BETÆNKNING om forslag til Europa-Parlamentets og Rådets direktiv om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger

22.11.2013 - (COM(2012)0010 – C7‑0024/2012 – 2012/0010(COD)) - ***I

Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender
Ordfører: Dimitrios Droutsas


Procedure : 2012/0010(COD)
Forløb i plenarforsamlingen
Dokumentforløb :  
A7-0403/2013
Indgivne tekster :
A7-0403/2013
Vedtagne tekster :

FORSLAG TIL EUROPA-PARLAMENTETS LOVGIVNINGSMÆSSIGE BESLUTNING

om forslag til Europa-Parlamentets og Rådets direktiv om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger

(COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))

(Almindelig lovgivningsprocedure: førstebehandling)

Europa-Parlamentet,

–   der henviser til Kommissionens forslag til Europa-Parlamentet og Rådet (COM(2012)0010),

–   der henviser til artikel 294, stk. 2, og artikel 16, stk. 2, i traktaten om Den Europæiske Unions funktionsmåde, på grundlag af hvilke Kommissionen har forelagt forslaget for Parlamentet (C7-0024/2012),

–   der henviser til artikel 294, stk. 3, i Traktaten om Den Europæiske Unions funktionsmåde,

–   der henviser til de forelagte begrundede udtalelser inden for rammerne af protokol nr. 2 om anvendelse af nærhedsprincippet og proportionalitetsprincippet fra den svenske rigsdag og det tyske forbundsråd, som hævder, at udkastet til lovgivningsmæssig retsakt ikke overholder nærhedsprincippet,

–   der henviser til udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse af 7. marts 2012,

–   der henviser til udtalelse fra Den Europæiske Unions Agentur for Grundlæggende Rettigheder af 1. oktober 2012,

–   der henviser til forretningsordenens artikel 55,

–   der henviser til betænkning fra Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender og udtalelse fra Retsudvalget (A7-0403/2013),

1.  vedtager nedenstående holdning ved førstebehandling;

2.  anmoder om fornyet forelæggelse for Parlamentet, hvis Kommissionen agter at ændre sit forslag væsentligt eller erstatte det med en anden tekst;

3.  pålægger sin formand om at sende Parlamentets holdning til Rådet, Kommissionen og de nationale parlamenter.

Ændringsforslag  1

Forslag til direktiv

Betragtning 1

Kommissionens forslag

Ændringsforslag

(1) Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde fastsættes det, at enhver har ret til beskyttelse af personoplysninger om vedkommende selv.

(1) Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde fastsættes det, at enhver har ret til beskyttelse af personoplysninger om vedkommende selv. I artikel 8, stk. 2, i Den Europæiske Unions charter om grundlæggende rettigheder bestemmes det, at sådanne oplysninger skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag.

Ændringsforslag  2

Forslag til direktiv

Betragtning 4

Kommissionens forslag

Ændringsforslag

(4) Det er i denne forbindelse nødvendigt at lette den frie udveksling af oplysninger mellem kompetente myndigheder i EU og videregivelsen af oplysninger til tredjelande og internationale organisationer, samtidig med at der sikres et højt niveau for beskyttelse af personoplysninger. Denne udvikling kræver, at der opbygges en stærk og mere sammenhængende databeskyttelsesramme i EU, som understøttes af en effektiv håndhævelse.

(4) Hvor det er påkrævet og rimeligt, er det i denne forbindelse nødvendigt at lette den frie udveksling af oplysninger mellem kompetente myndigheder i EU og videregivelsen af oplysninger til tredjelande og internationale organisationer, samtidig med at der sikres et højt niveau for beskyttelse af personoplysninger. Denne udvikling kræver, at der opbygges en stærk og mere sammenhængende databeskyttelsesramme i EU, som understøttes af en effektiv håndhævelse.

Ændringsforslag  3

Forslag til direktiv

Betragtning 7

Kommissionens forslag

Ændringsforslag

(7) Det er vigtigt at sikre et ensartet og højt niveau for beskyttelse af fysiske personers personoplysninger og gøre det lettere at udveksle personoplysninger mellem medlemsstaternes kompetente myndigheder for at sikre et effektivt retligt samarbejde i straffesager og politisamarbejde. Med det formål skal niveauet for beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner være det samme i alle medlemsstater. For at sikre en effektiv beskyttelse af personoplysninger i Unionen er det nødvendigt at styrke de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler personoplysninger, men der skal også gives tilsvarende beføjelser til at kontrollere og sikre overholdelsen af reglerne om beskyttelse af personoplysninger i medlemsstaterne.

(7) Det er vigtigt at sikre et ensartet og højt niveau for beskyttelse af fysiske personers personoplysninger og gøre det lettere at udveksle personoplysninger mellem medlemsstaternes kompetente myndigheder for at sikre et effektivt retligt samarbejde i straffesager og politisamarbejde. Med det formål skal niveauet for beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner være det samme i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet i hele Unionen. For at sikre en effektiv beskyttelse af personoplysninger i Unionen er det nødvendigt at styrke de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler personoplysninger, men der skal også gives tilsvarende beføjelser til at kontrollere og sikre overholdelsen af reglerne om beskyttelse af personoplysninger i medlemsstaterne.

Ændringsforslag  4

Forslag til direktiv

Betragtning 8

Kommissionens forslag

Ændringsforslag

(8) Artikel 16, stk. 2, i traktaten om Den Europæiske Unions funktionsmåde giver Europa-Parlamentet og Rådet beføjelse til at fastsætte regler for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler for den frie udveksling af personoplysninger.

(8) Artikel 16, stk. 2, i traktaten om Den Europæiske Unions funktionsmåde giver Europa-Parlamentet og Rådet beføjelse til at fastsætte regler for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler for den frie udveksling af deres personoplysninger og deres ret til privatlivets fred

Ændringsforslag  5

Forslag til direktiv

Betragtning 11

Kommissionens forslag

Ændringsforslag

(11) Der bør således vedtages et særskilt direktiv, hvori der tages højde for disse områders specifikke karakter og fastsættes regler for beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner.

(11) Der bør således vedtages et specifikt direktiv, hvori der tages højde for disse områders specifikke karakter og fastsættes regler for beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner.

Ændringsforslag  6

Forslag til direktiv

Betragtning 15

Kommissionens forslag

Ændringsforslag

(15) Beskyttelsen af fysiske personer bør være teknologineutral og må ikke afhænge af de anvendte teknikker, da der ellers vil være alvorlig risiko for omgåelse. Beskyttelsen af fysiske personer bør gælde for både automatisk og manuel behandling af personoplysninger, hvis oplysningerne er indeholdt eller påtænkes indeholdt i et register. Sagsmapper eller samlinger af sagsmapper eller deres forsider, som ikke er struktureret efter bestemte kriterier, henhører ikke under dette direktivs anvendelsesområde. Dette direktiv bør ikke finde anvendelse på behandlingen af personoplysninger i forbindelse med en aktivitet, der falder uden for EU-rettens anvendelsesområde, særlig vedrørende national sikkerhed, eller på data, der behandles af EU-institutioner, -organer, -kontorer og -agenturer såsom Europol eller Eurojust.

(15) Beskyttelsen af fysiske personer bør være teknologineutral og må ikke afhænge af de anvendte teknikker, da der ellers vil være alvorlig risiko for omgåelse. Beskyttelsen af fysiske personer bør gælde for både automatisk og manuel behandling af personoplysninger, hvis oplysningerne er indeholdt eller påtænkes indeholdt i et register. Sagsmapper eller samlinger af sagsmapper eller deres forsider, som ikke er struktureret efter bestemte kriterier, henhører ikke under dette direktivs anvendelsesområde. Dette direktiv bør ikke finde anvendelse på behandlingen af personoplysninger i forbindelse med en aktivitet, der falder uden for EU-rettens anvendelsesområde. Europa-Parlamentets og Rådets forordning (EF) nr. 45/20011 og de særlige retsakter, som gælder for Unionens agenturer, organer og kontorer skal bringes i overensstemmelse med dette direktiv og anvendes i overensstemmelse med dette direktiv.

 

___________________

 

1 Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).

Ændringsforslag  7

Forslag til direktiv

Betragtning 16

Kommissionens forslag

Ændringsforslag

(16) Principperne om databeskyttelse bør gælde for alle former for oplysninger om en identificeret eller identificerbar fysisk person. For at afgøre, om en fysisk person er identificerbar, bør alle de hjælpemidler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den registeransvarlige eller af enhver anden person. Beskyttelsesprincipperne bør ikke gælde oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres.

(16) Principperne om databeskyttelse bør gælde for alle former for oplysninger om en identificeret eller identificerbar fysisk person. For at afgøre, om en fysisk person er identificerbar, bør alle de hjælpemidler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere eller udpege den pågældende enten af den registeransvarlige eller af enhver anden person. Beskyttelsesprincipperne bør ikke gælde oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres. Dette direktiv bør ikke finde anvendelse på anonyme oplysninger, dvs. oplysninger, der ikke direkte, indirekte, alene eller i forbindelse med lignende oplysninger kan forbindes med en fysisk person. Som følge af omfanget af de udviklingstendenser, der er på vej inden for informationssamfundet, teknikkerne, der anvendes til at indfange, transmittere, registrere, lagre eller formidle positionsdata vedrørende fysiske personer, som kan anvendes til forskellige formål som f.eks. overvågning eller oprettelse af profiler, finder dette direktiv også anvendelse på behandling af sådanne personoplysninger.

Ændringsforslag  8

Forslag til direktiv

Betragtning 16 a (ny)

Kommissionens forslag

Ændringsforslag

 

(16a) Enhver behandling af personoplysninger bør udføres lovligt, loyalt og gennemskueligt i forhold til de berørte personer. De specifikke formål med behandlingen af oplysningerne bør navnlig være udtrykkelige og legitime og fremgå, når personoplysningerne indsamles. Personoplysningerne bør være passende, relevante og begrænset til det minimum, der er nødvendigt til formålene med behandlingen af personoplysningerne. Dette kræver navnlig, at man begrænser de indsamlede oplysninger, og at perioden for opbevaring af oplysningerne begrænses til det kortest mulige. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke kan opfyldes på anden måde. Der bør træffes enhver rimelig foranstaltning for at sikre, at personoplysninger, som er urigtige, berigtiges eller slettes. For at sikre, at oplysningerne ikke opbevares i længere tid end nødvendigt, bør den registeransvarlige indføre tidsfrister for sletning eller periodisk gennemgang.

Ændringsforslag  9

Forslag til direktiv

Betragtning 18

Kommissionens forslag

Ændringsforslag

(18) Enhver behandling af personoplysninger skal være rimelig og lovlig i forhold til de berørte personer. De specifikke formål med behandlingen af oplysningerne bør navnlig være eksplicitte.

udgår

Ændringsforslag  10

Forslag til direktiv

Betragtning 19

Kommissionens forslag

Ændringsforslag

(19) Med henblik på forebyggelse, efterforskning og retsforfølgning af straffelovovertrædelser er det nødvendigt, at de kompetente myndigheder gemmer personoplysninger, der er indsamlet i forbindelse med forebyggelse, efterforskning, opdagelse eller retsforfølgning af specifikke straffelovsovertrædelser, og behandler dem i en bredere kontekst for derved at få en forståelse af kriminelle fænomener og tendenser, at indsamle efterretningsoplysninger om organiserede kriminelle netværk og at sammenkoble forskellige opdagede overtrædelser.

udgår

Ændringsforslag  11

Forslag til direktiv

Betragtning 20

Kommissionens forslag

Ændringsforslag

(20) Personoplysningerne bør ikke behandles til formål, der er uforenelige med det formål, hvortil de blev indsamlet. Personoplysninger bør være hensigtsmæssige, relevante og ikke for omfattende i forhold til de formål, hvortil de behandles. Der bør træffes enhver rimelig foranstaltning for at sikre, at personoplysninger, som er urigtige, berigtiges eller slettes.

udgår

Ændringsforslag  12

Forslag til direktiv

Betragtning 20 a (ny)

Kommissionens forslag

Ændringsforslag

 

(20a) Det simple faktum, at to formål begge har relation til at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, betyder ikke nødvendigvis, at de er forenelige. Der er dog tilfælde, hvor yderligere behandling til formål, der er uforenelige, bør være mulig, hvis det er nødvendigt for at opfylde en retlig forpligtelse, der påhviler den registeransvarlige, for at beskytte den registreredes eller en anden persons vitale interesser eller for at afværge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed. Medlemsstaterne bør derfor kunne vedtage nationale love, der giver mulighed for sådanne undtagelser i det omfang, det er strengt nødvendigt. Sådanne nationale love bør indeholde tilstrækkelige sikkerhedsforanstaltninger.

Ændringsforslag  13

Forslag til direktiv

Betragtning 22

Kommissionens forslag

Ændringsforslag

(22) Ved fortolkningen og anvendelsen af de generelle principper for kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner bør der tages højde for de særlige forhold i denne sektor, herunder de specifikke mål, der forfølges.

udgår

Ændringsforslag  14

Forslag til direktiv

Betragtning 23

Kommissionens forslag

Ændringsforslag

(23) Behandling af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde indebærer i sagens natur behandling af personoplysninger om forskellige kategorier af registrerede. Der bør således så vidt muligt sondres klart mellem personoplysninger om forskellige kategorier af registrerede såsom mistænkte, personer, der er dømt for en straffelovsovertrædelse, ofre eller tredjeparter som f.eks. vidner, personer, der ligger inde med relevante oplysninger, eller mistænktes og dømte kriminelles kontaktpersoner og associerede.

(23) Behandling af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde indebærer i sagens natur behandling af personoplysninger om forskellige kategorier af registrerede. Der bør således så vidt muligt sondres klart mellem personoplysninger om forskellige kategorier af registrerede såsom mistænkte, personer, der er dømt for en straffelovsovertrædelse, ofre eller tredjeparter som f.eks. vidner, personer, der ligger inde med relevante oplysninger, eller mistænktes og dømte kriminelles kontaktpersoner og associerede. Medlemsstaterne bør tilvejebringe specifikke regler for konsekvenserne af denne kategorisering og derved tage hensyn til de forskellige målsætninger, som der indsamles oplysninger til, og sørge for specifikke sikkerhedsforanstaltninger for personer, der ikke er mistænkte eller ikke er dømt for en straffelovsovertrædelse.

Ændringsforslag  15

Forslag til direktiv

Betragtning 25

Kommissionens forslag

Ændringsforslag

(25) For at være lovlig bør en behandling af personoplysninger være nødvendig for at overholde en retlig forpligtelse, som gælder for den registeransvarlige, eller nødvendig af hensyn til en kompetent myndigheds lovbestemte udførelse af en opgave i samfundets interesse eller for at beskytte den registreredes eller en anden persons vitale interesser eller forebygge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed.

(25) For at være lovlig bør en behandling af personoplysninger kun være tilladt, når den er nødvendig for at overholde en retlig forpligtelse, som gælder for den registeransvarlige, eller nødvendig af hensyn til en kompetent myndigheds udførelse af en opgave i samfundets interesse i henhold til EU-retten eller national lovgivning, der som minimum skal indeholde udtrykkelige og detaljerede bestemmelser vedrørende formål, personoplysninger, de specifikke formål og midler, udpege eller give mulighed for at udpege den registeransvarlige, de procedurer, der skal føles og begrænsninger af eventuelle beføjelser, som overdrages til de kompetente myndigheder i forbindelse med behandlingen.

Ændringsforslag  16

Forslag til direktiv

Betragtning 25 a (ny)

Kommissionens forslag

Ændringsforslag

 

(25a) Personoplysningerne bør ikke behandles til formål, der er uforenelige med det formål, hvortil de blev indsamlet. Yderligere behandling foretaget af de kompetente myndigheder med et formål, der falder inden for dette direktivs anvendelsesområde, bør kun tillades i specifikke tilfælde, hvor denne behandling er nødvendig for at overholde en retlig forpligtelse i henhold til EU-retten eller den nationale lovgivning, som gælder for den registeransvarlige, eller for at beskytte den registreredes eller en anden persons vitale interesser eller forebygge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed. Det forhold, at oplysningerne behandles med henblik på retshåndhævelse indebærer ikke nødvendigvis, at dette formål er foreneligt med det oprindelige formål. Princippet om forenelig anvendelse skal fortolkes restriktivt.

Ændringsforslag  17

Forslag til direktiv

Betragtning 25 b (ny)

Kommissionens forslag

Ændringsforslag

 

(25b) Personoplysninger, der behandles i strid med de nationale bestemmelser, der er vedtaget i henhold til dette direktiv, må ikke længere behandles.

Ændringsforslag  18

Forslag til direktiv

Betragtning 26

Kommissionens forslag

Ændringsforslag

(26) Personoplysninger, der i kraft af deres karakter er særligt følsomme i forbindelse med grundlæggende rettigheder eller beskyttelse af privatlivets fred, herunder genetiske data, bør nyde særlig beskyttelse. Sådanne oplysninger må ikke behandles, medmindre behandlingen er fastsat i lovgivningen, som indeholder passende bestemmelser til beskyttelse af den registreredes legitime interesser, eller behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser eller vedrører oplysninger, som tydeligvis offentliggøres af den registrerede.

(26) Personoplysninger, der i kraft af deres karakter er særligt følsomme og sårbare i forbindelse med grundlæggende rettigheder eller beskyttelse af privatlivets fred, bør nyde særlig beskyttelse. Sådanne oplysninger må ikke behandles, medmindre behandlingen er nødvendig med henblik på udførelsen af en opgave, der udføres i almen interesse, på grundlag af EU-retten eller den nationale lovgivning, som indeholder passende bestemmelser til beskyttelse af den registreredes legitime interesser eller behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser eller vedrører oplysninger, som tydeligvis offentliggøres af den registrerede. Følsomme personoplysninger bør kun behandles, hvis de supplerer andre personoplysninger, der allerede behandles som led i en politiefterforskning. Enhver undtagelse fra forbuddet mod behandling af følsomme oplysninger bør fortolkes restriktivt og må ikke føre til hyppig, omfattende og systematisk behandling af følsomme personoplysninger.

Ændringsforslag  19

Forslag til direktiv

Betragtning 26 a (ny)

Kommissionens forslag

Ændringsforslag

 

(26a) Behandlingen af genetiske oplysninger bør kun være tilladt, hvis der findes en genetisk sammenhæng, der viser sig i forbindelse med efterforskningen af en forbrydelse eller med en retssag. Genetiske oplysninger bør kun opbevares, så længe det er strengt nødvendigt til brug for disse undersøgelser og retssager, men medlemsstaterne kan give tilladelse til opbevaring i en længere periode på de betingelser, der opstilles i dette direktiv.

