Förfarande : 2012/0011(COD)
Dokumentgång i plenum
Dokumentgång : A7-0402/2013

Ingivna texter :

A7-0402/2013

Debatter :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13
PV 13/04/2016 - 15
CRE 13/04/2016 - 15

Omröstningar :

PV 12/03/2014 - 8.5
CRE 12/03/2014 - 8.5

Antagna texter :

P7_TA(2014)0212

BETÄNKANDE     ***I
PDF 3277kWORD 3544k
22 november 2013
PE 501.927v03-00 A7-0402/2013

om förslaget till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor

Föredragande: Jan Philipp Albrecht

ÄNDRINGSFÖRSLAG
FÖRSLAG TILL EUROPAPARLAMENTETS LAGSTIFTNINGSRESOLUTION
 MOTIVERING
 YTTRANDE från utskottet för sysselsättning och sociala frågor
 YTTRANDE från utskottet för industrifrågor, forskning och energi
 YTTRANDE från utskottet för den inre marknaden och konsumentskydd
 YTTRANDE från utskottet för rättsliga frågor
 ÄRENDETS GÅNG

FÖRSLAG TILL EUROPAPARLAMENTETS LAGSTIFTNINGSRESOLUTION

om förslaget till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

(Ordinarie lagstiftningsförfarande: första behandlingen)

Europaparlamentet utfärdar denna resolution

–   med beaktande av kommissionens förslag till Europaparlamentet och rådet (COM(2012)0011),

–   med beaktande av artiklarna 294.2, 16.2 och 114.1 i fördraget om Europeiska unionens funktionssätt, i enlighet med vilka kommissionen har lagt fram sitt förslag för parlamentet (C7-0025/2012),

–   med beaktande av artikel 294.3 i fördraget om Europeiska unionens funktionssätt,

–   med beaktande av de motiverade yttranden från den belgiska deputeradekammaren, det tyska förbundsrådet, den franska senaten, den italienska deputeradekammaren och Sveriges riksdag som lagts fram i enlighet med protokoll nr 2 om tillämpning av subsidiaritets- och proportionalitetsprinciperna, och enligt vilka utkastet till lagstiftningsakt inte är förenligt med subsidiaritetsprincipen,

–   med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande av den 23 maj 2012(1),

–   efter att ha hört Regionkommittén,

–   med beaktande av Europeiska datatillsynsmannens yttrande av den 7 mars 2012,

–   med beaktande av yttrandet av den 1 oktober 2012 från Europeiska unionens byrå för grundläggande rättigheter,

–   med beaktande av artikel 55 i arbetsordningen,

–   med beaktande av betänkandet från utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor och yttrandena från utskottet för sysselsättning och sociala frågor, utskottet för industrifrågor, forskning och energi, utskottet för den inre marknaden och konsumentskydd och utskottet för rättsliga frågor (A7-0402/2013).

1.  Europaparlamentet antar nedanstående ståndpunkt vid första behandlingen.

2.  Europaparlamentet uppmanar kommissionen att lägga fram en ny text för parlamentet om den har för avsikt att väsentligt ändra sitt förslag eller ersätta det med ett nytt.

3.  Europaparlamentet uppdrar åt talmannen att översända parlamentets ståndpunkt till rådet, kommissionen och de nationella parlamenten.

Ändringsförslag 1

Förslag till förordning

Skäl 14

Kommissionens förslag

Ändringsförslag

(14) Denna förordning tar inte upp frågor som rör skyddet av grundläggande rättigheter och friheter eller det fria flödet av uppgifter på områden som inte omfattas av unionslagstiftningen, och den tar heller inte upp behandling av personuppgifter som sker i EU:s institutioner, organ och byråer, som omfattas av förordning (EG) nr 45/200144, och inte heller medlemsstaternas behandling av personuppgifter när de agerar inom ramen för unionen gemensamma utrikes- och säkerhetspolitik.

(14) Denna förordning tar inte upp frågor som rör skyddet av grundläggande rättigheter och friheter eller det fria flödet av uppgifter på områden som inte omfattas av unionslagstiftningen. Europaparlamentets och rådets förordning (EG) nr 45/200144 bör göras förenlig med bestämmelserna i denna förordning och tillämpas i enlighet med denna förordning.

____________

______________

44 EGT L 8, 12.1.2001, s. 1.

44 Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

Ändringsförslag  2

Förslag till förordning

Skäl 15

Kommissionens förslag

Ändringsförslag

(15) Denna förordning bör inte vara tillämplig på fysiska personers behandling av personuppgifter, som är helt personliga eller privata, t.ex. korrespondens och adressförteckningar, och som helt saknar vinstintresse och därmed också koppling till yrkes- eller affärsmässig verksamhet. Undantaget bör heller inte vara tillämpligt på registeransvariga eller registerförare som tillhandahåller utrustning för behandling av personuppgifter får sådana personliga eller privata verksamheter.

(15) Denna förordning bör inte vara tillämplig på fysiska personers behandling av personuppgifter som är helt personliga, familjerelaterade eller privata, t.ex. korrespondens, adressförteckningar och privatförsäljningar, och som helt saknar koppling till yrkes- eller affärsmässig verksamhet. Denna förordning bör dock vara tillämplig på registeransvariga och registerförare som tillhandahåller utrustning för behandling av personuppgifter för sådana personliga eller privata verksamheter.

Ändringsförslag  3

Förslag till förordning

Skäl 18

Kommissionens förslag

Ändringsförslag

(18) Denna förordning gör det möjligt att vid tillämpningen av bestämmelserna i den ta hänsyn till principen om allmänhetens rätt att få tillgång till allmänna handlingar.

(18) Denna förordning gör det möjligt att vid tillämpningen av bestämmelserna i den ta hänsyn till principen om allmänhetens rätt att få tillgång till allmänna handlingar. Personuppgifter i handlingar som innehas av en offentlig myndighet eller ett offentligt organ får lämnas ut av den myndigheten eller det organet i enlighet med unionslagstiftningen eller en medlemsstats lagstiftning om allmänhetens tillgång till offentliga handlingar för att förena uppgiftsskyddsrätten med allmänhetens rätt till tillgång till offentliga handlingar, förutsatt att en lämplig avvägning av de berörda parternas intressen kan säkerställas.

Ändringsförslag  4

Förslag till förordning

Skäl 20

Kommissionens förslag

Ändringsförslag

(20) För att enskilda inte ska fråntas det skydd denna förordning ger dem bör behandling av personuppgifter om inom unionen boende registrerade som görs av en registeransvarig som inte är etablerad inom unionen omfattas av denna förordning när behandlingen avser utbjudande av varor eller tjänster till de aktuella registrerade, eller övervakning av deras beteende.

(20) För att enskilda inte ska fråntas det skydd denna förordning ger dem bör behandling av personuppgifter om inom unionen boende registrerade som görs av en registeransvarig som inte är etablerad inom unionen omfattas av denna förordning när behandlingen avser utbjudande av varor eller tjänster, oavsett om det sker mot betalning eller inte, till de aktuella registrerade, eller övervakning av de aktuella registrerade. I syfte att fastställa om en registeransvarig erbjuder varor eller tjänster till registrerade inom unionen bör man fastställa om det är uppenbart att den registeransvarige avser att erbjuda tjänster till registrerade bosatta i en eller flera av unionens medlemsstater.

Ändringsförslag  5

Förslag till förordning

Skäl 21

Kommissionens förslag

Ändringsförslag

(21) För att avgöra huruvida en viss behandling kan anses ”övervaka beteendethos registrerade, bör det utrönas om enskilda personer spåras på internet med hjälp av uppgiftsbehandlingsteknik som består i att en ”profil” appliceras på en enskild person, främst i syfte att fatta beslut rörande honom eller henne eller för att analysera eller förutsäga hans eller hennes personliga preferenser, beteende och attityder.

(21) För att avgöra huruvida en viss behandling kan anses ”övervaka” registrerade, bör det utrönas om enskilda personer spåras, oavsett uppgifternas ursprung, eller om andra uppgifter samlas in om dem, även från offentliga register och meddelanden som offentliggörs i unionen och finns tillgängliga utanför unionen, även i syfte att använda eller för eventuell senare användning av uppgiftsbehandlingsteknik som består i att en ”profil” appliceras, främst i syfte att fatta beslut rörande honom eller henne eller för att analysera eller förutsäga hans eller hennes personliga preferenser, beteende och attityder.

Ändringsförslag  6

Förslag till förordning

Skäl 23

Kommissionens förslag

Ändringsförslag

(23) Principerna för skyddet bör gälla all information som rör en identifierad eller identifierbar person. För att avgöra om en person är identifierbar bör man uppmärksamma alla hjälpmedel som, antingen av den registeransvarige eller av någon annan person, rimligen kan komma att använda för att identifiera vederbörande. Skyddsprinciperna bör inte gälla för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är identifierbar.

(23) Principerna för uppgiftsskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. För att avgöra om en person är identifierbar bör man uppmärksamma alla hjälpmedel som, antingen av den registeransvarige eller av någon annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera eller särskilja vederbörande. För att fastställa om hjälpmedel rimligen kan komma att användas för att identifiera vederbörande bör man ta i beaktande samtliga objektiva faktorer som kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Skyddsprinciperna bör därför inte gälla för anonyma uppgifter, som är uppgifter som inte är kopplade till en identifierad eller identifierbar fysisk person. Denna förordning berör därför inte behandling av sådana anonyma uppgifter, inbegripet uppgifter för statistiska ändamål och forskningsändamål.

Ändringsförslag  7

Förslag till förordning

Skäl 24

Kommissionens förslag

Ändringsförslag

(24) Vid användning av nättjänster kan enskilda personer knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser eller kakor. Detta kan efterlämna spår som i kombination med unika identifierare och andra uppgifter som tas emot av servrarna kan användas för att skapa profiler för enskilda personer och identifiera dem. Således utgör inte alltid identifieringsnummer, lokaliseringsuppgifter, nätidentifierare eller andra särskilda uppgifter i sig nödvändigtvis personuppgifter.

(24) Denna förordning bör vara tillämplig på behandling som inbegriper identifierare som lämnas av utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser, kakor och radiofrekvensidentifiering, såvida inte dessa identifierare är kopplade till en identifierad eller identifierbar fysisk person.

Ändringsförslag  8

Förslag till förordning

Skäl 25

Kommissionens förslag

Ändringsförslag

(25) Samtycke bör lämnas uttryckligen med lämplig metod som möjliggör en frivillig, särskild och informerad viljeyttring från de registrerades sida, antingen genom ett uttalande eller genom en entydig affirmativ handling som visar att de är medvetna om att de ger sitt samtycke till behandlingen av personuppgifter, exempelvis en ruta som klickas i vid besök på en internetsida eller genom något annat uttalande eller beteende som i sammanhanget tydligt visar att de registrerade godtar den föreslagna behandlingen av deras personuppgifter. Tystnad eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran måste denna vara tydlig, koncis och får inte onödigtvis störa användningen av den tjänst som den avser.

(25) Samtycke bör lämnas uttryckligen med lämplig metod som möjliggör en frivillig, särskild och informerad viljeyttring från de registrerades sida, antingen genom ett uttalande eller genom en entydig affirmativ handling som är resultatet av de registrerades val och visar att de är medvetna om att de ger sitt samtycke till behandlingen av personuppgifter. En entydig affirmativ handling skulle kunna inbegripa en ruta som klickas i vid besök på en internetsida eller genom något annat uttalande eller beteende som i sammanhanget tydligt visar att de registrerade godtar den föreslagna behandlingen av deras personuppgifter. Tystnad, enbart användning av en tjänst eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran måste denna vara tydlig, koncis och får inte onödigtvis störa användningen av den tjänst som den avser.

Ändringsförslag  9

Förslag till förordning

Skäl 29

Kommissionens förslag

Ändringsförslag

(29) Barns personuppgifter förtjänar ett särskilt skydd, eftersom de kan vara mindre medvetna om risker, följder, skyddsåtgärder samt sina rättigheter när det gäller behandling av personuppgifter. Definitionen av vem som betraktas som barn bör vara densamma som i FN:s konvention om barnets rättigheter.

(29) Barns personuppgifter förtjänar ett särskilt skydd, eftersom de kan vara mindre medvetna om risker, följder, skyddsåtgärder samt sina rättigheter när det gäller behandling av personuppgifter. Om uppgiftsbehandlingen grundar sig på den registrerades samtycke när det gäller erbjudande av varor eller tjänster direkt till ett barn bör samtycke ges eller godkännas av barnets förälder eller vårdnadshavare i fall där barnet är under 13 år. Åldersanpassat språk bör användas om de avsedda mottagarna är barn. Andra grunder för laglig behandling, såsom samhällsintressen, bör fortsatt vara tillämpliga, till exempel för behandling inom ramen för förebyggande eller rådgivande tjänster som erbjuds direkt till ett barn.

Ändringsförslag  10

Förslag till förordning

Skäl 31

Kommissionens förslag

Ändringsförslag

(31) För att behandling ska vara laglig bör personuppgifterna behandlas efter samtycke från berörd person eller på någon annan legitim lagfäst grund, antingen denna förordning eller annan unionslagstiftning eller nationell lagstiftning som aves i denna förordning.

(31) För att behandling ska vara laglig bör personuppgifterna behandlas efter samtycke från berörd person eller på någon annan legitim lagfäst grund, antingen denna förordning eller annan unionslagstiftning eller nationell lagstiftning som aves i denna förordning. När det gäller barn eller personer som saknar rättskapacitet bör relevant unionslagstiftning eller nationell lagstiftning fastställa villkoren för hur samtycke ska ges eller godkännas av vederbörande.

Ändringsförslag  11

Förslag till förordning

Skäl 32

Kommissionens förslag

Ändringsförslag

(32) När behandling sker efter samtycke från registrerade bör registeransvariga ha bevisbördan när det gäller att visa att de registrerade har lämnat sitt samtycke till behandlingen. Vid skriftliga deklarationer som också rör andra frågor bör skyddsåtgärder finnas som ser till att de registrerade är medvetna om detta och hur långt samtycket sträcker sig.

(32) När behandling sker efter samtycke från registrerade bör registeransvariga ha bevisbördan när det gäller att visa att de registrerade har lämnat sitt samtycke till behandlingen. Vid skriftliga deklarationer som också rör andra frågor bör skyddsåtgärder finnas som ser till att de registrerade är medvetna om detta och hur långt samtycket sträcker sig. För att följa principen om uppgiftsminimering bör bevisbördan inte tolkas som att det krävs en positiv identifiering av registrerade om så inte är nödvändigt. I likhet med civilrättsliga bestämmelser (till exempel rådets direktiv 93/13/EEG1) bör uppgiftsskyddsstrategier vara så tydliga och insynsvänliga som möjligt. De bör inte innehålla några dolda eller ofördelaktiga bestämmelser. Samtycke kan inte ges för behandling av tredje personers personuppgifter.

 

_______________________

 

1 Rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal (EGT L 95, 21.4.1993, s. 29).

Ändringsförslag  12

Förslag till förordning

Skäl 33

Kommissionens förslag

Ändringsförslag

(33) För att säkerställa att samtycket är frivilligt bör det klargöras att ett samtycke inte är giltig rättslig grund om den enskilde inte har något genuin och fri valmöjlighet och därför inte utan problem kan vägra eller ta tillbaka sitt samtycke.

(33) För att säkerställa att samtycket är frivilligt bör det klargöras att ett samtycke inte är giltig rättslig grund om den enskilde inte har något genuin och fri valmöjlighet och därför inte utan problem kan vägra eller ta tillbaka sitt samtycke. Detta är särskilt fallet om den registeransvarige är en offentlig myndighet som i kraft av sina offentliga befogenheter kan ålägga skyldigheter och samtycket inte kan anses ha lämnats frivilligt. Användning av standardalternativ som den registrerade måste ändra för att vägra behandling, såsom förkryssade rutor, utgör inte frivilligt samtycke. Samtycke till behandling av ytterligare personuppgifter som inte är nödvändiga för tillhandahållandet av en tjänst bör inte krävas för användning av tjänsten. Om samtycket tas tillbaka kan detta utgöra en grund för tjänsteleverantören att säga upp eller att inte fullfölja en tjänst som är beroende av uppgifterna. Om det inte kan fastställas tydligt att det avsedda ändamålet har uppnåtts bör den registeransvarige regelbundet förse den registrerade med information om behandlingen och begära en ny bekräftelse av det ursprungliga samtycket från den registrerade.

Ändringsförslag  13

Förslag till förordning

Skäl 34

Kommissionens förslag

Ändringsförslag

(34) Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter om det finns en betydande obalans mellan den registrerade och den registeransvarige. Detta är särskilt fallet när den registrerade befinner sig i ett beroendeförhållande till den registeransvarige, bl.a. när arbetstagares personuppgifter behandlas av arbetsgivare inom ramen för en anställning. Är den registeransvarige en myndighet torde obalans endast uppkomma vid specifika uppgiftsbehandlingar där myndigheten i kraft av sina offentliga befogenheter kan ålägga skyldigheter och samtycket, med hänsyn tagen till den registrerades intresse, inte kan anses ha lämnats frivilligt.

utgår

Ändringsförslag  14

Förslag till förordning

Skäl 36

Kommissionens förslag

Ändringsförslag

(36) Behandling som grundar sig på en lagstadgad skyldighet som den registeransvarige måste följa eller när behandling krävs för att utföra en arbetsuppgift av samhällsintresse eller när en myndighet utövar sitt uppdrag, bör behandlingen, om den begränsar rättigheter och friheter, ha rättslig grund i unionell eller nationell lagstiftning som uppfyller kraven i EU:s stadga om de grundläggande rättigheterna. Unionslagstiftning eller nationell lagstiftning bör också reglera frågan huruvida en registeransvarig som utför en arbetsuppgift i det allmännas intresse eller vid myndighetsutövning ska vara en offentlig förvaltning eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller om det kan vara en fysisk eller juridisk person som lyder under civilrättslig lagstiftning, exempelvis en yrkesorganisation.

(36) Behandling som grundar sig på en lagstadgad skyldighet som den registeransvarige måste följa eller när behandling krävs för att utföra en arbetsuppgift av samhällsintresse eller när en myndighet utövar sitt uppdrag, bör behandlingen, om den begränsar rättigheter och friheter, ha rättslig grund i unionell eller nationell lagstiftning som uppfyller kraven i EU:s stadga om de grundläggande rättigheterna. Detta bör även inbegripa kollektivavtal som enligt nationell lagstiftning skulle kunna erkännas som allmänt giltiga. Unionslagstiftning eller nationell lagstiftning bör också reglera frågan huruvida en registeransvarig som utför en arbetsuppgift i det allmännas intresse eller vid myndighetsutövning ska vara en offentlig förvaltning eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller om det kan vara en fysisk eller juridisk person som lyder under civilrättslig lagstiftning, exempelvis en yrkesorganisation.

Ändringsförslag  15

Förslag till förordning

Skäl 38

Kommissionens förslag

Ändringsförslag

(38) Registeransvarigas berättigade intressen kan utgöra rättslig grund för behandling, på villkor att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts. För detta krävs en noggrann bedömning, särskilt när den registrerade är ett barn, mot bakgrund av att barn förtjänar specifikt skydd. Den registrerade bör kostnadsfritt och av skäl som rör vederbörandes särskilda situation ha rätt att göra invändningar mot behandling. För att säkra öppenheten bör registeransvariga vara skyldiga att uttryckligen informera de registrerade om vilka berättigade intressen som man eftersträvar att tillvarata och om rätten att göra invändningar. De bör även vara skyldiga att dokumentera dessa berättigade intressen. Mot bakgrund av att det är lagstiftaren som genom lagstiftning fastställer den rättsliga grunden för myndigheters behandling av uppgifter bör denna förordning inte vara tillämplig när myndigheter behandlar uppgifter inom ramen för sin myndighetsutövning.

(38) De berättigade intressena för registeransvariga eller, i fall av utlämnande, för tredje parter till vilka uppgifterna lämnats ut kan utgöra rättslig grund för behandling, på villkor att de uppfyller den registrerades rimliga förväntningar baserat på dennes förhållande till de registeransvariga och att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts. För detta krävs en noggrann bedömning, särskilt när den registrerade är ett barn, mot bakgrund av att barn förtjänar specifikt skydd. Under förutsättning att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts bör behandling som är begränsad till pseudonymiserade uppgifter antas uppfylla den registrerades rimliga förväntningar baserat på dennes förhållande till de registeransvariga. Den registrerade bör kostnadsfritt ha rätt att göra invändningar mot behandling. För att säkra öppenheten bör registeransvariga vara skyldiga att uttryckligen informera de registrerade om vilka berättigade intressen som man eftersträvar att tillvarata och om rätten att göra invändningar. De bör även vara skyldiga att dokumentera dessa berättigade intressen. De registrerades intressen och grundläggande rättigheter skulle i synnerhet kunna väga tyngre än de registeransvarigas intressen om personuppgifter behandlas under omständigheter där de registrerade inte rimligen förväntar sig ytterligare behandling. Mot bakgrund av att det är lagstiftaren som genom lagstiftning fastställer den rättsliga grunden för myndigheters behandling av uppgifter bör denna förordning inte vara tillämplig när myndigheter behandlar uppgifter inom ramen för sin myndighetsutövning.

Ändringsförslag  16

Förslag till förordning

Skäl 39

Kommissionens förslag

Ändringsförslag

(39) Behandling av uppgifter utgör ett berättigat intresse för berörd registeransvarig i den mån den är nödvändig för att säkerställa nät- och informationssäkerheten, dvs. förmågan hos ett nät eller ett informationssystem att, vid en viss tillförlitlighetsnivå, tåla olyckshändelser, olagliga handlingar eller illvilligt uppträdande som äventyrar tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda data och besläktade tjänster som tillhandahålls av eller är tillgängliga via dessa nät och system av myndigheter, incidenthanteringsorganisationer (Cert), enheter för hantering av datasäkerhetsincidenter, tillhandahållare av elektroniska kommunikationsnät och kommunikationstjänster och av tillhandahållare av säkerhetsteknik och säkerhetstjänster. Detta skulle t.ex. kunna innefatta förhindrande av obehörigt tillträde till elektroniska kommunikationsnät och felaktig kodfördelning och att sätta stopp för överbelastningsattacker och skador på datasystem och elektroniska kommunikationssystem.

(39) Behandling av uppgifter utgör ett berättigat intresse för berörd registeransvarig i den mån den är nödvändig och proportionerlig för att säkerställa nät- och informationssäkerheten, dvs. förmågan hos ett nät eller ett informationssystem att tåla olyckshändelser eller illvilligt uppträdande som äventyrar tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda data och besläktade tjänster som tillhandahålls av dessa nät och system av myndigheter, incidenthanteringsorganisationer (Cert), enheter för hantering av datasäkerhetsincidenter, tillhandahållare av elektroniska kommunikationsnät och kommunikationstjänster och av tillhandahållare av säkerhetsteknik och säkerhetstjänster. Detta skulle t.ex. kunna innefatta förhindrande av obehörigt tillträde till elektroniska kommunikationsnät och felaktig kodfördelning och att sätta stopp för överbelastningsattacker och skador på datasystem och elektroniska kommunikationssystem. Denna princip är tillämplig även på behandling av personuppgifter för att begränsa oegentlig tillgång till och användning av offentligt tillgängliga nätverks- eller informationssystem, såsom svartlistning av elektroniska identifierare.

Ändringsförslag  17

Förslag till förordning

Skäl 39a (nytt)

Kommissionens förslag

Ändringsförslag

 

(39a) Under förutsättning att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts bör förebyggande eller begränsning av skada från den registeransvariges sida antas vara utförd för de berättigade intressena för den registeransvarige eller, i fall av utlämnande, för den tredje part till vilka uppgifterna lämnats ut, och bör antas uppfylla de registrerades rimliga förväntningar baserat på dessas förhållande till den registeransvarige. Samma princip är tillämplig även på verkställandet av rättsliga krav gentemot en registrerad, såsom skuldindrivning eller civilrättsligt skadestånd och rättsmedel.

Ändringsförslag  18

Förslag till förordning

Skäl 39b (nytt)

Kommissionens förslag

Ändringsförslag

 

(39b) Under förutsättning att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts bör behandling av personuppgifter för direkt marknadsföring av egna eller liknande produkter och tjänster eller för direkt marknadsföring per post antas vara utförd för de berättigade intressena för den registeransvarige eller, i fall av utlämnande, för den tredje part till vilka uppgifterna lämnats ut, och bör antas uppfylla de registrerades rimliga förväntningar baserat på dessas förhållande till den registeransvarige om mycket tydlig information ges om såväl rätten att göra invändningar som källan till personuppgifterna. Behandling av affärskontaktuppgifter bör i allmänhet betraktas som utförd för de berättigade intressena för den registeransvarige eller, i fall av utlämnande, för den tredje part till vilka uppgifterna lämnats ut, och bör i allmänhet anses uppfylla de registrerades rimliga förväntningar baserat på dessas förhållande till den registeransvarige. Samma princip bör vara tillämplig på behandling av personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

Ändringsförslag  19

Förslag till förordning

Skäl 40

Kommissionens förslag

Ändringsförslag

(40) Behandling av personuppgifter för andra ändamål bör endast vara tillåten när detta är förenligt med de ändamål som uppgifterna ursprungligen samlades in för, särskilt när behandlingen är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål. När ett annat ändamål inte är förenligt med det ursprungliga som uppgifterna samlas in för, bör den registeransvarige skaffa sig den registrerades samtycke för detta andra ändamål eller åberopa en annan legitim grund för laglig behandling, exempelvis föreskrifter i unionslagstiftning eller i den medlemsstats lagstiftning som den registeransvarige omfattas av. Under alla omständigheter bör principerna i denna förordning tillämpas, särskilt när det gäller informationen till den registrerade om dessa andra ändamål.

utgår

Ändringsförslag  20

Förslag till förordning

Skäl 41

Kommissionens förslag

Ändringsförslag

(41) Personuppgifter som till sin karaktär är särskilt känsliga och ömtåliga i förhållande till de grundläggande rättigheterna eller integriteten, förtjänar särskilt skydd. Sådana uppgifter bör inte behandlas, såvida inte den registrerade lämnar sitt uttryckliga samtycke. Undantag från detta förbud bör dock uttryckligen föreskrivas för att tillgodose specifika behov, främst när behandling inom ramen för legitima verksamheter utförs av vissa sammanslutningar eller stiftelser vars ändamål är att göra det möjlig att utöva grundläggande friheter.

utgår

Ändringsförslag  21

Förslag till förordning

Skäl 42

Kommissionens förslag

Ändringsförslag

(42) Undantag från förbudet att behandla känsliga uppgiftskategorier bör även tillåtas om de grundar sig på lagstiftning och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när samhälleliga intressen motiverar detta och i synnerhet för hälsosyften, bl.a. folkhälsa och social trygghet samt administration av hälso- och sjukvårdstjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet för de förfaranden som används vid prövning av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, eller för historiska, statistiska och vetenskapliga forskningsändamål.

(42) Undantag från förbudet att behandla känsliga uppgiftskategorier bör även tillåtas om de grundar sig på lagstiftning och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när samhälleliga intressen motiverar detta och i synnerhet för hälsosyften, bl.a. folkhälsa och social trygghet samt administration av hälso- och sjukvårdstjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet för de förfaranden som används vid prövning av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, eller för historiska, statistiska och vetenskapliga forskningsändamål eller för arkivtjänster.

Ändringsförslag  22

Förslag till förordning

Skäl 45

Kommissionens förslag

Ändringsförslag

(45) Om de uppgifter som behandlas av registeransvariga inte innebär att de kan identifiera fysiska personer bör de registeransvariga inte vara tvungna att skaffa ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Om en registeransvarig mottar en begäran om tillgång bör denne ha rätt att be den begärande registrerade personen om ytterligare information för att kunna lokalisera de personuppgifter som denne söker.

(45) Om de uppgifter som behandlas av registeransvariga inte innebär att de kan identifiera fysiska personer bör de registeransvariga inte vara tvungna att skaffa ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Om en registeransvarig mottar en begäran om tillgång bör denne ha rätt att be den begärande registrerade personen om ytterligare information för att kunna lokalisera de personuppgifter som denne söker. Om det är möjligt för den registrerade att tillhandahålla sådana uppgifter bör de registeransvariga inte kunna åberopa avsaknad av information för att vägra tillmötesgå en begäran om tillgång.

Ändringsförslag  23

Förslag till förordning

Skäl 47

Kommissionens förslag

Ändringsförslag

(47) Förfaranden bör fastställas som gör det lättare för registrerades att utöva sina rättigheter enligt denna förordning, bl.a. mekanismer för att kostnadsfritt särskilt begära tillgång till uppgifterna, rättelser, radering och att utöva rätten att göra invändningar. Registeransvariga bör inom en fastställd tidsfrist vara skyldiga att besvara registrerades önskemål och lämna en motivering om den registrerades önskemål inte kan uppfyllas.

(47) Förfaranden bör fastställas som gör det lättare för registrerades att utöva sina rättigheter enligt denna förordning, bl.a. mekanismer för att kostnadsfritt särskilt tillgång till uppgifterna, rättelser, radering och att utöva rätten att göra invändningar. Registeransvariga bör inom rimlig tid vara skyldiga att besvara registrerades önskemål och lämna en motivering om den registrerades önskemål inte kan uppfyllas.

Ändringsförslag  24

Förslag till förordning

Skäl 48

Kommissionens förslag

Ändringsförslag

(48) Principerna om rättvis och öppen behandling fordrar att den registrerade informeras särskilt om att behandling sker och syftet med den, hur länge uppgifterna kommer att lagras, rätten att få tillgång till dem, rätta eller radera dem samt rätten att lämna in klagomål. När uppgifterna samlas in från de registrerade bör dessa även informeras om huruvida de är skyldiga att lämna uppgifterna, och om konsekvenserna i det fall de inte lämnar dem.

(48) Principerna om rättvis och öppen behandling fordrar att den registrerade informeras särskilt om att behandling sker och syftet med den, hur länge uppgifterna sannolikt kommer att lagras för varje syfte, om uppgifterna kommer att överföras till tredje parter eller tredjeländer, befintliga verktyg för att göra invändningar och rätten att få tillgång till dem, rätta eller radera dem samt rätten att lämna in klagomål. När uppgifterna samlas in från de registrerade bör dessa även informeras om huruvida de är skyldiga att lämna uppgifterna, och om konsekvenserna i det fall de inte lämnar dem. Denna information bör tillhandahållas, vilket även kan innebära göras lättillgänglig för, de registrerade efter det att förenklad information tillhandahållits i form av standardiserade symboler. Detta bör också innebära att personuppgifterna behandlas på ett sätt som ger de registrerade möjlighet att effektivt utöva sina rättigheter.

Ändringsförslag  25

Förslag till förordning

Skäl 50

Kommissionens förslag

Ändringsförslag

(50) Det är dock inte nödvändigt att införa någon sådan skyldighet när de registrerade redan förfogar över denna information eller när registreringen eller utlämnandet av uppgifterna uttryckligen föreskrivs i lag eller när det visar sig vara omöjlig eller skulle medföra orimliga ansträngningar att tillhandahålla de registrerade informationen. Det sistnämnda skulle särskilt kunna vara fallet när behandlingen sker för historiska, statistiska eller vetenskapliga forskningsändamål. Vid bedömningen kan hänsyn tas till antalet registrerade, uppgifternas ålder och eventuella kompenseringsåtgärder.

(50) Det är dock inte nödvändigt att införa någon sådan skyldighet när de registrerade redan känner till denna information eller när registreringen eller utlämnandet av uppgifterna uttryckligen föreskrivs i lag eller när det visar sig vara omöjlig eller skulle medföra orimliga ansträngningar att tillhandahålla de registrerade informationen.

Ändringsförslag  26

Förslag till förordning

Skäl 51

Kommissionens förslag

Ändringsförslag

(51) Alla bör ha rätt att få tillgång till uppgifter som insamlats om dem och enkelt kunna utöva denna rätt så att de är medvetna om att behandling sker och kan kontrollera att den är laglig. Alla registrerade bör därför ha rätt att känna till och få underrättelse om framför allt orsaken till att uppgifterna behandlas, vilken tidsperiod behandlingen pågår, vilka som mottar uppgifterna, de behandlade uppgifternas bakomliggande logik och, åtminstone när behandlingen bygger på profilering, vilka konsekvenserna kan bli. Denna rättighet bör inte inverka menligt på andra rättigheter och friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt som skyddar programvaran. Dessa överväganden bör dock inte utmynna i att den registrerade förvägras all information.

(51) Alla bör ha rätt att få tillgång till uppgifter som insamlats om dem och enkelt kunna utöva denna rätt så att de är medvetna om att behandling sker och kan kontrollera att den är laglig. Alla registrerade bör därför ha rätt att känna till och få underrättelse om framför allt orsaken till att uppgifterna behandlas, vilken tidsperiod behandlingen beräknas pågå, vilka som mottar personuppgifterna, de behandlade personuppgifternas allmänna bakomliggande logik och vilka konsekvenserna kan bli. Denna rättighet bör inte inverka menligt på andra rättigheter och friheter, t.ex. affärshemligheter eller immateriell äganderätt, exempelvis när det gäller upphovsrätt som skyddar programvaran. Dessa överväganden bör dock inte utmynna i att den registrerade förvägras all information.

Ändringsförslag  27

Förslag till förordning

Skäl 53

Kommissionens förslag

Ändringsförslag

(53) Alla bör ha rätt till rättelse av sina personuppgifter och en ”rätt att bli bortglömd” när lagring av uppgifterna inte stämmer överens med denna förordning. Registrerade bör särskilt ha rätt att få sina personuppgifter raderade och kunna begära att dessa uppgifter inte behandlas om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om de registrerade har återtagit sitt samtycke till behandling eller om de registrerade invänder mot behandling av personuppgifter som rör dem eller när behandlingen av deras personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Ytterligare lagring av uppgifterna bör dock tillåtas när så behövs för historiska, statistiska och vetenskapliga forskningsändamål, i det allmännas intresse på folkhälsoområdet, för utövandet av yttrandefriheten, när lagen så kräver eller när det finns anledning att begränsa behandlingen av uppgifterna i ställe för att radera dem.

(53) Alla bör ha rätt till rättelse av sina personuppgifter och en ”rätt till radering” när lagring av uppgifterna inte stämmer överens med denna förordning. Registrerade bör särskilt ha rätt att få sina personuppgifter raderade och kunna begära att dessa uppgifter inte behandlas om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om de registrerade har återtagit sitt samtycke till behandling eller om de registrerade invänder mot behandling av personuppgifter som rör dem eller när behandlingen av deras personuppgifter på annat sätt inte överensstämmer med denna förordning. Ytterligare lagring av uppgifterna bör dock tillåtas när så behövs för historiska, statistiska och vetenskapliga forskningsändamål, i det allmännas intresse på folkhälsoområdet, för utövandet av yttrandefriheten, när lagen så kräver eller när det finns anledning att begränsa behandlingen av uppgifterna i ställe för att radera dem. Rätten till radering bör heller inte tillämpas om det är nödvändigt att lagra personuppgifterna för verkställande av ett avtal med den registrerade eller om det finns en rättslig förpliktelse att lagra uppgifterna.

Ändringsförslag  28

Förslag till förordning

Skäl 54

Kommissionens förslag

Ändringsförslag

(54) För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering även utvidgas på ett sådant sätt att registeransvariga som offentliggjort personuppgifter bör vara förpliktigade att informera tredje part som behandlar dessa uppgifter om att en registrerad person begärt att de ska radera alla länkar till och kopior eller reproduktioner av dessa personuppgifter. För att säkerställa informationen i fråga bör registeransvariga vidta alla rimliga åtgärder, däribland tekniska sådana, vad avser de uppgifter som de är ansvariga för. När tredje part offentliggör personuppgifter bör de registeransvariga anses bära ansvaret för offentliggörandet om de har lämnat tillstånd till det.

(54) För att stärka ”rätten till radering” i nätmiljön bör rätten till radering även utvidgas på ett sådant sätt att registeransvariga som offentliggjort personuppgifter utan stöd i lagen bör vara förpliktigade att vidta alla åtgärder som krävs för att uppgifterna ska raderas, även genom tredje parts försorg, dock utan att det påverkar den registrerades rätt att kräva ersättning.

Ändringsförslag  29

Förslag till förordning

Skäl 54a (nytt)

Kommissionens förslag

Ändringsförslag

 

(54a) Uppgifter som den registrerade hävdar är inkorrekta och vars korrekthet eller inkorrekthet inte går att fastställa bör blockeras tills frågan klargjorts.

Ändringsförslag  30

Förslag till förordning

Skäl 55

Kommissionens förslag

Ändringsförslag

(55) För att ytterligare stärka de registrerades kontroll över sina egna uppgifter och rätt till tillgång bör de, när personuppgifter behandlas genom elektroniska medel och i strukturerat och gängse format, också ha rätt att få en kopia av uppgifter som rör dem i gängse elektroniskt format. Den registrerade bör även tillåtas överföra uppgifter som han eller hon själv har tillhandahållit från en automastisk tillämpning, exempelvis ett socialt nätverk, till en annan. Detta bör vara tillämpligt när de registrerade har lämnat uppgifterna till ett automastiskt databehandlingssystem, antingen efter att ha lämnat sitt samtycke eller inom ramen för genomförandet av ett avtal.

(55) För att ytterligare stärka de registrerades kontroll över sina egna uppgifter och rätt till tillgång bör de, när personuppgifter behandlas genom elektroniska medel och i strukturerat och gängse format, också ha rätt att få en kopia av uppgifter som rör dem i gängse elektroniskt format. Den registrerade bör även tillåtas överföra uppgifter som han eller hon själv har tillhandahållit från en automastisk tillämpning, exempelvis ett socialt nätverk, till en annan. Registeransvariga bör uppmuntras att utveckla interoperabla format som möjliggör uppgiftsportabilitet. Detta bör vara tillämpligt när de registrerade har lämnat uppgifterna till ett automastiskt databehandlingssystem, antingen efter att ha lämnat sitt samtycke eller inom ramen för genomförandet av ett avtal. De som tillhandahåller informationssamhällets tjänster bör inte göra överföring av dessa uppgifter till ett obligatoriskt villkor för tillhandahållandet av sina tjänster.

Ändringsförslag  31

Förslag till förordning

Skäl 56

Kommissionens förslag

Ändringsförslag

(56) I de fall när personuppgifter lagligen får behandlas för att skydda den registrerades grundläggande intressen eller på grund av samhälleliga intressen, myndighetsutövning eller en registeransvarigs berättigade intressen bör alla registrerade personer likväl ha rätt att göra invändningar mot behandling av alla uppgifter som rör dem. Den registeransvarige bör åläggas bevisbördan när det gäller att visa att deras berättigade intressen kan överskugga den registrerades intressen eller grundläggande rättigheter och friheter.

(56) I de fall när personuppgifter lagligen får behandlas för att skydda den registrerades grundläggande intressen eller på grund av samhälleliga intressen, myndighetsutövning eller en registeransvarigs berättigade intressen bör alla registrerade personer likväl ha rätt att kostnadsfritt och på ett enkelt och verkningsfullt sätt göra invändningar mot behandling av alla uppgifter som rör dem. Den registeransvarige bör åläggas bevisbördan när det gäller att visa att deras berättigade intressen kan överskugga den registrerades intressen eller grundläggande rättigheter och friheter.

Ändringsförslag  32

Förslag till förordning

Skäl 57

Kommissionens förslag

Ändringsförslag

(57) När personuppgifter behandlas för direkt marknadsföring bör den registrerade ha rätt att kostnadsfritt och på ett enkelt och effektivt sätt resa invändningar mot behandlingen.

(57) När den registrerade har rätt att resa invändningar mot behandlingen bör den registeransvarige uttryckligen erbjuda den registrerade detta på ett begripligt sätt och i en begriplig form genom att använda ett klart och tydligt språk samt tydligt åtskilja detta från övrig information.

Ändringsförslag  33

Förslag till förordning

Skäl 58

Kommissionens förslag

Ändringsförslag

(58) Fysiska personer bör inte vara tvungna att underkasta sig åtgärder som bygger på profilering genom automatisk behandling. Sådana åtgärder bör dock godtas när de uttryckligen är tillåtna enligt lag, när de vidtas vid ingåendet eller genomförandet av ett avtal eller när den registrerade har gett sitt samtycke. Denna form av uppgiftsbehandling bör emellertid omgärdas av lämpliga skyddsåtgärder, bl.a. särskild information till den registrerade, rätt till personlig kontakt samt att garantier för att åtgärderna inte berör barn.

(58) Utan att det påverkar uppgiftsbehandlingens lagenlighet bör fysiska personer ha rätt att resa invändningar mot profilering. Profilering som leder till åtgärder som har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar den berörda registrerades intressen, rättigheter eller friheter bör godtas endast när de uttryckligen är tillåtna enligt lag, när de vidtas vid ingåendet eller genomförandet av ett avtal eller när den registrerade har gett sitt samtycke. Denna form av uppgiftsbehandling bör emellertid omgärdas av lämpliga skyddsåtgärder, bl.a. särskild information till den registrerade, rätt till personlig bedömning samt att garantier för att åtgärderna inte berör barn. Sådana åtgärder bör inte leda till diskriminering av enskilda på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, sexuell läggning eller könsidentitet.

Ändringsförslag  34

Förslag till förordning

Skäl 58a (nytt)

Kommissionens förslag

Ändringsförslag

 

(58a) Profilering som bygger enbart på behandling av pseudonymiserade uppgifter bör antas inte i betydande grad påverka den registrerades intressen, rättigheter eller friheter. Om profileringen, baserad på antingen pseudonymiserade uppgifter från en enda källa eller aggregering av pseudonymiserade uppgifter från olika källor, gör det möjligt för den registeransvarige att hänföra pseudonymiserade uppgifter till en specifik registrerad bör de behandlade uppgifterna inte längre betraktas som pseudonymiserade.

Ändringsförslag  35

Förslag till förordning

Skäl 59

Kommissionens förslag

Ändringsförslag

(59) Begränsningar av specifika principer och av rätten till information, tillgång, rättelse och radering eller av rätten till uppgiftsportabilitet, av rätten att göra invändningar, av profileringsbaserade åtgärder samt information till den registrerade om personuppgiftsbrott och av vissa av den registeransvariges relaterade skyldigheter kan införas genom unionslagstiftning eller nationell lagstiftning, i den mån de är nödvändiga och proportionella i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten, exempelvis för att skydda människoliv särskilt vid naturkatastrofer eller katastrofer framkallade av människan, vid förebyggande, utredning och lagföring av brott eller överträdelser av etiska principer för reglerade yrken, vad gäller unionens eller en medlemsstats övriga allmänna intressen, särskilt om de är av stort ekonomiskt eller finansiellt intresse för unionen eller en medlemsstat, eller vad gäller skydd av den registrerade eller andras rättigheter och friheter. Dessa begränsningar bör stå i samklang med kraven i Europeiska unionens stadga om de grundläggande rättigheterna och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

(59) Begränsningar av specifika principer och av rätten till information, rättelse och radering eller av rätten att få tillgång till och erhålla uppgifter, av rätten att göra invändningar, av profilering samt information till den registrerade om personuppgiftsbrott och av vissa av den registeransvariges relaterade skyldigheter kan införas genom unionslagstiftning eller nationell lagstiftning, i den mån de är nödvändiga och proportionella i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten, exempelvis för att skydda människoliv särskilt vid naturkatastrofer eller katastrofer framkallade av människan, vid förebyggande, utredning och lagföring av brott eller överträdelser av etiska principer för reglerade yrken, vad gäller unionens eller en medlemsstats övriga specifika och väldefinierade allmänna intressen, särskilt om de är av stort ekonomiskt eller finansiellt intresse för unionen eller en medlemsstat, eller vad gäller skydd av den registrerade eller andras rättigheter och friheter. Dessa begränsningar bör stå i samklang med kraven i Europeiska unionens stadga om de grundläggande rättigheterna och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

Ändringsförslag  36

Förslag till förordning

Skäl 60

Kommissionens förslag

Ändringsförslag

(60) Registeransvariga bör åläggas ett heltäckande ansvar för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Registeransvariga bör särskilt säkerställa och vara skyldiga att visa att varje behandling är förenlig med denna förordning.

(60) Registeransvariga bör åläggas ett heltäckande ansvar för all behandling av personuppgifter som de utför eller som utförs på deras vägnar, särskilt när det gäller dokumentation, uppgiftsskydd, konsekvensbedömningar, uppgiftsskyddsombudet och tillsyn genom försorg av myndigheter som ansvarar för uppgiftsskydd. Registeransvariga bör särskilt säkerställa och kunna visa att varje behandling är förenlig med denna förordning. Detta bör kontrolleras av oberoende interna eller externa granskare.

Ändringsförslag  37

Förslag till förordning

Skäl 61

Kommissionens förslag

Ändringsförslag

(61) Skyddet av de registrerades fri- och rättigheter i samband med behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas både när behandlingen utformas och i själva behandlingsögonblicket så att kraven i denna förordning uppfylls. För att säkerställa och visa att denna förordning följs, bör den registeransvarige anta interna strategier och vidta lämpliga åtgärder, särskilt för att uppfylla principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard.

(61) Skyddet av de registrerades fri- och rättigheter i samband med behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas både när behandlingen utformas och i själva behandlingsögonblicket så att kraven i denna förordning uppfylls. För att säkerställa och visa att denna förordning följs, bör den registeransvarige anta interna strategier och vidta lämpliga åtgärder, särskilt för att uppfylla principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard. Principen om inbyggt uppgiftsskydd kräver att uppgiftsskyddet beaktas under teknikens hela livscykel, från det tidiga utformningsstadiet till slutgiltigt ibruktagande, användning och slutligt bortskaffande. Detta bör även inbegripa ansvaret för de produkter och tjänster som den registeransvarige eller registerföraren använder. Principen om uppgiftsskydd som standard kräver dessutom att integritetsinställningarna för tjänster och produkter i standardfallet bör överensstämma med de allmänna uppgiftsskyddsprinciperna, såsom uppgiftsminimering och ändamålsbegränsning.

Ändringsförslag  38

Förslag till förordning

Skäl 62

Kommissionens förslag

Ändringsförslag

(62) Skyddet av de registrerades rättigheter och friheter samt de registeransvarigas och registerförarna ansvar, också i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när registeransvariga bestämmer ändamål, villkor och medel för en behandling gemensamt tillsammans med andra registeransvariga eller när en behandling utförs på en registeransvarigs vägnar.

(62) Skyddet av de registrerades rättigheter och friheter samt de registeransvarigas och registerförarna ansvar, också i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när registeransvariga bestämmer ändamålet för en behandling gemensamt tillsammans med andra registeransvariga eller när en behandling utförs på en registeransvarigs vägnar. Arrangemanget mellan de gemensamma registeransvariga bör återspegla de gemensamma registeransvarigas roller och relationer i praktiken. Behandlingen av personuppgifter enligt denna förordning bör inbegripa tillstånd för en registeransvarig att överföra uppgifterna till en gemensam registeransvarig eller till en registerförare för behandling av uppgifterna på deras vägnar.

Ändringsförslag  39

Förslag till förordning

Skäl 63

Kommissionens förslag

Ändringsförslag

(63) När registeransvariga som inte är etablerade inom unionen behandlar personuppgifter om registrerade som bor inom unionen, och det bakomliggande syftet med uppgiftsbehandlingen är att erbjuda de registrerade personerna varor och tjänster eller att övervaka deras beteende, bör de registeransvariga utnämna en företrädare, såvida inte de är etablerade i ett tredjeland som har en adekvat skyddsnivå, eller de registeransvariga är ett litet eller medelstort företag eller en myndighet eller ett organ, eller när de registeransvariga bara undantagsvis erbjuder varor eller tjänster till de registrerade. Företrädaren bör agera på den registeransvariges vägnar och kan kontaktas av samtliga tillsynsmyndigheter.

(63) När registeransvariga som inte är etablerade inom unionen behandlar personuppgifter om registrerade inom unionen bör de registeransvariga utnämna en företrädare, såvida de inte är etablerade i ett tredjeland som har en adekvat skyddsnivå eller uppgiftsbehandlingen gäller färre än 5 000 registrerade under en sammanhängande period på 12 månader och inte utförs på särskilda kategorier av personuppgifter – eller är en myndighet eller ett organ, eller när de registeransvariga bara undantagsvis erbjuder varor eller tjänster till de registrerade. Företrädaren bör agera på den registeransvariges vägnar och kan kontaktas av samtliga tillsynsmyndigheter.

