger. Dette omfatter føring af et register over sanktioner og overtrædelser. Registret skal indeholde dels en så detaljeret beskrivelse af alle advarsler og sanktioner som muligt og dels oplysninger om, hvordan overtrædelser er håndteret. Hver tilsynsmyndighed giver, hvis den anmodes herom, mikrovirksomheder samt små og mellemstore virksomheder, der fungerer som dataansvarlige og databehandlere, generelle oplysninger om deres ansvarsområder og forpligtelser i henhold til denne forordning.

Ændringsforslag  155

Forslag til forordning

Artikel 52 – stk. 6

Kommissionens forslag

Ændringsforslag

6. Hvis anmodninger er tydeligt overdrevne, bl.a. fordi de gentages, kan tilsynsmyndigheden opkræve et gebyr eller undlade at iværksætte den handling, den registrerede anmoder om. Tilsynsmyndigheden bærer ansvaret for at bevise, at anmodningen er tydeligt overdreven.

6. Hvis anmodninger er tydeligt overdrevne, bl.a. fordi de gentages, kan tilsynsmyndigheden opkræve et rimeligt gebyr eller undlade at iværksætte den handling, den registrerede anmoder om. Dette gebyr må ikke overstige udgifterne til iværksættelse af den ønskede handling. Tilsynsmyndigheden bærer ansvaret for at bevise, at anmodningen er tydeligt overdreven.

Ændringsforslag  156

Forslag til forordning

Artikel 53

Kommissionens forslag

Ændringsforslag

Beføjelser

Beføjelser

1. Hver tilsynsmyndighed har beføjelse:

1. Hver tilsynsmyndighed har i overensstemmelse med denne forordning beføjelse:

(a) til at underrette den registeransvarlige eller registerføreren om en påstået overtrædelse af bestemmelserne om behandling af personoplysninger og i givet fald give den registeransvarlige eller registerføreren påbud om at råde bod på overtrædelsen og forbedre beskyttelsen af den registrerede

(a) til at underrette den dataansvarlige eller databehandleren om en påstået overtrædelse af bestemmelserne om behandling af personoplysninger og i givet fald give den dataansvarlige eller databehandleren påbud om at råde bod på overtrædelsen og forbedre beskyttelsen af den registrerede eller give den dataansvarlige påbud om at underrette den registrerede om et brud på persondatasikkerheden

(b) til at give den registeransvarlige påbud om at imødekomme den registreredes anmodning om at udøve de rettigheder, der er omfattet af denne forordning

(b) til at give den dataansvarlige påbud om at imødekomme den registreredes anmodning om at udøve de rettigheder, der er omfattet af denne forordning

(c) til at give den registeransvarlige og registerføreren samt den registeransvarliges eventuelle repræsentant påbud om at udlevere alle oplysninger, der er relevante for udøvelsen af dennes hverv

(c) til at give den dataansvarlige og databehandleren samt den dataansvarliges eventuelle repræsentant påbud om at udlevere alle oplysninger, der er relevante for udøvelsen af dennes hverv

(d) til at sikre overensstemmelse med forudgående godkendelser og høringer, jf. artikel 34

(d) til at sikre overensstemmelse med forudgående godkendelser og høringer, jf. artikel 34

(e) til at rette en advarsel eller en påtale til den registeransvarlige eller registerføreren

(e) til at rette en advarsel eller en påtale til den dataansvarlige eller databehandleren

(f) til at give påbud om berigtigelse, sletning eller tilintetgørelse af alle personoplysninger, når de er blevet behandlet i strid med bestemmelserne i denne forordning, og meddelelse af sådanne handlinger til tredjemand, til hvem disse oplysninger er videregivet

(f) til at give påbud om berigtigelse, sletning eller tilintetgørelse af alle personoplysninger, når de er blevet behandlet i strid med bestemmelserne i denne forordning, og meddelelse af sådanne handlinger til tredjemand, til hvem disse oplysninger er videregivet

(g) til midlertidigt eller definitivt at forbyde en behandling

(g) til midlertidigt eller definitivt at forbyde en behandling

(h) til at suspendere videregivelsen af oplysninger til et tredjeland eller en international organisation

(h) til at suspendere videregivelsen af oplysninger til et tredjeland eller en international organisation

(i) til at afgive udtalelser om ethvert spørgsmål vedrørende beskyttelse af personoplysninger

(i) til at afgive udtalelser om ethvert spørgsmål vedrørende beskyttelse af personoplysninger

 

(ia) til at certificere dataansvarlige og databehandlere, jf. artikel 39

(j) til at informere det nationale parlament, regeringen eller andre politiske institutioner samt offentligheden om ethvert spørgsmål vedrørende beskyttelse af personoplysninger.

(j) til at informere det nationale parlament, regeringen eller andre politiske institutioner samt offentligheden om ethvert spørgsmål vedrørende beskyttelse af personoplysninger

 

(ja) til at etablere effektive mekanismer for at fremme fortrolig indberetning af overtrædelser af denne forordning under hensyntagen til retningslinjer udstedt af Det Europæiske Databeskyttelsesråd, jf. artikel 66, stk. 4b.

2. Hver tilsynsmyndighed har undersøgelsesbeføjelser til fra den registeransvarlige eller registerføreren:

2. Hver tilsynsmyndighed har undersøgelsesbeføjelser til fra den dataansvarlige eller databehandleren uden forudgående underretning:

(a) at få indsigt i alle personoplysninger og informationer, der er nødvendige for at varetage dens opgaver

(a) at få indsigt i alle personoplysninger, dokumenter og informationer, der er nødvendige for at varetage dens opgaver

(b) at få adgang til lokaler, herunder databehandlingsudstyr og -midler, hvis der er begrundet formodning om, at der dér udøves en aktivitet, som er i strid med denne forordning.

(b) at få adgang til lokaler, herunder databehandlingsudstyr og -midler.

De i litra b) omhandlede beføjelser udøves i henhold til EU-retten og medlemsstatens lovgivning.

De i litra b) omhandlede beføjelser udøves i henhold til EU-retten og medlemsstatens lovgivning.

3. Hver tilsynsmyndighed har beføjelse til at indbringe overtrædelser af denne forordning for domstolene og deltage i retssager i henhold til artikel 74, stk. 4, og artikel 75, stk. 2.

3. Hver tilsynsmyndighed har beføjelse til at indbringe overtrædelser af denne forordning for domstolene og deltage i retssager i henhold til artikel 74, stk. 4, og artikel 75, stk. 2.

4. Hver tilsynsmyndighed har beføjelse til at sanktionere administrative overtrædelser, navnlig overtrædelser omhandlet i artikel 79, stk. 4, 5 og 6.

4. Hver tilsynsmyndighed har beføjelse til at sanktionere administrative overtrædelser, jf. artikel 79. Denne beføjelse skal udøves effektivt, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Ændringsforslag  157

Forslag til forordning

Artikel 54

Kommissionens forslag

Ændringsforslag

Hver tilsynsmyndighed udarbejder en årlig rapport om sin virksomhed. Rapporten forelægges det nationale parlament og stilles til rådighed for offentligheden, Kommissionen og Det Europæiske Databeskyttelsesråd.

Hver tilsynsmyndighed udarbejder en rapport om sin virksomhed mindst hvert andet år. Rapporten forelægges de respektive parlamenter og stilles til rådighed for offentligheden, Kommissionen og Det Europæiske Databeskyttelsesråd.

Ændringsforslag  158

Forslag til forordning

Artikel 54 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 54a

 

Ledende myndighed

 

1. Når personoplysninger behandles i forbindelse med aktiviteter, der gennemføres af en dataansvarligs eller databehandlers virksomhed i Unionen, og den dataansvarlige eller databehandleren er etableret i mere end én medlemsstat, eller når der behandles oplysninger om personer, som er bosiddende i flere forskellige medlemsstater, er tilsynsmyndigheden i den medlemsstat, hvor den dataansvarliges eller databehandlerens hovedvirksomhed er etableret, hovedansvarlig for at kontrollere den dataansvarliges eller databehandlerens behandlingsaktiviteter i alle medlemsstater, jf. bestemmelserne i denne forordnings kapitel VII.

 

2. Den ledende tilsynsmyndighed træffer kun passende foranstaltninger for at kontrollere de behandlingsaktiviteter, der udøves af den dataansvarlige eller databehandler, som den ledende tilsynsmyndighed er ansvarlig for, efter høring af alle andre kompetente tilsynsmyndigheder, jf. artikel 51, stk. 1, med henblik på at nå til enighed. Til dette formål indsender den navnlig relevante oplysninger og rådfører sig med de øvrige myndigheder, inden den træffer en foranstaltning, der skal have retsvirkning over for en dataansvarlig eller en databehandler, jf. artikel 51, stk. 1. Den ledende myndighed tager størst muligt hensyn til de involverede myndigheders udtalelser. Den ledende myndighed er den eneste myndighed, der har beføjelse til at træffe afgørelse om foranstaltninger, der skal have retsvirkning med hensyn til behandlingsaktiviteter, der udøves af den dataansvarlige eller databehandler, som den ledende myndighed er ansvarlig for.

 

3. Efter anmodning fra en kompetent tilsynsmyndighed afgiver Det Europæiske Databeskyttelsesråd udtalelse om, hvilken myndighed der skal udpeges som ledende myndighed med ansvar for en dataansvarlig eller databehandler, i sager hvor:

 

(a) det ikke fremgår klart af sagens faktuelle omstændigheder, hvor den dataansvarliges eller databehandlerens hovedvirksomhed er etableret, eller

 

(b) de kompetente myndigheder ikke er enige om, hvilken tilsynsmyndighed der skal fungere som ledende myndighed, eller

 

(c) den dataansvarlige ikke er etableret i Unionen, og personer, der er bosiddende i forskellige medlemsstater, berøres af behandlingsaktiviteter, som er omfattet af denne forordnings anvendelsesområde.

 

3a. Hvis den dataansvarlige også udøver aktiviteter som databehandler, fungerer tilsynsmyndigheden i den medlemsstat, hvor den dataansvarlige har sin hovedvirksomhed, som ledende myndighed med henblik på at kontrollere behandlingsaktiviteterne.

 

4. Det Europæiske Databeskyttelsesråd kan afgøre, hvilken myndighed der skal udpeges som ledende myndighed.

(Stk. 1 i Parlamentets ændringsforslag er baseret på artikel 51, stk. 2, i Kommissionens forslag).

Ændringsforslag  159

Forslag til forordning

Artikel 55 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Tilsynsmyndighederne udveksler oplysninger og yder hinanden gensidig bistand med henblik på at gennemføre og anvende denne forordning på en ensartet måde og træffer foranstaltninger med henblik på et effektivt samarbejde med hinanden. Gensidig bistand omfatter bl.a. anmodninger om oplysninger og tilsynsforanstaltninger, som f.eks. anmodninger om gennemførelse af forudgående godkendelse og høring, inspektioner og øjeblikkelig informering om indledning af sager og udviklingen heri, når det er sandsynligt, at registrerede i flere medlemsstater vil blive påvirket af behandlingen.

1. Tilsynsmyndighederne udveksler oplysninger og yder hinanden gensidig bistand med henblik på at gennemføre og anvende denne forordning på en ensartet måde og træffer foranstaltninger med henblik på et effektivt samarbejde med hinanden. Gensidig bistand omfatter bl.a. anmodninger om oplysninger og tilsynsforanstaltninger, som f.eks. anmodninger om gennemførelse af forudgående godkendelse og høring, inspektioner og undersøgelser og øjeblikkelig informering om indledning af sager og udviklingen heri, når den dataansvarlige eller databehandleren er etableret i flere medlemsstater, eller når det er sandsynligt, at registrerede i flere medlemsstater vil blive påvirket af behandlingen. Den ledende myndighed som defineret i artikel 54a sikrer koordinering med de involverede tilsynsmyndigheder og fungerer som fælles kontaktpunkt for den dataansvarlige og databehandleren.

Ændringsforslag  160

Forslag til forordning

Artikel 55 – stk. 7

Kommissionens forslag

Ændringsforslag

7. Der opkræves ikke gebyr for foranstaltninger, der iværksættes efter en anmodning om gensidig bistand.

7. Der opkræves ikke gebyr fra den anmodende tilsynsmyndighed for foranstaltninger, der iværksættes efter en anmodning om gensidig bistand.

Ændringsforslag  161

Forslag til forordning

Artikel 55 – stk. 8

Kommissionens forslag

Ændringsforslag

8. Hvis en tilsynsmyndighed ikke iværksætter en foranstaltning senest en måned efter modtagelsen af en anmodning fra en anden tilsynsmyndighed, kan den anmodende tilsynsmyndighed iværksætte en foreløbig foranstaltning på sin medlemsstats område i henhold til artikel 51, stk. 1, og forelægge sagen for Det Europæiske Databeskyttelsesråd i overensstemmelse med proceduren omhandlet i artikel 57.