Ændringsforslag  20

Forslag til direktiv

Betragtning 27

Kommissionens forslag

Ændringsforslag

(27) Enhver fysisk person bør have ret til ikke at blive gjort til genstand for en foranstaltning, der er baseret udelukkende på automatisk databehandling, der har negative retlige virkninger for den pågældende, medmindre dette er tilladt ved lov og omfattet af passende foranstaltninger til beskyttelse af den registreredes legitime interesser.

(27) Enhver fysisk person bør have ret til ikke at blive gjort til genstand for en foranstaltning, der er baseret på delvis eller fuldstændig profilering ved hjælp af automatisk databehandling. En sådan behandling, der har retlige virkninger eller alvorlige konsekvenser for den pågældende, bør forbydes, medmindre dette er tilladt ved lov og omfattet af passende foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og legitime interesser, herunder retten til at få udleveret relevante oplysninger om den logik, der er anvendt i forbindelse med profileringen. En sådan behandling bør under ingen omstændigheder indeholde, skabe eller diskriminere på baggrund af særlige kategorier af oplysninger.

Ændringsforslag  21

Forslag til direktiv

Betragtning 28

Kommissionens forslag

Ændringsforslag

(28) For at den registrerede kan udøve sine rettigheder, bør alle oplysninger om den registrerede være nemt tilgængelige og letforståelige, bl.a. at der benyttes et klart og forståeligt sprog.

(28) For at den registrerede kan udøve sine rettigheder, bør alle oplysninger om den registrerede være nemt tilgængelige og letforståelige, bl.a. at der benyttes et klart og forståeligt sprog. Disse oplysninger bør tilpasses den registreredes behov, navnlig når oplysningerne er specifikt rettet mod et barn.

Ændringsforslag  22

Forslag til direktiv

Betragtning 29

Kommissionens forslag

Ændringsforslag

(29) Der bør fastsættes nærmere bestemmelser, som kan lette de registreredes udøvelse af deres rettigheder i henhold til dette direktiv, herunder systemer til uden udgifter at anmode om indsigt i eller berigtigelse og sletning af personoplysninger. Den registeransvarlige bør være forpligtet til at besvare sådanne anmodninger fra den registrerede uden unødig forsinkelse.

(29) Der bør fastsættes nærmere bestemmelser, som kan lette de registreredes udøvelse af deres rettigheder i henhold til dette direktiv, herunder systemer til uden udgifter at anmode om indsigt i eller berigtigelse og sletning af personoplysninger. Den registeransvarlige bør være forpligtet til at besvare sådanne anmodninger fra den registrerede uden unødig forsinkelse og senest en måned efter modtagelsen af anmodningen. Såfremt personoplysninger behandles automatisk, skal den registeransvarlige gøre det muligt at fremsætte anmodninger elektronisk.

Ændringsforslag  23

Forslag til direktiv

Betragtning 30

Kommissionens forslag

Ændringsforslag

(30) I henhold til princippet om rimelig behandling skal den registrerede navnlig informeres om en behandlings eksistens og dens formål, hvor længe oplysningerne opbevares, hvorvidt der gives ret til at få indsigt i og foretage berigtigelse og sletning af oplysninger, og om retten til at indgive klage. Hvis oplysningerne indsamles hos den registrerede, bør den registrerede også oplyses om, hvorvidt vedkommende er forpligtet til at afgive sådanne oplysninger, og om konsekvenserne, hvis vedkommende ikke afgiver sådanne oplysninger.

(30) I henhold til princippet om rimelig og gennemskuelig behandling skal den registrerede navnlig informeres om en behandlings eksistens og dens formål, dens retsgrundlag, hvor længe oplysningerne opbevares, hvorvidt der gives ret til at få indsigt i og foretage berigtigelse og sletning af oplysninger, og om retten til at indgive klage. Desuden bør den registrerede underrettes om en eventuel profilering, og om de tilsigtede konsekvenser. Hvis oplysningerne indsamles hos den registrerede, bør den registrerede også oplyses om, hvorvidt vedkommende er forpligtet til at afgive sådanne oplysninger, og om konsekvenserne, hvis vedkommende ikke afgiver sådanne oplysninger.

Ændringsforslag  24

Forslag til direktiv

Betragtning 32

Kommissionens forslag

Ændringsforslag

(32) Enhver bør have ret til indsigt i oplysninger, der er indsamlet om den pågældende, og til let at udøve denne ret med henblik på at forvisse sig om oplysningernes eksistens og behandlingens lovlighed. Enhver registreret bør derfor navnlig have ret til at kende og blive underrettet om det formål, hvortil oplysningerne behandles, hvor lang tid de gemmes, og hvem modtagerne af oplysningerne er, herunder tredjelande. Registrerede bør have ret til at få en kopi af de personoplysninger, der behandles.

(32) Enhver bør have ret til indsigt i oplysninger, der er indsamlet om den pågældende, og til let at udøve denne ret med henblik på at forvisse sig om oplysningernes eksistens og behandlingens lovlighed. Enhver registreret bør derfor navnlig have ret til at kende og blive underrettet om det formål, hvortil oplysningerne behandles, retsgrundlaget, hvor lang tid de gemmes, og hvem modtagerne af oplysningerne er, herunder tredjelande, samt til at få tilstillet forståelige oplysninger om den logik, der anvendes i forbindelse med automatisk behandling, og i givet fald om de væsentligste tilsigtede konsekvenser samt om retten til at indgive en klage til tilsynsmyndigheden og dennes kontaktoplysninger. Registrerede bør have ret til at få en kopi af de personoplysninger, der behandles.

Ændringsforslag  25

Forslag til direktiv

Betragtning 33

Kommissionens forslag

Ændringsforslag

(33) Medlemsstaterne bør have beføjelse til at træffe lovgivningsmæssige foranstaltninger, der udsætter eller begrænser informeringen af de registrerede eller deres ret til indsigt i oplysningerne, eller forhindrer dem i at blive informeret eller få indsigt i oplysningerne, i det omfang en sådan delvis eller fuldstændig begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den pågældende persons legitime interesser, for at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, for at undgå, at forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af straffelovsovertrædelser skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner, for at beskytte den offentlige sikkerhed eller den nationale sikkerhed eller for at beskytte den registreredes interesser eller andres rettigheder og frihedsrettigheder.

(33) Medlemsstaterne bør have beføjelse til at træffe lovgivningsmæssige foranstaltninger, der udsætter eller begrænser informeringen af de registrerede eller deres ret til indsigt i oplysningerne, i det omfang en sådan delvis eller fuldstændig begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den pågældende persons grundlæggende rettigheder og legitime interesser, for at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, for at undgå, at forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af straffelovsovertrædelser skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner, for at beskytte den offentlige sikkerhed eller den nationale sikkerhed eller for at beskytte den registreredes interesser eller andres rettigheder og frihedsrettigheder. Den registeransvarlige bør gennem en konkret og individuel undersøgelse af de enkelte tilfælde vurdere, hvorvidt der bør foretages en delvis eller fuldstændig begrænsning af retten til adgang.

Ændringsforslag  26

Forslag til direktiv

Betragtning 34 a (ny)

Kommissionens forslag

Ændringsforslag

 

(34a) Enhver begrænsning af den registreredes rettigheder skal være i overensstemmelse med Den Europæiske Unions charter om grundlæggende rettigheder og med den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder som præciseret i retspraksis ved Den Europæiske Unions Domstol og Den Europæiske Menneskerettighedsdomstol og navnlig respekten for ånden i rettighederne og frihedsrettighederne.

Ændringsforslag  27

Forslag til direktiv

Betragtning 35

Kommissionens forslag

Ændringsforslag

(35) Når medlemsstaterne har truffet lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser retten til indsigt i personoplysninger, bør den registrerede have ret til at anmode om, at den kompetente nationale tilsynsmyndighed kontrollerer, at behandlingen af oplysningerne er lovlig. Den registrerede skal oplyses om denne rettighed. Hvis retten til indsigt udøves af tilsynsmyndigheden på vegne af den registrerede, bør den pågældende tilsynsmyndighed som minimum underrette den registrerede om, at tilsynsmyndigheden har foretaget den nødvendige kontrol, og om hvorvidt den pågældende behandling er lovlig.

(35) Når medlemsstaterne har truffet lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser retten til indsigt i personoplysninger, bør den registrerede have ret til at anmode om, at den kompetente nationale tilsynsmyndighed kontrollerer, at behandlingen af oplysningerne er lovlig. Den registrerede skal oplyses om denne rettighed. Hvis retten til indsigt udøves af tilsynsmyndigheden på vegne af den registrerede, bør den pågældende tilsynsmyndighed som minimum underrette den registrerede om, at tilsynsmyndigheden har foretaget den nødvendige kontrol, og om hvorvidt den pågældende behandling er lovlig. Tilsynsmyndigheden bør også oplyse den registrerede om retten til domstolsprøvelse.

Ændringsforslag  28

Forslag til direktiv

Betragtning 36

Kommissionens forslag

Ændringsforslag

(36) Enhver person bør have ret til at få berigtiget urigtige personoplysninger og til at få slettet oplysninger, hvis behandlingen af sådanne oplysninger ikke er i overensstemmelse med hovedprincipperne i dette direktiv. Når personoplysningerne behandles under en strafferetlig efterforskning og straffesag kan retten til berigtigelse, retten til information, retten til indsigt i eller sletning af oplysningerne eller begrænsning af behandlingen heraf foretages i henhold til de nationale retsplejeregler.

(36) Enhver person bør have ret til at få berigtiget urigtige eller ulovligt behandlede personoplysninger og til at få slettet oplysninger, hvis behandlingen af sådanne oplysninger ikke er i overensstemmelse med bestemmelserne i dette direktiv. En sådan berigtigelse, supplering eller sletning skal meddeles modtagerne af oplysningerne og tredjemand, hvorfra de urigtige oplysninger stammer. Den registeransvarlige skal også afstå fra yderligere videregivelse af sådanne oplysninger. Når personoplysningerne behandles under en strafferetlig efterforskning og straffesag kan retten til berigtigelse, retten til information, retten til indsigt i eller sletning af oplysningerne eller begrænsning af behandlingen heraf foretages i henhold til de nationale retsplejeregler.

Ændringsforslag  29

Forslag til direktiv

Betragtning 37

Kommissionens forslag

Ændringsforslag

(37) Der bør fastsættes bestemmelser om den registeransvarliges overordnede ansvar, herunder erstatningsansvar, for den behandling af personoplysninger, der foretages af den registeransvarlige eller på vegne af den registeransvarlige. Den registeransvarlige bør navnlig sikre, at behandlingen er i overensstemmelse de bestemmelser, der vedtages til gennemførelse af dette direktiv.

(37) Der bør fastsættes bestemmelser om den registeransvarliges overordnede ansvar, herunder erstatningsansvar, for den behandling af personoplysninger, der foretages af den registeransvarlige eller på vegne af den registeransvarlige. Den registeransvarlige bør navnlig sikre og være forpligtet til at kunne dokumentere, at den enkelte behandling er i overensstemmelse de bestemmelser, der vedtages til gennemførelse af dette direktiv.

Ændringsforslag  30

Forslag til direktiv

Betragtning 39

Kommissionens forslag

Ændringsforslag

(39) Beskyttelsen af registreredes rettigheder og frihedsrettigheder samt registeransvarliges og registerføreres ansvar kræver en klar fordeling af ansvarsområderne under dette direktiv, herunder når en registeransvarlig afgør, til hvilket formål, på hvilke betingelser og med hvilke hjælpemidler der må foretages behandling af personoplysninger sammen med andre registeransvarlige, eller når en behandling foretages på vegne af en registeransvarlig.

(39) Beskyttelsen af registreredes rettigheder og frihedsrettigheder samt registeransvarliges og registerføreres ansvar kræver en klar fordeling af ansvarsområderne under dette direktiv, herunder når en registeransvarlig afgør, til hvilket formål, på hvilke betingelser og med hvilke hjælpemidler der må foretages behandling af personoplysninger sammen med andre registeransvarlige, eller når en behandling foretages på vegne af en registeransvarlig. Den registrerede bør have ret til at udøve sine rettigheder i henhold til dette direktiv over for og i forhold til hver af de fælles registeransvarlige.

Ændringsforslag  31

Forslag til direktiv

Betragtning 40 a (ny)

Kommissionens forslag

Ændringsforslag

 

(40a) Alle operationer med behandling af personoplysninger skal registreres for at det kan kontrolleres, om behandlingen er lovlig, samt med henblik på at udøve egenkontrol og sikre dataenes integritet og sikkerhed. Disse registreringsoplysninger skal kunne rekvireres af tilsynsmyndigheden med henblik på kontrol med overholdelsen af kravene i dette direktiv.

Ændringsforslag  32

Forslag til direktiv

Betragtning 40 b (ny)

Kommissionens forslag

Ændringsforslag

 

(40b) Den tilsynsførende eller den registeransvarlige skal foretage en konsekvensanalyse af databeskyttelsen, hvis behandlingen af personoplysninger sandsynligvis vil indebære specifikke risici for den registreredes rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål, som navnlig skal omfatte de planlagte foranstaltninger, sikkerhedsforanstaltninger og mekanismer til beskyttelse af personoplysninger samt til dokumentation af overholdelsen af dette direktiv. Konsekvensanalyserne skal vedrøre relevante systemer og processer i forbindelse med behandling af personoplysninger, men ikke enkeltsager.

Ændringsforslag  33

Forslag til direktiv

Betragtning 41

Kommissionens forslag

Ændringsforslag

(41) For at sikre en effektiv beskyttelse af de registreredes rettigheder og frihedsrettigheder ved hjælp af forebyggende foranstaltninger bør den registeransvarlige eller registerføreren i visse tilfælde høre tilsynsmyndigheden inden behandlingen.

(41) For at sikre en effektiv beskyttelse af de registreredes rettigheder og frihedsrettigheder ved hjælp af forebyggende foranstaltninger bør den registeransvarlige eller registerføreren i visse tilfælde høre tilsynsmyndigheden inden behandlingen. Hvis en konsekvensanalyse vedrørende databeskyttelse desuden viser, at behandlingen efter al sandsynlighed vil involvere en høj grad af specifikke risici for registreredes rettigheder og frihedsrettigheder, bør tilsynsmyndigheden inden iværksættelse af behandlingsaktiviteter kunne forhindre en risikobehæftet behandling, der ikke er i overensstemmelse med dette direktiv, og fremsætte forslag til afhjælpning af en sådan situation. En sådan høring kan ligeledes gennemføres som led i udarbejdelsen af en lovgivningsmæssig foranstaltning, der vedtages af det nationale parlament, eller af en anden foranstaltning med hjemmel i en sådan lovgivningsmæssig foranstaltning, som fastlægger karakteren af behandlingen og indfører de fornødne garantier.

Ændringsforslag  34

Forslag til direktiv

Betragtning 41 a (ny)

Kommissionens forslag

Ændringsforslag

 

(42a) For at opretholde sikkerheden og forhindre behandling, som er i strid med dette direktiv, skal den registeransvarlige eller registerføreren foretage en evaluering af risici i forbindelse med behandlingen og træffe foranstaltninger til at mindske disse risici. Disse foranstaltninger skal sikre et tilstrækkeligt sikkerhedsniveau under hensyntagen til den seneste teknologiske udvikling og omkostningerne ved gennemførelsen af dem sammenholdt med risikoen og arten af de oplysninger, der skal beskyttes. I forbindelse med fastsættelsen af tekniske standarder og organisatoriske foranstaltninger for at garantere sikkerheden i forbindelse med behandlingen, bør der tilstræbes teknologisk neutralitet.

Ændringsforslag  35

Forslag til direktiv

Betragtning 42

Kommissionens forslag

Ændringsforslag

(42) Brud på persondatasikkerheden kan bl.a. skade den berørte persons omdømme, hvis ikke de rettidigt afhjælpes på betryggende vis. Så snart den registeransvarlige bliver opmærksom på, at der er sket et sådant sikkerhedsbrud, bør vedkommende derfor anmelde bruddet til den kompetente nationale tilsynsmyndighed. Fysiske personer, hvis personoplysninger og ret til beskyttelse af privatlivets fred kunne blive krænket af sådanne brud, bør uden unødig forsinkelse underrettes, så de kan træffe de nødvendige forholdsregler. Et brud bør anses for at krænke den fysiske persons personoplysninger og ret til beskyttelse af privatlivets fred, hvis det kan indebære f.eks. identitetstyveri eller svig, fysisk skade, betydelig tort eller skade af omdømme i forbindelse behandlingen af personoplysninger.

(42) Brud på persondatasikkerheden kan påføre den berørte person betydelige økonomiske tab og sociale problemer, herunder identitetsbedrageri, hvis ikke de rettidigt afhjælpes på betryggende vis. Så snart den registeransvarlige bliver opmærksom på, at der er sket et sådant sikkerhedsbrud, bør vedkommende derfor anmelde bruddet til den kompetente nationale tilsynsmyndighed. Fysiske personer, hvis personoplysninger og ret til beskyttelse af privatlivets fred kunne blive krænket af sådanne brud, bør uden unødig forsinkelse underrettes, så de kan træffe de nødvendige forholdsregler. Et brud bør anses for at krænke den fysiske persons personoplysninger og ret til beskyttelse af privatlivets fred, hvis det kan indebære f.eks. identitetstyveri eller svig, fysisk skade, betydelig tort eller skade af omdømme i forbindelse behandlingen af personoplysninger. Anmeldelsen bør indeholde oplysninger om, hvilke foranstaltninger udbyderen har sat i værk for at afhjælpe bruddet på sikkerheden, og anbefalinger til den berørte abonnent eller fysiske person. Underretninger til registrerede bør gives så snart, det er muligt, og i tæt samarbejde med tilsynsmyndigheden og bør overholde retningslinjer, der er opstillet af denne.

Ændringsforslag  36

Forslag til direktiv

Betragtning 44

Kommissionens forslag

Ændringsforslag

(44) Den registeransvarlige eller registerføreren bør udpege en person, der skal bistå den registeransvarlige eller registerføreren med at overvåge, at behandlingen er i overensstemmelse med de bestemmelser, der vedtages til gennemførelse af dette direktiv. Den kompetente myndigheds enheder kan i fællesskab udpege en databeskyttelsesansvarlig. Den databeskyttelsesansvarlige skal være i stand til at udøve sit hverv uafhængigt og effektivt.