Ändringsförslag  40

Förslag till förordning

Skäl 64

Kommissionens förslag

Ändringsförslag

(64) För att avgöra om registeransvariga endast undantagsvis erbjuder varor och tjänster till registrerade som bor inom unionen bör det utrönas om det är uppenbart med anledning av den registeransvariges övergripande verksamheter att erbjudandet av varor och tjänster till dessa registrerade personer är sidoverksamhet till huvudverksamheten.

(64) För att avgöra om registeransvariga endast undantagsvis erbjuder varor och tjänster till registrerade inom unionen bör det utrönas om det är uppenbart med anledning av den registeransvariges övergripande verksamheter att erbjudandet av varor och tjänster till dessa registrerade personer är sidoverksamhet till huvudverksamheten.

Ändringsförslag  41

Förslag till förordning

Skäl 65

Kommissionens förslag

Ändringsförslag

(65) För att påvisa att denna förordning följs, bör de registeransvariga eller registerförarna dokumentera varje behandling. Alla registeransvariga och registerförare bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra dokumenteringen tillgänglig så att den kan tjäna som grund för övervakningen av behandlingen.

(65) För att kunna påvisa att denna förordning följs, bör de registeransvariga eller registerförarna upprätthålla den dokumentation som krävs för att uppfylla kraven i denna förordning. Alla registeransvariga och registerförare bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra dokumenteringen tillgänglig så att den kan tjäna som grund för utvärderingen av huruvida denna förordning följs. Lika stor vikt bör dock fästas vid god praxis och efterlevnad och inte bara vid slutförande av dokumentationen.

Ändringsförslag  42

Förslag till förordning

Skäl 66

Kommissionens förslag

Ändringsförslag

(66) För att bibehålla säkerheten och förhindra behandling som bryter mot denna förordning bör registeransvariga eller registerförare utvärdera de risker som hör till behandlingen och vidta åtgärder för att mildra dem. Åtgärderna bör leda till en lämplig säkerhetsnivå med hänsyn till dagens tekniska utveckling och till kostnaderna för genomförandet med hänsyn till riskerna och vilken typ av personuppgifter som ska skyddas. Vid införandet av tekniska standarder och organisatoriska åtgärder som ska borga för säkerheten vid behandling bör kommissionen främja teknikneutralitet, interoperabilitet och innovation, och om så är lämpligt samarbeta med tredjeland.

(66) För att bibehålla säkerheten och förhindra behandling som bryter mot denna förordning bör registeransvariga eller registerförare utvärdera de risker som hör till behandlingen och vidta åtgärder för att mildra dem. Åtgärderna bör leda till en lämplig säkerhetsnivå med hänsyn till dagens tekniska utveckling och till kostnaderna för genomförandet med hänsyn till riskerna och vilken typ av personuppgifter som ska skyddas. Vid införandet av tekniska standarder och organisatoriska åtgärder som ska borga för säkerheten vid behandling bör teknikneutralitet, interoperabilitet och innovation främjas, och om så är lämpligt samarbete med tredjeländer uppmuntras.

Ändringsförslag  43

Förslag till förordning

Skäl 67

Kommissionens förslag

Ändringsförslag

(67) Ett personuppgiftsbrott som inte snabbt åtgärdas på lämpligt sätt kan för den enskilde leda till betydande ekonomisk förlust eller social skada. Registeransvariga bör därför så snart de blir medvetna om ett sådant brott anmäla det till tillsynsmyndigheten utan onödigt dröjsmål och, när så är möjligt, inom 24 timmar. Om detta inte kan uppnås inom 24 timmar bör en förklaring av skälen till fördröjningen åtfölja anmälan. Enskilda personer vars personuppgifter kan påverkas negativt av brottet bör meddelas utan onödig fördröjning så att de kan vidta nödvändiga försiktighetsåtgärder. Ett brott bör anses negativt påverka en registrerad persons personuppgifter eller integritet när det exempelvis kan leda till identitetsstöld eller bedrägeri, fysik skada, betydande förödmjukelse eller skadat anseende. Anmälan bör beskriva personuppgiftsbrottets art samt innehålla rekommendationer för berörd enskild person om hur de potentiella negativa effekterna kan mildras. De registrerade bör meddelas så snart detta rimligtvis är möjligt, i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra relevanta myndigheter (t.ex. brottsbekämpande myndigheter). För att den drabbade personen ska kunna mildra en omedelbar skaderisk bör han eller hon meddelas omedelbart. Däremot kan behovet att vidta lämpliga åtgärder vid fortlöpande eller likartade personuppgiftsbrott motivera en viss fördröjning.

(67) Ett personuppgiftsbrott som inte snabbt åtgärdas på lämpligt sätt kan för den enskilde leda till betydande ekonomisk förlust eller social skada. Registeransvariga bör därför anmäla det till tillsynsmyndigheten utan onödigt dröjsmål, vilket bör antas vara senast efter 72 timmar. Om tillämpligt bör en förklaring av skälen till fördröjningen åtfölja anmälan. Enskilda personer vars personuppgifter kan påverkas negativt av brottet bör meddelas utan onödig fördröjning så att de kan vidta nödvändiga försiktighetsåtgärder. Ett brott bör anses negativt påverka en registrerad persons personuppgifter eller integritet när det exempelvis kan leda till identitetsstöld eller bedrägeri, fysik skada, betydande förödmjukelse eller skadat anseende. Anmälan bör beskriva personuppgiftsbrottets art samt innehålla rekommendationer för berörd enskild person om hur de potentiella negativa effekterna kan mildras. De registrerade bör meddelas så snart detta rimligtvis är möjligt, i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra relevanta myndigheter (t.ex. brottsbekämpande myndigheter). För att den drabbade personen ska kunna mildra en omedelbar skaderisk bör han eller hon meddelas omedelbart. Däremot kan behovet att vidta lämpliga åtgärder vid fortlöpande eller likartade personuppgiftsbrott motivera en viss fördröjning.

Ändringsförslag  44

Förslag till förordning

Skäl 71a (nytt)

Kommissionens förslag

Ändringsförslag

 

(71a) Konsekvensbedömningar är en oumbärlig del av varje hållbar ram för uppgiftsskydd, eftersom de säkerställer att företag redan från början är medvetna om alla möjliga konsekvenser av uppgiftsbehandlingen. Genom grundliga konsekvensbedömningar kan risken för personuppgiftsbrott eller integritetskränkande åtgärder begränsas väsentligt. I konsekvensbedömningar avseende uppgiftsskydd bör man följaktligen alltid ta hänsyn till hela livscykelhanteringen av personuppgifter, från insamling och behandling till radering, och i detalj beskriva vilka behandlingar som planeras, vilka risker de innebär för de registrerades rättigheter och friheter, vilka åtgärder som vidtas för att hantera riskerna samt vilka skyddsåtgärder, säkerhetsåtgärder och rutiner som tillämpas för att se till att förordningen följs.

Ändringsförslag  45

Förslag till förordning

Skäl 71b (nytt)

Kommissionens förslag

Ändringsförslag

 

(71b) Registeransvariga bör fokusera på att skydda personuppgifter under hela deras livscykel, från insamling och behandling till radering, genom att redan från början investera i en hållbar ram för uppgiftshantering och genom att följa upp med heltäckande rutiner för överensstämmelse.

Ändringsförslag  46

Förslag till förordning

Skäl 73

Kommissionens förslag

Ändringsförslag

(73) Konsekvensbedömningar avseende uppgiftsskydd bör göras av en myndighet eller ett offentligt organ om en sådan bedömning inte redan har gjorts i samband med antagandet av den nationella lagstiftning som utförandet av myndighetens eller det offentliga organets arbetsuppgifter bygger på, och som reglerar den aktuella specifika behandlingsåtgärden eller serien av åtgärder.

utgår

Ändringsförslag  47

Förslag till förordning

Skäl 74

Kommissionens förslag

Ändringsförslag

(74) Om det av en konsekvensbedömning avseende uppgiftsskydd framgår att behandlingen innebär att de registrerades rättigheter och friheter utsätts för höggradiga särskilda risker, exempelvis att enskilda fråntas sina rättigheter eller genom att särskild ny teknik används, bör innan behandlingen inleds samråd ske med tillsynsmyndigheten om den behandling som medför risker och eventuellt inte överensstämmer med denna förordning och förslag lämnas som åtgärdar situationen. Denna typ av samråd bör även ske som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd som definierar behandlingens art och anger lämpliga skyddsåtgärder.

(74) Om det av en konsekvensbedömning avseende uppgiftsskydd framgår att behandlingen innebär att de registrerades rättigheter och friheter utsätts för höggradiga särskilda risker, exempelvis att enskilda fråntas sina rättigheter eller genom att särskild ny teknik används, bör innan behandlingen inleds samråd ske med uppgiftsskyddsombudet eller tillsynsmyndigheten om den behandling som medför risker och eventuellt inte överensstämmer med denna förordning och förslag lämnas som åtgärdar situationen. Samråd med tillsynsmyndigheten bör även ske som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd som definierar behandlingens art och anger lämpliga skyddsåtgärder.

Ändringsförslag  48

Förslag till förordning

Skäl 74a (nytt)

Kommissionens förslag

Ändringsförslag

 

(74a) Konsekvensbedömningar kan vara till hjälp endast om registeransvariga ser till att de åtaganden som fastställs i dem fullgörs. Därför bör registeransvariga genomföra periodiska översyner av uppgiftsskyddet som visar att de befintliga rutinerna för uppgiftsbehandling överensstämmer med utfästelserna i konsekvensbedömningen avseende uppgiftsskydd. De bör även visa på den registeransvariges förmåga att respektera de självständiga val som görs av de registrerade. Om bristande överensstämmelse upptäcks vid översynen bör de framhäva detta och lägga fram rekommendationer om hur fullständig överensstämmelse ska kunna uppnås.

Ändringsförslag  49

Förslag till förordning

Skäl 75

Kommissionens förslag

Ändringsförslag

(75) När en behandling utförs inom den offentliga sektorn eller av ett stort företag inom den privata sektorn, eller när ett företags kärnverksamheter, oavsett företagets storlek, inbegriper behandling som kräver regelbunden och systematisk övervakning bör en person bistå den registeransvarige eller registerföraren för att övervaka den interna efterlevnaden av denna förordning. Denna typ av uppgiftsskyddsombud bör, vare sig de är anställda av den registeransvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina arbetsuppgifter på ett oberoende sätt.

(75) När en behandling utförs inom den offentliga sektorn eller när en behandling inom den privata sektorn omfattar fler än 5 000 registrerade under en period på 12 månader, eller när ett företags kärnverksamheter, oavsett företagets storlek, inbegriper behandling av känsliga uppgifter eller behandling som kräver regelbunden och systematisk övervakning bör en person bistå den registeransvarige eller registerföraren för att övervaka den interna efterlevnaden av denna förordning. Arkiverade uppgifter som är begränsade på ett sådant sätt att de inte omfattas av den registeransvariges gängse tillgång till uppgifter och behandling och uppgifter som inte längre kan ändras bör inte beaktas vid fastställandet av om uppgifter om ett stort antal registrerade behandlas. Denna typ av uppgiftsskyddsombud bör, vare sig de är anställda av den registeransvarige eller ej och vare sig de arbetar heltid eller ej, kunna fullgöra sitt uppdrag och utföra sina arbetsuppgifter på ett oberoende sätt och ha ett särskilt anställningsskydd. Det slutgiltiga ansvaret bör ligga hos organisationens ledning. För att säkerställa att principerna om inbyggt integritetsskydd och integritetsskydd som standard efterlevs bör uppgiftsskyddsombudet rådfrågas särskilt före utformning, upphandling, utveckling och inrättande av system för automatisk behandling av personuppgifter.

Ändringsförslag  50

Förslag till förordning

Skäl 75a (nytt)

Kommissionens förslag

Ändringsförslag

 

(75a) Uppgiftsskyddsombudet bör minst ha följande kvalifikationer: omfattande kunskap om uppgiftsskyddslagstiftningens innehåll och tillämpning, inklusive tekniska och organisatoriska åtgärder och förfaranden, kunskap om de tekniska kraven för inbyggt integritetsskydd, integritetsskydd som standard samt datasäkerhet, branschspecifik kunskap som står i proportion till omfattningen av den registeransvariges eller registerförarens verksamhet samt hur känsliga de uppgifter som ska behandlas är, förmåga att utföra inspektioner, sökningar, dokumentering och analys av loggfiler samt förmåga att arbeta med personalombudsfrågor. Den registeransvarige bör ge uppgiftsskyddsombudet möjlighet att delta i avancerad utbildning så att han eller hon kan upprätthålla den specialiserade kunskap som behövs i arbetet. Utnämningen till uppgiftsskyddsombud kräver inte nödvändigtvis heltidssysselsättning för respektive anställd.

Ändringsförslag  51

Förslag till förordning

Skäl 76

Kommissionens förslag

Ändringsförslag

(76) Sammanslutningar eller andra organ som företräder kategorier av registeransvariga bör uppmuntras att utarbeta uppförandekodexar inom gränserna för denna förordning, så att tillämpningen av förordningen effektiviseras, under beaktande av de särdrag som finns vid behandling som sker inom vissa sektorer.

(76) Sammanslutningar eller andra organ som företräder kategorier av registeransvariga bör uppmuntras att, efter samråd med de anställdas företrädare, utarbeta uppförandekodexar inom gränserna för denna förordning, så att tillämpningen av förordningen effektiviseras, under beaktande av de särdrag som finns vid behandling som sker inom vissa sektorer. Sådana kodexar bör göra det lättare för branschen att efterleva denna förordning.

Ändringsförslag  52

Förslag till förordning

Skäl 77

Kommissionens förslag

Ändringsförslag

(77) För att förbättra öppenheten och efterlevnaden av denna förordning bör införandet av certifieringsmekanismer, uppgiftsskyddsförsegling och uppgiftsskyddsmärkning uppmuntras, så att registrerade snabbt kan bedöma nivån på relevanta produkters och tjänsters uppgiftsskydd.

(77) För att förbättra öppenheten och efterlevnaden av denna förordning bör införandet av certifieringsmekanismer, uppgiftsskyddsförsegling och standardiserad märkning uppmuntras, så att registrerade snabbt, tillförlitligt och verifierbart kan bedöma nivån på relevanta produkters och tjänsters uppgiftsskydd. En europeisk uppgiftsskyddsförsegling bör inrättas på unionsnivå för att skapa förtroende hos de registrerade och klarhet om rättsläget för de registeransvariga och samtidigt exportera unionens uppgiftsskyddsstandarder genom att företag från länder utanför unionen lättare kan ta sig in på unionsmarknaderna om de är certifierade.

Ändringsförslag  53

Förslag till förordning

Skäl 79

Kommissionens förslag

Ändringsförslag

(79) Denna förordning påverkar inte internationella avtal mellan unionen och tredjeländer som reglerar överföring av personuppgifter, däribland lämpliga skyddsåtgärder som gagnar de registrerade.

(79) Denna förordning påverkar inte internationella avtal mellan unionen och tredjeländer som reglerar överföring av personuppgifter, däribland lämpliga skyddsåtgärder som gagnar de registrerade, med garantier för en adekvat skyddsnivå för medborgarnas grundläggande rättigheter.

Ändringsförslag  54

Förslag till förordning

Skäl 80

Kommissionens förslag

Ändringsförslag

(80) Kommissionen kan med verkan för hela unionen fastställa att vissa tredjeländer, ett visst territorium eller en viss behandlande sektor i ett tredjeland eller en internationell organisation kan garantera adekvat uppgiftsskydd, och på så sätt skapa rättssäkerhet och enhetlighet i hela unionen vad gäller dessa tredjeländer eller internationella organisationer. I dessa fall får överföringar av personuppgifter till dessa länder ske utan vidare tillstånd.

(80) Kommissionen kan med verkan för hela unionen fastställa att vissa tredjeländer, ett visst territorium eller en viss behandlande sektor i ett tredjeland eller en internationell organisation kan garantera adekvat uppgiftsskydd, och på så sätt skapa rättssäkerhet och enhetlighet i hela unionen vad gäller dessa tredjeländer eller internationella organisationer. Kommissionen kan också efter att ha varslat tredjelandet i fråga och lämnat en fullständig motivering besluta att ett sådant beslut ska återkallas.

Ändringsförslag  55

Förslag till förordning

Skäl 82

Kommissionens förslag

Ändringsförslag

(82) Kommissionen kan likaså konstatera att ett tredjeland, ett visst territorium eller en viss behandlande sektor i ett tredjeland eller en internationell organisation inte garanterar adekvat skyddsnivå. Överföring av personuppgifter till detta tredjeland bör då förbjudas. I så fall bör det finnas möjlighet till samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer.

(82) Kommissionen kan likaså konstatera att ett tredjeland, ett visst territorium eller en viss behandlande sektor i ett tredjeland eller en internationell organisation inte garanterar adekvat skyddsnivå. Lagstiftning som föreskriver extraterritoriell åtkomst till personuppgifter som behandlas i unionen utan tillstånd enligt unionens eller medlemsstaternas lagstiftning bör betraktas som ett tecken på att adekvat skyddsnivå saknas. Överföring av personuppgifter till detta tredjeland bör då förbjudas. I så fall bör det finnas möjlighet till samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer.

Ändringsförslag  56

Förslag till förordning

Skäl 83

Kommissionens förslag

Ändringsförslag

(83) Saknas beslut om adekvat skyddsnivå bör den registeransvarige eller registerföraren vidta åtgärder för att kompensera för det bristande uppgiftsskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av bindande företagsbestämmelser, standardbestämmelser om uppgiftsskydd som antagits av kommissionen, standardbestämmelser om uppgiftsskydd som antagits av en tillsynsmyndighet, avtalsbestämmelser som godkänts av en tillsynsmyndighet eller andra passande och proportionella åtgärder som kan vara motiverade med hänsyn till alla omständigheterna kring en uppgiftsöverföring eller en serie av uppgiftsöverföringar och som har godkänts av en tillsynsmyndighet.

(83) Saknas beslut om adekvat skyddsnivå bör den registeransvarige eller registerföraren vidta åtgärder för att kompensera för det bristande uppgiftsskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av bindande företagsbestämmelser, standardbestämmelser om uppgiftsskydd som antagits av kommissionen, standardbestämmelser om uppgiftsskydd som antagits av en tillsynsmyndighet eller avtalsbestämmelser som godkänts av en tillsynsmyndighet. Genom dessa lämpliga skyddsåtgärder bör respekten upprätthållas för de registrerades rättigheter på ett adekvat sätt för behandling av uppgifter inom unionen, i synnerhet när det gäller ändamålsbegränsning, rätten till tillgång, rättelse eller radering och rätten att begära ersättning. Dessa skyddsåtgärder bör i synnerhet garantera respekten för principerna för behandling av personuppgifter, trygga de registrerades rättigheter och säkerställa ändamålsenliga prövningsmekanismer, garantera respekten för principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard och säkerställa att det finns ett uppgiftsskyddsombud.

Ändringsförslag  57

Förslag till förordning

Skäl 84

Kommissionens förslag

Ändringsförslag

(84) Registeransvarigas eller registerförares möjlighet att använda standardiserade uppgiftsskyddsbestämmelser som antagits av kommissionen eller av en tillsynsmyndighet bör inte hindra att de infogar standardiserade uppgiftsskyddsbestämmelser i ett vidare avtal eller lägger till andra bestämmelser såvida dessa inte, direkt eller indirekt, står i strid mot standardavtalsklausuler som antagits av kommissionen eller av en tillsynsmyndighet eller påverkar de registrerades grundläggande rättigheter eller friheter.

(84) Registeransvarigas eller registerförares möjlighet att använda standardiserade uppgiftsskyddsbestämmelser som antagits av kommissionen eller av en tillsynsmyndighet bör inte hindra att de infogar standardiserade uppgiftsskyddsbestämmelser i ett vidare avtal eller lägger till andra bestämmelser eller kompletterande skyddsåtgärder såvida dessa inte, direkt eller indirekt, står i strid mot standardavtalsklausuler som antagits av en tillsynsmyndighet eller påverkar de registrerades grundläggande rättigheter eller friheter. De standardiserade uppgiftsskyddsbestämmelser som kommissionen antar skulle kunna omfatta olika situationer, närmare bestämt överföringar från registeransvariga etablerade i unionen till registeransvariga etablerade utanför unionen och från registeransvariga etablerade i unionen till registerförare – inklusive deras underleverantörer – etablerade utanför unionen. Registeransvariga och registerförare bör uppmuntras att tillhandahålla ännu mer kraftfulla skyddsåtgärder via ytterligare avtalsmässiga åtaganden som kompletterar de standardiserade skyddsbestämmelserna.

Ändringsförslag  58

Förslag till förordning

Skäl 85

Kommissionens förslag

Ändringsförslag

(85) En företagsgrupp bör kunna använda sig av godkända bindande företagsregler för sina internationella överföringar från unionen till organisationer inom samma företagsgrupp, i den mån företagsreglerna inbegriper nödvändiga principer och bindande rättigheter som garanterar lämpliga skyddsåtgärder för överföringar eller serier av överföringar av personuppgifter.

(85) En företagsgrupp bör kunna använda sig av godkända bindande företagsbestämmelser för sina internationella överföringar från unionen till organisationer inom samma företagsgrupp, i den mån företagsbestämmelserna inbegriper alla nödvändiga principer och bindande rättigheter som garanterar lämpliga skyddsåtgärder för överföringar eller serier av överföringar av personuppgifter.

Ändringsförslag  59

Förslag till förordning

Skäl 86

Kommissionens förslag

Ändringsförslag

(86) Bestämmelser bör införas som ger möjlighet att under vissa omständigheter göra överföringar om den registrerade har lämnat sitt samtycke, när överföringen är nödvändig med hänsyn till ett avtal eller ett rättsligt anspråk, när viktiga samhälleliga intressen fastställda genom unionell eller nationell lag så kräver eller när överföringen görs från ett register som inrättats genom lag och är avsett att konsulteras av allmänheten eller av personer med ett berättigat intresse. I sistnämnda fall bör en sådan överföring inte omfatta alla uppgifter eller hela kategorier av uppgifter som finns i registret. När registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.

(86) Bestämmelser bör införas som ger möjlighet att under vissa omständigheter göra överföringar om den registrerade har lämnat sitt samtycke, när överföringen är nödvändig med hänsyn till ett avtal eller ett rättsligt anspråk, när viktiga samhälleliga intressen fastställda genom unionell eller nationell lag så kräver eller när överföringen görs från ett register som inrättats genom lag och är avsett att konsulteras av allmänheten eller av personer med ett berättigat intresse. I sistnämnda fall bör en sådan överföring inte omfatta alla uppgifter eller hela kategorier av uppgifter som finns i registret. När registret är avsett att vara tillgängligt för personer med ett berättigat intresse bör överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna, samtidigt som fullständig hänsyn tas till den registrerades intressen och grundläggande rättigheter.

Ändringsförslag  60

Förslag till förordning

Skäl 87

Kommissionens förslag

Ändringsförslag

(87) Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga för att skydda viktiga samhälleliga intressen, exempelvis vid internationella uppgiftsöverföringar mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, mellan socialförsäkringsmyndigheter, eller till myndigheter som är behöriga att förebygga, utreda, avslöja och lagföra brott.

(87) Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga för att skydda viktiga samhälleliga intressen, exempelvis vid internationella uppgiftsöverföringar mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, mellan socialförsäkringsmyndigheter eller folkhälsomyndigheter, eller till myndigheter som är behöriga att förebygga, utreda, avslöja och lagföra brott, inbegripet för förebyggande av penningtvätt och för kampen mot finansiering av terrorism. En överföring av personuppgifter bör likaså betraktas som lagenlig om den är nödvändig för att skydda ett intresse som är väsentligt för den registrerades eller en annan persons liv, om den registrerade är oförmögen att ge sitt samtycke. Överföring av personuppgifter som grundas på sådana viktiga samhällsintressen bör användas endast för enstaka överföringar. I varje enskilt fall bör en omsorgsfull bedömning göras av alla omständigheter för den överföring som ska utföras.

Ändringsförslag  61

Förslag till förordning

Skäl 88

Kommissionens förslag

Ändringsförslag

(88) Överföringar som inte kan anses vara ofta återkommande eller omfattande bör också vara möjliga när registeransvariga eller registerförare har berättigade intressen för detta och sedan de har bedömt omständigheterna kring uppgiftsöverföringen. Vid behandling för historiska, statistiska och vetenskapliga forskningsändamål bör hänsyn tas till samhällets legitima förväntningar om kunskapsökning.

Vid behandling för historiska, statistiska och vetenskapliga forskningsändamål bör hänsyn tas till samhällets legitima förväntningar om kunskapsökning.

Ändringsförslag  62

Förslag till förordning

Skäl 89

Kommissionens förslag

Ändringsförslag

(89) Om kommissionen inte har fattat beslut om adekvat uppgiftsskyddsnivå i ett tredjeland bör den registeransvarige eller registerföraren i alla fall använda sig av lösningar som ger de registrerade en garanti för att de fortsatt kan utöva sina grundläggande rättigheter och att skyddsåtgärderna kvarstår vad gäller behandling av deras personuppgifter inom unionen när dessa uppgifter väl har överförts.

(89) Om kommissionen inte har fattat beslut om adekvat uppgiftsskyddsnivå i ett tredjeland bör den registeransvarige eller registerföraren i alla fall använda sig av lösningar som ger de registrerade en rättsligt bindande garanti för att de fortsatt kan utöva sina grundläggande rättigheter och att skyddsåtgärderna kvarstår vad gäller behandling av deras personuppgifter inom unionen när dessa uppgifter väl har överförts, i den mån behandlingen inte är omfattande, upprepad eller systematisk. Denna garanti bör omfatta ekonomisk gottgörelse vid förlust eller otillåten tillgång till eller behandling av uppgifter samt en skyldighet, oavsett nationell lagstiftning, att lämna ut all information om vilka uppgifter som myndigheterna i tredjelandet har haft tillgång till.

Ändringsförslag  63

Förslag till förordning

Skäl 90

Kommissionens förslag

Ändringsförslag

(90) Vissa tredjeländer har antagit lagar och andra författningar som syftar till att direkt reglera uppgiftsbehandling som utövas av fysiska och juridiska personer under medlemsstaternas jurisdiktion. Extraterritoriell tillämpning av dessa lagar och andra författningar kan strida mot internationell rätt och inverka menligt på det skydd av enskilda som garanteras inom unionen genom denna förordning. Överföringar bör endast tillåtas om villkoren i denna förordning för en överföring till tredjeländer är uppfyllda. Detta kan bl.a. vara fallet när utlämnande är nödvändigt på grund av ett viktigt samhällsintresse som erkänns i unionslagstiftningen eller i en medlemsstats lagstiftning som den registeransvarige omfattas av. Villkoren för att ett viktigt samhällsintresse ska anses föreligga bör ytterligare specificeras av kommissionen i en delegerad akt.

(90) Vissa tredjeländer har antagit lagar och andra författningar som syftar till att direkt reglera uppgiftsbehandling som utövas av fysiska och juridiska personer under medlemsstaternas jurisdiktion. Extraterritoriell tillämpning av dessa lagar och andra författningar kan strida mot internationell rätt och inverka menligt på det skydd av enskilda som garanteras inom unionen genom denna förordning. Överföringar bör endast tillåtas om villkoren i denna förordning för en överföring till tredjeländer är uppfyllda. Detta kan bl.a. vara fallet när utlämnande är nödvändigt på grund av ett viktigt samhällsintresse som erkänns i unionslagstiftningen eller i en medlemsstats lagstiftning som den registeransvarige omfattas av. Villkoren för att ett viktigt samhällsintresse ska anses föreligga bör ytterligare specificeras av kommissionen i en delegerad akt. I de fall då registeransvariga eller registerförare ställs inför motstridiga efterlevnadskrav mellan å ena sidan unionens jurisdiktion och å andra sidan ett tredjelands jurisdiktion bör kommissionen se till att unionsrätten alltid har företräde. Kommissionen bör tillhandahålla vägledning och stöd till den registeransvarige och registerföraren och sträva efter att lösa behörighetskonflikten med tredjelandet i fråga.

Ändringsförslag  64

Förslag till förordning

Skäl 92

Kommissionens förslag

Ändringsförslag

(92) För att skydda enskilda vid behandlingen av personuppgifter är det avgörande att medlemsstaterna inrättar tillsynsmyndigheter som utför sitt uppdrag under fullständigt oberoende. Medlemsstaterna kan inrätta fler än en tillsynsmyndighet om det behövs för att ta hänsyn till den egna konstitutionella, organisatoriska och administrativa strukturen.

(92) För att skydda enskilda vid behandlingen av personuppgifter är det avgörande att medlemsstaterna inrättar tillsynsmyndigheter som utför sitt uppdrag under fullständigt oberoende. Medlemsstaterna kan inrätta fler än en tillsynsmyndighet om det behövs för att ta hänsyn till den egna konstitutionella, organisatoriska och administrativa strukturen. Tillsynsmyndigheterna bör ha tillräckliga ekonomiska och personella resurser för att kunna fullgöra sitt uppdrag, med hänsyn till befolkningens storlek och omfattningen på behandlingen av personuppgifter.

Ändringsförslag  65

Förslag till förordning

Skäl 94

Kommissionens förslag

Ändringsförslag

(94) Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser och lokalutrymmen samt den infrastruktur som krävs för att den effektivt ska kunna utföra sina arbetsuppgifter, däribland de arbetsuppgifter som är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen.

(94) Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser – med särskilt fokus på adekvat teknisk och juridisk kompetens hos personalen – och de lokalutrymmen samt den infrastruktur som krävs för att den effektivt ska kunna utföra sina arbetsuppgifter, däribland de arbetsuppgifter som är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen.

Ändringsförslag  66

Förslag till förordning

Skäl 95

Kommissionens förslag

Ändringsförslag

(95) De allmänna villkoren för tillsynsmyndighetens ledamöter bör fastställas genom lag i varje medlemsstat. Bestämmelserna bör bl.a. föreskriva att de ska utnämnas antingen av parlamentet eller av medlemsstatens regering, och inkludera regler om deras personliga kvalifikationer och ställning.

(95) De allmänna villkoren för tillsynsmyndighetens ledamöter bör fastställas genom lag i varje medlemsstat. Bestämmelserna bör bl.a. föreskriva att de ska utnämnas antingen av parlamentet eller av medlemsstatens regering, varvid risken för politisk inblandning bör minimeras på vederbörligt sätt, och inkludera regler om deras personliga kvalifikationer, undvikande av intressekonflikter samt deras ställning.

Ändringsförslag  67

Förslag till förordning

Skäl 97

Kommissionens förslag

Ändringsförslag

(97) Om behandlingen av personuppgifter inom ramen för den verksamhet som en registeransvarig eller registerförare bedriver inom unionen äger rum i fler än en medlemsstat bör en enda tillsynsmyndighet vara behörig att övervaka den registeransvariges eller registerförarens verksamheter i hela unionen och fatta alla därmed sammanhängande beslut. Detta för att öka enhetligheten i tillämpningen, skapa rättssäkerhet och minska den administrativa bördan för dessa registeransvariga och registerförare.

(97) Om behandlingen av personuppgifter inom ramen för den verksamhet som en registeransvarig eller registerförare bedriver inom unionen äger rum i fler än en medlemsstat bör en enda tillsynsmyndighet agera som den gemensamma kontaktpunkten och den ansvariga myndigheten med ansvar för tillsynen över registeransvariga och registerförare i hela unionen och fatta alla därmed sammanhängande beslut. Detta för att öka enhetligheten i tillämpningen, skapa rättssäkerhet och minska den administrativa bördan för dessa registeransvariga och registerförare.

 

Ändringsförslag  68

Förslag till förordning

Skäl 98

Kommissionens förslag

Ändringsförslag

(98) Den behöriga myndighet som tar på sig detta bör vara tillsynsmyndigheten i den medlemsstat där den registeransvarige eller registerföraren har sitt huvudsakliga verksamhetsställe.

(98) Den ansvariga myndighet som tar på sig detta bör vara tillsynsmyndigheten i den medlemsstat där den registeransvarige eller registerföraren har sitt huvudsakliga verksamhetsställe eller sin företrädare. I vissa fall kan Europeiska dataskyddsstyrelsen, genom mekanismen för enhetlighet, utse den ansvariga myndigheten på begäran av en behörig myndighet.

Ändringsförslag  69

Förslag till förordning

Skäl 98a (nytt)

Kommissionens förslag

Ändringsförslag

 

(98a) Registrerade vilkas personuppgifter behandlas av en registeransvarig eller en registerförare i en annan medlemsstat bör kunna lämna in klagomål till valfri tillsynsmyndighet. Den ansvariga dataskyddsmyndigheten bör samordna sitt arbete med övriga involverade myndigheter.

Ändringsförslag  70

Förslag till förordning

Skäl 101

Kommissionens förslag

Ändringsförslag

(101) Tillsynsmyndigheterna bör ta emot klagomål som lämnas in av registrerade och utreda ärendena i fråga. Utredningen av ett klagomål bör, med förbehåll för eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör i rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om ärendet fordrar ytterligare utredning eller samordning med en annan tillsynsmyndighet bör den registrerade underrättas även om detta.

(101) Tillsynsmyndigheterna bör ta emot klagomål som lämnas in av registrerade eller av sammanslutningar som agerar i allmänintresset och utreda ärendena i fråga. Utredningen av ett klagomål bör, med förbehåll för eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör i rimlig tid informera den registrerade eller sammanslutningen om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om ärendet fordrar ytterligare utredning eller samordning med en annan tillsynsmyndighet bör den registrerade underrättas även om detta.

Ändringsförslag  71

Förslag till förordning

Skäl 105

Kommissionens förslag

Ändringsförslag

(105) För att denna förordning ska tillämpas enhetligt i hela unionen bör en mekanism för enhetlighet för samarbete mellan tillsynsmyndigheterna själva och kommissionen skapas. Denna mekanism bör främst vara tillämplig när en tillsynsmyndighet avser att vidta en åtgärd gällande behandlingar som avser erbjudande av varor eller tjänster till registrerade i flera medlemsstater, eller som avser övervakning av registrerade, eller som påtagligt kan påverka personuppgifternas fria flöde. Den bör också vara tillämplig när en tillsynsmyndighet eller kommissionen begär att ärendet bör hanteras inom ramen för mekanismen för enhetlighet. Mekanismen bör inte påverka åtgärder som kommissionen kan komma att vidta när den utövar sina befogenheter enligt fördragen.

(105) För att denna förordning ska tillämpas enhetligt i hela unionen bör en mekanism för enhetlighet för samarbete mellan tillsynsmyndigheterna själva och kommissionen skapas. Denna mekanism bör främst vara tillämplig när en tillsynsmyndighet avser att vidta en åtgärd gällande behandlingar som avser erbjudande av varor eller tjänster till registrerade i flera medlemsstater, eller som avser övervakning av registrerade, eller som påtagligt kan påverka personuppgifternas fria flöde. Den bör också vara tillämplig när en tillsynsmyndighet eller kommissionen begär att ärendet bör hanteras inom ramen för mekanismen för enhetlighet. De registrerade bör vidare ha rätt till enhetlighet om de anser att en åtgärd som vidtagits av en medlemsstats dataskyddsmyndighet inte har uppfyllt detta villkor. Mekanismen bör inte påverka åtgärder som kommissionen kan komma att vidta när den utövar sina befogenheter enligt fördragen.

Ändringsförslag         72

Förslag till förordning

Skäl 106a (nytt)

Kommissionens förslag

Ändringsförslag

 

(106a) För att säkerställa en enhetlig tillämpning av denna förordning kan Europeiska dataskyddsstyrelsen i enskilda fall anta beslut som är bindande för de behöriga tillsynsmyndigheterna.

Ändringsförslag  73

Förslag till förordning

Skäl 107

Kommissionens förslag

Ändringsförslag

(107) Kommissionen kan för att se till att denna förordning följs avge ett yttrande i denna fråga, eller fatta ett beslut som ålägger tillsynsmyndigheten att skjuta upp utkastet till åtgärd.

utgår

Ändringsförslag  74

Förslag till förordning

Skäl 110

Kommissionens förslag

Ändringsförslag

(110) På unionsnivå bör en europeisk dataskyddsstyrelse inrättas. Den bör ersätta arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättas genom direktiv 95/46/EG. Den bör bestå av en chef för en tillsynsmyndighet i varje medlemsstat och av Europeiska datatillsynsmannen. Kommissionen bör delta i dess verksamheter. Europeiska dataskyddsstyrelsen bör bidra till denna förordnings enhetliga tillämpning i hela unionen, bl.a. genom att lämna råd till kommissionen och främja samarbetet mellan tillsynsmyndigheterna i hela unionen. Europeiska dataskyddsstyrelsen bör agera oberoende när den utför sina arbetsuppgifter.

(110) På unionsnivå bör en europeisk dataskyddsstyrelse inrättas. Den bör ersätta arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättas genom direktiv 95/46/EG. Den bör bestå av en chef för en tillsynsmyndighet i varje medlemsstat och av Europeiska datatillsynsmannen. Europeiska dataskyddsstyrelsen bör bidra till denna förordnings enhetliga tillämpning i hela unionen, bl.a. genom att lämna råd till unionens institutioner och främja samarbetet mellan tillsynsmyndigheterna i hela unionen, inbegripet samordning av gemensamma insatser. Europeiska dataskyddsstyrelsen bör agera oberoende när den utför sina arbetsuppgifter. Europeiska dataskyddsstyrelsen bör stärka dialogen med berörda parter, t.ex. sammanslutningar för registrerade, konsumentorganisationer, registeransvariga och andra berörda parter och experter.

Ändringsförslag  75

Förslag till förordning

Skäl 111

Kommissionens förslag

Ändringsförslag

(111) Alla registrerade bör ha rätt klaga hos en tillsynsmyndighet i en medlemsstat och ha rätt till domstolsprövning om de anser att deras rättigheter enligt denna förordning har kränkts eller om tillsynsmyndigheten inte reagerar på ett klagomål eller inte agerar när så är nödvändigt för att skydda de registrerades rättigheter.

(111) Registrerade bör ha rätt klaga hos en tillsynsmyndighet i en medlemsstat och ha rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan om de grundläggande rättigheterna om de anser att deras rättigheter enligt denna förordning har kränkts eller om tillsynsmyndigheten inte reagerar på ett klagomål eller inte agerar när så är nödvändigt för att skydda de registrerades rättigheter.

Ändringsförslag  76

Förslag till förordning

Skäl 112

Kommissionens förslag

Ändringsförslag

(112) Alla organ, organisationer eller sammanslutningar som syftar till att skydda registrerades rättigheter vad gäller personuppgifter och som inrättats i enlighet med lagstiftningen i en medlemsstat bör ha rätt att klaga hos en tillsynsmyndighet ellerde registrerades vägnar utöva rätten till domstolsprövning, eller att oberoende av en registrerad persons klagomål själv klaga när de anser att ett personuppgiftsbrott har skett.

(112) Alla organ, organisationer eller sammanslutningar som agerar i det allmännas intresse och som inrättats i enlighet med lagstiftningen i en medlemsstat bör ha rätt att klaga hos en tillsynsmyndighet på registrerades vägnar om dessa gett sitt samtycke till detta eller utöva rätten till domstolsprövning om de registrerade gett dem ett sådant mandat, eller att oberoende av en registrerad persons klagomål själv klaga när de anser att en överträdelse av denna förordning ägt rum.

Ändringsförslag   77

Förslag till förordning

Skäl 114

Kommissionens förslag

Ändringsförslag

(113) För att stärka de registrerades rättsliga skydd i situationer då den behöriga tillsynsmyndigheten är belägen i en annan medlemsstat än den där den registrerade bor, kan dessa begära att organ, organisationer eller sammanslutningar vars syfte är att skydda deras rättigheter och intressen vad gäller personuppgifter på deras vägnar väcker talan mot den tillsynsmyndigheten vid behörig domstol i den andra medlemsstaten.

(114) För att stärka de registrerades rättsliga skydd i situationer då den behöriga tillsynsmyndigheten är belägen i en annan medlemsstat än den där de registrerade bor, kan dessa ge organ, organisationer eller sammanslutningar som agerar i allmänintresset mandat att väcka talan mot den tillsynsmyndigheten vid behörig domstol i den andra medlemsstaten.

Ändringsförslag  78

Förslag till förordning

Skäl 115

Kommissionens förslag

Ändringsförslag

(115) I situationer då en behörig tillsynsmyndighet belägen i en annan medlemsstat underlåter att agera eller har vidtagit otillräckliga åtgärder i samband med klagomål kan de registrerade anmoda tillsynsmyndigheten i den medlemsstat där de har hemvist att väcka talan mot den tillsynsmyndigheten vid behörig domstol i den andra medlemsstaten. Den anmodade tillsynsmyndigheten kan fatta beslut om huruvida denna begäran bör hörsammas eller ej. Beslutet bör kunna bli föremål för domstolsprövning.

I situationer då en behörig tillsynsmyndighet belägen i en annan medlemsstat underlåter att agera eller har vidtagit otillräckliga åtgärder i samband med klagomål kan de registrerade anmoda tillsynsmyndigheten i den medlemsstat där de har hemvist att väcka talan mot den tillsynsmyndigheten vid behörig domstol i den andra medlemsstaten. Detta är inte tillämpligt på personer som inte är bosatta i unionen. Den anmodade tillsynsmyndigheten kan fatta beslut om huruvida denna begäran bör hörsammas eller ej. Beslutet bör kunna bli föremål för domstolsprövning.

Ändringsförslag   79

Förslag till förordning

Skäl 116

Kommissionens förslag

Ändringsförslag

(116) Vid rättsliga förfaranden mot en registeransvarig eller en registerförare bör käranden kunna välja att väcka talan antingen vid domstolarna i de medlemsstater där den registeransvarige eller registerföraren är etablerad eller där den registrerade bor, såvida inte den registeransvarige är en myndighet som agerar inom ramen för sin myndighetsutövning.

(116) Vid rättsliga förfaranden mot en registeransvarig eller en registerförare bör käranden kunna välja att väcka talan antingen vid domstolarna i de medlemsstater där den registeransvarige eller registerföraren är etablerad eller, om det rör sig om en person som är bosatt i unionen, där den registrerade bor, såvida inte den registeransvarige är en unionsmyndighet eller en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning.

Ändringsförslag  80

Förslag till förordning

Skäl 118

Kommissionens förslag

Ändringsförslag

(118) Personer som lider skada till följd av otillåten behandling bör ha rätt till ersättning av registeransvariga eller registerförare, som dock kan befrias från skadeståndsskyldighet om de kan visa att de inte är ansvariga för skadan, särskilt om de kan påvisa att ett fel begåtts av den registrerade eller om det föreligger ett fall av force majeure.

(118) Personer som lider ekonomisk skada eller annan skada till följd av otillåten behandling bör ha rätt till ersättning av registeransvariga eller registerförare, som kan befrias från skadeståndsskyldighet endast om de kan visa att de inte är ansvariga för skadan, särskilt om de kan påvisa att ett fel begåtts av den registrerade eller om det föreligger ett fall av force majeure.

Ändringsförslag  81

Förslag till förordning

Skäl 119

Kommissionens förslag

Ändringsförslag

(119) Om någon underlåter att följa denna förordning bör detta leda till påföljder, oavsett om personen omfattas av privaträttslig eller offentligrättslig lagstiftning. Medlemsstaterna bör se till att påföljderna är effektiva, proportionella och avskräckande och bör vidta alla åtgärder som krävs för att påföljderna ska verkställas.

 

(119) Om någon underlåter att följa denna förordning bör detta leda till påföljder, oavsett om personen omfattas av privaträttslig eller offentligrättslig lagstiftning. Medlemsstaterna bör se till att påföljderna är effektiva, proportionella och avskräckande och bör vidta alla åtgärder som krävs för att påföljderna ska verkställas. Föreskrifterna om påföljder bör omfattas av lämpliga rättssäkerhetsgarantier i överensstämmelse med de allmänna principerna i unionsrätten och i stadgan om de grundläggande rättigheterna, däribland principerna om rätten till ett effektivt rättsmedel och ett korrekt rättsförfarande och principen ne bis in idem.

Ändringsförslag  82

Förslag till förordning

Skäl 119a (nytt)

Kommissionens förslag

Ändringsförslag

 

(119a) Vid tillämpningen av påföljder bör medlemsstaterna till fullo respektera lämpliga rättssäkerhetsgarantier, däribland rätten till ett effektivt rättsmedel och ett korrekt rättsförfarande och principen ne bis in idem.

Ändringsförslag  83

Förslag till förordning

Skäl 121

Kommissionens förslag

Ändringsförslag

(121) Behandling av personuppgifter enkom för journalistiska, konstnärliga eller litterära ändamål bör undantas från vissa av kraven i denna förordning, så att rätten till skydd av personuppgifter kan förenas med rätten till yttrandefrihet, särskilt rätten att ta emot och lämna upplysningar, som särskilt garanteras genom artikel 11 i Europeiska unionens stadga om de grundläggande rättigheterna. Detta bör särskilt gälla vid behandling av personuppgifter inom det audiovisuella området och i nyhetsarkiv och pressbibliotek. Medlemsstaterna bör därför anta lagstiftningsåtgärder som fastställer de olika undantag som behövs för att skapa en balans mellan dessa grundläggande rättigheter. Medlemsstaterna bör fastställa sådana undantag med avseende på: allmänna principer, de registrerades rättigheter, registeransvariga och registerförare, överföring av uppgifter till tredjeländer eller internationella organisationer, de oberoende tillsynsmyndigheterna samt samarbete och enhetlighet. Detta får dock inte föranleda medlemsstaterna att fastställa undantag från andra bestämmelser i denna förordning. För att ta hänsyn till yttrandefrihetens betydelse i varje demokratiskt samhälle måste en bred tolkning tillämpas av vad som innefattas i denna frihet, som till exempel ”journalism”. Medlemsstaterna bör därför med avseende på de undantag som ska fastställas enligt denna förordning klassificera verksamheter som ”journalistiska” om målet för dem är att bland allmänheten sprida information, åsikter eller idéer, oavsett vilket medium som används för att nå detta mål. Kategorin bör inte begränsas till medieföretag, och såväl vinstdrivande verksamhet som verksamhet som drivs utan vinstintresse bör inbegripas.

(121) När så är nödvändigt bör det föreskrivas befrielser eller undantag från vissa av kraven i denna förordning när det gäller behandling av personuppgifter, så att rätten till skydd av personuppgifter kan förenas med rätten till yttrandefrihet, särskilt rätten att ta emot och lämna upplysningar, som särskilt garanteras genom artikel 11 i Europeiska unionens stadga om de grundläggande rättigheterna. Medlemsstaterna bör därför anta lagstiftningsåtgärder som fastställer de olika undantag som behövs för att skapa en balans mellan dessa grundläggande rättigheter. Medlemsstaterna bör fastställa sådana undantag med avseende på: allmänna principer, de registrerades rättigheter, registeransvariga och registerförare, överföring av uppgifter till tredjeländer eller internationella organisationer, de oberoende tillsynsmyndigheterna, samarbete och enhetlighet samt specifika uppgiftsbehandlingssituationer. Detta får dock inte föranleda medlemsstaterna att fastställa undantag från andra bestämmelser i denna förordning. För att ta hänsyn till yttrandefrihetens betydelse i varje demokratiskt samhälle måste en bred tolkning tillämpas av vad som innefattas i denna frihet så att den omfattar alla verksamheter som syftar till att bland allmänheten sprida information, åsikter eller idéer, oavsett vilket medium som används för att överföra dem, också med beaktande av den tekniska utvecklingen. Kategorin bör inte begränsas till medieföretag, och såväl vinstdrivande verksamhet som verksamhet som drivs utan vinstintresse bör inbegripas.

Ändringsförslag  84

Förslag till förordning

Skäl 122a (nytt)

Kommissionens förslag

Ändringsförslag

 

(122a) Personer som yrkesmässigt behandlar personuppgifter om hälsa bör om möjligt få anonymiserade eller pseudonymiserade uppgifter, så att endast den allmänläkare eller specialistläkare som har begärt uppgiftsbehandlingen känner till den registrerades identitet.

Ändringsförslag  85

Förslag till förordning

Skäl 123

Kommissionens förslag

Ändringsförslag

(123) På folkhälsoområdet kan det bli nödvändigt att med hänsyn till det allmännas intresse behandla personuppgifter som rör hälsa utan att den registrerades samtycke inhämtas. I det sammanhanget bör ”folkhälsan” tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbete, nämligen alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. Behandling av personuppgifter rörande hälsan i det allmännas intresse bör inte innebära att personuppgifter behandlas för andra ändamål av tredje part, exempelvis arbetsgivare, försäkrings- och bankföretag.