8. Hvis en tilsynsmyndighed ikke iværksætter en foranstaltning senest en måned efter modtagelsen af en anmodning fra en anden tilsynsmyndighed, kan den anmodende tilsynsmyndighed iværksætte en foreløbig foranstaltning på sin medlemsstats område i henhold til artikel 51, stk. 1, og forelægge sagen for Det Europæiske Databeskyttelsesråd i overensstemmelse med proceduren omhandlet i artikel 57. Den anmodende tilsynsmyndighed kan iværksætte foreløbige foranstaltninger på sin medlemsstats område i henhold til artikel 53, hvis der ikke kan iværksættes en endegyldig foranstaltning, da anmodningen om bistand endnu ikke er færdigbehandlet.

Ændringsforslag  162

Forslag til forordning

Artikel 55 – stk. 9

Kommissionens forslag

Ændringsforslag

9. Tilsynsmyndigheden angiver gyldighedsperioden for en sådan foreløbig foranstaltning. Denne periode må ikke overstige tre måneder. Tilsynsmyndigheden meddeler straks Det Europæiske Databeskyttelsesråd og Kommissionen disse foranstaltninger med en udførlig begrundelse.

9. Tilsynsmyndigheden angiver gyldighedsperioden for en sådan foreløbig foranstaltning. Denne periode må ikke overstige tre måneder. Tilsynsmyndigheden meddeler straks Det Europæiske Databeskyttelsesråd og Kommissionen disse foranstaltninger med en udførlig begrundelse i overensstemmelse med proceduren i artikel 57.

Ændringsforslag  163

Forslag til forordning

Artikel 55 – stk. 10

Kommissionens forslag

Ændringsforslag

10. Kommissionen kan angive formatet og procedurerne for gensidig bistand som omhandlet i denne artikel og ordningerne for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder og mellem tilsynsmyndigheder og Det Europæiske Databeskyttelsesråd, navnlig standardformatet nævnt i stk. 6. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

10. Det Europæiske Databeskyttelsesråd kan angive formatet og procedurerne for gensidig bistand som omhandlet i denne artikel og ordningerne for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder og mellem tilsynsmyndigheder og Det Europæiske Databeskyttelsesråd, navnlig standardformatet nævnt i stk. 6.

Ændringsforslag  164

Forslag til forordning

Artikel 56 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Når registrerede i flere medlemsstater sandsynligvis berøres af behandling, har tilsynsmyndigheden i hver af disse medlemsstater ret til at deltage i fælles undersøgelsesopgaver eller fælles aktiviteter. Den kompetente tilsynsmyndighed indbyder tilsynsmyndigheden i hver af disse medlemsstater til at deltage i de respektive fælles undersøgelsesopgaver eller fælles aktiviteter og besvarer straks en tilsynsmyndigheds anmodning om deltagelse i aktiviteterne.

2. Når den dataansvarlige eller databehandleren er etableret i flere medlemsstater, eller registrerede i flere medlemsstater sandsynligvis berøres af behandling, har tilsynsmyndigheden i hver af disse medlemsstater ret til at deltage i fælles undersøgelsesopgaver eller fælles aktiviteter. Den ledende myndighed som defineret i artikel 54a inddrager tilsynsmyndigheden i hver af disse medlemsstater i de respektive fælles undersøgelsesopgaver eller fælles aktiviteter og besvarer straks en tilsynsmyndigheds anmodning om deltagelse i aktiviteterne. Den ledende myndighed fungerer som fælles kontaktpunkt for den dataansvarlige og databehandleren.

Ændringsforslag  165

Forslag til forordning

Artikel 57

Kommissionens forslag

Ændringsforslag

Sammenhængsmekanisme

Sammenhængsmekanisme

Med henblik på artikel 46, stk. 1, samarbejder tilsynsmyndighederne med hinanden og med Kommissionen via den sammenhængsmekanisme, der fastsættes i denne afdeling.

Med henblik på artikel 46, stk. 1, samarbejder tilsynsmyndighederne med hinanden og med Kommissionen via sammenhængsmekanismen både om spørgsmål af generel art og i enkeltsager i overensstemmelse med bestemmelserne i denne afdeling.

Ændringsforslag  166

Forslag til forordning

Artikel 58

Kommissionens forslag

Ændringsforslag

Det Europæiske Databeskyttelsesråds udtalelse

Sammenhæng i almengyldige sager

1. Inden en tilsynsmyndighed vedtager en foranstaltning omhandlet i stk. 2, meddeler denne tilsynsmyndighed den foreslåede foranstaltning til Det Europæiske Databeskyttelsesråd og Kommissionen.

1. Inden en tilsynsmyndighed vedtager en foranstaltning omhandlet i stk. 2, meddeler denne tilsynsmyndighed den foreslåede foranstaltning til Det Europæiske Databeskyttelsesråd og Kommissionen.

2. Forpligtelsen i henhold til stk. 1 gælder for foranstaltninger, der skal have retsvirkning, og som:

2. Forpligtelsen i henhold til stk. 1 gælder for foranstaltninger, der skal have retsvirkning, og som:

(a) omfatter behandlingsaktiviteter, der vedrører udbud af varer eller tjenester til registrerede i flere medlemsstater eller overvågning af deres adfærd

 

(b) i væsentlig grad kan påvirke den frie udveksling af personoplysninger i Unionen

 

(c) har til formål at vedtage en liste over former for behandling, som er underlagt krav om forudgående høring i henhold til artikel 34, stk. 5

 

(d) har til formål at fastlægge standardbestemmelser om databeskyttelse som omhandlet i artikel 42, stk. 2, litra c)

(d) har til formål at fastlægge standardbestemmelser om databeskyttelse som omhandlet i artikel 42, stk. 2, litra c)

(e) har til formål at godkende kontraktbestemmelser som omhandlet i artikel 42, stk. 2, litra d)

(e) har til formål at godkende kontraktbestemmelser som omhandlet i artikel 42, stk. 2, litra d)

(f) har til formål at godkende bindende virksomhedsregler som omhandlet i artikel 43.

(f) har til formål at godkende bindende virksomhedsregler som omhandlet i artikel 43.

3. Enhver tilsynsmyndighed eller Det Europæiske Databeskyttelsesråd kan kræve, at en sag underlægges sammenhængsmekanismen, navnlig hvis en tilsynsmyndighed ikke forelægger en foreslået foranstaltning, jf. stk. 2, eller ikke overholder forpligtelsen til gensidig bistand, jf. artikel 55, eller fælles aktiviteter, jf. artikel 56.

3. Enhver tilsynsmyndighed eller Det Europæiske Databeskyttelsesråd kan kræve, at en almengyldig sag underlægges sammenhængsmekanismen, navnlig hvis den kompetente myndighed ikke forelægger en foreslået foranstaltning, jf. stk. 2, eller ikke overholder forpligtelsen til gensidig bistand, jf. artikel 55, eller fælles aktiviteter, jf. artikel 56.

4. For at sikre en korrekt og ensartet anvendelse af denne forordning kan Kommissionen kræve, at enhver sag underlægges sammenhængsmekanismen.

4. For at sikre en korrekt og ensartet anvendelse af denne forordning kan Kommissionen kræve, at enhver almengyldig sag underlægges sammenhængsmekanismen.

5. Tilsynsmyndigheder og Kommissionen fremsender elektronisk alle relevante oplysninger, herunder et resumé af kendsgerningerne, den foreslåede foranstaltning og begrundelsen for iværksættelsen af en sådan foranstaltning, i et standardformat.

5. Tilsynsmyndigheder og Kommissionen fremsender uden unødig forsinkelse elektronisk alle relevante oplysninger, herunder et resumé af kendsgerningerne, den foreslåede foranstaltning og begrundelsen for iværksættelsen af en sådan foranstaltning, i et standardformat.

6. Formanden for Det Europæiske Databeskyttelsesråd underretter straks elektronisk medlemmerne af Det Europæiske Databeskyttelsesråd og Kommissionen om alle relevante oplysninger, han har modtaget, i et standardformat. Formanden for Det Europæiske Databeskyttelsesråd sørger efter behov for oversættelse af de relevante oplysninger.

6. Formanden for Det Europæiske Databeskyttelsesråd underretter uden unødig forsinkelse elektronisk medlemmerne af Det Europæiske Databeskyttelsesråd og Kommissionen om alle relevante oplysninger, han har modtaget, i et standardformat. Sekretariatet for Det Europæiske Databeskyttelsesråd sørger efter behov for oversættelse af de relevante oplysninger.

 

6a. Det Europæiske Databeskyttelsesråd vedtager en udtalelse om spørgsmål, der henvises til rådet, jf. stk. 2.

7. Det Europæiske Databeskyttelsesråd afgiver en udtalelse om sagen, hvis Det Europæiske Databeskyttelsesråd beslutter dette ved simpelt flertal, eller hvis en tilsynsmyndighed eller Kommissionen anmoder herom, senest en uge efter modtagelsen af de relevante oplysninger i henhold til stk. 5. Udtalelsen vedtages ved simpelt flertal af Det Europæiske Databeskyttelsesråd inden for en måned. Formanden for Det Europæiske Databeskyttelsesråd underretter uden unødig forsinkelse den tilsynsmyndighed, der er nævnt i stk. 1 eller 3, Kommissionen og den tilsynsmyndighed, der er kompetent i henhold til artikel 51, om udtalelsen og offentliggør den.

7. Det Europæiske Databeskyttelsesråd kan ved simpelt flertal beslutte at vedtage en udtalelse om sager, der forelægges i henhold til stk. 3 og 4, under hensyntagen til:

 

(a) om sagen frembyder nye elementer under hensyntagen til den retlige eller faktuelle udvikling, navnlig inden for informationsteknologi og i lyset af fremskridtene i informationssamfundet, og

 

(b) om Det Europæiske Databeskyttelsesråd allerede har afgivet en udtalelse om samme sag.

8. Den tilsynsmyndighed, der er nævnt i stk. 1, og den tilsynsmyndighed, der er kompetent i henhold til artikel 51, overvejer Det Europæiske Databeskyttelsesråds udtalelse og giver senest to uger efter modtagelsen af meddelelsen om udtalelsen fra formanden for Det Europæiske Databeskyttelsesråd formanden for Det Europæiske Databeskyttelsesråd og Kommissionen elektronisk meddelelse om, hvorvidt den agter at fastholde eller ændre sit forslag til foranstaltning, og forelægger i givet fald det ændrede forslag til foranstaltning for Det Europæiske Databeskyttelsesråd og Kommissionen i et standardformat.

8. Det Europæiske Databeskyttelsesråd vedtager udtalelser, jf. stk. 6a og 7, ved simpelt flertal blandt dets medlemmer. Disse udtalelser offentliggøres.

Ændringsforslag                  167

Forslag til forordning

Artikel 58 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 58a

 

Sammenhæng i enkeltsager

 

1. Inden den ledende myndighed træffer en foranstaltning, der skal have retsvirkning, jf. artikel 54a, udveksler den alle relevante oplysninger og forelægger den foreslåede foranstaltning for alle andre kompetente myndigheder. Den ledende myndighed vedtager ikke foranstaltningen, hvis en kompetent myndighed inden for en periode på tre uger har angivet, at den har alvorlige indvendinger mod foranstaltningen.

 

2. Hvis en kompetent myndighed har angivet, at den har alvorlige indvendinger mod en foranstaltning, som den ledende myndighed har foreslået, eller hvis den ledende myndighed ikke forelægger en foreslået foranstaltning, jf. stk. 1, eller ikke opfylder kravene om gensidig bistand i overensstemmelse med artikel 55 eller om fælles aktiviteter i overensstemmelse med artikel 56, behandler Det Europæiske Databeskyttelsesråd sagen.

 

3. Den ledende myndighed og/eller andre involverede kompetente myndigheder og Kommissionen fremsender uden unødig forsinkelse elektronisk alle relevante oplysninger til Det Europæiske Databeskyttelsesråd i et standardformat, herunder et resumé af kendsgerningerne, den foreslåede foranstaltning, begrundelsen for iværksættelsen af en sådan foranstaltning, indvendingerne mod den og andre berørte tilsynsmyndigheders synspunkter.

 

4. Det Europæiske Databeskyttelsesråd behandler sagen og tager højde for, hvilke virkninger den foranstaltning, som den ledende myndighed har foreslået, har for registreredes grundlæggende rettigheder og friheder. Databeskyttelsesrådet beslutter ved simpelt flertal blandt dets medlemmer at afgive en udtalelse om sagen eller ej senest to uger efter modtagelsen af de relevante oplysninger i henhold til stk. 3.