(44) Den registeransvarlige eller registerføreren bør udpege en person, der skal bistå den registeransvarlige eller registerføreren med at overvåge og påvise, at behandlingen er i overensstemmelse med de bestemmelser, der vedtages til gennemførelse af dette direktiv. Når flere kompetente myndigheder er underlagt en central myndigheds kontrol, skal den pågældende centrale myndighed i det mindste udpege en sådan databeskyttelsesansvarlig. Den databeskyttelsesansvarlige skal være i stand til at udøve sit hverv uafhængigt og effektivt, navnlig ved at indføre regler til forhindring af interessekonflikter med andre opgaver, der udføres af den databeskyttelsesansvarlige.

Ændringsforslag  37

Forslag til direktiv

Betragtning 45

Kommissionens forslag

Ændringsforslag

(45) Medlemsstaterne bør sikre, at videregivelse af personoplysninger til et tredjeland kun sker, hvis det er nødvendigt for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, og den registeransvarlige i det pågældende tredjeland eller den pågældende internationale organisation er en kompetent myndighed som defineret i dette direktiv. Der kan finde videregivelse sted i de tilfælde, hvor Kommissionen har afgjort, at det pågældende tredjelande eller den pågældende internationale organisation sikrer et passende beskyttelsesniveau, eller hvis der er indført passende beskyttelsesforanstaltninger.

(45) Medlemsstaterne bør sikre, at videregivelse af personoplysninger til et tredjeland kun sker, hvis denne specifikke videregivelse er nødvendig for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, og den registeransvarlige i det pågældende tredjeland eller den pågældende internationale organisation er en kompetent offentlig myndighed som defineret i dette direktiv. Der kan finde videregivelse sted i de tilfælde, hvor Kommissionen har afgjort, at det pågældende tredjelande eller den pågældende internationale organisation sikrer et passende beskyttelsesniveau, hvis det godtgøres, at der er indført passende beskyttelsesforanstaltninger eller passende beskyttelsesforanstaltninger i form af et juridisk bindende instrument. Oplysninger, der videregives til kompetente offentlige myndigheder i tredjelande, bør ikke behandles yderligere til andre formål end det, de blev videregivet til.

Ændringsforslag  38

Forslag til direktiv

Betragtning 45 a (ny)

Kommissionens forslag

Ændringsforslag

 

(45a) Yderligere videregivelse fra kompetente myndigheder i tredjelande eller internationale organisationer, hvortil personoplysninger er blevet videregivet, bør kun tillades, hvis videregivelsen er nødvendig til samme specifikke formål som den originale videregivelse, og den anden modtager også er en kompetent offentlig myndighed. Yderligere videregivelser bør ikke være tilladt til generel retshåndhævelse. Den kompetente myndighed, som foretog den oprindelige videregivelse, bør have godkendt videregivelsen.

Ændringsforslag  39

Forslag til direktiv

Betragtning 48

Kommissionens forslag

Ændringsforslag

(48) Kommissionen bør ligeledes kunne fastslå, at et tredjeland eller et område eller en behandlingssektor i det pågældende tredjeland eller en international organisation ikke har et tilstrækkeligt databeskyttelsesniveau. I så fald bør videregivelsen af personoplysninger til det pågældende tredjeland forbydes, undtagen hvis videregivelsen sker på grundlag af en international aftale, passende beskyttelsesforanstaltninger eller en undtagelse. Der bør fastsættes bestemmelser om høringsprocedurer mellem Kommissionen og de pågældende tredjelande eller internationale organisationer. En sådan kommissionsafgørelse bør imidlertid ikke påvirke muligheden for at videregive oplysninger på grundlag af passende beskyttelsesforanstaltninger eller på grundlag af en undtagelse, der er fastsat i direktivet.

(48) Kommissionen bør ligeledes kunne fastslå, at et tredjeland eller et område eller en behandlingssektor i det pågældende tredjeland eller en international organisation ikke har et tilstrækkeligt databeskyttelsesniveau. I så fald bør videregivelsen af personoplysninger til det pågældende tredjeland forbydes, undtagen hvis videregivelsen sker på grundlag af en international aftale, passende beskyttelsesforanstaltninger eller en undtagelse. Der bør fastsættes bestemmelser om høringsprocedurer mellem Kommissionen og de pågældende tredjelande eller internationale organisationer. En sådan kommissionsafgørelse bør imidlertid ikke påvirke muligheden for at videregive oplysninger på grundlag af passende beskyttelsesforanstaltninger ved hjælp af juridisk bindende instrumenter eller på grundlag af en undtagelse, der er fastsat i dette direktiv.

Ændringsforslag  40

Forslag til direktiv

Betragtning 49

Kommissionens forslag

Ændringsforslag

(49) Videregivelser af oplysninger, der ikke er baseret på en sådan afgørelse om tilstrækkeligheden af beskyttelsesniveauet, bør kun tillades, hvis der er indført de fornødne garantier i et retligt bindende instrument, der sikrer beskyttelsen af personoplysninger, eller hvis den registeransvarlige eller registerføreren har vurderet samtlige de forhold, der har indflydelse på en videregivelse eller en serie af videregivelser af personoplysninger, og som på grundlag af denne vurdering konkluderer, at de fornødne garantier for beskyttelsen af personoplysninger er til stede. I sager, hvor der ikke findes årsager til at tillade videregivelse af oplysninger, bør der indrømmes undtagelser, hvis det er nødvendigt for at beskytte den registreredes eller en anden persons vitale interesser eller beskytte den registreredes legitime interesser, hvis det er fastsat i lovgivningen i den medlemsstat, der videregiver personoplysninger, eller hvis det er vigtigt for at forebygge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed eller i enkeltsager med henblik på forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner eller i enkeltsager med henblik på at fastslå et retskrav eller gøre det gældende eller forsvare det ved en domstol.

(49) Videregivelser af oplysninger, der ikke er baseret på en sådan afgørelse om tilstrækkeligheden af beskyttelsesniveauet, bør kun tillades, hvis der er indført de fornødne garantier i et retligt bindende instrument, der sikrer beskyttelsen af personoplysninger.

Ændringsforslag  41

Forslag til direktiv

Betragtning 49 a (ny)

Kommissionens forslag

Ændringsforslag

 

(49a) I sager, hvor der ikke findes årsager til at tillade videregivelse af oplysninger, bør der indrømmes undtagelser, hvis det er nødvendigt for at beskytte den registreredes eller en anden persons vitale interesser eller beskytte den registreredes legitime interesser, såfremt der er hjemmel herfor i lovgivningen i den medlemsstat, der videregiver personoplysninger, eller hvis det er vigtigt for at forebygge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed eller, i enkeltsager, med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner eller, i enkeltsager, med henblik på at fastslå et retskrav eller gøre det gældende eller forsvare det ved en domstol. Disse undtagelser bør fortolkes restriktivt og bør ikke give mulighed for hyppig, omfattende og strukturel overførsel af personoplysninger og bør ikke give mulighed for generel dataoverførsel, men begrænses til de data, der er strengt nødvendige. Desuden bør beslutningen om overførsel af personoplysninger træffes af en dertil behørigt bemyndiget person, og overførslen skal dokumenteres og kunne rekvireres af tilsynsmyndigheden, hvis denne anmoder om det, for at give mulighed for at kontrollere overførslens lovlighed.

(En del af betragtning 49 i Kommissionens forslag er blevet til betragtning 49a i Parlamentets ændring)

Ændringsforslag  42

Forslag til direktiv

Betragtning 51

Kommissionens forslag

Ændringsforslag

(51) Oprettelsen af tilsynsmyndigheder i medlemsstaterne, som udøver deres hverv i fuld uafhængighed, har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger. Tilsynsmyndighederne bør kontrollere anvendelsen af bestemmelserne i henhold til dette direktiv og bidrage til en ensartet anvendelse i Unionen med det formål at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger. Med henblik herpå bør tilsynsmyndighederne samarbejde med hinanden og med Kommissionen.

(51) Oprettelsen af tilsynsmyndigheder i medlemsstaterne, som udøver deres hverv i fuld uafhængighed, har afgørende betydning for beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger. Tilsynsmyndighederne bør kontrollere anvendelsen af bestemmelserne i henhold til dette direktiv og bidrage til en ensartet anvendelse i Unionen med det formål at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger. Til det formål bør tilsynsmyndighederne samarbejde med hinanden.

Ændringsforslag  43

Forslag til direktiv

Betragtning 53

Kommissionens forslag

Ændringsforslag

(53) Medlemsstaterne bør have mulighed for at oprette mere end én tilsynsmyndighed for at afspejle deres forfatningsmæssige, organisatoriske og administrative struktur. Hver tilsynsmyndighed bør have tilstrækkelige finansielle og menneskelige ressourcer, lokaler og infrastrukturer til effektivt at udføre deres opgaver, herunder opgaver vedrørende gensidig bistand og samarbejde med andre tilsynsmyndigheder i Unionen.

(53) Medlemsstaterne bør have mulighed for at oprette mere end én tilsynsmyndighed for at afspejle deres forfatningsmæssige, organisatoriske og administrative struktur. Hver tilsynsmyndighed bør have tilstrækkelige finansielle og menneskelige ressourcer, lokaler og infrastrukturer, herunder teknisk kapacitet, erfaring og færdigheder, til effektivt at udføre deres opgaver, herunder opgaver vedrørende gensidig bistand og samarbejde med andre tilsynsmyndigheder i Unionen.

Ændringsforslag  44

Forslag til direktiv

Betragtning 54

Kommissionens forslag

Ændringsforslag

(54) De generelle betingelser for tilsynsmyndighedens medlemmer bør fastsættes ved lov i hver medlemsstat, og der bør navnlig fastsættes bestemmelser om, at disse medlemmer udpeges af enten parlamentet eller regeringen i den pågældende medlemsstat, og der bør ligeledes fastsættes regler om medlemmernes personlige kvalifikationer og stilling.

(54) De generelle betingelser for tilsynsmyndighedens medlemmer bør fastsættes ved lov i hver medlemsstat, og det bør navnlig fastsættes, om disse medlemmer udpeges af parlamentet eller regeringen, efter høring af parlamentet, i den pågældende medlemsstat, og der bør ligeledes fastsættes regler om medlemmernes personlige kvalifikationer og stilling.

Ændringsforslag  45

Forslag til direktiv

Betragtning 56

Kommissionens forslag

Ændringsforslag

(56) For at sikre en ensartet overvågning og håndhævelse af dette direktiv i hele Unionen bør tilsynsmyndighederne i hver medlemsstat have samme pligter og effektive beføjelser, herunder undersøgelsesbeføjelser, beføjelser til retligt bindende indgriben og beføjelser til at træffe afgørelser og fastsætte sanktioner, navnlig i tilfælde af klager fra fysiske personer, samt beføjelse til at optræde som part i retssager.

(56) For at sikre en ensartet overvågning og håndhævelse af dette direktiv i hele Unionen bør tilsynsmyndighederne i hver medlemsstat have samme pligter og effektive beføjelser, herunder effektive undersøgelsesbeføjelser, beføjelser til at skaffe sig adgang til alle personoplysninger og alle oplysninger, der er nødvendige for udøvelsen af tilsynsfunktionen, beføjelser til at skaffe sig adgang til den registeransvarliges eller registerførerens lokaler, herunder adgang til oplysninger om databehandlingskrav, beføjelser til retligt bindende indgriben og beføjelser til at træffe afgørelser og fastsætte sanktioner, navnlig i tilfælde af klager fra fysiske personer, samt beføjelse til at optræde som part i retssager.

Ændringsforslag  46

Forslag til direktiv

Betragtning 58

Kommissionens forslag

Ændringsforslag

(58) Tilsynsmyndighederne bør bistå hinanden i udøvelsen af deres opgaver og yde gensidig bistand med det formål at sikre en ensartet anvendelse og håndhævelse af de bestemmelser, der vedtages til gennemførelse af dette direktiv.

(58) Tilsynsmyndighederne bør bistå hinanden i udøvelsen af deres opgaver og yde gensidig bistand med det formål at sikre en ensartet anvendelse og håndhævelse af de bestemmelser, der vedtages til gennemførelse af dette direktiv. Hver tilsynsmyndighed bør være parat til at deltage i fælles operationer. Den tilsynsmyndighed, der modtager anmodningen, bør være forpligtet til at besvare anmodningen inden for en bestemt frist.

Ændringsforslag  47

Forslag til direktiv

Betragtning 59

Kommissionens forslag

Ændringsforslag

(59) Det Europæiske Databeskyttelsesråd, der oprettes ved forordning (EU) nr. … /2012, bør bidrage til en ensartet anvendelse af dette direktiv i Unionen, herunder ved at rådgive Kommissionen og fremme samarbejdet mellem tilsynsmyndighederne i Unionen.

(59) Det Europæiske Databeskyttelsesråd, der oprettes ved forordning (EU) nr. … /2013, bør bidrage til en ensartet anvendelse af dette direktiv i Unionen, herunder ved at rådgive Unionens institutioner, fremme samarbejdet mellem tilsynsmyndighederne i Unionen og afgive udtalelser til Kommissionen i forbindelse med udarbejdelsen af delegerede retsakter og gennemførelsesretsakter på grundlag af dette direktiv.

Ændringsforslag  48

Forslag til direktiv

Betragtning 61

Kommissionens forslag

Ændringsforslag

(61) Alle organer, organisationer eller sammenslutninger, der har til formål at beskytte registreredes rettigheder og interesser i forbindelse med beskyttelsen af deres personoplysninger, og som er etableret i overensstemmelse med en medlemsstats lovgivning, bør have ret til at indgive klage eller udøve retten til domstolsprøvelse på vegne af den registrerede, hvis denne på behørig vis har givet dem bemyndigelse hertil, eller til uafhængigt af en klage fra den registrerede på egne vegne at indgive klage, hvis de vurderer, at der har fundet et brud på persondatasikkerheden sted.

(61) Alle organer, organisationer eller sammenslutninger, der handler i almenhedens interesse, og som er etableret i overensstemmelse med en medlemsstats lovgivning, bør have ret til at indgive klage eller udøve retten til domstolsprøvelse på vegne af den registrerede, hvis denne på behørig vis har givet dem bemyndigelse hertil, eller til uafhængigt af en klage fra den registrerede på egne vegne at indgive klage, hvis de vurderer, at der har fundet et brud på persondatasikkerheden sted.

Ændringsforslag  49

Forslag til direktiv

Betragtning 64

Kommissionens forslag

Ændringsforslag

(64) Personer, der lider skade som følge af en ulovlig behandling, bør have ret til erstatning fra den registeransvarlige eller registerføreren, som kan fritages for erstatningsansvar, hvis det bevises, at den pågældende ikke er skyld i den forvoldte skade, særlig hvis den pågældende fastslår, at fejlen ligger hos den registrerede, eller i tilfælde af force majeure.

(64) Personer, der lider skade, herunder ikke-økonomisk skade, som følge af en ulovlig behandling, bør kun have ret til erstatning fra den registeransvarlige eller registerføreren, som kun kan fritages for erstatningsansvar, hvis det bevises, at den pågældende ikke er skyld i den forvoldte skade, særlig hvis den pågældende fastslår, at fejlen ligger hos den registrerede, eller i tilfælde af force majeure.

Ændringsforslag  50

Forslag til direktiv

Betragtning 65 a (ny)

Kommissionens forslag

Ændringsforslag

 

(65a) Videregivelse af personoplysninger til andre myndigheder eller private i Unionen er forbudt, medmindre videregivelsen sker i henhold til lovgivningen, modtageren er hjemmehørende i en medlemsstat, ingen legitime og specifikke interesser hos den registrerede hindrer videregivelsen, og videregivelsen er nødvendig i en specifik sag for den registeransvarlige, enten med henblik på udførelsen af en opgave, som denne har fået pålagt i henhold til lovgivningen, eller for at forebygge en umiddelbar og alvorlig risiko for den offentlige sikkerhed eller for at undgå, at privatpersoners rettigheder lider alvorlig skade. Den registeransvarlige bør underrette modtageren om formålet med behandlingen og tilsynsmyndigheden om videregivelsen. Modtageren bør også underrettes om restriktioner for behandlingen og sikre, at disse overholdes.

Ændringsforslag  51

Forslag til direktiv

Betragtning 66

Kommissionens forslag

Ændringsforslag

(66) For at opfylde dette direktivs målsætninger, nemlig at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til beskyttelse af personoplysninger, og sikre fri udveksling af personoplysninger mellem de kompetente myndigheder i Unionen, bør beføjelsen til at vedtage retsakter i henhold til artikel 290 i traktaten om Den Europæiske Unions funktionsmåde delegeres til Kommissionen. Der bør navnlig vedtages delegerede retsakter med nærmere bestemmelser om anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau. Kommissionen bør sikre en samtidig, rettidig og hensigtsmæssig fremsendelse af relevante dokumenter til Europa-Parlamentet og Rådet, når den udarbejder og gennemfører delegerede retsakter

(66) For at opfylde dette direktivs målsætninger, nemlig at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til beskyttelse af personoplysninger, og sikre fri udveksling af personoplysninger mellem de kompetente myndigheder i Unionen, bør beføjelsen til at vedtage retsakter i henhold til artikel 290 i traktaten om Den Europæiske Unions funktionsmåde delegeres til Kommissionen. Der bør navnlig vedtages delegerede retsakter for yderligere at fastlægge kriterierne og vilkårene for genbehandling, som forudsætter en databeskyttelseskonsekvensanalyse, og kriterierne og kravene i forbindelse med brud på persondatasikkerheden samt definere det tilstrækkelige databeskyttelsesniveau, der sikres af et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau og navnlig med Det Europæiske Databeskyttelsesråd. Kommissionen bør sikre en samtidig, rettidig og hensigtsmæssig fremsendelse af relevante dokumenter til Europa-Parlamentet og Rådet, når den udarbejder og gennemfører delegerede retsakter.

Ændringsforslag  52

Forslag til direktiv

Betragtning 67

Kommissionens forslag

Ændringsforslag

(67) For at sikre, at der opstilles ensartede betingelser for gennemførelsen af dette direktiv, bør Kommissionen tillægges gennemførelsesbeføjelser i henseende til de registeransvarliges og registerførernes dokumentation, behandlingssikkerhed, navnlig med hensyn til krypteringsstandarder, anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og det tilstrækkelige databeskyttelsesniveau, der skal sikres af et tredjeland, et territorium eller en behandlingssektor i dette tredjeland eller en international organisation. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser37.

(67) For at sikre, at der opstilles ensartede betingelser for gennemførelsen af dette direktiv, bør Kommissionen tillægges gennemførelsesbeføjelser i henseende til de registeransvarliges og registerførernes dokumentation, behandlingssikkerhed, navnlig med hensyn til krypteringsstandarder og anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/201137.

