BETÄNKANDE om förslaget till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning)
21.11.2013 - (COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD)) - ***I
Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor
Föredragande: Jan Philipp Albrecht
- FÖRSLAG TILL EUROPAPARLAMENTETS LAGSTIFTNINGSRESOLUTION
- MOTIVERING
- YTTRANDE från utskottet för sysselsättning och sociala frågor
- YTTRANDE från utskottet för industrifrågor, forskning och energi
- YTTRANDE från utskottet för den inre marknaden och konsumentskydd
- YTTRANDE från utskottet för rättsliga frågor
- ÄRENDETS GÅNG
FÖRSLAG TILL EUROPAPARLAMENTETS LAGSTIFTNINGSRESOLUTION
om förslaget till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning)
(COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD))
(Ordinarie lagstiftningsförfarande: första behandlingen)
Europaparlamentet utfärdar denna resolution
– med beaktande av kommissionens förslag till Europaparlamentet och rådet (COM(2012)0011),
– med beaktande av artiklarna 294.2, 16.2 och 114.1 i fördraget om Europeiska unionens funktionssätt, i enlighet med vilka kommissionen har lagt fram sitt förslag för parlamentet (C7‑0025/2012),
– med beaktande av artikel 294.3 i fördraget om Europeiska unionens funktionssätt,
– med beaktande av de motiverade yttranden från den belgiska deputeradekammaren, det tyska förbundsrådet, den franska senaten, den italienska deputeradekammaren och Sveriges riksdag som lagts fram i enlighet med protokoll nr 2 om tillämpning av subsidiaritets- och proportionalitetsprinciperna, och enligt vilka utkastet till lagstiftningsakt inte är förenligt med subsidiaritetsprincipen,
– med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande av den 23 maj 2012[1],
– efter att ha hört Regionkommittén,
– med beaktande av Europeiska datatillsynsmannens yttrande av den 7 mars 2012,
– med beaktande av yttrandet av den 1 oktober 2012 från Europeiska unionens byrå för grundläggande rättigheter,
– med beaktande av artikel 55 i arbetsordningen,
– med beaktande av betänkandet från utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor och yttrandena från utskottet för sysselsättning och sociala frågor, utskottet för industrifrågor, forskning och energi, utskottet för den inre marknaden och konsumentskydd och utskottet för rättsliga frågor (A7-0402/2013).
1. Europaparlamentet antar nedanstående ståndpunkt vid första behandlingen.
2. Europaparlamentet uppmanar kommissionen att lägga fram en ny text för parlamentet om den har för avsikt att väsentligt ändra sitt förslag eller ersätta det med ett nytt.
3. Europaparlamentet uppdrar åt talmannen att översända parlamentets ståndpunkt till rådet, kommissionen och de nationella parlamenten.
Ändringsförslag 1 Förslag till förordning Skäl 14 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(14) Denna förordning tar inte upp frågor som rör skyddet av grundläggande rättigheter och friheter eller det fria flödet av uppgifter på områden som inte omfattas av unionslagstiftningen, och den tar heller inte upp behandling av personuppgifter som sker i EU:s institutioner, organ och byråer, som omfattas av förordning (EG) nr 45/200144, och inte heller medlemsstaternas behandling av personuppgifter när de agerar inom ramen för unionen gemensamma utrikes- och säkerhetspolitik. |
(14) Denna förordning tar inte upp frågor som rör skyddet av grundläggande rättigheter och friheter eller det fria flödet av uppgifter på områden som inte omfattas av unionslagstiftningen. Europaparlamentets och rådets förordning (EG) nr 45/200144 bör göras förenlig med bestämmelserna i denna förordning och tillämpas i enlighet med denna förordning. |
|
____________ |
______________ |
|
44 EGT L 8, 12.1.2001, s. 1. |
44 Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1). |
Ändringsförslag 2 Förslag till förordning Skäl 15 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(15) Denna förordning bör inte vara tillämplig på fysiska personers behandling av personuppgifter, som är helt personliga eller privata, t.ex. korrespondens och adressförteckningar, och som helt saknar vinstintresse och därmed också koppling till yrkes- eller affärsmässig verksamhet. Undantaget bör heller inte vara tillämpligt på registeransvariga eller registerförare som tillhandahåller utrustning för behandling av personuppgifter får sådana personliga eller privata verksamheter. |
(15) Denna förordning bör inte vara tillämplig på fysiska personers behandling av personuppgifter som är helt personliga, familjerelaterade eller privata, t.ex. korrespondens, adressförteckningar och privatförsäljningar, och som helt saknar koppling till yrkes- eller affärsmässig verksamhet. Denna förordning bör dock vara tillämplig på registeransvariga och registerförare som tillhandahåller utrustning för behandling av personuppgifter för sådana personliga eller privata verksamheter. |
Ändringsförslag 3 Förslag till förordning Skäl 18 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(18) Denna förordning gör det möjligt att vid tillämpningen av bestämmelserna i den ta hänsyn till principen om allmänhetens rätt att få tillgång till allmänna handlingar. |
(18) Denna förordning gör det möjligt att vid tillämpningen av bestämmelserna i den ta hänsyn till principen om allmänhetens rätt att få tillgång till allmänna handlingar. Personuppgifter i handlingar som innehas av en offentlig myndighet eller ett offentligt organ får lämnas ut av den myndigheten eller det organet i enlighet med unionslagstiftningen eller en medlemsstats lagstiftning om allmänhetens tillgång till offentliga handlingar för att förena uppgiftsskyddsrätten med allmänhetens rätt till tillgång till offentliga handlingar, förutsatt att en lämplig avvägning av de berörda parternas intressen kan säkerställas. |
Ändringsförslag 4 Förslag till förordning Skäl 20 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(20) För att enskilda inte ska fråntas det skydd denna förordning ger dem bör behandling av personuppgifter om inom unionen boende registrerade som görs av en registeransvarig som inte är etablerad inom unionen omfattas av denna förordning när behandlingen avser utbjudande av varor eller tjänster till de aktuella registrerade, eller övervakning av deras beteende. |
(20) För att enskilda inte ska fråntas det skydd denna förordning ger dem bör behandling av personuppgifter om inom unionen boende registrerade som görs av en registeransvarig som inte är etablerad inom unionen omfattas av denna förordning när behandlingen avser utbjudande av varor eller tjänster, oavsett om det sker mot betalning eller inte, till de aktuella registrerade, eller övervakning av de aktuella registrerade. I syfte att fastställa om en registeransvarig erbjuder varor eller tjänster till registrerade inom unionen bör man fastställa om det är uppenbart att den registeransvarige avser att erbjuda tjänster till registrerade bosatta i en eller flera av unionens medlemsstater. |
Ändringsförslag 5 Förslag till förordning Skäl 21 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(21) För att avgöra huruvida en viss behandling kan anses ”övervaka beteendet” hos registrerade, bör det utrönas om enskilda personer spåras på internet med hjälp av uppgiftsbehandlingsteknik som består i att en ”profil” appliceras på en enskild person, främst i syfte att fatta beslut rörande honom eller henne eller för att analysera eller förutsäga hans eller hennes personliga preferenser, beteende och attityder. |
(21) För att avgöra huruvida en viss behandling kan anses ”övervaka” registrerade, bör det utrönas om enskilda personer spåras, oavsett uppgifternas ursprung, eller om andra uppgifter samlas in om dem, även från offentliga register och meddelanden som offentliggörs i unionen och finns tillgängliga utanför unionen, även i syfte att använda eller för eventuell senare användning av uppgiftsbehandlingsteknik som består i att en ”profil” appliceras, främst i syfte att fatta beslut rörande honom eller henne eller för att analysera eller förutsäga hans eller hennes personliga preferenser, beteende och attityder. |
Ändringsförslag 6 Förslag till förordning Skäl 23 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(23) Principerna för skyddet bör gälla all information som rör en identifierad eller identifierbar person. För att avgöra om en person är identifierbar bör man uppmärksamma alla hjälpmedel som, antingen av den registeransvarige eller av någon annan person, rimligen kan komma att använda för att identifiera vederbörande. Skyddsprinciperna bör inte gälla för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är identifierbar. |
(23) Principerna för uppgiftsskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. För att avgöra om en person är identifierbar bör man uppmärksamma alla hjälpmedel som, antingen av den registeransvarige eller av någon annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera eller särskilja vederbörande. För att fastställa om hjälpmedel rimligen kan komma att användas för att identifiera vederbörande bör man ta i beaktande samtliga objektiva faktorer som kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Skyddsprinciperna bör därför inte gälla för anonyma uppgifter, som är uppgifter som inte är kopplade till en identifierad eller identifierbar fysisk person. Denna förordning berör därför inte behandling av sådana anonyma uppgifter, inbegripet uppgifter för statistiska ändamål och forskningsändamål. |
Ändringsförslag 7 Förslag till förordning Skäl 24 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(24) Vid användning av nättjänster kan enskilda personer knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser eller kakor. Detta kan efterlämna spår som i kombination med unika identifierare och andra uppgifter som tas emot av servrarna kan användas för att skapa profiler för enskilda personer och identifiera dem. Således utgör inte alltid identifieringsnummer, lokaliseringsuppgifter, nätidentifierare eller andra särskilda uppgifter i sig nödvändigtvis personuppgifter. |
(24) Denna förordning bör vara tillämplig på behandling som inbegriper identifierare som lämnas av utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser, kakor och radiofrekvensidentifiering, såvida inte dessa identifierare är kopplade till en identifierad eller identifierbar fysisk person. |
Ändringsförslag 8 Förslag till förordning Skäl 25 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(25) Samtycke bör lämnas uttryckligen med lämplig metod som möjliggör en frivillig, särskild och informerad viljeyttring från de registrerades sida, antingen genom ett uttalande eller genom en entydig affirmativ handling som visar att de är medvetna om att de ger sitt samtycke till behandlingen av personuppgifter, exempelvis en ruta som klickas i vid besök på en internetsida eller genom något annat uttalande eller beteende som i sammanhanget tydligt visar att de registrerade godtar den föreslagna behandlingen av deras personuppgifter. Tystnad eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran måste denna vara tydlig, koncis och får inte onödigtvis störa användningen av den tjänst som den avser. |
(25) Samtycke bör lämnas uttryckligen med lämplig metod som möjliggör en frivillig, särskild och informerad viljeyttring från de registrerades sida, antingen genom ett uttalande eller genom en entydig affirmativ handling som är resultatet av de registrerades val och visar att de är medvetna om att de ger sitt samtycke till behandlingen av personuppgifter. En entydig affirmativ handling skulle kunna inbegripa en ruta som klickas i vid besök på en internetsida eller genom något annat uttalande eller beteende som i sammanhanget tydligt visar att de registrerade godtar den föreslagna behandlingen av deras personuppgifter. Tystnad, enbart användning av en tjänst eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran måste denna vara tydlig, koncis och får inte onödigtvis störa användningen av den tjänst som den avser. |
Ändringsförslag 9 Förslag till förordning Skäl 29 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(29) Barns personuppgifter förtjänar ett särskilt skydd, eftersom de kan vara mindre medvetna om risker, följder, skyddsåtgärder samt sina rättigheter när det gäller behandling av personuppgifter. Definitionen av vem som betraktas som barn bör vara densamma som i FN:s konvention om barnets rättigheter. |
(29) Barns personuppgifter förtjänar ett särskilt skydd, eftersom de kan vara mindre medvetna om risker, följder, skyddsåtgärder samt sina rättigheter när det gäller behandling av personuppgifter. Om uppgiftsbehandlingen grundar sig på den registrerades samtycke när det gäller erbjudande av varor eller tjänster direkt till ett barn bör samtycke ges eller godkännas av barnets förälder eller vårdnadshavare i fall där barnet är under 13 år. Åldersanpassat språk bör användas om de avsedda mottagarna är barn. Andra grunder för laglig behandling, såsom samhällsintressen, bör fortsatt vara tillämpliga, till exempel för behandling inom ramen för förebyggande eller rådgivande tjänster som erbjuds direkt till ett barn. |
Ändringsförslag 10 Förslag till förordning Skäl 31 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(31) För att behandling ska vara laglig bör personuppgifterna behandlas efter samtycke från berörd person eller på någon annan legitim lagfäst grund, antingen denna förordning eller annan unionslagstiftning eller nationell lagstiftning som aves i denna förordning. |
(31) För att behandling ska vara laglig bör personuppgifterna behandlas efter samtycke från berörd person eller på någon annan legitim lagfäst grund, antingen denna förordning eller annan unionslagstiftning eller nationell lagstiftning som aves i denna förordning. När det gäller barn eller personer som saknar rättskapacitet bör relevant unionslagstiftning eller nationell lagstiftning fastställa villkoren för hur samtycke ska ges eller godkännas av vederbörande. |
Ändringsförslag 11 Förslag till förordning Skäl 32 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(32) När behandling sker efter samtycke från registrerade bör registeransvariga ha bevisbördan när det gäller att visa att de registrerade har lämnat sitt samtycke till behandlingen. Vid skriftliga deklarationer som också rör andra frågor bör skyddsåtgärder finnas som ser till att de registrerade är medvetna om detta och hur långt samtycket sträcker sig. |
(32) När behandling sker efter samtycke från registrerade bör registeransvariga ha bevisbördan när det gäller att visa att de registrerade har lämnat sitt samtycke till behandlingen. Vid skriftliga deklarationer som också rör andra frågor bör skyddsåtgärder finnas som ser till att de registrerade är medvetna om detta och hur långt samtycket sträcker sig. För att följa principen om uppgiftsminimering bör bevisbördan inte tolkas som att det krävs en positiv identifiering av registrerade om så inte är nödvändigt. I likhet med civilrättsliga bestämmelser (till exempel rådets direktiv 93/13/EEG1) bör uppgiftsskyddsstrategier vara så tydliga och insynsvänliga som möjligt. De bör inte innehålla några dolda eller ofördelaktiga bestämmelser. Samtycke kan inte ges för behandling av tredje personers personuppgifter. |
|
|
_______________________ |
|
|
1 Rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal (EGT L 95, 21.4.1993, s. 29). |
Ändringsförslag 12 Förslag till förordning Skäl 33 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(33) För att säkerställa att samtycket är frivilligt bör det klargöras att ett samtycke inte är giltig rättslig grund om den enskilde inte har något genuin och fri valmöjlighet och därför inte utan problem kan vägra eller ta tillbaka sitt samtycke. |
(33) För att säkerställa att samtycket är frivilligt bör det klargöras att ett samtycke inte är giltig rättslig grund om den enskilde inte har något genuin och fri valmöjlighet och därför inte utan problem kan vägra eller ta tillbaka sitt samtycke. Detta är särskilt fallet om den registeransvarige är en offentlig myndighet som i kraft av sina offentliga befogenheter kan ålägga skyldigheter och samtycket inte kan anses ha lämnats frivilligt. Användning av standardalternativ som den registrerade måste ändra för att vägra behandling, såsom förkryssade rutor, utgör inte frivilligt samtycke. Samtycke till behandling av ytterligare personuppgifter som inte är nödvändiga för tillhandahållandet av en tjänst bör inte krävas för användning av tjänsten. Om samtycket tas tillbaka kan detta utgöra en grund för tjänsteleverantören att säga upp eller att inte fullfölja en tjänst som är beroende av uppgifterna. Om det inte kan fastställas tydligt att det avsedda ändamålet har uppnåtts bör den registeransvarige regelbundet förse den registrerade med information om behandlingen och begära en ny bekräftelse av det ursprungliga samtycket från den registrerade. |
Ändringsförslag 13 Förslag till förordning Skäl 34 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(34) Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter om det finns en betydande obalans mellan den registrerade och den registeransvarige. Detta är särskilt fallet när den registrerade befinner sig i ett beroendeförhållande till den registeransvarige, bl.a. när arbetstagares personuppgifter behandlas av arbetsgivare inom ramen för en anställning. Är den registeransvarige en myndighet torde obalans endast uppkomma vid specifika uppgiftsbehandlingar där myndigheten i kraft av sina offentliga befogenheter kan ålägga skyldigheter och samtycket, med hänsyn tagen till den registrerades intresse, inte kan anses ha lämnats frivilligt. |
utgår |
Ändringsförslag 14 Förslag till förordning Skäl 36 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(36) Behandling som grundar sig på en lagstadgad skyldighet som den registeransvarige måste följa eller när behandling krävs för att utföra en arbetsuppgift av samhällsintresse eller när en myndighet utövar sitt uppdrag, bör behandlingen, om den begränsar rättigheter och friheter, ha rättslig grund i unionell eller nationell lagstiftning som uppfyller kraven i EU:s stadga om de grundläggande rättigheterna. Unionslagstiftning eller nationell lagstiftning bör också reglera frågan huruvida en registeransvarig som utför en arbetsuppgift i det allmännas intresse eller vid myndighetsutövning ska vara en offentlig förvaltning eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller om det kan vara en fysisk eller juridisk person som lyder under civilrättslig lagstiftning, exempelvis en yrkesorganisation. |
(36) Behandling som grundar sig på en lagstadgad skyldighet som den registeransvarige måste följa eller när behandling krävs för att utföra en arbetsuppgift av samhällsintresse eller när en myndighet utövar sitt uppdrag, bör behandlingen, om den begränsar rättigheter och friheter, ha rättslig grund i unionell eller nationell lagstiftning som uppfyller kraven i EU:s stadga om de grundläggande rättigheterna. Detta bör även inbegripa kollektivavtal som enligt nationell lagstiftning skulle kunna erkännas som allmänt giltiga. Unionslagstiftning eller nationell lagstiftning bör också reglera frågan huruvida en registeransvarig som utför en arbetsuppgift i det allmännas intresse eller vid myndighetsutövning ska vara en offentlig förvaltning eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller om det kan vara en fysisk eller juridisk person som lyder under civilrättslig lagstiftning, exempelvis en yrkesorganisation. |
Ändringsförslag 15 Förslag till förordning Skäl 38 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(38) Registeransvarigas berättigade intressen kan utgöra rättslig grund för behandling, på villkor att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts. För detta krävs en noggrann bedömning, särskilt när den registrerade är ett barn, mot bakgrund av att barn förtjänar specifikt skydd. Den registrerade bör kostnadsfritt och av skäl som rör vederbörandes särskilda situation ha rätt att göra invändningar mot behandling. För att säkra öppenheten bör registeransvariga vara skyldiga att uttryckligen informera de registrerade om vilka berättigade intressen som man eftersträvar att tillvarata och om rätten att göra invändningar. De bör även vara skyldiga att dokumentera dessa berättigade intressen. Mot bakgrund av att det är lagstiftaren som genom lagstiftning fastställer den rättsliga grunden för myndigheters behandling av uppgifter bör denna förordning inte vara tillämplig när myndigheter behandlar uppgifter inom ramen för sin myndighetsutövning. |
(38) De berättigade intressena för registeransvariga eller, i fall av utlämnande, för tredje parter till vilka uppgifterna lämnats ut kan utgöra rättslig grund för behandling, på villkor att de uppfyller den registrerades rimliga förväntningar baserat på dennes förhållande till de registeransvariga och att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts. För detta krävs en noggrann bedömning, särskilt när den registrerade är ett barn, mot bakgrund av att barn förtjänar specifikt skydd. Under förutsättning att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts bör behandling som är begränsad till pseudonymiserade uppgifter antas uppfylla den registrerades rimliga förväntningar baserat på dennes förhållande till de registeransvariga. Den registrerade bör kostnadsfritt ha rätt att göra invändningar mot behandling. För att säkra öppenheten bör registeransvariga vara skyldiga att uttryckligen informera de registrerade om vilka berättigade intressen som man eftersträvar att tillvarata och om rätten att göra invändningar. De bör även vara skyldiga att dokumentera dessa berättigade intressen. De registrerades intressen och grundläggande rättigheter skulle i synnerhet kunna väga tyngre än de registeransvarigas intressen om personuppgifter behandlas under omständigheter där de registrerade inte rimligen förväntar sig ytterligare behandling. Mot bakgrund av att det är lagstiftaren som genom lagstiftning fastställer den rättsliga grunden för myndigheters behandling av uppgifter bör denna förordning inte vara tillämplig när myndigheter behandlar uppgifter inom ramen för sin myndighetsutövning. |
Ändringsförslag 16 Förslag till förordning Skäl 39 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(39) Behandling av uppgifter utgör ett berättigat intresse för berörd registeransvarig i den mån den är nödvändig för att säkerställa nät- och informationssäkerheten, dvs. förmågan hos ett nät eller ett informationssystem att, vid en viss tillförlitlighetsnivå, tåla olyckshändelser, olagliga handlingar eller illvilligt uppträdande som äventyrar tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda data och besläktade tjänster som tillhandahålls av eller är tillgängliga via dessa nät och system av myndigheter, incidenthanteringsorganisationer (Cert), enheter för hantering av datasäkerhetsincidenter, tillhandahållare av elektroniska kommunikationsnät och kommunikationstjänster och av tillhandahållare av säkerhetsteknik och säkerhetstjänster. Detta skulle t.ex. kunna innefatta förhindrande av obehörigt tillträde till elektroniska kommunikationsnät och felaktig kodfördelning och att sätta stopp för överbelastningsattacker och skador på datasystem och elektroniska kommunikationssystem. |
(39) Behandling av uppgifter utgör ett berättigat intresse för berörd registeransvarig i den mån den är nödvändig och proportionerlig för att säkerställa nät- och informationssäkerheten, dvs. förmågan hos ett nät eller ett informationssystem att tåla olyckshändelser eller illvilligt uppträdande som äventyrar tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda data och besläktade tjänster som tillhandahålls av dessa nät och system av myndigheter, incidenthanteringsorganisationer (Cert), enheter för hantering av datasäkerhetsincidenter, tillhandahållare av elektroniska kommunikationsnät och kommunikationstjänster och av tillhandahållare av säkerhetsteknik och säkerhetstjänster. Detta skulle t.ex. kunna innefatta förhindrande av obehörigt tillträde till elektroniska kommunikationsnät och felaktig kodfördelning och att sätta stopp för överbelastningsattacker och skador på datasystem och elektroniska kommunikationssystem. Denna princip är tillämplig även på behandling av personuppgifter för att begränsa oegentlig tillgång till och användning av offentligt tillgängliga nätverks- eller informationssystem, såsom svartlistning av elektroniska identifierare. |
Ändringsförslag 17 Förslag till förordning Skäl 39a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(39a) Under förutsättning att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts bör förebyggande eller begränsning av skada från den registeransvariges sida antas vara utförd för de berättigade intressena för den registeransvarige eller, i fall av utlämnande, för den tredje part till vilka uppgifterna lämnats ut, och bör antas uppfylla de registrerades rimliga förväntningar baserat på dessas förhållande till den registeransvarige. Samma princip är tillämplig även på verkställandet av rättsliga krav gentemot en registrerad, såsom skuldindrivning eller civilrättsligt skadestånd och rättsmedel. |
Ändringsförslag 18 Förslag till förordning Skäl 39b (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(39b) Under förutsättning att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts bör behandling av personuppgifter för direkt marknadsföring av egna eller liknande produkter och tjänster eller för direkt marknadsföring per post antas vara utförd för de berättigade intressena för den registeransvarige eller, i fall av utlämnande, för den tredje part till vilka uppgifterna lämnats ut, och bör antas uppfylla de registrerades rimliga förväntningar baserat på dessas förhållande till den registeransvarige om mycket tydlig information ges om såväl rätten att göra invändningar som källan till personuppgifterna. Behandling av affärskontaktuppgifter bör i allmänhet betraktas som utförd för de berättigade intressena för den registeransvarige eller, i fall av utlämnande, för den tredje part till vilka uppgifterna lämnats ut, och bör i allmänhet anses uppfylla de registrerades rimliga förväntningar baserat på dessas förhållande till den registeransvarige. Samma princip bör vara tillämplig på behandling av personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade. |
Ändringsförslag 19 Förslag till förordning Skäl 40 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(40) Behandling av personuppgifter för andra ändamål bör endast vara tillåten när detta är förenligt med de ändamål som uppgifterna ursprungligen samlades in för, särskilt när behandlingen är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål. När ett annat ändamål inte är förenligt med det ursprungliga som uppgifterna samlas in för, bör den registeransvarige skaffa sig den registrerades samtycke för detta andra ändamål eller åberopa en annan legitim grund för laglig behandling, exempelvis föreskrifter i unionslagstiftning eller i den medlemsstats lagstiftning som den registeransvarige omfattas av. Under alla omständigheter bör principerna i denna förordning tillämpas, särskilt när det gäller informationen till den registrerade om dessa andra ändamål. |
utgår |
Ändringsförslag 20 Förslag till förordning Skäl 41 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(41) Personuppgifter som till sin karaktär är särskilt känsliga och ömtåliga i förhållande till de grundläggande rättigheterna eller integriteten, förtjänar särskilt skydd. Sådana uppgifter bör inte behandlas, såvida inte den registrerade lämnar sitt uttryckliga samtycke. Undantag från detta förbud bör dock uttryckligen föreskrivas för att tillgodose specifika behov, främst när behandling inom ramen för legitima verksamheter utförs av vissa sammanslutningar eller stiftelser vars ändamål är att göra det möjlig att utöva grundläggande friheter. |
utgår |
Ändringsförslag 21 Förslag till förordning Skäl 42 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(42) Undantag från förbudet att behandla känsliga uppgiftskategorier bör även tillåtas om de grundar sig på lagstiftning och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när samhälleliga intressen motiverar detta och i synnerhet för hälsosyften, bl.a. folkhälsa och social trygghet samt administration av hälso- och sjukvårdstjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet för de förfaranden som används vid prövning av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, eller för historiska, statistiska och vetenskapliga forskningsändamål. |
(42) Undantag från förbudet att behandla känsliga uppgiftskategorier bör även tillåtas om de grundar sig på lagstiftning och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när samhälleliga intressen motiverar detta och i synnerhet för hälsosyften, bl.a. folkhälsa och social trygghet samt administration av hälso- och sjukvårdstjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet för de förfaranden som används vid prövning av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, eller för historiska, statistiska och vetenskapliga forskningsändamål eller för arkivtjänster. |
Ändringsförslag 22 Förslag till förordning Skäl 45 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(45) Om de uppgifter som behandlas av registeransvariga inte innebär att de kan identifiera fysiska personer bör de registeransvariga inte vara tvungna att skaffa ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Om en registeransvarig mottar en begäran om tillgång bör denne ha rätt att be den begärande registrerade personen om ytterligare information för att kunna lokalisera de personuppgifter som denne söker. |
(45) Om de uppgifter som behandlas av registeransvariga inte innebär att de kan identifiera fysiska personer bör de registeransvariga inte vara tvungna att skaffa ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Om en registeransvarig mottar en begäran om tillgång bör denne ha rätt att be den begärande registrerade personen om ytterligare information för att kunna lokalisera de personuppgifter som denne söker. Om det är möjligt för den registrerade att tillhandahålla sådana uppgifter bör de registeransvariga inte kunna åberopa avsaknad av information för att vägra tillmötesgå en begäran om tillgång. |
Ändringsförslag 23 Förslag till förordning Skäl 47 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(47) Förfaranden bör fastställas som gör det lättare för registrerades att utöva sina rättigheter enligt denna förordning, bl.a. mekanismer för att kostnadsfritt särskilt begära tillgång till uppgifterna, rättelser, radering och att utöva rätten att göra invändningar. Registeransvariga bör inom en fastställd tidsfrist vara skyldiga att besvara registrerades önskemål och lämna en motivering om den registrerades önskemål inte kan uppfyllas. |
(47) Förfaranden bör fastställas som gör det lättare för registrerades att utöva sina rättigheter enligt denna förordning, bl.a. mekanismer för att kostnadsfritt särskilt få tillgång till uppgifterna, rättelser, radering och att utöva rätten att göra invändningar. Registeransvariga bör inom rimlig tid vara skyldiga att besvara registrerades önskemål och lämna en motivering om den registrerades önskemål inte kan uppfyllas. |
Ändringsförslag 24 Förslag till förordning Skäl 48 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(48) Principerna om rättvis och öppen behandling fordrar att den registrerade informeras särskilt om att behandling sker och syftet med den, hur länge uppgifterna kommer att lagras, rätten att få tillgång till dem, rätta eller radera dem samt rätten att lämna in klagomål. När uppgifterna samlas in från de registrerade bör dessa även informeras om huruvida de är skyldiga att lämna uppgifterna, och om konsekvenserna i det fall de inte lämnar dem. |
(48) Principerna om rättvis och öppen behandling fordrar att den registrerade informeras särskilt om att behandling sker och syftet med den, hur länge uppgifterna sannolikt kommer att lagras för varje syfte, om uppgifterna kommer att överföras till tredje parter eller tredjeländer, befintliga verktyg för att göra invändningar och rätten att få tillgång till dem, rätta eller radera dem samt rätten att lämna in klagomål. När uppgifterna samlas in från de registrerade bör dessa även informeras om huruvida de är skyldiga att lämna uppgifterna, och om konsekvenserna i det fall de inte lämnar dem. Denna information bör tillhandahållas, vilket även kan innebära göras lättillgänglig för, de registrerade efter det att förenklad information tillhandahållits i form av standardiserade symboler. Detta bör också innebära att personuppgifterna behandlas på ett sätt som ger de registrerade möjlighet att effektivt utöva sina rättigheter. |
Ändringsförslag 25 Förslag till förordning Skäl 50 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(50) Det är dock inte nödvändigt att införa någon sådan skyldighet när de registrerade redan förfogar över denna information eller när registreringen eller utlämnandet av uppgifterna uttryckligen föreskrivs i lag eller när det visar sig vara omöjlig eller skulle medföra orimliga ansträngningar att tillhandahålla de registrerade informationen. Det sistnämnda skulle särskilt kunna vara fallet när behandlingen sker för historiska, statistiska eller vetenskapliga forskningsändamål. Vid bedömningen kan hänsyn tas till antalet registrerade, uppgifternas ålder och eventuella kompenseringsåtgärder. |
(50) Det är dock inte nödvändigt att införa någon sådan skyldighet när de registrerade redan känner till denna information eller när registreringen eller utlämnandet av uppgifterna uttryckligen föreskrivs i lag eller när det visar sig vara omöjlig eller skulle medföra orimliga ansträngningar att tillhandahålla de registrerade informationen. |
Ändringsförslag 26 Förslag till förordning Skäl 51 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(51) Alla bör ha rätt att få tillgång till uppgifter som insamlats om dem och enkelt kunna utöva denna rätt så att de är medvetna om att behandling sker och kan kontrollera att den är laglig. Alla registrerade bör därför ha rätt att känna till och få underrättelse om framför allt orsaken till att uppgifterna behandlas, vilken tidsperiod behandlingen pågår, vilka som mottar uppgifterna, de behandlade uppgifternas bakomliggande logik och, åtminstone när behandlingen bygger på profilering, vilka konsekvenserna kan bli. Denna rättighet bör inte inverka menligt på andra rättigheter och friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt som skyddar programvaran. Dessa överväganden bör dock inte utmynna i att den registrerade förvägras all information. |
(51) Alla bör ha rätt att få tillgång till uppgifter som insamlats om dem och enkelt kunna utöva denna rätt så att de är medvetna om att behandling sker och kan kontrollera att den är laglig. Alla registrerade bör därför ha rätt att känna till och få underrättelse om framför allt orsaken till att uppgifterna behandlas, vilken tidsperiod behandlingen beräknas pågå, vilka som mottar personuppgifterna, de behandlade personuppgifternas allmänna bakomliggande logik och vilka konsekvenserna kan bli. Denna rättighet bör inte inverka menligt på andra rättigheter och friheter, t.ex. affärshemligheter eller immateriell äganderätt, exempelvis när det gäller upphovsrätt som skyddar programvaran. Dessa överväganden bör dock inte utmynna i att den registrerade förvägras all information. |
Ändringsförslag 27 Förslag till förordning Skäl 53 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(53) Alla bör ha rätt till rättelse av sina personuppgifter och en ”rätt att bli bortglömd” när lagring av uppgifterna inte stämmer överens med denna förordning. Registrerade bör särskilt ha rätt att få sina personuppgifter raderade och kunna begära att dessa uppgifter inte behandlas om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om de registrerade har återtagit sitt samtycke till behandling eller om de registrerade invänder mot behandling av personuppgifter som rör dem eller när behandlingen av deras personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Ytterligare lagring av uppgifterna bör dock tillåtas när så behövs för historiska, statistiska och vetenskapliga forskningsändamål, i det allmännas intresse på folkhälsoområdet, för utövandet av yttrandefriheten, när lagen så kräver eller när det finns anledning att begränsa behandlingen av uppgifterna i ställe för att radera dem. |
(53) Alla bör ha rätt till rättelse av sina personuppgifter och en ”rätt till radering” när lagring av uppgifterna inte stämmer överens med denna förordning. Registrerade bör särskilt ha rätt att få sina personuppgifter raderade och kunna begära att dessa uppgifter inte behandlas om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om de registrerade har återtagit sitt samtycke till behandling eller om de registrerade invänder mot behandling av personuppgifter som rör dem eller när behandlingen av deras personuppgifter på annat sätt inte överensstämmer med denna förordning. Ytterligare lagring av uppgifterna bör dock tillåtas när så behövs för historiska, statistiska och vetenskapliga forskningsändamål, i det allmännas intresse på folkhälsoområdet, för utövandet av yttrandefriheten, när lagen så kräver eller när det finns anledning att begränsa behandlingen av uppgifterna i ställe för att radera dem. Rätten till radering bör heller inte tillämpas om det är nödvändigt att lagra personuppgifterna för verkställande av ett avtal med den registrerade eller om det finns en rättslig förpliktelse att lagra uppgifterna. |
Ändringsförslag 28 Förslag till förordning Skäl 54 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(54) För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering även utvidgas på ett sådant sätt att registeransvariga som offentliggjort personuppgifter bör vara förpliktigade att informera tredje part som behandlar dessa uppgifter om att en registrerad person begärt att de ska radera alla länkar till och kopior eller reproduktioner av dessa personuppgifter. För att säkerställa informationen i fråga bör registeransvariga vidta alla rimliga åtgärder, däribland tekniska sådana, vad avser de uppgifter som de är ansvariga för. När tredje part offentliggör personuppgifter bör de registeransvariga anses bära ansvaret för offentliggörandet om de har lämnat tillstånd till det. |
(54) För att stärka ”rätten till radering” i nätmiljön bör rätten till radering även utvidgas på ett sådant sätt att registeransvariga som offentliggjort personuppgifter utan stöd i lagen bör vara förpliktigade att vidta alla åtgärder som krävs för att uppgifterna ska raderas, även genom tredje parts försorg, dock utan att det påverkar den registrerades rätt att kräva ersättning. |
Ändringsförslag 29 Förslag till förordning Skäl 54a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(54a) Uppgifter som den registrerade hävdar är inkorrekta och vars korrekthet eller inkorrekthet inte går att fastställa bör blockeras tills frågan klargjorts. |
Ändringsförslag 30 Förslag till förordning Skäl 55 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(55) För att ytterligare stärka de registrerades kontroll över sina egna uppgifter och rätt till tillgång bör de, när personuppgifter behandlas genom elektroniska medel och i strukturerat och gängse format, också ha rätt att få en kopia av uppgifter som rör dem i gängse elektroniskt format. Den registrerade bör även tillåtas överföra uppgifter som han eller hon själv har tillhandahållit från en automastisk tillämpning, exempelvis ett socialt nätverk, till en annan. Detta bör vara tillämpligt när de registrerade har lämnat uppgifterna till ett automastiskt databehandlingssystem, antingen efter att ha lämnat sitt samtycke eller inom ramen för genomförandet av ett avtal. |
(55) För att ytterligare stärka de registrerades kontroll över sina egna uppgifter och rätt till tillgång bör de, när personuppgifter behandlas genom elektroniska medel och i strukturerat och gängse format, också ha rätt att få en kopia av uppgifter som rör dem i gängse elektroniskt format. Den registrerade bör även tillåtas överföra uppgifter som han eller hon själv har tillhandahållit från en automastisk tillämpning, exempelvis ett socialt nätverk, till en annan. Registeransvariga bör uppmuntras att utveckla interoperabla format som möjliggör uppgiftsportabilitet. Detta bör vara tillämpligt när de registrerade har lämnat uppgifterna till ett automastiskt databehandlingssystem, antingen efter att ha lämnat sitt samtycke eller inom ramen för genomförandet av ett avtal. De som tillhandahåller informationssamhällets tjänster bör inte göra överföring av dessa uppgifter till ett obligatoriskt villkor för tillhandahållandet av sina tjänster. |
Ändringsförslag 31 Förslag till förordning Skäl 56 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(56) I de fall när personuppgifter lagligen får behandlas för att skydda den registrerades grundläggande intressen eller på grund av samhälleliga intressen, myndighetsutövning eller en registeransvarigs berättigade intressen bör alla registrerade personer likväl ha rätt att göra invändningar mot behandling av alla uppgifter som rör dem. Den registeransvarige bör åläggas bevisbördan när det gäller att visa att deras berättigade intressen kan överskugga den registrerades intressen eller grundläggande rättigheter och friheter. |
(56) I de fall när personuppgifter lagligen får behandlas för att skydda den registrerades grundläggande intressen eller på grund av samhälleliga intressen, myndighetsutövning eller en registeransvarigs berättigade intressen bör alla registrerade personer likväl ha rätt att kostnadsfritt och på ett enkelt och verkningsfullt sätt göra invändningar mot behandling av alla uppgifter som rör dem. Den registeransvarige bör åläggas bevisbördan när det gäller att visa att deras berättigade intressen kan överskugga den registrerades intressen eller grundläggande rättigheter och friheter. |
Ändringsförslag 32 Förslag till förordning Skäl 57 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(57) När personuppgifter behandlas för direkt marknadsföring bör den registrerade ha rätt att kostnadsfritt och på ett enkelt och effektivt sätt resa invändningar mot behandlingen. |
(57) När den registrerade har rätt att resa invändningar mot behandlingen bör den registeransvarige uttryckligen erbjuda den registrerade detta på ett begripligt sätt och i en begriplig form genom att använda ett klart och tydligt språk samt tydligt åtskilja detta från övrig information. |
Ändringsförslag 33 Förslag till förordning Skäl 58 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(58) Fysiska personer bör inte vara tvungna att underkasta sig åtgärder som bygger på profilering genom automatisk behandling. Sådana åtgärder bör dock godtas när de uttryckligen är tillåtna enligt lag, när de vidtas vid ingåendet eller genomförandet av ett avtal eller när den registrerade har gett sitt samtycke. Denna form av uppgiftsbehandling bör emellertid omgärdas av lämpliga skyddsåtgärder, bl.a. särskild information till den registrerade, rätt till personlig kontakt samt att garantier för att åtgärderna inte berör barn. |
(58) Utan att det påverkar uppgiftsbehandlingens lagenlighet bör fysiska personer ha rätt att resa invändningar mot profilering. Profilering som leder till åtgärder som har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar den berörda registrerades intressen, rättigheter eller friheter bör godtas endast när de uttryckligen är tillåtna enligt lag, när de vidtas vid ingåendet eller genomförandet av ett avtal eller när den registrerade har gett sitt samtycke. Denna form av uppgiftsbehandling bör emellertid omgärdas av lämpliga skyddsåtgärder, bl.a. särskild information till den registrerade, rätt till personlig bedömning samt att garantier för att åtgärderna inte berör barn. Sådana åtgärder bör inte leda till diskriminering av enskilda på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, sexuell läggning eller könsidentitet. |
Ändringsförslag 34 Förslag till förordning Skäl 58a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(58a) Profilering som bygger enbart på behandling av pseudonymiserade uppgifter bör antas inte i betydande grad påverka den registrerades intressen, rättigheter eller friheter. Om profileringen, baserad på antingen pseudonymiserade uppgifter från en enda källa eller aggregering av pseudonymiserade uppgifter från olika källor, gör det möjligt för den registeransvarige att hänföra pseudonymiserade uppgifter till en specifik registrerad bör de behandlade uppgifterna inte längre betraktas som pseudonymiserade. |
Ändringsförslag 35 Förslag till förordning Skäl 59 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(59) Begränsningar av specifika principer och av rätten till information, tillgång, rättelse och radering eller av rätten till uppgiftsportabilitet, av rätten att göra invändningar, av profileringsbaserade åtgärder samt information till den registrerade om personuppgiftsbrott och av vissa av den registeransvariges relaterade skyldigheter kan införas genom unionslagstiftning eller nationell lagstiftning, i den mån de är nödvändiga och proportionella i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten, exempelvis för att skydda människoliv särskilt vid naturkatastrofer eller katastrofer framkallade av människan, vid förebyggande, utredning och lagföring av brott eller överträdelser av etiska principer för reglerade yrken, vad gäller unionens eller en medlemsstats övriga allmänna intressen, särskilt om de är av stort ekonomiskt eller finansiellt intresse för unionen eller en medlemsstat, eller vad gäller skydd av den registrerade eller andras rättigheter och friheter. Dessa begränsningar bör stå i samklang med kraven i Europeiska unionens stadga om de grundläggande rättigheterna och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. |
(59) Begränsningar av specifika principer och av rätten till information, rättelse och radering eller av rätten att få tillgång till och erhålla uppgifter, av rätten att göra invändningar, av profilering samt information till den registrerade om personuppgiftsbrott och av vissa av den registeransvariges relaterade skyldigheter kan införas genom unionslagstiftning eller nationell lagstiftning, i den mån de är nödvändiga och proportionella i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten, exempelvis för att skydda människoliv särskilt vid naturkatastrofer eller katastrofer framkallade av människan, vid förebyggande, utredning och lagföring av brott eller överträdelser av etiska principer för reglerade yrken, vad gäller unionens eller en medlemsstats övriga specifika och väldefinierade allmänna intressen, särskilt om de är av stort ekonomiskt eller finansiellt intresse för unionen eller en medlemsstat, eller vad gäller skydd av den registrerade eller andras rättigheter och friheter. Dessa begränsningar bör stå i samklang med kraven i Europeiska unionens stadga om de grundläggande rättigheterna och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. |
Ändringsförslag 36 Förslag till förordning Skäl 60 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(60) Registeransvariga bör åläggas ett heltäckande ansvar för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Registeransvariga bör särskilt säkerställa och vara skyldiga att visa att varje behandling är förenlig med denna förordning. |
(60) Registeransvariga bör åläggas ett heltäckande ansvar för all behandling av personuppgifter som de utför eller som utförs på deras vägnar, särskilt när det gäller dokumentation, uppgiftsskydd, konsekvensbedömningar, uppgiftsskyddsombudet och tillsyn genom försorg av myndigheter som ansvarar för uppgiftsskydd. Registeransvariga bör särskilt säkerställa och kunna visa att varje behandling är förenlig med denna förordning. Detta bör kontrolleras av oberoende interna eller externa granskare. |
Ändringsförslag 37 Förslag till förordning Skäl 61 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(61) Skyddet av de registrerades fri- och rättigheter i samband med behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas både när behandlingen utformas och i själva behandlingsögonblicket så att kraven i denna förordning uppfylls. För att säkerställa och visa att denna förordning följs, bör den registeransvarige anta interna strategier och vidta lämpliga åtgärder, särskilt för att uppfylla principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard. |
(61) Skyddet av de registrerades fri- och rättigheter i samband med behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas både när behandlingen utformas och i själva behandlingsögonblicket så att kraven i denna förordning uppfylls. För att säkerställa och visa att denna förordning följs, bör den registeransvarige anta interna strategier och vidta lämpliga åtgärder, särskilt för att uppfylla principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard. Principen om inbyggt uppgiftsskydd kräver att uppgiftsskyddet beaktas under teknikens hela livscykel, från det tidiga utformningsstadiet till slutgiltigt ibruktagande, användning och slutligt bortskaffande. Detta bör även inbegripa ansvaret för de produkter och tjänster som den registeransvarige eller registerföraren använder. Principen om uppgiftsskydd som standard kräver dessutom att integritetsinställningarna för tjänster och produkter i standardfallet bör överensstämma med de allmänna uppgiftsskyddsprinciperna, såsom uppgiftsminimering och ändamålsbegränsning. |
Ändringsförslag 38 Förslag till förordning Skäl 62 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(62) Skyddet av de registrerades rättigheter och friheter samt de registeransvarigas och registerförarna ansvar, också i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när registeransvariga bestämmer ändamål, villkor och medel för en behandling gemensamt tillsammans med andra registeransvariga eller när en behandling utförs på en registeransvarigs vägnar. |
(62) Skyddet av de registrerades rättigheter och friheter samt de registeransvarigas och registerförarna ansvar, också i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när registeransvariga bestämmer ändamålet för en behandling gemensamt tillsammans med andra registeransvariga eller när en behandling utförs på en registeransvarigs vägnar. Arrangemanget mellan de gemensamma registeransvariga bör återspegla de gemensamma registeransvarigas roller och relationer i praktiken. Behandlingen av personuppgifter enligt denna förordning bör inbegripa tillstånd för en registeransvarig att överföra uppgifterna till en gemensam registeransvarig eller till en registerförare för behandling av uppgifterna på deras vägnar. |
Ändringsförslag 39 Förslag till förordning Skäl 63 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(63) När registeransvariga som inte är etablerade inom unionen behandlar personuppgifter om registrerade som bor inom unionen, och det bakomliggande syftet med uppgiftsbehandlingen är att erbjuda de registrerade personerna varor och tjänster eller att övervaka deras beteende, bör de registeransvariga utnämna en företrädare, såvida inte de är etablerade i ett tredjeland som har en adekvat skyddsnivå, eller de registeransvariga är ett litet eller medelstort företag eller en myndighet eller ett organ, eller när de registeransvariga bara undantagsvis erbjuder varor eller tjänster till de registrerade. Företrädaren bör agera på den registeransvariges vägnar och kan kontaktas av samtliga tillsynsmyndigheter. |
(63) När registeransvariga som inte är etablerade inom unionen behandlar personuppgifter om registrerade inom unionen bör de registeransvariga utnämna en företrädare, såvida de inte är etablerade i ett tredjeland som har en adekvat skyddsnivå – eller uppgiftsbehandlingen gäller färre än 5 000 registrerade under en sammanhängande period på 12 månader och inte utförs på särskilda kategorier av personuppgifter – eller är en myndighet eller ett organ, eller när de registeransvariga bara undantagsvis erbjuder varor eller tjänster till de registrerade. Företrädaren bör agera på den registeransvariges vägnar och kan kontaktas av samtliga tillsynsmyndigheter. |
Ändringsförslag 40 Förslag till förordning Skäl 64 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(64) För att avgöra om registeransvariga endast undantagsvis erbjuder varor och tjänster till registrerade som bor inom unionen bör det utrönas om det är uppenbart med anledning av den registeransvariges övergripande verksamheter att erbjudandet av varor och tjänster till dessa registrerade personer är sidoverksamhet till huvudverksamheten. |
(64) För att avgöra om registeransvariga endast undantagsvis erbjuder varor och tjänster till registrerade inom unionen bör det utrönas om det är uppenbart med anledning av den registeransvariges övergripande verksamheter att erbjudandet av varor och tjänster till dessa registrerade personer är sidoverksamhet till huvudverksamheten. |
Ändringsförslag 41 Förslag till förordning Skäl 65 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(65) För att påvisa att denna förordning följs, bör de registeransvariga eller registerförarna dokumentera varje behandling. Alla registeransvariga och registerförare bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra dokumenteringen tillgänglig så att den kan tjäna som grund för övervakningen av behandlingen. |
(65) För att kunna påvisa att denna förordning följs, bör de registeransvariga eller registerförarna upprätthålla den dokumentation som krävs för att uppfylla kraven i denna förordning. Alla registeransvariga och registerförare bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra dokumenteringen tillgänglig så att den kan tjäna som grund för utvärderingen av huruvida denna förordning följs. Lika stor vikt bör dock fästas vid god praxis och efterlevnad och inte bara vid slutförande av dokumentationen. |
Ändringsförslag 42 Förslag till förordning Skäl 66 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(66) För att bibehålla säkerheten och förhindra behandling som bryter mot denna förordning bör registeransvariga eller registerförare utvärdera de risker som hör till behandlingen och vidta åtgärder för att mildra dem. Åtgärderna bör leda till en lämplig säkerhetsnivå med hänsyn till dagens tekniska utveckling och till kostnaderna för genomförandet med hänsyn till riskerna och vilken typ av personuppgifter som ska skyddas. Vid införandet av tekniska standarder och organisatoriska åtgärder som ska borga för säkerheten vid behandling bör kommissionen främja teknikneutralitet, interoperabilitet och innovation, och om så är lämpligt samarbeta med tredjeland. |
(66) För att bibehålla säkerheten och förhindra behandling som bryter mot denna förordning bör registeransvariga eller registerförare utvärdera de risker som hör till behandlingen och vidta åtgärder för att mildra dem. Åtgärderna bör leda till en lämplig säkerhetsnivå med hänsyn till dagens tekniska utveckling och till kostnaderna för genomförandet med hänsyn till riskerna och vilken typ av personuppgifter som ska skyddas. Vid införandet av tekniska standarder och organisatoriska åtgärder som ska borga för säkerheten vid behandling bör teknikneutralitet, interoperabilitet och innovation främjas, och om så är lämpligt samarbete med tredjeländer uppmuntras. |
Ändringsförslag 43 Förslag till förordning Skäl 67 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(67) Ett personuppgiftsbrott som inte snabbt åtgärdas på lämpligt sätt kan för den enskilde leda till betydande ekonomisk förlust eller social skada. Registeransvariga bör därför så snart de blir medvetna om ett sådant brott anmäla det till tillsynsmyndigheten utan onödigt dröjsmål och, när så är möjligt, inom 24 timmar. Om detta inte kan uppnås inom 24 timmar bör en förklaring av skälen till fördröjningen åtfölja anmälan. Enskilda personer vars personuppgifter kan påverkas negativt av brottet bör meddelas utan onödig fördröjning så att de kan vidta nödvändiga försiktighetsåtgärder. Ett brott bör anses negativt påverka en registrerad persons personuppgifter eller integritet när det exempelvis kan leda till identitetsstöld eller bedrägeri, fysik skada, betydande förödmjukelse eller skadat anseende. Anmälan bör beskriva personuppgiftsbrottets art samt innehålla rekommendationer för berörd enskild person om hur de potentiella negativa effekterna kan mildras. De registrerade bör meddelas så snart detta rimligtvis är möjligt, i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra relevanta myndigheter (t.ex. brottsbekämpande myndigheter). För att den drabbade personen ska kunna mildra en omedelbar skaderisk bör han eller hon meddelas omedelbart. Däremot kan behovet att vidta lämpliga åtgärder vid fortlöpande eller likartade personuppgiftsbrott motivera en viss fördröjning. |
(67) Ett personuppgiftsbrott som inte snabbt åtgärdas på lämpligt sätt kan för den enskilde leda till betydande ekonomisk förlust eller social skada. Registeransvariga bör därför anmäla det till tillsynsmyndigheten utan onödigt dröjsmål, vilket bör antas vara senast efter 72 timmar. Om tillämpligt bör en förklaring av skälen till fördröjningen åtfölja anmälan. Enskilda personer vars personuppgifter kan påverkas negativt av brottet bör meddelas utan onödig fördröjning så att de kan vidta nödvändiga försiktighetsåtgärder. Ett brott bör anses negativt påverka en registrerad persons personuppgifter eller integritet när det exempelvis kan leda till identitetsstöld eller bedrägeri, fysik skada, betydande förödmjukelse eller skadat anseende. Anmälan bör beskriva personuppgiftsbrottets art samt innehålla rekommendationer för berörd enskild person om hur de potentiella negativa effekterna kan mildras. De registrerade bör meddelas så snart detta rimligtvis är möjligt, i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra relevanta myndigheter (t.ex. brottsbekämpande myndigheter). För att den drabbade personen ska kunna mildra en omedelbar skaderisk bör han eller hon meddelas omedelbart. Däremot kan behovet att vidta lämpliga åtgärder vid fortlöpande eller likartade personuppgiftsbrott motivera en viss fördröjning. |
Ändringsförslag 44 Förslag till förordning Skäl 71a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(71a) Konsekvensbedömningar är en oumbärlig del av varje hållbar ram för uppgiftsskydd, eftersom de säkerställer att företag redan från början är medvetna om alla möjliga konsekvenser av uppgiftsbehandlingen. Genom grundliga konsekvensbedömningar kan risken för personuppgiftsbrott eller integritetskränkande åtgärder begränsas väsentligt. I konsekvensbedömningar avseende uppgiftsskydd bör man följaktligen alltid ta hänsyn till hela livscykelhanteringen av personuppgifter, från insamling och behandling till radering, och i detalj beskriva vilka behandlingar som planeras, vilka risker de innebär för de registrerades rättigheter och friheter, vilka åtgärder som vidtas för att hantera riskerna samt vilka skyddsåtgärder, säkerhetsåtgärder och rutiner som tillämpas för att se till att förordningen följs. |
Ändringsförslag 45 Förslag till förordning Skäl 71b (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(71b) Registeransvariga bör fokusera på att skydda personuppgifter under hela deras livscykel, från insamling och behandling till radering, genom att redan från början investera i en hållbar ram för uppgiftshantering och genom att följa upp med heltäckande rutiner för överensstämmelse. |
Ändringsförslag 46 Förslag till förordning Skäl 73 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(73) Konsekvensbedömningar avseende uppgiftsskydd bör göras av en myndighet eller ett offentligt organ om en sådan bedömning inte redan har gjorts i samband med antagandet av den nationella lagstiftning som utförandet av myndighetens eller det offentliga organets arbetsuppgifter bygger på, och som reglerar den aktuella specifika behandlingsåtgärden eller serien av åtgärder. |
utgår |
Ändringsförslag 47 Förslag till förordning Skäl 74 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(74) Om det av en konsekvensbedömning avseende uppgiftsskydd framgår att behandlingen innebär att de registrerades rättigheter och friheter utsätts för höggradiga särskilda risker, exempelvis att enskilda fråntas sina rättigheter eller genom att särskild ny teknik används, bör innan behandlingen inleds samråd ske med tillsynsmyndigheten om den behandling som medför risker och eventuellt inte överensstämmer med denna förordning och förslag lämnas som åtgärdar situationen. Denna typ av samråd bör även ske som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd som definierar behandlingens art och anger lämpliga skyddsåtgärder. |
(74) Om det av en konsekvensbedömning avseende uppgiftsskydd framgår att behandlingen innebär att de registrerades rättigheter och friheter utsätts för höggradiga särskilda risker, exempelvis att enskilda fråntas sina rättigheter eller genom att särskild ny teknik används, bör innan behandlingen inleds samråd ske med uppgiftsskyddsombudet eller tillsynsmyndigheten om den behandling som medför risker och eventuellt inte överensstämmer med denna förordning och förslag lämnas som åtgärdar situationen. Samråd med tillsynsmyndigheten bör även ske som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd som definierar behandlingens art och anger lämpliga skyddsåtgärder. |
Ändringsförslag 48 Förslag till förordning Skäl 74a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(74a) Konsekvensbedömningar kan vara till hjälp endast om registeransvariga ser till att de åtaganden som fastställs i dem fullgörs. Därför bör registeransvariga genomföra periodiska översyner av uppgiftsskyddet som visar att de befintliga rutinerna för uppgiftsbehandling överensstämmer med utfästelserna i konsekvensbedömningen avseende uppgiftsskydd. De bör även visa på den registeransvariges förmåga att respektera de självständiga val som görs av de registrerade. Om bristande överensstämmelse upptäcks vid översynen bör de framhäva detta och lägga fram rekommendationer om hur fullständig överensstämmelse ska kunna uppnås. |
Ändringsförslag 49 Förslag till förordning Skäl 75 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(75) När en behandling utförs inom den offentliga sektorn eller av ett stort företag inom den privata sektorn, eller när ett företags kärnverksamheter, oavsett företagets storlek, inbegriper behandling som kräver regelbunden och systematisk övervakning bör en person bistå den registeransvarige eller registerföraren för att övervaka den interna efterlevnaden av denna förordning. Denna typ av uppgiftsskyddsombud bör, vare sig de är anställda av den registeransvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina arbetsuppgifter på ett oberoende sätt. |
(75) När en behandling utförs inom den offentliga sektorn eller när en behandling inom den privata sektorn omfattar fler än 5 000 registrerade under en period på 12 månader, eller när ett företags kärnverksamheter, oavsett företagets storlek, inbegriper behandling av känsliga uppgifter eller behandling som kräver regelbunden och systematisk övervakning bör en person bistå den registeransvarige eller registerföraren för att övervaka den interna efterlevnaden av denna förordning. Arkiverade uppgifter som är begränsade på ett sådant sätt att de inte omfattas av den registeransvariges gängse tillgång till uppgifter och behandling och uppgifter som inte längre kan ändras bör inte beaktas vid fastställandet av om uppgifter om ett stort antal registrerade behandlas. Denna typ av uppgiftsskyddsombud bör, vare sig de är anställda av den registeransvarige eller ej och vare sig de arbetar heltid eller ej, kunna fullgöra sitt uppdrag och utföra sina arbetsuppgifter på ett oberoende sätt och ha ett särskilt anställningsskydd. Det slutgiltiga ansvaret bör ligga hos organisationens ledning. För att säkerställa att principerna om inbyggt integritetsskydd och integritetsskydd som standard efterlevs bör uppgiftsskyddsombudet rådfrågas särskilt före utformning, upphandling, utveckling och inrättande av system för automatisk behandling av personuppgifter. |
Ändringsförslag 50 Förslag till förordning Skäl 75a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(75a) Uppgiftsskyddsombudet bör minst ha följande kvalifikationer: omfattande kunskap om uppgiftsskyddslagstiftningens innehåll och tillämpning, inklusive tekniska och organisatoriska åtgärder och förfaranden, kunskap om de tekniska kraven för inbyggt integritetsskydd, integritetsskydd som standard samt datasäkerhet, branschspecifik kunskap som står i proportion till omfattningen av den registeransvariges eller registerförarens verksamhet samt hur känsliga de uppgifter som ska behandlas är, förmåga att utföra inspektioner, sökningar, dokumentering och analys av loggfiler samt förmåga att arbeta med personalombudsfrågor. Den registeransvarige bör ge uppgiftsskyddsombudet möjlighet att delta i avancerad utbildning så att han eller hon kan upprätthålla den specialiserade kunskap som behövs i arbetet. Utnämningen till uppgiftsskyddsombud kräver inte nödvändigtvis heltidssysselsättning för respektive anställd. |
Ändringsförslag 51 Förslag till förordning Skäl 76 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(76) Sammanslutningar eller andra organ som företräder kategorier av registeransvariga bör uppmuntras att utarbeta uppförandekodexar inom gränserna för denna förordning, så att tillämpningen av förordningen effektiviseras, under beaktande av de särdrag som finns vid behandling som sker inom vissa sektorer. |
(76) Sammanslutningar eller andra organ som företräder kategorier av registeransvariga bör uppmuntras att, efter samråd med de anställdas företrädare, utarbeta uppförandekodexar inom gränserna för denna förordning, så att tillämpningen av förordningen effektiviseras, under beaktande av de särdrag som finns vid behandling som sker inom vissa sektorer. Sådana kodexar bör göra det lättare för branschen att efterleva denna förordning. |
Ändringsförslag 52 Förslag till förordning Skäl 77 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(77) För att förbättra öppenheten och efterlevnaden av denna förordning bör införandet av certifieringsmekanismer, uppgiftsskyddsförsegling och uppgiftsskyddsmärkning uppmuntras, så att registrerade snabbt kan bedöma nivån på relevanta produkters och tjänsters uppgiftsskydd. |
(77) För att förbättra öppenheten och efterlevnaden av denna förordning bör införandet av certifieringsmekanismer, uppgiftsskyddsförsegling och standardiserad märkning uppmuntras, så att registrerade snabbt, tillförlitligt och verifierbart kan bedöma nivån på relevanta produkters och tjänsters uppgiftsskydd. En europeisk uppgiftsskyddsförsegling bör inrättas på unionsnivå för att skapa förtroende hos de registrerade och klarhet om rättsläget för de registeransvariga och samtidigt exportera unionens uppgiftsskyddsstandarder genom att företag från länder utanför unionen lättare kan ta sig in på unionsmarknaderna om de är certifierade. |
Ändringsförslag 53 Förslag till förordning Skäl 79 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(79) Denna förordning påverkar inte internationella avtal mellan unionen och tredjeländer som reglerar överföring av personuppgifter, däribland lämpliga skyddsåtgärder som gagnar de registrerade. |
(79) Denna förordning påverkar inte internationella avtal mellan unionen och tredjeländer som reglerar överföring av personuppgifter, däribland lämpliga skyddsåtgärder som gagnar de registrerade, med garantier för en adekvat skyddsnivå för medborgarnas grundläggande rättigheter. |
Ändringsförslag 54 Förslag till förordning Skäl 80 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(80) Kommissionen kan med verkan för hela unionen fastställa att vissa tredjeländer, ett visst territorium eller en viss behandlande sektor i ett tredjeland eller en internationell organisation kan garantera adekvat uppgiftsskydd, och på så sätt skapa rättssäkerhet och enhetlighet i hela unionen vad gäller dessa tredjeländer eller internationella organisationer. I dessa fall får överföringar av personuppgifter till dessa länder ske utan vidare tillstånd. |
(80) Kommissionen kan med verkan för hela unionen fastställa att vissa tredjeländer, ett visst territorium eller en viss behandlande sektor i ett tredjeland eller en internationell organisation kan garantera adekvat uppgiftsskydd, och på så sätt skapa rättssäkerhet och enhetlighet i hela unionen vad gäller dessa tredjeländer eller internationella organisationer. Kommissionen kan också efter att ha varslat tredjelandet i fråga och lämnat en fullständig motivering besluta att ett sådant beslut ska återkallas. |
Ändringsförslag 55 Förslag till förordning Skäl 82 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(82) Kommissionen kan likaså konstatera att ett tredjeland, ett visst territorium eller en viss behandlande sektor i ett tredjeland eller en internationell organisation inte garanterar adekvat skyddsnivå. Överföring av personuppgifter till detta tredjeland bör då förbjudas. I så fall bör det finnas möjlighet till samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer. |
(82) Kommissionen kan likaså konstatera att ett tredjeland, ett visst territorium eller en viss behandlande sektor i ett tredjeland eller en internationell organisation inte garanterar adekvat skyddsnivå. Lagstiftning som föreskriver extraterritoriell åtkomst till personuppgifter som behandlas i unionen utan tillstånd enligt unionens eller medlemsstaternas lagstiftning bör betraktas som ett tecken på att adekvat skyddsnivå saknas. Överföring av personuppgifter till detta tredjeland bör då förbjudas. I så fall bör det finnas möjlighet till samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer. |
Ändringsförslag 56 Förslag till förordning Skäl 83 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(83) Saknas beslut om adekvat skyddsnivå bör den registeransvarige eller registerföraren vidta åtgärder för att kompensera för det bristande uppgiftsskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av bindande företagsbestämmelser, standardbestämmelser om uppgiftsskydd som antagits av kommissionen, standardbestämmelser om uppgiftsskydd som antagits av en tillsynsmyndighet, avtalsbestämmelser som godkänts av en tillsynsmyndighet eller andra passande och proportionella åtgärder som kan vara motiverade med hänsyn till alla omständigheterna kring en uppgiftsöverföring eller en serie av uppgiftsöverföringar och som har godkänts av en tillsynsmyndighet. |
(83) Saknas beslut om adekvat skyddsnivå bör den registeransvarige eller registerföraren vidta åtgärder för att kompensera för det bristande uppgiftsskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av bindande företagsbestämmelser, standardbestämmelser om uppgiftsskydd som antagits av kommissionen, standardbestämmelser om uppgiftsskydd som antagits av en tillsynsmyndighet eller avtalsbestämmelser som godkänts av en tillsynsmyndighet. Genom dessa lämpliga skyddsåtgärder bör respekten upprätthållas för de registrerades rättigheter på ett adekvat sätt för behandling av uppgifter inom unionen, i synnerhet när det gäller ändamålsbegränsning, rätten till tillgång, rättelse eller radering och rätten att begära ersättning. Dessa skyddsåtgärder bör i synnerhet garantera respekten för principerna för behandling av personuppgifter, trygga de registrerades rättigheter och säkerställa ändamålsenliga prövningsmekanismer, garantera respekten för principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard och säkerställa att det finns ett uppgiftsskyddsombud. |
Ändringsförslag 57 Förslag till förordning Skäl 84 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(84) Registeransvarigas eller registerförares möjlighet att använda standardiserade uppgiftsskyddsbestämmelser som antagits av kommissionen eller av en tillsynsmyndighet bör inte hindra att de infogar standardiserade uppgiftsskyddsbestämmelser i ett vidare avtal eller lägger till andra bestämmelser såvida dessa inte, direkt eller indirekt, står i strid mot standardavtalsklausuler som antagits av kommissionen eller av en tillsynsmyndighet eller påverkar de registrerades grundläggande rättigheter eller friheter. |
(84) Registeransvarigas eller registerförares möjlighet att använda standardiserade uppgiftsskyddsbestämmelser som antagits av kommissionen eller av en tillsynsmyndighet bör inte hindra att de infogar standardiserade uppgiftsskyddsbestämmelser i ett vidare avtal eller lägger till andra bestämmelser eller kompletterande skyddsåtgärder såvida dessa inte, direkt eller indirekt, står i strid mot standardavtalsklausuler som antagits av en tillsynsmyndighet eller påverkar de registrerades grundläggande rättigheter eller friheter. De standardiserade uppgiftsskyddsbestämmelser som kommissionen antar skulle kunna omfatta olika situationer, närmare bestämt överföringar från registeransvariga etablerade i unionen till registeransvariga etablerade utanför unionen och från registeransvariga etablerade i unionen till registerförare – inklusive deras underleverantörer – etablerade utanför unionen. Registeransvariga och registerförare bör uppmuntras att tillhandahålla ännu mer kraftfulla skyddsåtgärder via ytterligare avtalsmässiga åtaganden som kompletterar de standardiserade skyddsbestämmelserna. |
Ändringsförslag 58 Förslag till förordning Skäl 85 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(85) En företagsgrupp bör kunna använda sig av godkända bindande företagsregler för sina internationella överföringar från unionen till organisationer inom samma företagsgrupp, i den mån företagsreglerna inbegriper nödvändiga principer och bindande rättigheter som garanterar lämpliga skyddsåtgärder för överföringar eller serier av överföringar av personuppgifter. |
(85) En företagsgrupp bör kunna använda sig av godkända bindande företagsbestämmelser för sina internationella överföringar från unionen till organisationer inom samma företagsgrupp, i den mån företagsbestämmelserna inbegriper alla nödvändiga principer och bindande rättigheter som garanterar lämpliga skyddsåtgärder för överföringar eller serier av överföringar av personuppgifter. |
Ändringsförslag 59 Förslag till förordning Skäl 86 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(86) Bestämmelser bör införas som ger möjlighet att under vissa omständigheter göra överföringar om den registrerade har lämnat sitt samtycke, när överföringen är nödvändig med hänsyn till ett avtal eller ett rättsligt anspråk, när viktiga samhälleliga intressen fastställda genom unionell eller nationell lag så kräver eller när överföringen görs från ett register som inrättats genom lag och är avsett att konsulteras av allmänheten eller av personer med ett berättigat intresse. I sistnämnda fall bör en sådan överföring inte omfatta alla uppgifter eller hela kategorier av uppgifter som finns i registret. När registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna. |
(86) Bestämmelser bör införas som ger möjlighet att under vissa omständigheter göra överföringar om den registrerade har lämnat sitt samtycke, när överföringen är nödvändig med hänsyn till ett avtal eller ett rättsligt anspråk, när viktiga samhälleliga intressen fastställda genom unionell eller nationell lag så kräver eller när överföringen görs från ett register som inrättats genom lag och är avsett att konsulteras av allmänheten eller av personer med ett berättigat intresse. I sistnämnda fall bör en sådan överföring inte omfatta alla uppgifter eller hela kategorier av uppgifter som finns i registret. När registret är avsett att vara tillgängligt för personer med ett berättigat intresse bör överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna, samtidigt som fullständig hänsyn tas till den registrerades intressen och grundläggande rättigheter. |
Ändringsförslag 60 Förslag till förordning Skäl 87 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(87) Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga för att skydda viktiga samhälleliga intressen, exempelvis vid internationella uppgiftsöverföringar mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, mellan socialförsäkringsmyndigheter, eller till myndigheter som är behöriga att förebygga, utreda, avslöja och lagföra brott. |
(87) Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga för att skydda viktiga samhälleliga intressen, exempelvis vid internationella uppgiftsöverföringar mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, mellan socialförsäkringsmyndigheter eller folkhälsomyndigheter, eller till myndigheter som är behöriga att förebygga, utreda, avslöja och lagföra brott, inbegripet för förebyggande av penningtvätt och för kampen mot finansiering av terrorism. En överföring av personuppgifter bör likaså betraktas som lagenlig om den är nödvändig för att skydda ett intresse som är väsentligt för den registrerades eller en annan persons liv, om den registrerade är oförmögen att ge sitt samtycke. Överföring av personuppgifter som grundas på sådana viktiga samhällsintressen bör användas endast för enstaka överföringar. I varje enskilt fall bör en omsorgsfull bedömning göras av alla omständigheter för den överföring som ska utföras. |
Ändringsförslag 61 Förslag till förordning Skäl 88 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(88) Överföringar som inte kan anses vara ofta återkommande eller omfattande bör också vara möjliga när registeransvariga eller registerförare har berättigade intressen för detta och sedan de har bedömt omständigheterna kring uppgiftsöverföringen. Vid behandling för historiska, statistiska och vetenskapliga forskningsändamål bör hänsyn tas till samhällets legitima förväntningar om kunskapsökning. |
Vid behandling för historiska, statistiska och vetenskapliga forskningsändamål bör hänsyn tas till samhällets legitima förväntningar om kunskapsökning. |
Ändringsförslag 62 Förslag till förordning Skäl 89 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(89) Om kommissionen inte har fattat beslut om adekvat uppgiftsskyddsnivå i ett tredjeland bör den registeransvarige eller registerföraren i alla fall använda sig av lösningar som ger de registrerade en garanti för att de fortsatt kan utöva sina grundläggande rättigheter och att skyddsåtgärderna kvarstår vad gäller behandling av deras personuppgifter inom unionen när dessa uppgifter väl har överförts. |
(89) Om kommissionen inte har fattat beslut om adekvat uppgiftsskyddsnivå i ett tredjeland bör den registeransvarige eller registerföraren i alla fall använda sig av lösningar som ger de registrerade en rättsligt bindande garanti för att de fortsatt kan utöva sina grundläggande rättigheter och att skyddsåtgärderna kvarstår vad gäller behandling av deras personuppgifter inom unionen när dessa uppgifter väl har överförts, i den mån behandlingen inte är omfattande, upprepad eller systematisk. Denna garanti bör omfatta ekonomisk gottgörelse vid förlust eller otillåten tillgång till eller behandling av uppgifter samt en skyldighet, oavsett nationell lagstiftning, att lämna ut all information om vilka uppgifter som myndigheterna i tredjelandet har haft tillgång till. |
Ändringsförslag 63 Förslag till förordning Skäl 90 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(90) Vissa tredjeländer har antagit lagar och andra författningar som syftar till att direkt reglera uppgiftsbehandling som utövas av fysiska och juridiska personer under medlemsstaternas jurisdiktion. Extraterritoriell tillämpning av dessa lagar och andra författningar kan strida mot internationell rätt och inverka menligt på det skydd av enskilda som garanteras inom unionen genom denna förordning. Överföringar bör endast tillåtas om villkoren i denna förordning för en överföring till tredjeländer är uppfyllda. Detta kan bl.a. vara fallet när utlämnande är nödvändigt på grund av ett viktigt samhällsintresse som erkänns i unionslagstiftningen eller i en medlemsstats lagstiftning som den registeransvarige omfattas av. Villkoren för att ett viktigt samhällsintresse ska anses föreligga bör ytterligare specificeras av kommissionen i en delegerad akt. |
(90) Vissa tredjeländer har antagit lagar och andra författningar som syftar till att direkt reglera uppgiftsbehandling som utövas av fysiska och juridiska personer under medlemsstaternas jurisdiktion. Extraterritoriell tillämpning av dessa lagar och andra författningar kan strida mot internationell rätt och inverka menligt på det skydd av enskilda som garanteras inom unionen genom denna förordning. Överföringar bör endast tillåtas om villkoren i denna förordning för en överföring till tredjeländer är uppfyllda. Detta kan bl.a. vara fallet när utlämnande är nödvändigt på grund av ett viktigt samhällsintresse som erkänns i unionslagstiftningen eller i en medlemsstats lagstiftning som den registeransvarige omfattas av. Villkoren för att ett viktigt samhällsintresse ska anses föreligga bör ytterligare specificeras av kommissionen i en delegerad akt. I de fall då registeransvariga eller registerförare ställs inför motstridiga efterlevnadskrav mellan å ena sidan unionens jurisdiktion och å andra sidan ett tredjelands jurisdiktion bör kommissionen se till att unionsrätten alltid har företräde. Kommissionen bör tillhandahålla vägledning och stöd till den registeransvarige och registerföraren och sträva efter att lösa behörighetskonflikten med tredjelandet i fråga. |
Ändringsförslag 64 Förslag till förordning Skäl 92 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(92) För att skydda enskilda vid behandlingen av personuppgifter är det avgörande att medlemsstaterna inrättar tillsynsmyndigheter som utför sitt uppdrag under fullständigt oberoende. Medlemsstaterna kan inrätta fler än en tillsynsmyndighet om det behövs för att ta hänsyn till den egna konstitutionella, organisatoriska och administrativa strukturen. |
(92) För att skydda enskilda vid behandlingen av personuppgifter är det avgörande att medlemsstaterna inrättar tillsynsmyndigheter som utför sitt uppdrag under fullständigt oberoende. Medlemsstaterna kan inrätta fler än en tillsynsmyndighet om det behövs för att ta hänsyn till den egna konstitutionella, organisatoriska och administrativa strukturen. Tillsynsmyndigheterna bör ha tillräckliga ekonomiska och personella resurser för att kunna fullgöra sitt uppdrag, med hänsyn till befolkningens storlek och omfattningen på behandlingen av personuppgifter. |
Ändringsförslag 65 Förslag till förordning Skäl 94 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(94) Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser och lokalutrymmen samt den infrastruktur som krävs för att den effektivt ska kunna utföra sina arbetsuppgifter, däribland de arbetsuppgifter som är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen. |
(94) Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser – med särskilt fokus på adekvat teknisk och juridisk kompetens hos personalen – och de lokalutrymmen samt den infrastruktur som krävs för att den effektivt ska kunna utföra sina arbetsuppgifter, däribland de arbetsuppgifter som är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen. |
Ändringsförslag 66 Förslag till förordning Skäl 95 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(95) De allmänna villkoren för tillsynsmyndighetens ledamöter bör fastställas genom lag i varje medlemsstat. Bestämmelserna bör bl.a. föreskriva att de ska utnämnas antingen av parlamentet eller av medlemsstatens regering, och inkludera regler om deras personliga kvalifikationer och ställning. |
(95) De allmänna villkoren för tillsynsmyndighetens ledamöter bör fastställas genom lag i varje medlemsstat. Bestämmelserna bör bl.a. föreskriva att de ska utnämnas antingen av parlamentet eller av medlemsstatens regering, varvid risken för politisk inblandning bör minimeras på vederbörligt sätt, och inkludera regler om deras personliga kvalifikationer, undvikande av intressekonflikter samt deras ställning. |
Ändringsförslag 67 Förslag till förordning Skäl 97 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(97) Om behandlingen av personuppgifter inom ramen för den verksamhet som en registeransvarig eller registerförare bedriver inom unionen äger rum i fler än en medlemsstat bör en enda tillsynsmyndighet vara behörig att övervaka den registeransvariges eller registerförarens verksamheter i hela unionen och fatta alla därmed sammanhängande beslut. Detta för att öka enhetligheten i tillämpningen, skapa rättssäkerhet och minska den administrativa bördan för dessa registeransvariga och registerförare. |
(97) Om behandlingen av personuppgifter inom ramen för den verksamhet som en registeransvarig eller registerförare bedriver inom unionen äger rum i fler än en medlemsstat bör en enda tillsynsmyndighet agera som den gemensamma kontaktpunkten och den ansvariga myndigheten med ansvar för tillsynen över registeransvariga och registerförare i hela unionen och fatta alla därmed sammanhängande beslut. Detta för att öka enhetligheten i tillämpningen, skapa rättssäkerhet och minska den administrativa bördan för dessa registeransvariga och registerförare.
|
Ändringsförslag 68 Förslag till förordning Skäl 98 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(98) Den behöriga myndighet som tar på sig detta bör vara tillsynsmyndigheten i den medlemsstat där den registeransvarige eller registerföraren har sitt huvudsakliga verksamhetsställe. |
(98) Den ansvariga myndighet som tar på sig detta bör vara tillsynsmyndigheten i den medlemsstat där den registeransvarige eller registerföraren har sitt huvudsakliga verksamhetsställe eller sin företrädare. I vissa fall kan Europeiska dataskyddsstyrelsen, genom mekanismen för enhetlighet, utse den ansvariga myndigheten på begäran av en behörig myndighet. |
Ändringsförslag 69 Förslag till förordning Skäl 98a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(98a) Registrerade vilkas personuppgifter behandlas av en registeransvarig eller en registerförare i en annan medlemsstat bör kunna lämna in klagomål till valfri tillsynsmyndighet. Den ansvariga dataskyddsmyndigheten bör samordna sitt arbete med övriga involverade myndigheter. |
Ändringsförslag 70 Förslag till förordning Skäl 101 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(101) Tillsynsmyndigheterna bör ta emot klagomål som lämnas in av registrerade och utreda ärendena i fråga. Utredningen av ett klagomål bör, med förbehåll för eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör i rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om ärendet fordrar ytterligare utredning eller samordning med en annan tillsynsmyndighet bör den registrerade underrättas även om detta. |
(101) Tillsynsmyndigheterna bör ta emot klagomål som lämnas in av registrerade eller av sammanslutningar som agerar i allmänintresset och utreda ärendena i fråga. Utredningen av ett klagomål bör, med förbehåll för eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör i rimlig tid informera den registrerade eller sammanslutningen om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om ärendet fordrar ytterligare utredning eller samordning med en annan tillsynsmyndighet bör den registrerade underrättas även om detta. |
Ändringsförslag 71 Förslag till förordning Skäl 105 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(105) För att denna förordning ska tillämpas enhetligt i hela unionen bör en mekanism för enhetlighet för samarbete mellan tillsynsmyndigheterna själva och kommissionen skapas. Denna mekanism bör främst vara tillämplig när en tillsynsmyndighet avser att vidta en åtgärd gällande behandlingar som avser erbjudande av varor eller tjänster till registrerade i flera medlemsstater, eller som avser övervakning av registrerade, eller som påtagligt kan påverka personuppgifternas fria flöde. Den bör också vara tillämplig när en tillsynsmyndighet eller kommissionen begär att ärendet bör hanteras inom ramen för mekanismen för enhetlighet. Mekanismen bör inte påverka åtgärder som kommissionen kan komma att vidta när den utövar sina befogenheter enligt fördragen. |
(105) För att denna förordning ska tillämpas enhetligt i hela unionen bör en mekanism för enhetlighet för samarbete mellan tillsynsmyndigheterna själva och kommissionen skapas. Denna mekanism bör främst vara tillämplig när en tillsynsmyndighet avser att vidta en åtgärd gällande behandlingar som avser erbjudande av varor eller tjänster till registrerade i flera medlemsstater, eller som avser övervakning av registrerade, eller som påtagligt kan påverka personuppgifternas fria flöde. Den bör också vara tillämplig när en tillsynsmyndighet eller kommissionen begär att ärendet bör hanteras inom ramen för mekanismen för enhetlighet. De registrerade bör vidare ha rätt till enhetlighet om de anser att en åtgärd som vidtagits av en medlemsstats dataskyddsmyndighet inte har uppfyllt detta villkor. Mekanismen bör inte påverka åtgärder som kommissionen kan komma att vidta när den utövar sina befogenheter enligt fördragen. |
Ändringsförslag 72 Förslag till förordning Skäl 106a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(106a) För att säkerställa en enhetlig tillämpning av denna förordning kan Europeiska dataskyddsstyrelsen i enskilda fall anta beslut som är bindande för de behöriga tillsynsmyndigheterna. |
Ändringsförslag 73 Förslag till förordning Skäl 107 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(107) Kommissionen kan för att se till att denna förordning följs avge ett yttrande i denna fråga, eller fatta ett beslut som ålägger tillsynsmyndigheten att skjuta upp utkastet till åtgärd. |
utgår |
Ändringsförslag 74 Förslag till förordning Skäl 110 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(110) På unionsnivå bör en europeisk dataskyddsstyrelse inrättas. Den bör ersätta arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättas genom direktiv 95/46/EG. Den bör bestå av en chef för en tillsynsmyndighet i varje medlemsstat och av Europeiska datatillsynsmannen. Kommissionen bör delta i dess verksamheter. Europeiska dataskyddsstyrelsen bör bidra till denna förordnings enhetliga tillämpning i hela unionen, bl.a. genom att lämna råd till kommissionen och främja samarbetet mellan tillsynsmyndigheterna i hela unionen. Europeiska dataskyddsstyrelsen bör agera oberoende när den utför sina arbetsuppgifter. |
(110) På unionsnivå bör en europeisk dataskyddsstyrelse inrättas. Den bör ersätta arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättas genom direktiv 95/46/EG. Den bör bestå av en chef för en tillsynsmyndighet i varje medlemsstat och av Europeiska datatillsynsmannen. Europeiska dataskyddsstyrelsen bör bidra till denna förordnings enhetliga tillämpning i hela unionen, bl.a. genom att lämna råd till unionens institutioner och främja samarbetet mellan tillsynsmyndigheterna i hela unionen, inbegripet samordning av gemensamma insatser. Europeiska dataskyddsstyrelsen bör agera oberoende när den utför sina arbetsuppgifter. Europeiska dataskyddsstyrelsen bör stärka dialogen med berörda parter, t.ex. sammanslutningar för registrerade, konsumentorganisationer, registeransvariga och andra berörda parter och experter. |
Ändringsförslag 75 Förslag till förordning Skäl 111 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(111) Alla registrerade bör ha rätt klaga hos en tillsynsmyndighet i en medlemsstat och ha rätt till domstolsprövning om de anser att deras rättigheter enligt denna förordning har kränkts eller om tillsynsmyndigheten inte reagerar på ett klagomål eller inte agerar när så är nödvändigt för att skydda de registrerades rättigheter. |
(111) Registrerade bör ha rätt klaga hos en tillsynsmyndighet i en medlemsstat och ha rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan om de grundläggande rättigheterna om de anser att deras rättigheter enligt denna förordning har kränkts eller om tillsynsmyndigheten inte reagerar på ett klagomål eller inte agerar när så är nödvändigt för att skydda de registrerades rättigheter. |
Ändringsförslag 76 Förslag till förordning Skäl 112 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(112) Alla organ, organisationer eller sammanslutningar som syftar till att skydda registrerades rättigheter vad gäller personuppgifter och som inrättats i enlighet med lagstiftningen i en medlemsstat bör ha rätt att klaga hos en tillsynsmyndighet eller på de registrerades vägnar utöva rätten till domstolsprövning, eller att oberoende av en registrerad persons klagomål själv klaga när de anser att ett personuppgiftsbrott har skett. |
(112) Alla organ, organisationer eller sammanslutningar som agerar i det allmännas intresse och som inrättats i enlighet med lagstiftningen i en medlemsstat bör ha rätt att klaga hos en tillsynsmyndighet på registrerades vägnar om dessa gett sitt samtycke till detta eller utöva rätten till domstolsprövning om de registrerade gett dem ett sådant mandat, eller att oberoende av en registrerad persons klagomål själv klaga när de anser att en överträdelse av denna förordning ägt rum. |
Ändringsförslag 77 Förslag till förordning Skäl 114 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(113) För att stärka de registrerades rättsliga skydd i situationer då den behöriga tillsynsmyndigheten är belägen i en annan medlemsstat än den där den registrerade bor, kan dessa begära att organ, organisationer eller sammanslutningar vars syfte är att skydda deras rättigheter och intressen vad gäller personuppgifter på deras vägnar väcker talan mot den tillsynsmyndigheten vid behörig domstol i den andra medlemsstaten. |
(114) För att stärka de registrerades rättsliga skydd i situationer då den behöriga tillsynsmyndigheten är belägen i en annan medlemsstat än den där de registrerade bor, kan dessa ge organ, organisationer eller sammanslutningar som agerar i allmänintresset mandat att väcka talan mot den tillsynsmyndigheten vid behörig domstol i den andra medlemsstaten. |
Ändringsförslag 78 Förslag till förordning Skäl 115 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(115) I situationer då en behörig tillsynsmyndighet belägen i en annan medlemsstat underlåter att agera eller har vidtagit otillräckliga åtgärder i samband med klagomål kan de registrerade anmoda tillsynsmyndigheten i den medlemsstat där de har hemvist att väcka talan mot den tillsynsmyndigheten vid behörig domstol i den andra medlemsstaten. Den anmodade tillsynsmyndigheten kan fatta beslut om huruvida denna begäran bör hörsammas eller ej. Beslutet bör kunna bli föremål för domstolsprövning. |
I situationer då en behörig tillsynsmyndighet belägen i en annan medlemsstat underlåter att agera eller har vidtagit otillräckliga åtgärder i samband med klagomål kan de registrerade anmoda tillsynsmyndigheten i den medlemsstat där de har hemvist att väcka talan mot den tillsynsmyndigheten vid behörig domstol i den andra medlemsstaten. Detta är inte tillämpligt på personer som inte är bosatta i unionen. Den anmodade tillsynsmyndigheten kan fatta beslut om huruvida denna begäran bör hörsammas eller ej. Beslutet bör kunna bli föremål för domstolsprövning. |
Ändringsförslag 79 Förslag till förordning Skäl 116 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(116) Vid rättsliga förfaranden mot en registeransvarig eller en registerförare bör käranden kunna välja att väcka talan antingen vid domstolarna i de medlemsstater där den registeransvarige eller registerföraren är etablerad eller där den registrerade bor, såvida inte den registeransvarige är en myndighet som agerar inom ramen för sin myndighetsutövning. |
(116) Vid rättsliga förfaranden mot en registeransvarig eller en registerförare bör käranden kunna välja att väcka talan antingen vid domstolarna i de medlemsstater där den registeransvarige eller registerföraren är etablerad eller, om det rör sig om en person som är bosatt i unionen, där den registrerade bor, såvida inte den registeransvarige är en unionsmyndighet eller en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning. |
Ändringsförslag 80 Förslag till förordning Skäl 118 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(118) Personer som lider skada till följd av otillåten behandling bör ha rätt till ersättning av registeransvariga eller registerförare, som dock kan befrias från skadeståndsskyldighet om de kan visa att de inte är ansvariga för skadan, särskilt om de kan påvisa att ett fel begåtts av den registrerade eller om det föreligger ett fall av force majeure. |
(118) Personer som lider ekonomisk skada eller annan skada till följd av otillåten behandling bör ha rätt till ersättning av registeransvariga eller registerförare, som kan befrias från skadeståndsskyldighet endast om de kan visa att de inte är ansvariga för skadan, särskilt om de kan påvisa att ett fel begåtts av den registrerade eller om det föreligger ett fall av force majeure. |
Ändringsförslag 81 Förslag till förordning Skäl 119 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(119) Om någon underlåter att följa denna förordning bör detta leda till påföljder, oavsett om personen omfattas av privaträttslig eller offentligrättslig lagstiftning. Medlemsstaterna bör se till att påföljderna är effektiva, proportionella och avskräckande och bör vidta alla åtgärder som krävs för att påföljderna ska verkställas.
|
(119) Om någon underlåter att följa denna förordning bör detta leda till påföljder, oavsett om personen omfattas av privaträttslig eller offentligrättslig lagstiftning. Medlemsstaterna bör se till att påföljderna är effektiva, proportionella och avskräckande och bör vidta alla åtgärder som krävs för att påföljderna ska verkställas. Föreskrifterna om påföljder bör omfattas av lämpliga rättssäkerhetsgarantier i överensstämmelse med de allmänna principerna i unionsrätten och i stadgan om de grundläggande rättigheterna, däribland principerna om rätten till ett effektivt rättsmedel och ett korrekt rättsförfarande och principen ne bis in idem. |
Ändringsförslag 82 Förslag till förordning Skäl 119a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(119a) Vid tillämpningen av påföljder bör medlemsstaterna till fullo respektera lämpliga rättssäkerhetsgarantier, däribland rätten till ett effektivt rättsmedel och ett korrekt rättsförfarande och principen ne bis in idem. |
Ändringsförslag 83 Förslag till förordning Skäl 121 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(121) Behandling av personuppgifter enkom för journalistiska, konstnärliga eller litterära ändamål bör undantas från vissa av kraven i denna förordning, så att rätten till skydd av personuppgifter kan förenas med rätten till yttrandefrihet, särskilt rätten att ta emot och lämna upplysningar, som särskilt garanteras genom artikel 11 i Europeiska unionens stadga om de grundläggande rättigheterna. Detta bör särskilt gälla vid behandling av personuppgifter inom det audiovisuella området och i nyhetsarkiv och pressbibliotek. Medlemsstaterna bör därför anta lagstiftningsåtgärder som fastställer de olika undantag som behövs för att skapa en balans mellan dessa grundläggande rättigheter. Medlemsstaterna bör fastställa sådana undantag med avseende på: allmänna principer, de registrerades rättigheter, registeransvariga och registerförare, överföring av uppgifter till tredjeländer eller internationella organisationer, de oberoende tillsynsmyndigheterna samt samarbete och enhetlighet. Detta får dock inte föranleda medlemsstaterna att fastställa undantag från andra bestämmelser i denna förordning. För att ta hänsyn till yttrandefrihetens betydelse i varje demokratiskt samhälle måste en bred tolkning tillämpas av vad som innefattas i denna frihet, som till exempel ”journalism”. Medlemsstaterna bör därför med avseende på de undantag som ska fastställas enligt denna förordning klassificera verksamheter som ”journalistiska” om målet för dem är att bland allmänheten sprida information, åsikter eller idéer, oavsett vilket medium som används för att nå detta mål. Kategorin bör inte begränsas till medieföretag, och såväl vinstdrivande verksamhet som verksamhet som drivs utan vinstintresse bör inbegripas. |
(121) När så är nödvändigt bör det föreskrivas befrielser eller undantag från vissa av kraven i denna förordning när det gäller behandling av personuppgifter, så att rätten till skydd av personuppgifter kan förenas med rätten till yttrandefrihet, särskilt rätten att ta emot och lämna upplysningar, som särskilt garanteras genom artikel 11 i Europeiska unionens stadga om de grundläggande rättigheterna. Medlemsstaterna bör därför anta lagstiftningsåtgärder som fastställer de olika undantag som behövs för att skapa en balans mellan dessa grundläggande rättigheter. Medlemsstaterna bör fastställa sådana undantag med avseende på: allmänna principer, de registrerades rättigheter, registeransvariga och registerförare, överföring av uppgifter till tredjeländer eller internationella organisationer, de oberoende tillsynsmyndigheterna, samarbete och enhetlighet samt specifika uppgiftsbehandlingssituationer. Detta får dock inte föranleda medlemsstaterna att fastställa undantag från andra bestämmelser i denna förordning. För att ta hänsyn till yttrandefrihetens betydelse i varje demokratiskt samhälle måste en bred tolkning tillämpas av vad som innefattas i denna frihet så att den omfattar alla verksamheter som syftar till att bland allmänheten sprida information, åsikter eller idéer, oavsett vilket medium som används för att överföra dem, också med beaktande av den tekniska utvecklingen. Kategorin bör inte begränsas till medieföretag, och såväl vinstdrivande verksamhet som verksamhet som drivs utan vinstintresse bör inbegripas. |
Ändringsförslag 84 Förslag till förordning Skäl 122a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(122a) Personer som yrkesmässigt behandlar personuppgifter om hälsa bör om möjligt få anonymiserade eller pseudonymiserade uppgifter, så att endast den allmänläkare eller specialistläkare som har begärt uppgiftsbehandlingen känner till den registrerades identitet. |
Ändringsförslag 85 Förslag till förordning Skäl 123 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(123) På folkhälsoområdet kan det bli nödvändigt att med hänsyn till det allmännas intresse behandla personuppgifter som rör hälsa utan att den registrerades samtycke inhämtas. I det sammanhanget bör ”folkhälsan” tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbete, nämligen alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. Behandling av personuppgifter rörande hälsan i det allmännas intresse bör inte innebära att personuppgifter behandlas för andra ändamål av tredje part, exempelvis arbetsgivare, försäkrings- och bankföretag. |
(123) På folkhälsoområdet kan det bli nödvändigt att med hänsyn till det allmännas intresse behandla personuppgifter som rör hälsa utan att den registrerades samtycke inhämtas. I det sammanhanget bör ”folkhälsan” tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/20081, nämligen alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. |
|
|
1 Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet (EUT L 354, 31.12.2008, s. 70). |
Ändringsförslag 86 Förslag till förordning Skäl 123a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(123a) Behandling av personuppgifter som rör hälsa, som är en särskild kategori av uppgifter, kan behövas för historiska, statistiska eller vetenskapliga forskningsändamål. Därför föreskrivs i denna förordning ett undantag från kravet på samtycke för forskning som tjänar ett viktigt allmänt intresse. |
Ändringsförslag 87 Förslag till förordning Skäl 124 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(124) De allmänna principerna för skyddet av enskilda vid behandling av personuppgifter bör även vara tillämpliga vid anställningar. För att reglera behandling av arbetstagares personuppgifter inom ramen för ett anställningsförhållande bör medlemsstaterna därför, inom gränserna för denna förordning, lagstiftningsvägen kunna anta särskilda regler för behandling av personuppgifter under anställningar. |
(124) De allmänna principerna för skyddet av enskilda vid behandling av personuppgifter bör även vara tillämpliga vid anställningar och när det gäller social trygghet. Medlemsstaterna bör kunna reglera behandling av arbetstagares personuppgifter inom ramen för ett anställningsförhållande och behandling av personuppgifter när det gäller social trygghet i enlighet med bestämmelserna och miniminormerna i denna förordning. Om det i medlemsstaten i fråga finns lagstiftning som reglerar frågor rörande anställningsförhållanden genom avtal mellan arbetstagarnas företrädare och ledningen i företaget eller i det kontrollerande företaget i en företagsgrupp (kollektivavtal) eller enligt Europaparlamentets och rådets direktiv 2009/38/EG1, kan behandlingen av personuppgifter inom ramen för anställningsförhållanden även regleras genom ett sådant avtal. |
|
|
1 Europaparlamentets och rådets direktiv 2009/38/EG av den 6 maj 2009 om inrättande av ett europeiskt företagsråd eller ett förfarande i gemenskapsföretag och grupper av gemenskapsföretag för information till och samråd med arbetstagare (EUT L 122, 16.5.2009, s. 28). |
Ändringsförslag 88 Förslag till förordning Skäl 125a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(125a) Personuppgifter kan även behandlas i ett senare skede av arkivtjänster vilkas huvudsakliga uppgift eller lagstadgade skyldighet är att samla in, lagra, tillhandahålla information om, använda och sprida arkivalier i allmänintresset. Medlemsstaternas lagstiftning bör förena rätten till skydd av personuppgifter med arkivbestämmelserna och bestämmelserna om allmänhetens tillgång till administrativ information. Medlemsstaterna bör uppmuntra utarbetande, särskilt från Europeiska arkivgruppens sida, av bestämmelser som garanterar uppgifternas konfidentialitet gentemot tredje parter och uppgifternas autenticitet och integritet samt korrekt bevarande av dem. |
Ändringsförslag 89 Förslag till förordning Skäl 126 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(126) Vetenskaplig forskning bör i denna förordning också omfatta grundforskning, målforskning och privatfinansierad forskning och bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. |
(126) Vetenskaplig forskning bör i denna förordning också omfatta grundforskning, målforskning och privatfinansierad forskning och bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Behandling av personuppgifter för historiska, statistiska eller vetenskapliga forskningsändamål bör inte resultera i att personuppgifter behandlas för andra ändamål, såvida inte den registrerade gett sitt samtycke eller unionslagstiftningen eller en medlemsstats lagstiftning medger detta. |
Ändringsförslag 90 Förslag till förordning Skäl 128 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(128) I enlighet med artikel 17 i EUF-fördraget är denna förordning förenlig med kravet på att respektera och inte påverka den ställning som kyrkor och religiösa sammanslutningar eller samfund har i medlemsstaterna enligt nationell lagstiftning. Om en kyrka i en medlemsstat vid tidpunkten för ikraftträdandet av denna förordning tillämpar övergripande regler rörande skyddet av enskilda vid behandling av personuppgifter bör dessa befintliga regler följaktligen fortsätta att vara tillämpliga under förutsättning att de görs förenliga med bestämmelserna i denna förordning. Kyrkor och religiösa sammanslutningar bör vara förpliktade att bilda en fullständigt oberoende tillsynsmyndighet. |
(128) I enlighet med artikel 17 i EUF-fördraget är denna förordning förenlig med kravet på att respektera och inte påverka den ställning som kyrkor och religiösa sammanslutningar eller samfund har i medlemsstaterna enligt nationell lagstiftning. Om en kyrka i en medlemsstat vid tidpunkten för ikraftträdandet av denna förordning tillämpar adekvata regler rörande skyddet av enskilda vid behandling av personuppgifter bör dessa befintliga regler följaktligen fortsätta att vara tillämpliga under förutsättning att de görs förenliga med bestämmelserna i denna förordning och erkänns som förenliga. |
Ändringsförslag 91 Förslag till förordning Skäl 129 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(129) I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra den fria rörligheten för personuppgifter inom unionen bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen. Delegerade akter bör framför allt antas när det gäller följande: behandlingens laglighet, precisering av kriterier och villkor för barns samtycke, behandling av särskilda kategorier av uppgifter, precisering av kriterier och villkor vad gäller uppenbart orimliga krav och avgifter för att den registrerade ska kunna utöva sina rättigheter, kriterier och krav vad gäller information till den registrerade och rätten till tillgång, rätten att bli bortglömd och rätten till radering, profileringsbaserade åtgärder, kriterier och krav vad gäller den registeransvariges ansvar samt inbyggt uppgiftsskydd och uppgiftsskydd som standard, registerförare, kriterier och krav vad gäller dokumentering av och säkerhet vid behandlingen, kriterier och krav vad gäller konstaterandet av personuppgiftsbrott och anmälan av detta till tillsynsmyndigheten, och gällande omständigheterna när ett personuppgiftsbrott sannolikt påverkar den registrerade negativt, kriterier och villkor vad gäller behandling som kräver en konsekvensbedömning av uppgiftsskyddet, kriterier och krav när man avgör om höggradiga särskilda risker föreligger som kräver förhandssamråd, uppgiftsskyddsombudets utnämning och arbetsuppgifter, uppförandekodexar, kriterier och krav vad gäller certifieringsmekanismer, kriterier och krav vad gäller överföringar som sker på grundval av bindande företagsregler, överföringsundantag, administrativa påföljder, behandling för hälso- och sjukvårdsändamål, behandling vid anställningar och behandling för historiska, statistiska och vetenskapliga forskningsändamål. Det är av särskild betydelse att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå. Kommissionen bör, då den förbereder och utarbetar delegerade akter, se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så snabbt som möjligt och på lämpligt sätt. |
I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra den fria rörligheten för personuppgifter inom unionen bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen. Delegerade akter bör framför allt antas när det gäller följande: precisering av villkoren för symbolbaserade metoder för tillhandahållande av information, rätten till radering, förklaringar om att uppförandekodexar är förenliga med förordningen, kriterier och krav vad gäller certifieringsmekanismer, adekvat skyddsnivå som garanteras av tredjeländer eller internationella organisationer, kriterier och krav vad gäller överföringar som sker på grundval av bindande företagsbestämmelser, administrativa påföljder, behandling för hälso- och sjukvårdsändamål och behandling vid anställningar. Det är av särskild betydelse att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå, i synnerhet med Europeiska dataskyddsstyrelsen. Kommissionen bör, då den förbereder och utarbetar delegerade akter, se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så snabbt som möjligt och på lämpligt sätt. |
Ändringsförslag 92 Förslag till förordning Skäl 130 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(130) För att säkra enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter för att: specificera standardformulär för behandling av barns personuppgifter, standardförfaranden och formulär för utövandet av den registrerades rättigheter, standardformulär för information till den registrerade, standardformulär och förfaranden för rätten till tillgång, rätten till uppgiftsportabilitet, standardformulär avseende den registeransvariges ansvar för inbyggt uppgiftsskydd och uppgiftsskydd som standard samt dokumentation, särskilda krav på säkerhet vid behandling, standardformat och förfaranden för anmälan av personuppgiftsbrott till tillsynsmyndigheten och meddelanden om personuppgiftsbrott till den registrerade, standarder och förfaranden för konsekvensbedömning avseende uppgiftsskydd, formulär och förfaranden för förhandstillstånd och förhandssamråd, tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland eller ett territorium eller av en behandlande sektor inom detta tredjeland eller en internationell organisation, utlämnande som inte har stöd i unionslagstiftningen, ömsesidigt bistånd, gemensamma insatser och beslut enligt mekanismen för enhetlighet. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag. |
(130) För att säkra enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter för att: specificera standardformulär för specifika metoder för att erhålla ett kontrollerbart samtycke när det gäller behandling av barns personuppgifter, standardformulär för kommunikationen med de registrerade med avseende på utövandet av deras rättigheter, standardformulär för information till den registrerade, standardformulär för rätten till tillgång, inklusive för kommunikation av personuppgifterna till den registrerade, standardformulär avseende den dokumentation som den registeransvarige och registerföraren ska föra, standardformuläret för anmälan av personuppgiftsbrott till tillsynsmyndigheten och för dokumentering av personuppgiftsbrott samt formulär för förhandssamråd och förhandsinformation till tillsynsmyndigheten. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/20111. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag. |
|
|
1 Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag. |
Ändringsförslag 93 Förslag till förordning Skäl 131 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(131) Mot bakgrund av att nedanstående rättsakter har allmän räckvidd bör granskningsförfarandet användas vid antagande av följande: specificerande standardformulär för barns samtycke, standardförfaranden och formulär för utövandet av den registrerades rättigheter, standardformulär för information till den registrerade, standardformulär och förfaranden för rätten till tillgång, rätten till uppgiftsportabilitet, standardformulär avseende den registeransvariges ansvar för inbyggt uppgiftsskydd och uppgiftsskydd som standard samt dokumentation, särskilda krav på säkerhet vid behandling, standardformat och förfaranden för anmälan av personuppgiftsbrott till tillsynsmyndigheten och meddelanden om personuppgiftsbrott till den registrerade, standarder och förfaranden för konsekvensbedömning avseende uppgiftsskydd, formulär och förfaranden för förhandstillstånd och förhandssamråd, tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland eller ett territorium eller av en behandlande sektor inom detta tredjeland eller en internationell organisation, utlämnande som inte har stöd i unionslagstiftningen, ömsesidigt bistånd, gemensamma insatser och beslut enligt mekanismen för enhetlighet. |
(131) Mot bakgrund av att nedanstående rättsakter har allmän räckvidd bör granskningsförfarandet användas vid antagande av följande: specificerande standardformulär för specifika metoder för att erhålla ett kontrollerbart samtycke när det gäller behandling av barns personuppgifter, standardformulär för kommunikationen med de registrerade med avseende på utövandet av deras rättigheter, standardformulär för information till den registrerade, standardformulär för rätten till tillgång, inklusive för kommunikation av personuppgifterna till den registrerade, standardformulär avseende den dokumentation som den registeransvarige och registerföraren ska föra, standardformuläret för anmälan av personuppgiftsbrott till tillsynsmyndigheten och för dokumentering av personuppgiftsbrott, samt formulär för förhandssamråd och förhandsinformation till tillsynsmyndigheten. |
Ändringsförslag 94 Förslag till förordning Skäl 132 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(132) Kommissionen bör när tvingande skäl till skyndsamhet föreligger i vederbörligen motiverade fall anta omedelbart tillämpliga genomförandeakter avseende ett tredjeland, ett territorium eller en behandlande sektor i ett tredjeland eller en internationell organisation vars skyddsnivå inte är adekvat och som avser frågor som tillsynsmyndigheterna tar upp genom mekanismen för enhetlighet. |
utgår |
Ändringsförslag 95 Förslag till förordning Skäl 134 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(134) Direktiv 95/46/EG ska därför ersättas med denna förordning. Kommissionens beslut som antagits och tillsynsmyndigheternas tillstånd på grundval av direktiv 95/46/EC bör dock fortsatt vara giltiga. |
(134) Direktiv 95/46/EG bör ersättas med denna förordning. Kommissionens beslut som antagits och tillsynsmyndigheternas tillstånd på grundval av direktiv 95/46/EC bör dock fortsatt vara giltiga. Kommissionens beslut och tillsynsmyndigheternas tillstånd avseende överföringar av personuppgifter till tredjeländer enligt artikel 41.8 bör fortsatt vara i kraft under en övergångsperiod av fem år efter denna förordnings ikraftträdande såvida inte förordningen ändras, ersätts eller upphävs av kommissionen före utgången av nämnda period. |
Ändringsförslag 96 Förslag till förordning Artikel 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Materiellt tillämpningsområde |
Materiellt tillämpningsområde |
|
1. Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. |
1. Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg, oavsett behandlingsmetod, samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. |
|
2. Förordningen ska inte tillämpas på behandling av personuppgifter |
2. Förordningen ska inte tillämpas på behandling av personuppgifter |
|
a) som utgör ett led i en verksamhet som inte omfattas av unionslagstiftningen, särskilt avseende nationell säkerhet, |
a) som utgör ett led i en verksamhet som inte omfattas av unionslagstiftningen, |
|
b) som utförs av unionens institutioner, organ och byråer, |
|
|
c) som medlemsstaterna utför när de bedriver verksamhet som omfattas av kapitel 2 i fördraget om Europeiska unionen, |
c) som medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen, |
|
d) som en fysisk person utför utan vinstintresse som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll, |
d) som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll; denna befrielse ska även tillämpas på offentliggörande av personuppgifter om det rimligen kan förväntas att bara ett begränsat antal personer kommer att ha tillgång till dem, |
|
e) som behöriga myndigheter utför i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. |
e) som behöriga offentliga myndigheter utför i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. |
|
3. Förordningen ska inte påverka tillämpningen av direktiv 2000/31/EG, särskilt bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet. |
3. Förordningen ska inte påverka tillämpningen av direktiv 2000/31/EG, särskilt bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet. |
Ändringsförslag 97 Förslag till förordning Artikel 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Territoriellt tillämpningsområde |
Territoriellt tillämpningsområde |
|
1. Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs av en registeransvarig eller registerförare som är etablerad i unionen. |
1. Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs av en registeransvarig eller registerförare som är etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte. |
|
2. Förordningen ska tillämpas på behandling av personuppgifter som avser registrerade som är bosatta i unionen och som utförs av en registeransvarig som inte är etablerad i unionen, om behandlingen har anknytning till |
2. Förordningen ska tillämpas på behandling av personuppgifter som avser registrerade i unionen och som utförs av en registeransvarig eller en registerförare som inte är etablerad i unionen, om behandlingen har anknytning till |
|
a) utbjudande av varor eller tjänster till sådana registrerade i unionen, eller |
a) utbjudande av varor eller tjänster till sådana registrerade i unionen, oavsett om det krävs en betalning av den registrerade eller ej, eller |
|
b) övervakning av deras beteende. |
b) övervakning av sådana registrerade. |
|
3. Förordningen ska tillämpas på behandling av personuppgifter som utförs av en registeransvarig som inte är etablerad i unionen, men på en plats där den nationella lagstiftningen i en medlemsstat gäller på grund av folkrätten. |
3. Förordningen ska tillämpas på behandling av personuppgifter som utförs av en registeransvarig som inte är etablerad i unionen, men på en plats där den nationella lagstiftningen i en medlemsstat gäller på grund av folkrätten. |
Ändringsförslag 98 Förslag till förordning Artikel 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Definitioner |
Definitioner |
|
I denna förordning gäller följande definitioner: |
I denna förordning gäller följande definitioner: |
|
(1) den registrerade: en fysisk person som är direkt eller indirekt identifierad eller identifierbar, med medel som rimligen kan komma att användas av den registeransvarige eller av någon annan fysisk eller juridisk person, framför allt med hänvisning till ett identifikationsnummer, en lokaliseringsuppgift eller nätidentifierare, eller till en eller fler faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. |
|
|
(2) personuppgifter: varje upplysning som avser den registrerade. |
(2) personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade); en identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift, en unik identifierare eller till en eller flera faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet eller könsidentitet. |
|
|
(2a) pseudonymiserade uppgifter: personuppgifter som inte kan hänföras till en specifik registrerad utan att kompletterande uppgifter används, så länge dessa hålls separata och är underkastade tekniska och organisatoriska åtgärder för att garantera att inget sådant hänförande är möjligt. |
|
|
(2b) krypterade uppgifter: personuppgifter som via tekniska skyddsåtgärder har gjorts oläsbara för alla personer som inte är behöriga att få tillgång till dem. |
|
(3) behandling: varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, radering eller förstöring. |
(3) behandling: varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, radering eller förstöring. |
|
|
(3a) profilering: varje form av automatisk behandling av personuppgifter som syftar till att utvärdera vissa personliga egenskaper hos en fysisk person eller att analysera eller förutsäga i synnerhet vederbörandes arbetsprestationer, ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende. |
|
(4) register: varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. |
(4) register: varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. |
|
(5) registeransvarig: en fysisk eller juridisk person, myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen, villkoren och medlen för behandlingen av personuppgifter; om ändamålen, villkoren och medlen för behandlingen bestäms av unionslagstiftningen eller medlemsstaternas lagstiftning kan den registeransvarige eller de särskilda kriterierna för hur denne ska utses anges i unionslagstiftningen eller i medlemsstaternas lagstiftning. |
(5) registeransvarig: en fysisk eller juridisk person, myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionslagstiftningen eller medlemsstaternas lagstiftning kan den registeransvarige eller de särskilda kriterierna för hur denne ska utses anges i unionslagstiftningen eller i medlemsstaternas lagstiftning. |
|
(6) registerförare: en fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar personuppgifter för den registeransvariges räkning. |
(6) registerförare: en fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar personuppgifter för den registeransvariges räkning. |
|
(7) mottagare: en fysisk eller juridisk person, myndighet, institution eller annat organ till vilket uppgifterna utlämnas. |
(7) mottagare: en fysisk eller juridisk person, myndighet, institution eller annat organ till vilket uppgifterna utlämnas. |
|
|
(7a) tredje part: en fysisk eller juridisk person, myndighet, institution eller annat organ som inte är den registrerade, den registeransvarige, registerföraren eller de personer som under den registeransvariges eller registerförarens direkta ansvar är behöriga att behandla uppgifterna. |
|
(8) den registrerades samtycke: varje slag av frivillig, specifik, informerad och uttrycklig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig affirmativ handling godtar behandling av personuppgifter som rör honom eller henne. |
(8) den registrerades samtycke: varje slag av frivillig, specifik, informerad och uttrycklig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig affirmativ handling godtar behandling av personuppgifter som rör honom eller henne. |
|
(9) personuppgiftsbrott: ett säkerhetsbrott som leder till förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. |
(9) personuppgiftsbrott: förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. |
|
(10) genetiska uppgifter: alla uppgifter, oavsett typ, som rör sådana kännetecken för en enskild person som är nedärvda eller har erhållits under tidig prenatal utveckling. |
(10) genetiska uppgifter: alla personuppgifter som rör genetiska kännetecken för en enskild person som är nedärvda eller har erhållits och som framgår av en analys av ett biologiskt prov från personen i fråga, framför allt kromosom-, DNA- och RNA-analys eller alla andra former av analyser som gör det möjligt att inhämta motsvarande information. |
|
(11) biometriska uppgifter: alla uppgifter som rör en enskild persons fysiska, fysiologiska eller beteendemässiga kännetecken och som gör det möjligt att identifiera honom eller henne individuellt, såsom ansiktsbilder eller fingeravtrycksuppgifter. |
(11) biometriska uppgifter: alla personuppgifter som rör en enskild persons fysiska, fysiologiska eller beteendemässiga kännetecken och som gör det möjligt att identifiera honom eller henne individuellt, såsom ansiktsbilder eller fingeravtrycksuppgifter. |
|
(12) uppgifter om hälsa: alla uppgifter som rör en enskild persons fysiska eller psykiska hälsa eller de hälso- och sjukvårdstjänster som tillhandahållits personen. |
(12) uppgifter om hälsa: alla personuppgifter som rör en enskild persons fysiska eller psykiska hälsa eller de hälso- och sjukvårdstjänster som tillhandahållits personen. |
|
(13) huvudsakligt verksamhetsställe: när det gäller den registeransvarige, den plats i unionen där denne är etablerad, där de huvudsakliga besluten om syftena, villkoren och medlen för behandlingen av personuppgifter fattas; om inga beslut om syftena, villkoren och metoderna för behandlingen av personuppgifter fattas i unionen är det huvudsakliga verksamhetsstället den plats där den huvudsakliga behandlingen inom ramen för den verksamhet som bedrivs vid en registeransvarigs verksamhetsställe i unionen äger rum. När det gäller registerföraren avses med huvudsakligt verksamhetsställe den plats i unionen där vederbörande har sin centrala förvaltning. |
(13) huvudsakligt verksamhetsställe: den plats i unionen, oavsett om det rör sig om en registeransvarig eller en registerförare, där företaget eller företagsgruppen är etablerad, där de huvudsakliga besluten om syftena, villkoren och medlen för behandlingen av personuppgifter fattas. Bland annat följande objektiva kriterier får beaktas: platsen för den registeransvariges eller registerförarens huvudkontor, platsen för den enhet inom en företagsgrupp som med avseende på ledningsfunktioner och förvaltningsansvar är bäst lämpad att ha hand om och verkställa bestämmelserna i denna förordning samt den plats där den verkliga ledningsverksamhet bedrivs som genom stabila strukturer är avgörande för uppgiftsbehandlingen. |
|
(14) företrädare: en i unionen etablerad fysisk eller juridisk person som den registeransvarige uttryckligen utsett och som tillsynsmyndigheter och instanser inom unionen kan vända sig till i stället för till den registeransvarige i frågor som gäller den registeransvariges skyldigheter enligt denna förordning. |
(14) företrädare: en i unionen etablerad fysisk eller juridisk person som den registeransvarige uttryckligen utsett till företrädare för den registeransvarige i frågor som gäller den registeransvariges skyldigheter enligt denna förordning. |
|
(15) företag: en enhet som bedriver ekonomisk verksamhet, oavsett dess juridiska form, vilket således särskilt inbegriper fysiska och juridiska personer, partnerskap eller föreningar som regelbundet bedriver ekonomisk verksamhet. |
(15) företag: en enhet som bedriver ekonomisk verksamhet, oavsett dess juridiska form, vilket således särskilt inbegriper fysiska och juridiska personer, partnerskap eller föreningar som regelbundet bedriver ekonomisk verksamhet. |
|
(16) företagsgrupp: ett kontrollerande företag och dess kontrollerade företag. |
(16) företagsgrupp: ett kontrollerande företag och dess kontrollerade företag. |
|
(17) bindande företagsbestämmelser: strategier för skydd av personuppgifter som en registeransvarig eller registerförare som är etablerad på en medlemsstats territorium använder sig av vid överföringar eller en uppsättning av överföringar av personuppgifter till en registeransvarig eller registerförare i en eller flera tredjeländer inom en företagsgrupp. |
(17) bindande företagsbestämmelser: strategier för skydd av personuppgifter som en registeransvarig eller registerförare som är etablerad på en medlemsstats territorium använder sig av vid överföringar eller en uppsättning av överföringar av personuppgifter till en registeransvarig eller registerförare i en eller flera tredjeländer inom en företagsgrupp. |
|
(18) barn: alla personer som är yngre än arton år. |
(18) barn: alla personer som är yngre än arton år. |
|
(19) tillsynsmyndighet: en myndighet som är etablerad av en medlemsstat i enlighet med artikel 46. |
(19) tillsynsmyndighet: en myndighet som är etablerad av en medlemsstat i enlighet med artikel 46. |
Ändringsförslag 99 Förslag till förordning Artikel 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Principer om behandling av personuppgifter |
Principer om behandling av personuppgifter |
|
Vid behandling av personuppgifter ska följande gälla: |
Vid behandling av personuppgifter ska följande gälla: |
|
a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. |
a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet). |
|
b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. |
b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning). |
|
c) De ska vara adekvata, relevanta och begränsade till ett strikt minimum när det gäller de syften för vilka de behandlas; de ska bara behandlas om, och så länge som, syftena inte kan uppnås genom att man behandlar information som inte rör personuppgifter. |
c) De ska vara adekvata, relevanta och begränsade till ett strikt minimum när det gäller de syften för vilka de behandlas; de ska bara behandlas om, och så länge som, syftena inte kan uppnås genom att man behandlar information som inte rör personuppgifter (uppgiftsminimering). |
|
d) De ska vara riktiga och aktuella; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. |
d) De ska vara riktiga och när så är nödvändigt aktuella; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är oriktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet). |
|
e) De ska förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas; personuppgifter får lagras under längre perioder i den mån som uppgifterna endast behandlas för historiska, statistiska eller vetenskapliga forskningsändamål i enlighet med bestämmelserna och villkoren i artikel 83 och om en periodisk översyn genomförs för att bedöma behovet av fortsatt lagring. |
e) De ska förvaras i en form som förhindrar direkt eller indirekt identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas; personuppgifter får lagras under längre perioder i den mån som uppgifterna endast behandlas för historiska, statistiska eller vetenskapliga forskningsändamål eller för arkivändamål i enlighet med bestämmelserna och villkoren i artiklarna 83 och 83a och om en periodisk översyn genomförs för att bedöma behovet av fortsatt lagring och lämpliga tekniska och organisatoriska åtgärder införs för att se till att uppgifterna görs tillgängliga endast för dessa ändamål (lagringsminimering). |
|
|
ea) De ska behandlas på ett sätt som ger de registrerade möjlighet att effektivt utöva sina rättigheter (effektivitet). |
|
|
eb) De ska behandlas på ett sätt som medför ett skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse med hjälp av lämpliga tekniska eller organisatoriska åtgärder (integritet). |
|
f) Den registeransvarige ska ansvara för behandlingen av personuppgifterna, och ska se till och visa att bestämmelserna i denna förordning efterlevs vid varje behandling. |
f) Den registeransvarige ska ansvara för behandlingen av personuppgifterna, och ska se till och kunna visa att bestämmelserna i denna förordning efterlevs (ansvarsskyldighet). |
Ändringsförslag 100 Förslag till förordning Artikel 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
När personuppgifter får behandlas |
När personuppgifter får behandlas |
|
1. Personuppgifter får behandlas endast om och i den mån som åtminstone ett av följande villkor är uppfyllda: |
1. Personuppgifter får behandlas endast om och i den mån som åtminstone ett av följande villkor är uppfyllda: |
|
a) Den registrerade har lämnat sitt samtycke till att vederbörandes personuppgifter behandlas för ett eller flera specifika ändamål. |
a) Den registrerade har lämnat sitt samtycke till att vederbörandes personuppgifter behandlas för ett eller flera specifika ändamål. |
|
b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. |
b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. |
|
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige. |
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige. |
|
d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade, |
d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade, |
|
e) Behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige. |
e) Behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige. |
|
f) Behandlingen är nödvändig för ändamål som rör den registeransvariges berättigade intressen, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Detta ska inte gälla för behandling som utförs av myndigheter i deras myndighetsutövning. |
f) Behandlingen är nödvändig för ändamål som rör den registeransvariges berättigade intressen eller, i fall av utlämnande, de berättigade intressena för den tredje part till vilken uppgifterna lämnats ut och som uppfyller den registrerades rimliga förväntningar baserat på dennes förhållande till den registeransvarige, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd av personuppgifter. Detta ska inte gälla för behandling som utförs av myndigheter i deras myndighetsutövning. |
|
2. Personuppgifter ska få behandlas om detta är nödvändigt för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83. |
2. Personuppgifter ska få behandlas om detta är nödvändigt för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83. |
|
3. Den grund för behandlingen som avses i punkt 1 c och e ska föreskrivas i |
3. Den grund för behandlingen som avses i punkt 1 c och e ska föreskrivas i |
|
a) unionslagstiftningen, eller |
a) unionslagstiftningen, eller |
|
b) lagstiftningen i den medlemsstat vars lagstiftning den registeransvarige lyder under. |
b) lagstiftningen i den medlemsstat vars lagstiftning den registeransvarige lyder under. |
|
Lagstiftningen i medlemsstaten måste uppfylla ett mål av allmänt intresse eller vara nödvändig för att skydda andras fri- och rättigheter, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas. |
Lagstiftningen i medlemsstaten måste uppfylla ett mål av allmänt intresse eller vara nödvändig för att skydda andras fri- och rättigheter, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas. Inom ramen för bestämmelserna i denna förordning får lagstiftningen i medlemsstaten reglera detaljer som rör behandlingens laglighet, särskilt med avseende på registeransvariga, behandlingsändamål och ändamålsbegränsning, uppgifternas karaktär och de registrerade, behandlingsmetoder och behandlingsförfaranden, mottagare samt lagringstid. |