(123) På folkhälsoområdet kan det bli nödvändigt att med hänsyn till det allmännas intresse behandla personuppgifter som rör hälsa utan att den registrerades samtycke inhämtas. I det sammanhanget bör ”folkhälsan” tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/20081, nämligen alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker.

 

1 Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet (EUT L 354, 31.12.2008, s. 70).

Ändringsförslag  86

Förslag till förordning

Skäl 123a (nytt)

Kommissionens förslag

Ändringsförslag

 

(123a) Behandling av personuppgifter som rör hälsa, som är en särskild kategori av uppgifter, kan behövas för historiska, statistiska eller vetenskapliga forskningsändamål. Därför föreskrivs i denna förordning ett undantag från kravet på samtycke för forskning som tjänar ett viktigt allmänt intresse.

Ändringsförslag  87

Förslag till förordning

Skäl 124

Kommissionens förslag

Ändringsförslag

(124) De allmänna principerna för skyddet av enskilda vid behandling av personuppgifter bör även vara tillämpliga vid anställningar. För att reglera behandling av arbetstagares personuppgifter inom ramen för ett anställningsförhållande bör medlemsstaterna därför, inom gränserna för denna förordning, lagstiftningsvägen kunna anta särskilda regler för behandling av personuppgifter under anställningar.

(124) De allmänna principerna för skyddet av enskilda vid behandling av personuppgifter bör även vara tillämpliga vid anställningar och när det gäller social trygghet. Medlemsstaterna bör kunna reglera behandling av arbetstagares personuppgifter inom ramen för ett anställningsförhållande och behandling av personuppgifter när det gäller social trygghet i enlighet med bestämmelserna och miniminormerna i denna förordning. Om det i medlemsstaten i fråga finns lagstiftning som reglerar frågor rörande anställningsförhållanden genom avtal mellan arbetstagarnas företrädare och ledningen i företaget eller i det kontrollerande företaget i en företagsgrupp (kollektivavtal) eller enligt Europaparlamentets och rådets direktiv 2009/38/EG1, kan behandlingen av personuppgifter inom ramen för anställningsförhållanden även regleras genom ett sådant avtal.

 

1 Europaparlamentets och rådets direktiv 2009/38/EG av den 6 maj 2009 om inrättande av ett europeiskt företagsråd eller ett förfarande i gemenskapsföretag och grupper av gemenskapsföretag för information till och samråd med arbetstagare (EUT L 122, 16.5.2009, s. 28).

Ändringsförslag  88

Förslag till förordning

Skäl 125a (nytt)

Kommissionens förslag

Ändringsförslag

 

(125a) Personuppgifter kan även behandlas i ett senare skede av arkivtjänster vilkas huvudsakliga uppgift eller lagstadgade skyldighet är att samla in, lagra, tillhandahålla information om, använda och sprida arkivalier i allmänintresset. Medlemsstaternas lagstiftning bör förena rätten till skydd av personuppgifter med arkivbestämmelserna och bestämmelserna om allmänhetens tillgång till administrativ information. Medlemsstaterna bör uppmuntra utarbetande, särskilt från Europeiska arkivgruppens sida, av bestämmelser som garanterar uppgifternas konfidentialitet gentemot tredje parter och uppgifternas autenticitet och integritet samt korrekt bevarande av dem.

Ändringsförslag   89

Förslag till förordning

Skäl 126

Kommissionens förslag

Ändringsförslag

(126) Vetenskaplig forskning bör i denna förordning också omfatta grundforskning, målforskning och privatfinansierad forskning och bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde.

(126) Vetenskaplig forskning bör i denna förordning också omfatta grundforskning, målforskning och privatfinansierad forskning och bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Behandling av personuppgifter för historiska, statistiska eller vetenskapliga forskningsändamål bör inte resultera i att personuppgifter behandlas för andra ändamål, såvida inte den registrerade gett sitt samtycke eller unionslagstiftningen eller en medlemsstats lagstiftning medger detta.

Ändringsförslag  90

Förslag till förordning

Skäl 128

Kommissionens förslag

Ändringsförslag

(128) I enlighet med artikel 17 i EUF-fördraget är denna förordning förenlig med kravet på att respektera och inte påverka den ställning som kyrkor och religiösa sammanslutningar eller samfund har i medlemsstaterna enligt nationell lagstiftning. Om en kyrka i en medlemsstat vid tidpunkten för ikraftträdandet av denna förordning tillämpar övergripande regler rörande skyddet av enskilda vid behandling av personuppgifter bör dessa befintliga regler följaktligen fortsätta att vara tillämpliga under förutsättning att de görs förenliga med bestämmelserna i denna förordning. Kyrkor och religiösa sammanslutningar bör vara förpliktade att bilda en fullständigt oberoende tillsynsmyndighet.

(128) I enlighet med artikel 17 i EUF-fördraget är denna förordning förenlig med kravet på att respektera och inte påverka den ställning som kyrkor och religiösa sammanslutningar eller samfund har i medlemsstaterna enligt nationell lagstiftning. Om en kyrka i en medlemsstat vid tidpunkten för ikraftträdandet av denna förordning tillämpar adekvata regler rörande skyddet av enskilda vid behandling av personuppgifter bör dessa befintliga regler följaktligen fortsätta att vara tillämpliga under förutsättning att de görs förenliga med bestämmelserna i denna förordning och erkänns som förenliga.

Ändringsförslag  91

Förslag till förordning

Skäl 129

Kommissionens förslag

Ändringsförslag

(129) I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra den fria rörligheten för personuppgifter inom unionen bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen. Delegerade akter bör framför allt antas när det gäller följande: behandlingens laglighet, precisering av kriterier och villkor för barns samtycke, behandling av särskilda kategorier av uppgifter, precisering av kriterier och villkor vad gäller uppenbart orimliga krav och avgifter för att den registrerade ska kunna utöva sina rättigheter, kriterier och krav vad gäller information till den registrerade och rätten till tillgång, rätten att bli bortglömd och rätten till radering, profileringsbaserade åtgärder, kriterier och krav vad gäller den registeransvariges ansvar samt inbyggt uppgiftsskydd och uppgiftsskydd som standard, registerförare, kriterier och krav vad gäller dokumentering av och säkerhet vid behandlingen, kriterier och krav vad gäller konstaterandet av personuppgiftsbrott och anmälan av detta till tillsynsmyndigheten, och gällande omständigheterna när ett personuppgiftsbrott sannolikt påverkar den registrerade negativt, kriterier och villkor vad gäller behandling som kräver en konsekvensbedömning av uppgiftsskyddet, kriterier och krav när man avgör om höggradiga särskilda risker föreligger som kräver förhandssamråd, uppgiftsskyddsombudets utnämning och arbetsuppgifter, uppförandekodexar, kriterier och krav vad gäller certifieringsmekanismer, kriterier och krav vad gäller överföringar som sker på grundval av bindande företagsregler, överföringsundantag, administrativa påföljder, behandling för hälso- och sjukvårdsändamål, behandling vid anställningar och behandling för historiska, statistiska och vetenskapliga forskningsändamål. Det är av särskild betydelse att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå. Kommissionen bör, då den förbereder och utarbetar delegerade akter, se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så snabbt som möjligt och på lämpligt sätt.

I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra den fria rörligheten för personuppgifter inom unionen bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen. Delegerade akter bör framför allt antas när det gäller följande: precisering av villkoren för symbolbaserade metoder för tillhandahållande av information, rätten till radering, förklaringar om att uppförandekodexar är förenliga med förordningen, kriterier och krav vad gäller certifieringsmekanismer, adekvat skyddsnivå som garanteras av tredjeländer eller internationella organisationer, kriterier och krav vad gäller överföringar som sker på grundval av bindande företagsbestämmelser, administrativa påföljder, behandling för hälso- och sjukvårdsändamål och behandling vid anställningar. Det är av särskild betydelse att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå, i synnerhet med Europeiska dataskyddsstyrelsen. Kommissionen bör, då den förbereder och utarbetar delegerade akter, se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så snabbt som möjligt och på lämpligt sätt.

Ändringsförslag  92

Förslag till förordning

Skäl 130

Kommissionens förslag

Ändringsförslag

(130) För att säkra enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter för att: specificera standardformulär för behandling av barns personuppgifter, standardförfaranden och formulär för utövandet av den registrerades rättigheter, standardformulär för information till den registrerade, standardformulär och förfaranden för rätten till tillgång, rätten till uppgiftsportabilitet, standardformulär avseende den registeransvariges ansvar för inbyggt uppgiftsskydd och uppgiftsskydd som standard samt dokumentation, särskilda krav på säkerhet vid behandling, standardformat och förfaranden för anmälan av personuppgiftsbrott till tillsynsmyndigheten och meddelanden om personuppgiftsbrott till den registrerade, standarder och förfaranden för konsekvensbedömning avseende uppgiftsskydd, formulär och förfaranden för förhandstillstånd och förhandssamråd, tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland eller ett territorium eller av en behandlande sektor inom detta tredjeland eller en internationell organisation, utlämnande som inte har stöd i unionslagstiftningen, ömsesidigt bistånd, gemensamma insatser och beslut enligt mekanismen för enhetlighet. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag.

(130) För att säkra enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter för att: specificera standardformulär för specifika metoder för att erhålla ett kontrollerbart samtycke när det gäller behandling av barns personuppgifter, standardformulär för kommunikationen med de registrerade med avseende på utövandet av deras rättigheter, standardformulär för information till den registrerade, standardformulär för rätten till tillgång, inklusive för kommunikation av personuppgifterna till den registrerade, standardformulär avseende den dokumentation som den registeransvarige och registerföraren ska föra, standardformuläret för anmälan av personuppgiftsbrott till tillsynsmyndigheten och för dokumentering av personuppgiftsbrott samt formulär för förhandssamråd och förhandsinformation till tillsynsmyndigheten. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/20111. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag.

 

1 Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag.

Ändringsförslag  93

Förslag till förordning

Skäl 131

Kommissionens förslag

Ändringsförslag

(131) Mot bakgrund av att nedanstående rättsakter har allmän räckvidd bör granskningsförfarandet användas vid antagande av följande: specificerande standardformulär för barns samtycke, standardförfaranden och formulär för utövandet av den registrerades rättigheter, standardformulär för information till den registrerade, standardformulär och förfaranden för rätten till tillgång, rätten till uppgiftsportabilitet, standardformulär avseende den registeransvariges ansvar för inbyggt uppgiftsskydd och uppgiftsskydd som standard samt dokumentation, särskilda krav på säkerhet vid behandling, standardformat och förfaranden för anmälan av personuppgiftsbrott till tillsynsmyndigheten och meddelanden om personuppgiftsbrott till den registrerade, standarder och förfaranden för konsekvensbedömning avseende uppgiftsskydd, formulär och förfaranden för förhandstillstånd och förhandssamråd, tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland eller ett territorium eller av en behandlande sektor inom detta tredjeland eller en internationell organisation, utlämnande som inte har stöd i unionslagstiftningen, ömsesidigt bistånd, gemensamma insatser och beslut enligt mekanismen för enhetlighet.

(131) Mot bakgrund av att nedanstående rättsakter har allmän räckvidd bör granskningsförfarandet användas vid antagande av följande: specificerande standardformulär för specifika metoder för att erhålla ett kontrollerbart samtycke när det gäller behandling av barns personuppgifter, standardformulär för kommunikationen med de registrerade med avseende på utövandet av deras rättigheter, standardformulär för information till den registrerade, standardformulär för rätten till tillgång, inklusive för kommunikation av personuppgifterna till den registrerade, standardformulär avseende den dokumentation som den registeransvarige och registerföraren ska föra, standardformuläret för anmälan av personuppgiftsbrott till tillsynsmyndigheten och för dokumentering av personuppgiftsbrott, samt formulär för förhandssamråd och förhandsinformation till tillsynsmyndigheten.

Ändringsförslag  94

Förslag till förordning

Skäl 132

Kommissionens förslag

Ändringsförslag

(132) Kommissionen bör när tvingande skäl till skyndsamhet föreligger i vederbörligen motiverade fall anta omedelbart tillämpliga genomförandeakter avseende ett tredjeland, ett territorium eller en behandlande sektor i ett tredjeland eller en internationell organisation vars skyddsnivå inte är adekvat och som avser frågor som tillsynsmyndigheterna tar upp genom mekanismen för enhetlighet.

utgår

Ändringsförslag   95

Förslag till förordning

Skäl 134

Kommissionens förslag

Ändringsförslag

(134) Direktiv 95/46/EG ska därför ersättas med denna förordning. Kommissionens beslut som antagits och tillsynsmyndigheternas tillstånd på grundval av direktiv 95/46/EC bör dock fortsatt vara giltiga.

(134) Direktiv 95/46/EG bör ersättas med denna förordning. Kommissionens beslut som antagits och tillsynsmyndigheternas tillstånd på grundval av direktiv 95/46/EC bör dock fortsatt vara giltiga. Kommissionens beslut och tillsynsmyndigheternas tillstånd avseende överföringar av personuppgifter till tredjeländer enligt artikel 41.8 bör fortsatt vara i kraft under en övergångsperiod av fem år efter denna förordnings ikraftträdande såvida inte förordningen ändras, ersätts eller upphävs av kommissionen före utgången av nämnda period.

Ändringsförslag  96

Förslag till förordning

Artikel 2

Kommissionens förslag

Ändringsförslag

Materiellt tillämpningsområde

Materiellt tillämpningsområde

1. Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

1. Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg, oavsett behandlingsmetod, samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2. Förordningen ska inte tillämpas på behandling av personuppgifter

2. Förordningen ska inte tillämpas på behandling av personuppgifter

a) som utgör ett led i en verksamhet som inte omfattas av unionslagstiftningen, särskilt avseende nationell säkerhet,

a) som utgör ett led i en verksamhet som inte omfattas av unionslagstiftningen,

b) som utförs av unionens institutioner, organ och byråer,

 

c) som medlemsstaterna utför när de bedriver verksamhet som omfattas av kapitel 2 i fördraget om Europeiska unionen,

c) som medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen,

d) som en fysisk person utför utan vinstintresse som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll,

d) som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll; denna befrielse ska även tillämpas på offentliggörande av personuppgifter om det rimligen kan förväntas att bara ett begränsat antal personer kommer att ha tillgång till dem,

e) som behöriga myndigheter utför i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

e) som behöriga offentliga myndigheter utför i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

3. Förordningen ska inte påverka tillämpningen av direktiv 2000/31/EG, särskilt bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet.

3. Förordningen ska inte påverka tillämpningen av direktiv 2000/31/EG, särskilt bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet.

Ändringsförslag  97

Förslag till förordning

Artikel 3

Kommissionens förslag

Ändringsförslag

Territoriellt tillämpningsområde

Territoriellt tillämpningsområde

1. Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs av en registeransvarig eller registerförare som är etablerad i unionen.

1. Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs av en registeransvarig eller registerförare som är etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte.

2. Förordningen ska tillämpas på behandling av personuppgifter som avser registrerade som är bosatta i unionen och som utförs av en registeransvarig som inte är etablerad i unionen, om behandlingen har anknytning till

2. Förordningen ska tillämpas på behandling av personuppgifter som avser registrerade i unionen och som utförs av en registeransvarig eller en registerförare som inte är etablerad i unionen, om behandlingen har anknytning till

a) utbjudande av varor eller tjänster till sådana registrerade i unionen, eller

a) utbjudande av varor eller tjänster till sådana registrerade i unionen, oavsett om det krävs en betalning av den registrerade eller ej, eller

b) övervakning av deras beteende.

b) övervakning av sådana registrerade.

3. Förordningen ska tillämpas på behandling av personuppgifter som utförs av en registeransvarig som inte är etablerad i unionen, men på en plats där den nationella lagstiftningen i en medlemsstat gäller på grund av folkrätten.

3. Förordningen ska tillämpas på behandling av personuppgifter som utförs av en registeransvarig som inte är etablerad i unionen, men på en plats där den nationella lagstiftningen i en medlemsstat gäller på grund av folkrätten.

Ändringsförslag  98

Förslag till förordning

Artikel 4

Kommissionens förslag

Ändringsförslag

Definitioner

Definitioner

I denna förordning gäller följande definitioner:

I denna förordning gäller följande definitioner:

(1) den registrerade: en fysisk person som är direkt eller indirekt identifierad eller identifierbar, med medel som rimligen kan komma att användas av den registeransvarige eller av någon annan fysisk eller juridisk person, framför allt med hänvisning till ett identifikationsnummer, en lokaliseringsuppgift eller nätidentifierare, eller till en eller fler faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

 

(2) personuppgifter: varje upplysning som avser den registrerade.

(2) personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade); en identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift, en unik identifierare eller till en eller flera faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet eller könsidentitet.

 

(2a) pseudonymiserade uppgifter: personuppgifter som inte kan hänföras till en specifik registrerad utan att kompletterande uppgifter används, så länge dessa hålls separata och är underkastade tekniska och organisatoriska åtgärder för att garantera att inget sådant hänförande är möjligt.

 

(2b) krypterade uppgifter: personuppgifter som via tekniska skyddsåtgärder har gjorts oläsbara för alla personer som inte är behöriga att få tillgång till dem.

(3) behandling: varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, radering eller förstöring.

(3) behandling: varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, radering eller förstöring.

 

(3a) profilering: varje form av automatisk behandling av personuppgifter som syftar till att utvärdera vissa personliga egenskaper hos en fysisk person eller att analysera eller förutsäga i synnerhet vederbörandes arbetsprestationer, ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende.

(4) register: varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

(4) register: varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

(5) registeransvarig: en fysisk eller juridisk person, myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen, villkoren och medlen för behandlingen av personuppgifter; om ändamålen, villkoren och medlen för behandlingen bestäms av unionslagstiftningen eller medlemsstaternas lagstiftning kan den registeransvarige eller de särskilda kriterierna för hur denne ska utses anges i unionslagstiftningen eller i medlemsstaternas lagstiftning.

(5) registeransvarig: en fysisk eller juridisk person, myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionslagstiftningen eller medlemsstaternas lagstiftning kan den registeransvarige eller de särskilda kriterierna för hur denne ska utses anges i unionslagstiftningen eller i medlemsstaternas lagstiftning.

(6) registerförare: en fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar personuppgifter för den registeransvariges räkning.

(6) registerförare: en fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar personuppgifter för den registeransvariges räkning.

(7) mottagare: en fysisk eller juridisk person, myndighet, institution eller annat organ till vilket uppgifterna utlämnas.

(7) mottagare: en fysisk eller juridisk person, myndighet, institution eller annat organ till vilket uppgifterna utlämnas.

 

(7a) tredje part: en fysisk eller juridisk person, myndighet, institution eller annat organ som inte är den registrerade, den registeransvarige, registerföraren eller de personer som under den registeransvariges eller registerförarens direkta ansvar är behöriga att behandla uppgifterna.

(8) den registrerades samtycke: varje slag av frivillig, specifik, informerad och uttrycklig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig affirmativ handling godtar behandling av personuppgifter som rör honom eller henne.

(8) den registrerades samtycke: varje slag av frivillig, specifik, informerad och uttrycklig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig affirmativ handling godtar behandling av personuppgifter som rör honom eller henne.

(9) personuppgiftsbrott: ett säkerhetsbrott som leder till förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

(9) personuppgiftsbrott: förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

(10) genetiska uppgifter: alla uppgifter, oavsett typ, som rör sådana kännetecken för en enskild person som är nedärvda eller har erhållits under tidig prenatal utveckling.

(10) genetiska uppgifter: alla personuppgifter som rör genetiska kännetecken för en enskild person som är nedärvda eller har erhållits och som framgår av en analys av ett biologiskt prov från personen i fråga, framför allt kromosom-, DNA- och RNA-analys eller alla andra former av analyser som gör det möjligt att inhämta motsvarande information.

(11) biometriska uppgifter: alla uppgifter som rör en enskild persons fysiska, fysiologiska eller beteendemässiga kännetecken och som gör det möjligt att identifiera honom eller henne individuellt, såsom ansiktsbilder eller fingeravtrycksuppgifter.

(11) biometriska uppgifter: alla personuppgifter som rör en enskild persons fysiska, fysiologiska eller beteendemässiga kännetecken och som gör det möjligt att identifiera honom eller henne individuellt, såsom ansiktsbilder eller fingeravtrycksuppgifter.

(12) uppgifter om hälsa: alla uppgifter som rör en enskild persons fysiska eller psykiska hälsa eller de hälso- och sjukvårdstjänster som tillhandahållits personen.

(12) uppgifter om hälsa: alla personuppgifter som rör en enskild persons fysiska eller psykiska hälsa eller de hälso- och sjukvårdstjänster som tillhandahållits personen.

(13) huvudsakligt verksamhetsställe: när det gäller den registeransvarige, den plats i unionen där denne är etablerad, där de huvudsakliga besluten om syftena, villkoren och medlen för behandlingen av personuppgifter fattas; om inga beslut om syftena, villkoren och metoderna för behandlingen av personuppgifter fattas i unionen är det huvudsakliga verksamhetsstället den plats där den huvudsakliga behandlingen inom ramen för den verksamhet som bedrivs vid en registeransvarigs verksamhetsställe i unionen äger rum. När det gäller registerföraren avses med huvudsakligt verksamhetsställe den plats i unionen där vederbörande har sin centrala förvaltning.

(13) huvudsakligt verksamhetsställe: den plats i unionen, oavsett om det rör sig om en registeransvarig eller en registerförare, där företaget eller företagsgruppen är etablerad, där de huvudsakliga besluten om syftena, villkoren och medlen för behandlingen av personuppgifter fattas. Bland annat följande objektiva kriterier får beaktas: platsen för den registeransvariges eller registerförarens huvudkontor, platsen för den enhet inom en företagsgrupp som med avseende på ledningsfunktioner och förvaltningsansvar är bäst lämpad att ha hand om och verkställa bestämmelserna i denna förordning samt den plats där den verkliga ledningsverksamhet bedrivs som genom stabila strukturer är avgörande för uppgiftsbehandlingen.

(14) företrädare: en i unionen etablerad fysisk eller juridisk person som den registeransvarige uttryckligen utsett och som tillsynsmyndigheter och instanser inom unionen kan vända sig till i stället för till den registeransvarige i frågor som gäller den registeransvariges skyldigheter enligt denna förordning.

(14) företrädare: en i unionen etablerad fysisk eller juridisk person som den registeransvarige uttryckligen utsett till företrädare för den registeransvarige i frågor som gäller den registeransvariges skyldigheter enligt denna förordning.

(15) företag: en enhet som bedriver ekonomisk verksamhet, oavsett dess juridiska form, vilket således särskilt inbegriper fysiska och juridiska personer, partnerskap eller föreningar som regelbundet bedriver ekonomisk verksamhet.

(15) företag: en enhet som bedriver ekonomisk verksamhet, oavsett dess juridiska form, vilket således särskilt inbegriper fysiska och juridiska personer, partnerskap eller föreningar som regelbundet bedriver ekonomisk verksamhet.

(16) företagsgrupp: ett kontrollerande företag och dess kontrollerade företag.

(16) företagsgrupp: ett kontrollerande företag och dess kontrollerade företag.

(17) bindande företagsbestämmelser: strategier för skydd av personuppgifter som en registeransvarig eller registerförare som är etablerad på en medlemsstats territorium använder sig av vid överföringar eller en uppsättning av överföringar av personuppgifter till en registeransvarig eller registerförare i en eller flera tredjeländer inom en företagsgrupp.

(17) bindande företagsbestämmelser: strategier för skydd av personuppgifter som en registeransvarig eller registerförare som är etablerad på en medlemsstats territorium använder sig av vid överföringar eller en uppsättning av överföringar av personuppgifter till en registeransvarig eller registerförare i en eller flera tredjeländer inom en företagsgrupp.

(18) barn: alla personer som är yngre än arton år.

(18) barn: alla personer som är yngre än arton år.

(19) tillsynsmyndighet: en myndighet som är etablerad av en medlemsstat i enlighet med artikel 46.

(19) tillsynsmyndighet: en myndighet som är etablerad av en medlemsstat i enlighet med artikel 46.

Ändringsförslag  99

Förslag till förordning

Artikel 5

Kommissionens förslag

Ändringsförslag

Principer om behandling av personuppgifter

Principer om behandling av personuppgifter

Vid behandling av personuppgifter ska följande gälla:

Vid behandling av personuppgifter ska följande gälla:

a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning).

c) De ska vara adekvata, relevanta och begränsade till ett strikt minimum när det gäller de syften för vilka de behandlas; de ska bara behandlas om, och så länge som, syftena inte kan uppnås genom att man behandlar information som inte rör personuppgifter.

c) De ska vara adekvata, relevanta och begränsade till ett strikt minimum när det gäller de syften för vilka de behandlas; de ska bara behandlas om, och så länge som, syftena inte kan uppnås genom att man behandlar information som inte rör personuppgifter (uppgiftsminimering).

d) De ska vara riktiga och aktuella; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.

d) De ska vara riktiga och när så är nödvändigt aktuella; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är oriktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet).

e) De ska förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas; personuppgifter får lagras under längre perioder i den mån som uppgifterna endast behandlas för historiska, statistiska eller vetenskapliga forskningsändamål i enlighet med bestämmelserna och villkoren i artikel 83 och om en periodisk översyn genomförs för att bedöma behovet av fortsatt lagring.

e) De ska förvaras i en form som förhindrar direkt eller indirekt identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas; personuppgifter får lagras under längre perioder i den mån som uppgifterna endast behandlas för historiska, statistiska eller vetenskapliga forskningsändamål eller för arkivändamål i enlighet med bestämmelserna och villkoren i artiklarna 83 och 83a och om en periodisk översyn genomförs för att bedöma behovet av fortsatt lagring och lämpliga tekniska och organisatoriska åtgärder införs för att se till att uppgifterna görs tillgängliga endast för dessa ändamål (lagringsminimering).

 

ea) De ska behandlas på ett sätt som ger de registrerade möjlighet att effektivt utöva sina rättigheter (effektivitet).

 

eb) De ska behandlas på ett sätt som medför ett skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse med hjälp av lämpliga tekniska eller organisatoriska åtgärder (integritet).

f) Den registeransvarige ska ansvara för behandlingen av personuppgifterna, och ska se till och visa att bestämmelserna i denna förordning efterlevs vid varje behandling.

f) Den registeransvarige ska ansvara för behandlingen av personuppgifterna, och ska se till och kunna visa att bestämmelserna i denna förordning efterlevs (ansvarsskyldighet).

Ändringsförslag   100

Förslag till förordning

Artikel 6

Kommissionens förslag

Ändringsförslag

När personuppgifter får behandlas

När personuppgifter får behandlas

1. Personuppgifter får behandlas endast om och i den mån som åtminstone ett av följande villkor är uppfyllda:

1. Personuppgifter får behandlas endast om och i den mån som åtminstone ett av följande villkor är uppfyllda:

a) Den registrerade har lämnat sitt samtycke till att vederbörandes personuppgifter behandlas för ett eller flera specifika ändamål.

a) Den registrerade har lämnat sitt samtycke till att vederbörandes personuppgifter behandlas för ett eller flera specifika ändamål.

b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige.

c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige.

d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade,

d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade,

e) Behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige.

e) Behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige.

f) Behandlingen är nödvändig för ändamål som rör den registeransvariges berättigade intressen, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Detta ska inte gälla för behandling som utförs av myndigheter i deras myndighetsutövning.

f) Behandlingen är nödvändig för ändamål som rör den registeransvariges berättigade intressen eller, i fall av utlämnande, de berättigade intressena för den tredje part till vilken uppgifterna lämnats ut och som uppfyller den registrerades rimliga förväntningar baserat på dennes förhållande till den registeransvarige, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd av personuppgifter. Detta ska inte gälla för behandling som utförs av myndigheter i deras myndighetsutövning.

2. Personuppgifter ska få behandlas om detta är nödvändigt för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83.

2. Personuppgifter ska få behandlas om detta är nödvändigt för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83.

3. Den grund för behandlingen som avses i punkt 1 c och e ska föreskrivas i

3. Den grund för behandlingen som avses i punkt 1 c och e ska föreskrivas i

a) unionslagstiftningen, eller

a) unionslagstiftningen, eller

b) lagstiftningen i den medlemsstat vars lagstiftning den registeransvarige lyder under.

b) lagstiftningen i den medlemsstat vars lagstiftning den registeransvarige lyder under.

Lagstiftningen i medlemsstaten måste uppfylla ett mål av allmänt intresse eller vara nödvändig för att skydda andras fri- och rättigheter, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas.

Lagstiftningen i medlemsstaten måste uppfylla ett mål av allmänt intresse eller vara nödvändig för att skydda andras fri- och rättigheter, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas. Inom ramen för bestämmelserna i denna förordning får lagstiftningen i medlemsstaten reglera detaljer som rör behandlingens laglighet, särskilt med avseende på registeransvariga, behandlingsändamål och ändamålsbegränsning, uppgifternas karaktär och de registrerade, behandlingsmetoder och behandlingsförfaranden, mottagare samt lagringstid.

4. När ändamålet med ytterligare behandling inte är förenligt med det ändamål för vilket personuppgifterna har samlats in, måste behandlingen ha en rättslig grund i minst en av de grunder som anges i punkt 1 a–e. Detta ska särskilt gälla eventuella ändringar av förutsättningarna och de allmänna villkoren för ett avtal.

 

5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera de villkor som avses i punkt 1 f för olika sektorer och situationer vid behandlingen av personuppgifter, bland annat när det gäller behandlingen av personuppgifter som rör barn.

 

Ändringsförslag  101

Förslag till förordning

Artikel 7

Kommissionens förslag

Ändringsförslag

Villkor för samtycke

Villkor för samtycke

1. Den registeransvarige ska bära bevisbördan när det gäller den registrerades samtycke till behandlingen av hans eller hennes personuppgifter för bestämda ändamål.

1. Om behandlingen grundar sig på samtycke ska den registeransvarige bära bevisbördan när det gäller den registrerades samtycke till behandlingen av hans eller hennes personuppgifter för bestämda ändamål.

2. Om den registrerades samtycke ska lämnas inom ramen för en skriftlig deklaration som också rör en annan fråga, måste kravet att lämna samtycke läggas fram i en sådan form att det kan särskiljas från denna andra fråga.

2. Om den registrerades samtycke ska lämnas inom ramen för en skriftlig deklaration som också rör en annan fråga, måste kravet att lämna samtycke läggas fram i en sådan form att det kan särskiljas klart och tydligt från denna andra fråga. Bestämmelser om den registrerades samtycke som till viss del strider mot bestämmelserna i denna förordning ska betraktas som helt ogiltiga.

3. De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten hos behandling som grundar sig på samtycke, innan detta återkallas.

3. Utan hinder av andra rättsliga grunder för behandling ska de registrerade ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten hos behandling som grundar sig på samtycke, innan detta återkallas. Det ska vara lika lätt att återkalla sitt samtycke som att ge det. Den registrerade ska informeras av den registeransvarige om återkallande av samtycke kan leda till att de tillhandahållna tjänsterna eller förhållandet till den registeransvarige avslutas.

4. Samtycke ska inte utgöra en rättslig grund för behandlingen, om det föreligger en betydande obalans mellan den registrerades och den registeransvariges ställning.

4. Samtycke ska vara bundet till ändamålet och förlora sin giltighet om ändamålet inte längre föreligger eller så snart behandlingen av personuppgifter inte längre är nödvändig för det ändamål för vilket de ursprungligen samlades in. Verkställandet av ett avtal eller tillhandahållandet av en tjänst får inte villkoras med samtycke till behandling av uppgifter som inte är nödvändig för verkställandet av avtalet eller tillhandahållandet av tjänsten i enlighet med artikel 6.1 b.

Ändringsförslag   102

Förslag till förordning

Artikel 8

Kommissionens förslag

Ändringsförslag

Behandling av barns personuppgifter

Behandling av barns personuppgifter

1. Vid tillämpningen av denna förordning och när det gäller erbjudande av informationssamhällets tjänster direkt till ett barn, ska det endast vara tillåtet att behandla personuppgifter som rör ett barn som är under 13 år om och i den mån som samtycket ges eller godkänns av barnets förälder eller förmyndare. Den registeransvarige ska göra rimliga ansträngningar för att erhålla ett kontrollerbart samtycke, med hänsyn tagen till tillgänglig teknik.

1. Vid tillämpningen av denna förordning och när det gäller erbjudande av varor eller tjänster direkt till ett barn ska det endast vara tillåtet att behandla personuppgifter som rör ett barn som är under 13 år om och i den mån som samtycket ges eller godkänns av barnets förälder eller vårdnadshavare. Den registeransvarige ska göra rimliga ansträngningar för att kontrollera detta samtycke, med hänsyn tagen till tillgänglig teknik och utan att det ger upphov till annars onödig behandling av personuppgifter.

 

1a. Information som tillhandahålls barn, föräldrar och vårdnadshavare för samtyckesändamål, även avseende den registeransvariges insamling och användning av personuppgifter, bör vara klar och tydlig och språkligt anpassad till de avsedda mottagarna.

2. Punkt 1 ska inte påverka den allmänna avtalsrätten i medlemsstaterna, såsom bestämmelser om giltigheten hos eller upprättandet eller effekten av ett avtal som gäller ett barn.

2. Punkt 1 ska inte påverka den allmänna avtalsrätten i medlemsstaterna, såsom bestämmelser om giltigheten hos eller upprättandet eller effekten av ett avtal som gäller ett barn.

3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för metoderna för att erhålla ett sådant kontrollerbart samtycke enligt punkt 1. Kommissionen ska därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag.

3. Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis för metoderna för att kontrollera det samtycke som avses i punkt 1, i överensstämmelse med artikel 66.

4. Kommissionen får fastställa standardformulär för specifika metoder för att erhålla ett sådant kontrollerbart samtycke enligt punkt 1. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

 

Ändringsförslag  103

Förslag till förordning

Artikel 9

Kommissionens förslag

Ändringsförslag

Behandling av särskilda kategorier av personuppgifter

Särskilda kategorier av uppgifter

1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, och behandling av genetiska uppgifter eller uppgifter om hälsa eller sexualliv eller fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder är förbjuden.

1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller livsåskådning, sexuell läggning eller könsidentitet eller medlemskap och verksamhet i fackförening, och behandling av genetiska eller biometriska uppgifter eller uppgifter om hälsa eller sexualliv eller administrativa sanktioner, domar, brott eller misstänkta brott, fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder är förbjuden.

2. Punkt 1 ska inte gälla om något av följande villkor är uppfyllda:

2. Punkt 1 ska inte gälla om något av följande villkor är uppfyllda:

a) Den registrerade har lämnat sitt samtycke till behandlingen av dessa personuppgifter, på de villkor som anges i artiklarna 7 och 8, utom då unionslagstiftningen eller medlemsstaternas lagstiftning föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade.  

a) Den registrerade har lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller fler angivna ändamål, på de villkor som anges i artiklarna 7 och 8, utom då unionslagstiftningen eller medlemsstaternas lagstiftning föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade.

 

aa) Behandlingen är nödvändig för att fullgöra eller verkställa ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

b) Behandlingen är nödvändig för att den registeransvarige ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten, i den omfattning detta är tillåtet enligt unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder.  

b) Behandlingen är nödvändig för att den registeransvarige ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten, i den omfattning detta är tillåtet enligt unionslagstiftningen eller en medlemsstats lagstiftning eller kollektivavtal som föreskriver lämpliga skyddsåtgärder som garanterar den registrerades grundläggande rättigheter och intressen, såsom rätten till icke-diskriminering, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 82.  

c) Behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

c) Behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

d) Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke.

d) Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke.

e) Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

e) Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

f) Behandlingen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.

f) Behandlingen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.

g) Behandlingen är nödvändig för att genomföra en arbetsuppgift som utförs i allmänhetens intresse, på grundval av unionslagstiftningen eller en medlemsstats lagstiftning som ska innehålla bestämmelser om lämpliga åtgärder för att säkerställa den registrerades berättigade intressen.

g) Behandlingen är nödvändig för att genomföra en arbetsuppgift som utförs i ett viktigt allmänt intresse, på grundval av unionslagstiftningen eller en medlemsstats lagstiftning som ska stå i proportion till det eftersträvade syftet, respektera kärnan i rätten till uppgiftsskydd och innehålla bestämmelser om lämpliga åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

h) Behandlingen av uppgifter som rör hälsa är nödvändig för hälsoändamål och omfattas av de villkor och skyddsåtgärder som avses i artikel 81.

h) Behandlingen av uppgifter som rör hälsa är nödvändig för hälsoändamål och omfattas av de villkor och skyddsåtgärder som avses i artikel 81.

i) Behandlingen är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83.

i) Behandlingen är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83.

 

ia) Behandlingen är nödvändig för arkivtjänster med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83a.

j) Behandlingen av uppgifter som rör fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder utförs antingen under kontroll av en officiell myndighet eller behandlingen är nödvändig för att fullgöra en förpliktelse i lagstiftning eller bestämmelser som den registeransvarige omfattas av, eller för att genomföra en arbetsuppgift som utförs för viktiga ändamål av allmänt intresse, i den mån som den bemyndigas av unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder. Ett fullständigt register över brottmålsdomar ska föras endast under kontroll av en myndighet.

j) Behandlingen av uppgifter som rör administrativa sanktioner, domar, brott, fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder utförs antingen under kontroll av en officiell myndighet eller behandlingen är nödvändig för att fullgöra en förpliktelse i lagstiftning eller bestämmelser som den registeransvarige omfattas av, eller för att genomföra en arbetsuppgift som utförs för viktiga ändamål av allmänt intresse, i den mån som den bemyndigas av unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen. Alla register över brottmålsdomar ska föras endast under kontroll av en myndighet.

3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna, villkoren och de lämpliga skyddsåtgärderna för behandlingen av de särskilda kategorier av personuppgifter som avses i punkt 1 och de undantag som fastställs i punkt 2.

3. Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis för behandlingen av de särskilda kategorier av personuppgifter som avses i punkt 1 och de undantag som fastställs i punkt 2, i överensstämmelse med artikel 66.

Ändringsförslag   104

Förslag till förordning

Artikel 10

Kommissionens förslag

Ändringsförslag

Om de uppgifter som behandlas av en registeransvarig inte gör det möjligt för den registeransvarige att identifiera en fysisk person, ska den registeransvarige inte vara tvungen att erhålla ytterligare information för att identifiera den registrerade endast i syfte att iaktta någon av bestämmelserna i denna förordning.

1. Om de uppgifter som behandlas av en registeransvarig inte gör det möjligt för den registeransvarige eller registerföraren att direkt eller indirekt identifiera en fysisk person, eller om det endast rör sig om pseudonymiserade uppgifter, ska den registeransvarige inte behandla eller inhämta ytterligare information för att identifiera den registrerade endast i syfte att iaktta någon av bestämmelserna i denna förordning.

 

2. Om den registeransvarige inte kan iaktta en bestämmelse i denna förordning på grund av punkt 1 ska den registeransvarige inte vara skyldig att iaktta denna specifika bestämmelse i denna förordning. Om den registeransvarige som en följd av detta inte kan tillmötesgå en begäran från den registrerade ska vederbörande informera den registrerade om detta.

Ändringsförslag  105

Förslag till förordning

Artikel 10a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 10a

 

Allmänna principer för registrerade personers rättigheter

 

1. Grunden för uppgiftsskyddet är att den registrerade ska ha tydliga och entydiga rättigheter som ska respekteras av den registeransvarige. Bestämmelserna i denna förordning syftar till att stärka, förtydliga, garantera och vid behov lagfästa dessa rättigheter.

 

2. Dessa rättigheter omfattar bland annat tillhandahållande av tydlig och lättbegriplig information om behandlingen av vederbörandes personuppgifter, rätten till tillgång till och rättelse och radering av vederbörandes uppgifter, rätten att erhålla uppgifter, rätten att invända mot profilering, rätten att lämna in klagomål till den behöriga dataskyddsmyndigheten och att väcka talan samt rätten till ersättning och skadestånd med anledning av otillåten behandling. Sådana rättigheter ska i allmänhet utövas kostnadsfritt. Den registeransvarige ska besvara begäranden från den registrerade inom rimlig tid.

Ändringsförslag  106

Förslag till förordning

Artikel 11

Kommissionens förslag

Ändringsförslag

1. Den registeransvarige ska ha en klar och tydlig och lätt tillgänglig policy för behandlingen av personuppgifter och för utövandet av den registrerades rättigheter.

1. Den registeransvarige ska ha en koncis, klar och tydlig och lätt tillgänglig policy för behandlingen av personuppgifter och för utövandet av den registrerades rättigheter.

2. Den registeransvarige ska tillhandahålla all information och kommunikation som rör behandlingen av personuppgifter till den registrerade i en begriplig form, med användning av klart och tydligt språk, anpassat till den registrerade, i synnerhet för eventuell information särskilt riktad till barn.

2. Den registeransvarige ska tillhandahålla all information och kommunikation som rör behandlingen av personuppgifter till den registrerade i en begriplig form, med användning av klart och tydligt språk, i synnerhet för eventuell information särskilt riktad till barn.

Ändringsförslag  107

Förslag till förordning

Artikel 12

Kommissionens förslag

Ändringsförslag

1. Den registeransvarige ska inrätta förfaranden för att tillhandahålla den information som avses i artikel 14 och för de registrerades utövande av sina rättigheter i enlighet med artikel 13 och artiklarna 15–19. Den registeransvarige ska särskilt skapa rutiner för att underlätta begäran om de åtgärder som avses i artikel 13 och artiklarna 15–19. Om personuppgifter behandlas på automatisk väg ska den registeransvarige också skapa förutsättningar för att begäran ska kunna göras elektroniskt.

1. Om personuppgifter behandlas på automatisk väg ska den registeransvarige om möjligt också skapa förutsättningar för att begäran ska kunna göras elektroniskt.

2. Den registeransvarige ska utan dröjsmål och senast en månad efter att ha mottagit begäran underrätta den registrerade om huruvida åtgärder har vidtagits i enlighet med artikel 13 och artiklarna 15–19 samt tillhandahålla den information som begärts. Denna period får förlängas med ytterligare en månad, om flera registrerade utövar sina rättigheter och deras samarbete i rimlig utsträckning är nödvändigt för att förhindra en onödig och oproportionell ansträngning från den registeransvariges sida. Information ska ges skriftligt. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i elektronisk form, om den registrerade inte begär något annat.

2. Den registeransvarige ska utan onödigt dröjsmål och senast 40 kalenderdagar efter att ha mottagit begäran underrätta den registrerade om huruvida åtgärder har vidtagits i enlighet med artikel 13 och artiklarna 15–19 samt tillhandahålla den information som begärts. Denna period får förlängas med ytterligare en månad, om flera registrerade utövar sina rättigheter och deras samarbete i rimlig utsträckning är nödvändigt för att förhindra en onödig och oproportionell ansträngning från den registeransvariges sida. Information ska ges skriftligt, och om möjligt får den registeransvarige erbjuda fjärråtkomst till ett säkert system där den registrerade får direkt tillgång till sina personuppgifter. Om den registrerade gör begäran i elektronisk form ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade inte begär något annat.

3. Om den registeransvarige vägrar att vidta åtgärder på den registrerades begäran, ska den registeransvarige informera den registrerade om orsaken till vägran och om möjligheterna att lämna in ett klagomål till tillsynsmyndigheten och begära rättslig prövning.

3. Om den registeransvarige inte vidtar åtgärder på den registrerades begäran, ska den registeransvarige informera den registrerade om orsaken till att inga åtgärder vidtas och om möjligheterna att lämna in ett klagomål till tillsynsmyndigheten och begära rättslig prövning.

4. Den information och de åtgärder som vidtas på sådan begäran som avses i punkt 1 ska vara gratis. Om begäran är uppenbart orimlig, särskilt på grund av dess repetitiva karaktär, får den registeransvarige ta ut en avgift för att tillhandahålla den information eller vidta den åtgärd som begärts, och får om denna avgift inte betalas avstå från att vidta åtgärden. I så fall ska det åligga den registeransvarige att visa att begäran är uppenbart orimlig.

4. Den information och de åtgärder som vidtas på sådan begäran som avses i punkt 1 ska vara gratis. Om begäran är uppenbart orimlig, särskilt på grund av dess repetitiva karaktär, får den registeransvarige ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts. I så fall ska det åligga den registeransvarige att visa att begäran är uppenbart orimlig.

5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för en sådan uppenbart orimlig begäran och sådana avgifter som avses i punkt 4.

 

6. Kommissionen får fastställa standardformulär och precisera standardförfaranden för den kommunikation som avses i punkt 2, inbegripet det elektroniska formatet. Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

 

Ändringsförslag   108

Förslag till förordning

Artikel 13

Kommissionens förslag

Ändringsförslag

Rättigheter i fråga om mottagare

Anmälningskrav vid rättelser och raderingar

Den registeransvarige ska underrätta varje mottagare till vilken uppgifterna har lämnats ut om eventuella rättelser eller raderingar som utförts i enlighet med artiklarna 16 och 17, om inte detta visar sig vara omöjligt eller inbegripa en oproportionell ansträngning.

Den registeransvarige ska underrätta varje mottagare till vilken uppgifterna har överförts om eventuella rättelser eller raderingar som utförts i enlighet med artiklarna 16 och 17, om inte detta visar sig vara omöjligt eller inbegripa en oproportionell ansträngning. Den registeransvarige ska informera den registrerade om dessa mottagare på den registrerades begäran.

Ändringsförslag  109

Förslag till förordning

Artikel 13a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 13a

 

Standardiserade informationsstrategier

 

1. Om personuppgifter som rör en registrerad person samlas in ska den registeransvarige ge den registrerade följande upplysningar innan information lämnas enligt artikel 14:

 

a) Huruvida personuppgifter samlas in utöver vad som är strikt nödvändigt för varje specifikt ändamål med behandlingen.

 

b) Huruvida personuppgifter bevaras utöver vad som är strikt nödvändigt för varje specifikt ändamål med behandlingen.

 

c) Huruvida personuppgifter behandlas för andra ändamål än dem för vilka uppgifterna samlades in.

d) Huruvida personuppgifter lämnas ut till kommersiella tredje parter.

 

e) Huruvida personuppgifter säljs eller hyrs ut.

 

f) Huruvida personuppgifter bevaras i krypterad form.

 

2. De upplysningar som avses i punkt 1 ska presenteras i enlighet med bilaga X i anpassad tabellform, med text och symboler, i följande tre kolumner:

 

a) Den första kolumnen ska innehålla grafiska former som symboliserar de enskilda upplysningarna.

 

b) Den andra kolumnen ska innehålla grundläggande uppgifter om de enskilda upplysningarna.

 

c) Den tredje kolumnen ska innehålla grafiska former som anger om en viss upplysning är tillämplig.

 

3. Den information som avses i punkterna 1 och 2 ska presenteras på ett tydligt och lättläst sätt och vara avfattad på ett språk som lätt förstås av konsumenterna i de medlemsstater till vilka den lämnas. Om upplysningarna ges på elektronisk väg ska de vara maskinläsbara.

 

4. Ytterligare upplysningar ska inte ges. Detaljerade förklaringar eller ytterligare kommentarer om de upplysningar som avses i punkt 1 får lämnas tillsammans med den övriga information som ska lämnas i enlighet med artikel 14.

 

5. Kommissionen ska, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen, ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att närmare precisera de upplysningar som avses i punkt 1 och den presentation av dem som avses i punkt 2 och bilaga X.