_____________

_______________

37 EUT L 55 af 28.2.2011, s. 13.

37Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

Ændringsforslag  53

Forslag til direktiv

Betragtning 68

Kommissionens forslag

Ændringsforslag

(68) Undersøgelsesproceduren bør finde anvendelse i forbindelse med vedtagelse af foranstaltninger om de registeransvarliges og registerførernes dokumentation, behandlingssikkerhed, anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og det tilstrækkelige databeskyttelsesniveau, der skal sikres af et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation, idet der er tale om generelle retsakter.

(68) Undersøgelsesproceduren bør finde anvendelse i forbindelse med vedtagelse af foranstaltninger om behandlingssikkerhed og anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden, idet der er tale om generelle retsakter.

Ændringsforslag  54

Forslag til direktiv

Betragtning 69

Kommissionens forslag

Ændringsforslag

(69) Målene for dette direktiv, nemlig at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder, herunder navnlig deres ret til beskyttelse af personoplysninger og fri udveksling af personoplysninger mellem de kompetente myndigheder i Unionen, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne alene og kan derfor på grund af foranstaltningens omfang eller virkninger bedre nås på EU-plan.

udgår

Ændringsforslag  55

Forslag til direktiv

Betragtning 70

Kommissionens forslag

Ændringsforslag

(70) Målene for dette direktiv, nemlig at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder, herunder navnlig deres ret til beskyttelse af personoplysninger og fri udveksling af personoplysninger mellem de kompetente myndigheder i Unionen, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne alene og kan derfor på grund af foranstaltningens omfang eller virkninger bedre nås på EU-plan. Unionen kan derfor træffe foranstaltninger i overensstemmelse med nærheds­princippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, rækker dette direktiv ikke ud over, hvad der er nødvendigt for at nå dette mål.

(70) Målene for dette direktiv, nemlig at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder, herunder navnlig deres ret til beskyttelse af deres personoplysninger og fri udveksling af personoplysninger mellem de kompetente myndigheder i Unionen, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne men snarere på grund af foranstaltningens omfang eller virkninger bedre nås på EU-plan. Unionen kan derfor træffe foranstaltninger i overensstemmelse med nærheds­princippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, rækker dette direktiv ikke ud over, hvad der er nødvendigt for at nå disse mål. Medlemsstaterne kan indføre højere standarder end dem, der er indeholdt i dette direktiv.

Ændringsforslag  56

Forslag til direktiv

Betragtning 72

Kommissionens forslag

Ændringsforslag

(72) Specifikke bestemmelser om de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, der forekommer i EU-retsakter, som er vedtaget før vedtagelsen af dette direktiv, og som regulerer behandlingen af personoplysninger mellem medlemsstater og medlemsstaters udpegede myndigheders adgang til informationssystemer, der er udviklet i medfør af traktaterne, bør finde uændret anvendelse. Kommissionen bør se nærmere på sammenhængen mellem direktivet og retsakter, der er vedtaget før vedtagelsen af dette direktiv, og som regulerer behandlingen af personoplysninger mellem medlemsstater eller medlemsstaters udpegede myndigheders adgang til informationssystemer, der er udviklet i medfør af traktaterne, med det formål at vurdere, om der er behov for at tilpasse disse specifikke bestemmelser til direktivet.

(72) Specifikke bestemmelser om de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, der forekommer i EU-retsakter, som er vedtaget før vedtagelsen af dette direktiv, og som regulerer behandlingen af personoplysninger mellem medlemsstater og medlemsstaters udpegede myndigheders adgang til informationssystemer, der er udviklet i medfør af traktaterne, bør finde uændret anvendelse. Eftersom artikel 8 i chartret om grundlæggende rettigheder og artikel 16 i TEUF indebærer, at den grundlæggende ret til beskyttelse af personoplysninger skal sikres på en konsekvent og ensartet måde i hele EU, bør Kommissionen senest to år efter, at dette direktiv er trådt i kraft, se nærmere på sammenhængen mellem direktivet og retsakter, der er vedtaget før vedtagelsen af dette direktiv, og som regulerer behandlingen af personoplysninger mellem medlemsstater eller medlemsstaters udpegede myndigheders adgang til informationssystemer, der er udviklet i medfør af traktaterne, og fremsætte hensigtsmæssige forslag med henblik på at sikre konsekvente og ensartede retlige bestemmelser vedrørende kompetente myndigheders beskyttelse af personoplysninger eller medlemsstaternes udpegede myndigheders adgang til informationssystemer, der er indført i henhold til traktaterne, samt EU-institutioners, -kontorers og -agenturers behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner for overtrædelser af lovgivningen inden for dette direktivs anvendelsesområde.

Ændringsforslag  57

Forslag til direktiv

Betragtning 73

Kommissionens forslag

Ændringsforslag

(73) For at sikre en overordnet og sammenhængende beskyttelse af personoplysninger i Unionen, bør internationale aftaler, som medlemsstaterne indgår inden dette direktivs ikrafttræden, ændres i overensstemmelse med dette direktiv.

(73) For at sikre en overordnet og sammenhængende beskyttelse af personoplysninger i Unionen, bør internationale aftaler, som Unionen eller medlemsstaterne indgår inden dette direktivs ikrafttræden, ændres i overensstemmelse med dette direktiv.

Ændringsforslag  58

Forslag til direktiv

Betragtning 76

Kommissionens forslag

Ændringsforslag

(76) I medfør af artikel 2 og 2a i protokollen om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om Den Europæiske Unions funktionsmåde, er dette direktiv ikke bindende for og finder derfor ikke anvendelse i Danmark. Da dette direktiv udbygger Schengenreglerne efter bestemmelserne i tredje del, afsnit V, i traktaten om Den Europæiske Unions funktionsmåde, skal Danmark i henhold til artikel 4 i protokollen om Danmarks stilling træffe afgørelse om, hvorvidt det vil gennemføre direktivet i sin nationale lovgivning, inden seks måneder efter direktivets vedtagelse.

(76) I medfør af artikel 2 og 2a i protokollen om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om Den Europæiske Unions funktionsmåde, er dette direktiv ikke bindende for og finder derfor ikke anvendelse i Danmark.

Ændringsforslag  59

Forslag til direktiv

Artikel 1

Kommissionens forslag

Ændringsforslag

Genstand og formål

Genstand og formål

1. I dette direktiv fastsættes regler om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage og retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner.

1. I dette direktiv fastsættes regler om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser og fuldbyrde strafferetlige sanktioner samt regler vedrørende fri udveksling af sådanne personoplysninger.

2. Medlemsstaterne sikrer i overensstemmelse med dette direktiv:

2. Medlemsstaterne sikrer i overensstemmelse med dette direktiv:

(a) at fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til beskyttelse af personoplysninger, beskyttes og

(a) at fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til beskyttelse af deres personoplysninger og beskyttelse af privatlivets fred, beskyttes og

b) at udvekslingen af personoplysninger mellem de kompetente myndigheder i EU ikke indskrænkes eller forbydes af grunde, der vedrører beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger.

(b) at udvekslingen af personoplysninger mellem de kompetente myndigheder i EU ikke indskrænkes eller forbydes af grunde, der vedrører beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger.

 

2a. Dette direktiv forhindrer ikke medlemsstaterne i at fastsætte højere standarder end dem der er indeholdt i dette direktiv.

Ændringsforslag  60

Forslag til direktiv

Artikel 2

Kommissionens forslag

Ændringsforslag

Anvendelsesområde

Anvendelsesområde

1. Dette direktiv finder anvendelse på de kompetente myndigheders behandling af personoplysninger til de formål, der er nævnt i artikel 1, stk. 1.

1. Dette direktiv finder anvendelse på de kompetente myndigheders behandling af personoplysninger til de formål, der er nævnt i artikel 1, stk. 1.

2. Dette direktivs bestemmelser anvendes på behandling af personoplysninger, der helt eller delvis foretages automatisk, samt på anden behandling end automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

2. Dette direktivs bestemmelser anvendes på behandling af personoplysninger, der helt eller delvis foretages automatisk, samt på anden behandling end automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

3. Dette direktiv gælder ikke for behandling af personoplysninger:

3. Dette direktiv bør ikke finde anvendelse på behandlingen af personoplysninger, som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af EU-retten.

(a) som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af EU-retten, navnlig for så vidt angår national sikkerhed

 

(b) som foretages af EU-institutioner, -organer, -kontorer og -agenturer.

 

Ændringsforslag  61

Forslag til direktiv

Artikel 3

Kommissionens forslag

Ændringsforslag

Definitioner

Definitioner

I dette direktiv forstås ved:

I dette direktiv forstås ved:

(1) "registreret": en identificeret fysisk person eller en fysisk person, der direkte eller indirekte kan identificeres med hjælpemidler, som med rimelighed kan tænkes bragt i anvendelse enten af den registeransvarlige eller af enhver anden fysisk eller juridisk person, bl.a. ved et id-nummer, lokaliseringsdata, online-id, eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

 

(2) "personoplysninger": enhver form for information om en registreret

(2) "personoplysninger": enhver form for information om en fysisk person, der er eller kan identificeres ("den registrerede"); en person, der kan identificeres, er en person som direkte eller indirekte kan identificeres, navnlig på grundlag af en identifikator som f.eks. navn, identifikationsnummer, bopæl, en entydig identifikator eller en eller flere faktorer, der vedrører den pågældende persons fysiske, psykologiske, genetiske, mentale, økonomiske, kulturelle, sociale eller kønsmæssige identitet;

 

2a. "pseudonyme oplysninger" betyder personoplysninger, som ikke kan tilskrives en bestemt registreret uden anvendelse af yderligere oplysninger, så længe sådanne yderligere oplysninger holdes særskilt og er underlagt tekniske og organisatoriske foranstaltninger, som forhindrer sammenkøring.

(3) "behandling": enhver operation eller række af operationer - med eller uden brug af automatiseret databehandling - som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt begrænsning, sletning eller tilintetgørelse

(3) "behandling": enhver operation eller række af operationer - med eller uden brug af automatiseret databehandling - som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt begrænsning, sletning eller tilintetgørelse

 

3a. "profilering": enhver form for automatisk behandling af personlige oplysninger, der har til formål at vurdere bestemte personlige forhold vedrørende en fysisk person eller analysere eller forudsige navnlig den fysiske persons erhvervsevne, økonomiske omstændigheder, lokalitet, sundhed, personlige præferencer, pålidelighed eller adfærd

(4) "begrænsning af behandling": markering af opbevarede personoplysninger med den hensigt at begrænse den fremtidige behandling af disse oplysninger

(4) "begrænsning af behandling": markering af opbevarede personoplysninger med den hensigt at begrænse den fremtidige behandling af disse oplysninger

(5) "register": enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag

(5) "register": enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag

(6) "registeransvarlig": den kompetente offentlige myndighed, der alene eller sammen med andre afgør, til hvilke formål, på hvilke betingelser og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene, betingelserne og hjælpemidlerne til behandlingen er fastlagt i EU-retten eller medlemsstatens lovgivning, kan bestemmelserne om den registeransvarlige eller de specifikke kriterier for udpegning af denne være fastsat i EU-retten eller medlemsstatens lovgivning

(6) "registeransvarlig": den kompetente offentlige myndighed, der alene eller sammen med andre afgør, til hvilke formål, på hvilke betingelser og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene, betingelserne og hjælpemidlerne til behandlingen er fastlagt i EU-retten eller medlemsstatens lovgivning, kan bestemmelserne om den registeransvarlige eller de specifikke kriterier for udpegning af denne være fastsat i EU-retten eller medlemsstatens lovgivning.

(7) "registerfører": en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, der behandler personoplysninger på den registeransvarliges vegne

(7) "registerfører": en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, der behandler personoplysninger på den registeransvarliges vegne

(8) "modtager": en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, som personoplysninger videregives til

(8) "modtager": en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, som personoplysninger videregives til

(9) "brud på persondatasikkerheden": brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller indsigt i personoplysninger, der er videregivet, lagret eller på anden måde behandlet

(9) "brud på persondatasikkerheden": hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller indsigt i personoplysninger, der er videregivet, lagret eller på anden måde behandlet

(10) "genetiske data": alle data af enhver type vedrørende en fysisk persons karakteristika, som er nedarvede eller formet under den tidlige prænatale udvikling

(10) "genetiske data": alle data af enhver type vedrørende en fysisk persons karakteristika, som er nedarvede eller formet under den tidlige prænatale udvikling

(11) "biometriske data": alle data vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika, der gør det muligt entydigt at identificere vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger

(11) "biometriske data": alle personoplysninger vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika, der gør det muligt entydigt at identificere vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger

(12) "helbredsoplysninger": enhver oplysning, der vedrører en persons fysiske eller mentale helbred eller levering af sundhedsydelser til vedkommende "barn":

(12) "helbredsoplysninger": enhver personoplysning, der vedrører en persons fysiske eller mentale helbred eller levering af sundhedsydelser til vedkommende "barn":

(13) en person under atten år "kompetente myndigheder":

(13) en person under atten år "kompetente myndigheder":

(14) enhver offentlig myndighed med ansvar for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner "tilsynsmyndighed":

(14) enhver offentlig myndighed med ansvar for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner "tilsynsmyndighed":

(15) en offentlig myndighed, der er etableret i en medlemsstat i overensstemmelse med artikel 39.

(15) en offentlig myndighed, der er etableret i en medlemsstat i overensstemmelse med artikel 39.

Ændringsforslag  62

Forslag til direktiv

Artikel 4

Kommissionens forslag

Ændringsforslag

Principper for behandling af personoplysninger

Principper for behandling af personoplysninger

Medlemsstaterne fastsætter bestemmelser om, at personoplysninger:

Medlemsstaterne fastsætter bestemmelser om, at personoplysninger:

(a) skal behandles loyalt og lovligt

(a) skal behandles lovligt, loyalt og på en åben og kontrollerbar måde i forhold til den registrerede;

(b) skal indsamles til udtrykkeligt angivne og legitime formål og ikke behandles yderligere på en måde, der er uforenelige med disse formål

(b) skal indsamles til udtrykkeligt angivne og legitime formål og ikke behandles yderligere på en måde, der er uforenelige med disse formål

(c) skal være tilstrækkelige, relevante og ikke for omfattende i forhold til de formål, hvortil de behandles

(c) skal være tilstrækkelige, relevante og begrænset til minimum i forhold til de formål, hvortil de behandles; personoplysninger skal kun behandles, hvis og så længe disse formål ikke kan opfyldes ved at behandle oplysninger, der ikke omfatter personoplysninger;

(d) skal være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt til at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, omgående slettes eller berigtiges

(d) skal være korrekte og ajourførte; der skal tages ethvert rimeligt skridt til at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, omgående slettes eller berigtiges

(e) skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles

(e) skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles

(f) skal behandles under den registeransvarliges ansvar, og denne skal sikre overholdelsen af de bestemmelser, der vedtages til gennemførelse af dette direktiv.

(f) skal behandles under den registeransvarliges ansvar, og denne skal sikre og påvise overholdelsen af de bestemmelser, der vedtages til gennemførelse af dette direktiv.

 

(fa) skal behandles på en måde, som giver den registrerede reel mulighed for at udøve sine rettigheder i henhold til artikel 10 til 17.

 

(fb) skal behandles på en måde, som beskytter mod ikke-godkendt eller ulovlig behandling og mod hændelig tab, ødelæggelse eller beskadigelse under anvendelse af hensigtsmæssig tekniske og organisatoriske foranstaltninger;

 

(fc) kun må behandles af behørigt bemyndigede medarbejdere i de kompetente myndigheder, som har brug for dem for at kunne varetage deres opgaver.

Ændringsforslag  63

Forslag til direktiv

Artikel 4 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 4a

 

Adgang til data, der oprindeligt er behandlet med andre formål end de i artikel 1, stk. 1, anførte

 

1. Medlemsstaterne sikrer, at de kompetente myndigheder kun kan få adgang til personoplysninger, der oprindeligt er blevet behandlet til andre end de i artikel 1, stk. 1, anførte formål, hvis de har specifik tilladelse til dette i henhold til EU-retten eller den nationale lovgivning, som skal opfylde kravene i artikel 7, stk. 1a, og bestemmelserne skal sikre, at:

 

(a) der kun gives adgang for behørigt bemyndiget personale fra de kompetente myndigheder ved udførelsen af deres opgaver, når der i specifikke tilfælde findes rimelig grund til at tro, at behandlingen af personoplysningerne vil bidrage betydeligt til at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner

 

(b) anmodninger om adgang skal være skriftlige, og der skal angives en juridisk begrundelse for anmodningen,

 

(c) den skriftlige anmodning skal være dokumenteret; og

 

(d) der skal indføres hensigtsmæssige sikkerhedsforanstaltninger for at sikre beskyttelsen af grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger. Disse sikkerhedsforanstaltninger indføres med forbehold af og som et supplement til de specifikke betingelser for adgangen til personoplysninger såsom den retlige godkendelse i overensstemmelse med den nationale lovgivning.

 

2. Der skal kun være adgang til personoplysninger, som indehaves af private enheder eller andre offentlige myndigheder, for at efterforske eller retsforfølge straffelovsovertrædelser i overensstemmelse med behovs- og forholdsmæssighedskrav, som skal fastsættes ved unionslov af de enkelte medlemsstater i deres nationale lovgivning i overensstemmelse med artikel 7a.

Ændringsforslag  64

Forslag til direktiv

Artikel 4 b (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 4 b

 

Tidsbegrænsning på opbevaring og revision

 

1. Medlemsstaterne indfører bestemmelser om, at de kompetente myndigheder skal slette personoplysninger, der behandles i henhold til dette direktiv, når de ikke længere er nødvendige for de formål, hvormed de blev behandlet.

 

2. Medlemsstaterne indfører bestemmelser om, at de kompetente myndigheder skal indføre mekanismer til sikring af, at der indføres tidsfrister for sletningen af personoplysninger og for periodisk revision af behovet for opbevaring af data, herunder faste opbevaringsperioder for de forskellige kategorier af personoplysninger. Der skal indføres proceduremæssige foranstaltninger for at sikre overholdelsen af denne tidsbegrænsning eller intervallerne mellem de periodiske revisioner.