 

5. Hvis Det Europæiske Databeskyttelsesråd beslutter at afgive en udtalelse, afgiver rådet udtalelsen inden for seks uger og offentliggør den.

 

6. Den ledende myndighed overvejer nøje Det Europæiske Databeskyttelsesråds udtalelse og giver senest to uger efter modtagelsen af meddelelsen om udtalelsen fra formanden for Det Europæiske Databeskyttelsesråd formanden for Det Europæiske Databeskyttelsesråd og Kommissionen elektronisk meddelelse om, hvorvidt den agter at fastholde eller ændre sit forslag til foranstaltning, og forelægger i givet fald det ændrede forslag til foranstaltning for Det Europæiske Databeskyttelsesråd og Kommissionen i et standardformat. Hvis den ledende myndighed ikke agter at følge Det Europæiske Databeskyttelsesråds udtalelse, fremlægger den en underbygget begrundelse.

 

7. Såfremt Det Europæiske Databeskyttelsesråd stadig gør indsigelse imod tilsynsmyndighedens foranstaltning som omhandlet i stk. 5, kan det inden for en måned med to tredjedeles flertal vedtage en foranstaltning, der er bindende for tilsynsmyndigheden.

Ændringsforslag  168

Forslag til forordning

Artikel 59

Kommissionens forslag

Ændringsforslag

Artikel 59

udgår

Kommissionens udtalelse

 

1. Senest 10 uger efter indledning af en sag i henhold til artikel 58 eller senest seks uger, for så vidt angår artikel 61, kan Kommissionen - for at sikre korrekt og ensartet anvendelse af denne forordning - vedtage en udtalelse om sager, som er rejst i henhold til artikel 58 eller 61.

 

2. Hvis Kommissionen har vedtaget en udtalelse i henhold til stk. 1, tager den pågældende tilsynsmyndighed størst muligt hensyn til Kommissionens udtalelse og meddeler Kommissionen og Det Europæiske Databeskyttelsesråd, om den agter at fastholde eller ændre sit forslag til foranstaltning.

 

3. I den periode, der er nævnt i stk. 1, vedtages den foreslåede foranstaltning ikke af tilsynsmyndigheden.

 

4. Hvis den pågældende tilsynsmyndighed ikke agter at følge Kommissionens udtalelse, meddeler den dette og begrundelsen herfor til Kommissionen og Det Europæiske Databeskyttelsesråd inden for den frist, der er nævnt i stk. 1. I så fald vedtages den foreslåede foranstaltning ikke i endnu en måned.

 

Ændringsforslag  169

Forslag til forordning

Artikel 60

Kommissionens forslag

Ændringsforslag

Artikel 60

udgår

Suspension af en foreslået foranstaltning

 

1. Senest en måned efter meddelelsen i henhold til artikel 59, stk. 4, og såfremt Kommissionen er i alvorlig tvivl om, hvorvidt den foreslåede foranstaltning vil sikre korrekt anvendelse af denne forordning eller på anden måde vil resultere i uensartet anvendelse, kan Kommissionen vedtage en begrundet afgørelse, som kræver, at tilsynsmyndigheden suspenderer vedtagelsen af den foreslåede foranstaltning på grundlag af udtalelse fra Det Europæiske Databeskyttelsesråd i henhold til artikel 58, stk. 7, eller artikel 61, stk. 2, hvis dette forekommer nødvendigt for at:

 

(a) forene tilsynsmyndighedens og Det Europæiske Databeskyttelsesråds forskellige holdninger, hvis dette stadig forekommer muligt

 

(b) vedtage en foranstaltning i henhold til artikel 62, stk. 1, litra a).

 

2. Kommissionen angiver varigheden af suspensionen, som ikke kan overstige 12 måneder.

 

3. I den periode, der er nævnt i stk. 2, må tilsynsmyndigheden ikke gennemføre den foreslåede foranstaltning.

 

Ændringsforslag  170

Forslag til forordning

Artikel 60 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 60a

 

Underretning af Europa-Parlamentet og Rådet

 

Kommissionen underretter regelmæssigt og mindst hvert halve år på grundlag af en rapport fra Det Europæiske Databeskyttelsesråds formand Europa-Parlamentet og Rådet om de sager, der behandles under sammenhængsmekanismen, og redegør i den forbindelse for de konklusioner, Kommissionen og Det Europæiske Databeskyttelsesråd har draget med henblik på at sikre en ensartet gennemførelse og anvendelse af denne forordning.

Ændringsforslag  171

Forslag til forordning

Artikel 61 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Når en tilsynsmyndighed under ekstraordinære omstændigheder mener, at det er nødvendigt at handle omgående for at beskytte registreredes interesser, navnlig hvis der er alvorlig risiko for begrænsning af håndhævelsen af en registrerets rettigheder som følge af en ændring af de nuværende forhold, for at afhjælpe alvorlige ulemper eller af andre grunde, kan den omgående vedtage foreløbige foranstaltninger med en angivet gyldighedsperiode som en undtagelse fra den procedure, der er nævnt i artikel 58. Tilsynsmyndigheden meddeler straks Det Europæiske Databeskyttelsesråd og Kommissionen disse foranstaltninger med en udførlig begrundelse.

1. Når en tilsynsmyndighed under ekstraordinære omstændigheder mener, at det er nødvendigt at handle omgående for at beskytte registreredes interesser, navnlig hvis der er alvorlig risiko for begrænsning af håndhævelsen af en registrerets rettigheder som følge af en ændring af de nuværende forhold, for at afhjælpe alvorlige ulemper eller af andre grunde, kan den omgående vedtage foreløbige foranstaltninger med en angivet gyldighedsperiode som en undtagelse fra den procedure, der er nævnt i artikel 58a. Tilsynsmyndigheden meddeler straks Det Europæiske Databeskyttelsesråd og Kommissionen disse foranstaltninger med en udførlig begrundelse.

Ændringsforslag  172

Forslag til forordning

Artikel 61 – stk. 4

Kommissionens forslag

Ændringsforslag

4. Som undtagelse fra artikel 58, stk. 7, vedtages en hasteudtalelse omhandlet i denne artikels stk. 2 og 3, ved simpelt flertal af Det Europæiske Databeskyttelsesråd inden for to uger.

4. En hasteudtalelse omhandlet i denne artikels stk. 2 og 3, vedtages ved simpelt flertal af Det Europæiske Databeskyttelsesråd inden for to uger.

Ændringsforslag  173

Forslag til forordning

Artikel 62

Kommissionens forslag

Ændringsforslag

Gennemførelsesretsakter

Gennemførelsesretsakter

1. Kommissionen kan vedtage gennemførelsesretsakter med henblik på:

1. Kommissionen kan efter anmodning om en udtalelse fra Det Europæiske Databeskyttelsesråd vedtage almengyldige gennemførelsesretsakter med henblik på:

(a) at træffe beslutning om den korrekte anvendelse af denne forordning i overensstemmelse med dens mål og krav vedrørende sager, der meddeles af tilsynsmyndigheder i henhold til artikel 58 eller 61, vedrørende sager, hvor en begrundet afgørelse er truffet i henhold til artikel 60, stk. 1, eller vedrørende sager, hvor en tilsynsmyndighed ikke indgiver en foreslået foranstaltning, og hvor den pågældende tilsynsmyndighed har angivet, at den ikke agter at følge Kommissionens afgørelse vedtaget i henhold til artikel 59

 

(b) inden for den periode, der er omhandlet i artikel 59, stk. 1, at afgøre, om de foreslåede standardbestemmelser om databeskyttelse, der er omhandlet i artikel 58, stk. 2, litra d), skal finde generel anvendelse

(b) at afgøre, om de foreslåede standardbestemmelser om databeskyttelse, der er omhandlet i artikel 42, stk. 2, litra d), skal finde generel anvendelse

(c) angive formatet og procedurerne for anvendelsen af den sammenhængsmekanisme, der er omhandlet i denne afdeling

 

(d) angive ordningerne for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder og mellem tilsynsmyndigheder og Det Europæiske Databeskyttelsesråd, navnlig det standardformat, der er nævnt i artikel 58, stk. 5, 6 og 8.

(d) angive ordningerne for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder og mellem tilsynsmyndigheder og Det Europæiske Databeskyttelsesråd, navnlig det standardformat, der er nævnt i artikel 58, stk. 5, 6 og 8.

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

 

2. I behørigt begrundede tilfælde af særligt hastende karakter vedrørende registreredes interesser omhandlet i stk. 1, litra a), vedtager Kommissionen omgående gennemførelsesretsakter i overensstemmelse med den procedure, der er omhandlet i artikel 87, stk. 3. Disse retsakter gælder i en periode på højst 12 måneder.

 

3. Manglende vedtagelse eller vedtagelse af en foranstaltning i henhold til denne afdeling berører ikke andre foranstaltninger, der vedtages af Kommissionen i henhold til traktaterne.

3. Manglende vedtagelse eller vedtagelse af en foranstaltning i henhold til denne afdeling berører ikke andre foranstaltninger, der vedtages af Kommissionen i henhold til traktaterne.

Ændringsforslag  174

Forslag til forordning

Artikel 63 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Hvis en tilsynsmyndighed i strid med artikel 58, stk. 1-5, ikke forelægger en foreslået foranstaltning for sammenhængsmekanismen, er tilsynsmyndighedens foranstaltning ikke retsgyldig og kan ikke håndhæves retsligt.

2. Hvis en tilsynsmyndighed i strid med artikel 58, stk. 1 og 2, ikke forelægger en foreslået foranstaltning for sammenhængsmekanismen eller vedtager en foranstaltning til trods for, at der er fremført alvorlige indvendinger, jf. artikel 58a, stk. 1, er tilsynsmyndighedens foranstaltning ikke retsgyldig og kan ikke håndhæves retsligt.

Ændringsforslag  175

Forslag til forordning

Artikel 66

Kommissionens forslag

Ændringsforslag

Det Europæiske Databeskyttelsesråds opgaver

Det Europæiske Databeskyttelsesråds opgaver

1. Det Europæiske Databeskyttelsesråd sikrer, at denne forordning anvendes på en ensartet måde. På eget initiativ eller efter anmodning fra Kommissionen har Det Europæiske Databeskyttelsesråd bl.a. til opgave at:

1. Det Europæiske Databeskyttelsesråd sikrer, at denne forordning anvendes på en ensartet måde. På eget initiativ eller efter anmodning fra Europa-Parlamentet, Rådet eller Kommissionen har Det Europæiske Databeskyttelsesråd bl.a. til opgave at:

(a) rådgive Kommissionen om ethvert spørgsmål vedrørende beskyttelse af personoplysninger i Unionen, herunder om ethvert forslag til ændring af denne forordning

(a) rådgive EU-institutionerne om ethvert spørgsmål vedrørende beskyttelse af personoplysninger i Unionen, herunder om ethvert forslag til ændring af denne forordning

(b) undersøge, på eget initiativ, efter anmodning fra et af sine medlemmer eller efter anmodning fra Kommissionen, ethvert spørgsmål vedrørende anvendelsen af denne forordning og udarbejde retningslinjer, henstillinger og bedste praksis til tilsynsmyndighederne for at fremme en ensartet anvendelse af denne forordning

(b) undersøge, på eget initiativ, efter anmodning fra et af sine medlemmer eller efter anmodning fra Europa-Parlamentet, Rådet eller Kommissionen, ethvert spørgsmål vedrørende anvendelsen af denne forordning og udarbejde retningslinjer, henstillinger og bedste praksis til tilsynsmyndighederne for at fremme en ensartet anvendelse af denne forordning, bl.a. vedrørende brug af håndhævelsesbeføjelser

(c) gennemgå den praktiske anvendelse af de retningslinjer, henstillinger og bedste praksis, som er omhandlet i litra b), og aflægge regelmæssig rapport herom til Kommissionen

(c) gennemgå den praktiske anvendelse af de retningslinjer, henstillinger og bedste praksis, som er omhandlet i litra b), og aflægge regelmæssig rapport herom til Kommissionen

(d) afgive udtalelser om tilsynsmyndigheders foreslåede afgørelser i overensstemmelse med den sammenhængsmekanisme, der er omhandlet i artikel 57

(d) afgive udtalelser om tilsynsmyndigheders foreslåede afgørelser i overensstemmelse med den sammenhængsmekanisme, der er omhandlet i artikel 57

 

(da) afgive udtalelse om, hvilken myndighed der skal være den ledende myndighed i henhold til artikel 54a, stk. 3

(e) fremme samarbejdet og en effektiv bilateral og multilateral udveksling af information og bedste praksis mellem tilsynsmyndighederne

(e) fremme samarbejdet og en effektiv bilateral og multilateral udveksling af information og bedste praksis mellem tilsynsmyndighederne, herunder koordineringen af fælles aktiviteter, der iværksættes efter anmodning fra en eller flere tilsynsmyndigheder

(f) fremme fælles uddannelsesprogrammer og udveksling af personale mellem tilsynsmyndighederne samt i påkommende tilfælde med tilsynsmyndighederne i tredjelande og internationale organisationers tilsynsmyndigheder

(f) fremme fælles uddannelsesprogrammer og udveksling af personale mellem tilsynsmyndighederne samt i påkommende tilfælde med tilsynsmyndighederne i tredjelande og internationale organisationers tilsynsmyndigheder

(g) fremme udveksling af viden og dokumentation vedrørende databeskyttelseslovgivning og -praksis med databeskyttelsesmyndigheder over hele verden.