|
4. När ändamålet med ytterligare behandling inte är förenligt med det ändamål för vilket personuppgifterna har samlats in, måste behandlingen ha en rättslig grund i minst en av de grunder som anges i punkt 1 a–e. Detta ska särskilt gälla eventuella ändringar av förutsättningarna och de allmänna villkoren för ett avtal. |
|
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera de villkor som avses i punkt 1 f för olika sektorer och situationer vid behandlingen av personuppgifter, bland annat när det gäller behandlingen av personuppgifter som rör barn. |
|
Ändringsförslag 101 Förslag till förordning Artikel 7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Villkor för samtycke |
Villkor för samtycke |
|
1. Den registeransvarige ska bära bevisbördan när det gäller den registrerades samtycke till behandlingen av hans eller hennes personuppgifter för bestämda ändamål. |
1. Om behandlingen grundar sig på samtycke ska den registeransvarige bära bevisbördan när det gäller den registrerades samtycke till behandlingen av hans eller hennes personuppgifter för bestämda ändamål. |
|
2. Om den registrerades samtycke ska lämnas inom ramen för en skriftlig deklaration som också rör en annan fråga, måste kravet att lämna samtycke läggas fram i en sådan form att det kan särskiljas från denna andra fråga. |
2. Om den registrerades samtycke ska lämnas inom ramen för en skriftlig deklaration som också rör en annan fråga, måste kravet att lämna samtycke läggas fram i en sådan form att det kan särskiljas klart och tydligt från denna andra fråga. Bestämmelser om den registrerades samtycke som till viss del strider mot bestämmelserna i denna förordning ska betraktas som helt ogiltiga. |
|
3. De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten hos behandling som grundar sig på samtycke, innan detta återkallas. |
3. Utan hinder av andra rättsliga grunder för behandling ska de registrerade ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten hos behandling som grundar sig på samtycke, innan detta återkallas. Det ska vara lika lätt att återkalla sitt samtycke som att ge det. Den registrerade ska informeras av den registeransvarige om återkallande av samtycke kan leda till att de tillhandahållna tjänsterna eller förhållandet till den registeransvarige avslutas. |
|
4. Samtycke ska inte utgöra en rättslig grund för behandlingen, om det föreligger en betydande obalans mellan den registrerades och den registeransvariges ställning. |
4. Samtycke ska vara bundet till ändamålet och förlora sin giltighet om ändamålet inte längre föreligger eller så snart behandlingen av personuppgifter inte längre är nödvändig för det ändamål för vilket de ursprungligen samlades in. Verkställandet av ett avtal eller tillhandahållandet av en tjänst får inte villkoras med samtycke till behandling av uppgifter som inte är nödvändig för verkställandet av avtalet eller tillhandahållandet av tjänsten i enlighet med artikel 6.1 b. |
Ändringsförslag 102 Förslag till förordning Artikel 8 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Behandling av barns personuppgifter |
Behandling av barns personuppgifter |
|
1. Vid tillämpningen av denna förordning och när det gäller erbjudande av informationssamhällets tjänster direkt till ett barn, ska det endast vara tillåtet att behandla personuppgifter som rör ett barn som är under 13 år om och i den mån som samtycket ges eller godkänns av barnets förälder eller förmyndare. Den registeransvarige ska göra rimliga ansträngningar för att erhålla ett kontrollerbart samtycke, med hänsyn tagen till tillgänglig teknik. |
1. Vid tillämpningen av denna förordning och när det gäller erbjudande av varor eller tjänster direkt till ett barn ska det endast vara tillåtet att behandla personuppgifter som rör ett barn som är under 13 år om och i den mån som samtycket ges eller godkänns av barnets förälder eller vårdnadshavare. Den registeransvarige ska göra rimliga ansträngningar för att kontrollera detta samtycke, med hänsyn tagen till tillgänglig teknik och utan att det ger upphov till annars onödig behandling av personuppgifter. |
|
|
1a. Information som tillhandahålls barn, föräldrar och vårdnadshavare för samtyckesändamål, även avseende den registeransvariges insamling och användning av personuppgifter, bör vara klar och tydlig och språkligt anpassad till de avsedda mottagarna. |
|
2. Punkt 1 ska inte påverka den allmänna avtalsrätten i medlemsstaterna, såsom bestämmelser om giltigheten hos eller upprättandet eller effekten av ett avtal som gäller ett barn. |
2. Punkt 1 ska inte påverka den allmänna avtalsrätten i medlemsstaterna, såsom bestämmelser om giltigheten hos eller upprättandet eller effekten av ett avtal som gäller ett barn. |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för metoderna för att erhålla ett sådant kontrollerbart samtycke enligt punkt 1. Kommissionen ska därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag. |
3. Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis för metoderna för att kontrollera det samtycke som avses i punkt 1, i överensstämmelse med artikel 66. |
|
4. Kommissionen får fastställa standardformulär för specifika metoder för att erhålla ett sådant kontrollerbart samtycke enligt punkt 1. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
|
Ändringsförslag 103 Förslag till förordning Artikel 9 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Behandling av särskilda kategorier av personuppgifter |
Särskilda kategorier av uppgifter |
|
1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, och behandling av genetiska uppgifter eller uppgifter om hälsa eller sexualliv eller fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder är förbjuden. |
1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller livsåskådning, sexuell läggning eller könsidentitet eller medlemskap och verksamhet i fackförening, och behandling av genetiska eller biometriska uppgifter eller uppgifter om hälsa eller sexualliv eller administrativa sanktioner, domar, brott eller misstänkta brott, fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder är förbjuden. |
|
2. Punkt 1 ska inte gälla om något av följande villkor är uppfyllda: |
2. Punkt 1 ska inte gälla om något av följande villkor är uppfyllda: |
|
a) Den registrerade har lämnat sitt samtycke till behandlingen av dessa personuppgifter, på de villkor som anges i artiklarna 7 och 8, utom då unionslagstiftningen eller medlemsstaternas lagstiftning föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade. |
a) Den registrerade har lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller fler angivna ändamål, på de villkor som anges i artiklarna 7 och 8, utom då unionslagstiftningen eller medlemsstaternas lagstiftning föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade. |
|
|
aa) Behandlingen är nödvändig för att fullgöra eller verkställa ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. |
|
b) Behandlingen är nödvändig för att den registeransvarige ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten, i den omfattning detta är tillåtet enligt unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder. |
b) Behandlingen är nödvändig för att den registeransvarige ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten, i den omfattning detta är tillåtet enligt unionslagstiftningen eller en medlemsstats lagstiftning eller kollektivavtal som föreskriver lämpliga skyddsåtgärder som garanterar den registrerades grundläggande rättigheter och intressen, såsom rätten till icke-diskriminering, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 82. |
|
c) Behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke. |
c) Behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke. |
|
d) Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke. |
d) Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke. |
|
e) Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade. |
e) Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade. |
|
f) Behandlingen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk. |
f) Behandlingen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk. |
|
g) Behandlingen är nödvändig för att genomföra en arbetsuppgift som utförs i allmänhetens intresse, på grundval av unionslagstiftningen eller en medlemsstats lagstiftning som ska innehålla bestämmelser om lämpliga åtgärder för att säkerställa den registrerades berättigade intressen. |
g) Behandlingen är nödvändig för att genomföra en arbetsuppgift som utförs i ett viktigt allmänt intresse, på grundval av unionslagstiftningen eller en medlemsstats lagstiftning som ska stå i proportion till det eftersträvade syftet, respektera kärnan i rätten till uppgiftsskydd och innehålla bestämmelser om lämpliga åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. |
|
h) Behandlingen av uppgifter som rör hälsa är nödvändig för hälsoändamål och omfattas av de villkor och skyddsåtgärder som avses i artikel 81. |
h) Behandlingen av uppgifter som rör hälsa är nödvändig för hälsoändamål och omfattas av de villkor och skyddsåtgärder som avses i artikel 81. |
|
i) Behandlingen är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83. |
i) Behandlingen är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83. |
|
|
ia) Behandlingen är nödvändig för arkivtjänster med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83a. |
|
j) Behandlingen av uppgifter som rör fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder utförs antingen under kontroll av en officiell myndighet eller behandlingen är nödvändig för att fullgöra en förpliktelse i lagstiftning eller bestämmelser som den registeransvarige omfattas av, eller för att genomföra en arbetsuppgift som utförs för viktiga ändamål av allmänt intresse, i den mån som den bemyndigas av unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder. Ett fullständigt register över brottmålsdomar ska föras endast under kontroll av en myndighet. |
j) Behandlingen av uppgifter som rör administrativa sanktioner, domar, brott, fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder utförs antingen under kontroll av en officiell myndighet eller behandlingen är nödvändig för att fullgöra en förpliktelse i lagstiftning eller bestämmelser som den registeransvarige omfattas av, eller för att genomföra en arbetsuppgift som utförs för viktiga ändamål av allmänt intresse, i den mån som den bemyndigas av unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen. Alla register över brottmålsdomar ska föras endast under kontroll av en myndighet. |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna, villkoren och de lämpliga skyddsåtgärderna för behandlingen av de särskilda kategorier av personuppgifter som avses i punkt 1 och de undantag som fastställs i punkt 2. |
3. Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis för behandlingen av de särskilda kategorier av personuppgifter som avses i punkt 1 och de undantag som fastställs i punkt 2, i överensstämmelse med artikel 66. |
Ändringsförslag 104 Förslag till förordning Artikel 10 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Om de uppgifter som behandlas av en registeransvarig inte gör det möjligt för den registeransvarige att identifiera en fysisk person, ska den registeransvarige inte vara tvungen att erhålla ytterligare information för att identifiera den registrerade endast i syfte att iaktta någon av bestämmelserna i denna förordning. |
1. Om de uppgifter som behandlas av en registeransvarig inte gör det möjligt för den registeransvarige eller registerföraren att direkt eller indirekt identifiera en fysisk person, eller om det endast rör sig om pseudonymiserade uppgifter, ska den registeransvarige inte behandla eller inhämta ytterligare information för att identifiera den registrerade endast i syfte att iaktta någon av bestämmelserna i denna förordning. |
|
|
2. Om den registeransvarige inte kan iaktta en bestämmelse i denna förordning på grund av punkt 1 ska den registeransvarige inte vara skyldig att iaktta denna specifika bestämmelse i denna förordning. Om den registeransvarige som en följd av detta inte kan tillmötesgå en begäran från den registrerade ska vederbörande informera den registrerade om detta. |
Ändringsförslag 105 Förslag till förordning Artikel 10a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 10a |
|
|
Allmänna principer för registrerade personers rättigheter |
|
|
1. Grunden för uppgiftsskyddet är att den registrerade ska ha tydliga och entydiga rättigheter som ska respekteras av den registeransvarige. Bestämmelserna i denna förordning syftar till att stärka, förtydliga, garantera och vid behov lagfästa dessa rättigheter. |
|
|
2. Dessa rättigheter omfattar bland annat tillhandahållande av tydlig och lättbegriplig information om behandlingen av vederbörandes personuppgifter, rätten till tillgång till och rättelse och radering av vederbörandes uppgifter, rätten att erhålla uppgifter, rätten att invända mot profilering, rätten att lämna in klagomål till den behöriga dataskyddsmyndigheten och att väcka talan samt rätten till ersättning och skadestånd med anledning av otillåten behandling. Sådana rättigheter ska i allmänhet utövas kostnadsfritt. Den registeransvarige ska besvara begäranden från den registrerade inom rimlig tid. |
Ändringsförslag 106 Förslag till förordning Artikel 11 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige ska ha en klar och tydlig och lätt tillgänglig policy för behandlingen av personuppgifter och för utövandet av den registrerades rättigheter. |
1. Den registeransvarige ska ha en koncis, klar och tydlig och lätt tillgänglig policy för behandlingen av personuppgifter och för utövandet av den registrerades rättigheter. |
|
2. Den registeransvarige ska tillhandahålla all information och kommunikation som rör behandlingen av personuppgifter till den registrerade i en begriplig form, med användning av klart och tydligt språk, anpassat till den registrerade, i synnerhet för eventuell information särskilt riktad till barn. |
2. Den registeransvarige ska tillhandahålla all information och kommunikation som rör behandlingen av personuppgifter till den registrerade i en begriplig form, med användning av klart och tydligt språk, i synnerhet för eventuell information särskilt riktad till barn. |
Ändringsförslag 107 Förslag till förordning Artikel 12 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige ska inrätta förfaranden för att tillhandahålla den information som avses i artikel 14 och för de registrerades utövande av sina rättigheter i enlighet med artikel 13 och artiklarna 15–19. Den registeransvarige ska särskilt skapa rutiner för att underlätta begäran om de åtgärder som avses i artikel 13 och artiklarna 15–19. Om personuppgifter behandlas på automatisk väg ska den registeransvarige också skapa förutsättningar för att begäran ska kunna göras elektroniskt. |
1. Om personuppgifter behandlas på automatisk väg ska den registeransvarige om möjligt också skapa förutsättningar för att begäran ska kunna göras elektroniskt. |
|
2. Den registeransvarige ska utan dröjsmål och senast en månad efter att ha mottagit begäran underrätta den registrerade om huruvida åtgärder har vidtagits i enlighet med artikel 13 och artiklarna 15–19 samt tillhandahålla den information som begärts. Denna period får förlängas med ytterligare en månad, om flera registrerade utövar sina rättigheter och deras samarbete i rimlig utsträckning är nödvändigt för att förhindra en onödig och oproportionell ansträngning från den registeransvariges sida. Information ska ges skriftligt. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i elektronisk form, om den registrerade inte begär något annat. |
2. Den registeransvarige ska utan onödigt dröjsmål och senast 40 kalenderdagar efter att ha mottagit begäran underrätta den registrerade om huruvida åtgärder har vidtagits i enlighet med artikel 13 och artiklarna 15–19 samt tillhandahålla den information som begärts. Denna period får förlängas med ytterligare en månad, om flera registrerade utövar sina rättigheter och deras samarbete i rimlig utsträckning är nödvändigt för att förhindra en onödig och oproportionell ansträngning från den registeransvariges sida. Information ska ges skriftligt, och om möjligt får den registeransvarige erbjuda fjärråtkomst till ett säkert system där den registrerade får direkt tillgång till sina personuppgifter. Om den registrerade gör begäran i elektronisk form ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade inte begär något annat. |
|
3. Om den registeransvarige vägrar att vidta åtgärder på den registrerades begäran, ska den registeransvarige informera den registrerade om orsaken till vägran och om möjligheterna att lämna in ett klagomål till tillsynsmyndigheten och begära rättslig prövning. |
3. Om den registeransvarige inte vidtar åtgärder på den registrerades begäran, ska den registeransvarige informera den registrerade om orsaken till att inga åtgärder vidtas och om möjligheterna att lämna in ett klagomål till tillsynsmyndigheten och begära rättslig prövning. |
|
4. Den information och de åtgärder som vidtas på sådan begäran som avses i punkt 1 ska vara gratis. Om begäran är uppenbart orimlig, särskilt på grund av dess repetitiva karaktär, får den registeransvarige ta ut en avgift för att tillhandahålla den information eller vidta den åtgärd som begärts, och får om denna avgift inte betalas avstå från att vidta åtgärden. I så fall ska det åligga den registeransvarige att visa att begäran är uppenbart orimlig. |
4. Den information och de åtgärder som vidtas på sådan begäran som avses i punkt 1 ska vara gratis. Om begäran är uppenbart orimlig, särskilt på grund av dess repetitiva karaktär, får den registeransvarige ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts. I så fall ska det åligga den registeransvarige att visa att begäran är uppenbart orimlig. |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för en sådan uppenbart orimlig begäran och sådana avgifter som avses i punkt 4. |
|
|
6. Kommissionen får fastställa standardformulär och precisera standardförfaranden för den kommunikation som avses i punkt 2, inbegripet det elektroniska formatet. Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
|
Ändringsförslag 108 Förslag till förordning Artikel 13 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Rättigheter i fråga om mottagare |
Anmälningskrav vid rättelser och raderingar |
|
Den registeransvarige ska underrätta varje mottagare till vilken uppgifterna har lämnats ut om eventuella rättelser eller raderingar som utförts i enlighet med artiklarna 16 och 17, om inte detta visar sig vara omöjligt eller inbegripa en oproportionell ansträngning. |
Den registeransvarige ska underrätta varje mottagare till vilken uppgifterna har överförts om eventuella rättelser eller raderingar som utförts i enlighet med artiklarna 16 och 17, om inte detta visar sig vara omöjligt eller inbegripa en oproportionell ansträngning. Den registeransvarige ska informera den registrerade om dessa mottagare på den registrerades begäran. |
Ändringsförslag 109 Förslag till förordning Artikel 13a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 13a |
|
|
Standardiserade informationsstrategier |
|
|
1. Om personuppgifter som rör en registrerad person samlas in ska den registeransvarige ge den registrerade följande upplysningar innan information lämnas enligt artikel 14: |
|
|
a) Huruvida personuppgifter samlas in utöver vad som är strikt nödvändigt för varje specifikt ändamål med behandlingen. |
|
|
b) Huruvida personuppgifter bevaras utöver vad som är strikt nödvändigt för varje specifikt ändamål med behandlingen. |
|
|
c) Huruvida personuppgifter behandlas för andra ändamål än dem för vilka uppgifterna samlades in. |
|
|
d) Huruvida personuppgifter lämnas ut till kommersiella tredje parter. |
|
|
e) Huruvida personuppgifter säljs eller hyrs ut. |
|
|
f) Huruvida personuppgifter bevaras i krypterad form. |
|
|
2. De upplysningar som avses i punkt 1 ska presenteras i enlighet med bilaga X i anpassad tabellform, med text och symboler, i följande tre kolumner: |
|
|
a) Den första kolumnen ska innehålla grafiska former som symboliserar de enskilda upplysningarna. |
|
|
b) Den andra kolumnen ska innehålla grundläggande uppgifter om de enskilda upplysningarna. |
|
|
c) Den tredje kolumnen ska innehålla grafiska former som anger om en viss upplysning är tillämplig. |
|
|
3. Den information som avses i punkterna 1 och 2 ska presenteras på ett tydligt och lättläst sätt och vara avfattad på ett språk som lätt förstås av konsumenterna i de medlemsstater till vilka den lämnas. Om upplysningarna ges på elektronisk väg ska de vara maskinläsbara. |
|
|
4. Ytterligare upplysningar ska inte ges. Detaljerade förklaringar eller ytterligare kommentarer om de upplysningar som avses i punkt 1 får lämnas tillsammans med den övriga information som ska lämnas i enlighet med artikel 14. |
|
|
5. Kommissionen ska, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen, ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att närmare precisera de upplysningar som avses i punkt 1 och den presentation av dem som avses i punkt 2 och bilaga X. |
Ändringsförslag 110 Förslag till förordning Artikel 14 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Information till den registrerade |
Information till den registrerade |
|
1. Om personuppgifter som rör en registrerad person samlas in, ska den registeransvarige till den registrerade åtminstone lämna information om följande: |
1. Om personuppgifter som rör en registrerad person samlas in, ska den registeransvarige till den registrerade åtminstone lämna information om följande, efter att ha gett upplysningarna enligt artikel 13a: |
|
a) Identitet och kontaktuppgifter för den registeransvarige och, i förekommande fall, för dennes företrädare samt för uppgiftsskyddsombudet. |
a) Identitet och kontaktuppgifter för den registeransvarige och, i förekommande fall, för dennes företrädare samt för uppgiftsskyddsombudet. |
|
b) Ändamålen med den behandling för vilken personuppgifterna är avsedda, inbegripet förutsättningarna och de allmänna villkoren för avtalet när behandlingen grundar sig på artikel 6.1 b och den registeransvariges berättigade intressen när behandlingen grundar sig på artikel 6.1 f. |
b) Ändamålen med den behandling för vilken personuppgifterna är avsedda samt information om säkerheten vid behandling av personuppgifter, inbegripet förutsättningarna och de allmänna villkoren för avtalet när behandlingen grundar sig på artikel 6.1 b och, om tillämpligt, hur de förverkligar och uppfyller kraven i artikel 6.1 f. |
|
c) Den period under vilken personuppgifterna kommer att lagras. |
c) Den period under vilken personuppgifterna kommer att lagras eller, om det inte är möjligt, de kriterier som används för att fastställa denna period. |
|
d) Förekomsten av rättigheten att av den registeransvarige begära tillgång till och rättelse eller radering av de personuppgifter som rör den registrerade eller att invända mot behandlingen av sådana personuppgifter. |
d) Förekomsten av rättigheten att av den registeransvarige begära tillgång till och rättelse eller radering av de personuppgifter som rör den registrerade, att invända mot behandlingen av sådana personuppgifter eller att erhålla uppgifter. |
|
e) Rätten att inge klagomål till tillsynsmyndigheten, samt tillsynsmyndighetens kontaktuppgifter. |
e) Rätten att inge klagomål till tillsynsmyndigheten, samt tillsynsmyndighetens kontaktuppgifter. |
|
f) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna. |
f) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna. |
|
g) I tillämpliga fall, att den registeransvarige avser att överföra personuppgifterna till ett tredjeland eller en internationell organisation och nivån på det skydd som detta tredjeland eller denna internationella organisation kan erbjuda med hänvisning till ett beslut av kommissionen om adekvat skyddsnivå. |
g) I tillämpliga fall, att den registeransvarige avser att överföra uppgifterna till ett tredjeland eller en internationell organisation och att ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas, eller, när det gäller de överföringar som avses i artiklarna 42, 43 eller 44.1 h, att det finns lämpliga skyddsåtgärder och hur en kopia av dem kan erhållas. |
|
|
ga) I tillämpliga fall, information om förekomsten av profilering och av profileringsbaserade åtgärder samt information om de profileringseffekter på den registrerade som kan förutses. |
|
|
gb) Relevant information om logiken i all automatisk behandling. |
|
h) Eventuell ytterligare information som är nödvändig för att tillförsäkra den registrerade en korrekt behandling med hänsyn tagen till de särskilda omständigheter under vilka personuppgifterna samlas in. |
h) Eventuell ytterligare information som är nödvändig för att tillförsäkra den registrerade en korrekt behandling med hänsyn tagen till de särskilda omständigheter under vilka personuppgifterna samlas in eller behandlas, i synnerhet förekomsten av vissa inslag och insatser inom ramen för behandlingen vilka en konsekvensbedömning avseende skydd av personuppgifter har visat kan medföra en hög risk. |
|
|
ha) I tillämpliga fall, information om huruvida uppgifter har lämnats till myndigheter under den senaste sammanhängande tolvmånadersperioden. |
|
2. Om personuppgifterna samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om huruvida tillhandahållandet av personuppgifter är obligatoriskt eller frivilligt, samt om de möjliga följderna om sådana uppgifter inte lämnas. |
2. Om personuppgifterna samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om huruvida tillhandahållandet av personuppgifter är obligatoriskt eller frivilligt, samt om de möjliga följderna om sådana uppgifter inte lämnas. |
|
|
2a. Vid beslut om ytterligare information som är nödvändig för att behandlingen ska bli korrekt enligt punkt 1 h ska registeransvariga ta hänsyn till all relevant vägledning enligt artikel 38. |
|
3. Om personuppgifterna inte samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om var personuppgifterna har sitt ursprung. |
3. Om personuppgifterna inte samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om var de specifika personuppgifterna har sitt ursprung. Om personuppgifterna har sitt ursprung i offentligt tillgängliga källor får detta redovisas i form av en allmän angivelse. |
|
4. Den registeransvarige ska lämna den information som anges i punkterna 1, 2 och 3 |
4. Den registeransvarige ska lämna den information som anges i punkterna 1, 2 och 3 |
|
a) vid den tidpunkt när personuppgifterna erhålls från den registrerade, eller, |
a) vid den tidpunkt när personuppgifterna erhålls från den registrerade eller, om detta inte är möjligt, utan onödigt dröjsmål, eller |
|
|
aa) på begäran av en sådan organisation eller sammanslutning som avses i artikel 73, |
|
b) om personuppgifterna inte samlas in från den registrerade, vid tidpunkten för registreringen eller inom en rimlig period efter insamlingen, med hänsyn tagen till de särskilda omständigheter under vilka uppgifterna samlas in eller på annat sätt behandlas, eller, om det planeras att lämna ut uppgifterna till en annan mottagare, och senast när uppgifterna lämnas ut för första gången. |
b) om personuppgifterna inte samlas in från den registrerade, vid tidpunkten för registreringen eller inom en rimlig period efter insamlingen, med hänsyn tagen till de särskilda omständigheter under vilka uppgifterna samlas in eller på annat sätt behandlas, eller, om det planeras att överföra uppgifterna till en annan mottagare, och senast vid tidpunkten för den första överföringen, eller, om uppgifterna ska användas i kommunikation med den registrerade i fråga, senast vid tidpunkten för den första kommunikationen med den registrerade, eller, |
|
|
ba) endast på begäran om uppgifterna behandlas av ett litet företag eller ett mikroföretag som behandlar uppgifter enbart som en sidoverksamhet. |
|
5. Punkterna 1–4 ska inte tillämpas i följande fall: |
5. Punkterna 1–4 ska inte tillämpas i följande fall: |
|
a) Den registrerade har redan den information som anges i punkterna 1, 2 och 3. |
a) Den registrerade har redan den information som anges i punkterna 1, 2 och 3. |
|
b) Uppgifterna samlas inte in från den registrerade och tillhandahållandet av sådan information visar sig vara omöjligt eller skulle inbegripa en oproportionell ansträngning. |
b) Uppgifterna behandlas för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artiklarna 81 och 83, de samlas inte in från den registrerade, tillhandahållandet av sådan information visar sig vara omöjligt eller skulle inbegripa en oproportionell ansträngning och den registeransvarige har offentliggjort informationen så att den finns allmänt tillgänglig. |
|
c) Uppgifterna samlas inte in från den registrerade och registreringen eller utlämnandet fastställs uttryckligen i lagen. |
c) Uppgifterna samlas inte in från den registrerade och erhållandet eller utlämnandet fastställs uttryckligen i den lag som den registeransvarige omfattas av och som föreskriver lämpliga åtgärder för att skydda den registrerades berättigade intressen, med tanke på de risker som behandlingen av uppgifterna utgör och personuppgifternas karaktär. |
|
d) Uppgifterna samlas inte in från den registrerade och tillhandahållandet av sådan information kommer att ha en negativ inverkan på andras fri- och rättigheter, såsom fastställs i unionslagstiftningen eller medlemsstatens lagstiftning i enlighet med artikel 21. |
d) Uppgifterna samlas inte in från den registrerade och tillhandahållandet av sådan information kommer att ha en negativ inverkan på andra fysiska personers fri- och rättigheter, såsom fastställs i unionslagstiftningen eller medlemsstatens lagstiftning i enlighet med artikel 21. |
|
|
da) Uppgifterna behandlas av, anförtros åt eller blir kända för en yrkesutövare som omfattas av tystnadsplikt enligt unionens eller en medlemsstats lagstiftning eller av andra lagstadgade sekretessförpliktelser, såvida inte uppgifterna samlas in direkt från den registrerade. |
|
6. I det fall som avses i punkt 5 b ska den registeransvarige vidta lämpliga åtgärder för att skydda den registrerades berättigade intressen. |
6. I det fall som avses i punkt 5 b ska den registeransvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter eller berättigade intressen. |
|
7. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna för de kategorier av mottagare som anges i punkt 1 f, de krav på meddelandet om möjlig tillgång som anges i punkt 1 g, kriterierna för den ytterligare nödvändiga information som anges i punkt 1 h för särskilda sektorer och situationer samt villkoren och de lämpliga skyddsåtgärderna vid undantag enligt punkt 5 b. Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag. |
|
|
8. Kommissionen får fastställa standardformulär för tillhandahållandet av den information som anges i punkterna 1–3, med hänsyn till de särskilda kännetecknen för och behoven inom särskilda sektorer och situationer vid behandlingen av personuppgifter när så krävs. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
|
Ändringsförslag 111 Förslag till förordning Artikel 15 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Den registrerades rätt till tillgång |
Den registrerades rätt till tillgång och rätt att erhålla uppgifter |
|
1. Den registrerade ska ha rätt att av den registeransvarige när som helst på begäran få bekräftelse på huruvida personuppgifter som rör den registrerade håller på att behandlas. Om sådana personuppgifter håller på att behandlas ska den registeransvarige tillhandahålla följande information: |
1. Med förbehåll för artikel 12.4 ska den registrerade ha rätt att av den registeransvarige när som helst på begäran få bekräftelse på huruvida personuppgifter som rör den registrerade håller på att behandlas samt i klar och lättbegriplig form följande information: |
|
a) Ändamålen med behandlingen. |
a) Ändamålen med behandlingen för varje kategori av personuppgifter. |
|
b) De kategorier av personuppgifter som behandlingen gäller. |
b) De kategorier av personuppgifter som behandlingen gäller. |
|
c) De mottagare eller kategorier av mottagare till vilka personuppgifterna ska lämnas ut eller har lämnats ut, särskilt mottagare i tredjeländer. |
c) De mottagare till vilka personuppgifterna ska lämnas ut eller har lämnats ut, inklusive mottagare i tredjeländer. |
|
d) Den period under vilken personuppgifterna kommer att lagras. |
d) Den period under vilken personuppgifterna kommer att lagras eller, om det inte är möjligt, de kriterier som används för att fastställa denna period. |
|
e) Förekomsten av rättigheten att av den registeransvarige begära rättelse eller radering av personuppgifter som rör den registrerade eller att invända mot behandlingen av sådana personuppgifter. |
e) Förekomsten av rättigheten att av den registeransvarige begära rättelse eller radering av personuppgifter som rör den registrerade eller att invända mot behandlingen av sådana personuppgifter. |
|
f) Rätten att inge klagomål till tillsynsmyndigheten, samt tillsynsmyndighetens kontaktuppgifter. |
f) Rätten att inge klagomål till tillsynsmyndigheten, samt tillsynsmyndighetens kontaktuppgifter. |
|
g) Information om vilka personuppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer. |
|
|
h) Betydelsen och de förutsedda följderna av sådan behandling, åtminstone när det rör sig om de åtgärder som anges i artikel 20. |
h) Betydelsen och de förutsedda följderna av sådan behandling. |
|
|
ha) Relevant information om logiken i all automatisk behandling. |
|
|
hb) Utan att det påverkar tillämpningen av artikel 21, i fall av utlämnande av personuppgifter till en myndighet på en myndighets begäran, bekräftelse av att en sådan begäran gjorts. |
|
2. Den registrerade ska ha rätt att av den registeransvarige erhålla information om de personuppgifter som håller på att behandlas. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i elektronisk form, om den registrerade inte begär något annat. |
2. Den registrerade ska ha rätt att av den registeransvarige erhålla information om de personuppgifter som håller på att behandlas. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt och strukturerat format, om den registrerade inte begär något annat. Utan att det påverkar tillämpningen av artikel 10 ska den registeransvarige vidta alla rimliga åtgärder för att kontrollera att den person som begär tillgång till uppgifterna är den registrerade. |
|
|
2a. Om den registrerade har lämnat personuppgifterna och de behandlas på elektronisk väg ska den registrerade ha rätt att av den registeransvarige erhålla en kopia av de lämndade personuppgifterna i ett elektroniskt och interoperabelt format som är allmänt använt och som den registrerade kan fortsätta att använda, utan att hindras av den registeransvarige från vilken personuppgifterna hämtas. Om det är tekniskt möjligt och om en sådan lösning finns att tillgå ska uppgifterna överföras direkt från registeransvarig till registeransvarig på begäran av den registrerade. |
|
|
2b. Denna artikel ska inte påverka skyldigheten att radera uppgifter när de inte längre är nödvändiga enligt artikel 5 e. |
|
|
2c. Rätt till tillgång enligt punkterna 1 och 2 får inte medges för uppgifter i den mening som avses i artikel 14.5 da, förutom om den registrerade har rätt att häva den aktuella sekretessen och gör detta. |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den information till den registrerade om innehållet i personuppgifter som avses i punkt 1 g. |
|
|
4. Kommissionen får specificera standardformulär och förfaranden för att begära och bevilja tillgång till den information som avses i punkt 1, inbegripet för kontroll av den registrerades identitet och kommunikation av personuppgifterna till den registrerade, med hänsyn till de särskilda egenskaperna och behoven inom olika sektorer och situationer vid behandlingen av personuppgifter. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
|
Ändringsförslag 112 Förslag till förordning Artikel 17 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Rätt att bli bortglömd och till radering |
Rätt till radering |
|
1. Den registrerade ska ha rätt att av den registeransvarige utverka att personuppgifter som rör vederbörande raderas och att man avstår från ytterligare spridning av sådana uppgifter, särskilt när det gäller personuppgifter som gjordes tillgängliga av den registrerade när vederbörande var barn, och där en av följande grunder är tillämpliga: |
1. Den registrerade ska ha rätt att av den registeransvarige och registerföraren utverka att personuppgifter som rör vederbörande raderas och att man avstår från ytterligare spridning av sådana uppgifter, och att av tredje parter utverka att eventuella länkar till eller kopior eller reproduktioner av uppgifterna raderas, om en av följande grunder är tillämpliga: |
|
a) Uppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats. |
a) Uppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats. |
|
b) Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a, eller om en lagringsperiod för vilken samtycke har lämnats har löpt ut, och om det inte finns någon annan rättslig grund för behandlingen av uppgifterna. |
b) Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a, eller om en lagringsperiod för vilken samtycke har lämnats har löpt ut, och om det inte finns någon annan rättslig grund för behandlingen av uppgifterna. |
|
c) Den registrerade invänder mot behandlingen av personuppgifter enligt artikel 19. |
c) Den registrerade invänder mot behandlingen av personuppgifter enligt artikel 19. |
|
|
ca) De berörda uppgifterna ska raderas enligt ett lagakraftvunnet avgörande från en domstol eller en regleringsmyndighet i unionen. |
|
d) Behandlingen av uppgifterna uppfyller inte villkoren i denna förordning av andra skäl. |
d) Uppgifterna har behandlats på ett otillåtet sätt. |
|
|
1a. Tillämpningen av punkt 1 ska vara beroende av förmågan hos den registeransvarige att kontrollera att den person som begär raderingen är den registrerade. |
|
2. Om den registeransvarige som avses i punkt 1 har offentliggjort personuppgifterna ska vederbörande vidta alla rimliga åtgärder, inbegripet tekniska åtgärder, avseende uppgifter för vars offentliggörande den registeransvarige är ansvarig, för att underrätta tredje parter som håller på att behandla sådana uppgifter om att en registrerad begär att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter. Om den registeransvarige har gett en tredje part befogenhet att offentliggöra personuppgifter ska den registeransvarige anses vara ansvarig för detta offentliggörande. |
2. Om den registeransvarige som avses i punkt 1 har offentliggjort personuppgifterna utan en motivering enligt artikel 6.1 ska vederbörande vidta alla rimliga åtgärder för att få uppgifterna raderade, även genom en tredje parts försorg, utan att det påverkar tillämpningen av artikel 77. Den registeransvarige ska om möjligt informera den registrerade om den åtgärd som vidtagits av tredje parten i fråga. |
|
3. Den registeransvarige ska genomföra raderingen utan dröjsmål, utom i den utsträckning som det är nödvändigt att bevara personuppgifterna av följande skäl: |
3. Den registeransvarige och i tillämpliga fall den tredje parten ska genomföra raderingen utan dröjsmål, utom i den utsträckning som det är nödvändigt att bevara personuppgifterna av följande skäl: |
|
a) För att utöva rätten till yttrandefrihet enligt artikel 80. |
a) För att utöva rätten till yttrandefrihet enligt artikel 80. |
|
b) Av viktiga skäl av allmänt intresse på folkhälsoområdet enligt artikel 81. |
b) Av viktiga skäl av allmänt intresse på folkhälsoområdet enligt artikel 81. |
|
c) För historiska, statistiska eller vetenskapliga forskningsändamål enligt artikel 83. |
c) För historiska, statistiska eller vetenskapliga forskningsändamål enligt artikel 83. |
|
d) För att iaktta en rättslig förpliktelse att bevara personuppgifter enligt unionslagstiftningen eller enligt en medlemsstats lagstiftning som den registeransvarige lyder under; medlemsstaternas lagstiftning ska uppfylla ett mål av allmänt intresse, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas. |
d) För att iaktta en rättslig förpliktelse att bevara personuppgifter enligt unionslagstiftningen eller enligt en medlemsstats lagstiftning som den registeransvarige lyder under; medlemsstaternas lagstiftning ska uppfylla ett mål av allmänt intresse, respektera rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas. |
|
e) I de fall som avses i punkt 4. |
e) I de fall som avses i punkt 4. |
|
4. Istället för radering ska den registeransvarige begränsa behandlingen av personuppgifter om |
4. I stället för radering ska den registeransvarige begränsa behandlingen av personuppgifter på ett sådant sätt att uppgifterna inte omfattas av de normala förfarandena för tillgång och behandling och inte längre kan ändras om |
|
a) den registrerade bestrider deras korrekthet, under en tid som ger den registeransvarige möjlighet att kontrollera om personuppgifterna är korrekta, |
a) den registrerade bestrider deras korrekthet, under en tid som ger den registeransvarige möjlighet att kontrollera om personuppgifterna är korrekta, |
|
b) den registeransvarige inte längre behöver personuppgifterna för att fullgöra sin arbetsuppgift men de måste bevaras för bevisändamål, |
b) den registeransvarige inte längre behöver personuppgifterna för att fullgöra sin arbetsuppgift men de måste bevaras för bevisändamål, |
|
c) behandlingen är olaglig och den registrerade motsätter sig att de raderas och i stället begär en begränsning av deras användning, |
c) behandlingen är olaglig och den registrerade motsätter sig att de raderas och i stället begär en begränsning av deras användning, |
|
|
ca) behandlingen av de berörda uppgifterna ska begränsas enligt ett lagakraftvunnet avgörande från en domstol eller en regleringsmyndighet i unionen, |
|
d) den registrerade begär att personuppgifterna ska överföras till ett annat system för automatisk behandling enligt artikel 18.2. |
d) den registrerade begär att personuppgifterna ska överföras till ett annat system för automatisk behandling enligt artikel 15.2a, |
|
|
da) den specifika typen av lagringsteknik inte medger radering och installerades före denna förordnings ikraftträdande. |
|
5. Sådana personuppgifter som avses i punkt 4 får, med undantag för lagring, endast behandlas för bevisändamål, eller med den registrerades samtycke, eller för att skydda en annan fysisk eller juridisk persons rättigheter, eller för ett mål av allmänt intresse. |
5. Sådana personuppgifter som avses i punkt 4 får, med undantag för lagring, endast behandlas för bevisändamål, eller med den registrerades samtycke, eller för att skydda en annan fysisk eller juridisk persons rättigheter, eller för ett mål av allmänt intresse. |
|
6. Om behandlingen av personuppgifter är begränsad enligt punkt 4 ska den registeransvarige underrätta den registrerade innan vederbörande häver begränsningen på behandlingen. |
6. Om behandlingen av personuppgifter är begränsad enligt punkt 4 ska den registeransvarige underrätta den registrerade innan vederbörande häver begränsningen på behandlingen. |
|
7. Den registeransvarige ska införa rutiner för att se till att de tidsgränser som införts för raderingen av personuppgifter och/eller för en periodisk översyn av behovet att lagra uppgifter iakttas. |
|
|
8. Om raderingen genomförs ska den registeransvarige inte på annat sätt behandla sådana personuppgifter. |
8. Om raderingen genomförs ska den registeransvarige inte på annat sätt behandla sådana personuppgifter. |
|
|
8a. Den registeransvarige ska införa rutiner för att se till att de tidsgränser som införts för raderingen av personuppgifter och/eller för en periodisk översyn av behovet att lagra uppgifter iakttas. |
|
9. Kommissionen ska ha befogenhet att anta delegerade akter i enlighet med artikel 86 i syfte att närmare precisera |
9. Kommissionen ska, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen, ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att närmare precisera |
|
a) kriterierna och kraven för tillämpningen av punkt 1 i fråga om särskilda sektorer och i särskilda situationer vid behandlingen av personuppgifter, |
a) kriterierna och kraven för tillämpningen av punkt 1 i fråga om särskilda sektorer och i särskilda situationer vid behandlingen av personuppgifter, |
|
b) de villkor för att stryka länkar, kopior eller reproduktioner av personuppgifter från allmänt tillgängliga kommunikationstjänster enligt punkt 2, |
b) de villkor för att stryka länkar, kopior eller reproduktioner av personuppgifter från allmänt tillgängliga kommunikationstjänster enligt punkt 2, |
|
c) de kriterier och villkor för att begränsa behandlingen av personuppgifter som anges i punkt 4. |
c) de kriterier och villkor för att begränsa behandlingen av personuppgifter som anges i punkt 4. |
Ändringsförslag 113 Förslag till förordning Artikel 18 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Rätt till uppgiftsportabilitet |
utgår |
|
1. Om personuppgifter behandlas på elektronisk väg och i ett strukturerat och allmänt använt format, ska den registrerade ha rätt att av den registeransvarige erhålla en kopia av de uppgifter som håller på att behandlas i ett elektroniskt och strukturerat format som är allmänt använt och som den registrerade kan fortsätta att använda. |
|
|
2. Om den registrerade har tillhandahållit personuppgifterna och behandlingen grundar sig på samtycke eller ett avtal, ska den registrerade ha rätt att överföra dessa personuppgifter och eventuell övrig information som tillhandahållits av den registrerade och bevarats i ett system för automatisk behandling, till ett annat system, i ett elektroniskt format som är allmänt använt, utan att hindras av den registeransvarige från vilken personuppgifterna återkallas. |
|
|
3. Kommissionen får specificera det elektroniska format som avses i punkt 1 samt de tekniska standarderna, villkoren och förfarandena för överföringen av personuppgifter enligt punkt 2. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
|
Ändringsförslag 114 Förslag till förordning Artikel 19 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Rätt att göra invändningar |
Rätt att göra invändningar |
|
1. Den registrerade ska, av skäl som hänför sig till vederbörandes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter som grundar sig på artikel 6.1 d, e och f, om inte den registeransvarige visar på avgörande och berättigade skäl för behandlingen som väger tyngre än den registrerades intressen eller grundläggande fri- och rättigheter. |
1. Den registrerade ska ha rätt att när som helst göra invändningar mot behandling av personuppgifter som grundar sig på artikel 6.1 d och e, om inte den registeransvarige visar på avgörande och berättigade skäl för behandlingen som väger tyngre än den registrerades intressen eller grundläggande fri- och rättigheter. |
|
2. Om personuppgifterna behandlas för direkt marknadsföring, ska den registrerade ha rätt att kostnadsfritt invända mot behandlingen av sina personuppgifter för sådan marknadsföring. Denna rätt ska uttryckligen erbjudas den registrerade på ett begripligt sätt och ska vara tydligt åtskiljbar från övrig information. |
2. Om behandlingen av personuppgifter grundar sig på artikel 6.1 f ska den registrerade ha rätt att när som helst och utan ytterligare motivering – i allmänhet eller av något specifikt skäl – kostnadsfritt invända mot behandlingen av sina personuppgifter. |
|
|
2a. Den rätt som avses i punkt 2 ska uttryckligen erbjudas den registrerade på ett begripligt sätt och i begriplig form med användning av ett klart och enkelt språk, i synnerhet om erbjudandet riktas specifikt till ett barn, och ska vara tydligt åtskiljbar från övrig information. |
|
|
2b. När det gäller användning av informationssamhällets tjänster, och utan hinder av vad som sägs i direktiv 2002/58/EG, får rätten att göra invändningar utövas på automatisk väg med användning av en teknisk standard som gör det möjligt för den registrerade att tydligt uttrycka sin vilja. |
|
3. Om en invändning godtas enligt punkt 1 och 2, ska den registeransvarige inte längre använda eller på annat sätt behandla de berörda personuppgifterna. |
3. Om en invändning godtas enligt punkt 1 och 2, ska den registeransvarige inte längre använda eller på annat sätt behandla de berörda personuppgifterna för de ändamål som anges i invändningen. |
(Den sista meningen i punkt 2 i kommissionens text har blivit punkt 2a i parlamentets ändringsförslag.) | |
Ändringsförslag 115 Förslag till förordning Artikel 20 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Åtgärder på grundval av profilering |
Profilering |
|
1. Varje fysisk person ska ha rätt att inte omfattas av en åtgärd som har rättsliga följder för vederbörande eller märkbart påverkar vederbörande, och som enbart grundas på automatisk behandling som är avsedd att bedöma vissa personliga egenskaper hos vederbörande eller att analysera eller förutsäga i synnerhet vederbörandes arbetsprestationer, ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende. |
1. Utan att det påverkar tillämpningen av bestämmelserna i artikel 6 ska varje fysisk person ha rätt att göra invändningar mot profilering i enlighet med artikel 19. Den registrerade ska informeras om rätten att göra invändningar mot profilering på ett mycket tydligt sätt. |
|
2. Om inte annat följer av övriga bestämmelser i denna förordning får en person omfattas av en åtgärd av den typ som avses i punkt 1 endast om behandlingen |
2. Om inte annat följer av övriga bestämmelser i denna förordning får en person omfattas av profilering som leder till åtgärder som har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar den berörda registrerades intressen, rättigheter eller friheter endast om behandlingen |
|
a) utförs som ett led i ingåendet eller fullgörandet av ett avtal, om den registrerades begäran om ingående eller fullgörande av avtalet har bifallits eller om lämpliga åtgärder för att skydda den registrerades berättigade intressen, exempelvis rätten att få till stånd mänsklig medverkan, har vidtagits, eller |
a) är nödvändig för ingåendet eller fullgörandet av ett avtal, om den registrerades begäran om ingående eller fullgörande av avtalet har bifallits, under förutsättning att lämpliga åtgärder för att skydda den registrerades berättigade intressen, exempelvis rätten att få till stånd mänsklig medverkan, har vidtagits, eller |
|
b) uttryckligen tillåts enligt unionslagstiftningen eller en medlemsstats lagstiftning där det också fastställs lämpliga åtgärder till skydd för den registrerades berättigade intressen, eller |
b) uttryckligen tillåts enligt unionslagstiftningen eller en medlemsstats lagstiftning där det också fastställs lämpliga åtgärder till skydd för den registrerades berättigade intressen, eller |
|
c) grundar sig på den registrerades samtycke, på de villkor som fastställs i artikel 7 och under förutsättning att lämpliga skyddsåtgärder har införts. |
c) grundar sig på den registrerades samtycke, på de villkor som fastställs i artikel 7 och under förutsättning att lämpliga skyddsåtgärder har införts. |
|
3. Automatisk behandling av personuppgifter i syfte att bedöma vissa personliga aspekter hos en fysisk person får inte enbart grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9. |
3. Profilering som medför diskriminering av enskilda personer på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, sexuell läggning eller könsidentitet, eller som leder till åtgärder med denna verkan, ska vara förbjuden. Den registeransvarige ska vidta effektiva skyddsåtgärder mot eventuell diskriminering till följd av profilering. Profilering får inte enbart grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9. |
|
4. I de fall som anges i punkt 2 ska den information som ska lämnas av den registeransvarige enligt artikel 14 inbegripa information om förekomsten av behandling för en åtgärd av den typ som anges i punkt 1 och de förutsedda effekterna av sådan behandling på den registrerade. |
|
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för sådana lämpliga åtgärder för att skydda den registrerades berättigade intressen som avses i punkt 2. |
5. Profilering som leder till åtgärder som har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar den berörda registrerades intressen, rättigheter eller friheter får inte grundas enbart eller till största delen på automatisk behandling, och den ska inbegripa personlig bedömning, inklusive en förklaring av det beslut som fattats efter en sådan bedömning. De lämpliga åtgärder för att skydda den registrerades berättigade intressen som avses i punkt 2 ska inbegripa rätten till personlig bedömning och en förklaring av det beslut som fattats efter en sådan bedömning. |
|
|
5a. Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med artikel 66.1 b för att närmare precisera kriterierna och villkoren för profilering enligt punkt 2. |
Ändringsförslag 116 Förslag till förordning Artikel 21 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Begränsningar |
Begränsningar |
|
1. Det ska vara möjligt att i unionslagstiftningen eller medlemsstaternas lagstiftning införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 5 a–e, artiklarna 11–20 och artikel 32, om en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att garantera |
1. Det ska vara möjligt att i unionslagstiftningen eller medlemsstaternas lagstiftning införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 11–19 och artikel 32, om en sådan begränsning uppfyller ett tydligt definierat mål av allmänt intresse, respekterar det väsentliga innehållet i rätten till skydd av personuppgifter, står i proportion till det berättigade mål som eftersträvas samt respekterar den registrerades grundläggande rättigheter och intressen och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att garantera |
|
a) den allmänna säkerheten, |
a) den allmänna säkerheten, |
|
b) förebyggande, utredning, avslöjande och lagföring av brott, |
b) förebyggande, utredning, avslöjande och lagföring av brott, |
|
c) andra av unionens eller en medlemsstats allmänna intressen, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor och skydd av marknadens stabilitet och integritet, |
c) skattefrågor, |
|
d) förebyggande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken, |
d) förebyggande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken, |
|
e) en tillsyns-, inspektions- eller regleringsfunktion som, även om den är av övergående karaktär, är förbunden med myndighetsutövning i de i led a, b, c och d nämnda fallen, |
e) en tillsyns-, inspektions- eller regleringsfunktion inom ramen för behörig myndighetsutövning i de i leden a, b, c och d avsedda fallen, |
|
f) skydd av den registrerade eller andras fri- och rättigheter. |
f) skydd av den registrerade eller andras fri- och rättigheter. |
|
2. I synnerhet ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla särskilda bestämmelser åtminstone avseende målen för behandlingen och fastställandet av den registeransvarige. |
2. I synnerhet ska alla lagstiftningsåtgärder som avses i punkt 1 vara nödvändiga och proportionella i ett demokratiskt samhälle och innehålla särskilda bestämmelser åtminstone avseende |
|
|
a) målen för behandlingen, |
|
|
b) fastställandet av den registeransvarige, |
|
|
c) de specifika ändamålen med och metoderna för behandlingen, |
|
|
d) garantierna för att förhindra missbruk och otillåten tillgång eller överföring, |
|
|
e) de registrerades rätt att bli informerade om begränsningen. |
|
|
2a. De lagstiftningsåtgärder som avses i punkt 1 ska varken tillåta eller ålägga privata registeransvariga att bevara andra uppgifter än sådana uppgifter som är strikt nödvändiga för det ursprungliga ändamålet. |
(De avslutande orden i punkt 2 i kommissionens förslag har blivit leden a och b i parlamentets ändringsförslag.) | |
Ändringsförslag 117 Förslag till förordning Artikel 22 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Den registeransvariges ansvar |
Den registeransvariges ansvar och ansvarsskyldighet |
|
1. Den registeransvarige ska anta policyer och genomföra lämpliga åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med denna förordning. |
1. Den registeransvarige ska anta lämpliga policyer och genomföra lämpliga och påvisbara tekniska och organisatoriska åtgärder för att säkerställa och kunna visa klart och tydligt att behandlingen av personuppgifter utförs i enlighet med denna förordning, med beaktande av dagens tillgängliga teknik, typen av personuppgiftsbehandling, sammanhanget för, omfattningen på och ändamålen med behandlingen, riskerna för de registrerades rättigheter och friheter samt typen av organisation, både vid tidpunkten för fastställandet av behandlingsmetoden och vid tidpunkten för själva behandlingen. |
|
|
1a. Med beaktande av dagens tillgängliga teknik och genomförandekostnaden ska den registeransvarige vidta alla rimliga åtgärder för att genomföra policyer och rutiner för efterlevnad vilka utan undantag respekterar de registrerades autonoma val. Dessa policyer för efterlevnad ska ses över minst vartannat år och uppdateras vid behov. |
|
2. De åtgärder som nämns i punkt 1 ska särskilt avse att |
|
|
a) förvara dokumentationen enligt artikel 28, |
|
|
b) genomföra de krav på datasäkerhet som fastställs i artikel 30, |
|
|
c) genomföra en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33, |
|
|
d) uppfylla kraven på förhandstillstånd eller förhandssamråd med tillsynsmyndigheten enligt artikel 34.1 och 34.2, |
|
|
e) utse en datatillsynsman enligt artikel 35.1. |
|
|
3. Den registeransvarige ska införa rutiner för att säkerställa kontrollen av att de åtgärder som anges i punkterna 1 och 2 är verkningsfulla. Om det är proportionellt, ska denna kontroll utföras av oberoende interna eller externa granskare. |
3. Den registeransvarige ska kunna visa att de åtgärder som anges i punkterna 1 och 2 är adekvata och verkningsfulla. Eventuella regelbundna allmänna rapporter om den registeransvariges verksamhet, såsom de obligatoriska rapporterna från noterade företag, ska innehålla en sammanfattande beskrivning av de policyer och åtgärder som avses i punkt 1. |
|
|
3a. Den registeransvarige ska ha rätt att överföra personuppgifter i unionen inom den företagsgrupp som den registeransvarige är en del av, om sådan behandling är nödvändig för berättigade interna administrativa ändamål mellan sammankopplade affärsområden för företagsgruppen och om en adekvat skyddsnivå för personuppgifter samt respekt för de registrerades intressen garanteras genom interna uppgiftsskyddsbestämmelser eller motsvarande uppförandekodexar i enlighet med artikel 38. |
|
4. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att precisera eventuella ytterligare kriterier och krav för de lämpliga åtgärder som avses i punkt 1 utöver dem som redan angetts i punkt 2, villkoren för de kontroll- och granskningsrutiner som avses i punkt 3 och när det gäller kriterierna för proportionalitet enligt punkt 3, samt med hänsyn till särskilda åtgärder för mikroföretag och små och medelstora företag. |
|
Ändringsförslag 118 Förslag till förordning Artikel 23 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Inbyggt uppgiftsskydd och uppgiftsskydd som standard |
Inbyggt uppgiftsskydd och uppgiftsskydd som standard |
|
1. Med beaktande av dagens tillgängliga teknik och genomförandekostnaden ska den registeransvarige, både vid tidpunkten för fastställandet av behandlingsmetoden och vid tidpunkten för själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter. |
1. Med beaktande av dagens tillgängliga teknik, aktuell teknisk kunskap, internationell bästa praxis och de risker som uppgiftsbehandling medför ska den registeransvarige och i förekommande fall registerföraren, både vid tidpunkten för fastställandet av ändamålen med behandlingen och behandlingsmetoden och vid tidpunkten för själva behandlingen, genomföra lämpliga och proportionella tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter, särskilt med hänsyn till de principer som fastställs i artikel 5. Vid inbyggt uppgiftsskydd ska hela livscykelhanteringen av personuppgifter beaktas, från insamling och behandling till radering, med systematisk inriktning på omfattande rättssäkerhetsgarantier för korrekthet, konfidentialitet, integritet, fysisk säkerhet och radering av personuppgifter. Om den registeransvarige har utfört en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33 ska resultaten av bedömningen beaktas i utarbetandet av dessa åtgärder och förfaranden. |
|
|
1a. I syfte att främja en utbredd användning inom olika ekonomiska sektorer ska inbyggt uppgiftsskydd vara en förutsättning för offentliga upphandlingar i enlighet med Europaparlamentets och rådets direktiv 2004/18/EG1 och Europaparlamentets och rådets direktiv 2004/17/EG2 (försörjningsdirektivet). |
|
2. Den registeransvarige ska införa rutiner för att se till att, i standardfallet, endast de personuppgifter behandlas som är nödvändiga för varje specifikt ändamål med behandlingen, och särskilt att de inte samlas in eller bevaras utöver vad som är strikt nödvändigt för dessa ändamål, både i fråga om antalet uppgifter och tidpunkten för deras lagring. Dessa rutiner ska i synnerhet säkerställa att personuppgifter i standardfallet inte görs tillgängliga till ett obegränsat antal enskilda. |
2. Den registeransvarige ska se till att, i standardfallet, endast de personuppgifter behandlas som är nödvändiga för varje specifikt ändamål med behandlingen, och särskilt att de inte samlas in, bevaras eller lämnas ut utöver vad som är strikt nödvändigt för dessa ändamål, i fråga om både antalet uppgifter och tidpunkten för deras lagring. Dessa rutiner ska i synnerhet säkerställa att personuppgifter i standardfallet inte görs tillgängliga för ett obegränsat antal enskilda och att de registrerade kan kontrollera spridningen av sina personuppgifter. |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 för att precisera eventuella ytterligare kriterier och krav för sådana lämpliga åtgärder och rutiner som avses i punkt 1 och 2, särskilt när det gäller krav på inbyggt uppgiftsskydd som är tillämpliga över sektorer, produkter och tjänster. |
|
|
4. Kommissionen får fastställa tekniska standarder för de krav som fastställs i punkterna 1 och 2. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
|
|
|
1 Europaparlamentets och Rådets direktiv 2004/18/EG av den 31 mars 2004 om samordning av förfarandena vid offentlig upphandling av byggentreprenader, varor och tjänster (EUT L 134, 30.4.2004, s. 114). 2 Europaparlamentets och Rådets direktiv 2004/17/EG av den 31 mars 2004 om samordning av förfarandena vid upphandling på områdena vatten, energi, transporter och posttjänster (EUT L 134, 30.4.2004, s. 1). |
Ändringsförslag 119 Förslag till förordning Artikel 24 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Gemensamma registeransvariga |
Gemensamma registeransvariga |
|
Om en registeransvarig fastställer ändamålen, villkoren och medlen för behandlingen av personuppgifter tillsammans med andra ska de gemensamma registeransvariga fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt avseende förfarandena och rutinerna för den registrerades utövande av sina rättigheter, genom ett arrangemang som de enas om sinsemellan. |
Om flera registeransvariga gemensamt fastställer ändamålen och medlen för behandlingen av personuppgifter ska de gemensamma registeransvariga fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt avseende förfarandena och rutinerna för den registrerades utövande av sina rättigheter, genom ett arrangemang som de enas om sinsemellan. Arrangemanget ska vederbörligen återspegla de gemensamma registeransvarigas respektive roller och förhållanden gentemot registrerade, och det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade. I fall av oklar ansvarsfördelning ska var och en av de registeransvariga vara solidariskt ansvariga. |
Ändringsförslag 120 Förslag till förordning Artikel 25 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Företrädare för registeransvariga som inte är etablerade i unionen |
Företrädare för registeransvariga som inte är etablerade i unionen |
|
1. I den situation som avses i artikel 3.2 ska den registeransvarige utse en företrädare i unionen. |
1. I den situation som avses i artikel 3.2 ska den registeransvarige utse en företrädare i unionen. |
|
2. Denna skyldighet ska inte gälla |
2. Denna skyldighet ska inte gälla |
|
a) en registeransvarig som är etablerad i ett tredjeland om kommissionen har beslutat att tredjelandet garanterar en adekvat skyddsnivå i enlighet med artikel 41, eller |
a) en registeransvarig som är etablerad i ett tredjeland om kommissionen har beslutat att tredjelandet garanterar en adekvat skyddsnivå i enlighet med artikel 41, eller |
|
b) ett företag med färre än 250 anställda, eller |
b) en registeransvarig som behandlar uppgifter som gäller färre än 5 000 registrerade under en sammanhängande period på 12 månader och inte behandlar särskilda kategorier av personuppgifter i enlighet med artikel 9.1, lokaliseringsuppgifter eller uppgifter om barn eller anställda i storskaliga register, eller |
|
c) en offentlig myndighet eller ett offentligt organ, eller |
c) en offentlig myndighet eller ett offentligt organ, eller |
|
d) en registeransvarig som endast sporadiskt erbjuder varor eller tjänster till registrerade som är bosatta i unionen. |
d) en registeransvarig som endast sporadiskt erbjuder varor eller tjänster till registrerade i unionen, såvida inte behandlingen av personuppgifter gäller särskilda kategorier av personuppgifter i enlighet med artikel 9.1, lokaliseringsuppgifter eller uppgifter om barn eller anställda i storskaliga register. |
|
3. Företrädaren ska vara etablerad i en av de medlemsstater där de registrerade vars personuppgifter behandlas i samband med att de erbjuds varor eller tjänster, eller vars beteende övervakas, är bosatta. |
3. Företrädaren ska vara etablerad i en av de medlemsstater där de registrerade erbjuds varor eller tjänster eller där de övervakas. |
|
4. Att den registeransvarige utser en företrädare ska inte påverka de rättsliga åtgärder som skulle kunna inledas mot den registeransvarige. |
4. Att den registeransvarige utser en företrädare ska inte påverka de rättsliga åtgärder som skulle kunna inledas mot den registeransvarige. |
Ändringsförslag 121 Förslag till förordning Artikel 26 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Registerförare |
Registerförare |
|
1. Om en behandling ska utföras på en registeransvarigs vägnar ska den registeransvarige välja en registerförare som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter, särskilt respekten för de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som reglerar den behandling som ska utföras och se till att dessa åtgärder efterlevs. |
1. Om behandling ska utföras på en registeransvarigs vägnar ska den registeransvarige välja en registerförare som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter, särskilt respekten för de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som reglerar den behandling som ska utföras och se till att dessa åtgärder efterlevs. |
|
2. När uppgifter behandlas av en registerförare ska hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling mellan registerföraren och den registeransvarige och i handlingen ska det särskilt föreskrivas att registerföraren |
2. När uppgifter behandlas av en registerförare ska hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling mellan registerföraren och den registeransvarige. Den registeransvarige och registerföraren ska ha rätt att fastställa sina respektive roller och uppgifter med avseende på kraven i denna förordning, varvid registerföraren |
|
a) endast får handla på instruktioner från den registeransvarige, särskilt om överföringen av de personuppgifter som används är förbjuden, |
a) endast får behandla personuppgifter på instruktioner från den registeransvarige, såvida inte unionslagstiftningen eller en medlemsstats lagstiftning föreskriver något annat, |
|
b) endast får anställa personal som har åtagit sig att iaktta sekretess eller som omfattas av en lagstadgad sekretessförpliktelse, |
b) endast får anställa personal som har åtagit sig att iaktta sekretess eller som omfattas av en lagstadgad sekretessförpliktelse, |
|
c) ska vidta alla åtgärder som krävs enligt artikel 30, |
c) ska vidta alla åtgärder som krävs enligt artikel 30, |
|
d) endast får engagera en annan registerförare om den registeransvarige först har godkänt detta, |
d) endast får fastställa villkoren för att engagera en annan registerförare om den registeransvarige först har godkänt detta, om inget annat beslutats, |
|
e) i samförstånd med den registeransvarige, och så långt det är möjligt med tanke på behandlingens karaktär, ska inrätta de nödvändiga tekniska och organisatoriska kraven för att den registeransvarige ska kunna fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III, |
e) i samförstånd med den registeransvarige, och så långt det är möjligt med tanke på behandlingens karaktär, ska inrätta de lämpliga och relevanta tekniska och organisatoriska kraven för att den registeransvarige ska kunna fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III, |
|
f) ska bistå den registeransvarige med att se till att skyldigheterna enligt artiklarna 30–34 fullgörs, |
f) ska bistå den registeransvarige med att se till att skyldigheterna enligt artiklarna 30–34 fullgörs, med beaktande av typen av behandling och den information som registerföraren har att tillgå, |
|
g) ska lämna alla resultat till den registeransvarige efter behandlingens slut och inte behandla personuppgifterna på annat sätt, |
g) ska återlämna alla resultat till den registeransvarige efter behandlingens slut, inte behandla personuppgifterna på annat sätt samt förstöra befintliga kopior såvida inte unionslagstiftningen eller en medlemsstats lagstiftning föreskriver lagring av uppgifterna, |
|
h) ska ge den registeransvarige och tillsynsmyndigheten tillgång till all information som krävs för att kontrollera fullgörandet av de skyldigheter som fastställs i denna artikel. |
h) ska ge den registeransvarige tillgång till all information som krävs för visa på fullgörandet av de skyldigheter som fastställs i denna artikel och tillåta inspektioner på plats. |
|
3. Den registeransvarige och registerföraren ska skriftligen dokumentera den registeransvariges instruktioner och registerförarens skyldigheter enligt punkt 2. |
3. Den registeransvarige och registerföraren ska skriftligen dokumentera den registeransvariges instruktioner och registerförarens skyldigheter enligt punkt 2. |
|
|
3a. De tillräckliga garantier som avses i punkt 1 kan påvisas genom överensstämmelse med uppförandekodexar eller certifieringsmekanismer enligt artiklarna 38 eller 39 i denna förordning. |
|
4. Om en registerförare behandlar andra personuppgifter än de som den registeransvarige gett instruktioner om ska registerföraren anses vara en registeransvarig med avseende på den behandlingen och ska omfattas av de bestämmelser om gemensamma registeransvariga som fastställs i artikel 24. |
4. Om en registerförare behandlar andra personuppgifter än dem som den registeransvarige gett instruktioner om eller blir den part som fastställer ändamålen med och medlen för uppgiftsbehandlingen ska registerföraren anses vara en registeransvarig med avseende på den behandlingen och ska omfattas av de bestämmelser om gemensamma registeransvariga som fastställs i artikel 24. |
|
5. Kommissionen ska ha rätt att anta delegerade akter i enlighet med artikel 86 i syfte att närmare precisera kriterierna och kraven för registerförarens ansvarsområden, uppdrag och arbetsuppgifter med avseende på en registerförare enligt punkt 1, och de omständigheter som gör det möjligt att underlätta behandlingen av personuppgifter inom en företagsgrupp, särskilt för kontroll- och rapporteringsändamål. |
|
Ändringsförslag 122 Förslag till förordning Artikel 28 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Dokumentation |
Dokumentation |
|
1. Varje registeransvarig och registerförare samt den registeransvariges eventuella företrädare ska bevara dokumentation om all behandling som utförts under dess ansvar. |
1. Varje registeransvarig och registerförare ska bevara den regelbundet uppdaterade dokumentation som krävs för att uppfylla de krav som fastställs i denna förordning. |
|
2. Dokumentationen ska innehålla åtminstone följande uppgifter: |
2. Därutöver ska varje registeransvarig och registerförare bevara dokumentation av följande uppgifter: |
|
a) Namn och kontaktuppgifter för den registeransvarige, eller eventuella gemensamma registeransvariga eller registerförare, samt för den eventuella företrädaren. |
a) Namn och kontaktuppgifter för den registeransvarige, eller eventuella gemensamma registeransvariga eller registerförare, samt för den eventuella företrädaren. |
|
b) Namn och kontaktuppgifter för det eventuella uppgiftsskyddsombudet. |
b) Namn och kontaktuppgifter för det eventuella uppgiftsskyddsombudet. |
|
c) Ändamålen med behandlingen, inbegripet den registeransvariges berättigade intressen när behandlingen grundar sig på artikel 6.1 f. |
|
|
d) En beskrivning av de kategorier av registrerade som berörs och av de kategorier av personuppgifter som hänför sig till dem. |
|
|
e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, inbegripet de registeransvariga till vilka personuppgifter lämnas ut för deras berättigade intressen. |
e) Namn och kontaktuppgifter för de eventuella registeransvariga till vilka personuppgifter lämnas ut. |
|
f) I tillämpliga fall, överföringar av uppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 44.1 h, dokumentationen om lämpliga skyddsåtgärder. |
|
|
g) En allmän anvisning om tidsfristerna för radering av de olika kategorierna av uppgifter. |
|
|
h) Beskrivning av de rutiner som avses i artikel 22.3. |
|
|
3. Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran göra dokumentationen tillgänglig för tillsynsmyndigheten. |
|
|
4. De skyldigheter som anges i punkterna 1 och 2 ska inte gälla för följande registeransvariga och registerförare: |
|
|
a) En fysisk person som behandlar personuppgifter utan vinstintresse. |
|
|
b) Ett företag eller en organisation med färre än 250 anställda som behandlar personuppgifter endast som en sidoverksamhet till sin huvudverksamhet. |
|
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den dokumentation som avses i punkt 1, för att ta hänsyn särskilt till de områden som den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ansvarar för. |
|
|
6. Kommissionen får fastställa standardformulär för den dokumentation som anges i punkt 1. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
|
Ändringsförslag 123 Förslag till förordning Artikel 29 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran samarbeta med tillsynsmyndigheten i utövandet av dess uppdrag, särskilt genom att tillhandahålla den information som avses i artikel 53.2 a och genom att ge tillgång i enlighet med artikel 53.2 b. |
1. Den registeransvarige och den eventuella registerföraren samt den registeransvariges eventuella företrädare ska på begäran samarbeta med tillsynsmyndigheten i utövandet av dess uppdrag, särskilt genom att tillhandahålla den information som avses i artikel 53.2 a och genom att ge tillgång i enlighet med artikel 53.2 b. |
Ändringsförslag 124 Förslag till förordning Artikel 30 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Säkerhet i samband med behandlingen av uppgifter |
Säkerhet i samband med behandlingen av uppgifter |
|
1. Den registeransvarige och registerföraren ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå med tanke på de risker som behandlingen medför och karaktären hos de personuppgifter som ska skyddas, med hänsyn till dagens tillgängliga teknik och kostnaderna för att vidta åtgärderna. |
1. Den registeransvarige och registerföraren ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå med tanke på de risker som behandlingen medför – med beaktande av resultaten av en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33 –, med hänsyn till dagens tillgängliga teknik och kostnaderna för att vidta åtgärderna. |
|
|
1a. Med hänsyn till dagens tillgängliga teknik och genomförandekostnaden ska en sådan säkerhetsstrategi inbegripa följande: |
|
|
a) Förmågan att säkerställa personuppgifternas integritet. |
|
|
b) Förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och återhämtningsförmåga hos de system och tjänster som behandlar personuppgifter. |
|
|
c) Förmågan att återställa tillgängligheten och tillgången till uppgifterna i tid vid en fysisk eller teknisk olycka som påverkar tillgängligheten, integriteten och konfidentialiteten hos informationssystem och informationstjänster. |
|
|
d) När det gäller behandling av känsliga personuppgifter i enlighet med artiklarna 8 och 9, ytterligare säkerhetsåtgärder för att säkerställa riskmedvetenhet och förmågan att vidta förebyggande, korrigerande och begränsande åtgärder i tid mot svagheter eller olyckor som skulle kunna innebära en risk för uppgifterna. |
|
|
e) Ett förfarande för att regelbundet testa, bedöma och utvärdera effektiviteten hos de strategier, förfaranden och planer för säkerhet som har införts för att säkerställa fortgående effektivitet. |
|
2. Efter en bedömning av riskerna ska den registeransvarige och registerföraren vidta de åtgärder som avses i punkt 1 för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse och för att förhindra otillåten behandling, särskilt obehörigt röjande, obehörig spridning eller åtkomst, eller ändringar av personuppgifter. |
2. De åtgärder som avses i punkt 1 ska minst |
|
|
a) säkerställa att endast auktoriserad personal, och endast för lagligen tillåtna ändamål, får tillgång till personuppgifter, |
|
|
b) skydda personuppgifter som lagrats eller överförts mot förstöring genom olyckshändelse eller olaglig förstöring, mot förlust eller ändring genom olyckshändelse samt mot obehörig eller olaglig lagring, behandling och tillgång och obehörigt eller olagligt röjande, och |
|
|
c) säkra genomförandet av en säkerhetsstrategi för behandling av personuppgifter. |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för de tekniska och organisatoriska åtgärder som avses i punkterna 1 och 2, inbegripet fastställandet av vad som utgör dagens tillgängliga teknik, för specifika sektorer och i specifika situationer vid behandlingen av personuppgifter, med särskild hänsyn till den tekniska utvecklingen och utvecklingen i fråga om lösningar för inbyggt integritetsskydd och uppgiftsskydd som standard, om inte punkt 4 är tillämplig. |
3. Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med artikel 66.1 b med avseende på de tekniska och organisatoriska åtgärder som avses i punkterna 1 och 2, inbegripet fastställandet av vad som utgör dagens tillgängliga teknik, för specifika sektorer och i specifika situationer vid behandlingen av personuppgifter, med särskild hänsyn till den tekniska utvecklingen och utvecklingen i fråga om lösningar för inbyggt integritetsskydd och uppgiftsskydd som standard. |
|
4. När så är nödvändigt får kommissionen anta genomförandeakter i syfte att specificera kraven i punkterna 1 och 2 för olika situationer, särskilt för att |
|
|
a) förhindra obehörig åtkomst till personuppgifter, |
|
|
b) förhindra obehörigt röjande, obehörig läsning, kopiering, ändring eller radering eller obehörigt avlägsnande av personuppgifter, |
|
|
c) se till att det kontrolleras att behandlingen är laglig. |
|
|
Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
|
(Punkt 2 i kommissionens text har delvis blivit led b i parlamentets ändringsförslag.) | |
Ändringsförslag 125 Förslag till förordning Artikel 31 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Anmälan av ett personuppgiftsbrott till tillsynsmyndigheten |
Anmälan av ett personuppgiftsbrott till tillsynsmyndigheten |
|
1. Vid ett personuppgiftsbrott ska den registeransvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 24 timmar efter att ha fått vetskap om det, anmäla personuppgiftsbrottet till tillsynsmyndigheten. Om anmälan till tillsynsmyndigheten inte görs inom 24 timmar ska den åtföljas av en utförlig motivering. |
1. Vid ett personuppgiftsbrott ska den registeransvarige utan onödigt dröjsmål anmäla personuppgiftsbrottet till tillsynsmyndigheten. |
|
2. I enlighet med artikel 26.2 f ska registerföraren underrätta och informera den registeransvarige omedelbart efter det att ett personuppgiftsbrott har konstaterats. |
2. Registerföraren ska underrätta och informera den registeransvarige utan onödigt dröjsmål efter det att ett personuppgiftsbrott har konstaterats. |
|
3. Den anmälan som avses i punkt 1 ska åtminstone |
3. Den anmälan som avses i punkt 1 ska åtminstone |
|
a) beskriva personuppgiftsbrottets karaktär, inbegripet de kategorier av och antalet registrerade som berörs samt de kategorier av och antalet uppgiftsposter som berörs, |
a) beskriva personuppgiftsbrottets karaktär, inbegripet de kategorier av och antalet registrerade som berörs samt de kategorier av och antalet uppgiftsposter som berörs, |
|
b) förmedla identiteten på och kontaktuppgifterna för uppgiftsskyddsombudet eller andra kontaktpunkter där mer information kan erhållas, |
b) förmedla identiteten på och kontaktuppgifterna för uppgiftsskyddsombudet eller andra kontaktpunkter där mer information kan erhållas, |
|
c) rekommendera åtgärder för att begränsa de möjliga negativa effekterna av personuppgiftsbrottet, |
c) rekommendera åtgärder för att begränsa de möjliga negativa effekterna av personuppgiftsbrottet, |
|
d) beskriva konsekvenserna av personuppgiftsbrottet, |
d) beskriva konsekvenserna av personuppgiftsbrottet, |
|
e) beskriva de åtgärder som den registeransvarige föreslagit eller vidtagit för att åtgärda personuppgiftsbrottet. |
e) beskriva de åtgärder som den registeransvarige föreslagit eller vidtagit för att åtgärda personuppgiftsbrottet och begränsa dess verkan. |
|
|
Informationen får vid behov lämnas i faser. |
|
4. Den registeransvarige ska dokumentera alla personuppgiftsbrott, inbegripet omständigheterna kring brottet, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel. Dokumentationen ska endast innehålla den information som behövs för detta ändamål. |
4. Den registeransvarige ska dokumentera alla personuppgiftsbrott, inbegripet omständigheterna kring brottet, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska vara tillräckligt utförlig för att göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel och av artikel 30. Dokumentationen ska endast innehålla den information som behövs för detta ändamål. |
|
|
4a. Tillsynsmyndigheten ska föra ett offentligt register över typer av anmälda uppgiftsbrott. |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för fastställandet av det uppgiftsbrott som avses i punkterna 1 och 2 samt för de särskilda omständigheter under vilka en registeransvarig och en registerförare ska anmäla personuppgiftsbrottet. |
5. Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med artikel 66.1 b med avseende på fastställandet av det uppgiftsbrott och det onödiga dröjsmål som avses i punkterna 1 och 2 samt för de särskilda omständigheter under vilka en registeransvarig och en registerförare ska anmäla personuppgiftsbrottet. |
|
6. Kommissionen får fastställa standardformatet för sådana anmälningar till tillsynsmyndigheten, de förfaranden som gäller för anmälningskravet och formen och villkoren för den dokumentation som avses i punkt 4, inbegripet tidsgränserna för raderingen av informationen i denna. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
|
Ändringsförslag 126 Förslag till förordning Artikel 32 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Information till den registrerade om ett personuppgiftsbrott |
Information till den registrerade om ett personuppgiftsbrott |
|
1. Om personuppgiftsbrottet sannolikt har en negativ inverkan på skyddet av den registrerades personuppgifter eller integritet ska den registeransvarige, efter den anmälan som avses i artikel 31, utan onödigt dröjsmål informera den registrerade om personuppgiftsbrottet. |
1. Om personuppgiftsbrottet sannolikt har en negativ inverkan på skyddet av den registrerades personuppgifter, integritet, rättigheter eller berättigade intressen ska den registeransvarige, efter den anmälan som avses i artikel 31, utan onödigt dröjsmål informera den registrerade om personuppgiftsbrottet. |
|
2. Den information till den registrerade som avses i punkt 1 ska innehålla en beskrivning av personuppgiftsbrottets karaktär och åtminstone de upplysningar och de rekommendationer som anges i artikel 31.3 b och c. |
Den information till den registrerade som avses i punkt 1 ska vara uttömmande och avfattad på ett klart och enkelt språk. Den ska innehålla en beskrivning av personuppgiftsbrottets karaktär och åtminstone de upplysningar och de rekommendationer som anges i artikel 31.3 b, c och d samt information om den registrerades rättigheter, däribland rätten till prövning. |
|
3. Det ska inte vara ett krav att informera den registrerade om personuppgiftsbrottet om den registeransvarige tillfredsställande visar för den behöriga myndigheten att den har genomfört lämpliga tekniska skyddsåtgärder och att dessa åtgärder tillämpats på de uppgifter som berördes av personuppgiftsbrottet. Sådana tekniska skyddsåtgärder ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till uppgifterna. |
3. Det ska inte vara ett krav att informera den registrerade om personuppgiftsbrottet om den registeransvarige tillfredsställande visar för den behöriga myndigheten att den har genomfört lämpliga tekniska skyddsåtgärder och att dessa åtgärder tillämpats på de uppgifter som berördes av personuppgiftsbrottet. Sådana tekniska skyddsåtgärder ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till uppgifterna. |
|
4. Utan att det påverkar den registeransvariges skyldighet att informera den registrerade om personuppgiftsbrottet, får tillsynsmyndigheten, om den registeransvarige inte redan har informerat den registrerade om personuppgiftsbrottet, efter att ha tagit hänsyn till de möjliga negativa effekterna av brottet, begära att den registeransvarige gör detta. |
4. Utan att det påverkar den registeransvariges skyldighet att informera den registrerade om personuppgiftsbrottet, får tillsynsmyndigheten, om den registeransvarige inte redan har informerat den registrerade om personuppgiftsbrottet, efter att ha tagit hänsyn till de möjliga negativa effekterna av brottet, begära att den registeransvarige gör detta. |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera villkoren och kraven när det gäller de omständigheter under vilka ett personuppgiftsbrott sannolikt har en negativ inverkan på de personuppgifter som avses i punkt 1. |
Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med artikel 66.1 b med avseende på de omständigheter under vilka ett personuppgiftsbrott sannolikt har en negativ inverkan på den registrerades personuppgifter, integritet, rättigheter eller berättigade intressen som avses i punkt 1. |
|
6. Kommissionen får fastställa formatet för den information till den registrerade som avses i punkt 1 och de förfaranden som gäller för den informationen. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
|
Ändringsförslag 127 Förslag till förordning Artikel 32a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 32a |
|
|
Hänsyn till risk |
|
|
1. Den registeransvarige eller i tillämpliga fall registerföraren ska utföra en riskanalys av den planerade uppgiftsbehandlingens konsekvenser för de registrerades rättigheter och friheter med en bedömning av frågan huruvida behandlingen sannolikt medför särskilda risker. |
|
|
2. Följande former av behandling medför sannolikt särskilda risker: |
|
|
a) Behandling av personuppgifter som gäller fler än 5 000 registrerade under en sammanhängande period på 12 månader. |
|
|
b) Behandling av de särskilda personuppgiftskategorier som avses i artikel 9.1, lokaliseringsuppgifter eller uppgifter om barn eller anställda i storskaliga register. |
|
|
c) Profilering på vilken åtgärder grundar sig som har rättsliga följder för den enskilde eller på liknande sätt i betydande grad påverkar honom eller henne. |
|
|
d) Behandling av personuppgifter för tillhandahållande av hälso- och sjukvård, epidemiologisk forskning eller undersökningar av psykiska sjukdomar eller infektionssjukdomar där uppgifterna behandlas i syfte att vidta åtgärder eller fatta beslut om specifika enskilda personer i stor skala. |
|
|
e) Automatisk övervakning av allmän plats i stor skala. |
|
|
f) Annan behandling för vilken samråd ska ske med uppgiftsskyddsombudet eller tillsynsmyndigheten enligt artikel 34.2 b. |
|
|
g) Situationer där ett personuppgiftsbrott sannolikt skulle få negativa konsekvenser för skyddet av den registrerades personuppgifter, integritet, rättigheter eller berättigade intressen. |
|
|
h) Den registeransvariges eller registerförarens kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade. |
|
|
i) Om personuppgifter görs tillgängliga för ett antal personer som inte rimligen kan förväntas vara begränsat. |
|
|
3. Om resultatet av riskanalysen |
|
|
a) visar att någon av de former av behandling som avses i punkt 2 a eller b utförs ska registeransvariga som inte är etablerade i unionen utse en företrädare i unionen i linje med de krav och befrielser som fastställs i artikel 25, |
|
|
b) visar att någon av de former av behandling som avses i punkt 2 a, b eller h utförs ska den registeransvarige utse ett uppgiftsskyddsombud i linje med de krav och befrielser som fastställs i artikel 35, |
|
|
c) visar att någon av de former av behandling som avses i punkt 2 a, b, c, d, e, f, g eller h utförs ska den registeransvarige, eller registerföraren på den registeransvariges vägnar, utföra en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33, |
|
|
d) visar att den behandling som avses i punkt 2 f utförs ska den registeransvarige samråda med uppgiftsskyddsombudet eller, om något sådant inte utnämnts, tillsynsmyndigheten enligt artikel 34, |
|
|
4. Riskanalysen ska ses över senast efter ett år, eller omedelbart om uppgiftsbehandlingens karaktär, omfattning eller ändamål ändras i betydande grad. Om den registeransvarige enligt punkt 3 c inte är skyldig att utföra en konsekvensbedömning avseende uppgiftsskydd ska riskanalysen dokumenteras. |
Ändringsförslag 128 Förslag till förordning Kapitel IV – avsnitt 3 – rubriken | |
|
Kommissionens förslag |
Ändringsförslag |
|
KONSEKVENSBEDÖMNING AVSEENDE UPPGIFTSSKYDD OCH FÖRHANDSTILLSTÅND |
LIVSCYKELHANTERING AV UPPGIFTSSKYDD |
Ändringsförslag 129 Förslag till förordning Artikel 33 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Konsekvensbedömning avseende uppgiftsskydd |
Konsekvensbedömning avseende uppgiftsskydd |
|
1. Om behandlingen på grund av sin karaktär, sin omfattning eller sina ändamål medför särskilda risker för de registrerades fri- och rättigheter, ska den registeransvarige eller registerföraren på den registeransvariges vägnar utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. |
1. Om det enligt artikel 32a.3 c krävs ska den registeransvarige, eller registerföraren på den registeransvariges vägnar, utföra en bedömning av den planerade behandlingens konsekvenser för de registrerades rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. En enda bedömning ska vara tillräcklig för att hantera en serie liknande behandlingsåtgärder som medför liknande risker. |
|
2. I synnerhet följande typer av behandling medför sådana särskilda risker som avses i punkt 1: |
|
|
a) En systematisk och omfattande bedömning av en fysisk persons personliga aspekter eller i syfte att analysera eller förutse särskilt den fysiska personens ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende, vilket grundar sig på automatisk behandling och på vilka sådana åtgärder grundar sig som har rättsliga följder för den enskilde eller som märkbart påverkar honom eller henne. |
|
|
b) Information om sexualliv, hälsa, ras och etniskt ursprung eller – i samband med tillhandahållande av hälso- och sjukvård – epidemiologisk forskning, eller undersökningar av psykiska sjukdomar eller infektionssjukdomar, där uppgifterna behandlas i syfte att vidta åtgärder eller fatta beslut om specifika enskilda personer i stor skala. |
|
|
c) Övervakning av allmän plats, särskilt vid användning av optisk-elektroniska anordningar (videoövervakning) i stor skala. |
|
|
d) Personuppgifter i storskaliga register om barn, genetiska uppgifter eller biometriska uppgifter. |
|
|
e) Annan behandling för vilken samråd måste ske med tillsynsmyndigheten enligt artikel 34.2 b. |
|
|
3. Bedömningen ska innehålla åtminstone en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för de registrerades fri- och rättigheter, de åtgärder som planeras för att hantera risker, skyddsåtgärder, säkerhetsåtgärder och rutiner för att garantera skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen. |
3. Bedömningen ska ta hänsyn till hela livscykelhanteringen av personuppgifter från insamling och behandling till radering. Den ska innehålla åtminstone följande: |
|
|
a) En systematisk beskrivning av den planerade behandlingen, dess ändamål och, om tillämpligt, den registeransvariges berättigade intressen. |
|
|
b) En bedömning av behandlingens nödvändighet och proportionalitet i förhållande till ändamålen. |
|
|
c) En bedömning av riskerna för de registrerades rättigheter och friheter, inklusive den risk för diskriminering som behandlingen medför eller förstärker. |
|
|
d) En beskrivning av de åtgärder som planeras för att hantera risker och minimera den mängd personuppgifter som behandlas. |
|
|
e) En förteckning över skyddsåtgärder, säkerhetsåtgärder och rutiner för att garantera skyddet av personuppgifterna, till exempel pseudonymisering, och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen. |
|
|
f) En allmän angivelse av tidsfristerna för radering av de olika kategorierna av uppgifter. |
|
|
h) En förklaring om vilka uppgiftskyddsrutiner avseende inbyggt uppgiftsskydd och uppgiftsskydd som standard som har genomförts i enlighet med artikel 23. |
|
|
i) En förteckning över mottagarna eller kategorierna av mottagare av personuppgifterna. |
|
|
j) I tillämpliga fall, en förteckning över de planerade överföringarna av uppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 44.1 h, dokumentationen av lämpliga skyddsåtgärder. |
|
|
k) En bedömning av det sammanhang i vilket uppgiftsbehandlingen utförs. |
|
|
3a. Om den registeransvarige eller registerföraren har utsett ett uppgiftsskyddsombud ska han eller hon involveras i processen med konsekvensbedömningen. |
|
|
3b. Bedömningen ska dokumenteras och inbegripa ett schema för regelbundna periodiska granskningar av uppgiftsskyddets överensstämmelse i enlighet med artikel 33a.1. Bedömningen ska uppdateras utan onödigt dröjsmål om resultatet av den granskning av uppgiftsskyddets överensstämmelse som avses i artikel 33a visar på bristande överensstämmelse. Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran göra bedömningen tillgänglig för tillsynsmyndigheten. |
|
4. Den registeransvarige ska inhämta synpunkter från de registrerade och deras företrädare om den avsedda behandlingen, utan att det påverkar skyddet av kommersiella eller allmänna intressen eller behandlingens säkerhet. |
|
|
5. Om den registeransvarige är en offentlig myndighet eller ett offentligt organ och om behandlingen följer av en rättslig skyldighet enligt artikel 6.1 c som föreskriver regler och förfaranden som rör behandlingen och regleras av unionslagstiftningen, ska punkterna 1–4 inte gälla, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen. |
|
|
6. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för sådan behandling som sannolikt medför särskilda risker enligt punkterna 1 och 2 och kraven för den bedömning som avses i punkt 3, däribland villkor för skalbarhet, kontroll och granskningsmöjligheter. Kommissionen ska därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag. |
|
|
7. Kommissionen får ange standarder och förfaranden för utförandet samt kontrollen och granskningen av den bedömning som avses i punkt 3. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
|
(Punkt 3 i kommissionens text har delvis blivit leden a, c, d och e i parlamentets ändringsförslag.) | |
Ändringsförslag 130 Förslag till förordning Artikel 33a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 33a |
|
|
Granskning av uppgiftsskyddets överensstämmelse |
|
|
1. Senast två år efter utförandet av en konsekvensbedömning enligt artikel 33.1 ska den registeransvarige, eller registerföraren på den registeransvariges vägnar, utföra en granskning av överensstämmelsen med konsekvensbedömningen. Denna granskning av överensstämmelsen ska visa att personuppgifter behandlas i överensstämmelse med konsekvensbedömningen avseende uppgiftsskydd. |
|
|
2. Granskningen av överensstämmelse ska utföras regelbundet, minst vartannat år, eller omedelbart om de särskilda risker som behandlingen medför ändras. |
|
|
3. Om resultatet av granskningen av överensstämmelse visar på bristande överensstämmelse ska granskningen omfatta rekommendationer för hur fullständig överensstämmelse kan uppnås. |
|
|
4. Granskningen av överensstämmelse samt dess rekommendationer ska dokumenteras. Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran göra granskningen av överensstämmelse tillgänglig för tillsynsmyndigheten. |
|
|
5. Om den registeransvarige eller registerföraren har utsett ett uppgiftsskyddsombud ska han eller hon involveras i processen med granskningen av överensstämmelse. |
Ändringsförslag 131 Förslag till förordning Artikel 34 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Förhandstillstånd och förhandssamråd |
Förhandssamråd |
|
1. Den registeransvarige eller registerföraren, allt efter omständigheterna, ska erhålla ett godkännande från tillsynsmyndigheten före behandlingen av personuppgifterna, i syfte att se till att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade när en registeransvarig eller en registerförare antar avtalsklausuler enligt artikel 42.2 d eller inte tillhandahåller lämpliga skyddsåtgärder i ett rättsligt bindande instrument enligt artikel 42.5 för överföring av personuppgifter till ett tredjeland eller en internationell organisation. |
|
|
2. Den registeransvarige eller registerföraren som handlar på den registeransvariges vägnar ska samråda med tillsynsmyndigheten före behandlingen av personuppgifter för att se till att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade om |
2. Den registeransvarige, eller registerföraren på den registeransvariges vägnar, ska samråda med uppgiftsskyddsombudet eller, om något sådant inte utnämnts, tillsynsmyndigheten före behandlingen av personuppgifter för att se till att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade om |
|
a) en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33 visar att behandlingen på grund av sin karaktär, sin omfattning eller sina ändamål sannolikt medför höggradiga särskilda risker, eller |
a) en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33 visar att behandlingen på grund av sin karaktär, sin omfattning eller sina ändamål sannolikt medför höggradiga särskilda risker, eller |
|
b) tillsynsmyndigheten anser det nödvändigt att utföra ett förhandssamråd om behandling som sannolikt medför särskilda risker för de registrerades fri- och rättigheter på grund av sin karaktär, sin omfattning och/eller sina ändamål, och som preciseras enligt punkt 4. |
b) uppgiftsskyddsombudet eller tillsynsmyndigheten anser det nödvändigt att utföra ett förhandssamråd om behandling som sannolikt medför särskilda risker för de registrerades fri- och rättigheter på grund av sin karaktär, sin omfattning och/eller sina ändamål, och som preciseras enligt punkt 4. |
|
3. Om tillsynsmyndigheten anser att den avsedda behandlingen inte överensstämmer med denna förordning, särskilt om riskerna är otillräckligt fastställda eller begränsade, ska den förbjuda den avsedda behandlingen och lägga fram lämpliga förslag för att åtgärda sådan brist på överensstämmelse. |
3. Om den behöriga tillsynsmyndigheten i enlighet med sina befogenheter fastställer att den avsedda behandlingen inte överensstämmer med denna förordning, särskilt om riskerna är otillräckligt fastställda eller begränsade, ska den förbjuda den avsedda behandlingen och lägga fram lämpliga förslag för att åtgärda sådan brist på överensstämmelse. |
|
4. Tillsynsmyndigheten ska inrätta och offentliggöra en förteckning över den behandling som omfattas av förhandssamråd enligt punkt 2 b. Tillsynsmyndigheten ska översända dessa förteckningar till Europeiska dataskyddsstyrelsen. |
4. Europeiska dataskyddsstyrelsen ska inrätta och offentliggöra en förteckning över den behandling som omfattas av förhandssamråd enligt punkt 2. |
|
5. Om den förteckning som avses i punkt 4 inbegriper behandling som rör erbjudande av varor och tjänster till registrerade i flera medlemsstater, eller övervakning av deras beteende, eller som väsentligt kan påverka den fria rörligheten för personuppgifter i unionen, ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57 före antagandet av förteckningen. |
|
|
6. Den registeransvarige eller registerföraren ska till tillsynsmyndigheten lämna den konsekvensbedömning avseende uppgiftsskydd som avses i artikel 33 och, på begäran, eventuell övrig information som gör att tillsynsmyndigheten kan göra en bedömning av behandlingens överensstämmelse och särskilt av riskerna för skyddet av den registrerades personuppgifter och av därmed sammanhängande skyddåtgärder. |
6. Den registeransvarige eller registerföraren ska, på begäran, till tillsynsmyndigheten lämna den konsekvensbedömning avseende uppgiftsskydd som avses i artikel 33 och, på begäran, eventuell övrig information som gör att tillsynsmyndigheten kan göra en bedömning av behandlingens överensstämmelse och särskilt av riskerna för skyddet av den registrerades personuppgifter och av därmed sammanhängande skyddåtgärder. |
|
7. Medlemsstaterna ska samråda med tillsynsmyndigheten vid utarbetandet av lagstiftningsåtgärder som ska antas av det nationella parlamentet eller av en åtgärd som grundar sig på en sådan lagstiftningsåtgärd, som fastställer behandlingens karaktär, för att garantera att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade. |
7. Medlemsstaterna ska samråda med tillsynsmyndigheten vid utarbetandet av lagstiftningsåtgärder som ska antas av det nationella parlamentet eller av en åtgärd som grundar sig på en sådan lagstiftningsåtgärd, som fastställer behandlingens karaktär, för att garantera att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade. |
|
8. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för fastställandet av de höggradiga särskilda risker som avses i punkt 2 a. |
|
|
9. Kommissionen får fastställa standardformulär och förfaranden för sådana förhandstillstånd och förhandssamråd som avses i punkterna 1 och 2, och standardformulär och förfaranden för att informera tillsynsmyndigheterna enligt punkt 6. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
|
Ändringsförslag 132 Förslag till förordning Artikel 35 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Utnämning av uppgiftsskyddsombudet |
Utnämning av uppgiftsskyddsombudet |
|
1. Den registeransvarige och registerföraren ska utnämna ett uppgiftsskyddsombud om |
1. Den registeransvarige och registerföraren ska utnämna ett uppgiftsskyddsombud om |
|
a) behandlingen utförs av en offentlig myndighet eller ett offentligt organ, eller |
a) behandlingen utförs av en offentlig myndighet eller ett offentligt organ, eller |
|
b) behandlingen utförs av ett företag som har minst 250 anställda, eller |
b) behandlingen utförs av en juridisk person och gäller fler än 5 000 registrerade under en sammanhängande period på 12 månader, eller |
|
c) den registeransvariges och registerförarens kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade. |
c) den registeransvariges och registerförarens kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade, eller |
|
|
d) den registeransvariges och registerförarens kärnverksamhet består av behandling av särskilda kategorier av uppgifter enligt artikel 9.1, lokaliseringsuppgifter eller uppgifter om barn eller anställda i storskaliga register. |
|
2. I det fall som avses i punkt 1 b får en företagsgrupp utnämna ett enda uppgiftsskyddsombud. |
2. En företagsgrupp får utnämna ett huvudansvarigt uppgiftsskyddsombud om det säkerställs att det på varje etableringsort är lätt att nå ett uppgiftsskyddsombud. |
|
3. Om den registeransvarige och registerföraren är en offentlig myndighet eller ett offentligt organ, får uppgiftsskyddsombudet utnämnas för flera av dess enheter, med hänsyn till den offentliga myndighetens eller det offentliga organets struktur. |
3. Om den registeransvarige och registerföraren är en offentlig myndighet eller ett offentligt organ, får uppgiftsskyddsombudet utnämnas för flera av dess enheter, med hänsyn till den offentliga myndighetens eller det offentliga organets struktur. |
|
4. I andra fall än de som anges i punkt 1 får den registeransvarige eller registerföraren eller sammanslutningar och andra organ som företräder kategorier av registeransvariga eller registerförare utnämna ett uppgiftsskyddsombud. |
4. I andra fall än de som anges i punkt 1 får den registeransvarige eller registerföraren eller sammanslutningar och andra organ som företräder kategorier av registeransvariga eller registerförare utnämna ett uppgiftsskyddsombud. |
|
5. Den registeransvarige eller registerföraren ska utnämna uppgiftsskyddsombudet på grundval av yrkesmässiga kvalifikationer och, i synnerhet, expertkunnande om lagstiftning och praxis avseende uppgiftsskydd samt förmåga att fullgöra de arbetsuppgifter som avses i artikel 37. Den nödvändiga nivån på expertkunnandet ska fastställas särskilt i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av den registeransvarige och registerföraren. |
5. Den registeransvarige eller registerföraren ska utnämna uppgiftsskyddsombudet på grundval av yrkesmässiga kvalifikationer och, i synnerhet, expertkunnande om lagstiftning och praxis avseende uppgiftsskydd samt förmåga att fullgöra de arbetsuppgifter som avses i artikel 37. Den nödvändiga nivån på expertkunnandet ska fastställas särskilt i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av den registeransvarige och registerföraren. |
|
6. Den registeransvarige eller registerföraren ska se till att uppgiftskyddsombudets eventuella övriga yrkesuppgifter är förenliga med personens arbetsuppgifter och uppdrag som uppgiftsskyddsombud och inte leder till en intressekonflikt. |
6. Den registeransvarige eller registerföraren ska se till att uppgiftskyddsombudets eventuella övriga yrkesuppgifter är förenliga med personens arbetsuppgifter och uppdrag som uppgiftsskyddsombud och inte leder till en intressekonflikt. |
|
7. Den registeransvarige och registerföraren ska utnämna ett uppgiftsskyddsombud för en period på minst två år. Uppgiftsskyddsombudet får utnämnas för ytterligare perioder. Uppgiftsskyddsombudet får under sin mandatperiod endast avsättas om uppgiftsskyddsombudet inte längre uppfyller de villkor som krävs för fullgörandet av sitt uppdrag. |
7. Den registeransvarige eller registerföraren ska utnämna ett uppgiftsskyddsombud för en period på minst fyra år om det rör sig om en anställd och två år om det rör sig om en extern tjänsteleverantör. Uppgiftsskyddsombudet får utnämnas för ytterligare perioder. Uppgiftsskyddsombudet får under sin mandatperiod endast avsättas om han eller hon inte längre uppfyller de villkor som krävs för fullgörandet av sitt uppdrag. |
|
8. Uppgiftsskyddsombudet får anställas av den registeransvarige eller registerföraren, eller utföra sina arbetsuppgifter på grundval av ett tjänsteavtal. |
8. Uppgiftsskyddsombudet får anställas av den registeransvarige eller registerföraren, eller utföra sina arbetsuppgifter på grundval av ett tjänsteavtal. |
|
9. Den registeransvarige eller registerföraren ska informera tillsynsmyndigheten och allmänheten om uppgiftsskyddsombudets namn och kontaktuppgifter. |
9. Den registeransvarige eller registerföraren ska informera tillsynsmyndigheten och allmänheten om uppgiftsskyddsombudets namn och kontaktuppgifter. |
|
10. Den registrerade ska ha rätt att kontakta uppgiftsskyddsombudet om alla frågor som rör behandlingen av den registrerades uppgifter och begära att få utöva sina rättigheter enligt denna förordning. |
10. Den registrerade ska ha rätt att kontakta uppgiftsskyddsombudet om alla frågor som rör behandlingen av den registrerades uppgifter och begära att få utöva sina rättigheter enligt denna förordning. |
|
11. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den kärnverksamhet som bedrivs av den registeransvarige eller registerföraren och som avses i punkt 1 c och det kriterium för uppgiftsskyddsombudets yrkesmässiga kvalifikationer som avses i punkt 5. |
|
Ändringsförslag 133 Förslag till förordning Artikel 36 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Uppgiftsskyddsombudets ställning |
Uppgiftsskyddsombudets ställning |
|
1. Den registeransvarige eller registerföraren ska se till att uppgiftsskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter. |
1. Den registeransvarige eller registerföraren ska se till att uppgiftsskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter. |
|
2. Den registeransvarige eller registerföraren ska se till att uppgiftskyddsombudet fullgör sitt uppdrag och utför sina arbetsuppgifter på ett oberoende sätt och inte tar emot instruktioner när det gäller utövandet av funktionen. Uppgiftsskyddsombudet ska rapportera direkt till den registeransvariges eller registerförarens förvaltning. |
2. Den registeransvarige eller registerföraren ska se till att uppgiftskyddsombudet fullgör sitt uppdrag och utför sina arbetsuppgifter på ett oberoende sätt och inte tar emot instruktioner när det gäller utövandet av funktionen. Uppgiftsskyddsombudet ska rapportera direkt till den registeransvariges eller registerförarens verkställande förvaltning. Den registeransvarige eller registerföraren ska för detta ändamål utnämna en person i den verkställande förvaltningen till ansvarig för överensstämmelsen med bestämmelserna i denna förordning. |
|
3. Den registeransvarige eller registerföraren ska stödja uppgiftsskyddsombudet i utförandet av dennes arbetsuppgifter och ska tillhandahålla personal, lokaler, utrustning och alla andra resurser som krävs för att fullgöra det uppdrag och utföra de arbetsuppgifter som avses i artikel 37. |
3. Den registeransvarige eller registerföraren ska stödja uppgiftsskyddsombudet i utförandet av dennes arbetsuppgifter och ska tillhandahålla alla resurser, inklusive personal, lokaler, utrustning och alla andra resurser som krävs för att fullgöra det uppdrag och utföra de arbetsuppgifter som avses i artikel 37 samt upprätthålla yrkeskunskaperna. |
|
|
4. Uppgiftsskyddsombud ska omfattas av tystnadsplikt rörande de registrerades identitet och sådana omständigheter som gör det möjligt att identifiera dem, om de inte befrias från denna skyldighet av den registrerade. |
Ändringsförslag 134 Förslag till förordning Artikel 37 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Uppgiftsskyddsombudets arbetsuppgifter |
Uppgiftsskyddsombudets arbetsuppgifter |
|
1. Den registeransvarige eller registerföraren ska anförtro uppgiftsskyddsombudet åtminstone följande arbetsuppgifter: |
Den registeransvarige eller registerföraren ska anförtro uppgiftsskyddsombudet åtminstone följande arbetsuppgifter: |
|
a) Att informera och ge råd till den registeransvarige eller registerföraren om deras skyldigheter enligt denna förordning och att dokumentera denna verksamhet och de inkomna svaren. |
a) Att öka medvetenheten, att informera och ge råd till den registeransvarige eller registerföraren om deras skyldigheter enligt denna förordning, särskilt när det gäller tekniska och organisatoriska åtgärder och förfaranden, och att dokumentera denna verksamhet och de inkomna svaren. |
|
b) Att övervaka genomförandet och tillämpningen av den registeransvariges eller registerförarens policy för skydd av personuppgifter, inbegripet ansvarstilldelning, utbildning av personal som deltar i behandlingen och tillhörande granskning. |
b) Att övervaka genomförandet och tillämpningen av den registeransvariges eller registerförarens policy för skydd av personuppgifter, inbegripet ansvarstilldelning, utbildning av personal som deltar i behandlingen och tillhörande granskning. |
|
c) Att övervaka genomförandet och tillämpningen av denna förordning, särskilt när det gäller de krav som avser inbyggt uppgiftsskydd, uppgiftsskydd som standard och datasäkerhet samt information till de registrerade och deras begäranden i utövandet av sina rättigheter enligt denna förordning. |
c) Att övervaka genomförandet och tillämpningen av denna förordning, särskilt när det gäller de krav som avser inbyggt uppgiftsskydd, uppgiftsskydd som standard och datasäkerhet samt information till de registrerade och deras begäranden i utövandet av sina rättigheter enligt denna förordning. |
|
d) Att se till att den dokumentation som avses i artikel 28 bevaras. |
d) Att se till att den dokumentation som avses i artikel 28 bevaras. |
|
e) Att övervaka dokumentationen om, anmälan av och informationen om personuppgiftsbrott enligt artiklarna 31 och 32. |
e) Att övervaka dokumentationen om, anmälan av och informationen om personuppgiftsbrott enligt artiklarna 31 och 32. |
|
f) Att övervaka genomförandet av den registeransvariges eller registerförarens konsekvensbedömning avseende uppgiftsskydd och ansökan om förhandstillstånd eller förhandssamråd, om så krävs enligt artiklarna 33 och 34. |
f) Att övervaka genomförandet av den registeransvariges eller registerförarens konsekvensbedömning avseende uppgiftsskydd och ansökan om förhandssamråd, om så krävs enligt artiklarna 32a, 33 och 34. |
|
g) Att övervaka svaret på begäranden från tillsynsmyndigheten, och, inom uppgiftsskyddsombudets behörighet, att samarbeta med tillsynsmyndigheten på den senares begäran eller på uppgiftsskyddsombudets eget initiativ. |
g) Att övervaka svaret på begäranden från tillsynsmyndigheten, och, inom uppgiftsskyddsombudets behörighet, att samarbeta med tillsynsmyndigheten på den senares begäran eller på uppgiftsskyddsombudets eget initiativ. |
|
h) Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandlingen och, om så är lämpligt, samråda med tillsynsmyndigheten på hans eller hennes eget initiativ. |
h) Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandlingen och, om så är lämpligt, samråda med tillsynsmyndigheten på hans eller hennes eget initiativ. |
|
|
i) Att kontrollera överensstämmelsen med den mekanism för förhandssamråd som fastställs i artikel 34 i denna förordning. |
|
|
j) Att informera de anställdas företrädare om behandlingen av de anställdas personuppgifter. |
|
2. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för uppgiftsskyddsombudets arbetsuppgifter, certifiering, ställning, befogenheter och resurser i enlighet med punkt 1. |
|
Ändringsförslag 135 Förslag till förordning Artikel 38 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Uppförandekodex |
Uppförandekodex |
|
1. Medlemsstaterna, tillsynsmyndigheterna och kommissionen ska uppmuntra utarbetandet av uppförandekodexar avsedda att bidra till att förordningen genomförs korrekt, med hänsyn till de särskilda egenskaperna hos de olika sektorer där uppgifter behandlas, särskilt när det gäller |
1. Medlemsstaterna, tillsynsmyndigheterna och kommissionen ska uppmuntra utarbetandet av uppförandekodexar, eller antagandet av uppförandekodexar utarbetade av en tillsynsmyndighet, avsedda att bidra till att förordningen genomförs korrekt, med hänsyn till de särskilda egenskaperna hos de olika sektorer där uppgifter behandlas, särskilt när det gäller |
|
a) rättvis och öppen behandling, |
a) rättvis och öppen behandling, |
|
|
aa) respekt för konsumenträttigheter, |
|
b) insamling av uppgifter, |
b) insamling av uppgifter, |
|
c) information till allmänheten och de registrerade, |
c) information till allmänheten och de registrerade, |
|
d) begäranden som de registrerade gör i utövandet av sina rättigheter, |
d) begäranden som de registrerade gör i utövandet av sina rättigheter, |
|
e) information till och skydd av barn, |
e) information till och skydd av barn, |
|
f) överföring av uppgifter till tredjeländer eller internationella organisationer, |
f) överföring av uppgifter till tredjeländer eller internationella organisationer, |
|
g) rutiner för att övervaka kodexen och se till att den iakttas av de registeransvariga som anslutit sig till den, |
g) rutiner för att övervaka kodexen och se till att den iakttas av de registeransvariga som anslutit sig till den, |
|
h) utomrättsliga förfaranden och andra förfaranden för biläggande av tvister mellan registeransvariga och registrerade när det gäller behandling av personuppgifter, utan att detta påverkar de registrerades rättigheter enligt artiklarna 73 och 75. |
h) utomrättsliga förfaranden och andra förfaranden för biläggande av tvister mellan registeransvariga och registrerade när det gäller behandling av personuppgifter, utan att detta påverkar de registrerades rättigheter enligt artiklarna 73 och 75. |
|
2. Sammanslutningar och andra organ som representerar kategorier av registeransvariga eller registerförare i en medlemsstat och som avser att utarbeta uppförandekodexar eller ändra eller utöka befintliga uppförandekodexar får inge dessa för ett yttrande från tillsynsmyndigheten i den berörda medlemsstaten. Tillsynsmyndigheten får yttra sig om huruvida utkastet till uppförandekodex eller ändringen överensstämmer med denna förordning. Tillsynsmyndigheten ska inhämta synpunkter från de registrerade eller deras företrädare om dessa utkast. |
2. Sammanslutningar och andra organ som representerar kategorier av registeransvariga eller registerförare i en medlemsstat och som avser att utarbeta uppförandekodexar eller ändra eller utöka befintliga uppförandekodexar får inge dessa för ett yttrande från tillsynsmyndigheten i den berörda medlemsstaten. Tillsynsmyndigheten ska utan onödigt dröjsmål yttra sig om huruvida behandlingen enligt utkastet till uppförandekod eller ändringen överensstämmer med denna förordning. Tillsynsmyndigheten ska inhämta synpunkter från de registrerade eller deras företrädare om dessa utkast. |
|
3. Sammanslutningar och andra organ som företräder kategorier av registrerade i flera medlemsstater får lämna in utkast till uppförandekodexar och ändringar eller utökningar av befintliga uppförandekodexar till kommissionen. |
3. Sammanslutningar och andra organ som företräder kategorier av registeransvariga eller registerförare i flera medlemsstater får lämna in utkast till uppförandekoder och ändringar eller utökningar av befintliga uppförandekoder till kommissionen. |
|
4. Kommissionen får anta genomförandeakter för att fastställa att de uppförandekodexar och ändringar eller utökningar av befintliga uppförandekodexar som inges till den enligt punkt 3 är allmänt giltiga inom unionen. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2. |
4. Kommissionen ska, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen, ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att fastställa att de uppförandekoder och ändringar eller utökningar av befintliga uppförandekoder som inges till den enligt punkt 3 är förenliga med denna förordning och allmänt giltiga inom unionen. Dessa delegerade akter ska innehålla bestämmelser om de registrerades lagstadgade rättigheter. |
|
5. Kommissionen ska se till att de kodexar om vilka det har beslutats att de har allmän giltighet enligt punkt 4 offentliggörs på lämpligt sätt. |
5. Kommissionen ska se till att de kodexar om vilka det har beslutats att de har allmän giltighet enligt punkt 4 offentliggörs på lämpligt sätt. |
Ändringsförslag 136 Förslag till förordning Artikel 39 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Certifiering |
Certifiering |
|
1. Medlemsstaterna och kommissionen ska, särskilt på EU-nivå, uppmuntra införandet av certifieringsmekanismer för uppgiftsskydd och förseglingar och märkningar för uppgiftsskydd, och på så sätt göra det möjligt för registrerade att snabbt bedöma nivån på det uppgiftsskydd som tillhandahålls av registeransvariga och registerförare. Certifieringsmekanismerna för uppgiftsskydd ska bidra till att denna förordning genomförs korrekt, med hänsyn till de särskilda egenskaperna hos de olika sektorerna och behandlingarna. |
|
|
|
1a. En registeransvarig eller registerförare får begära att en valfri tillsynsmyndighet i unionen, mot en rimlig avgift som täcker de administrativa kostnaderna, certifiera att personuppgifter behandlas i enlighet med denna förordning, särskilt de principer som anges i artiklarna 5, 23 och 30, den registeransvariges och registerförarens skyldigheter och den registrerades rättigheter. |
|
|
1b. Certifieringen ska vara frivillig, överkomlig och tillgänglig via ett öppet förfarande som inte är onödigt betungande. |
|
|
1c. Tillsynsmyndigheterna och Europeiska dataskyddsstyrelsen ska samarbeta inom ramen för mekanismen för enhetlighet enligt artikel 57 för att garantera en harmoniserad certifieringsmekanism för uppgiftsskydd, inklusive harmoniserade avgifter inom unionen. |
|
|
1d. Under certifieringsförfarandet får tillsynsmyndigheten ackreditera specialiserade tredjepartsgranskare för granskningen av den registeransvarige eller registerföraren för myndighetens räkning. Tredjepartsgranskare ska ha tillräckligt kvalificerad personal och vara opartiska och får inte ha några intressekonflikter i fråga om sina uppdrag. Tillsynsmyndigheterna ska återkalla ackrediteringen om det finns skäl att anta att granskaren inte fullgör sitt uppdrag på ett korrekt sätt. Den slutliga certifieringen ska utföras av tillsynsmyndigheten. |
|
|
1e. Registeransvariga och registerförare som på grundval av granskningen blivit certifierade eftersom de behandlar personuppgifter i överensstämmelse med denna förordning ska av tillsynsmyndigheterna tilldelas den standardiserade uppgiftsskyddsmärkningen ”den europeiska uppgiftsskyddsförseglingen”. |
|
|
1f. ”Den europeiska uppgiftsskyddsförseglingen” ska vara giltig så länge den certifierade registeransvariges eller registerförarens uppgiftsbehandling är fullt ut förenlig med denna förordning. |
|
|
1g. Utan hinder av vad som sägs i punkt 1 f ska certifieringen vara giltig i högst fem år. |
|
|
1h. Europeiska dataskyddsstyrelsen ska upprätta ett offentligt elektroniskt register i vilket allmänheten kan se alla giltiga och ogiltiga certifikat som utfärdats i medlemsstaterna. |
|
|
1i. Europeiska dataskyddsstyrelsen får på eget initiativ certifiera att en teknisk standard som stärker uppgiftsskyddet är förenlig med denna förordning. |
|
2. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för de certifieringsmekanismer för uppgiftsskydd som avses i punkt 1, inbegripet villkor för beviljande och återkallande, och kraven för erkännande inom unionen och i tredjeländer. |
2. Kommissionen ska, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen och samrått med de berörda parterna, särskilt näringslivsorganisationer och icke-statliga organisationer, ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för de certifieringsmekanismer för uppgiftsskydd som avses i punkterna 1a–h, inbegripet kraven för ackreditering av granskare, villkoren för beviljande och återkallande, och kraven för erkännande inom unionen och i tredjeländer. Dessa delegerade akter ska innehålla bestämmelser om de registrerades lagstadgade rättigheter. |
|
3. Kommissionen får fastställa tekniska standarder för certifieringsmekanismer och förseglingar och märkningar för uppgiftsskydd samt rutiner för att främja och erkänna certifieringsmekanismer och förseglingar och märkningar för uppgiftsskydd. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2. |
|
Ändringsförslag 137 Förslag till förordning Artikel 41 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Överföring efter beslut om adekvat skyddsnivå |
Överföring efter beslut om adekvat skyddsnivå |
|
1. Om kommissionen har beslutat att tredjelandet, ett territorium eller en behandlande sektor i tredjelandet eller den internationella organisationen i fråga utgör en garant för en adekvat skyddsnivå får uppgifterna överföras. I dessa fall ska det inte krävas något ytterligare tillstånd. |
1. Om kommissionen har beslutat att tredjelandet, ett territorium eller en behandlande sektor i tredjelandet eller den internationella organisationen i fråga utgör en garant för en adekvat skyddsnivå får uppgifterna överföras. I dessa fall ska det inte krävas något särskilt tillstånd. |
|
2. När kommissionen bedömer om en adekvat skyddsnivå råder ska den ta hänsyn till |
2. När kommissionen bedömer om en adekvat skyddsnivå råder ska den ta hänsyn till |
|
a) rättsstatsprincipen, befintlig allmän och sektorsspecifik lagstiftning inom områden som allmän säkerhet, försvar, nationell säkerhet och straffrätt, yrkesregler och säkerhetsbestämmelser som ska följas i det tredjeland eller inom den internationella organisation som berörs, huruvida det finns faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom Europeiska unionen och vars personuppgifter överförs, |
a) rättsstatsprincipen, befintlig allmän och sektorsspecifik lagstiftning inom områden som allmän säkerhet, försvar, nationell säkerhet och straffrätt samt genomförandet av denna lagstiftning, yrkesregler och säkerhetsbestämmelser som ska följas i det tredjeland eller inom den internationella organisation som berörs och huruvida det finns rättsprejudikat eller faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom Europeiska unionen och vars personuppgifter överförs, |
|
b) huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet eller inom den internationella organisationen med ansvar för att se till att bestämmelserna för uppgiftsskydd följs, ge de registrerade råd och assistans när det gäller utövandet av deras rättigheter och samarbeta med unionens och medlemsstaternas tillsynsmyndigheter, och |
b) huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet eller inom den internationella organisationen med ansvar för att se till att bestämmelserna för uppgiftsskydd följs, inklusive tillräckliga sanktionsbefogenheter, ge de registrerade råd och assistans när det gäller utövandet av deras rättigheter och samarbeta med unionens och medlemsstaternas tillsynsmyndigheter, och |
|
c) vilka internationella åtaganden tredjelandet eller den internationella organisationen har gjort. |
c) vilka internationella åtaganden tredjelandet eller den internationella organisationen har gjort, särskilt rättsligt bindande konventioner eller instrument när det gäller skydd av personuppgifter. |
|
3. Kommissionen får besluta att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet ifråga eller en internationell organisation är en garant för adekvat skydd i den mening som avses i punkt 2. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
3. Kommissionen ska ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att besluta att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet i fråga eller en internationell organisation är en garant för adekvat skydd i den mening som avses i punkt 2. Sådana delegerade akter ska innehålla en tidsfristklausul om de gäller en behandlande sektor, och ska upphävas enligt punkt 5 så snart en adekvat skyddsnivå enligt denna förordning inte längre kan garanteras. |
|
4. Beslutets geografiska och sektorsmässiga tillämpning ska regleras i genomförandeakten, där det också i förekommande fall ska anges vilken myndighet som är tillsynsmyndighet enligt punkt 2 b. |
4. Beslutets territoriella och sektorsmässiga tillämpning ska regleras i den delegerade akten, där det också i förekommande fall ska anges vilken myndighet som är tillsynsmyndighet enligt punkt 2 b. |
|
|
4a. Kommissionen ska fortlöpande övervaka utveckling i tredjeländer och internationella organisationer vilken kan påverka det som anges i punkt 2 om en delegerad akt antagits enligt punkt 3. |
|
5. Kommissionen får fastställa att ett tredjeland, ett territorium eller en bahandlande sektor inom tredjelandet i fråga eller en internationell organisation inte kan garantera en adekvat skyddsnivå i den mening som avses i punkt 2, särskilt om den relevanta allmänna eller sektorsspecifika lagstiftning som tillämpas i tredjelandet eller av den internationella organisationen inte garanterar faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom unionen och vars personuppgifter överförs. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2 eller, i fall som är ytterst brådskande för den individ vars personuppgifter behöver skyddas, enligt förfarandet i artikel 87.3. |
5. Kommissionen ska ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att fastställa att ett tredjeland, ett territorium eller en bahandlande sektor inom tredjelandet i fråga eller en internationell organisation inte kan eller inte längre kan garantera en adekvat skyddsnivå i den mening som avses i punkt 2, särskilt om den relevanta allmänna eller sektorsspecifika lagstiftning som tillämpas i tredjelandet eller av den internationella organisationen inte garanterar faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom unionen och vars personuppgifter överförs. |
|
6. Om kommissionen fattar beslut enligt punkt 5 får inga uppgifter överföras till tredjelandet, territoriet eller den behandlande sektorn inom tredjelandet, eller den internationella organisationen i fråga, utan att detta påverkar tillämpningen av artiklarna 42–44. Kommissionen ska vid lämplig tidpunkt samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den situation som uppstått som följd av beslutet enligt punkt 5. |
6. Om kommissionen fattar beslut enligt punkt 5 får inga uppgifter överföras till tredjelandet, territoriet eller den behandlande sektorn inom tredjelandet, eller den internationella organisationen i fråga, utan att detta påverkar tillämpningen av artiklarna 42–44. Kommissionen ska vid lämplig tidpunkt samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den situation som uppstått som följd av beslutet enligt punkt 5. |
|
|
6a. Innan kommissionen antar en delegerad akt enligt punkterna 3 och 5 ska den från Europeiska dataskyddsstyrelsen begära ett yttrande över huruvida skyddsnivån är adekvat. I detta syfte ska kommissionen lämna all nödvändig dokumentation till Europeiska dataskyddsstyrelsen, inklusive korrespondens med regeringen i tredjelandet, territoriet eller den behandlande sektorn i tredjelandet eller den internationella organisationen. |
|
7. Kommissionen ska offentliggöra en förteckning i Europeiska unionens officiella tidning över de tredjeländer och de territorier och behandlande sektorer i ett givet tredjeland samt de internationella organisationer där den har beslutat att en adekvat skyddsnivå inte kan garanteras. |
7. Kommissionen ska offentliggöra en förteckning i Europeiska unionens officiella tidning och på sin webbplats över de tredjeländer och de territorier och behandlande sektorer i ett givet tredjeland samt de internationella organisationer där den har fastställt att en adekvat skyddsnivå inte kan garanteras. |
|
8. De beslut som fattas av kommissionen på grundval av artiklarna 25.6 eller 26.4 i direktiv 95/46/EG ska förbli i kraft tills de ändrats, ersatts eller upphävts av kommissionen. |
8. De beslut som fattas av kommissionen på grundval av artiklarna 25.6 eller 26.4 i direktiv 95/46/EG ska förbli i kraft fem år efter denna förordnings ikraftträdande såvida de inte ändrats, ersatts eller upphävts av kommissionen före utgången av denna period. |
Ändringsförslag 138 Förslag till förordning Artikel 42 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Överföring med stöd av lämpliga skyddsåtgärder |
Överföring med stöd av lämpliga skyddsåtgärder |
|
1. Om kommissionen inte har fattat något sådant beslut som avses i artikel 41 får en registeransvarig eller registerförare endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder för personuppgifter genom ett juridiskt bindande instrument. |
1. Om kommissionen inte har fattat något sådant beslut som avses i artikel 41, eller om den fastställer att ett tredjeland, ett territorium eller en behandlande sektor inom detta tredjeland eller en internationell organisation inte garanterar en adekvat skyddsnivå i enlighet med artikel 41.5, får en registeransvarig eller registerförare inte överföra personuppgifter till ett tredjeland, ett territorium eller en internationell organisation såvida inte den registeransvarige eller registerföraren vidtagit lämpliga skyddsåtgärder för personuppgifter genom ett juridiskt bindande instrument. |
|
2. Lämpliga skyddsåtgärder enligt punkt 1 kan bland annat ta formen av |
2. Lämpliga skyddsåtgärder enligt punkt 1 kan bland annat ta formen av |
|
a) bindande företagsregler enligt artikel 43, |
a) bindande företagsbestämmelser enligt artikel 43, |
|
|
aa) en giltig märkning med ”den europeiska uppgiftsskyddsförseglingen” för den registeransvarige och mottagaren i enlighet med artikel 39.1e, |
|
b) standardiserade uppgiftsskyddsbestämmelser som antas av kommissionen; Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
|
|
c) standardiserade uppgiftsskyddsbestämmelser som antagits av en tillsynsmyndighet enligt den mekanism för enhetlighet som avses i artikel 57 förutsatt att denna bestämmelse förklarats allmänt sett giltig enligt artikel 62.1 b, eller |
c) standardiserade uppgiftsskyddsbestämmelser som antagits av en tillsynsmyndighet enligt den mekanism för enhetlighet som avses i artikel 57 förutsatt att denna bestämmelse förklarats allmänt sett giltig enligt artikel 62.1 b, eller |
|
d) avtalsklausuler mellan den registeransvarige eller registerföraren och mottagaren av uppgifterna, förutsatt att dessa klausuler har godkänts av tillsynsmyndigheten enligt punkt 4. |
d) avtalsklausuler mellan den registeransvarige eller registerföraren och mottagaren av uppgifterna, förutsatt att dessa klausuler har godkänts av tillsynsmyndigheten enligt punkt 4. |
|
3. En överföring som grundar sig på standardiserade uppgiftsskyddsbestämmelser eller bindande företagsregler enligt punkt 2 a, b eller c ska inte kräva något ytterligare tillstånd. |
3. En överföring som grundar sig på standardiserade uppgiftsskyddsbestämmelser, ”den europeiska uppgiftsskyddsförseglingen” eller bindande företagsbestämmelser enligt punkt 2 a, aa eller c ska inte kräva något särskilt tillstånd. |
|
4. Om en överföring grundar sig på avtalsklausuler enligt punkt 2 d ska den registeransvarige eller registerföraren först ansöka om att få dessa klausuler godkända av tillsynsmyndigheten enligt artikel 34.1 a. Om överföringen har samband med behandling av uppgifter om registrerade personer i en eller flera andra medlemsstater eller om den väsentligt påverkar det fria flödet av personuppgifter inom unionen ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57. |
4. Om en överföring grundar sig på avtalsklausuler enligt punkt 2 d ska den registeransvarige eller registerföraren först ansöka om att få dessa klausuler godkända av tillsynsmyndigheten. Om överföringen har samband med behandling av uppgifter om registrerade personer i en eller flera andra medlemsstater eller om den väsentligt påverkar det fria flödet av personuppgifter inom unionen ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57. |
|
5. Om lämpliga skyddsåtgärder för personuppgifter inte garanteras genom ett juridiskt bindande instrument ska den registeransvarige eller registerföraren i förväg söka tillstånd för överföring eller för en serie överföringar, eller söka tillstånd att få införa bestämmelser för ändamålet som en del i de administrativa arrangemang som överföringen ska grundas på. Tillsynsmyndigheten ska besluta om sådant tillstånd enligt artikel 34.1 a. Om överföringen har samband med behandling av uppgifter om registrerade personer i en eller flera andra medlemsstater eller om den väsentligt påverkar det fria flödet av personuppgifter inom unionen ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57. Tillstånd som beviljats av tillsynsmyndigheten på grundval av artikel 26.2 i direktiv 95/46/EG ska förbli giltiga tills de ändrats, ersatts eller upphävts av samma myndighet. |