Ændringsforslag  65

Forslag til direktiv

Artikel 5

Kommissionens forslag

Ændringsforslag

Sondring mellem forskellige kategorier af registrerede

Forskellige kategorier af registrerede

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige i videst muligt omfang skal sondre klart mellem personoplysninger vedrørende forskellige kategorier af personer så som:

1. Medlemsstaterne fastsætter bestemmelser om, at de kompetente myndigheder af de årsager, der fremgår af artikel 1, stk. 1, kan behandle personoplysninger om følgende forskellige kategorier af registrerede og den registeransvarlige skal sondre klart mellem disse kategorier:

(a) personer, om hvem der er alvorlig grund til at tro, at de har begået eller vil begå en straffelovsovertrædelse

(a) personer, om hvem der med rimelighed er grund til at tro, at de har begået eller vil begå en straffelovsovertrædelse

(b) personer, der er dømt for en straffelovsovertrædelse

(b) personer, der er dømt for en forbrydelse

(c) ofre for en straffelovsovertrædelse, eller om hvem visse kendsgerninger giver anledning til at tro, at de kan blive offer for en straffelovsovertrædelse

(c) ofre for en straffelovsovertrædelse, eller om hvem visse kendsgerninger giver anledning til at tro, at de kan blive offer for en straffelovsovertrædelse og

(d) berørte tredjeparter, herunder personer, der kunne blive indkaldt som vidner i forbindelse med efterforskninger af strafbare handlinger eller i efterfølgende straffesager, eller en person, der kan tilvejebringe oplysninger om straffelovsovertrædelser, eller en kontaktperson eller associeret til en af de i litra a) og b) nævnte personer og

(d) berørte tredjeparter, herunder personer, der kunne blive indkaldt som vidner i forbindelse med efterforskninger af strafbare handlinger eller i efterfølgende straffesager, eller en person, der kan tilvejebringe oplysninger om straffelovsovertrædelser, eller en kontaktperson eller associeret til en af de i litra a) og b) nævnte personer.

e) personer, der ikke falder under nogen af ovennævnte kategorier.

 

 

2. Personoplysninger for andre registrerede end dem, der er omhandlet i stk. 1, må kun behandles:

 

(a) så længe det er nødvendigt til efterforskningen og retsforfølgningen af en specifik straffelovsovertrædelse med henblik på at vurdere relevansen af oplysningerne for en af de kategorier, der er angivet i stk. 1, eller

 

(b) når en sådan behandling er nødvendig til målrettede, forebyggende formål eller med henblik på strafferetlige analyser, hvis og så længe som dette formål er legitimt, veldefineret og specifikt, og behandlingen udelukkende er begrænset til at vurdere relevansen af oplysningerne for en af de kategorier, der er angivet i stk. 1. Dette er underlagt regelmæssig revision mindst hver sjette måned. Al yderligere anvendelse er forbudt.

 

3. Medlemsstaterne fastsætter bestemmelser om, at yderligere begrænsninger og sikkerhedsforanstaltninger i henhold til national lovgivning finder anvendelse på den yderligere behandling af personoplysninger om de registrerede, der er omhandlet i stk. 1, litra c) og d).

Ændringsforslag  66

Forslag til direktiv

Artikel 6

Kommissionens forslag

Ændringsforslag

Forskellige grader af personoplysningers nøjagtighed og pålidelighed

Forskellige grader af personoplysningers nøjagtighed og pålidelighed

1. Medlemsstaterne sikrer, at der i videst muligt omfang sondres mellem de forskellige kategorier af oplysninger, der er genstand for behandling, ud fra i hvor høj grad disse er korrekte og pålidelige.

1. Medlemsstaterne fastsætter bestemmelser til sikring af, at personoplysninger, der er genstand for behandling, er korrekte og pålidelige.

2. Medlemsstaterne sikrer, at der så vidt muligt sondres mellem personoplysninger, der bygger på kendsgerninger, og personoplysninger, der bygger på personlige vurderinger.

2. Medlemsstaterne sikrer, at der sondres mellem personoplysninger, der bygger på kendsgerninger, og personoplysninger, der bygger på personlige vurderinger i overensstemmelse med graden af deres korrekthed og pålidelighed.

 

2a. Medlemsstaterne sikrer, at personoplysninger, som er urigtige, ufuldstændige eller ikke længere aktuelle, ikke bliver videregivet eller stillet til rådighed. Derfor skal de kompetente myndigheder kontrollere kvaliteten af personoplysninger, før disse videregives eller stilles til rådighed. I forbindelse med al videregivelse af oplysninger skal der desuden så vidt muligt stilles oplysninger til rådighed, hvormed det bliver muligt for den modtagende medlemsstat at vurdere, i hvor høj grad oplysningerne er korrekte, fuldstændige, ajourførte og pålidelige. Personoplysninger må ikke videregives, uden at der foreligger anmodning fra en kompetent myndighed, særlig ikke oplysninger, som oprindeligt hidrører fra private instanser.

 

2b. Hvis det konstateres, at der er videregivet urigtige oplysninger, eller at oplysningerne er videregivet ulovligt, meddeles dette straks modtageren. Modtageren er forpligtet til straks at rette oplysningerne i henhold til stk. 1 og artikel 15 eller at slette dem i henhold til artikel 16.

Ændringsforslag  67

Forslag til direktiv

Artikel 7

Kommissionens forslag

Ændringsforslag

Lovlig behandling af personoplysninger

Lovlig behandling af personoplysninger

Medlemsstaterne fastsætter bestemmelser om, at en behandling af personoplysninger kun er lovlig, hvis og i det omfang denne behandling er nødvendig:

1. Medlemsstaterne fastsætter bestemmelser om, at en behandling af personoplysninger kun er lovlig, hvis og i det omfang denne behandling finder sted i henhold til EU-lovgivningen eller den nationale lovgivning med de i artikel 1, stk. 1, nævnte formål.

(a) for at en kompetent myndighed kan udføre en specifik opgave med de i artikel 1, stk. 1, nævnte formål eller

(a) for at en kompetent myndighed kan udføre en specifik opgave eller

(b) for at overholde en retlig forpligtelse, som den registeransvarlige er pålagt eller

 

(c) for at beskytte den registreredes eller en anden persons vitale interesser eller

(c) for at beskytte den registreredes eller en anden persons vitale interesser eller

(d) for at forebygge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed.

(d) for at forebygge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed.

 

1a. Den nationale lovgivning om behandling af personoplysninger i henhold til dette direktivs anvendelsesområde skal indeholde udtrykkelige og detaljerede bestemmelser, hvori følgende angives som minimum

 

(a) formålet med behandlingen

 

(b) de personoplysninger, der skal behandles

 

(c) behandlingens specifikke formål og hjælpemidler

 

(d) udpegelsen af den registeransvarlige eller de specifikke kriterier for udpegelsen af den registeransvarlige

 

(e) kategorierne for de kompetente myndigheders behørigt bemyndigede personale til behandling af personoplysninger

 

(f) proceduren for behandlingen

 

(g) hvad de indsamlede personoplysninger kan anvendes til

 

(h) begrænsninger af omfanget af enhver beføjelse, som overdrages til de kompetente myndigheder i forbindelse med behandlingsaktiviteterne.

Ændringsforslag  68

Forslag til direktiv

Artikel 7 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 7a

 

Yderligere behandling af oplysninger til formål, der er uforenelige

 

1. Medlemsstaterne fastsætter bestemmelser om, at personoplysninger kun må behandles yderligere til andre formål end de i artikel 1, stk. 1, fastsatte, som ikke er forenelige med de formål, som dataene oprindeligt blev indsamlet til, hvis og i den udstrækning

 

(a) det er absolut nødvendigt og forholdsmæssigt i et demokratisk samfund og sker i henhold til EU-retten eller medlemsstaternes lovgivning med et legitimt, veldefineret og specifikt formål

 

(b) behandlingen er strengt begrænset til en periode, der ikke må overskride den tid, som er nødvendig til den specifikke databehandlingsoperation

 

(c) andre former for anvendelse til andre formål er forbudt

 

Forud for enhver behandling rådfører medlemsstaten sig med den tilsynsførende for databeskyttelse og udfører en konsekvensanalyse vedrørende databeskyttelse.

 

2. Ud over kravene i artikel 7, stk. 1a, skal den nationale lovgivning, der tillader yderligere behandling, jf. stk. 1, indeholde udtrykkelige og detaljerede bestemmelser, hvori følgende angives som minimum:

 

(a) den pågældende behandlings specifikke formål og hjælpemidler

 

(b) at der kun gives adgang for behørigt bemyndiget personale fra de kompetente myndigheder ved udførelsen af deres opgaver, når der i specifikke tilfælde findes rimelig grund til at tro, at behandlingen af personoplysningerne vil bidrage betydeligt til at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og

 

(c) at der indføres hensigtsmæssige sikkerhedsforanstaltninger for at sikre beskyttelsen af grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger.

 

Medlemsstaterne kan kræve, at adgangen til disse personoplysninger er underlagt yderligere betingelser såsom en retlig godkendelse i overensstemmelse med deres nationale lovgivning.

 

3. Medlemsstaterne kan også tillade yderligere behandling til historiske, statistiske eller videnskabelige formål på den betingelse, at de indfører hensigtsmæssige sikkerhedsforanstaltninger, f.eks. anonymisering af data.

Ændringsforslag  69

Forslag til direktiv

Artikel 8

Kommissionens forslag

Ændringsforslag

Behandling af særlige kategorier af personoplysninger

Behandling af særlige kategorier af personoplysninger

1. Medlemsstaterne forbyder behandling af personoplysninger, der viser racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning og fagforeningsmæssigt tilhørsforhold samt genetiske data, helbredsoplysninger og oplysninger om seksuelle forhold.

1. Medlemsstaterne forbyder behandling af personoplysninger, der viser racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, seksuel orientering eller kønsidentitet og fagforeningsmæssigt tilhørsforhold og fagforeningsaktiviteter samt behandlingen af biometriske oplysninger, helbredsoplysninger og oplysninger om seksuelle forhold.

2. Stk. 1 finder ikke anvendelse, hvis:

2. Stk. 1 finder ikke anvendelse, hvis:

(a) behandlingen er tilladt i henhold til lovgivningen, som fastlægger de fornødne garantier eller

(a) behandlingen er absolut nødvendig af hensyn til de kompetente myndigheders udførelse af en opgave med det i artikel 1, stk. 1, fastsatte formål på grundlag af EU-lovgivningen eller den nationale lovgivning, som fastsætter specifikke og tilstrækkelige foranstaltninger til beskyttelse af den registreredes legitime interesser, herunder specifik tilladelse fra en retlig myndighed, hvis dette er et krav i henhold til den nationale lovgivning eller

(b) behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser eller

(b) eller behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser eller

(c) behandlingen vedrører oplysninger, som tydeligvis er offentliggjort af den registrerede

(c) behandlingen vedrører oplysninger, som tydeligvis er offentliggjort af den registrerede, så længe de er relevante og strengt nødvendige i forhold til det pågældende formål.

Ændringsforslag  70

Forslag til direktiv

Artikel 8 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 8a

 

Behandling af genetiske oplysninger i forbindelse med en strafferetlig efterforskning eller en retssag

 

1. Medlemsstaterne skal sikre, at genetiske oplysninger kun må anvendes til at fastslå en genetisk forbindelse med henblik på at fremskaffe beviser, forhindre en trussel mod den offentlige sikkerhed eller forhindre en specifik strafbar handling. Genetiske oplysninger må ikke anvendes til at fastslå andre kendetegn, som kan være genetisk forbundne.

 

2. Medlemsstaterne fastsætter bestemmelser om, at genetiske oplysninger eller oplysninger, der kan udledes af analysen af disse oplysninger, kun må opbevares, så længe det er nødvendigt for de formål, hvormed de pågældende oplysninger er behandlet, og når den pågældende person er blevet dømt for alvorlige lovovertrædelser mod personers liv, integritet eller sikkerhed i henhold til nøje afgrænsede opbevaringsperioder, som fastsættes i den nationale lovgivning.

 

3. Medlemsstaterne sikrer, at genetiske oplysninger eller oplysninger, der udledes af analysen af disse oplysninger, kun opbevares i længere perioder, når de genetiske oplysninger ikke kan knyttes til en person, især når de er fundet på et gerningssted.

Ændringsforslag  71

Forslag til direktiv

Artikel 9

Kommissionens forslag

Ændringsforslag

Foranstaltninger baseret på profilering og automatisk behandling

Foranstaltninger baseret på profilering og automatisk behandling

1. Medlemsstaterne fastsætter bestemmelser om, at foranstaltninger, der har negative retlige virkninger for den registrerede eller påvirker vedkommende i væsentlig grad, og som udelukkende er baseret på automatisk behandling af personoplysninger med henblik på vurdering af visse individuelle aspekter vedrørende den registreredes person, skal forbydes, medmindre de er tilladt ved en lov, som også indeholder bestemmelser til beskyttelse af den registreredes legitime interesser.

1. Medlemsstaterne fastsætter bestemmelser om, at foranstaltninger, der har retlige virkninger for den registrerede eller påvirker vedkommende i væsentlig grad, og som helt eller delvist er baseret på automatisk behandling af personoplysninger med henblik på vurdering af visse individuelle aspekter vedrørende den registreredes person, skal forbydes, medmindre de er tilladt ved en lov, som også indeholder bestemmelser til beskyttelse af den registreredes legitime interesser.

2. Automatisk behandling af personoplysninger, der har til formål at vurdere bestemte personlige forhold vedrørende den registrerede, må ikke alene baseres på de særlige kategorier af personoplysninger, der er nævnt i artikel 8.

2. Automatisk behandling af personoplysninger, der har til formål at vurdere bestemte personlige forhold vedrørende den registrerede, må ikke baseres på de særlige kategorier af personoplysninger, der er nævnt i artikel 8.

 

2a. Automatisk behandling af personoplysninger, der har til formål at udpege en registreret uden oprindelig mistanke om, at den registrerede kan have begået eller vil begå en straffelovsovertrædelse, er kun tilladt, hvis og i det omfang, at det er strengt nødvendigt for efterforskningen af en alvorlig lovovertrædelse eller med grundlag i faktiske holdepunkter forebyggelsen af en tydelig og umiddelbar fare for den offentlige sikkerhed, statens eksistens eller personers liv.

 

2b. Profilering, der (tilsigtet eller utilsigtet) indebærer diskrimination af personer på grund af race eller etnisk oprindelse, politisk overbevisning, religion eller tro, fagforeningsmæssigt tilhørsforhold, køn eller seksuel orientering, eller som (tilsigtet eller utilsigtet) fører til foranstaltninger, der har en sådan virkning, er altid ulovlig.

Ændringsforslag  72

Forslag til direktiv

Artikel 9 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 9a

 

Generelle principper for registreredes rettigheder

 

1. Medlemsstaterne sikrer, at grundlaget for databeskyttelsen er klart med veldefinerede rettigheder for den registrerede, som skal overholdes af den registeransvarlige. Bestemmelserne i dette direktiv tilsigter at styrke, afklare, sikre og i givet fald kodificere disse rettigheder.

 

2. Medlemsstaterne sikrer, at disse rettigheder bl.a. omfatter fremlæggelsen af klare og letforståelige oplysninger om behandlingen af vedkommendes personoplysninger, retten til indsigt, rettelse og sletning af vedkommendes oplysninger, retten til at indhente oplysninger, retten til at indgive en klage til den kompetente databeskyttelsesmyndighed og til at lægge sag an samt retten til kompensation og erstatning i tilfælde af ulovlig behandling. Sådanne rettigheder skal normalt kunne udøves gratis. Den registeransvarlige skal besvare henvendelser fra den registrerede inden for en rimelig frist.

Ændringsforslag  73

Forslag til direktiv

Artikel 10

Kommissionens forslag

Ændringsforslag

Nærmere bestemmelser om udøvelsen af den registreredes rettigheder

Nærmere bestemmelser om udøvelsen af den registreredes rettigheder

1. Medlemsstaterne sørger for, at den registeransvarlige træffer alle rimelige foranstaltninger for at fastsætte gennemsigtige og lettilgængelige regler for behandlingen af personoplysninger og udøvelsen af registreredes rettigheder.

1. Medlemsstaterne sørger for, at den registeransvarlige har gennemsigtige og lettilgængelige regler for behandlingen af personoplysninger og udøvelsen af registreredes rettigheder.

2. Medlemsstaterne sørger for, at den registeransvarlige udleverer alle oplysninger og meddelelser vedrørende behandlingen af personoplysninger til den registrerede i en letforståelig form og i et klart og forståeligt sprog.

2. Medlemsstaterne sørger for, at den registeransvarlige udleverer alle oplysninger og meddelelser vedrørende behandlingen af personoplysninger til den registrerede i en letforståelig form og i et klart og forståeligt sprog, navnlig når disse oplysninger specifikt er rettet mod et barn.

3. Medlemsstaterne sørger for, at den registeransvarlige træffer alle rimelige foranstaltninger for at fastlægge procedurer for udlevering af de oplysninger, der er omhandlet i artikel 11, og for udøvelsen af de registreredes rettigheder som omhandlet i artikel 12-17.

3. Medlemsstaterne sørger for, at den registeransvarlige fastlægger procedurer for udlevering af de oplysninger, der er omhandlet i artikel 11, og for udøvelsen af de registreredes rettigheder som omhandlet i artikel 12-17. Når personoplysninger behandles automatisk, skal den registeransvarlige ligeledes give mulighed for elektronisk behandling af anmodninger.

4. Medlemsstaterne sikrer, at den registeransvarlige informerer den registrerede om, hvordan dennes anmodning følges op uden unødig forsinkelse.

4. Medlemsstaterne sikrer, at den registeransvarlige informerer den registrerede om, hvordan dennes anmodning følges op uden forsinkelse og under alle omstændigheder senest en måned efter modtagelsen af anmodningen. Denne meddelelse gives skriftligt. Hvis den registrerede indgiver anmodningen elektronisk, gives meddelelsen elektronisk.

5. Medlemsstaterne fastsætter bestemmelser om, at informeringen og foranstaltninger, som den registeransvarlige træffer efter anmodning, jf. stk. 3 og 4, er gratis. Hvis anmodninger er usaglige, bl.a. fordi de gentages, eller på grund af deres størrelse eller omfang, kan den registeransvarlige opkræve et gebyr for fremsendelse af meddelelsen eller iværksættelse af den ønskede handling, eller den registeransvarlige kan undlade at iværksætte den ønskede handling. I det tilfælde bærer den registeransvarlige ansvaret for at bevise, at anmodningen er usaglig.

5. Medlemsstaterne fastsætter bestemmelser om, at informeringen og foranstaltninger, som den registeransvarlige træffer efter anmodning, jf. stk. 3 og 4, er gratis. Hvis anmodninger er tydeligt overdrevne, bl.a. fordi de gentages, kan den registeransvarlige opkræve et rimeligt gebyr under hensyntagen til de administrative omkostninger for fremsendelse af meddelelsen eller iværksættelse af den ønskede handling I det tilfælde bærer den registeransvarlige ansvaret for at bevise, at anmodningen er tydeligt overdreven.

 

5a. Medlemsstaterne kan fastsætte bestemmelser om, at den registrerede kan udøve sine rettigheder direkte over for den registeransvarlige eller med den kompetente nationale tilsynsmyndighed som mellemmand. Såfremt tilsynsmyndigheden har reageret på den registreredes anmodning, orienterer tilsynsmyndigheden den registrerede om den kontrol, der er foretaget.