Ändringsförslag  110

Förslag till förordning

Artikel 14

Kommissionens förslag

Ändringsförslag

Information till den registrerade

Information till den registrerade

1. Om personuppgifter som rör en registrerad person samlas in, ska den registeransvarige till den registrerade åtminstone lämna information om följande:

1. Om personuppgifter som rör en registrerad person samlas in, ska den registeransvarige till den registrerade åtminstone lämna information om följande, efter att ha gett upplysningarna enligt artikel 13a:

a) Identitet och kontaktuppgifter för den registeransvarige och, i förekommande fall, för dennes företrädare samt för uppgiftsskyddsombudet.

a) Identitet och kontaktuppgifter för den registeransvarige och, i förekommande fall, för dennes företrädare samt för uppgiftsskyddsombudet.

b) Ändamålen med den behandling för vilken personuppgifterna är avsedda, inbegripet förutsättningarna och de allmänna villkoren för avtalet när behandlingen grundar sig på artikel 6.1 b och den registeransvariges berättigade intressen när behandlingen grundar sig på artikel 6.1 f.

b) Ändamålen med den behandling för vilken personuppgifterna är avsedda samt information om säkerheten vid behandling av personuppgifter, inbegripet förutsättningarna och de allmänna villkoren för avtalet när behandlingen grundar sig på artikel 6.1 b och, om tillämpligt, hur de förverkligar och uppfyller kraven i artikel 6.1 f.

c) Den period under vilken personuppgifterna kommer att lagras.

c) Den period under vilken personuppgifterna kommer att lagras eller, om det inte är möjligt, de kriterier som används för att fastställa denna period.

d) Förekomsten av rättigheten att av den registeransvarige begära tillgång till och rättelse eller radering av de personuppgifter som rör den registrerade eller att invända mot behandlingen av sådana personuppgifter.

d) Förekomsten av rättigheten att av den registeransvarige begära tillgång till och rättelse eller radering av de personuppgifter som rör den registrerade, att invända mot behandlingen av sådana personuppgifter eller att erhålla uppgifter.

e) Rätten att inge klagomål till tillsynsmyndigheten, samt tillsynsmyndighetens kontaktuppgifter.

e) Rätten att inge klagomål till tillsynsmyndigheten, samt tillsynsmyndighetens kontaktuppgifter.

f) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna.

f) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna.

g) I tillämpliga fall, att den registeransvarige avser att överföra personuppgifterna till ett tredjeland eller en internationell organisation och nivån på det skydd som detta tredjeland eller denna internationella organisation kan erbjuda med hänvisning till ett beslut av kommissionen om adekvat skyddsnivå.

g) I tillämpliga fall, att den registeransvarige avser att överföra uppgifterna till ett tredjeland eller en internationell organisation och att ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas, eller, när det gäller de överföringar som avses i artiklarna 42, 43 eller 44.1 h, att det finns lämpliga skyddsåtgärder och hur en kopia av dem kan erhållas.

 

ga) I tillämpliga fall, information om förekomsten av profilering och av profileringsbaserade åtgärder samt information om de profileringseffekter på den registrerade som kan förutses.

 

gb) Relevant information om logiken i all automatisk behandling.

h) Eventuell ytterligare information som är nödvändig för att tillförsäkra den registrerade en korrekt behandling med hänsyn tagen till de särskilda omständigheter under vilka personuppgifterna samlas in.

h) Eventuell ytterligare information som är nödvändig för att tillförsäkra den registrerade en korrekt behandling med hänsyn tagen till de särskilda omständigheter under vilka personuppgifterna samlas in eller behandlas, i synnerhet förekomsten av vissa inslag och insatser inom ramen för behandlingen vilka en konsekvensbedömning avseende skydd av personuppgifter har visat kan medföra en hög risk.

 

ha) I tillämpliga fall, information om huruvida uppgifter har lämnats till myndigheter under den senaste sammanhängande tolvmånadersperioden.

2. Om personuppgifterna samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om huruvida tillhandahållandet av personuppgifter är obligatoriskt eller frivilligt, samt om de möjliga följderna om sådana uppgifter inte lämnas.

2. Om personuppgifterna samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om huruvida tillhandahållandet av personuppgifter är obligatoriskt eller frivilligt, samt om de möjliga följderna om sådana uppgifter inte lämnas.

 

2a. Vid beslut om ytterligare information som är nödvändig för att behandlingen ska bli korrekt enligt punkt 1 h ska registeransvariga ta hänsyn till all relevant vägledning enligt artikel 38.

3. Om personuppgifterna inte samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om var personuppgifterna har sitt ursprung.

3. Om personuppgifterna inte samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om var de specifika personuppgifterna har sitt ursprung. Om personuppgifterna har sitt ursprung i offentligt tillgängliga källor får detta redovisas i form av en allmän angivelse.

4. Den registeransvarige ska lämna den information som anges i punkterna 1, 2 och 3

4. Den registeransvarige ska lämna den information som anges i punkterna 1, 2 och 3

a) vid den tidpunkt när personuppgifterna erhålls från den registrerade, eller,  

a) vid den tidpunkt när personuppgifterna erhålls från den registrerade eller, om detta inte är möjligt, utan onödigt dröjsmål, eller

 

aa) på begäran av en sådan organisation eller sammanslutning som avses i artikel 73,

b) om personuppgifterna inte samlas in från den registrerade, vid tidpunkten för registreringen eller inom en rimlig period efter insamlingen, med hänsyn tagen till de särskilda omständigheter under vilka uppgifterna samlas in eller på annat sätt behandlas, eller, om det planeras att lämna ut uppgifterna till en annan mottagare, och senast när uppgifterna lämnas ut för första gången.

b) om personuppgifterna inte samlas in från den registrerade, vid tidpunkten för registreringen eller inom en rimlig period efter insamlingen, med hänsyn tagen till de särskilda omständigheter under vilka uppgifterna samlas in eller på annat sätt behandlas, eller, om det planeras att överföra uppgifterna till en annan mottagare, och senast vid tidpunkten för den första överföringen, eller, om uppgifterna ska användas i kommunikation med den registrerade i fråga, senast vid tidpunkten för den första kommunikationen med den registrerade, eller,  

 

ba) endast på begäran om uppgifterna behandlas av ett litet företag eller ett mikroföretag som behandlar uppgifter enbart som en sidoverksamhet.

5. Punkterna 1–4 ska inte tillämpas i följande fall:

5. Punkterna 1–4 ska inte tillämpas i följande fall:

a) Den registrerade har redan den information som anges i punkterna 1, 2 och 3.

a) Den registrerade har redan den information som anges i punkterna 1, 2 och 3.

b) Uppgifterna samlas inte in från den registrerade och tillhandahållandet av sådan information visar sig vara omöjligt eller skulle inbegripa en oproportionell ansträngning.

b) Uppgifterna behandlas för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artiklarna 81 och 83, de samlas inte in från den registrerade, tillhandahållandet av sådan information visar sig vara omöjligt eller skulle inbegripa en oproportionell ansträngning och den registeransvarige har offentliggjort informationen så att den finns allmänt tillgänglig.

c) Uppgifterna samlas inte in från den registrerade och registreringen eller utlämnandet fastställs uttryckligen i lagen.

c) Uppgifterna samlas inte in från den registrerade och erhållandet eller utlämnandet fastställs uttryckligen i den lag som den registeransvarige omfattas av och som föreskriver lämpliga åtgärder för att skydda den registrerades berättigade intressen, med tanke på de risker som behandlingen av uppgifterna utgör och personuppgifternas karaktär.

d) Uppgifterna samlas inte in från den registrerade och tillhandahållandet av sådan information kommer att ha en negativ inverkan på andras fri- och rättigheter, såsom fastställs i unionslagstiftningen eller medlemsstatens lagstiftning i enlighet med artikel 21.

d) Uppgifterna samlas inte in från den registrerade och tillhandahållandet av sådan information kommer att ha en negativ inverkan på andra fysiska personers fri- och rättigheter, såsom fastställs i unionslagstiftningen eller medlemsstatens lagstiftning i enlighet med artikel 21.

 

da) Uppgifterna behandlas av, anförtros åt eller blir kända för en yrkesutövare som omfattas av tystnadsplikt enligt unionens eller en medlemsstats lagstiftning eller av andra lagstadgade sekretessförpliktelser, såvida inte uppgifterna samlas in direkt från den registrerade.

6. I det fall som avses i punkt 5 b ska den registeransvarige vidta lämpliga åtgärder för att skydda den registrerades berättigade intressen.

6. I det fall som avses i punkt 5 b ska den registeransvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter eller berättigade intressen.

7. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna för de kategorier av mottagare som anges i punkt 1 f, de krav på meddelandet om möjlig tillgång som anges i punkt 1 g, kriterierna för den ytterligare nödvändiga information som anges i punkt 1 h för särskilda sektorer och situationer samt villkoren och de lämpliga skyddsåtgärderna vid undantag enligt punkt 5 b. Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag.

 

8. Kommissionen får fastställa standardformulär för tillhandahållandet av den information som anges i punkterna 1–3, med hänsyn till de särskilda kännetecknen för och behoven inom särskilda sektorer och situationer vid behandlingen av personuppgifter när så krävs. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

 

Ändringsförslag  111

Förslag till förordning

Artikel 15

Kommissionens förslag

Ändringsförslag

Den registrerades rätt till tillgång

Den registrerades rätt till tillgång och rätt att erhålla uppgifter

1. Den registrerade ska ha rätt att av den registeransvarige när som helst på begäran få bekräftelse på huruvida personuppgifter som rör den registrerade håller på att behandlas. Om sådana personuppgifter håller på att behandlas ska den registeransvarige tillhandahålla följande information:

1. Med förbehåll för artikel 12.4 ska den registrerade ha rätt att av den registeransvarige när som helst på begäran få bekräftelse på huruvida personuppgifter som rör den registrerade håller på att behandlas samt i klar och lättbegriplig form följande information:

a) Ändamålen med behandlingen.

a) Ändamålen med behandlingen för varje kategori av personuppgifter.

b) De kategorier av personuppgifter som behandlingen gäller.

b) De kategorier av personuppgifter som behandlingen gäller.

c) De mottagare eller kategorier av mottagare till vilka personuppgifterna ska lämnas ut eller har lämnats ut, särskilt mottagare i tredjeländer.

c) De mottagare till vilka personuppgifterna ska lämnas ut eller har lämnats ut, inklusive mottagare i tredjeländer.

d) Den period under vilken personuppgifterna kommer att lagras.

d) Den period under vilken personuppgifterna kommer att lagras eller, om det inte är möjligt, de kriterier som används för att fastställa denna period.

e) Förekomsten av rättigheten att av den registeransvarige begära rättelse eller radering av personuppgifter som rör den registrerade eller att invända mot behandlingen av sådana personuppgifter.

e) Förekomsten av rättigheten att av den registeransvarige begära rättelse eller radering av personuppgifter som rör den registrerade eller att invända mot behandlingen av sådana personuppgifter.

f) Rätten att inge klagomål till tillsynsmyndigheten, samt tillsynsmyndighetens kontaktuppgifter.

f) Rätten att inge klagomål till tillsynsmyndigheten, samt tillsynsmyndighetens kontaktuppgifter.

g) Information om vilka personuppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer.

 

h) Betydelsen och de förutsedda följderna av sådan behandling, åtminstone när det rör sig om de åtgärder som anges i artikel 20.

h) Betydelsen och de förutsedda följderna av sådan behandling.

 

ha) Relevant information om logiken i all automatisk behandling.

 

hb) Utan att det påverkar tillämpningen av artikel 21, i fall av utlämnande av personuppgifter till en myndighet på en myndighets begäran, bekräftelse av att en sådan begäran gjorts.

2. Den registrerade ska ha rätt att av den registeransvarige erhålla information om de personuppgifter som håller på att behandlas. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i elektronisk form, om den registrerade inte begär något annat.

2. Den registrerade ska ha rätt att av den registeransvarige erhålla information om de personuppgifter som håller på att behandlas. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt och strukturerat format, om den registrerade inte begär något annat. Utan att det påverkar tillämpningen av artikel 10 ska den registeransvarige vidta alla rimliga åtgärder för att kontrollera att den person som begär tillgång till uppgifterna är den registrerade.

 

2a. Om den registrerade har lämnat personuppgifterna och de behandlas på elektronisk väg ska den registrerade ha rätt att av den registeransvarige erhålla en kopia av de lämndade personuppgifterna i ett elektroniskt och interoperabelt format som är allmänt använt och som den registrerade kan fortsätta att använda, utan att hindras av den registeransvarige från vilken personuppgifterna hämtas. Om det är tekniskt möjligt och om en sådan lösning finns att tillgå ska uppgifterna överföras direkt från registeransvarig till registeransvarig på begäran av den registrerade.

 

2b. Denna artikel ska inte påverka skyldigheten att radera uppgifter när de inte längre är nödvändiga enligt artikel 5 e.

 

2c. Rätt till tillgång enligt punkterna 1 och 2 får inte medges för uppgifter i den mening som avses i artikel 14.5 da, förutom om den registrerade har rätt att häva den aktuella sekretessen och gör detta.

3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den information till den registrerade om innehållet i personuppgifter som avses i punkt 1 g.

 

4. Kommissionen får specificera standardformulär och förfaranden för att begära och bevilja tillgång till den information som avses i punkt 1, inbegripet för kontroll av den registrerades identitet och kommunikation av personuppgifterna till den registrerade, med hänsyn till de särskilda egenskaperna och behoven inom olika sektorer och situationer vid behandlingen av personuppgifter. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

 

Ändringsförslag  112

Förslag till förordning

Artikel 17

Kommissionens förslag

Ändringsförslag

Rätt att bli bortglömd och till radering

Rätt till radering

1. Den registrerade ska ha rätt att av den registeransvarige utverka att personuppgifter som rör vederbörande raderas och att man avstår från ytterligare spridning av sådana uppgifter, särskilt när det gäller personuppgifter som gjordes tillgängliga av den registrerade när vederbörande var barn, och där en av följande grunder är tillämpliga:

1. Den registrerade ska ha rätt att av den registeransvarige och registerföraren utverka att personuppgifter som rör vederbörande raderas och att man avstår från ytterligare spridning av sådana uppgifter, och att av tredje parter utverka att eventuella länkar till eller kopior eller reproduktioner av uppgifterna raderas, om en av följande grunder är tillämpliga:

a) Uppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

a) Uppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

b) Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a, eller om en lagringsperiod för vilken samtycke har lämnats har löpt ut, och om det inte finns någon annan rättslig grund för behandlingen av uppgifterna.

b) Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a, eller om en lagringsperiod för vilken samtycke har lämnats har löpt ut, och om det inte finns någon annan rättslig grund för behandlingen av uppgifterna.

c) Den registrerade invänder mot behandlingen av personuppgifter enligt artikel 19.

c) Den registrerade invänder mot behandlingen av personuppgifter enligt artikel 19.

 

ca) De berörda uppgifterna ska raderas enligt ett lagakraftvunnet avgörande från en domstol eller en regleringsmyndighet i unionen.

d) Behandlingen av uppgifterna uppfyller inte villkoren i denna förordning av andra skäl.

d) Uppgifterna har behandlats på ett otillåtet sätt.

 

1a. Tillämpningen av punkt 1 ska vara beroende av förmågan hos den registeransvarige att kontrollera att den person som begär raderingen är den registrerade.

2. Om den registeransvarige som avses i punkt 1 har offentliggjort personuppgifterna ska vederbörande vidta alla rimliga åtgärder, inbegripet tekniska åtgärder, avseende uppgifter för vars offentliggörande den registeransvarige är ansvarig, för att underrätta tredje parter som håller på att behandla sådana uppgifter om att en registrerad begär att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter. Om den registeransvarige har gett en tredje part befogenhet att offentliggöra personuppgifter ska den registeransvarige anses vara ansvarig för detta offentliggörande.

2. Om den registeransvarige som avses i punkt 1 har offentliggjort personuppgifterna utan en motivering enligt artikel 6.1 ska vederbörande vidta alla rimliga åtgärder för att få uppgifterna raderade, även genom en tredje parts försorg, utan att det påverkar tillämpningen av artikel 77. Den registeransvarige ska om möjligt informera den registrerade om den åtgärd som vidtagits av tredje parten i fråga.

3. Den registeransvarige ska genomföra raderingen utan dröjsmål, utom i den utsträckning som det är nödvändigt att bevara personuppgifterna av följande skäl:

3. Den registeransvarige och i tillämpliga fall den tredje parten ska genomföra raderingen utan dröjsmål, utom i den utsträckning som det är nödvändigt att bevara personuppgifterna av följande skäl:

a) För att utöva rätten till yttrandefrihet enligt artikel 80.

a) För att utöva rätten till yttrandefrihet enligt artikel 80.

b) Av viktiga skäl av allmänt intresse på folkhälsoområdet enligt artikel 81.

b) Av viktiga skäl av allmänt intresse på folkhälsoområdet enligt artikel 81.

c) För historiska, statistiska eller vetenskapliga forskningsändamål enligt artikel 83.

c) För historiska, statistiska eller vetenskapliga forskningsändamål enligt artikel 83.

d) För att iaktta en rättslig förpliktelse att bevara personuppgifter enligt unionslagstiftningen eller enligt en medlemsstats lagstiftning som den registeransvarige lyder under; medlemsstaternas lagstiftning ska uppfylla ett mål av allmänt intresse, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas.

d) För att iaktta en rättslig förpliktelse att bevara personuppgifter enligt unionslagstiftningen eller enligt en medlemsstats lagstiftning som den registeransvarige lyder under; medlemsstaternas lagstiftning ska uppfylla ett mål av allmänt intresse, respektera rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas.

e) I de fall som avses i punkt 4.

e) I de fall som avses i punkt 4.

4. Istället för radering ska den registeransvarige begränsa behandlingen av personuppgifter om

4. I stället för radering ska den registeransvarige begränsa behandlingen av personuppgifter på ett sådant sätt att uppgifterna inte omfattas av de normala förfarandena för tillgång och behandling och inte längre kan ändras om

a) den registrerade bestrider deras korrekthet, under en tid som ger den registeransvarige möjlighet att kontrollera om personuppgifterna är korrekta,

a) den registrerade bestrider deras korrekthet, under en tid som ger den registeransvarige möjlighet att kontrollera om personuppgifterna är korrekta,

b) den registeransvarige inte längre behöver personuppgifterna för att fullgöra sin arbetsuppgift men de måste bevaras för bevisändamål,

b) den registeransvarige inte längre behöver personuppgifterna för att fullgöra sin arbetsuppgift men de måste bevaras för bevisändamål,

c) behandlingen är olaglig och den registrerade motsätter sig att de raderas och i stället begär en begränsning av deras användning,

c) behandlingen är olaglig och den registrerade motsätter sig att de raderas och i stället begär en begränsning av deras användning,

 

ca) behandlingen av de berörda uppgifterna ska begränsas enligt ett lagakraftvunnet avgörande från en domstol eller en regleringsmyndighet i unionen,

d) den registrerade begär att personuppgifterna ska överföras till ett annat system för automatisk behandling enligt artikel 18.2.

d) den registrerade begär att personuppgifterna ska överföras till ett annat system för automatisk behandling enligt artikel 15.2a,

 

da) den specifika typen av lagringsteknik inte medger radering och installerades före denna förordnings ikraftträdande.

5. Sådana personuppgifter som avses i punkt 4 får, med undantag för lagring, endast behandlas för bevisändamål, eller med den registrerades samtycke, eller för att skydda en annan fysisk eller juridisk persons rättigheter, eller för ett mål av allmänt intresse.

5. Sådana personuppgifter som avses i punkt 4 får, med undantag för lagring, endast behandlas för bevisändamål, eller med den registrerades samtycke, eller för att skydda en annan fysisk eller juridisk persons rättigheter, eller för ett mål av allmänt intresse.

6. Om behandlingen av personuppgifter är begränsad enligt punkt 4 ska den registeransvarige underrätta den registrerade innan vederbörande häver begränsningen på behandlingen.

6. Om behandlingen av personuppgifter är begränsad enligt punkt 4 ska den registeransvarige underrätta den registrerade innan vederbörande häver begränsningen på behandlingen.

7. Den registeransvarige ska införa rutiner för att se till att de tidsgränser som införts för raderingen av personuppgifter och/eller för en periodisk översyn av behovet att lagra uppgifter iakttas.

 

8. Om raderingen genomförs ska den registeransvarige inte på annat sätt behandla sådana personuppgifter.

8. Om raderingen genomförs ska den registeransvarige inte på annat sätt behandla sådana personuppgifter.

 

8a. Den registeransvarige ska införa rutiner för att se till att de tidsgränser som införts för raderingen av personuppgifter och/eller för en periodisk översyn av behovet att lagra uppgifter iakttas.

9. Kommissionen ska ha befogenhet att anta delegerade akter i enlighet med artikel 86 i syfte att närmare precisera

9. Kommissionen ska, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen, ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att närmare precisera

a) kriterierna och kraven för tillämpningen av punkt 1 i fråga om särskilda sektorer och i särskilda situationer vid behandlingen av personuppgifter,

a) kriterierna och kraven för tillämpningen av punkt 1 i fråga om särskilda sektorer och i särskilda situationer vid behandlingen av personuppgifter,

b) de villkor för att stryka länkar, kopior eller reproduktioner av personuppgifter från allmänt tillgängliga kommunikationstjänster enligt punkt 2,

b) de villkor för att stryka länkar, kopior eller reproduktioner av personuppgifter från allmänt tillgängliga kommunikationstjänster enligt punkt 2,

c) de kriterier och villkor för att begränsa behandlingen av personuppgifter som anges i punkt 4.

c) de kriterier och villkor för att begränsa behandlingen av personuppgifter som anges i punkt 4.

Ändringsförslag  113

Förslag till förordning

Artikel 18

Kommissionens förslag

Ändringsförslag

Rätt till uppgiftsportabilitet

utgår

1. Om personuppgifter behandlas på elektronisk väg och i ett strukturerat och allmänt använt format, ska den registrerade ha rätt att av den registeransvarige erhålla en kopia av de uppgifter som håller på att behandlas i ett elektroniskt och strukturerat format som är allmänt använt och som den registrerade kan fortsätta att använda.

 

2. Om den registrerade har tillhandahållit personuppgifterna och behandlingen grundar sig på samtycke eller ett avtal, ska den registrerade ha rätt att överföra dessa personuppgifter och eventuell övrig information som tillhandahållits av den registrerade och bevarats i ett system för automatisk behandling, till ett annat system, i ett elektroniskt format som är allmänt använt, utan att hindras av den registeransvarige från vilken personuppgifterna återkallas.

 

3. Kommissionen får specificera det elektroniska format som avses i punkt 1 samt de tekniska standarderna, villkoren och förfarandena för överföringen av personuppgifter enligt punkt 2. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

 

Ändringsförslag  114

Förslag till förordning

Artikel 19

Kommissionens förslag

Ändringsförslag

Rätt att göra invändningar

Rätt att göra invändningar

1. Den registrerade ska, av skäl som hänför sig till vederbörandes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter som grundar sig på artikel 6.1 d, e och f, om inte den registeransvarige visar på avgörande och berättigade skäl för behandlingen som väger tyngre än den registrerades intressen eller grundläggande fri- och rättigheter.

1. Den registrerade ska ha rätt att när som helst göra invändningar mot behandling av personuppgifter som grundar sig på artikel 6.1 d och e, om inte den registeransvarige visar på avgörande och berättigade skäl för behandlingen som väger tyngre än den registrerades intressen eller grundläggande fri- och rättigheter.

2. Om personuppgifterna behandlas för direkt marknadsföring, ska den registrerade ha rätt att kostnadsfritt invända mot behandlingen av sina personuppgifter för sådan marknadsföring. Denna rätt ska uttryckligen erbjudas den registrerade på ett begripligt sätt och ska vara tydligt åtskiljbar från övrig information.

2. Om behandlingen av personuppgifter grundar sig på artikel 6.1 f ska den registrerade ha rätt att när som helst och utan ytterligare motivering – i allmänhet eller av något specifikt skäl – kostnadsfritt invända mot behandlingen av sina personuppgifter.

 

2a. Den rätt som avses i punkt 2 ska uttryckligen erbjudas den registrerade på ett begripligt sätt och i begriplig form med användning av ett klart och enkelt språk, i synnerhet om erbjudandet riktas specifikt till ett barn, och ska vara tydligt åtskiljbar från övrig information.

 

2b. När det gäller användning av informationssamhällets tjänster, och utan hinder av vad som sägs i direktiv 2002/58/EG, får rätten att göra invändningar utövas på automatisk väg med användning av en teknisk standard som gör det möjligt för den registrerade att tydligt uttrycka sin vilja.

3. Om en invändning godtas enligt punkt 1 och 2, ska den registeransvarige inte längre använda eller på annat sätt behandla de berörda personuppgifterna.

3. Om en invändning godtas enligt punkt 1 och 2, ska den registeransvarige inte längre använda eller på annat sätt behandla de berörda personuppgifterna för de ändamål som anges i invändningen.

(Den sista meningen i punkt 2 i kommissionens text har blivit punkt 2a i parlamentets ändringsförslag.)

Ändringsförslag  115

Förslag till förordning

Artikel 20

Kommissionens förslag

Ändringsförslag

Åtgärder på grundval av profilering

Profilering

1. Varje fysisk person ska ha rätt att inte omfattas av en åtgärd som har rättsliga följder för vederbörande eller märkbart påverkar vederbörande, och som enbart grundas på automatisk behandling som är avsedd att bedöma vissa personliga egenskaper hos vederbörande eller att analysera eller förutsäga i synnerhet vederbörandes arbetsprestationer, ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende.

1. Utan att det påverkar tillämpningen av bestämmelserna i artikel 6 ska varje fysisk person ha rätt att göra invändningar mot profilering i enlighet med artikel 19. Den registrerade ska informeras om rätten att göra invändningar mot profilering på ett mycket tydligt sätt.

2. Om inte annat följer av övriga bestämmelser i denna förordning får en person omfattas av en åtgärd av den typ som avses i punkt 1 endast om behandlingen

2. Om inte annat följer av övriga bestämmelser i denna förordning får en person omfattas av profilering som leder till åtgärder som har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar den berörda registrerades intressen, rättigheter eller friheter endast om behandlingen

a) utförs som ett led i ingåendet eller fullgörandet av ett avtal, om den registrerades begäran om ingående eller fullgörande av avtalet har bifallits eller om lämpliga åtgärder för att skydda den registrerades berättigade intressen, exempelvis rätten att få till stånd mänsklig medverkan, har vidtagits, eller  

a) är nödvändig för ingåendet eller fullgörandet av ett avtal, om den registrerades begäran om ingående eller fullgörande av avtalet har bifallits, under förutsättning att lämpliga åtgärder för att skydda den registrerades berättigade intressen, exempelvis rätten att få till stånd mänsklig medverkan, har vidtagits, eller  

b) uttryckligen tillåts enligt unionslagstiftningen eller en medlemsstats lagstiftning där det också fastställs lämpliga åtgärder till skydd för den registrerades berättigade intressen, eller

b) uttryckligen tillåts enligt unionslagstiftningen eller en medlemsstats lagstiftning där det också fastställs lämpliga åtgärder till skydd för den registrerades berättigade intressen, eller

c) grundar sig på den registrerades samtycke, på de villkor som fastställs i artikel 7 och under förutsättning att lämpliga skyddsåtgärder har införts.

c) grundar sig på den registrerades samtycke, på de villkor som fastställs i artikel 7 och under förutsättning att lämpliga skyddsåtgärder har införts.

3. Automatisk behandling av personuppgifter i syfte att bedöma vissa personliga aspekter hos en fysisk person får inte enbart grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9.

3. Profilering som medför diskriminering av enskilda personer på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, sexuell läggning eller könsidentitet, eller som leder till åtgärder med denna verkan, ska vara förbjuden. Den registeransvarige ska vidta effektiva skyddsåtgärder mot eventuell diskriminering till följd av profilering. Profilering får inte enbart grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9.

4. I de fall som anges i punkt 2 ska den information som ska lämnas av den registeransvarige enligt artikel 14 inbegripa information om förekomsten av behandling för en åtgärd av den typ som anges i punkt 1 och de förutsedda effekterna av sådan behandling på den registrerade.

 

5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för sådana lämpliga åtgärder för att skydda den registrerades berättigade intressen som avses i punkt 2.

5. Profilering som leder till åtgärder som har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar den berörda registrerades intressen, rättigheter eller friheter får inte grundas enbart eller till största delen på automatisk behandling, och den ska inbegripa personlig bedömning, inklusive en förklaring av det beslut som fattats efter en sådan bedömning. De lämpliga åtgärder för att skydda den registrerades berättigade intressen som avses i punkt 2 ska inbegripa rätten till personlig bedömning och en förklaring av det beslut som fattats efter en sådan bedömning.

 

5a. Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med artikel 66.1 b för att närmare precisera kriterierna och villkoren för profilering enligt punkt 2.

Ändringsförslag  116

Förslag till förordning

Artikel 21

Kommissionens förslag

Ändringsförslag

Begränsningar

Begränsningar

1. Det ska vara möjligt att i unionslagstiftningen eller medlemsstaternas lagstiftning införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 5 a–e, artiklarna 11–20 och artikel 32, om en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att garantera

1. Det ska vara möjligt att i unionslagstiftningen eller medlemsstaternas lagstiftning införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 11–19 och artikel 32, om en sådan begränsning uppfyller ett tydligt definierat mål av allmänt intresse, respekterar det väsentliga innehållet i rätten till skydd av personuppgifter, står i proportion till det berättigade mål som eftersträvas samt respekterar den registrerades grundläggande rättigheter och intressen och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att garantera

a) den allmänna säkerheten,

a) den allmänna säkerheten,

b) förebyggande, utredning, avslöjande och lagföring av brott,

b) förebyggande, utredning, avslöjande och lagföring av brott,

c) andra av unionens eller en medlemsstats allmänna intressen, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor och skydd av marknadens stabilitet och integritet,

c) skattefrågor,

d) förebyggande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken,

d) förebyggande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken,

e) en tillsyns-, inspektions- eller regleringsfunktion som, även om den är av övergående karaktär, är förbunden med myndighetsutövning i de i led a, b, c och d nämnda fallen,

e) en tillsyns-, inspektions- eller regleringsfunktion inom ramen för behörig myndighetsutövning i de i leden a, b, c och d avsedda fallen,

f) skydd av den registrerade eller andras fri- och rättigheter.

f) skydd av den registrerade eller andras fri- och rättigheter.

2. I synnerhet ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla särskilda bestämmelser åtminstone avseende målen för behandlingen och fastställandet av den registeransvarige.

2. I synnerhet ska alla lagstiftningsåtgärder som avses i punkt 1 vara nödvändiga och proportionella i ett demokratiskt samhälle och innehålla särskilda bestämmelser åtminstone avseende

 

a) målen för behandlingen,

 

b) fastställandet av den registeransvarige,

 

c) de specifika ändamålen med och metoderna för behandlingen,

 

d) garantierna för att förhindra missbruk och otillåten tillgång eller överföring,

 

e) de registrerades rätt att bli informerade om begränsningen.

 

2a. De lagstiftningsåtgärder som avses i punkt 1 ska varken tillåta eller ålägga privata registeransvariga att bevara andra uppgifter än sådana uppgifter som är strikt nödvändiga för det ursprungliga ändamålet.

(De avslutande orden i punkt 2 i kommissionens förslag har blivit leden a och b i parlamentets ändringsförslag.)

Ändringsförslag  117

Förslag till förordning

Artikel 22

Kommissionens förslag

Ändringsförslag

Den registeransvariges ansvar

Den registeransvariges ansvar och ansvarsskyldighet

1. Den registeransvarige ska anta policyer och genomföra lämpliga åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med denna förordning.

1. Den registeransvarige ska anta lämpliga policyer och genomföra lämpliga och påvisbara tekniska och organisatoriska åtgärder för att säkerställa och kunna visa klart och tydligt att behandlingen av personuppgifter utförs i enlighet med denna förordning, med beaktande av dagens tillgängliga teknik, typen av personuppgiftsbehandling, sammanhanget för, omfattningen på och ändamålen med behandlingen, riskerna för de registrerades rättigheter och friheter samt typen av organisation, både vid tidpunkten för fastställandet av behandlingsmetoden och vid tidpunkten för själva behandlingen.

 

1a. Med beaktande av dagens tillgängliga teknik och genomförandekostnaden ska den registeransvarige vidta alla rimliga åtgärder för att genomföra policyer och rutiner för efterlevnad vilka utan undantag respekterar de registrerades autonoma val. Dessa policyer för efterlevnad ska ses över minst vartannat år och uppdateras vid behov.

2. De åtgärder som nämns i punkt 1 ska särskilt avse att

 

a) förvara dokumentationen enligt artikel 28,

 

b) genomföra de krav på datasäkerhet som fastställs i artikel 30,

 

c) genomföra en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33,

 

d) uppfylla kraven på förhandstillstånd eller förhandssamråd med tillsynsmyndigheten enligt artikel 34.1 och 34.2,

 

e) utse en datatillsynsman enligt artikel 35.1.

 

3. Den registeransvarige ska införa rutiner för att säkerställa kontrollen av att de åtgärder som anges i punkterna 1 och 2 är verkningsfulla. Om det är proportionellt, ska denna kontroll utföras av oberoende interna eller externa granskare.

3. Den registeransvarige ska kunna visa att de åtgärder som anges i punkterna 1 och 2 är adekvata och verkningsfulla. Eventuella regelbundna allmänna rapporter om den registeransvariges verksamhet, såsom de obligatoriska rapporterna från noterade företag, ska innehålla en sammanfattande beskrivning av de policyer och åtgärder som avses i punkt 1.

 

3a. Den registeransvarige ska ha rätt att överföra personuppgifter i unionen inom den företagsgrupp som den registeransvarige är en del av, om sådan behandling är nödvändig för berättigade interna administrativa ändamål mellan sammankopplade affärsområden för företagsgruppen och om en adekvat skyddsnivå för personuppgifter samt respekt för de registrerades intressen garanteras genom interna uppgiftsskyddsbestämmelser eller motsvarande uppförandekodexar i enlighet med artikel 38.

4. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att precisera eventuella ytterligare kriterier och krav för de lämpliga åtgärder som avses i punkt 1 utöver dem som redan angetts i punkt 2, villkoren för de kontroll- och granskningsrutiner som avses i punkt 3 och när det gäller kriterierna för proportionalitet enligt punkt 3, samt med hänsyn till särskilda åtgärder för mikroföretag och små och medelstora företag.

 

Ändringsförslag  118

Förslag till förordning

Artikel 23

Kommissionens förslag

Ändringsförslag

Inbyggt uppgiftsskydd och uppgiftsskydd som standard

Inbyggt uppgiftsskydd och uppgiftsskydd som standard

1. Med beaktande av dagens tillgängliga teknik och genomförandekostnaden ska den registeransvarige, både vid tidpunkten för fastställandet av behandlingsmetoden och vid tidpunkten för själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter.

1. Med beaktande av dagens tillgängliga teknik, aktuell teknisk kunskap, internationell bästa praxis och de risker som uppgiftsbehandling medför ska den registeransvarige och i förekommande fall registerföraren, både vid tidpunkten för fastställandet av ändamålen med behandlingen och behandlingsmetoden och vid tidpunkten för själva behandlingen, genomföra lämpliga och proportionella tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter, särskilt med hänsyn till de principer som fastställs i artikel 5. Vid inbyggt uppgiftsskydd ska hela livscykelhanteringen av personuppgifter beaktas, från insamling och behandling till radering, med systematisk inriktning på omfattande rättssäkerhetsgarantier för korrekthet, konfidentialitet, integritet, fysisk säkerhet och radering av personuppgifter. Om den registeransvarige har utfört en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33 ska resultaten av bedömningen beaktas i utarbetandet av dessa åtgärder och förfaranden.

 

1a. I syfte att främja en utbredd användning inom olika ekonomiska sektorer ska inbyggt uppgiftsskydd vara en förutsättning för offentliga upphandlingar i enlighet med Europaparlamentets och rådets direktiv 2004/18/EG1 och Europaparlamentets och rådets direktiv 2004/17/EG2 (försörjningsdirektivet).

2. Den registeransvarige ska införa rutiner för att se till att, i standardfallet, endast de personuppgifter behandlas som är nödvändiga för varje specifikt ändamål med behandlingen, och särskilt att de inte samlas in eller bevaras utöver vad som är strikt nödvändigt för dessa ändamål, både i fråga om antalet uppgifter och tidpunkten för deras lagring. Dessa rutiner ska i synnerhet säkerställa att personuppgifter i standardfallet inte görs tillgängliga till ett obegränsat antal enskilda.

2. Den registeransvarige ska se till att, i standardfallet, endast de personuppgifter behandlas som är nödvändiga för varje specifikt ändamål med behandlingen, och särskilt att de inte samlas in, bevaras eller lämnas ut utöver vad som är strikt nödvändigt för dessa ändamål, i fråga om både antalet uppgifter och tidpunkten för deras lagring. Dessa rutiner ska i synnerhet säkerställa att personuppgifter i standardfallet inte görs tillgängliga för ett obegränsat antal enskilda och att de registrerade kan kontrollera spridningen av sina personuppgifter.

3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 för att precisera eventuella ytterligare kriterier och krav för sådana lämpliga åtgärder och rutiner som avses i punkt 1 och 2, särskilt när det gäller krav på inbyggt uppgiftsskydd som är tillämpliga över sektorer, produkter och tjänster.

 

4. Kommissionen får fastställa tekniska standarder för de krav som fastställs i punkterna 1 och 2. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

 

 

1 Europaparlamentets och Rådets direktiv 2004/18/EG av den 31 mars 2004 om samordning av förfarandena vid offentlig upphandling av byggentreprenader, varor och tjänster (EUT L 134, 30.4.2004, s. 114).

2 Europaparlamentets och Rådets direktiv 2004/17/EG av den 31 mars 2004 om samordning av förfarandena vid upphandling på områdena vatten, energi, transporter och posttjänster (EUT L 134, 30.4.2004, s. 1).

Ändringsförslag  119

Förslag till förordning

Artikel 24

Kommissionens förslag

Ändringsförslag

Gemensamma registeransvariga

Gemensamma registeransvariga

Om en registeransvarig fastställer ändamålen, villkoren och medlen för behandlingen av personuppgifter tillsammans med andra ska de gemensamma registeransvariga fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt avseende förfarandena och rutinerna för den registrerades utövande av sina rättigheter, genom ett arrangemang som de enas om sinsemellan.

Om flera registeransvariga gemensamt fastställer ändamålen och medlen för behandlingen av personuppgifter ska de gemensamma registeransvariga fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt avseende förfarandena och rutinerna för den registrerades utövande av sina rättigheter, genom ett arrangemang som de enas om sinsemellan. Arrangemanget ska vederbörligen återspegla de gemensamma registeransvarigas respektive roller och förhållanden gentemot registrerade, och det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade. I fall av oklar ansvarsfördelning ska var och en av de registeransvariga vara solidariskt ansvariga.

Ändringsförslag  120

Förslag till förordning

Artikel 25

Kommissionens förslag

Ändringsförslag

Företrädare för registeransvariga som inte är etablerade i unionen

Företrädare för registeransvariga som inte är etablerade i unionen

1. I den situation som avses i artikel 3.2 ska den registeransvarige utse en företrädare i unionen.

1. I den situation som avses i artikel 3.2 ska den registeransvarige utse en företrädare i unionen.

2. Denna skyldighet ska inte gälla

2. Denna skyldighet ska inte gälla

a) en registeransvarig som är etablerad i ett tredjeland om kommissionen har beslutat att tredjelandet garanterar en adekvat skyddsnivå i enlighet med artikel 41, eller

a) en registeransvarig som är etablerad i ett tredjeland om kommissionen har beslutat att tredjelandet garanterar en adekvat skyddsnivå i enlighet med artikel 41, eller

b) ett företag med färre än 250 anställda, eller

b) en registeransvarig som behandlar uppgifter som gäller färre än 5 000 registrerade under en sammanhängande period på 12 månader och inte behandlar särskilda kategorier av personuppgifter i enlighet med artikel 9.1, lokaliseringsuppgifter eller uppgifter om barn eller anställda i storskaliga register, eller

c) en offentlig myndighet eller ett offentligt organ, eller  

c) en offentlig myndighet eller ett offentligt organ, eller  

d) en registeransvarig som endast sporadiskt erbjuder varor eller tjänster till registrerade som är bosatta i unionen.

d) en registeransvarig som endast sporadiskt erbjuder varor eller tjänster till registrerade i unionen, såvida inte behandlingen av personuppgifter gäller särskilda kategorier av personuppgifter i enlighet med artikel 9.1, lokaliseringsuppgifter eller uppgifter om barn eller anställda i storskaliga register.

3. Företrädaren ska vara etablerad i en av de medlemsstater där de registrerade vars personuppgifter behandlas i samband med att de erbjuds varor eller tjänster, eller vars beteende övervakas, är bosatta.

3. Företrädaren ska vara etablerad i en av de medlemsstater där de registrerade erbjuds varor eller tjänster eller där de övervakas.

4. Att den registeransvarige utser en företrädare ska inte påverka de rättsliga åtgärder som skulle kunna inledas mot den registeransvarige.

4. Att den registeransvarige utser en företrädare ska inte påverka de rättsliga åtgärder som skulle kunna inledas mot den registeransvarige.

Ändringsförslag  121

Förslag till förordning

Artikel 26

Kommissionens förslag

Ändringsförslag

Registerförare

Registerförare

1. Om en behandling ska utföras på en registeransvarigs vägnar ska den registeransvarige välja en registerförare som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter, särskilt respekten för de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som reglerar den behandling som ska utföras och se till att dessa åtgärder efterlevs.

1. Om behandling ska utföras på en registeransvarigs vägnar ska den registeransvarige välja en registerförare som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter, särskilt respekten för de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som reglerar den behandling som ska utföras och se till att dessa åtgärder efterlevs.

2. När uppgifter behandlas av en registerförare ska hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling mellan registerföraren och den registeransvarige och i handlingen ska det särskilt föreskrivas att registerföraren

2. När uppgifter behandlas av en registerförare ska hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling mellan registerföraren och den registeransvarige. Den registeransvarige och registerföraren ska ha rätt att fastställa sina respektive roller och uppgifter med avseende på kraven i denna förordning, varvid registerföraren

a) endast får handla på instruktioner från den registeransvarige, särskilt om överföringen av de personuppgifter som används är förbjuden,

a) endast får behandla personuppgifter på instruktioner från den registeransvarige, såvida inte unionslagstiftningen eller en medlemsstats lagstiftning föreskriver något annat,

b) endast får anställa personal som har åtagit sig att iaktta sekretess eller som omfattas av en lagstadgad sekretessförpliktelse,

b) endast får anställa personal som har åtagit sig att iaktta sekretess eller som omfattas av en lagstadgad sekretessförpliktelse,

c) ska vidta alla åtgärder som krävs enligt artikel 30,

c) ska vidta alla åtgärder som krävs enligt artikel 30,

d) endast får engagera en annan registerförare om den registeransvarige först har godkänt detta,

d) endast får fastställa villkoren för att engagera en annan registerförare om den registeransvarige först har godkänt detta, om inget annat beslutats,

e) i samförstånd med den registeransvarige, och så långt det är möjligt med tanke på behandlingens karaktär, ska inrätta de nödvändiga tekniska och organisatoriska kraven för att den registeransvarige ska kunna fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III,

e) i samförstånd med den registeransvarige, och så långt det är möjligt med tanke på behandlingens karaktär, ska inrätta de lämpliga och relevanta tekniska och organisatoriska kraven för att den registeransvarige ska kunna fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III,

f) ska bistå den registeransvarige med att se till att skyldigheterna enligt artiklarna 30–34 fullgörs,

f) ska bistå den registeransvarige med att se till att skyldigheterna enligt artiklarna 30–34 fullgörs, med beaktande av typen av behandling och den information som registerföraren har att tillgå,

g) ska lämna alla resultat till den registeransvarige efter behandlingens slut och inte behandla personuppgifterna på annat sätt,

g) ska återlämna alla resultat till den registeransvarige efter behandlingens slut, inte behandla personuppgifterna på annat sätt samt förstöra befintliga kopior såvida inte unionslagstiftningen eller en medlemsstats lagstiftning föreskriver lagring av uppgifterna,

h) ska ge den registeransvarige och tillsynsmyndigheten tillgång till all information som krävs för att kontrollera fullgörandet av de skyldigheter som fastställs i denna artikel.

h) ska ge den registeransvarige tillgång till all information som krävs för visa på fullgörandet av de skyldigheter som fastställs i denna artikel och tillåta inspektioner på plats.

3. Den registeransvarige och registerföraren ska skriftligen dokumentera den registeransvariges instruktioner och registerförarens skyldigheter enligt punkt 2.

3. Den registeransvarige och registerföraren ska skriftligen dokumentera den registeransvariges instruktioner och registerförarens skyldigheter enligt punkt 2.

 

3a. De tillräckliga garantier som avses i punkt 1 kan påvisas genom överensstämmelse med uppförandekodexar eller certifieringsmekanismer enligt artiklarna 38 eller 39 i denna förordning.

4. Om en registerförare behandlar andra personuppgifter än de som den registeransvarige gett instruktioner om ska registerföraren anses vara en registeransvarig med avseende på den behandlingen och ska omfattas av de bestämmelser om gemensamma registeransvariga som fastställs i artikel 24.

4. Om en registerförare behandlar andra personuppgifter än dem som den registeransvarige gett instruktioner om eller blir den part som fastställer ändamålen med och medlen för uppgiftsbehandlingen ska registerföraren anses vara en registeransvarig med avseende på den behandlingen och ska omfattas av de bestämmelser om gemensamma registeransvariga som fastställs i artikel 24.

5. Kommissionen ska ha rätt att anta delegerade akter i enlighet med artikel 86 i syfte att närmare precisera kriterierna och kraven för registerförarens ansvarsområden, uppdrag och arbetsuppgifter med avseende på en registerförare enligt punkt 1, och de omständigheter som gör det möjligt att underlätta behandlingen av personuppgifter inom en företagsgrupp, särskilt för kontroll- och rapporteringsändamål.

 

Ändringsförslag   122

Förslag till förordning

Artikel 28

Kommissionens förslag

Ändringsförslag

Dokumentation

Dokumentation

1. Varje registeransvarig och registerförare samt den registeransvariges eventuella företrädare ska bevara dokumentation om all behandling som utförts under dess ansvar.

1. Varje registeransvarig och registerförare ska bevara den regelbundet uppdaterade dokumentation som krävs för att uppfylla de krav som fastställs i denna förordning.

2. Dokumentationen ska innehålla åtminstone följande uppgifter:

2. Därutöver ska varje registeransvarig och registerförare bevara dokumentation av följande uppgifter:

a) Namn och kontaktuppgifter för den registeransvarige, eller eventuella gemensamma registeransvariga eller registerförare, samt för den eventuella företrädaren.

a) Namn och kontaktuppgifter för den registeransvarige, eller eventuella gemensamma registeransvariga eller registerförare, samt för den eventuella företrädaren.

b) Namn och kontaktuppgifter för det eventuella uppgiftsskyddsombudet.

b) Namn och kontaktuppgifter för det eventuella uppgiftsskyddsombudet.

c) Ändamålen med behandlingen, inbegripet den registeransvariges berättigade intressen när behandlingen grundar sig på artikel 6.1 f.

 

d) En beskrivning av de kategorier av registrerade som berörs och av de kategorier av personuppgifter som hänför sig till dem.

 

e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, inbegripet de registeransvariga till vilka personuppgifter lämnas ut för deras berättigade intressen.

e) Namn och kontaktuppgifter för de eventuella registeransvariga till vilka personuppgifter lämnas ut.

f) I tillämpliga fall, överföringar av uppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 44.1 h, dokumentationen om lämpliga skyddsåtgärder.

 

g) En allmän anvisning om tidsfristerna för radering av de olika kategorierna av uppgifter.

 

h) Beskrivning av de rutiner som avses i artikel 22.3.

 

3. Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran göra dokumentationen tillgänglig för tillsynsmyndigheten.

 

4. De skyldigheter som anges i punkterna 1 och 2 ska inte gälla för följande registeransvariga och registerförare:

 

a) En fysisk person som behandlar personuppgifter utan vinstintresse.

 

b) Ett företag eller en organisation med färre än 250 anställda som behandlar personuppgifter endast som en sidoverksamhet till sin huvudverksamhet.

 

5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den dokumentation som avses i punkt 1, för att ta hänsyn särskilt till de områden som den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ansvarar för.

 

6. Kommissionen får fastställa standardformulär för den dokumentation som anges i punkt 1. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

 

Ändringsförslag  123

Förslag till förordning

Artikel 29 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran samarbeta med tillsynsmyndigheten i utövandet av dess uppdrag, särskilt genom att tillhandahålla den information som avses i artikel 53.2 a och genom att ge tillgång i enlighet med artikel 53.2 b.

1. Den registeransvarige och den eventuella registerföraren samt den registeransvariges eventuella företrädare ska på begäran samarbeta med tillsynsmyndigheten i utövandet av dess uppdrag, särskilt genom att tillhandahålla den information som avses i artikel 53.2 a och genom att ge tillgång i enlighet med artikel 53.2 b.