5. Tillstånd som beviljats av tillsynsmyndigheten på grundval av artikel 26.2 i direktiv 95/46/EG ska förbli giltiga i två år efter denna förordnings ikraftträdande såvida de inte ändrats, ersatts eller upphävts av samma myndighet före utgången av denna period. |
Ändringsförslag 139 Förslag till förordning Artikel 43 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Överföring med stöd av bindande företagsbestämmelser |
Överföring med stöd av bindande företagsbestämmelser |
|
1. En tillsynsmyndighet ska godkänna bindande företagsbestämmelser enligt den mekanism för enhetlighet som föreskrivs i artikel 58, förutsatt att dessa bestämmelser |
1. Tillsynsmyndigheten ska godkänna bindande företagsbestämmelser enligt den mekanism för enhetlighet som föreskrivs i artikel 58, förutsatt att dessa bestämmelser |
|
a) är rättsligt bindande, tillämpas på och verkställs av alla delar av den registeransvariges eller registerförarens företagsgrupp och av dess anställda, |
a) är rättsligt bindande och tillämpas på och verkställs av alla delar av den registeransvariges eller registerförarens företagsgrupp, av dess externa underleverantörer som omfattas av de bindande företagsbestämmelserna och av dess anställda, |
|
b) innehåller uttryckliga bestämmelser om de registrerades lagstadgade rättigheter, |
b) innehåller uttryckliga bestämmelser om de registrerades lagstadgade rättigheter, |
|
c) uppfyller villkoren i punkt 2. |
c) uppfyller villkoren i punkt 2. |
|
|
1a. När det gäller anställningsuppgifter ska de anställdas företrädare informeras om och, i enlighet med unionens eller en medlemsstats lagstiftning och praxis, involveras i utarbetandet av bindande företagsbestämmelser enligt artikel 43. |
|
2. De bindande företagsbestämmelserna ska åtminstone precisera |
2. De bindande företagsbestämmelserna ska åtminstone precisera |
|
a) struktur och kontaktuppgifter för företagsgruppen och dess beståndsdelar, |
a) struktur och kontaktuppgifter för företagsgruppen, dess beståndsdelar och de externa underleverantörer som omfattas av de bindande företagsbestämmelserna, |
|
b) vilka överföringar eller serier av överföringar av uppgifter som omfattas, inklusive kategorierna av personuppgifter, typen av behandling och dess ändamål, den typ av registrerade som berörs samt vilket eller vilka tredjeländer som avses, |
b) vilka överföringar eller serier av överföringar av uppgifter som omfattas, inklusive kategorierna av personuppgifter, typen av behandling och dess ändamål, den typ av registrerade som berörs samt vilket eller vilka tredjeländer som avses, |
|
c) reglernas rättsligt bindande natur, såväl internt som externt, |
c) bestämmelsernas rättsligt bindande natur, såväl internt som externt, |
|
d) allmänna principer för uppgiftsskydd, särskilt avgränsning av syfte, kvalitet på uppgifterna, rättslig grund för behandlingen av dem, principer för behandlingen av känsliga personuppgifter, åtgärder för att garantera skyddet av uppgifterna och villkoren för vidarebefordran av uppgifter till organisationer som inte är bundna av företagsgruppens policy, |
d) allmänna principer för uppgiftsskydd, särskilt avgränsning av syfte, uppgiftsminimering, begränsade perioder för bevarande, kvalitet på uppgifterna, inbyggt uppgiftsskydd och uppgiftsskydd som standard, rättslig grund för behandlingen av dem, principer för behandlingen av känsliga personuppgifter, åtgärder för att garantera skyddet av uppgifterna och villkoren för vidarebefordran av uppgifter till organisationer som inte är bundna av företagsgruppens policy, |
|
e) de registrerades rättigheter och formerna för utövandet av dessa rättigheter, inklusive rätten att inte utsättas för åtgärder baserade på profilering enligt artikel 20, rätten att inge klagomål till tillsynsmyndigheten och till behöriga domstolar i medlemsstaterna enligt artikel 75, rätten till prövning samt i förekommande fall rätten till kompensation för överträdelse av de bindande företagsreglerna, |
e) de registrerades rättigheter och formerna för utövandet av dessa rättigheter, inklusive rätten att inte utsättas för åtgärder baserade på profilering enligt artikel 20, rätten att inge klagomål till tillsynsmyndigheten och till behöriga domstolar i medlemsstaterna enligt artikel 75, rätten till prövning samt i förekommande fall rätten till kompensation för överträdelse av de bindande företagsbestämmelserna, |
|
f) att den registeransvarige eller registerföraren som är etablerad inom medlemsstaternas territorium tar på sig ansvaret om en enhet i företagsgruppen som inte är etablerad inom unionen bryter mot de bindande företagsreglerna; den registeransvarige eller registerföraren får helt eller delvis fritas från denna skyldighet endast på villkoret att den berörda enheten i företagsgruppen inte kan hållas ansvarig för den skada som uppkommit, |
f) att den registeransvarige som är etablerad inom medlemsstaternas territorium tar på sig ansvaret om en enhet i företagsgruppen som inte är etablerad inom unionen bryter mot de bindande företagsbestämmelserna; den registeransvarige får helt eller delvis fritas från denna skyldighet endast på villkoret att den berörda enheten i företagsgruppen inte kan hållas ansvarig för den skada som uppkommit, |
|
g) hur de registrerade i enlighet med artikel 11 ska informeras om innehållet i de bindande företagsreglerna, särskilt de bestämmelser som avses i d, e och f i denna punkt, |
g) hur de registrerade i enlighet med artikel 11 ska informeras om innehållet i de bindande företagsbestämmelserna, särskilt de bestämmelser som avses i d, e och f i denna punkt, |
|
h) arbetsuppgifterna för det uppgiftsskyddsombud som utsetts enligt artikel 35, särskilt när det gäller att kontrollera hur de bindande företagsreglerna följs inom företagsgruppen samt i fråga om utbildning och behandling av klagomål, |
h) arbetsuppgifterna för det uppgiftsskyddsombud som utsetts enligt artikel 35, särskilt när det gäller att kontrollera hur de bindande företagsbestämmelserna följs inom företagsgruppen samt i fråga om utbildning och behandling av klagomål, |
|
i) företagsgruppens rutiner för att kontrollera att de bindande företagsreglerna följs, |
i) företagsgruppens rutiner för att kontrollera att de bindande företagsbestämmelserna följs, |
|
j) rutinerna för att rapportera och dokumentera ändringar i gruppens policy, samt rutinerna för att rapportera dessa ändringar till tillsynsmyndigheten, |
j) rutinerna för att rapportera och dokumentera ändringar i gruppens policy, samt rutinerna för att rapportera dessa ändringar till tillsynsmyndigheten, |
|
k) rutinerna för att samarbeta med tillsynsmyndigheten i syfte att se till att alla enheter i företagsgruppen följer reglerna, särskilt genom att meddela tillsynsmyndigheten alla resultat av de kontroller som avses i led i. |
k) rutinerna för att samarbeta med tillsynsmyndigheten i syfte att se till att alla enheter i företagsgruppen följer reglerna, särskilt genom att meddela tillsynsmyndigheten alla resultat av de kontroller som avses i led i. |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och kraven för bindande företagsbestämmelser i den mening som avses i denna artikel, särskilt i fråga om kriterierna för godkännande av sådana bestämmelser, tillämpningen av punkt 2 b, d, e och f i fråga om bindande företagsbestämmelser som tillämpas av registerförare, samt om ytterligare krav som gäller skyddet av de registrerades personuppgifter. |
3. Kommissionen ska ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att ytterligare precisera formaten, förfarandena, kriterierna och kraven för bindande företagsbestämmelser i den mening som avses i denna artikel, särskilt i fråga om kriterierna för godkännande av sådana bestämmelser – inklusive insyn för de registrerade –, tillämpningen av punkt 2 b, d, e och f i fråga om bindande företagsbestämmelser som tillämpas av registerförare, samt om ytterligare krav som gäller skyddet av de registrerades personuppgifter. |
|
4. Kommissionen får precisera vilket format och vilka rutiner som ska användas för de registeransvarigas, registerförarnas och tillsynsmyndigheternas elektroniska utbyte av information om bindande företagsregler i den mening som avses i denna artikel. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2. |
|
Ändringsförslag 140 Förslag till förordning Artikel 43a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 43a |
|
|
Överföringar och utlämnanden som inte är tillåtna enligt unionslagstiftningen |
|
|
1. Domar respektive beslut som meddelas av domstolar eller av administrativa myndigheter i ett tredjeland och som ålägger en registeransvarig eller registerförare att lämna ut personuppgifter får inte vare sig erkännas eller på något vis vara verkställbara, dock utan att detta påverkar tillämpningen av fördrag om ömsesidig rättslig hjälp eller ett gällande internationellt avtal mellan det tredjeland som framställer en begäran och unionen eller en medlemsstat. |
|
|
2. Om det i en dom respektive ett beslut som meddelas av en domstol eller av en administrativ myndighet i ett tredjeland begärs att en registeransvarig eller registerförare ska lämna ut personuppgifter ska den registeransvarige eller registerföraren och den registeransvariges eventuella företrädare utan onödigt dröjsmål anmäla detta till tillsynsmyndigheten och ansöka om tillsynsmyndighetens förhandstillstånd till överföringen eller utlämnandet. |
|
|
3. Tillsynsmyndigheten ska bedöma om det begärda utlämnandet är förenligt med denna förordning och i synnerhet om utlämnandet är nödvändigt och ett lagstadgat krav i enlighet med artikel 44.1 d och e och artikel 44.5. Om registrerade från andra medlemsstater påverkas ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57. |
|
|
4. Tillsynsmyndigheten ska informera den behöriga nationella myndigheten om begäran. Utan att det påverkar tillämpningen av artikel 21 ska den registeransvarige eller registerföraren även informera de registrerade om begäran och om det tillstånd som tillsynsmyndigheten utfärdat samt, i tillämpliga fall, informera den registrerade om huruvida personuppgifter lämnats ut till offentliga myndigheter under den senaste sammanhängande tolvmånadersperioden, i enlighet med artikel 14.1 ha. |
Ändringsförslag 141 Förslag till förordning Artikel 44 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Undantag |
Undantag |
|
1. Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 41 eller lämpliga skyddsåtgärder enligt artikel 42 får en överföring eller serier av överföringar till ett tredjeland eller en internationell organisation bara ske om något av följande villkor är uppfyllt: |
1. Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 41 eller lämpliga skyddsåtgärder enligt artikel 42 får en överföring eller serier av överföringar till ett tredjeland eller en internationell organisation bara ske om något av följande villkor är uppfyllt: |
|
a) Den registrerade har samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de risker en överföring kan medföra när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder. |
a) Den registrerade har samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de risker en överföring kan medföra när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder. |
|
b) Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den registeransvarige eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran. |
b) Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den registeransvarige eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran. |
|
c) Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den registeransvarige och en annan fysisk eller juridisk person i den registrerades intresse. |
c) Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den registeransvarige och en annan fysisk eller juridisk person i den registrerades intresse. |
|
d) Överföringen bedöms gynna viktiga samhälleliga intressen. |
d) Överföringen bedöms gynna viktiga samhälleliga intressen. |
|
e) Överföringen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk. |
e) Överföringen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk. |
|
f) Överföringen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke. |
f) Överföringen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke. |
|
g) Överföringen görs från ett register som enligt unionens eller medlemsstatens lagstiftning är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i unionslagstiftningen eller medlemsstatens lagstiftning angivna villkoren för tillgänglighet uppfylls i det enskilda fallet. |
g) Överföringen görs från ett register som enligt unionens eller medlemsstatens lagstiftning är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i unionslagstiftningen eller medlemsstatens lagstiftning angivna villkoren för tillgänglighet uppfylls i det enskilda fallet. |
|
h) Överföringen är nödvändig för att tillgodose den registeransvariges eller registerförarens berättigade intressen, där överföringen inte kan anses vara ofta återkommande eller omfattande, och där den registeransvarige eller registerföraren har bedömt alla omständigheter kring en överföring eller en serie av överföringar av uppgifter och utifrån denna bedömning om så krävts vidtagit lämpliga åtgärder för att skydda personuppgifter. |
|
|
2. En överföring enligt punkt 1 g får inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna. |
2. En överföring enligt punkt 1 g får inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna. |
|
3. Om behandlingen av uppgifter grundas på punkt 1 h ska den registeransvarige eller registerföraren ta särskild hänsyn till uppgiftens art, den eller de avsedda behandlingarnas ändamål och varaktighet samt situationen i ursprungslandet, tredjelandet och det slutliga bestämmelselandet, och om så krävs vidta lämpliga åtgärder för att skydda personuppgifter. |
|
|
4. Punkt 1 b, c och h ska inte gälla åtgärder som vidtas av offentliga myndigheter som en del av deras offentliga befogenheter. |
4. Punkt 1 b och c ska inte gälla åtgärder som vidtas av offentliga myndigheter som en del av deras offentliga befogenheter. |
|
5. Allmänhetens intresse enligt punkt 1 d får bara åberopas om det har stöd i unionslagstiftning eller i den medlemsstats lagstiftning som är tillämplig på den registeransvarige. |
5. Allmänhetens intresse enligt punkt 1 d får bara åberopas om det har stöd i unionslagstiftning eller i den medlemsstats lagstiftning som är tillämplig på den registeransvarige. |
|
6. Den registeransvarige eller registerföraren ska, som en del av den dokumentation som avses i artikel 28, bevara uppgifter både om den bedömning som gjorts och de lämpliga skyddsåtgärder som vidtagits enligt punkt 1 h, och ska underrätta tillsynsmyndigheten om överföringen. |
|
|
7. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att precisera villkoren för vad som bedöms ”gynna viktiga samhälleliga intressen” enligt punkt 1 d liksom kriterierna och kraven för lämpliga åtgärder för att skydda personuppgifter enligt punkt 1 h. |
7. Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med artikel 66.1 b för att precisera kriterierna och kraven för uppgiftsöverföringar på grundval av punkt 1. |
Ändringsförslag 142 Förslag till förordning Artikel 45 – punkt 1 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
a) utveckla ändamålsenliga rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om skydd av personuppgifter, |
a) utveckla ändamålsenliga rutiner för det internationella samarbetet för att garantera en effektiv tillämpning av lagstiftningen om skydd av personuppgifter, |
Ändringsförslag 143 Förslag till förordning Artikel 45 – punkt 1 – led da (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
da) klargöra och samråda om behörighetskonflikter med tredjeländer. |
Ändringsförslag 144 Förslag till förordning Artikel 45a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 45a |
|
|
Rapport från kommissionen |
|
|
Kommissionen ska regelbundet och med början senast fyra år efter den dag som avses i artikel 91.1 lämna en rapport till Europaparlamentet och rådet om tillämpningen av artiklarna 40–45. För det ändamålet får kommissionen begära in information från medlemsstaterna och tillsynsmyndigheterna, vilken ska lämnas utan onödigt dröjsmål. Rapporten ska offentliggöras. |
Ändringsförslag 145 Förslag till förordning Artikel 47 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Tillsynsmyndigheten ska vara fullständigt oberoende i utövandet av det uppdrag och de befogenheter som den anförtrotts. |
1. Tillsynsmyndigheten ska vara fullständigt oberoende och opartisk i utövandet av det uppdrag och de befogenheter som den anförtrotts, utan hinder av arrangemang för samarbete och enhetlighet enligt kapitel VII i denna förordning. |
Ändringsförslag 146 Förslag till förordning Artikel 47 – punkt 7a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
7a. Alla medlemsstater ska se till att tillsynsmyndigheterna är ansvariga inför de nationella parlamenten när det gäller budgetkontrollen. |
Ändringsförslag 147 Förslag till förordning Artikel 50 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Tystnadsplikt |
Tystnadsplikt |
|
Både under och efter sin mandattid respektive anställning ska tillsynsmyndighetens ledamöter och personal omfattas av tystnadsplikt vad avser konfidentiell information som har kommit till deras kännedom under tjänsteutövningen. |
Både under och efter sin mandattid respektive anställning ska tillsynsmyndighetens ledamöter och personal, i enlighet med nationell lagstiftning och praxis, omfattas av tystnadsplikt vad avser konfidentiell information som har kommit till deras kännedom under tjänsteutövningen samt utföra sina arbetsuppgifter på ett oberoende och öppet sätt i enlighet med förordningen. |
Ändringsförslag 148 Förslag till förordning Artikel 51 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje tillsynsmyndighet ska inom sin respektive medlemsstats territorium utöva de befogenheter som tilldelas den enligt denna förordning. |
1. Utan att det påverkar tillämpningen av artiklarna 73 och 74 ska varje tillsynsmyndighet inom sin respektive medlemsstats territorium vara behörig att utföra de arbetsuppgifter och utöva de befogenheter som tilldelas den enligt denna förordning. Tillsyn över offentliga myndigheters uppgiftsbehandling ska utövas uteslutande av tillsynsmyndigheten i respektive medlemsstat. |
Ändringsförslag 149 Förslag till förordning Artikel 51 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. När personuppgifter behandlas som en del av verksamheten hos en registeransvarig eller registerförare som är etablerad i unionen, och den registeransvarige eller registerföraren i fråga är etablerad i fler än en medlemsstat, ska den tillsynsmyndighet som är behörig på dess huvudsakliga verksamhetsställe vara behörig att utöva tillsyn över all behandling av personuppgifter som utförs av denne registeransvarige eller registerförare i alla medlemsstater, utan att detta påverkar tillämpningen av kapitel VII i denna förordning. |
utgår |
Ändringsförslag 150 Förslag till förordning Artikel 52 – punkt 1 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
b) Ta emot klagomål från registrerade eller från sammanslutningar som representerar registrerade enligt artikel 73, där så är lämpligt undersöka sakfrågan och inom rimlig tid underrätta den registrerade eller sammanslutningen om hur behandlingen av klagomålet fortskrider och vilken slutsats som nås, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet. |
b) Ta emot klagomål från registrerade eller från sammanslutningar enligt artikel 73, där så är lämpligt undersöka sakfrågan och inom rimlig tid underrätta den registrerade eller sammanslutningen om hur behandlingen av klagomålet fortskrider och vilken slutsats som nås, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet. |
Ändringsförslag 151 Förslag till förordning Artikel 52 – punkt 1 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
d) Utföra undersökningar på eget initiativ, på grundval av klagomål eller på begäran av en annan tillsynsmyndighet och – om en undersökning grundar sig på ett klagomål som en registrerad lämnat in till myndigheten – underrätta den registrerade om resultatet inom rimlig tid. |
d) Utföra undersökningar på eget initiativ, på grundval av klagomål eller specifika och dokumenterade uppgifter som mottagits och som tyder på otillåten behandling eller på begäran av en annan tillsynsmyndighet och – om en undersökning grundar sig på ett klagomål som en registrerad lämnat in till myndigheten – underrätta den registrerade om resultatet inom rimlig tid. |
Ändringsförslag 152 Förslag till förordning Artikel 52 – punkt 1 – led ja (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
ja) Certifiera registeransvariga och registerförare enligt artikel 39. |
Ändringsförslag 153 Förslag till förordning Artikel 52 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Alla tillsynsmyndigheter har i uppdrag att öka allmänhetens medvetenhet om risker, regler, skyddsåtgärder och rättigheter i fråga om behandlingen av personuppgifter. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn. |
2. Alla tillsynsmyndigheter har i uppdrag att öka allmänhetens medvetenhet om risker, regler, skyddsåtgärder och rättigheter i fråga om behandlingen av personuppgifter samt om lämpliga åtgärder för skydd av personuppgifter. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn. |
Ändringsförslag 154 Förslag till förordning Artikel 52 – punkt 2a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2a. Alla tillsynsmyndigheter ska tillsammans med Europeiska dataskyddsstyrelsen främja registeransvarigas och registerförares medvetenhet om risker, regler, skyddsåtgärder och rättigheter i fråga om behandlingen av personuppgifter. Detta inbegriper att föra ett register över sanktioner och överträdelser. Registret ska i så stor detalj som möjligt innehålla alla varningar och sanktioner samt information om avhjälpande av överträdelser. Alla tillsynsmyndigheter ska på begäran förse mikroföretag, små och medelstora företag, registeransvariga och registerförare med allmän information om deras ansvarsområden och skyldigheter i enlighet med denna förordning. |
Ändringsförslag 155 Förslag till förordning Artikel 52 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Om en registrerad begär tjänster som uppenbart är orimligt omfattande, till exempel på grund av repetitiv karaktär, får tillsynsmyndigheten ta ut en avgift eller avstå från att utföra de tjänster som den registrerade begär. I så fall ska det åligga tillsynsmyndigheten att visa att begäran är uppenbart orimlig. |
6. Om en registrerad begär tjänster som uppenbart är orimligt omfattande, till exempel på grund av repetitiv karaktär, får tillsynsmyndigheten ta ut en rimlig avgift eller avstå från att utföra de tjänster som den registrerade begär. Avgiften får inte överstiga kostnaden för att utföra de begärda tjänsterna. I så fall ska det åligga tillsynsmyndigheten att visa att begäran är uppenbart orimlig. |
Ändringsförslag 156 Förslag till förordning Artikel 53 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Befogenheter |
Befogenheter |
|
1. Varje tillsynsmyndighet ska ha befogenhet att |
1. Varje tillsynsmyndighet ska i linje med denna förordning ha befogenhet att |
|
a) meddela den registeransvarige eller registerföraren om det finns en påstådd överträdelse av bestämmelserna om behandling av personuppgifter, och om så krävs specifikt beordra den registeransvarige eller registerföraren att komma tillrätta med överträdelsen och därigenom skydda den registrerade, |
a) meddela den registeransvarige eller registerföraren om det finns en påstådd överträdelse av bestämmelserna om behandling av personuppgifter, och om så krävs specifikt beordra den registeransvarige eller registerföraren att komma tillrätta med överträdelsen och därigenom skydda den registrerade, eller beordra den registeransvarige att meddela den registrerade att ett personuppgiftsbrott begåtts, |
|
b) beordra den registeransvarige eller registerföraren att följa den registrerades krav att få utöva sina rättigheter enligt den här förordningen, |
b) beordra den registeransvarige eller registerföraren att följa den registrerades krav att få utöva sina rättigheter enligt den här förordningen, |
|
c) beordra den registeransvarige eller registerföraren, och där så krävs företrädaren, att lägga fram alla uppgifter som behövs för att myndigheten ska kunna fullgöra sitt uppdrag, |
c) beordra den registeransvarige eller registerföraren, och där så krävs företrädaren, att lägga fram alla uppgifter som behövs för att myndigheten ska kunna fullgöra sitt uppdrag, |
|
d) se till att de förhandstillstånd eller förhandssamråd som avses i artikel 34 efterlevs, |
d) se till att de förhandstillstånd eller förhandssamråd som avses i artikel 34 efterlevs, |
|
e) varna eller tillrättavisa den registeransvarige eller registerföraren, |
e) varna eller tillrättavisa den registeransvarige eller registerföraren, |
|
f) beordra rättelse, radering eller förstöring av alla uppgifter som har behandlats på ett sätt som står i strid med denna förordning samt underrätta den tredje part till vilken uppgifterna har lämnats ut om dessa åtgärder, |
f) beordra rättelse, radering eller förstöring av alla uppgifter som har behandlats på ett sätt som står i strid med denna förordning samt underrätta den tredje part till vilken uppgifterna har lämnats ut om dessa åtgärder, |
|
g) tillfälligt eller definitivt förbjuda behandling, |
g) tillfälligt eller definitivt förbjuda behandling, |
|
h) avbryta flödet av uppgifter till en mottagare i tredje land eller en internationell organisation, |
h) avbryta flödet av uppgifter till en mottagare i tredje land eller en internationell organisation, |
|
i) avge yttranden i frågor som rör skydd av personuppgifter, |
i) avge yttranden i frågor som rör skydd av personuppgifter, |
|
|
ia) certifiera registeransvariga och registerförare enligt artikel 39, |
|
j) informera nationella parlament, regeringar, andra politiska institutioner och allmänhet om frågor som rör skydd av personuppgifter. |
j) informera nationella parlament, regeringar, andra politiska institutioner och allmänhet om frågor som rör skydd av personuppgifter. |
|
|
ja) införa ändamålsenliga mekanismer för att uppmuntra konfidentiell rapportering av överträdelser av denna förordning, med beaktande av vägledningen från Europeiska dataskyddsstyrelsen enligt artikel 66.4b. |
|
2. Varje tillsynsmyndighet ska ha de undersökningsbefogenheter som behövs för att kräva följande av den registeransvarige eller registerföraren: |
2. Varje tillsynsmyndighet ska ha de undersökningsbefogenheter som behövs för att kräva följande av den registeransvarige eller registerföraren utan föregående meddelande: |
|
a) Tillgång till personuppgifter och all annan information som myndigheten behöver för att kunna fullgöra sitt uppdrag. |
a) Tillgång till de personuppgifter, alla handlingar och all annan information som myndigheten behöver för att kunna fullgöra sitt uppdrag. |
|
b) Tillgång till den registeransvariges eller registerförarens lokaler, inklusive all utrustning och alla andra medel för behandling av personuppgifter, om det finns rimliga skäl att anta att där har förekommit överträdelser av denna förordning. |
b) Tillgång till den registeransvariges eller registerförarens lokaler, inklusive all utrustning och alla andra medel för behandling av personuppgifter. |
|
Befogenheterna i b ska utövas på ett sätt som är förenligt med unionens och medlemsstatens lagstiftning. |
Befogenheterna i b ska utövas på ett sätt som är förenligt med unionens och medlemsstatens lagstiftning. |
|
3. Varje tillsynsmyndighet ska ha befogenhet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och att väcka talan vid domstol, särskilt enligt artiklarna 74.4 och 75.2. |
3. Varje tillsynsmyndighet ska ha befogenhet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och att väcka talan vid domstol, särskilt enligt artiklarna 74.4 och 75.2. |
|
4. Varje tillsynsmyndighet ska också ha befogenhet att utfärda sanktioner vid administrativa överträdelser, särskilt enligt artikel 79.4, 79.5 och 79.6. |
4. Varje tillsynsmyndighet ska också ha befogenhet att utfärda sanktioner vid administrativa överträdelser i enlighet med artikel 79. Denna befogenhet ska utövas på ett effektivt, proportionellt och avskräckande sätt. |
Ändringsförslag 157 Förslag till förordning Artikel 54 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Varje tillsynsmyndighet ska lägga fram en årlig verksamhetsrapport. Rapporten ska läggas fram inför det nationella parlamentet och göras tillgänglig för allmänheten samt för kommissionen och Europeiska dataskyddsstyrelsen. |
Varje tillsynsmyndighet ska minst vartannat år lägga fram en rapport om sin verksamhet. Rapporten ska läggas fram för respektive parlament och göras tillgänglig för allmänheten, kommissionen och Europeiska dataskyddsstyrelsen. |
Ändringsförslag 158 Förslag till förordning Artikel 54a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 54a |
|
|
Ansvarig myndighet |
|
|
1. Om personuppgifter behandlas inom ramen för verksamheten vid en registeransvarigs eller registerförares verksamhetsställe i unionen och denne registeransvarige eller registerförare är verksam i mer än en medlemsstat, eller om personuppgifter från bosatta i olika medlemsstater behandlas, ska tillsynsmyndigheten för den registeransvariges eller registerförarens huvudsakliga verksamhetsställe fungera som den ansvariga myndigheten med ansvar för tillsynen över den registeransvariges eller registerförarens uppgiftsbehandling i alla medlemsstater, i enlighet med bestämmelserna i kapitel VII i denna förordning. |
|
|
2. Den ansvariga tillsynsmyndigheten ska vidta lämpliga åtgärder för tillsynen över uppgiftsbehandlingen hos den registeransvarige eller registerförare för vilken den är ansvarig först efter att ha samrått med alla andra behöriga tillsynsmyndigheter i den mening som avses i artikel 51.1 i ett försök att uppnå samförstånd. I detta syfte ska den framför allt lämna all relevant information och samråda med övriga myndigheter innan den vidtar åtgärder som är avsedda att ha rättsliga följder för en registeransvarig eller registerförare i den mening som avses i artikel 51.1. Den ansvariga myndigheten ska ta största möjliga hänsyn till de berörda myndigheternas yttranden. Den ansvariga myndigheten ska vara den enda myndighet som har befogenhet att besluta om åtgärder som är avsedda att ha rättsliga följder när det gäller uppgiftsbehandlingen hos den registeransvarige eller registerförare för vilken den är ansvarig. |
|
|
3. Europeiska dataskyddsstyrelsen ska på begäran av en behörig tillsynsmyndighet avge ett yttrande över fastställandet av den ansvariga myndigheten med ansvar för en registeransvarig eller registerförare i fall där |
|
|
a) det med utgångspunkt från omständigheterna i ett ärende är oklart var den registeransvariges eller registerförarens huvudsakliga verksamhetsställe är beläget, eller |
|
|
b) de behöriga myndigheterna inte är överens om vilken tillsynsmyndighet som ska fungera som ansvarig myndighet, eller |
|
|
c) den registeransvarige inte är etablerad i unionen men bosatta i olika medlemsstater påverkas av uppgiftsbehandling som omfattas av denna förordning. |
|
|
3a. Om den registeransvarige även utför verksamhet som registerförare ska tillsynsmyndigheten för den registeransvariges huvudsakliga verksamhetsställe fungera som ansvarig myndighet med ansvar för tillsynen över uppgiftsbehandlingen. |
|
|
4. Europeiska dataskyddsstyrelsen får besluta om fastställandet av ansvarig myndighet. |
(Punkt 1 i parlamentets ändringsförslag bygger på artikel 51.2 i kommissionens förslag). | |
Ändringsförslag 159 Förslag till förordning Artikel 55 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning enhetligt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Som en del av det ömsesidiga biståndet ska tillsynsmyndigheterna bland annat kunna begära information från varandra och bistå varandra i tillsynsarbetet, till exempel genom att uppmana varandra att utfärda förhandstillstånd eller bedriva förhandssamråd, utföra inspektioner och komma med snabb information i samband med att ärenden inleds och fortskrider i fall där registrerade personer i flera medlemsstater kan komma att påverkas av att uppgifter behandlas. |
1. Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning enhetligt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Som en del av det ömsesidiga biståndet ska tillsynsmyndigheterna bland annat kunna begära information från varandra och bistå varandra i tillsynsarbetet, till exempel genom att uppmana varandra att utfärda förhandstillstånd eller bedriva förhandssamråd, utföra inspektioner och utredningar och komma med snabb information i samband med att ärenden inleds och fortskrider i fall där den registeransvarige eller registerföraren har verksamhetsställen i flera medlemsstater eller registrerade personer i flera medlemsstater kan komma att påverkas av att uppgifter behandlas. Den ansvariga myndigheten enligt definitionen i artikel 54a ska garantera samordningen med berörda tillsynsmyndigheter och ska fungera som gemensam kontaktpunkt för den registeransvarige eller registerföraren. |
Ändringsförslag 160 Förslag till förordning Artikel 55 – punkt 7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
7. Åtgärder som vidtagits efter en begäran om ömsesidigt bistånd ska inte vara belagda med någon avgift. |
7. Åtgärder som vidtagits efter en begäran om ömsesidigt bistånd ska inte vara belagda med någon avgift för den begärande tillsynsmyndigheten. |
Ändringsförslag 161 Förslag till förordning Artikel 55 – punkt 8 | |
|
Kommissionens förslag |
Ändringsförslag |
|
8. Om en tillsynsmyndighet som tagit emot en begäran från en annan tillsynsmyndighet inte agerat inom en månad ska den myndighet som lämnat begäran ha befogenhet att vidta en provisorisk åtgärd på sin medlemsstats territorium i kraft av artikel 51.1, och ska lämna över ärendet till Europeiska dataskyddsstyrelsen enligt förfarandet i artikel 57. |
8. Om en tillsynsmyndighet som tagit emot en begäran från en annan tillsynsmyndighet inte agerat inom en månad ska den myndighet som lämnat begäran ha befogenhet att vidta en provisorisk åtgärd på sin medlemsstats territorium i kraft av artikel 51.1, och ska lämna över ärendet till Europeiska dataskyddsstyrelsen enligt förfarandet i artikel 57. Om det på grund av att biståndsåtgärderna ännu inte slutförts inte går att vidta en definitiv åtgärd får den myndighet som lämnat begäran vidta en provisorisk åtgärd enligt artikel 53 på sin medlemsstats territorium. |
Ändringsförslag 162 Förslag till förordning Artikel 55 – punkt 9 | |
|
Kommissionens förslag |
Ändringsförslag |
|
9. Tillsynsmyndigheten ska då precisera hur länge denna provisoriska åtgärd ska gälla. Denna period får inte överskrida tre månader. Tillsynsmyndigheten ska utan dröjsmål underrätta Europeiska dataskyddsstyrelsen och kommissionen om dessa åtgärder, och ge en uttömmande motivering. |
9. Tillsynsmyndigheten ska då precisera hur länge denna provisoriska åtgärd ska gälla. Denna period får inte överskrida tre månader. Tillsynsmyndigheten ska utan dröjsmål underrätta Europeiska dataskyddsstyrelsen och kommissionen om dessa åtgärder, och ge en uttömmande motivering, i enlighet med det förfarande som avses i artikel 57. |
Ändringsförslag 163 Förslag till förordning Artikel 55 – punkt 10 | |
|
Kommissionens förslag |
Ändringsförslag |
|
10. Kommissionen får precisera format och förfaranden för sådant ömsesidigt bistånd som avses i denna artikel samt formerna för elektronisk överföring av information tillsynsmyndigheter emellan, samt mellan tillsynsmyndigheter och Europeiska dataskyddsstyrelsen, i synnerhet det standardiserade format som avses i punkt 6. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
10. Europeiska dataskyddsstyrelsen får precisera format och förfaranden för sådant ömsesidigt bistånd som avses i denna artikel samt formerna för elektronisk överföring av information tillsynsmyndigheter emellan, samt mellan tillsynsmyndigheter och Europeiska dataskyddsstyrelsen, i synnerhet det standardiserade format som avses i punkt 6. |
Ändringsförslag 164 Förslag till förordning Artikel 56 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Om registrerade personer i flera medlemsstater kan komma att påverkas av att uppgifter behandlas ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i det gemensamma undersökningsarbetet eller i andra gemensamma insatser enligt vad som är lämpligt i det enskilda fallet. Den behöriga tillsynsmyndigheten ska inbjuda tillsynsmyndigheterna i var och en av de berörda medlemsstaterna att delta i det gemensamma underökningsarbetet eller de gemensamma insatserna och ska utan dröjsmål svara på en annan tillsynsmyndighets begäran att få delta. |
2. Om den registeransvarige eller registerföraren har verksamhetsställen i flera medlemsstater eller om registrerade personer i flera medlemsstater kan komma att påverkas av att uppgifter behandlas ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i det gemensamma undersökningsarbetet eller i andra gemensamma insatser enligt vad som är lämpligt i det enskilda fallet. Den ansvariga myndigheten enligt definitionen i artikel 54a ska involvera tillsynsmyndigheterna i var och en av de berörda medlemsstaterna i det gemensamma undersökningsarbetet eller de gemensamma insatserna och ska utan dröjsmål svara på en annan tillsynsmyndighets begäran att få delta. Den ansvariga myndigheten ska fungera som gemensam kontaktpunkt för den registeransvarige och registerföraren. |
Ändringsförslag 165 Förslag till förordning Artikel 57 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Mekanism för enhetlighet |
Mekanism för enhetlighet |
|
För de ändamål som anges i artikel 46.1 ska tillsynsmyndigheterna samarbeta inbördes och med kommissionen genom den mekanism för enhetlighet som regleras i detta avsnitt. |
För de ändamål som anges i artikel 46.1 ska tillsynsmyndigheterna samarbeta inbördes och med kommissionen genom mekanismen för enhetlighet i samband med såväl frågor av allmän räckvidd som enskilda fall, i enlighet med bestämmelserna i detta avsnitt. |
Ändringsförslag 166 Förslag till förordning Artikel 58 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Yttrande från Europeiska dataskyddsstyrelsen |
Enhetlighet i frågor av allmän räckvidd |
|
1. Innan en tillsynsmyndighet vidtar en åtgärd enligt punkt 2 ska den skicka ett utkast till den planerade åtgärden till Europeiska dataskyddsstyrelsen och till kommissionen. |
1. Innan en tillsynsmyndighet vidtar en åtgärd enligt punkt 2 ska den skicka ett utkast till den planerade åtgärden till Europeiska dataskyddsstyrelsen och till kommissionen. |
|
2. Skyldigheten enligt punkt 1 ska omfatta alla åtgärder som är avsedda att ge rättsliga följder och som |
2. Skyldigheten enligt punkt 1 ska omfatta alla åtgärder som är avsedda att ge rättsliga följder och som |
|
a) gäller behandling av uppgifter i samband med tillhandahållande av varor eller tjänster till registrerade i flera medlemsstater eller till kartläggning av dessa registrerade personers beteende, |
|
|
b) som väsentligt kan påverka det fria flödet av personuppgifter inom unionen, |
|
|
c) som syftar till att anta en förteckning över sådan behandling som omfattas av förhandssamråd enligt artikel 34.5, |
|
|
d) syftar till att fastställa standardiserade uppgiftsskyddsbestämmelser enligt artikel 42.2 c, |
d) syftar till att fastställa standardiserade uppgiftsskyddsbestämmelser enligt artikel 42.2 c, |
|
e) syftar till att godkänna avtalsklausuler enligt artikel 42.2 d, eller |
e) syftar till att godkänna avtalsklausuler enligt artikel 42.2 d, eller |
|
f) syftar till att godkänna bindande företagsbestämmelser enligt artikel 43. |
f) syftar till att godkänna bindande företagsbestämmelser enligt artikel 43. |
|
3. Varje tillsynsmyndighet kan liksom Europeiska dataskyddsstyrelsen begära att en fråga ska tas upp inom mekanismen för enhetlighet, särskilt i fall där en tillsynsmyndighet inte har skickat ett utkast till en planerad åtgärd enligt punkt 2 eller inte har uppfyllt villkoren för ömsesidigt bistånd enligt artikel 55 eller för gemensamma insatser enligt artikel 56. |
3. Varje tillsynsmyndighet kan liksom Europeiska dataskyddsstyrelsen begära att en fråga av allmän räckvidd ska tas upp inom mekanismen för enhetlighet, särskilt i fall där en tillsynsmyndighet inte har skickat ett utkast till en planerad åtgärd enligt punkt 2 eller inte har uppfyllt villkoren för ömsesidigt bistånd enligt artikel 55 eller för gemensamma insatser enligt artikel 56. |
|
4. För att garantera en korrekt och enhetlig tillämpning av denna förordning ska kommissionen ha befogenhet att begära att vilken fråga som helst ska tas upp inom mekanismen för enhetlighet. |
4. För att garantera en korrekt och enhetlig tillämpning av denna förordning ska kommissionen ha befogenhet att begära att varje fråga av allmän räckvidd ska tas upp inom mekanismen för enhetlighet. |
|
5. Tillsynsmyndigheterna och kommissionen ska i ett standardiserat elektroniskt format översända all relevant information, i förekommande fall en sammanfattning av sakförhållanden, ett utkast till åtgärd och en motivering till att en sådan åtgärd bedöms vara nödvändig. |
5. Tillsynsmyndigheterna och kommissionen ska utan onödigt dröjsmål och i ett standardiserat elektroniskt format översända all relevant information, i förekommande fall en sammanfattning av sakförhållanden, ett förslag till åtgärd och en motivering till att en sådan åtgärd bedöms vara nödvändig. |
|
6. Europeiska dataskyddsstyrelsens ordförande ska i ett standardiserat elektroniskt format omedelbart upplysa dess ledamöter samt kommissionen om all relevant information som meddelats styrelsen. Där så krävs ska Europeiska dataskyddsstyrelsens ordförande se till att relevant information översätts. |
6. Europeiska dataskyddsstyrelsens ordförande ska utan onödigt dröjsmål och i ett standardiserat elektroniskt format upplysa dess ledamöter samt kommissionen om all relevant information som meddelats styrelsen. Där så krävs ska Europeiska dataskyddsstyrelsens sekretariat se till att relevant information översätts. |
|
|
6a. Europeiska dataskyddsstyrelsen ska anta ett yttrande i frågor som hänskjuts till den enligt punkt 2. |
|
7. Europeiska dataskyddsstyrelsen ska lägga fram ett yttrande i frågan om styrelsen själv så beslutar med enkel majoritet av ledamöterna eller på begäran av en tillsynsmyndighet eller kommissionen inom en vecka efter att den relevanta informationen enligt punkt 5 har lagts fram. Yttrandet ska antas inom en månad med enkel majoritet av Europeiska dataskyddsstyrelsens ledamöter. Europeiska dataskyddsstyrelsens ordförande ska utan onödigt dröjsmål underrätta den berörda tillsynsmyndigheten enligt punkt 1 eller 3 beroende på det enskilda fallet, samt kommissionen och den behöriga tillsynsmyndigheten enligt artikel 51 om yttrandet, och yttrandet ska också offentliggöras. |
7. Europeiska dataskyddsstyrelsen får med enkel majoritet besluta huruvida ett yttrande ska antas i frågor som inkommit i enlighet med punkterna 3 och 4, med beaktande av |
|
|
a) huruvida frågorna inbegriper nya aspekter med hänsyn till den rättsliga eller faktiska utvecklingen, i synnerhet på it-området och i ljuset av framsteg som gjorts inom informationssamhället, och |
|
|
b) huruvida Europeiska dataskyddsstyrelsen redan avgett ett yttrande i samma fråga. |
|
8. Den tillsynsmyndighet som avses i punkt 1 och den tillsynsmyndighet som är behörig enligt artikel 51 ska ta hänsyn till Europeiska dataskyddsstyrelsen yttrande och ska – inom två veckor efter det att Europeiska dataskyddsstyrelsens ordförande har underrättat dem om yttrandet – i ett standardiserat elektroniskt format meddela Europeiska dataskyddsstyrelsens ordförande och kommissionen om huruvida den avser att hålla fast vid eller ändra sitt utkast till åtgärd, och i förekommande fall bifoga en text till den ändrade åtgärden. |
8. Europeiska dataskyddsstyrelsen ska med enkel majoritet av ledamöterna anta yttranden enligt punkterna 6a och 7. Dessa yttranden ska offentliggöras. |
Ändringsförslag 167 Förslag till förordning Artikel 58a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 58a |
|
|
Enhetlighet i enskilda fall |
|
|
1. Innan den ansvariga myndigheten vidtar åtgärder som är avsedda att ha rättsliga följder i den mening som avses i artikel 54a ska den lämna all relevant information samt förslaget till åtgärd till alla andra behöriga myndigheter. Den ansvariga myndigheten får inte anta åtgärden om en behörig myndighet inom en period på tre veckor har angett att den har allvarliga invändningar mot åtgärden. |
|
|
2. Om en behörig myndighet har angett att den har allvarliga invändningar mot den ansvariga myndighetens förslag till åtgärd, eller om den ansvariga myndigheten inte lämnar ett sådant förslag till åtgärd som avses i punkt 1 eller inte fullgör skyldigheterna när de gäller ömsesidigt bistånd enligt artikel 55 eller gemensamma insatser enligt artikel 56, ska frågan behandlas av Europeiska dataskyddsstyrelsen. |
|
|
3. Den ansvariga myndigheten och/eller övriga involverade behöriga myndigheter och kommissionen ska utan onödigt dröjsmål i ett standardiserat elektroniskt format översända all relevant information till Europeiska dataskyddsstyrelsen, i förekommande fall inklusive en sammanfattning av sakförhållandena, förslaget till åtgärd, motiveringen till att en sådan åtgärd bedöms vara nödvändig, invändningarna mot den samt övriga berörda tillsynsmyndigheters åsikter. |
|
|
4. Europeiska dataskyddsstyrelsen ska behandla frågan och därvid beakta konsekvenserna av den ansvariga myndighetens förslag till åtgärder för de registrerades grundläggande rättigheter och friheter, och ska inom två veckor efter det att den relevanta informationen översändes i enlighet med punkt 3 besluta med enkel majoritet av ledamöterna huruvida ett yttrande i frågan ska avges. |
|
|
5. Om Europeiska dataskyddsstyrelsen beslutar att avge ett yttrande ska den göra det inom sex veckor samt offentliggöra yttrandet. |
|
|
6. Den ansvariga myndigheten ska ta största möjliga hänsyn till Europeiska dataskyddsstyrelsen yttrande och ska – inom två veckor efter det att Europeiska dataskyddsstyrelsens ordförande underrättade den om yttrandet – i ett standardiserat elektroniskt format meddela Europeiska dataskyddsstyrelsens ordförande och kommissionen om huruvida den har för avsikt att hålla fast vid eller ändra sitt förslag till åtgärd och, i förekommande fall, bifoga det ändrade förslaget till åtgärd. Om den ansvariga myndigheten har för avsikt att inte följa Europeiska dataskyddsstyrelsens yttrande ska den ange skälen till detta. |
|
|
7. Om Europeiska dataskyddsstyrelsen fortfarande har invändningar mot den åtgärd från tillsynsmyndigheten som avses i punkt 5 får den med två tredjedelar av rösterna anta en åtgärd som ska vara bindande för tillsynsmyndigheten. |
Ändringsförslag 168 Förslag till förordning Artikel 59 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Artikel 59 |
utgår |
|
Yttrande från kommissionen |
|
|
1. Inom tio veckor efter det att en fråga tagits upp enligt artikel 58, eller inom sex veckor när det gäller frågor som omfattas av artikel 61, kan kommissionen anta ett yttrande i den fråga som tagits upp enligt någon av dessa artiklar i syfte att slå vakt om en korrekt och enhetlig tillämpning av denna förordning. |
|
|
2. När kommissionen har antagit ett yttrande enligt punkt 1 ska den berörda tillsynsmyndigheten fästa yttersta vikt vid kommissionens yttrande och meddela kommissionen och Europeiska dataskyddsstyrelsen om den avser att hålla fast vid sitt utkast till åtgärd eller ändra det. |
|
|
3. Tillsynsmyndigheten får inte anta sitt utkast till åtgärd innan den tid som anges i punkt 1 har löpt ut. |
|
|
4. Om den berörda tillsynsmyndigheten inte avser att rätta sig efter kommissionens yttrande ska den underrätta kommissionen och Europeiska dataskyddsstyrelsen om detta inom den tid som anges i punkt 1, samt motivera sitt beslut. I detta fall får utkastet till åtgärd inte antas på ytterligare en månad. |
|
Ändringsförslag 169 Förslag till förordning Artikel 60 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Artikel 60 |
utgår |
|
Uppskjutet antagande av ett utkast till åtgärd |
|
|
1. Om kommissionen hyser allvarliga tvivel om huruvida ett utkast till åtgärd är förenligt med en korrekt och enhetlig tillämpning av denna förordning får den, inom en månad efter en underrättelse enligt artikel 59.4 och efter att ha tagit hänsyn till Europeiska dataskyddsstyrelsens yttrande enligt artikel 58.7 eller artikel 61.2, anta ett motiverat beslut om att antagandet av utkastet till åtgärd bör skjutas upp, om detta bedöms vara nödvändigt för att |
|
|
a) om möjligt jämka samman tillsynsmyndighetens och Europeiska dataskyddsstyrelsens avvikande ståndpunkter, eller |
|
|
b) anta en åtgärd enligt artikel 62.1 a. |
|
|
2. Kommissionen ska ange hur länge antagandet av åtgärden ska skjutas upp; denna period får inte överstiga tolv månader. |
|
|
3. Tillsynsmyndigheten får inte anta utkastet till åtgärd under den period som avses i punkt 2. |
|
Ändringsförslag 170 Förslag till förordning Artikel 60a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 60a |
|
|
Information till Europaparlamentet och rådet |
|
|
Kommissionen ska regelbundet, minst en gång i halvåret, och på grundval av en rapport från Europeiska dataskyddsstyrelsens ordförande informera Europaparlamentet och rådet om de frågor som behandlats inom ramen för mekanismen för enhetlighet, och ange de slutsatser som dragits av kommissionen och Europeiska dataskyddsstyrelsen för att se till att denna förordning tillämpas och genomförs på ett enhetligt sätt. |
Ändringsförslag 171 Förslag till förordning Artikel 61 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Under exceptionella omständigheter får en tillsynsmyndighet med avsteg från förfarandet i artikel 58 omedelbart vidta provisoriska åtgärder med förutbestämd varaktighet om den anser att det finns ett brådskande behov av att agera för att skydda registrerades intressen, särskilt om möjligheten att förverkliga den registrerades rättigheter allvarligt kan undergrävas av att situationen förändras, om så krävs för att förebygga allvarliga nackdelar eller av andra orsaker. Tillsynsmyndigheten ska utan dröjsmål underrätta Europeiska dataskyddsstyrelsen och kommissionen om dessa åtgärder, och ge en uttömmande motivering. |
1. Under exceptionella omständigheter får en tillsynsmyndighet med avsteg från förfarandet i artikel 58a omedelbart vidta provisoriska åtgärder med förutbestämd varaktighet om den anser att det finns ett brådskande behov av att agera för att skydda registrerades intressen, särskilt om möjligheten att förverkliga den registrerades rättigheter allvarligt kan undergrävas av att situationen förändras, om så krävs för att förebygga allvarliga nackdelar eller av andra orsaker. Tillsynsmyndigheten ska utan dröjsmål underrätta Europeiska dataskyddsstyrelsen och kommissionen om dessa åtgärder, och ge en uttömmande motivering. |
Ändringsförslag 172 Förslag till förordning Artikel 61 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Genom undantag från artikel 58.7 ska ett snabbt yttrande enligt punkt 2 och 3 antas inom två veckor med enkel majoritet av Europeiska dataskyddsstyrelsens ledamöter. |
4. Ett snabbt yttrande enligt punkt 2 och 3 ska antas inom två veckor med enkel majoritet av Europeiska dataskyddsstyrelsens ledamöter. |
Ändringsförslag 173 Förslag till förordning Artikel 62 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Genomförandeakter |
Genomförandeakter |
|
1. Kommissionen får anta genomförandeakter i syfte att |
1. Kommissionen får efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen anta genomförandeakter av allmän räckvidd i syfte att |
|
a) fatta beslut med avseende på den korrekta tillämpningen av denna förordning i linje med dess mål och krav; detta kan gälla frågor som tas upp av tillsynsmyndigheterna enligt artikel 58 eller 61, frågor som varit föremål för ett motiverat beslut enligt artikel 60.1 eller frågor där en tillsynsmyndighet inte har lagt fram något utkast till åtgärd och där samma myndighet har meddelat att den inte har för avsikt att följa det yttrande som kommissionen antagit enligt artikel 59, |
|
|
b) inom den period som anges i artikel 59.1 besluta om den anser att ett utkast till standardiserade uppgiftsskyddsbestämmelser enligt artikel 58.2 d har allmän giltighet, |
b) besluta om den anser att ett förslag till standardiserade uppgiftsskyddsbestämmelser enligt artikel 42.2 d har allmän giltighet, |
|
c) precisera format och förfaranden för tillämpningen av den mekanism för enhetlighet som regleras i detta avsnitt, |
|
|
d) Precisera tillvägagångssätten för elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyndigheter och Europeiska dataskyddsstyrelsen, särskilt det standardiserade format som avses i artikel 58.5, 58.6 och 58.8. |
d) precisera tillvägagångssätten för elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyndigheter och Europeiska dataskyddsstyrelsen, särskilt det standardiserade format som avses i artikel 58.5, 58.6 och 58.8. |
|
Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
|
|
2. Om det i fall enligt punkt 1 a finns vederbörligen motiverade och tvingande skäl till skyndsamhet i de registrerades intresse ska kommissionen anta genomförandeakter med omedelbar verkan enligt förfarandet i artikel 87.3. Dessa akter ska vara giltiga i högst 12 månader. |
|
|
3. Det faktum att ingen åtgärd har vidtagits enligt detta avsnitt utesluter inte att kommissionen kan vidta andra åtgärder enligt fördragen. |
3. Det faktum att ingen åtgärd har vidtagits enligt detta avsnitt utesluter inte att kommissionen kan vidta andra åtgärder enligt fördragen. |
Ändringsförslag 174 Förslag till förordning Artikel 63 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Om en tillsynsmyndighet bryter mot artikel 58.1–5 genom att inte lägga fram ett utkast till åtgärd inom ramen för mekanismen för enhetlighet ska denna åtgärd inte anses vara rättsligt giltig och verkställbar. |
2. Om en tillsynsmyndighet bryter mot artikel 58.1 och 2 genom att inte lägga fram ett förslag till åtgärd inom ramen för mekanismen för enhetlighet eller antar en åtgärd trots en angivelse av allvarlig invändning enligt artikel 58a.1 ska denna åtgärd inte anses vara rättsligt giltig och verkställbar. |
Ändringsförslag 175 Förslag till förordning Artikel 66 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Europeiska dataskyddsstyrelsens arbetsuppgifter |
Europeiska dataskyddsstyrelsens arbetsuppgifter |
|
1. Europeiska dataskyddsstyrelsen ska se till att denna förordning tillämpas enhetligt. För detta ändamål ska Europeiska dataskyddsstyrelsen i synnerhet, på eget initiativ eller på begäran av kommissionen, |
1. Europeiska dataskyddsstyrelsen ska se till att denna förordning tillämpas enhetligt. För detta ändamål ska Europeiska dataskyddsstyrelsen i synnerhet, på eget initiativ eller på begäran av Europaparlamentet, rådet eller kommissionen, |
|
a) ge kommissionen råd i alla frågor som gäller skydd av personuppgifter inom unionen, och den ska också yttra sig om eventuella förslag till ändring av denna förordning, |
a) ge EU-institutionerna råd i alla frågor som gäller skydd av personuppgifter inom unionen, och den ska också yttra sig om eventuella förslag till ändring av denna förordning, |
|
b) på eget initiativ eller på begäran av en av sina ledamöter eller av kommissionen undersöka frågor som omfattas av denna förordning och sprida riktlinjer, rekommendationer och exempel på god praxis till tillsynsmyndigheterna i syfte att främja en enhetlig tillämpning av denna förordning, |
b) på eget initiativ eller på begäran av en av sina ledamöter eller av Europaparlamentet, rådet eller kommissionen undersöka frågor som omfattas av denna förordning och sprida riktlinjer, rekommendationer och bästa praxis till tillsynsmyndigheterna i syfte att främja en enhetlig tillämpning av denna förordning, däribland även användningen av genomförandebefogenheter, |
|
c) se över den praktiska tillämpningen av de riktlinjer, rekommendationer och exempel på god praxis som avses i b samt rapportera regelbundet till kommissionen om detta, |
c) se över den praktiska tillämpningen av de riktlinjer, rekommendationer och exempel på god praxis som avses i b samt rapportera regelbundet till kommissionen om detta, |
|
d) yttra sig över utkast till åtgärder som läggs fram av tillsynsmyndigheterna inom den mekanism för enhetlighet som avses i artikel 57, |
d) yttra sig över förslag till åtgärder som läggs fram av tillsynsmyndigheterna inom den mekanism för enhetlighet som avses i artikel 57, |
|
|
da) avge yttranden över vilken myndighet som bör vara ansvarig myndighet i enlighet med artikel 54a.3, |
|
e) främja samarbete och effektivt bilateralt och multilateralt utbyte av praxis och information mellan tillsynsmyndigheterna, |
e) främja samarbete och effektivt bilateralt och multilateralt utbyte av praxis och information mellan tillsynsmyndigheterna, inklusive samordningen av gemensamma insatser och annan gemensam verksamhet den beslutar om på begäran av en eller flera tillsynsmyndigheter, |
|
f) främja gemensamma utbildningsprogram och underlätta personalutbyte mellan tillsynsmyndigheterna, där så är lämpligt även med tillsynsmyndigheter i tredjeland och internationella organisationer, |
f) främja gemensamma utbildningsprogram och underlätta personalutbyte mellan tillsynsmyndigheterna, där så är lämpligt även med tillsynsmyndigheter i tredjeland och internationella organisationer, |
|
g) främja utbyte av kunskap och dokumentation om lagstiftning om och praxis för uppgiftsskydd med tillsynsmyndigheter för uppgiftsskydd i andra delar av världen. |
g) främja utbyte av kunskap och dokumentation om lagstiftning om och praxis för uppgiftsskydd med tillsynsmyndigheter för uppgiftsskydd i andra delar av världen, |
|
|
ga) avge yttranden till kommissionen vid utarbetandet av delegerade akter och genomförandeakter med stöd av denna förordning, |
|
|
gb) avge yttranden över de uppförandekodexar som utarbetas på unionsnivå i enlighet med artikel 38.4, |
|
|
gc) avge yttranden över kriterierna och kraven för certifieringsmekanismerna för uppgiftsskydd enligt artikel 39.3, |
|
|
gd) upprätthålla ett offentligt elektroniskt register över giltiga och ogiltiga certifikat i enlighet med artikel 39.1h, |
|
|
ge) bistå de nationella tillsynsmyndigheterna på deras begäran, |
|
|
gf) upprätta och offentliggöra en förteckning över behandling som omfattas av förhandssamråd enligt artikel 34, |
|
|
gg) upprätthålla ett register över sanktioner som de behöriga tillsynsmyndigheterna ålagt registeransvariga eller registerförare. |
|
2. När kommissionen begär rådgivning från Europeiska dataskyddsstyrelsen får den med hänsyn till hur brådskande frågan är fastställa en tidsfrist för denna rådgivning. |
2. Om Europaparlamentet, rådet eller kommissionen begär rådgivning från Europeiska dataskyddsstyrelsen får den med hänsyn till hur brådskande frågan är fastställa en tidsfrist för denna rådgivning. |
|
3. Europeiska dataskyddsstyrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer och exempel på god praxis till kommissionen och till den kommitté som avses i artikel 87, samt offentliggöra dem. |
3. Europeiska dataskyddsstyrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer och exempel på god praxis till Europaparlamentet, rådet och kommissionen och till den kommitté som avses i artikel 87, samt offentliggöra dem. |
|
4. Kommissionen ska hålla Europeiska dataskyddsstyrelsen underrättad om de åtgärder den vidtagit som en följd av den senares yttranden, riktlinjer, rekommendationer och exempel på god praxis. |
4. Kommissionen ska hålla Europeiska dataskyddsstyrelsen underrättad om de åtgärder den vidtagit som en följd av den senares yttranden, riktlinjer, rekommendationer och exempel på god praxis. |
|
|
4a. Europeiska dataskyddsstyrelsen ska vid behov samråda med de berörda parterna och ge dem möjlighet att yttra sig inom rimlig tid. Europeiska dataskyddsstyrelsen ska, utan att det påverkar tillämpningen av artikel 72, offentliggöra resultatet av detta samrådsförfarande. |
|
|
4b. Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med punkt 1 b såväl för att fastställa gemensamma förfaranden för att ta emot och utreda information om påstådd olaglig behandling som för att skydda konfidentialiteten hos och källorna till den mottagna informationen. |
Ändringsförslag 176 Förslag till förordning Artikel 67 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Europeiska dataskyddsstyrelsen ska regelbundet och vid lämplig tidpunkt rapportera till kommissionen om resultaten av sin verksamhet. Den ska sammanställa en årsrapport som beskriver situationen i fråga om skydd av privatpersoner vid behandling av personuppgifter inom unionen och i tredjeland. |
1. Europeiska dataskyddsstyrelsen ska regelbundet och vid lämplig tidpunkt rapportera till Europaparlamentet, rådet och kommissionen om resultaten av sin verksamhet. Den ska minst vartannat år sammanställa en rapport som beskriver situationen i fråga om skydd av privatpersoner vid behandling av personuppgifter inom unionen och i tredjeland. |
|
Denna rapport ska också innehålla en översikt över den praktiska tillämpningen av de riktlinjer, rekommendationer och exempel på god praxis som avses i artikel 66.1 c. |
Denna rapport ska också innehålla en översikt över den praktiska tillämpningen av de riktlinjer, rekommendationer och exempel på god praxis som avses i artikel 66.1 c. |
Ändringsförslag 177 Förslag till förordning Artikel 68 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Europeiska dataskyddsstyrelsen ska fatta beslut med enkel majoritet av dess ledamöter. |
1. Europeiska dataskyddsstyrelsen ska fatta beslut med enkel majoritet av dess ledamöter, om inte annat anges i dess arbetsordning. |
Ändringsförslag 178 Förslag till förordning Artikel 69 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Europeiska dataskyddsstyrelsen ska välja en ordförande och två vice ordförande bland sina ledamöter. Om inte Europeiska datatillsynsmannen valts till ordförande ska han eller hon tilldelas en av posterna som vice ordförande. |
1. Europeiska dataskyddsstyrelsen ska välja en ordförande och minst två vice ordförande bland sina ledamöter. |
Ändringsförslag 179 Förslag till förordning Artikel 69 – punkt 2a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2a. Uppdraget som ordförande ska motsvara en heltidstjänst. |
Ändringsförslag 180 Förslag till förordning Artikel 71 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Sekretariatet ska bistå Europeiska dataskyddsstyrelsen med analysarbete samt administrativt och logistiskt stöd under ordförandens ledning. |
2. Sekretariatet ska bistå Europeiska dataskyddsstyrelsen med analysarbete samt juridiskt, administrativt och logistiskt stöd under ordförandens ledning. |
Ändringsförslag 181 Förslag till förordning Artikel 72 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Europeiska dataskyddsstyrelsens överläggningar ska vara konfidentiella. |
1. Europeiska dataskyddsstyrelsens överläggningar får vid behov vara konfidentiella, såvida inget annat anges i dess arbetsordning. Föredragningslistorna för Europeiska dataskyddsstyrelsens sammanträden ska offentliggöras. |
Ändringsförslag 182 Förslag till förordning Artikel 73 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Rätt att klaga på beslut som fattats av en tillsynsmyndighet |
Rätt att klaga på beslut som fattats av en tillsynsmyndighet |
|
1. Utan att det påverkar andra möjligheter att lämna klagomål till berörda myndigheter eller domstolar ska varje registrerad som anser att uppgifter rörande henne eller honom inte är förenliga med denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat. |
1. Utan att det påverkar andra möjligheter att lämna klagomål till berörda myndigheter eller domstolar samt tillämpningen av mekanismen för enhetlighet ska varje registrerad som anser att uppgifter rörande henne eller honom inte är förenliga med denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat. |
|
2. Varje organisation eller sammanslutning som har till uppgift att skydda registrerades rättigheter och intressen när det gäller skyddet av deras personuppgifter och som har inrättats på vederbörligt sätt i enlighet med lagen i en medlemsstat, ska ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat för en eller flera registrerades räkning, om den anser att de rättigheter som tillkommer en registrerad enligt denna förordning har åsidosatts som en följd av behandling av vederbörandes personuppgifter. |
2. Varje organisation eller sammanslutning som agerar i det allmännas intresse och som har inrättats på vederbörligt sätt i enlighet med lagen i en medlemsstat, ska ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat för en eller flera registrerades räkning, om den anser att de rättigheter som tillkommer en registrerad enligt denna förordning har åsidosatts som en följd av behandling av vederbörandes personuppgifter. |
|
3. Oberoende av eventuella klagomål från en registrerad ska varje sådan organisation eller sammanslutning som avses i punkt 2 ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat om den anser att ett personuppgiftsbrott har begåtts. |
3. Oberoende av eventuella klagomål från en registrerad ska varje sådan organisation eller sammanslutning som avses i punkt 2 ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat om den anser att en överträdelse av denna förordning har ägt rum. |
Ändringsförslag 183 Förslag till förordning Artikel 74 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Rätt att begära rättslig prövning av en tillsynsmyndighets beslut |
Rätt att begära rättslig prövning av en tillsynsmyndighets beslut |
|
1. Varje fysisk eller juridisk person ska ha rätt till ett rättsmedel mot beslut som en tillsynsmyndighet har fattat med avseende på vederbörande. |
1. Utan att det påverkar andra möjligheter att lämna klagomål antingen till berörda myndigheter eller inom ramen för andra förfaranden utanför domstol ska varje fysisk eller juridisk person ha rätt till ett rättsmedel mot beslut som en tillsynsmyndighet har fattat med avseende på vederbörande. |
|
2. Varje registrerad ska ha rätt till ett rättsmedel som förpliktar tillsynsmyndigheten att behandla ett klagomål om ett beslut som krävs för att skydda den registrerades rättigheter inte har fattats eller om tillsynsmyndigheten inte inom tre månader informerar den registrerade om hur ärendet fortskrider eller vilket beslut som har fattats med anledning av klagomålet i enlighet med artikel 52.1 b. |
2. Utan att det påverkar andra möjligheter att lämna klagomål antingen till berörda myndigheter eller inom ramen för andra förfaranden utanför domstol ska varje registrerad ha rätt till ett rättsmedel som förpliktar tillsynsmyndigheten att behandla ett klagomål om ett beslut som krävs för att skydda den registrerades rättigheter inte har fattats eller om tillsynsmyndigheten inte inom tre månader informerar den registrerade om hur ärendet fortskrider eller vilket beslut som har fattats med anledning av klagomålet i enlighet med artikel 52.1 b. |
|
3. Talan mot beslut som har fattats av en tillsynsmyndighet ska ges in vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte. |
3. Talan mot beslut som har fattats av en tillsynsmyndighet ska ges in vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte. |
|
4. En registrerad som berörs av ett beslut av en tillsynsmyndighet i en annan medlemsstat än den där den registrerade har hemvist får anmoda tillsynsmyndigheten i den registrerades hemviststat att föra talan på hans eller hennes vägnar mot den behöriga tillsynsmyndigheten i den andra medlemsstaten. |
4. Utan att det påverkar tillämpningen av mekanismen för enhetlighet får en registrerad som berörs av ett beslut av en tillsynsmyndighet i en annan medlemsstat än den där den registrerade har hemvist anmoda tillsynsmyndigheten i den registrerades hemviststat att föra talan på hans eller hennes vägnar mot den behöriga tillsynsmyndigheten i den andra medlemsstaten. |
|
5. Medlemsstaterna ska verkställa lagakraftvunna avgöranden som meddelats av de domstolar som avses i denna artikel. |
5. Medlemsstaterna ska verkställa lagakraftvunna avgöranden som meddelats av de domstolar som avses i denna artikel. |
Ändringsförslag 184 Förslag till förordning Artikel 75 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Talan mot en registeransvarig eller en registerförare ska väckas vid domstolarna i den medlemsstat där den registeransvarige eller registerföraren är etablerad. Alternativt får sådan talan väckas vid domstolarna i den medlemsstat där den registrerade har hemvist, såvida inte registerföraren är en offentlig myndighet som agerar inom ramen för sin myndighetsutövning. |
2. Talan mot en registeransvarig eller en registerförare ska väckas vid domstolarna i den medlemsstat där den registeransvarige eller registerföraren är etablerad. Alternativt får sådan talan väckas vid domstolarna i den medlemsstat där den registrerade har hemvist, såvida inte registerföraren är en offentlig unionsmyndighet eller en offentlig myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning. |
Ändringsförslag 185 Förslag till förordning Artikel 76 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje organisation eller sammanslutning som avses i artikel 73.2 ska vara berättigad att utöva de rättigheter som avses i artiklarna 74 och 75 för en eller flera registrerades räkning. |
1. Varje organisation eller sammanslutning som avses i artikel 73.2 ska vara berättigad att utöva de rättigheter som avses i artiklarna 74, 75 och 77 om en eller flera registrerade gett den ett sådant mandat. |
Ändringsförslag 186 Förslag till förordning Artikel 77 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje person eller medlemsstat som har lidit skada till följd av en otillåten behandling av uppgifter eller av något annat handlande som är oförenligt med denna förordning ska ha rätt till ersättning av den registeransvarige eller den registerförfarare som bär ansvaret för den uppkomna skadan. |
1. Varje person eller medlemsstat som har lidit skada, även ideell skada, till följd av en otillåten behandling av uppgifter eller av något annat handlande som är oförenligt med denna förordning ska ha rätt att begära ersättning av den registeransvarige eller den registerförare som bär ansvaret för den uppkomna skadan. |
Ändringsförslag 187 Förslag till förordning Artikel 77 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Om fler än en registeransvarig eller registerförare har medverkat vid behandlingen av uppgifter, ska var och en av dem ansvara solidariskt för hela den uppkomna skadan. |
2. Om fler än en registeransvarig eller registerförare har medverkat vid behandlingen av uppgifter, ska var och en av dessa registeransvariga och registerförare ansvara solidariskt för hela den uppkomna skadan om de inte har ingått ett vederbörligt skriftligt avtal genom vilket ansvaret fastställs i enlighet med artikel 24. |
Ändringsförslag 188 Förslag till förordning Artikel 79 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Administrativa sanktioner |
Administrativa sanktioner |
|
1. Varje tillsynsmyndighet ska ha befogenhet att ålägga administrativa sanktioner i enlighet med denna artikel. |
1. Varje tillsynsmyndighet ska ha befogenhet att ålägga administrativa sanktioner i enlighet med denna artikel. Tillsynsmyndigheterna ska samarbeta i enlighet med artiklarna 46 och 57 i syfte att säkerställa en harmoniserad nivå på sanktionerna inom unionen. |
|
2. Den administrativa sanktionen ska i varje enskilt fall vara effektiv, proportionell och avskräckande. De administrativa böterna ska fastställas med vederbörlig hänsyn till överträdelsens natur, svårhetsgrad och varaktighet, om överträdelsen skett med uppsåt eller genom oaktsamhet, graden av ansvar hos den berörda fysiska eller juridiska personen och eventuella tidigare överträdelser av samma person, de tekniska och organisatoriska åtgärder och förfaranden som genomförts i enlighet med artikel 23 och graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen. |
2. Den administrativa sanktionen ska i varje enskilt fall vara effektiv, proportionell och avskräckande. |
|
|
2a. För dem som inte fullgör de skyldigheter som fastställs i denna förordning ska tillsynsmyndigheten ålägga minst en av följande sanktioner: |
|
|
a) En skriftlig varning om det rör sig om ett första och icke uppsåtligt bristfälligt fullgörande av skyldigheterna. |
|
|
b) Regelbundna granskningar av uppgiftsskyddet. |
|
|
c) Böter på upp till 100 000 000 euro eller upp till fem procent av den totala årliga omsättningen om det är fråga om ett företag, beroende på vilket som är det högsta beloppet. |
|
|
2b. Om den registeransvarige eller registerföraren innehar en giltig märkning med ”den europeiska uppgiftsskyddsförseglingen” i enlighet med artikel 39 ska böter enligt punkt 2a c utfärdas endast om det bristfälliga fullgörandet av skyldigheterna sker uppsåtligen eller av oaktsamhet. |
|
|
2c. För de administrativa sanktionerna ska hänsyn tas till följande faktorer: |
|
|
a) Det bristfälliga fullgörandets karaktär, svårighetsgrad och varaktighet. |
|
|
b) Om överträdelsen skett uppsåtligen eller av oaktsamhet. |
|
|
c) Graden av ansvar hos den berörda fysiska eller juridiska personen och eventuella tidigare överträdelser som denne gjort sig skyldig till. |
|
|
d) Om överträdelsen är av repetitiv karaktär. |
|
|
e) Graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen och minska dess potentiella negativa effekter. |
|
|
f) De specifika kategorier av personuppgifter som påverkas av överträdelsen. |
|
|
g) Omfattningen på den skada, även ideell skada, som de registrerade har lidit. |
|
|
h) De åtgärder som den registeransvarige eller registerföraren har vidtagit för att minska den skada som de registrerade har lidit. |
|
|
i) Eventuell ekonomisk vinst – avsedd eller gjord – eller förlust som undviks, direkt eller indirekt, genom överträdelsen. |
|
|
j) Graden av tekniska och organisatoriska åtgärder och förfaranden som genomförts i enlighet med följande artiklar: |
|
|
i) Artikel 23 – Inbyggt uppgiftsskydd och uppgiftsskydd som standard. |
|
|
ii) Artikel 30 – Säkerhet i samband med behandlingen av uppgifter. |
|
|
iii) Artikel 33 – Konsekvensbedömning avseende uppgiftsskydd. |
|
|
iv) Artikel 33a – Granskning av uppgiftsskyddets överensstämmelse. |
|
|
v) Artikel 35 – Utnämning av uppgiftsskyddsombudet. |
|
|
k) Vägran att samarbeta med eller hindrande av inspektioner, granskningar och kontroller som utförs av tillsynsmyndigheten i enlighet med artikel 53. |
|
|
l) Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet. |
|
3. Vid en första oavsiktlig underlåtenhet att följa denna förordning ska det vara möjligt att utfärda en skriftlig varning utan påföljd, om det rör sig om |
|
|
a) en fysisk person som har behandlat personuppgifter utan vinstintresse, eller |
|
|
b) ett företag eller en organisation med högst 250 anställda som behandlar personuppgifter endast som en sidoverksamhet till huvudverksamheten. |
|
|
4. Tillsynsmyndigheten ska utfärda böter på upp till 250 000 euro eller, om det är fråga om ett företag, på upp till 0,5 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet |
|
|
a) underlåter att tillhandahålla nödvändiga mekanismer för att underlätta framställningar från registrerade eller att besvara framställningar från registrerade tillräckligt snabbt eller i rätt form enligt artikel 12.1–2, |
|
|
b) tar ut en avgift för att lämna information till eller besvara framställningar från registrerade i strid med artikel 12.4. |
|
|
5. Tillsynsmyndigheten ska utfärda böter på upp till 500 000 euro eller, om det är fråga om ett företag, på upp till 1 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet |
|
|
a) underlåter att tillhandahålla information, tillhandahåller ofullständig information eller försummar att tillhandahålla information på ett tillräckligt öppet sätt i enlighet med artiklarna 11, 12.3 och 14, |
|
|
b) underlåter att ge den registrerade tillgång till uppgifter eller att rätta personuppgifter i enlighet med artiklarna 15 och 16, eller underlåter att meddela relevant information till en mottagare i enlighet med artikel 13, |
|
|
c) underlåter att respektera rätten att bli bortglömd eller att få uppgifter raderade, eller försummar att införa rutiner för att säkerställa att tidsfrister iakttas, eller underlåter att vidta alla nödvändiga åtgärder för att underrätta tredje man om att en registrerad ansökt om radering av länkar till personuppgifter eller av kopior eller reproduktioner av sådana uppgifter i enlighet med artikel 17, |
|
|
d) underlåter att tillhandahålla en kopia av personuppgifterna i elektroniskt format eller hindrar den registrerade från att översända personuppgifterna till en annan applikation, i strid med artikel 18, |
|
|
e) helt eller delvis underlåter att fastställa respektive ansvarsområden tillsammans med registermedansvariga i enlighet med artikel 24, |
|
|
f) helt eller delvis underlåter att bevara dokumentation i enlighet med artiklarna 28, 31.4 och 44.3, |
|
|
g) i sådana fall där det inte är fråga om särskilda kategorier av uppgifter underlåter att i enlighet med artiklarna 80, 82 och 83 följa bestämmelser om yttrandefrihet, bestämmelser om uppgiftsbehandling i anställningsförhållanden eller villkoren för att behandla uppgifter för historiska, statistiska och vetenskapliga forskningsändamål. |
|
|
6. Tillsynsmyndigheten ska utfärda böter på upp till 1 000 000 euro eller, om det är fråga om ett företag, på upp till 2 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet |
|
|
a) behandlar personuppgifter utan tillräcklig rättslig grund för ändamålet eller underlåter att följa villkoren för samtycke enligt artiklarna 6, 7 och 8, |
|
|
b) behandlar särskilda kategorier av uppgifter i strid med artiklarna 9 och 81, |
|
|
c) underlåter att hörsamma en invändning eller att uppfylla kravet i artikel 19, |
|
|
d) underlåter att uppfylla villkoren vid åtgärder på grundval av profilering i enlighet med artikel 20, |
|
|
e) underlåter att anta interna strategier eller att genomföra lämplig åtgärder för att garantera och visa överensstämmelse i enlighet med artiklarna 22, 23 och 30, |
|
|
f) underlåter att utse en företrädare i enlighet med artikel 25, |
|
|
g) behandlar eller ger instruktioner för behandlingen av personuppgifter på ett sätt som strider mot skyldigheterna i samband med behandling för en registeransvarigs räkning i enlighet med artiklarna 26 och 27, |
|
|
h) underlåter att signalera eller meddela ett personuppgiftsbrott eller att i tid och utan inskränkningar anmäla personuppgiftsbrottet till tillsynsmyndigheten eller meddela den registrerade i enlighet med artiklarna 31 och 32, |
|
|
i) underlåter att utföra en konsekvensbedömning avseende uppgiftsskydd eller behandlar personuppgifter utan att först ha erhållit tillstånd från eller ha samrått med tillsynsmyndigheten i enlighet med artiklarna 33 och 34, |
|
|
j) underlåter att utse ett uppgiftsskyddsombud eller att skapa de förutsättningar som krävs för att utföra arbetsuppgifterna enligt artiklarna 35, 36 och 37, |
|
|
k) missbrukar en uppgiftsskyddsförsegling eller en uppgiftsskyddsmärkning i den mening som avses i artikel 39, |
|
|
l) verkställer eller ger instruktioner om en överföring av uppgifter till ett tredjeland eller en internationell organisation som inte är tillåten på grundval av ett beslut om adekvat skyddsnivå, lämpliga skyddsåtgärder eller ett undantag i enlighet med artiklarna 40–44, |
|
|
m) underlåter att hörsamma en order, ett tillfälligt eller permanent förbud mot behandling av uppgifter eller ett beslut om att avbryta av uppgiftsflödena som meddelats av tillsynsmyndigheten i enlighet med artikel 53.1, |
|
|
n) underlåter att uppfylla skyldigheten att bistå tillsynsmyndigheten eller lämna tillsynsmyndigheten svar, relevant information eller tillträde till lokaler i enlighet med artiklarna 28.3, 29, 34.6 och 53.2, |
|
|
o) underlåter att följa bestämmelserna om säkerställande av tystnadsplikt i artikel 84. |
|
|
7. Kommissionen ska ha befogenhet att anta delegerade akter i enlighet med artikel 86 i syfte att uppdatera de administrativa bötesbelopp som avses i punkterna 4, 5 och 6, med hänsyn till kriterierna i punkt 2. |
7. Kommissionen ska ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att uppdatera de absoluta administrativa bötesbelopp som avses i punkt 2a, med hänsyn till de kriterier och faktorer som avses i punkterna 2 och 2c. |
Ändringsförslag 189 Förslag till förordning Artikel 80 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Medlemsstaterna ska med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande besluta om undantag och avvikelser från bestämmelserna om allmänna principer i kapitel II, om den registrerades rättigheter i kapitel III, om registeransvariga och registerförare i kapitel IV, om överföring av personuppgifter till tredjeländer och internationella organisationer i kapitel V, om oberoende tillsynsmyndigheter i kapitel VI och om samarbete och enhetlighet i kapitel VII endast om sådana undantag eller avvikelser är nödvändiga för att förena rätten till integritet med reglerna om yttrandefrihet. |
1. Medlemsstaterna ska besluta om undantag och avvikelser från bestämmelserna om allmänna principer i kapitel II, om den registrerades rättigheter i kapitel III, om registeransvariga och registerförare i kapitel IV, om överföring av personuppgifter till tredjeländer och internationella organisationer i kapitel V, om oberoende tillsynsmyndigheter i kapitel VI, om samarbete och enhetlighet i kapitel VII och om särskilda uppgiftsbehandlingssituationer i kapitel IX om sådana undantag eller avvikelser är nödvändiga för att förena rätten till skydd av personuppgifter med reglerna om yttrandefrihet i enlighet med Europeiska unionens stadga om de grundläggande rättigheterna. |
Ändringsförslag 190 Förslag till förordning Artikel 80a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 80a |
|
|
Tillgång till handlingar |
|
|
1. Personuppgifter i handlingar som förvaras av en offentlig myndighet eller ett offentligt organ får lämnas ut av myndigheten eller organet i enlighet med unionslagstiftningen eller en medlemsstats lagstiftning avseende allmänhetens rätt till tillgång till offentliga handlingar, om rätten till skydd av personuppgifter därigenom förenas med principen om allmänhetens rätt till tillgång till offentliga handlingar. |
|
|
2. Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringar som rör dessa bestämmelser. |
Ändringsförslag 191 Förslag till förordning Artikel 81 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Behandling av personuppgifter om en registrerads hälsotillstånd |
Behandling av personuppgifter om en registrerads hälsotillstånd |
|
1. Inom ramen för bestämmelserna i denna förordning och i enlighet med artikel 9.2 h ska behandling av personuppgifter om en registrerads hälsotillstånd ske på grundval av unionslagstiftning eller medlemsstaternas nationella lagstiftning, vilken ska föreskriva lämpliga och konkreta åtgärder för att skydda den registrerades berättigade intressen och vara nödvändig med hänsyn till |
1. I enlighet med bestämmelserna i denna förordning, särskilt artikel 9.2 h, ska behandling av personuppgifter om en registrerads hälsotillstånd ske på grundval av unionslagstiftning eller medlemsstaternas nationella lagstiftning, vilken ska föreskriva lämpliga, enhetliga och konkreta åtgärder för att skydda den registrerades intressen och grundläggande rättigheter – i den mån åtgärderna är nödvändiga och proportionerliga och deras följder kan förutses av den registrerade –, med hänsyn till |
|
a) förebyggande hälso- och sjukvård och yrkesmedicin, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvårdstjänster, om uppgifterna behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt, eller av en annan person som är ålagd en motsvarande tystnadsplikt, |
a) förebyggande hälso- och sjukvård och yrkesmedicin, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvårdstjänster, om uppgifterna behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt, eller av en annan person som är ålagd en motsvarande tystnadsplikt, |
|
b) skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa skydd mot allvarliga gränsöverskridande hot mot hälsan eller garantera höga kvalitets- och säkerhetsnormer, bland annat för läkemedelsprodukter och medicinsk utrustning, eller |
b) skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa skydd mot allvarliga gränsöverskridande hot mot hälsan eller garantera höga kvalitets- och säkerhetsnormer, bland annat för läkemedelsprodukter och medicinsk utrustning, och om uppgifterna behandlas av någon som är underkastad tystnadsplikt, eller |
|
c) andra skäl av allmänt intresse på områden som socialt skydd, särskilt för att säkerställa kvalitet och kostnadseffektivitet i de förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet. |
c) andra skäl av allmänt intresse på områden som socialt skydd, särskilt för att säkerställa kvalitet och kostnadseffektivitet i de förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet och tillhandahållande av hälso- och sjukvårdstjänster. Sådan behandling av personuppgifter om hälsotillstånd vilken utförs av skäl av allmänt intresse får inte resultera i att uppgifter behandlas för andra ändamål såvida inte den registrerade gett sitt samtycke eller unionslagstiftningen eller en medlemsstats lagstiftning medger detta. |
|
|
1a. Om de ändamål som avses i punkt 1 a–c kan uppnås utan användning av personuppgifter ska sådana uppgifter inte användas för dessa ändamål såvida inte den registrerade gett sitt samtycke eller en medlemsstats lagstiftning medger detta. |
|
|
1b. Om den registrerades samtycke krävs för behandling av medicinska uppgifter uteslutande för folkhälsoforskningsändamål får samtycke ges till ett eller flera specifika och liknande forskningsområden. Den registrerade får emellertid återkalla sitt samtycke när som helst. |
|
|
1c. När det gäller att ge samtycke till deltagande i vetenskaplig forskning inom ramen för kliniska prövningar ska de relevanta bestämmelserna i Europaparlamentets och rådets direktiv 2001/20/EG1 tillämpas. |
|
2. Behandling av personuppgifter om en registrerads hälsotillstånd som är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål, såsom patientregister som upprättas för att förbättra diagnoser, göra åtskillnad mellan likartade typer av sjukdomar och förbereda undersökningar om terapimetoder, omfattas av de villkor och skyddsåtgärder som avses i artikel 83. |
2. Behandling av personuppgifter om en registrerads hälsotillstånd som är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål ska tillåtas endast med den registrerades samtycke och ska omfattas av de villkor och skyddsåtgärder som avses i artikel 83. |
|
|
2a. Medlemsstaterna får i sin lagstiftning föreskriva undantag från det krav på samtycke till forskning som avses i punkt 2 om det handlar om forskning av viktigt allmänt intresse, förutsatt att denna forskning inte kan bedrivas på annat sätt. De berörda uppgifterna ska vara anonymiserade eller, om detta inte är möjligt för forskningsändamålen, pseudonymiserade på ett sätt som uppfyller högsta tekniska krav, och alla nödvändiga åtgärder ska vidtas för att förhindra att de registrerade utan tillåtelse kan identifieras igen. Den registrerade ska emellertid ha rätt att göra invändningar när som helst, i enlighet med artikel 19. |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare specificera andra skäl av allmänt intresse inom folkhälsoområdet enligt punkt 1 b, samt kriterier och krav för det skydd som ska finnas vid behandling av personuppgifter för de ändamål som anges i punkt 1. |
3. Kommissionen ska, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen, ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att ytterligare specificera andra skäl av allmänt intresse inom folkhälsoområdet enligt punkt 1 b och skäl av viktigt allmänt intresse inom det forskningsområde som avses i punkt 2a. |
|
|
3a. Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringar som rör dessa bestämmelser. |
|
|
1 Europaparlamentets och rådets direktiv 2001/20/EG av den 4 april 2001 om tillnärmning av medlemsstaternas lagar och andra författningar rörande tillämpning av god klinisk sed vid kliniska prövningar av humanläkemedel (EGT L 121, 1.5.2001, s. 34). |
Ändringsförslag 192 Förslag till förordning Artikel 82 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Behandling av personuppgifter i anställningsförhållanden |
Miniminormer för behandling av personuppgifter i anställningsförhållanden |
|
1. Inom ramen för bestämmelserna i denna förordning får medlemsstaterna i lag föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering, genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet. |
1. I enlighet med bestämmelserna i denna förordning och med beaktande av proportionalitetsprincipen får medlemsstaterna genom rättsliga bestämmelser föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt för men inte begränsat till rekrytering och platsansökningar inom företagsgruppen, genomförande av anställningsavtalet inklusive befrielse från i lag och kollektivavtal stadgade skyldigheter, i enlighet med nationell lagstiftning och praxis, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet. Medlemsstaterna får tillåta att kollektivavtal ytterligare preciserar bestämmelserna i denna artikel. |
|
|
1a. Ändamålet med behandlingen av sådana uppgifter ska vara knutet till skälet till att uppgifterna samlades in och får inte gå utöver ramen för anställningsförhållandet. Profilering och användning för sekundära ändamål får inte vara tillåten. |
|
|
1b. En anställds samtycke får inte utgöra en rättslig grund för arbetsgivarens behandling av uppgifter, om samtycket inte getts frivilligt. |
|
|
1c. Utan hinder av vad som sägs i de övriga bestämmelserna i denna förordning ska medlemsstaternas rättsliga bestämmelser enligt punkt 1 omfatta minst följande miniminormer: |
|
|
a) Anställdas personuppgifter får inte behandlas utan att de anställda känner till det. Utan hinder av vad som sägs i första meningen får medlemsstaterna i lag tillåta denna praxis genom att fastställa lämpliga tidsfrister för radering av uppgifter, om det föreligger faktiska skäl, som måste dokumenteras, att anta att den anställde inom ramen för anställningsförhållandet begått ett brott eller gjort sig skyldig till ett allvarligt åsidosättande av sina skyldigheter och uppgiftsbehandlingen behövs för att frågan ska kunna uppklaras samt slutligen är av ett sådant slag eller har en sådan omfattning att den är nödvändig och proportionerlig i förhållande till ändamålet. Den anställdes privata sfär ska alltid respekteras. Undersökningen ska skötas av den behöriga myndigheten. |
|
|
b) Öppen optisk-elektronisk och öppen akustisk-elektronisk övervakning av de delar av ett företag som inte är tillgängliga för allmänheten och som främst används av anställda för privata ändamål ska vara förbjuden; detta gäller i synnerhet toaletter och sanitetsutrymmen, omklädningsrum, pausrum och vilorum. Det får under inga omständigheter vara tillåtet med dold övervakning. |
|
|
c) Om företag eller myndigheter i hälsoundersökningar och/eller lämplighetstest samlar in eller behandlar personuppgifter ska de dessförinnan förklara för den sökande eller den anställde för vilka ändamål uppgifterna används och se till att uppgifterna och resultaten i efterhand lämnas till vederbörande samt på begäran förklara deras betydelse. Uppgiftsinsamling som avser genetiska tester och analyser ska i princip vara förbjuden. |
|
|
d) Frågan om huruvida och i vilken omfattning det ska vara tillåtet att använda telefon, e-post, internet och andra telekommunikationstjänster också för privata ändamål får regleras genom kollektivavtal. Om det inte föreligger någon reglering genom kollektivavtal ska arbetsgivaren ingå ett avtal om frågan direkt med den anställde. I den mån användning för privata ändamål är tillåten ska behandling av hithörande trafikuppgifter vara tillåten särskilt för att garantera datasäkerheten, för att trygga telekommunikationsnätens och telekommunikationstjänsternas ostörda funktion samt för faktureringsändamål. |
|
|
Utan hinder av vad som sägs i tredje meningen får medlemsstaterna i lag tillåta denna praxis genom att fastställa lämpliga tidsfrister för radering av uppgifter, om det föreligger faktiska skäl, som måste dokumenteras, att anta att den anställde inom ramen för anställningsförhållandet begått ett brott eller gjort sig skyldig till ett allvarligt åsidosättande av sina skyldigheter och uppgiftsbehandlingen behövs för att frågan ska kunna uppklaras samt slutligen är av ett sådant slag eller har en sådan omfattning att den är nödvändig och proportionerlig i förhållande till ändamålet. Den anställdes privata sfär ska alltid respekteras. Undersökningen ska skötas av den behöriga myndigheten. |
|
|
e) Arbetstagares personuppgifter, framförallt känsliga uppgifter som politisk åskådning, medlemskap i fackföreningar och verksamhet i fackföreningar får under inga omständigheter användas för att föra upp arbetstagare på så kallade svarta listor eller för att genomföra personkontroller eller utestänga arbetstagarna från framtida anställning. Det ska vara förbjudet att behandla, använda i anställningssammanhang, upprätta och vidarebefordra svarta listor över anställda och att göra sig skyldig till andra former av diskriminering. Medlemsstaterna ska genomföra kontroller och anta lämpliga sanktioner i enlighet med artikel 79.6 för att se till att denna punkt genomförs på ett effektivt sätt. |
|
|
1d. Det ska vara tillåtet att överföra och behandla anställdas personuppgifter mellan juridiskt självständiga företag inom en och samma företagsgrupp och med medverkan av juridiska rådgivare och skatterådgivare om detta är av relevans för driften av affärsverksamheten och används för utförandet av specifika åtgärder eller administrativa förfaranden, förutsatt att det inte strider mot intressen och grundläggande rättigheter för den berörda personen som bör åtnjuta skydd. Om överföringen av anställdas personuppgifter sker till ett tredjeland och/eller till en internationell organisation ska kapitel V tillämpas. |
|
2. Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringslagstiftning eller ändringar som rör dessa bestämmelser. |
2. Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkterna 1 och 1b, och dessutom utan dröjsmål anmäla senare ändringar som rör dessa bestämmelser. |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och villkoren för de skyddsåtgärder som ska tillämpas vid behandling av personuppgifter för sådana ändamål som anges i punkt 1. |
3. Kommissionen ska, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen, ges befogenhet att anta delegerade akter enligt artikel 86 med avseende på att ytterligare precisera kriterierna och villkoren för de skyddsåtgärder som ska tillämpas vid behandling av personuppgifter för sådana ändamål som anges i punkt 1. |
Ändringsförslag 193 Förslag till förordning Artikel 82a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 82a |
|
|
Behandling av personuppgifter i socialförsäkringsärenden |
|
|
1. Medlemsstaterna får, i enlighet med bestämmelserna i denna förordning, anta särskilda lagstiftningsbestämmelser med närmare villkor för deras offentliga institutioners och avdelningars behandling av personuppgifter i socialförsäkringsärenden om det sker i det allmänna intresset. |
|
|
2. Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringar som rör dessa bestämmelser. |
Ändringsförslag 194 Förslag till förordning Artikel 83 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Behandling för historiska, statistiska och vetenskapliga forskningsändamål |
Behandling för historiska, statistiska och vetenskapliga forskningsändamål |
|
1. Inom ramen för denna förordning får personuppgifter behandlas för historiska, statistiska och vetenskapliga forskningsändamål endast under förutsättning att |
1. I enlighet med bestämmelserna i denna förordning får personuppgifter behandlas för historiska, statistiska och vetenskapliga forskningsändamål endast under förutsättning att |
|
a) dessa ändamål inte kan uppfyllas på annat sätt genom behandling av uppgifter som inte medger eller inte längre medger identifiering av den registrerade, |
a) dessa ändamål inte kan uppfyllas på annat sätt genom behandling av uppgifter som inte medger eller inte längre medger identifiering av den registrerade, |
|
b) uppgifter som gör det möjligt att hänföra information till en identifierad eller identifierbar registrerad person hålls åtskilda från övrig information så länge som dessa ändamål kan uppfyllas på det sättet. |
b) uppgifter som gör det möjligt att hänföra information till en identifierad eller identifierbar registrerad person hålls åtskilda från övrig information på ett sätt som uppfyller högsta tekniska krav, och alla nödvändiga åtgärder vidtas för att förhindra att de registrerade utan tillåtelse kan identifieras igen. |
|
2. Organ som utför historisk, statistisk eller vetenskaplig forskning får publicera eller avslöja personuppgifter på annat sätt endast under förutsättning att |
|
|
a) den registrerade har lämnat sitt samtycket till detta, med förbehåll för villkoren i artikel 7, |
|
|
b) offentliggörandet av personuppgifter är nödvändigt för att lägga fram forskningsresultat eller för att underlätta forskning, så länge inte den registrerades intressen eller grundläggande rättigheter och friheter överskuggar dessa intressen, |
|
|
c) den registrerade har gjort uppgifterna offentliga. |
|
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och kraven för behandling av personuppgifter för de ändamål som anges i punkterna 1 och 2 samt eventuella begränsningar av den registrerades rätt till information och tillgång, och att närmare beskriva villkoren och skyddet för den registrerades rättigheter under dessa förhållanden. |
|
Ändringsförslag 195 Förslag till förordning Artikel 83a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 83a |
|
|
Arkivtjänsters behandling av personuppgifter |
|
|
1. Personuppgifter får, under en längre tid än vad som är nödvändigt för att uppnå syftena med den behandling för vilken uppgifterna samlats in, behandlas av arkivtjänster vilkas huvudsakliga uppgift eller lagstadgade skyldighet är att samla in, lagra, tillhandahålla information om, använda och sprida arkivalier i det allmännas intresse, särskilt för att försvara enskildas rättigheter eller för historiska, statistiska eller vetenskapliga forskningsändamål. Dessa uppdrag ska utföras i enlighet med medlemsstaternas bestämmelser om tillgång till och utlämnande och spridning av administrativa handlingar eller arkivhandlingar och i enlighet med bestämmelserna i denna förordning, särskilt när det gäller samtycke och rätten att göra invändningar. |
|
|
2. Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringar som rör dessa bestämmelser. |
Ändringsförslag 196 Förslag till förordning Artikel 84 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Inom ramen för denna förordning får medlemsstaterna anta särskilda bestämmelser för att fastställa tillsynsmyndigheternas undersökande befogenheter enligt artikel 53.2 gentemot registeransvariga eller registerförare som enligt nationell lag eller bestämmelser som fastställts av behöriga nationella organ omfattas av tystnadsplikt eller andra motsvarande former av förbud mot att lämna ut uppgifter, om det är nödvändigt och står i proportion till vad som behövs för att förena rätten till skydd för personuppgifter och tystnadsplikten. Dessa bestämmelser ska endast tillämpas med avseende på personuppgifter som den registeransvarige eller registerföraren har erhållit i samband med en verksamhet som omfattas av denna tystnadsplikt. |
1. I enlighet med bestämmelserna i denna förordning ska medlemsstaterna se till att det införs särskilda bestämmelser som fastställer tillsynsmyndigheternas befogenheter enligt artikel 53 gentemot registeransvariga eller registerförare som enligt nationell lag eller bestämmelser som fastställts av behöriga nationella organ omfattas av tystnadsplikt eller andra motsvarande former av förbud mot att lämna ut uppgifter, om det är nödvändigt och står i proportion till vad som behövs för att förena rätten till skydd för personuppgifter och tystnadsplikten. Dessa bestämmelser ska endast tillämpas med avseende på personuppgifter som den registeransvarige eller registerföraren har erhållit i samband med en verksamhet som omfattas av denna tystnadsplikt. |
Ändringsförslag 197 Förslag till förordning Artikel 85 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Befintliga bestämmelser om uppgiftsskydd inom kyrkor och religiösa samfund |
Befintliga bestämmelser om uppgiftsskydd inom kyrkor och religiösa samfund |
|
1. Om kyrkor och religiösa samfund eller gemenskaper i en medlemsstat vid tidpunkten för ikraftträdandet av denna förordning tillämpar övergripande bestämmelser om skyddet av enskilda i samband med behandling av personuppgifter, får sådana befintliga regler fortsätta att tillämpas under förutsättning att de görs förenliga med bestämmelserna i denna förordning. |
1. Om kyrkor och religiösa samfund eller gemenskaper i en medlemsstat vid tidpunkten för ikraftträdandet av denna förordning tillämpar adekvata bestämmelser om skyddet av enskilda i samband med behandling av personuppgifter, får sådana befintliga regler fortsätta att tillämpas under förutsättning att de görs förenliga med bestämmelserna i denna förordning. |
|
2. Kyrkor och religiösa samfund som tillämpar övergripande bestämmelser i enlighet med punkt 1 ska se till att det finns en oberoende tillsynsmyndighet i enlighet med kapitel VI i denna förordning. |
2. Kyrkor och religiösa samfund som tillämpar adekvata bestämmelser i enlighet med punkt 1 ska erhålla ett yttrande över överensstämmelse i enlighet med artikel 38. |
Ändringsförslag 198 Förslag till förordning Artikel 85a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 85a |
|
|
Respekt för grundläggande rättigheter |
|
|
Denna förordning får inte medföra ändringar av skyldigheten att respektera de grundläggande rättigheterna och de grundläggande rättsliga principerna i artikel 6 i EU-fördraget. |
Ändringsförslag 199 Förslag till förordning Artikel 85b (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 85b |
|
|
Standardformulär |
|
|
1. Kommissionen får, med beaktande av olika sektorers och uppgiftsbehandlingssituationers särdrag och behov, fastställa standardformulär för |
|
|
a) särskilda metoder för att erhålla det kontrollerbara samtycke som avses i artikel 8.1, |
|
|
b) det meddelande som avses i artikel 12.2, inklusive den elektroniska formen, |
|
|
c) tillhandahållande av den information som avses i artikel 14.1–3, |
|
|
d) begäran om och beviljande av tillgång till den information som avses i artikel 15.1, även när det gäller att informera den registrerade om personuppgifterna, |
|
|
e) den dokumentation som avses i artikel 28.1, |
|
|
f) anmälningar av personuppgiftsbrott enligt artikel 31 till tillsynsmyndigheten samt den dokumentation som avses i artikel 31.4, |
|
|
g) de förhandssamråd som avses i artikel 34, och för information till tillsynsmyndigheten enligt artikel 34.6. |
|
|
2. Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag. |
|
|
3. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2. |
Ändringsförslag 200 Förslag till förordning Artikel 86 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den delegering av befogenhet som avses i artiklarna 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 79.6, 81.3, 82.3 och 83.3 ska ges till kommissionen på obestämd tid från och med den dag då denna förordning träder i kraft. |
2. Den delegering av befogenhet som avses i artiklarna 13a.5, 17.9, 38.4, 39.2, 41.3, 41.5, 43.3, 79.7, 81.3 och 82.3 ska ges till kommissionen tills vidare från och med den dag då denna förordning träder i kraft. |
Ändringsförslag 201 Förslag till förordning Artikel 86 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Den delegering av befogenhet som avses i artiklarna 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 79.6, 81.3, 82.3 och 83.3 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft. |
3. Den delegering av befogenhet som avses i artiklarna 13a.5, 17.9, 38.4, 39.2, 41.3, 41.5, 43.3, 79.7, 81.3 och 82.3 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft. |
Ändringsförslag 202 Förslag till förordning Artikel 86 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. En delegerad akt som antas enligt artikel 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 79.6, 81.3, 82.3 eller 83.3 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med två månader på Europaparlamentets eller rådets initiativ. |
5. En delegerad akt som antas enligt artikel 13a.5, 17.9, 38.4, 39.2, 41.3, 41.5, 43.3, 79.7, 81.3 eller 82.3 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med sex månader på Europaparlamentets eller rådets initiativ. |
Ändringsförslag 203 Förslag till förordning Artikel 87 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. När det hänvisas till denna punkt ska artikel 8 i förordning (EU) nr 182/2011, jämförd med artikel 5 i samma förordning, tillämpas. |
utgår |
Ändringsförslag 204 Förslag till förordning Artikel 89 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Artikel 1.2 i direktiv 2002/58/EG ska utgå. |
2. Artiklarna 1.2, 4 och 15 i direktiv 2002/58/EG ska utgå. |
Ändringsförslag 205 Förslag till förordning Artikel 89 – punkt 2a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2a. Kommissionen ska utan dröjsmål och senast den dag som anges i artikel 91.2 lägga fram ett förslag om översyn av regelverket för behandling av personuppgifter och integritetsskydd i elektronisk kommunikation, för att skapa överensstämmelse med denna förordning och för att garantera konsekventa och enhetliga lagstiftningsbestämmelser om den grundläggande rätten till skydd av personuppgifter i Europeiska unionen. |
Ändringsförslag 206 Förslag till förordning Artikel 89a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 89a |
|
|
Förhållande till och ändring av förordning (EG) nr 45/2001 |
|
|
1. Bestämmelserna i denna förordning ska tillämpas på den behandling av personuppgifter som EU:s institutioner, organ och byråer utför avseende ärenden för vilka de inte omfattas av ytterligare bestämmelser enligt förordning (EG) nr 45/2001. |
|
|
2. Kommissionen ska utan dröjsmål och senast den dag som anges i artikel 91.2 lägga fram ett förslag om översyn av det regelverk som är tillämpligt på den behandling av personuppgifter som EU:s institutioner, organ och byråer utför. |
Bilaga 1 – Presentation av de upplysningar som avses i artikel 13a (ny)
1. Med beaktande av de proportioner som avses i punkt 6 ska upplysningarna vara utformade på följande sätt:
2. Följande ord i raderna i andra kolumnen i tabellen i punkt 1, som benämns ”VÄSENTLIG INFORMATION”, ska anges i fetstil:
a) Orden ”samlas in” i första raden i andra kolumnen.
b) Ordet ”bevaras” i andra raden i andra kolumnen.
c) Ordet ”behandlas” i tredje raden i andra kolumnen.
d) Orden ”lämnas ut” i fjärde raden i andra kolumnen.
e) Orden ”säljs eller hyrs ut” i femte raden i andra kolumnen.
f) Ordet ”okrypterad” i sjätte raden i andra kolumnen.
3. Med beaktande av de proportioner som avses i punkt 6 ska raderna i tredje kolumnen i tabellen i punkt 1, som benämns ”UPPFYLLT”, innehålla en av följande två grafiska symboler i enlighet med de villkor som anges i punkt 4:
a)
b)
4.
a) Om inga personuppgifter samlas in utöver vad som är strikt nödvändigt för varje specifikt ändamål med behandlingen ska första raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 a.
b) Om personuppgifter samlas in utöver vad som är strikt nödvändigt för varje specifikt ändamål med behandlingen ska första raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 b.
c) Om inga personuppgifter bevaras utöver vad som är strikt nödvändigt för varje specifikt ändamål med behandlingen ska andra raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 a.
d) Om personuppgifter bevaras utöver vad som är strikt nödvändigt för varje specifikt ändamål med behandlingen ska andra raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 b.
e) Om inga personuppgifter behandlas för andra ändamål än dem för vilka de samlades in ska tredje raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 a.
f) Om personuppgifter behandlas för andra ändamål än dem för vilka de samlades in ska tredje raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 b.
g) Om inga personuppgifter lämnas ut till kommersiella tredje parter ska fjärde raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 a.
h) Om personuppgifter lämnas ut till kommersiella tredje parter ska fjärde raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 b.
i) Om inga personuppgifter säljs eller hyrs ut ska femte raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 a.
j) Om personuppgifter säljs eller hyrs ut ska femte raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 b.
k) Om inga personuppgifter bevaras i okrypterad form ska sjätte raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 a.
l) Om personuppgifter bevaras i okrypterad form ska sjätte raden i tredje kolumnen i tabellen i punkt 1 innehålla den grafiska symbol som anges i punkt 3 b.
5. Referensfärgerna för de grafiska symbolerna i punkt 1 i Pantone är Black Pantone nr 7547 och Red Pantone nr 485. Referensfärgen för den grafiska symbolen i punkt 3 a i Pantone är Green Pantone nr 370. Referensfärgen för den grafiska symbolen i punkt 3 b i Pantone är Red Pantone nr 485.
6) De proportioner som anges i nedanstående graderade ritning ska följas, även om tabellen förminskas eller förstoras:
- [1] EUT C 229, 31.7.2012, s. 90.
MOTIVERING
Inledning
I enlighet med artikel 8 i EU:s stadga, om rätten till skydd av personuppgifter:
1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.
2. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.
3. En oberoende myndighet ska kontrollera att dessa regler efterlevs.
Sedan direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter antogs har det skett stora förändringar på uppgiftsskyddsområdet. Det handlar framför allt om att tekniken har utvecklats, att personuppgifter i större utsträckning samlas in och behandlas för bl.a. brottsbekämpningssyften, att det har uppstått ett lapptäcke av olika tillämpliga uppgiftsskyddsregler och att marknader och samarbete har globaliserats.
Direktivet har dessutom inte lett till en verklig harmonisering på grund av att medlemsstaterna har genomfört dess bestämmelser på olika sätt. Det har i denna situation blivit allt svårare för enskilda (”registrerade personer”) att utöva sin rätt till uppgiftsskydd.
Det har slutligen även bromsat den inre marknadens utveckling eftersom företag (som kontrollerar eller behandlar personuppgifter, ”registeransvariga”) och enskilda ställs inför olika uppgiftsskyddskrav.
Sedan Lissabonfördraget trädde i kraft har unionen en konkret rättslig grund för uppgiftsskydd som omfattar behandling av personuppgifter inom den offentliga och den privata sektorn, men även i samband med brottsbekämpning (till följd av att den ”pelarstruktur” som fanns före Lissabonfördraget har försvunnit) (artikel 16.2 i EUF-fördraget). Kommissionen har använt artikel 16.2 som rättslig grund för de föreliggande förslagen om en översyn av unionens regelverk för uppgiftsskydd. Kommissionen har lagt fram ett förslag till en förordning (COM(2012)0011) som ska ersätta direktiv 95/46/EG (föredragande: Jan Philipp Albrecht, gruppen De gröna/Europeiska fria alliansen) och ett direktiv (COM(2012)0010) som ska ersätta rambeslutet 2008/977/RIF om skydd av personuppgifter som behandlas för att förebygga, utreda, avslöja eller lagföra brott (föredragande: Dimitrios Droutsas, gruppen Progressiva förbundet av Socialdemokrater i Europaparlamentet). Båda föredragandena stöder målet om ett helt enhetligt, harmoniserat och stabilt regelverk som garanterar ett starkt skydd av all uppgiftsbehandling inom EU.[1] För att uppnå detta mål måste kommissionens förslag betraktas som ett enda paket som kräver en samordnad lagstiftningsbehandling av båda texterna.
Omfattande diskussioner har förts om uppgiftsskyddsreformen mellan föredragandena och skuggföredragande, föredragande och skuggföredragande för yttrandena från utskotten (ITRE, IMCO, JURI, EMPL), rådets ordförandeskap, kommissionen och berörda parter (dataskyddsmyndigheter, nationella myndigheter, branschen, medborgarrätts- och konsumentorganisationer, akademiska experter) för att se till att det finns ett brett stöd för parlamentets linje.
En workshop för berörda parter organiserades av LIBE den 29 maj 2012. LIBE höll även sitt årliga interparlamentariska utskottssammanträde tillsammans med nationella parlament inom området med frihet, säkerhet och rättvisa om uppgiftsskyddsreformpaketet den 9–10 oktober 2012. Detta resulterade i fyra arbetsdokument om uppgiftsskyddsreformpaketet.
Ståndpunkt när det gäller förslaget till förordning om uppgiftsskydd
Kommissionens förslag går ut på att
– ta ett samlat grepp på uppgiftsskydd,
– stärka enskildas rättigheter,
– ytterligare främja inremarknadsaspekten och förbättra tillämpningen av bestämmelser om uppgiftsskydd, och
– stärka den globala dimensionen.
Föredraganden stöder dessa ambitioner och lägger fram sin ståndpunkt utifrån detta.
Ett samlat grepp på uppgiftsskydd
Föredraganden välkomnar, såsom framgår av arbetsdokumentet av den 6 juli 2012[2], att kommissionen har valt att ersätta direktiv 95/46/EG med en (direkt tillämplig) förordning, eftersom detta bör minska fragmenteringen när det gäller medlemsstaternas tillämpning av uppgiftsskydd.
Han ansluter sig även till den pragmatiska hållning som kommissionen har valt och som innebär att det inom ramen för förordningen ges utrymme för medlemsstaterna att behålla eller anta särskilda bestämmelser om t.ex. yttrandefrihet, tystnadsplikt, hälsa och sysselsättning (artiklarna 81–85). Det hänvisas särskilt till arbetet inom utskottet för sysselsättning och sociala frågor, som ska avge ett yttrande om artikel 82.[3]
EU:s institutioner omfattas inte av den nya förordningen. De bör emellertid omfattas för att det ska finnas ett konsekvent och enhetligt regelverk som gäller i hela unionen. Detta förutsätter en anpassning av EU:s rättsakter, i synnerhet förordning (EG) nr 45/2001, så att de till fullo överensstämmer med den allmänna uppgiftsskyddsförordningen innan denna börjar tillämpas. Föredraganden anser att det även behövs en mer horisontell debatt om hur det nuvarande lapptäcket av uppgiftsskyddsregler för olika EU-organ (t.ex. Europol och Eurojust) ska hanteras och hur överensstämmelse med uppgiftsskyddspaketet (artikel 2 b, artikel 89a) ska uppnås.
Föredraganden beklagar djupt att kommissionens förslag inte omfattar samarbete på brottsbekämpningsområdet (om vilket ett särskilt direktiv föreslås). Detta orsakar en juridisk ovisshet kring rättigheter och skyldigheter i gränsöverskridande ärenden, t.ex. när brottsbekämpningsmyndigheter får tillgång till kommersiella uppgifter för brottsbekämpningsändamål och vid överföringar mellan brottsbekämpningsmyndigheter och andra myndigheter. Dessa frågor tas upp i betänkandet om förslaget till direktiv, där det även föreslås ändringar. I förordningen fastställs att endast myndigheters (inte privata företags) brottsbekämpande verksamhet är undantagen från förordningen och att den tillämpliga lagstiftningen bör innehålla tillfredsställande garantier baserade på principerna om nödvändighet och proportionalitet (artiklarna 2 e och 21).
Förordningens territoriella tillämpningsområde är en viktig fråga för att EU:s lagstiftning om uppgiftsskydd ska kunna tillämpas på ett enhetligt sätt. Föredraganden vill klargöra att förordningen även bör vara tillämplig på registeransvariga som inte är etablerade i unionen när målet med behandlingen är att erbjuda varor eller tjänster till registrerade personer i unionen, oavsett om betalning krävs för dessa varor eller tjänster eller inte, eller att övervaka de registrerade personerna (artikel 3.2).
Förordningen måste även vara heltäckande när det gäller att skapa klarhet om rättsläget. Ett omfattande utnyttjande av delegerade akter och genomförandeakter skulle strida mot detta mål. Föredraganden föreslår därför att flera bestämmelser som ger kommissionen rätt att anta delegerade akter ska strykas. För att där det är möjligt skapa klarhet om rättsläget har föredraganden ersatt flera akter med mer utförliga formuleringar i förordningen (t.ex. artiklarna 6.1b, 15 och 35.10). I övriga fall föreslår föredraganden att Europeiska dataskyddsstyrelsen ska få i uppdrag att fastställa närmare kriterier och krav för en viss bestämmelse i stället för att kommissionen ska ha rätt att anta delegerade akter. Skälet till detta är att det i dessa fall handlar om samarbete mellan nationella tillsynsmyndigheter och att dessa är bättre skickade att fastställa vilka principer och metoder som ska tillämpas (t.ex. artiklarna 23.3, 30.3, 42.3, 44.7 och 55.10).
Stärkande av enskildas rättigheter
Eftersom förordningen avser en grundläggande rättighet förkastas en begränsning av det materiella tillämpningsområdet, i synnerhet när det gäller definitionen av ”personuppgifter”, t.ex. genom att det införs subjektiva inslag beträffande vad registeransvariga ska göra för att identifiera personuppgifter. Begreppet ”personuppgifter” förtydligas dessutom genom objektiva kriterier (artikel 4.1 och skälen 23 och 24). Befogad oro beträffande specifika affärsmodeller kan hanteras utan att enskilda berövas sina grundläggande rättigheter. Föredraganden uppmuntrar i detta sammanhang pseudonymiserad och anonymiserad användning av tjänster. När det gäller användning av pseudonymiserade uppgifter kan lättnader göras beträffande registeransvarigas skyldigheter (artiklarna 4.2 a och 10 samt skäl 23).
Samtycke bör även i fortsättningen vara en hörnsten i EU:s uppgiftsskydd, eftersom det är det bästa sättet för enskilda att kontrollera uppgiftsbehandling. Information till registrerade bör vara lättbegriplig och t.ex. ges i form av standardiserade logotyper eller symboler (artikel 11.2a och 11.2b). Tekniska standarder som uttrycker en registrerad persons tydliga önskemål kan betraktas som en giltig form av uttryckligt samtycke (artiklarna 7.2a och 23).
För att se till att profileringsaktiviteter underställs informerat samtycke måste dessa aktiviteter definieras och regleras (artiklarna 4.3b, 14.1 g, 14.1 ga, 14.1 gb, 15.1 och 20). Andra rättsliga grunder för behandling än samtycke, i synnerhet registeransvarigas ”berättigade intressen”, bör tydligt definieras (ändringsförslag om att artikel 6.1 f ska ersättas med en ny artikel 6.1a, 6.1b och 6.1c).
Avgränsning av syfte är ett grundläggande inslag i uppgiftsskydd eftersom detta skyddar registrerade från oförutsedd utökning av behandlingen av uppgifter. Det bör inte vara möjligt att enbart med stöd av den registeransvariges berättigade intresse ändra syftet med personuppgifterna efter det att de har samlats in. Föredraganden föreslår därför att artikel 6.4 ska utgå i stället för att utvidgas.
Föredraganden stöder en förstärkning av rätten till tillgång, med en rätt till uppgiftsportabilitet – dvs. att man ska ha rätt att flytta sina uppgifter från en plattform till en annan. I den digitala tidsåldern har registrerade personer, även i sin roll som konsumenter, rätt att rimligen förvänta sig att få sina personuppgifter i en allmänt använd elektronisk form (artikel 15.2a). Han föreslår därför att artiklarna 15 och 18 ska slås ihop.
I takt med att mer och mer information som kan få betydande konsekvenser lämnas ut är rätten att radera uppgifter och rätten att rätta uppgifter fortsatt viktiga för de registrerade. ”Rätten att bli bortglömd” ska ses mot denna bakgrund. Genom de ändringar som föreslås klargörs dessa rättigheter i den digitala miljön, samtidigt som det allmänna undantaget för yttrandefrihet kvarstår. När det gäller uppgifter som överförs till tredje parter eller som offentliggörs utan lämplig rättslig grund bör den ursprunglige registeransvarige vara skyldig att informera dessa tredje parter och se till att uppgifterna raderas. Om den enskilde har samtyckt till att hans eller hennes uppgifter offentliggörs är en ”rätt att bli bortglömd” emellertid varken berättigad eller realistisk (artikel 17 och skäl 54).
Rätten att motsätta sig vidare uppgiftsbehandling bör alltid vara kostnadsfri och uttryckligen erbjudas den registrerade personen på ett klart och tydligt språk, anpassat till den registrerade (artikel 19.2). Det är även nödvändigt att skapa bättre möjligheter till effektiv rättslig prövning, även för organisationer som agerar i det allmänna intresset (artiklarna 73 och 76).
Ytterligare främjande av inremarknadsaspekten och bättre tillämpning av bestämmelser om uppgiftsskydd
Föredraganden välkomnar den föreslagna ändringen från krav på anmälan till dataskyddsmyndigheter till praktisk ansvarighet och uppgiftsskyddsombud på företag. Den föreslagna förordningen kan förenklas genom att informationsrättigheter och dokumentationskrav slås ihop eftersom de i grunden utgör två sidor av samma mynt. Detta kommer att minska de administrativa bördorna för registeransvariga och göra det enklare för enskilda att förstå och utöva sina rättigheter (artiklarna 14 och 28). I dagens datormolnmiljö bör tröskeln för obligatorisk utnämning av ett uppgiftsskyddsombud inte grundas på ett företags storlek, utan snarare på hur relevant behandlingen av uppgifterna är (kategori av personuppgifter, typ av behandling och antal personer vilkas uppgifter behandlas) (artikel 35). Det förtydligas att uppgiftsskyddsombudet kan vara en deltidstjänst, beroende på företagets storlek och mängden uppgiftsbehandling (skäl 75).
Inbyggt uppgiftsskydd och uppgiftsskydd som standard välkomnas som en viktig innovation i reformen. Därmed säkerställs att bara uppgifter som krävs för ett särskilt ändamål verkligen behandlas. Tillverkare och tjänsteleverantörer uppmanas att vidta lämpliga åtgärder. Europeiska dataskyddsstyrelsen bör anförtros uppdraget att ge ytterligare vägledning (artikel 23). Syftet med ändringsförslagen beträffande konsekvensbedömningar av integritetsskyddet är att ytterligare fastställa i vilka situationer sådana bedömningar bör göras (artikel 33.2) och vilka inslag som bör bedömas (artikel 33.3).
Föredraganden föreslår att den tidsfrist inom vilken ett personuppgiftsbrott ska anmälas till tillsynsmyndigheten ska förlängas från 24 till 72 timmar. För att förhindra ”informationströtthet” hos registrerade bör dessutom bara fall där personuppgiftsbrottet kan försvaga skyddet av den registrerades personuppgifter eller integritet, t.ex. vid identitetsstöld, bedrägerier, ekonomisk förlust, fysisk skada, betydande förödmjukelse eller skadat anseende, meddelas den registrerade. Anmälan bör även innehålla en beskrivning av typen av personuppgiftsbrott och information om rättigheter, inbegripet möjligheter till rättslig prövning (artiklarna 31 och 32). När det gäller anmälningar om personuppgiftsbrott, konsekvensbedömningar och rätten till radering och rätten att bli bortglömd föreslås att kommissionen antar delegerade akter innan förordningen börjar tillämpas för att klarhet om rättsläget ska uppnås (artikel 86.5a).
Såväl uppförandekodexar som certifieringar och förseglingar stöds, men det behövs även incitament för ett fastställande och en tillämpning av tydligare bestämmelser om de principer som de måste innehålla och om konsekvenserna av olaglig behandling av uppgifter, skadeståndsskyldigheter och besläktade frågor. Uppförandekodexar som kommissionen förklarar vara i enlighet med förordningen ska ge registrerade personer verkställbara rättigheter. Certifieringsförseglingar måste ange det formella förfarandet för att utfärda och återkalla förseglingen och garantera överensstämmelse med uppgiftsskyddsprinciper och registrerades rättigheter (artiklarna 38 och 39).
Genom förordningen bör även säkerställas en enhetlig verksamhetsstruktur för alla dataskyddsmyndigheter. För att detta ska fungera är det viktigt att dataskyddsmyndigheter, som måste vara fullständigt oberoende, får tillräckliga resurser för att kunna fullgöra sitt uppdrag (artikel 47). Samarbetet mellan dataskyddsmyndigheter ska även förstärkas genom Europeiska dataskyddsstyrelsen (som ska ersätta den nuvarande ”artikel 29-arbetsgruppen”). Föredraganden anser att den planerade mekanismen för samarbete och enhetlighet bland nationella datatillsynsmyndigheter är ett stort steg mot en sammanhängande tillämpning av uppgiftsskyddslagstiftningen i hela EU. Den modell som föreslås av kommissionen garanterar emellertid inte ett nödvändigt oberoende för dataskyddsmyndigheter. Efter att ha tagit ställning till olika alternativ föreslås en annan mekanism, som baseras på idén om en ansvarig dataskyddsmyndighet men även bygger på ett nära samarbete mellan dataskyddsmyndigheterna för att garantera samstämmighet (artiklarna 51 och 55a). En dataskyddsmyndighet har i huvudsak behörighet att utöva tillsyn över uppgiftsbehandling inom sitt territorium eller uppgiftsbehandling som rör registrerade som är hemmahörande inom dess territorium. När det gäller uppgiftsbehandling hos en registeransvarig eller registerförare som är etablerad i mer än en medlemsstat eller som berör registrerade i flera medlemsstater ska dataskyddsmyndigheten där det huvudsakliga verksamhetsstället ligger vara den ansvariga myndigheten och fungera som kontaktpunkt för den registeransvarige eller registerföraren (gemensam kontaktpunkt). Den ansvariga myndigheten ska sörja för samordning med berörda myndigheter och samråda med övriga myndigheter innan den fattar beslut om åtgärder. Europeiska dataskyddsstyrelsen ska utse den ansvariga myndigheten i fall där det råder oklarhet eller där dataskyddsmyndigheterna inte kan komma överens. Om en dataskyddsmyndighet som berörs av ett ärende inte vill ställa sig bakom den åtgärd som har föreslagits av den ansvariga myndigheten ska Europeiska dataskyddsstyrelsen avge ett yttrande. Om den ansvariga myndigheten inte vill rätta sig efter detta yttrande ska den informera Europeiska dataskyddsstyrelsen och ange skälen till detta. Europeiska dataskyddsstyrelsen kan fatta ett slutligt beslut med kvalificerad majoritet, vilket ska vara bindande för tillsynsmyndigheten. Beslutet kan bli föremål för domstolsprövning (artiklarna 45a, 55 och 58). Kommissionen kan även överklaga beslutet till EU-domstolen och begära att åtgärden ska upphävas (artikel 61a).
Föredraganden förordar att dataskyddsmyndigheterna ska få större befogenheter när det gäller att göra undersökningar och besluta om sanktioner. Kommissionens förslag var emellertid alltför föreskrivande. Föredraganden föreslår en förenklad ordning som ger dataskyddsmyndigheter större handlingsfrihet, samtidigt som Europeiska dataskyddsstyrelsen får i uppdrag att se till att rättstillämpningen är konsekvent (artiklarna 52, 53, 78 och 79). Sanktionssystemet förtydligas även genom att det införs flera kriterier som måste beaktas för att fastställa storleken på de böter som en dataskyddsmyndighet kan utdöma.
Stärkande av den globala dimensionen
Kommissionen behåller sin befogenhet att anta beslut om adekvathet eller icke-adekvathet vad gäller tredjeländer, tredjeländers territorier och internationella organisationer. Den föreslagna nya möjligheten att erkänna sektorer i tredjeländer som adekvata förkastas emellertid av föredraganden, eftersom den skulle öka den juridiska ovissheten och undergräva unionens mål om ett harmoniserat och sammanhängande internationellt regelverk om uppgiftsskydd. Kriterierna för att bedöma tredjeländers adekvathet förstärks (artikel 41.2). Det föreslås även att kommissionens beslut om adekvathet ska fattas genom en delegerad akt i stället för en genomförandeakt för att ge rådet och parlamentet möjlighet att utnyttja sin kontrollrättighet (artikel 41.3 och 41.5).
Om det inte finns något beslut om adekvathet bör registeransvariga och registerförare sörja för ett tillfredsställande skydd genom att vidta lämpliga åtgärder, t.ex. tillämpa bindande företagsbestämmelser eller standardbestämmelser om uppgiftsskydd som har antagits av kommissionen eller en tillsynsmyndighet. Ändringarna av artiklarna 41.1a och 42 förtydligar och beskriver utförligt de nödvändiga garantier som sådana rättsakter bör innehålla.
En ny artikel 43a föreslås för att hantera frågan om när myndigheter eller domstolar i tredjeländer begär att få tillgång till personuppgifter som lagras och behandlas i EU. Överföring bör endast beviljas av dataskyddsmyndigheter sedan det har kontrollerats att överföringen är förenlig med förordningen och i synnerhet med artikel 44.1 d eller e. Denna situation kommer att bli ännu viktigare i takt med att datormolntekniken sprids och måste därför hanteras i detta sammanhang.
Sammanfattning
Föredraganden ställer sig bakom målet att stärka rätten till skydd av personuppgifter men samtidigt skapa ett enhetligt regelverk och minska de administrativa bördorna för registeransvariga. Han föreslår att kommissionens roll i genomförandet ska minimeras genom att grundläggande inslag förtydligas i själva texten till förordningen och genom att det praktiska genomförandet av samarbetsmekanismen överlåts åt dataskyddsmyndigheterna. Han föreslår att det ska läggas större tonvikt vid användningen av tekniska åtgärder för att skydda personuppgifter och garantera regelefterlevnad, i kombination med incitament för registeransvariga att använda sådana åtgärder. I linje med ansvarighetsstrategin stärks uppgiftsskyddsombudens roll, samtidigt som kravet på förhandssamråd med tillsynsmyndigheterna sänks. Unionens institutioner, organ och byråer bör på medellång sikt omfattas av samma regelverk. Om dessa delar kan få stöd från parlamentet, rådet och kommissionen kommer det nya regelverket om uppgiftsskydd att innebära en förbättring för både enskilda och registeransvariga, samt kunna stå sig i flera år.
Under det omfattande arbete som har utförts tillsammans med skuggföredragande från alla politiska grupper och föredragande för yttranden har föredraganden utarbetat ett stort antal ändringsförslag som speglar diskussionerna med de berörda kollegerna. Särskilt när det gäller principer, rättsliga grunder för behandling av personuppgifter, den registrerades rättigheter, bestämmelser om registeransvariga och registerförare, mekanismen för enhetlighet och sanktioner har ett antal kompromisser inkluderats i detta betänkande. Föredraganden hoppas att hans förslag ska tjäna som ett bra underlag för en snabb överenskommelse i Europaparlamentet och för förhandlingar inom rådet under Irlands ordförandeskap.
YTTRANDE från utskottet för sysselsättning och sociala frågor (4.3.2013)
till utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor
över förslaget till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning)
(COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD))
Föredragande: Nadja Hirsch
KORTFATTAD MOTIVERING
Föredraganden välkomnar uttryckligen denna förordning och dess mål om att ytterligare harmonisera uppgiftsskyddet i Europeiska unionen (EU).
Syftet med detta yttrande är följande: Uppenbarligen går det inte att ordna med ett alltomfattande europeiskt skydd av anställdas personuppgifter i en enda artikel. Därför handlar det snarare om att fastställa vissa grundläggande inslag. Man arbetar ju med att åstadkomma en genuin europeisk arbetsmarknad och inre marknad, och som ett led i detta arbete kan man längre fram dryfta frågan om att reglera skyddet av anställdas personuppgifter på europeisk nivå. En sådan reglering vore möjlig utgående från artikel 288 i fördraget om Europeiska unionens funktionssätt.
Trots att uppgiftsbehandlingen inom EU till största delen har anknytning till anställningsförhållanden har skyddet av anställdas personuppgifter på europeisk nivå endast i ringa grad tagits upp i förordningen. Dessutom är förordningen så pass abstrakt hållen att det ofta blir svårt att tolka hur föreskrifterna ska tillämpas på anställningsförhållanden.
Föredraganden anser att man i denna förordning bäst kan ta hänsyn till den utmaning som skyddet av anställdas personuppgifter innebär om detta yttrande begränsas till att handla endast om artikel 82. På det sättet kan innehållet utvidgas och förordningens olika artiklar med relevans för skyddet av anställdas personuppgifter sammanföras.
Om artikel 82.1 och skäl 124
Som förordningen nu ser ut kan den erbjuda endast en miniminivå av skydd, framför allt av anställdas personuppgifter. Varje medlemsstat måste få ha kvar möjligheten att föreskriva gynnsammare normer för sina arbetstagare. Dessutom måste sådana normer kunna fastställas i kollektivavtal. Uttrycket ”[i]nom ramen för bestämmelserna i denna förordning” måste av flera orsaker avvisas. För det första strider det mot undantagsbestämmelserna i artikel 82 och skulle, tillsammans med de delegerade rättsakter som kommissionen föreslår i artikel 82, kunna leda till en ytterligt oöverskådlig situation. För det andra skulle det i sämsta fall kunna innebära att medlemsstaterna inte hade rätt att utfärda några mer långtgående bestämmelser. Slutligen ger denna lydelse här intrycket av att vara godtyckligt vald, eftersom en sådan begränsning inte ingår i andra inledande bestämmelser, till exempel för medier.
Om artikel 82.1b
Eftersom kommissionen hittills inte lagt fram något eget förslag om skydd av anställdas personuppgifter och eftersom detta skydd tas upp endast på ett fåtal ställen i förordningen, måste det fastställas vissa europaomfattande miniminormer för skyddsnivån i detta avseende. De fyra punkter som föreligger här ska i det sammanhanget inte ses som någon uttömmande förteckning, utan som grundläggande inslag i en utförlig europeisk uppgiftsskyddslagstiftning.
Om artikel 82.1c
Uppgiftsskyddsombudet fyller en oerhört viktig funktion. Därför måste det råda absolut klarhet om att vederbörande ska kunna utföra sina uppgifter utan fruktan för påtryckningar eller inflytande utifrån, och till arbetstagarnas bästa. Således är det på plats med ett särskilt anställningsskydd och förbud mot diskriminering.
Om artikel 82.1e och skäl 124a
I kommissionens förslag anges inga exakta villkor för uppgiftsöverföring mellan olika delar av en företagsgrupp inom EU. Detta ska tas upp här, med vaktslående om arbetstagarens intresse.
Om artikel 82.1f och skäl 34
Det är inte ändamålsenligt att föreskriva att samtycke aldrig ska kunna utgöra giltig grund för behandling av personuppgifter i samband med ett anställningsförhållande. Föredraganden föreslår därför att samtycke ska kunna vara en möjlig giltig grund även i situationer av obalans, om behandlingen sker av omtanke om juridiskt och ekonomiskt fördelaktiga konsekvenser för arbetstagaren.
Om artikel 82.3
Föredraganden anser att delegerade rättsakter bör komma i fråga endast i sådana fall där icke väsentliga delar av förordningen snabbt och flexibelt måste anpassas till tekniska och säkerhetstekniska innovationer. I det här hänseendet gick kommissionens förslag hittills för långt. Förutom punkt 1 bör dessutom också den nya punkten 1c kunna regleras med hjälp av rättsakter.
Om artikel 82.3a
Denna översynsklausul medger en förnyad utvärdering.