Ændringsforslag  74

Forslag til direktiv

Artikel 11

Kommissionens forslag

Ændringsforslag

Information til den registrerede

Information til den registrerede

1. Medlemsstaterne sikrer, at den registeransvarlige ved indsamling af personoplysninger om den registrerede træffer alle nødvendige foranstaltninger for at sikre, at den registeransvarlige modtager mindst følgende oplysninger:

1. Medlemsstaterne sikrer, at den registeransvarlige ved indsamling af personoplysninger om den registrerede giver den registrerede mindst følgende oplysninger:

(a) identitet og kontaktoplysninger for den registeransvarlige og for den databeskyttelsesansvarlige

(a) identitet og kontaktoplysninger for den registeransvarlige og for den databeskyttelsesansvarlige

(b) formålene med den behandling, hvortil oplysningerne er bestemt

(b) retsgrundlaget og formålene med den behandling, hvortil oplysningerne er bestemt

(c) det tidsrum, hvori personoplysningerne opbevares

(c) det tidsrum, hvori personoplysningerne opbevares

(d) retten til at anmode den registeransvarlige om indsigt i og berigtigelse eller sletning af personoplysninger vedrørende den registrerede eller begrænsning af behandlingen heraf

(d) retten til at anmode den registeransvarlige om indsigt i og berigtigelse eller sletning af personoplysninger vedrørende den registrerede eller begrænsning af behandlingen heraf

(e) retten til at indgive klage til den tilsynsmyndighed, der er omhandlet i artikel 39, og kontaktoplysninger til tilsynsmyndigheden

(e) retten til at indgive klage til den tilsynsmyndighed, der er omhandlet i artikel 39, og kontaktoplysninger til tilsynsmyndigheden

(f) modtagerne eller kategorierne af modtagere af personoplysningerne, herunder i tredjelande eller internationale organisationer

(f) modtagerne af personoplysningerne, herunder i tredjelande eller internationale organisationer, som er bemyndiget til at få adgang til disse oplysninger i henhold til det pågældende tredjelands lovgivning eller til bestemmelserne for den pågældende internationale organisation, den eventuelle eksistens af en afgørelse om kriteriernes tilstrækkelighed eller i tilfælde af overførsler som omhandlet i artikel 35 eller 36 muligheden for at opnå en kopi at de sikkerhedsforanstaltninger, der anvendes i forbindelse med overførslen;

 

(fa) hvis den registeransvarlige behandler personoplysninger i henhold til artikel 9, stk. 1, oplysninger om, at der finder behandling sted med henblik på en foranstaltning af den art, der er omhandlet i artikel 9, stk. 1, og de tilsigtede konsekvenser af denne behandling for den registrerede samt om den logik, der anvendes i forbindelse med profileringen samt om retten til at få foretaget en menneskelig vurdering;

 

(fb) oplysninger om sikkerhedsforanstaltninger, der træffes for at beskytte personoplysninger

(g) yderligere information, for så vidt denne information er nødvendig under hensyn til de særlige forhold, hvorunder personoplysningerne behandles, for at garantere en retfærdig behandling af den registrerede.

(g) yderligere information, for så vidt denne information er nødvendig under hensyn til de særlige forhold, hvorunder personoplysningerne behandles, for at garantere en retfærdig behandling af den registrerede.

2. Hvis personoplysningerne indsamles fra den registrerede, meddeler den registeransvarlige i tillæg til de i stk. 1 omhandlede oplysninger den registrerede, hvorvidt indgivelsen af personoplysninger er obligatorisk eller frivillig, og de mulige konsekvenser, hvis sådanne oplysninger ikke indgives.

2. Hvis personoplysningerne indsamles fra den registrerede, meddeler den registeransvarlige i tillæg til de i stk. 1 omhandlede oplysninger den registrerede, hvorvidt indgivelsen af personoplysninger er obligatorisk eller frivillig, og de mulige konsekvenser, hvis sådanne oplysninger ikke indgives.

3. Den registeransvarlige fremlægger de oplysninger, der er omhandlet i stk. 1:

3. Den registeransvarlige fremlægger de oplysninger, der er omhandlet i stk. 1:

(a) på det tidspunkt, hvor personoplysningerne indhentes fra den registrerede, eller

(a) på det tidspunkt, hvor personoplysningerne indhentes fra den registrerede, eller

(b) såfremt personoplysningerne ikke indsamles fra den registrerede, på tidspunktet for registreringen eller inden for et rimeligt tidsrum efter indsamlingen afhængigt af de konkrete omstændigheder for behandlingen af oplysningerne.

(b) såfremt personoplysningerne ikke indsamles fra den registrerede, på tidspunktet for registreringen eller inden for et rimeligt tidsrum efter indsamlingen afhængigt af de konkrete omstændigheder for behandlingen af oplysningerne.

4. Medlemsstaterne kan træffe lovgivningsmæssige foranstaltninger, der udsætter eller begrænser informeringen af de registrerede eller deres ret til indsigt i oplysningerne, eller forhindrer dem i at blive informeret eller få indsigt i oplysningerne, i det omfang en sådan delvis eller fuldstændig begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til de pågældendes legitime interesser:

4. Medlemsstaterne kan træffe lovgivningsmæssige foranstaltninger, der udsætter eller begrænser informeringen af de registrerede i en bestemt sag i det omfang en sådan delvis eller fuldstændig begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til de pågældendes grundlæggende rettigheder og legitime interesser:

(a) for at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

(a) for at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

(b) for at undgå, at forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af strafbare handlinger skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner

(b) for at undgå, at forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af strafbare handlinger skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner

(c) for at beskytte den offentlige sikkerhed

(c) for at beskytte den offentlige sikkerhed

(d) for at beskytte den nationale sikkerhed

(d) for at beskytte den nationale sikkerhed

(e) for at beskytte andres rettigheder og friheder.

(e) for at beskytte andres rettigheder og friheder.

5. Medlemsstaterne kan fastsætte de kategorier af databehandling, der helt eller delvis er omfattet af undtagelserne i stk. 4.

5. Medlemsstaterne indfører bestemmelser om, at den registeransvarlige i de enkelte tilfælde gennem en konkret og individuel undersøgelse bør vurdere, hvorvidt en delvis eller fuldstændig begrænsning af en af de i stk. 4 anførte årsager finder anvendelse. Medlemsstaterne kan ligeledes ved lov fastsætte de kategorier af databehandling, der helt eller delvis er omfattet af undtagelserne i stk. 4, litra a), b), c) og d).

Ændringsforslag  75

Forslag til direktiv

Artikel 12

Kommissionens forslag

Ændringsforslag

Den registreredes ret til indsigt

Den registreredes ret til indsigt

1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til fra den registeransvarlige at få bekræftet, om personoplysninger vedrørende vedkommende behandles. Hvis sådanne personoplysninger behandles, fremlægger den registeransvarlige følgende oplysninger:

1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til fra den registeransvarlige at få bekræftet, om personoplysninger vedrørende vedkommende behandles. Hvis sådanne personoplysninger behandles, fremlægger den registeransvarlige følgende oplysninger, hvis det ikke allerede er sket:

 

(-a) hvilke personoplysninger der er omfattet af behandlingen, samt enhver tilgængelig information om, hvorfra disse oplysninger stammer, og i givet fald, letforståelige oplysninger om, hvad der ligger til grund for behandlingen af oplysningerne

 

(-aa) betydningen og de forventede konsekvenser af denne behandling, i det mindste hvad angår de foranstaltninger, der er omhandlet i artikel 9.

(a) formålene med behandlingen

(a) formålene med og retsgrundlaget for behandlingen

 

(b) de pågældende kategorier af personoplysninger

(b) de pågældende kategorier af personoplysninger

(c) de modtagere eller kategorier af modtagere, som personoplysningerne er blevet videregivet til, navnlig modtagere i tredjelande

(c) de modtagere, som personoplysningerne er blevet videregivet til, navnlig modtagere i tredjelande

(d) det tidsrum, hvori personoplysningerne opbevares

(d) det tidsrum, hvori personoplysningerne opbevares

(e) retten til at anmode den registeransvarlige om at få berigtiget, eller slettet personoplysninger om den registrerede eller begrænset behandlingen heraf

(e) retten til at anmode den registeransvarlige om at få berigtiget, eller slettet personoplysninger om den registrerede eller begrænset behandlingen heraf

(f) retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysningerne for tilsynsmyndigheden

(f) retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysningerne for tilsynsmyndigheden

(g) hvilke personoplysninger der er omfattet af behandlingen, samt enhver tilgængelig information om, hvorfra disse oplysninger stammer

 

2. Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til fra den registeransvarlige at modtage en kopi af de personoplysninger, der er genstand for behandling.

2. Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til fra den registeransvarlige at modtage en kopi af de personoplysninger, der er genstand for behandling. Hvis den registrerede indgiver anmodningen elektronisk, gives meddelelsen elektronisk, medmindre den registrerede anmoder om andet.

(Stk. 1, litra g, i Kommissionens tekst er blevet til en del af stk. 1, litra –aa, i Parlamentets ændringsforslag).

Ændringsforslag  76

Forslag til direktiv

Artikel 13

Kommissionens forslag

Ændringsforslag

Begrænsninger af retten til indsigt

Begrænsninger af retten til indsigt

1. Medlemsstaterne kan træffe lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser eller udsætter den registreredes ret til indsigt, i det omfang en sådan delvis eller fuldstændig begrænsning er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under hensyn til den pågældendes legitime interesser:

1. Medlemsstaterne kan træffe lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser eller udsætter den registreredes ret til indsigt i det enkelte tilfælde, i det omfang og i det tidsrum en sådan delvis eller fuldstændig begrænsning er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under hensyn til den pågældendes grundlæggende rettigheder og legitime interesser:

(a) for at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

(a) for at undgå, at der lægges hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer

(b) for at undgå, at forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af straffelovsovertrædelser skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner

(b) for at undgå, at forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af straffelovsovertrædelser skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner

(c) for at beskytte den offentlige sikkerhed

(c) for at beskytte den offentlige sikkerhed

(d) for at beskytte den nationale sikkerhed

(d) for at beskytte den nationale sikkerhed

(e) for at beskytte andres rettigheder og friheder.

(e) for at beskytte andres rettigheder og friheder.

2. Medlemsstaterne kan ved lov fastsætte de kategorier af databehandling, der helt eller delvis er omfattet af undtagelserne i stk. 1.

2. Medlemsstaterne indfører bestemmelser om, at den registeransvarlige i de enkelte tilfælde gennem en konkret og individuel undersøgelse vurderer, hvorvidt en delvis eller fuldstændig begrænsning af en af de i stk. 1 anførte årsager finder anvendelse. Medlemsstaterne kan ligeledes ved lov fastsætte de kategorier af databehandling, der helt eller delvis er omfattet af undtagelserne i stk. 1, litra a)-d).

3. I de i stk. 1 og 2 omhandlede tilfælde fastsætter medlemsstaterne bestemmelser om, at den registeransvarlige skal give den registrerede skriftlig meddelelse om ethvert afslag på at få indsigt i personoplysninger eller begrænsning af indsigten, årsagerne hertil og om mulighederne for at indgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans. Oplysningerne om de faktiske eller retlige grunde, som afgørelsen hviler på, kan udelades, hvis sådanne oplysninger vil være til skade for et af formålene i stk. 1.

3. I de i stk. 1 og 2 omhandlede tilfælde fastsætter medlemsstaterne bestemmelser om, at den registeransvarlige straks skal give den registrerede skriftlig meddelelse om ethvert afslag på at få indsigt i personoplysninger eller begrænsning af indsigten, begrundelsen herfor og om mulighederne for at indgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans. Oplysningerne om de faktiske eller retlige grunde, som afgørelsen hviler på, kan udelades, hvis sådanne oplysninger vil være til skade for et af formålene i stk. 1.

4. Medlemsstaterne sikrer, at den registeransvarlige dokumenterer begrundelsen for at udelade oplysningerne om de faktiske eller retlige grunde, som afgørelsen hviler på.

4. Medlemsstaterne sikrer, at den registeransvarlige dokumenterer vurderingen, jf. stk. 2, samt begrundelsen for at begrænse oplysningerne om de faktiske eller retlige grunde, som afgørelsen hviler på. Disse oplysninger stilles til rådighed for de nationale tilsynsmyndigheder.

Ændringsforslag  77

Forslag til direktiv

Artikel 14

Kommissionens forslag

Ændringsforslag

Nærmere bestemmelser om udøvelsen af retten til indsigt

Nærmere bestemmelser om udøvelsen af retten til indsigt

1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede, navnlig i de i artikel 13 omhandlede tilfælde, har ret til at anmode tilsynsmyndigheden om at kontrollere, om behandlingen er lovlig.

1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede til enhver tid, navnlig i de i artikel 12 og 13 omhandlede tilfælde, har ret til at anmode tilsynsmyndigheden om at kontrollere, om behandlingen er lovlig.

2. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal underrette den registrerede om retten til at anmode tilsynsmyndigheden om at gribe ind, jf. stk. 1.

2. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal underrette den registrerede om retten til at anmode tilsynsmyndigheden om at gribe ind, jf. stk. 1.

3. Hvis den i stk. 1 omhandlede ret udøves, underretter den pågældende tilsynsmyndighed som minimum den registrerede om, at alle tilsynsmyndighedens nødvendige kontroller er foretaget, og om hvorvidt den pågældende behandling er lovlig.

3. Hvis den i stk. 1 omhandlede ret udøves, underretter den pågældende tilsynsmyndighed som minimum den registrerede om, at alle tilsynsmyndighedens nødvendige kontroller er foretaget, og om hvorvidt den pågældende behandling er lovlig. Tilsynsmyndigheden oplyser også den registrerede om dennes ret til domstolsprøvelse.

 

3a. Medlemsstaterne kan fastsætte bestemmelser om, at den registrerede kan udøve sine rettigheder direkte over for den registeransvarlige eller med den kompetente nationale tilsynsmyndighed som mellemmand.

 

3b. Medlemsstaterne sikrer, at den registeransvarlige har en rimelig tidsfrist for at besvare anmodninger fra den registrerede, når vedkommende udøver sin ret til indsigt.

Ændringsforslag  78

Forslag til direktiv

Artikel 15

Kommissionens forslag

Ændringsforslag

Ret til berigtigelse

Ret til berigtigelse og komplettering

1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede kan kræve, at den registeransvarlige berigtiger urigtige personoplysninger vedrørende den registrerede. Den registrerede har ret til få kompletteret ufuldstændige personoplysninger, bl.a. ved at kræve en berigtigelse.

1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede kan kræve, at den registeransvarlige berigtiger eller komplettere urigtige eller ufuldstændige personoplysninger vedrørende den registrerede, bl.a. ved at kræve en tilføjelse eller berigtigelse

2. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal give den registrerede skriftlig meddelelse om ethvert afslag på berigtigelse, om årsagerne til afslaget og om mulighederne for at indgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans.

2. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal give den registrerede skriftlig begrundelse for ethvert afslag på berigtigelse eller komplettering med angivelse af årsagerne til afslaget og mulighederne for at indgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans

 

2a. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal meddele enhver berigtigelse, der er udført, til hver modtager, som oplysningerne er videregivet til, medmindre dette viser sig umuligt eller er uforholdsmæssigt vanskeligt

 

2b. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige meddeler berigtigelse af ukorrekte personoplysninger til den tredjepart, som de urigtige oplysninger stammer fra.

 

2c. Medlemsstaterne kan fastsætte bestemmelser om, at den registrerede kan udøve sine rettigheder direkte over for den registeransvarlige eller med den kompetente nationale tilsynsmyndighed som mellemmand.

Ændringsforslag  79

Forslag til direktiv

Artikel 16

Kommissionens forslag

Ændringsforslag

Ret til sletning

Ret til sletning

1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede kan kræve, at den registeransvarlige sletter personoplysninger vedrørende den registrerede, hvis behandlingen ikke er i overensstemmelse med de bestemmelser, der er vedtaget i medfør af artikel 4, litra a) - e), samt artikel 7 og 8 i direktivet.

1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede kan kræve, at den registeransvarlige sletter personoplysninger vedrørende den registrerede, hvis behandlingen ikke er i overensstemmelse med de bestemmelser, der er vedtaget i medfør af artikel 4, 6, 7 og 8 i direktivet.

2. Den registeransvarlige foretager omgående sletningen.

2. Den registeransvarlige foretager omgående sletningen. Den registeransvarlige skal også afstå fra yderligere udbredelse af sådanne oplysninger.

3. I stedet for sletning begrænser den registeransvarlige behandlingen af personoplysninger, hvis:

3. I stedet for sletning begrænser den registeransvarlige så vidt muligt anvendelsen af personoplysninger, hvis:

(a) deres rigtighed bestrides af den registrerede, indtil den registeransvarlige har haft mulighed for at fastslå, om de er rigtige

(a) deres rigtighed bestrides af den registrerede, indtil den registeransvarlige har haft mulighed for at fastslå, om de er rigtige

(b) personoplysningerne skal gemmes som bevismiddel

(b) personoplysningerne skal gemmes som bevismiddel eller for at beskytte den registreredes eller andre personers vitale interesser

(c) den registrerede modsætter sig deres sletning og i stedet kræver, at anvendelsen heraf begrænses.

 

 

3a. Hvis behandlingen af personoplysninger er begrænset i henhold til stk. 3, underretter den registeransvarlige den registrerede, inden begrænsningen for behandling ophæves.

4. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal give den registrerede skriftlig meddelelse om ethvert afslag på sletning eller markering af behandlingen, om årsagerne til afslaget og mulighederne for at indgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans.

4. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal give den registrerede skriftlig begrundelse for ethvert afslag på sletning eller begrænsning med angivelse af årsagerne til afslaget og mulighederne for at indgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans

 

4a. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal meddele enhver sletning eller begrænsning, der er udført, til hver modtager, som oplysningerne er videregivet til, medmindre dette viser sig umuligt eller er uforholdsmæssigt vanskeligt Den registeransvarlige underretter den registrerede om sådanne tredjeparter.

 

4b. Medlemsstaterne kan fastsætte bestemmelser om, at den registrerede kan udøve sine rettigheder direkte over for den registeransvarlige eller med den kompetente nationale tilsynsmyndighed som mellemmand.

Ændringsforslag  80

Forslag til direktiv

Artikel 18

Kommissionens forslag

Ændringsforslag

Den registeransvarliges ansvar

Den registeransvarliges ansvar

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal fastlægge strategier og gennemføre passende foranstaltninger med henblik på at sikre, at behandlingen af personoplysninger foretages i overensstemmelse de bestemmelser, der vedtages i medfør af dette direktiv.