Ändringsförslag  124

Förslag till förordning

Artikel 30

Kommissionens förslag

Ändringsförslag

Säkerhet i samband med behandlingen av uppgifter

Säkerhet i samband med behandlingen av uppgifter

1. Den registeransvarige och registerföraren ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå med tanke på de risker som behandlingen medför och karaktären hos de personuppgifter som ska skyddas, med hänsyn till dagens tillgängliga teknik och kostnaderna för att vidta åtgärderna.

1. Den registeransvarige och registerföraren ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå med tanke på de risker som behandlingen medför – med beaktande av resultaten av en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33 –, med hänsyn till dagens tillgängliga teknik och kostnaderna för att vidta åtgärderna.

 

1a. Med hänsyn till dagens tillgängliga teknik och genomförandekostnaden ska en sådan säkerhetsstrategi inbegripa följande:

 

a) Förmågan att säkerställa personuppgifternas integritet.

 

b) Förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och återhämtningsförmåga hos de system och tjänster som behandlar personuppgifter.

 

c) Förmågan att återställa tillgängligheten och tillgången till uppgifterna i tid vid en fysisk eller teknisk olycka som påverkar tillgängligheten, integriteten och konfidentialiteten hos informationssystem och informationstjänster.

 

d) När det gäller behandling av känsliga personuppgifter i enlighet med artiklarna 8 och 9, ytterligare säkerhetsåtgärder för att säkerställa riskmedvetenhet och förmågan att vidta förebyggande, korrigerande och begränsande åtgärder i tid mot svagheter eller olyckor som skulle kunna innebära en risk för uppgifterna.

 

e) Ett förfarande för att regelbundet testa, bedöma och utvärdera effektiviteten hos de strategier, förfaranden och planer för säkerhet som har införts för att säkerställa fortgående effektivitet.

2. Efter en bedömning av riskerna ska den registeransvarige och registerföraren vidta de åtgärder som avses i punkt 1 för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse och för att förhindra otillåten behandling, särskilt obehörigt röjande, obehörig spridning eller åtkomst, eller ändringar av personuppgifter.

2. De åtgärder som avses i punkt 1 ska minst

 

a) säkerställa att endast auktoriserad personal, och endast för lagligen tillåtna ändamål, får tillgång till personuppgifter,

 

b) skydda personuppgifter som lagrats eller överförts mot förstöring genom olyckshändelse eller olaglig förstöring, mot förlust eller ändring genom olyckshändelse samt mot obehörig eller olaglig lagring, behandling och tillgång och obehörigt eller olagligt röjande, och

 

c) säkra genomförandet av en säkerhetsstrategi för behandling av personuppgifter.

3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för de tekniska och organisatoriska åtgärder som avses i punkterna 1 och 2, inbegripet fastställandet av vad som utgör dagens tillgängliga teknik, för specifika sektorer och i specifika situationer vid behandlingen av personuppgifter, med särskild hänsyn till den tekniska utvecklingen och utvecklingen i fråga om lösningar för inbyggt integritetsskydd och uppgiftsskydd som standard, om inte punkt 4 är tillämplig.

3. Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med artikel 66.1 b med avseende på de tekniska och organisatoriska åtgärder som avses i punkterna 1 och 2, inbegripet fastställandet av vad som utgör dagens tillgängliga teknik, för specifika sektorer och i specifika situationer vid behandlingen av personuppgifter, med särskild hänsyn till den tekniska utvecklingen och utvecklingen i fråga om lösningar för inbyggt integritetsskydd och uppgiftsskydd som standard.

4. När så är nödvändigt får kommissionen anta genomförandeakter i syfte att specificera kraven i punkterna 1 och 2 för olika situationer, särskilt för att

 

a) förhindra obehörig åtkomst till personuppgifter,

 

b) förhindra obehörigt röjande, obehörig läsning, kopiering, ändring eller radering eller obehörigt avlägsnande av personuppgifter,

 

c) se till att det kontrolleras att behandlingen är laglig.

 

Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

 

(Punkt 2 i kommissionens text har delvis blivit led b i parlamentets ändringsförslag.)

Ändringsförslag  125

Förslag till förordning

Artikel 31

Kommissionens förslag

Ändringsförslag

Anmälan av ett personuppgiftsbrott till tillsynsmyndigheten

Anmälan av ett personuppgiftsbrott till tillsynsmyndigheten

1. Vid ett personuppgiftsbrott ska den registeransvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 24 timmar efter att ha fått vetskap om det, anmäla personuppgiftsbrottet till tillsynsmyndigheten. Om anmälan till tillsynsmyndigheten inte görs inom 24 timmar ska den åtföljas av en utförlig motivering.

1. Vid ett personuppgiftsbrott ska den registeransvarige utan onödigt dröjsmål anmäla personuppgiftsbrottet till tillsynsmyndigheten.

2. I enlighet med artikel 26.2 f ska registerföraren underrätta och informera den registeransvarige omedelbart efter det att ett personuppgiftsbrott har konstaterats.

2. Registerföraren ska underrätta och informera den registeransvarige utan onödigt dröjsmål efter det att ett personuppgiftsbrott har konstaterats.

3. Den anmälan som avses i punkt 1 ska åtminstone

3. Den anmälan som avses i punkt 1 ska åtminstone

a) beskriva personuppgiftsbrottets karaktär, inbegripet de kategorier av och antalet registrerade som berörs samt de kategorier av och antalet uppgiftsposter som berörs,

a) beskriva personuppgiftsbrottets karaktär, inbegripet de kategorier av och antalet registrerade som berörs samt de kategorier av och antalet uppgiftsposter som berörs,

b) förmedla identiteten på och kontaktuppgifterna för uppgiftsskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,

b) förmedla identiteten på och kontaktuppgifterna för uppgiftsskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,

c) rekommendera åtgärder för att begränsa de möjliga negativa effekterna av personuppgiftsbrottet,

c) rekommendera åtgärder för att begränsa de möjliga negativa effekterna av personuppgiftsbrottet,

d) beskriva konsekvenserna av personuppgiftsbrottet,

d) beskriva konsekvenserna av personuppgiftsbrottet,

e) beskriva de åtgärder som den registeransvarige föreslagit eller vidtagit för att åtgärda personuppgiftsbrottet.

e) beskriva de åtgärder som den registeransvarige föreslagit eller vidtagit för att åtgärda personuppgiftsbrottet och begränsa dess verkan.

 

Informationen får vid behov lämnas i faser.

4. Den registeransvarige ska dokumentera alla personuppgiftsbrott, inbegripet omständigheterna kring brottet, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel. Dokumentationen ska endast innehålla den information som behövs för detta ändamål.

4. Den registeransvarige ska dokumentera alla personuppgiftsbrott, inbegripet omständigheterna kring brottet, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska vara tillräckligt utförlig för att göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel och av artikel 30. Dokumentationen ska endast innehålla den information som behövs för detta ändamål.

 

4a. Tillsynsmyndigheten ska föra ett offentligt register över typer av anmälda uppgiftsbrott.

5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för fastställandet av det uppgiftsbrott som avses i punkterna 1 och 2 samt för de särskilda omständigheter under vilka en registeransvarig och en registerförare ska anmäla personuppgiftsbrottet.

5. Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med artikel 66.1 b med avseende på fastställandet av det uppgiftsbrott och det onödiga dröjsmål som avses i punkterna 1 och 2 samt för de särskilda omständigheter under vilka en registeransvarig och en registerförare ska anmäla personuppgiftsbrottet.

6. Kommissionen får fastställa standardformatet för sådana anmälningar till tillsynsmyndigheten, de förfaranden som gäller för anmälningskravet och formen och villkoren för den dokumentation som avses i punkt 4, inbegripet tidsgränserna för raderingen av informationen i denna. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

 

Ändringsförslag  126

Förslag till förordning

Artikel 32

Kommissionens förslag

Ändringsförslag

Information till den registrerade om ett personuppgiftsbrott

Information till den registrerade om ett personuppgiftsbrott

1. Om personuppgiftsbrottet sannolikt har en negativ inverkan på skyddet av den registrerades personuppgifter eller integritet ska den registeransvarige, efter den anmälan som avses i artikel 31, utan onödigt dröjsmål informera den registrerade om personuppgiftsbrottet.

1. Om personuppgiftsbrottet sannolikt har en negativ inverkan på skyddet av den registrerades personuppgifter, integritet, rättigheter eller berättigade intressen ska den registeransvarige, efter den anmälan som avses i artikel 31, utan onödigt dröjsmål informera den registrerade om personuppgiftsbrottet.

2. Den information till den registrerade som avses i punkt 1 ska innehålla en beskrivning av personuppgiftsbrottets karaktär och åtminstone de upplysningar och de rekommendationer som anges i artikel 31.3 b och c.

Den information till den registrerade som avses i punkt 1 ska vara uttömmande och avfattad på ett klart och enkelt språk. Den ska innehålla en beskrivning av personuppgiftsbrottets karaktär och åtminstone de upplysningar och de rekommendationer som anges i artikel 31.3 b, c och d samt information om den registrerades rättigheter, däribland rätten till prövning.

3. Det ska inte vara ett krav att informera den registrerade om personuppgiftsbrottet om den registeransvarige tillfredsställande visar för den behöriga myndigheten att den har genomfört lämpliga tekniska skyddsåtgärder och att dessa åtgärder tillämpats på de uppgifter som berördes av personuppgiftsbrottet. Sådana tekniska skyddsåtgärder ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till uppgifterna.

3. Det ska inte vara ett krav att informera den registrerade om personuppgiftsbrottet om den registeransvarige tillfredsställande visar för den behöriga myndigheten att den har genomfört lämpliga tekniska skyddsåtgärder och att dessa åtgärder tillämpats på de uppgifter som berördes av personuppgiftsbrottet. Sådana tekniska skyddsåtgärder ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till uppgifterna.

4. Utan att det påverkar den registeransvariges skyldighet att informera den registrerade om personuppgiftsbrottet, får tillsynsmyndigheten, om den registeransvarige inte redan har informerat den registrerade om personuppgiftsbrottet, efter att ha tagit hänsyn till de möjliga negativa effekterna av brottet, begära att den registeransvarige gör detta.

4. Utan att det påverkar den registeransvariges skyldighet att informera den registrerade om personuppgiftsbrottet, får tillsynsmyndigheten, om den registeransvarige inte redan har informerat den registrerade om personuppgiftsbrottet, efter att ha tagit hänsyn till de möjliga negativa effekterna av brottet, begära att den registeransvarige gör detta.

5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera villkoren och kraven när det gäller de omständigheter under vilka ett personuppgiftsbrott sannolikt har en negativ inverkan på de personuppgifter som avses i punkt 1.

Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med artikel 66.1 b med avseende på de omständigheter under vilka ett personuppgiftsbrott sannolikt har en negativ inverkan på den registrerades personuppgifter, integritet, rättigheter eller berättigade intressen som avses i punkt 1.

6. Kommissionen får fastställa formatet för den information till den registrerade som avses i punkt 1 och de förfaranden som gäller för den informationen. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

 

Ändringsförslag  127

Förslag till förordning

Artikel 32a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 32a

 

Hänsyn till risk

 

1. Den registeransvarige eller i tillämpliga fall registerföraren ska utföra en riskanalys av den planerade uppgiftsbehandlingens konsekvenser för de registrerades rättigheter och friheter med en bedömning av frågan huruvida behandlingen sannolikt medför särskilda risker.

 

2. Följande former av behandling medför sannolikt särskilda risker:

 

a) Behandling av personuppgifter som gäller fler än 5 000 registrerade under en sammanhängande period på 12 månader.

 

b) Behandling av de särskilda personuppgiftskategorier som avses i artikel 9.1, lokaliseringsuppgifter eller uppgifter om barn eller anställda i storskaliga register.

 

c) Profilering på vilken åtgärder grundar sig som har rättsliga följder för den enskilde eller på liknande sätt i betydande grad påverkar honom eller henne.

 

d) Behandling av personuppgifter för tillhandahållande av hälso- och sjukvård, epidemiologisk forskning eller undersökningar av psykiska sjukdomar eller infektionssjukdomar där uppgifterna behandlas i syfte att vidta åtgärder eller fatta beslut om specifika enskilda personer i stor skala.

 

e) Automatisk övervakning av allmän plats i stor skala.

 

f) Annan behandling för vilken samråd ska ske med uppgiftsskyddsombudet eller tillsynsmyndigheten enligt artikel 34.2 b.

 

g) Situationer där ett personuppgiftsbrott sannolikt skulle få negativa konsekvenser för skyddet av den registrerades personuppgifter, integritet, rättigheter eller berättigade intressen.

 

h) Den registeransvariges eller registerförarens kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade.

 

i) Om personuppgifter görs tillgängliga för ett antal personer som inte rimligen kan förväntas vara begränsat.

 

3. Om resultatet av riskanalysen

 

a) visar att någon av de former av behandling som avses i punkt 2 a eller b utförs ska registeransvariga som inte är etablerade i unionen utse en företrädare i unionen i linje med de krav och befrielser som fastställs i artikel 25,

 

b) visar att någon av de former av behandling som avses i punkt 2 a, b eller h utförs ska den registeransvarige utse ett uppgiftsskyddsombud i linje med de krav och befrielser som fastställs i artikel 35,

 

c) visar att någon av de former av behandling som avses i punkt 2 a, b, c, d, e, f, g eller h utförs ska den registeransvarige, eller registerföraren på den registeransvariges vägnar, utföra en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33,

 

d) visar att den behandling som avses i punkt 2 f utförs ska den registeransvarige samråda med uppgiftsskyddsombudet eller, om något sådant inte utnämnts, tillsynsmyndigheten enligt artikel 34,

 

4. Riskanalysen ska ses över senast efter ett år, eller omedelbart om uppgiftsbehandlingens karaktär, omfattning eller ändamål ändras i betydande grad. Om den registeransvarige enligt punkt 3 c inte är skyldig att utföra en konsekvensbedömning avseende uppgiftsskydd ska riskanalysen dokumenteras.

Ändringsförslag  128

Förslag till förordning

Kapitel IV – avsnitt 3 – rubriken

Kommissionens förslag

Ändringsförslag

KONSEKVENSBEDÖMNING AVSEENDE UPPGIFTSSKYDD OCH FÖRHANDSTILLSTÅND

LIVSCYKELHANTERING AV UPPGIFTSSKYDD

Ändringsförslag  129

Förslag till förordning

Artikel 33

Kommissionens förslag

Ändringsförslag

Konsekvensbedömning avseende uppgiftsskydd

Konsekvensbedömning avseende uppgiftsskydd

1. Om behandlingen på grund av sin karaktär, sin omfattning eller sina ändamål medför särskilda risker för de registrerades fri- och rättigheter, ska den registeransvarige eller registerföraren på den registeransvariges vägnar utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter.

1. Om det enligt artikel 32a.3 c krävs ska den registeransvarige, eller registerföraren på den registeransvariges vägnar, utföra en bedömning av den planerade behandlingens konsekvenser för de registrerades rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. En enda bedömning ska vara tillräcklig för att hantera en serie liknande behandlingsåtgärder som medför liknande risker.

2. I synnerhet följande typer av behandling medför sådana särskilda risker som avses i punkt 1:

 

a) En systematisk och omfattande bedömning av en fysisk persons personliga aspekter eller i syfte att analysera eller förutse särskilt den fysiska personens ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende, vilket grundar sig på automatisk behandling och på vilka sådana åtgärder grundar sig som har rättsliga följder för den enskilde eller som märkbart påverkar honom eller henne.

 

b) Information om sexualliv, hälsa, ras och etniskt ursprung eller – i samband med tillhandahållande av hälso- och sjukvård – epidemiologisk forskning, eller undersökningar av psykiska sjukdomar eller infektionssjukdomar, där uppgifterna behandlas i syfte att vidta åtgärder eller fatta beslut om specifika enskilda personer i stor skala.

 

c) Övervakning av allmän plats, särskilt vid användning av optisk-elektroniska anordningar (videoövervakning) i stor skala.

 

d) Personuppgifter i storskaliga register om barn, genetiska uppgifter eller biometriska uppgifter.

 

e) Annan behandling för vilken samråd måste ske med tillsynsmyndigheten enligt artikel 34.2 b.

 

3. Bedömningen ska innehålla åtminstone en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för de registrerades fri- och rättigheter, de åtgärder som planeras för att hantera risker, skyddsåtgärder, säkerhetsåtgärder och rutiner för att garantera skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen.

3. Bedömningen ska ta hänsyn till hela livscykelhanteringen av personuppgifter från insamling och behandling till radering. Den ska innehålla åtminstone följande:

 

a) En systematisk beskrivning av den planerade behandlingen, dess ändamål och, om tillämpligt, den registeransvariges berättigade intressen.

 

b) En bedömning av behandlingens nödvändighet och proportionalitet i förhållande till ändamålen.

 

c) En bedömning av riskerna för de registrerades rättigheter och friheter, inklusive den risk för diskriminering som behandlingen medför eller förstärker.

 

d) En beskrivning av de åtgärder som planeras för att hantera risker och minimera den mängd personuppgifter som behandlas.

 

e) En förteckning över skyddsåtgärder, säkerhetsåtgärder och rutiner för att garantera skyddet av personuppgifterna, till exempel pseudonymisering, och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen.

 

f) En allmän angivelse av tidsfristerna för radering av de olika kategorierna av uppgifter.

 

h) En förklaring om vilka uppgiftskyddsrutiner avseende inbyggt uppgiftsskydd och uppgiftsskydd som standard som har genomförts i enlighet med artikel 23.

 

i) En förteckning över mottagarna eller kategorierna av mottagare av personuppgifterna.

 

j) I tillämpliga fall, en förteckning över de planerade överföringarna av uppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 44.1 h, dokumentationen av lämpliga skyddsåtgärder.

 

k) En bedömning av det sammanhang i vilket uppgiftsbehandlingen utförs.

 

3a. Om den registeransvarige eller registerföraren har utsett ett uppgiftsskyddsombud ska han eller hon involveras i processen med konsekvensbedömningen.

 

3b. Bedömningen ska dokumenteras och inbegripa ett schema för regelbundna periodiska granskningar av uppgiftsskyddets överensstämmelse i enlighet med artikel 33a.1. Bedömningen ska uppdateras utan onödigt dröjsmål om resultatet av den granskning av uppgiftsskyddets överensstämmelse som avses i artikel 33a visar på bristande överensstämmelse. Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran göra bedömningen tillgänglig för tillsynsmyndigheten.

4. Den registeransvarige ska inhämta synpunkter från de registrerade och deras företrädare om den avsedda behandlingen, utan att det påverkar skyddet av kommersiella eller allmänna intressen eller behandlingens säkerhet.

 

5. Om den registeransvarige är en offentlig myndighet eller ett offentligt organ och om behandlingen följer av en rättslig skyldighet enligt artikel 6.1 c som föreskriver regler och förfaranden som rör behandlingen och regleras av unionslagstiftningen, ska punkterna 1–4 inte gälla, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen.

 

6. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för sådan behandling som sannolikt medför särskilda risker enligt punkterna 1 och 2 och kraven för den bedömning som avses i punkt 3, däribland villkor för skalbarhet, kontroll och granskningsmöjligheter. Kommissionen ska därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag.

 

7. Kommissionen får ange standarder och förfaranden för utförandet samt kontrollen och granskningen av den bedömning som avses i punkt 3. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

 

(Punkt 3 i kommissionens text har delvis blivit leden a, c, d och e i parlamentets ändringsförslag.)

Ändringsförslag  130

Förslag till förordning

Artikel 33a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 33a

 

Granskning av uppgiftsskyddets överensstämmelse

 

1. Senast två år efter utförandet av en konsekvensbedömning enligt artikel 33.1 ska den registeransvarige, eller registerföraren på den registeransvariges vägnar, utföra en granskning av överensstämmelsen med konsekvensbedömningen. Denna granskning av överensstämmelsen ska visa att personuppgifter behandlas i överensstämmelse med konsekvensbedömningen avseende uppgiftsskydd.

 

2. Granskningen av överensstämmelse ska utföras regelbundet, minst vartannat år, eller omedelbart om de särskilda risker som behandlingen medför ändras.

 

3. Om resultatet av granskningen av överensstämmelse visar på bristande överensstämmelse ska granskningen omfatta rekommendationer för hur fullständig överensstämmelse kan uppnås.

 

4. Granskningen av överensstämmelse samt dess rekommendationer ska dokumenteras. Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran göra granskningen av överensstämmelse tillgänglig för tillsynsmyndigheten.

 

5. Om den registeransvarige eller registerföraren har utsett ett uppgiftsskyddsombud ska han eller hon involveras i processen med granskningen av överensstämmelse.

Ändringsförslag  131

Förslag till förordning

Artikel 34

Kommissionens förslag

Ändringsförslag

Förhandstillstånd och förhandssamråd

Förhandssamråd

1. Den registeransvarige eller registerföraren, allt efter omständigheterna, ska erhålla ett godkännande från tillsynsmyndigheten före behandlingen av personuppgifterna, i syfte att se till att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade när en registeransvarig eller en registerförare antar avtalsklausuler enligt artikel 42.2 d eller inte tillhandahåller lämpliga skyddsåtgärder i ett rättsligt bindande instrument enligt artikel 42.5 för överföring av personuppgifter till ett tredjeland eller en internationell organisation.

 

2. Den registeransvarige eller registerföraren som handlar på den registeransvariges vägnar ska samråda med tillsynsmyndigheten före behandlingen av personuppgifter för att se till att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade om

2. Den registeransvarige, eller registerföraren på den registeransvariges vägnar, ska samråda med uppgiftsskyddsombudet eller, om något sådant inte utnämnts, tillsynsmyndigheten före behandlingen av personuppgifter för att se till att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade om

a) en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33 visar att behandlingen på grund av sin karaktär, sin omfattning eller sina ändamål sannolikt medför höggradiga särskilda risker, eller

a) en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33 visar att behandlingen på grund av sin karaktär, sin omfattning eller sina ändamål sannolikt medför höggradiga särskilda risker, eller

b) tillsynsmyndigheten anser det nödvändigt att utföra ett förhandssamråd om behandling som sannolikt medför särskilda risker för de registrerades fri- och rättigheter på grund av sin karaktär, sin omfattning och/eller sina ändamål, och som preciseras enligt punkt 4.

b) uppgiftsskyddsombudet eller tillsynsmyndigheten anser det nödvändigt att utföra ett förhandssamråd om behandling som sannolikt medför särskilda risker för de registrerades fri- och rättigheter på grund av sin karaktär, sin omfattning och/eller sina ändamål, och som preciseras enligt punkt 4.

3. Om tillsynsmyndigheten anser att den avsedda behandlingen inte överensstämmer med denna förordning, särskilt om riskerna är otillräckligt fastställda eller begränsade, ska den förbjuda den avsedda behandlingen och lägga fram lämpliga förslag för att åtgärda sådan brist på överensstämmelse.

3. Om den behöriga tillsynsmyndigheten i enlighet med sina befogenheter fastställer att den avsedda behandlingen inte överensstämmer med denna förordning, särskilt om riskerna är otillräckligt fastställda eller begränsade, ska den förbjuda den avsedda behandlingen och lägga fram lämpliga förslag för att åtgärda sådan brist på överensstämmelse.

4. Tillsynsmyndigheten ska inrätta och offentliggöra en förteckning över den behandling som omfattas av förhandssamråd enligt punkt 2 b. Tillsynsmyndigheten ska översända dessa förteckningar till Europeiska dataskyddsstyrelsen.

4. Europeiska dataskyddsstyrelsen ska inrätta och offentliggöra en förteckning över den behandling som omfattas av förhandssamråd enligt punkt 2.

5. Om den förteckning som avses i punkt 4 inbegriper behandling som rör erbjudande av varor och tjänster till registrerade i flera medlemsstater, eller övervakning av deras beteende, eller som väsentligt kan påverka den fria rörligheten för personuppgifter i unionen, ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57 före antagandet av förteckningen.

 

6. Den registeransvarige eller registerföraren ska till tillsynsmyndigheten lämna den konsekvensbedömning avseende uppgiftsskydd som avses i artikel 33 och, på begäran, eventuell övrig information som gör att tillsynsmyndigheten kan göra en bedömning av behandlingens överensstämmelse och särskilt av riskerna för skyddet av den registrerades personuppgifter och av därmed sammanhängande skyddåtgärder.

6. Den registeransvarige eller registerföraren ska, på begäran, till tillsynsmyndigheten lämna den konsekvensbedömning avseende uppgiftsskydd som avses i artikel 33 och, på begäran, eventuell övrig information som gör att tillsynsmyndigheten kan göra en bedömning av behandlingens överensstämmelse och särskilt av riskerna för skyddet av den registrerades personuppgifter och av därmed sammanhängande skyddåtgärder.

7. Medlemsstaterna ska samråda med tillsynsmyndigheten vid utarbetandet av lagstiftningsåtgärder som ska antas av det nationella parlamentet eller av en åtgärd som grundar sig på en sådan lagstiftningsåtgärd, som fastställer behandlingens karaktär, för att garantera att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade.

7. Medlemsstaterna ska samråda med tillsynsmyndigheten vid utarbetandet av lagstiftningsåtgärder som ska antas av det nationella parlamentet eller av en åtgärd som grundar sig på en sådan lagstiftningsåtgärd, som fastställer behandlingens karaktär, för att garantera att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade.

8. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för fastställandet av de höggradiga särskilda risker som avses i punkt 2 a.

 

9. Kommissionen får fastställa standardformulär och förfaranden för sådana förhandstillstånd och förhandssamråd som avses i punkterna 1 och 2, och standardformulär och förfaranden för att informera tillsynsmyndigheterna enligt punkt 6. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

 

Ändringsförslag   132

Förslag till förordning

Artikel 35

Kommissionens förslag

Ändringsförslag

Utnämning av uppgiftsskyddsombudet

Utnämning av uppgiftsskyddsombudet

1. Den registeransvarige och registerföraren ska utnämna ett uppgiftsskyddsombud om

1. Den registeransvarige och registerföraren ska utnämna ett uppgiftsskyddsombud om

a) behandlingen utförs av en offentlig myndighet eller ett offentligt organ, eller

a) behandlingen utförs av en offentlig myndighet eller ett offentligt organ, eller

b) behandlingen utförs av ett företag som har minst 250 anställda, eller

b) behandlingen utförs av en juridisk person och gäller fler än 5 000 registrerade under en sammanhängande period på 12 månader, eller

c) den registeransvariges och registerförarens kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade.

c) den registeransvariges och registerförarens kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade, eller

 

d) den registeransvariges och registerförarens kärnverksamhet består av behandling av särskilda kategorier av uppgifter enligt artikel 9.1, lokaliseringsuppgifter eller uppgifter om barn eller anställda i storskaliga register.

2. I det fall som avses i punkt 1 b får en företagsgrupp utnämna ett enda uppgiftsskyddsombud.

2. En företagsgrupp får utnämna ett huvudansvarigt uppgiftsskyddsombud om det säkerställs att det på varje etableringsort är lätt att nå ett uppgiftsskyddsombud.

3. Om den registeransvarige och registerföraren är en offentlig myndighet eller ett offentligt organ, får uppgiftsskyddsombudet utnämnas för flera av dess enheter, med hänsyn till den offentliga myndighetens eller det offentliga organets struktur.

3. Om den registeransvarige och registerföraren är en offentlig myndighet eller ett offentligt organ, får uppgiftsskyddsombudet utnämnas för flera av dess enheter, med hänsyn till den offentliga myndighetens eller det offentliga organets struktur.

4. I andra fall än de som anges i punkt 1 får den registeransvarige eller registerföraren eller sammanslutningar och andra organ som företräder kategorier av registeransvariga eller registerförare utnämna ett uppgiftsskyddsombud.

4. I andra fall än de som anges i punkt 1 får den registeransvarige eller registerföraren eller sammanslutningar och andra organ som företräder kategorier av registeransvariga eller registerförare utnämna ett uppgiftsskyddsombud.

5. Den registeransvarige eller registerföraren ska utnämna uppgiftsskyddsombudet på grundval av yrkesmässiga kvalifikationer och, i synnerhet, expertkunnande om lagstiftning och praxis avseende uppgiftsskydd samt förmåga att fullgöra de arbetsuppgifter som avses i artikel 37. Den nödvändiga nivån på expertkunnandet ska fastställas särskilt i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av den registeransvarige och registerföraren.

5. Den registeransvarige eller registerföraren ska utnämna uppgiftsskyddsombudet på grundval av yrkesmässiga kvalifikationer och, i synnerhet, expertkunnande om lagstiftning och praxis avseende uppgiftsskydd samt förmåga att fullgöra de arbetsuppgifter som avses i artikel 37. Den nödvändiga nivån på expertkunnandet ska fastställas särskilt i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av den registeransvarige och registerföraren.

6. Den registeransvarige eller registerföraren ska se till att uppgiftskyddsombudets eventuella övriga yrkesuppgifter är förenliga med personens arbetsuppgifter och uppdrag som uppgiftsskyddsombud och inte leder till en intressekonflikt.

6. Den registeransvarige eller registerföraren ska se till att uppgiftskyddsombudets eventuella övriga yrkesuppgifter är förenliga med personens arbetsuppgifter och uppdrag som uppgiftsskyddsombud och inte leder till en intressekonflikt.

7. Den registeransvarige och registerföraren ska utnämna ett uppgiftsskyddsombud för en period på minst två år. Uppgiftsskyddsombudet får utnämnas för ytterligare perioder. Uppgiftsskyddsombudet får under sin mandatperiod endast avsättas om uppgiftsskyddsombudet inte längre uppfyller de villkor som krävs för fullgörandet av sitt uppdrag.

7. Den registeransvarige eller registerföraren ska utnämna ett uppgiftsskyddsombud för en period på minst fyra år om det rör sig om en anställd och två år om det rör sig om en extern tjänsteleverantör. Uppgiftsskyddsombudet får utnämnas för ytterligare perioder. Uppgiftsskyddsombudet får under sin mandatperiod endast avsättas om han eller hon inte längre uppfyller de villkor som krävs för fullgörandet av sitt uppdrag.

8. Uppgiftsskyddsombudet får anställas av den registeransvarige eller registerföraren, eller utföra sina arbetsuppgifter på grundval av ett tjänsteavtal.

8. Uppgiftsskyddsombudet får anställas av den registeransvarige eller registerföraren, eller utföra sina arbetsuppgifter på grundval av ett tjänsteavtal.

9. Den registeransvarige eller registerföraren ska informera tillsynsmyndigheten och allmänheten om uppgiftsskyddsombudets namn och kontaktuppgifter.

9. Den registeransvarige eller registerföraren ska informera tillsynsmyndigheten och allmänheten om uppgiftsskyddsombudets namn och kontaktuppgifter.

10. Den registrerade ska ha rätt att kontakta uppgiftsskyddsombudet om alla frågor som rör behandlingen av den registrerades uppgifter och begära att få utöva sina rättigheter enligt denna förordning.

10. Den registrerade ska ha rätt att kontakta uppgiftsskyddsombudet om alla frågor som rör behandlingen av den registrerades uppgifter och begära att få utöva sina rättigheter enligt denna förordning.

11. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den kärnverksamhet som bedrivs av den registeransvarige eller registerföraren och som avses i punkt 1 c och det kriterium för uppgiftsskyddsombudets yrkesmässiga kvalifikationer som avses i punkt 5.

 

Ändringsförslag  133

Förslag till förordning

Artikel 36

Kommissionens förslag

Ändringsförslag

Uppgiftsskyddsombudets ställning

Uppgiftsskyddsombudets ställning

1. Den registeransvarige eller registerföraren ska se till att uppgiftsskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

1. Den registeransvarige eller registerföraren ska se till att uppgiftsskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

2. Den registeransvarige eller registerföraren ska se till att uppgiftskyddsombudet fullgör sitt uppdrag och utför sina arbetsuppgifter på ett oberoende sätt och inte tar emot instruktioner när det gäller utövandet av funktionen. Uppgiftsskyddsombudet ska rapportera direkt till den registeransvariges eller registerförarens förvaltning.

2. Den registeransvarige eller registerföraren ska se till att uppgiftskyddsombudet fullgör sitt uppdrag och utför sina arbetsuppgifter på ett oberoende sätt och inte tar emot instruktioner när det gäller utövandet av funktionen. Uppgiftsskyddsombudet ska rapportera direkt till den registeransvariges eller registerförarens verkställande förvaltning. Den registeransvarige eller registerföraren ska för detta ändamål utnämna en person i den verkställande förvaltningen till ansvarig för överensstämmelsen med bestämmelserna i denna förordning.

3. Den registeransvarige eller registerföraren ska stödja uppgiftsskyddsombudet i utförandet av dennes arbetsuppgifter och ska tillhandahålla personal, lokaler, utrustning och alla andra resurser som krävs för att fullgöra det uppdrag och utföra de arbetsuppgifter som avses i artikel 37.

3. Den registeransvarige eller registerföraren ska stödja uppgiftsskyddsombudet i utförandet av dennes arbetsuppgifter och ska tillhandahålla alla resurser, inklusive personal, lokaler, utrustning och alla andra resurser som krävs för att fullgöra det uppdrag och utföra de arbetsuppgifter som avses i artikel 37 samt upprätthålla yrkeskunskaperna.

 

4. Uppgiftsskyddsombud ska omfattas av tystnadsplikt rörande de registrerades identitet och sådana omständigheter som gör det möjligt att identifiera dem, om de inte befrias från denna skyldighet av den registrerade.

Ändringsförslag  134

Förslag till förordning

Artikel 37

Kommissionens förslag

Ändringsförslag

Uppgiftsskyddsombudets arbetsuppgifter

Uppgiftsskyddsombudets arbetsuppgifter

1. Den registeransvarige eller registerföraren ska anförtro uppgiftsskyddsombudet åtminstone följande arbetsuppgifter:

Den registeransvarige eller registerföraren ska anförtro uppgiftsskyddsombudet åtminstone följande arbetsuppgifter:

a) Att informera och ge råd till den registeransvarige eller registerföraren om deras skyldigheter enligt denna förordning och att dokumentera denna verksamhet och de inkomna svaren.

a) Att öka medvetenheten, att informera och ge råd till den registeransvarige eller registerföraren om deras skyldigheter enligt denna förordning, särskilt när det gäller tekniska och organisatoriska åtgärder och förfaranden, och att dokumentera denna verksamhet och de inkomna svaren.

b) Att övervaka genomförandet och tillämpningen av den registeransvariges eller registerförarens policy för skydd av personuppgifter, inbegripet ansvarstilldelning, utbildning av personal som deltar i behandlingen och tillhörande granskning.

b) Att övervaka genomförandet och tillämpningen av den registeransvariges eller registerförarens policy för skydd av personuppgifter, inbegripet ansvarstilldelning, utbildning av personal som deltar i behandlingen och tillhörande granskning.

c) Att övervaka genomförandet och tillämpningen av denna förordning, särskilt när det gäller de krav som avser inbyggt uppgiftsskydd, uppgiftsskydd som standard och datasäkerhet samt information till de registrerade och deras begäranden i utövandet av sina rättigheter enligt denna förordning.

c) Att övervaka genomförandet och tillämpningen av denna förordning, särskilt när det gäller de krav som avser inbyggt uppgiftsskydd, uppgiftsskydd som standard och datasäkerhet samt information till de registrerade och deras begäranden i utövandet av sina rättigheter enligt denna förordning.

d) Att se till att den dokumentation som avses i artikel 28 bevaras.

d) Att se till att den dokumentation som avses i artikel 28 bevaras.

e) Att övervaka dokumentationen om, anmälan av och informationen om personuppgiftsbrott enligt artiklarna 31 och 32.

e) Att övervaka dokumentationen om, anmälan av och informationen om personuppgiftsbrott enligt artiklarna 31 och 32.

f) Att övervaka genomförandet av den registeransvariges eller registerförarens konsekvensbedömning avseende uppgiftsskydd och ansökan om förhandstillstånd eller förhandssamråd, om så krävs enligt artiklarna 33 och 34.

f) Att övervaka genomförandet av den registeransvariges eller registerförarens konsekvensbedömning avseende uppgiftsskydd och ansökan om förhandssamråd, om så krävs enligt artiklarna 32a, 33 och 34.

g) Att övervaka svaret på begäranden från tillsynsmyndigheten, och, inom uppgiftsskyddsombudets behörighet, att samarbeta med tillsynsmyndigheten på den senares begäran eller på uppgiftsskyddsombudets eget initiativ.

g) Att övervaka svaret på begäranden från tillsynsmyndigheten, och, inom uppgiftsskyddsombudets behörighet, att samarbeta med tillsynsmyndigheten på den senares begäran eller på uppgiftsskyddsombudets eget initiativ.

h) Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandlingen och, om så är lämpligt, samråda med tillsynsmyndigheten på hans eller hennes eget initiativ.

h) Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandlingen och, om så är lämpligt, samråda med tillsynsmyndigheten på hans eller hennes eget initiativ.

 

i) Att kontrollera överensstämmelsen med den mekanism för förhandssamråd som fastställs i artikel 34 i denna förordning.

 

j) Att informera de anställdas företrädare om behandlingen av de anställdas personuppgifter.

2. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för uppgiftsskyddsombudets arbetsuppgifter, certifiering, ställning, befogenheter och resurser i enlighet med punkt 1.

 

Ändringsförslag  135

Förslag till förordning

Artikel 38

Kommissionens förslag

Ändringsförslag

Uppförandekodex

Uppförandekodex

1. Medlemsstaterna, tillsynsmyndigheterna och kommissionen ska uppmuntra utarbetandet av uppförandekodexar avsedda att bidra till att förordningen genomförs korrekt, med hänsyn till de särskilda egenskaperna hos de olika sektorer där uppgifter behandlas, särskilt när det gäller

1. Medlemsstaterna, tillsynsmyndigheterna och kommissionen ska uppmuntra utarbetandet av uppförandekodexar, eller antagandet av uppförandekodexar utarbetade av en tillsynsmyndighet, avsedda att bidra till att förordningen genomförs korrekt, med hänsyn till de särskilda egenskaperna hos de olika sektorer där uppgifter behandlas, särskilt när det gäller

a) rättvis och öppen behandling,

a) rättvis och öppen behandling,

 

aa) respekt för konsumenträttigheter,

b) insamling av uppgifter,

b) insamling av uppgifter,

c) information till allmänheten och de registrerade,

c) information till allmänheten och de registrerade,

d) begäranden som de registrerade gör i utövandet av sina rättigheter,

d) begäranden som de registrerade gör i utövandet av sina rättigheter,

e) information till och skydd av barn,

e) information till och skydd av barn,

f) överföring av uppgifter till tredjeländer eller internationella organisationer,

f) överföring av uppgifter till tredjeländer eller internationella organisationer,

g) rutiner för att övervaka kodexen och se till att den iakttas av de registeransvariga som anslutit sig till den,

g) rutiner för att övervaka kodexen och se till att den iakttas av de registeransvariga som anslutit sig till den,

h) utomrättsliga förfaranden och andra förfaranden för biläggande av tvister mellan registeransvariga och registrerade när det gäller behandling av personuppgifter, utan att detta påverkar de registrerades rättigheter enligt artiklarna 73 och 75.

h) utomrättsliga förfaranden och andra förfaranden för biläggande av tvister mellan registeransvariga och registrerade när det gäller behandling av personuppgifter, utan att detta påverkar de registrerades rättigheter enligt artiklarna 73 och 75.

2. Sammanslutningar och andra organ som representerar kategorier av registeransvariga eller registerförare i en medlemsstat och som avser att utarbeta uppförandekodexar eller ändra eller utöka befintliga uppförandekodexar får inge dessa för ett yttrande från tillsynsmyndigheten i den berörda medlemsstaten. Tillsynsmyndigheten får yttra sig om huruvida utkastet till uppförandekodex eller ändringen överensstämmer med denna förordning. Tillsynsmyndigheten ska inhämta synpunkter från de registrerade eller deras företrädare om dessa utkast.

2. Sammanslutningar och andra organ som representerar kategorier av registeransvariga eller registerförare i en medlemsstat och som avser att utarbeta uppförandekodexar eller ändra eller utöka befintliga uppförandekodexar får inge dessa för ett yttrande från tillsynsmyndigheten i den berörda medlemsstaten. Tillsynsmyndigheten ska utan onödigt dröjsmål yttra sig om huruvida behandlingen enligt utkastet till uppförandekod eller ändringen överensstämmer med denna förordning. Tillsynsmyndigheten ska inhämta synpunkter från de registrerade eller deras företrädare om dessa utkast.

3. Sammanslutningar och andra organ som företräder kategorier av registrerade i flera medlemsstater får lämna in utkast till uppförandekodexar och ändringar eller utökningar av befintliga uppförandekodexar till kommissionen.

3. Sammanslutningar och andra organ som företräder kategorier av registeransvariga eller registerförare i flera medlemsstater får lämna in utkast till uppförandekoder och ändringar eller utökningar av befintliga uppförandekoder till kommissionen.

4. Kommissionen får anta genomförandeakter för att fastställa att de uppförandekodexar och ändringar eller utökningar av befintliga uppförandekodexar som inges till den enligt punkt 3 är allmänt giltiga inom unionen. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2.

4. Kommissionen ska, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen, ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att fastställa att de uppförandekoder och ändringar eller utökningar av befintliga uppförandekoder som inges till den enligt punkt 3 är förenliga med denna förordning och allmänt giltiga inom unionen. Dessa delegerade akter ska innehålla bestämmelser om de registrerades lagstadgade rättigheter.

5. Kommissionen ska se till att de kodexar om vilka det har beslutats att de har allmän giltighet enligt punkt 4 offentliggörs på lämpligt sätt.

5. Kommissionen ska se till att de kodexar om vilka det har beslutats att de har allmän giltighet enligt punkt 4 offentliggörs på lämpligt sätt.

Ändringsförslag  136

Förslag till förordning

Artikel 39

Kommissionens förslag

Ändringsförslag

Certifiering

Certifiering

1. Medlemsstaterna och kommissionen ska, särskilt på EU-nivå, uppmuntra införandet av certifieringsmekanismer för uppgiftsskydd och förseglingar och märkningar för uppgiftsskydd, och på så sätt göra det möjligt för registrerade att snabbt bedöma nivån på det uppgiftsskydd som tillhandahålls av registeransvariga och registerförare. Certifieringsmekanismerna för uppgiftsskydd ska bidra till att denna förordning genomförs korrekt, med hänsyn till de särskilda egenskaperna hos de olika sektorerna och behandlingarna.

 

 

1a. En registeransvarig eller registerförare får begära att en valfri tillsynsmyndighet i unionen, mot en rimlig avgift som täcker de administrativa kostnaderna, certifiera att personuppgifter behandlas i enlighet med denna förordning, särskilt de principer som anges i artiklarna 5, 23 och 30, den registeransvariges och registerförarens skyldigheter och den registrerades rättigheter.

 

1b. Certifieringen ska vara frivillig, överkomlig och tillgänglig via ett öppet förfarande som inte är onödigt betungande.

 

1c. Tillsynsmyndigheterna och Europeiska dataskyddsstyrelsen ska samarbeta inom ramen för mekanismen för enhetlighet enligt artikel 57 för att garantera en harmoniserad certifieringsmekanism för uppgiftsskydd, inklusive harmoniserade avgifter inom unionen.

 

1d. Under certifieringsförfarandet får tillsynsmyndigheten ackreditera specialiserade tredjepartsgranskare för granskningen av den registeransvarige eller registerföraren för myndighetens räkning. Tredjepartsgranskare ska ha tillräckligt kvalificerad personal och vara opartiska och får inte ha några intressekonflikter i fråga om sina uppdrag. Tillsynsmyndigheterna ska återkalla ackrediteringen om det finns skäl att anta att granskaren inte fullgör sitt uppdrag på ett korrekt sätt. Den slutliga certifieringen ska utföras av tillsynsmyndigheten.

 

1e. Registeransvariga och registerförare som på grundval av granskningen blivit certifierade eftersom de behandlar personuppgifter i överensstämmelse med denna förordning ska av tillsynsmyndigheterna tilldelas den standardiserade uppgiftsskyddsmärkningen ”den europeiska uppgiftsskyddsförseglingen”.

 

1f. ”Den europeiska uppgiftsskyddsförseglingen” ska vara giltig så länge den certifierade registeransvariges eller registerförarens uppgiftsbehandling är fullt ut förenlig med denna förordning.

 

1g. Utan hinder av vad som sägs i punkt 1 f ska certifieringen vara giltig i högst fem år.

 

1h. Europeiska dataskyddsstyrelsen ska upprätta ett offentligt elektroniskt register i vilket allmänheten kan se alla giltiga och ogiltiga certifikat som utfärdats i medlemsstaterna.

 

1i. Europeiska dataskyddsstyrelsen får på eget initiativ certifiera att en teknisk standard som stärker uppgiftsskyddet är förenlig med denna förordning.

2. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för de certifieringsmekanismer för uppgiftsskydd som avses i punkt 1, inbegripet villkor för beviljande och återkallande, och kraven för erkännande inom unionen och i tredjeländer.

2. Kommissionen ska, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen och samrått med de berörda parterna, särskilt näringslivsorganisationer och icke-statliga organisationer, ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för de certifieringsmekanismer för uppgiftsskydd som avses i punkterna 1a–h, inbegripet kraven för ackreditering av granskare, villkoren för beviljande och återkallande, och kraven för erkännande inom unionen och i tredjeländer. Dessa delegerade akter ska innehålla bestämmelser om de registrerades lagstadgade rättigheter.

3. Kommissionen får fastställa tekniska standarder för certifieringsmekanismer och förseglingar och märkningar för uppgiftsskydd samt rutiner för att främja och erkänna certifieringsmekanismer och förseglingar och märkningar för uppgiftsskydd. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2.

 

Ändringsförslag  137

Förslag till förordning

Artikel 41

Kommissionens förslag

Ändringsförslag

Överföring efter beslut om adekvat skyddsnivå

Överföring efter beslut om adekvat skyddsnivå

1. Om kommissionen har beslutat att tredjelandet, ett territorium eller en behandlande sektor i tredjelandet eller den internationella organisationen i fråga utgör en garant för en adekvat skyddsnivå får uppgifterna överföras. I dessa fall ska det inte krävas något ytterligare tillstånd.

1. Om kommissionen har beslutat att tredjelandet, ett territorium eller en behandlande sektor i tredjelandet eller den internationella organisationen i fråga utgör en garant för en adekvat skyddsnivå får uppgifterna överföras. I dessa fall ska det inte krävas något särskilt tillstånd.

2. När kommissionen bedömer om en adekvat skyddsnivå råder ska den ta hänsyn till

2. När kommissionen bedömer om en adekvat skyddsnivå råder ska den ta hänsyn till

a) rättsstatsprincipen, befintlig allmän och sektorsspecifik lagstiftning inom områden som allmän säkerhet, försvar, nationell säkerhet och straffrätt, yrkesregler och säkerhetsbestämmelser som ska följas i det tredjeland eller inom den internationella organisation som berörs, huruvida det finns faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom Europeiska unionen och vars personuppgifter överförs,

a) rättsstatsprincipen, befintlig allmän och sektorsspecifik lagstiftning inom områden som allmän säkerhet, försvar, nationell säkerhet och straffrätt samt genomförandet av denna lagstiftning, yrkesregler och säkerhetsbestämmelser som ska följas i det tredjeland eller inom den internationella organisation som berörs och huruvida det finns rättsprejudikat eller faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom Europeiska unionen och vars personuppgifter överförs,

b) huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet eller inom den internationella organisationen med ansvar för att se till att bestämmelserna för uppgiftsskydd följs, ge de registrerade råd och assistans när det gäller utövandet av deras rättigheter och samarbeta med unionens och medlemsstaternas tillsynsmyndigheter, och

b) huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet eller inom den internationella organisationen med ansvar för att se till att bestämmelserna för uppgiftsskydd följs, inklusive tillräckliga sanktionsbefogenheter, ge de registrerade råd och assistans när det gäller utövandet av deras rättigheter och samarbeta med unionens och medlemsstaternas tillsynsmyndigheter, och

c) vilka internationella åtaganden tredjelandet eller den internationella organisationen har gjort.

c) vilka internationella åtaganden tredjelandet eller den internationella organisationen har gjort, särskilt rättsligt bindande konventioner eller instrument när det gäller skydd av personuppgifter.

3. Kommissionen får besluta att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet ifråga eller en internationell organisation är en garant för adekvat skydd i den mening som avses i punkt 2. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

3. Kommissionen ska ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att besluta att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet i fråga eller en internationell organisation är en garant för adekvat skydd i den mening som avses i punkt 2. Sådana delegerade akter ska innehålla en tidsfristklausul om de gäller en behandlande sektor, och ska upphävas enligt punkt 5 så snart en adekvat skyddsnivå enligt denna förordning inte längre kan garanteras.