ÄNDRINGSFÖRSLAG
Utskottet för sysselsättning och sociala frågor uppmanar utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor att som ansvarigt utskott infoga följande ändringsförslag i sitt betänkande:
Ändringsförslag 1 Förslag till förordning Skäl 34 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(34) Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter om det finns en betydande obalans mellan den registrerade och den registeransvarige. Detta är särskilt fallet när den registrerade befinner sig i ett beroendeförhållande till den registeransvarige, bl.a. när arbetstagares personuppgifter behandlas av arbetsgivare inom ramen för en anställning. Är den registeransvarige en myndighet torde obalans endast uppkomma vid specifika uppgiftsbehandlingar där myndigheten i kraft av sina offentliga befogenheter kan ålägga skyldigheter och samtycket, med hänsyn tagen till den registrerades intresse, inte kan anses ha lämnats frivilligt. |
(34) Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter om det finns en betydande maktobalans mellan den registrerade och den registeransvarige. Detta är särskilt fallet när den registrerade befinner sig i ett beroendeförhållande till den registeransvarige, bl.a. när arbetstagares personuppgifter behandlas av arbetsgivare inom ramen för en anställning. Personuppgifter bör dock få behandlas av arbetsgivare inom ramen för en anställning om det sker av omtanke om huvudsakligen juridiskt och ekonomiskt fördelaktiga konsekvenser för arbetstagaren. Är den registeransvarige en myndighet torde obalans endast uppkomma vid specifika uppgiftsbehandlingar där myndigheten i kraft av sina offentliga befogenheter kan ålägga skyldigheter och samtycket, med hänsyn tagen till den registrerades intresse, inte kan anses ha lämnats frivilligt. |
Ändringsförslag 2 Förslag till förordning Skäl 75 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(75) När en behandling utförs inom den offentliga sektorn eller av ett stort företag inom den privata sektorn, eller när ett företags kärnverksamheter, oavsett företagets storlek, inbegriper behandling som kräver regelbunden och systematisk övervakning bör en person bistå den registeransvarige eller registerföraren för att övervaka den interna efterlevnaden av denna förordning. Denna typ av uppgiftsskyddsombud bör, vare sig de är anställda av den registeransvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina arbetsuppgifter på ett oberoende sätt. |
(75) När en behandling utförs inom den offentliga sektorn eller av ett företag inom den privata sektorn, eller när ett företags kärnverksamheter, oavsett företagets storlek, inbegriper behandling som kräver regelbunden och systematisk övervakning bör en person bistå den registeransvarige eller registerföraren för att övervaka den interna efterlevnaden av denna förordning. Denna typ av uppgiftsskyddsombud bör, vare sig de är anställda av den registeransvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina arbetsuppgifter på ett oberoende sätt. Behandlingen bör genomföras av en juridisk person och omfatta fler än 250 registrerade per år. |
Ändringsförslag 3 Förslag till förordning Skäl 124 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(124) De allmänna principerna för skyddet av enskilda vid behandling av personuppgifter bör även vara tillämpliga vid anställningar. För att reglera behandling av arbetstagares personuppgifter inom ramen för ett anställningsförhållande bör medlemsstaterna därför, inom gränserna för denna förordning, lagstiftningsvägen kunna anta särskilda regler för behandling av personuppgifter under anställningar.
|
(124) De allmänna principerna för skyddet av enskilda vid behandling av personuppgifter bör även vara tillämpliga vid anställningar. Medlemsstaterna bör kunna reglera behandling av arbetstagares personuppgifter inom ramen för ett anställningsförhållande i enlighet med bestämmelserna och miniminormerna i denna förordning. Om det i respektive medlemsstat finns lagstiftning som reglerar frågor rörande anställningsförhållanden genom avtal mellan arbetstagarnas företrädare och ledningen i företaget eller i det kontrollerande företaget i en företagsgrupp (kollektivavtal) eller i enlighet med Europaparlamentets och rådets direktiv 2009/38/EG av den 6 maj 2009 om inrättandet av ett europeiskt företagsråd eller ett förfarande i gemenskapsföretag och grupper av gemenskapsföretag för information till och samråd med arbetstagaren1 bör behandlingen av personuppgifter inom ramen för anställningsförhållanden även kunna regleras genom ett sådant avtal. I detta särskilda fall bör det vara möjligt att göra avvikelser och undantag i enlighet med nationell lagstiftning och praxis. |
|
|
________________ |
|
|
1 EUT L 122, 16.5.2009, s. 28. |
Ändringsförslag 4 Förslag till förordning Skäl 124a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(124a) För bevarandet av företagsintressen som står i direkt samband med anställningsförhållandet bör det vara tillåtet att överföra och behandla arbetstagares personuppgifter inom företagsgrupper. Detta bör dock inte strida mot sådana intressen hos den berörda personen som bör åtnjuta skydd. Arbetstagares personuppgifter är alla slags uppgifter om den berörda personen som står i direkt samband med anställningsförhållandet. Bestämmelserna i artikel 82.1e tar hänsyn till att det blivit vanligt med behandling av arbetstagares personuppgifter inom företagsgrupper. |
Ändringsförslag 5 Förslag till förordning Artikel 3 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. Denna förordning ska tillämpas på behandling av personuppgifter som avser registrerade personer som inte är bosatta i unionen och som utförs av en registeransvarig eller registerförare som är etablerad i unionen, genom dennes ekonomiska verksamhet i ett eller flera tredjeländer. |
Ändringsförslag 6 Förslag till förordning Artikel 6 – punkt 1 – led f | |
|
Kommissionens förslag |
Ändringsförslag |
|
f) Behandlingen är nödvändig för ändamål som rör den registeransvariges berättigade intressen, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Detta ska inte gälla för behandling som utförs av myndigheter i deras myndighetsutövning. |
f) Behandlingen är nödvändig för ändamål som rör berättigade intressen för den registeransvarige eller den eller de tredje parter till vilka uppgifterna lämnas ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Detta ska inte gälla för behandling som utförs av myndigheter i deras myndighetsutövning. |
Motivering | |
För att systemet med kollektivavtal ska fungera på rätt sätt måste fackföreningarna ha möjlighet att övervaka att kollektivavtalen följs. I dag sker detta inom ramen för artikel 7 f i direktiv 95/46/EG. I artikel 7 f erkänns en tredje parts berättigade intresse att behandla personuppgifter. Arbetsgivaren betraktas i allmänhet som registeransvarig och fackföreningen som tredje part. | |
Ändringsförslag 7 Förslag till förordning Artikel 6 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera de villkor som avses i punkt 1 f för olika sektorer och situationer vid behandlingen av personuppgifter, bland annat när det gäller behandlingen av personuppgifter som rör barn. |
utgår |
Motivering | |
Bestämmelser om behandlingens laglighet utgör kärnan i reglerna om uppgiftsskydd. Eftersom bestämmelser i delegerade akter måste begränsas till icke-väsentliga element i förordningen bör punkt 5 utgå. | |
Ändringsförslag 8 Förslag till förordning Artikel 9 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, och behandling av genetiska uppgifter eller uppgifter om hälsa eller sexualliv eller fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder är förbjuden. |
1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap och verksamhet i fackförening, och behandling av genetiska uppgifter eller uppgifter om hälsa eller sexualliv eller fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder är förbjuden. |
Ändringsförslag 9 Förslag till förordning Artikel 14 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Om personuppgifterna inte samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om var personuppgifterna har sitt ursprung. |
3. Om personuppgifterna inte samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om var personuppgifterna har sitt ursprung. Detta gäller även för uppgifter som olagligen hämtas från en tredje part och vidarebefordras till den registeransvarige. |
Ändringsförslag 10 Förslag till förordning Artikel 17 – punkt 6a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
6a. Bestämmelserna i punkterna 4 och 6 i denna artikel ska inte påverka offentliga myndigheters rätt att lagra uppgifter som skriftligt bevis i ett visst enskilt fall under iakttagande av datasäkerhetskraven i denna förordning, särskilt inbyggt integritetsskydd. |
Ändringsförslag 11 Förslag till förordning Artikel 28 – punkt 4 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
b) Ett företag eller en organisation med färre än 250 anställda som behandlar personuppgifter endast som en sidoverksamhet till sin huvudverksamhet. |
b) Ett företag eller en organisation som behandlar personuppgifter endast som en sidoverksamhet till sin huvudverksamhet. |
Motivering | |
Gränsen på 250 anställda leder till att anställda får olika ställning. Den är diskriminerande mot större företag och är inte på något vis nödvändig för att uppnå syftet. Antalet anställda är inte korrelerat till den mängd eller typ av personuppgifter som organisationen bevarar. En liten organisation med endast några få anställda kan kontrollera en stor mängd delegerade personuppgifter och vice versa. Dessutom är gränsen inte helt lätt att tolka. | |
Ändringsförslag 12 Förslag till förordning Artikel 35 – punkt 1 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige och registerföraren ska utnämna ett uppgiftsskyddsombud om |
1. Den registeransvarige och registerföraren ska efter godkännande av personalrepresentanter utnämna ett uppgiftsskyddsombud om |
Ändringsförslag 13 Förslag till förordning Artikel 35 – punkt 1 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
a) behandlingen utförs av en offentlig myndighet eller ett offentligt organ, eller |
a) behandlingen utförs av en offentlig myndighet eller ett offentligt organ, eller på deras vägnar, eller |
Ändringsförslag 14 Förslag till förordning Artikel 35 – punkt 1 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
b) behandlingen utförs av ett företag som har minst 250 anställda, eller |
b) behandlingen utförs av en juridisk person och omfattar fler än 250 registrerade per år, eller |
Ändringsförslag 15 Förslag till förordning Artikel 35 – punkt 1 – led ba (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
ba) uppgiftsbehandlingen är av särskilt känslig natur, t.ex. avser sjukvård, eller |
Ändringsförslag 16 Förslag till förordning Artikel 35 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. I det fall som avses i punkt 1 b får en företagsgrupp utnämna ett enda uppgiftsskyddsombud. |
2. En sådan grupp av enheter som avses i punkt 1 a och 1 b får utnämna ett enda uppgiftsskyddsombud om detta gäller en enda jurisdiktion. |
Motivering | |
Offentliga myndigheter verkar i dag som kvasiföretag på många områden. Förordningen bör inte förbjuda möjligheten att utse ett enda uppgiftsskyddsombud för en grupp som består av enheter från både den offentliga och den privata sektorn. | |
Ändringsförslag 17 Förslag till förordning Artikel 82 – rubriken | |
|
Kommissionens förslag |
Ändringsförslag |
|
Behandling av personuppgifter i anställningsförhållanden |
Miniminormer för behandling av personuppgifter i anställningsförhållanden |
Ändringsförslag 18 Förslag till förordning Artikel 82 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Inom ramen för bestämmelserna i denna förordning får medlemsstaterna i lag föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering, genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet. |
1. I överensstämmelse med bestämmelserna i denna förordning och med beaktande av proportionalitetsprincipen får medlemsstaterna genom lagstiftning föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt – men inte uteslutande – när det gäller rekrytering och ansökningar inom företagsgruppen, genomförande av anställningsavtalet inklusive fullgörande av i lag och kollektivavtal stadgade skyldigheter, företagsavtal och kollektivavtal i enlighet med nationell lagstiftning och praxis, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet. |
|
|
Skyddsnivån enligt denna förordning får inte underskridas. Trots vad som sägs i föregående mening får skyddsnivån enligt denna förordning inte underskridas i betydande omfattning om bestämmelser fastställs genom avtal mellan arbetstagarnas företrädare och ledningen i företaget eller det kontrollerande företaget i en företagsgrupp. |
|
|
Detta ska inte påverka medlemsstaternas rätt – eller arbetsmarknadsparternas rätt via kollektivavtal – att för behandlingen av anställdas personuppgifter inom ramen för ett anställningsförhållande utfärda skyddsbestämmelser som är gynnsammare för arbetstagarna. |
Ändringsförslag 19 Förslag till förordning Artikel 82 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. Ändamålet med behandlingen av sådana uppgifter ska vara direkt knutet till skälet till att uppgifterna samlades in och får inte gå utöver ramen för anställningsförhållandet. Det ska inte vara tillåtet med profilering eller användning för sekundära ändamål. |
Ändringsförslag 20 Förslag till förordning Artikel 82 – punkt 1b (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1b. Utan hinder av vad som sägs i de övriga bestämmelserna i denna förordning ska medlemsstaternas lagstiftningsbestämmelser enligt punkt 1 omfatta minst följande miniminormer: |
|
|
a) Anställdas personuppgifter får inte behandlas utan att de anställda vet om det. Trots vad som sägs i första meningen får medlemsstaterna i lag, med föreskrifter om lämpliga tidsfrister för radering av uppgifterna, tillåta sådan behandling om det föreligger faktiska skäl, som måste dokumenteras, att anta att den anställde inom ramen för anställningsförhållandet begått ett brott eller gjort sig skyldig till allvarlig försumlighet och uppgifterna behövs för att ärendet ska kunna klargöras och varken är av sådant slag eller har sådan omfattning att behandlingen av dem är orimlig i förhållande till det eftersträvade målet. Den anställdes integritet och privata sfär ska alltid respekteras. Undersökningen ska skötas av den behöriga myndigheten. |
|
|
b) Det ska inte vara tillåtet med öppen optisk-elektronisk och öppen akustisk-elektronisk övervakning av de delar av ett företag som inte är tillgängliga för allmänheten, om övervakningen i huvudsak inriktar sig på den anställdes privata livsföring, framför allt inte i sanitetsutrymmen, omklädningsrum, pausrum och sovrum. Det ska under inga omständigheter vara tillåtet med hemlig övervakning. |
|
|
c) Om företag eller myndigheter i hälsoundersökningar och/eller lämplighetstest samlar in och behandlar personuppgifter ska de dessförinnan upplysa den sökande eller den anställde om för vilka ändamål uppgifterna ska användas och därefter delge uppgifterna och deras resultat till vederbörande och på begäran förklara dem. Uppgiftsinsamling som avser genetiska tester och analyser ska i princip vara förbjuden. |
|
|
d) Frågan om huruvida och i vilken omfattning det är tillåtet att använda telefon, e-post, internet och andra telekommunikationstjänster också för privata ändamål kan regleras genom kollektivavtal. Om reglering genom kollektivavtal är omöjlig ska arbetsgivaren ingå ett avtal om frågan direkt med arbetstagaren. Om användning för privata ändamål är tillåten får behandling av hithörande trafikuppgifter ske särskilt för att garantera datasäkerheten, för att trygga telekommunikationsnätens och telekommunikationstjänsternas ostörda funktion samt för avräkningsändamål. Utan hinder av vad som sägs i tredje meningen får medlemsstaterna i lag, med föreskrifter om lämpliga tidsfrister för radering av uppgifterna, tillåta sådan behandling om det föreligger faktiska skäl, som måste dokumenteras, att anta att den anställde inom ramen för anställningsförhållandet begått ett brott eller gjort sig skyldig till allvarlig försumlighet och uppgifterna behövs för att ärendet ska kunna klargöras och varken är av sådant slag eller har sådan omfattning att behandlingen av dem är orimlig i förhållande till det eftersträvade målet. Den anställdes integritet och privata sfär ska alltid respekteras. Undersökningen ska skötas av den behöriga myndigheten. |
|
|
e) Arbetstagares personuppgifter, framförallt känsliga uppgifter som politisk åskådning, medlemskap i fackföreningar och verksamhet i fackföreningar får under inga omständigheter användas för att föra upp arbetstagare på så kallade svarta listor eller för att genomföra personkontroller eller utestänga arbetstagarna från framtida anställning. Det ska inte vara tillåtet med behandling, användning i anställningsförhållanden, utarbetande eller spridning av svarta listor över anställda. Medlemsstaterna ska utföra kontroller och anta adekvata påföljder för att se till att denna punkt genomförs effektivt. |
Ändringsförslag 21 Förslag till förordning Artikel 82 – punkt 1c (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1c. Uppgiftsskyddsombudet ska, såsom tillägg till bestämmelserna i kapitel IV avsnitt 4, omfattas av anställningsskydd vid fullgörandet av sitt uppdrag samt får inte bli föremål för diskriminering. Myndigheterna och företagen ska också se till att uppgiftsskyddsombudet kan bedriva all verksamhet på ett oberoende sätt, i enlighet med artikel 36.2, och har tillgång till fortbildning, varvid medföljande kostnader ska betalas av den registeransvarige och/eller registerföraren. Om företagen är etablerade i mer än en medlemsstat ska ett uppgiftsskyddsombud vara lättillgängligt för alla anställda i var och en av dessa medlemsstater. |
|
|
Såsom tillägg till bestämmelserna i kapitel IV avsnitt 4 ska uppgiftsskyddsombudet ges tillräckligt med tid för att kunna fullgöra berörda skyldigheter om dessa går utöver hans eller hennes allmänna uppgifter. Samråd ska ske med nationella och europeiska företagsråd vid utnämningen av uppgiftsskyddsombudet, och företagsråden ska ges rätt till fortlöpande samråd. |
Ändringsförslag 22 Förslag till förordning Artikel 82 – punkt 1d (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1d. Utan att detta påverkar de rättigheter till information och medbestämmande som garanteras genom nationell lagstiftning ska personalrepresentanter och det europeiska företagsrådet ha följande rättigheter: |
|
|
a) Rätt till medbestämmande när företagets uppgiftsskyddsombud utses (artikel 35 och följande artiklar). |
|
|
b) Rätt till regelbundna samråd och regelbunden information från företagets uppgiftsskyddsombud. |
|
|
c) Rätt att företräda berörda arbetstagare inför en allmän nationell domstol (artikel 73) och möjlighet till grupptalan (artikel 75). |
|
|
d) Rätt till medbestämmande vid utformningen av bindande företagsbestämmelser (artikel 43). |
Ändringsförslag 23 Förslag till förordning Artikel 82 – punkt 1e (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1e. Anställdas personuppgifter får behandlas och överföras mellan juridiskt självständiga företag inom en och samma företagsgrupp och med medverkan av skatterådgivare och juridiska rådgivare såvida detta är av relevans för driften av affärsverksamheten och används för utförandet av specifika åtgärder eller förvaltningsförfaranden, om överföringen inte strider mot sådana intressen hos den berörda personen som bör åtnjuta skydd. Om överföringen av anställdas personuppgifter sker till ett tredjeland och/eller till en internationell organisation ska kapitel V tillämpas. |
Ändringsförslag 24 Förslag till förordning Artikel 82 – punkt 1f (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1f. Artikel 7.4 ska inte tillämpas om uppgiftsbehandlingen sker i syfte att ge arbetstagaren juridiska eller ekonomiska fördelar. |
Ändringsförslag 25 Förslag till förordning Artikel 82 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den antar i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringslagstiftning eller ändringar som rör dessa bestämmelser. |
2. Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka lagstiftningsbestämmelser den antar i enlighet med bestämmelserna i punkterna 1 och 1b, och dessutom utan dröjsmål anmäla senare ändringslagstiftning eller ändringar som rör dessa bestämmelser. |
Ändringsförslag 26 Förslag till förordning Artikel 82 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och villkoren för de skyddsåtgärder som ska tillämpas vid behandling av personuppgifter för sådana ändamål som anges i punkt 1. |
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86, dock endast i syfte att ytterligare precisera kriterierna och villkoren för att de senaste tekniska och säkerhetstekniska normerna garanterat ska tillämpas vid behandling av personuppgifter för sådana ändamål som anges i punkterna 1 och 1e. Hänsyn ska tas till kostnaderna för och fördelarna med genomförandet, de risker som behandlingen medför och det motsvarande behovet att skydda uppgifterna. |
Ändringsförslag 27 Förslag till förordning Artikel 82 – punkt 3a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
3a. På förslag från kommissionen ska Europaparlamentet och rådet se över artikel 82 senast två år efter den dag som avses i artikel 91.2. De ska fatta beslut om detta förslag i enlighet med det förfarande som anges i artikel 294 i fördraget om Europeiska unionens funktionssätt. |
ÄRENDETS GÅNG
|
Titel |
Skydd för enskilda personer med avseende på behandling av personuppgifter, och det fria flödet av sådana uppgifter (allmän förordning om uppgiftskydd) |
||||
|
Referensnummer |
COM(2012)0011 – C7-0025/2012 – 2012/0011(COD) |
||||
|
Ansvarigt utskott Tillkännagivande i kammaren |
LIBE 16.2.2012 |
|
|
|
|
|
Yttrande från Tillkännagivande i kammaren |
EMPL 24.5.2012 |
||||
|
Föredragande av yttrande Utnämning |
Nadja Hirsch 20.4.2012 |
||||
|
Behandling i utskott |
28.11.2012 |
23.1.2013 |
20.2.2013 |
|
|
|
Antagande |
21.2.2013 |
|
|
|
|
|
Slutomröstning: resultat |
+: –: 0: |
35 3 6 |
|||
|
Slutomröstning: närvarande ledamöter |
Regina Bastos, Edit Bauer, Heinz K. Becker, Jean-Luc Bennahmias, Phil Bennion, Pervenche Berès, Philippe Boulland, Alejandro Cercas, Ole Christensen, Derek Roland Clark, Minodora Cliveti, Emer Costello, Frédéric Daerden, Sari Essayah, Richard Falbr, Thomas Händel, Marian Harkin, Nadja Hirsch, Stephen Hughes, Danuta Jazłowiecka, Jean Lambert, Patrick Le Hyaric, Verónica Lope Fontagné, Olle Ludvigsson, Thomas Mann, Elisabeth Morin-Chartier, Csaba Őry, Konstantinos Poupakis, Sylvana Rapti, Licia Ronzulli, Elisabeth Schroedter, Nicole Sinclaire, Joanna Katarzyna Skrzydlewska, Jutta Steinruck, Traian Ungureanu, Inês Cristina Zuber |
||||
|
Slutomröstning: närvarande suppleanter |
Georges Bach, Sergio Gutiérrez Prieto, Ria Oomen-Ruijten, Antigoni Papadopoulou, Csaba Sógor |
||||
|
Slutomröstning: närvarande suppleanter (art. 187.2) |
Alexander Alvaro, Nirj Deva, Pat the Cope Gallagher |
||||
YTTRANDE från utskottet för industrifrågor, forskning och energi (26.2.2013)
till utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor
över förslaget till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning).
(COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD))
Föredragande (av yttrande): Seán Kelly
KORTFATTAD MOTIVERING
Den 25 januari 2012 lade kommissionen fram en omfattande reform av EU:s bestämmelser om uppgiftsskydd. I den föreslagna förordningen eftersträvas harmonisering av skyddet av rätten till integritet på nätet och garantier för det fria flödet av sådana uppgifter inom Europeiska unionen.
Målet med den föreslagna förordningen är även att
· anpassa uppgiftsskyddet till de ändrade kraven i den digitala världen, mot bakgrund av att de nuvarande bestämmelserna antogs för 17 år sedan, när mindre än en procent av européerna använde internet,
· förhindra de nuvarande skillnaderna i genomförandet av bestämmelserna från 1995 i de olika medlemsstaterna och se till att de grundläggande rättigheterna till skydd av personuppgifter tillämpas på ett enhetligt sätt på alla områden inom vilka EU verkar,
· förstärka konsumenternas förtroende för nättjänster genom bättre information om skydd av rättigheter och personuppgifter tillsammans med införande av rätten till rättelse, rätten att bli bortglömd och rätten att raderas, rätten till uppgiftsportabilitet och rätten att göra invändningar,
· stimulera den digitala inre marknaden och minska den nuvarande fragmenteringen och de administrativa bördorna, och, mer allmänt, spela en viktig roll i Europa 2020‑strategin.
I jämförelse med det gällande direktivet 95/46/EG införs med den föreslagna förordningen ett uppgiftsskyddsombud, som ska vara obligatoriskt för den offentliga sektorn, och för den privata sektorn införs ett uppgiftsskyddsombud för stora företag med över 250 anställda och för de företag vars kärnverksamhet har att göra med behandling av personuppgifter.
Det har också gjorts förbättringar när det gäller överföring av personuppgifter till tredjeländer eller internationella organisationer.
Europeiska dataskyddsstyrelsen inrättas och sanktioner, påföljder och rätt till ersättning i fall av överträdelse av förordningen fastställs i det aktuella förslaget.
Föredraganden ställer sig i stort sett bakom de viktigaste målen i kommissionens förslag.
De föreslagna ändringarna bör bidra till att undvika alltför tung administration för företag, särskilt de företag som har inbyggd ansvarsskyldighet för integritet, och garantera en viss flexibilitet för vissa bestämmelser i förordningen, särskilt de som gäller rutiner för ansvarsskyldighet och anmälan till tillsynsmyndigheten. Vissa definitioner och aspekter i ursprungstexten behöver också förtydligas, sättas i rätt sammanhang och förenklas.
Föredraganden har prioriterat ett kvalitativt framför ett kvantitativt synsätt på uppgiftsskydd, som fokuserar på bolagsstyrning, grundat på ovannämnda princip för ansvarsskyldighet, i motsats till en övertro på förfaranden för samtycke eller byråkratisk dokumentation, vilka trots allt också spelar en roll vid uppgiftsskydd.
Det är också viktigt att betona den roll tekniska lösningar spelar, såsom inbyggda skyddsmekanismer för den personliga integriteten, s.k. privacy by design, pseudonymisering och avidentifiering av uppgifter, vilka ska prioritera skydd av känsliga uppgifter och avsedd kontroll av efterlevnad.
Föredraganden önskar belysa vikten av att undvika oavsiktliga effekter som kan ha negativa konsekvenser på områdena för pressfrihet, forskning i hälsofrågor, kampen mot ekonomisk brottslighet, kampen mot fusk inom idrott och innovation vid framtagande av smarta energinät och intelligenta transportsystem.
En annan aspekt av förslaget gäller det betydande antalet delegerade akter. Föredraganden anser att användningen av delegerade akter är överdriven och föreslår att större delen av dem ska utgå.
ÄNDRINGSFÖRSLAG
Utskottet för industrifrågor, forskning och energi uppmanar utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor att som ansvarigt utskott infoga följande ändringsförslag i sitt betänkande:
Ändringsförslag 1 Förslag till förordning Beaktandeled 1a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
– med beaktande av Europeiska unionens stadga om de grundläggande rättigheterna, särskilt artiklarna 7 och 8, |
Ändringsförslag 2 Förslag till förordning Beaktandeled 1b (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
– med beaktande av den europeiska konventionen om skydd för de mänskliga rättigheterna, särskilt artikel 8, |
Ändringsförslag 3 Förslag till förordning Skäl 1a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(1a) Yttrande- och informationsfriheten är en grundläggande rättighet i enlighet med artikel 11 i Europeiska unionens stadga om de grundläggande rättigheterna. Denna rättighet innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser. Mediernas frihet och mångfald bör respekteras. |
Motivering | |
Man bör uttryckligen hänvisa till informations- och yttrandefriheten, vilka är grundläggande rättigheter i Europeiska unionen, i enlighet med artikel 11 i Europeiska unionens stadga om de grundläggande rättigheterna. | |
Ändringsförslag 4 Förslag till förordning Skäl 2a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(2a) Skyddet för den enskildes integritet bör vara utgångspunkten för hur personuppgifter i offentliga register hanteras. |
Ändringsförslag 5 Förslag till förordning Skäl 3a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(3a) De principer om fri tillgång till information som präglar medlemsstaterna genom deras författningstradition bör inte urholkas samtidigt som yttrande- och tryckfriheten, såsom den kommer till uttryck i medlemsstaternas grundlagar bör värnas. |
Ändringsförslag 6 Förslag till förordning Skäl 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(5) Den snabba tekniska utvecklingen och globaliseringen har ställt oss inför nya utmaningar vad gäller skyddet av personuppgifter. Omfattningen på datadelning och insamling av uppgifter har ökat spektakulärt. Tekniken gör det möjligt för både företag och myndigheter att i sitt arbete använda sig av personuppgifter i en helt ny omfattning. Allt fler privatpersoner behandlar sina personliga uppgifter på ett sätt som gör att de blir tillgängliga för var och en, oberoende av plats i världen. Tekniken har omvandlat både ekonomin och det sociala livet, vilket gör det nödvändigt att ytterligare underlätta det fria flödet av uppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer, parallellt med att en hög skyddsnivå säkerställs för personuppgifter. |
(5) Den snabba tekniska utvecklingen och globaliseringen har ställt oss inför nya utmaningar vad gäller skyddet av personuppgifter. Omfattningen på datadelning och insamling av uppgifter har ökat spektakulärt. Tekniken gör det möjligt för både företag och myndigheter att i sitt arbete använda sig av personuppgifter i en helt ny omfattning. Allt fler privatpersoner behandlar sina personliga uppgifter på ett sätt som gör att de blir tillgängliga för var och en, oberoende av plats i världen. Tekniken har omvandlat både ekonomin och det sociala livet, vilket gör det nödvändigt med bättre rättsliga garantier för att underlätta det fria flödet av uppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer, parallellt med att en hög skyddsnivå säkerställs för personuppgifter. |
Motivering | |
Förordningen har visserligen två syften, nämligen dels att skydda personuppgifter och dels att möjliggöra ett fritt flöde av dem inom unionen, men det första syftet bör betonas mer eftersom det är en grundläggande rättighet. | |
Ändringsförslag 7 Förslag till förordning Skäl 5a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(5a) Bland annat molntjänster har potential att omvandla den europeiska ekonomin, förutsatt att tillräckliga åtgärder vidtas för datasäkerhet och uppgiftsskydd. För att garantera den högsta nivån av säkerhet för personuppgifter är det viktigt att förstå de registeransvarigas och registerförarnas rättigheter och skyldigheter i denna förordning. |
Ändringsförslag 8 Förslag till förordning Skäl 8 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(8) För att säkra en enhetlig och hög skyddsnivå för enskilda och för att undanröja hindren för flödena av personuppgifter bör nivån på skyddet av enskildas fri- och rättigheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En enhetlig och likartad tillämpning av bestämmelserna om skydd av fysiska personers grundläggande fri- och rättigheter vid behandling av personuppgifter bör garanteras i hela unionen. |
(8) För att säkra en enhetlig och hög skyddsnivå för enskilda och för att undanröja hindren för flödena av personuppgifter bör nivån på skyddet av enskildas fri- och rättigheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater och om möjligt identisk. En enhetlig och likartad tillämpning av bestämmelserna om skydd av fysiska personers grundläggande fri- och rättigheter vid behandling av personuppgifter bör garanteras i hela unionen. |
Motivering | |
Bestämmelserna om behandling av uppgifter är redan teoretiskt ”likvärdiga” i alla medlemsstater. Eftersom detta tillvägagångssätt misslyckats framställs förslaget i form av en förordning. Skälet bör spegla denna tankegång på ett adekvat sätt. | |
Ändringsförslag 9 Förslag till förordning Skäl 10 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(10) I artikel 16.2 i EUF-fördraget bemyndigas Europaparlamentet och rådet att fastställa regler om skydd av enskilda vid behandling av personuppgifter och regler som rör personuppgifters fria rörlighet. |
(10) I artikel 16.2 i EUF-fördraget bemyndigas Europaparlamentet och rådet att fastställa regler om skydd av enskilda vid behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, och regler som rör personuppgifters fria rörlighet. |
Ändringsförslag 10 Förslag till förordning Skäl 11 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(11) För att säkra en enhetlig nivå på skyddet av enskilda över hela unionen och undvika avvikelser som hindrar den fria rörligheten av uppgifter inom den inre marknaden behövs en förordning som skapar rättssäkerhet och öppenhet för ekonomiska aktörer, däribland mikroföretag samt små och medelstora företag, och som ger enskilda personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger registeransvariga och registerförare samma ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, påföljderna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater mer effektivt. För att ta hänsyn till mikroföretagens samt de små och medelstora företagens särskilda situation innehåller förordningen ett antal undantag. Dessutom uppmanas unionens institutioner och organ samt medlemsstaterna och deras tillsynsmyndigheter att vid tillämpningen av denna förordning ta hänsyn till mikroföretagens samt de små och medelstora företagens särskilda behov. Begreppet ”mikroföretag samt små och medelstora företag” bör bygga på kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag. |
(11) För att säkra en enhetlig nivå på skyddet av enskilda över hela unionen och undvika avvikelser som hindrar den fria rörligheten av uppgifter inom den inre marknaden behövs en förordning som skapar rättssäkerhet och öppenhet för ekonomiska aktörer, däribland mikroföretag samt små och medelstora företag, och som ger enskilda personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger registeransvariga och registerförare samma ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, påföljderna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater mer effektivt. För att ta hänsyn till mikroföretagens samt de små och medelstora företagens särskilda situation innehåller förordningen ett antal undantag när det bevisligen är nödvändigt och utan att undergräva vare sig rätten till skydd av personuppgifter eller principerna för den inre marknaden. Dessutom uppmanas unionens institutioner och organ samt medlemsstaterna och deras tillsynsmyndigheter att vid tillämpningen av denna förordning och i samråd med de berörda parterna ta hänsyn till mikroföretagens samt de små och medelstora företagens särskilda behov och att beakta principen att ”tänka småskaligt först”, så att det tas hänsyn till mikroföretagens samt de små och medelstora företagens intressen från allra första början i beslutsfattandet. Begreppet ”mikroföretag samt små och medelstora företag” bör bygga på kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag. |
Ändringsförslag 11 Förslag till förordning Skäl 12 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(12) Det skydd som ska tillhandahållas enligt denna förordning gäller för fysiska personer, oavsett medborgarskap eller hemvist, vid behandling av personuppgifter. När det gäller behandling av uppgifter rörande juridiska personer, exempelvis uppgifter om namn och typ av juridisk person samt kontaktuppgifter, bör denna förordning inte kunna tillämpas. Det gäller särskilt fråga om företag som bildats som juridiska personer. Detta bör också gälla när namnet på den juridiska personen innehåller namnet på en eller flera fysiska personer. |
(12) Det skydd som ska tillhandahållas enligt denna förordning gäller för fysiska personer, oavsett medborgarskap eller hemvist, vid behandling av personuppgifter. När det gäller behandling av uppgifter rörande juridiska personer, exempelvis uppgifter om namn och typ av juridisk person samt kontaktuppgifter, bör denna förordning också kunna tillämpas. Det gäller särskilt i fråga om företag som bildats som juridiska personer. |
Ändringsförslag 12 Förslag till förordning Skäl 16a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(16a) Denna förordning kan inte ses isolerad från unionens övriga rättsakter. Begränsningarna av skadeståndsansvaret i direktivet om e-handel är av övergripande struktur och därför tillämpliga på all information. Genom denna förordning fastställs vad som utgör en överträdelse av uppgiftsskyddet medan det i direktivet om e-handel fastställs de villkor genom vilka den som lämnar informationen är ansvarig för tredje parts lagöverträdelse. |
Motivering | |
I skälen behövs det en ytterligare förklaring av varför det hänvisas till de begränsningar av skadeståndsansvaret som ingår i direktivet om e-handel. | |
Ändringsförslag 13 Förslag till förordning Skäl 23 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(23) Principerna för skyddet bör gälla all information som rör en identifierad eller identifierbar person. För att avgöra om en person är identifierbar bör man uppmärksamma alla hjälpmedel som, antingen av den registeransvarige eller av någon annan person, rimligen kan komma att använda för att identifiera vederbörande. Skyddsprinciperna bör inte gälla för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är identifierbar. |
(23) Principerna för skyddet bör gälla enbart specifik information som rör en identifierad eller identifierbar person. För att avgöra om en person är identifierbar bör man uppmärksamma i) enbart sådana hjälpmedel som, antingen av den registeransvarige eller av någon annan fysisk eller juridisk person, rimligen kan komma att användas för att identifiera vederbörande, och ii) sannolikheten för att en person identifieras. Skyddsprinciperna bör inte gälla för uppgifter som avidentifierats på ett sådant sätt att den registrerade inte längre är identifierbar med hjälp av dem, med fullt beaktande av den senaste tekniken och de tekniska trenderna. |
Ändringsförslag 14 Förslag till förordning Skäl 23a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(23a) I förordningen erkänns att pseudonymisering är till fördel för alla registrerade eftersom personuppgifterna per definition ändras så att de inte i sig själva kan hänföras till en registrerad utan användning av ytterligare uppgifter. De registeransvariga bör därför uppmuntras att ha som praxis att pseudonymisera uppgifter. |
Ändringsförslag 15 Förslag till förordning Skäl 24 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(24) Vid användning av nättjänster kan enskilda personer knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser eller kakor. Detta kan efterlämna spår som i kombination med unika identifierare och andra uppgifter som tas emot av servrarna kan användas för att skapa profiler för enskilda personer och identifiera dem. Således utgör inte alltid identifieringsnummer, lokaliseringsuppgifter, nätidentifierare eller andra särskilda uppgifter i sig nödvändigtvis personuppgifter. |
(24) Vid användning av nättjänster kan enskilda personer knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser eller kakor. Detta kan efterlämna spår som i kombination med unika identifierare och andra uppgifter som tas emot av servrarna kan användas för att skapa profiler för enskilda personer och identifiera dem. Således utgör inte alltid identifieringsnummer, lokaliseringsuppgifter, nätidentifierare eller andra särskilda uppgifter nödvändigtvis personuppgifter. |
Ändringsförslag 16 Förslag till förordning Skäl 25 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(25) Samtycke bör lämnas uttryckligen med lämplig metod som möjliggör en frivillig, särskild och informerad viljeyttring från de registrerades sida, antingen genom ett uttalande eller genom en entydig affirmativ handling som visar att de är medvetna om att de ger sitt samtycke till behandlingen av personuppgifter, exempelvis en ruta som klickas i vid besök på en internetsida eller genom något annat uttalande eller beteende som i sammanhanget tydligt visar att de registrerade godtar den föreslagna behandlingen av deras personuppgifter. Tystnad eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran måste denna vara tydlig, koncis och får inte onödigtvis störa användningen av den tjänst som den avser. |
(25) Samtycke bör lämnas entydigt med lämplig metod, i det sammanhang där produkten eller tjänsten erbjuds, som möjliggör en frivillig, särskild och informerad viljeyttring från de registrerades sida, antingen genom ett uttalande eller genom en entydig affirmativ handling som visar att de är medvetna om att de ger sitt samtycke till behandlingen av personuppgifter, exempelvis en ruta som klickas i vid besök på en internetsida eller genom något annat uttalande eller beteende som i sammanhanget tydligt visar att de registrerade godtar den föreslagna behandlingen av deras personuppgifter. Tystnad eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran måste denna vara tydlig, koncis och får inte onödigtvis störa användningen av den tjänst som den avser. |
Ändringsförslag 17 Förslag till förordning Skäl 25a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(25a) I denna förordning erkänns att pseudonymisering av uppgifter kan bidra till att minimera riskerna för de registrerades integritet. I den mån som en registeransvarig pseudonymiserar uppgifterna måste sådan behandling anses motiverad utifrån den registeransvariges berättigade intresse i enlighet med artikel 6.1 f. |
Ändringsförslag 18 Förslag till förordning Skäl 26 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(26) Personuppgifter som rör hälsan bör framför allt innefatta alla uppgifter som hänför sig till en registrerad persons hälsotillstånd, uppgifter om registrering av personen för tillhandahållande av hälso- och sjukvårdstjänster, uppgifter om betalning för eller rätt till hälso- och sjukvård avseende personen i fråga, ett nummer, en symbol eller ett kännetecken som personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål, alla uppgifter om personen som insamlats i samband med tillhandahållande av hälso- och sjukvårdstjänster till denne, uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland biologiska prov, identifiering av en person som tillhandahåller hälso- och sjukvård till personen, eller andra uppgifter om t.ex. en sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling, eller den registrerades faktiska fysiologiska eller biomedicinska tillstånd oberoende av källan, exempelvis från en läkare eller annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test. |
(26) Personuppgifter som rör hälsan bör framför allt innefatta alla personuppgifter som hänför sig till en registrerad persons hälsotillstånd, inbegripet genetisk information, uppgifter om registrering av personen för tillhandahållande av hälso- och sjukvårdstjänster, uppgifter om betalning för eller rätt till hälso- och sjukvård avseende personen i fråga, ett nummer, en symbol eller ett kännetecken som personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål, alla uppgifter om personen som insamlats i samband med tillhandahållande av hälso- och sjukvårdstjänster till denne, personuppgifter som härrör från tester eller undersökningar av en kroppsdel eller kroppssubstans eller biologiska prover, identifiering av en person som tillhandahåller hälso- och sjukvård till personen, eller andra uppgifter om t.ex. en sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling, eller den registrerades faktiska fysiologiska eller biomedicinska tillstånd oberoende av källan, exempelvis från en läkare eller annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test. |
Ändringsförslag 19 Förslag till förordning Skäl 27 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(27) En registeransvarigs huvudsakliga verksamhetsställe inom unionen bör avgöras med objektiva kriterier och bör inbegripa den effektiva och faktiska ledning som fattar de huvudsakliga besluten vad avser ändamål, villkor och medel för behandlingen med hjälp av en stabil struktur. Detta kriterium bör inte vara avhängigt om behandlingen av personuppgifter faktiskt utförs på det stället. Att tekniska medel samt teknik för behandling av personuppgifter eller behandlingsverksamhet finns och används, visar i sig inte att det rör sig om ett sådant huvudsakligt verksamhetsställe och utgör därför inte avgörande kriterier för ett huvudsakligt verksamhetsställe. Registerförares huvudsakliga verksamhetsställe bör vara den ort i unionen där de har sin centrala förvaltning. |
(27) Då en registeransvarig eller en registerförare har flera etableringsställen i unionen, vilket omfattar men inte är begränsat till fall då den registeransvarige eller registerföraren är en företagsgrupp, bör den registeransvariges huvudsakliga verksamhetsställe inom unionen vid tillämpningen av denna förordning avgöras med objektiva kriterier och inbegripa den effektiva och faktiska ledning som fattar de huvudsakliga besluten vad avser ändamål, villkor och medel för behandlingen med hjälp av en stabil struktur. Detta kriterium bör inte vara avhängigt om behandlingen av personuppgifter faktiskt utförs på det stället. Att tekniska medel samt teknik för behandling av personuppgifter eller behandlingsverksamhet finns och används, visar i sig inte att det rör sig om ett sådant huvudsakligt verksamhetsställe och utgör därför inga avgörande kriterier för ett huvudsakligt verksamhetsställe. |
Ändringsförslag 20 Förslag till förordning Skäl 28 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(28) En företagsgrupp bör innefatta ett kontrollerande företag samt de företag detta företag kontrollerar (kontrollerade företag), varvid det kontrollerande företaget bör vara det företag som kan utöva ett dominerande inflytande på övriga företag i kraft av exempelvis ägarskap, finansiellt deltagande eller de bestämmelser som det regleras av eller befogenheten att införa regler som rör personuppgiftsskyddet. |
(28) En företagsgrupp bör innefatta ett kontrollerande företag samt de företag detta företag kontrollerar (kontrollerade företag), varvid det kontrollerande företaget bör vara det företag som kan utöva ett dominerande inflytande på övriga företag i kraft av exempelvis ägarskap, finansiellt deltagande eller de bestämmelser som det regleras av eller befogenheten att införa regler som rör personuppgiftsskyddet. En företagsgrupp kan utse ett enda huvudsakligt verksamhetsställe i unionen. |
Ändringsförslag 21 Förslag till förordning Skäl 29 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(29) Barns personuppgifter förtjänar ett särskilt skydd, eftersom de kan vara mindre medvetna om risker, följder, skyddsåtgärder samt sina rättigheter när det gäller behandling av personuppgifter. Definitionen av vem som betraktas som barn bör vara densamma som i FN:s konvention om barnets rättigheter. |
(29) Barns personuppgifter förtjänar ett särskilt skydd, eftersom de kan vara mindre medvetna om risker, följder, skyddsåtgärder samt sina rättigheter när det gäller behandling av personuppgifter. Sådant skydd är särskilt viktigt i samband med sociala nätverk, där barn bör vara medvetna om vilka de kommunicerar med. Definitionen av vem som betraktas som barn bör vara densamma som i FN:s konvention om barnets rättigheter. Ingen hänvisning till barnskydd i förordningen bör uppfattas som en underförstådd anvisning att skyddet av vuxnas personuppgifter bör behandlas med mindre omsorg än vad som annars skulle ha varit fallet utan hänvisningen. |
Ändringsförslag 22 Förslag till förordning Skäl 30 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(30) Varje behandling av personuppgifter måste vara laglig, rättvis och öppen i förhållande till berörda enskilda. De specifika ändamål som uppgifterna behandlas för, bör vara uttryckliga och legitima och ha bestämts vid den tidpunkt då uppgifterna samlades in. Uppgifterna bör vara adekvata, relevanta och begränsa sig till vad som är strikt nödvändigt för de ändamål som uppgifterna behandlas för. Detta innebär bl.a. att de uppgifter som insamlats inte är orimligt omfattande och att den period de lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte kan uppnås genom andra medel. Alla rimliga åtgärder bör vidtas för att rätta eller radera felaktiga uppgifter. För att säkerställa att uppgifter inte sparas längre än nödvändigt bör den registeransvarige införa tidsfrister för radering eller för regelbunden kontroll. |
(30) Varje behandling av personuppgifter måste vara laglig, rättvis och öppen i förhållande till berörda enskilda. De specifika ändamål som uppgifterna behandlas för, bör vara uttryckliga och legitima och ha bestämts vid den tidpunkt då uppgifterna samlades in. Uppgifterna bör vara adekvata, relevanta och inte omfatta mer än vad som är nödvändigt för de ändamål som uppgifterna behandlas för. Detta innebär bl.a. att de uppgifter som insamlats inte är orimligt omfattande och att den period de lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte kan uppnås genom andra medel. Alla rimliga åtgärder bör vidtas för att rätta eller radera felaktiga uppgifter. För att säkerställa att uppgifter inte sparas längre än nödvändigt bör den registeransvarige införa tidsfrister för radering eller för regelbunden kontroll. |
Ändringsförslag 23 Förslag till förordning Skäl 31 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(31) För att behandling ska vara laglig bör personuppgifterna behandlas efter samtycke från berörd person eller på någon annan legitim lagfäst grund, antingen denna förordning eller annan unionslagstiftning eller nationell lagstiftning som aves i denna förordning. |
(31) För att behandling ska vara laglig bör personuppgifterna behandlas enligt en av de legitima lagfästa grunderna, antingen enligt denna förordning eller enligt annan unionslagstiftning eller nationell lagstiftning som aves i denna förordning. |
Motivering | |
Genom detta ändringsförslag uppmuntras till lämplig användning av samtycke, som grund likvärdig de andra grunderna för laglig behandling enligt artikel 6. | |
Ändringsförslag 24 Förslag till förordning Skäl 32 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(32) När behandling sker efter samtycke från registrerade bör registeransvariga ha bevisbördan när det gäller att visa att de registrerade har lämnat sitt samtycke till behandlingen. Vid skriftliga deklarationer som också rör andra frågor bör skyddsåtgärder finnas som ser till att de registrerade är medvetna om detta och hur långt samtycket sträcker sig. |
(32) När behandling sker efter samtycke från registrerade bör registeransvariga ha bevisbördan när det gäller att visa att de registrerade har lämnat sitt samtycke till behandlingen. Vid skriftliga deklarationer som också rör andra frågor bör skyddsåtgärder finnas som ser till att de registrerade är medvetna om detta och hur långt samtycket sträcker sig. För att följa principen om uppgiftsminimering bör man inte uppfatta denna bevisbörda såsom krav på vare sig en positiv identifiering av registrerade om inte detta är nödvändigt eller på behandling av fler uppgifter än vad som annars skulle ha varit fallet. |
Ändringsförslag 25 Förslag till förordning Skäl 33a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(33a) Samtycke får inte vara det primära eller mest önskvärda medlet för att legitimera behandling av personuppgifter. Användning av samtycke i rätt sammanhang är avgörande, men man bör anlita det som legitim grund för behandling endast om de registrerade på ett meningsfullt och lätt sätt kan ge och återkalla sitt samtycke. Om det används i olämpliga sammanhang förlorar samtycket sitt värde och lägger en onödig börda på den registrerade. Exempelvis är samtycke inte ett lämpligt skäl när behandlingen behövs för en tjänst som användaren har begärt eller om de registrerade inte kan vägra samtycke utan att det påverkar den underliggande tjänsten. I dessa liksom i andra sammanhang bör registeransvariga sträva efter att garantera behandlingens laglighet på en annan legitim grund. |
Motivering | |
Genom detta ändringsförslag anpassas lydelsen till artikel 29 i arbetsgruppens yttrande 15/2011 när det gäller definitionen på samtycke (punkt 10), så att det med ökad skärpa framhålls att samtycke kan vara i vägen eller rent av skadligt för skyddet av den personliga integriteten om det används alltför mycket, särskilt i samband med informationstjänster. | |
Ändringsförslag 26 Förslag till förordning Skäl 34 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(34) Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter om det finns en betydande obalans mellan den registrerade och den registeransvarige. Detta är särskilt fallet när den registrerade befinner sig i ett beroendeförhållande till den registeransvarige, bl.a. när arbetstagares personuppgifter behandlas av arbetsgivare inom ramen för en anställning. Är den registeransvarige en myndighet torde obalans endast uppkomma vid specifika uppgiftsbehandlingar där myndigheten i kraft av sina offentliga befogenheter kan ålägga skyldigheter och samtycket, med hänsyn tagen till den registrerades intresse, inte kan anses ha lämnats frivilligt. |
(34) Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter om det finns en betydande obalans mellan den registrerade och den registeransvarige. Detta är särskilt fallet när den registrerade befinner sig i ett beroendeförhållande till den registeransvarige. Är den registeransvarige en myndighet torde obalans endast uppkomma vid specifika uppgiftsbehandlingar där myndigheten i kraft av sina offentliga befogenheter kan ålägga skyldigheter och samtycket, med hänsyn tagen till den registrerades intresse, inte kan anses ha lämnats frivilligt. |
Motivering | |
Ett samtycke till behandling av personuppgifter inom ramen för en anställning bör inte automatiskt ifrågasättas, eftersom det ofta ges när det gäller områden där det är av intresse för den anställde att godkänna behandlingen av sina personuppgifter. | |
Ändringsförslag 27 Förslag till förordning Skäl 36a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(36a) Arbetsuppgifter som utförs av allmänt intresse eller som är ett led i myndighetsutövning inbegriper behandling av personuppgifter som är nödvändig för dessa myndigheters administration och funktion. |
Motivering | |
En ytterligare precisering krävs av exakt vad som omfattas av den lagstadgade skyldigheten eller av arbetsuppgifter som utförs av allmänt intresse eller som är ett led i myndighetsutövning. | |
Ändringsförslag 28 Förslag till förordning Skäl 38 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(38) Registeransvarigas berättigade intressen kan utgöra rättslig grund för behandling, på villkor att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts. För detta krävs en noggrann bedömning, särskilt när den registrerade är ett barn, mot bakgrund av att barn förtjänar specifikt skydd. Den registrerade bör kostnadsfritt och av skäl som rör vederbörandes särskilda situation ha rätt att göra invändningar mot behandling. För att säkra öppenheten bör registeransvariga vara skyldiga att uttryckligen informera de registrerade om vilka berättigade intressen som man eftersträvar att tillvarata och om rätten att göra invändningar. De bör även vara skyldiga att dokumentera dessa berättigade intressen. Mot bakgrund av att det är lagstiftaren som genom lagstiftning fastställer den rättsliga grunden för myndigheters behandling av uppgifter bör denna förordning inte vara tillämplig när myndigheter behandlar uppgifter inom ramen för sin myndighetsutövning. |
(38) Berättigade intressen hos registeransvariga, eller den eller de tredje parter i vilkas intresse uppgifterna behandlas, kan utgöra rättslig grund för behandling, på villkor att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts. För att klargöra detta bör Europeiska dataskyddsstyrelsen fastställa vittgående riktlinjer för vad som kan definieras som ”berättigade intressen”. För detta krävs en noggrann bedömning av behandlingen, särskilt när den registrerade är ett barn, mot bakgrund av att barn förtjänar specifikt skydd. Den registrerade bör kostnadsfritt ha rätt att göra invändningar mot behandling. För att säkra öppenheten bör registeransvariga vara skyldiga att uttryckligen informera de registrerade om vilka berättigade intressen som man eftersträvar att tillvarata och om rätten att göra invändningar. De bör även vara skyldiga att dokumentera dessa berättigade intressen. Mot bakgrund av att det är lagstiftaren som genom lagstiftning fastställer den rättsliga grunden för myndigheters behandling av uppgifter bör denna förordning inte vara tillämplig när myndigheter behandlar uppgifter inom ramen för sin myndighetsutövning. |
Ändringsförslag 29 Förslag till förordning Skäl 40 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(40) Behandling av personuppgifter för andra ändamål bör endast vara tillåten när detta är förenligt med de ändamål som uppgifterna ursprungligen samlades in för, särskilt när behandlingen är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål. När ett annat ändamål inte är förenligt med det ursprungliga som uppgifterna samlas in för, bör den registeransvarige skaffa sig den registrerades samtycke för detta andra ändamål eller åberopa en annan legitim grund för laglig behandling, exempelvis föreskrifter i unionslagstiftning eller i den medlemsstats lagstiftning som den registeransvarige omfattas av. Under alla omständigheter bör principerna i denna förordning tillämpas, särskilt när det gäller informationen till den registrerade om dessa andra ändamål. |
(40) Behandling av personuppgifter för andra ändamål bör endast vara tillåten när detta är förenligt med de ändamål som uppgifterna ursprungligen samlades in för, exempelvis när behandlingen är nödvändig för historiska, statistiska eller vetenskapliga ändamål. När ett annat ändamål inte är förenligt med det ursprungliga som uppgifterna samlas in för, bör den registeransvarige skaffa sig den registrerades samtycke för detta andra ändamål. Under alla omständigheter bör principerna i denna förordning tillämpas, särskilt när det gäller informationen till den registrerade om dessa andra ändamål. |
Ändringsförslag 30 Förslag till förordning Skäl 40a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(40a) Behandlingen av uppgifter i den utsträckning som är strikt nödvändig för att säkerställa att el- och gasföretag eller systemansvariga för distributionssystem enligt definitionen i direktiv 2009/72/EG och direktiv 2009/73/EG kan uppfylla system-, nät- eller driftskrav, eller genomföra laststyrnings-, energihushållnings- eller energieffektivitetsprogram bör tillåtas förutsatt att el- eller gasföretaget eller den systemansvariga i avtal har krävt att registerföraren ska uppfylla kraven i denna förordning. |
Ändringsförslag 31 Förslag till förordning Skäl 41 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(41) Personuppgifter som till sin karaktär är särskilt känsliga och ömtåliga i förhållande till de grundläggande rättigheterna eller integriteten, förtjänar särskilt skydd. Sådana uppgifter bör inte behandlas, såvida inte den registrerade lämnar sitt uttryckliga samtycke. Undantag från detta förbud bör dock uttryckligen föreskrivas för att tillgodose specifika behov, främst när behandling inom ramen för legitima verksamheter utförs av vissa sammanslutningar eller stiftelser vars ändamål är att göra det möjlig att utöva grundläggande friheter. |
(41) Personuppgifter som till sin karaktär är särskilt känsliga och ömtåliga i förhållande till de grundläggande rättigheterna eller integriteten, förtjänar särskilt skydd. Sådana uppgifter bör inte behandlas, såvida inte den registrerade lämnar sitt informerade samtycke. Undantag från detta förbud bör dock uttryckligen föreskrivas för att tillgodose specifika behov, främst när behandling inom ramen för legitima verksamheter utförs av vissa sammanslutningar eller stiftelser vars ändamål är att göra det möjligt för de berörda registrerade att utöva grundläggande friheter. |
Ändringsförslag 32 Förslag till förordning Skäl 45 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(45) Om de uppgifter som behandlas av registeransvariga inte innebär att de kan identifiera fysiska personer bör de registeransvariga inte vara tvungna att skaffa ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Om en registeransvarig mottar en begäran om tillgång bör denne ha rätt att be den begärande registrerade personen om ytterligare information för att kunna lokalisera de personuppgifter som denne söker. |
(45) Om de uppgifter som behandlas av registeransvariga inte innebär att de kan identifiera fysiska personer bör de registeransvariga inte vara tvungna att skaffa ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Om en registeransvarig mottar en begäran om tillgång bör denne ha rätt att be den begärande registrerade personen om ytterligare information för att kunna lokalisera de personuppgifter som denne söker. Den registeransvarige bör inte åberopa en eventuell avsaknad av information för att vägra tillmötesgå en begäran om tillgång, om denna information kan tillhandahållas av den registrerade för att möjliggöra tillgången. |
Ändringsförslag 33 Förslag till förordning Skäl 48 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(48) Principerna om rättvis och öppen behandling fordrar att den registrerade informeras särskilt om att behandling sker och syftet med den, hur länge uppgifterna kommer att lagras, rätten att få tillgång till dem, rätta eller radera dem samt rätten att lämna in klagomål. När uppgifterna samlas in från de registrerade bör dessa även informeras om huruvida de är skyldiga att lämna uppgifterna, och om konsekvenserna i det fall de inte lämnar dem. |
(48) Principerna om rättvis och öppen behandling fordrar att den registrerade informeras särskilt om att behandling sker och syftet med den, samt om vilka kriterier som kan användas för att avgöra hur länge uppgifterna kommer att lagras, rätten att få tillgång till dem, rätta eller radera dem samt rätten att lämna in klagomål. När uppgifterna samlas in från de registrerade bör dessa även informeras om huruvida de är skyldiga att lämna uppgifterna, och om konsekvenserna i det fall de inte lämnar dem. |
Ändringsförslag 34 Förslag till förordning Skäl 49 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(49) Information om behandling av personuppgifter som rör registrerade bör lämnas till dem vid den tidpunkt då uppgifterna samlas in, eller om uppgifterna inte samlas in direkt från de registrerade, inom en rimlig period, beroende på omständigheterna i fallet. När uppgifter legitimt kan lämnas ut till en annan mottagare bör de registrerade informeras första gången uppgifterna lämnas ut till den mottagaren. |
(49) Information om behandling av personuppgifter som rör registrerade bör lämnas till dem vid den tidpunkt då uppgifterna samlas in, eller om uppgifterna inte samlas in direkt från de registrerade, inom en rimlig period, beroende på omständigheterna i fallet. När uppgifter legitimt kan lämnas ut till en annan mottagare utan de registrerades samtycke eller förnyade samtycke, bör de registrerade informeras första gången uppgifterna lämnas ut till den mottagaren, om de registrerade begär att få denna information. |
Motivering | |
Om uppgifter legitimt lämnas ut till en annan mottagare borde det inte finnas något behov för en kontinuerlig process som hela tiden upprepas för att informera den registrerade. Detta skulle kunna leda till oavsiktliga följder såsom att den registrerade drar tillbaka sitt samtycke till den berättigade behandlingen av uppgifterna, eller ännu värre, att den registrerade blir okänslig för information angående statusen för deras personuppgifter. | |
Ändringsförslag 35 Förslag till förordning Skäl 51 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(51) Alla bör ha rätt att få tillgång till uppgifter som insamlats om dem och enkelt kunna utöva denna rätt så att de är medvetna om att behandling sker och kan kontrollera att den är laglig. Alla registrerade bör därför ha rätt att känna till och få underrättelse om framför allt orsaken till att uppgifterna behandlas, vilken tidsperiod behandlingen pågår, vilka som mottar uppgifterna, de behandlade uppgifternas bakomliggande logik och, åtminstone när behandlingen bygger på profilering, vilka konsekvenserna kan bli. Denna rättighet bör inte inverka menligt på andra rättigheter och friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt som skyddar programvaran. Dessa överväganden bör dock inte utmynna i att den registrerade förvägras all information. |
(51) Alla bör ha rätt att få tillgång till personuppgifter som insamlats om dem och enkelt kunna utöva denna rätt så att de är medvetna om att behandling sker och kan kontrollera att den är laglig. Alla registrerade bör därför ha rätt att känna till och få underrättelse om framför allt orsaken till att personuppgifterna behandlas, vilken tidsperiod behandlingen pågår, vilka som mottar personuppgifterna, de behandlade personuppgifternas bakomliggande logik och vilka konsekvenserna kan bli. Denna rättighet bör inte inverka menligt på andra rättigheter och friheter, t.ex. affärshemligheter eller immateriell äganderätt, exempelvis när det gäller upphovsrätt som skyddar programvaran. Dessa överväganden bör dock inte utmynna i att den registrerade förvägras all information. |
Ändringsförslag 36 Förslag till förordning Skäl 52 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(52) Registeransvariga bör vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad som begär tillgång, särskilt inom ramen för nättjänster och i fråga om nätidentifierare. Registeransvariga bör inte behålla personuppgifter enbart för att kunna agera vid en potentiell sådan begäran. |
(52) Registeransvariga bör vidta alla rimliga åtgärder i samband med den produkt eller tjänst som tillhandahålls, eller annars i samband med förbindelsen mellan den registeransvarige och den registrerade och känsligheten hos de personuppgifter som behandlas för att kontrollera om en begäran om tillgång är autentisk, särskilt inom ramen för nättjänster och i fråga om nätidentifierare. Registeransvariga bör inte behålla eller tvingas att samla in personuppgifter enbart för att kunna agera vid en potentiell sådan begäran. |
Ändringsförslag 37 Förslag till förordning Skäl 53a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(53a) Den registrerade bör alltid ha möjlighet att ge ett generellt samtycke till att hans eller hennes uppgifter används för historiska, statistiska eller vetenskapliga forskningsändamål, och att när som helst återkalla sitt samtycke. |
Motivering | |
Broad consent is a necessity for conducting research in fields of medicine that rely on biobanks and tissue banks among other forms. Biobanks are collections of biological samples and data, accumulated over a period of time, used for medical research and diagnostic purposes. These repositories store data from millions of data subjects, which is used by scientists to perform research. The option of broad consent given to a data subject at their first encounter with a doctor allows the researchers to use this data without having to go back to the data subject for every minor research they are conducting and is thus a necessary and practical solution for protecting and fostering public health research. | |
Ändringsförslag 38 Förslag till förordning Skäl 58 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(58) Fysiska personer bör inte vara tvungna att underkasta sig åtgärder som bygger på profilering genom automatisk behandling. Sådana åtgärder bör dock godtas när de uttryckligen är tillåtna enligt lag, när de vidtas vid ingåendet eller genomförandet av ett avtal eller när den registrerade har gett sitt samtycke. Denna form av uppgiftsbehandling bör emellertid omgärdas av lämpliga skyddsåtgärder, bl.a. särskild information till den registrerade, rätt till personlig kontakt samt att garantier för att åtgärderna inte berör barn. |
(58) Fysiska personer bör inte vara tvungna att underkasta sig åtgärder som bygger på profilering genom automatisk behandling och som har rättsliga följder för vederbörande eller märkbart påverkar vederbörande. För att omfattas av denna förordning bör de faktiska effekterna vara så vittgående att de kan jämföras med rättsliga följder. Detta är inte fallet för åtgärder i samband med marknadskommunikation, exempelvis på området för hantering av kundrelationer eller kundvärvning. En åtgärd som utgår från profilering genom automatisk behandling av uppgifter och som har rättsliga följder för en fysisk person eller märkbart påverkar en fysisk person bör dock godtas när den uttryckligen är tillåten enligt lag, när den vidtas vid ingåendet eller genomförandet av ett avtal eller när den registrerade har gett sitt samtycke. Denna form av uppgiftsbehandling bör emellertid omgärdas av lämpliga skyddsåtgärder, bl.a. särskild information till den registrerade, rätt till personlig kontakt samt att garantier för att åtgärderna inte berör barn. |
Motivering | |
Genom ändringsförslaget förtydligas att marknadskommunikation, exempelvis på området för hantering av kundrelationer eller kundvärvning, inte märkbart påverkar en fysisk person i den mening som avses i artikel 20.1. För att omfattas av denna bestämmelse måste de faktiska effekterna vara så vittgående att de kan jämföras med rättsliga följder. | |
Ändringsförslag 39 Förslag till förordning Skäl 60 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(60) Registeransvariga bör åläggas ett heltäckande ansvar för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Registeransvariga bör särskilt säkerställa och vara skyldiga att visa att varje behandling är förenlig med denna förordning. |
(60) Registeransvariga bör åläggas ett allmänt ansvar för all behandling av personuppgifter som de utför eller som utförs på deras vägnar för att säkerställa ansvarsskyldighet. Registeransvariga bör särskilt säkerställa och vara skyldiga att visa att varje behandling är förenlig med denna förordning. Onödig uppgiftsbehandling får i övrigt inte motiveras med att denna skyldighet måste fullgöras. |
Ändringsförslag 40 Förslag till förordning Skäl 61 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(61) Skyddet av de registrerades fri- och rättigheter i samband med behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas både när behandlingen utformas och i själva behandlingsögonblicket så att kraven i denna förordning uppfylls. För att säkerställa och visa att denna förordning följs, bör den registeransvarige anta interna strategier och vidta lämpliga åtgärder, särskilt för att uppfylla principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard. |
(61) För att infria konsumenters och företags förväntningar vad gäller skyddet av de registrerades fri- och rättigheter i samband med behandling av personuppgifter bör lämpliga tekniska och organisatoriska åtgärder vidtas både när behandlingen med därtill hörande teknik utformas och i själva behandlingsögonblicket så att kraven i denna förordning uppfylls. Åtgärder som har till syfte att öka informationen till konsumenterna och underlätta deras val bör uppmuntras genom branschsamarbete och främjande av innovativa lösningar, produkter och tjänster. Inbyggt uppgiftsskydd är den process varigenom uppgiftsskydd och integritet integreras i utvecklingen av produkter och tjänster genom såväl tekniska som organisatoriska åtgärder. Uppgiftsskydd som standard innebär att produkter och tjänster som standard är utformade på ett sätt som begränsar behandlingen och i synnerhet utlämnandet av personuppgifter. Framför allt bör personuppgifter inte utlämnas till ett obegränsat antal personer som standard. |
Ändringsförslag 41 Förslag till förordning Skäl 61a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(61a) Denna förordning bör uppmuntra företag att utarbeta interna program där det fastställs vilka behandlingar som sannolikt utsätter de registrerades rättigheter och friheter för särskilda risker till följd av sin karaktär, omfattning eller sitt ändamål, och att inrätta lämpliga skyddsåtgärder för uppgiftsskydd och utarbeta innovativa lösningar för inbyggt uppgiftsskydd och tekniker för bättre uppgiftsskydd. Företagen skulle då offentligt och proaktivt visa att de efterlever bestämmelserna och andan i denna förordning och därigenom öka EU‑medborgarnas tillförsikt. Företagets ansvarstagande för skyddet av personuppgifter kan dock inte befria ett företag från några skyldigheter som föreskrivs i denna förordning. |
Ändringsförslag 42 Förslag till förordning Skäl 62 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(62) Skyddet av de registrerades rättigheter och friheter samt de registeransvarigas och registerförarna ansvar, också i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när registeransvariga bestämmer ändamål, villkor och medel för en behandling gemensamt tillsammans med andra registeransvariga eller när en behandling utförs på en registeransvarigs vägnar. |
(62) Skyddet av de registrerades rättigheter och friheter samt de registeransvarigas och registerförarna ansvar, också i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när registeransvariga bestämmer ändamål för en behandling gemensamt tillsammans med andra registeransvariga eller när en behandling utförs på en registeransvarigs vägnar. |
Ändringsförslag 43 Förslag till förordning Skäl 65 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(65) För att påvisa att denna förordning följs, bör de registeransvariga eller registerförarna dokumentera varje behandling. Alla registeransvariga och registerförare bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra dokumenteringen tillgänglig så att den kan tjäna som grund för övervakningen av behandlingen. |
(65) För att påvisa att denna förordning följs, bör de registeransvariga dokumentera varje behandling som de har ansvar för. Alla registeransvariga bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra dokumenteringen tillgänglig så att den kan tjäna som grund för övervakningen av behandlingen. |
Ändringsförslag 44 Förslag till förordning Skäl 66 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(66) För att bibehålla säkerheten och förhindra behandling som bryter mot denna förordning bör registeransvariga eller registerförare utvärdera de risker som hör till behandlingen och vidta åtgärder för att mildra dem. Åtgärderna bör leda till en lämplig säkerhetsnivå med hänsyn till dagens tekniska utveckling och till kostnaderna för genomförandet med hänsyn till riskerna och vilken typ av personuppgifter som ska skyddas. Vid införandet av tekniska standarder och organisatoriska åtgärder som ska borga för säkerheten vid behandling bör kommissionen främja teknikneutralitet, interoperabilitet och innovation, och om så är lämpligt samarbeta med tredjeland. |
(66) För att bibehålla säkerheten och förhindra behandling som bryter mot denna förordning bör registeransvariga eller registerförare utvärdera de risker som hör till behandlingen och vidta åtgärder för att mildra dem. Framför allt bör de registeransvariga eller registerförarna ta vederbörlig hänsyn till de större risker som uppkommer vid behandling av de registrerades personuppgifter, på grund av uppgifternas känsliga karaktär. Åtgärderna bör leda till en lämplig säkerhetsnivå med hänsyn till dagens tekniska utveckling och till kostnaderna för genomförandet med hänsyn till riskerna och vilken typ av personuppgifter som ska skyddas. Vid införandet av tekniska standarder och organisatoriska åtgärder som ska borga för säkerheten vid behandling bör teknikneutralitet, interoperabilitet och innovation främjas, och om så är lämpligt samarbete med tredjeländer uppmuntras. |
Ändringsförslag 45 Förslag till förordning Skäl 67 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(67) Ett personuppgiftsbrott som inte snabbt åtgärdas på lämpligt sätt kan för den enskilde leda till betydande ekonomisk förlust eller social skada. Registeransvariga bör därför så snart de blir medvetna om ett sådant brott anmäla det till tillsynsmyndigheten utan onödigt dröjsmål och, när så är möjligt, inom 24 timmar. Om detta inte kan uppnås inom 24 timmar bör en förklaring av skälen till fördröjningen åtfölja anmälan. Enskilda personer vars personuppgifter kan påverkas negativt av brottet bör meddelas utan onödig fördröjning så att de kan vidta nödvändiga försiktighetsåtgärder. Ett brott bör anses negativt påverka en registrerad persons personuppgifter eller integritet när det exempelvis kan leda till identitetsstöld eller bedrägeri, fysik skada, betydande förödmjukelse eller skadat anseende. Anmälan bör beskriva personuppgiftsbrottets art samt innehålla rekommendationer för berörd enskild person om hur de potentiella negativa effekterna kan mildras. De registrerade bör meddelas så snart detta rimligtvis är möjligt, i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra relevanta myndigheter (t.ex. brottsbekämpande myndigheter). För att den drabbade personen ska kunna mildra en omedelbar skaderisk bör han eller hon meddelas omedelbart. Däremot kan behovet att vidta lämpliga åtgärder vid fortlöpande eller likartade personuppgiftsbrott motivera en viss fördröjning. |
(67) Ett personuppgiftsbrott som inte snabbt åtgärdas på lämpligt sätt kan för den enskilde leda till betydande ekonomisk förlust eller social skada. Registeransvariga bör därför så snart de blir medvetna om ett sådant brott anmäla det till tillsynsmyndigheten utan onödigt dröjsmål. Om detta inte kan uppnås inom rimlig tid bör en förklaring av skälen till fördröjningen åtfölja anmälan. Enskilda personer vars personuppgifter kan påverkas negativt av brottet bör meddelas utan onödig fördröjning så att de kan vidta nödvändiga försiktighetsåtgärder. Ett brott bör anses negativt påverka en registrerad persons personuppgifter eller integritet när det exempelvis kan leda till identitetsstöld eller bedrägeri, fysik skada, betydande förödmjukelse eller skadat anseende. Anmälan bör beskriva personuppgiftsbrottets art samt innehålla rekommendationer för berörd enskild person om hur de potentiella negativa effekterna kan mildras. De registrerade bör meddelas så snart detta rimligtvis är möjligt, i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra relevanta myndigheter (t.ex. brottsbekämpande myndigheter). För att den drabbade personen ska kunna mildra en omedelbar skaderisk bör han eller hon meddelas omedelbart. Däremot kan behovet att vidta lämpliga åtgärder vid fortlöpande eller likartade personuppgiftsbrott motivera en viss fördröjning. |
Ändringsförslag 46 Förslag till förordning Skäl 70 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(70) Direktiv 95/46/EG innehöll bestämmelser om en allmän skyldighet att anmäla behandling av personuppgifter till tillsynsmyndigheterna. Denna skyldighet medförde administrativa och ekonomiska bördor, men förbättrade inte alltid personuppgiftsskyddet. Denna övergripande och allmänna anmälningsskyldighet bör därför avskaffas och ersättas av effektiva förfaranden och en mekanism som i stället fokuseras på de behandlingar som sannolikt utsätter de registrerades rättigheter och friheter för särskilda risker i kraft av sin karaktär, omfattning eller ändamål. I sådana fall bör den registeransvarige eller registerföraren före behandlingen göra en konsekvensbedömning avseende uppgiftsskydd, som främst bör innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska säkerställa personuppgiftskyddet och som ska visa att denna förordning efterlevs. |
(70) Direktiv 95/46/EG innehöll bestämmelser om en allmän skyldighet att anmäla behandling av personuppgifter till tillsynsmyndigheterna. Denna skyldighet medförde administrativa och ekonomiska bördor, men förbättrade inte alltid personuppgiftsskyddet. Denna övergripande och allmänna anmälningsskyldighet bör därför avskaffas och ersättas av effektiva förfaranden och en mekanism som i stället fokuseras på de behandlingar som sannolikt utsätter de registrerades rättigheter och friheter för särskilda risker i kraft av sin karaktär, omfattning eller ändamål. I sådana fall bör den registeransvarige före behandlingen göra en konsekvensbedömning avseende uppgiftsskydd, som främst bör innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska säkerställa personuppgiftskyddet och som ska visa att denna förordning efterlevs. |
Motivering | |
Det bör vara de registeransvarigas uppgift att bedöma konsekvenserna för integriteten när de fastställer ändamålet med behandlingen. | |
Ändringsförslag 47 Förslag till förordning Skäl 70a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(70a) I direktiv 2002/58/EG fastställs skyldigheter vid anmälan av personuppgiftsbrott för behandling av personuppgifter i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster i allmänna kommunikationsnät i unionen. När leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster också tillhandahåller andra tjänster är de också i fortsättningen skyldiga att anmäla personuppgiftsbrott i enlighet med direktiv 2002/58/EG och inte i enlighet med denna förordning. Dessa leverantörer bör omfattas av ett enda system för anmälan av personuppgiftsbrott, för både personuppgifter som behandlats i samband med tillhandahållande av en allmänt tillgänglig elektronisk kommunikationstjänst och för varje annan personuppgift för vilken de är registeransvarig. |
Motivering | |
Leverantörer av elektroniska kommunikationstjänster bör omfattas av ett enda system för anmälan av eventuella brott mot de uppgifter som de behandlar, och inte av ett flertal system, beroende på vilken tjänst som erbjuds. Detta garanterar rättvisa villkor bland aktörerna i branschen. | |
Ändringsförslag 48 Förslag till förordning Skäl 76 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(76) Sammanslutningar eller andra organ som företräder kategorier av registeransvariga bör uppmuntras att utarbeta uppförandekodexar inom gränserna för denna förordning, så att tillämpningen av förordningen effektiviseras, under beaktande av de särdrag som finns vid behandling som sker inom vissa sektorer. |
(76) Sammanslutningar eller andra organ som företräder kategorier av registeransvariga bör uppmuntras att utarbeta uppförandekodexar inom gränserna för denna förordning, så att tillämpningen av förordningen effektiviseras, under beaktande av de särdrag som finns vid behandling som sker inom vissa sektorer. Sådana kodexar bör göra det lättare för näringslivet att efterleva denna förordning. |
Motivering | |
Det bör klargöras att sådana uppförandekodexar är till nytta för näringslivet och inte något som minskar kraven på tillsyn från tillsynsmyndigheternas sida. | |
Ändringsförslag 49 Förslag till förordning Skäl 77 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(77) För att förbättra öppenheten och efterlevnaden av denna förordning bör införandet av certifieringsmekanismer, uppgiftsskyddsförsegling och uppgiftsskyddsmärkning uppmuntras, så att registrerade snabbt kan bedöma nivån på relevanta produkters och tjänsters uppgiftsskydd. |
(77) För att förbättra öppenheten och efterlevnaden av denna förordning bör införandet av certifieringsmekanismer, uppgiftsskyddsförsegling och uppgiftsskyddsmärkning uppmuntras, så att registrerade snabbt, tillförlitligt och verifierbart kan bedöma nivån på relevanta produkters och tjänsters uppgiftsskydd. |
Motivering | |
Sådana verktyg måste testas rigoröst och lärdomar måste dras av framgångar och misslyckanden med denna uppläggning. | |
Ändringsförslag 50 Förslag till förordning Skäl 80 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(80) Kommissionen kan med verkan för hela unionen fastställa att vissa tredjeländer, ett visst territorium eller en viss behandlande sektor i ett tredjeland eller en internationell organisation kan garantera adekvat uppgiftsskydd, och på så sätt skapa rättssäkerhet och enhetlighet i hela unionen vad gäller dessa tredjeländer eller internationella organisationer. I dessa fall får överföringar av personuppgifter till dessa länder ske utan vidare tillstånd. |
(80) Kommissionen kan med verkan för hela unionen fastställa att vissa tredjeländer, ett visst territorium eller en viss behandlande sektor i ett tredjeland eller en internationell organisation kan garantera adekvat uppgiftsskydd, och på så sätt skapa rättssäkerhet och enhetlighet i hela unionen vad gäller dessa tredjeländer eller internationella organisationer. I dessa fall får överföringar av personuppgifter till dessa länder ske utan vidare tillstånd. Kommissionen får också efter att ha varslat det tredjelandet och lämnat en fullständig motivering besluta att ett sådant beslut ska återkallas. |
Motivering | |
Det vore ologiskt att tänka sig att situationen för uppgiftsskyddet i ett sådant tredjeland inte skulle kunna försämras längre fram. | |
Ändringsförslag 51 Förslag till förordning Skäl 84 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(84) Registeransvarigas eller registerförares möjlighet att använda standardiserade uppgiftsskyddsbestämmelser som antagits av kommissionen eller av en tillsynsmyndighet bör inte hindra att de infogar standardiserade uppgiftsskyddsbestämmelser i ett vidare avtal eller lägger till andra bestämmelser såvida dessa inte, direkt eller indirekt, står i strid mot standardavtalsklausuler som antagits av kommissionen eller av en tillsynsmyndighet eller påverkar de registrerades grundläggande rättigheter eller friheter. |
(84) Registeransvarigas eller registerförares möjlighet att använda standardiserade uppgiftsskyddsbestämmelser som antagits av kommissionen eller av en tillsynsmyndighet bör inte hindra att de infogar standardiserade uppgiftsskyddsbestämmelser i ett vidare avtal eller lägger till andra bestämmelser såvida dessa inte, direkt eller indirekt, står i strid mot standardavtalsklausuler som antagits av kommissionen eller av en tillsynsmyndighet eller påverkar de registrerades grundläggande rättigheter eller friheter. I vissa fall kan det vara lämpligt att uppmuntra registeransvariga och registerförare att tillhandahålla ännu mer verkningsfulla skyddsåtgärder via ytterligare avtalsmässiga åtaganden som kompletterar standardklausulerna om uppgiftsskydd. |
Motivering | |
Detta ändringsförslag skapar incitament för organisationer att gå längre än de grundläggande lagstadgade kraven och tillämpa system som ett ”uppgiftssigill” eller en ”förtroendemärkning”. | |
Ändringsförslag 52 Förslag till förordning Skäl 85a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(85a) En företagsgrupp som planerar att ansöka om godkännande av bindande företagsregler får föreslå en tillsynsmyndighet som ledande myndighet. Den ledande myndigheten bör vara tillsynsmyndigheten i den medlemsstat där den registeransvariges eller registerförarens huvudsakliga verksamhetsställe är beläget. |
Motivering | |
Artikel 29-gruppen har infört ett system för ömsesidigt erkännande av bindande företagsregler (WP 107 av den 14 april 2005). Detta system för ömsesidigt erkännande bör införlivas i förordningen. Kriteriet för val av behörig myndighet bör vara det huvudsakliga verksamhetsstället, såsom anges i artikel 51.2 i förordningen. | |
Ändringsförslag 53 Förslag till förordning Skäl 87 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(87) Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga för att skydda viktiga samhälleliga intressen, exempelvis vid internationella uppgiftsöverföringar mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, mellan socialförsäkringsmyndigheter, eller till myndigheter som är behöriga att förebygga, utreda, avslöja och lagföra brott. |
(87) Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga för att skydda viktiga samhälleliga intressen, exempelvis vid internationella uppgiftsöverföringar mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, mellan socialförsäkringsmyndigheter, mellan organ som är ansvariga för kampen mot fusk inom idrott, eller till myndigheter som är behöriga att förebygga, utreda, avslöja och lagföra brott. Om personuppgifter överförs med åberopande av sådana viktiga samhälleliga intressen bör detta ske endast tillfälligtvis. I samtliga sådana fall måste alla omständigheter kring överföringen noggrant bedömas. |
Ändringsförslag 54 Förslag till förordning Skäl 94 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(94) Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser och lokalutrymmen samt den infrastruktur som krävs för att den effektivt ska kunna utföra sina arbetsuppgifter, däribland de arbetsuppgifter som är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen. |
(94) Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser, särskilt för att se till att personalen har tillräcklig teknisk kompetens, och lokalutrymmen samt den infrastruktur som krävs för att den effektivt ska kunna utföra sina arbetsuppgifter, däribland de arbetsuppgifter som är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen. |
Motivering | |
Starka, oberoende tillsynsmyndigheter är ett av de nödvändiga villkoren för ett effektivt uppgiftsskydd. De bör vara fria från påverkan utifrån, vilket har bekräftats av EU-domstolen (i målen C-518/07 och C-614/10), och ha de nödvändiga resurserna – ekonomiska och personella – för att garantera att lagstiftningen om skydd av personuppgifter efterlevs. Syftet med dessa ändringar är att ge tillsynsmyndigheterna det oberoende och de resurser som de behöver för att effektivt värna den grundläggande rätten till skydd av personuppgifter. Supervisory authorities are needed to ensure enforcement of data protection legislation. As Article 16(2) TFEU states, they shall be independent in the exercise of their duties. Experience with the current framework has shown that this level of independence is not always provided in practice. It should be noted that this should not only be seen as referring to interference by Member States, but also by the Commission. Independence on paper alone is not enough, supervisory authorities also need the means to put their powers into action. This implies a need for appropriate resources and skilled staff, including staff with technical expertise. The increasing technical challenges facing supervisory authority staff must be recognised and addressed. | |
Ändringsförslag 55 Förslag till förordning Skäl 95 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(95) De allmänna villkoren för tillsynsmyndighetens ledamöter bör fastställas genom lag i varje medlemsstat. Bestämmelserna bör bl.a. föreskriva att de ska utnämnas antingen av parlamentet eller av medlemsstatens regering, och inkludera regler om deras personliga kvalifikationer och ställning. |
(95) De allmänna villkoren för tillsynsmyndighetens ledamöter bör fastställas genom lag i varje medlemsstat. Bestämmelserna bör bl.a. föreskriva att de ska utnämnas antingen av parlamentet eller av medlemsstatens regering, varvid risken för politisk inblandning bör minimeras, och inkludera regler om deras personliga kvalifikationer, undvikande av intressekonflikter och ställning. |
Motivering | |
Starka, oberoende tillsynsmyndigheter är ett av de nödvändiga villkoren för ett effektivt uppgiftsskydd. De bör vara fria från påverkan utifrån, vilket har bekräftats av EU-domstolen (i målen C-518/07 och C-614/10), och ha de nödvändiga resurserna – ekonomiska och personella – för att garantera att lagstiftningen om skydd av personuppgifter efterlevs. Syftet med dessa ändringar är att ge tillsynsmyndigheterna det oberoende och de resurser som de behöver för att effektivt värna den grundläggande rätten till skydd av personuppgifter. Supervisory authorities are needed to ensure enforcement of data protection legislation. As Article 16(2) TFEU states, they shall be independent in the exercise of their duties. Experience with the current framework has shown that this level of independence is not always provided in practice. It should be noted that this should not only be seen as referring to interference by Member States, but also by the Commission. Independence on paper alone is not enough, supervisory authorities also need the means to put their powers into action. This implies a need for appropriate resources and skilled staff, including staff with technical expertise. | |
Ändringsförslag 56 Förslag till förordning Skäl 97 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(97) Om behandlingen av personuppgifter inom ramen för den verksamhet som en registeransvarig eller registerförare bedriver inom unionen äger rum i fler än en medlemsstat bör en enda tillsynsmyndighet vara behörig att övervaka den registeransvariges eller registerförarens verksamheter i hela unionen och fatta alla därmed sammanhängande beslut. Detta för att öka enhetligheten i tillämpningen, skapa rättssäkerhet och minska den administrativa bördan för dessa registeransvariga och registerförare. |
(97) Om behandlingen av personuppgifter äger rum i fler än en medlemsstat bör en enda tillsynsmyndighet vara behörig att övervaka den registeransvariges eller registerförarens verksamheter i hela unionen och fatta alla därmed sammanhängande beslut. Detta för att öka enhetligheten i tillämpningen, skapa rättssäkerhet och minska den administrativa bördan för dessa registeransvariga och registerförare. |
Motivering | |
Principen om en enda ansvarig myndighet bör tillämpas konsekvent för både registeransvariga som är etablerade inom EU och utanför och som omfattas av lagen. | |
Ändringsförslag 57 Förslag till förordning Skäl 98a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(98a) Om behandling av personuppgifter blir föremål för ett klagomål från en registrerad, bör tillsynsmyndigheten i den medlemsstat där den registrerade har sin hemvist vara behörig myndighet för hela handläggningen av klagomålet. Om registrerade inger liknande klagomål mot sådan behandling hos tillsynsmyndigheter i olika medlemsstater, bör den behöriga myndigheten vara den där det första klagomålet ingavs. |
Motivering | |
Det är lämpligt att göra det möjligt för den registrerade att inge sitt administrativa klagomål hos den tillsynsmyndighet som är närmast den registrerades hemvist och i samma medlemsstat där han/hon vid behov kan väcka talan, för att förbättra den registrerades tillgång till rättsmedel och deras enhetlighet samt även för att undvika administrativa bördor. | |
Ändringsförslag 58 Förslag till förordning Skäl 105 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(105) För att denna förordning ska tillämpas enhetligt i hela unionen bör en mekanism för enhetlighet för samarbete mellan tillsynsmyndigheterna själva och kommissionen skapas. Denna mekanism bör främst vara tillämplig när en tillsynsmyndighet avser att vidta en åtgärd gällande behandlingar som avser erbjudande av varor eller tjänster till registrerade i flera medlemsstater, eller som avser övervakning av registrerade, eller som påtagligt kan påverka personuppgifternas fria flöde. Den bör också vara tillämplig när en tillsynsmyndighet eller kommissionen begär att ärendet bör hanteras inom ramen för mekanismen för enhetlighet. Mekanismen bör inte påverka åtgärder som kommissionen kan komma att vidta när den utövar sina befogenheter enligt fördragen. |
(105) För att denna förordning ska tillämpas enhetligt i hela unionen bör en mekanism för enhetlighet för samarbete mellan tillsynsmyndigheterna själva och kommissionen skapas. Denna mekanism bör främst vara tillämplig när den behöriga tillsynsmyndigheten avser att vidta en åtgärd gällande behandlingar som avser erbjudande av varor eller tjänster till registrerade i flera medlemsstater, eller som avser övervakning av registrerade, eller som påtagligt kan påverka personuppgifternas fria flöde. Den bör också vara tillämplig när en tillsynsmyndighet eller kommissionen begär att ärendet bör hanteras inom ramen för mekanismen för enhetlighet. Mekanismen bör inte påverka åtgärder som kommissionen kan komma att vidta när den utövar sina befogenheter enligt fördragen. |
Ändringsförslag 59 Förslag till förordning Skäl 121 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(121) Behandling av personuppgifter enkom för journalistiska, konstnärliga eller litterära ändamål bör undantas från vissa av kraven i denna förordning, så att rätten till skydd av personuppgifter kan förenas med rätten till yttrandefrihet, särskilt rätten att ta emot och lämna upplysningar, som särskilt garanteras genom artikel 11 i Europeiska unionens stadga om de grundläggande rättigheterna. Detta bör särskilt gälla vid behandling av personuppgifter inom det audiovisuella området och i nyhetsarkiv och pressbibliotek. Medlemsstaterna bör därför anta lagstiftningsåtgärder som fastställer de olika undantag som behövs för att skapa en balans mellan dessa grundläggande rättigheter. Medlemsstaterna bör fastställa sådana undantag med avseende på: allmänna principer, de registrerades rättigheter, registeransvariga och registerförare, överföring av uppgifter till tredjeländer eller internationella organisationer, de oberoende tillsynsmyndigheterna samt samarbete och enhetlighet. Detta får dock inte föranleda medlemsstaterna att fastställa undantag från andra bestämmelser i denna förordning. För att ta hänsyn till yttrandefrihetens betydelse i varje demokratiskt samhälle måste en bred tolkning tillämpas av vad som innefattas i denna frihet, som till exempel ”journalism”. Medlemsstaterna bör därför med avseende på de undantag som ska fastställas enligt denna förordning klassificera verksamheter som ”journalistiska” om målet för dem är att bland allmänheten sprida information, åsikter eller idéer, oavsett vilket medium som används för att nå detta mål. Kategorin bör inte begränsas till medieföretag, och såväl vinstdrivande verksamhet som verksamhet som drivs utan vinstintresse bör inbegripas. |
(121) Behandling av personuppgifter för journalistiska, konstnärliga eller litterära ändamål bör undantas från vissa av kraven i denna förordning, så att rätten till skydd av personuppgifter kan förenas med rätten till yttrandefrihet, särskilt rätten att ta emot och sprida uppgifter, som särskilt garanteras genom artikel 11 i Europeiska unionens stadga om de grundläggande rättigheterna. Detta bör särskilt gälla vid behandling av personuppgifter inom det audiovisuella området och i nyhetsarkiv och pressbibliotek. För att ta hänsyn till yttrandefrihetens betydelse i varje demokratiskt samhälle måste en bred tolkning tillämpas av vad som innefattas i denna frihet, som till exempel ”journalism”, oavsett vilket medium som används för att nå detta mål. |
Ändringsförslag 60 Förslag till förordning Skäl 121a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(121a) Denna förordning gör det möjligt att vid tillämpningen av bestämmelserna i den ta hänsyn till principen om allmänhetens rätt att få tillgång till allmänna handlingar. Personuppgifter i handlingar som innehas av en offentlig myndighet eller ett offentligt organ får lämnas ut av myndigheten eller organet i överensstämmelse med den medlemsstatslagstiftning som den berörda offentliga myndigheten eller det berörda offentliga organet omfattas av. I sådan lagstiftning bör en avvägning göras mellan rätten till skydd av personuppgifter och principen om allmänhetens rätt att få tillgång till allmänna handlingar. |
Motivering | |
Det är viktigt att säkerställa att offentlig tillsyn över offentlig verksamhet inte hindras på ett felaktigt sätt av uppgiftsskyddsbestämmelser. I enlighet med yttranden från Europeiska datatillsynsmannen, artikel 29-gruppen och Europeiska unionens byrå för grundläggande rättigheter bör därför principen om allmänhetens rätt att få tillgång till allmänna handlingar kunna garanteras. | |
Ändringsförslag 61 Förslag till förordning Skäl 123a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(123a) Behandling av personuppgifter som rör hälsa, som är en särskild kategori av uppgifter, kan behövas för historiska, statistiska eller vetenskapliga forskningsändamål. Denna förordning bör därför garantera att harmoniserade villkor för behandling av personuppgifter som rör hälsa, som omgärdas med särskilda och lämpliga skyddsåtgärder som skyddar enskildas grundläggande rättigheter och personuppgifter, inte blir till hinder för överbryggande och klinisk forskning och folkhälsoforskning. |
Motivering | |
Ensuring seamless access to medical data is crucial for public health research. This Regulation makes it essential to find a balance between protecting individual data and respecting public health researchers enough to provide them with the means to conduct medical research. One of the aims of this Regulation is to harmonize data protection across different sectors. It is thus important to note that any harmonization of data protection across countries or sectors must protect public health research sector and not constitute a barrier to crucial research addressing the great societal challenges. | |
Ändringsförslag 62 Förslag till förordning Skäl 129 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(129) I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra den fria rörligheten för personuppgifter inom unionen bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen. Delegerade akter bör framför allt antas när det gäller följande: behandlingens laglighet, precisering av kriterier och villkor för barns samtycke, behandling av särskilda kategorier av uppgifter, precisering av kriterier och villkor vad gäller uppenbart orimliga krav och avgifter för att den registrerade ska kunna utöva sina rättigheter, kriterier och krav vad gäller information till den registrerade och rätten till tillgång, rätten att bli bortglömd och rätten till radering, profileringsbaserade åtgärder, kriterier och krav vad gäller den registeransvariges ansvar samt inbyggt uppgiftsskydd och uppgiftsskydd som standard, registerförare, kriterier och krav vad gäller dokumentering av och säkerhet vid behandlingen, kriterier och krav vad gäller konstaterandet av personuppgiftsbrott och anmälan av detta till tillsynsmyndigheten, och gällande omständigheterna när ett personuppgiftsbrott sannolikt påverkar den registrerade negativt, kriterier och villkor vad gäller behandling som kräver en konsekvensbedömning av uppgiftsskyddet, kriterier och krav när man avgör om höggradiga särskilda risker föreligger som kräver förhandssamråd, uppgiftsskyddsombudets utnämning och arbetsuppgifter, uppförandekodexar, kriterier och krav vad gäller certifieringsmekanismer, kriterier och krav vad gäller överföringar som sker på grundval av bindande företagsregler, överföringsundantag, administrativa påföljder, behandling för hälso- och sjukvårdsändamål, behandling vid anställningar och behandling för historiska, statistiska och vetenskapliga forskningsändamål. Det är av särskild betydelse att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå. Kommissionen bör, då den förbereder och utarbetar delegerade akter, se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så snabbt som möjligt och på lämpligt sätt. |
(129) I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra den fria rörligheten för personuppgifter inom unionen bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt under vissa begränsade omständigheter delegeras till kommissionen. Det är av särskild betydelse att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå. Kommissionen bör, då den förbereder och utarbetar delegerade akter, se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så snabbt som möjligt och på lämpligt sätt. |
Ändringsförslag 63 Förslag till förordning Skäl 130 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(130) För att säkra enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter för att: specificera standardformulär för behandling av barns personuppgifter, standardförfaranden och formulär för utövandet av den registrerades rättigheter, standardformulär för information till den registrerade, standardformulär och förfaranden för rätten till tillgång, rätten till uppgiftsportabilitet, standardformulär avseende den registeransvariges ansvar för inbyggt uppgiftsskydd och uppgiftsskydd som standard samt dokumentation, särskilda krav på säkerhet vid behandling, standardformat och förfaranden för anmälan av personuppgiftsbrott till tillsynsmyndigheten och meddelanden om personuppgiftsbrott till den registrerade, standarder och förfaranden för konsekvensbedömning avseende uppgiftsskydd, formulär och förfaranden för förhandstillstånd och förhandssamråd, tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland eller ett territorium eller av en behandlande sektor inom detta tredjeland eller en internationell organisation, utlämnande som inte har stöd i unionslagstiftningen, ömsesidigt bistånd, gemensamma insatser och beslut enligt mekanismen för enhetlighet. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag. |
(130) För att säkra enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter. Vid genomförandet av bestämmelserna i denna förordning bör det säkerställas att inga obligatoriska krav på särskilda tekniska egenskaper uppställs för produkter och tjänster, inklusive terminalutrustning eller annan utrustning för elektronisk kommunikation, som kan hindra att utrustningen släpps ut på marknaden och hindra den fria rörligheten för sådan utrustning inom och mellan medlemsstaterna. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag i samråd med de berörda parterna, eftersom dessa åtgärder inte bör belasta dessa företag alltför mycket. |
Ändringsförslag 64 Förslag till förordning Skäl 139 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(139) Med hänsyn till att rätten till skydd av personuppgifter, såsom EU-domstolen har påpekat, inte är någon absolut rättighet, utan måste förstås utifrån sin funktion i samhället och balanseras i enlighet med proportionalitetsprincipen med andra grundläggande rättigheter, respekterar denna förordning alla grundläggande rättigheter och iakttar de principer som erkänns i EU:s stadga om de i fördragen fastställda grundläggande rättigheterna, främst rätten till skydd för privat- och familjeliv, bostad och kommunikationer, rätten till skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till effektivt rättsmedel och opartisk domstol samt kulturell, religiös och språklig mångfald. |
(139) Med hänsyn till att rätten till skydd av personuppgifter, såsom EU-domstolen har påpekat, inte är någon absolut rättighet, utan måste förstås utifrån sin funktion i samhället och de faktiska och potentiella framstegen inom vetenskap, hälso- och sjukvård och teknik och balanseras i enlighet med proportionalitetsprincipen med andra grundläggande rättigheter, respekterar denna förordning alla grundläggande rättigheter och iakttar de principer som erkänns i EU:s stadga om de i fördragen fastställda grundläggande rättigheterna, främst rätten till skydd för privat- och familjeliv, bostad och kommunikationer, rätten till skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, äganderätten och särskilt skyddet av immateriell äganderätt, rätten till effektivt rättsmedel och opartisk domstol samt kulturell, religiös och språklig mångfald. |
Motivering | |
Behandlingen av ip-adresser är ofta ett viktigt inslag i utredningar av missbruk av programinnehåll enligt direktiv 2004/48/EG och bör inte förhindras av förordningen. | |
Ändringsförslag 65 Förslag till förordning Artikel 1 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. I denna förordning fastställs bestämmelser om skydd för enskilda personer med avseende på behandlingen av personuppgifter och om den fria rörligheten för personuppgifter. |
1. I denna förordning fastställs bestämmelser om skydd för fysiska och juridiska personer med avseende på behandlingen av personuppgifter och om den fria rörligheten för personuppgifter. |
Ändringsförslag 66 Förslag till förordning Artikel 1 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Förordningen skyddar fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter. |
2. Förordningen skyddar fysiska och juridiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter. |
Ändringsförslag 67 Förslag till förordning Artikel 1 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Den fria rörligheten för personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för enskilda personer med avseende på behandlingen av personuppgifter. |
3. Den fria rörligheten för personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för fysiska och juridiska personer med avseende på behandlingen av personuppgifter. |
Ändringsförslag 68 Förslag till förordning Artikel 1 – punkt 3a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
3a. Denna förordning påverkar eller begränsar inte medlemsstaternas grundlagsfästa tryckfrihet och yttrandefrihet som härrör ur den tryckfrihets- och yttrandefrihetstradition som präglar fria och öppna samhällen. Inte heller påverkas eller inskränks medborgarnas rättighet och tillgång till offentliga myndigheters information. Förordningen påverkar inte heller medlemsstaternas rätt och ansvar att genom särskild lagstiftning värna den enskildes integritet vid hanteringen av offentliga register. |
Ändringsförslag 69 Förslag till förordning Artikel 2 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. |
1. Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg, oavsett med vilka medel och vilken teknik behandlingen utförs, samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. |
Ändringsförslag 70 Förslag till förordning Artikel 2 – punkt 2 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) som utförs av unionens institutioner, organ och byråer, |
utgår |
Ändringsförslag 71 Förslag till förordning Artikel 2 – punkt 2 – led ea (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(ea) som utförs för historiska, statistiska och vetenskapliga forskningsändamål, |
Ändringsförslag 72 Förslag till förordning Artikel 2 – punkt 2 – led eb (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(eb) som utförs i samband med en verksamhet som kan hänföras till den registrerades yrkesmässiga eller kommersiella verksamhet, |
Ändringsförslag 73 Förslag till förordning Artikel 2 – punkt 2 – led ec (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(ec) som utförs av en arbetsgivare som ett led i behandlingen av den anställdes personuppgifter inom ramen för ett anställningsförhållande, |
Motivering | |
Det är viktigt att en arbetsgivare kan fortsätta behandla uppgifter om den anställde, t.ex. i fråga om lön, semester, förmåner, födelsedag, utbildning, hälsa, fällande domar i brottmål m.m. För närvarande kan den anställde samtycka till att arbetsgivaren behandlar sådana uppgifter. Formuleringen i förordningen skulle dock kunna tolkas som om det i framtiden skulle införas en obalans mellan arbetsgivare och anställd. | |
Ändringsförslag 74 Förslag till förordning Artikel 2 – punkt 2 – led ed (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(ed) som är avidentifierade uppgifter i den mening som avses i artikel 4.2b. |
Ändringsförslag 75 Förslag till förordning Artikel 3 – punkt 2 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Förordningen ska tillämpas på behandling av personuppgifter som avser registrerade som är bosatta i unionen och som utförs av en registeransvarig som inte är etablerad i unionen, om behandlingen har anknytning till |
2. Förordningen ska tillämpas på behandling av personuppgifter som avser registrerade med hemvist i unionen och som utförs av en registeransvarig som inte är etablerad i unionen, om behandlingen har anknytning till |
Motivering | |
Klargörande av uttrycket ”bosatt”. | |
Ändringsförslag 76 Förslag till förordning Artikel 4 – led 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(1) den registrerade: en fysisk person som är direkt eller indirekt identifierad eller identifierbar, med medel som rimligen kan komma att användas av den registeransvarige eller av någon annan fysisk eller juridisk person, framför allt med hänvisning till ett identifikationsnummer, en lokaliseringsuppgift eller nätidentifierare, eller till en eller fler faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. |
(1) den registrerade: en fysisk person som är identifierad eller identifierbar, eller som direkt eller indirekt kan identifieras eller särskiljas, med medel som rimligen kan komma att användas av den registeransvarige eller av någon annan fysisk eller juridisk person som arbetar tillsammans med den registeransvarige, framför allt med hänvisning till ett identifikationsnummer eller annan unik identifierare, en lokaliseringsuppgift eller nätidentifierare, eller till en eller fler faktorer som är specifika för personens könsidentitet, fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet eller sexuella läggning, och som inte handlar som ett led i sin yrkesutövning. |
Ändringsförslag 77 Förslag till förordning Artikel 4 – led 2a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(2a) pseudonymförsedda uppgifter: alla personuppgifter som samlats in, ändrats eller på något annat sätt behandlats så att de inte av sig själva går att hänföras till den registrerade utan att kompletterande uppgifter används, vilka ska omfattas av separata och tydliga tekniska och organisatoriska kontroller för att garantera att uppgifterna inte kan hänföras på ovannämnda sätt. |
Ändringsförslag 78 Förslag till förordning Artikel 4 – led 2b (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(2b) identifikationsnummer: en numerisk, alfanumerisk eller liknande kod som brukar användas på nätet, dock inte koder som tilldelats av en offentlig eller statskontrollerad myndighet för att identifiera en fysisk person som individ. |
Ändringsförslag 79 Förslag till förordning Artikel 4 – led 2c (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(2c) avidentifierade uppgifter: personuppgifter som har samlats in, ändrats eller på annat sätt behandlats så att de inte längre kan hänföras till den registrerade. Avidentifierade uppgifter ska inte anses utgöra personuppgifter. |
Ändringsförslag 80 Förslag till förordning Artikel 4 – led 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(5) registeransvarig: en fysisk eller juridisk person, myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen, villkoren och medlen för behandlingen av personuppgifter; om ändamålen, villkoren och medlen för behandlingen bestäms av unionslagstiftningen eller medlemsstaternas lagstiftning kan den registeransvarige eller de särskilda kriterierna för hur denne ska utses anges i unionslagstiftningen eller i medlemsstaternas lagstiftning. |
(5) registeransvarig: en fysisk eller juridisk person, myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen för behandlingen av personuppgifter; om ändamålen för behandlingen bestäms av unionslagstiftningen eller medlemsstaternas lagstiftning kan den registeransvarige eller de särskilda kriterierna för hur denne ska utses anges i unionslagstiftningen eller i medlemsstaternas lagstiftning. |
Ändringsförslag 81 Förslag till förordning Artikel 4 – led 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(6) registerförare: en fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar personuppgifter för den registeransvariges räkning. |
(6) registerförare: en fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar personuppgifter för den registeransvariges räkning. Registerföraren kan få tillgång till personuppgifter på ett tekniskt genomförbart sätt, utan oproportionerlig ansträngning och kan rimligen komma att få kännedom om uppgifternas innehåll. |
Motivering | |
Ändringsförslaget överensstämmer med ändringsförslaget för skäl 24a (nytt). | |
Ändringsförslag 82 Förslag till förordning Artikel 4 – led 8 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(8) den registrerades samtycke: varje slag av frivillig, specifik, informerad och uttrycklig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig affirmativ handling godtar behandling av personuppgifter som rör honom eller henne. |
(8) den registrerades samtycke: varje slag av frivillig, specifik, informerad och entydig viljeyttring, genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne. Tystnad eller passivitet ska i sig inte anses uttrycka samtycke. |
Ändringsförslag 83 Förslag till förordning Artikel 4 – led 9a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(9a) särskilda kategorier av personuppgifter: information som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i en fackförening liksom genetiska uppgifter, uppgifter om hälsa eller sexualliv och uppgifter om fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder, |
Motivering | |
Behandlingen av ”särskilda kategorier av personuppgifter” omfattas redan av specifika krav (se artikel 9). Denna grupp av känsliga uppgifter bör, av skäl som rör proportionaliteten, också beaktas när man avgör den registeransvariges övriga skyldigheter (se ändringsförslag till artikel 31). Tillägget av denna definition ökar rättssäkerheten. | |
Ändringsförslag 84 Förslag till förordning Artikel 4 – led 10 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(10) genetiska uppgifter: alla uppgifter, oavsett typ, som rör sådana kännetecken för en enskild person som är nedärvda eller har erhållits under tidig prenatal utveckling. |
(10) genetiska uppgifter: information om en identifierad eller identifierbar persons ärftliga egenskaper, eller förändringar av dessa, som erhållits genom nukleinsyreanalys. |
Motivering | |
Den föreslagna definitionen bör överensstämma med definitioner som används på annat håll, exempelvis den definition av ”genetiska uppgifter om människan” som används i FN:s internationella förklaring om genetiska uppgifter om människan. | |
Ändringsförslag 85 Förslag till förordning Artikel 4 – led 12 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(12) uppgifter om hälsa: alla uppgifter som rör en enskild persons fysiska eller psykiska hälsa eller de hälso- och sjukvårdstjänster som tillhandahållits personen. |
(12) uppgifter om hälsa: personuppgifter som rör en enskild persons fysiska eller psykiska hälsa eller de hälso- och sjukvårdstjänster som tillhandahållits personen. |
Ändringsförslag 86 Förslag till förordning Artikel 4 – led 13 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(13) huvudsakligt verksamhetsställe: när det gäller den registeransvarige, den plats i unionen där denne är etablerad, där de huvudsakliga besluten om syftena, villkoren och medlen för behandlingen av personuppgifter fattas; om inga beslut om syftena, villkoren och metoderna för behandlingen av personuppgifter fattas i unionen är det huvudsakliga verksamhetsstället den plats där den huvudsakliga behandlingen inom ramen för den verksamhet som bedrivs vid en registeransvarigs verksamhetsställe i unionen äger rum. När det gäller registerföraren avses med huvudsakligt verksamhetsställe den plats i unionen där vederbörande har sin centrala förvaltning. |
(13) huvudsakligt verksamhetsställe: den plats som den registeransvarige eller registerföraren bestämt på grundval av följande öppna och objektiva kriterier: platsen för gruppens europeiska huvudkontor, eller platsen för det företag inom gruppen som har det delegerade ansvaret för uppgiftsskyddet, eller platsen för det företag som har de bästa förutsättningarna (i form av ledningsfunktioner, administrativ kapacitet etc.) för att ta itu med och verkställa de bestämmelser som anges i denna förordning, eller den plats där de huvudsakliga besluten om syftena med behandlingen fattas för den regionala gruppen. |
Motivering | |
Syftet med detta ändringsförslag är att förtydliga och återge den verkliga situationen för företag som agerar över ett antal olika jurisdiktioner. Detta bör inte tolkas som att det vore fritt fram att välja det land där lagstiftningen är fördelaktigast (”forum shopping”), eftersom företaget måste lägga fram öppna, objektiva kriterier för att vid tillämpning av förordningen motivera placeringen av sitt huvudsakliga verksamhetsställe. | |
Ändringsförslag 87 Förslag till förordning Artikel 4 – led 13a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(13a) behörig tillsynsmyndighet: den tillsynsmyndighet som ensam ska vara behörig att utöva tillsyn över en registeransvarig i enlighet med artikel 51.2, 51.3 och 51.4. |
Ändringsförslag 88 Förslag till förordning Artikel 4 – led 14 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(14) företrädare: en i unionen etablerad fysisk eller juridisk person som den registeransvarige uttryckligen utsett och som tillsynsmyndigheter och instanser inom unionen kan vända sig till i stället för till den registeransvarige i frågor som gäller den registeransvariges skyldigheter enligt denna förordning. |
(14) företrädare: en i unionen etablerad fysisk eller juridisk person som den registeransvarige uttryckligen utsett och som den behöriga tillsynsmyndigheten ska vända sig till i frågor som gäller den registeransvariges skyldigheter enligt denna förordning. |
Ändringsförslag 89 Förslag till förordning Artikel 4 – led 19a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(19a) ekonomisk brottslighet: brott i samband med organiserad brottslighet, utpressning med beskyddarverksamhet, terrorism, finansiering av terrorism, människohandel, smuggling av migranter, sexuellt utnyttjande, handel med narkotika och psykotropa ämnen, olaglig vapenhandel, häleri, korruption, mutor, bedrägeri, penningförfalskning, varumärkesförfalskning och piratkopiering av varor, miljöbrott, människorov, olaga frihetsberövande och tagande av gisslan, rån, stöld, smuggling, skattebrott, utpressning, förfalskning, piratdåd, insiderhandel och otillbörlig marknadspåverkan. |
Motivering | |
En definition på ”ekonomisk brottslighet” behövs, med utgångspunkt i rekommendationerna från arbetsgruppen för finansiella åtgärder (FATF), eftersom behandling av personuppgifter kommer att vara tillåten i syfte att förhindra, utreda eller upptäcka ekonomisk brottslighet. | |
Ändringsförslag 90 Förslag till förordning Artikel 5 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. |
(b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som står i strid med dessa ändamål. |
Ändringsförslag 91 Förslag till förordning Artikel 5 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
(c) De ska vara adekvata, relevanta och begränsade till ett strikt minimum när det gäller de syften för vilka de behandlas; de ska bara behandlas om, och så länge som, syftena inte kan uppnås genom att man behandlar information som inte rör personuppgifter. |
(c) De ska vara adekvata, relevanta och inte alltför omfattande i förhållande till de syften för vilka de behandlas. de ska bara behandlas om, och så länge som, syftena inte kan uppnås genom att man behandlar information som inte rör personuppgifter. |
Ändringsförslag 92 Förslag till förordning Artikel 5 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
(d) De ska vara riktiga och aktuella; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. |
(d) De ska vara riktiga och om nödvändigt hållas aktuella; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan onödigt dröjsmål. |
Ändringsförslag 93 Förslag till förordning Artikel 5 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
(e) De ska förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas; personuppgifter får lagras under längre perioder i den mån som uppgifterna endast behandlas för historiska, statistiska eller vetenskapliga forskningsändamål i enlighet med bestämmelserna och villkoren i artikel 83 och om en periodisk översyn genomförs för att bedöma behovet av fortsatt lagring. |
(e) De ska förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas; personuppgifter får lagras under längre perioder i den mån som uppgifterna endast behandlas för historiska, statistiska eller vetenskapliga ändamål i enlighet med bestämmelserna och villkoren i artikel 83 och om en periodisk översyn genomförs för att bedöma behovet av fortsatt lagring. |
Ändringsförslag 94 Förslag till förordning Artikel 5 – led f | |
|
Kommissionens förslag |
Ändringsförslag |
|
(f) Den registeransvarige ska ansvara för behandlingen av personuppgifterna, och ska se till och visa att bestämmelserna i denna förordning efterlevs vid varje behandling. |
(f) Den registeransvarige ska ansvara för behandlingen av personuppgifterna, och ska se till att behandlingen utförs i enlighet med bestämmelserna i denna förordning, samt på anmodan visa detta för den tillsynsmyndighet som är behörig enligt artikel 51.2. |
Ändringsförslag 95 Förslag till förordning Artikel 6 – punkt 1 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
(a) Den registrerade har lämnat sitt samtycke till att vederbörandes personuppgifter behandlas för ett eller flera specifika ändamål. |
(a) Den registrerade har lämnat sitt samtycke till att vederbörandes personuppgifter behandlas. |
Ändringsförslag 96 Förslag till förordning Artikel 6 – punkt 1 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. |
(b) Behandlingen är nödvändig för att fullgöra ett avtal eller kollektivavtal och avtal på företagsnivå i vilka den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. |
Motivering | |
Kollektivavtal är i Tyskland jämställda med nationell lagstiftning och kan således likaså utgöra grunden för en legitim behandling. | |
Ändringsförslag 97 Förslag till förordning Artikel 6 – punkt 1 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
(c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige. |
(c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, reglerande bestämmelse, riktlinje, uppförandekod, antingen nationellt eller internationellt som åvilar den registeransvarige, inklusive tillsynsmyndigheternas krav. |
Motivering | |
Bestämmelsen bör säkerställa att inhemsk finansiell reglering eller uppförandekoder omfattas. | |
Ändringsförslag 98 Förslag till förordning Artikel 6 – punkt 1 – led da (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(da) Behandling som är nödvändig för att säkerställa nät- och informationssäkerhet. |
Motivering | |
I och med detta ändringsförslag tillfogas i texten de skyddsåtgärder som fastställs i skäl 39 genom att i en rättsligt bindande artikel klargöra att behandling av uppgifter för nät- och informationssäkerhetsändamål ska betraktas som laglig. | |
Ändringsförslag 99 Förslag till förordning Artikel 6 – punkt 1 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
(e) Behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige. |
(e) Behandlingen är nödvändig för att utföra en arbetsuppgift som är ett led i myndighetsutövning som utförs av den registeransvarige eller som är av allmänt intresse. |
Ändringsförslag 100 Förslag till förordning Artikel 6 – punkt 1 – led f | |
|
Kommissionens förslag |
Ändringsförslag |
|
(f) Behandlingen är nödvändig för ändamål som rör den registeransvariges berättigade intressen, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Detta ska inte gälla för behandling som utförs av myndigheter i deras myndighetsutövning. |
(f) Behandlingen är nödvändig för ändamål som rör berättigade intressen hos en registeransvarig eller registerförare eller någon som arbetar för den registeransvariges eller registerförarens räkning, eller hos den eller de tredje parter i vars intresse uppgifter behandlas, också av skäl som sammanhänger med säkerheten vid behandlingen, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Den registrerades intressen eller grundläggande fri- och rättigheter ska inte ta företräde framför behandling som utförs av myndigheter i deras myndighetsutövning eller företag som utövar sina rättsliga skyldigheter samt för att skydda mot bedrägerier. |
Ändringsförslag 101 Förslag till förordning Artikel 6 – punkt 1 – led fa (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(fa) Behandlingen är begränsad till pseudonymiserade uppgifter där den registrerade ges adekvat skydd och mottagaren av tjänsten ges rätt att göra invändningar enligt artikel 19.3a. |
Ändringsförslag 102 Förslag till förordning Artikel 6 – punkt 1 – led fb (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(fb) Uppgifterna samlas in från offentliga register, förteckningar eller handlingar som är tillgängliga för alla. |
Ändringsförslag 103 Förslag till förordning Artikel 6 – punkt 1 – led fc (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(fc) När den registeransvarige anförtrott personuppgifterna till tredje part är denna medansvarig i enlighet med denna förordning. |
Ändringsförslag 104 Förslag till förordning Artikel 6 – punkt 1 – led fd (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(fd) Behandlingen är absolut nödvändig för att uppdagade incidenter, överträdelser eller attacker mot nät- och/eller informationssäkerheten ska kunna bemötas rätt. |
Ändringsförslag 105 Förslag till förordning Artikel 6 – punkt 1 – led fe (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(fe) Behandlingen är nödvändig för avidentifiering eller pseudonymisering av personuppgifter. |
Ändringsförslag 106 Förslag till förordning Artikel 6 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Personuppgifter ska få behandlas om detta är nödvändigt för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83. |
2. Personuppgifter ska få behandlas vidare om detta är nödvändigt för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83. |
Motivering | |
Det är viktigt att specificera och tillåta vidare behandling (t.ex. koppling, korrigering och tillägg av uppgifter om den registrerade) eftersom modern och innovativ folkhälsoforskning kommer att bygga på flera olika uppgiftsuppsättningar och historiska serier. | |
Ändringsförslag 107 Förslag till förordning Artikel 6 – punkt 2a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2a. Behandlingen av pseudonymiserade uppgifter är laglig för ändamål som rör den registeransvariges berättigade intressen, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Detta ska inte gälla för behandling som utförs av myndigheter i deras myndighetsutövning. |
Motivering | |
I förordningen medges för närvarande ännu inte olika uppgiftskategorier och olika behandling av dem. | |
Ändringsförslag 108 Förslag till förordning Artikel 6 – punkt 3 – stycke 1 – led ba (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(ba) internationella konventioner som unionen eller en medlemsstat är part i. |
Motivering | |
Allmänhetens intresse kan också komma till uttryck i internationella konventioner, också fastän det inte finns någon särskild nationell lagstiftning eller unionslagstiftning. Det skulle ändå krävas av konventionerna att de i allt väsentligt respekterade rätten till skydd av personuppgifter och att de stod i rimlig proportion till det legitima mål som eftersträvas med dem. Till detta kommer sedan att all behandling av personuppgifter på denna grund givetvis måste ske i överensstämmelse med alla andra aspekter av denna förordning. | |
Ändringsförslag 109 Förslag till förordning Artikel 6 – punkt 3 – stycke 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Lagstiftningen i medlemsstaten måste uppfylla ett mål av allmänt intresse eller vara nödvändig för att skydda andras fri- och rättigheter, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas. |
Lagstiftningen i medlemsstaten måste uppfylla ett mål av allmänt intresse eller vara nödvändig för att skydda andras fri- och rättigheter. Lagstiftningen i medlemsstaten måste också respektera det väsentliga innehållet i rätten till skydd av personuppgifter i denna förordning och i de internationella fördrag som medlemsstaten är part i. Slutligen ska medlemsstaten utvärdera och besluta om den nationella lagstiftningen är proportionell mot det legitima mål som eftersträvas eller om ett berättigat mål skulle kunna uppnås med mindre integritetskränkande lösningar. |
Motivering | |
Article 6, paragraph 1, indent e states that processing is lawful if the following applies: “processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller”. Seen in connection with the above mentioned paragraph 3 this leaves Member States a very wide room for eroding citizens’ protection of data mentioned in this regulation using national legislation. The harmonisation among Member States will come under pressure because national interests will result in many different examples of legislation. Citizens’ data will be processed differently in the different countries. This is not satisfying. Similar arguments can be found in relation to article 21. | |
Ändringsförslag 110 Förslag till förordning Artikel 6 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. När ändamålet med ytterligare behandling inte är förenligt med det ändamål för vilket personuppgifterna har samlats in, måste behandlingen ha en rättslig grund i minst en av de grunder som anges i punkt 1 a–e. Detta ska särskilt gälla eventuella ändringar av förutsättningarna och de allmänna villkoren för ett avtal. |
4. När ändamålet med ytterligare behandling inte är förenligt med det ändamål för vilket personuppgifterna har samlats in, måste behandlingen ha en rättslig grund i minst en av de grunder som anges i punkt 1 a–f. Detta ska särskilt gälla eventuella ändringar av förutsättningarna och de allmänna villkoren för ett avtal. |
Motivering | |
Det är viktigt att också ta med berättigade intressen, exempelvis det sektorspecifika exemplet med att åstadkomma en effektivare energiförsörjningskedja genom att tillhandahålla smarta nät. Det kan hända att uppgifter om den registrerades energikonsumtion inte uttryckligen har samlats in för att energiförsörjningen överlag ska göras effektivare, men om det är i tjänsteleverantörens berättigade intresse att använda uppgifterna för detta ändamål bör handlingsfrihet för detta medges. | |
Ändringsförslag 111 Förslag till förordning Artikel 6 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera de villkor som avses i punkt 1 f för olika sektorer och situationer vid behandlingen av personuppgifter, bland annat när det gäller behandlingen av personuppgifter som rör barn. |
utgår |
Ändringsförslag 112 Förslag till förordning Artikel 7 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige ska bära bevisbördan när det gäller den registrerades samtycke till behandlingen av hans eller hennes personuppgifter för bestämda ändamål. |
utgår |
Motivering | |
Överflödig punkt eftersom bevisbördan för närvarande gäller enligt vanliga processrättsliga bestämmelser. | |
Ändringsförslag 113 Förslag till förordning Artikel 7 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. Den form av samtycke som inhämtats för att behandla den registrerades personuppgifter ska vara proportionell till den typ av uppgifter som behandlas och syftet för behandlingen, vilket ska avgöras genom en korrekt genomförd konsekvensbedömning avseende uppgiftsskydd såsom anges i artikel 33. |
Motivering | |
Detta ändringsförslag knyter samman fastställandet av proportionellt samtycke med resultaten av konsekvensbedömningar, vilket kommer att uppmuntra till användning av dem. Om det inte har genomförts någon konsekvensbedömning avseende uppgiftsskyddet bör ett automatiskt krav på uttryckligt samtycke fortsätta att gälla. | |
Ändringsförslag 114 Förslag till förordning Artikel 7 – punkt 1b (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1b. Om ingen annan form av samtycke har bestämts vara proportionell genom en sådan konsekvensbedömning ska samtycket inhämtas genom ett specifikt, informerat och uttryckligt uttalande eller annan entydig affirmativ handling. |
Motivering | |
Detta ändringsförslag knyter samman fastställandet av proportionellt samtycke med resultaten av konsekvensbedömningar, vilket kommer att uppmuntra till användning av dem. Om det inte har genomförts någon konsekvensbedömning avseende uppgiftsskyddet bör ett automatiskt krav på uttryckligt samtycke fortsätta att gälla. | |
Ändringsförslag 115 Förslag till förordning Artikel 7 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Om den registrerades samtycke ska lämnas inom ramen för en skriftlig deklaration som också rör en annan fråga, måste kravet att lämna samtycke läggas fram i en sådan form att det kan särskiljas från denna andra fråga. |
2. Om den registrerades samtycke ska lämnas inom ramen för en skriftlig deklaration som också rör en annan fråga, måste kravet att lämna samtycke läggas fram i klart synlig form. |
Motivering | |
Registrerade bör ges klara och entydiga villkor för hur de ska ge sitt samtycke. Om avsikten är att orden om samtycke inte ska drunkna i annan teknisk jargong är kanske skäl att inte använda uttrycket ”kan särskiljas”, utan i stället begreppet ”klart synlig”. Samtycket bör betonas och inte särskiljas. | |
Ändringsförslag 116 Förslag till förordning Artikel 7 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten hos behandling som grundar sig på samtycke, innan detta återkallas. |
3. De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Om samtycket är del av ett avtalsförhållande eller ett lagstadgat förhållande ska återkallandet bero av de avtalade eller rättsliga villkoren. Återkallandet av samtycket ska inte påverka lagligheten hos behandling som grundar sig på samtycke, innan detta återkallas. |
Ändringsförslag 117 Förslag till förordning Artikel 7 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Samtycke ska inte utgöra en rättslig grund för behandlingen, om det föreligger en betydande obalans mellan den registrerades och den registeransvariges ställning. |
4. En anställds samtycke ska inte utgöra en rättslig grund för arbetsgivarens behandling av uppgifter, om samtycket inte getts frivilligt. Behandlingens laglighet ska bedömas i enlighet med artikel 6.1 a–f och 6.2–6.5. Individuellt samtycke enligt artikel 6.1 a kan ersättas av kollektiva avtal som rättslig grund, särskilt genom kollektivavtal eller avtal mellan arbetsgivare och företagsråd. |
Ändringsförslag 118 Förslag till förordning Artikel 8 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. Om någon av informationssamhällets tjänster gör sociala nätverk tillgängliga för barn ska den vidta uttryckliga åtgärder för att skydda deras välbefinnande, bland annat genom att i den mån det är möjligt se till att barnen är medvetna om de personers identitet med vilka de kommunicerar. |
Ändringsförslag 119 Förslag till förordning Artikel 8 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för metoderna för att erhålla ett sådant kontrollerbart samtycke enligt punkt 1. Kommissionen ska därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag. |
utgår |
Ändringsförslag 120 Förslag till förordning Artikel 9 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, och behandling av genetiska uppgifter eller uppgifter om hälsa eller sexualliv eller fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder är förbjuden. |
1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, och behandling av genetiska uppgifter eller uppgifter om hälsa eller sexualliv, eller fällande domar i brottmål, straffbara handlingar, inklusive handlingar och ärenden som inte lett till fällande dom, betydande sociala problem eller därmed sammanhängande säkerhetsåtgärder är förbjuden. |
Ändringsförslag 121 Förslag till förordning Artikel 9 – punkt 2 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) Behandlingen är nödvändig för att den registeransvarige ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten, i den omfattning detta är tillåtet enligt unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder. |
(b) Behandlingen är nödvändig för att den registeransvarige ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten eller kollektivavtal på arbetsmarknaden, i den omfattning detta är tillåtet enligt unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen. |
Ändringsförslag 122 Förslag till förordning Artikel 9 – punkt 2 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
(d) Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke. |
(d) Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening, en arbetsmarknadsorganisation eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke. |
Motivering | |
Det är viktigt att arbetsmarknadsorganisationer kan fortsätta att bearbeta och utbyta personuppgifter om sina medlemmar. | |
Ändringsförslag 123 Förslag till förordning Artikel 9 – punkt 2 – led g | |
|
Kommissionens förslag |
Ändringsförslag |
|
(g) Behandlingen är nödvändig för att genomföra en arbetsuppgift som utförs i allmänhetens intresse, på grundval av unionslagstiftningen eller en medlemsstats lagstiftning som ska innehålla bestämmelser om lämpliga åtgärder för att säkerställa den registrerades berättigade intressen. |
(g) Behandlingen och datadelningen är nödvändiga för att genomföra en arbetsuppgift som utförs i allmänhetens intresse, på grundval av unionslagstiftningen, en medlemsstats lagstiftning eller internationella konventioner som unionen eller en medlemsstat är part i, som ska innehålla bestämmelser om lämpliga åtgärder för att säkerställa den registrerades berättigade intressen. |
Ändringsförslag 124 Förslag till förordning Artikel 9 – punkt 2 – led h | |
|
Kommissionens förslag |
Ändringsförslag |
|
(h) Behandlingen av uppgifter som rör hälsa är nödvändig för hälsoändamål och omfattas av de villkor och skyddsåtgärder som avses i artikel 81. |
(h) Behandlingen och datadelningen av uppgifter som rör hälsa är nödvändiga för hälsoändamål, inbegripet för historisk, statistisk eller vetenskaplig forskning, och omfattas av de villkor och skyddsåtgärder som avses i artikel 81. |
Motivering | |
Detta förtydligande behövs för att skydda behandlingen av medicinska uppgifter som används för historiska, statistiska eller vetenskapliga forskningsändamål. Forskarna är i hög grad beroende av patientregister och biobanker för att genomföra epidemiologisk, klinisk och överbryggande forskning, vilket gör det nödvändigt att garantera behandling av personuppgifter för hälsoändamål. | |
Ändringsförslag 125 Förslag till förordning Artikel 9 – punkt 2 – led i | |
|
Kommissionens förslag |
Ändringsförslag |
|
(i) Behandlingen är nödvändig för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83. |
(i) Behandlingen och datadelningen är nödvändiga för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83. |
Ändringsförslag 126 Förslag till förordning Artikel 9 – punkt 2 – led j | |
|
Kommissionens förslag |
Ändringsförslag |
|
(j) Behandlingen av uppgifter som rör fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder utförs antingen under kontroll av en officiell myndighet eller behandlingen är nödvändig för att fullgöra en förpliktelse i lagstiftning eller bestämmelser som den registeransvarige omfattas av, eller för att genomföra en arbetsuppgift som utförs för viktiga ändamål av allmänt intresse, i den mån som den bemyndigas av unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder. Ett fullständigt register över brottmålsdomar ska föras endast under kontroll av en myndighet. |
(j) j) Behandlingen av uppgifter som rör fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder utförs antingen i enlighet med de villkor och skyddsåtgärder som avses i artikel 83a eller under tillsyn av en tillsynsmyndighet eller behandlingen är nödvändig för att fullgöra eller undvika överträdelse av en förpliktelse i lagstiftning eller bestämmelser eller kollektivavtal på arbetsmarknaden som den registeransvarige omfattas av, eller för att genomföra en arbetsuppgift som utförs för viktiga ändamål av allmänt intresse, i den mån som den bemyndigas av unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder för den registrerades grundläggande rättigheter. Ett fullständigt register över brottmålsdomar ska föras endast under kontroll av en myndighet. |
Ändringsförslag 127 Förslag till förordning Artikel 9 – punkt 3 – led ja (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(ja) Behandlingen av uppgifter om hälsa är nödvändig för privat socialt skydd, särskilt genom att tillhandahålla inkomsttrygghet eller verktyg för att hantera risker som är av intresse för den registrerade och dennes anhöriga och tillgångar, eller genom att öka jämlikheten mellan generationerna genom fördelning. |
Ändringsförslag 128 Förslag till förordning Artikel 9 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna, villkoren och de lämpliga skyddsåtgärderna för behandlingen av de särskilda kategorier av personuppgifter som avses i punkt 1 och de undantag som fastställs i punkt 2. |
3. Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda rekommendationer om kriterier, villkor och lämpliga skyddsåtgärder för skydd av särskilda kategorier av personuppgifter i enlighet med punkt 2. |
Ändringsförslag 129 Förslag till förordning Artikel 10 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Om de uppgifter som behandlas av en registeransvarig inte gör det möjligt för den registeransvarige att identifiera en fysisk person, ska den registeransvarige inte vara tvungen att erhålla ytterligare information för att identifiera den registrerade endast i syfte att iaktta någon av bestämmelserna i denna förordning. |
Om de uppgifter som behandlas av registeransvariga inte gör det möjligt för den registeransvarige att med de medel som den registeransvarige använder identifiera en registrerad, framför allt när den avidentifierats eller pseudonymiserats, ska den registeransvarige inte anskaffa ytterligare information för att identifiera den registrerade endast i syfte att iaktta någon av bestämmelserna i denna förordning. |
|
|
Den registeransvarige för forskningsdatabaser ska ge allmän information om forskningsdatabasens ursprungliga datakällor. |
Ändringsförslag 130 Förslag till förordning Artikel 11 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige ska ha en klar och tydlig och lätt tillgänglig policy för behandlingen av personuppgifter och för utövandet av den registrerades rättigheter. |
1. Den registeransvarige ska ha en klar och tydlig policy för behandlingen av personuppgifter och för utövandet av den registrerades rättigheter och ska på begäran för detta ändamål tillhandahålla all den information som anges i artikel 28.2 a–g på ett lämpligt sätt. |
Ändringsförslag 131 Förslag till förordning Artikel 11a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 11a |
|
|
Artikel 12 i direktiv 2002/58/EG och artiklarna 20 och 21.3 e i direktiv 2002/22/EG är en tillämpning av de registrerades rätt till tydlig information och kommunikation som kräver att den registeransvarige informerar registrerade om deras rättigheter när det gäller användningen av deras personliga information och uppmärksammar förekomsten av system som har utvecklats i enlighet med principerna om inbyggt integritetsskydd. |
Motivering | |
Artikel 12 i direktivet om integritet och elektronisk kommunikation och artiklarna 20 och 21 i direktivet om samhällsomfattande tjänster omfattar katalogtjänster som en del av samhällsomfattande tjänster. Katalogtjänsteleverantörernas databaser måste vara ”heltäckande” och införandet av abonnentuppgifter är därför viktigt liksom behovet av att abonnenten tydligt informeras om alla sina alternativ, oavsett vilken modell som används av en medlemsstat (opt-in, opt-out eller hybrid). | |
Ändringsförslag 132 Förslag till förordning Artikel 12 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige ska inrätta förfaranden för att tillhandahålla den information som avses i artikel 14 och för de registrerades utövande av sina rättigheter i enlighet med artikel 13 och artiklarna 15–19. Den registeransvarige ska särskilt skapa rutiner för att underlätta begäran om de åtgärder som avses i artikel 13 och artiklarna 15–19. Om personuppgifter behandlas på automatisk väg ska den registeransvarige också skapa förutsättningar för att begäran ska kunna göras elektroniskt. |
1. Den registeransvarige ska inrätta förfaranden för att tillhandahålla den information som avses i artikel 14 och för de registrerades utövande av sina rättigheter i enlighet med artikel 13 och artiklarna 15–19. Den registeransvarige ska särskilt skapa rutiner för att underlätta begäran om de åtgärder som avses i artikel 13 och artiklarna 15–19. Om personuppgifter behandlas på automatisk väg får den registeransvarige också skapa förutsättningar för att begäran ska kunna göras elektroniskt. |
Ändringsförslag 133 Förslag till förordning Artikel 12 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den registeransvarige ska utan dröjsmål och senast en månad efter att ha mottagit begäran underrätta den registrerade om huruvida åtgärder har vidtagits i enlighet med artikel 13 och artiklarna 15–19 samt tillhandahålla den information som begärts. Denna period får förlängas med ytterligare en månad, om flera registrerade utövar sina rättigheter och deras samarbete i rimlig utsträckning är nödvändigt för att förhindra en onödig och oproportionell ansträngning från den registeransvariges sida. Information ska ges skriftligt. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i elektronisk form, om den registrerade inte begär något annat. |
2. Den registeransvarige ska utan dröjsmål och senast en månad efter att ha mottagit begäran underrätta den registrerade om huruvida åtgärder har vidtagits i enlighet med artikel 13 och artiklarna 15–19 samt tillhandahålla den information som begärts. Denna period får förlängas med ytterligare en månad, om flera registrerade utövar sina rättigheter och deras samarbete i rimlig utsträckning är nödvändigt för att förhindra en onödig och oproportionell ansträngning från den registeransvariges sida. Information ska ges skriftligt. |
Motivering | |
Särskilt för små och medelstora företag kan det innebära en oerhörd administrativ börda om elektroniska rutiner måste införas för att säkerställa det elektroniska genomförandet av förfarandet. | |
Ändringsförslag 134 Förslag till förordning Artikel 12 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Den information och de åtgärder som vidtas på sådan begäran som avses i punkt 1 ska vara gratis. Om begäran är uppenbart orimlig, särskilt på grund av dess repetitiva karaktär, får den registeransvarige ta ut en avgift för att tillhandahålla den information eller vidta den åtgärd som begärts, och får om denna avgift inte betalas avstå från att vidta åtgärden. I så fall ska det åligga den registeransvarige att visa att begäran är uppenbart orimlig. |
4. Den information och de åtgärder som vidtas på sådan begäran som avses i punkt 1 ska vara gratis. Om begäran är uppenbart orimlig, särskilt på grund av att den avser en stor mängd uppgifter eller är komplex eller repetitiv, får den registeransvarige ta ut en lämplig avgift utan vinstsyfte för att tillhandahålla den information eller vidta den åtgärd som begärts, och får om denna avgift inte betalas vägra att vidta åtgärden. I så fall ska det åligga den registeransvarige att visa att begäran är uppenbart orimlig. |
Motivering | |
Det kostar pengar att tillhandahålla uppgifter från en databas. Genom att begära att de registrerade betalar en lämplig avgift utan vinstsyfte för att få tillgång till uppgifter kan man begränsa antalet oseriösa begäranden och det är även ett viktigt medel för att hindra bedragare från att komma över stora mängder kreditupplysningar om konsumenter för bedrägliga ändamål. | |
Ändringsförslag 135 Förslag till förordning Artikel 12 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för en sådan uppenbart orimlig begäran och sådana avgifter som avses i punkt 4. |
utgår |
Ändringsförslag 136 Förslag till förordning Artikel 12 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Kommissionen får fastställa standardformulär och precisera standardförfaranden för den kommunikation som avses i punkt 2, inbegripet det elektroniska formatet. Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2. |
6. Kommissionen ska fastställa standardformulär och precisera standardförfaranden för den kommunikation som avses i punkt 2, inbegripet det elektroniska formatet. Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2. |
Motivering | |
Det är nödvändigt att anta standardformulär och standardförfaranden för att säkerställa ett effektivt genomförande av denna åtgärd, särskilt för mikroföretagen och de små och medelstora företagen. | |
Ändringsförslag 137 Förslag till förordning Artikel 14 – punkt 1 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) Ändamålen med den behandling för vilken personuppgifterna är avsedda, inbegripet förutsättningarna och de allmänna villkoren för avtalet när behandlingen grundar sig på artikel 6.1 b och den registeransvariges berättigade intressen när behandlingen grundar sig på artikel 6.1 f. |
(b) Ändamålen med den behandling för vilken personuppgifterna är avsedda och den registeransvariges berättigade intressen när behandlingen grundar sig på artikel 6.1 f. |
Motivering | |
Kravet att meddela förutsättningarna och de allmänna villkoren för avtalet är en fråga som redan är tillräckligt civilrättsligt reglerad. Ur synvinkel av uppgiftsskyddet behöver det därför bara tillhandahållas information om behandlingens ändamål eller de berättigade intressena. | |
Ändringsförslag 138 Förslag till förordning Artikel 14 – punkt 1 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
(c) Den period under vilken personuppgifterna kommer att lagras. |
c) Den förväntade period under vilken personuppgifterna kommer att lagras. |
Ändringsförslag 139 Förslag till förordning Artikel 14 – punkt 1 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
(e) Rätten att inge klagomål till tillsynsmyndigheten, samt tillsynsmyndighetens kontaktuppgifter. |
(e) Rätten att inge klagomål till tillsynsmyndigheten. |
Motivering | |
En skyldighet att specificera tillsynsmyndighetens kontaktuppgifter, tillsammans med skadeståndsansvar för all felaktig information, skulle göra det nödvändigt att kontinuerligt se över den relevanta informationen, vilket vore oproportionellt, särskilt för små och medelstora företag. | |
Ändringsförslag 140 Förslag till förordning Artikel 14 – punkt 1 – led ga (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(ga) Information om särskilda säkerhetsåtgärder som vidtas för att skydda personuppgifter. |
Ändringsförslag 141 Förslag till förordning Artikel 14 – punkt 1 – led h | |
|
Kommissionens förslag |
Ändringsförslag |
|
(h) Eventuell ytterligare information som är nödvändig för att tillförsäkra den registrerade en korrekt behandling med hänsyn tagen till de särskilda omständigheter under vilka personuppgifterna samlas in. |
utgår |
Motivering | |
Informationsskyldigheterna är redan i dagens läge avsevärda och om de utökas med något som liknar en generalklausul kommer detta troligen att leda till ett mycket oklart rättsläge. Utifrån denna ordalydelse kan varken det berörda företaget eller konsumenten få någon juridisk klarhet om vilken information som i varje enskilt fall måste göras tillgänglig. | |
Ändringsförslag 142 Förslag till förordning Artikel 14 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Om personuppgifterna samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om huruvida tillhandahållandet av personuppgifter är obligatoriskt eller frivilligt, samt om de möjliga följderna om sådana uppgifter inte lämnas. |
2. Om personuppgifterna samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om huruvida tillhandahållandet av personuppgifter är obligatoriskt. |
Motivering | |
The information needs of data subjects are adequately taken into account, if they are informed whether the data provision is obligatory. Where this is not indicated, the provision of the data is consequently optional. The consumer is already accustomed to this practice. There is no reason to change this effective and functioning system. Information about whether the provision of information is mandatory or optional and the possible consequences of the refusal of the data would unnecessarily expand the information requirements. It is also unnecessary in many cases because it is already obvious from the context. In the course of ordering a product it is for example necessary to specify a shipping address, so that the product can actually be delivered. | |
Ändringsförslag 143 Förslag till förordning Artikel 14 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Om personuppgifterna inte samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om var personuppgifterna har sitt ursprung. |
3. Om personuppgifterna inte samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också, så långt det går, lämna information om var personuppgifterna har sitt ursprung, med undantag för om uppgifterna har sitt ursprung i en offentligt tillgänglig källa eller om överföringen sker med stöd av lagstiftning eller om behandlingen sker för ändamål som hänger samman med den berörda personens yrkesverksamhet. |
Ändringsförslag 144 Förslag till förordning Artikel 14 – punkt 4 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) om personuppgifterna inte samlas in från den registrerade, vid tidpunkten för registreringen eller inom en rimlig period efter insamlingen, med hänsyn tagen till de särskilda omständigheter under vilka uppgifterna samlas in eller på annat sätt behandlas, eller, om det planeras att lämna ut uppgifterna till en annan mottagare, och senast när uppgifterna lämnas ut för första gången. |
(b) om personuppgifterna inte samlas in från den registrerade, vid tidpunkten för registreringen eller inom en rimlig period efter insamlingen, med hänsyn tagen till de särskilda omständigheter under vilka uppgifterna samlas in eller på annat sätt behandlas, eller, om det planeras att lämna ut uppgifterna till en annan mottagare, och senast när uppgifterna lämnas ut för första gången, eller, om uppgifterna kommer att användas för kontakter med den berörda personen, senast vid tidpunkten för den första kontakten med denna person. |
Motivering | |
Den registrerades rätt att bestämma över information om sig själv beaktas på ett tillräckligt sätt om den relevanta informationen tillhandahålls vid denna tidpunkt. | |
Ändringsförslag 145 Förslag till förordning Artikel 14 – punkt 5 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) Uppgifterna samlas inte in från den registrerade och tillhandahållandet av sådan information visar sig vara omöjligt eller skulle inbegripa en oproportionell ansträngning. |
(b) Uppgifterna samlas inte in från den registrerade eller uppgiftsbehandlingen medger inte kontroll av identiteten och tillhandahållandet av sådan information visar sig vara omöjligt eller skulle inbegripa en oproportionell ansträngning, exempelvis genom att det förorsakar en alltför stor administrativ börda, särskilt när behandlingen utförs av ett litet eller medelstort företag. |
Ändringsförslag 146 Förslag till förordning Artikel 14 – punkt 5 – led da (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(da) Uppgifterna kommer från offentligt tillgängliga källor. |
Ändringsförslag 147 Förslag till förordning Artikel 14 – punkt 7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
7. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna för de kategorier av mottagare som anges i punkt 1 f, de krav på meddelandet om möjlig tillgång som anges i punkt 1 g, kriterierna för den ytterligare nödvändiga information som anges i punkt 1 h för särskilda sektorer och situationer samt villkoren och de lämpliga skyddsåtgärderna vid undantag enligt punkt 5 b. Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag. |
7. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna för de kategorier av mottagare som anges i punkt 1 f, de krav på meddelandet om möjlig tillgång som anges i punkt 1 g, kriterierna för den ytterligare nödvändiga information som anges i punkt 1 h för särskilda sektorer och situationer samt villkoren och de lämpliga skyddsåtgärderna vid undantag enligt punkt 5 b. Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag i samråd med de berörda aktörerna. |
Motivering | |
Användning av delegerade akter medför en risk för bristande öppenhet som man måste förhindra genom att säkerställa att akterna utarbetas i nära samarbete med dem som berörs av dem. | |
Ändringsförslag 148 Förslag till förordning Artikel 15 – punkt 1 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registrerade ska ha rätt att av den registeransvarige när som helst på begäran få bekräftelse på huruvida personuppgifter som rör den registrerade håller på att behandlas. Om sådana personuppgifter håller på att behandlas ska den registeransvarige tillhandahålla följande information: |
1. Den registrerade ska ha rätt att av den registeransvarige när som helst på begäran få en klar och lättfattlig bekräftelse på huruvida personuppgifter som rör den registrerade håller på att behandlas. Med undantag för uppgifter som används för historiska, statistiska eller vetenskapliga forskningsändamål ska den registeransvarige tillhandahålla följande information när personuppgifter behandlas: |
Ändringsförslag 149 Förslag till förordning Artikel 15 – punkt 1 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
(d) Den period under vilken personuppgifterna kommer att lagras. |
(d) Den längsta period under vilken personuppgifterna kommer att lagras. |