(g) fremme udveksling af viden og dokumentation vedrørende databeskyttelseslovgivning og -praksis med databeskyttelsesmyndigheder over hele verden.

 

(ga) afgive udtalelse til Kommissionen i forbindelse med udarbejdelsen af delegerede retsakter og gennemførelsesretsakter på grundlag af denne forordning

 

(gb) afgive udtalelse om de adfærdskodekser, der udarbejdes på EU-plan, jf. artikel 38, stk. 4

 

(gc) afgive udtalelse om kriterier og krav vedrørende certificeringsordningerne for databeskyttelse, jf. artikel 39, stk. 3

 

(gd) føre et offentligt elektronisk register over gyldige og ugyldige certifikater, jf. artikel 39, stk. 1h

 

(ge) yde bistand til nationale tilsynsmyndigheder, der anmoder herom

 

(gf) fastsætte og offentliggøre en liste over de former for behandling, som er underlagt krav om forudgående høring i henhold til artikel 34

 

(gg) føre et register over sanktioner, som de kompetente tilsynsmyndigheder pålægger dataansvarlige eller databehandlere.

2. Når Kommissionen anmoder Det Europæiske Databeskyttelsesråd om rådgivning, kan den fastsætte en frist for, hvornår Det Europæiske Databeskyttelsesråds skal yde denne rådgivning. En sådan frist fastsættes under hensyntagen til, hvor meget den pågældende sag haster.

2. Når Europa-Parlamentet, Rådet eller Kommissionen anmoder Det Europæiske Databeskyttelsesråd om rådgivning, kan den fastsætte en frist for, hvornår Det Europæiske Databeskyttelsesråd skal yde denne rådgivning. En sådan frist fastsættes under hensyntagen til, hvor meget den pågældende sag haster.

3. Det Europæiske Databeskyttelsesråd fremsender sine udtalelser, retningslinjer, henstillinger og bedste praksis til Kommissionen og til det udvalg, der er nævnt i artikel 87, og offentliggør dem.

3. Det Europæiske Databeskyttelsesråd fremsender sine udtalelser, retningslinjer, henstillinger og bedste praksis til Europa-Parlamentet, Rådet og Kommissionen og til det udvalg, der er nævnt i artikel 87, og offentliggør dem.

4. Kommissionen underretter Det Europæiske Databeskyttelsesråd om Kommissionens opfølgning på udtalelser, retningslinjer, henstillinger og bedste praksis udarbejdet af Det Europæiske Databeskyttelsesråd.

4. Kommissionen underretter Det Europæiske Databeskyttelsesråd om Kommissionens opfølgning på udtalelser, retningslinjer, henstillinger og bedste praksis udarbejdet af Det Europæiske Databeskyttelsesråd.

 

4a. Det Europæiske Databeskyttelsesråd hører i givet fald berørte parter og giver dem mulighed for at fremsætte bemærkninger inden for en rimelig periode. Det Europæiske Databeskyttelsesråd offentliggør med forbehold af artikel 72 resultaterne af høringsproceduren.

 

4b. Det Europæiske Databeskyttelsesråd skal have til opgave at udarbejde retningslinjer, henstillinger og bedste praksis, jf. stk. 1, litra b), vedrørende fastsættelse af fælles procedurer for modtagelse og undersøgelse af oplysninger om påstået ulovlig behandling og vedrørende sikring af fortrolighed og kilderne til de modtagne oplysninger.

Ændringsforslag  176

Forslag til forordning

Artikel 67 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Det Europæiske Databeskyttelsesråd informerer regelmæssigt og rettidigt Kommissionen om resultatet af sine aktiviteter. Det udarbejder en årlig rapport om situationen vedrørende beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger inden for Unionen og i tredjelande.

1. Det Europæiske Databeskyttelsesråd informerer regelmæssigt og rettidigt Europa-Parlamentet, Rådet og Kommissionen om resultatet af sine aktiviteter. Det udarbejder mindst hvert andet år en rapport om situationen vedrørende beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger inden for Unionen og i tredjelande.

Rapporten omfatter en gennemgang af den praktiske anvendelse af de retningslinjer, henstillinger og bedste praksis, som er omhandlet i artikel 66, stk. 1, litra c).

Rapporten omfatter en gennemgang af den praktiske anvendelse af de retningslinjer, henstillinger og bedste praksis, som er omhandlet i artikel 66, stk. 1, litra c).

Ændringsforslag  177

Forslag til forordning

Artikel 68 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Det Europæiske Databeskyttelsesråd træffer afgørelse med simpelt flertal.

1. Det Europæiske Databeskyttelsesråd træffer afgørelse med simpelt flertal, medmindre andet er fastsat i forretningsordenen.

Ændringsforslag  178

Forslag til forordning

Artikel 69 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Det Europæiske Databeskyttelsesråd vælger en formand og to næstformænd blandt sine medlemmer. Den ene næstformand er Den Europæiske Tilsynsførende for Databeskyttelse, medmindre vedkommende vælges som formand.

1. Det Europæiske Databeskyttelsesråd vælger en formand og mindst to næstformænd blandt sine medlemmer.

Ændringsforslag  179

Forslag til forordning

Artikel 69 – stk. 2 a (nyt)

Kommissionens forslag

Ændringsforslag

 

2a. Formandsposten er et fuldtidshverv.

Ændringsforslag  180

Forslag til forordning

Artikel 71 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Sekretariatet yder analytisk, administrativ og logistisk støtte til Det Europæiske Databeskyttelsesråd under formandens ledelse.

2. Sekretariatet yder analytisk, juridisk, administrativ og logistisk støtte til Det Europæiske Databeskyttelsesråd under formandens ledelse.

Ændringsforslag  181

Forslag til forordning

Artikel 72 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Det Europæiske Databeskyttelsesråds drøftelser er fortrolige.

1. Det Europæiske Databeskyttelsesråds drøftelser kan om nødvendigt være fortrolige, medmindre andet er fastsat i forretningsordenen. Dagsordenerne for Det Europæiske Databeskyttelsesråds møder offentliggøres.

Ændringsforslag  182

Forslag til forordning

Artikel 73

Kommissionens forslag

Ændringsforslag

Ret til at indgive klage til tilsynsmyndigheden

Ret til at indgive klage til tilsynsmyndigheden

1. Uden at det berører en eventuel administrativ klageadgang eller adgang til domstolsprøvelse, har alle registrerede ret til at indgive klage til tilsynsmyndigheden i enhver medlemsstat, hvis de finder, at behandlingen af deres personoplysninger ikke er i overensstemmelse med denne forordning.

1. Uden at det berører en eventuel administrativ klageadgang eller adgang til domstolsprøvelse og sammenhængsmekanismen, har alle registrerede ret til at indgive klage til tilsynsmyndigheden i enhver medlemsstat, hvis de finder, at behandlingen af deres personoplysninger ikke er i overensstemmelse med denne forordning.

2. Alle organer, organisationer eller sammenslutninger, der har til formål at beskytte registreredes rettigheder og interesser i forbindelse med beskyttelsen af deres personoplysninger, og som er etableret i overensstemmelse med en medlemsstats lovgivning, har ret til at indgive klage til en tilsynsmyndighed i enhver medlemsstat på vegne af en eller flere registrerede, hvis de vurderer, at den registreredes rettigheder i henhold til denne forordning er blevet krænket som følge af behandlingen af personoplysninger.

2. Alle organer, organisationer eller sammenslutninger, der handler i almenhedens interesse, og som er etableret i overensstemmelse med en medlemsstats lovgivning, har ret til at indgive klage til en tilsynsmyndighed i enhver medlemsstat på vegne af en eller flere registrerede, hvis de vurderer, at den registreredes rettigheder i henhold til denne forordning er blevet krænket som følge af behandlingen af personoplysninger.

3. Alle de organer, organisationer eller sammenslutninger, der er omhandlet i stk. 2, har ret til, uafhængigt af en klage fra den registrerede, at indgive klage til en tilsynsmyndighed i enhver medlemsstat, hvis de vurderer, at et brud på persondatasikkerheden har fundet sted.

3. Alle de organer, organisationer eller sammenslutninger, der er omhandlet i stk. 2, har ret til, uafhængigt af en klage fra den registrerede, at indgive klage til en tilsynsmyndighed i enhver medlemsstat, hvis de vurderer, at et brud på denne forordning har fundet sted.

Ændringsforslag  183

Forslag til forordning

Artikel 74

Kommissionens forslag

Ændringsforslag

Retsmidler over for tilsynsmyndigheden

Retsmidler over for tilsynsmyndigheden

1. Enhver fysisk eller juridisk person har ret til domstolsprøvelse af afgørelser truffet af en tilsynsmyndighed vedrørende vedkommende.

1. Uden at det berører en eventuel administrativ eller udenretslig klageadgang, har enhver fysisk eller juridisk person ret til domstolsprøvelse af afgørelser truffet af en tilsynsmyndighed vedrørende vedkommende.

2. Enhver registreret har adgang til et retsmiddel, der forpligter tilsynsmyndigheden til at reagere på en klage, hvis der ikke træffes en afgørelse, som er nødvendig for at beskytte vedkommendes rettigheder, eller hvis tilsynsmyndigheden ikke inden for tre måneder underretter den registrerede om forløbet eller resultatet af klagen i henhold til artikel 52, stk. 1, litra b).

2. Uden at det berører en eventuel administrativ eller udenretslig klageadgang, har enhver registreret adgang til et retsmiddel, der forpligter tilsynsmyndigheden til at reagere på en klage, hvis der ikke træffes en afgørelse, som er nødvendig for at beskytte vedkommendes rettigheder, eller hvis tilsynsmyndigheden ikke inden for tre måneder underretter den registrerede om forløbet eller resultatet af klagen i henhold til artikel 52, stk. 1, litra b).

3. En sag mod en tilsynsmyndighed anlægges ved domstolen i den medlemsstat, hvor tilsynsmyndigheden er etableret.

3. En sag mod en tilsynsmyndighed anlægges ved domstolen i den medlemsstat, hvor tilsynsmyndigheden er etableret.

4. En registreret, der berøres af en afgørelse, som er truffet af en tilsynsmyndighed i en anden medlemsstat end den medlemsstat, hvor den registrerede har sit sædvanlige opholdssted, kan anmode tilsynsmyndigheden i den medlemsstat, hvor den registrerede har sit sædvanlige opholdssted, om på den registreredes vegne at anlægge dennes sag mod den kompetente tilsynsmyndighed i den anden medlemsstat.

4. Uden at det berører sammenhængsmekanismen, kan en registreret, der berøres af en afgørelse, som er truffet af en tilsynsmyndighed i en anden medlemsstat end den medlemsstat, hvor den registrerede har sit sædvanlige opholdssted, anmode tilsynsmyndigheden i den medlemsstat, hvor den registrerede har sit sædvanlige opholdssted, om på den registreredes vegne at anlægge dennes sag mod den kompetente tilsynsmyndighed i den anden medlemsstat.

5. Medlemsstaterne gennemfører endelige afgørelser, der træffes af de domstole, som er omhandlet i denne artikel.

5. Medlemsstaterne gennemfører endelige afgørelser, der træffes af de domstole, som er omhandlet i denne artikel.

Ændringsforslag  184

Forslag til forordning

Artikel 75 – stk. 2

Kommissionens forslag

Ændringsforslag

2. En sag mod en registeransvarlig eller en registerfører anlægges ved domstolen i den medlemsstat, hvor den registeransvarlige eller registerføreren er etableret. Alternativt kan en sådan sag anlægges ved domstolen i den medlemsstat, hvor den registrerede har sit sædvanlige opholdssted, medmindre den registeransvarlige er en offentlig myndighed, der udøver offentligretlige beføjelser.

2. En sag mod en dataansvarlig eller en databehandler anlægges ved domstolen i den medlemsstat, hvor den dataansvarlige eller databehandleren er etableret. Alternativt kan en sådan sag anlægges ved domstolen i den medlemsstat, hvor den registrerede har sit sædvanlige opholdssted, medmindre den dataansvarlige er en offentlig myndighed i Unionen eller en medlemsstat, der udøver offentligretlige beføjelser.