4. Beslutets geografiska och sektorsmässiga tillämpning ska regleras i genomförandeakten, där det också i förekommande fall ska anges vilken myndighet som är tillsynsmyndighet enligt punkt 2 b.

4. Beslutets territoriella och sektorsmässiga tillämpning ska regleras i den delegerade akten, där det också i förekommande fall ska anges vilken myndighet som är tillsynsmyndighet enligt punkt 2 b.

 

4a. Kommissionen ska fortlöpande övervaka utveckling i tredjeländer och internationella organisationer vilken kan påverka det som anges i punkt 2 om en delegerad akt antagits enligt punkt 3.

5. Kommissionen får fastställa att ett tredjeland, ett territorium eller en bahandlande sektor inom tredjelandet i fråga eller en internationell organisation inte kan garantera en adekvat skyddsnivå i den mening som avses i punkt 2, särskilt om den relevanta allmänna eller sektorsspecifika lagstiftning som tillämpas i tredjelandet eller av den internationella organisationen inte garanterar faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom unionen och vars personuppgifter överförs. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2 eller, i fall som är ytterst brådskande för den individ vars personuppgifter behöver skyddas, enligt förfarandet i artikel 87.3.

5. Kommissionen ska ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att fastställa att ett tredjeland, ett territorium eller en bahandlande sektor inom tredjelandet i fråga eller en internationell organisation inte kan eller inte längre kan garantera en adekvat skyddsnivå i den mening som avses i punkt 2, särskilt om den relevanta allmänna eller sektorsspecifika lagstiftning som tillämpas i tredjelandet eller av den internationella organisationen inte garanterar faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom unionen och vars personuppgifter överförs.

6. Om kommissionen fattar beslut enligt punkt 5 får inga uppgifter överföras till tredjelandet, territoriet eller den behandlande sektorn inom tredjelandet, eller den internationella organisationen i fråga, utan att detta påverkar tillämpningen av artiklarna 42–44. Kommissionen ska vid lämplig tidpunkt samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den situation som uppstått som följd av beslutet enligt punkt 5.

6. Om kommissionen fattar beslut enligt punkt 5 får inga uppgifter överföras till tredjelandet, territoriet eller den behandlande sektorn inom tredjelandet, eller den internationella organisationen i fråga, utan att detta påverkar tillämpningen av artiklarna 42–44. Kommissionen ska vid lämplig tidpunkt samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den situation som uppstått som följd av beslutet enligt punkt 5.

 

6a. Innan kommissionen antar en delegerad akt enligt punkterna 3 och 5 ska den från Europeiska dataskyddsstyrelsen begära ett yttrande över huruvida skyddsnivån är adekvat. I detta syfte ska kommissionen lämna all nödvändig dokumentation till Europeiska dataskyddsstyrelsen, inklusive korrespondens med regeringen i tredjelandet, territoriet eller den behandlande sektorn i tredjelandet eller den internationella organisationen.

7. Kommissionen ska offentliggöra en förteckning i Europeiska unionens officiella tidning över de tredjeländer och de territorier och behandlande sektorer i ett givet tredjeland samt de internationella organisationer där den har beslutat att en adekvat skyddsnivå inte kan garanteras.

7. Kommissionen ska offentliggöra en förteckning i Europeiska unionens officiella tidning och på sin webbplats över de tredjeländer och de territorier och behandlande sektorer i ett givet tredjeland samt de internationella organisationer där den har fastställt att en adekvat skyddsnivå inte kan garanteras.

8. De beslut som fattas av kommissionen på grundval av artiklarna 25.6 eller 26.4 i direktiv 95/46/EG ska förbli i kraft tills de ändrats, ersatts eller upphävts av kommissionen.

8. De beslut som fattas av kommissionen på grundval av artiklarna 25.6 eller 26.4 i direktiv 95/46/EG ska förbli i kraft fem år efter denna förordnings ikraftträdande såvida de inte ändrats, ersatts eller upphävts av kommissionen före utgången av denna period.

Ändringsförslag  138

Förslag till förordning

Artikel 42

Kommissionens förslag

Ändringsförslag

Överföring med stöd av lämpliga skyddsåtgärder

Överföring med stöd av lämpliga skyddsåtgärder

1. Om kommissionen inte har fattat något sådant beslut som avses i artikel 41 får en registeransvarig eller registerförare endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder för personuppgifter genom ett juridiskt bindande instrument.

1. Om kommissionen inte har fattat något sådant beslut som avses i artikel 41, eller om den fastställer att ett tredjeland, ett territorium eller en behandlande sektor inom detta tredjeland eller en internationell organisation inte garanterar en adekvat skyddsnivå i enlighet med artikel 41.5, får en registeransvarig eller registerförare inte överföra personuppgifter till ett tredjeland, ett territorium eller en internationell organisation såvida inte den registeransvarige eller registerföraren vidtagit lämpliga skyddsåtgärder för personuppgifter genom ett juridiskt bindande instrument.

2. Lämpliga skyddsåtgärder enligt punkt 1 kan bland annat ta formen av

2. Lämpliga skyddsåtgärder enligt punkt 1 kan bland annat ta formen av

a) bindande företagsregler enligt artikel 43,

a) bindande företagsbestämmelser enligt artikel 43,

 

aa) en giltig märkning med ”den europeiska uppgiftsskyddsförseglingen” för den registeransvarige och mottagaren i enlighet med artikel 39.1e,  

b) standardiserade uppgiftsskyddsbestämmelser som antas av kommissionen; Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

 

c) standardiserade uppgiftsskyddsbestämmelser som antagits av en tillsynsmyndighet enligt den mekanism för enhetlighet som avses i artikel 57 förutsatt att denna bestämmelse förklarats allmänt sett giltig enligt artikel 62.1 b, eller

c) standardiserade uppgiftsskyddsbestämmelser som antagits av en tillsynsmyndighet enligt den mekanism för enhetlighet som avses i artikel 57 förutsatt att denna bestämmelse förklarats allmänt sett giltig enligt artikel 62.1 b, eller

d) avtalsklausuler mellan den registeransvarige eller registerföraren och mottagaren av uppgifterna, förutsatt att dessa klausuler har godkänts av tillsynsmyndigheten enligt punkt 4.

d) avtalsklausuler mellan den registeransvarige eller registerföraren och mottagaren av uppgifterna, förutsatt att dessa klausuler har godkänts av tillsynsmyndigheten enligt punkt 4.

3. En överföring som grundar sig på standardiserade uppgiftsskyddsbestämmelser eller bindande företagsregler enligt punkt 2 a, b eller c ska inte kräva något ytterligare tillstånd.

3. En överföring som grundar sig på standardiserade uppgiftsskyddsbestämmelser, ”den europeiska uppgiftsskyddsförseglingen” eller bindande företagsbestämmelser enligt punkt 2 a, aa eller c ska inte kräva något särskilt tillstånd.

4. Om en överföring grundar sig på avtalsklausuler enligt punkt 2 d ska den registeransvarige eller registerföraren först ansöka om att få dessa klausuler godkända av tillsynsmyndigheten enligt artikel 34.1 a. Om överföringen har samband med behandling av uppgifter om registrerade personer i en eller flera andra medlemsstater eller om den väsentligt påverkar det fria flödet av personuppgifter inom unionen ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57.

4. Om en överföring grundar sig på avtalsklausuler enligt punkt 2 d ska den registeransvarige eller registerföraren först ansöka om att få dessa klausuler godkända av tillsynsmyndigheten. Om överföringen har samband med behandling av uppgifter om registrerade personer i en eller flera andra medlemsstater eller om den väsentligt påverkar det fria flödet av personuppgifter inom unionen ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57.

5. Om lämpliga skyddsåtgärder för personuppgifter inte garanteras genom ett juridiskt bindande instrument ska den registeransvarige eller registerföraren i förväg söka tillstånd för överföring eller för en serie överföringar, eller söka tillstånd att få införa bestämmelser för ändamålet som en del i de administrativa arrangemang som överföringen ska grundas på. Tillsynsmyndigheten ska besluta om sådant tillstånd enligt artikel 34.1 a. Om överföringen har samband med behandling av uppgifter om registrerade personer i en eller flera andra medlemsstater eller om den väsentligt påverkar det fria flödet av personuppgifter inom unionen ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57. Tillstånd som beviljats av tillsynsmyndigheten på grundval av artikel 26.2 i direktiv 95/46/EG ska förbli giltiga tills de ändrats, ersatts eller upphävts av samma myndighet.

5. Tillstånd som beviljats av tillsynsmyndigheten på grundval av artikel 26.2 i direktiv 95/46/EG ska förbli giltiga i två år efter denna förordnings ikraftträdande såvida de inte ändrats, ersatts eller upphävts av samma myndighet före utgången av denna period.

Ändringsförslag   139

Förslag till förordning

Artikel 43

Kommissionens förslag

Ändringsförslag

Överföring med stöd av bindande företagsbestämmelser

Överföring med stöd av bindande företagsbestämmelser

1. En tillsynsmyndighet ska godkänna bindande företagsbestämmelser enligt den mekanism för enhetlighet som föreskrivs i artikel 58, förutsatt att dessa bestämmelser

1. Tillsynsmyndigheten ska godkänna bindande företagsbestämmelser enligt den mekanism för enhetlighet som föreskrivs i artikel 58, förutsatt att dessa bestämmelser

a) är rättsligt bindande, tillämpas på och verkställs av alla delar av den registeransvariges eller registerförarens företagsgrupp och av dess anställda,

a) är rättsligt bindande och tillämpas på och verkställs av alla delar av den registeransvariges eller registerförarens företagsgrupp, av dess externa underleverantörer som omfattas av de bindande företagsbestämmelserna och av dess anställda,

b) innehåller uttryckliga bestämmelser om de registrerades lagstadgade rättigheter,

b) innehåller uttryckliga bestämmelser om de registrerades lagstadgade rättigheter,

c) uppfyller villkoren i punkt 2.

c) uppfyller villkoren i punkt 2.

 

1a. När det gäller anställningsuppgifter ska de anställdas företrädare informeras om och, i enlighet med unionens eller en medlemsstats lagstiftning och praxis, involveras i utarbetandet av bindande företagsbestämmelser enligt artikel 43.

2. De bindande företagsbestämmelserna ska åtminstone precisera

2. De bindande företagsbestämmelserna ska åtminstone precisera

a) struktur och kontaktuppgifter för företagsgruppen och dess beståndsdelar,

a) struktur och kontaktuppgifter för företagsgruppen, dess beståndsdelar och de externa underleverantörer som omfattas av de bindande företagsbestämmelserna,

b) vilka överföringar eller serier av överföringar av uppgifter som omfattas, inklusive kategorierna av personuppgifter, typen av behandling och dess ändamål, den typ av registrerade som berörs samt vilket eller vilka tredjeländer som avses,

b) vilka överföringar eller serier av överföringar av uppgifter som omfattas, inklusive kategorierna av personuppgifter, typen av behandling och dess ändamål, den typ av registrerade som berörs samt vilket eller vilka tredjeländer som avses,

c) reglernas rättsligt bindande natur, såväl internt som externt,

c) bestämmelsernas rättsligt bindande natur, såväl internt som externt,

d) allmänna principer för uppgiftsskydd, särskilt avgränsning av syfte, kvalitet på uppgifterna, rättslig grund för behandlingen av dem, principer för behandlingen av känsliga personuppgifter, åtgärder för att garantera skyddet av uppgifterna och villkoren för vidarebefordran av uppgifter till organisationer som inte är bundna av företagsgruppens policy,

d) allmänna principer för uppgiftsskydd, särskilt avgränsning av syfte, uppgiftsminimering, begränsade perioder för bevarande, kvalitet på uppgifterna, inbyggt uppgiftsskydd och uppgiftsskydd som standard, rättslig grund för behandlingen av dem, principer för behandlingen av känsliga personuppgifter, åtgärder för att garantera skyddet av uppgifterna och villkoren för vidarebefordran av uppgifter till organisationer som inte är bundna av företagsgruppens policy,

e) de registrerades rättigheter och formerna för utövandet av dessa rättigheter, inklusive rätten att inte utsättas för åtgärder baserade på profilering enligt artikel 20, rätten att inge klagomål till tillsynsmyndigheten och till behöriga domstolar i medlemsstaterna enligt artikel 75, rätten till prövning samt i förekommande fall rätten till kompensation för överträdelse av de bindande företagsreglerna,

e) de registrerades rättigheter och formerna för utövandet av dessa rättigheter, inklusive rätten att inte utsättas för åtgärder baserade på profilering enligt artikel 20, rätten att inge klagomål till tillsynsmyndigheten och till behöriga domstolar i medlemsstaterna enligt artikel 75, rätten till prövning samt i förekommande fall rätten till kompensation för överträdelse av de bindande företagsbestämmelserna,

f) att den registeransvarige eller registerföraren som är etablerad inom medlemsstaternas territorium tar på sig ansvaret om en enhet i företagsgruppen som inte är etablerad inom unionen bryter mot de bindande företagsreglerna; den registeransvarige eller registerföraren får helt eller delvis fritas från denna skyldighet endast på villkoret att den berörda enheten i företagsgruppen inte kan hållas ansvarig för den skada som uppkommit,

f) att den registeransvarige som är etablerad inom medlemsstaternas territorium tar på sig ansvaret om en enhet i företagsgruppen som inte är etablerad inom unionen bryter mot de bindande företagsbestämmelserna; den registeransvarige får helt eller delvis fritas från denna skyldighet endast på villkoret att den berörda enheten i företagsgruppen inte kan hållas ansvarig för den skada som uppkommit,

g) hur de registrerade i enlighet med artikel 11 ska informeras om innehållet i de bindande företagsreglerna, särskilt de bestämmelser som avses i d, e och f i denna punkt,

g) hur de registrerade i enlighet med artikel 11 ska informeras om innehållet i de bindande företagsbestämmelserna, särskilt de bestämmelser som avses i d, e och f i denna punkt,

h) arbetsuppgifterna för det uppgiftsskyddsombud som utsetts enligt artikel 35, särskilt när det gäller att kontrollera hur de bindande företagsreglerna följs inom företagsgruppen samt i fråga om utbildning och behandling av klagomål,

h) arbetsuppgifterna för det uppgiftsskyddsombud som utsetts enligt artikel 35, särskilt när det gäller att kontrollera hur de bindande företagsbestämmelserna följs inom företagsgruppen samt i fråga om utbildning och behandling av klagomål,

i) företagsgruppens rutiner för att kontrollera att de bindande företagsreglerna följs,

i) företagsgruppens rutiner för att kontrollera att de bindande företagsbestämmelserna följs,

j) rutinerna för att rapportera och dokumentera ändringar i gruppens policy, samt rutinerna för att rapportera dessa ändringar till tillsynsmyndigheten,

j) rutinerna för att rapportera och dokumentera ändringar i gruppens policy, samt rutinerna för att rapportera dessa ändringar till tillsynsmyndigheten,

k) rutinerna för att samarbeta med tillsynsmyndigheten i syfte att se till att alla enheter i företagsgruppen följer reglerna, särskilt genom att meddela tillsynsmyndigheten alla resultat av de kontroller som avses i led i.

k) rutinerna för att samarbeta med tillsynsmyndigheten i syfte att se till att alla enheter i företagsgruppen följer reglerna, särskilt genom att meddela tillsynsmyndigheten alla resultat av de kontroller som avses i led i.

3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och kraven för bindande företagsbestämmelser i den mening som avses i denna artikel, särskilt i fråga om kriterierna för godkännande av sådana bestämmelser, tillämpningen av punkt 2 b, d, e och f i fråga om bindande företagsbestämmelser som tillämpas av registerförare, samt om ytterligare krav som gäller skyddet av de registrerades personuppgifter.

3. Kommissionen ska ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att ytterligare precisera formaten, förfarandena, kriterierna och kraven för bindande företagsbestämmelser i den mening som avses i denna artikel, särskilt i fråga om kriterierna för godkännande av sådana bestämmelser inklusive insyn för de registrerade –, tillämpningen av punkt 2 b, d, e och f i fråga om bindande företagsbestämmelser som tillämpas av registerförare, samt om ytterligare krav som gäller skyddet av de registrerades personuppgifter.

4. Kommissionen får precisera vilket format och vilka rutiner som ska användas för de registeransvarigas, registerförarnas och tillsynsmyndigheternas elektroniska utbyte av information om bindande företagsregler i den mening som avses i denna artikel. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2.

 

Ändringsförslag  140

Förslag till förordning

Artikel 43a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 43a

 

Överföringar och utlämnanden som inte är tillåtna enligt unionslagstiftningen

 

1. Domar respektive beslut som meddelas av domstolar eller av administrativa myndigheter i ett tredjeland och som ålägger en registeransvarig eller registerförare att lämna ut personuppgifter får inte vare sig erkännas eller på något vis vara verkställbara, dock utan att detta påverkar tillämpningen av fördrag om ömsesidig rättslig hjälp eller ett gällande internationellt avtal mellan det tredjeland som framställer en begäran och unionen eller en medlemsstat.

 

2. Om det i en dom respektive ett beslut som meddelas av en domstol eller av en administrativ myndighet i ett tredjeland begärs att en registeransvarig eller registerförare ska lämna ut personuppgifter ska den registeransvarige eller registerföraren och den registeransvariges eventuella företrädare utan onödigt dröjsmål anmäla detta till tillsynsmyndigheten och ansöka om tillsynsmyndighetens förhandstillstånd till överföringen eller utlämnandet.

 

3. Tillsynsmyndigheten ska bedöma om det begärda utlämnandet är förenligt med denna förordning och i synnerhet om utlämnandet är nödvändigt och ett lagstadgat krav i enlighet med artikel 44.1 d och e och artikel 44.5. Om registrerade från andra medlemsstater påverkas ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57.

 

4. Tillsynsmyndigheten ska informera den behöriga nationella myndigheten om begäran. Utan att det påverkar tillämpningen av artikel 21 ska den registeransvarige eller registerföraren även informera de registrerade om begäran och om det tillstånd som tillsynsmyndigheten utfärdat samt, i tillämpliga fall, informera den registrerade om huruvida personuppgifter lämnats ut till offentliga myndigheter under den senaste sammanhängande tolvmånadersperioden, i enlighet med artikel 14.1 ha.

Ändringsförslag  141

Förslag till förordning

Artikel 44

Kommissionens förslag

Ändringsförslag

Undantag

Undantag

1. Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 41 eller lämpliga skyddsåtgärder enligt artikel 42 får en överföring eller serier av överföringar till ett tredjeland eller en internationell organisation bara ske om något av följande villkor är uppfyllt:

1. Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 41 eller lämpliga skyddsåtgärder enligt artikel 42 får en överföring eller serier av överföringar till ett tredjeland eller en internationell organisation bara ske om något av följande villkor är uppfyllt:

a) Den registrerade har samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de risker en överföring kan medföra när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder.

a) Den registrerade har samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de risker en överföring kan medföra när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder.

b) Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den registeransvarige eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran.

b) Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den registeransvarige eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran.

c) Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den registeransvarige och en annan fysisk eller juridisk person i den registrerades intresse.

c) Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den registeransvarige och en annan fysisk eller juridisk person i den registrerades intresse.

d) Överföringen bedöms gynna viktiga samhälleliga intressen.

d) Överföringen bedöms gynna viktiga samhälleliga intressen.

e) Överföringen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.

e) Överföringen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.

f) Överföringen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

f) Överföringen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

g) Överföringen görs från ett register som enligt unionens eller medlemsstatens lagstiftning är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i unionslagstiftningen eller medlemsstatens lagstiftning angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.

g) Överföringen görs från ett register som enligt unionens eller medlemsstatens lagstiftning är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i unionslagstiftningen eller medlemsstatens lagstiftning angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.

h) Överföringen är nödvändig för att tillgodose den registeransvariges eller registerförarens berättigade intressen, där överföringen inte kan anses vara ofta återkommande eller omfattande, och där den registeransvarige eller registerföraren har bedömt alla omständigheter kring en överföring eller en serie av överföringar av uppgifter och utifrån denna bedömning om så krävts vidtagit lämpliga åtgärder för att skydda personuppgifter.

 

2. En överföring enligt punkt 1 g får inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.

2. En överföring enligt punkt 1 g får inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.

3. Om behandlingen av uppgifter grundas på punkt 1 h ska den registeransvarige eller registerföraren ta särskild hänsyn till uppgiftens art, den eller de avsedda behandlingarnas ändamål och varaktighet samt situationen i ursprungslandet, tredjelandet och det slutliga bestämmelselandet, och om så krävs vidta lämpliga åtgärder för att skydda personuppgifter.

 

4. Punkt 1 b, c och h ska inte gälla åtgärder som vidtas av offentliga myndigheter som en del av deras offentliga befogenheter.

4. Punkt 1 b och c ska inte gälla åtgärder som vidtas av offentliga myndigheter som en del av deras offentliga befogenheter.

5. Allmänhetens intresse enligt punkt 1 d får bara åberopas om det har stöd i unionslagstiftning eller i den medlemsstats lagstiftning som är tillämplig på den registeransvarige.

5. Allmänhetens intresse enligt punkt 1 d får bara åberopas om det har stöd i unionslagstiftning eller i den medlemsstats lagstiftning som är tillämplig på den registeransvarige.

6. Den registeransvarige eller registerföraren ska, som en del av den dokumentation som avses i artikel 28, bevara uppgifter både om den bedömning som gjorts och de lämpliga skyddsåtgärder som vidtagits enligt punkt 1 h, och ska underrätta tillsynsmyndigheten om överföringen.

 

7. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att precisera villkoren för vad som bedöms ”gynna viktiga samhälleliga intressen” enligt punkt 1 d liksom kriterierna och kraven för lämpliga åtgärder för att skydda personuppgifter enligt punkt 1 h.

7. Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med artikel 66.1 b för att precisera kriterierna och kraven för uppgiftsöverföringar på grundval av punkt 1.

Ändringsförslag  142

Förslag till förordning

Artikel 45 – punkt 1 – led a

Kommissionens förslag

Ändringsförslag

a) utveckla ändamålsenliga rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om skydd av personuppgifter,

a) utveckla ändamålsenliga rutiner för det internationella samarbetet för att garantera en effektiv tillämpning av lagstiftningen om skydd av personuppgifter,

Ändringsförslag  143

Förslag till förordning

Artikel 45 – punkt 1 – led da (nytt)

Kommissionens förslag

Ändringsförslag

 

da) klargöra och samråda om behörighetskonflikter med tredjeländer.

Ändringsförslag  144

Förslag till förordning

Artikel 45a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 45a

 

Rapport från kommissionen

 

Kommissionen ska regelbundet och med början senast fyra år efter den dag som avses i artikel 91.1 lämna en rapport till Europaparlamentet och rådet om tillämpningen av artiklarna 40–45. För det ändamålet får kommissionen begära in information från medlemsstaterna och tillsynsmyndigheterna, vilken ska lämnas utan onödigt dröjsmål. Rapporten ska offentliggöras.

Ändringsförslag  145

Förslag till förordning

Artikel 47 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Tillsynsmyndigheten ska vara fullständigt oberoende i utövandet av det uppdrag och de befogenheter som den anförtrotts.

1. Tillsynsmyndigheten ska vara fullständigt oberoende och opartisk i utövandet av det uppdrag och de befogenheter som den anförtrotts, utan hinder av arrangemang för samarbete och enhetlighet enligt kapitel VII i denna förordning.

Ändringsförslag  146

Förslag till förordning

Artikel 47 – punkt 7a (ny)

Kommissionens förslag

Ändringsförslag

 

7a. Alla medlemsstater ska se till att tillsynsmyndigheterna är ansvariga inför de nationella parlamenten när det gäller budgetkontrollen.

Ändringsförslag  147

Förslag till förordning

Artikel 50

Kommissionens förslag

Ändringsförslag

Tystnadsplikt

Tystnadsplikt

Både under och efter sin mandattid respektive anställning ska tillsynsmyndighetens ledamöter och personal omfattas av tystnadsplikt vad avser konfidentiell information som har kommit till deras kännedom under tjänsteutövningen.

Både under och efter sin mandattid respektive anställning ska tillsynsmyndighetens ledamöter och personal, i enlighet med nationell lagstiftning och praxis, omfattas av tystnadsplikt vad avser konfidentiell information som har kommit till deras kännedom under tjänsteutövningen samt utföra sina arbetsuppgifter på ett oberoende och öppet sätt i enlighet med förordningen.

Ändringsförslag   148

Förslag till förordning

Artikel 51 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Varje tillsynsmyndighet ska inom sin respektive medlemsstats territorium utöva de befogenheter som tilldelas den enligt denna förordning.

1. Utan att det påverkar tillämpningen av artiklarna 73 och 74 ska varje tillsynsmyndighet inom sin respektive medlemsstats territorium vara behörig att utföra de arbetsuppgifter och utöva de befogenheter som tilldelas den enligt denna förordning. Tillsyn över offentliga myndigheters uppgiftsbehandling ska utövas uteslutande av tillsynsmyndigheten i respektive medlemsstat.

Ändringsförslag  149

Förslag till förordning

Artikel 51 – punkt 2

Kommissionens förslag

Ändringsförslag

2. När personuppgifter behandlas som en del av verksamheten hos en registeransvarig eller registerförare som är etablerad i unionen, och den registeransvarige eller registerföraren i fråga är etablerad i fler än en medlemsstat, ska den tillsynsmyndighet som är behörig på dess huvudsakliga verksamhetsställe vara behörig att utöva tillsyn över all behandling av personuppgifter som utförs av denne registeransvarige eller registerförare i alla medlemsstater, utan att detta påverkar tillämpningen av kapitel VII i denna förordning.

utgår

Ändringsförslag  150

Förslag till förordning

Artikel 52 – punkt 1 – led b

Kommissionens förslag

Ändringsförslag

b) Ta emot klagomål från registrerade eller från sammanslutningar som representerar registrerade enligt artikel 73, där så är lämpligt undersöka sakfrågan och inom rimlig tid underrätta den registrerade eller sammanslutningen om hur behandlingen av klagomålet fortskrider och vilken slutsats som nås, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet.

b) Ta emot klagomål från registrerade eller från sammanslutningar enligt artikel 73, där så är lämpligt undersöka sakfrågan och inom rimlig tid underrätta den registrerade eller sammanslutningen om hur behandlingen av klagomålet fortskrider och vilken slutsats som nås, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet.

Ändringsförslag  151

Förslag till förordning

Artikel 52 – punkt 1 – led d

Kommissionens förslag

Ändringsförslag

d) Utföra undersökningar på eget initiativ, på grundval av klagomål eller på begäran av en annan tillsynsmyndighet och – om en undersökning grundar sig på ett klagomål som en registrerad lämnat in till myndigheten – underrätta den registrerade om resultatet inom rimlig tid.

d) Utföra undersökningar på eget initiativ, på grundval av klagomål eller specifika och dokumenterade uppgifter som mottagits och som tyder på otillåten behandling eller på begäran av en annan tillsynsmyndighet och – om en undersökning grundar sig på ett klagomål som en registrerad lämnat in till myndigheten – underrätta den registrerade om resultatet inom rimlig tid.

Ändringsförslag  152

Förslag till förordning

Artikel 52 – punkt 1 – led ja (nytt)

Kommissionens förslag

Ändringsförslag

 

ja) Certifiera registeransvariga och registerförare enligt artikel 39.

Ändringsförslag  153

Förslag till förordning

Artikel 52 – punkt 2

Kommissionens förslag

Ändringsförslag

2. Alla tillsynsmyndigheter har i uppdrag att öka allmänhetens medvetenhet om risker, regler, skyddsåtgärder och rättigheter i fråga om behandlingen av personuppgifter. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn.

2. Alla tillsynsmyndigheter har i uppdrag att öka allmänhetens medvetenhet om risker, regler, skyddsåtgärder och rättigheter i fråga om behandlingen av personuppgifter samt om lämpliga åtgärder för skydd av personuppgifter. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn.

Ändringsförslag  154

Förslag till förordning

Artikel 52 – punkt 2a (ny)

Kommissionens förslag

Ändringsförslag

 

2a. Alla tillsynsmyndigheter ska tillsammans med Europeiska dataskyddsstyrelsen främja registeransvarigas och registerförares medvetenhet om risker, regler, skyddsåtgärder och rättigheter i fråga om behandlingen av personuppgifter. Detta inbegriper att föra ett register över sanktioner och överträdelser. Registret ska i så stor detalj som möjligt innehålla alla varningar och sanktioner samt information om avhjälpande av överträdelser. Alla tillsynsmyndigheter ska på begäran förse mikroföretag, små och medelstora företag, registeransvariga och registerförare med allmän information om deras ansvarsområden och skyldigheter i enlighet med denna förordning.

Ändringsförslag  155

Förslag till förordning

Artikel 52 – punkt 6

Kommissionens förslag

Ändringsförslag

6. Om en registrerad begär tjänster som uppenbart är orimligt omfattande, till exempel på grund av repetitiv karaktär, får tillsynsmyndigheten ta ut en avgift eller avstå från att utföra de tjänster som den registrerade begär. I så fall ska det åligga tillsynsmyndigheten att visa att begäran är uppenbart orimlig.

6. Om en registrerad begär tjänster som uppenbart är orimligt omfattande, till exempel på grund av repetitiv karaktär, får tillsynsmyndigheten ta ut en rimlig avgift eller avstå från att utföra de tjänster som den registrerade begär. Avgiften får inte överstiga kostnaden för att utföra de begärda tjänsterna. I så fall ska det åligga tillsynsmyndigheten att visa att begäran är uppenbart orimlig.

Ändringsförslag  156

Förslag till förordning

Artikel 53

Kommissionens förslag

Ändringsförslag

Befogenheter

Befogenheter

1. Varje tillsynsmyndighet ska ha befogenhet att

1. Varje tillsynsmyndighet ska i linje med denna förordning ha befogenhet att

a) meddela den registeransvarige eller registerföraren om det finns en påstådd överträdelse av bestämmelserna om behandling av personuppgifter, och om så krävs specifikt beordra den registeransvarige eller registerföraren att komma tillrätta med överträdelsen och därigenom skydda den registrerade,

a) meddela den registeransvarige eller registerföraren om det finns en påstådd överträdelse av bestämmelserna om behandling av personuppgifter, och om så krävs specifikt beordra den registeransvarige eller registerföraren att komma tillrätta med överträdelsen och därigenom skydda den registrerade, eller beordra den registeransvarige att meddela den registrerade att ett personuppgiftsbrott begåtts,

b) beordra den registeransvarige eller registerföraren att följa den registrerades krav att få utöva sina rättigheter enligt den här förordningen,

b) beordra den registeransvarige eller registerföraren att följa den registrerades krav att få utöva sina rättigheter enligt den här förordningen,

c) beordra den registeransvarige eller registerföraren, och där så krävs företrädaren, att lägga fram alla uppgifter som behövs för att myndigheten ska kunna fullgöra sitt uppdrag,

c) beordra den registeransvarige eller registerföraren, och där så krävs företrädaren, att lägga fram alla uppgifter som behövs för att myndigheten ska kunna fullgöra sitt uppdrag,

d) se till att de förhandstillstånd eller förhandssamråd som avses i artikel 34 efterlevs,

d) se till att de förhandstillstånd eller förhandssamråd som avses i artikel 34 efterlevs,

e) varna eller tillrättavisa den registeransvarige eller registerföraren,

e) varna eller tillrättavisa den registeransvarige eller registerföraren,

f) beordra rättelse, radering eller förstöring av alla uppgifter som har behandlats på ett sätt som står i strid med denna förordning samt underrätta den tredje part till vilken uppgifterna har lämnats ut om dessa åtgärder,

f) beordra rättelse, radering eller förstöring av alla uppgifter som har behandlats på ett sätt som står i strid med denna förordning samt underrätta den tredje part till vilken uppgifterna har lämnats ut om dessa åtgärder,

g) tillfälligt eller definitivt förbjuda behandling,

g) tillfälligt eller definitivt förbjuda behandling,

h) avbryta flödet av uppgifter till en mottagare i tredje land eller en internationell organisation,

h) avbryta flödet av uppgifter till en mottagare i tredje land eller en internationell organisation,

i) avge yttranden i frågor som rör skydd av personuppgifter,

i) avge yttranden i frågor som rör skydd av personuppgifter,

 

ia) certifiera registeransvariga och registerförare enligt artikel 39,

j) informera nationella parlament, regeringar, andra politiska institutioner och allmänhet om frågor som rör skydd av personuppgifter.

j) informera nationella parlament, regeringar, andra politiska institutioner och allmänhet om frågor som rör skydd av personuppgifter.

 

ja) införa ändamålsenliga mekanismer för att uppmuntra konfidentiell rapportering av överträdelser av denna förordning, med beaktande av vägledningen från Europeiska dataskyddsstyrelsen enligt artikel 66.4b.

2. Varje tillsynsmyndighet ska ha de undersökningsbefogenheter som behövs för att kräva följande av den registeransvarige eller registerföraren:

2. Varje tillsynsmyndighet ska ha de undersökningsbefogenheter som behövs för att kräva följande av den registeransvarige eller registerföraren utan föregående meddelande:

a) Tillgång till personuppgifter och all annan information som myndigheten behöver för att kunna fullgöra sitt uppdrag.

a) Tillgång till de personuppgifter, alla handlingar och all annan information som myndigheten behöver för att kunna fullgöra sitt uppdrag.

b) Tillgång till den registeransvariges eller registerförarens lokaler, inklusive all utrustning och alla andra medel för behandling av personuppgifter, om det finns rimliga skäl att anta att där har förekommit överträdelser av denna förordning.

b) Tillgång till den registeransvariges eller registerförarens lokaler, inklusive all utrustning och alla andra medel för behandling av personuppgifter.

Befogenheterna i b ska utövas på ett sätt som är förenligt med unionens och medlemsstatens lagstiftning.

Befogenheterna i b ska utövas på ett sätt som är förenligt med unionens och medlemsstatens lagstiftning.

3. Varje tillsynsmyndighet ska ha befogenhet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och att väcka talan vid domstol, särskilt enligt artiklarna 74.4 och 75.2.

3. Varje tillsynsmyndighet ska ha befogenhet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och att väcka talan vid domstol, särskilt enligt artiklarna 74.4 och 75.2.

4. Varje tillsynsmyndighet ska också ha befogenhet att utfärda sanktioner vid administrativa överträdelser, särskilt enligt artikel 79.4, 79.5 och 79.6.

4. Varje tillsynsmyndighet ska också ha befogenhet att utfärda sanktioner vid administrativa överträdelser i enlighet med artikel 79. Denna befogenhet ska utövas på ett effektivt, proportionellt och avskräckande sätt.

Ändringsförslag  157

Förslag till förordning

Artikel 54

Kommissionens förslag

Ändringsförslag

Varje tillsynsmyndighet ska lägga fram en årlig verksamhetsrapport. Rapporten ska läggas fram inför det nationella parlamentet och göras tillgänglig för allmänheten samt för kommissionen och Europeiska dataskyddsstyrelsen.

Varje tillsynsmyndighet ska minst vartannat år lägga fram en rapport om sin verksamhet. Rapporten ska läggas fram för respektive parlament och göras tillgänglig för allmänheten, kommissionen och Europeiska dataskyddsstyrelsen.

Ändringsförslag  158

Förslag till förordning

Artikel 54a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 54a

 

Ansvarig myndighet

 

1. Om personuppgifter behandlas inom ramen för verksamheten vid en registeransvarigs eller registerförares verksamhetsställe i unionen och denne registeransvarige eller registerförare är verksam i mer än en medlemsstat, eller om personuppgifter från bosatta i olika medlemsstater behandlas, ska tillsynsmyndigheten för den registeransvariges eller registerförarens huvudsakliga verksamhetsställe fungera som den ansvariga myndigheten med ansvar för tillsynen över den registeransvariges eller registerförarens uppgiftsbehandling i alla medlemsstater, i enlighet med bestämmelserna i kapitel VII i denna förordning.

 

2. Den ansvariga tillsynsmyndigheten ska vidta lämpliga åtgärder för tillsynen över uppgiftsbehandlingen hos den registeransvarige eller registerförare för vilken den är ansvarig först efter att ha samrått med alla andra behöriga tillsynsmyndigheter i den mening som avses i artikel 51.1 i ett försök att uppnå samförstånd. I detta syfte ska den framför allt lämna all relevant information och samråda med övriga myndigheter innan den vidtar åtgärder som är avsedda att ha rättsliga följder för en registeransvarig eller registerförare i den mening som avses i artikel 51.1. Den ansvariga myndigheten ska ta största möjliga hänsyn till de berörda myndigheternas yttranden. Den ansvariga myndigheten ska vara den enda myndighet som har befogenhet att besluta om åtgärder som är avsedda att ha rättsliga följder när det gäller uppgiftsbehandlingen hos den registeransvarige eller registerförare för vilken den är ansvarig.

 

3. Europeiska dataskyddsstyrelsen ska på begäran av en behörig tillsynsmyndighet avge ett yttrande över fastställandet av den ansvariga myndigheten med ansvar för en registeransvarig eller registerförare i fall där

 

a) det med utgångspunkt från omständigheterna i ett ärende är oklart var den registeransvariges eller registerförarens huvudsakliga verksamhetsställe är beläget, eller

 

b) de behöriga myndigheterna inte är överens om vilken tillsynsmyndighet som ska fungera som ansvarig myndighet, eller

 

c) den registeransvarige inte är etablerad i unionen men bosatta i olika medlemsstater påverkas av uppgiftsbehandling som omfattas av denna förordning.

 

3a. Om den registeransvarige även utför verksamhet som registerförare ska tillsynsmyndigheten för den registeransvariges huvudsakliga verksamhetsställe fungera som ansvarig myndighet med ansvar för tillsynen över uppgiftsbehandlingen.

 

4. Europeiska dataskyddsstyrelsen får besluta om fastställandet av ansvarig myndighet.

(Punkt 1 i parlamentets ändringsförslag bygger på artikel 51.2 i kommissionens förslag).

Ändringsförslag  159

Förslag till förordning

Artikel 55 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning enhetligt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Som en del av det ömsesidiga biståndet ska tillsynsmyndigheterna bland annat kunna begära information från varandra och bistå varandra i tillsynsarbetet, till exempel genom att uppmana varandra att utfärda förhandstillstånd eller bedriva förhandssamråd, utföra inspektioner och komma med snabb information i samband med att ärenden inleds och fortskrider i fall där registrerade personer i flera medlemsstater kan komma att påverkas av att uppgifter behandlas.

1. Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning enhetligt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Som en del av det ömsesidiga biståndet ska tillsynsmyndigheterna bland annat kunna begära information från varandra och bistå varandra i tillsynsarbetet, till exempel genom att uppmana varandra att utfärda förhandstillstånd eller bedriva förhandssamråd, utföra inspektioner och utredningar och komma med snabb information i samband med att ärenden inleds och fortskrider i fall där den registeransvarige eller registerföraren har verksamhetsställen i flera medlemsstater eller registrerade personer i flera medlemsstater kan komma att påverkas av att uppgifter behandlas. Den ansvariga myndigheten enligt definitionen i artikel 54a ska garantera samordningen med berörda tillsynsmyndigheter och ska fungera som gemensam kontaktpunkt för den registeransvarige eller registerföraren.

Ändringsförslag  160

Förslag till förordning

Artikel 55 – punkt 7

Kommissionens förslag

Ändringsförslag

7. Åtgärder som vidtagits efter en begäran om ömsesidigt bistånd ska inte vara belagda med någon avgift.

7. Åtgärder som vidtagits efter en begäran om ömsesidigt bistånd ska inte vara belagda med någon avgift för den begärande tillsynsmyndigheten.

Ändringsförslag  161

Förslag till förordning

Artikel 55 – punkt 8

Kommissionens förslag

Ändringsförslag

8. Om en tillsynsmyndighet som tagit emot en begäran från en annan tillsynsmyndighet inte agerat inom en månad ska den myndighet som lämnat begäran ha befogenhet att vidta en provisorisk åtgärd på sin medlemsstats territorium i kraft av artikel 51.1, och ska lämna över ärendet till Europeiska dataskyddsstyrelsen enligt förfarandet i artikel 57.

8. Om en tillsynsmyndighet som tagit emot en begäran från en annan tillsynsmyndighet inte agerat inom en månad ska den myndighet som lämnat begäran ha befogenhet att vidta en provisorisk åtgärd på sin medlemsstats territorium i kraft av artikel 51.1, och ska lämna över ärendet till Europeiska dataskyddsstyrelsen enligt förfarandet i artikel 57. Om det på grund av att biståndsåtgärderna ännu inte slutförts inte går att vidta en definitiv åtgärd får den myndighet som lämnat begäran vidta en provisorisk åtgärd enligt artikel 53 på sin medlemsstats territorium.

Ändringsförslag  162

Förslag till förordning

Artikel 55 – punkt 9

Kommissionens förslag

Ändringsförslag

9. Tillsynsmyndigheten ska då precisera hur länge denna provisoriska åtgärd ska gälla. Denna period får inte överskrida tre månader. Tillsynsmyndigheten ska utan dröjsmål underrätta Europeiska dataskyddsstyrelsen och kommissionen om dessa åtgärder, och ge en uttömmande motivering.

9. Tillsynsmyndigheten ska då precisera hur länge denna provisoriska åtgärd ska gälla. Denna period får inte överskrida tre månader. Tillsynsmyndigheten ska utan dröjsmål underrätta Europeiska dataskyddsstyrelsen och kommissionen om dessa åtgärder, och ge en uttömmande motivering, i enlighet med det förfarande som avses i artikel 57.

Ändringsförslag  163

Förslag till förordning

Artikel 55 – punkt 10

Kommissionens förslag

Ändringsförslag

10. Kommissionen får precisera format och förfaranden för sådant ömsesidigt bistånd som avses i denna artikel samt formerna för elektronisk överföring av information tillsynsmyndigheter emellan, samt mellan tillsynsmyndigheter och Europeiska dataskyddsstyrelsen, i synnerhet det standardiserade format som avses i punkt 6. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

10. Europeiska dataskyddsstyrelsen får precisera format och förfaranden för sådant ömsesidigt bistånd som avses i denna artikel samt formerna för elektronisk överföring av information tillsynsmyndigheter emellan, samt mellan tillsynsmyndigheter och Europeiska dataskyddsstyrelsen, i synnerhet det standardiserade format som avses i punkt 6.

Ändringsförslag  164

Förslag till förordning

Artikel 56 – punkt 2

Kommissionens förslag

Ändringsförslag

2. Om registrerade personer i flera medlemsstater kan komma att påverkas av att uppgifter behandlas ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i det gemensamma undersökningsarbetet eller i andra gemensamma insatser enligt vad som är lämpligt i det enskilda fallet. Den behöriga tillsynsmyndigheten ska inbjuda tillsynsmyndigheterna i var och en av de berörda medlemsstaterna att delta i det gemensamma underökningsarbetet eller de gemensamma insatserna och ska utan dröjsmål svara på en annan tillsynsmyndighets begäran att få delta.

2. Om den registeransvarige eller registerföraren har verksamhetsställen i flera medlemsstater eller om registrerade personer i flera medlemsstater kan komma att påverkas av att uppgifter behandlas ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i det gemensamma undersökningsarbetet eller i andra gemensamma insatser enligt vad som är lämpligt i det enskilda fallet. Den ansvariga myndigheten enligt definitionen i artikel 54a ska involvera tillsynsmyndigheterna i var och en av de berörda medlemsstaterna i det gemensamma undersökningsarbetet eller de gemensamma insatserna och ska utan dröjsmål svara på en annan tillsynsmyndighets begäran att få delta. Den ansvariga myndigheten ska fungera som gemensam kontaktpunkt för den registeransvarige och registerföraren.

Ändringsförslag  165

Förslag till förordning

Artikel 57

Kommissionens förslag

Ändringsförslag

Mekanism för enhetlighet

Mekanism för enhetlighet

För de ändamål som anges i artikel 46.1 ska tillsynsmyndigheterna samarbeta inbördes och med kommissionen genom den mekanism för enhetlighet som regleras i detta avsnitt.

För de ändamål som anges i artikel 46.1 ska tillsynsmyndigheterna samarbeta inbördes och med kommissionen genom mekanismen för enhetlighet i samband med såväl frågor av allmän räckvidd som enskilda fall, i enlighet med bestämmelserna i detta avsnitt.

Ändringsförslag  166

Förslag till förordning

Artikel 58

Kommissionens förslag

Ändringsförslag

Yttrande från Europeiska dataskyddsstyrelsen

Enhetlighet i frågor av allmän räckvidd

1. Innan en tillsynsmyndighet vidtar en åtgärd enligt punkt 2 ska den skicka ett utkast till den planerade åtgärden till Europeiska dataskyddsstyrelsen och till kommissionen.

1. Innan en tillsynsmyndighet vidtar en åtgärd enligt punkt 2 ska den skicka ett utkast till den planerade åtgärden till Europeiska dataskyddsstyrelsen och till kommissionen.

2. Skyldigheten enligt punkt 1 ska omfatta alla åtgärder som är avsedda att ge rättsliga följder och som

2. Skyldigheten enligt punkt 1 ska omfatta alla åtgärder som är avsedda att ge rättsliga följder och som

a) gäller behandling av uppgifter i samband med tillhandahållande av varor eller tjänster till registrerade i flera medlemsstater eller till kartläggning av dessa registrerade personers beteende,

 

b) som väsentligt kan påverka det fria flödet av personuppgifter inom unionen,

 

c) som syftar till att anta en förteckning över sådan behandling som omfattas av förhandssamråd enligt artikel 34.5,

 

d) syftar till att fastställa standardiserade uppgiftsskyddsbestämmelser enligt artikel 42.2 c,

d) syftar till att fastställa standardiserade uppgiftsskyddsbestämmelser enligt artikel 42.2 c,

e) syftar till att godkänna avtalsklausuler enligt artikel 42.2 d, eller

e) syftar till att godkänna avtalsklausuler enligt artikel 42.2 d, eller

f) syftar till att godkänna bindande företagsbestämmelser enligt artikel 43.

f) syftar till att godkänna bindande företagsbestämmelser enligt artikel 43.

3. Varje tillsynsmyndighet kan liksom Europeiska dataskyddsstyrelsen begära att en fråga ska tas upp inom mekanismen för enhetlighet, särskilt i fall där en tillsynsmyndighet inte har skickat ett utkast till en planerad åtgärd enligt punkt 2 eller inte har uppfyllt villkoren för ömsesidigt bistånd enligt artikel 55 eller för gemensamma insatser enligt artikel 56.

3. Varje tillsynsmyndighet kan liksom Europeiska dataskyddsstyrelsen begära att en fråga av allmän räckvidd ska tas upp inom mekanismen för enhetlighet, särskilt i fall där en tillsynsmyndighet inte har skickat ett utkast till en planerad åtgärd enligt punkt 2 eller inte har uppfyllt villkoren för ömsesidigt bistånd enligt artikel 55 eller för gemensamma insatser enligt artikel 56.

4. För att garantera en korrekt och enhetlig tillämpning av denna förordning ska kommissionen ha befogenhet att begära att vilken fråga som helst ska tas upp inom mekanismen för enhetlighet.

4. För att garantera en korrekt och enhetlig tillämpning av denna förordning ska kommissionen ha befogenhet att begära att varje fråga av allmän räckvidd ska tas upp inom mekanismen för enhetlighet.

5. Tillsynsmyndigheterna och kommissionen ska i ett standardiserat elektroniskt format översända all relevant information, i förekommande fall en sammanfattning av sakförhållanden, ett utkast till åtgärd och en motivering till att en sådan åtgärd bedöms vara nödvändig.

5. Tillsynsmyndigheterna och kommissionen ska utan onödigt dröjsmål och i ett standardiserat elektroniskt format översända all relevant information, i förekommande fall en sammanfattning av sakförhållanden, ett förslag till åtgärd och en motivering till att en sådan åtgärd bedöms vara nödvändig.

6. Europeiska dataskyddsstyrelsens ordförande ska i ett standardiserat elektroniskt format omedelbart upplysa dess ledamöter samt kommissionen om all relevant information som meddelats styrelsen. Där så krävs ska Europeiska dataskyddsstyrelsens ordförande se till att relevant information översätts.

6. Europeiska dataskyddsstyrelsens ordförande ska utan onödigt dröjsmål och i ett standardiserat elektroniskt format upplysa dess ledamöter samt kommissionen om all relevant information som meddelats styrelsen. Där så krävs ska Europeiska dataskyddsstyrelsens sekretariat se till att relevant information översätts.