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige både på tidspunktet for fastlæggelsen af metoderne til behandling og på tidspunkt for selve behandlingen skal fastlægge strategier og gennemføre passende foranstaltninger med henblik på for hver behandlingsoperation at sikre og dokumentere på en gennemskuelig måde, at behandlingen af personoplysninger foretages i overensstemmelse de bestemmelser, der vedtages i medfør af dette direktiv

2. De i stk. 1 nævnte foranstaltninger omfatter især følgende:

2. De i stk. 1 nævnte foranstaltninger omfatter især følgende:

(a) opbevaring af dokumentation, jf. artikel 23

(a) opbevaring af dokumentation, jf. artikel 23

 

(aa) gennemførelse af konsekvensanalyser vedrørende databeskyttelse i henhold til artikel 25a

(b) opfyldelse af bestemmelserne om forudgående høring i henhold til artikel 26

(b) opfyldelse af bestemmelserne om forudgående høring i henhold til artikel 26

(c) gennemførelse af datasikkerhedskravene som fastsat i artikel 27

(c) gennemførelse af datasikkerhedskravene som fastsat i artikel 27

(d) udpegning af en databeskyttelsesansvarlig i henhold til artikel 30.

(d) udpegning af en databeskyttelsesansvarlig i henhold til artikel 30;

 

(da) udarbejdelse og gennemførelse af specifikke garantier vedrørende behandling af personoplysninger om børn, når det viser sig at være nødvendigt.

3. Den registeransvarlige anvender mekanismer, der har til formål at kontrollere effektiviteten af de foranstaltninger, der er omhandlet i stk. 1 i denne artikel. Denne kontrol udføres af uafhængige interne eller eksterne revisorer, hvis det er hensigtsmæssigt.

3. Den registeransvarlige anvender mekanismer, der har til formål at kontrollere tilstrækkeligheden og effektiviteten af de foranstaltninger, der er omhandlet i stk. 1 i denne artikel. Denne kontrol udføres af uafhængige interne eller eksterne revisorer, hvis det er hensigtsmæssigt.

Ændringsforslag  81

Forslag til direktiv

Artikel 19

Kommissionens forslag

Ændringsforslag

Indbygget databeskyttelse og databeskyttelse gennem indstillinger

Indbygget databeskyttelse og databeskyttelse gennem indstillinger

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen skal træffe passende tekniske og organisatoriske foranstaltninger og procedurer, således at behandlingen opfylder kravene i de bestemmelser, der vedtages i medfør af dette direktiv, og sikrer beskyttelsen af den registreredes rettigheder.

1. . Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige under hensyntagen til det aktuelle tekniske niveau, den nuværende tekniske viden, international bedste praksis og risikoen i forbindelse med den pågældende behandling af oplysninger, både når formålet med og metoderne til behandling fastlægges, og når selve behandlingen foretages, skal træffe passende tekniske og organisatoriske foranstaltninger og procedurer, således at behandlingen opfylder kravene i de bestemmelser, der vedtages i medfør af dette direktiv, og sikrer beskyttelsen af den registreredes rettigheder, navnlig for så vidt angår principperne i artikel 4. I forbindelse med indbygget databeskyttelse skal der tages særligt hensyn til forvaltningen af hele livscyklus for personoplysninger lige fra indsamling over behandling til sletning, idet der systematisk fokuseres på omfattende proceduremæssige sikkerhedsforanstaltninger for så vidt angår korrekthed, fortrolighed, integritet, fysisk sikkerhed og sletning af personoplysninger. Hvis den registeransvarlige har foretaget en konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 25a, skal der tages behørigt hensyn til resultaterne heraf i forbindelse med udviklingen af disse foranstaltninger og procedurer.

2. Den registeransvarlige anvender mekanismer med henblik på som udgangspunkt at sikre, at det kun er de personoplysninger, der er nødvendige til formålet med behandlingen, der behandles.

2. Den registeransvarlige sikrer som udgangspunkt at sikre, at det kun er de personoplysninger, der er nødvendige til hvert enkelt formål med behandlingen, der behandles, og at de navnlig ikke indsamles, opbevares eller videregives ud over, hvad der som minimum er nødvendigt til disse formål, både med hensyn til mængden af oplysninger og opbevaringsperioden. Disse mekanismer skal navnlig sikre, at personoplysninger som udgangspunkt ikke videregives til et ubegrænset antal personer, og at de registrerede er i stand til at kontrollere videregivelsen af deres personoplysninger.

Ændringsforslag  82

Forslag til direktiv

Artikel 20

Kommissionens forslag

Ændringsforslag

Fælles registeransvarlige

Fælles registeransvarlige

Medlemsstaterne fastsætter bestemmelser om, at når en registeransvarlig afgør, til hvilket formål, på hvilke betingelser og med hvilke hjælpemidler der må foretages behandling af personoplysninger sammen med andre registeransvarlige, skal de fælles registeransvarlige indbyrdes aftale en ordning for deres respektive ansvar for at overholde de bestemmelser, der vedtages i henhold til dette direktiv, navnlig hvad angår procedurer for og mekanismer til udøvelse af den registreredes rettigheder.

1. Medlemsstaterne fastsætter bestemmelser om, at når en registeransvarlig afgør, til hvilket formål, på hvilke betingelser og med hvilke hjælpemidler der må foretages behandling af personoplysninger sammen med andre registeransvarlige, skal de fælles registeransvarlige indbyrdes aftale en juridisk bindende ordning for deres respektive ansvar for at overholde de bestemmelser, der vedtages i henhold til dette direktiv, navnlig hvad angår procedurer for og mekanismer til udøvelse af den registreredes rettigheder.

 

2. Medmindre den registrerede er blevet orienteret om, hvem af de fælles registeransvarlige, der bærer ansvaret i medfør af stk. 1, kan den registrerede udøve sine rettigheder i henhold til dette direktiv over for og i forhold til hver af de to eller flere fælles registeransvarlige

Ændringsforslag  83

Forslag til direktiv

Artikel 21

Kommissionens forslag

Ændringsforslag

Registerfører

Registerfører

1. Medlemsstaterne fastsætter bestemmelser om, at hvis en behandling foretages på vegne af en registeransvarlig, skal den registeransvarlige vælge en registerfører, som giver de fornødne garantier for gennemførelsen af passende tekniske og organisatoriske foranstaltninger og procedurer, således at behandlingen opfylder kravene i de bestemmelser, der vedtages i medfør af dette direktiv, og sikrer beskyttelsen af den registreredes rettigheder.

1. Medlemsstaterne fastsætter bestemmelser om, at hvis en behandling foretages på vegne af en registeransvarlig, skal den registeransvarlige vælge en registerfører, som giver de fornødne garantier for gennemførelsen af passende tekniske og organisatoriske foranstaltninger og procedurer, således at behandlingen opfylder kravene i de bestemmelser, der vedtages i medfør af dette direktiv, og sikrer beskyttelsen af den registreredes rettigheder, navnlig med hensyn til de tekniske sikkerhedsforanstaltninger og organisatoriske foranstaltninger vedrørende den behandling, der skal foretages, og for at sikre overholdelsen af disse foranstaltninger.

2. Medlemsstaterne fastsætter bestemmelser om, at behandling ved en registerfører skal foretages i henhold til et retligt bindende dokument mellem registerføreren og den registeransvarlige, hvori det navnlig fastsættes, at registerføreren alene handler efter instruks fra den registeransvarlige, især hvis videregivelsen af de anvendte personoplysninger er forbudt.

2. Medlemsstaterne fastsætter bestemmelser om, at behandling ved en registerfører skal foretages i henhold til en aftale eller et retligt bindende dokument mellem registerføreren og den registeransvarlige, hvori det navnlig fastsættes, at registerføreren:

 

(a) alene handler efter instruks fra den registeransvarlige

 

(b) kun beskæftiger personale, som har accepteret at være underlagt tavshedspligt eller i henhold til lovgivningen er underlagt tavshedspligt

 

(c) iværksætter alle krævede foranstaltninger i henhold til artikel 27

 

(d) kun ansætter en anden registerfører med den registeransvarliges tilladelse og derfor underretter registerføreren om sin hensigt om at ansætte en anden registerfører i så god tid, at den registeransvarlige har mulighed for at gøre indsigelse

 

(e) for så vidt det er muligt i betragtning af behandlingens karakter, efter aftale med den registeransvarlige vedtager de nødvendige tekniske og organisatoriske forudsætninger for opfyldelsen af den registeransvarliges forpligtelse til at besvare anmodninger om udøvelse af den registreredes rettigheder som fastsat i kapitel III

 

(f) bistår den registeransvarlige i indsatsen for at sikre, at kravene i henhold til artikel 25-29 overholdes

 

(g) overdrager alle resultater til den registeransvarlige efter afslutningen af behandlingen og ikke senere behandler personoplysningerne og sletter eksisterende kopier medmindre EU-retten eller den nationale lovgivning foreskriver oplagring;

 

(h) stiller alle informationer, der er nødvendige for at kontrollere overholdelsen af kravene i denne artikel, til rådighed for den registeransvarlige og tilsynsmyndigheden

 

(i) tager hensyn til principperne om indbygget databeskyttelse og databeskyttelse gennem indstillinger.

 

2a. Den registeransvarlige og registerføreren dokumenterer skriftligt den registeransvarliges instrukser og registerførerens forpligtelse, der er omhandlet stk. 2.

3. Hvis en registerfører behandler personoplysninger ud over den registeransvarliges instrukser, betragtes registerføreren som registeransvarlig for den pågældende behandling og er underlagt reglerne for fælles registeransvarlige i artikel 20.

3. Hvis en registerfører behandler personoplysninger ud over den registeransvarliges instrukser, betragtes registerføreren som registeransvarlig for den pågældende behandling og er underlagt reglerne for fælles registeransvarlige i artikel 20.

Ændringsforslag  84

Forslag til direktiv

Artikel 22 – stk. 1 a (nyt)

Kommissionens forslag

Ændringsforslag

 

1a. Hvis en registeransvarlig har eller får en afgørende rolle i forbindelse med databehandlingens formål, midler eller metoder eller ikke udelukkende handler efter instruks fra den registeransvarlige, er der tale om fælles registeransvarlige i henhold til artikel 20.

Ændringsforslag  85

Forslag til direktiv

Artikel 23

Kommissionens forslag

Ændringsforslag

Dokumentation

Dokumentation

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og registerføreren skal opbevare dokumentation for alle behandlingssystemer og -procedurer, der anvendes under deres ansvar.

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og registerføreren skal opbevare dokumentation for alle behandlingssystemer og -procedurer, der anvendes under deres ansvar.

2. Dokumentationen omfatter mindst følgende oplysninger:

2. Dokumentationen omfatter mindst følgende oplysninger:

(a) den registeransvarliges eller en eventuel fælles registeransvarligs og registerførerens navn og kontaktoplysninger

(a) den registeransvarliges eller en eventuel fælles registeransvarligs og registerførerens navn og kontaktoplysninger

 

(aa) en juridisk bindende aftale i tilfælde af fælles registeransvarlige; liste over registerførere og aktiviteter, som er genstand for registeransvar

(b) formålene med behandlingen

(b) formålene med behandlingen

 

(ba) angivelse af de dele af den registeransvarliges eller registerførerens organisation, der forestår behandlingen af personoplysninger til et bestemt formål

 

(bb) en beskrivelse af kategorien eller kategorierne af registrerede og af de personoplysninger eller typer af personoplysninger, der vedrører dem

(c) kategorien eller kategorierne af modtagere af personoplysninger

(c) kategorien eller kategorierne af modtagere af personoplysninger

 

(ca) eventuelle oplysninger om profilering, foranstaltninger vedrørende profilering og mekanismer for indsigelse mod profilering

 

(cb) letforståelige oplysninger om logikken i enhver automatisk behandling

(d) videregivelse af oplysninger til et tredjeland eller en international organisation, herunder identifikation af dette tredjeland eller denne internationale organisation.

(d) videregivelse af oplysninger til et tredjeland eller en international organisation, herunder identifikation af dette tredjeland eller denne internationale organisation og den juridiske begrundelse for videregivelsen af oplysningerne. Der skal gives en grundig forklaring, når videregivelsen sker i henhold til artikel 35 eller 36 i dette direktiv.

 

(da) tidsfristerne for sletning af de forskellige kategorier af personoplysninger

 

(db) resultaterne af kontrollerne af de foranstaltninger, der er omhandlet i artikel 18, stk. 1

 

(dc) en angivelse af retsgrundlaget for den behandling, hvortil personoplysningerne er bestemt.

3. Den registeransvarlige og registerføreren stiller efter anmodning dokumentationen til rådighed for tilsynsmyndigheden.

3. Den registeransvarlige og registerføreren stiller efter anmodning al dokumentationen til rådighed for tilsynsmyndigheden.

Ændringsforslag  86

Forslag til direktiv

Artikel 24

Kommissionens forslag

Ændringsforslag

Registre

Registre

1. Medlemsstaterne sikrer som minimum registrering af følgende former for behandling: indsamling, ændring, søgning, videregivelse, samkøring eller sletning. Ved registrering af søgning og videregivelse skal navnlig formålet med samt datoen og tidspunktet for den pågældende behandling og i videst muligt omfang navnet på den person, som har søgt eller videregivet personoplysninger, fremgå af registreringen.

1. Medlemsstaterne sikrer som minimum registrering af følgende former for behandling: indsamling, ændring, søgning, videregivelse, samkøring eller sletning. Ved registrering af søgning og videregivelse skal navnlig formålet med samt datoen og tidspunktet for den pågældende behandling og i videst muligt omfang navnet på den person, som har søgt eller videregivet personoplysninger, samt identiteten af modtagerne af disse oplysninger, fremgå af registreringen.

2. Registrene anvendes udelukkende til at kontrollere, om databehandlingen er lovlig, til egenkontrol og til at sikre dataintegriteten og datasikkerheden.

2. Registrene anvendes udelukkende til at kontrollere, om databehandlingen er lovlig, til egenkontrol og til at sikre dataintegriteten og datasikkerheden, eller til revisionsformål både hvad angår den ansvarlige for beskyttelse af oplysninger samt den tilsynsførende for beskyttelse af oplysninger.

 

2a. Den registeransvarlige og registerføreren stiller efter anmodning dokumentationen til rådighed for tilsynsmyndigheden.

Ændringsforslag  87

Forslag til direktiv

Artikel 25

Kommissionens forslag

Ændringsforslag

Samarbejde med tilsynsmyndigheden

Samarbejde med tilsynsmyndigheden

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og registerføreren efter anmodning skal samarbejde med tilsynsmyndigheden ved udøvelsen af dennes hverv, navnlig ved at udlevere alle de oplysninger, der er nødvendige for tilsynsmyndighedens arbejde.

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og registerføreren efter anmodning skal samarbejde med tilsynsmyndigheden ved udøvelsen af dennes hverv, navnlig ved at udlevere de oplysninger, der henvises til i artikel 46, stk. 2, litra a), og ved at give adgang, jf. artikel 46, stk. 2, litra b).

2. Såfremt tilsynsmyndigheden under udøvelsen af de beføjelser, der er tillagt denne i medfør af artikel 46, litra a) og b), retter henvendelse til den registeransvarlige, skal den registeransvarlige og registerføreren svare inden for en rimelig frist. Svaret skal omfatte en redegørelse for de iværksatte foranstaltninger og de opnåede resultater som reaktion på bemærkningerne fra tilsynsmyndigheden.

2. Såfremt tilsynsmyndigheden under udøvelsen af de beføjelser, der er tillagt denne i medfør af artikel 46, stk. 1, litra a) og b), retter henvendelse til den registeransvarlige, skal den registeransvarlige og registerføreren svare inden for en rimelig frist, som fastsættes af tilsynsmyndigheden. Svaret skal omfatte en redegørelse for de iværksatte foranstaltninger og de opnåede resultater som reaktion på bemærkningerne fra tilsynsmyndigheden.

Ændringsforslag  88

Forslag til direktiv

Artikel 25 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 25a

 

Konsekvensanalyse vedrørende databeskyttelse

 

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller registerføreren, som handler på den registeransvarliges vegne, forud for behandlingen af personoplysninger eller tidligst muligt i forbindelse med igangværende behandling foretager en konsekvensanalyse af de planlagte behandlingssystemer og -procedurer for beskyttelsen af personoplysninger, når behandlingen sandsynligvis vil indebære specifikke risici for registreredes rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål.

 

2. Særlig følgende former for behandling kan indebære de i stk. 1 omhandlede specifikke risici:

 

(a) behandling af personoplysninger i store arkiveringssystemer med henblik på at forebygge, opdage, efterforske eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner

 

(b) behandling af særlige kategorier af personoplysninger, jf. artikel 8, af personoplysninger vedrørende børn og af biometriske oplysninger og positionsdata med henblik på at forebygge, opdage, efterforske eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner;

 

(c) evaluering af personlige aspekter vedrørende en fysisk person eller med henblik på analyse eller forudsigelse af en fysisk persons adfærd baseret på elektronisk databehandling, som sandsynligvis vil kunne resultere i foranstaltninger, der har retsvirkning for vedkommende eller berører vedkommende i væsentlig grad

 

(d) overvågning af offentligt tilgængelige områder, navnlig ved brug af optisk-elektronisk udstyr (videoovervågning) eller

 

(e) andre former for behandling, hvor høring af tilsynsmyndigheden er påkrævet i henhold til artikel 26, stk. 1.

 

3. Analysen omfatter som minimum:

 

(a) en systematisk beskrivelse af den planlagte behandling

 

(b) en vurdering af nødvendigheden og forholdsmæssigheden af behandlingen i forhold til formålene;

 

(c) en vurdering af risiciene for registreredes rettigheder og frihedsrettigheder og de planlagte foranstaltninger til afhjælpning af disse risici og mindskelse af omfanget af de personoplysninger, der behandles,

 

(d) sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelsen af personoplysninger og påvise overensstemmelse med de bestemmelser, der indføres i medfør af dette direktiv, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser

 

(e) en generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger

 

(f) i givet fald en liste over planlagt videregivelse overførsler af oplysninger til et tredjeland eller en international organisation med angivelse af det pågældende lands eller den pågældende internationale organisations navn og i tilfælde af overførsler i medfør af artikel 36, stk. 2, dokumentation for passende sikkerhedsforanstaltninger.

 

4. Såfremt registerføreren har udnævnt en databeskyttelsesansvarlig, inddrages vedkommende i udarbejdelsen af konsekvensanalysen

 

5. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige hører offentligheden vedrørende den planlagte behandling, uden at det berører beskyttelsen af samfundsmæssige interesser eller sikkerheden ved behandlingen.