Ændringsforslag  185

Forslag til forordning

Artikel 76 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Alle organer, organisationer eller sammenslutninger, der er omhandlet i artikel 73, stk. 2, har ret til at udøve de rettigheder, der er omhandlet i artikel 74 og 75, på vegne af en eller flere registrerede.

1. Alle organer, organisationer eller sammenslutninger, der er omhandlet i artikel 73, stk. 2, har ret til at udøve de rettigheder, der er omhandlet i artikel 74, 75 og 77, hvis de bemyndiges hertil af en eller flere registrerede.

Ændringsforslag  186

Forslag til forordning

Artikel 77 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Enhver, som har lidt skade som følge af en ulovlig behandling eller enhver anden handling, der er uforenelig med denne forordning, har ret til erstatning for den forvoldte skade fra den registeransvarlige eller registerføreren.

1. Enhver, som har lidt skade, herunder ikkeøkonomisk skade, som følge af en ulovlig behandling eller enhver anden handling, der er uforenelig med denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.

Ændringsforslag  187

Forslag til forordning

Artikel 77 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Når flere registeransvarlige eller registerførere er involveret i behandlingen, hæfter den enkelte registeransvarlige eller registerfører solidarisk for hele erstatningsbeløbet.

2. Når flere dataansvarlige eller databehandlere er involveret i behandlingen, hæfter hver af disse dataansvarlige eller databehandlere solidarisk for hele erstatningsbeløbet, medmindre de har en fyldestgørende skriftlig aftale, hvori ansvaret fastsættes, jf. artikel 24.

Ændringsforslag  188

Forslag til forordning

Artikel 79

Kommissionens forslag

Ændringsforslag

Administrative sanktioner

Administrative sanktioner

1. Hver tilsynsmyndighed har beføjelse til at anvende administrative sanktioner i henhold til denne artikel.

1. Hver tilsynsmyndighed har beføjelse til at anvende administrative sanktioner i henhold til denne artikel. Tilsynsmyndighederne samarbejder med hinanden i overensstemmelse med artikel 46 og 57 for at sikre et harmoniseret sanktionsniveau i Unionen.

2. Den administrative sanktion skal være effektiv, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Bødens størrelse fastlægges under hensyntagen til overtrædelsens karakter, alvor og varighed, overtrædelsens forsætlige eller uagtsomme karakter, den fysiske eller juridiske persons grad af ansvar, denne persons eventuelle tidligere overtrædelser, de tekniske og organisatoriske foranstaltninger og procedurer, der er gennemført i henhold til artikel 23, og graden af samarbejde med tilsynsmyndigheden for at afhjælpe bruddet.

2. Den administrative sanktion skal være effektiv, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

 

2a. Tilsynsmyndigheden pålægger enhver, der ikke efterlever forpligtelserne i denne forordning, som minimum en af følgende sanktioner:

 

a) en skriftlig advarsel i tilfælde af en første og uforsætlig manglende overholdelse

 

b) regelmæssige periodiske databeskyttelseskontroller

 

c) en bøde på op til 100 000 000 EUR eller op til 5 % af den årlige globale omsætning, hvis det drejer sig om en virksomhed, alt efter hvilken af disse der er højest.

 

2b. Hvis den dataansvarlige eller databehandleren er i besiddelse af en gyldig "europæisk databeskyttelsesmærkning", jf. artikel 39, pålægges der kun en bøde i medfør af stk. 2a, litra c), i tilfælde af forsætlig eller uagtsom manglende overholdelse.

 

2c. Følgende faktorer tages i betragtning ved fastlæggelsen af administrative sanktioner:

 

a) karakteren, alvoren og varigheden af den manglende overholdelse

 

b) overtrædelsens forsætlige eller uagtsomme karakter

 

c) den fysiske eller juridiske persons grad af ansvar og denne persons tidligere overtrædelser

 

d) overtrædelsens repetitive karakter

 

e) graden af samarbejde med tilsynsmyndigheden for at afhjælpe overtrædelsen og afbøde de negative konsekvenser, som overtrædelsen måtte have givet anledning til

 

f) de specifikke kategorier af personoplysninger, der er berørt af overtrædelsen

 

(g) omfanget af den skade, herunder ikkeøkonomisk skade, som den registrerede har lidt

 

(h) foranstaltninger, som er truffet af den dataansvarlige eller databehandleren for at afhjælpe den skade, den registrerede har lidt

 

(i) økonomiske fordele, der direkte eller indirekte er tilstræbt eller opnået ved overtrædelsen, eller tab, der på samme måde er undgået

 

(j) graden af de tekniske og organisatoriske foranstaltninger og procedurer, der er gennemført i henhold til:

 

(i)Artikel 23 - Indbygget databeskyttelse og databeskyttelse gennem indstillinger

 

(ii) Artikel 30 - Behandlingssikkerhed

 

(iii) Artikel 33 - Konsekvensanalyse vedrørende databeskyttelse

 

(iv) Artikel 33a - Evaluering af overholdelse af databeskyttelsesregler

 

(v)Artikel 35 - Udpegning af den databeskyttelsesansvarlige

 

(k) afvisning af at samarbejde i forbindelse med eller hindring af tilsyn og kontroller gennemført af tilsynsmyndigheden i henhold til artikel 53

 

(l) andre skærpende eller formildende faktorer ved sagens omstændigheder.

3. I tilfælde af en første og uforsætlig manglende overholdelse af denne forordning kan der gives en skriftlig advarsel uden pålæggelse af sanktioner, hvis:

 

(a) en fysisk person behandler personoplysninger uden kommerciel interesse

 

(b) en virksomhed eller organisation, der beskæftiger under 250 personer, udelukkende behandler personoplysninger som en aktivitet i tilknytning til dens hovedaktiviteter.

 

4. Tilsynsmyndigheden pålægger enhver en bøde på op til 250.000 EUR, eller, hvis det drejer sig om en virksomhed, på op til 0,5 % af dens årlige globale omsætning, såfremt vedkommende forsætligt eller uagtsomt:

 

(a) ikke fastlægger ordninger for registreredes anmodninger, ikke rettidigt besvarer sådanne anmodninger eller ikke overholder formatkravene i henhold til artikel 12, stk. 1 og 2

 

(b) opkræver gebyr for oplysninger eller svar på registrerede anmodninger i strid med artikel 12, stk. 4.

 

5. Tilsynsmyndigheden pålægger enhver en bøde på op til 500 000 EUR, eller, hvis det drejer sig om en virksomhed, på op til 1 % af dens årlige globale omsætning, såfremt vedkommende forsætligt eller uagtsomt:

 

(a) ikke fremlægger oplysninger, fremlægger ufuldstændige oplysninger eller ikke fremlægger oplysninger på en tilstrækkeligt gennemsigtig måde for den registrerede i henhold til artikel 11, artikel 12, stk. 3, og artikel 14

 

(b) ikke giver den registrerede indsigt i eller ikke berigtiger personoplysninger i henhold til artikel 15 og 16 eller ikke meddeler de relevante oplysninger til modtageren i henhold til artikel 13

 

(c) ikke overholder retten til at blive glemt eller til sletning, ikke iværksætter mekanismer, der sikrer, at tidsfristerne overholdes, eller ikke træffer alle nødvendige foranstaltninger for at oplyse tredjemand om, at en registreret anmoder om, at alle link til, kopier af eller gengivelser af personoplysningerne slettes i henhold til artikel 17

 

(d) ikke udleverer en elektronisk kopi af personoplysningerne eller hindrer den registrerede i at overføre personoplysningerne til en anden applikation i strid med artikel 18

 

(e) ikke eller ikke i tilstrækkelig grad fastlægger det respektive ansvar for fælles registeransvarlige i henhold til artikel 24

 

(f) ikke eller ikke i tilstrækkelig grad ajourfører dokumentationen i henhold til artikel 28, artikel 31, stk. 4, og artikel 44, stk. 3

 

(g) i tilfælde vedrørende særlige kategorier af oplysninger, jf. artikel 80, 82 og 83, ikke overholder reglerne om ytringsfrihed eller reglerne om behandling af personoplysninger i forbindelse med ansættelsesforhold og til historiske, statistiske eller videnskabelige forskningsformål.

 

6. Tilsynsmyndigheden pålægger enhver en bøde på op til 1 000 000 EUR, eller, hvis det drejer sig om en virksomhed, på op til 2 % af dens årlige globale omsætning, såfremt vedkommende forsætligt eller uagtsomt:

 

(a) behandler personoplysninger uden retsgrundlag eller med utilstrækkeligt retsgrundlag for behandlingen eller ikke overholder betingelserne for samtykke i artikel 6, 7 og 8

 

(b) behandler særlige kategorier af personoplysninger i strid med artikel 9 og 81

 

(c) ikke respekter en indsigelse eller et krav i henhold til artikel 19

 

(d) ikke overholder betingelserne vedrørende foranstaltninger baseret på profilering i henhold til artikel 20

 

(e) ikke vedtager interne regler eller ikke gennemfører de fornødne foranstaltninger for at sikre og påvise overensstemmelse i henhold til artikel 22, 23 og 30

 

(f) ikke udpeger en repræsentant i henhold til artikel 25

 

(g) behandler eller giver instrukser om behandling af personoplysninger i strid med forpligtelserne vedrørende behandling på vegne af en registeransvarlig i henhold til artikel 26 og 27

 

(h) ikke varsler eller anmelder et brud på persondatasikkerheden eller ikke rettidigt eller udførligt anmelder bruddet på persondatasikkerheden til tilsynsmyndigheden eller den registrerede i henhold til artikel 31 og 32

 

(i) ikke gennemfører en konsekvensanalyse vedrørende databeskyttelse eller behandler personoplysninger uden forudgående godkendelse eller forudgående høring af tilsynsmyndigheden i henhold til artikel 33 og 34

 

(j) ikke udpeger en databeskyttelsesansvarlig eller ikke sikrer betingelserne for udøvelsen af dette hverv i henhold til artikel 35, 36 og 37

 

(k) misbruger databeskyttelsesmærkninger eller -mærker som omhandlet i artikel 39

 

(l) gennemfører eller giver instrukser om videregivelse af personoplysninger til et tredjeland eller en international organisation, som ikke er genstand for en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, ikke giver de fornødne garantier eller er genstand for en undtagelse i henhold til artikel 40-44

 

(m) ikke overholder et påbud eller et midlertidigt eller definitivt forbud mod behandling eller tilsynsmyndighedens suspension af dataoverførsel i henhold til artikel 53, stk. 1

 

(n) ikke overholder forpligtelserne til at bistå, besvare eller udlevere relevante oplysninger til tilsynsmyndigheden eller give denne adgang til lokaler i henhold til artikel 28, stk. 3, artikel 29, artikel 34, stk. 6, og artikel 53, stk. 2

 

(o) ikke overholder reglerne om tavshedspligt i henhold til artikel 84.

 

7. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på at ajourføre størrelsen af de administrative bøder, der er omhandlet i denne artikels stk. 4, 5 og 6 under hensyntagen til kriterierne i stk. 2.

7. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på at ajourføre størrelsen i absolutte tal af de administrative bøder, der er omhandlet i denne artikels stk. 2a under hensyntagen til kriterierne og faktorerne i stk. 2 og 2c.

Ændringsforslag  189

Forslag til forordning

Artikel 80 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Medlemsstaterne fastsætter kun bestemmelser om fritagelser eller undtagelser fra de generelle principper i kapitel II, bestemmelserne om den registreredes rettigheder i kapitel III, bestemmelserne om den registeransvarlige og registerføreren i kapitel IV, bestemmelserne om videregivelse af personoplysninger til tredjelande og internationale organisationer i kapitel V, bestemmelserne om uafhængige tilsynsmyndigheder i kapitel VI og bestemmelserne om samarbejde og sammenhæng i kapitel VII i forbindelse med behandling af personoplysninger, der udelukkende finder sted i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed for at forene retten til beskyttelse af personoplysninger med reglerne for ytringsfrihed.

1. Medlemsstaterne fastsætter kun bestemmelser om fritagelser eller undtagelser fra de generelle principper i kapitel II, bestemmelserne om den registreredes rettigheder i kapitel III, bestemmelserne om den dataansvarlige og databehandleren i kapitel IV, bestemmelserne om videregivelse af personoplysninger til tredjelande eller internationale organisationer i kapitel V, bestemmelserne om uafhængige tilsynsmyndigheder i kapitel VI, bestemmelserne om samarbejde og sammenhæng i kapitel VII og bestemmelserne vedrørende specifikke databehandlingssituationer i kapitel IX, når det er nødvendigt for at forene retten til beskyttelse af personoplysninger med reglerne for ytringsfrihed i overensstemmelse med Den Europæiske Unions charter om grundlæggende rettigheder.