 

6a. Europeiska dataskyddsstyrelsen ska anta ett yttrande i frågor som hänskjuts till den enligt punkt 2.

7. Europeiska dataskyddsstyrelsen ska lägga fram ett yttrande i frågan om styrelsen själv så beslutar med enkel majoritet av ledamöterna eller på begäran av en tillsynsmyndighet eller kommissionen inom en vecka efter att den relevanta informationen enligt punkt 5 har lagts fram. Yttrandet ska antas inom en månad med enkel majoritet av Europeiska dataskyddsstyrelsens ledamöter. Europeiska dataskyddsstyrelsens ordförande ska utan onödigt dröjsmål underrätta den berörda tillsynsmyndigheten enligt punkt 1 eller 3 beroende på det enskilda fallet, samt kommissionen och den behöriga tillsynsmyndigheten enligt artikel 51 om yttrandet, och yttrandet ska också offentliggöras.

7. Europeiska dataskyddsstyrelsen får med enkel majoritet besluta huruvida ett yttrande ska antas i frågor som inkommit i enlighet med punkterna 3 och 4, med beaktande av

 

a) huruvida frågorna inbegriper nya aspekter med hänsyn till den rättsliga eller faktiska utvecklingen, i synnerhet på it-området och i ljuset av framsteg som gjorts inom informationssamhället, och

 

b) huruvida Europeiska dataskyddsstyrelsen redan avgett ett yttrande i samma fråga.

8. Den tillsynsmyndighet som avses i punkt 1 och den tillsynsmyndighet som är behörig enligt artikel 51 ska ta hänsyn till Europeiska dataskyddsstyrelsen yttrande och ska – inom två veckor efter det att Europeiska dataskyddsstyrelsens ordförande har underrättat dem om yttrandet – i ett standardiserat elektroniskt format meddela Europeiska dataskyddsstyrelsens ordförande och kommissionen om huruvida den avser att hålla fast vid eller ändra sitt utkast till åtgärd, och i förekommande fall bifoga en text till den ändrade åtgärden.

8. Europeiska dataskyddsstyrelsen ska med enkel majoritet av ledamöterna anta yttranden enligt punkterna 6a och 7. Dessa yttranden ska offentliggöras.

Ändringsförslag   167

Förslag till förordning

Artikel 58a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 58a

 

Enhetlighet i enskilda fall

 

1. Innan den ansvariga myndigheten vidtar åtgärder som är avsedda att ha rättsliga följder i den mening som avses i artikel 54a ska den lämna all relevant information samt förslaget till åtgärd till alla andra behöriga myndigheter. Den ansvariga myndigheten får inte anta åtgärden om en behörig myndighet inom en period på tre veckor har angett att den har allvarliga invändningar mot åtgärden.

 

2. Om en behörig myndighet har angett att den har allvarliga invändningar mot den ansvariga myndighetens förslag till åtgärd, eller om den ansvariga myndigheten inte lämnar ett sådant förslag till åtgärd som avses i punkt 1 eller inte fullgör skyldigheterna när de gäller ömsesidigt bistånd enligt artikel 55 eller gemensamma insatser enligt artikel 56, ska frågan behandlas av Europeiska dataskyddsstyrelsen.

 

3. Den ansvariga myndigheten och/eller övriga involverade behöriga myndigheter och kommissionen ska utan onödigt dröjsmål i ett standardiserat elektroniskt format översända all relevant information till Europeiska dataskyddsstyrelsen, i förekommande fall inklusive en sammanfattning av sakförhållandena, förslaget till åtgärd, motiveringen till att en sådan åtgärd bedöms vara nödvändig, invändningarna mot den samt övriga berörda tillsynsmyndigheters åsikter.

 

4. Europeiska dataskyddsstyrelsen ska behandla frågan och därvid beakta konsekvenserna av den ansvariga myndighetens förslag till åtgärder för de registrerades grundläggande rättigheter och friheter, och ska inom två veckor efter det att den relevanta informationen översändes i enlighet med punkt 3 besluta med enkel majoritet av ledamöterna huruvida ett yttrande i frågan ska avges.

 

5. Om Europeiska dataskyddsstyrelsen beslutar att avge ett yttrande ska den göra det inom sex veckor samt offentliggöra yttrandet.

 

6. Den ansvariga myndigheten ska ta största möjliga hänsyn till Europeiska dataskyddsstyrelsen yttrande och ska – inom två veckor efter det att Europeiska dataskyddsstyrelsens ordförande underrättade den om yttrandet – i ett standardiserat elektroniskt format meddela Europeiska dataskyddsstyrelsens ordförande och kommissionen om huruvida den har för avsikt att hålla fast vid eller ändra sitt förslag till åtgärd och, i förekommande fall, bifoga det ändrade förslaget till åtgärd. Om den ansvariga myndigheten har för avsikt att inte följa Europeiska dataskyddsstyrelsens yttrande ska den ange skälen till detta.

 

7. Om Europeiska dataskyddsstyrelsen fortfarande har invändningar mot den åtgärd från tillsynsmyndigheten som avses i punkt 5 får den med två tredjedelar av rösterna anta en åtgärd som ska vara bindande för tillsynsmyndigheten.

Ändringsförslag  168

Förslag till förordning

Artikel 59

Kommissionens förslag

Ändringsförslag

Artikel 59

utgår

Yttrande från kommissionen

 

1. Inom tio veckor efter det att en fråga tagits upp enligt artikel 58, eller inom sex veckor när det gäller frågor som omfattas av artikel 61, kan kommissionen anta ett yttrande i den fråga som tagits upp enligt någon av dessa artiklar i syfte att slå vakt om en korrekt och enhetlig tillämpning av denna förordning.

 

2. När kommissionen har antagit ett yttrande enligt punkt 1 ska den berörda tillsynsmyndigheten fästa yttersta vikt vid kommissionens yttrande och meddela kommissionen och Europeiska dataskyddsstyrelsen om den avser att hålla fast vid sitt utkast till åtgärd eller ändra det.

 

3. Tillsynsmyndigheten får inte anta sitt utkast till åtgärd innan den tid som anges i punkt 1 har löpt ut.

 

4. Om den berörda tillsynsmyndigheten inte avser att rätta sig efter kommissionens yttrande ska den underrätta kommissionen och Europeiska dataskyddsstyrelsen om detta inom den tid som anges i punkt 1, samt motivera sitt beslut. I detta fall får utkastet till åtgärd inte antas på ytterligare en månad.

 

Ändringsförslag  169

Förslag till förordning

Artikel 60

Kommissionens förslag

Ändringsförslag

Artikel 60

utgår

Uppskjutet antagande av ett utkast till åtgärd

 

1. Om kommissionen hyser allvarliga tvivel om huruvida ett utkast till åtgärd är förenligt med en korrekt och enhetlig tillämpning av denna förordning får den, inom en månad efter en underrättelse enligt artikel 59.4 och efter att ha tagit hänsyn till Europeiska dataskyddsstyrelsens yttrande enligt artikel 58.7 eller artikel 61.2, anta ett motiverat beslut om att antagandet av utkastet till åtgärd bör skjutas upp, om detta bedöms vara nödvändigt för att

 

a) om möjligt jämka samman tillsynsmyndighetens och Europeiska dataskyddsstyrelsens avvikande ståndpunkter, eller

 

b) anta en åtgärd enligt artikel 62.1 a.

 

2. Kommissionen ska ange hur länge antagandet av åtgärden ska skjutas upp; denna period får inte överstiga tolv månader.

 

3. Tillsynsmyndigheten får inte anta utkastet till åtgärd under den period som avses i punkt 2.

 

Ändringsförslag  170

Förslag till förordning

Artikel 60a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 60a

 

Information till Europaparlamentet och rådet

 

Kommissionen ska regelbundet, minst en gång i halvåret, och på grundval av en rapport från Europeiska dataskyddsstyrelsens ordförande informera Europaparlamentet och rådet om de frågor som behandlats inom ramen för mekanismen för enhetlighet, och ange de slutsatser som dragits av kommissionen och Europeiska dataskyddsstyrelsen för att se till att denna förordning tillämpas och genomförs på ett enhetligt sätt.

Ändringsförslag  171

Förslag till förordning

Artikel 61 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Under exceptionella omständigheter får en tillsynsmyndighet med avsteg från förfarandet i artikel 58 omedelbart vidta provisoriska åtgärder med förutbestämd varaktighet om den anser att det finns ett brådskande behov av att agera för att skydda registrerades intressen, särskilt om möjligheten att förverkliga den registrerades rättigheter allvarligt kan undergrävas av att situationen förändras, om så krävs för att förebygga allvarliga nackdelar eller av andra orsaker. Tillsynsmyndigheten ska utan dröjsmål underrätta Europeiska dataskyddsstyrelsen och kommissionen om dessa åtgärder, och ge en uttömmande motivering.

1. Under exceptionella omständigheter får en tillsynsmyndighet med avsteg från förfarandet i artikel 58a omedelbart vidta provisoriska åtgärder med förutbestämd varaktighet om den anser att det finns ett brådskande behov av att agera för att skydda registrerades intressen, särskilt om möjligheten att förverkliga den registrerades rättigheter allvarligt kan undergrävas av att situationen förändras, om så krävs för att förebygga allvarliga nackdelar eller av andra orsaker. Tillsynsmyndigheten ska utan dröjsmål underrätta Europeiska dataskyddsstyrelsen och kommissionen om dessa åtgärder, och ge en uttömmande motivering.

Ändringsförslag  172

Förslag till förordning

Artikel 61 – punkt 4

Kommissionens förslag

Ändringsförslag

4. Genom undantag från artikel 58.7 ska ett snabbt yttrande enligt punkt 2 och 3 antas inom två veckor med enkel majoritet av Europeiska dataskyddsstyrelsens ledamöter.

4. Ett snabbt yttrande enligt punkt 2 och 3 ska antas inom två veckor med enkel majoritet av Europeiska dataskyddsstyrelsens ledamöter.

Ändringsförslag  173

Förslag till förordning

Artikel 62

Kommissionens förslag

Ändringsförslag

Genomförandeakter

Genomförandeakter

1. Kommissionen får anta genomförandeakter i syfte att

1. Kommissionen får efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen anta genomförandeakter av allmän räckvidd i syfte att

a) fatta beslut med avseende på den korrekta tillämpningen av denna förordning i linje med dess mål och krav; detta kan gälla frågor som tas upp av tillsynsmyndigheterna enligt artikel 58 eller 61, frågor som varit föremål för ett motiverat beslut enligt artikel 60.1 eller frågor där en tillsynsmyndighet inte har lagt fram något utkast till åtgärd och där samma myndighet har meddelat att den inte har för avsikt att följa det yttrande som kommissionen antagit enligt artikel 59,

 

b) inom den period som anges i artikel 59.1 besluta om den anser att ett utkast till standardiserade uppgiftsskyddsbestämmelser enligt artikel 58.2 d har allmän giltighet,

b) besluta om den anser att ett förslag till standardiserade uppgiftsskyddsbestämmelser enligt artikel 42.2 d har allmän giltighet,

c) precisera format och förfaranden för tillämpningen av den mekanism för enhetlighet som regleras i detta avsnitt,

 

d) Precisera tillvägagångssätten för elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyndigheter och Europeiska dataskyddsstyrelsen, särskilt det standardiserade format som avses i artikel 58.5, 58.6 och 58.8.

d) precisera tillvägagångssätten för elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyndigheter och Europeiska dataskyddsstyrelsen, särskilt det standardiserade format som avses i artikel 58.5, 58.6 och 58.8.

Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2.

 

2. Om det i fall enligt punkt 1 a finns vederbörligen motiverade och tvingande skäl till skyndsamhet i de registrerades intresse ska kommissionen anta genomförandeakter med omedelbar verkan enligt förfarandet i artikel 87.3. Dessa akter ska vara giltiga i högst 12 månader.

 

3. Det faktum att ingen åtgärd har vidtagits enligt detta avsnitt utesluter inte att kommissionen kan vidta andra åtgärder enligt fördragen.

3. Det faktum att ingen åtgärd har vidtagits enligt detta avsnitt utesluter inte att kommissionen kan vidta andra åtgärder enligt fördragen.

Ändringsförslag  174

Förslag till förordning

Artikel 63 – punkt 2

Kommissionens förslag

Ändringsförslag

2. Om en tillsynsmyndighet bryter mot artikel 58.1–5 genom att inte lägga fram ett utkast till åtgärd inom ramen för mekanismen för enhetlighet ska denna åtgärd inte anses vara rättsligt giltig och verkställbar.

2. Om en tillsynsmyndighet bryter mot artikel 58.1 och 2 genom att inte lägga fram ett förslag till åtgärd inom ramen för mekanismen för enhetlighet eller antar en åtgärd trots en angivelse av allvarlig invändning enligt artikel 58a.1 ska denna åtgärd inte anses vara rättsligt giltig och verkställbar.

Ändringsförslag  175

Förslag till förordning

Artikel 66

Kommissionens förslag

Ändringsförslag

Europeiska dataskyddsstyrelsens arbetsuppgifter

Europeiska dataskyddsstyrelsens arbetsuppgifter

1. Europeiska dataskyddsstyrelsen ska se till att denna förordning tillämpas enhetligt. För detta ändamål ska Europeiska dataskyddsstyrelsen i synnerhet, på eget initiativ eller på begäran av kommissionen,

1. Europeiska dataskyddsstyrelsen ska se till att denna förordning tillämpas enhetligt. För detta ändamål ska Europeiska dataskyddsstyrelsen i synnerhet, på eget initiativ eller på begäran av Europaparlamentet, rådet eller kommissionen,

a) ge kommissionen råd i alla frågor som gäller skydd av personuppgifter inom unionen, och den ska också yttra sig om eventuella förslag till ändring av denna förordning,

a) ge EU-institutionerna råd i alla frågor som gäller skydd av personuppgifter inom unionen, och den ska också yttra sig om eventuella förslag till ändring av denna förordning,

b) på eget initiativ eller på begäran av en av sina ledamöter eller av kommissionen undersöka frågor som omfattas av denna förordning och sprida riktlinjer, rekommendationer och exempel på god praxis till tillsynsmyndigheterna i syfte att främja en enhetlig tillämpning av denna förordning,

b) på eget initiativ eller på begäran av en av sina ledamöter eller av Europaparlamentet, rådet eller kommissionen undersöka frågor som omfattas av denna förordning och sprida riktlinjer, rekommendationer och bästa praxis till tillsynsmyndigheterna i syfte att främja en enhetlig tillämpning av denna förordning, däribland även användningen av genomförandebefogenheter,

c) se över den praktiska tillämpningen av de riktlinjer, rekommendationer och exempel på god praxis som avses i b samt rapportera regelbundet till kommissionen om detta,

c) se över den praktiska tillämpningen av de riktlinjer, rekommendationer och exempel på god praxis som avses i b samt rapportera regelbundet till kommissionen om detta,

d) yttra sig över utkast till åtgärder som läggs fram av tillsynsmyndigheterna inom den mekanism för enhetlighet som avses i artikel 57,

d) yttra sig över förslag till åtgärder som läggs fram av tillsynsmyndigheterna inom den mekanism för enhetlighet som avses i artikel 57,

 

da) avge yttranden över vilken myndighet som bör vara ansvarig myndighet i enlighet med artikel 54a.3,

e) främja samarbete och effektivt bilateralt och multilateralt utbyte av praxis och information mellan tillsynsmyndigheterna,

e) främja samarbete och effektivt bilateralt och multilateralt utbyte av praxis och information mellan tillsynsmyndigheterna, inklusive samordningen av gemensamma insatser och annan gemensam verksamhet den beslutar om på begäran av en eller flera tillsynsmyndigheter,

f) främja gemensamma utbildningsprogram och underlätta personalutbyte mellan tillsynsmyndigheterna, där så är lämpligt även med tillsynsmyndigheter i tredjeland och internationella organisationer,

f) främja gemensamma utbildningsprogram och underlätta personalutbyte mellan tillsynsmyndigheterna, där så är lämpligt även med tillsynsmyndigheter i tredjeland och internationella organisationer,

g) främja utbyte av kunskap och dokumentation om lagstiftning om och praxis för uppgiftsskydd med tillsynsmyndigheter för uppgiftsskydd i andra delar av världen.

g) främja utbyte av kunskap och dokumentation om lagstiftning om och praxis för uppgiftsskydd med tillsynsmyndigheter för uppgiftsskydd i andra delar av världen,

 

ga) avge yttranden till kommissionen vid utarbetandet av delegerade akter och genomförandeakter med stöd av denna förordning,

 

gb) avge yttranden över de uppförandekodexar som utarbetas på unionsnivå i enlighet med artikel 38.4,

 

gc) avge yttranden över kriterierna och kraven för certifieringsmekanismerna för uppgiftsskydd enligt artikel 39.3,

 

gd) upprätthålla ett offentligt elektroniskt register över giltiga och ogiltiga certifikat i enlighet med artikel 39.1h,

 

ge) bistå de nationella tillsynsmyndigheterna på deras begäran,

 

gf) upprätta och offentliggöra en förteckning över behandling som omfattas av förhandssamråd enligt artikel 34,

 

gg) upprätthålla ett register över sanktioner som de behöriga tillsynsmyndigheterna ålagt registeransvariga eller registerförare.

2. När kommissionen begär rådgivning från Europeiska dataskyddsstyrelsen får den med hänsyn till hur brådskande frågan är fastställa en tidsfrist för denna rådgivning.

2. Om Europaparlamentet, rådet eller kommissionen begär rådgivning från Europeiska dataskyddsstyrelsen får den med hänsyn till hur brådskande frågan är fastställa en tidsfrist för denna rådgivning.

3. Europeiska dataskyddsstyrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer och exempel på god praxis till kommissionen och till den kommitté som avses i artikel 87, samt offentliggöra dem.

3. Europeiska dataskyddsstyrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer och exempel på god praxis till Europaparlamentet, rådet och kommissionen och till den kommitté som avses i artikel 87, samt offentliggöra dem.

4. Kommissionen ska hålla Europeiska dataskyddsstyrelsen underrättad om de åtgärder den vidtagit som en följd av den senares yttranden, riktlinjer, rekommendationer och exempel på god praxis.

4. Kommissionen ska hålla Europeiska dataskyddsstyrelsen underrättad om de åtgärder den vidtagit som en följd av den senares yttranden, riktlinjer, rekommendationer och exempel på god praxis.

 

4a. Europeiska dataskyddsstyrelsen ska vid behov samråda med de berörda parterna och ge dem möjlighet att yttra sig inom rimlig tid. Europeiska dataskyddsstyrelsen ska, utan att det påverkar tillämpningen av artikel 72, offentliggöra resultatet av detta samrådsförfarande.

 

4b. Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med punkt 1 b såväl för att fastställa gemensamma förfaranden för att ta emot och utreda information om påstådd olaglig behandling som för att skydda konfidentialiteten hos och källorna till den mottagna informationen.

Ändringsförslag  176

Förslag till förordning

Artikel 67 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Europeiska dataskyddsstyrelsen ska regelbundet och vid lämplig tidpunkt rapportera till kommissionen om resultaten av sin verksamhet. Den ska sammanställa en årsrapport som beskriver situationen i fråga om skydd av privatpersoner vid behandling av personuppgifter inom unionen och i tredjeland.

1. Europeiska dataskyddsstyrelsen ska regelbundet och vid lämplig tidpunkt rapportera till Europaparlamentet, rådet och kommissionen om resultaten av sin verksamhet. Den ska minst vartannat år sammanställa en rapport som beskriver situationen i fråga om skydd av privatpersoner vid behandling av personuppgifter inom unionen och i tredjeland.

Denna rapport ska också innehålla en översikt över den praktiska tillämpningen av de riktlinjer, rekommendationer och exempel på god praxis som avses i artikel 66.1 c.

Denna rapport ska också innehålla en översikt över den praktiska tillämpningen av de riktlinjer, rekommendationer och exempel på god praxis som avses i artikel 66.1 c.

Ändringsförslag  177

Förslag till förordning

Artikel 68 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Europeiska dataskyddsstyrelsen ska fatta beslut med enkel majoritet av dess ledamöter.

1. Europeiska dataskyddsstyrelsen ska fatta beslut med enkel majoritet av dess ledamöter, om inte annat anges i dess arbetsordning.

Ändringsförslag  178

Förslag till förordning

Artikel 69 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Europeiska dataskyddsstyrelsen ska välja en ordförande och två vice ordförande bland sina ledamöter. Om inte Europeiska datatillsynsmannen valts till ordförande ska han eller hon tilldelas en av posterna som vice ordförande.

1. Europeiska dataskyddsstyrelsen ska välja en ordförande och minst två vice ordförande bland sina ledamöter.

Ändringsförslag  179

Förslag till förordning

Artikel 69 – punkt 2a (ny)

Kommissionens förslag

Ändringsförslag

 

2a. Uppdraget som ordförande ska motsvara en heltidstjänst.

Ändringsförslag  180

Förslag till förordning

Artikel 71 – punkt 2

Kommissionens förslag

Ändringsförslag

2. Sekretariatet ska bistå Europeiska dataskyddsstyrelsen med analysarbete samt administrativt och logistiskt stöd under ordförandens ledning.

2. Sekretariatet ska bistå Europeiska dataskyddsstyrelsen med analysarbete samt juridiskt, administrativt och logistiskt stöd under ordförandens ledning.

Ändringsförslag  181

Förslag till förordning

Artikel 72 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Europeiska dataskyddsstyrelsens överläggningar ska vara konfidentiella.

1. Europeiska dataskyddsstyrelsens överläggningar får vid behov vara konfidentiella, såvida inget annat anges i dess arbetsordning. Föredragningslistorna för Europeiska dataskyddsstyrelsens sammanträden ska offentliggöras.

Ändringsförslag  182

Förslag till förordning

Artikel 73

Kommissionens förslag

Ändringsförslag

Rätt att klaga på beslut som fattats av en tillsynsmyndighet

Rätt att klaga på beslut som fattats av en tillsynsmyndighet

1. Utan att det påverkar andra möjligheter att lämna klagomål till berörda myndigheter eller domstolar ska varje registrerad som anser att uppgifter rörande henne eller honom inte är förenliga med denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat.

1. Utan att det påverkar andra möjligheter att lämna klagomål till berörda myndigheter eller domstolar samt tillämpningen av mekanismen för enhetlighet ska varje registrerad som anser att uppgifter rörande henne eller honom inte är förenliga med denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat.

2. Varje organisation eller sammanslutning som har till uppgift att skydda registrerades rättigheter och intressen när det gäller skyddet av deras personuppgifter och som har inrättats på vederbörligt sätt i enlighet med lagen i en medlemsstat, ska ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat för en eller flera registrerades räkning, om den anser att de rättigheter som tillkommer en registrerad enligt denna förordning har åsidosatts som en följd av behandling av vederbörandes personuppgifter.

2. Varje organisation eller sammanslutning som agerar i det allmännas intresse och som har inrättats på vederbörligt sätt i enlighet med lagen i en medlemsstat, ska ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat för en eller flera registrerades räkning, om den anser att de rättigheter som tillkommer en registrerad enligt denna förordning har åsidosatts som en följd av behandling av vederbörandes personuppgifter.

3. Oberoende av eventuella klagomål från en registrerad ska varje sådan organisation eller sammanslutning som avses i punkt 2 ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat om den anser att ett personuppgiftsbrott har begåtts.

3. Oberoende av eventuella klagomål från en registrerad ska varje sådan organisation eller sammanslutning som avses i punkt 2 ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat om den anser att en överträdelse av denna förordning har ägt rum.

Ändringsförslag  183

Förslag till förordning

Artikel 74

Kommissionens förslag

Ändringsförslag

Rätt att begära rättslig prövning av en tillsynsmyndighets beslut

Rätt att begära rättslig prövning av en tillsynsmyndighets beslut

1. Varje fysisk eller juridisk person ska ha rätt till ett rättsmedel mot beslut som en tillsynsmyndighet har fattat med avseende på vederbörande.

1. Utan att det påverkar andra möjligheter att lämna klagomål antingen till berörda myndigheter eller inom ramen för andra förfaranden utanför domstol ska varje fysisk eller juridisk person ha rätt till ett rättsmedel mot beslut som en tillsynsmyndighet har fattat med avseende på vederbörande.

2. Varje registrerad ska ha rätt till ett rättsmedel som förpliktar tillsynsmyndigheten att behandla ett klagomål om ett beslut som krävs för att skydda den registrerades rättigheter inte har fattats eller om tillsynsmyndigheten inte inom tre månader informerar den registrerade om hur ärendet fortskrider eller vilket beslut som har fattats med anledning av klagomålet i enlighet med artikel 52.1 b.

2. Utan att det påverkar andra möjligheter att lämna klagomål antingen till berörda myndigheter eller inom ramen för andra förfaranden utanför domstol ska varje registrerad ha rätt till ett rättsmedel som förpliktar tillsynsmyndigheten att behandla ett klagomål om ett beslut som krävs för att skydda den registrerades rättigheter inte har fattats eller om tillsynsmyndigheten inte inom tre månader informerar den registrerade om hur ärendet fortskrider eller vilket beslut som har fattats med anledning av klagomålet i enlighet med artikel 52.1 b.

3. Talan mot beslut som har fattats av en tillsynsmyndighet ska ges in vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte.

3. Talan mot beslut som har fattats av en tillsynsmyndighet ska ges in vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte.

4. En registrerad som berörs av ett beslut av en tillsynsmyndighet i en annan medlemsstat än den där den registrerade har hemvist får anmoda tillsynsmyndigheten i den registrerades hemviststat att föra talan på hans eller hennes vägnar mot den behöriga tillsynsmyndigheten i den andra medlemsstaten.

4. Utan att det påverkar tillämpningen av mekanismen för enhetlighet får en registrerad som berörs av ett beslut av en tillsynsmyndighet i en annan medlemsstat än den där den registrerade har hemvist anmoda tillsynsmyndigheten i den registrerades hemviststat att föra talan på hans eller hennes vägnar mot den behöriga tillsynsmyndigheten i den andra medlemsstaten.

5. Medlemsstaterna ska verkställa lagakraftvunna avgöranden som meddelats av de domstolar som avses i denna artikel.

5. Medlemsstaterna ska verkställa lagakraftvunna avgöranden som meddelats av de domstolar som avses i denna artikel.

Ändringsförslag  184

Förslag till förordning

Artikel 75 – punkt 2

Kommissionens förslag

Ändringsförslag

2. Talan mot en registeransvarig eller en registerförare ska väckas vid domstolarna i den medlemsstat där den registeransvarige eller registerföraren är etablerad. Alternativt får sådan talan väckas vid domstolarna i den medlemsstat där den registrerade har hemvist, såvida inte registerföraren är en offentlig myndighet som agerar inom ramen för sin myndighetsutövning.

2. Talan mot en registeransvarig eller en registerförare ska väckas vid domstolarna i den medlemsstat där den registeransvarige eller registerföraren är etablerad. Alternativt får sådan talan väckas vid domstolarna i den medlemsstat där den registrerade har hemvist, såvida inte registerföraren är en offentlig unionsmyndighet eller en offentlig myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning.

Ändringsförslag  185

Förslag till förordning

Artikel 76 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Varje organisation eller sammanslutning som avses i artikel 73.2 ska vara berättigad att utöva de rättigheter som avses i artiklarna 74 och 75 för en eller flera registrerades räkning.

1. Varje organisation eller sammanslutning som avses i artikel 73.2 ska vara berättigad att utöva de rättigheter som avses i artiklarna 74, 75 och 77 om en eller flera registrerade gett den ett sådant mandat.

Ändringsförslag  186

Förslag till förordning

Artikel 77 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Varje person eller medlemsstat som har lidit skada till följd av en otillåten behandling av uppgifter eller av något annat handlande som är oförenligt med denna förordning ska ha rätt till ersättning av den registeransvarige eller den registerförfarare som bär ansvaret för den uppkomna skadan.

1. Varje person eller medlemsstat som har lidit skada, även ideell skada, till följd av en otillåten behandling av uppgifter eller av något annat handlande som är oförenligt med denna förordning ska ha rätt att begära ersättning av den registeransvarige eller den registerförare som bär ansvaret för den uppkomna skadan.

Ändringsförslag  187

Förslag till förordning

Artikel 77 – punkt 2

Kommissionens förslag

Ändringsförslag

2. Om fler än en registeransvarig eller registerförare har medverkat vid behandlingen av uppgifter, ska var och en av dem ansvara solidariskt för hela den uppkomna skadan.

2. Om fler än en registeransvarig eller registerförare har medverkat vid behandlingen av uppgifter, ska var och en av dessa registeransvariga och registerförare ansvara solidariskt för hela den uppkomna skadan om de inte har ingått ett vederbörligt skriftligt avtal genom vilket ansvaret fastställs i enlighet med artikel 24.

Ändringsförslag  188

Förslag till förordning

Artikel 79

Kommissionens förslag

Ändringsförslag

Administrativa sanktioner

Administrativa sanktioner

1. Varje tillsynsmyndighet ska ha befogenhet att ålägga administrativa sanktioner i enlighet med denna artikel.

1. Varje tillsynsmyndighet ska ha befogenhet att ålägga administrativa sanktioner i enlighet med denna artikel. Tillsynsmyndigheterna ska samarbeta i enlighet med artiklarna 46 och 57 i syfte att säkerställa en harmoniserad nivå på sanktionerna inom unionen.

2. Den administrativa sanktionen ska i varje enskilt fall vara effektiv, proportionell och avskräckande. De administrativa böterna ska fastställas med vederbörlig hänsyn till överträdelsens natur, svårhetsgrad och varaktighet, om överträdelsen skett med uppsåt eller genom oaktsamhet, graden av ansvar hos den berörda fysiska eller juridiska personen och eventuella tidigare överträdelser av samma person, de tekniska och organisatoriska åtgärder och förfaranden som genomförts i enlighet med artikel 23 och graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen.

2. Den administrativa sanktionen ska i varje enskilt fall vara effektiv, proportionell och avskräckande.

 

2a. För dem som inte fullgör de skyldigheter som fastställs i denna förordning ska tillsynsmyndigheten ålägga minst en av följande sanktioner:

 

a) En skriftlig varning om det rör sig om ett första och icke uppsåtligt bristfälligt fullgörande av skyldigheterna.

 

b) Regelbundna granskningar av uppgiftsskyddet.

 

c) Böter på upp till 100 000 000 euro eller upp till fem procent av den totala årliga omsättningen om det är fråga om ett företag, beroende på vilket som är det högsta beloppet.

 

2b. Om den registeransvarige eller registerföraren innehar en giltig märkning med ”den europeiska uppgiftsskyddsförseglingen” i enlighet med artikel 39 ska böter enligt punkt 2a c utfärdas endast om det bristfälliga fullgörandet av skyldigheterna sker uppsåtligen eller av oaktsamhet.

 

2c. För de administrativa sanktionerna ska hänsyn tas till följande faktorer:

 

a) Det bristfälliga fullgörandets karaktär, svårighetsgrad och varaktighet.

 

b) Om överträdelsen skett uppsåtligen eller av oaktsamhet.

 

c) Graden av ansvar hos den berörda fysiska eller juridiska personen och eventuella tidigare överträdelser som denne gjort sig skyldig till.

 

d) Om överträdelsen är av repetitiv karaktär.

 

e) Graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen och minska dess potentiella negativa effekter.

 

f) De specifika kategorier av personuppgifter som påverkas av överträdelsen.

 

g) Omfattningen på den skada, även ideell skada, som de registrerade har lidit.

 

h) De åtgärder som den registeransvarige eller registerföraren har vidtagit för att minska den skada som de registrerade har lidit.

 

i) Eventuell ekonomisk vinst – avsedd eller gjord – eller förlust som undviks, direkt eller indirekt, genom överträdelsen.

 

j) Graden av tekniska och organisatoriska åtgärder och förfaranden som genomförts i enlighet med följande artiklar:

 

i) Artikel 23 – Inbyggt uppgiftsskydd och uppgiftsskydd som standard.

 

ii) Artikel 30 – Säkerhet i samband med behandlingen av uppgifter.

 

iii) Artikel 33 – Konsekvensbedömning avseende uppgiftsskydd.

 

iv) Artikel 33a – Granskning av uppgiftsskyddets överensstämmelse.

 

v) Artikel 35 – Utnämning av uppgiftsskyddsombudet.

 

k) Vägran att samarbeta med eller hindrande av inspektioner, granskningar och kontroller som utförs av tillsynsmyndigheten i enlighet med artikel 53.

 

l) Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet.

3. Vid en första oavsiktlig underlåtenhet att följa denna förordning ska det vara möjligt att utfärda en skriftlig varning utan påföljd, om det rör sig om

 

a) en fysisk person som har behandlat personuppgifter utan vinstintresse, eller

 

b) ett företag eller en organisation med högst 250 anställda som behandlar personuppgifter endast som en sidoverksamhet till huvudverksamheten.

 

4. Tillsynsmyndigheten ska utfärda böter på upp till 250 000 euro eller, om det är fråga om ett företag, på upp till 0,5 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet

 

a) underlåter att tillhandahålla nödvändiga mekanismer för att underlätta framställningar från registrerade eller att besvara framställningar från registrerade tillräckligt snabbt eller i rätt form enligt artikel 12.1–2,

 

b) tar ut en avgift för att lämna information till eller besvara framställningar från registrerade i strid med artikel 12.4.

 

5. Tillsynsmyndigheten ska utfärda böter på upp till 500 000 euro eller, om det är fråga om ett företag, på upp till 1 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet

 

a) underlåter att tillhandahålla information, tillhandahåller ofullständig information eller försummar att tillhandahålla information på ett tillräckligt öppet sätt i enlighet med artiklarna 11, 12.3 och 14,

 

b) underlåter att ge den registrerade tillgång till uppgifter eller att rätta personuppgifter i enlighet med artiklarna 15 och 16, eller underlåter att meddela relevant information till en mottagare i enlighet med artikel 13,

 

c) underlåter att respektera rätten att bli bortglömd eller att få uppgifter raderade, eller försummar att införa rutiner för att säkerställa att tidsfrister iakttas, eller underlåter att vidta alla nödvändiga åtgärder för att underrätta tredje man om att en registrerad ansökt om radering av länkar till personuppgifter eller av kopior eller reproduktioner av sådana uppgifter i enlighet med artikel 17,

 

d) underlåter att tillhandahålla en kopia av personuppgifterna i elektroniskt format eller hindrar den registrerade från att översända personuppgifterna till en annan applikation, i strid med artikel 18,

 

e) helt eller delvis underlåter att fastställa respektive ansvarsområden tillsammans med registermedansvariga i enlighet med artikel 24,

 

f) helt eller delvis underlåter att bevara dokumentation i enlighet med artiklarna 28, 31.4 och 44.3,

 

g) i sådana fall där det inte är fråga om särskilda kategorier av uppgifter underlåter att i enlighet med artiklarna 80, 82 och 83 följa bestämmelser om yttrandefrihet, bestämmelser om uppgiftsbehandling i anställningsförhållanden eller villkoren för att behandla uppgifter för historiska, statistiska och vetenskapliga forskningsändamål.

 

6. Tillsynsmyndigheten ska utfärda böter på upp till 1 000 000 euro eller, om det är fråga om ett företag, på upp till 2 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet

 

a) behandlar personuppgifter utan tillräcklig rättslig grund för ändamålet eller underlåter att följa villkoren för samtycke enligt artiklarna 6, 7 och 8,

 

b) behandlar särskilda kategorier av uppgifter i strid med artiklarna 9 och 81,

 

c) underlåter att hörsamma en invändning eller att uppfylla kravet i artikel 19,

 

d) underlåter att uppfylla villkoren vid åtgärder på grundval av profilering i enlighet med artikel 20,

 

e) underlåter att anta interna strategier eller att genomföra lämplig åtgärder för att garantera och visa överensstämmelse i enlighet med artiklarna 22, 23 och 30,

 

f) underlåter att utse en företrädare i enlighet med artikel 25,

 

g) behandlar eller ger instruktioner för behandlingen av personuppgifter på ett sätt som strider mot skyldigheterna i samband med behandling för en registeransvarigs räkning i enlighet med artiklarna 26 och 27,

 

h) underlåter att signalera eller meddela ett personuppgiftsbrott eller att i tid och utan inskränkningar anmäla personuppgiftsbrottet till tillsynsmyndigheten eller meddela den registrerade i enlighet med artiklarna 31 och 32,

 

i) underlåter att utföra en konsekvensbedömning avseende uppgiftsskydd eller behandlar personuppgifter utan att först ha erhållit tillstånd från eller ha samrått med tillsynsmyndigheten i enlighet med artiklarna 33 och 34,

 

j) underlåter att utse ett uppgiftsskyddsombud eller att skapa de förutsättningar som krävs för att utföra arbetsuppgifterna enligt artiklarna 35, 36 och 37,

 

k) missbrukar en uppgiftsskyddsförsegling eller en uppgiftsskyddsmärkning i den mening som avses i artikel 39,

 

l) verkställer eller ger instruktioner om en överföring av uppgifter till ett tredjeland eller en internationell organisation som inte är tillåten på grundval av ett beslut om adekvat skyddsnivå, lämpliga skyddsåtgärder eller ett undantag i enlighet med artiklarna 40–44,

 

m) underlåter att hörsamma en order, ett tillfälligt eller permanent förbud mot behandling av uppgifter eller ett beslut om att avbryta av uppgiftsflödena som meddelats av tillsynsmyndigheten i enlighet med artikel 53.1,

 

n) underlåter att uppfylla skyldigheten att bistå tillsynsmyndigheten eller lämna tillsynsmyndigheten svar, relevant information eller tillträde till lokaler i enlighet med artiklarna 28.3, 29, 34.6 och 53.2,

 

o) underlåter att följa bestämmelserna om säkerställande av tystnadsplikt i artikel 84.

 

7. Kommissionen ska ha befogenhet att anta delegerade akter i enlighet med artikel 86 i syfte att uppdatera de administrativa bötesbelopp som avses i punkterna 4, 5 och 6, med hänsyn till kriterierna i punkt 2.

7. Kommissionen ska ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att uppdatera de absoluta administrativa bötesbelopp som avses i punkt 2a, med hänsyn till de kriterier och faktorer som avses i punkterna 2 och 2c.

Ändringsförslag  189

Förslag till förordning

Artikel 80 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Medlemsstaterna ska med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande besluta om undantag och avvikelser från bestämmelserna om allmänna principer i kapitel II, om den registrerades rättigheter i kapitel III, om registeransvariga och registerförare i kapitel IV, om överföring av personuppgifter till tredjeländer och internationella organisationer i kapitel V, om oberoende tillsynsmyndigheter i kapitel VI och om samarbete och enhetlighet i kapitel VII endast om sådana undantag eller avvikelser är nödvändiga för att förena rätten till integritet med reglerna om yttrandefrihet.

1. Medlemsstaterna ska besluta om undantag och avvikelser från bestämmelserna om allmänna principer i kapitel II, om den registrerades rättigheter i kapitel III, om registeransvariga och registerförare i kapitel IV, om överföring av personuppgifter till tredjeländer och internationella organisationer i kapitel V, om oberoende tillsynsmyndigheter i kapitel VI, om samarbete och enhetlighet i kapitel VII och om särskilda uppgiftsbehandlingssituationer i kapitel IX om sådana undantag eller avvikelser är nödvändiga för att förena rätten till skydd av personuppgifter med reglerna om yttrandefrihet i enlighet med Europeiska unionens stadga om de grundläggande rättigheterna.

Ändringsförslag  190

Förslag till förordning

Artikel 80a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 80a

 

Tillgång till handlingar

 

1. Personuppgifter i handlingar som förvaras av en offentlig myndighet eller ett offentligt organ får lämnas ut av myndigheten eller organet i enlighet med unionslagstiftningen eller en medlemsstats lagstiftning avseende allmänhetens rätt till tillgång till offentliga handlingar, om rätten till skydd av personuppgifter därigenom förenas med principen om allmänhetens rätt till tillgång till offentliga handlingar.

 

2. Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringar som rör dessa bestämmelser.

Ändringsförslag  191

Förslag till förordning

Artikel 81

Kommissionens förslag

Ändringsförslag

Behandling av personuppgifter om en registrerads hälsotillstånd

Behandling av personuppgifter om en registrerads hälsotillstånd

1. Inom ramen för bestämmelserna i denna förordning och i enlighet med artikel 9.2 h ska behandling av personuppgifter om en registrerads hälsotillstånd ske på grundval av unionslagstiftning eller medlemsstaternas nationella lagstiftning, vilken ska föreskriva lämpliga och konkreta åtgärder för att skydda den registrerades berättigade intressen och vara nödvändig med hänsyn till

1. I enlighet med bestämmelserna i denna förordning, särskilt artikel 9.2 h, ska behandling av personuppgifter om en registrerads hälsotillstånd ske på grundval av unionslagstiftning eller medlemsstaternas nationella lagstiftning, vilken ska föreskriva lämpliga, enhetliga och konkreta åtgärder för att skydda den registrerades intressen och grundläggande rättigheter – i den mån åtgärderna är nödvändiga och proportionerliga och deras följder kan förutses av den registrerade –, med hänsyn till

a) förebyggande hälso- och sjukvård och yrkesmedicin, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvårdstjänster, om uppgifterna behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt, eller av en annan person som är ålagd en motsvarande tystnadsplikt,

a) förebyggande hälso- och sjukvård och yrkesmedicin, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvårdstjänster, om uppgifterna behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt, eller av en annan person som är ålagd en motsvarande tystnadsplikt,

b) skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa skydd mot allvarliga gränsöverskridande hot mot hälsan eller garantera höga kvalitets- och säkerhetsnormer, bland annat för läkemedelsprodukter och medicinsk utrustning, eller

b) skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa skydd mot allvarliga gränsöverskridande hot mot hälsan eller garantera höga kvalitets- och säkerhetsnormer, bland annat för läkemedelsprodukter och medicinsk utrustning, och om uppgifterna behandlas av någon som är underkastad tystnadsplikt, eller

c) andra skäl av allmänt intresse på områden som socialt skydd, särskilt för att säkerställa kvalitet och kostnadseffektivitet i de förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet.

c) andra skäl av allmänt intresse på områden som socialt skydd, särskilt för att säkerställa kvalitet och kostnadseffektivitet i de förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet och tillhandahållande av hälso- och sjukvårdstjänster. Sådan behandling av personuppgifter om hälsotillstånd vilken utförs av skäl av allmänt intresse får inte resultera i att uppgifter behandlas för andra ändamål såvida inte den registrerade gett sitt samtycke eller unionslagstiftningen eller en medlemsstats lagstiftning medger detta.

 

1a. Om de ändamål som avses i punkt 1 a–c kan uppnås utan användning av personuppgifter ska sådana uppgifter inte användas för dessa ändamål såvida inte den registrerade gett sitt samtycke eller en medlemsstats lagstiftning medger detta.

 

1b. Om den registrerades samtycke krävs för behandling av medicinska uppgifter uteslutande för folkhälsoforskningsändamål får samtycke ges till ett eller flera specifika och liknande forskningsområden. Den registrerade får emellertid återkalla sitt samtycke när som helst.

 

1c. När det gäller att ge samtycke till deltagande i vetenskaplig forskning inom ramen för kliniska prövningar ska de relevanta bestämmelserna i Europaparlamentets och rådets direktiv 2001/20/EG1 tillämpas.

2. Behandling av personuppgifter om en registrerads hälsotillstånd som är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål, såsom patientregister som upprättas för att förbättra diagnoser, göra åtskillnad mellan likartade typer av sjukdomar och förbereda undersökningar om terapimetoder, omfattas av de villkor och skyddsåtgärder som avses i artikel 83.

2. Behandling av personuppgifter om en registrerads hälsotillstånd som är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål ska tillåtas endast med den registrerades samtycke och ska omfattas av de villkor och skyddsåtgärder som avses i artikel 83.

 

2a. Medlemsstaterna får i sin lagstiftning föreskriva undantag från det krav på samtycke till forskning som avses i punkt 2 om det handlar om forskning av viktigt allmänt intresse, förutsatt att denna forskning inte kan bedrivas på annat sätt. De berörda uppgifterna ska vara anonymiserade eller, om detta inte är möjligt för forskningsändamålen, pseudonymiserade på ett sätt som uppfyller högsta tekniska krav, och alla nödvändiga åtgärder ska vidtas för att förhindra att de registrerade utan tillåtelse kan identifieras igen. Den registrerade ska emellertid ha rätt att göra invändningar när som helst, i enlighet med artikel 19.

3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare specificera andra skäl av allmänt intresse inom folkhälsoområdet enligt punkt 1 b, samt kriterier och krav för det skydd som ska finnas vid behandling av personuppgifter för de ändamål som anges i punkt 1.

3. Kommissionen ska, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen, ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att ytterligare specificera andra skäl av allmänt intresse inom folkhälsoområdet enligt punkt 1 b och skäl av viktigt allmänt intresse inom det forskningsområde som avses i punkt 2a.

 

3a. Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringar som rör dessa bestämmelser.

 

1 Europaparlamentets och rådets direktiv 2001/20/EG av den 4 april 2001 om tillnärmning av medlemsstaternas lagar och andra författningar rörande tillämpning av god klinisk sed vid kliniska prövningar av humanläkemedel (EGT L 121, 1.5.2001, s. 34).

Ändringsförslag  192

Förslag till förordning

Artikel 82

Kommissionens förslag

Ändringsförslag

Behandling av personuppgifter i anställningsförhållanden

Miniminormer för behandling av personuppgifter i anställningsförhållanden

1. Inom ramen för bestämmelserna i denna förordning får medlemsstaterna i lag föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering, genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet.

1. I enlighet med bestämmelserna i denna förordning och med beaktande av proportionalitetsprincipen får medlemsstaterna genom rättsliga bestämmelser föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt för men inte begränsat till rekrytering och platsansökningar inom företagsgruppen, genomförande av anställningsavtalet inklusive befrielse från i lag och kollektivavtal stadgade skyldigheter, i enlighet med nationell lagstiftning och praxis, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet. Medlemsstaterna får tillåta att kollektivavtal ytterligare preciserar bestämmelserna i denna artikel.

 

1a. Ändamålet med behandlingen av sådana uppgifter ska vara knutet till skälet till att uppgifterna samlades in och får inte gå utöver ramen för anställningsförhållandet. Profilering och användning för sekundära ändamål får inte vara tillåten.

 

1b. En anställds samtycke får inte utgöra en rättslig grund för arbetsgivarens behandling av uppgifter, om samtycket inte getts frivilligt.

 

1c. Utan hinder av vad som sägs i de övriga bestämmelserna i denna förordning ska medlemsstaternas rättsliga bestämmelser enligt punkt 1 omfatta minst följande miniminormer:

 

 

a) Anställdas personuppgifter får inte behandlas utan att de anställda känner till det. Utan hinder av vad som sägs i första meningen får medlemsstaterna i lag tillåta denna praxis genom att fastställa lämpliga tidsfrister för radering av uppgifter, om det föreligger faktiska skäl, som måste dokumenteras, att anta att den anställde inom ramen för anställningsförhållandet begått ett brott eller gjort sig skyldig till ett allvarligt åsidosättande av sina skyldigheter och uppgiftsbehandlingen behövs för att frågan ska kunna uppklaras samt slutligen är av ett sådant slag eller har en sådan omfattning att den är nödvändig och proportionerlig i förhållande till ändamålet. Den anställdes privata sfär ska alltid respekteras. Undersökningen ska skötas av den behöriga myndigheten.

 

b) Öppen optisk-elektronisk och öppen akustisk-elektronisk övervakning av de delar av ett företag som inte är tillgängliga för allmänheten och som främst används av anställda för privata ändamål ska vara förbjuden; detta gäller i synnerhet toaletter och sanitetsutrymmen, omklädningsrum, pausrum och vilorum. Det får under inga omständigheter vara tillåtet med dold övervakning.

 

c) Om företag eller myndigheter i hälsoundersökningar och/eller lämplighetstest samlar in eller behandlar personuppgifter ska de dessförinnan förklara för den sökande eller den anställde för vilka ändamål uppgifterna används och se till att uppgifterna och resultaten i efterhand lämnas till vederbörande samt på begäran förklara deras betydelse. Uppgiftsinsamling som avser genetiska tester och analyser ska i princip vara förbjuden.