Motivering | |
Lagringsperioden för olika uppgifter varierar oerhört och kan ofta inte fastställas exakt i förväg. Likväl bör den längsta lagringsperioden för personuppgifter anges. | |
Ändringsförslag 150 Förslag till förordning Artikel 15 – punkt 1 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
(e) Förekomsten av rättigheten att av den registeransvarige begära rättelse eller radering av personuppgifter som rör den registrerade eller att invända mot behandlingen av sådana personuppgifter. |
(e) Förekomsten av rättigheten att av den registeransvarige begära rättelse i enlighet med artikel 16 eller radering av personuppgifter som rör den registrerade eller att invända mot behandlingen av sådana personuppgifter. |
Ändringsförslag 151 Förslag till förordning Artikel 15 – punkt 1 – led f | |
|
Kommissionens förslag |
Ändringsförslag |
|
(f) Rätten att inge klagomål till tillsynsmyndigheten, samt tillsynsmyndighetens kontaktuppgifter. |
(f) Rätten att inge klagomål till tillsynsmyndigheten. |
Motivering | |
En skyldighet att specificera tillsynsmyndighetens kontaktuppgifter, tillsammans med skadeståndsansvar för all felaktig information, skulle göra det nödvändigt att kontinuerligt se över den relevanta informationen, och åstadkomma orimligt merarbete särskilt för små och medelstora företag. | |
Ändringsförslag 152 Förslag till förordning Artikel 15 – punkt 1 – led h | |
|
Kommissionens förslag |
Ändringsförslag |
|
(h) Betydelsen och de förutsedda följderna av sådan behandling, åtminstone när det rör sig om de åtgärder som anges i artikel 20. |
(h) Betydelsen och de förutsedda följderna av sådan behandling. |
Ändringsförslag 153 Förslag till förordning Artikel 15 – punkt 2a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2a. Den registrerade ska i enlighet med artikel 10 ha rätt att av den registeransvarige för datakällan när som helst på begäran få bekräftelse på huruvida personuppgifter som rör den registrerade håller på att behandlas i en forskningsdatabas. |
Motivering | |
Data in research databases will most often be considered personal data according to a high threshold of the definition of data considered personal. For linked research databases it would involve a disproportionate effort for the controller of the linked data to back track data on individual data subjects, since information on the single data subject may be build on data from different data sources, and data may not directly identifiable when the Key ID is kept with the controller of the original data source. Article 10 solves the paradox that in order to notify data subjects on data about him or her in the database, the controller should do what he is not allowed to, namely to identify that data subject. | |
Ändringsförslag 154 Förslag till förordning Artikel 15 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den information till den registrerade om innehållet i personuppgifter som avses i punkt 1 g. |
utgår |
Ändringsförslag 155 Förslag till förordning Artikel 16 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Den registrerade ska ha rätt att av den registeransvarige erhålla rättelse av personuppgifter som rör vederbörande och som är felaktiga. Den registrerade ska ha rätt att få till stånd komplettering av ofullständiga personuppgifter, bland annat genom att lägga till en korrigering. |
Den registrerade har rätt att av den registeransvarige erhålla rättelse av personuppgifter som rör vederbörande och som är felaktiga. Den registrerade har rätt att få till stånd komplettering av ofullständiga personuppgifter, bland annat genom att lägga till en korrigering. |
Ändringsförslag 156 Förslag till förordning Artikel 17 – rubriken | |
|
Kommissionens förslag |
Ändringsförslag |
|
Rätt att bli bortglömd och till radering |
Rätt till radering |
Ändringsförslag 157 Förslag till förordning Artikel 17 – punkt 1 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registrerade ska ha rätt att av den registeransvarige utverka att personuppgifter som rör vederbörande raderas och att man avstår från ytterligare spridning av sådana uppgifter, särskilt när det gäller personuppgifter som gjordes tillgängliga av den registrerade när vederbörande var barn, och där en av följande grunder är tillämpliga: |
1. Den registrerade har rätt att av den registeransvarige utverka att personuppgifter som rör vederbörande raderas och att man avstår från ytterligare behandling av sådana uppgifter, om inte den registeransvarige är en offentlig myndighet eller en enhet som fått uppdrag av en offentlig myndighet eller på annat sätt arbetar för en offentlig myndighets räkning, inklusive när det gäller personuppgifter som gjordes tillgängliga av den registrerade när vederbörande var barn, och där en av följande grunder är tillämpliga: |
Ändringsförslag 158 Förslag till förordning Artikel 17 – punkt 1 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
(a) Uppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats. |
(a) Uppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller behandlats vidare, och den obligatoriska lagstadgade minimiperiod under vilken uppgifterna måste bevaras har löpt ut. |
Ändringsförslag 159 Förslag till förordning Artikel 17 – punkt 1 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a, eller om en lagringsperiod för vilken samtycke har lämnats har löpt ut, och om det inte finns någon annan rättslig grund för behandlingen av uppgifterna. |
(b) Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a, eller om en lagringsperiod för vilken samtycke har lämnats har löpt ut, och om det inte finns någon annan rättslig grund för behandlingen eller lagringen av uppgifterna. |
Ändringsförslag 160 Förslag till förordning Artikel 17 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. Den registeransvarige ska vidta alla rimliga åtgärder för att meddela varje radering till alla rättsliga enheter till vilka uppgifterna har lämnats ut. |
Ändringsförslag 161 Förslag till förordning Artikel 17 – punkt 1b (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1b. Punkt 1 gäller endast om den registeransvarige kan bekräfta identiteten på den registrerade person som har begärt raderingen. |
Ändringsförslag 162 Förslag till förordning Artikel 17 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Om den registeransvarige som avses i punkt 1 har offentliggjort personuppgifterna ska vederbörande vidta alla rimliga åtgärder, inbegripet tekniska åtgärder, avseende uppgifter för vars offentliggörande den registeransvarige är ansvarig, för att underrätta tredje parter som håller på att behandla sådana uppgifter om att en registrerad begär att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter. Om den registeransvarige har gett en tredje part befogenhet att offentliggöra personuppgifter ska den registeransvarige anses vara ansvarig för detta offentliggörande. |
utgår |
Motivering | |
Med tanke på hur internet fungerar och på möjligheterna att lägga ut information på olika webbplatser över hela världen fungerar inte denna bestämmelse. | |
Ändringsförslag 163 Förslag till förordning Artikel 17 – punkt 3 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Den registeransvarige ska genomföra raderingen utan dröjsmål, utom i den utsträckning som det är nödvändigt att bevara personuppgifterna av följande skäl: |
3. Den registeransvarige ska genomföra raderingen utan oskäliga dröjsmål, utom i den utsträckning som det är nödvändigt att bevara och sprida personuppgifterna av följande skäl: |
Ändringsförslag 164 Förslag till förordning Artikel 17 – punkt 3 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) Av viktiga skäl av allmänt intresse på folkhälsoområdet enligt artikel 81. |
(b) Av viktiga skäl av allmänt intresse på folkhälsoområdet samt hälsoskäl enligt artikel 81. |
Ändringsförslag 165 Förslag till förordning Artikel 17 – punkt 3 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
(d) För att iaktta en rättslig förpliktelse att bevara personuppgifter enligt unionslagstiftningen eller enligt en medlemsstats lagstiftning som den registeransvarige lyder under; medlemsstaternas lagstiftning ska uppfylla ett mål av allmänt intresse, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas. |
(d) För att iaktta en rättslig förpliktelse att bevara personuppgifter enligt unionslagstiftningen eller enligt en medlemsstats lagstiftning som den registeransvarige lyder under. |
Motivering | |
Det kan finnas lagar i andra medlemsstater som kräver att den registeransvarige vägrar rätten att bli bortglömd. Det kan vara nödvändigt att bevara uppgifter av bokföringsskäl, exempelvis i enlighet med bestämmelser om ekonomisk redovisning. | |
Ändringsförslag 166 Förslag till förordning Artikel 17 – punkt 3 – led ea (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(ea) För att förhindra eller upptäcka bedrägerier, bekräfta en identitet och/eller bedöma kreditvärdighet eller betalningsförmåga. |
Ändringsförslag 167 Förslag till förordning Artikel 17 – punkt 4 – led da (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(da) den registeransvarige måste lagra personuppgifterna för att garantera att, på grundval av en invändning i enlighet med artikel 19, ytterligare behandling av de respektive uppgifterna är utesluten. |
Motivering | |
En invändning i enlighet med artikel 19 mot behandling av personuppgifter utesluter alltid behandling av respektive uppgifter i framtiden. För att de respektive uppgifterna verkligen inte ska användas vid framtida åtgärder för uppgiftsbehandling får de inte raderas utan de ska blockeras eller på annat sätt markeras. | |
Ändringsförslag 168 Förslag till förordning Artikel 17 – punkt 6a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
6a. Begäran om rättelse, radering eller blockering av personuppgifter får inte inverka menligt på behandling som är nödvändig för att trygga, skydda och bevara motståndskraften hos ett eller flera informationssystem. Rätten till rättelse och/eller radering av personuppgifter ska dessutom inte gälla för personuppgifter som enligt lag ska bevaras eller som bevaras för att skydda den registeransvariges, registerförarens eller tredje parters intressen. |
Motivering | |
Det finns omständigheter då den registrerades rätt till rättelse eller radering av personuppgifter inte bör gälla – exempelvis om EU-medlemsstaternas och andra jurisdiktioners lagstiftning innehåller krav på att vissa typer av personuppgifter ska bevaras av nationella säkerhetsskäl eller för utredningar av eventuella brott. | |
Ändringsförslag 169 Förslag till förordning Artikel 17 – punkt 9 | |
|
Kommissionens förslag |
Ändringsförslag |
|
9. Kommissionen ska ha befogenhet att anta delegerade akter i enlighet med artikel 86 i syfte att närmare precisera |
utgår |
|
(a) kriterierna och kraven för tillämpningen av punkt 1 i fråga om särskilda sektorer och i särskilda situationer vid behandlingen av personuppgifter, |
|
|
(b) de villkor för att stryka länkar, kopior eller reproduktioner av personuppgifter från allmänt tillgängliga kommunikationstjänster enligt punkt 2, |
|
|
(c) de kriterier och villkor för att begränsa behandlingen av personuppgifter som anges i punkt 4. |
|
Ändringsförslag 170 Förslag till förordning Artikel 18 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Om personuppgifter behandlas på elektronisk väg och i ett strukturerat och allmänt använt format, ska den registrerade ha rätt att av den registeransvarige erhålla en kopia av de uppgifter som håller på att behandlas i ett elektroniskt och strukturerat format som är allmänt använt och som den registrerade kan fortsätta att använda. |
1. Om personuppgifter behandlas på elektronisk väg och i ett strukturerat och allmänt använt format, ska den registrerade ha rätt att av den registeransvarige, om det är tekniskt genomförbart, på begäran erhålla en kopia av de uppgifter som håller på att behandlas i ett elektroniskt och strukturerat format som är allmänt använt och som den registrerade kan fortsätta att använda. |
Ändringsförslag 171 Förslag till förordning Artikel 18 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Om den registrerade har tillhandahållit personuppgifterna och behandlingen grundar sig på samtycke eller ett avtal, ska den registrerade ha rätt att överföra dessa personuppgifter och eventuell övrig information som tillhandahållits av den registrerade och bevarats i ett system för automatisk behandling, till ett annat system, i ett elektroniskt format som är allmänt använt, utan att hindras av den registeransvarige från vilken personuppgifterna återkallas. |
2. Om den registrerade har tillhandahållit personuppgifterna och behandlingen grundar sig på samtycke eller ett avtal, ska den registrerade ha rätt att, om det är tekniskt genomförbart, överföra dessa personuppgifter och eventuell övrig information som tillhandahållits av den registrerade och bevarats i ett system för automatisk behandling. |
Ändringsförslag 172 Förslag till förordning Artikel 18 – punkt 2a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2a. De rättigheter som avses i punkterna 1 och 2 får inte inverka menligt på andras rättigheter och friheter, inbegripet affärshemligheter eller immateriell äganderätt. Dessa överväganden får inte utmynna i att den registrerade förvägras all information. |
Motivering | |
Här används ordalydelse från skäl 51 i samband med tillgång till uppgifter. Vederbörlig hänsyn måste tas till begränsningarna för uppgiftsportabilitet, särskilt i förhållande till företagens berättigade intresse för att skydda affärshemligheter och immateriell äganderätt, inom rimliga gränser. | |
Ändringsförslag 173 Förslag till förordning Artikel 18 – punkt 2b (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2b. De rättigheter som avses i punkterna 1 och 2 påverkar inte skyldigheten att radera uppgifter när de inte längre är nödvändiga enligt artikel 5 e. |
Ändringsförslag 174 Förslag till förordning Artikel 18 – punkt 2c (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2c. Punkterna 1 och 2 ska inte gälla för behandling av avidentifierade och pseudonymiserade uppgifter, i den mån den registrerade inte är tillräckligt identifierbar på grundval av sådana uppgifter, eller om en identifiering skulle innebära att den registeransvarige måste upphäva pseudonymiseringen. |
Ändringsförslag 175 Förslag till förordning Artikel 18 – punkt 2d (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2d. Punkterna 1 och 2 ska inte gälla när den registeransvarige rimligen kan visa att det inte går att åtskilja den registrerades uppgifter från andra registrerades uppgifter. |
Ändringsförslag 176 Förslag till förordning Artikel 18 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen får specificera det elektroniska format som avses i punkt 1 samt de tekniska standarderna, villkoren och förfarandena för överföringen av personuppgifter enligt punkt 2. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
3. Den registeransvarige ska fastställa det elektroniska format och de närliggande funktioner och förfaranden som används för överföringen av personuppgifter enligt punkt 2 genom hänvisning till de lämpligaste, tillgängliga industriella standarderna eller i enlighet med definitioner från näringslivets aktörer eller från standardiseringsorgan. Kommissionen ska främja och bistå näringslivets aktörer och standardiseringsorganen i kartläggningen och antagandet av tekniska standarder, samt villkor och förfaranden för överföring av personuppgifter enligt punkt 2. |
Ändringsförslag 177 Förslag till förordning Artikel 18a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 18a |
|
|
Den registeransvarige ska se till att tillräcklig dokumentation beträffande den registrerades identitet har mottagits innan den registrerade kan hävda sina rättigheter i enlighet med artiklarna 14‑19 i denna förordning. |
Motivering | |
I syfte att förhindra identitetsstöld måste de registrerade dokumentera sin identitet för att kunna hävda sina rättigheter. | |
Ändringsförslag 178 Förslag till förordning Artikel 19 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registrerade ska, av skäl som hänför sig till vederbörandes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter som grundar sig på artikel 6.1 d, e och f, om inte den registeransvarige visar på avgörande och berättigade skäl för behandlingen som väger tyngre än den registrerades intressen eller grundläggande fri- och rättigheter. |
1. Den registrerade ska, vid tungt vägande och skyddsvärda skäl som hänför sig till vederbörandes specifika situation, ha rätt att när som helst göra invändningar när det gäller artikel 6.1 d, e och f mot behandling av vederbörandes personuppgifter. I fall av en motiverad invändning får den registeransvariges behandling inte längre hänvisa till dessa uppgifter. |
Motivering | |
Denna ändring återger den effektiva och beprövade bestämmelsen om invändningar i artikel 14 a i direktiv 95/46/EG. Det finns ingen anledning att ändra det nuvarande systemet. Det finns inget känt praktiskt problem på detta område som skulle motivera ändrad lagstiftning. Detta stämmer i ännu högre grad då förordningen nu kommer att gälla direkt, det vill säga utan den flexibilitet som medges av direktivet. | |
Ändringsförslag 179 Förslag till förordning Artikel 19 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Om personuppgifterna behandlas för direkt marknadsföring, ska den registrerade ha rätt att kostnadsfritt invända mot behandlingen av sina personuppgifter för sådan marknadsföring. Denna rätt ska uttryckligen erbjudas den registrerade på ett begripligt sätt och ska vara tydligt åtskiljbar från övrig information. |
2. Om personuppgifterna behandlas för direkt marknadsföring eller om behandlingen grundas på artikel 6.1 f, ska den registrerade ha rätt att kostnadsfritt invända mot behandlingen av sina personuppgifter för sådan marknadsföring. Denna rätt ska uttryckligen erbjudas den registrerade på ett begripligt sätt, med användning av klart och tydligt språk, anpassat till den registrerade, i synnerhet för eventuell information särskilt riktad till barn, och ska vara tydligt åtskiljbar från övrig information. |
Ändringsförslag 180 Förslag till förordning Artikel 19 – punkt 3a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
3a. Om pseudonymiserade uppgifter behandlas med stöd av artikel 6.1 g ska den registrerade ha rätt att kostnadsfritt invända mot behandlingen. Denna rätt ska uttryckligen erbjudas den registrerade på ett begripligt sätt och ska vara tydligt åtskiljbar från övrig information. |
Ändringsförslag 181 Förslag till förordning Artikel 20 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje fysisk person ska ha rätt att inte omfattas av en åtgärd som har rättsliga följder för vederbörande eller märkbart påverkar vederbörande, och som enbart grundas på automatisk behandling som är avsedd att bedöma vissa personliga egenskaper hos vederbörande eller att analysera eller förutsäga i synnerhet vederbörandes arbetsprestationer, ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende. |
1. En registrerad ska ha rätt att inte omfattas av en åtgärd som påverkar vederbörande negativt, både på och utanför internet, och som enbart grundas på automatisk uppgiftsbehandling som är avsedd att bedöma vissa personliga egenskaper hos den registrerade eller att analysera eller förutsäga i synnerhet den registrerades arbetsprestationer, ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende. |
Ändringsförslag 182 Förslag till förordning Artikel 20 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. För ändamål som reklam, marknadsundersökningar eller för behovsanpassad utformning av telemedier får användarprofiler skapas med hjälp av pseudonymiserade uppgifter, om den registrerade inte motsätter sig detta. Den registrerade ska informeras om rätten att göra invändningar. Användarprofilerna får inte sammanföras med uppgifter om innehavaren av pseudonymen. |
Motivering | |
Den ursprungliga lydelsen i artikel 20 skulle kunna medföra att företag måste inhämta ett samtycke till varje slag av behandling av personuppgifter. För att inte förstöra affärsmodellen för otaliga små och medelstora europeiska företag och på så sätt ge stora amerikanska företag företräde bör dock vissa former av behandling tillåtas med vederbörlig hänsyn till skyddet av personuppgifter. | |
Ändringsförslag 183 Förslag till förordning Artikel 20 – punkt 1b (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1b. Registeransvariga ska underrätta den registrerade när behandling som avses i punkt 1 utförs, och ge individen rätt att få sådana beslut granskade. |
Motivering | |
Profilering med avseende på kreditpoängsystem bör tydligt åtskiljas från andra ändamål, inte minst eftersom detta slags profilering tydligt meddelas individen på förhand. | |
Ändringsförslag 184 Förslag till förordning Artikel 20 – punkt 2 – led aa (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(aa) grundar sig på pseudonyma uppgifter, |
Ändringsförslag 185 Förslag till förordning Artikel 20 – punkt 2 – led ab (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(ab) grundar sig på den registeransvariges berättigade intresse, |
Ändringsförslag 186 Förslag till förordning Artikel 20 – punkt 2 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
(a) utförs som ett led i ingåendet eller fullgörandet av ett avtal, om den registrerades begäran om ingående eller fullgörande av avtalet har bifallits eller om lämpliga åtgärder för att skydda den registrerades berättigade intressen, exempelvis rätten att få till stånd mänsklig medverkan, har vidtagits, eller |
utgår |
Ändringsförslag 187 Förslag till förordning Artikel 20 – punkt 2 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) uttryckligen tillåts enligt unionslagstiftningen eller en medlemsstats lagstiftning där det också fastställs lämpliga åtgärder till skydd för den registrerades berättigade intressen, eller |
utgår |
Ändringsförslag 188 Förslag till förordning Artikel 20 – punkt 2 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
(c) grundar sig på den registrerades samtycke, på de villkor som fastställs i artikel 7 och under förutsättning att lämpliga skyddsåtgärder har införts. |
utgår |
Ändringsförslag 189 Förslag till förordning Artikel 20 – punkt 2 – led ca (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(ca) är nödvändig för att skydda den registrerades grundläggande intressen eller är av allmänt intresse, i enlighet med artikel 5 d och e. |
Ändringsförslag 190 Förslag till förordning Artikel 20 – punkt 2 – led cb (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(cb) är begränsad till pseudonymiserade uppgifter; sådana pseudonymiserade uppgifter får inte matchas med uppgifter om bäraren av pseudonymen; artikel 19.3a skall gälla på motsvarande sätt. |
Motivering | |
I linje med artikel 15.3 i den tyska telemedielagen, som främjar pseudonymisering av uppgifter och utgör en tydlig rättslig ram för profilering, bland annat på områdena för reklam och marknadsundersökningar. | |
Ändringsförslag 191 Förslag till förordning Artikel 20 – punkt 2 – led cc (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(cc) är nödvändig för att skydda de rättigheter som finns att tillgå för andra registrerade personer, exempelvis i syfte att upptäcka bedrägerier eller i syfte att upptäcka oegentligheter eller annan verksamhet som är illegal enligt unionens eller medlemsstaternas lagstiftning. |
Ändringsförslag 192 Förslag till förordning Artikel 20 – punkt 2 – led cd (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(cd) rör uppgifter som avidentifierats. |
Motivering | |
Uppgifter som permanent avidentifierats, i enlighet med definitionen i artikel 4.1.2b (ny). | |
Ändringsförslag 193 Förslag till förordning Artikel 20 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Automatisk behandling av personuppgifter i syfte att bedöma vissa personliga aspekter hos en fysisk person får inte enbart grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9. |
utgår |
Ändringsförslag 194 Förslag till förordning Artikel 20 – punkt 3a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
3a. Automatisk behandling av personuppgifter i syfte att bedöma vissa personliga aspekter hos en fysisk person får inte användas för att identifiera eller särskilja barn. |
Ändringsförslag 195 Förslag till förordning Artikel 20 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. I de fall som anges i punkt 2 ska den information som ska lämnas av den registeransvarige enligt artikel 14 inbegripa information om förekomsten av behandling för en åtgärd av den typ som anges i punkt 1 och de förutsedda effekterna av sådan behandling på den registrerade. |
utgår |
Ändringsförslag 196 Förslag till förordning Artikel 20 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för sådana lämpliga åtgärder för att skydda den registrerades berättigade intressen som avses i punkt 2. |
utgår |
Ändringsförslag 197 Förslag till förordning Artikel 21 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. Arbetsmarknadens parter får genom en lagstiftningsåtgärd begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 5 a–e, 11–20 och 32, om det i nationella kollektivavtal överenskommits att en sådan begränsning utgör en nödvändig och proportionell åtgärd. |
Motivering | |
Medlemsstaterna har reglerat sina arbetsmarknader på mycket olika sätt. En del medlemsstater har lagstiftningstraditioner och andra har en hög grad av reglering som härrör från kollektivavtal på arbetsmarknaden. | |
Ändringsförslag 198 Förslag till förordning Artikel 22 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige ska anta policyer och genomföra lämpliga åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med denna förordning. |
1. Med beaktande av dagens tillgängliga teknik, arten av behandlade personuppgifter och typen av organisation, ska det, både vid tidpunkten för fastställandet av behandlingsmetoden och vid tidpunkten för själva behandlingen, genomföras lämpliga och bevisbara tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen av personuppgifter uppfyller kraven i denna förordning och det inbyggda skyddet av den registrerades rättigheter säkerställs. |
Motivering | |
Förordningen bör vara tillräckligt flexibel för att olika organisationer ska kunna genomföra de effektivaste tekniska och organisatoriska åtgärderna som passar varje organisations art och struktur. | |
Ändringsförslag 199 Förslag till förordning Artikel 22 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. På anmodan av den behöriga dataskyddsmyndigheten ska den registeransvarige eller registerföraren visa att det finns tekniska och organisatoriska åtgärder. |
Ändringsförslag 200 Förslag till förordning Artikel 22 – punkt 1b (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1b. En företagsgrupp får gemensamt tillämpa tekniska och organisatoriska åtgärder för att uppfylla sina skyldigheter enligt denna förordning. |
Ändringsförslag 201 Förslag till förordning Artikel 22 – punkt 1c (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1c. Denna artikel ska inte gälla för fysiska personer som behandlar personuppgifter utan vinstintresse. |
Ändringsförslag 202 Förslag till förordning Artikel 22 – punkt 2 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. De åtgärder som nämns i punkt 1 ska särskilt avse att |
2. Sådana åtgärder ska utan begränsning inbegripa |
Ändringsförslag 203 Förslag till förordning Artikel 22 – punkt 2 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
(a) förvara dokumentationen enligt artikel 28, |
(a) att det från ledningens sida genomförs en oberoende översyn av behandlingen av personuppgifter i syfte att säkerställa att det finns tekniska och organisatoriska åtgärder och att de är effektiva, |
Ändringsförslag 204 Förslag till förordning Artikel 22 – punkt 2 – led aa (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(aa) att det genomförs ett kontrollstyrningssystem, inklusive ansvarsfördelning, personalutbildning och lämpliga instruktioner, |
Ändringsförslag 205 Förslag till förordning Artikel 22 – punkt 2 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) genomföra de krav på datasäkerhet som fastställs i artikel 30, |
(b) att det finns lämpliga strategier, instruktioner eller andra riktlinjer som vägledning för behandling av personuppgifter och som är nödvändiga för att uppfylla förordningen samt förfaranden och verkställandeåtgärder så att riktlinjerna blir effektiva, |
Ändringsförslag 206 Förslag till förordning Artikel 22 – punkt 2 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
(c) genomföra en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33, |
(c) att det finns lämpliga planeringsförfaranden för att säkerställa efterlevnad och hantera behandling av personuppgifter som eventuellt kan medföra risker, innan behandlingen påbörjas, |
Ändringsförslag 207 Förslag till förordning Artikel 22 – punkt 2 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
(d) uppfylla kraven på förhandstillstånd eller förhandssamråd med tillsynsmyndigheten enligt artikel 34.1 och 34.2, |
(d) att behandlingen av personuppgifter dokumenterats på lämpligt sätt för att de skyldigheter som fastställs i denna förordning ska kunna fullgöras, |
Ändringsförslag 208 Förslag till förordning Artikel 22 – punkt 2 – led ea (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(ea) att det finns tydliga och lättillgängliga strategier för uppgiftsstyrning som är proportionella till den mängd och typ av personuppgifter som den registeransvarige behandlar och till den risk för skada på uppgiftsskyddet som hänger samman med behandlingen av uppgifterna. |
Motivering | |
Dessa extra avsnitt är avsedda att ge en grund för en verklig, genomförbar mekanism för ansvarsskyldighet som kan vara tillräckligt flexibel för att omfatta både stora företag och mindre organisationer. Ett sådant koncept överensstämmer med de bästa metoder som redan införts i andra system för efterlevnad, exempelvis bestämmelser för att bekämpa mutor. | |
Ändringsförslag 209 Förslag till förordning Artikel 22 – punkt 2 – led eb (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(eb) att den personal som deltar i behandlingen av uppgifter samt beslut i samband med detta är vederbörligt införstådd med och utbildad om de skyldigheter som fastställs i denna förordning, |
Ändringsförslag 210 Förslag till förordning Artikel 22 – punkt 2 – led ec (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(ec) att de åtgärder som avses i artikel 11 inrättats och dokumenterats, |
Ändringsförslag 211 Förslag till förordning Artikel 22 – punkt 2 – led ed (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(ed) bevis för att företagsledningen står fast vid sitt åtagande att genomföra strategierna för uppgiftsstyrning inom hela företaget i syfte att garantera efterlevnad av denna förordning. |
Motivering | |
Dessa extra avsnitt är avsedda att ge en grund för en verklig, genomförbar mekanism för ansvarsskyldighet som kan vara tillräckligt flexibel för att omfatta både stora företag och mindre organisationer. Ett sådant koncept överensstämmer med de bästa metoder som redan införts i andra system för efterlevnad, exempelvis bestämmelser för att bekämpa mutor. | |
Ändringsförslag 212 Förslag till förordning Artikel 22 – punkt 3a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
3a. Eventuella regelbundna rapporter om den registeransvariges verksamhet ska innehålla en beskrivning av de strategier och åtgärder som avses i punkt 1. |
Ändringsförslag 213 Förslag till förordning Artikel 22 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att precisera eventuella ytterligare kriterier och krav för de lämpliga åtgärder som avses i punkt 1 utöver dem som redan angetts i punkt 2, villkoren för de kontroll- och granskningsrutiner som avses i punkt 3 och när det gäller kriterierna för proportionalitet enligt punkt 3, samt med hänsyn till särskilda åtgärder för mikroföretag och små och medelstora företag. |
utgår |
Ändringsförslag 214 Förslag till förordning Artikel 23 – rubriken | |
|
Kommissionens förslag |
Ändringsförslag |
|
Inbyggt uppgiftsskydd och uppgiftsskydd som standard |
Inbyggt uppgiftsskydd |
Ändringsförslag 215 Förslag till förordning Artikel 23 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Med beaktande av dagens tillgängliga teknik och genomförandekostnaden ska den registeransvarige, både vid tidpunkten för fastställandet av behandlingsmetoden och vid tidpunkten för själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter. |
1. Med beaktande av dagens tillgängliga teknik, genomförandekostnaden och internationell bästa praxis ska den registeransvarige, både vid tidpunkten för fastställandet av behandlingsmetoden och vid tidpunkten för själva behandlingen, genomföra lämpliga åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter. |
|
|
Trots vad som sägs i första stycket ska den registeransvarige endast belastas med åtgärder som är proportionella till den risk med behandling av personuppgifter som framgår av arten av de personuppgifter som ska behandlas. |
Ändringsförslag 216 Förslag till förordning Artikel 23 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den registeransvarige ska införa rutiner för att se till att, i standardfallet, endast de personuppgifter behandlas som är nödvändiga för varje specifikt ändamål med behandlingen, och särskilt att de inte samlas in eller bevaras utöver vad som är strikt nödvändigt för dessa ändamål, både i fråga om antalet uppgifter och tidpunkten för deras lagring. Dessa rutiner ska i synnerhet säkerställa att personuppgifter i standardfallet inte görs tillgängliga till ett obegränsat antal enskilda. |
2. De åtgärder och förfaranden som avses i punkt 1 ska |
|
|
(a) vederbörligen beakta gällande tekniska standarder och föreskrifter på området för allmän säkerhet, |
|
|
(b) följa principen om teknik- och tjänsteneutralitet samt neutrala affärsmodeller, |
|
|
(c) bygga på globala branschledda insatser och standarder, |
|
|
(d) vederbörligen beakta internationell utveckling. |
Ändringsförslag 217 Förslag till förordning Artikel 23 – punkt 2a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2a. Då bestämmelserna i denna förordning tillämpas får det inte ställas några sådana obligatoriska krav på särskilda tekniska egenskaper hos produkter och tjänster, inklusive hos terminalutrustning eller annan utrustning för elektronisk kommunikation, som kan hindra att utrustningen släpps ut på marknaden och att den rör sig fritt inom och mellan medlemsstaterna. |
Ändringsförslag 218 Förslag till förordning Artikel 23 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 för att precisera eventuella ytterligare kriterier och krav för sådana lämpliga åtgärder och rutiner som avses i punkt 1 och 2, särskilt när det gäller krav på inbyggt uppgiftsskydd som är tillämpliga över sektorer, produkter och tjänster. |
utgår |
Ändringsförslag 219 Förslag till förordning Artikel 23 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Kommissionen får fastställa tekniska standarder för de krav som fastställs i punkterna 1 och 2. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
utgår |
Ändringsförslag 220 Förslag till förordning Artikel 24 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Om en registeransvarig fastställer ändamålen, villkoren och medlen för behandlingen av personuppgifter tillsammans med andra ska de gemensamma registeransvariga fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt avseende förfarandena och rutinerna för den registrerades utövande av sina rättigheter, genom ett arrangemang som de enas om sinsemellan. |
Om en registeransvarig fastställer ändamålen för behandlingen av personuppgifter tillsammans med andra ska de gemensamma registeransvariga fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt avseende förfarandena och rutinerna för den registrerades utövande av sina rättigheter, genom ett arrangemang som de enas om sinsemellan. Av arrangemanget ska vederbörligen framgå både de gemensamma registeransvarigas respektive faktiska funktioner och deras förhållande till de registrerade. |
Motivering | |
Det bör införas ett uttryckligt krav på att arrangemang som ingås mellan gemensamma registeransvariga vederbörligen avspeglar de gemensamma registeransvarigas respektive funktioner och deras förhållande till de registrerade. Gemensamma registeransvariga befinner sig inte nödvändigtvis i samma förhandlingsposition när det gäller avtalsbestämmelser. Alla gemensamma registeransvariga har dessutom inte ett direkt förhållande till de registrerade, och de kontrollerar inte samma typer och mängder av personuppgifter. | |
Ändringsförslag 221 Förslag till förordning Artikel 25 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Att den registeransvarige utser en företrädare ska inte påverka de rättsliga åtgärder som skulle kunna inledas mot den registeransvarige. |
utgår |
Motivering | |
Företrädaren handlar på registerförarens vägnar och är registerförare i EU. ”Non bis in idem” (inte två gånger för samma sak). | |
Ändringsförslag 222 Förslag till förordning Artikel 26 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Om en behandling ska utföras på en registeransvarigs vägnar ska den registeransvarige välja en registerförare som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter, särskilt respekten för de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som reglerar den behandling som ska utföras och se till att dessa åtgärder efterlevs. |
1. Om en behandling ska utföras på en registeransvarigs vägnar, och om den inbegriper sådan behandling av personuppgifter att registerföraren rimligtvis kan identifiera den registrerade, ska den registeransvarige välja en registerförare som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter, särskilt respekten för de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som reglerar den behandling som ska utföras och se till att dessa åtgärder efterlevs. |
Ändringsförslag 223 Förslag till förordning Artikel 26 – punkt 2 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. När uppgifter behandlas av en registerförare ska hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling mellan registerföraren och den registeransvarige och i handlingen ska det särskilt föreskrivas att registerföraren |
2. När uppgifter behandlas av en registerförare ska hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling mellan registerföraren och den registeransvarige. Den registeransvarige och registerföraren ska fritt få fastställa sina respektive funktioner och ansvarsområden med avseende på kraven i denna förordning, och ska särskilt säkerställa följande: |
Ändringsförslag 224 Förslag till förordning Artikel 26 – punkt 2 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
(a) endast får handla på instruktioner från den registeransvarige, särskilt om överföringen av de personuppgifter som används är förbjuden, |
(a) Registerföraren får endast handla på instruktioner från den registeransvarige, särskilt om överföringen av de personuppgifter som används är förbjuden. |
Ändringsförslag 225 Förslag till förordning Artikel 26 – punkt 2 – led ba (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(ba) Principen om inbyggt uppgiftsskydd ska beaktas. |
Ändringsförslag 226 Förslag till förordning Artikel 26 – punkt 2 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
(d) endast får engagera en annan registerförare om den registeransvarige först har godkänt detta, |
utgår |
Ändringsförslag 227 Förslag till förordning Artikel 26 – punkt 2 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
(e) i samförstånd med den registeransvarige, och så långt det är möjligt med tanke på behandlingens karaktär, ska inrätta de nödvändiga tekniska och organisatoriska kraven för att den registeransvarige ska kunna fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III, |
(e) Registerföraren ska, så långt det är möjligt med tanke på behandlingens karaktär och på att registerföraren med rimliga ansträngningar ska kunna göra det, delta i ett avtal om lämpliga och relevanta tekniska och organisatoriska krav till stöd för att den registeransvarige ska kunna svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III. |
Ändringsförslag 228 Förslag till förordning Artikel 26 – punkt 2 – led f | |
|
Kommissionens förslag |
Ändringsförslag |
|
(f) ska bistå den registeransvarige med att se till att skyldigheterna enligt artiklarna 30–34 fullgörs, |
(f) Registerföraren ska, så långt det är möjligt med tanke på behandlingens karaktär, den information som finns tillgänglig för registerföraren och dennes förmåga att bistå med rimliga ansträngningar, delta i ett avtal om hur skyldigheterna enligt artiklarna 30–34 ska fullgöras. |
Ändringsförslag 229 Förslag till förordning Artikel 26 – punkt 2 – led g | |
|
Kommissionens förslag |
Ändringsförslag |
|
(g) ska lämna alla resultat till den registeransvarige efter behandlingens slut och inte behandla personuppgifterna på annat sätt, |
(g) Registerföraren ska lämna alla resultat till den registeransvarige efter behandlingens slut eller förstöra dem på ett kommersiellt vedertaget sätt. |
Ändringsförslag 230 Förslag till förordning Artikel 26 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Om en registerförare behandlar andra personuppgifter än de som den registeransvarige gett instruktioner om ska registerföraren anses vara en registeransvarig med avseende på den behandlingen och ska omfattas av de bestämmelser om gemensamma registeransvariga som fastställs i artikel 24. |
utgår |
Ändringsförslag 231 Förslag till förordning Artikel 26 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha rätt att anta delegerade akter i enlighet med artikel 86 i syfte att närmare precisera kriterierna och kraven för registerförarens ansvarsområden, uppdrag och arbetsuppgifter med avseende på en registerförare enligt punkt 1, och de omständigheter som gör det möjligt att underlätta behandlingen av personuppgifter inom en företagsgrupp, särskilt för kontroll- och rapporteringsändamål. |
utgår |
Motivering | |
Enligt ansvarighetsprincipen bör de enskilda detaljerna överlåtas till den registeransvarige och till registerföraren. | |
Ändringsförslag 232 Förslag till förordning Artikel 28 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje registeransvarig och registerförare samt den registeransvariges eventuella företrädare ska bevara dokumentation om all behandling som utförts under dess ansvar. |
1. Varje registeransvarig samt den registeransvariges eventuella företrädare ska bevara lämplig dokumentation om de åtgärder som vidtagits för att garantera att den behandling av personuppgifter som utförts under dess ansvar skett i överensstämmelse med denna förordning. |
Ändringsförslag 233 Förslag till förordning Artikel 28 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. Dokumentationen ska innehålla den information som behövs för att tillsynsmyndigheten ska kunna fastställa att den registeransvarige eller registerföraren följt förordningen och där ska också ingå en beskrivning av vilka interna åtgärder och rutiner som tillämpas för att följa artikel 22. |
Motivering | |
Det går inte att föreskriva att all uppgiftsbehandling ska dokumenteras, vare sig för multinationella företag eller för mindre företag och det skulle inte förbättra skyddet av kundernas personuppgifter. Tack vare ändringsförslaget kan man undvika juridiskt spetsfundiga och betungande program för uppgiftsskydd som skapar pappersexercis men inte leder till någon bättre arbetspraxis. | |
Ändringsförslag 234 Förslag till förordning Artikel 28 – punkt 1b (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1b. Den skyldighet som avses i punkterna 1 och 1a ska inte gälla för små och medelstora företag som behandlar uppgifter endast som en sidoverksamhet till försäljning av varor eller tjänster. Sidoverksamheter ska definieras som affärsverksamhet eller verksamhet som inte omfattar handel och som inte har anknytning till ett företags huvudverksamhet. När det gäller uppgiftsskydd ska uppgiftsbehandling som utgör mindre än 50 procent av företagets omsättning anses vara sidoverksamhet. |
Ändringsförslag 235 Förslag till förordning Artikel 28 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Dokumentationen ska innehålla åtminstone följande uppgifter: |
utgår |
|
(a) Namn och kontaktuppgifter för den registeransvarige, eller eventuella gemensamma registeransvariga eller registerförare, samt för den eventuella företrädaren. |
|
|
(b) Namn och kontaktuppgifter för det eventuella uppgiftsskyddsombudet. |
|
|
(c) Ändamålen med behandlingen, inbegripet den registeransvariges berättigade intressen när behandlingen grundar sig på artikel 6.1 f. |
|
|
(d) En beskrivning av de kategorier av registrerade som berörs och av de kategorier av personuppgifter som hänför sig till dem. |
|
|
(e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, inbegripet de registeransvariga till vilka personuppgifter lämnas ut för deras berättigade intressen. |
|
|
(f) I tillämpliga fall, överföringar av uppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 44.1 h, dokumentationen om lämpliga skyddsåtgärder. |
|
|
(g) En allmän anvisning om tidsfristerna för radering av de olika kategorierna av uppgifter. |
|
|
(h) Beskrivning av de rutiner som avses i artikel 22.3. |
|
Ändringsförslag 236 Förslag till förordning Artikel 28 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran göra dokumentationen tillgänglig för tillsynsmyndigheten. |
3. Den registeransvarige samt den registeransvariges eventuella företrädare ska på begäran göra dokumentationen tillgänglig för tillsynsmyndigheten. |
Ändringsförslag 237 Förslag till förordning Artikel 28 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den dokumentation som avses i punkt 1, för att ta hänsyn särskilt till de områden som den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ansvarar för. |
utgår |
Ändringsförslag 238 Förslag till förordning Artikel 28 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Kommissionen får fastställa standardformulär för den dokumentation som anges i punkt 1. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
6. Kommissionen får efter samråd med Europeiska dataskyddsstyrelsen fastställa standardformulär för den dokumentation som anges i punkt 1. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
Ändringsförslag 239 Förslag till förordning Artikel 29 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran samarbeta med tillsynsmyndigheten i utövandet av dess uppdrag, särskilt genom att tillhandahålla den information som avses i artikel 53.2 a och genom att ge tillgång i enlighet med artikel 53.2 b. |
1. Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran samarbeta med tillsynsmyndigheten i utövandet av dess uppdrag, särskilt genom att tillhandahålla den information som avses i artikel 53.2 a och genom att ge tillgång i enlighet med artikel 53.2 b. Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska göra dokumentationen tillgänglig för tillsynsmyndigheten, utgående från en begäran där det anges varför tillgång till dokumenten efterfrågas. |
Ändringsförslag 240 Förslag till förordning Artikel 29 – punkt 2a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2a. När den registeransvarige och registerföraren är etablerade i fler än en medlemsstat för hela eller delar av uppgiftshanteringen har de möjlighet att ange sitt huvudsakliga verksamhetsställe. |
Ändringsförslag 241 Förslag till förordning Artikel 30 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige och registerföraren ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå med tanke på de risker som behandlingen medför och karaktären hos de personuppgifter som ska skyddas, med hänsyn till dagens tillgängliga teknik och kostnaderna för att vidta åtgärderna. |
1. Den registeransvarige och registerföraren ska vidta lämpliga tekniska och organisatoriska åtgärder, bland dem också pseudonymisering, för att säkerställa en lämplig säkerhetsnivå med tanke på de risker som behandlingen medför och karaktären hos de personuppgifter som ska skyddas, med hänsyn till dagens tillgängliga teknik och kostnaderna för att vidta åtgärderna. |
|
|
Trots vad som sägs i första stycket ska den registeransvarige och registerföraren endast belastas med åtgärder som är proportionella till den risk med behandling av personuppgifter som framgår av arten av de personuppgifter som ska behandlas. |
Ändringsförslag 242 Förslag till förordning Artikel 30 – punkt 2a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2a. De rättsliga skyldigheter som avses i punkterna 1 och 2 och som skulle förutsätta att personuppgifter behandlas i den utsträckning det är strikt nödvändigt för att garantera nätverks- eller informationssäkerhet, utgör enligt artikel 6.1 f ett berättigat intresse hos den registeransvarige, registerföraren eller annan som arbetar för deras räkning. |
Ändringsförslag 243 Förslag till förordning Artikel 30 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för de tekniska och organisatoriska åtgärder som avses i punkterna 1 och 2, inbegripet fastställandet av vad som utgör dagens tillgängliga teknik, för specifika sektorer och i specifika situationer vid behandlingen av personuppgifter, med särskild hänsyn till den tekniska utvecklingen och utvecklingen i fråga om lösningar för inbyggt integritetsskydd och uppgiftsskydd som standard, om inte punkt 4 är tillämplig. |
utgår |
Ändringsförslag 244 Förslag till förordning Artikel 30 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. När så är nödvändigt får kommissionen anta genomförandeakter i syfte att specificera kraven i punkterna 1 och 2 för olika situationer, särskilt för att |
utgår |
|
(a) förhindra obehörig åtkomst till personuppgifter, |
|
|
(b) förhindra obehörigt röjande, obehörig läsning, kopiering, ändring eller radering eller obehörigt avlägsnande av personuppgifter, |
|
|
(c) se till att det kontrolleras att behandlingen är laglig. |
|
|
Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
|
Ändringsförslag 245 Förslag till förordning Artikel 31 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Vid ett personuppgiftsbrott ska den registeransvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 24 timmar efter att ha fått vetskap om det, anmäla personuppgiftsbrottet till tillsynsmyndigheten. Om anmälan till tillsynsmyndigheten inte görs inom 24 timmar ska den åtföljas av en utförlig motivering. |
1. Vid ett personuppgiftsbrott som hänför sig till särskilda kategorier av personuppgifter, personuppgifter som är belagda med tystnadsplikt, personuppgifter som hänför sig till brott eller brottsmisstanke eller personuppgifter som hänför sig till bankkonton eller kreditkortskonton och som utgör ett allvarligt hot mot den registrerades rättigheter eller berättigade intressen ska den registeransvarige utan onödigt dröjsmål anmäla personuppgiftsbrottet till tillsynsmyndigheten. |
Ändringsförslag 246 Förslag till förordning Artikel 31 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. I enlighet med artikel 26.2 f ska registerföraren underrätta och informera den registeransvarige omedelbart efter det att ett personuppgiftsbrott har konstaterats. |
2. I enlighet med artikel 26.2 f ska registerföraren underrätta och informera den registeransvarige utan onödigt dröjsmål efter det att ett personuppgiftsbrott som sannolikt kan ge upphov till rättsliga följder som kan ha en negativ inverkan på den registrerades integritet har konstaterats. |
Ändringsförslag 247 Förslag till förordning Artikel 31 – punkt 3 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
(e) beskriva de åtgärder som den registeransvarige föreslagit eller vidtagit för att åtgärda personuppgiftsbrottet. |
(e) beskriva de åtgärder som den registeransvarige föreslagit eller vidtagit för att åtgärda personuppgiftsbrottet och/eller begränsa följderna. |
Ändringsförslag 248 Förslag till förordning Artikel 31 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Den registeransvarige ska dokumentera alla personuppgiftsbrott, inbegripet omständigheterna kring brottet, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel. Dokumentationen ska endast innehålla den information som behövs för detta ändamål. |
4. Den registeransvarige ska dokumentera alla personuppgiftsbrott, inbegripet omständigheterna kring brottet, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska vara tillräcklig för att göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel. Dokumentationen ska endast innehålla den information som behövs för detta ändamål. |
Ändringsförslag 249 Förslag till förordning Artikel 31 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för fastställandet av det uppgiftsbrott som avses i punkterna 1 och 2 samt för de särskilda omständigheter under vilka en registeransvarig och en registerförare ska anmäla personuppgiftsbrottet. |
utgår |
Ändringsförslag 250 Förslag till förordning Artikel 31 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Kommissionen får fastställa standardformatet för sådana anmälningar till tillsynsmyndigheten, de förfaranden som gäller för anmälningskravet och formen och villkoren för den dokumentation som avses i punkt 4, inbegripet tidsgränserna för raderingen av informationen i denna. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
6. Kommissionen får fastställa standardformatet för sådana anmälningar till tillsynsmyndigheten och de förfaranden som gäller för registrering av anmälningar. |
Ändringsförslag 251 Förslag till förordning Artikel 32 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Om personuppgiftsbrottet sannolikt har en negativ inverkan på skyddet av den registrerades personuppgifter eller integritet ska den registeransvarige, efter den anmälan som avses i artikel 31, utan onödigt dröjsmål informera den registrerade om personuppgiftsbrottet. |
1. Om personuppgiftsbrottet sannolikt har en negativ inverkan på skyddet av den registrerades personuppgifter, integritet, rättigheter eller berättigade intressen ska den registeransvarige, efter den anmälan som avses i artikel 31, utan onödigt dröjsmål informera den registrerade om personuppgiftsbrottet. Ett brott ska anses negativt påverka en registrerads personuppgifter eller integritet när det exempelvis kan leda till identitetsstöld eller bedrägeri, fysisk skada, betydande förödmjukelse eller skadat anseende. |
Ändringsförslag 252 Förslag till förordning Artikel 32 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den information till den registrerade som avses i punkt 1 ska innehålla en beskrivning av personuppgiftsbrottets karaktär och åtminstone de upplysningar och de rekommendationer som anges i artikel 31.3 b och c. |
2. Den information till den registrerade som avses i punkt 1 ska innehålla en ingående, tydlig och allmänt förståelig beskrivning av personuppgiftsbrottets karaktär och åtminstone de upplysningar och de rekommendationer som anges i artikel 31.3 b, c och d. |
Ändringsförslag 253 Förslag till förordning Artikel 32 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Det ska inte vara ett krav att informera den registrerade om personuppgiftsbrottet om den registeransvarige tillfredsställande visar för den behöriga myndigheten att den har genomfört lämpliga tekniska skyddsåtgärder och att dessa åtgärder tillämpats på de uppgifter som berördes av personuppgiftsbrottet. Sådana tekniska skyddsåtgärder ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till uppgifterna. |
3. Det ska inte vara ett krav att informera den registrerade om personuppgiftsbrottet om detta inte medfört någon betydande skada och om den registeransvarige har genomfört lämpliga tekniska skyddsåtgärder och dessa åtgärder tillämpats på de uppgifter som berördes av personuppgiftsbrottet. Sådana tekniska skyddsåtgärder ska göra uppgifterna oläsbara, oanvändbara eller avidentifierade för alla personer som inte är behöriga att få tillgång till uppgifterna. |
Ändringsförslag 254 Förslag till förordning Artikel 32 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera villkoren och kraven när det gäller de omständigheter under vilka ett personuppgiftsbrott sannolikt har en negativ inverkan på de personuppgifter som avses i punkt 1. |
utgår |
Ändringsförslag 255 Förslag till förordning Artikel 32a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 32a |
|
|
Information om personuppgiftsbrott till andra organisationer |
|
|
En registeransvarig som underrättar en registrerad om ett personuppgiftsbrott i enlighet med artikel 32 får underrätta en annan organisation, en statlig institution eller en del av en statlig institution om personuppgiftsbrottet om den organisationen, statliga institutionen eller delen av den statliga institutionen kan minska risken för skada till följd av personuppgiftsbrottet eller begränsa sådan skada. Detta får ske utan att den registrerade informeras, såvida uppgifterna lämnas ut endast för att minska risken för skada för den registrerade till följd av brottet eller för att begränsa den skadan. |
Motivering | |
Andra organisationer eller statliga institutioner kan ofta hjälpa till att begränsa den skada som kan uppstå för den registrerade till följd av ett personuppgiftsbrott om de informeras om brottet och omständigheterna kring det. | |
Ändringsförslag 256 Förslag till förordning Kapitel 4 – avsnitt 3 – rubriken | |
|
Kommissionens förslag |
Ändringsförslag |
|
KONSEKVENSBEDÖMNING AVSEENDE UPPGIFTSSKYDD OCH FÖRHANDSTILLSTÅND |
KONSEKVENSBEDÖMNING AVSEENDE UPPGIFTSSKYDD OCH FÖRHANDSANMÄLAN |
Motivering | |
Förfaranden som kräver förhandstillstånd är kostsamma och tidskrävande för den registeransvarige och deras mervärde jämfört med ett system med förhandsanmälan kan ifrågasättas ur synvinkel av uppgiftsskyddet. Det räcker med förhandsanmälningar, som ger tillsynsmyndigheten möjlighet att reagera och agera, och de ger också ett användarvänligt förfarande för uppgiftsskydd. | |
Ändringsförslag 257 Förslag till förordning Artikel 33 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Om behandlingen på grund av sin karaktär, sin omfattning eller sina ändamål medför särskilda risker för de registrerades fri- och rättigheter, ska den registeransvarige eller registerföraren på den registeransvariges vägnar utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. |
1. Om behandlingen på grund av sin karaktär, sin omfattning eller sina ändamål medför särskilda risker för de registrerades fri- och rättigheter, ska den registeransvarige utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning ska vara tillräcklig för att hantera en serie behandlingsåtgärder med liknande risker. Små och medelstora företag ska endast vara skyldiga att genomföra en konsekvensbedömning efter sitt tredje registreringsår om uppgiftsbehandling anses vara en av deras huvudverksamheter. |
Ändringsförslag 258 Förslag till förordning Artikel 33 – punkt 2 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. I synnerhet följande typer av behandling medför sådana särskilda risker som avses i punkt 1: |
2. Följande typer av behandling medför sådana särskilda risker som avses i punkt 1: |
Motivering | |
Ett klart rättsläge förutsätter att det klart och uttömmande anges vilka särskilda risker som är aktuella. | |
Ändringsförslag 259 Förslag till förordning Artikel 33 – punkt 2 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
(a) En systematisk och omfattande bedömning av en fysisk persons personliga aspekter eller i syfte att analysera eller förutse särskilt den fysiska personens ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende, vilket grundar sig på automatisk behandling och på vilka sådana åtgärder grundar sig som har rättsliga följder för den enskilde eller som märkbart påverkar honom eller henne. |
(a) En systematisk och omfattande bedömning av en fysisk persons personliga aspekter eller i syfte att analysera eller förutse särskilt den fysiska personens ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende, vilket grundar sig på automatisk behandling och på vilka sådana åtgärder grundar sig som har negativa rättsliga följder för den enskilde, inbegripet all ytterligare uppgiftsbehandling av det slag som avses i artikel 20.1 i denna förordning. |
Ändringsförslag 260 Förslag till förordning Artikel 33 – punkt 2 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) Information om sexualliv, hälsa, ras och etniskt ursprung eller – i samband med tillhandahållande av hälso- och sjukvård – epidemiologisk forskning, eller undersökningar av psykiska sjukdomar eller infektionssjukdomar, där uppgifterna behandlas i syfte att vidta åtgärder eller fatta beslut om specifika enskilda personer i stor skala. |
(b) Information om sexualliv, hälsa, politiska åsikter, religiösa övertygelser, fällande brottmålsdomar, ras och etniskt ursprung eller – i samband med tillhandahållande av hälso- och sjukvård – epidemiologisk forskning, eller undersökningar av psykiska sjukdomar eller infektionssjukdomar, där uppgifterna behandlas i syfte att vidta åtgärder eller fatta beslut om specifika enskilda personer i stor skala. |
Ändringsförslag 261 Förslag till förordning Artikel 33 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Bedömningen ska innehålla åtminstone en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för de registrerades fri- och rättigheter, de åtgärder som planeras för att hantera risker, skyddsåtgärder, säkerhetsåtgärder och rutiner för att garantera skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen. |
3. Bedömningen ska innehålla åtminstone en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för de registrerades fri- och rättigheter, inbegripet den risk för diskriminering som är förbunden med eller förstärks av behandlingen, de åtgärder som planeras för att hantera risker, skyddsåtgärder, säkerhetsåtgärder och rutiner för att garantera skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen och med beaktande av moderna tekniker och metoder som kan stärka medborgarnas personliga integritet. I de fall det finns europeiska riktlinjer ska det tas hänsyn till dem vid konsekvensbedömningen. |
Ändringsförslag 262 Förslag till förordning Artikel 33 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Den registeransvarige ska inhämta synpunkter från de registrerade och deras företrädare om den avsedda behandlingen, utan att det påverkar skyddet av kommersiella eller allmänna intressen eller behandlingens säkerhet. |
utgår |
Motivering | |
Det blir orimligt betungande om de registeransvariga aktivt ska inhämta synpunkter från de registrerade. | |
Ändringsförslag 263 Förslag till förordning Artikel 33 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Om den registeransvarige är en offentlig myndighet eller ett offentligt organ och om behandlingen följer av en rättslig skyldighet enligt artikel 6.1 c som föreskriver regler och förfaranden som rör behandlingen och regleras av unionslagstiftningen, ska punkterna 1–4 inte gälla, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen. |
5. Om den registeransvarige är en offentlig myndighet eller ett offentligt organ, eller om personuppgifterna behandlas av ett annat organ som anförtrotts ansvaret att utföra arbetsuppgifter av allmänt intresse, och om behandlingen följer av en rättslig skyldighet enligt artikel 6.1 c som föreskriver regler och förfaranden som rör behandlingen och regleras av unionslagstiftningen, ska punkterna 1–4 inte gälla, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen. |
Motivering | |
Det bör vara själva den arbetsuppgift som utförs, inte vilket organ som gör det, som ska avgöra om reglerna om konsekvensbedömningar avseende uppgiftsskydd ska gälla. Till exempel får ofta privata organisationer ansvar för att tillhandahålla allmännyttiga tjänster. Samma förhållningssätt bör råda när det gäller utförande av allmännyttiga tjänster, oavsett om det organ som tillhandahåller tjänsten är en myndighet eller ett offentligt organ eller en privat organisation som det ingåtts avtal med. | |
Ändringsförslag 264 Förslag till förordning Artikel 33 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för sådan behandling som sannolikt medför särskilda risker enligt punkterna 1 och 2 och kraven för den bedömning som avses i punkt 3, däribland villkor för skalbarhet, kontroll och granskningsmöjligheter. Kommissionen ska därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag. |
utgår |
Ändringsförslag 265 Förslag till förordning Artikel 33 – punkt 7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
7. Kommissionen får ange standarder och förfaranden för utförandet samt kontrollen och granskningen av den bedömning som avses i punkt 3. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
utgår |
Ändringsförslag 266 Förslag till förordning Artikel 33 – punkt 7a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
7a. Konsekvensbedömningar avseende uppgiftsskydd ska anses vara privilegierade kommunikationer. |
Motivering | |
Det är viktigt att fastställa detta för att minska företagens rädsla för att innovativa nya förfaranden som omfattas av företagssekretess sprids till allmänheten. | |
Ändringsförslag 267 Förslag till förordning Artikel 34 – rubriken | |
|
Kommissionens förslag |
Ändringsförslag |
|
Förhandstillstånd och förhandssamråd |
Förhandssamråd |
Motivering | |
Inre konsekvens med de mål som uppställs i skäl 70. | |
Ändringsförslag 268 Förslag till förordning Artikel 34 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige eller registerföraren, allt efter omständigheterna, ska erhålla ett godkännande från tillsynsmyndigheten före behandlingen av personuppgifterna, i syfte att se till att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade när en registeransvarig eller en registerförare antar avtalsklausuler enligt artikel 42.2 d eller inte tillhandahåller lämpliga skyddsåtgärder i ett rättsligt bindande instrument enligt artikel 42.5 för överföring av personuppgifter till ett tredjeland eller en internationell organisation. |
utgår |
Motivering | |
Prior authorization or consultation with supervisory authorities will lead to a misallocation of privacy resources and place a significant burden on already overextended supervisory authorities, create significant, inevitable delays in the rollout of new products and services, and generally disincentivise the creation of effective corporate privacy programmes. Requiring enterprises that have invested in these internal programmes to submit to compulsory consultation with the supervisory authority will have an adverse impact on their ability to develop and release to the market new products and services which benefit consumers and the economy. | |
Ändringsförslag 269 Förslag till förordning Artikel 34 – punkt 2 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den registeransvarige eller registerföraren som handlar på den registeransvariges vägnar ska samråda med tillsynsmyndigheten före behandlingen av personuppgifter för att se till att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade om |
2. Den registeransvarige eller registerföraren som handlar på den registeransvariges vägnar får samråda med tillsynsmyndigheten före behandlingen av särskilda kategorier av personuppgifter för att se till att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade om |
Ändringsförslag 270 Förslag till förordning Artikel 34 – punkt 2 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) tillsynsmyndigheten anser det nödvändigt att utföra ett förhandssamråd om behandling som sannolikt medför särskilda risker för de registrerades fri- och rättigheter på grund av sin karaktär, sin omfattning och/eller sina ändamål, och som preciseras enligt punkt 4. |
(b) tillsynsmyndigheten anser det nödvändigt att utföra ett förhandssamråd om behandling som sannolikt medför särskilda risker för de registrerades fri- och rättigheter på grund av sin karaktär, sin omfattning och/eller sina ändamål. |
Motivering | |
Se motiveringen till strykningen av punkt 4. | |
Ändringsförslag 271 Förslag till förordning Artikel 34 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Om tillsynsmyndigheten anser att den avsedda behandlingen inte överensstämmer med denna förordning, särskilt om riskerna är otillräckligt fastställda eller begränsade, ska den förbjuda den avsedda behandlingen och lägga fram lämpliga förslag för att åtgärda sådan brist på överensstämmelse. |
3. Om den behöriga tillsynsmyndigheten i enlighet med sin befogenhet fastställer att den avsedda behandlingen inte överensstämmer med denna förordning, särskilt om riskerna är otillräckligt fastställda eller begränsade, ska den förbjuda den avsedda behandlingen och lägga fram lämpliga förslag för att åtgärda sådan brist på överensstämmelse. Ett sådant beslut ska kunna överklagas till behörig domstol och behöver inte vara verkställbart medan det överklagas, såvida inte behandlingen medför omedelbar allvarlig skada för de registrerade. |
Ändringsförslag 272 Förslag till förordning Artikel 34 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Tillsynsmyndigheten ska inrätta och offentliggöra en förteckning över den behandling som omfattas av förhandssamråd enligt punkt 2 b. Tillsynsmyndigheten ska översända dessa förteckningar till Europeiska dataskyddsstyrelsen. |
utgår |
Motivering | |
För administrativt komplex för att genomföras effektivt, framför allt mot bakgrund av behovet av en icke-sektorsspecifik, framtidssäker förordning. | |
Ändringsförslag 273 Förslag till förordning Artikel 34 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Om den förteckning som avses i punkt 4 inbegriper behandling som rör erbjudande av varor och tjänster till registrerade i flera medlemsstater, eller övervakning av deras beteende, eller som väsentligt kan påverka den fria rörligheten för personuppgifter i unionen, ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57 före antagandet av förteckningen. |
5. Om behandlingen rör erbjudande av varor och tjänster till registrerade i flera medlemsstater, eller övervakning av deras beteende, eller som väsentligt kan påverka den fria rörligheten för personuppgifter i unionen, ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57. |
Motivering | |
Fokuserar mekanismen för enhetlighet på de områden där den är lämpligast, i enlighet med ändringsförslagen till artikel 58.2. | |
Ändringsförslag 274 Förslag till förordning Artikel 34 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Den registeransvarige eller registerföraren ska till tillsynsmyndigheten lämna den konsekvensbedömning avseende uppgiftsskydd som avses i artikel 33 och, på begäran, eventuell övrig information som gör att tillsynsmyndigheten kan göra en bedömning av behandlingens överensstämmelse och särskilt av riskerna för skyddet av den registrerades personuppgifter och av därmed sammanhängande skyddåtgärder. |
6. Den registeransvarige ska till tillsynsmyndigheten lämna den konsekvensbedömning avseende uppgiftsskydd som avses i artikel 33 och, på begäran, eventuell övrig information som gör att tillsynsmyndigheten kan göra en bedömning av behandlingens överensstämmelse och särskilt av riskerna för skyddet av den registrerades personuppgifter och av därmed sammanhängande skyddsåtgärder. |
Motivering | |
För att rättssäkerheten ska garanteras, för att tillsynsmyndigheterna bättre ska kunna sköta verkställandet och i enlighet med skäl 62 som kräver ”ett tydligt fastställande av vem som bär ansvaret enligt denna förordning” bör förhandsgodkännande från och samråd med tillsynsmyndigheten enbart vara den registeransvariges ansvar. På så sätt inrättas en mycket tydligare ram för företag och tillsynsmyndigheter. | |
Ändringsförslag 275 Förslag till förordning Artikel 34 – punkt 8 | |
|
Kommissionens förslag |
Ändringsförslag |
|
8. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för fastställandet av de höggradiga särskilda risker som avses i punkt 2 a. |
utgår |
Ändringsförslag 276 Förslag till förordning Artikel 34 – punkt 9 | |
|
Kommissionens förslag |
Ändringsförslag |
|
9. Kommissionen får fastställa standardformulär och förfaranden för sådana förhandstillstånd och förhandssamråd som avses i punkterna 1 och 2, och standardformulär och förfaranden för att informera tillsynsmyndigheterna enligt punkt 6. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
9. Kommissionen får fastställa standardformulär och förfaranden för sådana förhandssamråd som avses i punkt 2, och standardformulär och förfaranden för att informera tillsynsmyndigheterna enligt punkt 6. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
Ändringsförslag 277 Förslag till förordning Artikel 35 – punkt 1 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige och registerföraren ska utnämna ett uppgiftsskyddsombud om |
1. Den registeransvarige och registerföraren ska utnämna en uppgiftsskyddsorganisation eller ett uppgiftsskyddsombud om |
Ändringsförslag 278 Förslag till förordning Artikel 35 – punkt 1 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
(c) den registeransvariges och registerförarens kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade. |
(c) den registeransvariges och registerförarens kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade. Kärnverksamhet ska definieras som verksamhet där 50 procent av den årliga omsättningen består av försäljning av uppgifter eller intäkter som härrör från dessa uppgifter. När det gäller uppgiftsskydd ska uppgiftsbehandling som utgör mindre än 50 procent av företagets omsättning anses vara sidoverksamhet. |
Motivering | |
Det bör endast anses vara nödvändigt att utse uppgiftsskyddsombud när ett företags kärnverksamhet innebär behandling av personuppgifter. | |
Ändringsförslag 279 Förslag till förordning Artikel 35 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Om den registeransvarige och registerföraren är en offentlig myndighet eller ett offentligt organ, får uppgiftsskyddsombudet utnämnas för flera av dess enheter, med hänsyn till den offentliga myndighetens eller det offentliga organets struktur. |
3. Om den registeransvarige och registerföraren är en offentlig myndighet eller ett offentligt organ, får uppgiftsskyddsorganisationen eller uppgiftsskyddsombudet utnämnas för flera av dess enheter, med hänsyn till den offentliga myndighetens eller det offentliga organets struktur. |
Ändringsförslag 280 Förslag till förordning Artikel 35 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Den registeransvarige eller registerföraren ska utnämna uppgiftsskyddsombudet på grundval av yrkesmässiga kvalifikationer och, i synnerhet, expertkunnande om lagstiftning och praxis avseende uppgiftsskydd samt förmåga att fullgöra de arbetsuppgifter som avses i artikel 37. Den nödvändiga nivån på expertkunnandet ska fastställas särskilt i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av den registeransvarige och registerföraren. |
5. Den registeransvarige eller registerföraren får utnämna uppgiftsskyddsombudet på grundval av yrkesmässiga kvalifikationer och, i synnerhet, expertkunnande om lagstiftning och praxis avseende uppgiftsskydd samt förmåga att fullgöra de arbetsuppgifter som avses i artikel 37. Den nödvändiga nivån på expertkunnandet ska fastställas särskilt i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av den registeransvarige och registerföraren. |
Ändringsförslag 281 Förslag till förordning Artikel 35 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Den registeransvarige eller registerföraren ska se till att uppgiftskyddsombudets eventuella övriga yrkesuppgifter är förenliga med personens arbetsuppgifter och uppdrag som uppgiftsskyddsombud och inte leder till en intressekonflikt. |
6. Den registeransvarige eller registerföraren ska se till att uppgiftsskyddsorganisationens eller uppgiftsskyddsombudets eventuella övriga yrkesuppgifter är förenliga med personens arbetsuppgifter och uppdrag som uppgiftsskyddsombud och inte leder till en intressekonflikt. |
Ändringsförslag 282 Förslag till förordning Artikel 35 – punkt 7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
7. Den registeransvarige och registerföraren ska utnämna ett uppgiftsskyddsombud för en period på minst två år. Uppgiftsskyddsombudet får utnämnas för ytterligare perioder. Uppgiftsskyddsombudet får under sin mandatperiod endast avsättas om uppgiftsskyddsombudet inte längre uppfyller de villkor som krävs för fullgörandet av sitt uppdrag. |
7. Den registeransvarige och registerföraren ska utnämna ett uppgiftsskyddsombud för en period på minst två år. Uppgiftsskyddsombudet får utnämnas för ytterligare perioder. |
Motivering | |
Precis som med all övrig personal bör det vara möjligt att avsätta uppgiftsskyddsombud som inte fullgör sina arbetsuppgifter. Det är upp till ledningen att avgöra om de är nöjda med den aktuella personen eller inte. | |
Ändringsförslag 283 Förslag till förordning Artikel 35 – punkt 10 | |
|
Kommissionens förslag |
Ändringsförslag |
|
10. Den registrerade ska ha rätt att kontakta uppgiftsskyddsombudet om alla frågor som rör behandlingen av den registrerades uppgifter och begära att få utöva sina rättigheter enligt denna förordning. |
10. Den registrerade ska ha rätt att kontakta uppgiftsskyddsorganisationen eller uppgiftsskyddsombudet om alla frågor som rör behandlingen av den registrerades uppgifter och begära att få utöva sina rättigheter enligt denna förordning. |
Ändringsförslag 284 Förslag till förordning Artikel 35 – punkt 11 | |
|
Kommissionens förslag |
Ändringsförslag |
|
11. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den kärnverksamhet som bedrivs av den registeransvarige eller registerföraren och som avses i punkt 1 c och det kriterium för uppgiftsskyddsombudets yrkesmässiga kvalifikationer som avses i punkt 5. |
utgår |
Ändringsförslag 285 Förslag till förordning Artikel 36 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige eller registerföraren ska se till att uppgiftsskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter. |
1. Den verkställande ledningen hos den registeransvarige eller registerföraren ska stödja uppgiftsskyddsorganisationen eller uppgiftsskyddsombudet i utförandet av dennes arbetsuppgifter och tillhandahålla personal, lokaler, utrustning och alla andra resurser som krävs för att fullgöra det uppdrag och utföra de arbetsuppgifter som avses i artikel 37. |
Ändringsförslag 286 Förslag till förordning Artikel 36 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den registeransvarige eller registerföraren ska se till att uppgiftskyddsombudet fullgör sitt uppdrag och utför sina arbetsuppgifter på ett oberoende sätt och inte tar emot instruktioner när det gäller utövandet av funktionen. Uppgiftsskyddsombudet ska rapportera direkt till den registeransvariges eller registerförarens förvaltning. |
2. Uppgiftsskyddsorganisationen eller uppgiftsskyddsombudet ska fullgöra sitt uppdrag och utföra sina arbetsuppgifter på ett oberoende sätt och rapportera direkt till den registeransvariges eller registerförarens förvaltning. |
Ändringsförslag 287 Förslag till förordning Artikel 36 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Den registeransvarige eller registerföraren ska stödja uppgiftsskyddsombudet i utförandet av dennes arbetsuppgifter och ska tillhandahålla personal, lokaler, utrustning och alla andra resurser som krävs för att fullgöra det uppdrag och utföra de arbetsuppgifter som avses i artikel 37. |
3. Den registeransvarige eller registerföraren ska stödja uppgiftsskyddsorganisationen eller uppgiftsskyddsombudet i utförandet av dennes arbetsuppgifter och ska tillhandahålla personal, lokaler, utrustning och alla andra resurser som krävs för att fullgöra det uppdrag och utföra de arbetsuppgifter som avses i artikel 37. |
Ändringsförslag 288 Förslag till förordning Artikel 37 – punkt 1 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige eller registerföraren ska anförtro uppgiftsskyddsombudet åtminstone följande arbetsuppgifter: |
1. Den registeransvarige eller registerföraren ska anförtro uppgiftsskyddsorganisationen eller uppgiftsskyddsombudet åtminstone följande arbetsuppgifter: |
Ändringsförslag 289 Förslag till förordning Artikel 37 – punkt 1 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
(a) Att informera och ge råd till den registeransvarige eller registerföraren om deras skyldigheter enligt denna förordning och att dokumentera denna verksamhet och de inkomna svaren. |
(a) Att öka medvetenheten, att informera och ge råd till den registeransvarige eller registerföraren om deras skyldigheter enligt denna förordning och att dokumentera denna verksamhet och de inkomna svaren. |
Ändringsförslag 290 Förslag till förordning Artikel 37 – punkt 1 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
(c) Att övervaka genomförandet och tillämpningen av denna förordning, särskilt när det gäller de krav som avser inbyggt uppgiftsskydd, uppgiftsskydd som standard och datasäkerhet samt information till de registrerade och deras begäranden i utövandet av sina rättigheter enligt denna förordning. |
(c) Att övervaka att denna förordning följs. |
Ändringsförslag 291 Förslag till förordning Artikel 37 – punkt 1 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
(e) Att övervaka dokumentationen om, anmälan av och informationen om personuppgiftsbrott enligt artiklarna 31 och 32. |
(e) Att utveckla förfaranden för att övervaka, dokumentera, anmäla och informera om personuppgiftsbrott enligt artiklarna 31 och 32. |
Ändringsförslag 292 Förslag till förordning Artikel 37 – punkt 1 – led f | |
|
Kommissionens förslag |
Ändringsförslag |
|
(f) Att övervaka genomförandet av den registeransvariges eller registerförarens konsekvensbedömning avseende uppgiftsskydd och ansökan om förhandstillstånd eller förhandssamråd, om så krävs enligt artiklarna 33 och 34. |
(f) Att utveckla förfaranden för att övervaka genomförandet av den registeransvariges eller registerförarens konsekvensbedömning avseende uppgiftsskydd och ansökan om förhandstillstånd eller förhandssamråd, om så krävs enligt artiklarna 33 och 34. |
Ändringsförslag 293 Förslag till förordning Artikel 37 – punkt 1 – led fa (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(fa) Att se till att det finns åtgärder för utkrävande av ansvar, av det slag som fastställs i artikel 22.2 c–ed. |
Motivering | |
Här klargörs uppgiftsskyddsombudets centrala roll i ansvarskedjan upp till högsta ledningen. | |
Ändringsförslag 294 Förslag till förordning Artikel 37 – punkt 1 – led g | |
|
Kommissionens förslag |
Ändringsförslag |
|
(g) Att övervaka svaret på begäranden från tillsynsmyndigheten, och, inom uppgiftsskyddsombudets behörighet, att samarbeta med tillsynsmyndigheten på den senares begäran eller på uppgiftsskyddsombudets eget initiativ. |
(g) Att hjälpa till med att besvara begäranden från tillsynsmyndigheten, och, inom uppgiftsskyddsombudets behörighet, att samarbeta med tillsynsmyndigheten på den senares begäran eller på uppgiftsskyddsombudets eget initiativ. |
Ändringsförslag 295 Förslag till förordning Artikel 39 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Medlemsstaterna och kommissionen ska, särskilt på EU-nivå, uppmuntra införandet av certifieringsmekanismer för uppgiftsskydd och förseglingar och märkningar för uppgiftsskydd, och på så sätt göra det möjligt för registrerade att snabbt bedöma nivån på det uppgiftsskydd som tillhandahålls av registeransvariga och registerförare. Certifieringsmekanismerna för uppgiftsskydd ska bidra till att denna förordning genomförs korrekt, med hänsyn till de särskilda egenskaperna hos de olika sektorerna och behandlingarna. |
1. Medlemsstaterna och kommissionen ska samarbeta med registeransvariga, registerförare och andra berörda parter, särskilt på EU-nivå, för att uppmuntra införandet av certifieringsmekanismer för uppgiftsskydd och förseglingar och märkningar för uppgiftsskydd, och på så sätt göra det möjligt för registrerade och medlemsstaternas myndigheter att snabbt bedöma nivån på det uppgiftsskydd som tillhandahålls av registeransvariga och registerförare. Certifieringsmekanismerna för uppgiftsskydd ska bidra till att denna förordning genomförs korrekt, med hänsyn till de särskilda egenskaperna hos de olika sektorerna och behandlingarna. |
Motivering | |
Här uppmuntras och möjliggörs inrättandet av ett system där tillsynsmyndigheterna ackrediterar oberoende bedömningsinstanser för bedömningar av både hela företag och av specifika produkter eller former av teknik. | |
Ändringsförslag 296 Förslag till förordning Artikel 39 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. Certifieringsmekanismerna för uppgiftsskydd ska vara frivilliga, överkomligt prissatta och tillgängliga via ett öppet förfarande som inte är orimligt betungande. Dessa mekanismer ska också vara teknikneutrala och kunna tillämpas globalt samt bidra till att denna förordning genomförs korrekt, med hänsyn till de särskilda egenskaperna hos de olika sektorerna och behandlingarna. |
Motivering | |
Certifieringsmekanismerna bör vara utformade på ett sådant sätt att de är effektiva utan att vara alltför byråkratiska eller betungande. | |
Ändringsförslag 297 Förslag till förordning Artikel 39 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för de certifieringsmekanismer för uppgiftsskydd som avses i punkt 1, inbegripet villkor för beviljande och återkallande, och kraven för erkännande inom unionen och i tredjeländer. |
2. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för de certifieringsmekanismer för uppgiftsskydd som avses i punkt 1, inbegripet villkor för beviljande och återkallande, och kraven för erkännande inom unionen och i tredjeländer, förutsatt att dessa åtgärder är teknikneutrala. |
Ändringsförslag 298 Förslag till förordning Artikel 39 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen får fastställa tekniska standarder för certifieringsmekanismer och förseglingar och märkningar för uppgiftsskydd samt rutiner för att främja och erkänna certifieringsmekanismer och förseglingar och märkningar för uppgiftsskydd. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2. |
utgår |
Ändringsförslag 299 Förslag till förordning Artikel 41 – punkt 2 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
(a) rättsstatsprincipen, befintlig allmän och sektorsspecifik lagstiftning inom områden som allmän säkerhet, försvar, nationell säkerhet och straffrätt, yrkesregler och säkerhetsbestämmelser som ska följas i det tredjeland eller inom den internationella organisation som berörs, huruvida det finns faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom Europeiska unionen och vars personuppgifter överförs, |
(a) rättsstatsprincipen, befintlig allmän och sektorsspecifik lagstiftning inom områden som allmän säkerhet, försvar, nationell säkerhet och straffrätt, jämte genomförandet av denna lagstiftning, yrkesregler och säkerhetsbestämmelser som ska följas i det tredjeland eller inom den internationella organisation som berörs, huruvida det finns faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom Europeiska unionen och vars personuppgifter överförs, |
Ändringsförslag 300 Förslag till förordning Artikel 41 – punkt 4a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
4a. Om övervakningen av någon annan källa ger kommissionen anledning att tro, att ett land eller en internationell organisation som omfattas av ett beslut i enlighet med punkt 3 inte längre tillhandahåller en adekvat skyddsnivå enligt punkt 2 ska den se över detta beslut. |
Ändringsförslag 301 Förslag till förordning Artikel 42 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Om kommissionen inte har fattat något sådant beslut som avses i artikel 41 får en registeransvarig eller registerförare endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder för personuppgifter genom ett juridiskt bindande instrument. |
1. Om kommissionen inte har fattat något sådant beslut som avses i artikel 41, eller om den beslutar att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet i fråga eller en internationell organisation inte garanterar en adekvat skyddsnivå i enlighet med artikel 41.5, får en registeransvarig eller registerförare endast överföra personuppgifter till ett tredjeland eller en internationell organisation som överför uppgifter på internationell basis efter att ha vidtagit lämpliga skyddsåtgärder för personuppgifter genom ett juridiskt bindande instrument och, om så är lämpligt, efter en konsekvensbedömning där den registeransvarige eller registerföraren förvissat sig om att uppgiftsmottagaren i ett tredjeland upprätthåller höga normer för uppgiftsskydd. |
|
|
Dessa skyddsåtgärder ska åtminstone garantera att bestämmelserna om behandling av personuppgifter i artikel 5 följs samt säkerställa att den registrerades rättigheter respekteras i enlighet med kapitel III. |
Ändringsförslag 302 Förslag till förordning Artikel 42 – punkt 2 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) standardiserade uppgiftsskyddsbestämmelser som antas av kommissionen; genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2, |
(b) standardiserade uppgiftsskyddsbestämmelser, mellan den registeransvarige eller registerföraren och mottagaren, som kan vara en underleverantör, för uppgifter utanför Europeiska ekonomiska samarbetsområdet (EES), som kan omfatta standardvillkor för vidare överföring utanför EES, som antas av kommissionen; genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2, |
Motivering | |
Detta är ett viktigt tillägg för att förtydliga förhållandet mellan registeransvariga, registerförare och underleverantörer inom ramen för internationella uppgiftsöverföringar. | |
Ändringsförslag 303 Förslag till förordning Artikel 42 – punkt 2 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
(c) standardiserade uppgiftsskyddsbestämmelser som antagits av en tillsynsmyndighet enligt den mekanism för enhetlighet som avses i artikel 57 förutsatt att denna bestämmelse förklarats allmänt sett giltig enligt artikel 62.1 b, or |
(c) standardiserade uppgiftsskyddsbestämmelser, mellan den registeransvarige eller registerföraren och mottagaren, som kan vara en underleverantör, för uppgifter utanför EES, som kan omfatta standardvillkor för vidare överföring utanför EES, som antagits av en tillsynsmyndighet enligt den mekanism för enhetlighet som avses i artikel 57 förutsatt att denna bestämmelse förklarats allmänt sett giltig enligt artikel 62.1 b, eller |
Motivering | |
Detta är ett viktigt tillägg för att förtydliga förhållandet mellan registeransvariga, registerförare och underleverantörer inom ramen för internationella uppgiftsöverföringar. | |
Ändringsförslag 304 Förslag till förordning Artikel 42 – punkt 2 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
(d) avtalsklausuler mellan den registeransvarige eller registerföraren och mottagaren av uppgifterna, förutsatt att dessa klausuler har godkänts av tillsynsmyndigheten enligt punkt 4. |
(d) avtalsklausuler mellan den registeransvarige eller registerföraren och mottagaren av uppgifterna, förutsatt att dessa klausuler har godkänts av tillsynsmyndigheten enligt punkt 4, eller |
Ändringsförslag 305 Förslag till förordning Artikel 42 – punkt 2 – led da (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(da) avtalsklausuler mellan den registeransvarige eller registerföraren och uppgiftsmottagaren som kompletterar de standardiserade uppgiftsskyddsbestämmelserna i enlighet med leden b och c ovan och som har godkänts av den behöriga tillsynsmyndigheten i enlighet med punkt 4. |
Motivering | |
Detta ändringsförslag skapar incitament för organisationer att gå längre än de grundläggande lagstadgade kraven och tillämpa system som ett ”uppgiftssigill” eller en ”förtroendemärkning”. | |
Ändringsförslag 306 Förslag till förordning Artikel 42 – punkt 2 – led db (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(db) de åtgärder som avses i artikel 83.4, om uppgifterna är avsedda att användas för historiska, statistiska eller vetenskapliga ändamål. |
Ändringsförslag 307 Förslag till förordning Artikel 42 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. En överföring som grundar sig på standardiserade uppgiftsskyddsbestämmelser eller bindande företagsregler enligt punkt 2 a, b eller c ska inte kräva något ytterligare tillstånd. |
3. En överföring som grundar sig på punkt 2 a, b, c eller e ska inte kräva något ytterligare tillstånd. |
Motivering | |
En överföring för forskningsändamål av kodade uppgifter som inte kan och som inte kommer att kunna identifieras av mottagare i tredjeländer bör tillåtas utan ytterligare administrativa förfaranden. | |
Ändringsförslag 308 Förslag till förordning Artikel 42 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Om en överföring grundar sig på avtalsklausuler enligt punkt 2 d ska den registeransvarige eller registerföraren först ansöka om att få dessa klausuler godkända av tillsynsmyndigheten enligt artikel 34.1 a. Om överföringen har samband med behandling av uppgifter om registrerade personer i en eller flera andra medlemsstater eller om den väsentligt påverkar det fria flödet av personuppgifter inom unionen ska tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57. |
4. Den registeransvarige eller registerföraren ska först ansöka om att få dessa klausuler godkända av den behöriga tillsynsmyndigheten enligt artikel 34.1 a för överföringar i enlighet med denna artikel. Om överföringen har samband med behandling av uppgifter som väsentligt påverkar det fria flödet av personuppgifter inom unionen ska den behöriga tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 57. |
Ändringsförslag 309 Förslag till förordning Artikel 42 – punkt 4a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
4a. En registeransvarig eller registerförare kan välja att grunda överföringarna på standardiserade uppgiftsskyddsbestämmelser i enlighet med punkt 2 b och c samt utöver dessa standardiserade bestämmelser ingå rättsligt bindande åtaganden som gäller överförda uppgifter. I sådana fall ska dessa ytterligare åtaganden föregås av ett samråd med den behöriga tillsynsmyndigheten samt direkt eller indirekt komplettera och inte strida mot de standardiserade bestämmelserna. Medlemsstaterna, tillsynsmyndigheterna och kommissionen ska främja användningen av kompletterande och rättsligt bindande åtaganden genom att tillhandahålla ett uppgiftsskyddssigill, en uppgiftsskyddsmärkning eller en uppgiftsskyddsmekanism, som antas i enlighet med artikel 39, till registeransvariga och registerförare som vidtar dessa förstärkta skyddsåtgärder. |
Motivering | |
Registeransvariga och registerförare kommer ofta att ha direkt och praktisk erfarenhet som visar att ytterligare skyddsåtgärder kan vara lämpliga när det gäller de personuppgifter de överför. Förordningen bör uppmuntra dessa registeransvariga och registerförare att tillhandahålla ytterligare skyddsåtgärder när så är lämpligt. Dessa kompletterande skyddsåtgärder får inte strida mot de standardiserade bestämmelserna. | |
Ändringsförslag 310 Förslag till förordning Artikel 42 – punkt 4b (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
4b För att främja användningen av kompletterande avtalsklausuler i enlighet med punkt 2 e i denna artikel kan de behöriga myndigheterna tillhandahålla ett uppgiftsskyddssigill, en uppgiftsskyddsmärkning eller en uppgiftsskyddsmekanism, som antas i enlighet med artikel 39, till registeransvariga och registerförare som vidtar dessa skyddsåtgärder. |
Motivering | |
Ändringsförslag som syftar till att främja användningen av kompletterande uppgiftsskyddssigill eller förtroendemärkning. | |
Ändringsförslag 311 Förslag till förordning Artikel 43 – punkt 1 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. En tillsynsmyndighet ska godkänna bindande företagsbestämmelser enligt den mekanism för enhetlighet som föreskrivs i artikel 58, förutsatt att dessa bestämmelser |
1. Den behöriga tillsynsmyndigheten ska med ett enda godkännandeinstrument godkänna bindande företagsbestämmelser för en företagsgrupp. Dessa bestämmelser kommer att möjliggöra flera internationella överföringar mellan företag till och från Europa, förutsatt att bestämmelserna |
Ändringsförslag 312 Förslag till förordning Artikel 43 – punkt 1 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
(a) är rättsligt bindande, tillämpas på och verkställs av alla delar av den registeransvariges eller registerförarens företagsgrupp och av dess anställda, |
(a) är rättsligt bindande, tillämpas på och verkställs av alla delar av den registeransvariges eller registerförarens företagsgrupp samt av dess externa underleverantörer och dess anställda, |
Motivering | |
Inom ramen för datormolntjänster anlitar tjänsteleverantörerna ofta externa underleverantörer för att utföra en särskild uppgift i syfte att tillhandahålla service och underhåll 24 timmar om dygnet. Därför bör detta av tillsynsmyndigheten erkännas i de bindande företagsbestämmelserna. | |
Ändringsförslag 313 Förslag till förordning Artikel 43 – punkt 1 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) innehåller uttryckliga bestämmelser om de registrerades lagstadgade rättigheter, |
(b) innehåller uttryckliga bestämmelser om de registrerades lagstadgade rättigheter och medger insyn för de registrerade, |
Ändringsförslag 314 Förslag till förordning Artikel 43 – punkt 2 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
(a) struktur och kontaktuppgifter för företagsgruppen och dess beståndsdelar, |
(a) struktur och kontaktuppgifter för företagsgruppen och dess beståndsdelar samt dess externa underleverantörer, |
Ändringsförslag 315 Förslag till förordning Artikel 43 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och kraven för bindande företagsbestämmelser i den mening som avses i denna artikel, särskilt i fråga om kriterierna för godkännande av sådana bestämmelser, tillämpningen av punkt 2 b, d, e och f i fråga om bindande företagsbestämmelser som tillämpas av registerförare, samt om ytterligare krav som gäller skyddet av de registrerades personuppgifter. |
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och kraven för bindande företagsbestämmelser i den mening som avses i denna artikel, särskilt i fråga om kriterierna för godkännande av sådana bestämmelser, inbegripet insyn för de registrerade, tillämpningen av punkt 2 b, d, e och f i fråga om bindande företagsbestämmelser som tillämpas av registerförare, samt om ytterligare krav som gäller skyddet av de registrerades personuppgifter. |
Ändringsförslag 316 Förslag till förordning Artikel 44 – rubriken | |
|
Kommissionens förslag |
Ändringsförslag |
|
Undantag |
Andra berättigade skäl för internationella överföringar |
Ändringsförslag 317 Förslag till förordning Artikel 44 – punkt 1 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 41 eller lämpliga skyddsåtgärder enligt artikel 42 får en överföring eller serier av överföringar av personuppgifter till ett tredjeland eller en internationell organisation bara ske om något av följande villkor är uppfyllt: |
1. Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 41 eller om kommissionen beslutar att ett tredjeland eller ett territorium eller en behandlande sektor inom tredjelandet i fråga eller en internationell organisation inte garanterar en adekvat skyddsnivå i den mening som avses i artikel 41.5, eller om det saknas lämpliga skyddsåtgärder enligt artikel 42 får en överföring eller serier av överföringar av personuppgifter till ett tredjeland eller en internationell organisation bara ske om något av följande villkor är uppfyllt: |
Ändringsförslag 318 Förslag till förordning Artikel 44 – punkt 1 – led h | |
|
Kommissionens förslag |
Ändringsförslag |
|
(h) Överföringen är nödvändig för att tillgodose den registeransvariges eller registerförarens berättigade intressen, där överföringen inte kan anses vara ofta återkommande eller omfattande, och där den registeransvarige eller registerföraren har bedömt alla omständigheter kring en överföring eller en serie av överföringar av uppgifter och utifrån denna bedömning om så krävts vidtagit lämpliga åtgärder för att skydda personuppgifter. |
(h) Överföringen är nödvändig för att tillgodose den registeransvariges eller registerförarens berättigade intressen och den registeransvarige eller registerföraren har bedömt alla omständigheter kring en överföring eller en serie av överföringar av uppgifter och utifrån denna bedömning om så krävts vidtagit lämpliga åtgärder för att skydda personuppgifter. |
Motivering | |
I dagens samhälle, där allt i så hög grad kretsar kring uppgifter, finns det ingen orsak att särbehandla omfattande eller ofta återkommande överföringar, eftersom detta inte skulle motsvara den verklighet som uppgiftsflödena innebär och således strida mot målet om att trygga det fria uppgiftsflödet. | |
Ändringsförslag 319 Förslag till förordning Artikel 44 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Allmänhetens intresse enligt punkt 1 d får bara åberopas om det har stöd i unionslagstiftning eller i den medlemsstats lagstiftning som är tillämplig på den registeransvarige. |
5. Allmänhetens intresse enligt punkt 1 d får bara åberopas om det har stöd i internationella konventioner, i unionslagstiftning eller i den medlemsstats lagstiftning som är tillämplig på den registeransvarige. Detta undantag får åberopas endast tillfälligtvis. I samtliga sådana fall måste alla omständigheter kring överföringen noggrant bedömas. |
Ändringsförslag 320 Förslag till förordning Artikel 44 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Den registeransvarige eller registerföraren ska, som en del av den dokumentation som avses i artikel 28, bevara uppgifter både om den bedömning som gjorts och de lämpliga skyddsåtgärder som vidtagits enligt punkt 1 h, och ska underrätta tillsynsmyndigheten om överföringen. |
utgår |
Ändringsförslag 321 Förslag till förordning Artikel 44 – punkt 7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
7. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att precisera villkoren för vad som bedöms ”gynna viktiga samhälleliga intressen” enligt punkt 1 d liksom kriterierna och kraven för lämpliga åtgärder för att skydda personuppgifter enligt punkt 1 h. |
utgår |
Ändringsförslag 322 Förslag till förordning Artikel 46 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje medlemsstat ska utse en eller flera offentliga myndigheter som ska vara ansvariga för att övervaka tillämpningen av denna förordning och medverka till dess enhetliga tillämpning i hela unionen, i syfte att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av deras personuppgifter samt underlätta det fria flödet av sådana uppgifter inom unionen. För dessa ändamål ska tillsynsmyndigheterna samarbeta såväl inbördes som med kommissionen. |
1. Varje medlemsstat ska utse en ledande offentlig tillsynsmyndighet som ska vara ansvariga för att övervaka tillämpningen av denna förordning och medverka till dess enhetliga tillämpning i hela unionen, i syfte att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av deras personuppgifter samt underlätta det fria flödet av sådana uppgifter inom unionen. För dessa ändamål ska tillsynsmyndigheterna samarbeta såväl inbördes som med kommissionen. |
Motivering | |
Det bör klart och entydigt utses en ledande tillsynsmyndighet för att tillvägagångssättet med en enda kontaktpunkt ska kunna genomföras effektivt. | |
Ändringsförslag 323 Förslag till förordning Artikel 46 – punkt 3a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
3a. Varje tillsynsmyndighet ska ha befogenhet att utfärda sanktioner vid administrativa överträdelser, särskilt enligt artikel 79.4, 79.5 och 79.6. Tillsynsmyndigheterna får utfärda sanktioner endast för registeransvariga eller registerförare med huvudsakligt verksamhetsställe inom samma medlemsstat eller, i samordning med artiklarna 56 och 57, om tillsynsmyndigheten på det huvudsakliga verksamhetsstället inte vidtar några åtgärder. |
Motivering | |
Här klarläggs och understryks tillsynsmyndigheternas roll i fråga om sanktioner. | |
Ändringsförslag 324 Förslag till förordning Artikel 47 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Tillsynsmyndigheten ska vara fullständigt oberoende i utövandet av det uppdrag och de befogenheter som den anförtrotts. |
1. Tillsynsmyndigheten ska vara fullständigt oberoende i utövandet av det uppdrag och de befogenheter som den anförtrotts, trots vad som sägs i arrangemang för samarbete och enhetlighet med anknytning till kapitel VII. |
Motivering | |
Det måste tas vederbörlig hänsyn till tillsynsmyndigheternas skyldigheter mot varandra enligt mekanismen för enhetlighet. | |
Ändringsförslag 325 Förslag till förordning Artikel 48 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje medlemsstat ska fastställa att tillsynsmyndighetens ledamöter ska utses antingen av medlemsstatens parlament eller av dess regering. |
1. Varje medlemsstat ska fastställa att tillsynsmyndighetens ledamöter ska utses av medlemsstatens parlament. |
Ändringsförslag 326 Förslag till förordning Artikel 51 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. När personuppgifter behandlas som en del av verksamheten hos en registeransvarig eller registerförare som är etablerad i unionen, och den registeransvarige eller registerföraren i fråga är etablerad i fler än en medlemsstat, ska den tillsynsmyndighet som är behörig på dess huvudsakliga verksamhetsställe vara behörig att utöva tillsyn över all behandling av personuppgifter som utförs av denne registeransvarige eller registerförare i alla medlemsstater, utan att detta påverkar tillämpningen av kapitel VII i denna förordning. |
2. När denna förordning tillämpas enligt artikel 3.1 ska den behöriga tillsynsmyndigheten vara tillsynsmyndigheten i den medlemsstat eller det territorium där den registeransvarige eller registerföraren som omfattas av förordningen har sitt huvudsakliga verksamhetsställe. Tvister ska lösas i enlighet med mekanismen för enhetlighet som fastställs i artikel 58, utan att detta påverkar tillämpningen av övriga bestämmelser i kapitel VII i denna förordning. |
Ändringsförslag 327 Förslag till förordning Artikel 51 – punkt 2a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2a. När denna förordning tillämpas enligt artikel 3.2 ska den behöriga tillsynsmyndigheten vara tillsynsmyndigheten i den medlemsstat eller det territorium där den registeransvarige har utsett en företrädare i unionen i enlighet med artikel 25. |
Ändringsförslag 328 Förslag till förordning Artikel 51 – punkt 2b (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2b. När denna förordning tillämpas på flera registeransvariga och/eller registerförare inom samma företagsgrupp i enlighet med både artikel 3.1 och 3.2 ska endast en tillsynsmyndighet vara behörig och den kommer att utses i enlighet med artikel 51.2. |
Ändringsförslag 329 Förslag till förordning Artikel 52 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. En tillsynsmyndighet ska på begäran ge råd till registrerade om hur de ska utöva sina rättigheter enligt denna förordning, och ska om så krävs samarbeta med tillsynsmyndigheter i andra medlemsstater för detta ändamål. |
3. Den behöriga tillsynsmyndigheten ska på begäran ge råd till registrerade om hur de ska utöva sina rättigheter enligt denna förordning, och ska om så krävs samarbeta med tillsynsmyndigheter i andra medlemsstater för detta ändamål. |
Ändringsförslag 330 Förslag till förordning Artikel 53 – punkt 1 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje tillsynsmyndighet ska ha befogenhet att |
1. Den behöriga tillsynsmyndigheten ska ha befogenhet att |
Ändringsförslag 331 Förslag till förordning Artikel 53 – punkt 1 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
(d) se till att de förhandstillstånd eller förhandssamråd som avses i artikel 34 efterlevs, |
(d) se till att de förhandssamråd som avses i artikel 34 efterlevs, |
Ändringsförslag 332 Förslag till förordning Artikel 53 – punkt 1 – led ja (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(ja) informera den registeransvarige och/eller registerföraren om vilka rättsmedel som finns att tillgå mot dess beslut. |
Motivering | |
Föreskrifterna om vilka befogenheter tillsynsmyndigheterna har gentemot den registeransvarige och/eller registerföraren bör kompletteras med uttryckliga rättssäkerhetsgarantier för registeransvariga och/eller registerförare. | |
Ändringsförslag 333 Förslag till förordning Artikel 53 – punkt 2 – stycke 1 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Varje tillsynsmyndighet ska ha de undersökningsbefogenheter som behövs för att kräva följande av den registeransvarige eller registerföraren: |
2. Den behöriga tillsynsmyndigheten ska ha de undersökningsbefogenheter som behövs för att kräva följande av den registeransvarige eller registerföraren: |
Ändringsförslag 334 Förslag till förordning Artikel 53 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Varje tillsynsmyndighet ska ha befogenhet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och att väcka talan vid domstol, särskilt enligt artiklarna 74.4 och 75.2. |
3. Den behöriga tillsynsmyndigheten ska ha befogenhet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och att väcka talan vid domstol, särskilt enligt artiklarna 74.4 och 75.2. |
Ändringsförslag 335 Förslag till förordning Artikel 53 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Varje tillsynsmyndighet ska också ha befogenhet att utfärda sanktioner vid administrativa överträdelser, särskilt enligt artikel 79.4, 79.5 och 79.6. |
4. Den behöriga tillsynsmyndigheten ska också ha befogenhet att utfärda sanktioner vid administrativa överträdelser, särskilt enligt artikel 79.4, 79.5 och 79.6. |
Ändringsförslag 336 Förslag till förordning Artikel 55 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning enhetligt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Som en del av det ömsesidiga biståndet ska tillsynsmyndigheterna bland annat kunna begära information från varandra och bistå varandra i tillsynsarbetet, till exempel genom att uppmana varandra att utfärda förhandstillstånd eller bedriva förhandssamråd, utföra inspektioner och komma med snabb information i samband med att ärenden inleds och fortskrider i fall där registrerade personer i flera medlemsstater kan komma att påverkas av att uppgifter behandlas. |
1. Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning enhetligt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Som en del av det ömsesidiga biståndet ska tillsynsmyndigheterna bland annat kunna begära information från varandra och bistå varandra i tillsynsarbetet, till exempel genom att uppmana varandra att bedriva förhandssamråd, utföra inspektioner och komma med snabb information i samband med att ärenden inleds och fortskrider i fall där registrerade personer i flera medlemsstater kan komma att få negativa rättsliga följder för de registrerade. |
Ändringsförslag 337 Förslag till förordning Artikel 55 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Varje tillsynsmyndighet ska vidta lämpliga åtgärder för att besvara en begäran från en annan tillsynsmyndighet; detta bör ske så snart som möjligt och inte senare än en månad efter det att den tagit emot begäran. Till sådana åtgärder hör bland annat att översända relevant information om utvecklingen av pågående undersökningar eller verkställighetsåtgärder som syftar till att avbryta eller förbjuda uppgiftsbehandling som står i strid med denna förordning. |
2. Varje tillsynsmyndighet ska vidta lämpliga åtgärder för att besvara en begäran från en annan tillsynsmyndighet; detta bör ske så snart som möjligt och inte senare än en månad efter det att den tagit emot begäran. Till sådana åtgärder hör bland annat att översända relevant information om utvecklingen av pågående undersökningar eller verkställighetsåtgärder som syftar till att avbryta eller förbjuda uppgiftsbehandling som har påvisats stå i strid med denna förordning. |
Ändringsförslag 338 Förslag till förordning Artikel 56 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Tillsynsmyndigheterna ska själva reglera de praktiska aspekterna av enskilda åtgärder som genomförs gemensamt. |
4. Tillsynsmyndigheterna ska i sina arbetsordningar själva reglera de praktiska aspekterna av enskilda åtgärder som genomförs gemensamt. Arbetsordningarna ska offentliggöras i Europeiska unionens officiella tidning. |
Ändringsförslag 339 Förslag till förordning Artikel 58 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Innan en tillsynsmyndighet vidtar en åtgärd enligt punkt 2 ska den skicka ett utkast till den planerade åtgärden till Europeiska dataskyddsstyrelsen och till kommissionen. |
1. Innan den behöriga tillsynsmyndigheten vidtar en åtgärd enligt punkt 2 ska den skicka ett utkast till den planerade åtgärden till Europeiska dataskyddsstyrelsen och till kommissionen. |
Ändringsförslag 340 Förslag till förordning Artikel 58 – punkt 2 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
(a) gäller behandling av uppgifter i samband med tillhandahållande av varor eller tjänster till registrerade i flera medlemsstater eller till kartläggning av dessa registrerade personers beteende, |
(a) gäller behandling av personuppgifter i samband med tillhandahållande av varor eller tjänster till registrerade i flera medlemsstater där den registeransvarige eller registerföraren från ett land utanför EES inte utser en företrädare inom EES, |
Motivering | |
Detta bör uppmuntra företag från länder utanför EU att utse en företrädare inom unionen. Företag som kommer från tredjeländer och är etablerade i unionen bör inte diskrimineras. | |
Ändringsförslag 341 Förslag till förordning Artikel 58 – punkt 2 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) som väsentligt kan påverka det fria flödet av personuppgifter inom unionen, |
utgår |
Ändringsförslag 342 Förslag till förordning Artikel 58 – punkt 2 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
(c) som syftar till att anta en förteckning över sådan behandling som omfattas av förhandssamråd enligt artikel 34.5, |
utgår |
Motivering | |
Se ändringsförslagen till artikel 34 om förhandssamråd. Kravet på att utarbeta förteckningar och överlämna dem till mekanismen för enhetlighet är alltför byråkratiskt och motverkar innovation. | |
Ändringsförslag 343 Förslag till förordning Artikel 58 – punkt 2 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
(d) syftar till att fastställa standardiserade uppgiftsskyddsbestämmelser enligt artikel 42.2 c, |
utgår |
Ändringsförslag 344 Förslag till förordning Artikel 58 – punkt 2 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
(e) syftar till att godkänna avtalsklausuler enligt artikel 42.2 d, eller |
utgår |
Ändringsförslag 345 Förslag till förordning Artikel 58 – punkt 2 – led f | |
|
Kommissionens förslag |
Ändringsförslag |
|
(f) syftar till att godkänna bindande företagsbestämmelser enligt artikel 43. |
utgår |
Motivering | |
Dataskyddsmyndigheter ska enligt förordningens direkta effekt vara behöriga att utarbeta bindande företagsbestämmelser utan att behöva lämna in dem till mekanismen för enhetlighet. | |
Ändringsförslag 346 Förslag till förordning Artikel 58 – punkt 2 – led fa (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(fa) som tillåter behandling för forskningsändamål i enlighet med artikel 81.3 och/eller artikel 83.3. |
Ändringsförslag 347 Förslag till förordning Artikel 58 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Varje tillsynsmyndighet kan liksom Europeiska dataskyddsstyrelsen begära att en fråga ska tas upp inom mekanismen för enhetlighet, särskilt i fall där en tillsynsmyndighet inte har skickat ett utkast till en planerad åtgärd enligt punkt 2 eller inte har uppfyllt villkoren för ömsesidigt bistånd enligt artikel 55 eller för gemensamma insatser enligt artikel 56. |
3. Varje tillsynsmyndighet kan liksom Europeiska dataskyddsstyrelsen begära att en fråga ska tas upp inom mekanismen för enhetlighet, särskilt i fall där den behöriga myndigheten inte har skickat ett utkast till en planerad åtgärd enligt punkt 2 eller inte har uppfyllt villkoren för ömsesidigt bistånd enligt artikel 55 eller för gemensamma insatser enligt artikel 56. |
Ändringsförslag 348 Förslag till förordning Artikel 58 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. För att garantera en korrekt och enhetlig tillämpning av denna förordning ska kommissionen ha befogenhet att begära att vilken fråga som helst ska tas upp inom mekanismen för enhetlighet. |
4. För att garantera en korrekt och enhetlig tillämpning av denna förordning ska kommissionen, för egen räkning eller på begäran av en berörd part, ha befogenhet att begära att vilken fråga som helst ska tas upp inom mekanismen för enhetlighet. |
Motivering | |
Om det förekommer inkonsekvenser när det gäller införlivandet av förordningen som hotar en harmoniserad tillämpning och påverkar enskilda berörda parter, bör de berörda parterna ha rätt att ta upp detta inom mekanismen för enhetlighet. | |
Ändringsförslag 349 Förslag till förordning Artikel 58 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Europeiska dataskyddsstyrelsens ordförande ska i ett standardiserat elektroniskt format omedelbart upplysa dess ledamöter samt kommissionen om all relevant information som meddelats styrelsen. Där så krävs ska Europeiska dataskyddsstyrelsens ordförande se till att relevant information översätts. |
6. Europeiska dataskyddsstyrelsens ordförande ska i ett standardiserat elektroniskt format utan onödigt dröjsmål upplysa dess ledamöter samt kommissionen om all relevant information som meddelats styrelsen. Där så krävs ska Europeiska dataskyddsstyrelsens ordförande se till att relevant information översätts. |
Ändringsförslag 350 Förslag till förordning Artikel 58 – punkt 8 | |
|
Kommissionens förslag |
Ändringsförslag |
|
8. Den tillsynsmyndighet som avses i punkt 1 och den tillsynsmyndighet som är behörig enligt artikel 51 ska ta hänsyn till Europeiska dataskyddsstyrelsen yttrande och ska – inom två veckor efter det att Europeiska dataskyddsstyrelsens ordförande har underrättat dem om yttrandet – i ett standardiserat elektroniskt format meddela Europeiska dataskyddsstyrelsens ordförande och kommissionen om huruvida den avser att hålla fast vid eller ändra sitt utkast till åtgärd, och i förekommande fall bifoga en text till den ändrade åtgärden. |
8. Den behöriga tillsynsmyndighet som avses i punkt 1 ska ta hänsyn till Europeiska dataskyddsstyrelsen yttrande och ska – inom två veckor efter det att Europeiska dataskyddsstyrelsens ordförande har underrättat dem om yttrandet – i ett standardiserat elektroniskt format meddela Europeiska dataskyddsstyrelsens ordförande och kommissionen om huruvida den avser att hålla fast vid eller ändra sitt utkast till åtgärd, och i förekommande fall bifoga en text till den ändrade åtgärden. |
Ändringsförslag 351 Förslag till förordning Artikel 61 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Under exceptionella omständigheter får en tillsynsmyndighet med avsteg från förfarandet i artikel 58 omedelbart vidta provisoriska åtgärder med förutbestämd varaktighet om den anser att det finns ett brådskande behov av att agera för att skydda registrerades intressen, särskilt om möjligheten att förverkliga den registrerades rättigheter allvarligt kan undergrävas av att situationen förändras, om så krävs för att förebygga allvarliga nackdelar eller av andra orsaker. Tillsynsmyndigheten ska utan dröjsmål underrätta Europeiska dataskyddsstyrelsen och kommissionen om dessa åtgärder, och ge en uttömmande motivering. |
1. Under exceptionella omständigheter får en tillsynsmyndighet med avsteg från förfarandet i artikel 58 omedelbart vidta provisoriska åtgärder med förutbestämd varaktighet om den anser att det finns ett brådskande behov av att agera för att skydda registrerades intressen, om möjligheten att förverkliga den registrerades rättigheter allvarligt kan undergrävas av att situationen förändras, om så krävs för att förebygga allvarliga nackdelar. Den ifrågavarande tillsynsmyndigheten ska utan dröjsmål underrätta den behöriga tillsynsmyndigheten, Europeiska dataskyddsstyrelsen, kommissionen och den registeransvarige eller registerföraren om dessa åtgärder, och ge en uttömmande motivering. |
Ändringsförslag 352 Förslag till förordning Artikel 61 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Om en tillsynsmyndighet har vidtagit en åtgärd enligt punkt 1 och anser att en definitiv åtgärd snabbt måste antas kan den begära ett brådskande yttrande från Europeiska dataskyddsstyrelsen; den ska då motivera varför den begär ett sådant yttrande och varför den bedömer att den definitiva åtgärden måste antas snabbt. |
2. Om en tillsynsmyndighet har vidtagit en åtgärd enligt punkt 1 ska den begära ett brådskande yttrande från Europeiska dataskyddsstyrelsen; den ska då motivera begäran och varför den bedömer att den definitiva åtgärden måste antas snabbt. |
Ändringsförslag 353 Förslag till förordning Artikel 62 – punkt 1 – stycke 1 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
(a) fatta beslut med avseende på den korrekta tillämpningen av denna förordning i linje med dess mål och krav; detta kan gälla frågor som tas upp av tillsynsmyndigheterna enligt artikel 58 eller 61, frågor som varit föremål för ett motiverat beslut enligt artikel 60.1 eller frågor där en tillsynsmyndighet inte har lagt fram något utkast till åtgärd och där samma myndighet har meddelat att den inte har för avsikt att följa det yttrande som kommissionen antagit enligt artikel 59, |
utgår |
Ändringsförslag 354 Förslag till förordning Artikel 66 – punkt 1 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Europeiska dataskyddsstyrelsen ska se till att denna förordning tillämpas enhetligt. För detta ändamål ska Europeiska dataskyddsstyrelsen i synnerhet, på eget initiativ eller på begäran av kommissionen, |
1. Europeiska dataskyddsstyrelsen ska se till att denna förordning tillämpas enhetligt. För detta ändamål ska Europeiska dataskyddsstyrelsen i synnerhet, på eget initiativ, på begäran av kommissionen eller av andra berörda parter, |
Ändringsförslag 355 Förslag till förordning Artikel 66 – punkt 1 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
(a) ge kommissionen råd i alla frågor som gäller skydd av personuppgifter inom unionen, och den ska också yttra sig om eventuella förslag till ändring av denna förordning, |
(a) ge EU:s institutioner råd i alla frågor som gäller skydd av personuppgifter inom unionen, och den ska också yttra sig om eventuella förslag till ändring av denna förordning, |
Ändringsförslag 356 Förslag till förordning Artikel 66 – punkt 1 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) på eget initiativ eller på begäran av en av sina ledamöter eller av kommissionen undersöka frågor som omfattas av denna förordning och sprida riktlinjer, rekommendationer och exempel på god praxis till tillsynsmyndigheterna i syfte att främja en enhetlig tillämpning av denna förordning, |
(b) på eget initiativ eller på begäran av en av sina ledamöter, av kommissionen eller av andra berörda parter undersöka frågor som omfattas av denna förordning och sprida riktlinjer, rekommendationer och exempel på god praxis till tillsynsmyndigheterna i syfte att främja en enhetlig tillämpning av denna förordning, |
Ändringsförslag 357 Förslag till förordning Artikel 66 – punkt 4a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
4a. I lämpliga fall ska Europeiska dataskyddsstyrelsen vid utförandet av sina uppgifter enligt denna artikel samråda med berörda parter och ge dem möjlighet att inkomma med synpunkter inom en rimlig tidsperiod. Europeiska dataskyddsstyrelsen ska, utan att detta påverkar tillämpningen av artikel 72, offentliggöra resultatet från samrådsförfarandet. |
Motivering | |
Innan styrelsen antar yttranden och rapporter bör den samråda med berörda parter och ge dem möjlighet att inkomma med synpunkter inom en rimlig tidsperiod på samma sätt som för andra rättsliga områden. | |
Ändringsförslag 358 Förslag till förordning Artikel 68 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Europeiska dataskyddsstyrelsen ska själv anta sin arbetsordning och fastställa sina arbetsformer. Den ska särskilt slå vakt om kontinuiteten i sin verksamhet när en ledamots mandatperiod löper ut eller en ledamot avgår, inrätta undergrupper för särskilda frågor eller sektorer och fastställa sina rutiner när det gäller den mekanism för enhetlighet som avses i artikel 57. |
2. Europeiska dataskyddsstyrelsen ska själv anta sin arbetsordning och fastställa sina arbetsformer. Den ska särskilt slå vakt om kontinuiteten i sin verksamhet när en ledamots mandatperiod löper ut eller en ledamot avgår, inrätta undergrupper för särskilda frågor eller sektorer och fastställa sina rutiner när det gäller den mekanism för enhetlighet som avses i artikel 57, tillsammans med rättssäkerhetsgarantier för de berörda registeransvariga eller registerförarna. |
Motivering | |
Det saknas uttryckliga rättssäkerhetsgarantier för de berörda registeransvariga eller registerförarna. | |
Ändringsförslag 359 Förslag till förordning Artikel 69 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Ordförandens och de vice ordförandenas mandatperioder ska vara fem år och kunna förnyas. |
2. Ordförandens och de vice ordförandenas mandatperioder ska vara fem år och kunna förnyas. De kan upphävas genom ett beslut av Europaparlamentet som fattats med två tredjedels majoritet bland de avgivna rösterna som ska representera majoriteten av parlamentets ledamöter. |
Ändringsförslag 360 Förslag till förordning Artikel 73 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Varje organisation eller sammanslutning som har till uppgift att skydda registrerades rättigheter och intressen när det gäller skyddet av deras personuppgifter och som har inrättats på vederbörligt sätt i enlighet med lagen i en medlemsstat, ska ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat för en eller flera registrerades räkning, om den anser att de rättigheter som tillkommer en registrerad enligt denna förordning har åsidosatts som en följd av behandling av vederbörandes personuppgifter. |
2. Varje organisation eller sammanslutning som har till uppgift att skydda registrerades rättigheter och intressen när det gäller skyddet av deras personuppgifter och som har inrättats på vederbörligt sätt i enlighet med lagen i en medlemsstat, ska ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat för en eller flera registrerades räkning bland sina medlemmar, om den anser att de rättigheter som tillkommer en registrerad enligt denna förordning har åsidosatts som en följd av behandling av vederbörandes personuppgifter och den har ekonomiska tillgångar på minst 80 000 euro samt ett representativt medlemsunderlag med motsvarande struktur. |
Motivering | |
Ekonomiska minimitillgångar och ett representativt medlemsunderlag är nödvändigt för att garantera att överklagandeinstrumentet för organisationer inte missbrukas och rena klagomålsföreningar inte bildas, samt för att säkerställa en minimitäckning av advokat- och domstolskostnader. | |
Ändringsförslag 361 Förslag till förordning Artikel 75 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Talan mot en registeransvarig eller en registerförare ska väckas vid domstolarna i den medlemsstat där den registeransvarige eller registerföraren är etablerad. Alternativt får sådan talan väckas vid domstolarna i den medlemsstat där den registrerade har hemvist, såvida inte registerföraren är en offentlig myndighet som agerar inom ramen för sin myndighetsutövning. |
2. Talan mot en registeransvarig eller en registerförare ska väckas vid domstolarna i den medlemsstat där den registeransvarige eller registerföraren är etablerad. Alternativt får sådan talan väckas vid domstolarna i den medlemsstat där den registrerade har hemvist, såvida inte registerföraren är en offentlig myndighet som agerar inom ramen för sin myndighetsutövning. Undantaget i andra meningen ska inte gälla för en offentlig myndighet i tredjeland. |
Ändringsförslag 362 Förslag till förordning Artikel 76 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje organisation eller sammanslutning som avses i artikel 73.2 ska vara berättigad att utöva de rättigheter som avses i artiklarna 74 och 75 för en eller flera registrerades räkning. |
1. Varje organisation eller sammanslutning som avses i artikel 73.2 ska vara berättigad att utöva de rättigheter som avses i artikel 74 för en eller flera registrerades räkning. Anspråk i enlighet med artikel 77 får inte göras av organ, organisationer eller sammanslutningar i den mening som avses i artikel 73.2. |
Ändringsförslag 363 Förslag till förordning Artikel 77 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje person eller medlemsstat som har lidit skada till följd av en otillåten behandling av uppgifter eller av något annat handlande som är oförenligt med denna förordning ska ha rätt till ersättning av den registeransvarige eller den registerförfarare som bär ansvaret för den uppkomna skadan. |
1. Varje person eller medlemsstat som har lidit skada till följd av en otillåten behandling av uppgifter eller av något annat handlande som är oförenligt med denna förordning ska ha rätt till ersättning av den registeransvarige som bär ansvaret för den uppkomna skadan. |
Ändringsförslag 364 Förslag till förordning Artikel 77 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Om fler än en registeransvarig eller registerförare har medverkat vid behandlingen av uppgifter, ska var och en av dem ansvara solidariskt för hela den uppkomna skadan. |
2. Om fler än en registeransvarig har medverkat vid behandlingen av uppgifter, ska var och en av dem ansvara solidariskt för hela den uppkomna skadan i den mån som de gemensamma registeransvariga inte har fastställt sitt ansvar i det rättsliga arrangemang som avses i artikel 24. När det gäller företagsgrupper ska hela gruppen vara ansvarig som en ekonomisk enhet. |
Ändringsförslag 365 Förslag till förordning Artikel 77 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Den registeransvarige eller registerföraren kan helt eller delvis undgå detta ansvar om vederbörande bevisar att han inte är ansvarig för den händelse som orsakade skadan. |
3. Den registeransvarige kan helt eller delvis undgå detta ansvar om vederbörande bevisar att han inte är ansvarig för den händelse som orsakade skadan. |
Ändringsförslag 366 Förslag till förordning Artikel 79 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje tillsynsmyndighet ska ha befogenhet att ålägga administrativa sanktioner i enlighet med denna artikel. |
1. Den behöriga tillsynsmyndigheten ska ha befogenhet att ålägga administrativa sanktioner i enlighet med denna artikel. |
Ändringsförslag 367 Förslag till förordning Artikel 79 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den administrativa sanktionen ska i varje enskilt fall vara effektiv, proportionell och avskräckande. De administrativa böterna ska fastställas med vederbörlig hänsyn till överträdelsens natur, svårhetsgrad och varaktighet, om överträdelsen skett med uppsåt eller genom oaktsamhet, graden av ansvar hos den berörda fysiska eller juridiska personen och eventuella tidigare överträdelser av samma person, de tekniska och organisatoriska åtgärder och förfaranden som genomförts i enlighet med artikel 23 och graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen. |
2. Den administrativa sanktionen ska i varje enskilt fall vara effektiv, proportionell och avskräckande. De administrativa böterna ska fastställas med vederbörlig hänsyn till överträdelsens natur, svårhetsgrad och varaktighet, hur känsliga uppgifterna är, om överträdelsen skett med uppsåt eller genom oaktsamhet, graden av skada på grund av överträdelsen, graden av ansvar hos den berörda fysiska eller juridiska personen och eventuella tidigare överträdelser av samma person, de tekniska och organisatoriska åtgärder och förfaranden som genomförts i enlighet med artikel 23 och graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen. Även om det ges viss frihet för föreläggande av sådana sanktioner för att beakta de ovannämnda omständigheterna och andra omständigheter som är specifika för situationen kan avvikelser från tillämpningen av de administrativa sanktionerna granskas i enlighet med mekanismen för enhetlighet. I tillämpliga fall ska dataskyddsmyndigheten kunna kräva att ett uppgiftsskyddsombud utnämns, om organet, organisationen eller sammanslutningen har valt att inte göra det. |
Ändringsförslag 368 Förslag till förordning Artikel 79 – punkt 2a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2a. Försvårande omständigheter som motiverar administrativa böter i den högre änden av skalan enligt punkterna 4 till 6 ska i synnerhet omfatta följande: |
|
|
(i) Upprepade överträdelser genom grovt åsidosättande av gällande lag. |
|
|
(ii) Samarbetsvägran eller hindrande av verkställighetsförfarande. |
|
|
(iii) Överträdelser som är uppsåtliga, allvarliga och sannolikt vållar väsentlig skada. |
|
|
(iv) Ingen konsekvensbedömning av uppgiftsskyddet har genomförts. |
|
|
(v) Inget uppgiftsskyddsombud har utnämnts. |
Ändringsförslag 369 Förslag till förordning Artikel 79 – punkt 2b (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2b. Förmildrande omständigheter som motiverar administrativa böter i den lägre änden av skalan enligt punkterna 4 till 6 ska omfatta följande: |
|
|
(i) Åtgärder har vidtagits av den fysiska eller juridiska personen i syfte att fullgöra relevanta skyldigheter. |
|
|
(ii) Verklig osäkerhet råder kring huruvida handlingen utgjorde en överträdelse av de relevanta skyldigheterna. |
|
|
(iii) Överträdelsen upphörde omedelbart efter det att den blivit känd. |
|
|
(iv) Samarbete med eventuellt verkställighetsförfarande. |
|
|
(v) En konsekvensbedömning av uppgiftsskydd har genomförts. |
|
|
(vi) Ett uppgiftsskyddsombud har utnämnts. |
Ändringsförslag 370 Förslag till förordning Artikel 79 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Vid en första oavsiktlig underlåtenhet att följa denna förordning ska det vara möjligt att utfärda en skriftlig varning utan påföljd, om det rör sig om |
3. Tillsynsmyndigheten får utfärda en skriftlig varning utan påföljd. Tillsynsmyndigheten får, vid upprepade och uppsåtliga överträdelser, utfärda böter på upp till 1 000 000 euro eller, om det rör sig om ett företag, på upp till 1 procent av dess årliga globala omsättning. |
|
(a) en fysisk person som har behandlat personuppgifter utan vinstintresse, eller |
|
|
(b) ett företag eller en organisation med högst 250 anställda som behandlar personuppgifter endast som en sidoverksamhet till huvudverksamheten. |
|
Motivering | |
Det maximala bötesbelopp som en tillsynsmyndighet får utfärda, nämligen upp till en miljon euro och för företag upp till 1 procent av deras årliga globala omsättning, måste få finnas kvar. Tillsynsmyndigheterna måste dock få ha kvar det oberoende som de tillförsäkras genom artikel 8.3 i Europeiska unionens stadga om de grundläggande rättigheterna. Mekanismen för enhetlighet, och framför allt artikel 58.3 och 58.4, kan vidare bidra till en harmoniserad politik i EU för administrativa påföljder. | |
Ändringsförslag 371 Förslag till förordning Artikel 79 – punkt 4 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Tillsynsmyndigheten ska utfärda böter på upp till 250.000 euro eller, om det är fråga om ett företag, på upp till 0,5 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet |
utgår |
Ändringsförslag 372 Förslag till förordning Artikel 79 – punkt 4 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
(a) underlåter att tillhandahålla nödvändiga mekanismer för att underlätta framställningar från registrerade eller att besvara framställningar från registrerade tillräckligt snabbt eller i rätt form enligt artikel 12.1–2, |
utgår |
Ändringsförslag 373 Förslag till förordning Artikel 79 – punkt 4 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) tar ut en avgift för att lämna information till eller besvara framställningar från registrerade i strid med artikel 12.4. |
utgår |
Ändringsförslag 374 Förslag till förordning Artikel 79 – punkt 5 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Tillsynsmyndigheten ska utfärda böter på upp till 500 000 euro eller, om det är fråga om ett företag, på upp till 1 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet |
utgår |
Ändringsförslag 375 Förslag till förordning Artikel 79 – punkt 5 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
(a) underlåter att tillhandahålla information, tillhandahåller ofullständig information eller försummar att tillhandahålla information på ett tillräckligt öppet sätt i enlighet med artiklarna 11, 12.3 och 14, |
utgår |
Ändringsförslag 376 Förslag till förordning Artikel 79 – punkt 5 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) underlåter att ge den registrerade tillgång till uppgifter eller att rätta personuppgifter i enlighet med artiklarna 15 och 16, eller underlåter att meddela relevant information till en mottagare i enlighet med artikel 13, |
utgår |
Ändringsförslag 377 Förslag till förordning Artikel 79 – punkt 5 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
(c) underlåter att respektera rätten att bli bortglömd eller att få uppgifter raderade, eller försummar att införa rutiner för att säkerställa att tidsfrister iakttas, eller underlåter att vidta alla nödvändiga åtgärder för att underrätta tredje man om att en registrerad ansökt om radering av länkar till personuppgifter eller av kopior eller reproduktioner av sådana uppgifter i enlighet med artikel 17, |
utgår |
Ändringsförslag 378 Förslag till förordning Artikel 79 – punkt 5 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
(d) underlåter att tillhandahålla en kopia av personuppgifterna i elektroniskt format eller hindrar den registrerade från att översända personuppgifterna till en annan applikation, i strid med artikel 18, |
utgår |
Ändringsförslag 379 Förslag till förordning Artikel 79 – punkt 5 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
(e) helt eller delvis underlåter att fastställa respektive ansvarsområden tillsammans med registermedansvariga i enlighet med artikel 24, |
utgår |
Ändringsförslag 380 Förslag till förordning Artikel 79 – punkt 5 – led f | |
|
Kommissionens förslag |
Ändringsförslag |
|
(f) helt eller delvis underlåter att bevara dokumentation i enlighet med artiklarna 28, 31.4 och 44.3, |
utgår |
Ändringsförslag 381 Förslag till förordning Artikel 79 – punkt 5 – led g | |
|
Kommissionens förslag |
Ändringsförslag |
|
(g) i sådana fall där det inte är fråga om särskilda kategorier av uppgifter underlåter att i enlighet med artiklarna 80, 82 och 83 följa bestämmelser om yttrandefrihet, bestämmelser om uppgiftsbehandling i anställningsförhållanden eller villkoren för att behandla uppgifter för historiska, statistiska och vetenskapliga forskningsändamål. |
utgår |
Ändringsförslag 382 Förslag till förordning Artikel 79 – punkt 6 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Tillsynsmyndigheten ska utfärda böter på upp till 1 000 000 euro eller, om det är fråga om ett företag, på upp till 2 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet |
utgår |
Ändringsförslag 383 Förslag till förordning Artikel 79 – punkt 6 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
(a) behandlar personuppgifter utan tillräcklig rättslig grund för ändamålet eller underlåter att följa villkoren för samtycke enligt artiklarna 6, 7 och 8, |
utgår |
Ändringsförslag 384 Förslag till förordning Artikel 79 – punkt 6 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
(b) behandlar särskilda kategorier av uppgifter i strid med artiklarna 9 och 81, |
utgår |
Ändringsförslag 385 Förslag till förordning Artikel 79 – punkt 6 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
(c) underlåter att hörsamma en invändning eller att uppfylla kravet i artikel 19, |
utgår |
Ändringsförslag 386 Förslag till förordning Artikel 79 – punkt 6 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
(d) underlåter att uppfylla villkoren vid åtgärder på grundval av profilering i enlighet med artikel 20, |
utgår |
Ändringsförslag 387 Förslag till förordning Artikel 79 – punkt 6 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
(e) underlåter att anta interna strategier eller att genomföra lämplig åtgärder för att garantera och visa överensstämmelse i enlighet med artiklarna 22, 23 och 30, |
utgår |
Ändringsförslag 388 Förslag till förordning Artikel 79 – punkt 6 – led f | |
|
Kommissionens förslag |
Ändringsförslag |
|
(f) underlåter att utse en företrädare i enlighet med artikel 25, |
utgår |
Ändringsförslag 389 Förslag till förordning Artikel 79 – punkt 6 – led g | |
|
Kommissionens förslag |
Ändringsförslag |
|
(g) behandlar eller ger instruktioner för behandlingen av personuppgifter på ett sätt som strider mot skyldigheterna i samband med behandling för en registeransvarigs räkning i enlighet med artiklarna 26 och 27, |
utgår |
Ändringsförslag 390 Förslag till förordning Artikel 79 – punkt 6 – led h | |
|
Kommissionens förslag |
Ändringsförslag |
|
(h) underlåter att signalera eller meddela ett personuppgiftsbrott eller att i tid och utan inskränkningar anmäla personuppgiftsbrottet till tillsynsmyndigheten eller meddela den registrerade i enlighet med artiklarna 31 och 32, |
utgår |
Ändringsförslag 391 Förslag till förordning Artikel 79 – punkt 6 – led i | |
|
Kommissionens förslag |
Ändringsförslag |
|
(i) underlåter att utföra en konsekvensbedömning avseende uppgiftsskydd eller behandlar personuppgifter utan att först ha erhållit tillstånd från eller ha samrått med tillsynsmyndigheten i enlighet med artiklarna 33 och 34, |
utgår |
Ändringsförslag 392 Förslag till förordning Artikel 79 – punkt 6 – led j | |
|
Kommissionens förslag |
Ändringsförslag |
|
(j) underlåter att utse ett uppgiftsskyddsombud eller att skapa de förutsättningar som krävs för att utföra arbetsuppgifterna enligt artiklarna 35, 36 och 37, |
utgår |
Ändringsförslag 393 Förslag till förordning Artikel 79 – punkt 6 – led k | |
|
Kommissionens förslag |
Ändringsförslag |
|
(k) missbrukar en uppgiftsskyddsförsegling eller en uppgiftsskyddsmärkning i den mening som avses i artikel 39, |
utgår |
Ändringsförslag 394 Förslag till förordning Artikel 79 – punkt 6 – led l | |
|
Kommissionens förslag |
Ändringsförslag |
|
(l) verkställer eller ger instruktioner om en överföring av uppgifter till ett tredjeland eller en internationell organisation som inte är tillåten på grundval av ett beslut om adekvat skyddsnivå, lämpliga skyddsåtgärder eller ett undantag i enlighet med artiklarna 40‑44, |
utgår |
Ändringsförslag 395 Förslag till förordning Artikel 79 – punkt 6 – led m | |
|
Kommissionens förslag |
Ändringsförslag |
|
(m) underlåter att hörsamma en order, ett tillfälligt eller permanent förbud mot behandling av uppgifter eller ett beslut om att avbryta av uppgiftsflödena som meddelats av tillsynsmyndigheten i enlighet med artikel 53.1, |
utgår |
Ändringsförslag 396 Förslag till förordning Artikel 79 – punkt 6 – led n | |
|
Kommissionens förslag |
Ändringsförslag |
|
(n) underlåter att uppfylla skyldigheten att bistå tillsynsmyndigheten eller lämna tillsynsmyndigheten svar, relevant information eller tillträde till lokaler i enlighet med artiklarna 28.3, 29, 34.6 och 53.2, |
utgår |
Ändringsförslag 397 Förslag till förordning Artikel 79 – punkt 6 – led o | |
|
Kommissionens förslag |
Ändringsförslag |
|
(o) underlåter att följa bestämmelserna om säkerställande av tystnadsplikt i artikel 84. |
utgår |
Ändringsförslag 398 Förslag till förordning Artikel 79 – punkt 7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
7. Kommissionen ska ha befogenhet att anta delegerade akter i enlighet med artikel 86 i syfte att uppdatera de administrativa bötesbelopp som avses i punkterna 4, 5 och 6, med hänsyn till kriterierna i punkt 2. |
utgår |
Ändringsförslag 399 Förslag till förordning Artikel 80 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Medlemsstaterna ska med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande besluta om undantag och avvikelser från bestämmelserna om allmänna principer i kapitel II, om den registrerades rättigheter i kapitel III, om registeransvariga och registerförare i kapitel IV, om överföring av personuppgifter till tredjeländer och internationella organisationer i kapitel V, om oberoende tillsynsmyndigheter i kapitel VI och om samarbete och enhetlighet i kapitel VII endast om sådana undantag eller avvikelser är nödvändiga för att förena rätten till integritet med reglerna om yttrandefrihet. |
1. Kapitel II (Principer), kapitel III (Den registrerades rättigheter), kapitel IV (Registeransvarig och registerförare), kapitel V (Överföring av personuppgifter till tredjeländer och internationella organisationer), kapitel VI (Oberoende tillsynsmyndigheter), kapitel VII (Samarbete och enhetlighet) samt artiklarna 73, 74, 76 och 79 i kapitel VIII (Rättsmedel, ansvar, påföljder och administrativa sanktioner) ska inte tillämpas på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande, för att rätten till integritet ska kunna förenas med reglerna om yttrandefrihet. |
Motivering | |
The new draft legislation on data protection takes the form of a regulation and thus is directly applicable. If data protection law applies directly, the freedom of the press exception must also be directly applicable. An implementation by Member States should not lower down the current level of protection. Furthermore, the exemption should be extended to Articles 73, 74, 76 and 79 of Chapter VIII (on Remedies, Liabilities and Sanctions) because these Articles include new elements which go far beyond what is foreseen in the current directive and are not suitable for journalistic activities or pose a serious threat to press freedom. | |
Ändringsförslag 400 Förslag till förordning Artikel 80 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. Europeiska dataskyddsstyrelsen ska ge vägledning om när sådana undantag eller avvikelser kan bli nödvändiga, efter samråd med företrädare från pressen, författare och konstnärer, de registrerade samt lämpliga organisationer från det civila samhället. |
Ändringsförslag 401 Förslag till förordning Artikel 80a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 80a |
|
|
Behandling av personuppgifter och principen om allmänhetens rätt att få tillgång till allmänna handlingar |
|
|
Personuppgifter i dokument som förvaras av en offentlig myndighet eller ett offentligt organ får lämnas ut av myndigheten eller organet i enlighet med medlemsstatens lagstiftning avseende allmänhetens rätt att få tillgång till allmänna handlingar, vilket jämkar samman rätten om skydd av personuppgifter med principen om allmänhetens rätt att få tillgång till allmänna handlingar. |
Motivering | |
Det är viktigt att säkerställa att offentlig tillsyn över offentlig verksamhet inte hindras på ett felaktigt sätt av uppgiftsskyddsbestämmelser. I enlighet med yttranden från Europeiska datatillsynsmannen, artikel 29-gruppen och Europeiska unionens byrå för grundläggande rättigheter bör därför principen om allmänhetens rätt att få tillgång till allmänna handlingar kunna garanteras. | |
Ändringsförslag 402 Förslag till förordning Artikel 81 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare specificera andra skäl av allmänt intresse inom folkhälsoområdet enligt punkt 1 b, samt kriterier och krav för det skydd som ska finnas vid behandling av personuppgifter för de ändamål som anges i punkt 1. |
utgår |
Ändringsförslag 403 Förslag till förordning Artikel 82 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Inom ramen för bestämmelserna i denna förordning får medlemsstaterna i lag föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering, genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet. |
1. Utan att det påverkar tillämpningen av denna förordning får medlemsstaterna i lag eller genom kollektivavtal mellan arbetsmarknadens parter föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering, genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet, fällande brottmålsdomar samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet. |
Ändringsförslag 404 Förslag till förordning Artikel 82 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och villkoren för de skyddsåtgärder som ska tillämpas vid behandling av personuppgifter för sådana ändamål som anges i punkt 1. |
utgår |
Ändringsförslag 405 Förslag till förordning Artikel 83 – punkt 1 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Inom ramen för denna förordning får personuppgifter behandlas för historiska, statistiska och vetenskapliga forskningsändamål endast under förutsättning att |
1. Utan att det påverkar tillämpningen av denna förordning får sådana personuppgifter som inte hör till de uppgiftskategorier som omfattas av artikel 8 i förordningen behandlas för historiska, statistiska och vetenskapliga ändamål, enligt artiklarna 6.2 och 9.2 i, endast under förutsättning att |
Ändringsförslag 406 Förslag till förordning Artikel 83 – punkt 1 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
(a) dessa ändamål inte kan uppfyllas på annat sätt genom behandling av uppgifter som inte medger eller inte längre medger identifiering av den registrerade, |
(a) dessa ändamål inte rimligen kan uppfyllas genom behandling av uppgifter som inte medger eller inte längre medger identifiering av den registrerade, |
Ändringsförslag 407 Förslag till förordning Artikel 83 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. Ytterligare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål ska inte anses oförenlig med artikel 5.1 b förutsatt att behandlingen |
|
|
(a) omfattas av villkoren och skyddsåtgärderna i denna artikel, och |
|
|
(b) uppfyller all övrig relevant lagstiftning. |
Ändringsförslag 408 Förslag till förordning Artikel 83 – punkt 1b (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1b. Inom ramen för denna förordning, särskilt denna artikel, får medlemsstaterna anta särskilda bestämmelser om behandlingen av personuppgifter för vetenskapliga forskningsändamål, särskilt inom folkhälsoforskningen. |
Motivering | |
Uppgiftsskyddsbestämmelser på medlemsstatsnivå är komplexa och nyanserade även när det gäller folkhälsoforskning. Lagstiftare i medlemsstaterna bör få befogenhet att bibehålla eller anta konkreta regler om etisk översyn av folkhälsoforskning som utförs utan att de registrerade behöver lämna sitt samtycke. Etisk översyn på medlemsstatsnivå ger de registrerade en garanti för att användningen och återanvändningen av deras personuppgifter för forskningsändamål ligger i linje med samhälleliga värden vid en viss tidpunkt. | |
Ändringsförslag 409 Förslag till förordning Artikel 83 – punkt 2 – led ca (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(ca) behandlingen av personuppgifterna sker för att skapa aggregerade uppgiftsrapporter som antingen består av avidentifierade eller pseudonymiserade uppgifter eller bådadera. |
Motivering | |
Syftet med sådana rapporter är inte att kunna identifiera eller gå tillbaka till enskilda personer. För att skapa dessa rapporter sammanställs enskilda uppgifter på ett anonymt sätt och påverkar därför inte den personliga integriteten. Webbanalyser är ett exempel på aggregerade uppgiftsrapporter. | |
Ändringsförslag 410 Förslag till förordning Artikel 83 – punkt 2a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2a. När personuppgifter insamlas för statistiska ändamål och folkhälsoändamål ska uppgifterna anonymiseras omedelbart efter det att de insamlats, kontrollerats eller matchats, utom ifall identifieringsuppgifterna fortfarande behövs för statistiska ändamål1 och folkhälsoändamål, såsom epidemiforskning, överbryggande forskning och klinisk forskning. |
|
|
___________ |
|
|
1 Punkt 8 i bilagan till Europarådets rekommendation nr R (97) 18, om skydd av personuppgifter som insamlas och behandlas för statistiska ändamål, antagen av Europarådets ministerkommitté den 30 september 1997 vid dess 602:a möte. |
Motivering | |
Epidemiforskningen använder i hög grad ”länkade uppgifter” och kan inte bedrivas med helt avidentifierade eller pseudonymiserade uppgifter. Forskning med länkade uppgifter har varit en lyxvara för somliga länder i Europeiska unionen och med de åtgärder som föreslås i denna bindande förordning är det fara värt att det kommer att sättas stopp för denna mycket viktiga forskning. | |
Ändringsförslag 411 Förslag till förordning Artikel 83 – punkt 2b (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2b. En registeransvarig eller registerförare får överföra personuppgifter till ett tredjeland eller en internationell organisation för historiska, statistiska eller vetenskapliga ändamål om |
|
|
(a) dessa ändamål inte kan uppfyllas på annat sätt genom behandling av uppgifter som inte medger eller inte längre medger identifiering av den registrerade, |
|
|
(b) mottagaren inte rimligtvis har tillgång till uppgifter som gör det möjligt att hänföra information till en identifierad eller identifierbar registrerad person, och |
|
|
(c) avtalsklausuler mellan den registeransvarige eller registerföraren och uppgiftsmottagaren förbjuder återidentifiering av de registrerade och begränsar behandlingen i enlighet med de villkor och skyddsåtgärder som fastställs i denna artikel. |
Motivering | |
En mottagare av nyckelkodade uppgifter som överförs för vetenskapliga forskningsändamål har inga möjligheter att återidentifiera de registrerade personerna och kommer enligt detta ändringsförslag inte att ha tillgång till nyckeln och är enligt avtal förhindrad från att återidentifiera de registrerade personerna. Detta ändringsförslag formaliserar en process för att i rimlig grad se till att nyckelkodade uppgifter om registrerade personer inte kan och inte kommer att kunna återidentifieras av mottagare i tredjeland, vilket tillåter en överföring av dessa uppgifter utan ytterligare problem. | |
Ändringsförslag 412 Förslag till förordning Artikel 83 – punkt 2c (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2c. När den registrerades samtycke krävs för behandling av medicinska uppgifter uteslutande för folkhälsoforskningsändamål får den registrerade erbjudas möjligheten att lämna generellt samtycke till att uppgifterna används för epidemiologisk forskning, överbryggande forskning och klinisk forskning. |
Motivering | |
In many fields of medicine and science, it is crucial for researchers to be able to follow the data of a certain patient they have been monitoring. This enables the researchers to understand and constantly improve their search for new treatments and cures. Importantly, epidemiological research involves monitoring populations to decipher trends in lifestyle, genetics, diseases among others, and is crucial for furthering public health research, an example of which is patient registries. Thus record linkage should remain possible, when it comes to the case of using medical data solely for the furthering of public health research, specifically epidemiological, translational and clinical research. With respect to the point on broad consent, the current Directive on Data Protection (95/46/EC) allows for exceptions for the processing of data for public health research and the general aim of the proposed Regulation is to apply the principle of explicit consent for the processing of personal data. For public health research purposes, such as epidemiological, clinical and translational research it becomes virtually impossible to acquire the consent of every single data subject required for research. Public health researchers need to have access to the past, current and future medical records of patients in order to conduct their research. The option of broad consent gives the data subject a measure of control over their data and the option for their data being used for furthering public health research. | |
Ändringsförslag 413 Förslag till förordning Artikel 83 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och kraven för behandling av personuppgifter för de ändamål som anges i punkterna 1 och 2 samt eventuella begränsningar av den registrerades rätt till information och tillgång, och att närmare beskriva villkoren och skyddet för den registrerades rättigheter under dessa förhållanden. |
utgår |
Ändringsförslag 414 Förslag till förordning Artikel 83a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 83a |
|
|
Behandling av uppgifter om fällande domar i brottmål för att förhindra ekonomisk brottslighet |
|
|
Inom ramen för denna förordning och i enlighet med artikel 9.2 j ska det vara tillåtet att behandla personuppgifter som berör fällande domar i brottmål eller därmed sammanhängande säkerhetsfrågor, förutsatt att lämpliga åtgärder vidtas för att skydda den registrerades grundläggande rättigheter och friheter och behandlingen sker för att |
|
|
(a) förebygga, utreda eller avslöja ekonomisk brottslighet, |
|
|
(b) slå vakt om allmänintresset, exempelvis genom skydd mot gränsöverskridande hot om ekonomisk brottslighet, |
|
|
varvid behandlingen i vartdera fallet måste ske utan att den registrerades samtycke efterfrågas, för att den inte ska motverka sitt syfte. |
Motivering | |
The amendment adds a provision in order to allow the processing of criminal convictions data for the purpose of the prevention of financial crime. The EU has demonstrated its commitment to fight against financial crime with recent initiatives such as the review of the Anti-Money laundering Directive, the anti-corruption package, the anti-fraud strategy, and the establishment of the European Parliament special committee on organised crime, corruption and money laundering. This provision is therefore a needed complementary measure that will allow an effective fight against financial crime. Finally, no consent should be asked in this scenario as this would not be forthcoming. Actors of financial crime would not be keen in providing consent and this would therefore defeat the purpose of processing the data. | |
Ändringsförslag 415 Förslag till förordning Artikel 86 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den delegering av befogenhet som avses i artiklarna 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 79.6, 81.3, 82.3 och 83.3 ska ges till kommissionen på obestämd tid från och med den dag då denna förordning träder i kraft. |
2. Den delegering av befogenhet som avses i artiklarna 14.7, 26.5, 33.6, 35.11, 37.2, 39.2 och 43.3. ska ges till kommissionen på obestämd tid från och med den dag då denna förordning träder i kraft. |
Ändringsförslag 416 Förslag till förordning Artikel 89 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Artikel 1.2 i direktiv 2002/58/EG ska utgå. |
2. Artiklarna 1.2, 2 b och c, 4.3, 4.4, 4.5, 6 och 9 i direktiv 2002/58/EG ska utgå. |
Ändringsförslag 417 Förslag till förordning Artikel 90 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. Delegerade akter och genomförandeakter som antas av kommissionen bör utvärderas av parlamentet och rådet vartannat år. |
ÄRENDETS GÅNG
|
Titel |
Skydd för enskilda personer med avseende på behandling av personuppgifter, och det fria flödet av sådana uppgifter (allmän förordning om uppgiftskydd) |
||||
|
Referensnummer |
COM(2012)0011 – C7-0025/2012 – 2012/0011(COD) |
||||
|
Ansvarigt utskott Tillkännagivande i kammaren |
LIBE 16.2.2012 |
|
|
|
|
|
Yttrande från Tillkännagivande i kammaren |
ITRE 16.2.2012 |
||||
|
Föredragande av yttrande Utnämning |
Seán Kelly 14.3.2012 |
||||
|
Behandling i utskott |
31.5.2012 |
28.11.2012 |
23.1.2013 |
|
|
|
Antagande |
20.2.2013 |
|
|
|
|
|
Slutomröstning: resultat |
+: –: 0: |
33 24 1 |
|||
|
Slutomröstning: närvarande ledamöter |
Amelia Andersdotter, Josefa Andrés Barea, Zigmantas Balčytis, Bendt Bendtsen, Jan Březina, Reinhard Bütikofer, Maria Da Graça Carvalho, Giles Chichester, Jürgen Creutzmann, Pilar del Castillo Vera, Dimitrios Droutsas, Christian Ehler, Vicky Ford, Gaston Franco, Adam Gierek, Norbert Glante, Fiona Hall, Jacky Hénin, Kent Johansson, Romana Jordan, Krišjānis Kariņš, Lena Kolarska-Bobińska, Béla Kovács, Philippe Lamberts, Marisa Matias, Angelika Niebler, Jaroslav Paška, Herbert Reul, Teresa Riera Madurell, Michèle Rivasi, Paul Rübig, Amalia Sartori, Salvador Sedó i Alabart, Francisco Sosa Wagner, Konrad Szymański, Britta Thomsen, Patrizia Toia, Evžen Tošenovský, Catherine Trautmann, Marita Ulvskog, Vladimir Urutchev, Adina-Ioana Vălean |
||||
|
Slutomröstning: närvarande suppleanter |
Lara Comi, Ioan Enciu, Satu Hassi, Roger Helmer, Jolanta Emilia Hibner, Seán Kelly, Holger Krahmer, Bernd Lange, Werner Langen, Zofija Mazej Kukovič, Vladko Todorov Panayotov, Pavel Poc, Vladimír Remek, Algirdas Saudargas, Silvia-Adriana Ţicău |
||||
|
Slutomröstning: närvarande suppleanter (art. 187.2) |
Axel Voss |
||||
YTTRANDE från utskottet för den inre marknaden och konsumentskydd (28.1.2013)
till utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor
över förslaget till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning)
(COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD))
Föredragande: Lara Comi
KORTFATTAD MOTIVERING
Uppgiftsskydd är en grundläggande rättighet och medborgarna måste känna sig säkra för att kunna dra större nytta av nätmiljön. Hanteringen av uppgiftsskyddet måste uppdateras för att anpassas till nya tekniska verktyg och de dataflöden som de ger upphov till, eftersom de nuvarande bestämmelserna i direktiv 95/46/EG inte till fullo tar hänsyn till behoven på den digitala inre marknaden.