Ændringsforslag  190

Forslag til forordning

Artikel 80 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 80a

 

Aktindsigt

 

1. Personoplysninger i dokumenter, som en offentlig myndighed eller et offentligt organ er i besiddelse af, må videregives af denne myndighed eller dette organ i overensstemmelse med Unionens eller medlemsstatens lovgivning vedrørende offentlig adgang til officielle dokumenter, hvilket forener retten til beskyttelse af personoplysninger med princippet om aktindsigt.

 

2. Hver medlemsstat meddeler Kommissionen de bestemmelser, den vedtager i henhold til stk. 1, senest den dato, der er fastsat i artikel 91, stk. 2, og underretter den straks om eventuelle senere ændringer af disse.

Ændringsforslag  191

Forslag til forordning

Artikel 81

Kommissionens forslag

Ændringsforslag

Behandling af personoplysninger om helbredsforhold

Behandling af personoplysninger om helbredsforhold

1. Under overholdelse af denne forordning og i overensstemmelse med artikel 9, stk. 2, litra h), foretages behandling af personlige helbredsoplysninger på grundlag af EU-retten eller medlemsstatslovgivning, som fastsætter tilstrækkelige og specifikke foranstaltninger til beskyttelse af den registreredes legitime interesser, og som er nødvendig:

1. I overensstemmelse med bestemmelserne i denne forordning, særlig artikel 9, stk. 2, litra h), foretages behandling af personlige helbredsoplysninger på grundlag af EU-retten eller medlemsstatslovgivning, som fastsætter tilstrækkelige, sammenhængende og specifikke foranstaltninger til beskyttelse af den registreredes interesser og grundlæggende rettigheder, i det omfang disse er nødvendige og forholdsmæssige, og hvis virkninger den registrerede skal kunne forudse:

(a) i forbindelse med forebyggende medicin, arbejdsmedicin, medicinsk diagnose, sygepleje eller patientbehandling eller forvaltning af læge- og sundhedstjenester, og hvis behandlingen af disse oplysninger foretages af en erhvervsudøvende i sundhedssektoren, der i henhold til medlemsstatens lovgivning eller regler, der er fastsat af kompetente nationale organer, har tavshedspligt, eller af en anden person med tilsvarende tavshedspligt

(a) i forbindelse med forebyggende medicin, videnskabelig forskning, arbejdsmedicin, medicinsk diagnose, sygepleje eller patientbehandling eller forvaltning af læge- og sundhedstjenester, og hvis behandlingen af disse oplysninger foretages af en erhvervsudøvende i sundhedssektoren, der i henhold til medlemsstatens lovgivning eller regler, der er fastsat af kompetente nationale organer, har tavshedspligt, eller af en anden person med tilsvarende tavshedspligt

(b) af hensyn til folkesundheden, f.eks. beskyttelse mod alvorlige sundhedsrisici på tværs af grænserne eller sikring af høje kvalitets- og sikkerhedsstandarder for bl.a. lægemidler eller lægeudstyr

(b) af hensyn til folkesundheden, f.eks. beskyttelse mod alvorlige sundhedsrisici på tværs af grænserne eller sikring af høje kvalitets- og sikkerhedsstandarder for bl.a. lægemidler eller lægeudstyr, og når sådanne oplysninger behandles af en person, der har tavshedspligt

(c) af hensyn til andre samfundsmæssige interesser på områder, som f.eks. social sikring, navnlig for at sikre kvaliteten og rentabiliteten af de procedurer, der anvendes i forbindelse med ansøgninger om ydelser og tjenester inden for sygesikringsordningen.

(c) af hensyn til andre samfundsmæssige interesser på områder, som f.eks. social sikring, navnlig for at sikre kvaliteten og rentabiliteten af de procedurer, der anvendes i forbindelse med ansøgninger om ydelser og tjenester inden for sygesikringsordningen og levering af sundhedsydelser. En sådan behandling af personoplysninger om helbredsforhold af hensyn til samfundsmæssige interesser må ikke medføre, at der behandles oplysninger til andre formål, medmindre det sker med den registreredes samtykke eller på grundlag af EU-retten eller medlemsstatslovgivning.

 

1a. Når målene i stk. 1, litra a)-c), kan nås uden anvendelse af personoplysninger, anvendes sådanne oplysninger ikke til disse formål, medmindre det sker med den registreredes samtykke eller på grundlag af medlemsstatslovgivning.

 

1b. Hvis den registreredes samtykke er påkrævet til behandling af helbredsoplysninger udelukkende til folkesundhedsmæssige formål i forbindelse med videnskabelig forskning, kan der gives samtykke til et eller flere specifikke og tilsvarende forskningsprojekter. Den registrerede kan dog tilbagekalde samtykket på ethvert tidspunkt.

 

1c. Når det gælder samtykke til deltagelse i videnskabelige forskningsaktiviteter i kliniske forsøg, finder de relevante bestemmelser i Europa-Parlamentets og Rådets direktiv 2001/20/EF1 anvendelse.

2. Behandling af personoplysninger, der er nødvendig til historiske, statistiske eller videnskabelige forskningsformål, f.eks. patientregistre, der oprettes for at forbedre diagnosticering og differentiering af lignende sygdomstyper samt forberedelse af forsøgsbehandlinger, er underlagt de betingelser og garantier, der er omhandlet i artikel 83.

2. Behandling af personoplysninger, der er nødvendig til historiske, statistiske eller videnskabelige forskningsformål, er udelukkende tilladt med den registreredes samtykke og er underlagt de betingelser og garantier, der er omhandlet i artikel 83.

 

2a. Medlemsstaternes lovgivning kan fastlægge undtagelser fra kravet om samtykke til forskning, jf. stk. 2, for så vidt angår forskning af stor samfundsmæssig betydning, hvis den relevante forskning ellers ikke kan gennemføres. Det sikres i overensstemmelse med de højeste tekniske standarder, at de pågældende data er anonyme, eller – såfremt det ikke er muligt til forskningsformål – at der anvendes pseudonymer, og der træffes alle nødvendige foranstaltninger til at forhindre, at de registrerede kan identificeres. Den registrerede har dog ret til at gøre indsigelse på ethvert tidspunkt, jf. artikel 19.

3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på at præcisere andre hensyn til samfundsinteresser på folkesundhedsområdet, jf. stk. 1, litra b), og at fastlægge kriterier og betingelser vedrørende garantierne for behandling af personoplysninger til de formål, der er omhandlet i stk. 1.

3. Kommissionen tillægges beføjelser til efter anmodning om en udtalelse fra Det Europæiske Databeskyttelsesråd at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på at præcisere samfundsinteresser på folkesundhedsområdet, jf. stk. 1, litra b), og stor samfundsmæssig betydning på forskningsområdet, jf. stk. 2a.

 

3a. Hver medlemsstat meddeler Kommissionen de bestemmelser, den vedtager i henhold til stk. 1, senest den dato, der er fastsat i artikel 91, stk. 2, og underretter den straks om eventuelle senere ændringer af disse.

 

1Europa-Parlamentets og Rådets direktiv 2001/20/EF af 4. april 2001 om indbyrdes tilnærmelse af medlemsstaternes love og administrative bestemmelser om anvendelse af god klinisk praksis ved gennemførelse af kliniske forsøg med lægemidler til human brug (EFT L 121 af 1.5.2001, s. 34).

Ændringsforslag  192

Forslag til forordning

Artikel 82

Kommissionens forslag

Ændringsforslag

Behandling i forbindelse med ansættelsesforhold

Minimumsstandarder for behandling af oplysninger i forbindelse med ansættelsesforhold

1. Under overholdelse af denne forordning kan medlemsstaterne vedtage specifikke bestemmelser, der regulerer behandlingen af arbejdstageres personoplysninger i ansættelsesforhold, blandt andet i forbindelse med ansættelse, ansættelseskontrakter, herunder godtgørelse for forpligtelser fastlagt ved lov eller kollektive overenskomster, arbejdets ledelse, planlægning og tilrettelæggelse, arbejdsmiljø, og i forbindelse med individuel eller kollektiv udøvelse og brug af rettigheder og fordele i forbindelse med ansættelse og i forbindelse med ophør af ansættelsesforhold.

1. I overensstemmelse med bestemmelserne i denne forordning og under hensyntagen til proportionalitetsprincippet kan medlemsstaterne ad lovgivningens vej vedtage specifikke bestemmelser, der regulerer behandlingen af arbejdstageres personoplysninger i ansættelsesforhold, navnlig – men ikke udelukkende – i forbindelse med ansættelse og ansøgninger inden for koncernen, ansættelseskontrakter, herunder godtgørelse for forpligtelser fastlagt ved lov og kollektive overenskomster, virksomhedsaftaler og kollektive overenskomster i overensstemmelse med national lovgivning og praksis, arbejdets ledelse, planlægning og tilrettelæggelse, arbejdsmiljø, og i forbindelse med individuel eller kollektiv udøvelse og brug af rettigheder og fordele i forbindelse med ansættelse og i forbindelse med ophør af ansættelsesforhold. Medlemsstaterne kan tillade, at bestemmelserne i denne artikel præciseres yderligere i kollektive overenskomster.

 

1a. Formålet med behandlingen af sådanne oplysninger skal være forbundet med den årsag, de blev indsamlet for, og skal holde sig inden for den beskæftigelsesmæssige sammenhæng. Profilering eller anvendelse til sekundære formål er ikke tilladt.

 

1b. Samtykke fra en ansat tilvejebringer ikke et retsgrundlag for arbejdsgiverens behandling af oplysninger, hvis dette samtykke ikke er givet utvunget.

 

1c. Uanset de øvrige bestemmelser i denne forordning omfatter de nationale lovbestemmelser, der er nævnt i stk. 1, mindst følgende minimumsnormer:

 

 

(a) Behandling af personoplysninger om ansatte er ikke tilladt, uden at arbejdstagerne har kendskab hertil. Uanset første punktum kan medlemsstaterne ved lov – med bestemmelser om passende frister for sletning af oplysningerne – tillade en sådan behandling, hvis der foreligger faktiske holdepunkter, der skal dokumenteres, for at antage, at arbejdstageren i forbindelse med ansættelsesforholdet har begået en strafbar handling eller en alvorlig manglende opfyldelse af forpligtelser, og oplysningerne er nødvendige af hensyn til sagens opklaring og hverken er af en sådan art eller har et sådant omfang, at behandlingen heraf er uforholdsmæssig i forhold til det tilstræbte mål. Arbejdstagernes privatliv og private sfære skal altid respekteres. De kompetente myndigheder har ansvaret for undersøgelsen heraf.

 

(b) Åben optisk-elektronisk og åben akustisk-elektronisk overvågning af de dele af virksomheden, der ikke er offentligt tilgængelige, og som arbejdstagerne i overvejende grad bruger til private formål, er ikke tilladt. Dette gælder navnlig toiletter og baderum, omklædningsrum, pauserum og soverum. Hemmelig overvågning er under alle omstændigheder ikke tilladt.

 

(c) Hvis virksomheder eller myndigheder som led i lægeundersøgelser og/eller egnethedstest indsamler eller behandler personrelaterede oplysninger, skal de på forhånd meddele ansøgeren eller arbejdstageren, hvortil disse oplysninger anvendes, og sikre, at disse oplysninger efterfølgende meddeles dem sammen med resultaterne og efter anmodning forklaringer af betydningen heraf. Indsamling af data med henblik på genetiske test og analyser er i princippet forbudt.

 

(d) Spørgsmålet om, hvorvidt og i hvilket omfang det er tilladt at anvende telefon, e-mail, internet og andre telekommunikationstjenester også til private formål, kan reguleres ved kollektive overenskomster. Hvis spørgsmålet ikke er reguleret via en kollektiv overenskomst, indgår arbejdsgiveren en aftale herom direkte med arbejdstageren. Hvis privat brug er tilladt, er behandling af trafikdata i tilknytning hertil tilladt navnlig for at garantere datasikkerheden og sikre, at telekommunikationsnet og telekommunikationstjenester fungerer gnidningsfrit, samt til afregningsformål.

 

Uanset stk. 3 kan medlemsstaterne ved lov – med bestemmelser om passende frister for sletning af oplysningerne – tillade en sådan behandling, hvis der foreligger faktiske holdepunkter, der skal dokumenteres, for at antage, at arbejdstageren i forbindelse med ansættelsesforholdet har begået en strafbar handling eller en alvorlig manglende opfyldelse af forpligtelser, og oplysningerne er nødvendige af hensyn til sagens opklaring og hverken er af en sådan art eller har et sådant omfang, at behandlingen heraf er uforholdsmæssig i forhold til det tilstræbte mål. Arbejdstagernes privatliv og private sfære skal altid respekteres. De kompetente myndigheder har ansvaret for undersøgelsen heraf.