 

d) Frågan om huruvida och i vilken omfattning det ska vara tillåtet att använda telefon, e-post, internet och andra telekommunikationstjänster också för privata ändamål får regleras genom kollektivavtal. Om det inte föreligger någon reglering genom kollektivavtal ska arbetsgivaren ingå ett avtal om frågan direkt med den anställde. I den mån användning för privata ändamål är tillåten ska behandling av hithörande trafikuppgifter vara tillåten särskilt för att garantera datasäkerheten, för att trygga telekommunikationsnätens och telekommunikationstjänsternas ostörda funktion samt för faktureringsändamål.

 

Utan hinder av vad som sägs i tredje meningen får medlemsstaterna i lag tillåta denna praxis genom att fastställa lämpliga tidsfrister för radering av uppgifter, om det föreligger faktiska skäl, som måste dokumenteras, att anta att den anställde inom ramen för anställningsförhållandet begått ett brott eller gjort sig skyldig till ett allvarligt åsidosättande av sina skyldigheter och uppgiftsbehandlingen behövs för att frågan ska kunna uppklaras samt slutligen är av ett sådant slag eller har en sådan omfattning att den är nödvändig och proportionerlig i förhållande till ändamålet. Den anställdes privata sfär ska alltid respekteras. Undersökningen ska skötas av den behöriga myndigheten.

 

e) Arbetstagares personuppgifter, framförallt känsliga uppgifter som politisk åskådning, medlemskap i fackföreningar och verksamhet i fackföreningar får under inga omständigheter användas för att föra upp arbetstagare på så kallade svarta listor eller för att genomföra personkontroller eller utestänga arbetstagarna från framtida anställning. Det ska vara förbjudet att behandla, använda i anställningssammanhang, upprätta och vidarebefordra svarta listor över anställda och att göra sig skyldig till andra former av diskriminering. Medlemsstaterna ska genomföra kontroller och anta lämpliga sanktioner i enlighet med artikel 79.6 för att se till att denna punkt genomförs på ett effektivt sätt.

 

1d. Det ska vara tillåtet att överföra och behandla anställdas personuppgifter mellan juridiskt självständiga företag inom en och samma företagsgrupp och med medverkan av juridiska rådgivare och skatterådgivare om detta är av relevans för driften av affärsverksamheten och används för utförandet av specifika åtgärder eller administrativa förfaranden, förutsatt att det inte strider mot intressen och grundläggande rättigheter för den berörda personen som bör åtnjuta skydd. Om överföringen av anställdas personuppgifter sker till ett tredjeland och/eller till en internationell organisation ska kapitel V tillämpas.

2. Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringslagstiftning eller ändringar som rör dessa bestämmelser.

2. Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkterna 1 och 1b, och dessutom utan dröjsmål anmäla senare ändringar som rör dessa bestämmelser.

3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och villkoren för de skyddsåtgärder som ska tillämpas vid behandling av personuppgifter för sådana ändamål som anges i punkt 1.

3. Kommissionen ska, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen, ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att ytterligare precisera kriterierna och villkoren för de skyddsåtgärder som ska tillämpas vid behandling av personuppgifter för sådana ändamål som anges i punkt 1.

Ändringsförslag  193

Förslag till förordning

Artikel 82a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 82a

 

Behandling av personuppgifter i socialförsäkringsärenden

 

1. Medlemsstaterna får, i enlighet med bestämmelserna i denna förordning, anta särskilda lagstiftningsbestämmelser med närmare villkor för deras offentliga institutioners och avdelningars behandling av personuppgifter i socialförsäkringsärenden om det sker i det allmänna intresset.

 

2. Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringar som rör dessa bestämmelser.

Ändringsförslag  194

Förslag till förordning

Artikel 83

Kommissionens förslag

Ändringsförslag

Behandling för historiska, statistiska och vetenskapliga forskningsändamål

Behandling för historiska, statistiska och vetenskapliga forskningsändamål

1. Inom ramen för denna förordning får personuppgifter behandlas för historiska, statistiska och vetenskapliga forskningsändamål endast under förutsättning att

1. I enlighet med bestämmelserna i denna förordning får personuppgifter behandlas för historiska, statistiska och vetenskapliga forskningsändamål endast under förutsättning att

a) dessa ändamål inte kan uppfyllas på annat sätt genom behandling av uppgifter som inte medger eller inte längre medger identifiering av den registrerade,

a) dessa ändamål inte kan uppfyllas på annat sätt genom behandling av uppgifter som inte medger eller inte längre medger identifiering av den registrerade,

b) uppgifter som gör det möjligt att hänföra information till en identifierad eller identifierbar registrerad person hålls åtskilda från övrig information så länge som dessa ändamål kan uppfyllas på det sättet.

b) uppgifter som gör det möjligt att hänföra information till en identifierad eller identifierbar registrerad person hålls åtskilda från övrig information på ett sätt som uppfyller högsta tekniska krav, och alla nödvändiga åtgärder vidtas för att förhindra att de registrerade utan tillåtelse kan identifieras igen.

2. Organ som utför historisk, statistisk eller vetenskaplig forskning får publicera eller avslöja personuppgifter på annat sätt endast under förutsättning att

 

a) den registrerade har lämnat sitt samtycket till detta, med förbehåll för villkoren i artikel 7,

 

b) offentliggörandet av personuppgifter är nödvändigt för att lägga fram forskningsresultat eller för att underlätta forskning, så länge inte den registrerades intressen eller grundläggande rättigheter och friheter överskuggar dessa intressen,

 

c) den registrerade har gjort uppgifterna offentliga.

 

3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och kraven för behandling av personuppgifter för de ändamål som anges i punkterna 1 och 2 samt eventuella begränsningar av den registrerades rätt till information och tillgång, och att närmare beskriva villkoren och skyddet för den registrerades rättigheter under dessa förhållanden.

 

Ändringsförslag  195

Förslag till förordning

Artikel 83a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 83a

 

Arkivtjänsters behandling av personuppgifter

 

1. Personuppgifter får, under en längre tid än vad som är nödvändigt för att uppnå syftena med den behandling för vilken uppgifterna samlats in, behandlas av arkivtjänster vilkas huvudsakliga uppgift eller lagstadgade skyldighet är att samla in, lagra, tillhandahålla information om, använda och sprida arkivalier i det allmännas intresse, särskilt för att försvara enskildas rättigheter eller för historiska, statistiska eller vetenskapliga forskningsändamål. Dessa uppdrag ska utföras i enlighet med medlemsstaternas bestämmelser om tillgång till och utlämnande och spridning av administrativa handlingar eller arkivhandlingar och i enlighet med bestämmelserna i denna förordning, särskilt när det gäller samtycke och rätten att göra invändningar.

 

2. Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringar som rör dessa bestämmelser.

Ändringsförslag  196

Förslag till förordning

Artikel 84 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Inom ramen för denna förordning får medlemsstaterna anta särskilda bestämmelser för att fastställa tillsynsmyndigheternas undersökande befogenheter enligt artikel 53.2 gentemot registeransvariga eller registerförare som enligt nationell lag eller bestämmelser som fastställts av behöriga nationella organ omfattas av tystnadsplikt eller andra motsvarande former av förbud mot att lämna ut uppgifter, om det är nödvändigt och står i proportion till vad som behövs för att förena rätten till skydd för personuppgifter och tystnadsplikten. Dessa bestämmelser ska endast tillämpas med avseende på personuppgifter som den registeransvarige eller registerföraren har erhållit i samband med en verksamhet som omfattas av denna tystnadsplikt.

1. I enlighet med bestämmelserna i denna förordning ska medlemsstaterna se till att det införs särskilda bestämmelser som fastställer tillsynsmyndigheternas befogenheter enligt artikel 53 gentemot registeransvariga eller registerförare som enligt nationell lag eller bestämmelser som fastställts av behöriga nationella organ omfattas av tystnadsplikt eller andra motsvarande former av förbud mot att lämna ut uppgifter, om det är nödvändigt och står i proportion till vad som behövs för att förena rätten till skydd för personuppgifter och tystnadsplikten. Dessa bestämmelser ska endast tillämpas med avseende på personuppgifter som den registeransvarige eller registerföraren har erhållit i samband med en verksamhet som omfattas av denna tystnadsplikt.

Ändringsförslag  197

Förslag till förordning

Artikel 85

Kommissionens förslag

Ändringsförslag

Befintliga bestämmelser om uppgiftsskydd inom kyrkor och religiösa samfund

Befintliga bestämmelser om uppgiftsskydd inom kyrkor och religiösa samfund

1. Om kyrkor och religiösa samfund eller gemenskaper i en medlemsstat vid tidpunkten för ikraftträdandet av denna förordning tillämpar övergripande bestämmelser om skyddet av enskilda i samband med behandling av personuppgifter, får sådana befintliga regler fortsätta att tillämpas under förutsättning att de görs förenliga med bestämmelserna i denna förordning.

1. Om kyrkor och religiösa samfund eller gemenskaper i en medlemsstat vid tidpunkten för ikraftträdandet av denna förordning tillämpar adekvata bestämmelser om skyddet av enskilda i samband med behandling av personuppgifter, får sådana befintliga regler fortsätta att tillämpas under förutsättning att de görs förenliga med bestämmelserna i denna förordning.

2. Kyrkor och religiösa samfund som tillämpar övergripande bestämmelser i enlighet med punkt 1 ska se till att det finns en oberoende tillsynsmyndighet i enlighet med kapitel VI i denna förordning.

2. Kyrkor och religiösa samfund som tillämpar adekvata bestämmelser i enlighet med punkt 1 ska erhålla ett yttrande över överensstämmelse i enlighet med artikel 38.

Ändringsförslag  198

Förslag till förordning

Artikel 85a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 85a

 

Respekt för grundläggande rättigheter

 

Denna förordning får inte medföra ändringar av skyldigheten att respektera de grundläggande rättigheterna och de grundläggande rättsliga principerna i artikel 6 i EU-fördraget.

Ändringsförslag  199

Förslag till förordning

Artikel 85b (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 85b

 

Standardformulär

 

1. Kommissionen får, med beaktande av olika sektorers och uppgiftsbehandlingssituationers särdrag och behov, fastställa standardformulär för

 

a) särskilda metoder för att erhålla det kontrollerbara samtycke som avses i artikel 8.1,

 

b) det meddelande som avses i artikel 12.2, inklusive den elektroniska formen,

 

c) tillhandahållande av den information som avses i artikel 14.1–3,

 

d) begäran om och beviljande av tillgång till den information som avses i artikel 15.1, även när det gäller att informera den registrerade om personuppgifterna,

 

e) den dokumentation som avses i artikel 28.1,

 

f) anmälningar av personuppgiftsbrott enligt artikel 31 till tillsynsmyndigheten samt den dokumentation som avses i artikel 31.4,

 

g) de förhandssamråd som avses i artikel 34, och för information till tillsynsmyndigheten enligt artikel 34.6.

 

2. Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag.

 

3. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2.

Ändringsförslag  200

Förslag till förordning

Artikel 86 – punkt 2

Kommissionens förslag

Ändringsförslag

2. Den delegering av befogenhet som avses i artiklarna 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 79.6, 81.3, 82.3 och 83.3 ska ges till kommissionen på obestämd tid från och med den dag då denna förordning träder i kraft.

2. Den delegering av befogenhet som avses i artiklarna 13a.5, 17.9, 38.4, 39.2, 41.3, 41.5, 43.3, 79.7, 81.3 och 82.3 ska ges till kommissionen tills vidare från och med den dag då denna förordning träder i kraft.

Ändringsförslag  201

Förslag till förordning

Artikel 86 – punkt 3

Kommissionens förslag

Ändringsförslag

3. Den delegering av befogenhet som avses i artiklarna 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 79.6, 81.3, 82.3 och 83.3 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

3. Den delegering av befogenhet som avses i artiklarna 13a.5, 17.9, 38.4, 39.2, 41.3, 41.5, 43.3, 79.7, 81.3 och 82.3 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

Ändringsförslag  202

Förslag till förordning

Artikel 86 – punkt 5

Kommissionens förslag

Ändringsförslag

5. En delegerad akt som antas enligt artikel 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 79.6, 81.3, 82.3 eller 83.3 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med två månader på Europaparlamentets eller rådets initiativ.

5. En delegerad akt som antas enligt artikel 13a.5, 17.9, 38.4, 39.2, 41.3, 41.5, 43.3, 79.7, 81.3 eller 82.3 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med sex månader på Europaparlamentets eller rådets initiativ.

Ändringsförslag  203

Förslag till förordning

Artikel 87 – punkt 3

Kommissionens förslag

Ändringsförslag

3. När det hänvisas till denna punkt ska artikel 8 i förordning (EU) nr 182/2011, jämförd med artikel 5 i samma förordning, tillämpas.

utgår

Ändringsförslag  204

Förslag till förordning

Artikel 89 – punkt 2

Kommissionens förslag

Ändringsförslag

2. Artikel 1.2 i direktiv 2002/58/EG ska utgå.

2. Artiklarna 1.2, 4 och 15 i direktiv 2002/58/EG ska utgå.

Ändringsförslag  205

Förslag till förordning

Artikel 89 – punkt 2a (ny)

Kommissionens förslag

Ändringsförslag

 

2a. Kommissionen ska utan dröjsmål och senast den dag som anges i artikel 91.2 lägga fram ett förslag om översyn av regelverket för behandling av personuppgifter och integritetsskydd i elektronisk kommunikation, för att skapa överensstämmelse med denna förordning och för att garantera konsekventa och enhetliga lagstiftningsbestämmelser om den grundläggande rätten till skydd av personuppgifter i Europeiska unionen.

Ändringsförslag  206

Förslag till förordning

Artikel 89a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 89a

 

Förhållande till och ändring av förordning (EG) nr 45/2001

 

1. Bestämmelserna i denna förordning ska tillämpas på den behandling av personuppgifter som EU:s institutioner, organ och byråer utför avseende ärenden för vilka de inte omfattas av ytterligare bestämmelser enligt förordning (EG) nr 45/2001.

 

2. Kommissionen ska utan dröjsmål och senast den dag som anges i artikel 91.2 lägga fram ett förslag om översyn av det regelverk som är tillämpligt på den behandling av personuppgifter som EU:s institutioner, organ och byråer utför.

Bilaga 1 – Presentation av de upplysningar som avses i artikel 13a (ny)

1. Med beaktande av de proportioner som avses i punkt 6 ska upplysningarna vara utformade på följande sätt:

2. Följande ord i raderna i andra kolumnen i tabellen i punkt 1, som benämns ”VÄSENTLIG INFORMATION”, ska anges i fetstil:

a) Orden ”samlas in” i första raden i andra kolumnen.

b) Ordet ”bevaras” i andra raden i andra kolumnen.

c) Ordet ”behandlas” i tredje raden i andra kolumnen.

d) Orden ”lämnas ut” i fjärde raden i andra kolumnen.

e) Orden ”säljs eller hyrs ut” i femte raden i andra kolumnen.

f) Ordet ”okrypterad” i sjätte raden i andra kolumnen.

3. Med beaktande av de proportioner som avses i punkt 6 ska raderna i tredje kolumnen i tabellen i punkt 1, som benämns ”UPPFYLLT”, innehålla en av följande två grafiska symboler i enlighet med de villkor som anges i punkt 4:

a)

b)

4.

a) Om inga personuppgifter samlas in utöver vad som är strikt nödvändigt för varje specifikt ändamål med behandlingen ska första raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 a.

b) Om personuppgifter samlas in utöver vad som är strikt nödvändigt för varje specifikt ändamål med behandlingen ska första raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 b.

c) Om inga personuppgifter bevaras utöver vad som är strikt nödvändigt för varje specifikt ändamål med behandlingen ska andra raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 a.

d) Om personuppgifter bevaras utöver vad som är strikt nödvändigt för varje specifikt ändamål med behandlingen ska andra raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 b.

e) Om inga personuppgifter behandlas för andra ändamål än dem för vilka de samlades in ska tredje raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 a.

f) Om personuppgifter behandlas för andra ändamål än dem för vilka de samlades in ska tredje raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 b.

g) Om inga personuppgifter lämnas ut till kommersiella tredje parter ska fjärde raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 a.

h) Om personuppgifter lämnas ut till kommersiella tredje parter ska fjärde raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 b.

i) Om inga personuppgifter säljs eller hyrs ut ska femte raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 a.

j) Om personuppgifter säljs eller hyrs ut ska femte raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 b.

k) Om inga personuppgifter bevaras i okrypterad form ska sjätte raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 a.

l) Om personuppgifter bevaras i okrypterad form ska sjätte raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 b.

5. Referensfärgerna för de grafiska symbolerna i punkt 1 i Pantone är Black Pantone nr 7547 och Red Pantone nr 485. Referensfärgen för den grafiska symbolen i punkt 3 a i Pantone är Green Pantone nr 370. Referensfärgen för den grafiska symbolen i punkt 3 b i Pantone är Red Pantone nr 485.

6) De proportioner som anges i nedanstående graderade ritning ska följas, även om tabellen förminskas eller förstoras:

(1)

EUT C 229, 31.7.2012, s. 90.


MOTIVERING

Inledning

I enlighet med artikel 8 i EU:s stadga, om rätten till skydd av personuppgifter:

1.        Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

2.        Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.

3.        En oberoende myndighet ska kontrollera att dessa regler efterlevs.

Sedan direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter antogs har det skett stora förändringar på uppgiftsskyddsområdet. Det handlar framför allt om att tekniken har utvecklats, att personuppgifter i större utsträckning samlas in och behandlas för bl.a. brottsbekämpningssyften, att det har uppstått ett lapptäcke av olika tillämpliga uppgiftsskyddsregler och att marknader och samarbete har globaliserats.

Direktivet har dessutom inte lett till en verklig harmonisering på grund av att medlemsstaterna har genomfört dess bestämmelser på olika sätt. Det har i denna situation blivit allt svårare för enskilda (”registrerade personer”) att utöva sin rätt till uppgiftsskydd.

Det har slutligen även bromsat den inre marknadens utveckling eftersom företag (som kontrollerar eller behandlar personuppgifter, ”registeransvariga”) och enskilda ställs inför olika uppgiftsskyddskrav.

Sedan Lissabonfördraget trädde i kraft har unionen en konkret rättslig grund för uppgiftsskydd som omfattar behandling av personuppgifter inom den offentliga och den privata sektorn, men även i samband med brottsbekämpning (till följd av att den ”pelarstruktur” som fanns före Lissabonfördraget har försvunnit) (artikel 16.2 i EUF-fördraget). Kommissionen har använt artikel 16.2 som rättslig grund för de föreliggande förslagen om en översyn av unionens regelverk för uppgiftsskydd. Kommissionen har lagt fram ett förslag till en förordning (COM(2012)0011) som ska ersätta direktiv 95/46/EG (föredragande: Jan Philipp Albrecht, gruppen De gröna/Europeiska fria alliansen) och ett direktiv (COM(2012)0010) som ska ersätta rambeslutet 2008/977/RIF om skydd av personuppgifter som behandlas för att förebygga, utreda, avslöja eller lagföra brott (föredragande: Dimitrios Droutsas, gruppen Progressiva förbundet av Socialdemokrater i Europaparlamentet). Båda föredragandena stöder målet om ett helt enhetligt, harmoniserat och stabilt regelverk som garanterar ett starkt skydd av all uppgiftsbehandling inom EU.(1) För att uppnå detta mål måste kommissionens förslag betraktas som ett enda paket som kräver en samordnad lagstiftningsbehandling av båda texterna.

Omfattande diskussioner har förts om uppgiftsskyddsreformen mellan föredragandena och skuggföredragande, föredragande och skuggföredragande för yttrandena från utskotten (ITRE, IMCO, JURI, EMPL), rådets ordförandeskap, kommissionen och berörda parter (dataskyddsmyndigheter, nationella myndigheter, branschen, medborgarrätts- och konsumentorganisationer, akademiska experter) för att se till att det finns ett brett stöd för parlamentets linje.

En workshop för berörda parter organiserades av LIBE den 29 maj 2012. LIBE höll även sitt årliga interparlamentariska utskottssammanträde tillsammans med nationella parlament inom området med frihet, säkerhet och rättvisa om uppgiftsskyddsreformpaketet den 9–10 oktober 2012. Detta resulterade i fyra arbetsdokument om uppgiftsskyddsreformpaketet.

Ståndpunkt när det gäller förslaget till förordning om uppgiftsskydd

Kommissionens förslag går ut på att

– ta ett samlat grepp på uppgiftsskydd,

– stärka enskildas rättigheter,

– ytterligare främja inremarknadsaspekten och förbättra tillämpningen av bestämmelser om uppgiftsskydd, och

– stärka den globala dimensionen.

Föredraganden stöder dessa ambitioner och lägger fram sin ståndpunkt utifrån detta.

Ett samlat grepp på uppgiftsskydd

Föredraganden välkomnar, såsom framgår av arbetsdokumentet av den 6 juli 2012(2), att kommissionen har valt att ersätta direktiv 95/46/EG med en (direkt tillämplig) förordning, eftersom detta bör minska fragmenteringen när det gäller medlemsstaternas tillämpning av uppgiftsskydd.

Han ansluter sig även till den pragmatiska hållning som kommissionen har valt och som innebär att det inom ramen för förordningen ges utrymme för medlemsstaterna att behålla eller anta särskilda bestämmelser om t.ex. yttrandefrihet, tystnadsplikt, hälsa och sysselsättning (artiklarna 81–85). Det hänvisas särskilt till arbetet inom utskottet för sysselsättning och sociala frågor, som ska avge ett yttrande om artikel 82.(3)

EU:s institutioner omfattas inte av den nya förordningen. De bör emellertid omfattas för att det ska finnas ett konsekvent och enhetligt regelverk som gäller i hela unionen. Detta förutsätter en anpassning av EU:s rättsakter, i synnerhet förordning (EG) nr 45/2001, så att de till fullo överensstämmer med den allmänna uppgiftsskyddsförordningen innan denna börjar tillämpas. Föredraganden anser att det även behövs en mer horisontell debatt om hur det nuvarande lapptäcket av uppgiftsskyddsregler för olika EU-organ (t.ex. Europol och Eurojust) ska hanteras och hur överensstämmelse med uppgiftsskyddspaketet (artikel 2 b, artikel 89a) ska uppnås.

Föredraganden beklagar djupt att kommissionens förslag inte omfattar samarbete på brottsbekämpningsområdet (om vilket ett särskilt direktiv föreslås). Detta orsakar en juridisk ovisshet kring rättigheter och skyldigheter i gränsöverskridande ärenden, t.ex. när brottsbekämpningsmyndigheter får tillgång till kommersiella uppgifter för brottsbekämpningsändamål och vid överföringar mellan brottsbekämpningsmyndigheter och andra myndigheter. Dessa frågor tas upp i betänkandet om förslaget till direktiv, där det även föreslås ändringar. I förordningen fastställs att endast myndigheters (inte privata företags) brottsbekämpande verksamhet är undantagen från förordningen och att den tillämpliga lagstiftningen bör innehålla tillfredsställande garantier baserade på principerna om nödvändighet och proportionalitet (artiklarna 2 e och 21).

Förordningens territoriella tillämpningsområde är en viktig fråga för att EU:s lagstiftning om uppgiftsskydd ska kunna tillämpas på ett enhetligt sätt. Föredraganden vill klargöra att förordningen även bör vara tillämplig på registeransvariga som inte är etablerade i unionen när målet med behandlingen är att erbjuda varor eller tjänster till registrerade personer i unionen, oavsett om betalning krävs för dessa varor eller tjänster eller inte, eller att övervaka de registrerade personerna (artikel 3.2).

Förordningen måste även vara heltäckande när det gäller att skapa klarhet om rättsläget. Ett omfattande utnyttjande av delegerade akter och genomförandeakter skulle strida mot detta mål. Föredraganden föreslår därför att flera bestämmelser som ger kommissionen rätt att anta delegerade akter ska strykas. För att där det är möjligt skapa klarhet om rättsläget har föredraganden ersatt flera akter med mer utförliga formuleringar i förordningen (t.ex. artiklarna 6.1b, 15 och 35.10). I övriga fall föreslår föredraganden att Europeiska dataskyddsstyrelsen ska få i uppdrag att fastställa närmare kriterier och krav för en viss bestämmelse i stället för att kommissionen ska ha rätt att anta delegerade akter. Skälet till detta är att det i dessa fall handlar om samarbete mellan nationella tillsynsmyndigheter och att dessa är bättre skickade att fastställa vilka principer och metoder som ska tillämpas (t.ex. artiklarna 23.3, 30.3, 42.3, 44.7 och 55.10).

Stärkande av enskildas rättigheter

Eftersom förordningen avser en grundläggande rättighet förkastas en begränsning av det materiella tillämpningsområdet, i synnerhet när det gäller definitionen av ”personuppgifter”, t.ex. genom att det införs subjektiva inslag beträffande vad registeransvariga ska göra för att identifiera personuppgifter. Begreppet ”personuppgifter” förtydligas dessutom genom objektiva kriterier (artikel 4.1 och skälen 23 och 24). Befogad oro beträffande specifika affärsmodeller kan hanteras utan att enskilda berövas sina grundläggande rättigheter. Föredraganden uppmuntrar i detta sammanhang pseudonymiserad och anonymiserad användning av tjänster. När det gäller användning av pseudonymiserade uppgifter kan lättnader göras beträffande registeransvarigas skyldigheter (artiklarna 4.2 a och 10 samt skäl 23).

Samtycke bör även i fortsättningen vara en hörnsten i EU:s uppgiftsskydd, eftersom det är det bästa sättet för enskilda att kontrollera uppgiftsbehandling. Information till registrerade bör vara lättbegriplig och t.ex. ges i form av standardiserade logotyper eller symboler (artikel 11.2a och 11.2b). Tekniska standarder som uttrycker en registrerad persons tydliga önskemål kan betraktas som en giltig form av uttryckligt samtycke (artiklarna 7.2a och 23).

För att se till att profileringsaktiviteter underställs informerat samtycke måste dessa aktiviteter definieras och regleras (artiklarna 4.3b, 14.1 g, 14.1 ga, 14.1 gb, 15.1 och 20). Andra rättsliga grunder för behandling än samtycke, i synnerhet registeransvarigas ”berättigade intressen”, bör tydligt definieras (ändringsförslag om att artikel 6.1 f ska ersättas med en ny artikel 6.1a, 6.1b och 6.1c).

Avgränsning av syfte är ett grundläggande inslag i uppgiftsskydd eftersom detta skyddar registrerade från oförutsedd utökning av behandlingen av uppgifter. Det bör inte vara möjligt att enbart med stöd av den registeransvariges berättigade intresse ändra syftet med personuppgifterna efter det att de har samlats in. Föredraganden föreslår därför att artikel 6.4 ska utgå i stället för att utvidgas.

Föredraganden stöder en förstärkning av rätten till tillgång, med en rätt till uppgiftsportabilitet – dvs. att man ska ha rätt att flytta sina uppgifter från en plattform till en annan. I den digitala tidsåldern har registrerade personer, även i sin roll som konsumenter, rätt att rimligen förvänta sig att få sina personuppgifter i en allmänt använd elektronisk form (artikel 15.2a). Han föreslår därför att artiklarna 15 och 18 ska slås ihop.

I takt med att mer och mer information som kan få betydande konsekvenser lämnas ut är rätten att radera uppgifter och rätten att rätta uppgifter fortsatt viktiga för de registrerade. ”Rätten att bli bortglömd” ska ses mot denna bakgrund. Genom de ändringar som föreslås klargörs dessa rättigheter i den digitala miljön, samtidigt som det allmänna undantaget för yttrandefrihet kvarstår. När det gäller uppgifter som överförs till tredje parter eller som offentliggörs utan lämplig rättslig grund bör den ursprunglige registeransvarige vara skyldig att informera dessa tredje parter och se till att uppgifterna raderas. Om den enskilde har samtyckt till att hans eller hennes uppgifter offentliggörs är en ”rätt att bli bortglömd” emellertid varken berättigad eller realistisk (artikel 17 och skäl 54).

Rätten att motsätta sig vidare uppgiftsbehandling bör alltid vara kostnadsfri och uttryckligen erbjudas den registrerade personen på ett klart och tydligt språk, anpassat till den registrerade (artikel 19.2). Det är även nödvändigt att skapa bättre möjligheter till effektiv rättslig prövning, även för organisationer som agerar i det allmänna intresset (artiklarna 73 och 76).

Ytterligare främjande av inremarknadsaspekten och bättre tillämpning av bestämmelser om uppgiftsskydd

Föredraganden välkomnar den föreslagna ändringen från krav på anmälan till dataskyddsmyndigheter till praktisk ansvarighet och uppgiftsskyddsombud på företag. Den föreslagna förordningen kan förenklas genom att informationsrättigheter och dokumentationskrav slås ihop eftersom de i grunden utgör två sidor av samma mynt. Detta kommer att minska de administrativa bördorna för registeransvariga och göra det enklare för enskilda att förstå och utöva sina rättigheter (artiklarna 14 och 28). I dagens datormolnmiljö bör tröskeln för obligatorisk utnämning av ett uppgiftsskyddsombud inte grundas på ett företags storlek, utan snarare på hur relevant behandlingen av uppgifterna är (kategori av personuppgifter, typ av behandling och antal personer vilkas uppgifter behandlas) (artikel 35). Det förtydligas att uppgiftsskyddsombudet kan vara en deltidstjänst, beroende på företagets storlek och mängden uppgiftsbehandling (skäl 75).

Inbyggt uppgiftsskydd och uppgiftsskydd som standard välkomnas som en viktig innovation i reformen. Därmed säkerställs att bara uppgifter som krävs för ett särskilt ändamål verkligen behandlas. Tillverkare och tjänsteleverantörer uppmanas att vidta lämpliga åtgärder. Europeiska dataskyddsstyrelsen bör anförtros uppdraget att ge ytterligare vägledning (artikel 23). Syftet med ändringsförslagen beträffande konsekvensbedömningar av integritetsskyddet är att ytterligare fastställa i vilka situationer sådana bedömningar bör göras (artikel 33.2) och vilka inslag som bör bedömas (artikel 33.3).

Föredraganden föreslår att den tidsfrist inom vilken ett personuppgiftsbrott ska anmälas till tillsynsmyndigheten ska förlängas från 24 till 72 timmar. För att förhindra ”informationströtthet” hos registrerade bör dessutom bara fall där personuppgiftsbrottet kan försvaga skyddet av den registrerades personuppgifter eller integritet, t.ex. vid identitetsstöld, bedrägerier, ekonomisk förlust, fysisk skada, betydande förödmjukelse eller skadat anseende, meddelas den registrerade. Anmälan bör även innehålla en beskrivning av typen av personuppgiftsbrott och information om rättigheter, inbegripet möjligheter till rättslig prövning (artiklarna 31 och 32). När det gäller anmälningar om personuppgiftsbrott, konsekvensbedömningar och rätten till radering och rätten att bli bortglömd föreslås att kommissionen antar delegerade akter innan förordningen börjar tillämpas för att klarhet om rättsläget ska uppnås (artikel 86.5a).

Såväl uppförandekodexar som certifieringar och förseglingar stöds, men det behövs även incitament för ett fastställande och en tillämpning av tydligare bestämmelser om de principer som de måste innehålla och om konsekvenserna av olaglig behandling av uppgifter, skadeståndsskyldigheter och besläktade frågor. Uppförandekodexar som kommissionen förklarar vara i enlighet med förordningen ska ge registrerade personer verkställbara rättigheter. Certifieringsförseglingar måste ange det formella förfarandet för att utfärda och återkalla förseglingen och garantera överensstämmelse med uppgiftsskyddsprinciper och registrerades rättigheter (artiklarna 38 och 39).

Genom förordningen bör även säkerställas en enhetlig verksamhetsstruktur för alla dataskyddsmyndigheter. För att detta ska fungera är det viktigt att dataskyddsmyndigheter, som måste vara fullständigt oberoende, får tillräckliga resurser för att kunna fullgöra sitt uppdrag (artikel 47). Samarbetet mellan dataskyddsmyndigheter ska även förstärkas genom Europeiska dataskyddsstyrelsen (som ska ersätta den nuvarande ”artikel 29-arbetsgruppen”). Föredraganden anser att den planerade mekanismen för samarbete och enhetlighet bland nationella datatillsynsmyndigheter är ett stort steg mot en sammanhängande tillämpning av uppgiftsskyddslagstiftningen i hela EU. Den modell som föreslås av kommissionen garanterar emellertid inte ett nödvändigt oberoende för dataskyddsmyndigheter. Efter att ha tagit ställning till olika alternativ föreslås en annan mekanism, som baseras på idén om en ansvarig dataskyddsmyndighet men även bygger på ett nära samarbete mellan dataskyddsmyndigheterna för att garantera samstämmighet (artiklarna 51 och 55a). En dataskyddsmyndighet har i huvudsak behörighet att utöva tillsyn över uppgiftsbehandling inom sitt territorium eller uppgiftsbehandling som rör registrerade som är hemmahörande inom dess territorium. När det gäller uppgiftsbehandling hos en registeransvarig eller registerförare som är etablerad i mer än en medlemsstat eller som berör registrerade i flera medlemsstater ska dataskyddsmyndigheten där det huvudsakliga verksamhetsstället ligger vara den ansvariga myndigheten och fungera som kontaktpunkt för den registeransvarige eller registerföraren (gemensam kontaktpunkt). Den ansvariga myndigheten ska sörja för samordning med berörda myndigheter och samråda med övriga myndigheter innan den fattar beslut om åtgärder. Europeiska dataskyddsstyrelsen ska utse den ansvariga myndigheten i fall där det råder oklarhet eller där dataskyddsmyndigheterna inte kan komma överens. Om en dataskyddsmyndighet som berörs av ett ärende inte vill ställa sig bakom den åtgärd som har föreslagits av den ansvariga myndigheten ska Europeiska dataskyddsstyrelsen avge ett yttrande. Om den ansvariga myndigheten inte vill rätta sig efter detta yttrande ska den informera Europeiska dataskyddsstyrelsen och ange skälen till detta. Europeiska dataskyddsstyrelsen kan fatta ett slutligt beslut med kvalificerad majoritet, vilket ska vara bindande för tillsynsmyndigheten. Beslutet kan bli föremål för domstolsprövning (artiklarna 45a, 55 och 58). Kommissionen kan även överklaga beslutet till EU-domstolen och begära att åtgärden ska upphävas (artikel 61a).

Föredraganden förordar att dataskyddsmyndigheterna ska få större befogenheter när det gäller att göra undersökningar och besluta om sanktioner. Kommissionens förslag var emellertid alltför föreskrivande. Föredraganden föreslår en förenklad ordning som ger dataskyddsmyndigheter större handlingsfrihet, samtidigt som Europeiska dataskyddsstyrelsen får i uppdrag att se till att rättstillämpningen är konsekvent (artiklarna 52, 53, 78 och 79). Sanktionssystemet förtydligas även genom att det införs flera kriterier som måste beaktas för att fastställa storleken på de böter som en dataskyddsmyndighet kan utdöma.

Stärkande av den globala dimensionen

Kommissionen behåller sin befogenhet att anta beslut om adekvathet eller icke-adekvathet vad gäller tredjeländer, tredjeländers territorier och internationella organisationer. Den föreslagna nya möjligheten att erkänna sektorer i tredjeländer som adekvata förkastas emellertid av föredraganden, eftersom den skulle öka den juridiska ovissheten och undergräva unionens mål om ett harmoniserat och sammanhängande internationellt regelverk om uppgiftsskydd. Kriterierna för att bedöma tredjeländers adekvathet förstärks (artikel 41.2). Det föreslås även att kommissionens beslut om adekvathet ska fattas genom en delegerad akt i stället för en genomförandeakt för att ge rådet och parlamentet möjlighet att utnyttja sin kontrollrättighet (artikel 41.3 och 41.5).

Om det inte finns något beslut om adekvathet bör registeransvariga och registerförare sörja för ett tillfredsställande skydd genom att vidta lämpliga åtgärder, t.ex. tillämpa bindande företagsbestämmelser eller standardbestämmelser om uppgiftsskydd som har antagits av kommissionen eller en tillsynsmyndighet. Ändringarna av artiklarna 41.1a och 42 förtydligar och beskriver utförligt de nödvändiga garantier som sådana rättsakter bör innehålla.

En ny artikel 43a föreslås för att hantera frågan om när myndigheter eller domstolar i tredjeländer begär att få tillgång till personuppgifter som lagras och behandlas i EU. Överföring bör endast beviljas av dataskyddsmyndigheter sedan det har kontrollerats att överföringen är förenlig med förordningen och i synnerhet med artikel 44.1 d eller e. Denna situation kommer att bli ännu viktigare i takt med att datormolntekniken sprids och måste därför hanteras i detta sammanhang.

Sammanfattning

Föredraganden ställer sig bakom målet att stärka rätten till skydd av personuppgifter men samtidigt skapa ett enhetligt regelverk och minska de administrativa bördorna för registeransvariga. Han föreslår att kommissionens roll i genomförandet ska minimeras genom att grundläggande inslag förtydligas i själva texten till förordningen och genom att det praktiska genomförandet av samarbetsmekanismen överlåts åt dataskyddsmyndigheterna. Han föreslår att det ska läggas större tonvikt vid användningen av tekniska åtgärder för att skydda personuppgifter och garantera regelefterlevnad, i kombination med incitament för registeransvariga att använda sådana åtgärder. I linje med ansvarighetsstrategin stärks uppgiftsskyddsombudens roll, samtidigt som kravet på förhandssamråd med tillsynsmyndigheterna sänks. Unionens institutioner, organ och byråer bör på medellång sikt omfattas av samma regelverk. Om dessa delar kan få stöd från parlamentet, rådet och kommissionen kommer det nya regelverket om uppgiftsskydd att innebära en förbättring för både enskilda och registeransvariga, samt kunna stå sig i flera år.

Under det omfattande arbete som har utförts tillsammans med skuggföredragande från alla politiska grupper och föredragande för yttranden har föredraganden utarbetat ett stort antal ändringsförslag som speglar diskussionerna med de berörda kollegerna. Särskilt när det gäller principer, rättsliga grunder för behandling av personuppgifter, den registrerades rättigheter, bestämmelser om registeransvariga och registerförare, mekanismen för enhetlighet och sanktioner har ett antal kompromisser inkluderats i detta betänkande. Föredraganden hoppas att hans förslag ska tjäna som ett bra underlag för en snabb överenskommelse i Europaparlamentet och för förhandlingar inom rådet under Irlands ordförandeskap.

(1)

DT/905569SV.doc.

(2)

DT/905569SV.doc.

(3)

PA/918358SV.doc.


YTTRANDE från utskottet för sysselsättning och sociala frågor (4.3.2013)

till utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor

över förslaget till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Föredragande: Nadja Hirsch

KORTFATTAD MOTIVERING

Föredraganden välkomnar uttryckligen denna förordning och dess mål om att ytterligare harmonisera uppgiftsskyddet i Europeiska unionen (EU).

Syftet med detta yttrande är följande: Uppenbarligen går det inte att ordna med ett alltomfattande europeiskt skydd av anställdas personuppgifter i en enda artikel. Därför handlar det snarare om att fastställa vissa grundläggande inslag. Man arbetar ju med att åstadkomma en genuin europeisk arbetsmarknad och inre marknad, och som ett led i detta arbete kan man längre fram dryfta frågan om att reglera skyddet av anställdas personuppgifter på europeisk nivå. En sådan reglering vore möjlig utgående från artikel 288 i fördraget om Europeiska unionens funktionssätt.

Trots att uppgiftsbehandlingen inom EU till största delen har anknytning till anställningsförhållanden har skyddet av anställdas personuppgifter på europeisk nivå endast i ringa grad tagits upp i förordningen. Dessutom är förordningen så pass abstrakt hållen att det ofta blir svårt att tolka hur föreskrifterna ska tillämpas på anställningsförhållanden.

Föredraganden anser att man i denna förordning bäst kan ta hänsyn till den utmaning som skyddet av anställdas personuppgifter innebär om detta yttrande begränsas till att handla endast om artikel 82. På det sättet kan innehållet utvidgas och förordningens olika artiklar med relevans för skyddet av anställdas personuppgifter sammanföras.

Om artikel 82.1 och skäl 124

Som förordningen nu ser ut kan den erbjuda endast en miniminivå av skydd, framför allt av anställdas personuppgifter. Varje medlemsstat måste få ha kvar möjligheten att föreskriva gynnsammare normer för sina arbetstagare. Dessutom måste sådana normer kunna fastställas i kollektivavtal. Uttrycket ”[i]nom ramen för bestämmelserna i denna förordning” måste av flera orsaker avvisas. För det första strider det mot undantagsbestämmelserna i artikel 82 och skulle, tillsammans med de delegerade rättsakter som kommissionen föreslår i artikel 82, kunna leda till en ytterligt oöverskådlig situation. För det andra skulle det i sämsta fall kunna innebära att medlemsstaterna inte hade rätt att utfärda några mer långtgående bestämmelser. Slutligen ger denna lydelse här intrycket av att vara godtyckligt vald, eftersom en sådan begränsning inte ingår i andra inledande bestämmelser, till exempel för medier.

Om artikel 82.1b

Eftersom kommissionen hittills inte lagt fram något eget förslag om skydd av anställdas personuppgifter och eftersom detta skydd tas upp endast på ett fåtal ställen i förordningen, måste det fastställas vissa europaomfattande miniminormer för skyddsnivån i detta avseende. De fyra punkter som föreligger här ska i det sammanhanget inte ses som någon uttömmande förteckning, utan som grundläggande inslag i en utförlig europeisk uppgiftsskyddslagstiftning.

Om artikel 82.1c

Uppgiftsskyddsombudet fyller en oerhört viktig funktion. Därför måste det råda absolut klarhet om att vederbörande ska kunna utföra sina uppgifter utan fruktan för påtryckningar eller inflytande utifrån, och till arbetstagarnas bästa. Således är det på plats med ett särskilt anställningsskydd och förbud mot diskriminering.

Om artikel 82.1e och skäl 124a

I kommissionens förslag anges inga exakta villkor för uppgiftsöverföring mellan olika delar av en företagsgrupp inom EU. Detta ska tas upp här, med vaktslående om arbetstagarens intresse.

Om artikel 82.1f och skäl 34

Det är inte ändamålsenligt att föreskriva att samtycke aldrig ska kunna utgöra giltig grund för behandling av personuppgifter i samband med ett anställningsförhållande. Föredraganden föreslår därför att samtycke ska kunna vara en möjlig giltig grund även i situationer av obalans, om behandlingen sker av omtanke om juridiskt och ekonomiskt fördelaktiga konsekvenser för arbetstagaren.

Om artikel 82.3

Föredraganden anser att delegerade rättsakter bör komma i fråga endast i sådana fall där icke väsentliga delar av förordningen snabbt och flexibelt måste anpassas till tekniska och säkerhetstekniska innovationer. I det här hänseendet gick kommissionens förslag hittills för långt. Förutom punkt 1 bör dessutom också den nya punkten 1c kunna regleras med hjälp av rättsakter.

Om artikel 82.3a

Denna översynsklausul medger en förnyad utvärdering.

ÄNDRINGSFÖRSLAG

Utskottet för sysselsättning och sociala frågor uppmanar utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor att som ansvarigt utskott infoga följande ändringsförslag i sitt betänkande:

Ändringsförslag  1

Förslag till förordning

Skäl 34

Kommissionens förslag

Ändringsförslag

(34) Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter om det finns en betydande obalans mellan den registrerade och den registeransvarige. Detta är särskilt fallet när den registrerade befinner sig i ett beroendeförhållande till den registeransvarige, bl.a. när arbetstagares personuppgifter behandlas av arbetsgivare inom ramen för en anställning. Är den registeransvarige en myndighet torde obalans endast uppkomma vid specifika uppgiftsbehandlingar där myndigheten i kraft av sina offentliga befogenheter kan ålägga skyldigheter och samtycket, med hänsyn tagen till den registrerades intresse, inte kan anses ha lämnats frivilligt.

(34) Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter om det finns en betydande maktobalans mellan den registrerade och den registeransvarige. Detta är särskilt fallet när den registrerade befinner sig i ett beroendeförhållande till den registeransvarige, bl.a. när arbetstagares personuppgifter behandlas av arbetsgivare inom ramen för en anställning. Personuppgifter bör dock få behandlas av arbetsgivare inom ramen för en anställning om det sker av omtanke om huvudsakligen juridiskt och ekonomiskt fördelaktiga konsekvenser för arbetstagaren. Är den registeransvarige en myndighet torde obalans endast uppkomma vid specifika uppgiftsbehandlingar där myndigheten i kraft av sina offentliga befogenheter kan ålägga skyldigheter och samtycket, med hänsyn tagen till den registrerades intresse, inte kan anses ha lämnats frivilligt.

Ändringsförslag  2

Förslag till förordning

Skäl 75

Kommissionens förslag

Ändringsförslag

(75) När en behandling utförs inom den offentliga sektorn eller av ett stort företag inom den privata sektorn, eller när ett företags kärnverksamheter, oavsett företagets storlek, inbegriper behandling som kräver regelbunden och systematisk övervakning bör en person bistå den registeransvarige eller registerföraren för att övervaka den interna efterlevnaden av denna förordning. Denna typ av uppgiftsskyddsombud bör, vare sig de är anställda av den registeransvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina arbetsuppgifter på ett oberoende sätt.

(75) När en behandling utförs inom den offentliga sektorn eller av ett företag inom den privata sektorn, eller när ett företags kärnverksamheter, oavsett företagets storlek, inbegriper behandling som kräver regelbunden och systematisk övervakning bör en person bistå den registeransvarige eller registerföraren för att övervaka den interna efterlevnaden av denna förordning. Denna typ av uppgiftsskyddsombud bör, vare sig de är anställda av den registeransvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina arbetsuppgifter på ett oberoende sätt. Behandlingen bör genomföras av en juridisk person och omfatta fler än 250 registrerade per år.

Ändringsförslag  3

Förslag till förordning

Skäl 124

Kommissionens förslag

Ändringsförslag

(124) De allmänna principerna för skyddet av enskilda vid behandling av personuppgifter bör även vara tillämpliga vid anställningar. För att reglera behandling av arbetstagares personuppgifter inom ramen för ett anställningsförhållande bör medlemsstaterna därför, inom gränserna för denna förordning, lagstiftningsvägen kunna anta särskilda regler för behandling av personuppgifter under anställningar.

 

(124) De allmänna principerna för skyddet av enskilda vid behandling av personuppgifter bör även vara tillämpliga vid anställningar. Medlemsstaterna bör kunna reglera behandling av arbetstagares personuppgifter inom ramen för ett anställningsförhållande i enlighet med bestämmelserna och miniminormerna i denna förordning. Om det i respektive medlemsstat finns lagstiftning som reglerar frågor rörande anställningsförhållanden genom avtal mellan arbetstagarnas företrädare och ledningen i företaget eller i det kontrollerande företaget i en företagsgrupp (kollektivavtal) eller i enlighet med Europaparlamentets och rådets direktiv 2009/38/EG av den 6 maj 2009 om inrättandet av ett europeiskt företagsråd eller ett förfarande i gemenskapsföretag och grupper av gemenskapsföretag för information till och samråd med arbetstagaren1 bör behandlingen av personuppgifter inom ramen för anställningsförhållanden även kunna regleras genom ett sådant avtal. I detta särskilda fall bör det vara möjligt att göra avvikelser och undantag i enlighet med nationell lagstiftning och praxis.

 

________________

 

1 EUT L 122, 16.5.2009, s. 28.

Ändringsförslag  4

Förslag till förordning

Skäl 124a (nytt)

Kommissionens förslag

Ändringsförslag

 

(124a) För bevarandet av företagsintressen som står i direkt samband med anställningsförhållandet bör det vara tillåtet att överföra och behandla arbetstagares personuppgifter inom företagsgrupper. Detta bör dock inte strida mot sådana intressen hos den berörda personen som bör åtnjuta skydd. Arbetstagares personuppgifter är alla slags uppgifter om den berörda personen som står i direkt samband med anställningsförhållandet. Bestämmelserna i artikel 82.1e tar hänsyn till att det blivit vanligt med behandling av arbetstagares personuppgifter inom företagsgrupper.

Ändringsförslag  5

Förslag till förordning

Artikel 3 – punkt 1a (ny)

Kommissionens förslag

Ändringsförslag

 

1a. Denna förordning ska tillämpas på behandling av personuppgifter som avser registrerade personer som inte är bosatta i unionen och som utförs av en registeransvarig eller registerförare som är etablerad i unionen, genom dennes ekonomiska verksamhet i ett eller flera tredjeländer.

Ändringsförslag  6

Förslag till förordning

Artikel 6 – punkt 1 – led f

Kommissionens förslag

Ändringsförsla