Mångfalden av tillgängliga affärsmodeller, tekniker och tjänster – däribland de som är av stor betydelse för e-handel och den inre marknaden – har gett upphov till en rad frågor rörande uppgiftsskyddet. Företag och myndigheter använder ofta sådan teknik utan att enskilda individer är medvetna om vilka effekter den kan få.
Den 25 januari 2012 lade kommissionen fram förslag till en ny förordning[1] och ett nytt direktiv[2] om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Syftet med den föreslagna förordningen är att komplettera bestämmelserna i direktiv 2002/58/EG och skapa största möjliga rättssäkerhet och enhetlighet, så att arbetet inom detta område blir så effektivt som möjligt i hela EU.
Den föreslagna förordningen har som mål att harmonisera rättigheter, säkra ett fritt flöde av information, minska byråkratin och stärka tillämpningen. Med ökad öppenhet stärks förtroendet och nya bestämmelser gör EU mer attraktivt för företag. Målet med den föreslagna förordningen är även att
§ modernisera EU:s rättssystem för skydd av personuppgifter, särskilt för att hantera de utmaningar som är en följd av globalisering och användning av ny teknik,
§ stärka individens rättigheter och samtidigt minska de administrativa formaliteterna för att säkra ett obehindrat flöde av personuppgifter inom EU,
§ göra EU:s bestämmelser om skyddet av personuppgifter tydligare och mer enhetliga, samt säkra en enhetlig och effektiv tillämpning av denna grundläggande rättighet på alla områden inom vilka EU verkar.
Den inre marknadens dimension
Förslaget har stor potential att förbättra den inre marknaden och skapa likvärdiga konkurrensvillkor för alla företag som är verksamma inom EU. Några viktiga inslag är
§ att lagstiftningsinstrumentet ändras (från direktiv till förordning),
§ principen om en enda kontaktpunkt när det gäller vilken tillsynsmyndighet som ska vara behörig i gränsöverskridande fall,
§ principen om marknadsplats (som innebär att EU-kraven på uppgiftsskydd även ska gälla verksamheter som är baserade utanför EU, om de är aktiva inom EU),
§ den allmänna principen om ansvarighet (som ersätter skyldigheten för registeransvariga eller registerförare att göra en allmän anmälan om sin uppgiftsbehandling till sin nationella tillsynsmyndighet),
§ stärkandet av befintliga verktyg och införandet av nya verktyg för en enhetlig tillämpning i alla medlemsstater.
Stärkande av konsumenträttigheter
När det handlar om att stärka konsumenternas rättigheter verkar främjandet av öppenhet ha lett till att en balans mellan konkurrerande intressen såsom medvetenhet bland konsumenterna, autonomi, skydd och den inre marknaden.
Förbättringar har särskilt gjorts när det gäller att samtycke ska vara en av de faktorer som legitimerar behandling av personuppgifter, när det gäller registrerades rättigheter som kraftfulla verktyg för att skydda konsumenterna och när det gäller under vilka förhållanden uppgiftsöverföring utanför EU ska vara laglig. Många delar av förslaget måste emellertid förtydligas ytterligare. Det gäller särskilt de praktiska villkoren för att upprätthålla vissa rättigheter i synnerhet. Denna oklarhet måste åtgärdas och framför allt följande punkter kräver uppmärksamhet:
§ Ett förtydligande i artikel 17 av i vilken utsträckning även uppgifter som behandlas av tredje part måste raderas när den registeransvarige väl har informerat den tredje parten om att den registrerade har utövat sin rätt att få sina uppgifter raderade.
§ Det särskilda skydd som krävs för omyndiga upp till 14 års ålder eftersom de fortfarande är barn.
§ Den föreslagna definitionen av ”personuppgifter”.
§ Den roll som anonymisering och pseudonymisering kan spela för att skydda den registrerade.
§ Förslaget bör förtydligas när det gäller den exakta fördelningen och bestämningen av den registeransvariges och registerförarens skyldigheter och ansvar.
§ Profileringsåtgärder och skillnader i ”profilering” mellan olika sektorer av ekonomin och juridiska förhållanden måste noggrant övervägas, liksom konsekvenserna av alltför restriktiva regler på detta område.
Föredraganden vill mot bakgrund av detta särskilt koncentrera sig på följande:
§ Definitioner.
§ Den registrerades rättigheter.
§ Den registeransvariges och registerförarens skyldigheter när det gäller konsumenträttigheter.
§ Enhetlighet.
Föredraganden vill även förespråka en vidare syn på teknikneutralitet och ta upp
§ principen om ändamålsbegränsning,
§ användning av delegerade akter och genomförandeakter i samband med det föreslagna lagpaketet, och
§ det praktiska genomförandet av bestämmelserna.
ÄNDRINGSFÖRSLAG
Utskottet för den inre marknaden och konsumentskydd uppmanar utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor att som ansvarigt utskott infoga följande ändringsförslag i sitt betänkande:
Ändringsförslag 1 Förslag till förordning Skäl 6a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(6a) Det är viktigt att finna en lämplig balans mellan integritetsskyddet och respekten för den inre marknaden. Bestämmelser om uppgiftsskydd bör inte undergräva konkurrens, innovation och ny teknik. |
Ändringsförslag 2 Förslag till förordning Skäl 13a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(13a) Teknikneutralitet bör även innebära att liknande akter under liknande förhållanden och med i rättsligt hänseende liknande konsekvenser bör vara likvärdiga, oavsett om de äger rum på eller utanför internet, såvida inte uppgiftsbehandlingen skiljer sig så mycket åt mellan dessa miljöer att det finns en väsentlig skillnad mellan dem. |
Motivering | |
Det behövdes ett skäl för att bättre bedöma skillnaden mellan det som sker på respektive utanför internet. Utan detta skäl kan vissa ekonomiska aktörer uppfatta det som att förordningen är avsedd att specifikt gälla internetfrågor och i synnerhet frågor om socialt nätverkande. | |
Ändringsförslag 3 Förslag till förordning Skäl 15 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(15) Denna förordning bör inte vara tillämplig på fysiska personers behandling av personuppgifter, som är helt personliga eller privata, t.ex. korrespondens och adressförteckningar, och som helt saknar vinstintresse och därmed också koppling till yrkes- eller affärsmässig verksamhet. Undantaget bör heller inte vara tillämpligt på registeransvariga eller registerförare som tillhandahåller utrustning för behandling av personuppgifter får sådana personliga eller privata verksamheter. |
(15) Denna förordning bör inte vara tillämplig på fysiska personers behandling av personuppgifter som är helt personliga eller privata, t.ex. korrespondens och adressförteckningar, och som helt saknar vinstintresse och därmed också koppling till yrkes- eller affärsmässig verksamhet, och där behandlingen inte medför att uppgifterna görs tillgängliga för ett obestämt antal personer. Undantaget bör heller inte vara tillämpligt på registeransvariga eller registerförare som tillhandahåller utrustning för behandling av personuppgifter får sådana personliga eller privata verksamheter. |
Motivering | |
Tillämpningsområdet för detta undantag bör förtydligas, framför allt på grund av de sociala nätverkens snabba tillväxt, i vilka uppgifter kan delas med hundratals personer. EU‑domstolen har (i mål C-101/01 och C-73/07) fastställt tillgänglighet för ett obestämt antal personer som ett kriterium för tillämpningen av detta undantag. Europeiska datatillsynsmannen är av samma åsikt. | |
Ändringsförslag 4 Förslag till förordning Skäl 23 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(23) Principerna för skyddet bör gälla all information som rör en identifierad eller identifierbar person. För att avgöra om en person är identifierbar bör man uppmärksamma alla hjälpmedel som, antingen av den registeransvarige eller av någon annan person, rimligen kan komma att använda för att identifiera vederbörande. Skyddsprinciperna bör inte gälla för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är identifierbar. |
(23) Principerna för skyddet bör gälla all information som rör en identifierad eller identifierbar person. För att avgöra om en person är identifierbar bör man uppmärksamma alla hjälpmedel som, antingen av den registeransvarige eller av någon annan person, rimligen kan komma att använda för att identifiera vederbörande. Skyddsprinciperna bör inte gälla för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är direkt identifierbar, bl.a. genom att de behandlade uppgifterna om möjligt skiljs från uppgifter som kan avslöja den registrerades identitet. I det sistnämnda fallet kan även pseudonymiserade uppgifter vara bra om nyckeln för att koppla pseudonymen till identiteten är skyddad med hjälp av bästa tillgängliga teknik. |
Motivering | |
Definitionen av ”personuppgifter” behöver förtydligas för att kunna användas i samband med såväl konsumentupplevelser som affärsverksamhet. Införandet av pseudonymiserade och anonymiserade uppgifter skulle underlätta på detta område. | |
Ändringsförslag 5 Förslag till förordning Skäl 23a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(23a) En stor mängd personuppgifter kan behandlas för att upptäcka och förebygga bedrägerier. Sådana syften, vilka regleras genom medlemsstaternas eller EU:s lagstiftning, bör beaktas när principen om uppgiftsminimering och behandlingens laglighet bedöms. |
Motivering | |
Syftet med detta ändringsförslag är att framhålla en princip som inte strider mot denna förordning, men som samtidigt inte tydligt framgår. | |
Ändringsförslag 6 Förslag till förordning Skäl 23b (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(23b) Enligt principen om uppgiftsskydd som standard måste online-tjänster och online-produkter redan från början utformas så att de ger ett så starkt skydd som möjligt för personuppgifter utan att den registrerade behöver vidta några åtgärder. |
Ändringsförslag 7 Förslag till förordning Skäl 24 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(24) Vid användning av nättjänster kan enskilda personer knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser eller kakor. Detta kan efterlämna spår som i kombination med unika identifierare och andra uppgifter som tas emot av servrarna kan användas för att skapa profiler för enskilda personer och identifiera dem. Således utgör inte alltid identifieringsnummer, lokaliseringsuppgifter, nätidentifierare eller andra särskilda uppgifter i sig nödvändigtvis personuppgifter. |
(24) Vid användning av nättjänster kan enskilda personer knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser eller kakor. Detta kan efterlämna spår som i kombination med unika identifierare och andra uppgifter som tas emot av servrarna kan användas för att skapa profiler för enskilda personer och identifiera dem. Således bör man från fall till fall och med beaktande av den tekniska utvecklingen pröva om identifieringsnummer, lokaliseringsuppgifter, nätidentifierare eller andra särskilda uppgifter i sig nödvändigtvis måste betraktas som personuppgifter, och om de ska anses utgöra sådana om de behandlas med inriktning på ett visst innehåll eller en enskild person eller för att särskilja en enskild person i något annat syfte. |
Motivering | |
Mot bakgrund av det ökande utbudet av nya online-tjänster och den ständiga teknikutvecklingen måste en hög skyddsnivå för medborgarnas personuppgifter garanteras. Detta bör därför prövas från fall till fall. | |
Ändringsförslag 8 Förslag till förordning Skäl 25 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(25) Samtycke bör lämnas uttryckligen med lämplig metod som möjliggör en frivillig, särskild och informerad viljeyttring från de registrerades sida, antingen genom ett uttalande eller genom en entydig affirmativ handling som visar att de är medvetna om att de ger sitt samtycke till behandlingen av personuppgifter, exempelvis en ruta som klickas i vid besök på en internetsida eller genom något annat uttalande eller beteende som i sammanhanget tydligt visar att de registrerade godtar den föreslagna behandlingen av deras personuppgifter. Tystnad eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran måste denna vara tydlig, koncis och får inte onödigtvis störa användningen av den tjänst som den avser. |
(25) Samtycke bör lämnas med en metod som är lämplig för varje använt medium och som möjliggör en frivillig, särskild och informerad viljeyttring från de registrerades sida, antingen genom ett uttalande eller genom en entydig affirmativ handling som visar att de är medvetna om att de ger sitt samtycke till behandlingen av personuppgifter, exempelvis en ruta som klickas i vid besök på en internetsida eller genom något annat uttalande eller beteende som, tydligt för det givna sammanhanget, visar att de registrerade godtar den föreslagna behandlingen av deras personuppgifter. Tystnad eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran måste denna vara tydlig, koncis och får inte onödigtvis störa användningen av den tjänst som den avser. Den information som tillhandahålls för att barn ska uttrycka samtycke bör lämnas på ett klart och åldersanpassat språk och på ett sådant sätt att den lätt kan förstås av ett barn som fyllt 13 år. |
Motivering | |
För att underlätta en del vardagssituationer, såväl på som utanför internet, var det nödvändigt att lägga till några ord om fall då samtycket kan sägas vara underförstått med tanke på sammanhanget. När man till exempel vänder sig till en läkare för en diagnos förutsätter detta behandling av vissa personuppgifter, utan att det nödvändigtvis är fråga om ett sådant uttryckligt agerande som avses i början av detta skäl. I samma exempel kan läkaren tala med en specialist om det behövs för att ställa en diagnos utan att nödvändigtvis be om tillstånd. | |
Ändringsförslag 9 Förslag till förordning Skäl 27 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(27) En registeransvarigs huvudsakliga verksamhetsställe inom unionen bör avgöras med objektiva kriterier och bör inbegripa den effektiva och faktiska ledning som fattar de huvudsakliga besluten vad avser ändamål, villkor och medel för behandlingen med hjälp av en stabil struktur. Detta kriterium bör inte vara avhängigt om behandlingen av personuppgifter faktiskt utförs på det stället. Att tekniska medel samt teknik för behandling av personuppgifter eller behandlingsverksamhet finns och används, visar i sig inte att det rör sig om ett sådant huvudsakligt verksamhetsställe och utgör därför inte avgörande kriterier för ett huvudsakligt verksamhetsställe. Registerförares huvudsakliga verksamhetsställe bör vara den ort i unionen där de har sin centrala förvaltning. |
(27) En registeransvarigs eller en registerförares huvudsakliga verksamhetsställa inom unionen bör avgöras med objektiva kriterier och bör inbegripa den effektiva och faktiska ledning som fattar de huvudsakliga besluten vad avser ändamål, villkor och medel för behandlingen med hjälp av en stabil struktur. Detta kriterium bör inte vara avhängigt om behandlingen av personuppgifter faktiskt utförs på det stället. Att tekniska medel samt teknik för behandling av personuppgifter eller behandlingsverksamhet finns och används, visar i sig inte att det rör sig om ett sådant huvudsakligt verksamhetsställe och utgör därför inte avgörande kriterier för ett huvudsakligt verksamhetsställe. |
Motivering | |
Detta ändringsförslag kompletterar ändringsförslaget avseende artikel 4.13. | |
Ändringsförslag 10 Förslag till förordning Skäl 27a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(27a) Företrädaren är tillsammans med den registeransvarige ansvarig för allt agerande som strider mot denna förordning. |
Motivering | |
Företrädarens ansvar fastställs inte tillräckligt tydligt och detta skäl bidrar till att understryka det. | |
Ändringsförslag 11 Förslag till förordning Skäl 29 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(29) Barns personuppgifter förtjänar ett särskilt skydd, eftersom de kan vara mindre medvetna om risker, följder, skyddsåtgärder samt sina rättigheter när det gäller behandling av personuppgifter. Definitionen av vem som betraktas som barn bör vara densamma som i FN:s konvention om barnets rättigheter. |
(29) Barns personuppgifter förtjänar ett särskilt skydd, eftersom barn kan vara mindre medvetna om risker, följder, skyddsåtgärder samt sina rättigheter när det gäller behandling av personuppgifter och eftersom de är utsatta konsumenter. Definitionen av vem som betraktas som barn bör vara densamma som i FN:s konvention om barnets rättigheter. I synnerhet måste ett barnvänligt språk användas för att garantera rätten för barn över 13 år att ge sitt samtycke. |
Ändringsförslag 12 Förslag till förordning Skäl 30 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(30) Varje behandling av personuppgifter måste vara laglig, rättvis och öppen i förhållande till berörda enskilda. De specifika ändamål som uppgifterna behandlas för, bör vara uttryckliga och legitima och ha bestämts vid den tidpunkt då uppgifterna samlades in. Uppgifterna bör vara adekvata, relevanta och begränsa sig till vad som är strikt nödvändigt för de ändamål som uppgifterna behandlas för. Detta innebär bl.a. att de uppgifter som insamlats inte är orimligt omfattande och att den period de lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte kan uppnås genom andra medel. Alla rimliga åtgärder bör vidtas för att rätta eller radera felaktiga uppgifter. För att säkerställa att uppgifter inte sparas längre än nödvändigt bör den registeransvarige införa tidsfrister för radering eller för regelbunden kontroll. |
(30) Varje behandling av personuppgifter måste vara laglig, rättvis och öppen i förhållande till berörda enskilda. De specifika ändamål som uppgifterna behandlas för, bör vara uttryckliga och legitima och ha bestämts vid den tidpunkt då uppgifterna samlades in. Uppgifterna bör vara adekvata, relevanta och begränsa sig till vad som är strikt nödvändigt för de ändamål som uppgifterna behandlas för. Detta innebär att de uppgifter som insamlats inte är orimligt omfattande och att den period de lagras inte är längre än vad som är nödvändigt för de ändamål som personuppgifterna behandlas för. Personuppgifter bör endast behandlas om syftet med behandlingen inte kan uppnås genom andra medel. Alla rimliga åtgärder bör vidtas för att rätta eller radera felaktiga uppgifter. För att säkerställa att uppgifter inte sparas längre än nödvändigt bör den registeransvarige införa tidsfrister för radering eller för regelbunden kontroll. Vid bedömningen av de uppgifter som är absolut nödvändiga för de ändamål som uppgifterna behandlas för bör hänsyn tas till de krav som ställs i annan lagstiftning och som innebär att heltäckande uppgifter måste behandlas när de används för att förebygga och upptäcka bedrägerier, bekräftelse av identitet och/eller fastställande av kreditvärdighet. |
Motivering | |
Denna ändring ska klargöra de registeransvarigas skyldighet att övervaka de uppgifter som är absolut nödvändiga och lagringsperioderna. Denna ändring ska också säkra överensstämmelse mellan formuleringen i detta skäl och den i artikel 5 e. Slutligen ska ändringen harmonisera förordningen med befintlig lagstiftning såsom konsumentkreditdirektivet och bostadslåneavtal samt god praxis, som kräver en övergripande bedömning av konsumentens ekonomiska situation genom en kreditprövning. | |
Ändringsförslag 13 Förslag till förordning Skäl 33 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(33) För att säkerställa att samtycket är frivilligt bör det klargöras att ett samtycke inte är giltig rättslig grund om den enskilde inte har något genuin och fri valmöjlighet och därför inte utan problem kan vägra eller ta tillbaka sitt samtycke. |
(33) För att säkerställa att samtycket är frivilligt bör det klargöras att ett samtycke inte är giltig rättslig grund om den enskilde inte har något genuin och fri valmöjlighet och därför inte utan problem kan vägra eller ta tillbaka sitt samtycke. På liknande sätt bör samtycke inte vara en rättslig grund för uppgiftsbehandling om den registrerade inte har tillgång till några andra likvärdiga tjänster. |
Ändringsförslag 14 Förslag till förordning Skäl 34 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(34) Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter om det finns en betydande obalans mellan den registrerade och den registeransvarige. Detta är särskilt fallet när den registrerade befinner sig i ett beroendeförhållande till den registeransvarige, bl.a. när arbetstagares personuppgifter behandlas av arbetsgivare inom ramen för en anställning. Är den registeransvarige en myndighet torde obalans endast uppkomma vid specifika uppgiftsbehandlingar där myndigheten i kraft av sina offentliga befogenheter kan ålägga skyldigheter och samtycket, med hänsyn tagen till den registrerades intresse, inte kan anses ha lämnats frivilligt. |
(34) Samtycke måste lämnas frivilligt och den registrerade får inte tvingas att lämna sitt samtycke till behandling av sina personuppgifter, särskilt om det finns en betydande obalans mellan den registrerade och den registeransvarige. Detta kan vara fallet när den registrerade befinner sig i ett beroendeförhållande till den registeransvarige, bl.a. när arbetstagares personuppgifter behandlas av arbetsgivare inom ramen för en anställning. När syftet med uppgiftsbehandlingen gagnar den registrerade och den registrerade senare har möjlighet att återkalla sitt samtycke utan problem, bör emellertid samtycket utgöra en giltig rättslig grund för behandlingen. |
|
|
Är den registeransvarige en myndighet torde obalans endast uppkomma vid specifika uppgiftsbehandlingar där myndigheten i kraft av sina offentliga befogenheter kan ålägga nya och oberättigade skyldigheter och samtycket, med hänsyn tagen till den registrerades intresse, inte kan anses ha lämnats frivillig. |
Motivering | |
Bestämmelsen bör säkra att den registrerade verkligen kan göra ett eget val och senare kan återkalla sitt samtycke eller invända mot fortsatt behandling när som helst. Den ska inte ta ifrån fysiska personer deras möjlighet att gå med på uppgiftsbehandling, särskilt när behandlingens syfte gagnar dem (t.ex. när arbetsgivaren erbjuder en försäkring). Förordningen bör inte förutsätta att det är omöjligt att gå med på uppgiftsbehandling frivilligt i ett anställningsförhållande. | |
Ändringsförslag 15 Förslag till förordning Skäl 34a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(34a) Om personuppgifter, som behandlas efter den registrerades samtycke, är nödvändiga för tillhandahållande av en tjänst kan ett återkallande av samtycket utgöra grund för tjänsteleverantörens avslutande av avtalet. Detta gäller i synnerhet tjänster som tillhandahålls gratis till konsumenterna. |
Motivering | |
Adding such a recital would have an awareness-raising meaning. Although the possibility to terminate a contract steams from the terms of contract in cases where data processing is necessary for the provision of a service, it is necessary to make users conscious that in some cases data are the currency by which they pay for the service. Auction platforms, for instance, use stored data to examine credibility of those selling with the use of a platform and a mutual evaluation exercised by the users is used by them to attract more potential clients but also to prevent fraud. Withdrawing consent to process such data would run against the whole point of such platforms. Consumers should also be aware that many business models provide access to services "free" of charge in return for the access to some of their personal data. Withdrawing the right to process these data can therefore result in no access to the service. | |
Ändringsförslag 16 Förslag till förordning Skäl 38 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(38) Registeransvarigas berättigade intressen kan utgöra rättslig grund för behandling, på villkor att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts. För detta krävs en noggrann bedömning, särskilt när den registrerade är ett barn, mot bakgrund av att barn förtjänar specifikt skydd. Den registrerade bör kostnadsfritt och av skäl som rör vederbörandes särskilda situation ha rätt att göra invändningar mot behandling. För att säkra öppenheten bör registeransvariga vara skyldiga att uttryckligen informera de registrerade om vilka berättigade intressen som man eftersträvar att tillvarata och om rätten att göra invändningar. De bör även vara skyldiga att dokumentera dessa berättigade intressen. Mot bakgrund av att det är lagstiftaren som genom lagstiftning fastställer den rättsliga grunden för myndigheters behandling av uppgifter bör denna förordning inte vara tillämplig när myndigheter behandlar uppgifter inom ramen för sin myndighetsutövning. |
(38) En persons berättigade intressen kan utgöra rättslig grund för behandling, på villkor att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts. För detta krävs en noggrann bedömning, särskilt när den registrerade är ett barn, mot bakgrund av att barn förtjänar specifikt skydd. Den registrerade bör kostnadsfritt och av skäl som rör vederbörandes särskilda situation ha rätt att göra invändningar mot behandling. För att säkra öppenheten bör registeransvariga eller de tredje parter till vilka uppgifterna har lämnats ut vara skyldiga att uttryckligen informera de registrerade om vilka berättigade intressen som man eftersträvar att tillvarata och om rätten att göra invändningar. De bör även vara skyldiga att dokumentera dessa berättigade intressen. Mot bakgrund av att det är lagstiftaren som genom lagstiftning fastställer den rättsliga grunden för myndigheters behandling av uppgifter bör denna förordning inte vara tillämplig när myndigheter behandlar uppgifter inom ramen för sin myndighetsutövning. |
Motivering | |
Föredraganden föreslår att lydelsen från direktiv 95/46/EG behålls. Förordningen rör inte bara den digitala världen utan också verksamhet utanför internet. För att finansiera sin verksamhet behöver vissa sektorer, som tidningsutgivarna, använda externa källor för att kontakta presumtiva nya prenumeranter. | |
Ändringsförslag 17 Förslag till förordning Skäl 40a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(40a) Som regel får harmoniseringen av unionslagstiftningen om uppgiftsskydd inte hindra medlemsstaterna från att använda sektorsspecifik lagstiftning, bland annat på området för registerbaserad forskning. |
Motivering | |
Det befintliga regelverket om uppgiftsskydd i EU, det vill säga direktiv 95/46/EG, ger medlemsstaterna olika grader av frihet att anpassa EU-lagstiftningen efter nationella förhållanden. | |
Ändringsförslag 18 Förslag till förordning Skäl 40b (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(40b) Behandling av personuppgifter som samlats in för ett annat ändamål kan göras tillgänglig för offentlig vetenskaplig forskning om det finns dokumenterade bevis på att behandlingen av de insamlade uppgifterna är vetenskapligt relevant. Inbyggda skyddsmekanismer för att skydda den personliga integriteten måste beaktas när uppgifter görs tillgängliga för offentlig vetenskaplig forskning. |
Ändringsförslag 19 Förslag till förordning Skäl 42 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(42) Undantag från förbudet att behandla känsliga uppgiftskategorier bör även tillåtas om de grundar sig på lagstiftning och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när samhälleliga intressen motiverar detta och i synnerhet för hälsosyften, bl.a. folkhälsa och social trygghet samt administration av hälso- och sjukvårdstjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet för de förfaranden som används vid prövning av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, eller för historiska, statistiska och vetenskapliga forskningsändamål. |
(42) Undantag från förbudet att behandla känsliga uppgiftskategorier bör även tillåtas om de grundar sig på lagstiftning och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när samhälleliga intressen motiverar detta och i synnerhet för hälsosyften, bl.a. folkhälsa och social trygghet samt administration av hälso- och sjukvårdstjänster, vilket även ska gälla information som skickas per sms eller e‑post till patienter rörande tidsbeställning på sjukhus eller kliniker, särskilt för att säkerställa kvalitet och kostnadseffektivitet för de förfaranden som används vid prövning av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, eller för historiska, statistiska och vetenskapliga forskningsändamål. |
Ändringsförslag 20 Förslag till förordning Skäl 48 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(48) Principerna om rättvis och öppen behandling fordrar att den registrerade informeras särskilt om att behandling sker och syftet med den, hur länge uppgifterna kommer att lagras, rätten att få tillgång till dem, rätta eller radera dem samt rätten att lämna in klagomål. När uppgifterna samlas in från de registrerade bör dessa även informeras om huruvida de är skyldiga att lämna uppgifterna, och om konsekvenserna i det fall de inte lämnar dem. |
(48) Principerna om rättvis och öppen behandling fordrar att den registrerade informeras särskilt om att behandling sker och syftet med den, de kriterier och/eller rättsliga förpliktelser som kan komma att användas för att avgöra hur länge uppgifterna kommer att lagras, rätten att få tillgång till dem, rätta eller radera dem samt rätten att lämna in klagomål. När uppgifterna samlas in från de registrerade bör dessa även informeras om huruvida de är skyldiga att lämna uppgifterna, och om konsekvenserna i det fall de inte lämnar dem. |
Motivering | |
Det går inte att i förväg veta hur länge personuppgifterna kommer att lagras, särskilt när denna period kan vara kopplad till specifika rättsliga förpliktelser. | |
Ändringsförslag 21 Förslag till förordning Skäl 49 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(49) Information om behandling av personuppgifter som rör registrerade bör lämnas till dem vid den tidpunkt då uppgifterna samlas in, eller om uppgifterna inte samlas in direkt från de registrerade, inom en rimlig period, beroende på omständigheterna i fallet. När uppgifter legitimt kan lämnas ut till en annan mottagare bör de registrerade informeras första gången uppgifterna lämnas ut till den mottagaren. |
(49) Information om behandling av personuppgifter som rör registrerade bör lämnas till dem vid den tidpunkt då uppgifterna samlas in, eller om uppgifterna inte samlas in direkt från de registrerade, inom en rimlig period, beroende på omständigheterna i fallet. När uppgifter legitimt kan lämnas ut till en annan mottagare bör de registrerade informeras första gången uppgifterna lämnas ut till den mottagaren. Ingen annan behandling än lagring bör samtidigt vara tillåten förrän den registrerade är fullständigt medveten om den information som här avses. |
Motivering | |
Detta ändringsförslag överensstämmer med ändringsförslaget avseende artikel 14.4b. | |
Ändringsförslag 22 Förslag till förordning Skäl 51 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(51) Alla bör ha rätt att få tillgång till uppgifter som insamlats om dem och enkelt kunna utöva denna rätt så att de är medvetna om att behandling sker och kan kontrollera att den är laglig. Alla registrerade bör därför ha rätt att känna till och få underrättelse om framför allt orsaken till att uppgifterna behandlas, vilken tidsperiod behandlingen pågår, vilka som mottar uppgifterna, de behandlade uppgifternas bakomliggande logik och, åtminstone när behandlingen bygger på profilering, vilka konsekvenserna kan bli. Denna rättighet bör inte inverka menligt på andra rättigheter och friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt som skyddar programvaran. Dessa överväganden bör dock inte utmynna i att den registrerade förvägras all information. |
(51) Alla bör ha rätt att få tillgång till uppgifter som insamlats om dem och enkelt kunna utöva denna rätt så att de är medvetna om att behandling sker och kan kontrollera att den är laglig. Alla registrerade bör därför ha rätt att känna till och få underrättelse om framför allt orsaken till att uppgifterna behandlas, de kriterier som avgör hur länge uppgifterna kommer att lagras för varje enskilt syfte, vilka som mottar uppgifterna, de behandlade uppgifternas bakomliggande logik och, åtminstone när behandlingen bygger på profilering, vilka konsekvenserna kan bli. Denna rättighet bör inte inverka menligt på andra rättigheter och friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt som skyddar programvaran. Dessa överväganden bör dock inte utmynna i att den registrerade förvägras all information. |
Motivering | |
Det är inte alltid möjligt att närmare ange exakt hur länge personuppgifterna kommer att lagras, särskilt när de lagras för olika syften. | |
Ändringsförslag 23 Förslag till förordning Skäl 53 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(53) Alla bör ha rätt till rättelse av sina personuppgifter och en ”rätt att bli bortglömd” när lagring av uppgifterna inte stämmer överens med denna förordning. Registrerade bör särskilt ha rätt att få sina personuppgifter raderade och kunna begära att dessa uppgifter inte behandlas om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om de registrerade har återtagit sitt samtycke till behandling eller om de registrerade invänder mot behandling av personuppgifter som rör dem eller när behandlingen av deras personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Ytterligare lagring av uppgifterna bör dock tillåtas när så behövs för historiska, statistiska och vetenskapliga forskningsändamål, i det allmännas intresse på folkhälsoområdet, för utövandet av yttrandefriheten, när lagen så kräver eller när det finns anledning att begränsa behandlingen av uppgifterna i ställe för att radera dem. |
(53) Alla bör ha rätt till rättelse av sina personuppgifter och rätt att få sådana personuppgifter raderade när lagring av uppgifterna inte stämmer överens med denna förordning. Registrerade bör särskilt ha rätt att få sina personuppgifter raderade och kunna begära att dessa uppgifter inte behandlas om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om de registrerade har återtagit sitt samtycke till behandling eller om de registrerade invänder mot behandling av personuppgifter som rör dem eller när behandlingen av deras personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Ytterligare lagring av uppgifterna bör dock tillåtas när så behövs för historiska, statistiska och vetenskapliga forskningsändamål, i det allmännas intresse på folkhälsoområdet, för utövandet av yttrandefriheten, när lagen så kräver eller när det finns anledning att begränsa behandlingen av uppgifterna i ställe för att radera dem. Rätten till radering ska inte tillämpas om det är nödvändigt att lagra personuppgifterna för verkställande av ett avtal med den registrerade, om det finns ett lagkrav på att uppgifterna ska bevaras eller för att förhindra ekonomisk brottslighet. |
Motivering | |
Detta ändringsförslag överensstämmer med ändringsförslaget avseende rubriken i artikel 17. | |
Ändringsförslag 24 Förslag till förordning Skäl 54 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(54) För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering även utvidgas på ett sådant sätt att registeransvariga som offentliggjort personuppgifter bör vara förpliktigade att informera tredje part som behandlar dessa uppgifter om att en registrerad person begärt att de ska radera alla länkar till och kopior eller reproduktioner av dessa personuppgifter. För att säkerställa informationen i fråga bör registeransvariga vidta alla rimliga åtgärder, däribland tekniska sådana, vad avser de uppgifter som de är ansvariga för. När tredje part offentliggör personuppgifter bör de registeransvariga anses bära ansvaret för offentliggörandet om de har lämnat tillstånd till det. |
(54) För att stärka rätten till radering av uppgifter i nätmiljön bör denna rätt även utvidgas på ett sådant sätt att registeransvariga som har överfört eller offentliggjort personuppgifter utan att få instruktioner om detta från den registrerade bör vara förpliktigade att informera tredje part som behandlar dessa uppgifter om att en registrerad person begärt att de ska radera alla länkar till och kopior eller reproduktioner av dessa personuppgifter. För att säkerställa informationen i fråga bör registeransvariga vidta alla rimliga åtgärder, däribland tekniska sådana, vad avser de uppgifter som de är ansvariga för. När tredje part offentliggör personuppgifter bör de registeransvariga anses bära ansvaret för offentliggörandet om de har lämnat tillstånd till det. |
Motivering | |
Detta ändringsförslag är en följd av ändringsförslaget avseende artikel 17.2. | |
Ändringsförslag 25 Förslag till förordning Skäl 55a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(55a) En del personuppgifter som behandlas av registeransvariga eller registerförare ger resultat som bara används internt av den registeransvarige och i format som saknar betydelse för den registrerade. I sådana fall ska rätten till uppgiftsportabilitet inte vara tillämplig, men övriga rättigheter, i synnerhet rätten att göra invändningar och rätten till rättelse, är fortsatt giltiga. |
Motivering | |
Detta ändringsförslag är avsett att förtydliga formuleringen ”saknar betydelse”, som införs genom föregående ändringsförslag. | |
Ändringsförslag 26 Förslag till förordning Skäl 60 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(60) Registeransvariga bör åläggas ett heltäckande ansvar för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Registeransvariga bör särskilt säkerställa och vara skyldiga att visa att varje behandling är förenlig med denna förordning. |
(60) Registeransvariga bör åläggas ett allmänt ansvar för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Registeransvariga bör särskilt säkerställa och vara skyldiga att visa att varje behandling är förenlig med denna förordning. |
Motivering | |
För att stärka skyddet av personuppgifter bör det klart och tydligt införas en allmän princip om registeransvarigas ansvar. | |
Ändringsförslag 27 Förslag till förordning Skäl 61a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(61a) Denna förordning uppmuntrar företag att utveckla interna program som identifierar de behandlingar som sannolikt kommer att innebära särskilda risker för de registrerades rättigheter och friheter på grund av behandlingarnas karaktär, omfattning och ändamål, och att vidta lämpliga integritetsskyddande åtgärder och utveckla innovativa lösningar för att åstadkomma inbyggda skyddsmekanismer för att skydda den personliga integriteten samt integritetsfrämjande teknik. Företag som offentligt kan visa att de är tar ansvar för integriteten behöver inte omfattas av ytterligare tillsynsmekanismer såsom förhandssamråd och förhandstillstånd. |
Motivering | |
Genom ändringen anpassas texten efter en strategi där ansvarighet är ett alternativ som på lämpligt sätt motiverar till god organisationspraxis. Dessutom innebär anpassningen att det inte längre är den offentliga budgeten utan marknaden som får bära kostnaderna för fullgörandet och kvalitetssäkringen. | |
Ändringsförslag 28 Förslag till förordning Skäl 61b (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(61b) Uppgiftsskyddet är till sin utformning ett mycket användbart verktyg eftersom det ger den registrerade fullständig kontroll över skyddet av de egna uppgifterna, över vilken information han eller hon lämnar ut och till vem. Vid övervägandet av denna princip och uppgiftsskyddet genom förvalda inställningar bör sammanhanget vara ett tungt vägande argument i bedömningen av behandlingens laglighet. |
Motivering | |
Detta ändringsförslag förtydligar ändringsförslaget avseende artikel 23.2. Det gäller fall där den registrerade har möjlighet att säga ja till ett uppgiftsbehandlingssystem och i så fall ska alla olika konsekvenser beaktas. När registrerade personer ansluter sig till sociala nätverk måste de till exempel godta att en del information är tillgänglig för att övriga användare ska kunna komma i kontakt med dem, medan motsvarande offentlighet för uppgifterna inte bör godtas av registrerade personer som ansöker om ett lån. | |
Ändringsförslag 29 Förslag till förordning Skäl 61c (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(61c) Principen om inbyggt uppgiftsskydd kräver att uppgiftsskyddet beaktas under teknikens hela livscykel, från det tidiga utformningsstadiet till utbyggnad, användning och slutligt bortskaffande. Principen om uppgiftsskydd som standard kräver att sekretessinställningarna för tjänster och produkter alltid måste överensstämma med de allmänna principerna för uppgiftsskydd, såsom uppgiftsminimering och ändamålsbegränsning. |
Ändringsförslag 30 Förslag till förordning Skäl 62 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(62) Skyddet av de registrerades rättigheter och friheter samt de registeransvarigas och registerförarna ansvar, också i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när registeransvariga bestämmer ändamål, villkor och medel för en behandling gemensamt tillsammans med andra registeransvariga eller när en behandling utförs på en registeransvarigs vägnar. |
(62) Skyddet av de registrerades rättigheter och friheter samt de registeransvarigas och registerförarna ansvar, också i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när registeransvariga bestämmer ändamål, villkor och medel för en behandling gemensamt tillsammans med andra registeransvariga eller när en behandling utförs på en registeransvarigs vägnar. I fall av solidariskt ansvar kan den registerförare som har gett ersättning för en skada som en registrerad har lidit väcka talan mot den registeransvarige för att kräva återbetalning, om registerföraren har handlat i enlighet med den rättsligt bindande handlingen mellan sig själv och den registeransvarige. |
Motivering | |
Registerföraren definieras som den part som handlar för den registeransvariges räkning. Följaktligen bör den registeransvarige, och inte registerföraren, bära ansvaret för personuppgiftsbrott om registerföraren omsorgsfullt har följt sina anvisningar, utan att detta påverkar den registrerades rätt till ersättning. | |
Ändringsförslag 31 Förslag till förordning Skäl 65 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(65) För att påvisa att denna förordning följs, bör de registeransvariga eller registerförarna dokumentera varje behandling. Alla registeransvariga och registerförare bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra dokumenteringen tillgänglig så att den kan tjäna som grund för övervakningen av behandlingen. |
(65) För att påvisa att denna förordning följs, bör de registeransvariga eller registerförarna bevara relevant information om huvudkategorierna av behandling som utförts. Kommissionen bör fastställa ett enhetligt format för dokumenteringen av denna information i hela EU. Alla registeransvariga och registerförare bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra dokumenteringen tillgänglig så att den kan användas av tillsynsmyndigheten i utvärderingen av huruvida dessa huvudkategorier av behandling överensstämmer med denna förordning. |
Motivering | |
Ett ändamålsenligt dataskydd kräver att organisationerna har en tillräckligt väl dokumenterad förståelse av sin databehandlingsverksamhet. Att behöva bevara dokumentation om all behandling är dock oproportionerligt betungande. I stället för att tillfredsställa byråkratiska krav bör syftet med dokumentationen vara att hjälpa registeransvariga och registerförare att fullgöra sina skyldigheter. | |
Ändringsförslag 32 Förslag till förordning Skäl 67 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(67) Ett personuppgiftsbrott som inte snabbt åtgärdas på lämpligt sätt kan för den enskilde leda till betydande ekonomisk förlust eller social skada. Registeransvariga bör därför så snart de blir medvetna om ett sådant brott anmäla det till tillsynsmyndigheten utan onödigt dröjsmål och, när så är möjligt, inom 24 timmar. Om detta inte kan uppnås inom 24 timmar bör en förklaring av skälen till fördröjningen åtfölja anmälan. Enskilda personer vars personuppgifter kan påverkas negativt av brottet bör meddelas utan onödig fördröjning så att de kan vidta nödvändiga försiktighetsåtgärder. Ett brott bör anses negativt påverka en registrerad persons personuppgifter eller integritet när det exempelvis kan leda till identitetsstöld eller bedrägeri, fysik skada, betydande förödmjukelse eller skadat anseende. Anmälan bör beskriva personuppgiftsbrottets art samt innehålla rekommendationer för berörd enskild person om hur de potentiella negativa effekterna kan mildras. De registrerade bör meddelas så snart detta rimligtvis är möjligt, i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra relevanta myndigheter (t.ex. brottsbekämpande myndigheter). För att den drabbade personen ska kunna mildra en omedelbar skaderisk bör han eller hon meddelas omedelbart. Däremot kan behovet att vidta lämpliga åtgärder vid fortlöpande eller likartade personuppgiftsbrott motivera en viss fördröjning. |
(67) Ett personuppgiftsbrott som inte snabbt åtgärdas på lämpligt sätt kan för den enskilde leda till betydande ekonomisk förlust eller social skada. Att gottgöra en sådan ekonomisk förlust eller social skada bör därför ha högsta prioritet. Därefter, så snart den registeransvarige blir medveten om att ett brott som allvarligt kan skada skyddet av den registrerades personuppgifter eller integritet har inträffat, bör vederbörande anmäla det till tillsynsmyndigheten utan onödigt dröjsmål. Enskilda personer vars personuppgifter kan påverkas negativt av brottet bör meddelas utan onödig fördröjning och utan att de registrerade överbelastas med information, så att de kan vidta nödvändiga försiktighetsåtgärder. Ett brott bör anses väsentligt negativt påverka en registrerad persons personuppgifter eller integritet när det exempelvis kan leda till identitetsstöld eller bedrägeri, fysik skada, betydande förödmjukelse eller skadat anseende. Anmälan bör beskriva personuppgiftsbrottets art samt innehålla rekommendationer för berörd enskild person om hur de potentiella negativa effekterna kan mildras. De registrerade bör meddelas så snart detta rimligtvis är möjligt, i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra relevanta myndigheter (t.ex. brottsbekämpande myndigheter). För att den drabbade personen ska kunna mildra en omedelbar skaderisk bör han eller hon meddelas omedelbart. Däremot kan behovet att vidta lämpliga åtgärder vid fortlöpande eller likartade personuppgiftsbrott motivera en viss fördröjning. |
Motivering | |
Syftet med detta ändringsförslag är att förtydliga dels vilka åtgärder som bör vidtas vid personuppgiftsbrott, dels ändringsförslagen avseende artiklarna 31 och 32. | |
Ändringsförslag 33 Förslag till förordning Skäl 69 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(69) När ingående regler fastställs för format och förfaranden för anmälan av personuppgiftsbrott, bör vederbörlig hänsyn tas till omständigheterna kring brottet, däribland om personuppgifterna var skyddade av lämpliga tekniska skyddsåtgärder som betydligt begränsar sannolikheten för identitetsbedrägeri eller andra former av missbruk. Dessutom bör sådana regler och förfaranden beakta brottsbekämpande myndigheters berättigade intressen i fall där en för tidig redovisning kan riskera att i onödan hämma utredning av omständigheterna kring ett brott. |
(69) När det bedöms hur ingående anmälan av personuppgiftsbrott ska vara bör vederbörlig hänsyn tas till omständigheterna kring brottet, däribland om personuppgifterna var skyddade av lämpliga tekniska skyddsåtgärder som betydligt begränsar sannolikheten för identitetsbedrägeri eller andra former av missbruk. Dessutom bör sådana regler och förfaranden beakta brottsbekämpande myndigheters berättigade intressen i fall där en för tidig redovisning kan riskera att i onödan hämma utredning av omständigheterna kring ett brott. |
Motivering | |
Detta ändringsförslag är en följd av strykningen av artikel 32.5. | |
Ändringsförslag 34 Förslag till förordning Skäl 70a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(70a) Direktiv 2002/58/EG (ändrat genom direktiv 2009/136/EG) föreskriver krav på att anmäla överträdelser av personuppgiftsskyddet i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationsnätverk i unionen. De tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster som även tillhandahåller andra tjänster omfattas även fortsättningsvis av de krav på att anmäla överträdelser som fastställs i direktivet om integritet och elektronisk kommunikation, och inte av denna förordning. Sådana tillhandahållare bör omfattas av ett enda system för anmälan av överträdelser av personuppgiftsskyddet som omfattar såväl personuppgifter som behandlas i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster som alla andra personuppgifter som de är registeransvariga för. |
Motivering | |
Tillhandahållare av elektroniska kommunikationstjänster bör omfattas av ett enda system för anmälan av överträdelser rörande de uppgifter som de behandlar, i stället för att omfattas av flera olika system beroende på vilken tjänst de erbjuder. På så sätt säkras likvärdiga förutsättningar för samtliga aktörer på marknaden. | |
Ändringsförslag 35 Förslag till förordning Skäl 97 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(97) Om behandlingen av personuppgifter inom ramen för den verksamhet som en registeransvarig eller registerförare bedriver inom unionen äger rum i fler än en medlemsstat bör en enda tillsynsmyndighet vara behörig att övervaka den registeransvariges eller registerförarens verksamheter i hela unionen och fatta alla därmed sammanhängande beslut. Detta för att öka enhetligheten i tillämpningen, skapa rättssäkerhet och minska den administrativa bördan för dessa registeransvariga och registerförare. |
(97) Om behandlingen av personuppgifter inom ramen för den verksamhet som en registeransvarig eller registerförare bedriver inom unionen äger rum i fler än en medlemsstat bör en enda tillsynsmyndighet vara behörig att övervaka den registeransvariges eller registerförarens behandlingsverksamhet i hela unionen och fatta alla därmed sammanhängande beslut. Detta för att öka enhetligheten i tillämpningen, skapa rättssäkerhet och minska den administrativa bördan för dessa registeransvariga och registerförare. Om behandlingen av personuppgifter inte utförs främst på det huvudsakliga verksamhetsstället, utan på ett av den registeransvariges eller registerförarens andra verksamhetsställen vilket är beläget i Europeiska unionen, bör den behöriga tillsynsmyndigheten för denna behandling, utan hinder av artikel 51.2, vara den som finns i den medlemsstat där detta andra verksamhetsställe är beläget. Med beaktande av bestämmelserna i kapitel VII bör detta undantag inte påverka möjligheten för tillsynsmyndigheten i den medlemsstat där det huvudsakliga verksamhetsstället är beläget att kräva in en kompletterande deklaration. |
Motivering | |
Behandling som omfattar flera länder och är lätt att kontrollera på det huvudsakliga verksamhetsstället bör omfattas av en enda myndighets behörighetsområde, efter en centraliserad deklaration. Däremot bör inhemsk behandling som utförs decentraliserat av filialer och är svår att få grepp om på det huvudsakliga verksamhetsstället kunna ingå i varje nationell tillsynsmyndighets behörighet. | |
Ändringsförslag 36 Förslag till förordning Skäl 105 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(105) För att denna förordning ska tillämpas enhetligt i hela unionen bör en mekanism för enhetlighet för samarbete mellan tillsynsmyndigheterna själva och kommissionen skapas. Denna mekanism bör främst vara tillämplig när en tillsynsmyndighet avser att vidta en åtgärd gällande behandlingar som avser erbjudande av varor eller tjänster till registrerade i flera medlemsstater, eller som avser övervakning av registrerade, eller som påtagligt kan påverka personuppgifternas fria flöde. Den bör också vara tillämplig när en tillsynsmyndighet eller kommissionen begär att ärendet bör hanteras inom ramen för mekanismen för enhetlighet. Mekanismen bör inte påverka åtgärder som kommissionen kan komma att vidta när den utövar sina befogenheter enligt fördragen. |
(105) För att denna förordning ska tillämpas enhetligt i hela unionen bör en mekanism för enhetlighet för samarbete mellan tillsynsmyndigheterna själva och kommissionen skapas. Denna mekanism bör främst vara tillämplig när en tillsynsmyndighet avser att vidta en åtgärd gällande behandlingar som avser erbjudande av varor eller tjänster till registrerade i flera medlemsstater, eller som avser övervakning av registrerade, eller som påtagligt kan påverka personuppgifternas fria flöde. Den bör också vara tillämplig när en tillsynsmyndighet eller kommissionen begär att ärendet bör hanteras inom ramen för mekanismen för enhetlighet. De registrerade bör vidare ha rätt till enhetlighet, om de anser att en åtgärd av en medlemsstats dataskyddsmyndighet inte har uppfyllt detta villkor. Mekanismen bör inte påverka åtgärder som kommissionen kan komma att vidta när den utövar sina befogenheter enligt fördragen. |
Motivering | |
Detta ändringsförslag handlar om införandet av en ny artikel 63a. | |
Ändringsförslag 37 Förslag till förordning Skäl 111 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(111) Alla registrerade bör ha rätt klaga hos en tillsynsmyndighet i en medlemsstat och ha rätt till domstolsprövning om de anser att deras rättigheter enligt denna förordning har kränkts eller om tillsynsmyndigheten inte reagerar på ett klagomål eller inte agerar när så är nödvändigt för att skydda de registrerades rättigheter. |
(111) Alla registrerade bör ha rätt klaga hos en tillsynsmyndighet i en medlemsstat och ha rätt till domstolsprövning om de anser att deras rättigheter enligt denna förordning har kränkts eller om tillsynsmyndigheten inte reagerar på ett klagomål eller inte agerar när så är nödvändigt för att skydda de registrerades rättigheter. Om den registrerade anser att kravet på enhetlighet inte är uppfyllt kan han eller hon inge ett klagomål till Europeiska dataskyddsstyrelsen. |
Ändringsförslag 38 Förslag till förordning Skäl 113 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(113) Varje fysisk eller juridisk person bör ha rätt till ett rättsmedel mot beslut rörande dem som meddelats av en tillsynsmyndighet. En eventuell talan mot en tillsynsmyndighet bör väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte. |
(113) Varje fysisk eller juridisk person bör ha rätt till ett rättsmedel mot beslut rörande dem som meddelats av en tillsynsmyndighet. En eventuell talan mot en tillsynsmyndighet bör väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte, eller vid Europeiska dataskyddsstyrelsen om det handlar om brist på enhetlighet i tillämpningen av denna förordning i andra medlemsstater. |
Ändringsförslag 39 Förslag till förordning Skäl 115 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(115) I situationer då en behörig tillsynsmyndighet belägen i en annan medlemsstat underlåter att agera eller har vidtagit otillräckliga åtgärder i samband med klagomål kan de registrerade anmoda tillsynsmyndigheten i den medlemsstat där de har hemvist att väcka talan mot den tillsynsmyndigheten vid behörig domstol i den andra medlemsstaten. Den anmodade tillsynsmyndigheten kan fatta beslut om huruvida denna begäran bör hörsammas eller ej. Beslutet bör kunna bli föremål för domstolsprövning. |
utgår |
Motivering | |
Denna möjlighet tillför inget mervärde för medborgarna och riskerar att äventyra samarbetet mellan tillsynsmyndigheterna inom ramen för mekanismen för enhetlighet. | |
Ändringsförslag 40 Förslag till förordning Skäl 118 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(118) Personer som lider skada till följd av otillåten behandling bör ha rätt till ersättning av registeransvariga eller registerförare, som dock kan befrias från skadeståndsskyldighet om de kan visa att de inte är ansvariga för skadan, särskilt om de kan påvisa att ett fel begåtts av den registrerade eller om det föreligger ett fall av force majeure. |
(118) Personer som lider skada till följd av otillåten behandling bör ha rätt till ersättning av registeransvariga eller registerförare, som dock kan befrias från skadeståndsskyldighet om de kan visa att de inte är ansvariga för skadan, särskilt om de kan påvisa att ett fel begåtts av den registrerade eller om det föreligger ett fall av force majeure. I fall av solidariskt ansvar kan den registerförare som har gett ersättning för en skada som en registrerad har lidit väcka talan mot den registeransvarige för att kräva återbetalning, om registerföraren har handlat i enlighet med den rättsligt bindande handlingen mellan sig själv och den registeransvarige. |
Motivering | |
I förordningen införs en allmän princip om registeransvarigas ansvar (artiklarna 5f och 22), som bör nämnas uttryckligen. Registerföraren definieras som den part som handlar för den registeransvariges räkning. En registerförare som inte följer sina anvisningar bär enligt artikel 26.4 ansvaret för behandlingen. | |
Ändringsförslag 41 Förslag till förordning Skäl 120 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(120) För att förstärka och harmonisera de administrativa sanktioner som kan föranledas av överträdelser av denna förordning bör samtliga tillsynsmyndigheter ha befogenhet att utfärda sanktioner för administrativa överträdelser. I denna förordning bör det anges vilka dessa överträdelser är och en övre gräns för de administrativa böter som i varje enskilt fall bör fastställas proportionellt i det enskilda fallet, med vederbörlig hänsyn bl.a. till överträdelsens natur, svårhetsgrad och varaktighet. Avvikelser i tillämpningen av de administrativa sanktionerna kan också tas upp inom ramen för mekanismen för enhetlighet. |
(120) För att förstärka och harmonisera de administrativa sanktioner som kan föranledas av överträdelser av denna förordning bör samtliga tillsynsmyndigheter ha befogenhet att utfärda sanktioner för administrativa överträdelser. I denna förordning bör det anges vilka dessa överträdelser är och en övre gräns för de administrativa böter som i varje enskilt fall bör fastställas proportionellt i det enskilda fallet, med vederbörlig hänsyn bl.a. till överträdelsens natur, svårhetsgrad och varaktighet. För att stärka den inre marknaden bör de administrativa sanktionerna vara enhetliga i alla medlemsstater. Avvikelser i tillämpningen av de administrativa sanktionerna kan också tas upp inom ramen för mekanismen för enhetlighet. |
Motivering | |
Detta ändringsförslag föregriper kravet på enhetlighet för de administrativa sanktioner som föreskrivs i artiklarna 78 och 79. | |
Ändringsförslag 42 Förslag till förordning Skäl 122 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(122) Behandling av personuppgifter som rör hälsa, som är en särskild kategori av uppgifter som förtjänar ett mer omfattande skydd, kan ofta motiveras med ett antal legitima skäl som gagnar de enskilda och samhället i stort, framför allt säkerställande av kontinuitet vid gränsöverskridande hälsovård. Denna förordning bör därför innehålla harmoniserade villkor för behandling av personuppgifter som rör hälsa, som omgärdas med särskilda och lämpliga skyddsåtgärder som skyddar enskildas grundläggande rättigheter och personuppgifter. Detta innefattar rätten för enskilda att få tillgång till sina personuppgifter som rör hälsa, exempelvis uppgifter i deras läkarjournaler med t.ex. diagnoser, undersökningsresultat, bedömningar av behandlande läkare och eventuella vårdbehandlingar eller interventioner som gjorts. |
(122) Behandling av personuppgifter som rör hälsa, som är en särskild kategori av uppgifter som förtjänar ett mer omfattande skydd, kan ofta motiveras med ett antal legitima skäl som gagnar de enskilda och samhället i stort, framför allt säkerställande av kontinuitet vid gränsöverskridande hälsovård. Denna förordning bör därför innehålla harmoniserade villkor för behandling av personuppgifter som rör hälsa, som omgärdas med särskilda och lämpliga skyddsåtgärder som skyddar enskildas grundläggande rättigheter och personuppgifter. Detta innefattar rätten för enskilda att, direkt eller genom på förhand utsedda personer, få tillgång till sina personuppgifter som rör hälsa, exempelvis uppgifter i deras läkarjournaler med t.ex. diagnoser, undersökningsresultat, bedömningar av behandlande läkare och eventuella vårdbehandlingar eller interventioner som gjorts. |
Motivering | |
Detta ändringsförslag är nödvändigt för att patienters anhöriga ska få tillgång till information, i synnerhet om patienten på grund av sjukdomens allvar inte är förmögen att fatta några beslut eller att använda informationen. | |
Ändringsförslag 43 Förslag till förordning Skäl 122a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(122a) Personer som yrkesmässigt behandlar personuppgifter om hälsotillstånd bör om möjligt få anonymiserade eller pseudonymiserade uppgifter, så att endast den allmänläkare eller specialistläkare som har begärt uppgiftsbehandlingen känner till den registrerades identitet. |
Motivering | |
Syftet med detta ändringsförslag är att skapa ytterligare ett verktyg för att skydda medborgare vars hälsoinformation kontrolleras eller behandlas yrkesmässigt av personer som inte behöver känna till den registrerades identitet. | |
Ändringsförslag 44 Förslag till förordning Skäl 129 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(129) I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra den fria rörligheten för personuppgifter inom unionen bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen. Delegerade akter bör framför allt antas när det gäller följande: behandlingens laglighet, precisering av kriterier och villkor för barns samtycke, behandling av särskilda kategorier av uppgifter, precisering av kriterier och villkor vad gäller uppenbart orimliga krav och avgifter för att den registrerade ska kunna utöva sina rättigheter, kriterier och krav vad gäller information till den registrerade och rätten till tillgång, rätten att bli bortglömd och rätten till radering, profileringsbaserade åtgärder, kriterier och krav vad gäller den registeransvariges ansvar samt inbyggt uppgiftsskydd och uppgiftsskydd som standard, registerförare, kriterier och krav vad gäller dokumentering av och säkerhet vid behandlingen, kriterier och krav vad gäller konstaterandet av personuppgiftsbrott och anmälan av detta till tillsynsmyndigheten, och gällande omständigheterna när ett personuppgiftsbrott sannolikt påverkar den registrerade negativt, kriterier och villkor vad gäller behandling som kräver en konsekvensbedömning av uppgiftsskyddet, kriterier och krav när man avgör om höggradiga särskilda risker föreligger som kräver förhandssamråd, uppgiftsskyddsombudets utnämning och arbetsuppgifter, uppförandekodexar, kriterier och krav vad gäller certifieringsmekanismer, kriterier och krav vad gäller överföringar som sker på grundval av bindande företagsregler, överföringsundantag, administrativa påföljder, behandling för hälso- och sjukvårdsändamål, behandling vid anställningar och behandling för historiska, statistiska och vetenskapliga forskningsändamål. Det är av särskild betydelse att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå. Kommissionen bör, då den förbereder och utarbetar delegerade akter, se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så snabbt som möjligt och på lämpligt sätt. |
(129) I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra den fria rörligheten för personuppgifter inom unionen bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen. Delegerade akter bör framför allt antas när det gäller följande: behandlingens laglighet, precisering av kriterier och villkor för barns samtycke, behandling av särskilda kategorier av uppgifter, kriterier och krav vad gäller information till den registrerade och rätten till tillgång, rätten att bli bortglömd och rätten till radering, profileringsbaserade åtgärder, kriterier och krav vad gäller den registeransvariges ansvar, registerförare, kriterier och krav vad gäller dokumentering, kriterier och krav vad gäller konstaterandet av personuppgiftsbrott och anmälan av detta till tillsynsmyndigheten, och gällande omständigheterna när ett personuppgiftsbrott sannolikt påverkar den registrerade negativt, kriterier och villkor vad gäller behandling som kräver en konsekvensbedömning av uppgiftsskyddet, kriterier och krav när man avgör om höggradiga särskilda risker föreligger som kräver förhandssamråd, uppgiftsskyddsombudets utnämning och arbetsuppgifter, uppförandekodexar, kriterier och krav vad gäller certifieringsmekanismer, kriterier och krav vad gäller överföringar som sker på grundval av bindande företagsregler, överföringsundantag, behandling för hälso- och sjukvårdsändamål, behandling vid anställningar och behandling för historiska, statistiska och vetenskapliga forskningsändamål. Det är av särskild betydelse att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå. Kommissionen bör, då den förbereder och utarbetar delegerade akter, se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så snabbt som möjligt och på lämpligt sätt. |
Ändringsförslag 45 Förslag till förordning Skäl 130 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(130) För att säkra enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter för att: specificera standardformulär för behandling av barns personuppgifter, standardförfaranden och formulär för utövandet av den registrerades rättigheter, standardformulär för information till den registrerade, standardformulär och förfaranden för rätten till tillgång, rätten till uppgiftsportabilitet, standardformulär avseende den registeransvariges ansvar för inbyggt uppgiftsskydd och uppgiftsskydd som standard samt dokumentation, särskilda krav på säkerhet vid behandling, standardformat och förfaranden för anmälan av personuppgiftsbrott till tillsynsmyndigheten och meddelanden om personuppgiftsbrott till den registrerade, standarder och förfaranden för konsekvensbedömning avseende uppgiftsskydd, formulär och förfaranden för förhandstillstånd och förhandssamråd, tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland eller ett territorium eller av en behandlande sektor inom detta tredjeland eller en internationell organisation, utlämnande som inte har stöd i unionslagstiftningen, ömsesidigt bistånd, gemensamma insatser och beslut enligt mekanismen för enhetlighet. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag. |
(130) För att säkra enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter för att: specificera standardformulär för behandling av barns personuppgifter, standardformulär för information till den registrerade, standardformulär och förfaranden för rätten till tillgång, standardformulär avseende den registeransvariges ansvar för dokumentation, särskilda krav på säkerhet vid behandling, standardformat och förfaranden för anmälan av personuppgiftsbrott till tillsynsmyndigheten och meddelanden om personuppgiftsbrott till den registrerade, standarder och förfaranden för konsekvensbedömning avseende uppgiftsskydd, formulär och förfaranden för förhandstillstånd och förhandssamråd, tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland eller ett territorium eller av en behandlande sektor inom detta tredjeland eller en internationell organisation, utlämnande som inte har stöd i unionslagstiftningen, ömsesidigt bistånd, gemensamma insatser och beslut enligt mekanismen för enhetlighet. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag. |
Ändringsförslag 46 Förslag till förordning Skäl 131 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(131) Mot bakgrund av att nedanstående rättsakter har allmän räckvidd bör granskningsförfarandet användas vid antagande av följande: specificerande standardformulär för barns samtycke, standardförfaranden och formulär för utövandet av den registrerades rättigheter, standardformulär för information till den registrerade, standardformulär och förfaranden för rätten till tillgång, rätten till uppgiftsportabilitet, standardformulär avseende den registeransvariges ansvar för inbyggt uppgiftsskydd och uppgiftsskydd som standard samt dokumentation, särskilda krav på säkerhet vid behandling, standardformat och förfaranden för anmälan av personuppgiftsbrott till tillsynsmyndigheten och meddelanden om personuppgiftsbrott till den registrerade, standarder och förfaranden för konsekvensbedömning avseende uppgiftsskydd, formulär och förfaranden för förhandstillstånd och förhandssamråd, tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland eller ett territorium eller av en behandlande sektor inom detta tredjeland eller en internationell organisation, utlämnande som inte har stöd i unionslagstiftningen, ömsesidigt bistånd, gemensamma insatser och beslut enligt mekanismen för enhetlighet. |
(131) Mot bakgrund av att nedanstående rättsakter har allmän räckvidd bör granskningsförfarandet användas vid antagande av följande: specificerande standardformulär för barns samtycke, standardförfaranden och formulär för utövandet av den registrerades rättigheter, standardformulär för information till den registrerade, standardformulär och förfaranden för rätten till tillgång, standardformulär avseende den registeransvariges ansvar för dokumentation, särskilda krav på säkerhet vid behandling, standardformat och förfaranden för anmälan av personuppgiftsbrott till tillsynsmyndigheten och meddelanden om personuppgiftsbrott till den registrerade, standarder och förfaranden för konsekvensbedömning avseende uppgiftsskydd, formulär och förfaranden för förhandstillstånd och förhandssamråd, tekniska standarder och mekanismer för certifiering, utlämnande som inte har stöd i unionslagstiftningen, ömsesidigt bistånd, gemensamma insatser och beslut enligt mekanismen för enhetlighet. |
Ändringsförslag 47 Förslag till förordning Skäl 139 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(139) Med hänsyn till att rätten till skydd av personuppgifter, såsom EU-domstolen har påpekat, inte är någon absolut rättighet, utan måste förstås utifrån sin funktion i samhället och balanseras i enlighet med proportionalitetsprincipen med andra grundläggande rättigheter, respekterar denna förordning alla grundläggande rättigheter och iakttar de principer som erkänns i EU:s stadga om de i fördragen fastställda grundläggande rättigheterna, främst rätten till skydd för privat- och familjeliv, bostad och kommunikationer, rätten till skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till effektivt rättsmedel och opartisk domstol samt kulturell, religiös och språklig mångfald. |
(139) Med hänsyn till att rätten till skydd av personuppgifter, såsom EU-domstolen har påpekat, inte är någon absolut rättighet, utan måste förstås utifrån sin funktion i samhället och balanseras i enlighet med proportionalitetsprincipen med andra rättigheter enligt Europeiska unionens stadga om de grundläggande rättigheterna, respekterar denna förordning alla grundläggande rättigheter och iakttar de principer som erkänns i EU:s stadga om de grundläggande rättigheterna och fastställs i fördragen, främst rätten till skydd för privat- och familjeliv, bostad och kommunikationer, rätten till skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till effektivt rättsmedel och opartisk domstol samt kulturell, religiös och språklig mångfald. |
Ändringsförslag 48 Förslag till förordning Artikel 2 – punkt 2 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
b) som utförs av unionens institutioner, organ och byråer, |
utgår |
Motivering | |
För att säkra medborgarnas förtroende måste uppgiftsskyddet vara lika bra inom samtliga sektorer. Om personuppgiftsöverträdelser i den offentliga sektorn skapar misstänksamhet bland medborgarna kommer detta att inverka negativt på den privata sektorns informations- och kommunikationsverksamhet och vice versa. Detta gäller även EU:s institutioner. | |
Ändringsförslag 49 Förslag till förordning Artikel 2 – punkt 2 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
d) som en fysisk person utför utan vinstintresse som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll, |
d) som en fysisk person utför utan vinstintresse som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll, och där personuppgifterna inte görs tillgängliga för ett obestämt antal personer, |
Motivering | |
Tillämpningsområdet för detta undantag bör förtydligas, framför allt på grund av de sociala nätverkens snabba tillväxt, i vilka uppgifter kan delas med hundratals personer. EU‑domstolen har (i mål C-101/01 och C-73/07) fastställt tillgänglighet för ett obestämt antal personer som ett kriterium för tillämpningen av detta undantag. Europeiska datatillsynsmannen är av samma åsikt. | |
Ändringsförslag 50 Förslag till förordning Artikel 2 – punkt 2 – led da (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
da) som gjorts tillräckligt anonyma i den mening som avses i artikel 4.2a, |
Motivering | |
Förtydligande i texten av skäl 23, som nämner uppgifter som gjorts tillräckligt anonyma och på vilka bestämmelserna i detta direktiv inte bör tillämpas. | |
Ändringsförslag 51 Förslag till förordning Artikel 2 – punkt 2 – led ea (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
ea) som avser de områden som omfattas av artiklarna 153, 154 och 155 i förordningen om Europeiska unionens funktionssätt (EUF-fördraget) rörande bestämmelser om rekrytering och bestämmelser om ingående och efterlevnad av kollektivavtal, |
Ändringsförslag 52 Förslag till förordning Artikel 2 – punkt 2 – led eb (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
eb) som avser en fysisk person och som görs allmänt tillgängliga under utövandet av yrkesuppgifter, såsom namn, kontaktuppgifter och funktion, |
Ändringsförslag 53 Förslag till förordning Artikel 2 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Förordningen ska inte påverka tillämpningen av direktiv 2000/31/EG, särskilt bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet. |
3. Förordningen ska inte påverka tillämpningen av direktiv 2000/31/EG, särskilt bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet, och inte heller de särskilda bestämmelserna i unionslagstiftningen eller medlemsstaternas lagstiftning om uppgiftsbehandling, särskilt vad gäller rättsligt skyddade intressen, om dessa bestämmelser föreskriver ett striktare skydd än vad som föreskrivs i denna förordning. |
Ändringsförslag 54 Förslag till förordning Artikel 3 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs av en registeransvarig eller registerförare som är etablerad i unionen. |
1. Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs av en registeransvarig eller registerförare som är etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte. |
Ändringsförslag 55 Förslag till förordning Artikel 3 – punkt 2 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
a) utbjudande av varor eller tjänster till sådana registrerade i unionen, eller |
a) utbjudande av varor och tjänster till sådana registrerade i unionen, inbegripet tjänster som tillhandahålls enskilda utan kostnad, eller |
Motivering | |
Detta tillägg bidrar till att förtydliga att det mål som eftersträvas inte är av betydelse för tillämpningen av denna förordning och att samma krav ska gälla för ideella och kostnadsfria tjänster som för övriga aktörer, förutsatt att omständigheterna är snarlika. | |
Ändringsförslag 56 Förslag till förordning Artikel 3 – punkt 2 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
b) övervakning av deras beteende. |
b) övervakning av sådana registrerades beteende i syfte att erbjuda dem varor eller tjänster. |
Ändringsförslag 57 Förslag till förordning Artikel 3 – punkt 3a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
3a. Denna förordning ska tillämpas på behandling av personuppgifter som avser registrerade personer bosatta utanför unionen och som utförs av en registeransvarig eller registerförare som är etablerad i unionen, genom dennes ekonomiska verksamhet i ett eller flera tredjeländer. |
Motivering | |
Företag eller arbetsgivare i EU bör inte tillåtas få olaglig tillgång till de anställdas personuppgifter för att därigenom övervaka deras beteende, svartlista dem på grund av medlemskap i fackföreningar etc., detta oavsett om den anställda är baserad i EU eller inte. | |
Ändringsförslag 58 Förslag till förordning Artikel 4 – led 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(1) den registrerade: en fysisk person som är direkt eller indirekt identifierad eller identifierbar, med medel som rimligen kan komma att användas av den registeransvarige eller av någon annan fysisk eller juridisk person, framför allt med hänvisning till ett identifikationsnummer, en lokaliseringsuppgift eller nätidentifierare, eller till en eller fler faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. |
(1) den registrerade: en fysisk person som är identifierad eller direkt eller indirekt identifierbar, med medel som rimligen kan komma att användas av den registeransvarige eller av någon annan fysisk eller juridisk person, framför allt med hänvisning till ett identifikationsnummer eller en identifierare, en lokaliseringsuppgift, eller till en eller fler faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. |
Motivering | |
Iakttagande av principen om nätneutralitet. | |
Ändringsförslag 59 Förslag till förordning Artikel 4 – led 2a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(2a) anonymiserade uppgifter: personuppgifter som har samlats in, ändrats eller på annat sätt behandlats så att de inte längre kan kopplas till en registrerad person. Anonymiserade uppgifter ska inte anses utgöra personuppgifter. |
Motivering | |
Företag bör ges incitament att anonymisera uppgifter, eftersom det i slutändan kommer att stärka konsumenternas integritetsskydd. Ändringarna syftar till att förtydliga betydelsen av anonymiserade uppgifter för att se till att sådana uppgifter, i linje med skäl 23, uttryckligen inte omfattas av förordningen. Definitionen har hämtats från artikel 3.6 i Tysklands federala dataskyddslag. | |
Ändringsförslag 60 Förslag till förordning Artikel 4 – led 3a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(3a) profilering: varje form av automatisk behandling av personuppgifter som syftar till att utvärdera vissa personliga egenskaper hos en fysisk person eller att analysera eller förutsäga i synnerhet vederbörandes arbetsprestationer, ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende. |
Ändringsförslag 61 Förslag till förordning Artikel 4 – led 3b (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(3b) pseudonymiserade uppgifter: alla personuppgifter som har samlats in, ändrats eller på annat sätt behandlats så att de i sig inte kan kopplas till en registrerad person utan ytterligare uppgifter som omfattas av fristående och åtskilda tekniska och organisatoriska kontroller för att säkerställa att det inte finns någon koppling till en registrerad person, eller att en sådan koppling skulle ta oproportionerligt mycket tid, pengar och arbete i anspråk. |
Motivering | |
Detta är en del av en omgång med ändringsförslag som möjliggör användning av pseudonymiserade och anonymiserade uppgifter och kommer att uppmuntra till god företagssed som slår vakt om registrerade personers intressen. Om man ser till att personuppgifter inte kan kopplas till en registrerad person (genom att de inte kan spåras tillbaka till den registrerade utan ytterligare uppgifter) kommer det att hjälpa till att stimulera företags användning av personuppgifter samtidigt som man säkerställer en hög konsumentskyddsnivå. | |
Ändringsförslag 62 Förslag till förordning Artikel 4 – led 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(5) registeransvarig: en fysisk eller juridisk person, myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen, villkoren och medlen för behandlingen av personuppgifter; om ändamålen, villkoren och medlen för behandlingen bestäms av unionslagstiftningen eller medlemsstaternas lagstiftning kan den registeransvarige eller de särskilda kriterierna för hur denne ska utses anges i unionslagstiftningen eller i medlemsstaternas lagstiftning. |
(5) registeransvarig: en fysisk eller juridisk person, myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen för behandlingen av personuppgifter; om ändamålen för behandlingen bestäms av unionslagstiftningen eller medlemsstaternas lagstiftning kan den registeransvarige eller de särskilda kriterierna för hur denne ska utses anges i unionslagstiftningen eller i medlemsstaternas lagstiftning. |
Motivering | |
Med den nya teknik och de nya tjänster som finns tillgängliga, exempelvis datormoln, kan det komma att bli svårt med en traditionell uppdelning av enheter som arbetar med behandling av personuppgifter, och den registeransvarige har i dessa fall ett betydande inflytande över det sätt på vilket uppgifterna behandlas. Därför verkar det vara lämpligt att fastställa att den registeransvarige är den enhet som avgör ändamålet för behandlingen av personuppgifter, som är en avgörande faktor för slutresultatet, eftersom detta är det viktigaste beslutet medan övriga faktorer bidrar till att uppnå slutresultatet. | |
Ändringsförslag 63 Förslag till förordning Artikel 4 – led 8 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(8) den registrerades samtycke: varje slag av frivillig, specifik, informerad och uttrycklig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig affirmativ handling, godtar behandling av personuppgifter som rör honom eller henne. |
(8) den registrerades samtycke: varje slag av frivillig viljeyttring, som måste vara specifik, informerad och så uttrycklig som möjlig med hänsyn till sammanhanget, genom vilken den registrerade, antingen genom ett uttalande eller en entydig affirmativ handling som måste vara uttrycklig när det rör sig om behandling av uppgifter som avses i artikel 9.1, godtar behandling av personuppgifter som rör honom eller henne. |
Ändringsförslag 64 Förslag till förordning Artikel 4 – led 9 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(9) personuppgiftsbrott: ett säkerhetsbrott som leder till förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. |
(9) personuppgiftsbrott: ett säkerhetsbrott som leder till förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Starkt krypterade uppgifter, för vilka det finns belägg för att krypteringsnyckeln inte har äventyrats, omfattas inte av dessa bestämmelser. |
Motivering | |
Förlust av uppgifter som är starkt krypterade och för vilka krypteringsnyckeln inte har förlorats innebär inte någon risk för skada för den enskilda personen eftersom uppgifterna helt enkelt inte kan läsas. Uppgifter som inte kan läsas verkar det inte vara rimligt att behandla i enlighet med artiklarna 31 och 32. Meddelandet förbättrar inte integriteten för medborgare i denna situation. | |
Ändringsförslag 65 Förslag till förordning Artikel 4 – led 13 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(13) huvudsakligt verksamhetsställe: när det gäller den registeransvarige, den plats i unionen där denne är etablerad, där de huvudsakliga besluten om syftena, villkoren och medlen för behandlingen av personuppgifter fattas; om inga beslut om syftena, villkoren och metoderna för behandlingen av personuppgifter fattas i unionen är det huvudsakliga verksamhetsstället den plats där den huvudsakliga behandlingen inom ramen för den verksamhet som bedrivs vid en registeransvarigs verksamhetsställe i unionen äger rum. När det gäller registerföraren avses med huvudsakligt verksamhetsställe den plats i unionen där vederbörande har sin centrala förvaltning. |
(13) huvudsakligt verksamhetsställe: den plats som fastställs av de registeransvarigas eller registerförarnas företag eller företagsgrupp, och som ska omfattas av den mekanism för enhetlighet som föreskrivs i artikel 57 utifrån bland annat, men inte endast, följande alternativa och objektiva kriterier: |
|
|
a) den plats där företagsgruppens huvudkontor är beläget, |
|
|
b) den plats där den enhet inom företagsgruppen är belägen som har ett delegerat ansvar för uppgiftsskydd, |
|
|
c) den plats där den enhet inom gruppen är belägen som med hänsyn till lednings- och förvaltningsansvar är bäst lämpad att hantera och verkställa bestämmelserna i denna förordning, eller |
|
|
d) den plats där den verkliga ledningsverksamhet bedrivs som genom stabila strukturer är avgörande för uppgiftsbehandlingen. |
|
|
Den behöriga myndigheten ska av företaget eller företagsgruppen informeras om vilket som är det huvudsakliga verksamhetsstället. |
Motivering | |
Den föreslagna definitionen av huvudsakligt verksamhetsställe är för vag och lämnar alltför stort tolkningsutrymme. Det måste finnas ett enhetligt test för att fastställa en organisations huvudsakliga verksamhetsställe, som kan tillämpas på företag och företagsgrupper som referenspunkt utifrån relevanta objektiva kriterier. Dessa kriterier används för att fastställa lämpliga dataskyddsmyndigheter för bindande företagsbestämmelser och har därför redan visat sig vara användbara. | |
Ändringsförslag 66 Förslag till förordning Artikel 5 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
c) De ska vara adekvata, relevanta och begränsade till ett strikt minimum när det gäller de syften för vilka de behandlas; de ska bara behandlas om, och så länge som, syftena inte kan uppnås genom att man behandlar information som inte rör personuppgifter. |
c) De ska vara adekvata, relevanta och inte alltför omfattande i förhållande till de syften för vilka de behandlas. de ska bara behandlas om, och så länge som, syftena inte kan uppnås genom att man behandlar information som inte rör personuppgifter. |
Motivering | |
Denna ändring möjliggör behandling av ”inte alltför omfattande” personuppgifter och är lämpligare. Den hänför sig till formuleringen i det ursprungliga dataskyddsdirektivet 95/46/EG och syftar till att undvika inkonsekvens med andra EU-bestämmelser såsom konsumentkreditdirektivet och kapitalkravspaketet, som också kräver att exempelvis kreditinstitut behandlar personuppgifter. | |
Ändringsförslag 67 Förslag till förordning Artikel 5 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
e) De ska förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas; personuppgifter får lagras under längre perioder i den mån som uppgifterna endast behandlas för historiska, statistiska eller vetenskapliga forskningsändamål i enlighet med bestämmelserna och villkoren i artikel 83 och om en periodisk översyn genomförs för att bedöma behovet av fortsatt lagring. |
e) De ska förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas; personuppgifter får lagras under längre perioder i den mån som uppgifterna endast behandlas för historiska, statistiska eller vetenskapliga forskningsändamål i enlighet med bestämmelserna och villkoren i artiklarna 81 och 83 och om en periodisk översyn genomförs för att bedöma behovet av fortsatt lagring. |
Motivering | |
Det bör också vara möjligt att lagra personuppgifter under längre perioder för hälsorelaterade ändamål (artikel 81) och för historiska, statistiska och vetenskapliga forskningsändamål (artikel 83), vilket redan anges i kommissionens text. På så sätt säkras att alla relevanta uppgifter finns tillgängliga så att den registrerade kan få lämplig vård. | |
Ändringsförslag 68 Förslag till förordning Artikel 6 – punkt 1 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige. |
c) Behandlingen är nödvändig för att fullgöra eller undvika överträdelser av en rättslig förpliktelse eller rättighet som fastställs i EU-rätten eller i nationell rätt och som åvilar den registeransvarige, inbegripet för att utföra en arbetsuppgift som är ett led i en kreditvärdighetsbedömning eller för att förebygga och upptäcka bedrägerier. |
Ändringsförslag 69 Förslag till förordning Artikel 6 – punkt 1 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
e) Behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige. |
e) Behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige eller för att utföra en arbetsuppgift som är ett led i en kreditvärdighetsbedömning eller för att förebygga och upptäcka bedrägerier. |
Ändringsförslag 70 Förslag till förordning Artikel 6 – punkt 1 – led f | |
|
Kommissionens förslag |
Ändringsförslag |
|
f) Behandlingen är nödvändig för ändamål som rör den registeransvariges berättigade intressen, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Detta ska inte gälla för behandling som utförs av myndigheter i deras myndighetsutövning. |
f) Behandlingen är nödvändig för ändamål som rör berättigade intressen för den registeransvarige eller de registeransvariga eller den eller de tredje parter till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Detta ska inte gälla för behandling som utförs av myndigheter i deras myndighetsutövning. |
Motivering | |
This amendment seeks to regulate the situation when a third party has a legitimate interest to process data, in line with the current Directive 95/46/EC which recognizes the legitimate interest of a third party. This is for example the case in some Member States where the social partners regulate wages and other work conditions through collective agreements. Trade unions negotiate with employers to ensure a common set of rights that apply to all employees at a workplace, regardless of whether or not they are union members. In order for this system to function the unions must have the possibility to monitor the observance of collective agreements. | |
Ändringsförslag 71 Förslag till förordning Artikel 6 – punkt 1 – led fa (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
fa) Uppgifterna samlas in från offentliga register, förteckningar och handlingar som är tillgängliga för alla. |
Ändringsförslag 72 Förslag till förordning Artikel 6 – punkt 1 – led fb (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
fb) Behandlingen av uppgifter, bland annat information om medlemmar i en organisation, som den aktuella organisationen utför i enlighet med sin stadga, är av största betydelse för den registeransvarige i organisationer som grundar sig på frivilligt medlemskap. |
Ändringsförslag 73 Förslag till förordning Artikel 6 – punkt 1 – led fc (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
fc) Behandlingen är nödvändig för att upptäcka och förebygga bedrägerier i enlighet med den tillämpliga finansiella regleringen eller näringslivets eller branschorganisationers fastställda uppförandekoder. |
Motivering | |
Erfarenheter har i praktiken visat att en ”rättslig förpliktelse” inte omfattar den inhemska finansiella regleringen eller uppförandekoder som är av avgörande betydelse för att förebygga och upptäcka bedrägerier, vilket är av yttersta vikt för registeransvariga och för att skydda registrerade personer. | |
Ändringsförslag 74 Förslag till förordning Artikel 6 – punkt 1 – led fd (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
fd) Behandlingen är nödvändig för att försvara ett intresse, samla in rättsligt hållbara bevis eller registrera en åtgärd. |
Ändringsförslag 75 Förslag till förordning Artikel 6 – punkt 1 – led fe (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
fe) Endast pseudonymiserade uppgifter behandlas. |
Motivering | |
Detta är en del av en omgång med ändringsförslag som möjliggör användning av pseudonymiserade och anonymiserade uppgifter och kommer att uppmuntra till god företagssed som slår vakt om registrerade personers intressen. Om man ser till att personuppgifter inte kan kopplas till en registrerad person (genom att de inte kan spåras tillbaka till den registrerade utan ytterligare uppgifter) kommer det att hjälpa till att stimulera företags användning av personuppgifter samtidigt som man säkerställer en hög konsumentskyddsnivå. | |
Ändringsförslag 76 Förslag till förordning Artikel 6 – punkt 3 – stycke 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Lagstiftningen i medlemsstaten måste uppfylla ett mål av allmänt intresse eller vara nödvändig för att skydda andras fri- och rättigheter, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas. |
Lagstiftningen i medlemsstaten måste uppfylla ett mål av allmänt intresse eller vara nödvändig för att skydda andras fri- och rättigheter. Lagstiftningen i medlemsstaten måste också respektera denna förordning och de internationella fördrag som medlemsstaten har beslutat att följa. Slutligen måste medlemsstaten utvärdera och besluta om den nationella lagstiftningen är proportionell mot det legitima mål som eftersträvas eller om ett berättigat mål skulle kunna uppnås med mindre integritetskränkande lösningar. |
Motivering | |
Article 6, paragraph 1, point e states that processing is lawful if: “processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller”. Seen in connection with paragraph 3, this leaves Member States a very wide margin for eroding citizens’ protection of data mentioned in this regulation using national legislation. The harmonisation among Member States will be under pressure because national interests will result in many different examples of legislation. Citizens’ data will be processed differently in the different countries. | |
Ändringsförslag 77 Förslag till förordning Artikel 6 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. När ändamålet med ytterligare behandling inte är förenligt med det ändamål för vilket personuppgifterna har samlats in, måste behandlingen ha en rättslig grund i minst en av de grunder som anges i punkt 1 a–e. Detta ska särskilt gälla eventuella ändringar av förutsättningarna och de allmänna villkoren för ett avtal. |
4. När ändamålet med ytterligare behandling inte är förenligt med det ändamål för vilket personuppgifterna har samlats in, måste behandlingen ha en rättslig grund i minst en av de grunder som anges i punkt 1. Detta ska särskilt gälla eventuella ändringar av förutsättningarna och de allmänna villkoren för ett avtal. |
Motivering | |
Att göra anpassningar beträffande samtycke i detta sammanhang och säkra ett effektivt integritetsskydd är i linje med de mål som eftersträvas i förslagen till skäl 25. | |
Ändringsförslag 78 Förslag till förordning Artikel 6 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera de villkor som avses i punkt 1 f för olika sektorer och situationer vid behandlingen av personuppgifter, bland annat när det gäller behandlingen av personuppgifter som rör barn. |
utgår |
Motivering | |
Inga ytterligare förtydliganden är nödvändiga. | |
Ändringsförslag 79 Förslag till förordning Artikel 7 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige ska bära bevisbördan när det gäller den registrerades samtycke till behandlingen av hans eller hennes personuppgifter för bestämda ändamål. |
1. I de fall där samtycke krävs ska den form av samtycke som inhämtas för behandlingen av en registrerad persons personuppgifter vara proportionell mot den typ av uppgifter som behandlas, ändamålet för behandlingen och alla eventuella risker som fastställts genom en konsekvensbedömning avseende uppgiftsskydd. |
Ändringsförslag 80 Förslag till förordning Artikel 7 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten hos behandling som grundar sig på samtycke, innan detta återkallas. |
3. De registrerade ska ha rätt att återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten hos behandling som grundar sig på samtycke, innan detta återkallas eller i fall där EU‑lagstiftning eller nationell lagstiftning föreskriver en minimiperiod för lagring eller där uppgifter behandlas i enlighet med EU-bestämmelser och nationella bestämmelser eller i bedrägeribekämpningssyfte eller rättsligt syfte. Den registrerade måste informera den registeransvarige om sin önskan att återkalla sitt samtycke. |
Ändringsförslag 81 Förslag till förordning Artikel 7 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Samtycke ska inte utgöra en rättslig grund för behandlingen, om det föreligger en betydande obalans mellan den registrerades och den registeransvariges ställning. |
utgår |
Motivering | |
Formuleringar såsom ”betydande obalans” skapar sannolikt ett osäkert rättsläge. Dessutom är det onödigt eftersom avtalsrätten, inbegripet konsumentskyddslagstiftningen, föreskriver ett tillräckligt skydd mot bedrägerier, hot, otillbörligt utnyttjande etc., och detta skydd bör även gälla avtal om behandling av personuppgifter. | |
Ändringsförslag 82 Förslag till förordning Artikel 7 – punkt 4a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
4a. Genomförandet av ett avtal eller tillhandahållandet av en tjänst får inte förenas med villkor på samtycke till behandling eller användning av uppgifter som inte är nödvändig för genomförandet av avtalet eller tillhandahållandet av tjänsten i enlighet med artikel 6.1 b. |
Ändringsförslag 83 Förslag till förordning Artikel 7 – punkt 4b (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
4b. Denna artikel ska inte gälla om den registrerades samtycke krävs enligt lag. |
Ändringsförslag 84 Förslag till förordning Artikel 7 – punkt 4c (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
4c. Tillgång till ett visst samtycke rörande artiklarna 6.1 a och 9.2 a kan begränsas i fall där organisationer driver igenom sina interna bestämmelser i fråga om bedrägerier och av brottsbekämpningsskäl i enlighet med medlemsstatens lagstiftning. |
Ändringsförslag 85 Förslag till förordning Artikel 7 – punkt 4d (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
4d. Den lagstiftning som ska tillämpas för att avgöra villkoren för hur en person som saknar rättslig handlingsförmåga ger eller godkänner samtycke ska vara lagstiftningen i den medlemsstat där denna person är bosatt. |
Ändringsförslag 86 Förslag till förordning Artikel 7 – punkt 4e (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
4e. Denna bestämmelse ska inte gälla arbetsgivarens rätt att behandla uppgifter efter samtycke från en anställd och inte heller myndigheters rätt att behandla uppgifter efter samtycke från en medborgare. |
Ändringsförslag 87 Förslag till förordning Artikel 8 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Vid tillämpningen av denna förordning och när det gäller erbjudande av informationssamhällets tjänster direkt till ett barn, ska det endast vara tillåtet att behandla personuppgifter som rör ett barn som är under 13 år om och i den mån som samtycket ges eller godkänns av barnets förälder eller förmyndare. Den registeransvarige ska göra rimliga ansträngningar för att erhålla ett kontrollerbart samtycke, med hänsyn tagen till tillgänglig teknik. |
1. Vid tillämpningen av denna förordning och när det gäller erbjudande av varor och tjänster direkt till ett barn, ska det endast vara tillåtet att behandla personuppgifter som rör ett barn som är under 13 år om och i den mån som samtycket ges eller godkänns av barnets förälder eller förmyndare. Den registeransvarige ska göra rimliga ansträngningar för att erhålla ett kontrollerbart samtycke, med hänsyn tagen till tillgänglig teknik och utan att det ger upphov till onödig behandling av personuppgifter. |
Ändringsförslag 88 Förslag till förordning Artikel 8 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. Den information som tillhandahålls om att uttrycka samtycke bör lämnas på ett klart och åldersanpassat språk och på ett sådant sätt att det lätt kan förstås av ett barn som fyllt 13 år. |
Ändringsförslag 89 Förslag till förordning Artikel 8 – punkt 4a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
4a. Den information som avses i punkterna 1, 1a, 2 och 3 ska inte gälla om behandlingen av ett barns personuppgifter avser hälsoinformation och om medlemsstatens lagstiftning på området för hälso- och socialvård prioriterar en enskild persons förmåga framför fysisk ålder. |
Motivering | |
När det gäller hälso- och socialvård bör det inte vara nödvändigt att erhålla tillstånd från ett barns förälder eller förvaltare om barnet har förmåga att ta egna beslut. När det gäller barnets skydd är det inte alltid i den registrerades intresse att dennes föräldrar eller förvaltare har tillgång till personens uppgifter och detta måste återspeglas i lagstiftningen. | |
Ändringsförslag 90 Förslag till förordning Artikel 9 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, och behandling av genetiska uppgifter eller uppgifter om hälsa eller sexualliv eller fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder är förbjuden. |
1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening och verksamhet, betydande sociala problem, privat information och behandling av genetiska uppgifter eller uppgifter om hälsa eller sexualliv eller fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder är förbjuden. |
Motivering | |
I Danmark har man fler särskilda kategorier av uppgifter som kräver det mest omfattande skyddet än vad som föreslås i förordningen. Detta resulterar i att förordningen faktiskt gör att de danska medborgarna hamnar i en sämre sits än med den befintliga lagstiftningen. Därför föreslår jag att de särskilda kategorierna utökas så att de inkluderar betydande sociala problem och privat information. | |
Ändringsförslag 91 Förslag till förordning Artikel 9 – punkt 2 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
a) Den registrerade har lämnat sitt samtycke till behandlingen av dessa personuppgifter, på de villkor som anges i artiklarna 7 och 8, utom då unionslagstiftningen eller medlemsstaternas lagstiftning föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade. |
a) Den registrerade har lämnat sitt samtycke till behandlingen av dessa personuppgifter, på de villkor som anges i artiklarna 7 och 8, utom då unionslagstiftningen eller medlemsstaternas lagstiftning föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade. Detta skulle i synnerhet inkludera skyddsåtgärder som förebygger svartlistning av anställda, exempelvis vad gäller deras fackföreningsverksamhet eller deras roll som hälso- och säkerhetsombud. |
Ändringsförslag 92 Förslag till förordning Artikel 9 – punkt 2 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
b) Behandlingen är nödvändig för att den registeransvarige ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten, i den omfattning detta är tillåtet enligt unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder. |
b) Behandlingen är nödvändig för att den registeransvarige ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten, i den omfattning detta är tillåtet enligt unionslagstiftningen, en medlemsstats lagstiftning eller kollektivavtal på arbetsmarknaden som föreskriver lämpliga skyddsåtgärder. |
Ändringsförslag 93 Förslag till förordning Artikel 9 – punkt 2 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
d) Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke. |
d) Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening, en arbetsmarknadsorganisation eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke. |
Ändringsförslag 94 Förslag till förordning Artikel 9 – punkt 2 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
e) Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade. |
e) Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade eller som på den registrerades initiativ har överförts frivilligt till den registeransvarige och som behandlas för det särskilda ändamål som den registrerade bestämt med hänsyn till sitt eget intresse. |
Ändringsförslag 95 Förslag till förordning Artikel 9 – punkt 2 – led j | |
|
Kommissionens förslag |
Ändringsförslag |
|
j) Behandlingen av uppgifter som rör fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder utförs antingen under kontroll av en officiell myndighet eller behandlingen är nödvändig för att fullgöra en förpliktelse i lagstiftning eller bestämmelser som den registeransvarige omfattas av, eller för att genomföra en arbetsuppgift som utförs för viktiga ändamål av allmänt intresse, i den mån som den bemyndigas av unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder. Ett fullständigt register över brottmålsdomar ska föras endast under kontroll av en myndighet. |
j) Behandlingen av uppgifter som rör fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder utförs antingen under tillsyn av den behöriga tillsynsmyndigheten eller för att behandlingen är nödvändig för att fullgöra eller undvika att överträda en förpliktelse i EU:s eller medlemsstaternas lagstiftning eller bestämmelser eller kollektivavtal på arbetsmarknaden som den registeransvarige omfattas av, eller för att genomföra en arbetsuppgift som utförs för viktiga ändamål av allmänt intresse, i den mån som den bemyndigas av unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder. Ett fullständigt register över brottmålsdomar ska föras endast under kontroll av en myndighet. |
Motivering | |
Det är viktigt att arbetsgivarnas organisationer och de anställdas organisationer (fackföreningarna) kan fortsätta att förhandla med varandra i framtiden och skapa kollektivavtal som är i linje med medlemsstaternas specifika kultur, traditioner, konkurrenskraft och ekonomiska situation. | |
Ändringsförslag 96 Förslag till förordning Artikel 9 – punkt 2 – led ja (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
ja) Behandlingen av personuppgifter som avser brottmålsdomar eller relaterade skyddsåtgärder utförs utifrån databaser – innehållande uppgifter om tidigare bedrägerier mot kreditinstitut eller medlemmar av andra finansgrupper – som regleras av EU-lagstiftning eller nationell lagstiftning och som upprättats av finansinstitut i syfte att förebygga bedrägerier. Restriktionerna för behandling av uppgifter som avser brottmålsdomar bör inte tillämpas på uppgifter om brott. |
Ändringsförslag 97 Förslag till förordning Artikel 9 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna, villkoren och de lämpliga skyddsåtgärderna för behandlingen av de särskilda kategorier av personuppgifter som avses i punkt 1 och de undantag som fastställs i punkt 2. |
utgår |
Ändringsförslag 98 Förslag till förordning Artikel -11 (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel -11 |
|
|
Allmänna principer för registrerade personers rättigheter |
|
|
1. Grunden för uppgiftsskyddet är att den registrerade ska ha tydliga och entydiga rättigheter i förhållande till den registeransvarige. Bestämmelserna i denna förordning syftar till att stärka, förtydliga, garantera och vid behov beskriva dessa rättigheter. |
|
|
2. Dessa rättigheter består av bland annat tillhandahållandet av tydlig och lättbegriplig information om den registeransvariges strategier för den registrerades tillgång till och möjlighet att rätta och radera sina uppgifter, rätten till uppgiftsportabilitet samt rätten att invända mot profilering. Dessutom måste sådana rättigheter generellt kunna utövas kostnadsfritt och den registeransvarige måste behandla en begäran från den registrerade inom rimlig tid. |
Ändringsförslag 99 Förslag till förordning Artikel 11 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den registeransvarige ska tillhandahålla all information och kommunikation som rör behandlingen av personuppgifter till den registrerade i en begriplig form, med användning av klart och tydligt språk, anpassat till den registrerade, i synnerhet för eventuell information särskilt riktad till barn. |
2. Den registeransvarige ska tillhandahålla all information och kommunikation som rör behandlingen av personuppgifter till den registrerade i en begriplig form, med användning av klart och tydligt språk, i synnerhet för eventuell information särskilt riktad till barn. |
Motivering | |
Information och kommunikation som rör behandlingen av personuppgifter måste vara klar och begriplig. Uttrycket ”anpassat till den registrerade” riskerar att skapa osäkerhet i rättsligt hänseende. Det verkar rimligt med en särskild skyldighet i fråga om barn, som utgör en kategori för sig. | |
Ändringsförslag 100 Förslag till förordning Artikel 11 – punkt 2a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2a. Information ska tillhandahållas till registrerade personer i ett format som ger dem den information de behöver för att kunna förstå sin ställning och fatta beslut på ett lämpligt sätt. De ska kunna begära att få tillgång till all information. Därför ska den registeransvarige lämna transparent information om det uppgiftsskydd som erbjuds genom att tillhandahålla en lättbegriplig och ikonbaserad beskrivning av uppgiftsbehandlingens olika steg. |
Ändringsförslag 101 Förslag till förordning Artikel 12 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige ska inrätta förfaranden för att tillhandahålla den information som avses i artikel 14 och för de registrerades utövande av sina rättigheter i enlighet med artikel 13 och artiklarna 15–19. Den registeransvarige ska särskilt skapa rutiner för att underlätta begäran om de åtgärder som avses i artikel 13 och artiklarna 15–19. Om personuppgifter behandlas på automatisk väg ska den registeransvarige också skapa förutsättningar för att begäran ska kunna göras elektroniskt. |
1. Den registeransvarige ska inrätta förfaranden för att tillhandahålla den information som avses i artikel 14 och för de registrerades utövande av sina rättigheter i enlighet med artikel 13 och artiklarna 15–19. Den registeransvarige ska särskilt skapa rutiner för att underlätta begäran om de åtgärder som avses i artikel 13 och artiklarna 15–19. Om personuppgifter behandlas på automatisk väg ska den registeransvarige också skapa förutsättningar för att begäran ska kunna göras elektroniskt. De förfaranden som avses i denna artikel kan vara förfaranden som redan har fastställts av medlemsstaternas myndigheter under förutsättning att dessa förfaranden överensstämmer med bestämmelserna i förordningen. |
Ändringsförslag 102 Förslag till förordning Artikel 12 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den registeransvarige ska utan dröjsmål och senast en månad efter att ha mottagit begäran underrätta den registrerade om huruvida åtgärder har vidtagits i enlighet med artikel 13 och artiklarna 15–19 samt tillhandahålla den information som begärts. Denna period får förlängas med ytterligare en månad, om flera registrerade utövar sina rättigheter och deras samarbete i rimlig utsträckning är nödvändigt för att förhindra en onödig och oproportionell ansträngning från den registeransvariges sida. Information ska ges skriftligt. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i elektronisk form, om den registrerade inte begär något annat. |
2. Den registeransvarige ska utan dröjsmål och senast en månad efter att ha mottagit begäran underrätta den registrerade om huruvida åtgärder har vidtagits i enlighet med artikel 13 och artiklarna 15–19 samt tillhandahålla den information som begärts. Denna period får förlängas med ytterligare en månad, om flera registrerade utövar sina rättigheter och deras samarbete i rimlig utsträckning är nödvändigt för att förhindra en onödig och oproportionell ansträngning från den registeransvariges sida. Information ska ges skriftligt. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i elektronisk form, om den registrerade inte begär något annat eller om inte den registeransvarige har skäl att tro att tillhandahållandet av information i elektronisk form skulle innebära en betydande risk för bedrägeri. |
Motivering | |
Att lämna ut vissa uppgifter, till exempel kreditupplysningar, i elektronisk form skulle kunna resultera i en ändring eller identitetsstöld om de tillhandahålls konsumenterna. För att uppgifter från kreditupplysningsföretag ska få lämnas ut bör det krävas äkthetskontroller som uppfyller kriterier som fastställts av det organ som innehar uppgifterna, för att förebygga att uppgifterna fångas upp, missbrukas, används för bedrägliga ändamål eller ändras. | |
Ändringsförslag 103 Förslag till förordning Artikel 12 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Den information och de åtgärder som vidtas på sådan begäran som avses i punkt 1 ska vara gratis. Om begäran är uppenbart orimlig, särskilt på grund av dess repetitiva karaktär, får den registeransvarige ta ut en avgift för att tillhandahålla den information eller vidta den åtgärd som begärts, och får om denna avgift inte betalas avstå från att vidta åtgärden. I så fall ska det åligga den registeransvarige att visa att begäran är uppenbart orimlig. |
4. Den information och de åtgärder som vidtas på sådan begäran som avses i punkt 1 ska vara gratis. Om begäran är uppenbart orimlig, särskilt på grund av dess repetitiva karaktär, får den registeransvarige ta ut en rimlig avgift för att tillhandahålla den information eller vidta den åtgärd som begärts. I så fall ska det åligga den registeransvarige att visa att begäran är uppenbart orimlig. |
Ändringsförslag 104 Förslag till förordning Artikel 12 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för en sådan uppenbart orimlig begäran och sådana avgifter som avses i punkt 4. |
utgår |
Motivering | |
Denna bestämmelse bör inte preciseras närmare med hjälp av delegerade akter. Medlemsstaternas tillsynsmyndigheter är bättre lämpade att åtgärda eventuella problem. | |
Ändringsförslag 105 Förslag till förordning Artikel 12 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Kommissionen får fastställa standardformulär och precisera standardförfaranden för den kommunikation som avses i punkt 2, inbegripet det elektroniska formatet. Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2. |
utgår |
Motivering | |
Medlemsstaternas tillsynsmyndigheter är bättre lämpade att åtgärda eventuella problem. | |
Ändringsförslag 106 Förslag till förordning Artikel 13 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Den registeransvarige ska underrätta varje mottagare till vilken uppgifterna har lämnats ut om eventuella rättelser eller raderingar som utförts i enlighet med artiklarna 16 och 17, om inte detta visar sig vara omöjligt eller inbegripa en oproportionell ansträngning. |
Eventuella rättelser eller raderingar som utförts i enlighet med artiklarna 16 och 17 ska utvidgas till att gälla varje mottagare till vilken uppgifterna har lämnats ut utan den registrerades kontroll. |
Motivering | |
Försäljning av en databas till en tredje part befriar inte den registeransvarige från dennes skyldigheter. Om den registrerade i stället frivilligt eller avsiktligt har överfört en del information genom den registeransvarige har den sistnämnde inget vidare ansvar. | |
Ändringsförslag 107 Förslag till förordning Artikel 14a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 14a |
|
|
Kontroll av den registrerades identitet |
|
|
Den registeransvarige måste se till att tillräcklig dokumentation beträffande den registrerades identitet har mottagits när den registrerade vill hävda sina rättigheter i enlighet med artiklarna 14-19 i denna förordning. |
Motivering | |
Denna förordning ger medborgarna nya rättigheter, men det anges inte hur medborgarna ska fås att dokumentera sin identitet för att kunna hävda dessa rättigheter. Det är viktigt att medborgarens identitet dokumenteras och eventuellt kan ifrågasättas av den registeransvarige för att förhindra eventuella identitetsstölder. | |
Ändringsförslag 108 Förslag till förordning Artikel 14 – punkt 1 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Om personuppgifter som rör en registrerad person samlas in, ska den registeransvarige till den registrerade åtminstone lämna information om följande: |
1. Om personuppgifter som rör en registrerad person samlas in, ska den registeransvarige till den registrerade lämna information om följande: |
Ändringsförslag 109 Förslag till förordning Artikel 14 – punkt 1 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
c) Den period under vilken personuppgifterna kommer att lagras. |
c) De kriterier och/eller rättsliga förpliktelser som avgör hur länge personuppgifterna ska lagras för varje enskilt syfte. |
Motivering | |
Det är inte alltid möjligt att närmare ange exakt hur länge personuppgifterna kommer att lagras, särskilt när de lagras för olika syften. | |
Ändringsförslag 110 Förslag till förordning Artikel 14 – punkt 1 – led h | |
|
Kommissionens förslag |
Ändringsförslag |
|
h) Eventuell ytterligare information som är nödvändig för att tillförsäkra den registrerade en korrekt behandling med hänsyn tagen till de särskilda omständigheter under vilka personuppgifterna samlas in. |
h) Eventuell ytterligare information som av den registeransvarige bedöms nödvändig för att tillförsäkra den registrerade en korrekt behandling med hänsyn tagen till de särskilda omständigheter under vilka personuppgifterna samlas in. |
Motivering | |
Man bör förtydliga räckvidden för denna bestämmelse och ange att registeransvariga kan garantera en högre nivå i fråga om öppenhet och insyn. | |
Ändringsförslag 111 Förslag till förordning Artikel 14 – punkt 5 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
b) Uppgifterna samlas inte in från den registrerade och tillhandahållandet av sådan information visar sig vara omöjligt eller skulle inbegripa en oproportionell ansträngning. |
b) Uppgifterna är avsedda endast för ändamålen i artikel 83, samlas inte in från den registrerade och tillhandahållandet av sådan information visar sig vara omöjligt eller skulle inbegripa en oproportionell ansträngning och innebära en alltför stor administrativ börda, särskilt när behandlingen utförs av ett litet eller medelstort företag i enlighet med EU:s rekommendation 2003/361/EG. |
Motivering | |
Denna bestämmelse härrör direkt från artikel 11.2 i direktiv 95/46/EG, men utan detta förtydligande skulle det ha uppstått ett kryphål i konsumentskyddet. Genom detta ändringsförslag uppnås överensstämmelse mellan de ursprungliga avsikterna och formuleringen. | |
Ändringsförslag 112 Förslag till förordning Artikel 14 – punkt 7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
7. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna för de kategorier av mottagare som anges i punkt 1 f, de krav på meddelandet om möjlig tillgång som anges i punkt 1 g, kriterierna för den ytterligare nödvändiga information som anges i punkt 1 h för särskilda sektorer och situationer samt villkoren och de lämpliga skyddsåtgärderna vid undantag enligt punkt 5 b. Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag. |
utgår |
Motivering | |
Sådana ytterligare förtydliganden är inte nödvändiga. | |
Ändringsförslag 113 Förslag till förordning Artikel 15 – punkt 1 – stycke 2 (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Den registeransvarige ska på begäran och utan kostnad inom rimlig tid även lämna bevis för att behandlingen är laglig. |
Motivering | |
Om den registeransvarige lämnar beviset direkt till den registrerade bör antalet domstolsmål minska. | |
Ändringsförslag 114 Förslag till förordning Artikel 15 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den registrerade ska ha rätt att av den registeransvarige erhålla information om de personuppgifter som håller på att behandlas. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i elektronisk form, om den registrerade inte begär något annat. |
2. Den registrerade ska ha rätt att av den registeransvarige erhålla information om de personuppgifter som håller på att behandlas och används för profilering. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i elektronisk form, om den registrerade inte begär något annat. Den registeransvarige ska vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad person som begär tillgång till personuppgifterna. |
Motivering | |
Framför allt när begäran görs i elektronisk form får rätten till tillgång inte missbrukas. Den registeransvarige bör därför kontrollera identiteten på en person som begär tillgång till uppgifterna, och bör kunna bevisa att vederbörlig omsorg har utövats. | |
Ändringsförslag 115 Förslag till förordning Artikel 15 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den information till den registrerade om innehållet i personuppgifter som avses i punkt 1 g. |
utgår |
Motivering | |
Detta tillägg tycks inte vara nödvändigt. | |
Ändringsförslag 116 Förslag till förordning Artikel 15 – punkt 4a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
4a. Under förutsättning att det finns lämpliga rättsliga garantier, i synnerhet för att se till att uppgifterna inte används för att vidta åtgärder eller fatta beslut som avser specifika personer, får medlemsstaterna – i fall då det inte föreligger någon risk för integritetskränkning – genom lagstiftning begränsa de rättigheter som anges i artikel 15 endast om uppgifterna behandlas som en del av vetenskaplig forskning i enlighet med artikel 83 eller om personuppgifterna lagras under en begränsad tid som inte överstiger den tid som är nödvändig för att framställa statistik. |
Motivering | |
Se artikel 13.2 i direktiv 95/46/EG, EGT L 281/95. | |
Ändringsförslag 117 Förslag till förordning Artikel 16 – stycke 1a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Punkt 1 ska inte tillämpas på pseudonymiserade uppgifter. |
Motivering | |
Detta är en del av en omgång med ändringsförslag som möjliggör användning av pseudonymiserade och anonymiserade uppgifter och kommer att uppmuntra till god företagssed som slår vakt om registrerade personers intressen. Om man ser till att personuppgifter inte kan kopplas till en registrerad person (genom att de inte kan spåras tillbaka till den registrerade utan ytterligare uppgifter) kommer det att hjälpa till att stimulera företags användning av personuppgifter samtidigt som man säkerställer en hög konsumentskyddsnivå. | |
Ändringsförslag 118 Förslag till förordning Artikel 17 – rubriken | |
|
Kommissionens förslag |
Ändringsförslag |
|
Rätt att bli bortglömd och till radering |
Rätt till radering |
Motivering | |
Den rubrik som föreslås av kommissionen är vilseledande. | |
Ändringsförslag 119 Förslag till förordning Artikel 17 – punkt 1 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
c) Den registrerade invänder mot behandlingen av personuppgifter enligt artikel 19. |
c) Den registrerade invänder mot behandlingen av personuppgifter enligt artikel 19 och invändningen godtas. |
Motivering | |
Detta ändringsförslag syftar till att säkerställa att den registrerade inte, bara genom att göra en invändning i enlighet med artikel 19, kan åberopa principen om rätten att bli bortglömd, även om invändningen är grundlös. | |
Ändringsförslag 120 Förslag till förordning Artikel 17 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Om den registeransvarige som avses i punkt 1 har offentliggjort personuppgifterna ska vederbörande vidta alla rimliga åtgärder, inbegripet tekniska åtgärder, avseende uppgifter för vars offentliggörande den registeransvarige är ansvarig, för att underrätta tredje parter som håller på att behandla sådana uppgifter om att en registrerad begär att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter. Om den registeransvarige har gett en tredje part befogenhet att offentliggöra personuppgifter ska den registeransvarige anses vara ansvarig för detta offentliggörande. |
2. Om den registeransvarige som avses i punkt 1 har överfört personuppgifterna eller har offentliggjort dem utan den registrerades samtycke, ska vederbörande vidta alla rimliga åtgärder, inbegripet tekniska åtgärder, avseende uppgifter för vars offentliggörande den registeransvarige är ansvarig, för att underrätta tredje parter som håller på att behandla sådana uppgifter om att en registrerad begär att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter. Om uppgifter har överförts ska den registeransvarige som överfört uppgifterna informera de registeransvariga som mottar uppgifterna om att den registrerade begärt att uppgifterna raderas, liksom alla eventuella länkar till, kopior av eller reproduktioner av dessa personuppgifter. Om den registeransvarige har gett en tredje part befogenhet att offentliggöra personuppgifter ska den registeransvarige anses vara ansvarig för detta offentliggörande. |
Motivering | |
Denna bestämmelse gäller framför allt överföringen av uppgifter som är föremål för en begäran om radering. Det måste stå klart att om den registrerade offentliggjorde uppgifterna eller gav den registeransvarige instruktioner om att göra detta, eller gjorde det via den registeransvarige, är det i samtliga fall den registrerade som bär ansvaret. Den registeransvarige ansvarar däremot för att tillämpa denna bestämmelse även på uppgifter som har överförts eller lämnats ut till tredje part frivilligt och som inte har något samband med den registrerade. | |
Ändringsförslag 121 Förslag till förordning Artikel 17 – punkt 2a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2a. Den registeransvarige enligt punkt 1 ska när så är möjligt upplysa den registrerade om vilka åtgärder som tredje parter enligt punkt 2 vidtagit till följd av den registrerades begäran. |
Motivering | |
Den registrerades rättigheter behöver stärkas. Artikel 17.2 medför en ansvarsskyldighet för den registeransvarige. Denna skyldighet bör som ett minimum kombineras med en förpliktelse att upplysa om vilka åtgärder som tredje parter som behandlar de berörda personuppgifterna vidtagit till följd av begäran. | |
Ändringsförslag 122 Förslag till förordning Artikel 17 – punkt 3 – led ea och eb (nya) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
ea) För att förhindra eller upptäcka bedrägerier eller annan ekonomisk brottslighet, bekräfta en identitet och/eller bedöma kreditvärdighet. |
|
|
eb) För att bevara skriftliga bevis i ett visst enskilt fall, om den registeransvarige är en offentlig myndighet. |
Motivering | |
Det vore inte lämpligt att ge enskilda personer möjlighet att få uppgifter om sig själv raderade, om dessa uppgifter bevaras för legitima ändamål i linje med gällande lagstiftning. | |
Ändringsförslag 123 Förslag till förordning Artikel 17 – punkt 9 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
9. Kommissionen ska ha befogenhet att anta delegerade akter i enlighet med artikel 86 i syfte att närmare precisera |
9. Kommissionen ska ha befogenhet att, efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen, anta delegerade akter i enlighet med artikel 86 i syfte att närmare precisera |
Ändringsförslag 124 Förslag till förordning Artikel 18 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen får specificera det elektroniska format som avses i punkt 1 samt de tekniska standarderna, villkoren och förfarandena för överföringen av personuppgifter enligt punkt 2. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
utgår |
Motivering | |
Så snart formatet är portabelt kan marknaden tillhandahålla det utan kommissionens ingripande. | |
Ändringsförslag 125 Förslag till förordning Artikel 19 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registrerade ska, av skäl som hänför sig till vederbörandes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter som grundar sig på artikel 6.1 d, e och f, om inte den registeransvarige visar på avgörande och berättigade skäl för behandlingen som väger tyngre än den registrerades intressen eller grundläggande fri- och rättigheter. |
1. Den registrerade ska, av skäl som hänför sig till vederbörandes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter som grundar sig på artikel 6.1 d, e och f, om inte den registeransvarige visar på berättigade skäl för behandlingen som väger tyngre än den registrerades intressen eller grundläggande fri- och rättigheter. |
Motivering | |
Ändringsförslaget syftar till att visa på att berättigade skäl bör utgöra tillräcklig grund för behandling i enlighet med artikel 6. | |
Ändringsförslag 126 Förslag till förordning Artikel 19 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Om personuppgifterna behandlas för direkt marknadsföring, ska den registrerade ha rätt att kostnadsfritt invända mot behandlingen av sina personuppgifter för sådan marknadsföring. Denna rätt ska uttryckligen erbjudas den registrerade på ett begripligt sätt och ska vara tydligt åtskiljbar från övrig information. |
(Berör inte den svenska versionen.) |
Ändringsförslag 127 Förslag till förordning Artikel 19 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Om en invändning godtas enligt punkt 1 och 2, ska den registeransvarige inte längre använda eller på annat sätt behandla de berörda personuppgifterna. |
3. Om en invändning godtas enligt punkt 1 och 2, ska den registeransvarige inte längre använda eller på annat sätt behandla de berörda personuppgifterna för de ändamål som anges i invändningen. |
Ändringsförslag 128 Förslag till förordning Artikel 19 – punkt 3a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
3a. Om pseudonymiserade uppgifter behandlas med stöd av artikel 6.1 g ska den registrerade ha rätt att kostnadsfritt invända mot behandlingen. Denna rätt ska uttryckligen erbjudas den registrerade på ett begripligt sätt och ska vara tydligt åtskiljbar från övrig information. |
Motivering | |
Detta är en del av en omgång med ändringsförslag som möjliggör användning av pseudonymiserade och anonymiserade uppgifter och kommer att uppmuntra till god företagssed som slår vakt om registrerade personers intressen. Om man ser till att personuppgifter inte kan kopplas till en registrerad person (genom att de inte kan spåras tillbaka till den registrerade utan ytterligare uppgifter) kommer det att hjälpa till att stimulera företags användning av personuppgifter samtidigt som man säkerställer en hög konsumentskyddsnivå. | |
Ändringsförslag 129 Förslag till förordning Artikel 20 – rubriken | |
|
Kommissionens förslag |
Ändringsförslag |
|
Åtgärder på grundval av profilering |
Åtgärder på grundval av automatisk behandling |
Motivering | |
Artikel 20 rör automatisk behandling snarare än profilering. Rubriken på denna artikel bör därför ändras till ”Åtgärder på grundval av automatisk behandling”. | |
Ändringsförslag 130 Förslag till förordning Artikel 20 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje fysisk person ska ha rätt att inte omfattas av en åtgärd som har rättsliga följder för vederbörande eller märkbart påverkar vederbörande, och som enbart grundas på automatisk behandling som är avsedd att bedöma vissa personliga egenskaper hos vederbörande eller att analysera eller förutsäga i synnerhet vederbörandes arbetsprestationer, ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende. |
1. Den registrerade ska inte omfattas av ett beslut som är orättvist eller diskriminerade och som enbart grundas på automatisk behandling som är avsedd att bedöma vissa personliga egenskaper hos den registrerade. |
Motivering | |
Artikel 20 i sin nuvarande utformning erkänner inte den positiva användningen av profilering och beaktar inte heller de varierande risknivåerna eller följderna för den personliga integriteten för de personer som är föremål för profileringen. Genom att fokusera på tekniker som är antingen ”orättvisa” eller ”diskriminerande” enligt definitionen i direktiv 2005/29/EG är strategin i detta förslag mer teknikneutral och fokuserar på den negativa användningen av profilering snarare än på tekniken i sig. | |
Ändringsförslag 131 Förslag till förordning Artikel 20 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Om inte annat följer av övriga bestämmelser i denna förordning får en person omfattas av en åtgärd av den typ som avses i punkt 1 endast om behandlingen |
utgår |
|
a) utförs som ett led i ingåendet eller fullgörandet av ett avtal, om den registrerades begäran om ingående eller fullgörande av avtalet har bifallits eller om lämpliga åtgärder för att skydda den registrerades berättigade intressen, exempelvis rätten att få till stånd mänsklig medverkan, har vidtagits, eller |
|
|
b) uttryckligen tillåts enligt unionslagstiftningen eller en medlemsstats lagstiftning där det också fastställs lämpliga åtgärder till skydd för den registrerades berättigade intressen, eller |
|
|
c) grundar sig på den registrerades samtycke, på de villkor som fastställs i artikel 7 och under förutsättning att lämpliga skyddsåtgärder har införts. |
|
Motivering | |
Strykning till följd av ändringsförslaget till punkt 1. | |
Ändringsförslag 132 Förslag till förordning Artikel 20 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Automatisk behandling av personuppgifter i syfte att bedöma vissa personliga aspekter hos en fysisk person får inte enbart grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9. |
3. Automatisk behandling av personuppgifter i syfte att bedöma vissa personliga aspekter hos en fysisk person får inte enbart grunda sig på de särskilda kategorier av personuppgifter som avses i artiklarna 8 och 9. |
Motivering | |
Strykning till följd av ändringsförslaget till punkt 1. | |
Ändringsförslag 133 Förslag till förordning Artikel 20 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. I de fall som anges i punkt 2 ska den information som ska lämnas av den registeransvarige enligt artikel 14 inbegripa information om förekomsten av behandling för en åtgärd av den typ som anges i punkt 1 och de förutsedda effekterna av sådan behandling på den registrerade. |
utgår |
Ändringsförslag 134 Förslag till förordning Artikel 20 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för sådana lämpliga åtgärder för att skydda den registrerades berättigade intressen som avses i punkt 2. |
utgår |
Ändringsförslag 135 Förslag till förordning Artikel 21 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. I synnerhet ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla särskilda bestämmelser åtminstone avseende målen för behandlingen och fastställandet av den registeransvarige. |
2. I synnerhet ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla särskilda bestämmelser åtminstone avseende syftena med och målen för behandlingen samt fastställandet av den registeransvarige. |
Motivering | |
För att säkerställa en högre skyddsnivå bör lagstiftningen i fall av begränsningar omfatta även syftena med behandlingen av personuppgifterna. | |
Ändringsförslag 136 Förslag till förordning Artikel 22 – rubriken | |
|
Kommissionens förslag |
Ändringsförslag |
|
Den registeransvariges ansvar |
Allmän princip om den registeransvariges ansvar |
Motivering | |
Ansvarsprincipen, som outtalat införs i kapitel 4 i förslaget till förordning, måste nämnas uttryckligen för att en högre skyddsnivå ska kunna säkerställas. | |
Ändringsförslag 137 Förslag till förordning Artikel 22 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att precisera eventuella ytterligare kriterier och krav för de lämpliga åtgärder som avses i punkt 1 utöver dem som redan angetts i punkt 2, villkoren för de kontroll- och granskningsrutiner som avses i punkt 3 och när det gäller kriterierna för proportionalitet enligt punkt 3, samt med hänsyn till särskilda åtgärder för mikroföretag och små och medelstora företag. |
utgår |
Motivering | |
Texten är redan tillräckligt tydlig och det verkar inte behövas något ytterligare förtydligande. | |
Ändringsförslag 138 Förslag till förordning Artikel 23 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Med beaktande av dagens tillgängliga teknik och genomförandekostnaden ska den registeransvarige, både vid tidpunkten för fastställandet av behandlingsmetoden och vid tidpunkten för själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter. |
1. När så krävs kan bindande åtgärder antas för att se till att kategorier av varor eller tjänster tas fram med standardinställningar som uppfyller denna förordnings krav på skydd för enskilda personer med avseende på behandling av personuppgifter. Sådana åtgärder ska grunda sig på standardisering i enlighet med [Europaparlamentets och rådets förordning .../2012 om europeisk standardisering, om ändring av rådets direktiv 89/686/EEG respektive 93/15/EEG och Europaparlamentets och rådets direktiv 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG respektive 2009/105/EG samt om upphävande av beslut 87/95/EEG och beslut nr 1673/2006/EG]. |
Motivering | |
Detta är en del av en omgång med ändringsförslag som syftar till att lyfta fram att kommissionens förslag inte ger tillräcklig rättssäkerhet och samtidigt skapar en risk för begränsningar av den fria rörligheten, även om inbyggt uppgiftsskydd och uppgiftsskydd som standard är lovvärda som begrepp. Därför bör den etablerade mekanismen att använda standardisering, som den sammanställts i ”standardiseringspaketet”, i stället användas för att harmonisera de tillämpliga kraven och möjliggöra fri rörlighet. | |
Ändringsförslag 139 Förslag till förordning Artikel 23 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. Registerföraren bör anonymisera eller pseudonymisera personuppgifter där det låter sig göras och står i proportion till ändamålet för behandlingen. |
Ändringsförslag 140 Förslag till förordning Artikel 23 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den registeransvarige ska införa rutiner för att se till att, i standardfallet, endast de personuppgifter behandlas som är nödvändiga för varje specifikt ändamål med behandlingen, och särskilt att de inte samlas in eller bevaras utöver vad som är strikt nödvändigt för dessa ändamål, både i fråga om antalet uppgifter och tidpunkten för deras lagring. Dessa rutiner ska i synnerhet säkerställa att personuppgifter i standardfallet inte görs tillgängliga till ett obegränsat antal enskilda. |
2. Före det att bindande åtgärder har antagits i enlighet med punkt 1 ska medlemsstaterna se till att inga bindande krav på inbyggt uppgiftsskydd eller uppgiftsskydd som standard ställs på varor eller tjänster som rör skyddet för enskilda personer med avseende på behandling av personuppgifter, om sådana krav skulle kunna hindra utsläppandet på marknaden av utrustning och den fria rörligheten för sådana varor och tjänster i och mellan medlemsstaterna. |
Motivering | |
Detta är en del av en omgång med ändringsförslag som syftar till att lyfta fram att kommissionens förslag inte ger tillräcklig rättssäkerhet och samtidigt skapar en risk för begränsningar av den fria rörligheten, även om inbyggt uppgiftsskydd och uppgiftsskydd som standard är lovvärda som begrepp. Därför bör den etablerade mekanismen att använda standardisering för att harmonisera de tillämpliga kraven och möjliggöra fri rörlighet i stället användas. | |
Ändringsförslag 141 Förslag till förordning Artikel 23 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 för att precisera eventuella ytterligare kriterier och krav för sådana lämpliga åtgärder och rutiner som avses i punkt 1 och 2, särskilt när det gäller krav på inbyggt uppgiftsskydd som är tillämpliga över sektorer, produkter och tjänster. |
utgår |
Motivering | |
Denna förordning ska tillämpas på alla sektorer, såväl på som utanför internet. Det är inte lämpligt att kommissionen antar delegerade akter på området för inbyggt uppgiftsskydd och uppgiftsskydd som standard, eftersom sådana akter riskerar att hindra den tekniska innovationen. Medlemsstaternas tillsynsmyndigheter och Europeiska dataskyddsstyrelsen är bättre lämpade att åtgärda eventuella problem. | |
Ändringsförslag 142 Förslag till förordning Artikel 23 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Kommissionen får fastställa tekniska standarder för de krav som fastställs i punkterna 1 och 2. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2. |
utgår |
Motivering | |
Denna förordning ska tillämpas på alla sektorer, såväl på som utanför internet. Det är inte lämpligt att kommissionen fastställer tekniska standarder, eftersom dessa riskerar att hindra den tekniska innovationen. Medlemsstaternas tillsynsmyndigheter och Europeiska dataskyddsstyrelsen är bättre lämpade att åtgärda eventuella problem. | |
Ändringsförslag 143 Förslag till förordning Artikel 24 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Om en registeransvarig fastställer ändamålen, villkoren och medlen för behandlingen av personuppgifter tillsammans med andra ska de gemensamma registeransvariga fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt avseende förfarandena och rutinerna för den registrerades utövande av sina rättigheter, genom ett arrangemang som de enas om sinsemellan. |
Om en registeransvarig fastställer ändamålen, villkoren och medlen för behandlingen av personuppgifter tillsammans med andra ska de gemensamma registeransvariga fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt avseende förfarandena och rutinerna för den registrerades utövande av sina rättigheter, genom ett arrangemang som de enas om sinsemellan. Om ett sådant fastställande saknas eller inte är tillräckligt tydligt kan den registrerade utöva sina rättigheter i förhållande till samtliga registeransvariga och dessa ska vara lika ansvariga. |
Motivering | |
Detta ändringsförslag ger den registrerade ett starkare skydd i just detta fall. | |
Ändringsförslag 144 Förslag till förordning Artikel 26 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Om en behandling ska utföras på en registeransvarigs vägnar ska den registeransvarige välja en registerförare som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter, särskilt respekten för de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som reglerar den behandling som ska utföras och se till att dessa åtgärder efterlevs. |
1. Om en behandling ska utföras på en registeransvarigs vägnar, och om den inbegriper behandling av personuppgifter som rimligen skulle göra det möjligt för registerföraren att identifiera den registrerade, ska den registeransvarige välja en registerförare som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter, särskilt respekten för de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som reglerar den behandling som ska utföras och se till att dessa åtgärder efterlevs. Den registeransvarige är ensamt ansvarig för att säkerställa att kraven i denna förordning uppfylls. |
Motivering | |
Där det på grund av korrekt anonymiseringsteknik inte är tekniskt möjligt för registerföraren att identifiera en registrerad person bör artikel 26 inte gälla. Om de administrativa bördorna minskas kommer det att ge incitament till investeringar i ändamålsenlig anonymiseringsteknik och användning av ett robust system för begränsad tillgång. Den grundläggande principen om att det primära och direkta ansvaret för behandlingen ligger hos den registeransvarige bör anges tydligt i denna artikel. | |
Ändringsförslag 145 Förslag till förordning Artikel 26 – punkt 2 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
d) endast får engagera en annan registerförare om den registeransvarige först har godkänt detta, |
utgår |
Motivering | |
Kravet på förhandstillstånd från den registeransvarige innan registerföraren får engagera en annan registerförare innebär bördor utan någon uppenbar vinst i form av stärkt uppgiftsskydd. Det är heller inte genomförbart med tanke på datormolnsmiljön, särskilt om det tolkas så att förhandstillstånd måste inhämtas för att anlita specifika registerförare. Kravet bör tas bort. | |
Ändringsförslag 146 Förslag till förordning Artikel 26 – punkt 2 – led ha (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
ha) En registerförare som behandlar personuppgifter för den registeransvariges räkning måste ha ett genomfört inbyggt integritetsskydd och integritetsskydd som standard. |
Ändringsförslag 147 Förslag till förordning Artikel 26 – punkt 3a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
3a. Den registeransvarige ska anses ha uppfyllt kraven i punkt 1 vid valet av en registerförare som självmant har certifierat sig själv eller skaffat en certifiering, försegling eller märkning enligt artikel 38 eller artikel 39 i denna förordning som intygar att lämpliga standardmässiga, tekniska och organisatoriska åtgärder genomförts för att uppfylla kraven i denna förordning. |
Motivering | |
Förordningen bör ge tydliga incitament till registeransvariga och registerförare att investera i säkerhets- och integritetsförbättrande åtgärder. Om registeransvariga och registerförare föreslår ytterligare skyddsåtgärder för att skydda personuppgifter i linje med eller utöver godtagna branschstandarder och de kan bevisa detta genom intyg, bör de gynnas genom mindre föreskrivande krav. Detta skulle i synnerhet ge större flexibilitet och minska bördan för leverantörer och kunder i datormolnsmiljön. | |
Ändringsförslag 148 Förslag till förordning Artikel 26 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha rätt att anta delegerade akter i enlighet med artikel 86 i syfte att närmare precisera kriterierna och kraven för registerförarens ansvarsområden, uppdrag och arbetsuppgifter med avseende på en registerförare enligt punkt 1, och de omständigheter som gör det möjligt att underlätta behandlingen av personuppgifter inom en företagsgrupp, särskilt för kontroll- och rapporteringsändamål. |
utgår |
Motivering | |
Dessa förtydliganden är inte nödvändiga. Koncernintern överföring beaktas redan i en annan del av detta förslag. | |
Ändringsförslag 149 Förslag till förordning Artikel 28 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje registeransvarig och registerförare samt den registeransvariges eventuella företrädare ska bevara dokumentation om all behandling som utförts under dess ansvar. |
1. Varje registeransvarig och registerförare samt den registeransvariges eventuella företrädare ska bevara dokumentation om de huvudsakliga kategorier av behandling som utförts under dess ansvar. |
Motivering | |
Ett ändamålsenligt dataskydd kräver att organisationerna har en tillräckligt väl dokumenterad förståelse av sin databehandlingsverksamhet. Att behöva bevara dokumentation om all behandling är dock oproportionerligt betungande. I stället för att tillfredsställa byråkratiska krav bör syftet med dokumentationen vara att hjälpa registeransvariga och registerförare att fullgöra sina skyldigheter. | |
Ändringsförslag 150 Förslag till förordning Artikel 28 – punkt 2 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Dokumentationen ska innehålla åtminstone följande uppgifter: |
2. Dokumentationen ska innehålla följande uppgifter: |
Motivering | |
För att garantera rättssäkerheten bör förteckningen över de uppgifter som ingår i dokumentationen vara uttömmande. | |
Ändringsförslag 151 Förslag till förordning Artikel 28 – punkt 2 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
c) Ändamålen med behandlingen, inbegripet den registeransvariges berättigade intressen när behandlingen grundar sig på artikel 6.1 f. |
c) De allmänna ändamålen med behandlingen. |
Motivering | |
Detta ändringsförslag bidrar till att minska de administrativa bördorna för både registeransvariga och registerförare. | |
Ändringsförslag 152 Förslag till förordning Artikel 28 – punkt 2 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
(d) En beskrivning av de kategorier av registrerade som berörs och av de kategorier av personuppgifter som hänför sig till dem. |
utgår |
Motivering | |
Förordningen har två syften: säkerställa en hög skyddsnivå för personuppgifter och minska den administrativa börda som reglerna för uppgiftsskydd medför. Den skyldighet som införs för den registeransvarige och registerföraren genom artikel 28.2 h är tillräcklig för att detta dubbla mål ska kunna uppnås. | |
Ändringsförslag 153 Förslag till förordning Artikel 28 – punkt 2 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, inbegripet de registeransvariga till vilka personuppgifter lämnas ut för deras berättigade intressen. |
utgår |
Motivering | |
Förordningen har två syften: säkerställa en hög skyddsnivå för personuppgifter och minska den administrativa börda som reglerna för uppgiftsskydd medför. Den skyldighet som införs för den registeransvarige och registerföraren genom artikel 28.2 h är tillräcklig för att detta dubbla mål ska kunna uppnås. | |
Ändringsförslag 154 Förslag till förordning Artikel 28 – punkt 2 – led f | |
|
Kommissionens förslag |
Ändringsförslag |
|
f) I tillämpliga fall, överföringar av uppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 44.1 h, dokumentationen om lämpliga skyddsåtgärder. |
f) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation och, vid sådana överföringar som avses i artikel 44.1 h, en hänvisning till tillämpade skyddsåtgärder. |
Motivering | |
Detta ändringsförslag bidrar till att minska de administrativa bördorna för både registeransvariga och registerförare. | |
Ändringsförslag 155 Förslag till förordning Artikel 28 – punkt 2 – led g | |
|
Kommissionens förslag |
Ändringsförslag |
|
g) En allmän anvisning om tidsfristerna för radering av de olika kategorierna av uppgifter. |
utgår |
Motivering | |
Förordningen har två syften: säkerställa en hög skyddsnivå för personuppgifter och minska den administrativa börda som reglerna för uppgiftsskydd medför. Den skyldighet som införs för den registeransvarige och registerföraren genom artikel 28.2 h är tillräcklig för att detta dubbla mål ska kunna uppnås. | |
Ändringsförslag 156 Förslag till förordning Artikel 28 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran göra dokumentationen tillgänglig för tillsynsmyndigheten. |
3. Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran göra dokumentationen tillgänglig för tillsynsmyndigheten och, i elektronisk form, för den registrerade. |
Motivering | |
Den registrerade och tillsynsmyndigheten ska få tillgång till policyn för integritetsskydd. | |
Ändringsförslag 157 Förslag till förordning Artikel 28 – punkt 4a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
4a. En offentlig myndighet som hanterar andra uppgifter än känsliga personuppgifter enligt vad som avses i artikel 9.1 i denna förordning. |
Ändringsförslag 158 Förslag till förordning Artikel 28 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den dokumentation som avses i punkt 1, för att ta hänsyn särskilt till de områden som den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ansvarar för. |
utgår |
Motivering | |
Sådana ytterligare förtydliganden är inte nödvändiga. | |
Ändringsförslag 159 Förslag till förordning Artikel 28 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Kommissionen får fastställa standardformulär för den dokumentation som anges i punkt 1. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
utgår |
Ändringsförslag 160 Förslag till förordning Artikel 30 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för de tekniska och organisatoriska åtgärder som avses i punkterna 1 och 2, inbegripet fastställandet av vad som utgör dagens tillgängliga teknik, för specifika sektorer och i specifika situationer vid behandlingen av personuppgifter, med särskild hänsyn till den tekniska utvecklingen och utvecklingen i fråga om lösningar för inbyggt integritetsskydd och uppgiftsskydd som standard, om inte punkt 4 är tillämplig. |
utgår |
Ändringsförslag 161 Förslag till förordning Artikel 30 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. När så är nödvändigt får kommissionen anta genomförandeakter i syfte att specificera kraven i punkterna 1 och 2 för olika situationer, särskilt för att |
utgår |
|
a) förhindra obehörig åtkomst till personuppgifter, |
|
|
b) förhindra obehörigt röjande, obehörig läsning, kopiering, ändring eller radering eller obehörigt avlägsnande av personuppgifter, |
|
|
c) se till att det kontrolleras att behandlingen är laglig. |
|
|
Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
|
Ändringsförslag 162 Förslag till förordning Artikel 31 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Vid ett personuppgiftsbrott ska den registeransvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 24 timmar efter att ha fått vetskap om det, anmäla personuppgiftsbrottet till tillsynsmyndigheten. Om anmälan till tillsynsmyndigheten inte görs inom 24timmar ska den åtföljas av en utförlig motivering. |
1. Vid ett personuppgiftsbrott som allvarligt kan skada skyddet av den registrerades personuppgifter eller integritet, ska den registeransvarige utan onödigt dröjsmål anmäla personuppgiftsbrottet till tillsynsmyndigheten. |
Motivering | |
Efter ett uppgiftsbrott bör prioriteringen vara att vidta lämpliga åtgärder som syftar till att begränsa skadorna. En uttrycklig tidsfrist flyttar prioriteringen till anmälan. | |
Ändringsförslag 163 Förslag till förordning Artikel 31 – punkt 3 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Den anmälan som avses i punkt 1 ska åtminstone |
3. Den anmälan som avses i punkt 1 ska om möjligt |
Ändringsförslag 164 Förslag till förordning Artikel 31 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Den registeransvarige ska dokumentera alla personuppgiftsbrott, inbegripet omständigheterna kring brottet, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel. Dokumentationen ska endast innehålla den information som behövs för detta ändamål. |
4. Den registeransvarige ska dokumentera alla personuppgiftsbrott, inbegripet omständigheterna kring brottet, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel och av artikel 30. Dokumentationen ska endast innehålla den information som behövs för detta ändamål. |
Motivering | |
Den registeransvarige måste bevisa att han har vidtagit alla rimliga åtgärder för att undvika uppgiftsbrott, utöver att visa att han har hanterat de överträdelser som förekommit på rätt sätt. | |
Ändringsförslag 165 Förslag till förordning Artikel 31 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för fastställandet av det uppgiftsbrott som avses i punkterna 1 och 2 samt för de särskilda omständigheter under vilka en registeransvarig och en registerförare ska anmäla personuppgiftsbrottet. |
utgår |
Motivering | |
Sådana ytterligare förtydliganden är inte nödvändiga. | |
Ändringsförslag 166 Förslag till förordning Artikel 31 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Kommissionen får fastställa standardformatet för sådana anmälningar till tillsynsmyndigheten, de förfaranden som gäller för anmälningskravet och formen och villkoren för den dokumentation som avses i punkt 4, inbegripet tidsgränserna för raderingen av informationen i denna. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
utgår |
Ändringsförslag 167 Förslag till förordning Artikel 32 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Om personuppgiftsbrottet sannolikt har en negativ inverkan på skyddet av den registrerades personuppgifter eller integritet ska den registeransvarige, efter den anmälan som avses i artikel 31, utan onödigt dröjsmål informera den registrerade om personuppgiftsbrottet. |
1. Om personuppgiftsbrottet sannolikt har en allvarlig negativ inverkan på skyddet av den registrerades personuppgifter eller integritet, genom exempelvis identitetsstöld eller bedrägeri, fysik skada, betydande förödmjukelse eller skadat anseende, ska den registeransvarige, efter den anmälan som avses i artikel 31, utan onödigt dröjsmål och på ett klart och kortfattat sätt informera den registrerade om personuppgiftsbrottet. |
Motivering | |
Det finns fall där den registrerades samarbete är avgörande för att minska uppgiftsbrottets negativa effekter. Om ett kreditkortsnummer stjäls är det t.ex. bara den registrerade som har rätt att skilja mellan betalningar som är korrekta och betalningar som är felaktiga. Den registrerades samverkan är därför ännu viktigare än anmälan till myndigheten. Att lägga till sådana fall och ge dem prioritet blir därför mycket viktigt. | |
Ändringsförslag 168 Förslag till förordning Artikel 32 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den information till den registrerade som avses i punkt 1 ska innehålla en beskrivning av personuppgiftsbrottets karaktär och åtminstone de upplysningar och de rekommendationer som anges i artikel 31.3 b och c. |
2. Den information till den registrerade som avses i punkt 1 ska innehålla en beskrivning av personuppgiftsbrottets karaktär och åtminstone de upplysningar och de rekommendationer som anges i artikel 31.3 b, c och d. |
Ändringsförslag 169 Förslag till förordning Artikel 32 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Det ska inte vara ett krav att informera den registrerade om personuppgiftsbrottet om den registeransvarige tillfredsställande visar för den behöriga myndigheten att den har genomfört lämpliga tekniska skyddsåtgärder och att dessa åtgärder tillämpats på de uppgifter som berördes av personuppgiftsbrottet. Sådana tekniska skyddsåtgärder ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till uppgifterna. |
3. Det ska inte vara ett krav att informera den registrerade om personuppgiftsbrottet om brottet inte innebär betydande risk för skada för medborgarna och den registeransvarige tillfredsställande visar för den behöriga myndigheten att den har genomfört lämpliga tekniska skyddsåtgärder och att dessa åtgärder tillämpats på de uppgifter som berördes av personuppgiftsbrottet. Sådana tekniska skyddsåtgärder ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till uppgifterna. |
Ändringsförslag 170 Förslag till förordning Artikel 32 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera villkoren och kraven när det gäller de omständigheter under vilka ett personuppgiftsbrott sannolikt har en negativ inverkan på de personuppgifter som avses i punkt 1. |
utgår |
Motivering | |
I konsekvensanalysen har dataskyddsmyndigheten all nödvändig information som behövs för att bedöma om konsekvenserna av ett uppgiftsbrott sannolikt kommer att få negativa effekter på den registrerades personuppgifter eller integritet. | |
Ändringsförslag 171 Förslag till förordning Artikel 32 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Kommissionen får fastställa formatet för den information till den registrerade som avses i punkt 1 och de förfaranden som gäller för den informationen. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
utgår |
Ändringsförslag 172 Förslag till förordning Artikel 33 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Om behandlingen på grund av sin karaktär, sin omfattning eller sina ändamål medför särskilda risker för de registrerades fri- och rättigheter, ska den registeransvarige eller registerföraren på den registeransvariges vägnar utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. |
1. Om behandlingen på grund av sin karaktär, sin omfattning eller sina ändamål medför särskilda risker för de registrerades fri- och rättigheter, eller om behandlingen sker inom ramen för ett infrastrukturprojekt i den offentliga sektorn, ska den registeransvarige eller registerföraren på den registeransvariges vägnar utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. |
Ändringsförslag 173 Förslag till förordning Artikel 33 – punkt 2 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. I synnerhet följande typer av behandling medför sådana särskilda risker som avses i punkt 1: |
2. Följande typer av behandling medför sådana särskilda risker som avses i punkt 1: |
Motivering | |
Förteckningen i artikel 33.2 över typer av behandling som måste föregås av en konsekvensbedömning är allmänt hållen. Med hänsyn till proportionalitetsprincipen och för att säkerställa rättssäkerhet bör den vara uttömmande. | |
Ändringsförslag 174 Förslag till förordning Artikel 33 – punkt 2 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
b) Information om sexualliv, hälsa, ras och etniskt ursprung eller – i samband med tillhandahållande av hälso- och sjukvård – epidemiologisk forskning, eller undersökningar av psykiska sjukdomar eller infektionssjukdomar, där uppgifterna behandlas i syfte att vidta åtgärder eller fatta beslut om specifika enskilda personer i stor skala. |
b) Information om sexualliv, hälsa, politiska åsikter, religiösa övertygelser, fällande brottmålsdomar, ras och etniskt ursprung eller – i samband med tillhandahållande av hälso- och sjukvård – epidemiologisk forskning, eller undersökningar av psykiska sjukdomar eller infektionssjukdomar, där uppgifterna behandlas i syfte att vidta åtgärder eller fatta beslut om specifika enskilda personer i stor skala. |
Ändringsförslag 175 Förslag till förordning Artikel 33 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Bedömningen ska innehålla åtminstone en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för de registrerades fri- och rättigheter, de åtgärder som planeras för att hantera risker, skyddsåtgärder, säkerhetsåtgärder och rutiner för att garantera skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen. |
3. Bedömningen ska innehålla åtminstone en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för de registrerades fri- och rättigheter, de åtgärder som planeras för att hantera risker, skyddsåtgärder, säkerhetsåtgärder och rutiner för att garantera skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen och med hänsyn till moderna tekniker och metoder som kan stärka medborgarnas personliga integritet. |
Ändringsförslag 176 Förslag till förordning Artikel 33 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Den registeransvarige ska inhämta synpunkter från de registrerade och deras företrädare om den avsedda behandlingen, utan att det påverkar skyddet av kommersiella eller allmänna intressen eller behandlingens säkerhet. |
utgår |
Motivering | |
Det förefaller orimligt att införa en allmän skyldighet för registeransvariga att före varje behandling av uppgifter inhämta synpunkter från de registrerade, oavsett vilken sektor det rör sig om. | |
Ändringsförslag 177 Förslag till förordning Artikel 33 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Om den registeransvarige är en offentlig myndighet eller ett offentligt organ och om behandlingen följer av en rättslig skyldighet enligt artikel 6.1 c som föreskriver regler och förfaranden som rör behandlingen och regleras av unionslagstiftningen, ska punkterna 1–4 inte gälla, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen. |
utgår |
Ändringsförslag 178 Förslag till förordning Artikel 33 – punkt 7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
7. Kommissionen får ange standarder och förfaranden för utförandet samt kontrollen och granskningen av den bedömning som avses i punkt 3. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
utgår |
Ändringsförslag 179 Förslag till förordning Artikel 34 – punkt 8 | |
|
Kommissionens förslag |
Ändringsförslag |
|
8. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för fastställandet av de höggradiga särskilda risker som avses i punkt 2 a. |
utgår |
Ändringsförslag 180 Förslag till förordning Artikel 35 – punkt 1 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige och registerföraren ska utnämna ett uppgiftsskyddsombud om |
1. Den registeransvarige och registerföraren bör utnämna ett uppgiftsskyddsombud om |
Motivering | |
Utnämningen av ett uppgiftsskyddsombud bör uppmuntras men inte vara obligatoriskt. Att göra detta skulle skapa oproportionerliga ekonomiska och administrativa skyldigheter för organisationer vars verksamhet inte innebär en väsentlig risk för den registrerades personliga integritet. Detta ändringsförslag är kopplat till ECR:s ändringsförslag till artikel 79, som säkerställer att dataskyddsmyndigheterna tar hänsyn till om det finns ett uppgiftsskyddsombud eller inte vid beslut om administrativa sanktioner och ger dataskyddsmyndigheterna befogenhet att utnämna uppgiftsskyddsombud som en form av administrativ sanktion. | |
Ändringsförslag 181 Förslag till förordning Artikel 35 – punkt 1 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
b) behandlingen utförs av ett företag som har minst 250 anställda, eller |
utgår |
Ändringsförslag 182 Förslag till förordning Artikel 35 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. I det fall som avses i punkt 1 b får en företagsgrupp utnämna ett enda uppgiftsskyddsombud. |
utgår |
Motivering | |
Efter strykningen av punkt 1 b finns det ingen anledning att ha kvar denna punkt. | |
Ändringsförslag 183 Förslag till förordning Artikel 35 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Den registeransvarige eller registerföraren ska utnämna uppgiftsskyddsombudet på grundval av yrkesmässiga kvalifikationer och, i synnerhet, expertkunnande om lagstiftning och praxis avseende uppgiftsskydd samt förmåga att fullgöra de arbetsuppgifter som avses i artikel 37. Den nödvändiga nivån på expertkunnandet ska fastställas särskilt i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av den registeransvarige och registerföraren. |
5. Den registeransvarige eller registerföraren ska utnämna uppgiftsskyddsombudet på grundval av yrkesmässiga kvalifikationer och, i synnerhet, expertkunnande om lagstiftning och praxis avseende uppgiftsskydd samt förmåga att fullgöra de arbetsuppgifter som avses i artikel 37. Den nödvändiga nivån på expertkunnandet ska fastställas särskilt i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av den registeransvarige och registerföraren. Den registeransvarige måste ges tillräckligt med arbetstid och resurser för att utföra dessa uppgifter. |
Ändringsförslag 184 Förslag till förordning Artikel 35 – punkt 7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
7. Den registeransvarige och registerföraren ska utnämna ett uppgiftsskyddsombud för en period på minst två år. Uppgiftsskyddsombudet får utnämnas för ytterligare perioder. Uppgiftsskyddsombudet får under sin mandatperiod endast avsättas om uppgiftsskyddsombudet inte längre uppfyller de villkor som krävs för fullgörandet av sitt uppdrag. |
7. Den registeransvarige och registerföraren ska utnämna ett uppgiftsskyddsombud för en period på minst två år. Uppgiftsskyddsombudet får utnämnas för ytterligare perioder. |
Motivering | |
Precis som med all övrig personal bör det vara möjligt att avsätta uppgiftsskyddsombud som inte fullgör sin arbetsuppgifter. Det är upp till ledningen att avgöra om de är nöjda med den aktuella personen eller inte. | |
Ändringsförslag 185 Förslag till förordning Artikel 35 – punkt 10 | |
|
Kommissionens förslag |
Ändringsförslag |
|
10. Den registrerade ska ha rätt att kontakta uppgiftsskyddsombudet om alla frågor som rör behandlingen av den registrerades uppgifter och begära att få utöva sina rättigheter enligt denna förordning. |
10. Den registrerade ska ha rätt att kontakta uppgiftsskyddsombudet om alla frågor som rör utövandet av sina rättigheter enligt denna förordning. |
Ändringsförslag 186 Förslag till förordning Artikel 35 – punkt 11 | |
|
Kommissionens förslag |
Ändringsförslag |
|
11. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den kärnverksamhet som bedrivs av den registeransvarige eller registerföraren och som avses i punkt 1 c och det kriterium för uppgiftsskyddsombudets yrkesmässiga kvalifikationer som avses i punkt 5. |
utgår |
Motivering | |
Sådana ytterligare förtydliganden är inte nödvändiga. | |
Ändringsförslag 187 Förslag till förordning Artikel 37 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för uppgiftsskyddsombudets arbetsuppgifter, certifiering, ställning, befogenheter och resurser i enlighet med punkt 1. |
utgår |
Motivering | |
Sådana ytterligare förtydliganden är inte nödvändiga. | |
Ändringsförslag 188 Förslag till förordning Artikel 41 – punkt 2 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
a) rättsstatsprincipen, befintlig allmän och sektorsspecifik lagstiftning inom områden som allmän säkerhet, försvar, nationell säkerhet och straffrätt, yrkesregler och säkerhetsbestämmelser som ska följas i det tredjeland eller inom den internationella organisation som berörs, huruvida det finns faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom Europeiska unionen och vars personuppgifter överförs, |
a) rättsstatsprincipen, befintlig allmän och sektorsspecifik lagstiftning inom områden som allmän säkerhet, försvar, nationell säkerhet och straffrätt, yrkesregler och säkerhetsbestämmelser som ska följas i det tredjeland eller inom den internationella organisation som berörs, huruvida det finns rättsprejudikat eller faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom Europeiska unionen och vars personuppgifter överförs, |
Motivering | |
I vissa länder är domstolarnas prejudicerande domar av stor betydelse (t.ex. i länder med sedvanerätt). | |
Ändringsförslag 189 Förslag till förordning Artikel 41 – punkt 7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
7. Kommissionen ska offentliggöra en förteckning i Europeiska unionens officiella tidning över de tredjeländer och de territorier och behandlande sektorer i ett givet tredjeland samt de internationella organisationer där den har beslutat att en adekvat skyddsnivå inte kan garanteras. |
7. Kommissionen ska offentliggöra en förteckning i Europeiska unionens officiella tidning och på sin webbplats över de tredjeländer och de territorier och behandlande sektorer i ett givet tredjeland samt de internationella organisationer där den har beslutat att en adekvat skyddsnivå inte kan garanteras. |
Motivering | |
Webbplatsen gör den lättare att uppdatera och i många fall hitta. | |
Ändringsförslag 190 Förslag till förordning Artikel 42 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Om kommissionen inte har fattat något sådant beslut som avses i artikel 41 får en registeransvarig eller registerförare endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder för personuppgifter genom ett juridiskt bindande instrument. |
1. Om kommissionen inte har fattat något sådant beslut som avses i artikel 41 får en registeransvarig eller registerförare endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder för personuppgifter genom ett juridiskt bindande instrument, och där så är lämpligt efter en konsekvensbedömning där den registeransvarige eller registerföraren har förvissat sig om att mottagaren av personuppgifter i ett tredjeland håller hög standard i fråga om uppgiftsskydd. |
Motivering | |
I enlighet med ECR:s ändringsförslag som syftar till att ge incitament åt registeransvariga att hålla hög standard för uppgiftsskydd genom att uppmuntra dem att genomföra en konsekvensbedömning på frivillig grund. | |
Ändringsförslag 191 Förslag till förordning Artikel 42 – punkt 2 – led ca (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
ca) standardiserade uppgiftsskyddsbestämmelser som antas i enlighet med leden a och b mellan den registeransvarige eller registerföraren och en mottagare av uppgifterna i ett tredjeland, vilket kan omfatta standardbestämmelser för vidarebefordran till en mottagare i ett tredjeland. |
Motivering | |
I parlamentets utredningsavdelnings studie om en reform av uppgiftsskyddspaketet påpekas det att standardbestämmelser enligt den föreslagna förordningen inte omfattar avtal mellan registerförare och deras underleverantörer. Denna brist skulle kunna innebära en stor nackdel för företag från EU och nystartade teknikföretag. Ändringsförslaget är ämnat att åtgärda denna brist. | |
Ändringsförslag 192 Förslag till förordning Artikel 44 – punkt 1 – led h | |
|
Kommissionens förslag |
Ändringsförslag |
|
h) Överföringen är nödvändig för att tillgodose den registeransvariges eller registerförarens berättigade intressen, där överföringen inte kan anses vara ofta återkommande eller omfattande, och där den registeransvarige eller registerföraren har bedömt alla omständigheter kring en överföring eller en serie av överföringar av uppgifter och utifrån denna bedömning om så krävts vidtagit lämpliga åtgärder för att skydda personuppgifter. |
h) Överföringen är nödvändig för att tillgodose den registeransvariges eller registerförarens berättigade intressen, där överföringen inte kan anses vara ofta återkommande eller omfattande eller där personuppgifterna redan före denna överföring gjorts offentliga i tredjelandet, och där den registeransvarige eller registerföraren har bedömt alla omständigheter kring en överföring eller en serie av överföringar av uppgifter och utifrån denna bedömning om så krävts vidtagit lämpliga åtgärder för att skydda personuppgifter. |
Ändringsförslag 193 Förslag till förordning Artikel 44 – punkt 7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
7. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att precisera villkoren för vad som bedöms ”gynna viktiga samhälleliga intressen” enligt punkt 1 d liksom kriterierna och kraven för lämpliga åtgärder för att skydda personuppgifter enligt punkt 1 h. |
utgår |
Ändringsförslag 194 Förslag till förordning Artikel 62 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Artikel 62 |
utgår |
|
Genomförandeakter |
|
|
1. Kommissionen får anta genomförandeakter i syfte att |
|
|
a) fatta beslut med avseende på den korrekta tillämpningen av denna förordning i linje med dess mål och krav; detta kan gälla frågor som tas upp av tillsynsmyndigheterna enligt artikel 58 eller 61, frågor som varit föremål för ett motiverat beslut enligt artikel 60.1 eller frågor där en tillsynsmyndighet inte har lagt fram något utkast till åtgärd och där samma myndighet har meddelat att den inte har för avsikt att följa det yttrande som kommissionen antagit enligt artikel 59, |
|
|
b) inom den period som anges i artikel 59.1 besluta om den anser att ett utkast till standardiserade uppgiftsskyddsbestämmelser enligt artikel 58.2 d har allmän giltighet, |
|
|
c) precisera format och förfaranden för tillämpningen av den mekanism för enhetlighet som regleras i detta avsnitt, |
|
|
d) Precisera tillvägagångssätten för elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyndigheter och Europeiska dataskyddsstyrelsen, särskilt det standardiserade format som avses i artikel 58.5, 58.6 och 58.8. |
|
|
Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
|
|
2. Om det i fall enligt punkt 1 a finns vederbörligen motiverade och tvingande skäl till skyndsamhet i de registrerades intresse ska kommissionen anta genomförandeakter med omedelbar verkan enligt förfarandet i artikel 87.3. Dessa akter ska vara giltiga i högst 12 månader. |
|
|
3. Det faktum att ingen åtgärd har vidtagits enligt detta avsnitt utesluter inte att kommissionen kan vidta andra åtgärder enligt fördragen. |
|
Motivering | |
Det är inte förnuftigt att lägga för många av dessa uppgifter på kommissionen om de kan hanteras på ett effektivare sätt av Europeiska dataskyddsstyrelsen. | |
Ändringsförslag 195 Förslag till förordning Artikel 63a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 63a |
|
|
Överklagandeförfarande |
|
|
1. Utan att det påverkar de befogenheter som tillfaller Europeiska unionens domstol kan Europeiska dataskyddsstyrelsen utfärda bindande yttranden om |
|
|
a) den registrerade eller den registeransvarige överklagar på grund av att tillämpningen av denna förordning inte är enhetlig mellan medlemsstaterna, eller |
|
|
b) ett förslag till åtgärd från en behörig myndighet har genomgått hela den mekanism för enhetlighet som beskrivs i detta avsnitt utan att anses vara förenlig med tillämpningen av denna förordning i hela EU. |
|
|
2. Innan ett sådant yttrande utfärdas ska Europeiska dataskyddsstyrelsen ta hänsyn till all information som den behöriga dataskyddsmyndigheten besitter, inbegripet de berörda parternas synpunkter. |
Motivering | |
Trots behörigheten för dataskyddsmyndigheten i det land där det huvudsakliga verksamhetsstället är beläget behövs det en ytterligare åtgärd för att säkra enhetlighet på hela den inre marknaden för det sällsynta fall att en åtgärd är så kontroversiell att enhetlighetsmekanismen inte lyckas säkra ett brett samförstånd. | |
Ändringsförslag 196 Förslag till förordning Artikel 66 – punkt 1 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
d) yttra sig över utkast till åtgärder som läggs fram av tillsynsmyndigheterna inom den mekanism för enhetlighet som avses i artikel 57, |
d) yttra sig över utkast till åtgärder som läggs fram av tillsynsmyndigheterna inom den mekanism för enhetlighet som avses i artiklarna 57 och 63a, |
Motivering | |
Detta ändringsförslag överensstämmer med nya artikel 63a. | |
Ändringsförslag 197 Förslag till förordning Artikel 73 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Utan att det påverkar andra möjligheter att lämna klagomål till berörda myndigheter eller domstolar ska varje registrerad som anser att uppgifter rörande henne eller honom inte är förenliga med denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat. |
1. Utan att det påverkar andra möjligheter att lämna klagomål till berörda myndigheter eller domstolar ska varje registrerad som anser att uppgifter rörande henne eller honom inte är förenliga med denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat. Detta klagomål får inte innebära kostnader för den registrerade. |
Ändringsförslag 198 Förslag till förordning Artikel 73 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Varje organisation eller sammanslutning som har till uppgift att skydda registrerades rättigheter och intressen när det gäller skyddet av deras personuppgifter och som har inrättats på vederbörligt sätt i enlighet med lagen i en medlemsstat, ska ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat för en eller flera registrerades räkning, om den anser att de rättigheter som tillkommer en registrerad enligt denna förordning har åsidosatts som en följd av behandling av vederbörandes personuppgifter. |
utgår |
Ändringsförslag 199 Förslag till förordning Artikel 74 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje fysisk eller juridisk person ska ha rätt till ett rättsmedel mot beslut som en tillsynsmyndighet har fattat med avseende på vederbörande. |
1. Utan att det påverkar förfarandet i artikel 63a ska varje fysisk eller juridisk person, inbegripet varje registeransvarig och registerförare, ha rätt till ett rättsmedel mot beslut som en tillsynsmyndighet har fattat med avseende på eller som påverkar vederbörande. |
Motivering | |
Detta ändringsförslag är viktigt för att klargöra den grundläggande principen om att registeransvariga ska ha rätt till rättsmedel när de påverkas av beslut, även om de själva inte är direkt föremål för ett beslut av en nationell myndighet. | |
Ändringsförslag 200 Förslag till förordning Artikel 74 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. En registrerad som berörs av ett beslut av en tillsynsmyndighet i en annan medlemsstat än den där den registrerade har hemvist får anmoda tillsynsmyndigheten i den registrerades hemviststat att föra talan på hans eller hennes vägnar mot den behöriga tillsynsmyndigheten i den andra medlemsstaten. |
utgår |
Motivering | |
Denna möjlighet tillför inget mervärde för medborgarna och riskerar att äventyra samarbetet mellan tillsynsmyndigheterna inom ramen för mekanismen för enhetlighet. | |
Ändringsförslag 201 Förslag till förordning Artikel 76 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje organisation eller sammanslutning som avses i artikel 73.2 ska vara berättigad att utöva de rättigheter som avses i artiklarna 74 och 75 för en eller flera registrerades räkning. |
utgår |
Ändringsförslag 202 Förslag till förordning Artikel 77 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje person eller medlemsstat som har lidit skada till följd av en otillåten behandling av uppgifter eller av något annat handlande som är oförenligt med denna förordning ska ha rätt till ersättning av den registeransvarige eller den registerförfarare som bär ansvaret för den uppkomna skadan. |
1. Varje person eller medlemsstat som har lidit materiell eller immateriell skada till följd av en otillåten behandling av uppgifter, inbegripet svartlistning, eller av något annat handlande som är oförenligt med denna förordning ska ha rätt till ersättning av den registeransvarige eller den registerförare som bär ansvaret för den uppkomna skadan och för eventuellt emotionellt lidande. |
Ändringsförslag 203 Förslag till förordning Artikel 78 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Medlemsstaterna ska föreskriva påföljder för överträdelser av bestämmelserna i denna förordning och ska vidta de åtgärder som krävs för att se till att dessa påföljder tillämpas, inbegripet i situationer där den registeransvarige inte följt kravet att utse en företrädare. Påföljderna ska vara effektiva, proportionella och avskräckande. |
1. Medlemsstaterna ska föreskriva påföljder för överträdelser av bestämmelserna i denna förordning och ska vidta de åtgärder som krävs för att se till att dessa påföljder tillämpas, inbegripet i situationer där den registeransvarige inte följt kravet att utse en företrädare. Påföljderna ska vara effektiva, konsekventa, proportionella och avskräckande. |
Motivering | |
Påföljderna måste tillämpas på ett konsekvent sätt i hela Europeiska unionen. | |
Ändringsförslag 204 Förslag till förordning Artikel 79 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje tillsynsmyndighet ska ha befogenhet att ålägga administrativa sanktioner i enlighet med denna artikel. |
1. Varje behörig tillsynsmyndighet ska ha befogenhet att ålägga administrativa sanktioner i enlighet med denna artikel. |
Ändringsförslag 205 Förslag till förordning Artikel 79 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den administrativa sanktionen ska i varje enskilt fall vara effektiv, proportionell och avskräckande. De administrativa böterna ska fastställas med vederbörlig hänsyn till överträdelsens natur, svårhetsgrad och varaktighet, om överträdelsen skett med uppsåt eller genom oaktsamhet, graden av ansvar hos den berörda fysiska eller juridiska personen och eventuella tidigare överträdelser av samma person, de tekniska och organisatoriska åtgärder och förfaranden som genomförts i enlighet med artikel 23 och graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen. |
2. Den administrativa sanktionen ska i varje enskilt fall vara effektiv, proportionell, icke-diskriminerande och avskräckande. De administrativa böterna ska fastställas med vederbörlig hänsyn till överträdelsens natur, svårhetsgrad och varaktighet, om överträdelsen skett med uppsåt eller genom oaktsamhet, den särskilda kategorin av personuppgifter, graden av skada eller risk för skada på grund av överträdelsen, graden av ansvar hos den berörda fysiska eller juridiska personen och eventuella tidigare överträdelser av samma person, de tekniska och organisatoriska åtgärder och förfaranden som genomförts i enlighet med artikel 23 och graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen. I tillämpliga fall ska dataskyddsmyndigheten kunna kräva att ett uppgiftsskyddsombud utnämns, om organet, organisationen eller sammanslutningen har valt att inte göra det. |
Motivering | |
Detta ändringsförslag syftar till att säkerställa att avsiktliga överträdelser eller överträdelser genom vårdslöshet bestraffas hårdare än överträdelser som enbart beror på försumlighet. Paketet med ändringsförslag som rör administrativa sanktioner syftar till att garantera påföljder som står i proportion till handlingen, och de strängaste sanktionerna förbehålls de allvarligaste felen. Dataskyddsmyndighetens möjlighet att kräva att ett uppgiftsskyddsombud ska utnämnas syftar också till att säkerställa proportionalitet i fråga om sanktioner. | |
Ändringsförslag 206 Förslag till förordning Artikel 79 – punkt 2a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2a. Försvårande omständigheter ska i synnerhet omfatta följande: |
|
|
a) Upprepade överträdelser som har begåtts genom oaktsamt åsidosättande av gällande lag. |
|
|
b) Vägran att samarbeta med eller hindrande av en verkställighetsprocess. |
|
|
c) Överträdelser som är uppsåtliga, allvarliga och vållar sannolikt väsentlig skada. |
|
|
d) Ingen konsekvensbedömning avseende uppgiftsskydd har genomförts. |
|
|
e) Inget uppgiftsskyddsombud har utnämnts. |
Ändringsförslag 207 Förslag till förordning Artikel 79 – punkt 2b (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2b. Förmildrande omständigheter ska omfatta följande: |
|
|
a) Åtgärder har vidtagits av den fysiska eller juridiska personen i syfte att fullgöra relevanta skyldigheter. |
|
|
b) Verklig osäkerhet råder kring huruvida handlingen utgjorde en överträdelse av de relevanta skyldigheterna. |
|
|
c) Överträdelsen upphörde omedelbart efter det att den blivit känd. |
|
|
d) Samarbete med eventuella verkställighetsprocesser. |
|
|
e) En konsekvensbedömning avseende uppgiftsskydd har genomförts. |
|
|
f) Ett uppgiftsskyddsombud har utnämnts. |
Ändringsförslag 208 Förslag till förordning Artikel 79 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Tillsynsmyndigheten ska utfärda böter på upp till 250 000 euro eller, om det är fråga om ett företag, på upp till 0,5 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet |
utgår |
|
a) underlåter att tillhandahålla nödvändiga mekanismer för att underlätta framställningar från registrerade eller att besvara framställningar från registrerade tillräckligt snabbt eller i rätt form enligt artikel 12.1–2, |
|
|
b) tar ut en avgift för att lämna information till eller besvara framställningar från registrerade i strid med artikel 12.4. |
|
Motivering | |
Se artikel 79.3. | |
Ändringsförslag 209 Förslag till förordning Artikel 79 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Tillsynsmyndigheten ska utfärda böter på upp till 500 000 euro eller, om det är fråga om ett företag, på upp till 1 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet |
utgår |
|
a) underlåter att tillhandahålla information, tillhandahåller ofullständig information eller försummar att tillhandahålla information på ett tillräckligt öppet sätt i enlighet med artiklarna 11, 12.3 och 14, |
|
|
b) underlåter att ge den registrerade tillgång till uppgifter eller att rätta personuppgifter i enlighet med artiklarna 15 och 16, eller underlåter att meddela relevant information till en mottagare i enlighet med artikel 13, |
|
|
c) underlåter att respektera rätten att bli bortglömd eller att få uppgifter raderade, eller försummar att införa rutiner för att säkerställa att tidsfrister iakttas, eller underlåter att vidta alla nödvändiga åtgärder för att underrätta tredje man om att en registrerad ansökt om radering av länkar till personuppgifter eller av kopior eller reproduktioner av sådana uppgifter i enlighet med artikel 17, |
|
|
d) underlåter att tillhandahålla en kopia av personuppgifterna i elektroniskt format eller hindrar den registrerade från att översända personuppgifterna till en annan applikation, i strid med artikel 18, |
|
|
e) helt eller delvis underlåter att fastställa respektive ansvarsområden tillsammans med registermedansvariga i enlighet med artikel 24, |
|
|
f) helt eller delvis underlåter att bevara dokumentation i enlighet med artiklarna 28, 31.4 och 44.3, |
|
|
g) i sådana fall där det inte är fråga om särskilda kategorier av uppgifter underlåter att i enlighet med artiklarna 80, 82 och 83 följa bestämmelser om yttrandefrihet, bestämmelser om uppgiftsbehandling i anställningsförhållanden eller villkoren för att behandla uppgifter för historiska, statistiska och vetenskapliga forskningsändamål. |
|
Motivering | |
Se artikel 79.3. | |
Ändringsförslag 210 Förslag till förordning Artikel 79 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Tillsynsmyndigheten ska utfärda böter på upp till 1 000 000 euro eller, om det är fråga om ett företag, på upp till 2 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet |
utgår |
|
a) behandlar personuppgifter utan tillräcklig rättslig grund för ändamålet eller underlåter att följa villkoren för samtycke enligt artiklarna 6, 7 och 8, |
|
|
b) behandlar särskilda kategorier av uppgifter i strid med artiklarna 9 och 81, |
|
|
c) underlåter att hörsamma en invändning eller att uppfylla kravet i artikel 19, |
|
|
d) underlåter att uppfylla villkoren vid åtgärder på grundval av profilering i enlighet med artikel 20, |
|
|
e) underlåter att anta interna strategier eller att genomföra lämplig åtgärder för att garantera och visa överensstämmelse i enlighet med artiklarna 22, 23 och 30, |
|
|
f) underlåter att utse en företrädare i enlighet med artikel 25, |
|
|
g) behandlar eller ger instruktioner för behandlingen av personuppgifter på ett sätt som strider mot skyldigheterna i samband med behandling för en registeransvarigs räkning i enlighet med artiklarna 26 och 27, |
|
|
h) underlåter att signalera eller meddela ett personuppgiftsbrott eller att i tid och utan inskränkningar anmäla personuppgiftsbrottet till tillsynsmyndigheten eller meddela den registrerade i enlighet med artiklarna 31 och 32, |
|
|
i) underlåter att utföra en konsekvensbedömning avseende uppgiftsskydd eller behandlar personuppgifter utan att först ha erhållit tillstånd från eller ha samrått med tillsynsmyndigheten i enlighet med artiklarna 33 och 34, |
|
|
j) underlåter att utse ett uppgiftsskyddsombud eller att skapa de förutsättningar som krävs för att utföra arbetsuppgifterna enligt artiklarna 35, 36 och 37, |
|
|
k) missbrukar en uppgiftsskyddsförsegling eller en uppgiftsskyddsmärkning i den mening som avses i artikel 39, |
|
|
l) verkställer eller ger instruktioner om en överföring av uppgifter till ett tredjeland eller en internationell organisation som inte är tillåten på grundval av ett beslut om adekvat skyddsnivå, lämpliga skyddsåtgärder eller ett undantag i enlighet med artiklarna 40–44, |
|
|
m) underlåter att hörsamma en order, ett tillfälligt eller permanent förbud mot behandling av uppgifter eller ett beslut om att avbryta av uppgiftsflödena som meddelats av tillsynsmyndigheten i enlighet med artikel 53.1, |
|
|
n) underlåter att uppfylla skyldigheten att bistå tillsynsmyndigheten eller lämna tillsynsmyndigheten svar, relevant information eller tillträde till lokaler i enlighet med artiklarna 28.3, 29, 34.6 och 53.2, |
|
|
o) underlåter att följa bestämmelserna om säkerställande av tystnadsplikt i artikel 84. |
|
Motivering | |
Se artikel 79.3. | |
Ändringsförslag 211 Förslag till förordning Artikel 79 – punkt 7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
7. Kommissionen ska ha befogenhet att anta delegerade akter i enlighet med artikel 86 i syfte att uppdatera de administrativa bötesbelopp som avses i punkterna 4, 5 och 6, med hänsyn till kriterierna i punkt 2. |
utgår |
Motivering | |
Se artikel 79.3. | |
Ändringsförslag 212 Förslag till förordning Artikel 81 – punkt 1 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Inom ramen för bestämmelserna i denna förordning och i enlighet med artikel 9.2 h ska behandling av personuppgifter om en registrerads hälsotillstånd ske på grundval av unionslagstiftning eller medlemsstaternas nationella lagstiftning, vilken ska föreskriva lämpliga och konkreta åtgärder för att skydda den registrerades berättigade intressen och vara nödvändig med hänsyn till |
1. Inom ramen för bestämmelserna i denna förordning och i enlighet med artikel 9.2 h ska behandling av personuppgifter om en registrerads hälsotillstånd ske på grundval av unionslagstiftning eller medlemsstaternas nationella lagstiftning, vilken ska föreskriva lämpliga, konsekventa och konkreta åtgärder för att skydda den registrerades berättigade intressen och vara nödvändig med hänsyn till |
Motivering | |
Tillägget av kravet på konsekvens begränsar friheten för medlemsstaternas lagstiftning av hänsyn till målet med den inre marknaden. | |
Ändringsförslag 213 Förslag till förordning Artikel 81 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare specificera andra skäl av allmänt intresse inom folkhälsoområdet enligt punkt 1 b, samt kriterier och krav för det skydd som ska finnas vid behandling av personuppgifter för de ändamål som anges i punkt 1. |
utgår |
Motivering | |
Sådana ytterligare förtydliganden är inte nödvändiga. | |
Ändringsförslag 214 Förslag till förordning Artikel 82 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Inom ramen för bestämmelserna i denna förordning får medlemsstaterna i lag föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering, genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet. |
1. Inom ramen för bestämmelserna i denna förordning får medlemsstaterna i lag eller genom kollektivavtal mellan arbetsmarknadens parter föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering, genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen liksom fällande brottmålsdomar, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet. Denna förordning måste, i överensstämmelse med principerna i artikel 5, respektera sådana kollektivavtal om decentraliserad reglering av arbetsgivarens personuppgiftsbehandling som slutits i enlighet med denna förordning. |
Ändringsförslag 215 Förslag till förordning Artikel 82 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och villkoren för de skyddsåtgärder som ska tillämpas vid behandling av personuppgifter för sådana ändamål som anges i punkt 1. |
3. Denna förordning erkänner den roll som spelas av arbetsmarknadens parter. I medlemsstater där det överlåts åt dessa att reglera löner och andra arbetsvillkor genom kollektivavtal bör specifik hänsyn tas till deras skyldigheter och rättigheter enligt kollektivavtal vid tillämpningen av artikel 6.1 f. |
Ändringsförslag 216 Förslag till förordning Artikel 83 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och kraven för behandling av personuppgifter för de ändamål som anges i punkterna 1 och 2 samt eventuella begränsningar av den registrerades rätt till information och tillgång, och att närmare beskriva villkoren och skyddet för den registrerades rättigheter under dessa förhållanden. |
utgår |
Motivering | |
Sådana ytterligare förtydliganden är inte nödvändiga. | |
Ändringsförslag 217 Förslag till förordning Artikel 83 – punkt 3a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
3a. Medlemsstaterna kan anta specifika åtgärder för att reglera behandling av personuppgifter för historiska, statistiska och vetenskapliga ändamål, med respekt för bestämmelserna i punkterna 1 och 2 i denna artikel samt Europeiska unionens stadga om de grundläggande rättigheterna. |
Ändringsförslag 218 Förslag till förordning Artikel 83 – punkt 3b (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
3b. En medlemsstat som antar specifika åtgärder i enlighet med artikel 83.3a ska underrätta kommissionen om de antagna åtgärderna före det datum som anges i artikel 91.2 och utan onödigt dröjsmål underrätta kommissionen om slutliga ändringar av åtgärderna i ett senare skede. |
Ändringsförslag 219 Förslag till förordning Artikel 84 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka bestämmelser den har antagit i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla framtida ändringslagstiftning eller ändringar som rör dessa bestämmelser. |
2. Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka bestämmelser den har antagit i enlighet med bestämmelserna i punkt 1 för att kommissionen ska kunna kontrollera konsekvensen i förhållande till övriga medlemsstaters bestämmelser, och dessutom utan dröjsmål anmäla framtida ändringslagstiftning eller ändringar som rör dessa bestämmelser. |
Motivering | |
Den inre marknaden kräver en konsekvent tillämpning av denna förordning. | |
Ändringsförslag 220 Förslag till förordning Artikel 86 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den delegering av befogenhet som avses i artiklarna 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 79.6, 81.3, 82.3 och 83.3 ska ges till kommissionen på obestämd tid från och med den dag då denna förordning träder i kraft. |
2. De befogenheter att anta delegerade akter som avses i artiklarna 8.3, 9.3, 12.5, 20.5, 23.3, 30.3, 33.6, 34.8, 39.2, 43.3, 44.7, 79.7 och 82.3 ska ges till kommissionen på obestämd tid från och med dagen för denna förordnings ikraftträdande. |
Motivering | |
Det är nödvändigt att matcha de ändringsförslag som innebär att dessa befogenheter slopas. Där den berörda punkten hade rättats upptäcktes ett tryckfel. | |
Ändringsförslag 221 Förslag till förordning Artikel 86 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Den delegering av befogenhet som avses i artiklarna 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 79.6, 81.3, 82.3 och 83.3 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft. |
3. Den delegering av befogenhet som avses i artiklarna 8.3, 9.3, 12.5, 20.5, 23.3, 30.3, 33.6, 34.8, 39.2, 43.3, 44.7, 79.7 och 82.3 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft. |
Motivering | |
Detta ändringsförslag kompletterar de ändringsförslag som innebär att denna befogenhet slopas. Där den artikel som avses hade ändrats upptäcktes ett tryckfel. | |
Ändringsförslag 222 Förslag till förordning Artikel 86 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. En delegerad akt som antas enligt artikel 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 79.6, 81.3, 82.3 eller 83.3 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med två månader på Europaparlamentets eller rådets initiativ. |
5. En delegerad akt som antas enligt artiklarna 8.3, 9.3, 12.5, 20.5, 23.3, 30.3, 33.6, 34.8, 39.2, 43.3, 44.7, 79.7 och 82.3 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med två månader på Europaparlamentets eller rådets initiativ. |
Motivering | |
Detta ändringsförslag är nödvändigt för att de ändringsförslag genom vilka den befogenhet som avses i början av denna artikel slopas ska få verkan. | |
Ändringsförslag 223 Förslag till förordning Artikel 86 – punkt 5a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
5a. När kommissionen antar de akter som avses i denna artikel ska den främja teknikneutralitet. |
Ändringsförslag 224 Förslag till förordning Artikel 89 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. När det gäller fysiska eller juridiska personer som enligt direktiv 2002/58/EG i dess ändrade lydelse enligt direktiv 2009/136/EG är skyldiga att anmäla personuppgiftsbrott, med avseende på behandling av personuppgifter inom ramen för tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster, ska denna förordning inte innebära några ytterligare skyldigheter att anmäla personuppgiftsbrott till tillsynsmyndigheten eller meddela den registrerade att ett personuppgiftsbrott har skett. En sådan fysisk eller juridisk person ska, i enlighet med det förfarande för anmälan av personuppgiftsbrott som anges i direktiv 2002/58/EG i dess ändrade lydelse enligt direktiv 2009/136/EG, anmäla personuppgiftsbrott som påverkar alla personuppgifter för vilka den är registeransvarig. |
Motivering | |
Denna nya punkt fastslår att tillhandahållare av elektroniska kommunikationstjänster ska omfattas av ett enda system för anmälan av överträdelser rörande de personuppgifter som de behandlar, i stället för att omfattas av flera olika system beroende på vilken tjänst de erbjuder eller vilka personuppgifter de förfogar över. På så sätt säkras likvärdiga förutsättningar för samtliga aktörer på marknaden. | |
Ändringsförslag 225 Förslag till förordning Artikel 89 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Artikel 1.2 i direktiv 2002/58/EG ska utgå. |
2. Artiklarna 1.2, 2 c och 9 i direktiv 2002/58/EG ska utgå. |
Motivering | |
Detta ändringsförslag innebär en viktig anpassning av direktiv 2002/58/EG till den föreliggande förordningen. Vidare undviks dubbelreglering, som allvarligt kan skada konkurrenskraften för de sektorer som omfattas av det direktivet. De allmänna kraven i denna förordning, inklusive kraven på konsekvensbedömningar avseende integritet, säkerställer att uppgifter om vistelseort behandlas med tillräcklig aktsamhet oavsett varifrån källan kommer eller vilken bransch den registeransvarige tillhör. | |
Ändringsförslag 226 Förslag till förordning Artikel 90 – stycke 1a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Delegerade akter och genomförandeakter som antas av kommissionen bör utvärderas av parlamentet och rådet vartannat år. |
ÄRENDETS GÅNG
|
Titel |
Skydd för enskilda personer med avseende på behandling av personuppgifter, och det fria flödet av sådana uppgifter (allmän förordning om uppgiftsskydd) |
||||
|
Referensnummer |
COM(2012)0011 – C7-0025/2012 – 2012/0011(COD) |
||||
|
Ansvarigt utskott Tillkännagivande i kammaren |
LIBE 16.2.2012 |
|
|
|
|
|
Yttrande från Tillkännagivande i kammaren |
IMCO 16.2.2012 |
||||
|
Föredragande av yttrande Utnämning |
Lara Comi 29.2.2012 |
||||
|
Behandling i utskott |
21.6.2012 |
10.10.2012 |
28.11.2012 |
17.12.2012 |
|
|
Antagande |
23.1.2013 |
|
|
|
|
|
Slutomröstning: resultat |
+: –: 0: |
19 16 1 |
|||
|
Slutomröstning: närvarande ledamöter |
Preslav Borissov, Cristian Silviu Buşoi, Jorgo Chatzimarkakis, Sergio Gaetano Cofferati, Birgit Collin-Langen, Lara Comi, Anna Maria Corazza Bildt, Cornelis de Jong, Christian Engström, Dolores García-Hierro Caraballo, Evelyne Gebhardt, Małgorzata Handzlik, Malcolm Harbour, Philippe Juvin, Hans-Peter Mayer, Angelika Niebler, Sirpa Pietikäinen, Phil Prendergast, Mitro Repo, Heide Rühle, Christel Schaldemose, Andreas Schwab, Catherine Stihler, Emilie Turunen, Bernadette Vergnaud, Barbara Weiler |
||||
|
Slutomröstning: närvarande suppleanter |
Raffaele Baldassarre, Jürgen Creutzmann, Anna Hedh, Constance Le Grip, Morten Løkkegaard, Emma McClarkin, Konstantinos Poupakis, Kyriacos Triantaphyllides, Patricia van der Kammen, Sabine Verheyen |
||||
- [1] Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning), COM(2012)0011, nedan även kallad ”den allmänna förordningen”.
- [2] Europaparlamentets och rådets direktiv om skyddet av enskilda vid behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, samt fri rörlighet för sådana uppgifter, COM(2012)0010.
YTTRANDE från utskottet för rättsliga frågor (25.3.2013)
till utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor
över förslaget till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning)
(COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD))
Föredragande: Marielle Gallo
KORTFATTAD MOTIVERING
Förslaget till förordning bevarar principerna från direktiv 95/46/EG och förstärker medborgarnas rättigheter på området för skydd av personuppgifter. Föredraganden ser positivt på kommissionens arbete och vill lämna nedanstående kommentarer.
Trots den motvillighet som uttryckts av vissa parter vill föredraganden bevara en bred definition av personuppgifter och principen om uttryckligt samtycke som grund för behandlingens laglighet. Detta är två nödvändiga villkor för att effektivt skydda denna grundläggande rättighet och inge förtroende bland allmänheten, särskilt i den digitala världen.
Vidare föreslår föredraganden att skyddet för barns personuppgifter ska stärkas genom att tillämpningsområdet för artikel 8 utökas, så att det omfattar alla varor och tjänster och inte enbart informationssamhällets tjänster.
Dessutom föreslår föredraganden att artikel 18, som inför rätten till uppgiftsportabilitet, ska utgå. Denna nya rättighet i förslaget till direktiv tillför inget mervärde för medborgarna jämfört med rätten till tillgång enligt artikel 15 i förslaget till förordning, som ger den registrerade rätt att få information om vilka personuppgifter som behandlas.
Föredraganden vill på ett uttryckligt sätt införa en allmän princip om den registeransvariges ansvar. I förslaget till förordning skärps nämligen den registeransvariges skyldigheter i syfte att göra det möjligt för den registrerade att effektivt utöva sina rättigheter. Man bör dock gå ännu längre och klart och tydligt slå fast denna allmänna ansvarsprincip.
Det är även lämpligt att stärka rätten att bli bortglömd. Artikel 17.2 medför en skyldighet för den registeransvarige att använda alla rimliga medel när det gäller personuppgifter som behandlas av tredje parter. Föredraganden föreslår att det ska införas en skyldighet för den registeransvarige att upplysa den registrerade om vilka åtgärder som dessa tredje parter vidtagit till följd av den registrerades begäran.
Bestämmelserna om överföring av personuppgifter till tredjeländer eller internationella organisationer har utvecklats och preciserats på ett betydande sätt. Föredraganden föreslår att det system för ömsesidigt erkännande av bindande företagsregler som redan inrättats av artikel 29-gruppen ska införas. Den behöriga myndigheten bör vara den som finns där den registeransvarige eller registerföraren har sitt huvudsakliga verksamhetsställe.
När det gäller tillsynsmyndigheternas behörighet välkomnar föredraganden antagandet av principen om en enda kontaktpunkt, som förenklar arbetet för ekonomiska aktörer som är etablerade i flera medlemsstater. Man får dock inte glömma att medborgarna som regel vänder sig till myndigheten i sin egen medlemsstat och förväntar sig att den ska försvara deras rättigheter. Tillämpningen av principen om en enda kontaktpunkt får inte leda till att de andra tillsynsmyndigheterna reduceras till simpla ”brevlådor”. Det bör klargöras att den ledande myndigheten är skyldig att samarbeta med andra tillsynsmyndigheter som berörs och med kommissionen, i enlighet med bestämmelserna i kapitel 7 i förordningen.
När det gäller administrativa påföljder är föredraganden nöjd med de betydande bötesbelopp som föreslås för förordningen. Tillsynsmyndigheterna måste dock ha stort handlingsutrymme när de utdömer böter. Det påminns om att artikel 8.3 i EU:s stadga om de grundläggande rättigheterna säkerställer principen om tillsynsmyndigheternas oberoende. Mekanismen för enhetlighet kan bidra till en harmoniserad politik inom EU vad gäller böter.
Slutligen innehåller förslaget till förordning en stor mängd delegerade akter och genomförandeakter. Vissa av dessa akter är nödvändiga då de lägger till icke väsentliga delar till förordningen, medan andra enligt vad föredraganden föreslår rätt och slätt bör strykas. Denna fråga kan undersökas separat av utskottet för rättsliga frågor. Enligt artikel 37.1 i parlamentets arbetsordning är ju utskottet för rättsliga frågor behörigt att kontrollera den rättsliga grunden för förslag till lagstiftningsakter och kan, antingen på eget initiativ eller på begäran av det utskott som är ansvarigt för ärendet, ta ställning till användningen av delegerade akter och genomförandeakter.