 

(e) Personoplysninger om arbejdstagere, navnlig følsomme oplysninger, såsom politisk overbevisning og tilhørsforhold til og aktiviteter i fagforeninger, må under ingen omstændigheder anvendes til at opføre arbejdstagere på såkaldte "sorte lister" og kontrollere eller afholde dem fra at få adgang til fremtidig beskæftigelse. Behandling, anvendelse i ansættelsesforhold, udarbejdelse og overførsel af sorte lister over arbejdstagere eller andre former for forskelsbehandling er ikke tilladt. Medlemsstaterne foretager kontroller og vedtager passende sanktioner, jf. artikel 79, stk. 6, for at sikre en effektiv gennemførelse af denne bestemmelse.

 

1d. Videregivelse af personrelaterede data om ansatte mellem juridisk selvstændige virksomheder i en koncern og under medvirken af juridiske rådgivere og skatterådgivere er tilladt, for så vidt dette er relevant for virksomhedens drift og sker med henblik på gennemførelse af specifikke arbejdsrelaterede eller administrative procedurer, og videregivelsen ikke strider mod beskyttelsesværdige interesser hos den pågældende person eller dennes grundlæggende rettigheder. Hvis personoplysninger om ansatte videregives til et tredjeland og/eller en international organisation, finder kapitel V anvendelse.

2. Hver medlemsstat meddeler Kommissionen de bestemmelser, den vedtager i henhold til stk. 1, senest den dato, der er fastsat i artikel 91, stk. 2, og underretter den straks om eventuelle senere ændringer af disse.

2. Hver medlemsstat meddeler Kommissionen de bestemmelser, den vedtager i henhold til stk. 1 og 1b, senest på den dato, der er fastsat i artikel 91, stk. 2, og underretter den omgående om eventuelle senere ændringer af disse.

3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og betingelser vedrørende garantierne for behandling af personoplysninger til de formål, der er omhandlet i stk. 1.

3. Kommissionen tillægges beføjelser til efter anmodning om en udtalelse fra Det Europæiske Databeskyttelsesråd at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og betingelser vedrørende garantierne for behandling af personoplysninger til de formål, der er omhandlet i stk. 1.

Ændringsforslag  193

Forslag til forordning

Artikel 82 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 82a

 

Behandling i forbindelse med social sikring

 

1. Medlemsstaterne kan i overensstemmelse med bestemmelserne i denne forordning vedtage specifikke lovgivningsmæssige bestemmelser, som præciserer betingelserne for behandling af personoplysninger i de offentlige institutioner og myndigheder, der er ansvarlige for social sikring, hvis det sker i samfundets interesse.

 

2. Hver medlemsstat meddeler Kommissionen de bestemmelser, den vedtager i henhold til stk. 1, senest på den dato, der er fastsat i artikel 91, stk. 2, og underretter den omgående om eventuelle senere ændringer af disse.

Ændringsforslag  194

Forslag til forordning

Artikel 83

Kommissionens forslag

Ændringsforslag

Behandling af personoplysninger til historiske, statistiske eller videnskabelige forskningsformål

Behandling af personoplysninger til historiske, statistiske eller videnskabelige forskningsformål

1. Under overholdelse af denne forordning må personoplysninger kun behandles til historiske, statistiske eller videnskabelige forskningsformål, hvis:

1. I overensstemmelse med bestemmelserne i denne forordning må personoplysninger kun behandles til historiske, statistiske eller videnskabelige forskningsformål, hvis:

(a) disse formål ikke ellers kan opfyldes ved behandling af oplysninger, som ikke muliggør eller ikke længere muliggør identifikation af den registrerede

(a) disse formål ikke ellers kan opfyldes ved behandling af oplysninger, som ikke muliggør eller ikke længere muliggør identifikation af den registrerede

(b) de oplysninger, der gør det muligt at knytte oplysninger til en identificeret eller identificerbar registreret, opbevares adskilt fra de øvrige oplysninger, så længe disse formål kan opfyldes på denne måde.

(b) de oplysninger, der gør det muligt at knytte oplysninger til en identificeret eller identificerbar registreret, opbevares adskilt fra de øvrige oplysninger i overensstemmelse med de højeste tekniske standarder, og der træffes de fornødne foranstaltninger for at forhindre, at de registrerede utilsigtet kan identificeres på ny.

2. Organer, der gennemfører historisk, statistisk eller videnskabelig forskning, må kun offentliggøre eller på anden måde videregive personoplysninger, hvis:

 

(a) den registrerede har givet sit samtykke i overensstemmelse med betingelserne i artikel 7

 

(b) offentliggørelsen af personoplysninger er nødvendig for at fremlægge forskningsresultater eller fremme forskningen, for så vidt den registreredes interesser, grundlæggende rettigheder eller frihedsrettigheder ikke tilsidesætter disse interesser

 

(c) den registrerede har offentliggjort oplysningerne.

 

3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 86 med henblik på nærmere fastlæggelse af kriterier og krav vedrørende behandlingen af personoplysninger til de formål, der er nævnt i stk. 1 og 2, samt nødvendige begrænsninger i den registreredes ret til indsigt og adgang med en beskrivelse af betingelserne og garantierne for den registreredes rettigheder under disse omstændigheder.

 

Ændringsforslag  195

Forslag til forordning

Artikel 83 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 83a

 

Arkivtjenesters behandling af personoplysninger

 

1. Personoplysninger kan efter det tidsrum, der er nødvendigt for at opfylde den oprindelige behandlings formål, som de er indsamlet til, gøres til genstand for behandling af arkivtjenester, der har som hovedopgave eller lovpligtig opgave at indsamle, opbevare, klassificere, oplyse om, udnytte og formidle arkiver i offentlighedens interesse, navnlig som dokumentation for personers rettigheder eller til historiske, statistiske eller videnskabelige formål. Disse opgaver udføres i overensstemmelse med medlemsstaternes bestemmelser om adgang til og frigivelse og formidling af administrative dokumenter eller arkiver og i overensstemmelse med bestemmelserne i denne forordning, navnlig med hensyn til samtykke og retten til at gøre indsigelse.

 

2. Hver medlemsstat meddeler Kommissionen de bestemmelser, den vedtager i henhold til stk. 1, senest den dato, der er fastsat i artikel 91, stk. 2, og underretter den straks om eventuelle senere ændringer af disse.

Ændringsforslag  196

Forslag til forordning

Artikel 84 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Under overholdelse af denne forordning kan medlemsstaterne vedtage specifikke regler om tilsynsmyndighedernes undersøgelsesbeføjelser i henhold til artikel 53, stk. 2, vedrørende registeransvarlige og registerførere, der i henhold til national lovgivning eller regler fastlagt af nationale kompetente organer er underlagt faglig eller anden tilsvarende tavshedspligt, for så vidt dette er nødvendigt og rimeligt med henblik på at forene retten til beskyttelse af personoplysninger med en tavshedspligt. Disse regler gælder kun for personoplysninger, som den registeransvarlige eller registerføreren har modtaget eller indhentet under en aktivitet, der er underlagt denne tavshedspligt.

1. I overensstemmelse med bestemmelserne i denne forordning sikrer medlemsstaterne, at der er fastsat specifikke regler om tilsynsmyndighedernes beføjelser i henhold til artikel 53 vedrørende dataansvarlige og databehandlere, der i henhold til national lovgivning eller regler fastlagt af nationale kompetente organer er underlagt faglig eller anden tilsvarende tavshedspligt, for så vidt dette er nødvendigt og rimeligt med henblik på at forene retten til beskyttelse af personoplysninger med en tavshedspligt. Disse regler gælder kun for personoplysninger, som den registeransvarlige eller databehandleren har modtaget eller indhentet under en aktivitet, der er underlagt denne tavshedspligt.

Ændringsforslag  197

Forslag til forordning

Artikel 85

Kommissionens forslag

Ændringsforslag

Kirkers og religiøse sammenslutningers eksisterende regler

Kirkers og religiøse sammenslutningers eksisterende regler

1. Hvis kirker og religiøse sammenslutninger eller samfund i en medlemsstat på tidspunktet for denne forordnings ikrafttræden anvender omfattende regler om beskyttelse af fysiske personer, hvad angår behandling af personoplysninger, kan disse eksisterende regler fortsat gælde, hvis de bringes i overensstemmelse med denne forordning.

1. Hvis kirker og religiøse sammenslutninger eller samfund i en medlemsstat på tidspunktet for denne forordnings ikrafttræden anvender tilstrækkelige regler om beskyttelse af fysiske og juridiske personer, hvad angår behandling af personoplysninger, kan disse eksisterende regler fortsat gælde, hvis de bringes i overensstemmelse med denne forordning.

2. Kirker og religiøse sammenslutninger, der anvender omfattende regler i henhold til stk. 1, fastsætter bestemmelser om oprettelse af en uafhængig tilsynsmyndighed i overensstemmelse med denne forordnings kapitel VI.

2. Kirker og religiøse sammenslutninger, der anvender tilstrækkelige regler i henhold til stk. 1, får udstedt en overensstemmelseserklæring, jf. artikel 38.

Ændringsforslag  198

Forslag til forordning

Artikel 85 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 85a

 

Respekt for grundlæggende rettigheder

 

Denne forordning indebærer ikke nogen ændring af pligten til at respektere de grundlæggende rettigheder og grundlæggende retsprincipper, således som de er defineret i artikel 6 i TEU.

Ændringsforslag  199

Forslag til forordning

Artikel 85 b (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 85b

 

Standardformularer

 

1. Under hensyntagen til de særlige karakteristika og behov i forskellige sektorer og databehandlingssituationer kan Kommissionen fastlægge standardformularer for:

 

(a) specifikke metoder til at indhente verificerbart samtykke, jf. artikel 8, stk. 1

 

(b) meddelelsen i artikel 12, stk. 2, herunder det elektroniske format

 

(c) udlevering af de oplysninger, der er nævnt i artikel 14, stk. 1-3

 

(d) anmodning om og meddelelse af adgang til oplysninger, der er omhandlet i artikel 15, stk. 1, herunder med henblik på meddelelse af personoplysninger til den registrerede

 

(e) dokumentationen i artikel 28, stk. 1

 

(f) anmeldelser af brud på datasikkerheden til tilsynsmyndigheden, jf. artikel 31, og dokumentationen i artikel 31, stk. 4

 

(g) forudgående høringer, jf. artikel 34, og for underretning af tilsynsmyndighederne, jf. artikel 34, stk. 6.

 

2. Kommissionen træffer herved passende foranstaltninger for mikrovirksomheder og små og mellemstore virksomheder.

 

3. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 87, stk. 2.

Ændringsforslag  200

Forslag til forordning

Artikel 86 – stk. 2

Kommissionens forslag

Ændringsforslag

2. De beføjelser, der er omhandlet i artikel 6, stk. 5, artikel 8, stk. 3, artikel 9, stk. 3, artikel 12, stk. 5, artikel 14, stk. 7, artikel 15, stk. 3, artikel 17, stk. 9, artikel 20, stk. 6, artikel 22, stk. 4, artikel 23, stk. 3, artikel 26, stk. 5, artikel 28, stk. 5, artikel 30, stk. 3, artikel 31, stk. 5, artikel 32, stk. 5, artikel 33, stk. 6, artikel 34, stk. 8, artikel 35, stk. 11, artikel 37, stk. 2, artikel 39, stk. 2, artikel 43, stk. 3, artikel 44, stk. 7, artikel 79, stk. 6, artikel 81, stk. 3, artikel 82, stk. 3, og artikel 83, stk. 3, tillægges Kommissionen for et ubestemt tidsrum fra datoen for denne forordnings ikrafttræden.

2. Beføjelsen til at vedtage delegerede retsakter, jf. artikel 13a, stk. 5, artikel 17, stk. 9, artikel 38, stk. 4, artikel 39, stk. 2, artikel 41, stk. 3, artikel 41, stk. 5, artikel 43, stk. 3, artikel 79, stk. 7, artikel 81, stk. 3, og artikel 82, stk. 3, tillægges Kommissionen for en ubegrænset periode fra [datoen for denne forordnings ikrafttræden].

Ændringsforslag  201

Forslag til forordning

Artikel 86 – stk. 3

Kommissionens forslag

Ændringsforslag

3. De beføjelser, der er omhandlet i artikel 6, stk. 5, artikel 8, stk. 3, artikel 9, stk. 3, artikel 12, stk. 5, artikel 14, stk. 7, artikel 15, stk. 3, artikel 17, stk. 9, artikel 20, stk. 6, artikel 22, stk. 4, artikel 23, stk. 3, artikel 26, stk. 5, artikel 28, stk. 5, artikel 30, stk. 3, artikel 31, stk. 5, artikel 32, stk. 5, artikel 33, stk. 6, artikel 34, stk. 8, artikel 35, stk. 11, artikel 37, stk. 2, artikel 39, stk. 2, artikel 43, stk. 3, artikel 44, stk. 7, artikel 79, stk. 6, artikel 81, stk. 3, artikel 82, stk. 3, og artikel 83, stk. 3, kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegeringen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Afgørelsen får virkning fra dagen efter sin offentliggørelse i Den Europæiske Unions Tidende eller fra en senere dato, der fastsættes nærmere i afgørelsen. Den berører ikke gyldigheden af de delegerede retsakter, der allerede er i kraft.

3. De beføjelser, der er omhandlet i artikel 13a, stk. 5, artikel 17, stk. 9, artikel 38, stk. 4, artikel 39, stk. 2, artikel 41, stk. 3, artikel 41, stk. 5, artikel 43, stk. 3, artikel 79, stk. 7, artikel 81, stk. 3, og artikel 82, stk. 3, kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Afgørelsen får virkning fra dagen efter sin offentliggørelse i Den Europæiske Unions Tidende eller fra en senere dato, der fastsættes nærmere i afgørelsen. Den berører ikke gyldigheden af de delegerede retsakter, der allerede er i kraft.

Ændringsforslag  202

Forslag til forordning

Artikel 86 – stk. 5

Kommissionens forslag

Ændringsforslag

5. En delegeret retsakt vedtaget i henhold til artikel 6, stk. 5, artikel 8, stk. 3, artikel 9, stk. 3, artikel 12, stk. 5, artikel 14, stk. 7, artikel 15, stk. 3, artikel 17, stk. 9, artikel 20, stk. 6, artikel 22, stk. 4, artikel 23, stk. 3, artikel 26, stk. 5, artikel 28, stk. 5, artikel 30, stk. 3, artikel 31, stk. 5, artikel 32, stk. 5, artikel 33, stk. 6, artikel 34, stk. 8, artikel 35, stk. 11, artikel 37, stk. 2, artikel 39, stk. 2, artikel 43, stk. 3, artikel 44, stk. 7, artikel 79, stk. 6, artikel 81, stk. 3, artikel 82, stk. 3, og artikel 83, stk. 3, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på to måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet eller Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har informeret Kommissionen om, at de ikke agter at gøre indsigelse. Denne periode forlænges med to måneder på foranledning af Europa-Parlamentet eller Rådet.

5. En delegeret retsakt vedtaget i henhold til artikel 13a, stk. 5, artikel 17, stk. 9, artikel 38, stk. 4, artikel 39, stk. 2, artikel 41, stk. 3, artikel 41, stk. 5, artikel 43, stk. 3, artikel 79, stk. 7, artikel 81, stk. 3, og artikel 82, stk. 3, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på seks måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet eller Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har informeret Kommissionen om, at de ikke agter at gøre indsigelse. Denne periode forlænges med seks måneder på foranledning af Europa-Parlamentet eller Rådet.

Ændringsforslag  203

Forslag til forordning

Artikel 87 – stk. 3

Kommissionens forslag

Ændringsforslag

3. Når der henvises til dette stykke, anvendes artikel 8 i forordning (EU) nr. 182/2011 sammenholdt med dennes artikel 5.

udgår

Ændringsforslag  204

Forslag til forordning

Artikel 89 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Artikel 1, stk. 2, i direktiv 2002/58/EF udgår.

2. Artikel 1, stk. 2, artikel 4 og 15 i direktiv 2002/58/EF udgår.

Ændringsforslag  205

Forslag til forordning

Artikel 89 – stk. 2 a (nyt)

Kommissionens forslag

Ændringsforslag

 

2a. Kommissionen forelægger snarest muligt og senest på datoen i artikel 91, stk. 2, et forslag til revision af de lovgivningsmæssige rammer for behandling af personoplysninger og beskyttelse af privatlivets fred i forbindelse med elektronisk kommunikation med henblik på at bringe lovgivningen i overensstemmelse med denne forordning og sikre konsekvente og ensartede lovbestemmelser om den grundlæggende ret til beskyttelse af personoplysninger i Den Europæiske Union.

Ændringsforslag  206

Forslag til forordning

Artikel 89 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 89a

 

Forhold til og ændring af forordning (EF) nr. 45/2001

 

1. Bestemmelserne i denne forordning finder anvendelse på behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer vedrørende spørgsmål, for hvilke de ikke er omfattet af yderligere bestemmelser i forordning (EF) nr. 45/2001.

 

2. Kommissionen forelægger snarest muligt og senest på datoen i artikel 91, stk. 2, et forslag til revision af de lovgivningsmæssige rammer for behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer.

Bilag 1 – Forelæggelse af de i artikel 13a (ny) anførte forhold

1) Under henvisning til forholdene i punkt 6 gives følgende oplysninger:

2) Følgende ord i rækken i anden kolonne i tabellen i punkt 1 med overskriften "VIGTIGE OPLYSNINGER" formateres med fed:

a) ordet "indsamles" i første række i anden kolonne

b) ordet "opbevares" i anden række i anden kolonne

c) ordet "behandles" i tredje række i anden kolonne

d) ordet "formidles" i fjerde række i anden kolonne

e) ordet "sælges eller udlejes" i femte række i anden kolonne

f) ordet "ikke-krypteret" i sjette række i anden kolonne.

3) Under hensyntagen til forholdene i punkt 6 udfyldes rækkerne i tredje kolonne i tabellen i punkt 1, under overskriften "OPFYLDT" med en af følgende to grafiske former i overensstemmelse med betingelserne i punkt 4:

a)

b)

4)

a) Såfremt der ikke indsamles flere personoplysninger end det nødvendige minimum for hvert specifikt behandlingsformål, skal første række i tredje kolonne i tabellen i punkt 1 indeholde den grafiske form i punkt 3a.

b) Såfremt der indsamles flere personoplysninger end det nødvendige minimum for hvert specifikt behandlingsformål, skal første række i tredje kolonne i tabellen i punkt 1 indeholde den grafiske form i punkt 3b.

c) Såfremt der ikke opbevares flere personoplysninger end det nødvendige minimum for hvert specifikt behandlingsformål, skal anden række i tredje kolonne i tabellen i punkt 1 indeholde den grafiske form i punkt 3a.

d) Såfremt der opbevares flere personoplysninger end det nødvendige minimum for hvert specifikt behandlingsformål, skal anden række i tredje kolonne i tabellen i punkt 1 indeholde den grafiske form i punkt 3b.

e) Såfremt der ikke behandles personoplysninger til andre formål end de formål, hvortil de blev indsamlet, skal tredje række i tredje kolonne i tabellen i punkt 1 indeholde den grafiske form i punkt 3a.

f) Såfremt der behandles personoplysninger til andre formål end de formål, hvortil de blev indsamlet, skal tredje række i tredje kolonne i tabellen i punkt 1 indeholde den grafiske form i punkt 3b.

g) Såfremt der ikke formidles personoplysninger til kommercielle tredjeparter, skal fjerde række i tredje kolonne i tabellen i punkt 1 indeholde den grafiske form i punkt 3a.

h) Såfremt der formidles personoplysninger til kommercielle tredjeparter, skal fjerde række i tredje kolonne i tabellen i punkt 1 indeholde den grafiske form i punkt 3b.

i) Såfremt der ikke sælges eller udlejes personoplysninger, skal femte række i tredje kolonne i tabellen i punkt 1 indeholde den grafiske form i punkt 3a.

j) Såfremt der sælges eller udlejes personoplysninger, skal femte række i tredje kolonne i tabellen i punkt 1 indeholde den grafiske form i punkt 3b.

k) Såfremt der ikke opbevares personoplysninger i ikke-krypteret form, skal sjette række i tredje kolonne i tabellen i punkt 1 indeholde den grafiske form i punkt 3a.

l) Såfremt der opbevares personoplysninger i ikke-krypteret form, skal sjette række i tredje kolonne i tabellen i punkt 1 indeholde den grafiske form i punkt 3b.

5) Referencefarverne i de grafiske former i punkt 1 i Pantone er Black Pantone nr. 7547 og Red Pantone nr. 485. Referencefarven i den grafiske form i punkt 3a i Pantone er Green Pantone nr. 370. Referencefarven i den grafiske form i punkt 3b i Pantone er Red Pantone nr. 485.

6) Forholdene i følgende graduerede illustration skal overholdes, også selv om tabellen reduceres eller forstørres:

(1)

EUT C 229 af 31.7.2012, s. 90.


BEGRUNDELSE

Indledning

I henhold til artikel 8 ("Beskyttelse af personoplysninger") i Den Europæiske Unions charter om grundlæggende rettigheder gælder følgende:

1.        Enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende.

2.        Disse oplysninger skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag. Enhver har ret til adgang til indsamlede oplysninger, der vedrører ham/hende, og til berigtigelse heraf.

3.        Overholdelsen af disse regler er underlagt en uafhængig myndigheds kontrol.

Siden vedtagelsen af direktiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger har meget ændret sig inden for databeskyttelse, navnlig hvad angår teknologisk udvikling, øget indsamling og behandling af personoplysninger, herunder med henblik på retshåndhævelse, og der findes et kludetæppe af gældende databeskyttelsesregler, samtidig med at markeder og samarbejde globaliseres.

Derudover har direktivet ikke skabt reel harmonisering som følge af forskellig gennemførelse af bestemmelserne heri i de enkelte medlemsstater. På denne baggrund er det blevet stadig vanskeligere for personer ("registrerede") at udøve deres ret til databeskyttelse.

Endelig har det hæmmet udviklingen af det indre marked, at virksomheder (som i deres egenskab af "registeransvarlige" kontrollerer eller behandler personoplysninger) og personer bliver mødt med forskellige krav til databeskyttelse.

Siden Lissabontraktatens ikrafttræden har EU haft et eksplicit retsgrundlag for databeskyttelse, som omfatter behandling af personoplysninger i den offentlige og private sektor, men også i forbindelse med retshåndhævelse (som følge af sammenbruddet af den "søjlestruktur", der fandt anvendelse før Lissabontraktatens indførelse) (artikel 16, stk. 2, i TEUF). Kommissionen har nu anvendt artikel 16, stk. 2, i TEUF som retsgrundlag for sine forslag til ændring af EU's databeskyttelsesramme. Den foreslår en forordning (COM(2012)11), som skal erstatte direktiv 95/46/EF (ordfører: Jan Philipp Albrecht, Verts/ALE) og et direktiv (COM(2012)10), som skal erstatte rammeafgørelse 2008/977/RIA om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (ordfører: Dimitrios Droutsas, S&D). Begge ordførere støtter målet om at etablere en fuldt sammenhængende, harmonisk og stærk ramme med et højt beskyttelsesniveau for al databehandling i EU.(1) Med henblik på at nå dette mål skal Kommissionens forslag opfattes som en samlet pakke, der kræver en samordnet lovgivningsmæssig tilgang til begge tekster.

Der har fundet omfattende drøftelser af databeskyttelsesreformen sted mellem ordførerne og skyggeordførerne, de rådgivende ordførere og skyggeordførerne i de rådgivende udvalg (ITRE, IMCO, JURI, EMPL), rådsformandskabet, Kommissionen og de interesserede parter (databeskyttelsesmyndigheder, nationale myndigheder, industri, borgerrettigheds- og forbrugerorganisationer og akademiske eksperter) med henblik på at sikre bred opbakning til Parlamentets tilgang.

Der blev afholdt en workshop for interesserede parter arrangeret af LIBE-Udvalget den 29. maj 2012. LIBE-Udvalget afholdt ligeledes sit årlige interparlamentariske udvalgsmøde om frihed, sikkerhed og retfærdighed i forbindelse med databeskyttelsesreformpakken sammen med de nationale parlamenter den 9.-10. oktober 2012. Der er blevet udarbejdet fire arbejdsdokumenter om databeskyttelsesreformpakken.

Holdning til forslaget til forordning om databeskyttelse

Kommissionen har baseret sit forslag på følgende målsætninger:

- en global metode til beskyttelse af personoplysninger

- en styrkelse af fysiske personers rettigheder

- en yderligere styrkelse af det indre marked og sikring af bedre håndhævelse af databeskyttelsesbestemmelserne samt

- en styrkelse af den globale dimension.

Ordføreren støtter disse ambitioner. Hans tilgang præsenteres i overensstemmelse hermed.

En global metode til beskyttelse af personoplysninger