ÄNDRINGSFÖRSLAG
Utskottet för rättsliga frågor uppmanar utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor att som ansvarigt utskott infoga följande ändringsförslag i sitt betänkande:
Ändringsförslag 1 Förslag till förordning Skäl 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(4) Den ekonomiska och sociala integration som uppstått tack vare den inre marknaden har lett till en betydande ökning av de gränsöverskridande flödena. Utbytet av uppgifter mellan ekonomiska och sociala, offentliga och privata aktörer över hela unionen har ökat. Nationella myndigheter i medlemsstaterna uppmanas i unionslagstiftningen att samarbeta och utbyta personuppgifter för att vara i stånd att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat. |
(4) Den ekonomiska och sociala integration som uppstått tack vare den inre marknaden har lett till en betydande ökning av de gränsöverskridande aktiviteterna. Utbytet av uppgifter mellan ekonomiska och sociala, offentliga och privata aktörer över hela unionen har ökat. Nationella myndigheter i medlemsstaterna uppmanas i unionslagstiftningen att samarbeta och utbyta personuppgifter för att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat. |
Ändringsförslag 2 Förslag till förordning Skäl 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(5) Den snabba tekniska utvecklingen och globaliseringen har ställt oss inför nya utmaningar vad gäller skyddet av personuppgifter. Omfattningen på datadelning och insamling av uppgifter har ökat spektakulärt. Tekniken gör det möjligt för både företag och myndigheter att i sitt arbete använda sig av personuppgifter i en helt ny omfattning. Allt fler privatpersoner behandlar sina personliga uppgifter på ett sätt som gör att de blir tillgängliga för var och en, oberoende av plats i världen. Tekniken har omvandlat både ekonomin och det sociala livet, vilket gör det nödvändigt att ytterligare underlätta det fria flödet av uppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer, parallellt med att en hög skyddsnivå säkerställs för personuppgifter. |
(5) Den snabba tekniska utvecklingen och globaliseringen har ställt oss inför nya utmaningar vad gäller skyddet av personuppgifter. Omfattningen på datadelning och insamling av uppgifter har ökat spektakulärt. Tekniken gör det möjligt för både företag och myndigheter att i sitt arbete använda sig av personuppgifter i en helt ny omfattning. Allt fler privatpersoner behandlar sina personliga uppgifter på ett sätt som gör att de blir tillgängliga för var och en, oberoende av plats i världen. Tekniken har omvandlat både ekonomin och det sociala livet, vilket gjort det nödvändigt att underlätta det fria flödet av uppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer och att säkerställa högsta skyddsnivå för personuppgifter. |
Ändringsförslag 3 Förslag till förordning Skäl 15 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(15) Denna förordning bör inte vara tillämplig på fysiska personers behandling av personuppgifter, som är helt personliga eller privata, t.ex. korrespondens och adressförteckningar, och som helt saknar vinstintresse och därmed också koppling till yrkes- eller affärsmässig verksamhet. Undantaget bör heller inte vara tillämpligt på registeransvariga eller registerförare som tillhandahåller utrustning för behandling av personuppgifter får sådana personliga eller privata verksamheter. |
(15) Denna förordning bör inte vara tillämplig på fysiska personers behandling av personuppgifter som är helt personliga eller privata, t.ex. korrespondens och adressförteckningar, och som helt saknar vinstintresse och därmed också koppling till yrkes- eller affärsmässig verksamhet, och där behandlingen inte medför att uppgifterna görs tillgängliga för ett obestämt antal personer. Undantaget bör heller inte vara tillämpligt på registeransvariga eller registerförare som tillhandahåller utrustning för behandling av personuppgifter får sådana personliga eller privata verksamheter. |
Motivering | |
Tillämpningsområdet för detta undantag bör förtydligas, framför allt på grund av de sociala nätverkens snabba tillväxt, i vilka uppgifter kan delas med hundratals personer. EU‑domstolen har (i mål C-101/01 och C-73/07) fastställt tillgänglighet för ett obestämt antal personer som ett kriterium för tillämpningen av detta undantag. Europeiska datatillsynsmannen är av samma åsikt. | |
Ändringsförslag 4 Förslag till förordning Skäl 24 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(24) Vid användning av nättjänster kan enskilda personer knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser eller kakor. Detta kan efterlämna spår som i kombination med unika identifierare och andra uppgifter som tas emot av servrarna kan användas för att skapa profiler för enskilda personer och identifiera dem. Således utgör inte alltid identifieringsnummer, lokaliseringsuppgifter, nätidentifierare eller andra särskilda uppgifter i sig nödvändigtvis personuppgifter. |
(24) Vid användning av nättjänster kan enskilda personer knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser eller kakor. Detta kan efterlämna spår som i kombination med unika identifierare och andra uppgifter som tas emot av servrarna kan användas för att skapa profiler för enskilda personer och identifiera dem. Således bör man från fall till fall och med beaktande av den tekniska utvecklingen pröva om identifieringsnummer, lokaliseringsuppgifter, nätidentifierare eller andra särskilda uppgifter i sig nödvändigtvis måste betraktas som personuppgifter. |
Motivering | |
Mot bakgrund av det ökande utbudet av nya tjänster via nätet och den ständiga teknikutvecklingen måste en hög skyddsnivå för medborgarnas personuppgifter garanteras. Det verkar alltså nödvändigt att pröva från fall till fall. | |
Ändringsförslag 5 Förslag till förordning Skäl 25 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(25) Samtycke bör lämnas uttryckligen med lämplig metod som möjliggör en frivillig, särskild och informerad viljeyttring från de registrerades sida, antingen genom ett uttalande eller genom en entydig affirmativ handling som visar att de är medvetna om att de ger sitt samtycke till behandlingen av personuppgifter, exempelvis en ruta som klickas i vid besök på en internetsida eller genom något annat uttalande eller beteende som i sammanhanget tydligt visar att de registrerade godtar den föreslagna behandlingen av deras personuppgifter. Tystnad eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran måste denna vara tydlig, koncis och får inte onödigtvis störa användningen av den tjänst som den avser. |
(25) Samtycke bör lämnas uttryckligen med en metod som är lämplig för varje använt medium och som möjliggör en frivillig, särskild och informerad viljeyttring från de registrerades sida, antingen genom ett uttalande eller genom en entydig affirmativ handling som visar att de är medvetna om att de ger sitt samtycke till behandlingen av personuppgifter, exempelvis en ruta som klickas i vid besök på en internetsida eller genom något annat uttalande eller beteende som i sammanhanget tydligt visar att de registrerade godtar den föreslagna behandlingen av deras personuppgifter. Tystnad eller inaktivitet bör därför inte utgöra samtycke. Detta bör inte påverka möjligheten att uttrycka samtycke till behandling i enlighet med direktiv 2002/58/EG genom användning av lämpliga inställningar i en webbläsare eller annan applikation. Samtycket bör gälla all behandling som utförs för samma ändamål. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran måste denna vara tydlig, koncis och får inte onödigtvis störa användningen av den tjänst som den avser. |
Ändringsförslag 6 Förslag till förordning Skäl 27 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(27) En registeransvarigs huvudsakliga verksamhetsställe inom unionen bör avgöras med objektiva kriterier och bör inbegripa den effektiva och faktiska ledning som fattar de huvudsakliga besluten vad avser ändamål, villkor och medel för behandlingen med hjälp av en stabil struktur. Detta kriterium bör inte vara avhängigt om behandlingen av personuppgifter faktiskt utförs på det stället. Att tekniska medel samt teknik för behandling av personuppgifter eller behandlingsverksamhet finns och används, visar i sig inte att det rör sig om ett sådant huvudsakligt verksamhetsställe och utgör därför inte avgörande kriterier för ett huvudsakligt verksamhetsställe. Registerförares huvudsakliga verksamhetsställe bör vara den ort i unionen där de har sin centrala förvaltning. |
(27) Oavsett om det rör sig om registeransvariga eller registerförare bör ett företags eller företagskoncerners huvudsakliga verksamhetsställe utses enligt objektiva kriterier och bör inbegripa det faktiska och reella utförandet av personuppgiftsverksamhet som avgör de huvudsakliga besluten vad avser ändamål, villkor och medel för behandlingen med hjälp av en stabil struktur. Detta kriterium bör inte vara avhängigt om behandlingen av personuppgifter faktiskt utförs på det stället. Att tekniska medel samt teknik för behandling av personuppgifter eller behandlingsverksamhet finns och används, visar i sig inte att det rör sig om ett sådant huvudsakligt verksamhetsställe och utgör därför inte avgörande kriterier för ett huvudsakligt verksamhetsställe. |
Ändringsförslag 7 Förslag till förordning Skäl 34 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(34) Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter om det finns en betydande obalans mellan den registrerade och den registeransvarige. Detta är särskilt fallet när den registrerade befinner sig i ett beroendeförhållande till den registeransvarige, bl.a. när arbetstagares personuppgifter behandlas av arbetsgivare inom ramen för en anställning. Är den registeransvarige en myndighet torde obalans endast uppkomma vid specifika uppgiftsbehandlingar där myndigheten i kraft av sina offentliga befogenheter kan ålägga skyldigheter och samtycket, med hänsyn tagen till den registrerades intresse, inte kan anses ha lämnats frivilligt. |
(34) Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter om det finns en betydande obalans mellan den registrerade och den registeransvarige. Detta är särskilt fallet när den registrerade befinner sig i ett beroendeförhållande till den registeransvarige, bl.a. när arbetstagares personuppgifter behandlas av arbetsgivare inom ramen för en anställning, eller när en registeransvarig har en betydande marknadsstyrka för vissa produkter eller tjänster och dessa produkter eller tjänster erbjuds på villkor att samtycke ges till behandling av personuppgifter, eller om en ensidig och icke väsentlig ändring av villkoren för tjänsten inte ger den registrerade några andra alternativ än att godta ändringen eller överge en webbresurs som de har lagt ned betydande tid på. Är den registeransvarige en myndighet torde obalans endast uppkomma vid specifika uppgiftsbehandlingar där myndigheten i kraft av sina offentliga befogenheter kan ålägga skyldigheter och samtycket, med hänsyn tagen till den registrerades intresse, inte kan anses ha lämnats frivilligt. |
Motivering | |
Many social media sites lead users to invest significant time and energy in developing online profiles. There would be a clear imbalance, in the sense of the Commission’s proposal, in any situation where the user was given the choice between accepting new and unnecessary data processing and abandoning the work they have already put into their profile. Another case of clear imbalance would be if the market for the service in question is monopolistic/oligopolistic, so that the data subject does not in fact have a real possibility to choose a privacy-respecting service provider. Data portability would not fully address this issue, as it does not resolve the loss of the network effects in larger social networks. | |
Ändringsförslag 8 Förslag till förordning Skäl 38 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(38) Registeransvarigas berättigade intressen kan utgöra rättslig grund för behandling, på villkor att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts. För detta krävs en noggrann bedömning, särskilt när den registrerade är ett barn, mot bakgrund av att barn förtjänar specifikt skydd. Den registrerade bör kostnadsfritt och av skäl som rör vederbörandes särskilda situation ha rätt att göra invändningar mot behandling. För att säkra öppenheten bör registeransvariga vara skyldiga att uttryckligen informera de registrerade om vilka berättigade intressen som man eftersträvar att tillvarata och om rätten att göra invändningar. De bör även vara skyldiga att dokumentera dessa berättigade intressen. Mot bakgrund av att det är lagstiftaren som genom lagstiftning fastställer den rättsliga grunden för myndigheters behandling av uppgifter bör denna förordning inte vara tillämplig när myndigheter behandlar uppgifter inom ramen för sin myndighetsutövning. |
(38) En persons berättigade intressen kan utgöra rättslig grund för behandling, på villkor att de registrerades intressen eller grundläggande rättigheter och friheter inte åsidosätts. För detta krävs en noggrann bedömning, särskilt när den registrerade är ett barn, mot bakgrund av att barn förtjänar specifikt skydd. Den registrerade bör kostnadsfritt och av skäl som rör vederbörandes särskilda situation ha rätt att göra invändningar mot behandling. För att säkra öppenheten bör registeransvariga eller de tredje parter till vilka uppgifterna har lämnats ut vara skyldiga att uttryckligen informera de registrerade om vilka berättigade intressen som man eftersträvar att tillvarata och om rätten att göra invändningar. De bör även vara skyldiga att dokumentera dessa berättigade intressen. Mot bakgrund av att det är lagstiftaren som genom lagstiftning fastställer den rättsliga grunden för myndigheters behandling av uppgifter bör denna förordning inte vara tillämplig när myndigheter behandlar uppgifter inom ramen för sin myndighetsutövning. |
Motivering | |
Lydelsen från direktiv 95/46/EG bör behållas. Förordningen rör inte bara den digitala världen utan också verksamhet utanför internet. För att finansiera sin verksamhet behöver vissa sektorer, som tidningsutgivarna, använda externa källor för att kontakta potentiella nya prenumeranter. | |
Ändringsförslag 9 Förslag till förordning Skäl 45 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(45) Om de uppgifter som behandlas av registeransvariga inte innebär att de kan identifiera fysiska personer bör de registeransvariga inte vara tvungna att skaffa ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Om en registeransvarig mottar en begäran om tillgång bör denne ha rätt att be den begärande registrerade personen om ytterligare information för att kunna lokalisera de personuppgifter som denne söker. |
(45) Om de uppgifter som behandlas av registeransvariga inte innebär att de kan identifiera fysiska personer bör de registeransvariga inte vara tvungna att använda sig av ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Om en registeransvarig mottar en begäran om tillgång bör denne ha rätt att be den begärande registrerade personen om ytterligare information för att kunna lokalisera de personuppgifter som denne söker. |
Ändringsförslag 10 Förslag till förordning Skäl 48 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(48) Principerna om rättvis och öppen behandling fordrar att den registrerade informeras särskilt om att behandling sker och syftet med den, hur länge uppgifterna kommer att lagras, rätten att få tillgång till dem, rätta eller radera dem samt rätten att lämna in klagomål. När uppgifterna samlas in från de registrerade bör dessa även informeras om huruvida de är skyldiga att lämna uppgifterna, och om konsekvenserna i det fall de inte lämnar dem. |
(48) Principerna om rättvis och öppen behandling fordrar att den registrerade informeras särskilt om att behandling sker och syftet med den, de kriterier som avgör hur länge uppgifterna kommer att lagras för varje enskilt syfte, rätten att få tillgång till dem, rätta eller radera dem samt rätten att lämna in klagomål. När uppgifterna samlas in från de registrerade bör dessa även informeras om huruvida de är skyldiga att lämna uppgifterna, och om konsekvenserna i det fall de inte lämnar dem. |
Motivering | |
Det är inte alltid möjligt att närmare ange exakt hur länge personuppgifterna kommer att lagras, särskilt när de lagras för olika syften. | |
Ändringsförslag 11 Förslag till förordning Skäl 51 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(51) Alla bör ha rätt att få tillgång till uppgifter som insamlats om dem och enkelt kunna utöva denna rätt så att de är medvetna om att behandling sker och kan kontrollera att den är laglig. Alla registrerade bör därför ha rätt att känna till och få underrättelse om framför allt orsaken till att uppgifterna behandlas, vilken tidsperiod behandlingen pågår, vilka som mottar uppgifterna, de behandlade uppgifternas bakomliggande logik och, åtminstone när behandlingen bygger på profilering, vilka konsekvenserna kan bli. Denna rättighet bör inte inverka menligt på andra rättigheter och friheter, t.ex. affärshemligheter eller immateriell äganderätt, och särskilt inte på upphovsrätt som skyddar programvaran. Dessa överväganden bör dock inte utmynna i att den registrerade förvägras all information. |
(51) Alla bör ha rätt att få tillgång till uppgifter som insamlats om dem och enkelt kunna utöva denna rätt så att de är medvetna om att behandling sker och kan kontrollera att den är laglig. Alla registrerade bör därför ha rätt att känna till och få underrättelse om framför allt orsaken till att uppgifterna behandlas, vilken tidsperiod behandlingen pågår, vilka som mottar uppgifterna, de behandlade uppgifternas bakomliggande logik och, åtminstone när behandlingen bygger på profilering, vilka konsekvenserna kan bli. Alla registrerade bör vidare ha rätt att få underrättelse om vilka personuppgifter som håller på att behandlas och, på elektronisk begäran, få en elektronisk kopia av de icke-kommersiella uppgifter som håller på att behandlas, i ett kompatibelt och strukturerat format som de registrerade kan fortsätta att använda. Dessa rättigheter bör inte inverka menligt på andra rättigheter och friheter, t.ex. affärshemligheter eller immateriell äganderätt, och särskilt inte på upphovsrätt som skyddar programvaran. Dessa överväganden bör dock inte utmynna i att den registrerade förvägras all information. |
Motivering | |
Det är inte alltid möjligt att närmare ange exakt hur länge personuppgifterna kommer att lagras, särskilt när de lagras för olika syften. | |
Ändringsförslag 12 Förslag till förordning Skäl 53 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(53) Alla bör ha rätt till rättelse av sina personuppgifter och en ”rätt att bli bortglömd” när lagring av uppgifterna inte stämmer överens med denna förordning. Registrerade bör särskilt ha rätt att få sina personuppgifter raderade och kunna begära att dessa uppgifter inte behandlas om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om de registrerade har återtagit sitt samtycke till behandling eller om de registrerade invänder mot behandling av personuppgifter som rör dem eller när behandlingen av deras personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Ytterligare lagring av uppgifterna bör dock tillåtas när så behövs för historiska, statistiska och vetenskapliga forskningsändamål, i det allmännas intresse på folkhälsoområdet, för utövandet av yttrandefriheten, när lagen så kräver eller när det finns anledning att begränsa behandlingen av uppgifterna i ställe för att radera dem. |
(53) Alla bör ha rätt till rättelse av sina personuppgifter och en ”rätt att bli bortglömd” när lagring av uppgifterna inte stämmer överens med denna förordning. Registrerade bör särskilt ha rätt att få sina personuppgifter raderade och kunna begära att dessa uppgifter inte behandlas om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om de registrerade har återtagit sitt samtycke till behandling eller om de registrerade invänder mot behandling av personuppgifter som rör dem eller när behandlingen av deras personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Ytterligare lagring av uppgifterna bör dock tillåtas när så behövs för historiska, statistiska, aggregerade och vetenskapliga forskningsändamål, i det allmännas intresse på folkhälsoområdet, i syfte att behandla vårduppgifter för hälso- och sjukvårdsändamål, för utövandet av yttrandefriheten, när lagen så kräver eller när det finns anledning att begränsa behandlingen av uppgifterna i stället för att radera dem. |
Motivering | |
Det är av väsentligt intresse för de registrerade att en fullständig patientjournal förs över deras hälsotillstånd så att de kan få den bästa vården och behandlingen under hela livet. Rätten att bli bortglömd bör inte gälla om uppgifter behandlas för hälso- och sjukvårdsändamål i enlighet med artikel 81a. | |
Ändringsförslag 13 Förslag till förordning Skäl 55 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(55) För att ytterligare stärka de registrerades kontroll över sina egna uppgifter och rätt till tillgång bör de, när personuppgifter behandlas genom elektroniska medel och i strukturerat och gängse format, också ha rätt att få en kopia av uppgifter som rör dem i gängse elektroniskt format. Den registrerade bör även tillåtas överföra uppgifter som han eller hon själv har tillhandahållit från en automastisk tillämpning, exempelvis ett socialt nätverk, till en annan. Detta bör vara tillämpligt när de registrerade har lämnat uppgifterna till ett automatiskt databehandlingssystem, antingen efter att ha lämnat sitt samtycke eller inom ramen för genomförandet av ett avtal. |
utgår |
Motivering | |
Enligt artikel 15 i förslaget till förordning har de registrerade rätt till tillgång. Rätten till tillgång ger varje registrerad person rätt att erhålla information om de personuppgifter som behandlas. Artikel 18, som ger de registrerade rätt att erhålla en kopia av uppgifter om dem själva, tillför inget mervärde för skyddet av medborgarnas personuppgifter och skapar förvirring kring den exakta omfattningen av rätten till tillgång, som är en central rättighet. | |
Ändringsförslag 14 Förslag till förordning Skäl 58 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(58) Fysiska personer bör inte vara tvungna att underkasta sig åtgärder som bygger på profilering genom automatisk behandling. Sådana åtgärder bör dock godtas när de uttryckligen är tillåtna enligt lag, när de vidtas vid ingåendet eller genomförandet av ett avtal eller när den registrerade har gett sitt samtycke. Denna form av uppgiftsbehandling bör emellertid omgärdas av lämpliga skyddsåtgärder, bl.a. särskild information till den registrerade, rätt till personlig kontakt samt att garantier för att åtgärderna inte berör barn. |
(58) Registrerade personer bör inte vara tvungna att underkasta sig ett beslut som bygger på profilering genom automatisk behandling och som medför negativa rättsliga följder för eller inverkar negativt på de registrerade. Detta är inte fallet för åtgärder i samband med marknadskommunikation, exempelvis på området för hantering av kundrelationer eller kundvärvning. Sådana beslut bör dock godtas om de är tillåtna enligt lag eller om behandlingen är laglig enligt artikel 6.1 a–fa. Denna form av uppgiftsbehandling bör emellertid omgärdas av lämpliga skyddsåtgärder, bl.a. särskild information till den registrerade, rätt till personlig kontakt samt garantier för att åtgärderna inte berör barn. Utan att det påverkar tillämpningen av artikel 9.2 bör profilering inte innebära diskriminering mot enskilda personer på grund av exempelvis ras eller etniskt ursprung, religion eller sexuell läggning. |
Motivering | |
Den formulering som kommissionen föreslår gör gällande att all profilering har negativa följder, men en del profilering kan ha positiva följder, t.ex. att förbättra eller anpassa tjänster för likartade kunder. | |
Ändringsförslag 15 Förslag till förordning Skäl 60 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(60) Registeransvariga bör åläggas ett heltäckande ansvar för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Registeransvariga bör särskilt säkerställa och vara skyldiga att visa att varje behandling är förenlig med denna förordning. |
(60) Registeransvariga bör åläggas ett allmänt ansvar för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Registeransvariga bör särskilt säkerställa och vara skyldiga att visa att varje behandling är förenlig med denna förordning. |
Motivering | |
För att stärka skyddet av personuppgifter bör det klart och tydligt införas en allmän princip om registeransvarigas ansvar. | |
Ändringsförslag 16 Förslag till förordning Skäl 62 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(62) Skyddet av de registrerades rättigheter och friheter samt de registeransvarigas och registerförarna ansvar, också i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när registeransvariga bestämmer ändamål, villkor och medel för en behandling gemensamt tillsammans med andra registeransvariga eller när en behandling utförs på en registeransvarigs vägnar. |
(62) Skyddet av de registrerades rättigheter och friheter samt de registeransvarigas och registerförarna ansvar, också i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när registeransvariga bestämmer ändamål, villkor och medel för en behandling gemensamt tillsammans med andra registeransvariga eller när en behandling utförs på en registeransvarigs vägnar. I fall av solidariskt ansvar kan en registerförare som har gett ersättning för en skada som en registrerad har lidit väcka talan mot den registeransvarige för att kräva återbetalning, om registerföraren har handlat i enlighet med den rättsliga handling som binder honom till den registeransvarige. |
Motivering | |
Registerföraren definieras som den part som handlar för den registeransvariges räkning. Följaktligen bör den registeransvarige, och inte registerföraren, bära ansvaret för personuppgiftsbrott om registerföraren omsorgsfullt har följt sina anvisningar, utan att detta påverkar den registrerades rätt till ersättning. | |
Ändringsförslag 17 Förslag till förordning Skäl 65 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(65) För att påvisa att denna förordning följs, bör de registeransvariga eller registerförarna dokumentera varje behandling. Alla registeransvariga och registerförare bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra dokumenteringen tillgänglig så att den kan tjäna som grund för övervakningen av behandlingen. |
(65) För att påvisa att denna förordning följs, bör de registeransvariga eller registerförarna bevara relevant information om huvudkategorierna av behandling som utförts. Alla registeransvariga och registerförare bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra dokumenteringen tillgänglig så att den kan användas av tillsynsmyndigheten i utvärderingen av huruvida dessa huvudkategorier av behandling överensstämmer med denna förordning. |
Ändringsförslag 18 Förslag till förordning Skäl 67 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(67) Ett personuppgiftsbrott som inte snabbt åtgärdas på lämpligt sätt kan för den enskilde leda till betydande ekonomisk förlust eller social skada. Registeransvariga bör därför så snart de blir medvetna om ett sådant brott anmäla det till tillsynsmyndigheten utan onödigt dröjsmål och, när så är möjligt, inom 24 timmar. Om detta inte kan uppnås inom 24 timmar bör en förklaring av skälen till fördröjningen åtfölja anmälan. Enskilda personer vars personuppgifter kan påverkas negativt av brottet bör meddelas utan onödig fördröjning så att de kan vidta nödvändiga försiktighetsåtgärder. Ett brott bör anses negativt påverka en registrerad persons personuppgifter eller integritet när det exempelvis kan leda till identitetsstöld eller bedrägeri, fysik skada, betydande förödmjukelse eller skadat anseende. Anmälan bör beskriva personuppgiftsbrottets art samt innehålla rekommendationer för berörd enskild person om hur de potentiella negativa effekterna kan mildras. De registrerade bör meddelas så snart detta rimligtvis är möjligt, i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra relevanta myndigheter (t.ex. brottsbekämpande myndigheter). För att den drabbade personen ska kunna mildra en omedelbar skaderisk bör han eller hon meddelas omedelbart. Däremot kan behovet att vidta lämpliga åtgärder vid fortlöpande eller likartade personuppgiftsbrott motivera en viss fördröjning. |
(67) Ett personuppgiftsbrott som inte snabbt åtgärdas på lämpligt sätt kan för den enskilde leda till betydande ekonomisk förlust eller social skada. Registeransvariga bör därför, så snart de blir medvetna om ett brott som väsentligt påverkar den registrerade, anmäla det till tillsynsmyndigheten utan onödigt dröjsmål. Enskilda personer vars personuppgifter kan påverkas väsentligt negativt av brottet bör meddelas utan onödig fördröjning så att de kan vidta nödvändiga försiktighetsåtgärder. Ett brott bör anses väsentligt negativt påverka en registrerad persons personuppgifter eller integritet när det exempelvis kan leda till identitetsstöld eller bedrägeri, fysisk skada, betydande förödmjukelse eller skadat anseende. Anmälan bör beskriva personuppgiftsbrottets art samt innehålla rekommendationer för berörd enskild person om hur de potentiella negativa effekterna kan mildras. De registrerade bör meddelas så snart detta rimligtvis är möjligt, i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra relevanta myndigheter (t.ex. brottsbekämpande myndigheter). För att den drabbade personen ska kunna mildra en omedelbar skaderisk bör han eller hon meddelas omedelbart. Däremot kan behovet att vidta lämpliga åtgärder vid fortlöpande eller likartade personuppgiftsbrott motivera en viss fördröjning. |
Motivering | |
Vid personuppgiftsbrott måste den registeransvarige i första hand koncentrera sig på att vidta alla lämpliga åtgärder för att få brottet att upphöra. En skyldighet att anmäla brottet till tillsynsmyndigheten inom 24 timmar, tillsammans med påföljder om detta inte följs, riskerar att få motsatt verkan. Dessutom bör anmälan, i enlighet med artikel 29-gruppens yttrande av den 23 mars 2012, inte krävas för mindre allvarliga brott, så att tillsynsmyndigheterna inte överbelastas. | |
Ändringsförslag 19 Förslag till förordning Skäl 82 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(82) Kommissionen kan likaså konstatera att ett tredjeland, ett visst territorium eller en viss behandlande sektor i ett tredjeland eller en internationell organisation inte garanterar adekvat skyddsnivå. Överföring av personuppgifter till detta tredjeland bör då förbjudas. I så fall bör det finnas möjlighet till samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer. |
(82) Kommissionen kan likaså konstatera att ett tredjeland, ett visst territorium eller en viss behandlande sektor i ett tredjeland eller en internationell organisation inte garanterar adekvat skyddsnivå. Överföring av personuppgifter till detta tredjeland bör då tillåtas under förutsättning att lämpliga skyddsåtgärder har införts eller i enlighet med de undantag som fastställs i denna förordning. |
Motivering | |
I linje med datatillsynsmannens rekommendation enligt yttrandet av den 7 mars 2012 (punkt 220). | |
Ändringsförslag 20 Förslag till förordning Skäl 85a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(85a) En företagskoncern som avser att lämna in bindande företagsregler för godkännande kan föreslå en tillsynsmyndighet som ledande myndighet. Den ledande myndigheten bör vara tillsynsmyndigheten i den medlemsstat där den registeransvariges eller registerförarens huvudsakliga verksamhetsställe är beläget. |
Motivering | |
Artikel 29-gruppen har infört ett system för ömsesidigt erkännande av bindande företagsregler (WP 107, 14 april 2005). Detta system för ömsesidigt erkännande bör införlivas i förordningen. Kriteriet för val av behörig myndighet bör vara det huvudsakliga verksamhetsstället, så som anges i artikel 51.2 i förordningen. | |
Ändringsförslag 21 Förslag till förordning Skäl 87 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(87) Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga för att skydda viktiga samhälleliga intressen, exempelvis vid internationella uppgiftsöverföringar mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, mellan socialförsäkringsmyndigheter, eller till myndigheter som är behöriga att förebygga, utreda, avslöja och lagföra brott. |
(87) Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga för att skydda viktiga samhälleliga intressen, exempelvis vid internationella uppgiftsöverföringar mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, mellan socialförsäkringsmyndigheter, mellan organ som ansvarar för bedrägeribekämpning inom idrotten, eller till myndigheter som är behöriga att förebygga, utreda, avslöja och lagföra brott. |
Ändringsförslag 22 Förslag till förordning Skäl 115 | |
|
Kommissionens förslag |
Ändringsförslag |
|
I situationer då en behörig tillsynsmyndighet belägen i en annan medlemsstat underlåter att agera eller har vidtagit otillräckliga åtgärder i samband med klagomål kan de registrerade anmoda tillsynsmyndigheten i den medlemsstat där de har hemvist att väcka talan mot den tillsynsmyndigheten vid behörig domstol i den andra medlemsstaten. Den anmodade tillsynsmyndigheten kan fatta beslut om huruvida denna begäran bör hörsammas eller ej. Beslutet bör kunna bli föremål för domstolsprövning. |
utgår |
Motivering | |
Denna möjlighet tillför inget mervärde för medborgarna och riskerar att äventyra samarbetet mellan tillsynsmyndigheterna inom ramen för mekanismen för enhetlighet. | |
Ändringsförslag 23 Förslag till förordning Skäl 118 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(118) Personer som lider skada till följd av otillåten behandling bör ha rätt till ersättning av registeransvariga eller registerförare, som dock kan befrias från skadeståndsskyldighet om de kan visa att de inte är ansvariga för skadan, särskilt om de kan påvisa att ett fel begåtts av den registrerade eller om det föreligger ett fall av force majeure. |
(118) Personer som lider skada till följd av otillåten behandling bör ha rätt till ersättning av registeransvariga eller registerförare, som dock kan befrias från skadeståndsskyldighet om de kan visa att de inte är ansvariga för skadan, särskilt om de kan påvisa att ett fel begåtts av den registrerade eller om det föreligger ett fall av force majeure. I fall av solidariskt ansvar kan en registerförare som har gett ersättning för en skada som en registrerad har lidit väcka talan mot den registeransvarige för att kräva återbetalning, om registerföraren har handlat i enlighet med den rättsliga handling som binder honom till den registeransvarige. |
Motivering | |
I förordningen införs en allmän princip om registeransvarigas ansvar (artiklarna 5f och 22), som bör nämnas uttryckligen. Registerföraren definieras som den part som handlar för den registeransvariges räkning. En registerförare som inte följer sina anvisningar bär enligt artikel 26.4 ansvaret för behandlingen. | |
Ändringsförslag 24 Förslag till förordning Skäl 121a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(121a) Enligt denna förordning kan principen om allmänhetens tillgång till officiella handlingar beaktas vid tillämpningen av bestämmelserna i denna förordning. Personuppgifter i handlingar som innehas av en offentlig myndighet eller ett offentligt organ får lämnas ut av myndigheten eller organet i överensstämmelse med den medlemsstatslagstiftning som den berörda myndigheten eller det berörda organet omfattas av. Denna lagstiftning måste förena rätten till skydd av personuppgifter och principen om allmänhetens tillgång till officiella handlingar. |
Ändringsförslag 25 Förslag till förordning Skäl 129 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(129) I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra den fria rörligheten för personuppgifter inom unionen bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen. Delegerade akter bör framför allt antas när det gäller följande: behandlingens laglighet, precisering av kriterier och villkor för barns samtycke, behandling av särskilda kategorier av uppgifter, precisering av kriterier och villkor vad gäller uppenbart orimliga krav och avgifter för att den registrerade ska kunna utöva sina rättigheter, kriterier och krav vad gäller information till den registrerade och rätten till tillgång, rätten att bli bortglömd och rätten till radering, profileringsbaserade åtgärder, kriterier och krav vad gäller den registeransvariges ansvar samt inbyggt uppgiftsskydd och uppgiftsskydd som standard, registerförare, kriterier och krav vad gäller dokumentering av och säkerhet vid behandlingen, kriterier och krav vad gäller konstaterandet av personuppgiftsbrott och anmälan av detta till tillsynsmyndigheten, och gällande omständigheterna när ett personuppgiftsbrott sannolikt påverkar den registrerade negativt, kriterier och villkor vad gäller behandling som kräver en konsekvensbedömning av uppgiftsskyddet, kriterier och krav när man avgör om höggradiga särskilda risker föreligger som kräver förhandssamråd, uppgiftsskyddsombudets utnämning och arbetsuppgifter, uppförandekodexar, kriterier och krav vad gäller certifieringsmekanismer, kriterier och krav vad gäller överföringar som sker på grundval av bindande företagsregler, överföringsundantag, administrativa påföljder, behandling för hälso- och sjukvårdsändamål, behandling vid anställningar och behandling för historiska, statistiska och vetenskapliga forskningsändamål. Det är av särskild betydelse att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå. Kommissionen bör, då den förbereder och utarbetar delegerade akter, se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så snabbt som möjligt och på lämpligt sätt. |
(129) I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra den fria rörligheten för personuppgifter inom unionen bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen. Delegerade akter bör framför allt antas när det gäller följande: precisering av kriterier och villkor för barns samtycke, kriterier och krav vad gäller information till den registrerade och rätten till tillgång, kriterier och krav vad gäller den registeransvariges ansvar, registerförare, kriterier och krav vad gäller dokumentering, uppgiftsskyddsombudets utnämning och arbetsuppgifter, uppförandekoder, kriterier och krav vad gäller certifieringsmekanismer, överföringar som sker på grundval av bindande företagsregler, behandling vid anställningar och behandling för historiska, statistiska och vetenskapliga forskningsändamål. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under det förberedande arbetet, även på expertnivå. När kommissionen förbereder och utarbetar delegerade akter bör den se till att relevanta handlingar översänds till Europaparlamentet och rådet samtidigt, i god tid och på lämpligt sätt. |
Ändringsförslag 26 Förslag till förordning Skäl 130 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(130) För att säkra enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter för att: specificera standardformulär för behandling av barns personuppgifter, standardförfaranden och formulär för utövandet av den registrerades rättigheter, standardformulär för information till den registrerade, standardformulär och förfaranden för rätten till tillgång, rätten till uppgiftsportabilitet, standardformulär avseende den registeransvariges ansvar för inbyggt uppgiftsskydd och uppgiftsskydd som standard samt dokumentation, särskilda krav på säkerhet vid behandling, standardformat och förfaranden för anmälan av personuppgiftsbrott till tillsynsmyndigheten och meddelanden om personuppgiftsbrott till den registrerade, standarder och förfaranden för konsekvensbedömning avseende uppgiftsskydd, formulär och förfaranden för förhandstillstånd och förhandssamråd, tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland eller ett territorium eller av en behandlande sektor inom detta tredjeland eller en internationell organisation, utlämnande som inte har stöd i unionslagstiftningen, ömsesidigt bistånd, gemensamma insatser och beslut enligt mekanismen för enhetlighet. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag. |
(130) För att säkra enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter för att: specificera standardformulär för behandling av barns personuppgifter, standardförfaranden och formulär för utövandet av den registrerades rättigheter, standardformulär för information till den registrerade, standardformulär och förfaranden för rätten till tillgång, rätten till uppgiftsportabilitet, standardformulär avseende den registeransvariges ansvar för inbyggt uppgiftsskydd och uppgiftsskydd som standard samt dokumentation, särskilda krav på säkerhet vid behandling, formulär och förfaranden för förhandstillstånd och förhandssamråd, tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland eller ett territorium eller av en behandlande sektor inom detta tredjeland eller en internationell organisation, utlämnande som inte har stöd i unionslagstiftningen, ömsesidigt bistånd, gemensamma insatser och beslut enligt mekanismen för enhetlighet. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag. |
Ändringsförslag 27 Förslag till förordning Skäl 131 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(131) Mot bakgrund av att nedanstående rättsakter har allmän räckvidd bör granskningsförfarandet användas vid antagande av följande: specificerande standardformulär för barns samtycke, standardförfaranden och formulär för utövandet av den registrerades rättigheter, standardformulär för information till den registrerade, standardformulär och förfaranden för rätten till tillgång, rätten till uppgiftsportabilitet, standardformulär avseende den registeransvariges ansvar för inbyggt uppgiftsskydd och uppgiftsskydd som standard samt dokumentation, särskilda krav på säkerhet vid behandling, standardformat och förfaranden för anmälan av personuppgiftsbrott till tillsynsmyndigheten och meddelanden om personuppgiftsbrott till den registrerade, standarder och förfaranden för konsekvensbedömning avseende uppgiftsskydd, formulär och förfaranden för förhandstillstånd och förhandssamråd, tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland eller ett territorium eller av en behandlande sektor inom detta tredjeland eller en internationell organisation, utlämnande som inte har stöd i unionslagstiftningen, ömsesidigt bistånd, gemensamma insatser och beslut enligt mekanismen för enhetlighet. |
(131) Mot bakgrund av att nedanstående rättsakter har allmän räckvidd bör granskningsförfarandet användas vid antagande av följande: specificerande standardformulär för barns samtycke, standardförfaranden och formulär för utövandet av den registrerades rättigheter, standardformulär för information till den registrerade, standardformulär och förfaranden för rätten till tillgång, standardformulär avseende den registeransvariges ansvar för dokumentation, särskilda krav på säkerhet vid behandling, standardformat och förfaranden för anmälan av personuppgiftsbrott till tillsynsmyndigheten och meddelanden om personuppgiftsbrott till den registrerade, standarder och förfaranden för konsekvensbedömning avseende uppgiftsskydd, formulär och förfaranden för förhandstillstånd och förhandssamråd, tekniska standarder och mekanismer för certifiering, utlämnande som inte har stöd i unionslagstiftningen, ömsesidigt bistånd, gemensamma insatser och beslut enligt mekanismen för enhetlighet. |
Ändringsförslag 28 Förslag till förordning Skäl 139 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(139) Med hänsyn till att rätten till skydd av personuppgifter, såsom EU-domstolen har påpekat, inte är någon absolut rättighet, utan måste förstås utifrån sin funktion i samhället och balanseras i enlighet med proportionalitetsprincipen med andra grundläggande rättigheter, respekterar denna förordning alla grundläggande rättigheter och iakttar de principer som erkänns i EU:s stadga om de i fördragen fastställda grundläggande rättigheterna, främst rätten till skydd för privat- och familjeliv, bostad och kommunikationer, rätten till skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till effektivt rättsmedel och opartisk domstol samt kulturell, religiös och språklig mångfald. |
(139) Med hänsyn till att rätten till skydd av personuppgifter, såsom EU-domstolen har påpekat, inte är någon absolut rättighet, utan måste förstås utifrån sin funktion i samhället och balanseras i enlighet med proportionalitetsprincipen med andra rättigheter enligt EU-stadgan om de grundläggande rättigheterna, respekterar denna förordning alla grundläggande rättigheter och iakttar de principer som erkänns i EU-stadgan om de grundläggande rättigheterna och fastställs i fördragen, främst rätten till skydd för privat- och familjeliv, bostad och kommunikationer, rätten till skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till effektivt rättsmedel och opartisk domstol samt kulturell, religiös och språklig mångfald. |
Ändringsförslag 29 Förslag till förordning Artikel 2 – punkt 2 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
b) som utförs av unionens institutioner, organ och byråer, |
utgår |
Ändringsförslag 30 Förslag till förordning Artikel 2 – punkt 2 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
d) som en fysisk person utför utan vinstintresse som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll, |
d) som en fysisk person utför utan vinstintresse som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll, och där personuppgifterna inte görs tillgängliga för ett obestämt antal personer, |
Motivering | |
Tillämpningsområdet för detta undantag bör förtydligas, framför allt på grund av de sociala nätverkens snabba tillväxt, i vilka uppgifter kan delas med hundratals personer. EU-domstolen har (i mål C-101/01 och C-73/07) fastställt tillgänglighet för ett obestämt antal personer som ett kriterium för tillämpningen av detta undantag. Europeiska datatillsynsmannen är av samma åsikt. | |
Ändringsförslag 31 Förslag till förordning Artikel 2 – punkt 2 – led ea (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
ea) som behöriga myndigheter utför i syfte att fullgöra sin uppgift att framställa och sprida officiell statistik. |
Motivering | |
Syftet är att minska bördan när det gäller svar till respondenterna. De nationella statistikinstituten och kommissionen kommer att ha fri tillgång till och ha rätt att använda de offentliga förvaltningarnas administrativa register när det är nödvändigt för att framställa, utarbeta och sprida europeisk statistik. | |
Ändringsförslag 32 Förslag till förordning Artikel 2 – punkt 2 – led eb (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
eb) som har anonymiserats, |
Motivering | |
Per definition utgör anonymiserade uppgifter inte personuppgifter. | |
Ändringsförslag 33 Förslag till förordning Artikel 2 – punkt 2 – led ec (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
ec) som behöriga myndigheter utför i syfte att upprätta röstlängder. |
Motivering | |
Syftet är att minska bördan när det gäller svar till respondenterna. De nationella statistikinstituten och kommissionen kommer att ha fri tillgång till och ha rätt att använda de offentliga förvaltningarnas administrativa register när det är nödvändigt för att framställa, utarbeta och sprida europeisk statistik. | |
Ändringsförslag 34 Förslag till förordning Artikel 4 – led 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(1) den registrerade: en fysisk person som är direkt eller indirekt identifierad eller identifierbar, med medel som rimligen kan komma att användas av den registeransvarige eller av någon annan fysisk eller juridisk person, framför allt med hänvisning till ett identifikationsnummer, en lokaliseringsuppgift eller nätidentifierare, eller till en eller fler faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. |
(1) den registrerade: en fysisk person som är direkt eller indirekt identifierad eller identifierbar, med medel som rimligen kan komma att användas av den registeransvarige eller av en fysisk eller juridisk person, framför allt med hänvisning till ett identifikationsnummer, en lokaliseringsuppgift eller nätidentifierare, eller till en eller fler faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. |
Ändringsförslag 35 Förslag till förordning Artikel 4 – led 2a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(2a) anonymiserade uppgifter: information som aldrig har avsett någon registrerad person eller som har insamlats, ändrats eller på annat sätt behandlats så att den inte kan kopplas till någon registrerad person. |
Ändringsförslag 36 Förslag till förordning Artikel 4 – led 3a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(3a) pseudonymiserade uppgifter: alla personuppgifter som samlats in, ändrats eller på något annat sätt behandlats så att de inte i sig själva går att koppla till den registrerade utan att kompletterande uppgifter används, vilka ska omfattas av separata och tydliga tekniska och organisatoriska kontroller för att garantera att ingen sådan koppling är möjlig. |
Ändringsförslag 37 Förslag till förordning Artikel 4 – led 3b (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(3b) profilering: varje form av automatisk behandling av personuppgifter som syftar till att utvärdera eller generera uppgifter om vissa personliga egenskaper hos en fysisk person eller att analysera eller förutsäga i synnerhet vederbörandes arbetsprestationer, ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet, beteende eller personlighet. |
Motivering | |
Profiling can entail serious risks for data subjects. It is prone to reinforcing discriminations, making decisions less transparent and carries an unavoidable risk of wrong decisions. For these reasons, it should be tightly regulated: its use should be clearly limited, and in those cases where it can be used, there should be safeguards against discrimination and data subjects should be able to receive clear and meaningful information on the logic of the profiling and its consequences. While some circles see profiling as a panacea for many problems, it should be noted that there is a significant body of research addressing its limitations. Notably, profiling tends to be useless for very rare characteristics, due to the risk of false positives. Also, profiles can be hard or impossible to verify. Profiles are based on complex and dynamic algorithms that evolve constantly and that are hard to explain to data subjects. Often, these algorithms qualify as commercial secrets and will not be easily provided to data subjects. However, when natural persons are subject to profiling, they should be entitled to information about the logic used in the measure, as well as an explanation of the final decision if human intervention has been obtained. This helps to reduce intransparency, which could undermine trust in data processing and may lead to loss or trust in especially online services. There is also a serious risk of unreliable and (in effect) discriminatory profiles being widely used, in matters of real importance to individuals and groups, which is the motivation behind several suggested changes in this Article that aim to improve the protection of data subjects against discrimination. In relation to this, the use of sensitive data in generating profiles should also be restricted. | |
Ändringsförslag 38 Förslag till förordning Artikel 4 – led 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(5) registeransvarig: en fysisk eller juridisk person, myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen, villkoren och medlen för behandlingen av personuppgifter; om ändamålen, villkoren och medlen för behandlingen bestäms av unionslagstiftningen eller medlemsstaternas lagstiftning kan den registeransvarige eller de särskilda kriterierna för hur denne ska utses anges i unionslagstiftningen eller i medlemsstaternas lagstiftning. |
(5) registeransvarig: en fysisk eller juridisk person, myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen för behandlingen av personuppgifter; om ändamålen, villkoren och medlen för behandlingen bestäms av unionslagstiftningen eller medlemsstaternas lagstiftning kan den registeransvarige eller de särskilda kriterierna för hur denne ska utses anges i unionslagstiftningen eller i medlemsstaternas lagstiftning. |
Ändringsförslag 39 Förslag till förordning Artikel 4 – led 10 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(10) genetiska uppgifter: alla uppgifter, oavsett typ, som rör sådana kännetecken för en enskild person som är nedärvda eller har erhållits under tidig prenatal utveckling. |
(10) genetiska uppgifter: information om en identifierad eller identifierbar persons ärftliga egenskaper, eller förändringar av dessa, som erhållits genom nukleinsyreanalys. |
Motivering | |
Den föreslagna definitionen är för bred och skulle göra ärvda egenskaper som hår- och ögonfärg till känsliga uppgifter som behöver högre skydd. Den föreslagna ändringen bygger på befintliga internationella standarder. | |
Ändringsförslag 40 Förslag till förordning Artikel 4 – led 13 | |
|
Kommissionens förslag |
Ändringsförslag |
|
(13) huvudsakligt verksamhetsställe: när det gäller den registeransvarige, den plats i unionen där denne är etablerad, där de huvudsakliga besluten om syftena, villkoren och medlen för behandlingen av personuppgifter fattas; om inga beslut om syftena, villkoren och metoderna för behandlingen av personuppgifter fattas i unionen är det huvudsakliga verksamhetsstället den plats där den huvudsakliga behandlingen inom ramen för den verksamhet som bedrivs vid en registeransvarigs verksamhetsställe i unionen äger rum. När det gäller registerföraren avses med huvudsakligt verksamhetsställe den plats i unionen där vederbörande har sin centrala förvaltning. |
(13) huvudsakligt verksamhetsställe: den plats i unionen, oavsett om det rör sig om en registeransvarig eller registerförare, där företaget eller företagskoncernen har sin etableringsort, där de huvudsakliga besluten om syftena, villkoren och medlen för behandlingen av personuppgifter fattas. |
|
|
Bland annat följande objektiva kriterier kan beaktas: |
|
|
1) Platsen för den registeransvariges eller registerförarens huvudkontor. |
|
|
2) Platsen för den enhet inom en företagskoncern som med avseende på ledningsfunktioner och förvaltningsansvar är bäst lämpad att ha hand om och verkställa bestämmelserna i denna förordning. |
|
|
3) Den plats där den faktiska och reella ledningsverksamhet utövas som avgör uppgiftsbehandlingen med hjälp av en stabil struktur. |
|
|
a) Oavsett om det rör sig om en registeransvarig eller registerförare ska företaget eller företagskoncernen i unionen utse det huvudsakliga verksamhetsstället med avseende på efterlevnaden av bestämmelserna om uppgiftsskydd och meddela detta till den berörda nationella tillsynsmyndigheten. |
|
|
b) Om det råder oenighet kring vilket det huvudsakliga verksamhetsstället ska vara, kan tillsynsmyndigheten begära att Europeiska dataskyddsstyrelsen ska yttra sig i frågan. |
Ändringsförslag 41 Förslag till förordning Artikel 4 – led 19a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(19a) behörig tillsynsmyndighet: en tillsynsmyndighet som har exklusiv behörighet att utöva tillsyn över den behandling som utförs av den registeransvarige eller registerföraren i enlighet med artikel 51.2. |
Ändringsförslag 42 Förslag till förordning Artikel 4 – led 4b (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(19b) officiell statistik: representativ aggregerad kvantitativ och kvalitativ och information som kännetecknar en kollektiv företeelse inom en given population. |
Ändringsförslag 43 Förslag till förordning Artikel 4 – led 19c (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
(19c) röstlängd: personuppgifter, inklusive bostadsadress, för personer som har rösträtt. |
Ändringsförslag 44 Förslag till förordning Artikel 5 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
c) De ska vara adekvata, relevanta och begränsade till ett strikt minimum när det gäller de syften för vilka de behandlas; de ska bara behandlas om, och så länge som, syftena inte kan uppnås genom att man behandlar information som inte rör personuppgifter. |
c) De ska vara adekvata, relevanta och inte alltför omfattande när det gäller de syften för vilka de behandlas; de ska bara behandlas om, och så länge som, syftena inte kan uppnås genom att man behandlar information som inte rör personuppgifter. |
Motivering | |
Denna ändring möjliggör behandling av ”inte alltför omfattande” personuppgifter och är lämpligare. Den hänför sig till formuleringen i det ursprungliga dataskyddsdirektivet 95/46/EG och syftar till att undvika inkonsekvens med andra EU-bestämmelser, såsom konsumentkreditdirektivet och kapitalkravspaketet, som också kräver att exempelvis kreditinstitut behandlar personuppgifter. | |
Ändringsförslag 45 Förslag till förordning Artikel 5 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
d) De ska vara riktiga och aktuella; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. |
d) De ska vara riktiga och vid behov hållas aktuella; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. |
Motivering | |
Tydligare, enklare och effektivare. | |
Ändringsförslag 46 Förslag till förordning Artikel 5 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
e) De ska förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas; personuppgifter får lagras under längre perioder i den mån som uppgifterna endast behandlas för historiska, statistiska eller vetenskapliga forskningsändamål i enlighet med bestämmelserna och villkoren i artikel 83 och om en periodisk översyn genomförs för att bedöma behovet av fortsatt lagring. |
e) De ska förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas; personuppgifter får lagras under längre perioder i den mån som uppgifterna endast behandlas för historiska, statistiska, aggregerade eller vetenskapliga forskningsändamål i enlighet med bestämmelserna och villkoren i artiklarna 81 och 83 och om en periodisk översyn genomförs för att bedöma behovet av fortsatt lagring. |
Ändringsförslag 47 Förslag till förordning Artikel 6 – punkt 1 – led f | |
|
Kommissionens förslag |
Ändringsförslag |
|
f) Behandlingen är nödvändig för ändamål som rör den registeransvariges berättigade intressen, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Detta ska inte gälla för behandling som utförs av myndigheter i deras myndighetsutövning. |
f) Behandlingen är nödvändig för ändamål som rör berättigade intressen för den registeransvarige eller den eller de tredje parter till vilka uppgifterna har förmedlats, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Detta ska inte gälla för behandling som utförs av myndigheter i deras myndighetsutövning. |
Motivering | |
Föredraganden föreslår att lydelsen från direktiv 95/46/EG behålls. Förordningen rör inte bara den digitala världen utan också verksamhet utanför internet. För att finansiera sin verksamhet behöver vissa sektorer, som tidningsutgivarna, använda externa källor för att kontakta potentiella nya prenumeranter. | |
Ändringsförslag 48 Förslag till förordning Artikel 6 – punkt 1 – led fa (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
fa) Behandlingen är nödvändig för att upptäcka och förhindra bedrägerier i enlighet med tillämplig finansiell reglering eller etiska regler som fastställts av näringslivet eller branschorganisationer. |
Motivering | |
Erfarenheter har i praktiken visat att en ”rättslig förpliktelse” inte omfattar den inhemska finansiella regleringen eller uppförandekoder som är av avgörande betydelse för att förebygga och upptäcka bedrägerier, vilket är av yttersta vikt för registeransvariga och för att skydda registrerade personer. | |
Ändringsförslag 49 Förslag till förordning Artikel 6 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. När ändamålet med ytterligare behandling inte är förenligt med det ändamål för vilket personuppgifterna har samlats in, måste behandlingen ha en rättslig grund i minst en av de grunder som anges i punkt 1 a–e. Detta ska särskilt gälla eventuella ändringar av förutsättningarna och de allmänna villkoren för ett avtal. |
4. När ändamålet med ytterligare behandling inte är förenligt med det ändamål för vilket personuppgifterna har samlats in, måste behandlingen ha en rättslig grund i minst en av de grunder som anges i punkt 1 a–f. Detta ska särskilt gälla eventuella ändringar av förutsättningarna och de allmänna villkoren för ett avtal. |
Motivering | |
Hänvisningen bör innefatta punkt 1f eftersom striktare villkor annars skulle gälla för ytterligare behandling än för insamling av personuppgifter. | |
Ändringsförslag 50 Förslag till förordning Artikel 6 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera de villkor som avses i punkt 1 f för olika sektorer och situationer vid behandlingen av personuppgifter, bland annat när det gäller behandlingen av personuppgifter som rör barn. |
utgår |
Motivering | |
Förslaget till förordning innehåller omotiverat många delegerade akter. Det finns redan rättspraxis på området, och frågan om samtycke till behandling av barns personuppgifter regleras i artikel 8. | |
Ändringsförslag 51 Förslag till förordning Artikel 7 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Om den registrerades samtycke ska lämnas inom ramen för en skriftlig deklaration som också rör en annan fråga, måste kravet att lämna samtycke läggas fram i en sådan form att det kan särskiljas från denna andra fråga. |
2. Om den registrerades samtycke ska lämnas inom ramen för en skriftlig deklaration som också rör en annan fråga, måste kravet att lämna samtycke läggas fram i en sådan form att det kan särskiljas från denna andra fråga. Den registrerades samtycke får inhämtas elektroniskt, särskilt när det handlar om informationssamhällets tjänster. |
Ändringsförslag 52 Förslag till förordning Artikel 7 – punkt 3a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
3a. Om den registrerade återkallar sitt samtycke får den registeransvarige vägra att fortsätta att tillhandahålla tjänster till den registrerade, om uppgiftsbehandlingen är nödvändig för att utföra tjänsten eller säkerställa tjänstens egenskaper. |
Ändringsförslag 53 Förslag till förordning Artikel 7 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Samtycke ska inte utgöra en rättslig grund för behandlingen, om det föreligger en betydande obalans mellan den registrerades och den registeransvariges ställning. |
4. Samtycke ska inte utgöra en rättslig grund för behandlingen om det föreligger en betydande obalans mellan den registrerades och den registeransvariges ställning som leder till bristande frihet i fråga om lämnande av samtycke. |
Motivering | |
Ytterligare rättslig klarhet behövdes eftersom det finns en rad situationer då det råder en betydande obalans mellan den registrerade och den registeransvarige, t.ex. i ett anställningsförhållande, i relationen mellan läkare och patient osv. Det som är av betydelse här och som bör betonas är bristande frihet vid lämnandet av samtycket. | |
Ändringsförslag 54 Förslag till förordning Artikel 7 – punkt 4a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
4a. Den lagstiftning som ska tillämpas för att avgöra villkoren för hur en person som saknar rättslig handlingsförmåga ger eller godkänner samtycke ska vara lagstiftningen i den medlemsstat där denna person är bosatt. |
Ändringsförslag 55 Förslag till förordning Artikel 8 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Vid tillämpningen av denna förordning och när det gäller erbjudande av informationssamhällets tjänster direkt till ett barn, ska det endast vara tillåtet att behandla personuppgifter som rör ett barn som är under 13 år om och i den mån som samtycket ges eller godkänns av barnets förälder eller förmyndare. Den registeransvarige ska göra rimliga ansträngningar för att erhålla ett kontrollerbart samtycke, med hänsyn tagen till tillgänglig teknik. |
1. Vid tillämpningen av denna förordning kräver behandling av personuppgifter som rör ett barn som är under 13 år normalt att samtycke ges eller godkänns av barnets förälder eller rättsliga ombud. Den lämpliga formen för att inhämta samtycke bör baseras på den risk som barnet utsätts på grund av mängden av uppgifter, uppgifternas typ och behandlingens art. Den registeransvarige ska göra rimliga ansträngningar för att erhålla ett kontrollerbart samtycke, med hänsyn tagen till tillgänglig teknik. Metoderna för att inhämta ett kontrollerbart samtycke får inte leda till ytterligare behandling av personuppgifter som annars inte skulle ha varit nödvändig. |
Ändringsförslag 56 Förslag till förordning Artikel 8 – punkt 4a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
4a. Punkterna 1, 2 och 3 ska inte tillämpas om behandlingen av ett barns personuppgifter rör vårduppgifter och om medlemsstatens lagstiftning på området för hälsovård och social omsorg prioriterar en enskild persons förmåga framför fysisk ålder. |
Motivering | |
När det gäller hälsovård och social omsorg bör det inte vara nödvändigt med tillstånd från ett barns förälder eller förmyndare om barnet kan fatta egna beslut. När det gäller ärenden om skydd av barn är det inte alltid i den registrerades intresse att dennes föräldrar eller förmyndare har tillgång till personens uppgifter, och detta måste återspeglas i lagstiftningen. | |
Ändringsförslag 57 Förslag till förordning Artikel 9 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, och behandling av genetiska uppgifter eller uppgifter om hälsa eller sexualliv eller fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder är förbjuden. |
1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap och verksamhet i en fackförening, och behandling av genetiska uppgifter eller uppgifter om hälsa eller sexualliv eller fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder är förbjuden. Detta inbegriper särskilt skyddsåtgärder för att förebygga svartlistning av anställda, exempelvis vad gäller deras fackföreningsverksamhet eller deras roll som hälso- och skyddsombud. |
Motivering | |
En mer ingående bestämmelse behövs för att se till att personuppgifter aldrig används mot den registrerade i ett anställningsförhållande. Vidare är det viktigt att belysa att tillgång till anställdas personuppgifter bör förbjudas i fråga om både deras medlemskap i fackföreningar och den fackföreningsverksamhet som de deltar i. | |
Ändringsförslag 58 Förslag till förordning Artikel 9 – punkt 2 – led f | |
|
Kommissionens förslag |
Ändringsförslag |
|
f) Behandlingen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk. |
f) Behandlingen är nödvändig för att kunna fastslå, göra gällande eller försvara anspråk som står på spel i rättsliga eller administrativa förfaranden av alla slag. |
Motivering | |
Det krävs en mer allmän hänvisning så att det tydligt framgår att detta slags uppgifter får behandlas för att kunna fastslå, göra gällande eller försvara anspråk som står på spel i rättsliga eller administrativa förfaranden av alla slag. | |
Ändringsförslag 59 Förslag till förordning Artikel 9 – punkt 2 – led j | |
|
Kommissionens förslag |
Ändringsförslag |
|
j) Behandlingen av uppgifter som rör fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder utförs antingen under kontroll av en officiell myndighet eller behandlingen är nödvändig för att fullgöra en förpliktelse i lagstiftning eller bestämmelser som den registeransvarige omfattas av, eller för att genomföra en arbetsuppgift som utförs för viktiga ändamål av allmänt intresse, i den mån som den bemyndigas av unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder. Ett fullständigt register över brottmålsdomar ska föras endast under kontroll av en myndighet. |
j) Behandlingen av uppgifter som rör fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder utförs antingen under kontroll av en officiell myndighet eller behandlingen är nödvändig för att fullgöra en förpliktelse i lagstiftning eller bestämmelser som den registeransvarige omfattas av, eller för att genomföra en arbetsuppgift som utförs för viktiga ändamål av allmänt intresse, i den mån som den bemyndigas av unionslagstiftningen eller en medlemsstats lagstiftning som föreskriver lämpliga skyddsåtgärder. Ett register över brottmålsdomar, fullständigt eller inte, ska föras endast under kontroll av en myndighet. |
Motivering | |
Alla register av denna typ, vare sig de är fullständiga eller inte, bör stå under myndigheternas kontroll. | |
Ändringsförslag 60 Förslag till förordning Artikel 9 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna, villkoren och de lämpliga skyddsåtgärderna för behandlingen av de särskilda kategorier av personuppgifter som avses i punkt 1 och de undantag som fastställs i punkt 2. |
utgår |
Motivering | |
Delegeringen till kommissionen i punkt 3 är för långtgående, eftersom den berör väsentliga delar av förordningen, och dessutom rör ett särskilt känsligt område när det gäller den uppgiftstyp som förordningen avser. Dessa aspekter bör därför behandlas i förordningen. | |
Ändringsförslag 61 Förslag till förordning Artikel 10 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Om de uppgifter som behandlas av en registeransvarig inte gör det möjligt för den registeransvarige att identifiera en fysisk person, ska den registeransvarige inte vara tvungen att erhålla ytterligare information för att identifiera den registrerade endast i syfte att iaktta någon av bestämmelserna i denna förordning. |
Om de uppgifter som behandlas av en registeransvarig inte gör det möjligt för den registeransvarige att identifiera en fysisk person, ska den registeransvarige inte vara tvungen att använda sig av ytterligare information för att identifiera den registrerade endast i syfte att iaktta någon av bestämmelserna i denna förordning. |
Ändringsförslag 62 Förslag till förordning Artikel 11 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den registeransvarige ska tillhandahålla all information och kommunikation som rör behandlingen av personuppgifter till den registrerade i en begriplig form, med användning av klart och tydligt språk, anpassat till den registrerade, i synnerhet för eventuell information särskilt riktad till barn. |
2. Den registeransvarige ska tillhandahålla all information och kommunikation som rör behandlingen av personuppgifter till den registrerade i en begriplig form, med användning av klart och tydligt språk, i synnerhet för eventuell information särskilt riktad till barn. |
Motivering | |
Information och kommunikation som rör behandlingen av personuppgifter måste vara klar och begriplig. Uttrycket ”anpassat till den registrerade” riskerar att skapa osäkerhet i rättsligt hänseende. Det verkar rimligt med en särskild skyldighet i fråga om barn, som utgör en kategori för sig. | |
Ändringsförslag 63 Förslag till förordning Artikel 12 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den registeransvarige ska utan dröjsmål och senast en månad efter att ha mottagit begäran underrätta den registrerade om huruvida åtgärder har vidtagits i enlighet med artikel 13 och artiklarna 15–19 samt tillhandahålla den information som begärts. Denna period får förlängas med ytterligare en månad, om flera registrerade utövar sina rättigheter och deras samarbete i rimlig utsträckning är nödvändigt för att förhindra en onödig och oproportionell ansträngning från den registeransvariges sida. Information ska ges skriftligt. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i elektronisk form, om den registrerade inte begär något annat. |
2. Den registeransvarige ska utan dröjsmål, dock senast 40 kalenderdagar efter att ha mottagit begäran, underrätta den registrerade om huruvida åtgärder har vidtagits i enlighet med artikel 13 och artiklarna 15–19 samt tillhandahålla den information som begärts. Denna period får förlängas om flera registrerade utövar sina rättigheter och detta leder till ett stort och exceptionellt antal ärenden och deras samarbete i rimlig utsträckning är nödvändigt för att förhindra en onödig och oproportionell ansträngning från den registeransvariges sida. Den registeransvarige måste dock tillmötesgå begärandena så snart som är praktiskt möjligt och bör på begäran motivera förlängningen inför tillsynsmyndigheten. Information ska ges skriftligt; alternativt får den registeransvarige, om så är möjligt, erbjuda åtkomst till en säker webbplattform där den registrerade får direkt tillgång till sina personuppgifter. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i elektronisk form, om den registrerade inte begär något annat eller om den inte är tillgänglig i det formatet. |
Motivering | |
Avskaffandet av avgiften kan leda till ett ökat antal begäranden om att få tillgång till uppgifter, vilket tillsammans med en kort tidsfrist medför en stor belastning för såväl företag som olika organisationer och offentliga organ. Uppgiftsposter är inte alltid tillgängliga i elektronisk kopia och att lägga till denna skyldighet skulle öka den administrativa bördan. De registeransvariga bör tillåtas och uppmuntras att tillhandahålla uppgifter på säkra webbplattformar som ger de registrerade direkt och enkel åtkomst till en mycket låg kostnad för de registeransvariga. | |
Ändringsförslag 64 Förslag till förordning Artikel 12 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Den information och de åtgärder som vidtas på sådan begäran som avses i punkt 1 ska vara gratis. Om begäran är uppenbart orimlig, särskilt på grund av dess repetitiva karaktär, får den registeransvarige ta ut en avgift för att tillhandahålla den information eller vidta den åtgärd som begärts, och får om denna avgift inte betalas avstå från att vidta åtgärden. I så fall ska det åligga den registeransvarige att visa att begäran är uppenbart orimlig. |
4. Information om och åtgärder som vidtas med avseende på sådana begäranden som avses i punkt 1 ska vara gratis. Om begärandena är uppenbart orimliga, särskilt på grund av att de kommer i ett stort antal, är komplexa eller repetitiva, får den registeransvarige ta ut en lämplig avgift utan vinstsyfte för att tillhandahålla den information eller vidta den åtgärd som begärts, och får om denna avgift inte betalas vägra att vidta åtgärden. I så fall ska det åligga den registeransvarige att visa att begäran är uppenbart orimlig. |
Motivering | |
Det kostar pengar att inneha och tillhandahålla uppgifter från en databas. Genom att begära att registrerade personer betalar en lämplig avgift utan vinstsyfte för att få tillgång till uppgifter kan man begränsa antalet ogrundade ansökningar, och det är även ett viktigt medel för att hindra bedragare från att erhålla stora mängder kreditupplysningar om konsumenter för bedrägliga ändamål. | |
Ändringsförslag 65 Förslag till förordning Artikel 12 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för en sådan uppenbart orimlig begäran och sådana avgifter som avses i punkt 4. |
utgår |
Motivering | |
Denna bestämmelse bör inte preciseras närmare med hjälp av delegerade akter. Medlemsstaternas tillsynsmyndigheter är bättre lämpade att åtgärda eventuella problem. | |
Ändringsförslag 66 Förslag till förordning Artikel 12 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Kommissionen får fastställa standardformulär och precisera standardförfaranden för den kommunikation som avses i punkt 2, inbegripet det elektroniska formatet. Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 87.2. |
utgår |
Motivering | |
Medlemsstaternas tillsynsmyndigheter är bättre lämpade att åtgärda eventuella problem. | |
Ändringsförslag 67 Förslag till förordning Artikel 14 – punkt 1 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
a) Identitet och kontaktuppgifter för den registeransvarige och, i förekommande fall, för dennes företrädare samt för uppgiftsskyddsombudet. |
a) Kontaktuppgifter för den registeransvarige och, i förekommande fall, för dennes företrädare samt för uppgiftsskyddsombudet. |
Ändringsförslag 68 Förslag till förordning Artikel 14 – punkt 1 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
b) Ändamålen med den behandling för vilken personuppgifterna är avsedda, inbegripet förutsättningarna och de allmänna villkoren för avtalet när behandlingen grundar sig på artikel 6.1 b och den registeransvariges berättigade intressen när behandlingen grundar sig på artikel 6.1 f. |
b) Ändamålen med den behandling för vilken personuppgifterna är avsedda och den registeransvariges berättigade intressen när behandlingen grundar sig på artikel 6.1 f. |
Ändringsförslag 69 Förslag till förordning Artikel 14 – punkt 1 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
c) Den period under vilken personuppgifterna kommer att lagras. |
c) Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period. |
Ändringsförslag 70 Förslag till förordning Artikel 14 – punkt 1 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
e) Rätten att inge klagomål till tillsynsmyndigheten, samt tillsynsmyndighetens kontaktuppgifter. |
e) Rätten att inge klagomål till tillsynsmyndigheten. |
Motivering | |
En skyldighet att specificera tillsynsmyndighetens kontaktuppgifter kopplad till ett skadeståndsansvar avseende varje slags felaktig information skulle göra det nödvändigt att kontinuerligt se över den relevanta informationen, vilket vore oproportionellt, särskilt för små och medelstora företag. | |
Ändringsförslag 71 Förslag till förordning Artikel 14 – punkt 1 – led g | |
|
Kommissionens förslag |
Ändringsförslag |
|
g) I tillämpliga fall, att den registeransvarige avser att överföra personuppgifterna till ett tredjeland eller en internationell organisation och nivån på det skydd som detta tredjeland eller denna internationella organisation kan erbjuda med hänvisning till ett beslut av kommissionen om adekvat skyddsnivå. |
g) I tillämpliga fall, att den registeransvarige avser att överföra personuppgifterna till ett tredjeland eller en internationell organisation och huruvida kommissionen fattat ett beslut om adekvat skyddsnivå eller inte. |
Motivering | |
En upplysning om huruvida kommissionen fattat ett beslut eller inte räcker för att informera den registrerade och klargör den registeransvariges skyldighet. | |
Ändringsförslag 72 Förslag till förordning Artikel 14 – punkt 1 – led h | |
|
Kommissionens förslag |
Ändringsförslag |
|
h) Eventuell ytterligare information som är nödvändig för att tillförsäkra den registrerade en korrekt behandling med hänsyn tagen till de särskilda omständigheter under vilka personuppgifterna samlas in. |
h) Eventuell ytterligare information som av den registeransvarige bedöms nödvändig för att tillförsäkra den registrerade en korrekt behandling med hänsyn tagen till de särskilda omständigheter under vilka personuppgifterna samlas in. |
Motivering | |
Man bör förtydliga räckvidden för denna bestämmelse och ange att registeransvariga kan garantera en högre nivå i fråga om öppenhet och insyn. | |
Ändringsförslag 73 Förslag till förordning Artikel 14 – punkt 4 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
a) vid den tidpunkt när personuppgifterna erhålls från den registrerade, eller, |
a) som en allmän regel vid den tidpunkt när personuppgifterna erhålls från den registrerade, eller så snart som möjligt om detta inte är genomförbart, kräver en orimlig ansträngning eller begränsar skyddsåtgärderna för den registrerade, eller, |
Motivering | |
Det krävs ett minimum av flexibilitet i vissa situationer. Detta är dessutom lätt att kontrollera för tillsynsmyndigheterna. Skyddet för den registrerade skulle öka om uppgifterna skickas omedelbart efter insamlingen, antingen skriftligt eller elektroniskt, så att den registrerade informeras om situationen. | |
Ändringsförslag 74 Förslag till förordning Artikel 14 – punkt 4 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
b) om personuppgifterna inte samlas in från den registrerade, vid tidpunkten för registreringen eller inom en rimlig period efter insamlingen, med hänsyn tagen till de särskilda omständigheter under vilka uppgifterna samlas in eller på annat sätt behandlas, eller, om det planeras att lämna ut uppgifterna till en annan mottagare, och senast när uppgifterna lämnas ut för första gången. |
b) om personuppgifterna inte samlas in från den registrerade, vid tidpunkten för registreringen eller inom en rimlig period efter insamlingen, med hänsyn tagen till de särskilda omständigheter under vilka uppgifterna samlas in eller på annat sätt behandlas, eller, om det planeras att lämna ut uppgifterna till en annan mottagare, och senast när uppgifterna lämnas ut för första gången, eller, om uppgifterna ska användas för kontakter med den berörda personen, senast vid tidpunkten för den första kontakten med denna person. |
Ändringsförslag 75 Förslag till förordning Artikel 14 – punkt 5 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
b) Uppgifterna samlas inte in från den registrerade och tillhandahållandet av sådan information visar sig vara omöjligt eller skulle inbegripa en oproportionell ansträngning. |
b) Uppgifterna samlas inte in från den registrerade och tillhandahållandet av sådan information visar sig vara omöjligt eller skulle inbegripa en oproportionell ansträngning och innebära en alltför stor administrativ börda, särskilt när behandlingen utförs av ett litet eller medelstort företag enligt vad som definieras i kommissionens rekommendation 2003/361/EG av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag. |
|
|
_____________ |
|
|
1 EUT L 124, 20.5.2003, s. 36. |
Motivering | |
Denna ändring syftar till att garantera att små och medelstora företag inte belastas alltför mycket på grund av förordningen. | |
Ändringsförslag 76 Förslag till förordning Artikel 14 – punkt 7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
7. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna för de kategorier av mottagare som anges i punkt 1 f, de krav på meddelandet om möjlig tillgång som anges i punkt 1 g, kriterierna för den ytterligare nödvändiga information som anges i punkt 1 h för särskilda sektorer och situationer samt villkoren och de lämpliga skyddsåtgärderna vid undantag enligt punkt 5 b. Kommissionen ska därvid vidta lämpliga åtgärder för mikroföretag och små och medelstora företag. |
utgår |
Motivering | |
De delegerade akter som anges i punkt 7 överskrider de allmänna begränsningarna för tillämpningen av detta förfarande, eftersom de rör frågor som bör behandlas i förordningstexten. | |
Ändringsförslag 77 Förslag till förordning Artikel 15 – punkt 1 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
d) Den period under vilken personuppgifterna kommer att lagras. |
d) Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period. |
Ändringsförslag 78 Förslag till förordning Artikel 15 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den registrerade ska ha rätt att av den registeransvarige erhålla information om de personuppgifter som håller på att behandlas. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i elektronisk form, om den registrerade inte begär något annat. |
2. Den registrerade ska ha rätt att av den registeransvarige erhålla information om de personuppgifter som håller på att behandlas och, på elektronisk begäran, få en elektronisk kopia av de icke-kommersiella uppgifter som håller på att behandlas, i ett kompatibelt och strukturerat format som de registrerade kan fortsätta att använda. Den registeransvarige ska kontrollera identiteten på en registrerad person som begär tillgång till uppgifter inom de gränser som anges i artiklarna 5–10 i denna förordning. |
Ändringsförslag 79 Förslag till förordning Artikel 17 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. Kreditinstitut som bevarar uppgifter på följande grunder ska undantas från kraven i denna artikel: |
|
|
– Riskhanteringsändamål. |
|
|
– Uppfyllande av EU:s och internationella krav på tillsyn och överensstämmelse. |
|
|
– Ändamål som rör marknadsmissbruk. |
Ändringsförslag 80 Förslag till förordning Artikel 17 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Om den registeransvarige som avses i punkt 1 har offentliggjort personuppgifterna ska vederbörande vidta alla rimliga åtgärder, inbegripet tekniska åtgärder, avseende uppgifter för vars offentliggörande den registeransvarige är ansvarig, för att underrätta tredje parter som håller på att behandla sådana uppgifter om att en registrerad begär att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter. Om den registeransvarige har gett en tredje part befogenhet att offentliggöra personuppgifter ska den registeransvarige anses vara ansvarig för detta offentliggörande. |
utgår |
Motivering | |
Med tanke på hur internet fungerar och möjligheterna att lägga ut information på olika webbplatser över hela världen är denna bestämmelse ogörlig. | |
Ändringsförslag 81 Förslag till förordning Artikel 17 – punkt 3 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
a) För att utöva rätten till yttrandefrihet enligt artikel 80. |
a) För att utöva rätten till yttrandefrihet enligt artikel 80, eller vid tillhandahållande av informationssamhällets tjänster för att underlätta tillgången till denna yttrandefrihet. |
Motivering | |
Den bestämmelse som kommissionen föreslår ger medierna tillräckligt för att de ska kunna tillvarata mediernas rättigheter i en digital tidsålder. | |
Ändringsförslag 82 Förslag till förordning Artikel 17 – punkt 3 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
b) Av viktiga skäl av allmänt intresse på folkhälsoområdet enligt artikel 81. |
b) Av hälso- och sjukvårdsskäl eller av skäl av allmänt intresse på folkhälsoområdet enligt artikel 81. |
Motivering | |
Det är av väsentligt intresse för de registrerade att en fullständig patientjournal förs över deras hälsotillstånd så att de kan få den bästa vården och behandlingen under hela livet. Rätten att bli bortglömd bör inte gälla om uppgifter behandlas för hälso- och sjukvårdsändamål i enlighet med artikel 81a. | |
Ändringsförslag 83 Förslag till förordning Artikel 17 – punkt 3 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
d) För att iaktta en rättslig förpliktelse att bevara personuppgifter enligt unionslagstiftningen eller enligt en medlemsstats lagstiftning som den registeransvarige lyder under; medlemsstaternas lagstiftning ska uppfylla ett mål av allmänt intresse, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas. |
d) För att iaktta en rättslig förpliktelse att bevara personuppgifter enligt unionslagstiftningen eller enligt en medlemsstats lagstiftning som den registeransvarige lyder under enligt unionslagstiftningen; medlemsstaternas lagstiftning ska uppfylla ett mål av allmänt intresse, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas. |
Ändringsförslag 84 Förslag till förordning Artikel 17 – punkt 9 | |
|
Kommissionens förslag |
Ändringsförslag |
|
9. Kommissionen ska ha befogenhet att anta delegerade akter i enlighet med artikel 86 i syfte att närmare precisera |
utgår |
|
a) kriterierna och kraven för tillämpningen av punkt 1 i fråga om särskilda sektorer och i särskilda situationer vid behandlingen av personuppgifter, |
|
|
b) de villkor för att stryka länkar, kopior eller reproduktioner av personuppgifter från allmänt tillgängliga kommunikationstjänster enligt punkt 2, |
|
|
c) de kriterier och villkor för att begränsa behandlingen av personuppgifter som anges i punkt 4. |
|
Motivering | |
När det gäller de delegerade akterna kan vi inte godta punkt 9 i denna artikel eftersom den medför reglering av aspekter som är väsentliga för att förordningen ska kunna förstås ordentligt. Om dessa aspekter nödvändigtvis måste behandlas bör detta ske i förordningen. | |
Ändringsförslag 85 Förslag till förordning Artikel 19 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Om en invändning godtas enligt punkt 1 och 2, ska den registeransvarige inte längre använda eller på annat sätt behandla de berörda personuppgifterna. |
3. Om en invändning godtas enligt punkt 1 ska den registeransvarige informera den registrerade om de tvingande och berättigade skäl som föreligger enligt punkt 1. Om invändningen godtas enligt punkt 2 ska den registeransvarige inte längre använda eller på annat sätt behandla de berörda personuppgifterna. |
Motivering | |
Om den registeransvarige kan anföra tvingande och berättigade skäl för att rätten till invändning inte ska gälla i ett visst fall finns det ingen anledning till att godtagandet av en invändning ska leda till de följder som avses i punkt 3. | |
Ändringsförslag 86 Förslag till förordning Artikel 20 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje fysisk person ska ha rätt att inte omfattas av en åtgärd som har rättsliga följder för vederbörande eller märkbart påverkar vederbörande, och som enbart grundas på automatisk behandling som är avsedd att bedöma vissa personliga egenskaper hos vederbörande eller att analysera eller förutsäga i synnerhet vederbörandes arbetsprestationer, ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende. |
1. Varje registrerad person ska ha rätt att inte omfattas av ett beslut som har negativa rättsliga följder för eller som påverkar den registrerade negativt och som enbart eller till största delen grundas på automatisk behandling som är avsedd att bedöma vissa personliga egenskaper hos den registrerade. |
Motivering | |
Det är viktigt att beakta att vissa profileringsverksamheter har betydande fördelar för konsumenterna och kan vara en bra grund för bra kundservice. I den breda definitionen av profilering görs ingen åtskillnad mellan rutinmässig databehandling som är av positiv natur och mer negativ profilering. Positiv profilering används ofta till att skräddarsy tjänster till konsumenterna genom att registrera deras behov och preferenser. | |
Ändringsförslag 87 Förslag till förordning Artikel 20 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Om inte annat följer av övriga bestämmelser i denna förordning får en person omfattas av en åtgärd av den typ som avses i punkt 1 endast om behandlingen |
2. Om inte annat följer av övriga bestämmelser i denna förordning får en registrerad person omfattas av ett beslut av den typ som avses i punkt 1 om behandlingen |
|
a) utförs som ett led i ingåendet eller fullgörandet av ett avtal, om den registrerades begäran om ingående eller fullgörande av avtalet har bifallits eller om lämpliga åtgärder för att skydda den registrerades berättigade intressen, exempelvis rätten att få till stånd mänsklig medverkan, har vidtagits, eller |
a) tillåts enligt unionslagstiftningen eller en medlemsstats lagstiftning där det också fastställs lämpliga åtgärder till skydd för den registrerades berättigade intressen, eller |
|
b) uttryckligen tillåts enligt unionslagstiftningen eller en medlemsstats lagstiftning där det också fastställs lämpliga åtgärder till skydd för den registrerades berättigade intressen, eller |
b) är laglig enligt artikel 6.1 a–fa i denna förordning. |
|
c) grundar sig på den registrerades samtycke, på de villkor som fastställs i artikel 7 och under förutsättning att lämpliga skyddsåtgärder har införts. |
|
|
|
Med vederbörlig hänsyn till artikel 9.2 får profilering inte innebära diskriminering mot enskilda personer på grund av exempelvis ras eller etniskt ursprung, religion eller sexuell läggning. |
(Led b i kommissionens text blir led a i parlamentets ändringsförslag, efter ändring.) | |
Ändringsförslag 88 Förslag till förordning Artikel 20 – punkt 3b (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
3b. Automatisk behandling av personuppgifter i syfte att bedöma vissa personliga aspekter hos en fysisk person får inte användas för att identifiera eller särskilja barn. |
Motivering | |
Profiling can entail serious risks for data subjects. It is prone to reinforcing discriminations, making decisions less transparent and carries an unavoidable risk of wrong decisions. For these reasons, it should be tightly regulated: its use should be clearly limited, and in those cases where it can be used, there should be safeguards against discrimination and data subjects should be able to receive clear and meaningful information on the logic of the profiling and its consequences. While some circles see profiling as a panacea for many problems, it should be noted that there is a significant body of research addressing its limitations. Notably, profiling tends to be useless for very rare characteristics, due to the risk of false positives. Also, profiles can be hard or impossible to verify. Profiles are based on complex and dynamic algorithms that evolve constantly and that are hard to explain to data subjects. Often, these algorithms qualify as commercial secrets and will not be easily provided to data subjects. However, when natural persons are subject to profiling, they should be entitled to information about the logic used in the measure, as well as an explanation of the final decision if human intervention has been obtained. This helps to reduce intransparency, which could undermine trust in data processing and may lead to loss or trust in especially online services. There is also a serious risk of unreliable and (in effect) discriminatory profiles being widely used, in matters of real importance to individuals and groups, which is the motivation behind several suggested changes in this Article that aim to improve the protection of data subjects against discrimination. In relation to this, the use of sensitive data in generating profiles should also be restricted. | |
Ändringsförslag 89 Förslag till förordning Artikel 20 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för sådana lämpliga åtgärder för att skydda den registrerades berättigade intressen som avses i punkt 2. |
utgår |
Ändringsförslag 90 Förslag till förordning Artikel 21 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. I synnerhet ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla särskilda bestämmelser åtminstone avseende målen för behandlingen och fastställandet av den registeransvarige. |
2. I synnerhet ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla särskilda bestämmelser åtminstone avseende syftet med och målen för behandlingen samt fastställandet av den registeransvarige. |
Motivering | |
För att säkerställa en högre skyddsnivå bör lagstiftningen i fall av begränsningar omfatta även syftena med behandlingen av personuppgifterna. | |
Ändringsförslag 91 Förslag till förordning Artikel 22 – rubriken | |
|
Kommissionens förslag |
Ändringsförslag |
|
Den registeransvariges ansvar |
Allmän princip om den registeransvariges ansvar |
Motivering | |
Ansvarsprincipen, som outtalat införs i kapitel 4 i förslaget till förordning, måste nämnas uttryckligen för att en högre skyddsnivå ska kunna säkerställas. | |
Ändringsförslag 92 Förslag till förordning Artikel 22 – punkt 2 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. De åtgärder som nämns i punkt 1 ska särskilt avse att |
2. De åtgärder som nämns i punkt 1 kan särskilt avse att |
Motivering | |
Det är bättre att främja dessa åtgärder som god praxis, särskilt som detta annars skapar en orealistisk skyldighet ur ett regleringsperspektiv. | |
Ändringsförslag 93 Förslag till förordning Artikel 22 – punkt 2 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
e) utse en datatillsynsman enligt artikel 35.1. |
e) utse en datatillsynsman enligt artikel 35.1 eller certifieringsskyldighet och underhåll av certifiering i enlighet med den certifieringspolicy som kommissionen definierar. |
Ändringsförslag 94 Förslag till förordning Artikel 22 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att precisera eventuella ytterligare kriterier och krav för de lämpliga åtgärder som avses i punkt 1 utöver dem som redan angetts i punkt 2, villkoren för de kontroll- och granskningsrutiner som avses i punkt 3 och när det gäller kriterierna för proportionalitet enligt punkt 3, samt med hänsyn till särskilda åtgärder för mikroföretag och små och medelstora företag. |
utgår |
Ändringsförslag 95 Förslag till förordning Artikel 23 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Med beaktande av dagens tillgängliga teknik och genomförandekostnaden ska den registeransvarige, både vid tidpunkten för fastställandet av behandlingsmetoden och vid tidpunkten för själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter. |
1. Med beaktande av den senaste tekniken, aktuell teknisk kunskap och genomförandekostnaden ska den registeransvarige, både vid tidpunkten för fastställandet av behandlingsmetoden och vid tidpunkten för själva behandlingen, genomföra tekniska och organisatoriska åtgärder och förfaranden som är lämpliga i förhållande till verksamheten och dess mål på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställa skyddet av den registrerades rättigheter. |
Ändringsförslag 96 Förslag till förordning Artikel 23 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den registeransvarige ska införa rutiner för att se till att, i standardfallet, endast de personuppgifter behandlas som är nödvändiga för varje specifikt ändamål med behandlingen, och särskilt att de inte samlas in eller bevaras utöver vad som är strikt nödvändigt för dessa ändamål, både i fråga om antalet uppgifter och tidpunkten för deras lagring. Dessa rutiner ska i synnerhet säkerställa att personuppgifter i standardfallet inte görs tillgängliga till ett obegränsat antal enskilda. |
2. Den registeransvarige ska införa rutiner för att se till att, i standardfallet, endast de personuppgifter behandlas som inte är alltför omfattande för varje specifikt ändamål med behandlingen och särskilt att de inte samlas in eller bevaras eller sprids utöver vad som är strikt nödvändigt för dessa ändamål, både i fråga om antalet uppgifter och tidpunkten för deras lagring. Dessa rutiner ska i synnerhet säkerställa att personuppgifter i standardfallet inte görs tillgängliga till ett obegränsat antal enskilda. |
Ändringsförslag 97 Förslag till förordning Artikel 23 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 för att precisera eventuella ytterligare kriterier och krav för sådana lämpliga åtgärder och rutiner som avses i punkt 1 och 2, särskilt när det gäller krav på inbyggt uppgiftsskydd som är tillämpliga över sektorer, produkter och tjänster. |
utgår |
Motivering | |
Denna förordning ska tillämpas på alla sektorer, såväl på som utanför internet. Det är inte lämpligt att kommissionen antar delegerade akter på området för inbyggt uppgiftsskydd och uppgiftsskydd som standard, eftersom sådana akter riskerar att hindra den tekniska innovationen. Medlemsstaternas tillsynsmyndigheter och Europeiska dataskyddsstyrelsen är bättre lämpade att åtgärda eventuella problem. | |
Ändringsförslag 98 Förslag till förordning Artikel 23 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Kommissionen får fastställa tekniska standarder för de krav som fastställs i punkterna 1 och 2. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2. |
utgår |
Motivering | |
Denna förordning ska tillämpas på alla sektorer, såväl på som utanför internet. Det är inte lämpligt att kommissionen fastställer tekniska standarder, eftersom dessa riskerar att hindra den tekniska innovationen. Medlemsstaternas tillsynsmyndigheter och Europeiska dataskyddsstyrelsen är bättre lämpade att åtgärda eventuella problem. | |
Ändringsförslag 99 Förslag till förordning Artikel 24 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Om en registeransvarig fastställer ändamålen, villkoren och medlen för behandlingen av personuppgifter tillsammans med andra ska de gemensamma registeransvariga fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt avseende förfarandena och rutinerna för den registrerades utövande av sina rättigheter, genom ett arrangemang som de enas om sinsemellan. |
Om en registeransvarig fastställer ändamålen för behandlingen av personuppgifter tillsammans med andra ska de gemensamma registeransvariga fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt avseende förfarandena och rutinerna för den registrerades utövande av sina rättigheter, genom ett arrangemang som de enas om sinsemellan. |
Ändringsförslag 100 Förslag till förordning Artikel 25 – punkt 2 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
b) ett företag med färre än 250 anställda, eller |
b) ett företag med färre än 250 anställda, såvida inte tillsynsmyndigheterna anser att den behandling som företaget utför innebär hög risk på grund av dess karaktär, typen av uppgifter eller antalet personer som påverkas, eller |
Ändringsförslag 101 Förslag till förordning Artikel 26 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha rätt att anta delegerade akter i enlighet med artikel 86 i syfte att närmare precisera kriterierna och kraven för registerförarens ansvarsområden, uppdrag och arbetsuppgifter med avseende på en registerförare enligt punkt 1, och de omständigheter som gör det möjligt att underlätta behandlingen av personuppgifter inom en företagsgrupp, särskilt för kontroll- och rapporteringsändamål. |
utgår |
Motivering | |
Vi anser att delegeringen till kommissionen enligt denna punkt är för långtgående. Om det anses vara absolut nödvändigt att behandla dessa aspekter bör detta göras i förordningen. | |
Ändringsförslag 102 Förslag till förordning Artikel 28 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje registeransvarig och registerförare samt den registeransvariges eventuella företrädare ska bevara dokumentation om all behandling som utförts under dess ansvar. |
1. Varje registeransvarig och registerförare samt den registeransvariges eventuella företrädare ska bevara dokumentation om de huvudsakliga kategorier av behandling som utförts under dess ansvar. |
Ändringsförslag 103 Förslag till förordning Artikel 28 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. Den skyldighet som föreskrivs i punkt 1 ska inte gälla små och medelstora företag som behandlar personuppgifter enbart som en hjälpverksamhet för försäljning av varor och tjänster. |
Motivering | |
Tillämpningen av principen att ”tänka småskaligt först” bör gälla här och hänsyn bör tas till små och medelstora företag för vilka denna skyldighet skulle vara en tung börda. För små och medelstora företag vars uppgiftsbehandling inte står för mer än 50 procent av företagets omsättning bör denna behandling anses vara en hjälpverksamhet. | |
Ändringsförslag 104 Förslag till förordning Artikel 28 – punkt 2 – leden d och e | |
|
Kommissionens förslag |
Ändringsförslag |
|
d) En beskrivning av de kategorier av registrerade som berörs och av de kategorier av personuppgifter som hänför sig till dem. |
d) I tillämpliga fall, överföringar av uppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 44.1 h, dokumentationen om lämpliga skyddsåtgärder. |
|
e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, inbegripet de registeransvariga till vilka personuppgifter lämnas ut för deras berättigade intressen. |
e) Beskrivning av de rutiner som avses i artikel 22.3. |
Motivering | |
Organisationer som inte har ett uppgiftsskyddsombud eller giltig certifiering bör omfattas av strängare krav när det gäller ansvarsskyldigheter. Detta innebär att de bör använda en särskild modell och bevara ett minimum av dokumentation i den form som krävs enligt lagstiftningen. | |
Ändringsförslag 105 Förslag till förordning Artikel 28 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den dokumentation som avses i punkt 1, för att ta hänsyn särskilt till de områden som den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ansvarar för. |
5. Kommissionen ska anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den dokumentation som avses i punkt 1, för att ta hänsyn särskilt till de områden som den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ansvarar för. |
Ändringsförslag 106 Förslag till förordning Artikel 28 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Kommissionen får fastställa standardformulär för den dokumentation som anges i punkt 1. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2. |
6. Kommissionen ska fastställa standardformulär för den dokumentation som avses i punkt 2. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som anges i artikel 87.2. |
Ändringsförslag 107 Förslag till förordning Artikel 29 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige och registerföraren samt den registeransvariges eventuella företrädare ska på begäran samarbeta med tillsynsmyndigheten i utövandet av dess uppdrag, särskilt genom att tillhandahålla den information som avses i artikel 53.2 a och genom att ge tillgång i enlighet med artikel 53.2 b. |
1. Den registeransvarige och, när så är lämpligt, registerföraren samt den registeransvariges eventuella företrädare ska på begäran samarbeta med tillsynsmyndigheten i utövandet av dess uppdrag, särskilt genom att tillhandahålla den information som avses i artikel 53.2 a och genom att ge tillgång i enlighet med artikel 53.2 b. |
Motivering | |
Punkt 1 bör göra det tydligt att registerföraren till skillnad från den registeransvarige ska tillkallas när så är lämpligt och inte som en allmän regel. | |
Ändringsförslag 108 Förslag till förordning Artikel 29 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Som reaktion på tillsynsmyndighetens utövande av sina befogenheter enligt artikel 53.2 ska den registeransvarige och registerföraren svara tillsynsmyndigheten inom en rimlig period som ska fastställas av tillsynsmyndigheten. Svaret ska inbegripa en beskrivning av de åtgärder som vidtagits och de resultat som uppnåtts som svar på tillsynsmyndighetens anmärkningar. |
Som reaktion på tillsynsmyndighetens utövande av sina befogenheter enligt artikel 53.2 ska den registeransvarige, personligen eller genom sin företrädare, och registerföraren svara tillsynsmyndigheten inom en rimlig period som ska fastställas av tillsynsmyndigheten. Svaret ska inbegripa en beskrivning av de åtgärder som vidtagits och de resultat som uppnåtts som svar på tillsynsmyndighetens anmärkningar. |
Motivering | |
Det saknas en hänvisning till företrädaren i punkt 2 när det gäller registeransvariga som inte är etablerade i EU. | |
Ändringsförslag 109 Förslag till förordning Artikel 30 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för de tekniska och organisatoriska åtgärder som avses i punkterna 1 och 2, inbegripet fastställandet av vad som utgör dagens tillgängliga teknik, för specifika sektorer och i specifika situationer vid behandlingen av personuppgifter, med särskild hänsyn till den tekniska utvecklingen och utvecklingen i fråga om lösningar för inbyggt integritetsskydd och uppgiftsskydd som standard, om inte punkt 4 är tillämplig. |
utgår |
Motivering | |
Förslaget till förordning innehåller omotiverat många delegerade akter. Att kommissionen antar tekniska åtgärder på området för säkerhet i samband med behandlingen av uppgifter riskerar att skada den tekniska innovationen. Dessutom anges i punkt 4 i samma artikel att genomförandeakter får antas för att specificera kraven i punkterna 1 och 2. | |
Ändringsförslag 110 Förslag till förordning Artikel 30 – punkt 4 – stycke 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. När så är nödvändigt får kommissionen anta genomförandeakter i syfte att specificera kraven i punkterna 1 och 2 för olika situationer, särskilt för att |
utgår |
|
a) förhindra obehörig åtkomst till personuppgifter, |
|
|
b) förhindra obehörigt röjande, obehörig läsning, kopiering, ändring eller radering eller obehörigt avlägsnande av personuppgifter, |
|
|
c) se till att det kontrolleras att behandlingen är laglig. |
|
Ändringsförslag 111 Förslag till förordning Artikel 31 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Vid ett personuppgiftsbrott ska den registeransvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 24 timmar efter att ha fått vetskap om det, anmäla personuppgiftsbrottet till tillsynsmyndigheten. Om anmälan till tillsynsmyndigheten inte görs inom 24 timmar ska den åtföljas av en utförlig motivering. |
1. Vid ett personuppgiftsbrott som avsevärt påverkar den registrerade ska den registeransvarige utan onödigt dröjsmål anmäla personuppgiftsbrottet till tillsynsmyndigheten. |
Ändringsförslag 112 Förslag till förordning Artikel 31 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. I enlighet med artikel 26.2 f ska registerföraren underrätta och informera den registeransvarige omedelbart efter det att ett personuppgiftsbrott har konstaterats. |
2. I enlighet med artikel 26.2 f ska registerföraren underrätta och informera den registeransvarige omedelbart efter det att ett sådant personuppgiftsbrott som avses i punkt 1 har konstaterats.
|
Ändringsförslag 113 Förslag till förordning Artikel 31 – punkt 2 – stycke 1a (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. Det ska inte vara ett krav att informera den registrerade om personuppgiftsbrottet om den registeransvarige har infört lämpliga skyddsåtgärder och dessa åtgärder har tillämpats på de uppgifter som berördes av personuppgiftsbrottet. Sådana tekniska skyddsåtgärder ska göra uppgifterna oläsbara för personer som inte är behöriga att få tillgång till uppgifterna. |
Ändringsförslag 114 Förslag till förordning Artikel 31 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för fastställandet av det uppgiftsbrott som avses i punkterna 1 och 2 samt för de särskilda omständigheter under vilka en registeransvarig och en registerförare ska anmäla personuppgiftsbrottet. |
utgår |
Motivering | |
I detta fall bör kommissionens delegerade akter begränsas till att fastställa ett gemensamt format för anmälan av händelser samt upphävande av register över fel och händelser. | |
Ändringsförslag 115 Förslag till förordning Artikel 33 – punkt 2 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. I synnerhet följande typer av behandling medför sådana särskilda risker som avses i punkt 1: |
2. Följande typer av behandling medför sådana särskilda risker som avses i punkt 1: |
Motivering | |
Förteckningen i artikel 33.2 över typer av behandling som måste föregås av en konsekvensbedömning är allmänt hållen. Med hänsyn till proportionalitetsprincipen och för att säkerställa rättssäkerhet bör den vara uttömmande. | |
Ändringsförslag 116 Förslag till förordning Artikel 33 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Den registeransvarige ska inhämta synpunkter från de registrerade och deras företrädare om den avsedda behandlingen, utan att det påverkar skyddet av kommersiella eller allmänna intressen eller behandlingens säkerhet. |
utgår |
Motivering | |
Det förefaller orimligt att införa en allmän skyldighet för registeransvariga att genomföra samråd med registrerade oavsett vilken sektor det rör sig om och före varje behandling av uppgifter. | |
Ändringsförslag 117 Förslag till förordning Artikel 33 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Om den registeransvarige är en offentlig myndighet eller ett offentligt organ och om behandlingen följer av en rättslig skyldighet enligt artikel 6.1 c som föreskriver regler och förfaranden som rör behandlingen och regleras av unionslagstiftningen, ska punkterna 1–4 inte gälla, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen. |
5. Om den registeransvarige är en offentlig myndighet eller ett offentligt organ, eller om personuppgifterna behandlas av ett annat organ som anförtrotts ansvaret att tillhandahålla allmännyttiga tjänster, och om behandlingen följer av en rättslig skyldighet enligt artikel 6.1 c som föreskriver regler och förfaranden som rör behandlingen och regleras av unionslagstiftningen, ska punkterna 1–4 inte gälla, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen. |
Motivering | |
Det bör vara själva tjänsten som tillhandahålls, inte vilket organ som gör det, som ska avgöra om reglerna om konsekvensbedömningar avseende uppgiftsskydd ska gälla. Till exempel får ofta privata organisationer ansvar för att tillhandahålla allmännyttiga tjänster. Samma förhållningssätt bör råda när det gäller utförande av allmännyttiga tjänster, oavsett om det organ som tillhandahåller tjänsten är en myndighet eller ett organ i det offentliga eller en anlitad privat organisation. | |
Ändringsförslag 118 Förslag till förordning Artikel 33 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för sådan behandling som sannolikt medför särskilda risker enligt punkterna 1 och 2 och kraven för den bedömning som avses i punkt 3, däribland villkor för skalbarhet, kontroll och granskningsmöjligheter. Kommissionen ska därvid överväga särskilda åtgärder för mikroföretag och små och medelstora företag. |
utgår |
Motivering | |
Delegerade akter är inte motiverade i detta sammanhang eftersom de berör väsentliga delar av förordningen. Vi anser att det i detta fall är lämpligast att begränsa förordningens räckvidd, vilket bör göras i själva förordningen. | |
Ändringsförslag 119 Förslag till förordning Artikel 34 – rubriken | |
|
Kommissionens förslag |
Ändringsförslag |
|
Förhandstillstånd och förhandssamråd |
Föregående samråd |
Motivering | |
Artikel 34.1 bör flyttas till kapitel 5, som handlar om överföring av personuppgifter till ett tredjeland eller en internationell organisation. Rubriken till artikeln bör ändras i konsekvens med detta. | |
Ändringsförslag 120 Förslag till förordning Artikel 34 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Den registeransvarige eller registerföraren, allt efter omständigheterna, ska erhålla ett godkännande från tillsynsmyndigheten före behandlingen av personuppgifterna, i syfte att se till att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade när en registeransvarig eller en registerförare antar avtalsklausuler enligt artikel 42.2 d eller inte tillhandahåller lämpliga skyddsåtgärder i ett rättsligt bindande instrument enligt artikel 42.5 för överföring av personuppgifter till ett tredjeland eller en internationell organisation. |
utgår |
Ändringsförslag 121 Förslag till förordning Artikel 34 – punkt 7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
7. Medlemsstaterna ska samråda med tillsynsmyndigheten vid utarbetandet av lagstiftningsåtgärder som ska antas av det nationella parlamentet eller av en åtgärd som grundar sig på en sådan lagstiftningsåtgärd, som fastställer behandlingens karaktär, för att garantera att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade. |
utgår |
Motivering | |
Det är positivt att samråd genomförs inom ramen för lagstiftningsförfarandet för att se till att de planerade lagstiftningsåtgärderna är lämpliga och av god kvalitet. Däremot anser vi inte att en EU-förordning är det idealiska instrumentet för lagstiftningsåtgärder av detta slag, eftersom de inverkar på medlemsstaternas lagstiftningsförfaranden. | |
Ändringsförslag 122 Förslag till förordning Artikel 35 – punkt 1 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
b) behandlingen utförs av ett företag som har minst 250 anställda, eller |
utgår |
Ändringsförslag 123 Förslag till förordning Artikel 35 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. Registeransvariga och registerförare som är små eller medelstora företag ska utse ett uppgiftsskyddsombud endast om företagets kärnverksamhet på grund av sin beskaffenhet, omfattning och/eller ändamål kräver regelbunden och systematisk övervakning av de registrerade. |
Motivering | |
Utnämningen av ett uppgiftsskyddsombud bör inte vara knutet till antalet anställda utan vara en riskbaserad strategi inriktad på behandlingsverksamheterna samt för hur många registrerade som organisationen behandlar uppgifter. | |
Ändringsförslag 124 Förslag till förordning Artikel 35 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. I det fall som avses i punkt 1 b får en företagsgrupp utnämna ett enda uppgiftsskyddsombud. |
2. En företagskoncern får utnämna ett enda uppgiftsskyddsombud. |
Ändringsförslag 125 Förslag till förordning Artikel 35 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. I andra fall än de som anges i punkt 1 får den registeransvarige eller registerföraren eller sammanslutningar och andra organ som företräder kategorier av registeransvariga eller registerförare utnämna ett uppgiftsskyddsombud. |
4. Den registeransvarige eller registerföraren eller sammanslutningar och andra organ som företräder kategorier av registeransvariga eller registerförare får utnämna ett uppgiftsskyddsombud. |
Ändringsförslag 126 Förslag till förordning Artikel 35 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Den registeransvarige eller registerföraren ska utnämna uppgiftsskyddsombudet på grundval av yrkesmässiga kvalifikationer och, i synnerhet, expertkunnande om lagstiftning och praxis avseende uppgiftsskydd samt förmåga att fullgöra de arbetsuppgifter som avses i artikel 37. Den nödvändiga nivån på expertkunnandet ska fastställas särskilt i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av den registeransvarige och registerföraren. |
5. Den registeransvarige eller registerföraren ska utnämna uppgiftsskyddsombudet på grundval av yrkesmässiga kvalifikationer och, i synnerhet, expertkunnande om lagstiftning och praxis avseende uppgiftsskydd samt förmåga att fullgöra de arbetsuppgifter som avses i artikel 37 i överensstämmelse med stränga yrkesnormer. Den nödvändiga nivån på expertkunnandet ska fastställas särskilt i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av den registeransvarige och registerföraren. |
Motivering | |
Uppgiftsskyddsombudet bör fullgöra sina arbetsuppgifter enligt stränga yrkesnormer (se ändringsförslaget till punkt 5). En av grunderna för att avsätta ett uppgiftsskyddsombud är just om ombudet allvarligt underlåter att uppfylla dessa normer (se ändringsförslaget till punkt 7). | |
Ändringsförslag 127 Förslag till förordning Artikel 35 – punkt 7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
7. Den registeransvarige och registerföraren ska utnämna ett uppgiftsskyddsombud för en period på minst två år. Uppgiftsskyddsombudet får utnämnas för ytterligare perioder. Uppgiftsskyddsombudet får under sin mandatperiod endast avsättas om uppgiftsskyddsombudet inte längre uppfyller de villkor som krävs för fullgörandet av sitt uppdrag. |
7. Uppgiftsskyddsombudet får under sin mandatperiod endast avsättas om uppgiftsskyddsombudet inte längre uppfyller de villkor som krävs för fullgörandet av sitt uppdrag eller vid allvarliga överträdelser av dessa villkor.
|
Motivering | |
Denna garanti kan strida mot friheten att upprätta avtal om tjänster och skada konkurrensen på marknaden. En sådan tidsbegränsning påverkar delar av arbetsrätten och statliga tjänstemäns rättigheter, och kan därför ge upphov till problematiska situationer. Garantier för uppgiftsskyddsombudet kan fastställas på andra sätt; att införa en minimiperiod för utnämning är ingen bra lösning. | |
Ändringsförslag 128 Förslag till förordning Artikel 35 – punkt 11 | |
|
Kommissionens förslag |
Ändringsförslag |
|
11. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och kraven för den kärnverksamhet som bedrivs av den registeransvarige eller registerföraren och som avses i punkt 1 c och det kriterium för uppgiftsskyddsombudets yrkesmässiga kvalifikationer som avses i punkt 5. |
utgår |
Ändringsförslag 129 Förslag till förordning Artikel 36 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Den registeransvarige eller registerföraren ska stödja uppgiftsskyddsombudet i utförandet av dennes arbetsuppgifter och ska tillhandahålla personal, lokaler, utrustning och alla andra resurser som krävs för att fullgöra det uppdrag och utföra de arbetsuppgifter som avses i artikel 37. |
3. Den registeransvarige eller registerföraren ska stödja uppgiftsskyddsombudet i utförandet av dennes arbetsuppgifter och ska, när så är nödvändigt, tillhandahålla personal, lokaler, utrustning och alla andra resurser som krävs för att fullgöra det uppdrag och utföra de arbetsuppgifter som avses i artikel 37. |
Motivering | |
Denna artikel verkar ha utformats främst med tanke på de uppgiftsskyddsombud som är knutna till ett företag eller en institution genom anställningsavtal eller funktionsmässigt sett. En del företag eller institutioner lägger dock ut denna funktion på entreprenad genom tjänsteavtal, vilket inte beaktas i artikeln. | |
Ändringsförslag 130 Förslag till förordning Artikel 37 – punkt 1 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
a) Att informera och ge råd till den registeransvarige eller registerföraren om deras skyldigheter enligt denna förordning och att dokumentera denna verksamhet och de inkomna svaren. |
a) Att informera och ge råd till den registeransvarige eller registerföraren om deras skyldigheter enligt denna förordning. |
Ändringsförslag 131 Förslag till förordning Artikel 37 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för uppgiftsskyddsombudets arbetsuppgifter, certifiering, ställning, befogenheter och resurser i enlighet med punkt 1. |
2. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kriterierna och villkoren för uppgiftsskyddsombudets certifiering och ställning. |
Motivering | |
Kommissionen bör koncentrera sig på uppgiftsskyddsombudets certifiering och ställning för att se till att de personer som arbetar som uppgiftsskyddsombud har nödvändiga kvalifikationer och skyddas av lämpliga garantier. | |
Ändringsförslag 132 Förslag till förordning Artikel 38 – punkt 1 – led aa (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
aa) respekten för konsumentens rättigheter |
Ändringsförslag 133 Förslag till förordning Artikel 39 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Medlemsstaterna och kommissionen ska, särskilt på EU-nivå, uppmuntra införandet av certifieringsmekanismer för uppgiftsskydd och förseglingar och märkningar för uppgiftsskydd, och på så sätt göra det möjligt för registrerade att snabbt bedöma nivån på det uppgiftsskydd som tillhandahålls av registeransvariga och registerförare. Certifieringsmekanismerna för uppgiftsskydd ska bidra till att denna förordning genomförs korrekt, med hänsyn till de särskilda egenskaperna hos de olika sektorerna och behandlingarna. |
1. Medlemsstaterna och kommissionen ska, särskilt på EU-nivå, uppmuntra införandet av certifieringspolicyer för uppgiftsskydd och förseglingar och märkningar för uppgiftsskydd, och på så sätt göra det möjligt för registrerade att snabbt bedöma nivån på det uppgiftsskydd som tillhandahålls av registeransvariga och registerförare. Certifieringspolicyer för uppgiftsskydd ska bidra till att denna förordning och de åtgärder och förmåner som föreskrivs i förordningen genomförs korrekt, med hänsyn till de särskilda egenskaperna hos de olika sektorerna och behandlingarna. |
|
|
På unionsnivå ska certifieringspolicyerna utformas av Europeiska dataskyddsstyrelsen med deltagande av andra berörda aktörer, och de ska officiellt godkännas av kommissionen. Policyerna ska inte bara inriktas på institutionerna, utan i synnerhet på de verksamma aktörerna på området. |
|
|
Policyerna ska tillgodose de särskilda behoven för aktörer inom de olika verksamhetsområdena, med särskild hänsyn till mikroföretags och små och medelstora företags behov. Dessutom bör kostnaderna för certifieringen begränsas så att instrumentet blir effektivt. Erhållande, förnyande och upphävande av certifieringar ska styras av de bestämmelser som anges i denna förordning. |
Motivering | |
Certifieringen bör ske via att strikt förfarande och ska syfta till att förstärka kvalifikationskraven. Certifieringar bör dessutom vara fristående och måste kunna uppdateras. I vissa fall är det dessutom nödvändigt att förnya och aktualisera certifieringarna. Det måste också vara möjligt att återkalla en certifiering vid allvarliga överträdelser. Ett återkallande av en certifiering bör innebära att innehavaren omedelbart förlorar de förmåner som en certifiering kan medföra. | |
Ändringsförslag 134 Förslag till förordning Artikel 40a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 40a |
|
|
Förhandstillstånd |
|
|
Den registeransvarige eller registerföraren, allt efter omständigheterna, ska inhämta ett godkännande från tillsynsmyndigheten före behandlingen av personuppgifterna, i syfte att se till att den avsedda behandlingen överensstämmer med denna förordning och särskilt för att begränsa riskerna för de registrerade när en registeransvarig eller en registerförare antar avtalsklausuler enligt artikel 42.2 d eller inte tillhandahåller lämpliga skyddsåtgärder i ett rättsligt bindande instrument enligt vad som avses i artikel 42.5 för överföring av personuppgifter till ett tredjeland eller en internationell organisation. |
Ändringsförslag 135 Förslag till förordning Artikel 41 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Om kommissionen har beslutat att tredjelandet, ett territorium eller en behandlande sektor i tredjelandet eller den internationella organisationen i fråga utgör en garant för en adekvat skyddsnivå får uppgifterna överföras. I dessa fall ska det inte krävas något ytterligare tillstånd. |
1. Om kommissionen har beslutat att tredjelandet, ett territorium eller en behandlande sektor i tredjelandet eller den internationella organisationen i fråga utgör en garant för en adekvat skyddsnivå får uppgifterna överföras. I dessa fall ska det inte krävas något särskilt tillstånd. |
Motivering | |
Formuleringen ”ytterligare tillstånd” i punkt 1 ger intrycket av att det krävs ett tillstånd innan uppgifter får överföras trots att det konstaterats att skyddsnivån är adekvat. Vi instämmer inte i detta. Ett beslut om att en adekvat skyddsnivå föreligger innebär just att det inte krävs något särskilt tillstånd innan uppgifter kan överföras. Därför föreslår vi en ändring så att formuleringen ”ytterligare tillstånd” ersätts med formuleringen ”särskilt tillstånd”. | |
Ändringsförslag 136 Förslag till förordning Artikel 41 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen får besluta att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet ifråga eller en internationell organisation är en garant för adekvat skydd i den mening som avses i punkt 2. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 87.2. |
3. Kommissionen får besluta att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet ifråga eller en internationell organisation är en garant för adekvat skydd i den mening som avses i punkt 2. |
Motivering | |
Kommissionens beslut bör inte antas enbart i enlighet med granskningsförfarandet. Dessutom måste Europeiska dataskyddsstyrelsen rådfrågas i detta sammanhang. | |
Ändringsförslag 137 Förslag till förordning Artikel 41 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Om kommissionen fattar beslut enligt punkt 5 får inga uppgifter överföras till tredjelandet, territoriet eller den behandlande sektorn inom tredjelandet, eller den internationella organisationen i fråga, utan att detta påverkar tillämpningen av artiklarna 42–44. Kommissionen ska vid lämplig tidpunkt samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den situation som uppstått som följd av beslutet enligt punkt 5. |
6. Om kommissionen fattar beslut enligt punkt 5 får endast begränsade uppgifter överföras till tredjelandet, territoriet eller den behandlande sektorn inom tredjelandet, eller den internationella organisationen i fråga i enlighet med artiklarna 42–44. Kommissionen ska vid lämplig tidpunkt samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den situation som uppstått som följd av beslutet enligt punkt 5. |
Motivering | |
Formuleringen ”endast begränsade uppgifter” bör användas i stället för ”inga uppgifter”. | |
Ändringsförslag 138 Förslag till förordning Artikel 42 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Om kommissionen inte har fattat något sådant beslut som avses i artikel 41 får en registeransvarig eller registerförare endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder för personuppgifter genom ett juridiskt bindande instrument. |
1. Om kommissionen inte har fattat något sådant beslut som avses i artikel 41, eller om den har konstaterat att ett tredjeland, en region eller en viss behandlande sektor i ett tredjeland, eller en internationell organisation, inte kan erbjuda en tillräcklig skyddsnivå, får en registeransvarig eller registerförare endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder för personuppgifter genom ett juridiskt bindande instrument, och där så är lämpligt efter en konsekvensbedömning där den registeransvarige eller registerföraren har förvissat sig om att mottagaren av personuppgifter i ett tredjeland håller hög standard i fråga om uppgiftsskydd. |
Ändringsförslag 139 Förslag till förordning Artikel 43 – punkt 2a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2a. Den tillsynsmyndighet som godkänner bindande företagsregler ska vara den som finns där den registeransvarige eller registerföraren har sitt huvudsakliga verksamhetsställe. |
Motivering | |
Artikel 29-gruppen har infört ett system för ömsesidigt erkännande av bindande företagsregler (WP 107 av den 14 april 2005 och vad gäller registerförare WP 195 av den 6 juni 2012). Detta system för ömsesidigt erkännande bör införlivas i förordningen. Kriteriet för val av behörig myndighet bör vara det huvudsakliga verksamhetsstället, såsom anges i artikel 51.2 i förordningen. | |
Ändringsförslag 140 Förslag till förordning Artikel 44 – punkt 1 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
d) Överföringen bedöms gynna viktiga samhälleliga intressen. |
d) Överföringen bedöms gynna viktiga samhälleliga intressen, exempelvis vid internationella uppgiftsöverföringar mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, mellan socialförsäkringsmyndigheter, eller till myndigheter som är behöriga att förhindra, utreda, avslöja och lagföra brott. |
Ändringsförslag 141 Förslag till förordning Artikel 44 – punkt 1 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
e) Överföringen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk. |
e) Överföringen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga eller administrativa anspråk. |
Motivering | |
Det förefaller lämpligt att även inbegripa administrativa anspråk, eftersom administrativa förfaranden ofta är det första steget för att göra gällande eller ta strid för rättsliga anspråk. | |
Ändringsförslag 142 Förslag till förordning Artikel 44 – punkt 7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
7. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att precisera villkoren för vad som bedöms ”gynna viktiga samhälleliga intressen” enligt punkt 1 d liksom kriterierna och kraven för lämpliga åtgärder för att skydda personuppgifter enligt punkt 1 h. |
utgår |
Motivering | |
Vi anser att de delegerade akter som anges i punkt 7 är för långtgående eftersom de berör väsentliga delar av förordningen, och inte bara handlar om att precisera villkoren. Om det bedöms vara nödvändigt att komplettera väsentliga aspekter av villkoren i denna artikel bör detta göras i förordningstexten. | |
Ändringsförslag 143 Förslag till förordning Artikel 47 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Tillsynsmyndigheten ska vara fullständigt oberoende i utövandet av det uppdrag och de befogenheter som den anförtrotts. |
1. Tillsynsmyndigheterna ska vara fullständigt oberoende i utövandet av det uppdrag och de befogenheter som de anförtrotts. |
Ändringsförslag 144 Förslag till förordning Artikel 47 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Tillsynsmyndighetens ledamöter ska i utövandet av sitt uppdrag varken begära eller ta emot instruktioner av någon. |
2. Tillsynsmyndigheternas ledamöter ska i utövandet av sitt uppdrag varken begära eller ta emot instruktioner av någon. |
Ändringsförslag 145 Förslag till förordning Artikel 47 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. Varje medlemsstat ska se till att tillsynsmyndigheten förfogar över tillräckliga mänskliga, tekniska och finansiella resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utöva sitt uppdrag och sina befogenheter, inklusive inom ramen för det ömsesidiga biståndet, samarbetet och deltagandet i Europeiska dataskyddsstyrelsens verksamhet. |
5. Varje medlemsstat ska enligt sin interna behörighetsfördelning se till att tillsynsmyndigheterna förfogar över tillräckliga mänskliga, tekniska och finansiella resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utöva sitt uppdrag och sina befogenheter, inklusive inom ramen för det ömsesidiga biståndet, samarbetet och deltagandet i Europeiska dataskyddsstyrelsens verksamhet. |
Ändringsförslag 146 Förslag till förordning Artikel 47 – punkt 6 | |
|
Kommissionens förslag |
Ändringsförslag |
|
6. Varje medlemsstat ska se till att tillsynsmyndigheten förfogar över egen personal, som ska tillsättas av och ta instruktioner från tillsynsmyndighetens chef. |
6. Varje medlemsstat ska enligt sin interna behörighetsfördelning se till att tillsynsmyndigheterna förfogar över egen personal, som ska tillsättas av och ta instruktioner från tillsynsmyndighetens chef. |
Ändringsförslag 147 Förslag till förordning Artikel 47 – punkt 7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
7. Medlemsstaterna ska se till att tillsynsmyndigheterna också blir föremål för finansiell kontroll, utan att detta påverkar tillsynsmyndigheternas oberoende. Medlemsstaterna ska se till att tillsynsmyndigheterna förfogar över en egen årsbudget. Denna budget ska offentliggöras. |
7. Medlemsstaterna ska enligt sin interna behörighetsfördelning se till att tillsynsmyndigheterna också blir föremål för finansiell kontroll, utan att detta påverkar tillsynsmyndigheternas oberoende. Medlemsstaterna ska enligt sin interna behörighetsfördelning se till att tillsynsmyndigheterna förfogar över en egen årsbudget. Denna budget ska offentliggöras. |
Ändringsförslag 148 Förslag till förordning Artikel 48 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje medlemsstat ska fastställa att tillsynsmyndighetens ledamöter ska utses antingen av medlemsstatens parlament eller av dess regering. |
1. Varje medlemsstat ska fastställa att tillsynsmyndighetens eller tillsynsmyndigheternas ledamöter ska utses antingen av medlemsstatens parlament eller av dess statliga organ. |
Ändringsförslag 149 Förslag till förordning Artikel 48 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Varje ledamots uppdrag ska i enlighet med punkt 5 upphöra då mandattiden löper ut eller då ledamoten avgår eller avsätts från sin tjänst. |
3. Varje ledamots uppdrag ska upphöra då mandattiden löper ut eller om ledamoten blir oförmögen att fullgöra sitt uppdrag, har motstridiga intressen, avgår, blir uppsagd, slutgiltigt döms för ett uppsåtligt brott eller avsätts från sin tjänst. |
Ändringsförslag 150 Förslag till förordning Artikel 48 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. En ledamot kan avsättas eller berövas rätten till pension eller andra förmåner av den behöriga nationella domstolen om han eller hon inte längre uppfyller villkoren för att utöva uppdraget eller har gjort sig skyldig till ett allvarligt fel. |
4. En ledamot kan avsättas eller bli uppsagd om han eller hon inte längre uppfyller villkoren för att utöva uppdraget eller har gjort sig skyldig till allvarlig försumlighet i fullgörandet av sina skyldigheter som ledamot. |
Ändringsförslag 151 Förslag till förordning Artikel 49 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
a) Att en tillsynsmyndighet ska inrättas och vilken ställning denna myndighet ska ha. |
a) Att tillsynsmyndigheter ska inrättas och vilken ställning dessa myndigheter ska ha. |
Ändringsförslag 152 Förslag till förordning Artikel 49 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
b) Vilken kompetens, erfarenhet och sakkunskap som krävs för att utöva uppdraget som ledamot vid tillsynsmyndigheten. |
b) Vilken kompetens, erfarenhet och sakkunskap som krävs för att utöva uppdraget som ledamot vid tillsynsmyndigheterna. |
Ändringsförslag 153 Förslag till förordning Artikel 49 – led c | |
|
Kommissionens förslag |
Ändringsförslag |
|
c) Regler och förfaranden för att utse tillsynsmyndighetens ledamöter samt regler om vilka handlingar och vilken yrkesverksamhet som ska vara oförenliga med ledamöternas uppdrag under deras mandattid. |
c) Regler och förfaranden för att utse tillsynsmyndigheternas ledamöter samt regler om vilka handlingar och vilken yrkesverksamhet som ska vara oförenliga med ledamöternas befogenheter under deras mandattid. |
Ändringsförslag 154 Förslag till förordning Artikel 49 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
d) Mandattiden för tillsynsmyndighetens ledamöter, vilken inte får understiga fyra år utom vid tillsättandet av de första ledamöterna efter det att denna förordning trätt ikraft, då ett stegvis tillsättningsförfarande med kortare mandatperioder för några av ledamöterna får tillämpas om detta är nödvändigt för att garantera myndighetens oberoende. |
d) Mandattiden för tillsynsmyndigheternas ledamöter, vilken inte får understiga fyra år utom vid tillsättandet av de första ledamöterna efter det att denna förordning trätt ikraft, då ett stegvis tillsättningsförfarande med kortare mandatperioder för några av ledamöterna får tillämpas om detta är nödvändigt för att garantera myndigheternas oberoende. |
Ändringsförslag 155 Förslag till förordning Artikel 49 – led e | |
|
Kommissionens förslag |
Ändringsförslag |
|
e) Huruvida myndighetens ledamöter får ges förnyat mandat. |
e) Huruvida myndigheternas ledamöter får ges förnyat mandat. |
Ändringsförslag 156 Förslag till förordning Artikel 49 – led f | |
|
Kommissionens förslag |
Ändringsförslag |
|
f) Vilka bestämmelser och allmänna villkor som myndighetens ledamöter och personal omfattas av. |
f) Vilka bestämmelser och allmänna villkor som myndigheternas ledamöter och personal omfattas av. |
Ändringsförslag 157 Förslag till förordning Artikel 49 – led g | |
|
Kommissionens förslag |
Ändringsförslag |
|
g) Bestämmelser och förfaranden för när tillsynsmyndighetens ledamöter ska fråntas sitt uppdrag, bland annat om de inte längre uppfyller villkoren för att utöva uppdraget eller om de gjort sig skyldiga till ett allvarligt fel. |
g) Bestämmelser och förfaranden för när tillsynsmyndigheternas ledamöter ska fråntas sitt uppdrag, bland annat om de inte längre uppfyller villkoren för att utöva uppdraget eller om de gjort sig skyldiga till ett allvarligt fel. |
Ändringsförslag 158 Förslag till förordning Artikel 50 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Både under och efter sin mandattid respektive anställning ska tillsynsmyndighetens ledamöter och personal omfattas av tystnadsplikt vad avser konfidentiell information som har kommit till deras kännedom under tjänsteutövningen. |
Både under och efter sin mandattid respektive anställning ska tillsynsmyndigheternas ledamöter och personal omfattas av tystnadsplikt vad avser konfidentiell information som har kommit till deras kännedom under tjänsteutövningen. |
Ändringsförslag 159 Förslag till förordning Artikel 51 – punkt 1a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
1a. Om en registrerad person, ett organ eller en organisation eller sammanslutning enligt vad som avses i artikel 73.2 lämnar in ett klagomål, ska den tillsynsmyndighet som ska vara behörig att behandla klagomålet vara den som finns i den medlemsstat där klagomålet har lämnats in. |
Ändringsförslag 160 Förslag till förordning Artikel 51 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. När personuppgifter behandlas som en del av verksamheten hos en registeransvarig eller registerförare som är etablerad i unionen, och den registeransvarige eller registerföraren i fråga är etablerad i fler än en medlemsstat, ska den tillsynsmyndighet som är behörig på dess huvudsakliga verksamhetsställe vara behörig att utöva tillsyn över all behandling av personuppgifter som utförs av denne registeransvarige eller registerförare i alla medlemsstater, utan att detta påverkar tillämpningen av kapitel VII i denna förordning. |
2. När det gäller verksamheten hos en registeransvarig eller registerförare som är etablerad i fler än en medlemsstat ska tillsynsmyndigheten i den medlemsstat där det huvudsakliga verksamhetsstället är beläget vara behörig att utöva tillsyn över all behandling av personuppgifter som utförs av denne registeransvarige eller registerförare, inbegripet antagande av beslut i enlighet med denna förordning, i alla medlemsstater. |
|
|
Den behöriga tillsynsmyndigheten ska samarbeta med de andra tillsynsmyndigheterna och med kommissionen, i enlighet med bestämmelserna i kapitel VII i denna förordning. |
|
|
Om det råder oenighet kring tillämpningen av förordningen kan vilken tillsynsmyndighet som helst begära att Europeiska dataskyddsstyrelsen ska yttra sig i frågan. |
Ändringsförslag 161 Förslag till förordning Artikel 52 – punkt 1 – led d | |
|
Kommissionens förslag |
Ändringsförslag |
|
d) Utföra undersökningar på eget initiativ, på grundval av klagomål eller på begäran av en annan tillsynsmyndighet och – om en undersökning grundar sig på ett klagomål som en registrerad lämnat in till myndigheten – underrätta den registrerade om resultatet inom rimlig tid. |
d) Utföra undersökningar på eget initiativ, på grundval av klagomål, på begäran av en annan tillsynsmyndighet eller efter en polisanmälan och – om en undersökning grundar sig på ett klagomål som en registrerad lämnat in till myndigheten – underrätta den registrerade om resultatet inom rimlig tid. |
Motivering | |
Polismyndigheters ingripande med anledning av en anmälan bör beaktas som en orsak för att inleda utredningar i de fall de åtgärder som vidtas av polismyndigheterna ger upphov till händelser som kan anses utgöra ett intrång i den personliga integriteten. | |
Ändringsförslag 162 Förslag till förordning Artikel 52 – punkt 1 – led ja (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
ja) Samordna certifieringspolicyerna på de territorier de ansvarar för, i enlighet med bestämmelserna i artikel 39. |
Motivering | |
Vi anser att certifieringspolicyerna bör stärkas och i detta syfte krävs en hänvisning till tillsynsmyndigheternas befogenheter på detta område. | |
Ändringsförslag 163 Förslag till förordning Artikel 53 – punkt 1 – led jb (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
jb) Utföra revisioner eller utarbeta revisionsplaner med avseende på uppgiftsskydd. |
Ändringsförslag 164 Förslag till förordning Artikel 54 | |
|
Kommissionens förslag |
Ändringsförslag |
|
Varje tillsynsmyndighet ska lägga fram en årlig verksamhetsrapport. Rapporten ska läggas fram inför det nationella parlamentet och göras tillgänglig för allmänheten samt för kommissionen och Europeiska dataskyddsstyrelsen. |
Varje tillsynsmyndighet ska lägga fram en årlig verksamhetsrapport. Rapporten ska läggas fram inför respektive parlament och/eller de ansvariga myndigheter som utsetts enligt den nationella lagstiftningen och göras tillgänglig för allmänheten samt för kommissionen och Europeiska dataskyddsstyrelsen. |
Motivering | |
Denna artikel bör ändras så att länder som har fler än en tillsynsmyndighet också beaktas. | |
Ändringsförslag 165 Förslag till förordning Artikel 59 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Om den berörda tillsynsmyndigheten inte avser att rätta sig efter kommissionens yttrande ska den underrätta kommissionen och Europeiska dataskyddsstyrelsen om detta inom den tid som anges i punkt 1, samt motivera sitt beslut. I detta fall får utkastet till åtgärd inte antas på ytterligare en månad. |
4. Om den berörda tillsynsmyndigheten inte avser att rätta sig efter kommissionens yttrande ska den underrätta kommissionen och Europeiska dataskyddsstyrelsen om detta inom den tid som anges i punkt 1, samt motivera sitt beslut. |
Motivering | |
Denna ytterligare frist förefaller inte rimlig. | |
Ändringsförslag 166 Förslag till förordning Artikel 62 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Om det i fall enligt punkt 1 a finns vederbörligen motiverade och tvingande skäl till skyndsamhet i de registrerades intresse ska kommissionen anta genomförandeakter med omedelbar verkan enligt förfarandet i artikel 87.3. Dessa akter ska vara giltiga i högst 12 månader. |
utgår |
Motivering | |
Detta privilegium för kommissionen påverkar tillsynsmyndigheternas oberoende negativt. | |
Ändringsförslag 167 Förslag till förordning Artikel 66 – punkt 1 – led ga (nytt) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
ga) lägga fram förslag om en grund för en europeisk certifieringspolicy, följa upp och utvärdera sådana policyer samt rapportera om resultaten till kommissionen. |
Ändringsförslag 168 Förslag till förordning Artikel 69 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Europeiska dataskyddsstyrelsen ska välja en ordförande och två vice ordförande bland sina ledamöter. Om inte Europeiska datatillsynsmannen valts till ordförande ska han eller hon tilldelas en av posterna som vice ordförande. |
1. Europeiska dataskyddsstyrelsen ska välja en ordförande och två vice ordförande bland sina ledamöter. |
Motivering | |
Det är absolut inte berättigat att Europeiska datatillsynsmannen ska ha större rätt än någon annan myndighet genom att inneha posten som vice ordförande. | |
Ändringsförslag 169 Förslag till förordning Artikel 73 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Utan att det påverkar andra möjligheter att lämna klagomål till berörda myndigheter eller domstolar ska varje registrerad som anser att uppgifter rörande henne eller honom inte är förenliga med denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat. |
1. Utan att det påverkar andra möjligheter att lämna klagomål till berörda myndigheter eller domstolar ska varje registrerad ha rätt att lämna in ett klagomål till tillsynsmyndigheten i den medlemsstat där den registrerade har hemvist eller i den medlemsstat där den registeransvarige har sitt huvudsakliga verksamhetsställe; om den registrerade anser att uppgifter rörande henne eller honom inte är förenliga med denna förordning. |
Ändringsförslag 170 Förslag till förordning Artikel 73 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Oberoende av eventuella klagomål från en registrerad ska varje sådan organisation eller sammanslutning som avses i punkt 2 ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat om den anser att ett personuppgiftsbrott har begåtts. |
utgår |
Ändringsförslag 171 Förslag till förordning Artikel 74 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Varje registrerad ska ha rätt till ett rättsmedel som förpliktar tillsynsmyndigheten att behandla ett klagomål om ett beslut som krävs för att skydda den registrerades rättigheter inte har fattats eller om tillsynsmyndigheten inte inom tre månader informerar den registrerade om hur ärendet fortskrider eller vilket beslut som har fattats med anledning av klagomålet i enlighet med artikel 52.1 b. |
2. Om tillsynsmyndigheten inte inom tre månader efter det att klagomålet inlämnats informerar den registrerade om hur ärendet fortskrider ska detta betraktas som ett avslag på anspråket. Om tillsynsmyndigheten sex månader efter det att klagomålet lämnades in inte slutgiltigt har löst frågan ska detta också anses utgöra ett avslag på anspråket. |
Motivering | |
Med tanke på rättssäkerheten bör en tidsgräns fastställas för tillsynsmyndighetens beslut när det gäller de klagomålsärenden som omfattas av sexmånadersfristen. Man kan tänka sig en längre tidsfrist för exceptionella fall. I alla händelser anser vi att en tidsgräns även bör fastställas för klagomål i syfte att informera den registrerade om hur ärendet fortskrider. Om denna tidsfrist överskrids bör detta anses utgöra ett avslag på klagomålet. | |
Ändringsförslag 172 Förslag till förordning Artikel 74 – punkt 4 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. En registrerad som berörs av ett beslut av en tillsynsmyndighet i en annan medlemsstat än den där den registrerade har hemvist får anmoda tillsynsmyndigheten i den registrerades hemviststat att föra talan på hans eller hennes vägnar mot den behöriga tillsynsmyndigheten i den andra medlemsstaten. |
utgår |
Motivering | |
Denna möjlighet tillför inget mervärde för medborgarna och riskerar att äventyra samarbetet mellan tillsynsmyndigheterna inom ramen för mekanismen för enhetlighet. | |
Ändringsförslag 173 Förslag till förordning Artikel 75 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Om förfaranden angående samma åtgärd, beslut eller praxis har inletts inom ramen för den mekanism för enhetlighet som avses i artikel 58, får den berörda domstolen vilandeförklara målet, såvida inte skyddet av den registrerades rättigheter är så brådskande att det inte finns tid att invänta resultatet av förfarandet inom ramen för mekanismen för enhetlighet. |
3. Om förfaranden angående samma åtgärd, beslut eller praxis har inletts inom ramen för den mekanism för enhetlighet som avses i artikel 58, får den berörda domstolen på begäran av någon av parterna och efter att ha hört samtliga parter vilandeförklara målet, såvida inte skyddet av den registrerades rättigheter är så brådskande att det inte finns tid att invänta resultatet av förfarandet inom ramen för mekanismen för enhetlighet. |
Motivering | |
Ett mål bör endast kunna vilandeförklaras på begäran av någon av parterna och efter att samtliga parter har getts tillfälle att yttra sig. Detta är den lämpligaste lösningen för detta slags förfaranden. | |
Ändringsförslag 174 Förslag till förordning Artikel 76 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje organisation eller sammanslutning som avses i artikel 73.2 ska vara berättigad att utöva de rättigheter som avses i artiklarna 74 och 75 för en eller flera registrerades räkning. |
utgår |
Motivering | |
Det finns inget praktiskt behov av en sådan mekanism. | |
Ändringsförslag 175 Förslag till förordning Artikel 77 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Om fler än en registeransvarig eller registerförare har medverkat vid behandlingen av uppgifter, ska var och en av dem ansvara solidariskt för hela den uppkomna skadan. |
2. Om fler än en registeransvarig eller registerförare har medverkat vid behandlingen av uppgifter, ska var och en av dem ansvara solidariskt för hela den uppkomna skadan. I fall av solidariskt ansvar kan den registerförare som har gett ersättning för en skada som en registrerad har lidit väcka talan mot den registeransvarige för att kräva återbetalning, om registerföraren har handlat i enlighet med den rättsligt bindande handling som avses i artikel 26.2. |
Ändringsförslag 176 Förslag till förordning Artikel 79 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Varje tillsynsmyndighet ska ha befogenhet att ålägga administrativa sanktioner i enlighet med denna artikel. |
1. Den tillsynsmyndighet som är behörig enligt artikel 51.2 ska ha befogenhet att ålägga administrativa sanktioner i enlighet med denna artikel. |
Ändringsförslag 177 Förslag till förordning Artikel 79 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den administrativa sanktionen ska i varje enskilt fall vara effektiv, proportionell och avskräckande. De administrativa böterna ska fastställas med vederbörlig hänsyn till överträdelsens natur, svårhetsgrad och varaktighet, om överträdelsen skett med uppsåt eller genom oaktsamhet, graden av ansvar hos den berörda fysiska eller juridiska personen och eventuella tidigare överträdelser av samma person, de tekniska och organisatoriska åtgärder och förfaranden som genomförts i enlighet med artikel 23 och graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen. |
2. Den administrativa sanktionen ska i varje enskilt fall vara effektiv, proportionell och avskräckande. De administrativa böterna ska fastställas med vederbörlig hänsyn till bland annat följande: |
|
|
a) Överträdelsens art, hur allvarlig den är och hur länge den har pågått. |
|
|
b) Hur känsliga uppgifterna är. |
|
|
c) Om överträdelsen begåtts med uppsåt eller genom oaktsamhet. |
|
|
d) Vägran att samarbeta med eller hindrande av en verkställighetsprocess. |
|
|
e) Åtgärder som vidtagits av den fysiska eller juridiska personen i syfte att fullgöra relevanta skyldigheter. |
|
|
f) Graden av skada eller risk för skada på grund av överträdelsen. |
|
|
g) Graden av ansvar hos den berörda fysiska eller juridiska personen och eventuella tidigare överträdelser från samma persons sida. |
|
|
h) De tekniska och organisatoriska åtgärder och förfaranden som genomförts i enlighet med artikel 23 och graden av samarbete med tillsynsmyndigheten för att åtgärda överträdelsen. |
(En del av punkt 2 i kommissionens text blir de nya leden a, c, g och h i parlamentets ändringsförslag.) | |
Ändringsförslag 178 Förslag till förordning Artikel 79 – punkt 2a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2a. Tillsynsmyndigheten kan utfärda en skriftlig varning utan påföljd. Tillsynsmyndigheten kan, vid upprepade och uppsåtliga överträdelser, utfärda böter på upp till 1 000 000 euro eller, om det rör sig om ett företag, på upp till 2 procent av dess årliga globala omsättning. |
Motivering | |
Det maximala bötesbelopp som en tillsynsmyndighet kan utfärda, nämligen upp till en miljon euro och för företag upp till 2 procent av deras årliga omsättning, bör bevaras. Det oberoende som tillsynsmyndigheterna tillförsäkras genom artikel 8.3 i EU:s stadga om de grundläggande rättigheterna bör dock bevaras. Mekanismen för enhetlighet, och framför allt artikel 58.3 och 58.4, kan vidare bidra till en harmoniserad politik i EU för administrativa påföljder. | |
Ändringsförslag 179 Förslag till förordning Artikel 79 – punkt 3 – leden a och b | |
|
Kommissionens förslag |
Ändringsförslag |
|
a) en fysisk person som har behandlat personuppgifter utan vinstintresse, eller |
a) Ett företag eller en organisation med under 250 anställda som är redo att samarbeta med tillsynsmyndigheterna för att vidta korrigerande åtgärder så att liknande överträdelser kan undvikas i framtiden. Ramarna för detta samarbete ska fastställas genom bindande avtal med tillsynsmyndigheten. Om företaget eller organisationen inte samarbetar med den vederbörligen ackrediterade tillsynsmyndigheten inom sex månader efter det att förfarandet inleddes, ska de böter som ursprungligen skulle ha utdömts avkrävas. |
|
b) ett företag eller en organisation med högst 250 anställda som behandlar personuppgifter endast som en sidoverksamhet till huvudverksamheten. |
b) En offentlig förvaltning som samarbetar med tillsynsmyndigheten för att hitta sätt som gör det möjligt att undvika liknande överträdelser i framtiden. Ramarna för detta samarbete ska fastställas på grundval av överenskommelser eller beslut som fattas av den berörda förvaltningen, till vilka man redan från början ska hänvisa med avseende på vidtagna åtgärder. Om företaget eller organisationen inte samarbetar med den vederbörligen ackrediterade tillsynsmyndigheten inom ett år efter det att förfarandet inleddes, ska de böter som ursprungligen skulle ha utdömts avkräva. Vid tillämpningen av denna artikel ska tidigare lagakraftvunna påföljder för överträdelser genom försumlighet utplånas inom följande tidsfrister: |
|
|
två år om påföljderna åtföljs av böter på upp till 250 000 euro eller, om det är fråga om ett företag, på upp till 0,5 procent av dess årliga globala omsättning; fyra år om påföljderna åtföljs av böter på upp till 500 000 euro eller, om det är fråga om ett företag, på upp till 1 procent av dess årliga globala omsättning; sex år om påföljderna åtföljs av böter på upp till 1 000 000 euro eller, om det är fråga om ett företag, på upp till 2 procent av dess årliga globala omsättning. |
|
|
Vid tillämpningen av denna artikel ska tidigare lagakraftvunna påföljder för överträdelser som begåtts genom grov försumlighet eller med uppsåt utplånas inom följande tidsfrister: |
|
|
fem år om påföljderna åtföljs av böter på upp till 250 000 euro eller, om det är fråga om ett företag, på upp till 0,5 procent av dess årliga globala omsättning; tio år om påföljderna åtföljs av böter på upp till 500 000 euro eller, om det är fråga om ett företag, på upp till 1 procent av dess årliga globala omsättning; femton år om påföljderna åtföljs av böter på upp till 1 000 000 euro eller, om det är fråga om ett företag, på upp till 2 procent av dess årliga globala omsättning. |
(En del av led b i kommissionens text blir en del av led a i parlamentets ändringsförslag.) | |
Motivering | |
Här föreslås en mer omfattande modell för alternativa påföljder, som går ut på att förebygga framtida överträdelser. Syftet med de flesta påföljderna är följaktligen att företagen eller organisationerna åtar sig att vidta åtgärder för att undvika överträdelser i framtiden. De korrigerande åtgärderna fastställs genom överenskommelser med tillsynsmyndigheten, eller genom akter eller beslut som antas av den berörda förvaltningen. | |
Ändringsförslag 180 Förslag till förordning Artikel 79 – punkterna 4–7 | |
|
Kommissionens förslag |
Ändringsförslag |
|
4. Tillsynsmyndigheten ska utfärda böter på upp till 250 000 euro eller, om det är fråga om ett företag, på upp till 0,5 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet |
utgår |
|
a) underlåter att tillhandahålla nödvändiga mekanismer för att underlätta framställningar från registrerade eller att besvara framställningar från registrerade tillräckligt snabbt eller i rätt form enligt artikel 12.1–2, |
|
|
b) tar ut en avgift för att lämna information till eller besvara framställningar från registrerade i strid med artikel 12.4. |
|
|
5. Tillsynsmyndigheten ska utfärda böter på upp till 500 000 euro eller, om det är fråga om ett företag, på upp till 1 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet |
|
|
a) underlåter att tillhandahålla information, tillhandahåller ofullständig information eller försummar att tillhandahålla information på ett tillräckligt öppet sätt i enlighet med artiklarna 11, 12.3 och 14, |
|
|
b) underlåter att ge den registrerade tillgång till uppgifter eller att rätta personuppgifter i enlighet med artiklarna 15 och 16, eller underlåter att meddela relevant information till en mottagare i enlighet med artikel 13, |
|
|
c) underlåter att respektera rätten att bli bortglömd eller att få uppgifter raderade, eller försummar att införa rutiner för att säkerställa att tidsfrister iakttas, eller underlåter att vidta alla nödvändiga åtgärder för att underrätta tredje man om att en registrerad ansökt om radering av länkar till personuppgifter eller av kopior eller reproduktioner av sådana uppgifter i enlighet med artikel 17, |
|
|
d) underlåter att tillhandahålla en kopia av personuppgifterna i elektroniskt format eller hindrar den registrerade från att översända personuppgifterna till en annan applikation, i strid med artikel 18, |
|
|
e) helt eller delvis underlåter att fastställa respektive ansvarsområden tillsammans med registermedansvariga i enlighet med artikel 24, |
|
|
f) helt eller delvis underlåter att bevara dokumentation i enlighet med artiklarna 28, 31.4 och 44.3, |
|
|
g) i sådana fall där det inte är fråga om särskilda kategorier av uppgifter underlåter att i enlighet med artiklarna 80, 82 och 83 följa bestämmelser om yttrandefrihet, bestämmelser om uppgiftsbehandling i anställningsförhållanden eller villkoren för att behandla uppgifter för historiska, statistiska och vetenskapliga forskningsändamål. |
|
|
6. Tillsynsmyndigheten ska utfärda böter på upp till 1 000 000 euro eller, om det är fråga om ett företag, på upp till 2 % av dess årliga omsättning, till var och en som uppsåtligen eller av oaktsamhet |
|
|
a) behandlar personuppgifter utan tillräcklig rättslig grund för ändamålet eller underlåter att följa villkoren för samtycke enligt artiklarna 6, 7 och 8, |
|
|
b) behandlar särskilda kategorier av uppgifter i strid med artiklarna 9 och 81, |
|
|
c) underlåter att hörsamma en invändning eller att uppfylla kravet i artikel 19, |
|
|
d) underlåter att uppfylla villkoren vid åtgärder på grundval av profilering i enlighet med artikel 20, |
|
|
e) underlåter att anta interna strategier eller att genomföra lämplig åtgärder för att garantera och visa överensstämmelse i enlighet med artiklarna 22, 23 och 30, |
|
|
f) underlåter att utse en företrädare i enlighet med artikel 25, |
|
|
g) behandlar eller ger instruktioner för behandlingen av personuppgifter på ett sätt som strider mot skyldigheterna i samband med behandling för en registeransvarigs räkning i enlighet med artiklarna 26 och 27, |
|
|
h) underlåter att signalera eller meddela ett personuppgiftsbrott eller att i tid och utan inskränkningar anmäla personuppgiftsbrottet till tillsynsmyndigheten eller meddela den registrerade i enlighet med artiklarna 31 och 32, |
|
|
i) underlåter att utföra en konsekvensbedömning avseende uppgiftsskydd eller behandlar personuppgifter utan att först ha erhållit tillstånd från eller ha samrått med tillsynsmyndigheten i enlighet med artiklarna 33 och 34, |
|
|
j) underlåter att utse ett uppgiftsskyddsombud eller att skapa de förutsättningar som krävs för att utföra arbetsuppgifterna enligt artiklarna 35, 36 och 37, |
|
|
k) missbrukar en uppgiftsskyddsförsegling eller en uppgiftsskyddsmärkning i den mening som avses i artikel 39, |
|
|
l) verkställer eller ger instruktioner om en överföring av uppgifter till ett tredjeland eller en internationell organisation som inte är tillåten på grundval av ett beslut om adekvat skyddsnivå, lämpliga skyddsåtgärder eller ett undantag i enlighet med artiklarna 40–44, |
|
|
m) underlåter att hörsamma en order, ett tillfälligt eller permanent förbud mot behandling av uppgifter eller ett beslut om att avbryta av uppgiftsflödena som meddelats av tillsynsmyndigheten i enlighet med artikel 53.1, |
|
|
n) underlåter att uppfylla skyldigheten att bistå tillsynsmyndigheten eller lämna tillsynsmyndigheten svar, relevant information eller tillträde till lokaler i enlighet med artiklarna 28.3, 29, 34.6 och 53.2, |
|
|
o) underlåter att följa bestämmelserna om säkerställande av tystnadsplikt i artikel 84. |
|
|
7. Kommissionen ska ha befogenhet att anta delegerade akter i enlighet med artikel 86 i syfte att uppdatera de administrativa bötesbelopp som avses i punkterna 4, 5 och 6, med hänsyn till kriterierna i punkt 2. |
|
Ändringsförslag 181 Förslag till förordning Artikel 80 – punkt 1 | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Medlemsstaterna ska med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande besluta om undantag och avvikelser från bestämmelserna om allmänna principer i kapitel II, om den registrerades rättigheter i kapitel III, om registeransvariga och registerförare i kapitel IV, om överföring av personuppgifter till tredjeländer och internationella organisationer i kapitel V, om oberoende tillsynsmyndigheter i kapitel VI och om samarbete och enhetlighet i kapitel VII endast om sådana undantag eller avvikelser är nödvändiga för att förena rätten till integritet med reglerna om yttrandefrihet. |
1. Kapitel II (Allmänna principer), kapitel III (Den registrerades rättigheter), kapitel IV (Registeransvariga och registerförare), kapitel V (Överföring av personuppgifter till tredjeländer och internationella organisationer), kapitel VI (Oberoende tillsynsmyndigheter), kapitel VII (Samarbete och enhetlighet) samt artiklarna 73, 74, 76 och 79 i kapitel VIII (Rättsmedel, ansvar, påföljder och administrativa sanktioner) ska inte tillämpas på behandling av personuppgifter som sker för journalistiska ändamål eller konstnärligt eller litterärt skapande, för att rätten till integritet ska kunna förenas med reglerna om yttrandefrihet. |
Motivering | |
The new draft legislation on data protection takes the form of a regulation and thus is directly applicable. If data protection law applies directly, the freedom of the press exception must also be directly applicable. An implementation by Member States should not lower down the current level of protection. Furthermore, the exemption should be extended to Articles 73, 74,76 and 79 of Chapter VIII (on Remedies, Liabilities and Sanctions) because these Articles include new elements which go far beyond what is foreseen in the current directive and are not suitable for journalistic activities or pose a serious threat to press freedom. The word "solely" undermines legal certainty as it provides for a potentially significant loophole which undermines the provision set by this article. | |
Ändringsförslag 182 Förslag till förordning Artikel 80 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Varje medlemsstat ska senast den dag som anges i artikel 91.2 anmäla till kommissionen vilka nationella bestämmelser den har antagit i enlighet med bestämmelserna i punkt 1, och dessutom utan dröjsmål anmäla senare ändringslagstiftning eller ändringar som rör dessa bestämmelser. |
utgår |
Ändringsförslag 183 Förslag till förordning Artikel 80a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
Artikel 80a |
|
|
Behandling av personuppgifter och principen om allmänhetens tillgång till officiella handlingar |
|
|
Personuppgifter i handlingar som förvaras av en offentlig myndighet eller ett offentligt organ får lämnas ut av den myndigheten eller det organet i enlighet med medlemsstatens lagstiftning om allmänhetens tillgång till officiella handlingar, i vilken rätten till skydd av personuppgifter förenas med principen om allmänhetens tillgång till officiella handlingar. |
Motivering | |
Det är viktigt att se till att den demokratiska kontrollen av offentliga angelägenheter inte i onödan försvåras av bestämmelserna om skydd av personuppgifter. Så som framförts i yttranden från Europeiska datatillsynsmannen, artikel 29-gruppen och Europeiska unionens byrå för grundläggande rättigheter måste därför principen om allmänhetens tillgång till officiella handlingar garanteras i en artikel och inte enbart i ett skäl. | |
Ändringsförslag 184 Förslag till förordning Artikel 81 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 87 i syfte att ytterligare specificera andra skäl av allmänt intresse inom folkhälsoområdet enligt punkt 1 b, samt kriterier och krav för det skydd som ska finnas vid behandling av personuppgifter för de ändamål som anges i punkt 1. |
utgår |
Motivering | |
Den enda invändningen som vi för närvarande har mot denna artikel är delegeringen till kommissionen i punkt 3. Vi anser att de godtagbara gränserna för delegering av rättsakter överskrids i denna punkt. De frågor som avses bör följaktligen behandlas i själva förordningen, antingen nu eller i samband med eventuella senare reformer som kan bli nödvändiga för att förordningen ska vara effektiv i framtiden. | |
Ändringsförslag 185 Förslag till förordning Artikel 82 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och villkoren för de skyddsåtgärder som ska tillämpas vid behandling av personuppgifter för sådana ändamål som anges i punkt 1. |
utgår |
Motivering | |
Delegeringen till kommissionen i punkt 3 är för långtgående. De frågor som avses i punkten bör behandlas i förordningen. | |
Ändringsförslag 186 Förslag till förordning Artikel 83 – punkt 1 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
1. Inom ramen för denna förordning får personuppgifter behandlas för historiska, statistiska och vetenskapliga forskningsändamål endast under förutsättning att |
1. Inom ramen för denna förordning får personuppgifter behandlas för historiska, statistiska och vetenskapliga forskningsändamål samt preliminära officiella eller administrativa utredningar för att fastställa biologiskt föräldraskap endast under förutsättning att
|
Motivering | |
Detta ändringsförslag syftar till att underlätta utredningar avseende biologiskt föräldraskap, i fall av påstått bortrövande av barn. Vi föreslår ett tillägg i punkt 1 så att det klargörs att behandling i samband med sådana undersökningar är tillåten. | |
Ändringsförslag 187 Förslag till förordning Artikel 83 – punkt 1 – led a | |
|
Kommissionens förslag |
Ändringsförslag |
|
a) dessa ändamål inte kan uppfyllas på annat sätt genom behandling av uppgifter som inte medger eller inte längre medger identifiering av den registrerade, |
a) dessa ändamål inte rimligen kan uppnås genom behandling av uppgifter som inte medger eller inte längre medger identifiering av den registrerade, och |
Ändringsförslag 188 Förslag till förordning Artikel 83 – punkt 1 – led b | |
|
Kommissionens förslag |
Ändringsförslag |
|
b) uppgifter som gör det möjligt att hänföra information till en identifierad eller identifierbar registrerad person hålls åtskilda från övrig information så länge som dessa ändamål kan uppfyllas på det sättet. |
b) uppgifter som gör det möjligt att hänföra information till en identifierad eller identifierbar registrerad person hålls åtskilda från övrig information så länge som dessa ändamål kan uppfyllas på det sättet. |
|
|
Personuppgifter som behandlas inom ramen för en preliminär officiell eller administrativ utredning för att fastställa biologiskt föräldraskap ska lämnas ut endast till de berörda personerna, vid behov och när så är lämpligt, och utan att det påverkar eventuella lagstadgade straffrättsliga förfaranden. |
Motivering | |
Ett nytt stycke införs i punkt 1 för att fastställa lämpliga garantier för personuppgiftsskydd inom ramen för preliminära rättsliga eller administrativa utredningar för att fastställa biologiskt föräldraskap. Vi föreslår ett tillägg i punkt 1 så att dessa uppgifter lämnas ut endast när detta är tillåtet enligt lagstiftningen. | |
Ändringsförslag 189 Förslag till förordning Artikel 83 – punkt 2 – inledningen | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Organ som utför historisk, statistisk eller vetenskaplig forskning får publicera eller avslöja personuppgifter på annat sätt endast under förutsättning att |
2. Organ som utför historisk, statistisk, aggregerad eller vetenskaplig forskning får publicera eller avslöja personuppgifter på annat sätt endast under förutsättning att |
Ändringsförslag 190 Förslag till förordning Artikel 83 – punkt 2a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
2a. Ytterligare behandling av uppgifter för historiska, statistiska, aggregerade eller vetenskapliga forskningsändamål ska inte anses oförenlig med dessa ändamål enligt artikel 5 b förutsatt att behandlingen |
|
|
a) omfattas av villkoren och skyddsåtgärderna i denna artikel, och |
|
|
b) uppfyller alla övriga relevanta lagstiftningar. |
Motivering | |
Det föreliggande förslaget till artikel 83 förefaller tillåta behandling av vårduppgifter i identifierbar form för forskningsändamål utan någon hänvisning till samtycke. De enda skyddsåtgärderna (att uppgifter om identifierbara personer måste hållas åtskilda och att forskare får använda sådana uppgifter endast om forskningen inte kan genomföras med hjälp av uppgifter om icke-identifierbara personer) sänker skyddsnivån för vårduppgifter betydligt. Det finns risk för att det föreliggande förslaget ger forskare möjlighet att använda uppgifter om identifierbara personer utan deras samtycke. | |
Ändringsförslag 191 Förslag till förordning Artikel 83 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att ytterligare precisera kriterierna och kraven för behandling av personuppgifter för de ändamål som anges i punkterna 1 och 2 samt eventuella begränsningar av den registrerades rätt till information och tillgång, och att närmare beskriva villkoren och skyddet för den registrerades rättigheter under dessa förhållanden. |
utgår |
Ändringsförslag 192 Förslag till förordning Artikel 85 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Kyrkor och religiösa samfund som tillämpar övergripande bestämmelser i enlighet med punkt 1 ska se till att det finns en oberoende tillsynsmyndighet i enlighet med kapitel VI i denna förordning. |
2. Kyrkor och religiösa samfund som tillämpar övergripande bestämmelser i enlighet med punkt 1 ska se till att det finns en oberoende tillsynsmyndighet i enlighet med kapitel VI i denna förordning, alternativt erhålla den certifiering som är nödvändig för de förfaranden som krävs enligt artikel 39. |
Motivering | |
Kravet avseende tillsynsmyndigheten kan tillämpas parallellt med kravet på certifiering. Detta kan vara särskilt fördelaktigt för religiösa samfund som har begränsade ekonomiska resurser. | |
Ändringsförslag 193 Förslag till förordning Artikel 86 – punkt 2 | |
|
Kommissionens förslag |
Ändringsförslag |
|
2. Den delegering av befogenhet som avses i artiklarna 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 79.6, 81.3, 82.3 och 83.3 ska ges till kommissionen på obestämd tid från och med den dag då denna förordning träder i kraft. |
2. Den befogenhet att anta delegerade akter som avses i artiklarna 8.3, 9.3, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 81.3, 82.3 och 83.3 ska ges till kommissionen på obestämd tid från och med den dag då denna förordning träder i kraft. |
Ändringsförslag 194 Förslag till förordning Artikel 86 – punkt 3 | |
|
Kommissionens förslag |
Ändringsförslag |
|
3. Den delegering av befogenhet som avses i artiklarna 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 79.6, 81.3, 82.3 och 83.3 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft. |
3. Den delegering av befogenhet som avses i artiklarna 8.3, 9.3, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 81.3, 82.3 och 83.3 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter att det har offentliggjorts i Europeiska unionens officiella tidning, eller vid ett senare datum som anges i beslutet. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft. |
Ändringsförslag 195 Förslag till förordning Artikel 86 – punkt 5 | |
|
Kommissionens förslag |
Ändringsförslag |
|
5. En delegerad akt som antas enligt artikel 6.5, 8.3, 9.3, 12.5, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 30.3, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 79.6, 81.3, 82.3 eller 83.3 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med två månader på Europaparlamentets eller rådets initiativ. |
5. En delegerad akt som antas enligt artiklarna 8.3, 9.3, 14.7, 15.3, 17.9, 20.6, 22.4, 23.3, 26.5, 28.5, 31.5, 32.5, 33.6, 34.8, 35.11, 37.2, 39.2, 43.3, 44.7, 81.3, 82.3 eller 83.3 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med två månader på Europaparlamentets eller rådets initiativ. |
Ändringsförslag 196 Förslag till förordning Artikel 86 – punkt 5a (ny) | |
|
Kommissionens förslag |
Ändringsförslag |
|
|
5a. När kommissionen antar de akter som avses i denna artikel ska den främja teknikneutralitet. |
ÄRENDETS GÅNG
|
Titel |
Skydd för enskilda personer med avseende på behandling av personuppgifter, och det fria flödet av sådana uppgifter (allmän förordning om uppgiftskydd) |
||||
|
Referensnummer |
COM(2012)0011 – C7-0025/2012 – 2012/0011(COD) |
||||
|
Ansvarigt utskott Tillkännagivande i kammaren |
LIBE 16.2.2012 |
|
|
|
|
|
Yttrande från Tillkännagivande i kammaren |
JURI 14.6.2012 |
||||
|
Föredragande av yttrande Utnämning |
Marielle Gallo 14.6.2012 |
||||
|
Behandling i utskott |
10.7.2012 |
6.11.2012 |
21.2.2013 |
|
|
|
Antagande |
19.3.2013 |
|
|
|
|
|
Slutomröstning: resultat |
+: –: 0: |
14 6 4 |
|||
|
Slutomröstning: närvarande ledamöter |
Raffaele Baldassarre, Luigi Berlinguer, Sebastian Valentin Bodu, Françoise Castex, Christian Engström, Marielle Gallo, Lidia Joanna Geringer de Oedenberg, Sajjad Karim, Klaus-Heiner Lehne, Jiří Maštálka, Alajos Mészáros, Bernhard Rapkay, Evelyn Regner, Francesco Enrico Speroni, Rebecca Taylor, Alexandra Thein, Rainer Wieland, Cecilia Wikström, Zbigniew Ziobro, Tadeusz Zwiefka |
||||
|
Slutomröstning: närvarande suppleanter |
Piotr Borys, Eva Lichtenberger, Axel Voss |
||||
|
Slutomröstning: närvarande suppleanter (art. 187.2) |
Ricardo Cortés Lastra |
||||
ÄRENDETS GÅNG
|
Titel |
Skydd för enskilda personer med avseende på behandling av personuppgifter, och det fria flödet av sådana uppgifter (allmän förordning om uppgiftsskydd) |
||||
|
Referensnummer |
COM(2012)0011 – C7-0025/2012 – 2012/0011(COD) |
||||
|
Framläggande för parlamentet |
25.1.2012 |
|
|
|
|
|
Ansvarigt utskott Tillkännagivande i kammaren |
LIBE 16.2.2012 |
|
|
|
|
|
Rådgivande utskott Tillkännagivande i kammaren |
ECON 16.2.2012 |
EMPL 24.5.2012 |
ITRE 16.2.2012 |
IMCO 16.2.2012 |
|
|
|
JURI 14.6.2012 |
|
|
|
|
|
Inget yttrande avges Beslut |
ECON 13.2.2012 |
|
|
|
|
|
Föredragande Utnämning |
Jan Philipp Albrecht 12.4.2012 |
|
|
|
|
|
Behandling i utskott |
27.2.2012 |
31.5.2012 |
9.7.2012 |
19.9.2012 |
|
|
|
5.11.2012 |
10.1.2013 |
21.1.2013 |
20.3.2013 |
|
|
|
6.5.2013 |
21.10.2013 |
|
|
|
|
Antagande |
21.10.2013 |
|
|
|
|
|
Slutomröstning: resultat |
+: –: 0: |
48 1 3 |
|||
|
Slutomröstning: närvarande ledamöter |
Jan Philipp Albrecht, Edit Bauer, Rita Borsellino, Emine Bozkurt, Arkadiusz Tomasz Bratkowski, Salvatore Caronna, Philip Claeys, Carlos Coelho, Agustín Díaz de Mera García Consuegra, Ioan Enciu, Frank Engel, Cornelia Ernst, Tanja Fajon, Kinga Gál, Kinga Göncz, Sylvie Guillaume, Salvatore Iacolino, Sophia in ‘t Veld, Teresa Jiménez-Becerril Barrio, Juan Fernando López Aguilar, Baroness Sarah Ludford, Monica Luisa Macovei, Clemente Mastella, Véronique Mathieu Houillon, Anthea McIntyre, Nuno Melo, Roberta Metsola, Louis Michel, Claude Moraes, Georgios Papanikolaou, Carmen Romero López, Judith Sargentini, Birgit Sippel, Wim van de Camp, Axel Voss, Josef Weidenholzer, Cecilia Wikström, Tatjana Ždanoka, Auke Zijlstra |
||||
|
Slutomröstning: närvarande suppleanter |
Alexander Alvaro, Silvia Costa, Dimitrios Droutsas, Evelyne Gebhardt, Monika Hohlmeier, Jan Mulder, Raül Romeva i Rueda, Carl Schlyter, Marco Scurria |
||||
|
Slutomröstning: närvarande suppleanter (art. 187.2) |
Jean-Pierre Audy, Pilar Ayuso, Miloslav Ransdorf, Britta Reimers, Kay Swinburne, Rafał Trzaskowski, Pablo Zalba Bidegain |
||||
|
Ingivande |
22.11.2013 |
||||