 

6. Offentligheden skal have nem adgang til analysen, uden at det berører beskyttelsen af samfundsmæssige interesser eller sikkerheden ved behandlingen.

 

7. Kommissionen tillægges beføjelser til efter at have anmodet om en udtalelse fra Det Europæisk Databeskyttelsesråd at vedtage delegerede retsakter i overensstemmelse med artikel 56 med henblik på nærmere fastlæggelse af kriterier og betingelser for behandling, der kan medføre specifikke risici som omhandlet i stk. 1 og 2, og krav vedrørende den i stk. 3 omhandlede analyse, herunder betingelser for skalerbarhed, kontrol og mulighed for revision.

Ændringsforslag  89

Forslag til direktiv

Artikel 26

Kommissionens forslag

Ændringsforslag

Forudgående høring af tilsynsmyndigheden

Forudgående høring af tilsynsmyndigheden

1. Medlemsstaterne sikrer, at den registeransvarlige eller registerføreren hører tilsynsmyndigheden forud for behandlingen af personoplysninger, der vil indgå som en del af et nyt register, der skal oprettes, når

Medlemsstaterne sikrer, at den registeransvarlige eller registerføreren hører tilsynsmyndigheden forud for behandlingen af personoplysninger med henblik på at sikre, at den planlagte behandling sker i overensstemmelse med de bestemmelser, der er vedtaget i henhold til dette direktiv, og navnlig for at afbøde risikoen for de registrerede, når:

(a) de særlige kategorier af oplysninger, der er omhandlet i artikel 8, skal behandles

(a) en konsekvensanalyse vedrørende databeskyttelse udført i henhold til artikel 25a viser, at en behandling som følge af dens karakter, omfang og/eller formål kan indebære store konkrete risici, eller

(b) den type behandling, navnlig ved brug af nye teknologier, mekanismer eller procedurer, ellers medfører særlige risici for den registreredes grundlæggende rettigheder og frihedsrettigheder, navnlig beskyttelsen af personoplysninger

(b) tilsynsmyndigheden vurderer, at det er nødvendigt at gennemføre en forudgående høring vedrørende en specifik behandling, der sandsynligvis kan indebære specifikke risici for registreredes rettigheder og frihedsrettigheder som følge af dens karakter, omfang eller formål.

 

1a. Hvis tilsynsmyndigheden finder, at den planlagte behandling ikke er i overensstemmelse med de bestemmelser, der er vedtaget i henhold til dette direktiv, navnlig hvis risiciene ikke identificeres eller afhjælpes tilstrækkeligt, forbyder myndigheden den planlagte behandling og fremsætter forslag til, hvordan den manglende overholdelse kan afhjælpes.

2. Medlemsstaterne kan fastsætte bestemmelser om, at tilsynsmyndigheden skal udarbejde en liste over de former for behandling, hvor der i henhold til stk. 1 skal foretages en forudgående høring.

2. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden efter høring af Den Europæiske Databeskyttelsesråd udarbejder en liste over de former for behandling, hvor der i henhold til stk. 1, litra b, skal foretages en forudgående høring

 

2a. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller registerføreren indgiver den i artikel 25a omhandlede konsekvensanalyse vedrørende databeskyttelse til tilsynsmyndigheden og efter anmodning andre oplysninger, der sætter tilsynsmyndigheden i stand til at vurdere behandlingens overensstemmelse og navnlig risiciene for beskyttelsen af registreredes personoplysninger og tilknyttede garantier.

 

2b. Hvis tilsynsmyndigheden finder, at den planlagte behandling ikke er i overensstemmelse med de bestemmelser, der er vedtaget i henhold til dette direktiv, eller hvis risiciene ikke identificeres eller afhjælpes tilstrækkeligt, stiller den forslag til, hvordan den manglende overholdelse kan afhjælpes.

 

2c. Medlemsstaterne kan høre tilsynsmyndigheden, når de forbereder lovgivningsforslag til vedtagelse i det nationale parlament eller foranstaltninger baseret på et sådant lovgivningsforslag, som fastlægger karakteren af behandlingen, for at sikre, at den planlagte behandling er i overensstemmelse med dette direktiv, og for at mindske risiciene for de registrerede.

Ændringsforslag  90

Forslag til direktiv

Artikel 27

Kommissionens forslag

Ændringsforslag

Behandlingssikkerhed

Behandlingssikkerhed

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og registerføreren under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen skal træffe passende tekniske og organisatoriske foranstaltninger for at tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, behandlingen af personoplysninger indebærer, og arten af de personoplysninger, der skal beskyttes.

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og registerføreren under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen skal træffe passende tekniske og organisatoriske foranstaltninger og procedurer for at tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, behandlingen af personoplysninger indebærer, og arten af de personoplysninger, der skal beskyttes.

2. Med henblik på automatisk databehandling af oplysninger fastsætter medlemsstaterne bestemmelser om, at den registeransvarlige eller registerføreren på grundlag af en risikovurdering skal gennemføre foranstaltninger til at sikre:

2. Med henblik på automatisk databehandling af oplysninger fastsætter medlemsstaterne bestemmelser om, at den registeransvarlige eller registerføreren på grundlag af en risikovurdering skal gennemføre foranstaltninger til at sikre:

(a) at uautoriserede personer ikke kan få adgang til det edb-udstyr, der benyttes til behandling af personoplysninger (kontrol med fysisk adgang til udstyret)

(a) at uautoriserede personer ikke kan få adgang til det edb-udstyr, der benyttes til behandling af personoplysninger (kontrol med fysisk adgang til udstyret)

(b) at datamedier hverken kan læses, kopieres, ændres eller fjernes af uautoriserede personer (kontrol med datamedier)

(b) at datamedier hverken kan læses, kopieres, ændres eller fjernes af uautoriserede personer (kontrol med datamedier)

(c) at der ikke sker uautoriseret indlæsning af oplysninger samt uautoriseret læsning, ændring eller sletning af opbevarede personoplysninger (kontrol med opbevaring)

(c) at der ikke sker uautoriseret indlæsning af oplysninger samt uautoriseret læsning, ændring eller sletning af opbevarede personoplysninger (kontrol med opbevaring)

(d) at automatiske databehandlingssystemer ikke via datakommunikationsudstyr kan benyttes af uautoriserede personer (brugerkontrol)

(d) at automatiske databehandlingssystemer ikke via datakommunikationsudstyr kan benyttes af uautoriserede personer (brugerkontrol)

(e) at personer med bemyndigelse til at anvende et automatisk databehandlingssystem kun har adgang til de oplysninger, der er omfattet af deres adgangstilladelse (kontrol med dataadgangen)

(e) at personer med bemyndigelse til at anvende et automatisk databehandlingssystem kun har adgang til de oplysninger, der er omfattet af deres adgangstilladelse (kontrol med dataadgangen)

(f) at det er muligt at kontrollere og fastslå, til hvilke organer der er blevet videregivet eller kan videregives eller stilles personoplysninger til rådighed ved hjælp af datakommunikationsudstyr (kommunikationskontrol)

(f) at det er muligt at kontrollere og fastslå, til hvilke organer der er blevet videregivet eller kan videregives eller stilles personoplysninger til rådighed ved hjælp af datakommunikationsudstyr (kommunikationskontrol)

(g) at det er muligt efterfølgende at undersøge og fastslå, hvilke personoplysninger der er indlæst i automatiske databehandlingssystemer, hvornår og af hvem (kontrol med indlæsning)

(g) at det er muligt efterfølgende at undersøge og fastslå, hvilke personoplysninger der er indlæst i automatiske databehandlingssystemer, hvornår og af hvem (kontrol med indlæsning)

(h) at der ikke er mulighed for ubemyndiget læsning, kopiering, ændring eller sletning af personoplysninger under overførsler af disse eller under transport af datamedier (transportkontrol)

(h) at der ikke er mulighed for ubemyndiget læsning, kopiering, ændring eller sletning af personoplysninger under overførsler af disse eller under transport af datamedier (transportkontrol)

(i) at de anvendte systemer i tilfælde af teknisk uheld kan genetableres (genopretning)

(i) at de anvendte systemer i tilfælde af teknisk uheld kan genetableres (genopretning)

(j) at systemet fungerer, at indtrufne fejl meldes (pålidelighed), og at opbevarede personoplysninger ikke bliver ødelagt som følge af fejlfunktioner i systemet (integritet).

(j) at systemet fungerer, at indtrufne fejl meldes (pålidelighed), og at opbevarede personoplysninger ikke bliver forkerte som følge af fejlfunktioner i systemet (integritet);

 

(ja) at der i tilfælde af behandling af følsomme personoplysninger i medfør af artikel 8 gennemføres yderligere sikkerhedsforanstaltninger for at sikre bevidsthed omkring sikkerhedssituationen og evnen til at handle forebyggende, korrigerende og afbødende i næsten realtid over for konstaterede svagheder eller hændelser, som kan udgøre en risiko for oplysningerne.

 

2a. Medlemsstaterne fastsætter bestemmelser om, at der som registerfører kun må udpeges personer, der kan garantere, at de træffer de fornødne tekniske og organisatoriske foranstaltninger, der er omhandlet i stk. 1, og overholder de instrukser, der er omhandlet i artikel 21, stk. 2, litra a). Den kompetente myndighed overvåger, at registerføreren overholder disse krav.

3. Kommissionen kan om nødvendigt vedtage gennemførelsesretsakter med henblik på at specificere, hvordan kravene i stk. 1 og 2 gælder i forskellige situationer, navnlig krypteringsstandarder. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 57, stk. 2.

3. Kommissionen kan om nødvendigt vedtage gennemførelsesretsakter med henblik på at specificere, hvordan kravene i stk. 1 og 2 gælder i forskellige situationer, navnlig krypteringsstandarder. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 57, stk. 2.

Ændringsforslag  91

Forslag til direktiv

Artikel 28

Kommissionens forslag

Ændringsforslag

Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden

Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige ved brud på persondatasikkerheden uden unødig forsinkelse, og når det er muligt, senest 24 timer, efter at den pågældende er blevet opmærksom herpå, skal anmelde bruddet på persondatasikkerheden til tilsynsmyndigheden. Hvis anmeldelsen ikke sker inden 24 timer, fremlægger den registeransvarlige på anmodning en underbygget begrundelse herfor for tilsynsmyndigheden.

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige ved brud på persondatasikkerheden uden unødig forsinkelse, og når det er muligt, senest 24 timer, efter at den pågældende er blevet opmærksom herpå, skal anmelde bruddet på persondatasikkerheden til tilsynsmyndigheden. Den registeransvarlige fremlægger på anmodning en underbygget begrundelse for en eventuel forsinkelse for tilsynsmyndigheden

2. Registerføreren varsler og underretter omgående den registeransvarlige, efter at den pågældende er blevet opmærksom på, at der er sket et brud på persondatasikkerheden.

2. Registerføreren varsler og underretter uden unødig forsinkelse den registeransvarlige, efter at det er konstateret, at der er sket et brud på persondatasikkerheden

3. Den i stk. 1 omhandlede anmeldelse skal mindst:

3. Den i stk. 1 omhandlede anmeldelse skal mindst:

(a) beskrive karakteren af bruddet på persondatasikkerheden, herunder kategorier og antal berørte registrerede samt kategorier og antal berørte registre

(a) beskrive karakteren af bruddet på persondatasikkerheden, herunder kategorier og antal berørte registrerede samt kategorier og antal berørte registre

(b) angive identitet og kontaktoplysninger for den i stk. 30 omhandlede databeskyttelsesansvarlige eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes

(b) angive identitet og kontaktoplysninger for den i stk. 30 omhandlede databeskyttelsesansvarlige eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes

(c) anbefale foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på persondatasikkerheden

(c) anbefale foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på persondatasikkerheden

(d) beskrive de mulige konsekvenser af bruddet på persondatasikkerheden

(d) beskrive de mulige konsekvenser af bruddet på persondatasikkerheden

(e) beskrive de foranstaltninger, som den registeransvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden.

(e) beskrive de foranstaltninger, som den registeransvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden eller afbøde konsekvenserne.

 

Såfremt alle oplysninger ikke kan fremlægges uden unødig forsinkelse, kan den registeransvarlige supplere meddelelsen på et senere tidspunkt.

4. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal dokumentere alle brud på persondatasikkerheden, herunder omstændighederne ved bruddet, dets virkninger og de iværksatte afhjælpende foranstaltninger. Denne dokumentation skal være tilstrækkeligt detaljeret til at sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel overholdes. Dokumentationen skal kun indeholde de oplysninger, der er nødvendige til dette formål.

4. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal dokumentere alle brud på persondatasikkerheden, herunder omstændighederne ved bruddet, dets virkninger og de iværksatte afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel overholdes Dokumentationen skal kun indeholde de oplysninger, der er nødvendige til dette formål.

 

4a. Tilsynsmyndigheden fører et offentligt register over de forskellige former for brud, der er anmeldt.

5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 56 med henblik på yderligere at specificere kriterier for og krav til, hvordan databrud som omhandlet i stk. 1 og 2 fastslås, og under hvilke særlige omstændigheder en registeransvarlig og registerfører har pligt til at anmelde brud på persondatasikkerheden.

5. Kommissionen tillægges beføjelser til efter at have anmodet om en udtalelse fra Det Europæiske Databeskyttelsesråd at vedtage delegerede retsakter i overensstemmelse med artikel 56 med henblik på yderligere at specificere kriterier for og krav til, hvordan databrud som omhandlet i stk. 1 og 2 fastslås, og under hvilke særlige omstændigheder en registeransvarlig og registerfører har pligt til at anmelde brud på persondatasikkerheden.

6. Kommissionen kan fastlægge standardformatet for en sådan anmeldelse til tilsynsmyndigheden, procedurerne for anmeldelsespligten samt formen og de nærmere regler for den dokumentation, der er omhandlet i stk. 4, herunder tidsfrister for sletning af oplysninger deri. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 57, stk. 2.

6. Kommissionen kan fastlægge standardformatet for en sådan anmeldelse til tilsynsmyndigheden, procedurerne for anmeldelsespligten samt formen og de nærmere regler for den dokumentation, der er omhandlet i stk. 4, herunder tidsfrister for sletning af oplysninger deri. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 57, stk. 2.

Ændringsforslag  92

Forslag til direktiv

Artikel 29

Kommissionens forslag

Ændringsforslag

Meddelelse af brud på persondatasikkerheden til den registrerede

Meddelelse af brud på persondatasikkerheden til den registrerede

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige, når bruddet på persondatasikkerheden kan forventes at krænke personoplysninger eller privatlivets fred for den registrerede, efter den i artikel 28 omhandlede anmeldelse skal underrette den registrerede om bruddet på persondatasikkerheden uden unødig forsinkelse.

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige, når bruddet på persondatasikkerheden kan forventes at krænke personoplysninger eller privatlivets fred for den registrerede og dennes rettigheder eller legitime interesser, efter den i artikel 28 omhandlede anmeldelse skal underrette den registrerede om bruddet på persondatasikkerheden uden unødig forsinkelse

2. Meddelelsen til den registrerede i henhold til stk. 1 skal beskrive arten af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og anbefalinger, der er omhandlet i artikel 28, stk. 3, litra b) og c).

2. Meddelelsen til den registrerede i henhold til stk. 1 skal affattes på er klart og letforståeligt sprog. Den skal beskrive arten af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og anbefalinger, der er omhandlet i artikel 28, stk. 3, litra b, c og d, og indeholde oplysninger om den registreredes rettigheder, herunder klagemulighederne.

3. Det er ikke nødvendigt at underrette den registrerede om et brud på persondatasikkerheden, hvis tilsynsmyndigheden finder det godtgjort fra den registeransvarliges side, at denne har gennemført passende teknologiske beskyttelsesforanstaltninger, og at disse foranstaltninger er blevet anvendt på de personoplysninger, som bruddet på persondatasikkerheden vedrørte. Sådanne teknologiske beskyttelsesforanstaltninger skal gøre dataene uforståelige for alle, der ikke har lovlig adgang hertil.

3. Det er ikke nødvendigt at underrette den registrerede om et brud på persondatasikkerheden, hvis tilsynsmyndigheden finder det godtgjort fra den registeransvarliges side, at denne har gennemført passende teknologiske beskyttelsesforanstaltninger, og at disse foranstaltninger er blevet anvendt på de personoplysninger, som bruddet på persondatasikkerheden vedrørte. Sådanne teknologiske beskyttelsesforanstaltninger skal gøre dataene uforståelige for alle, der ikke har lovlig adgang hertil.

 

3a. Uden at det berører den registeransvarliges forpligtelse til at underrette den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden, i tilfælde hvor den registeransvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, og efter at have vurderet bruddets sandsynlige negative virkninger, kræve, at den registeransvarlige gør dette.

4. Underretningen af den registrerede kan forsinkes, begrænses eller undlades af de årsager, der er omhandlet i artikel 11, stk. 4.

4. Underretningen af den registrerede kan forsinkes eller begrænses af de årsager, der er omhandlet i artikel 11, stk. 4.

Ændringsforslag  93

Forslag til direktiv

Artikel 30

Kommissionens forslag

Ændringsforslag

Udpegning af den databeskyttelsesansvarlige

Udpegning af den databeskyttelsesansvarlige

1. Medlemsstaterne sørger for, at den registeransvarlige eller registerføreren udpeger en databeskyttelsesansvarlig.

1. Medlemsstaterne sørger for, at den registeransvarlige eller registerføreren udpeger en databeskyttelsesansvarlig.

2. Den databeskyttelsesansvarlige udpeges på grundlag af sine faglige kvalifikationer, herunder navnlig ekspertise inden for databeskyttelseslovgivning og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 32.

2. Den databeskyttelsesansvarlige udpeges på grundlag af sine faglige kvalifikationer, herunder navnlig ekspertise inden for databeskyttelseslovgivning og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 32. Den nødvendige ekspertviden fastlægges navnlig i henhold til den databehandling, der skal udføres, og den beskyttelse, der kræves for de personoplysninger, som den registeransvarlige eller registerføreren behandler

 

2a. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller registerføreren sikre, at den databeskyttelsesansvarliges øvrige arbejdsopgaver er forenelige med den pågældendes opgaver og hverv som databeskyttelsesansvarlig og ikke indebærer interessekonflikt.

 

2b. Den databeskyttelsesansvarlige udpeges for en periode på mindst fire år. Den databeskyttelsesansvarlige kan genudnævnes til yderligere perioder. I sin embedsperiode kan den databeskyttelsesansvarlige kun afskediges fra denne stilling, hvis vedkommende ikke længere opfylder betingelserne for at varetage hvervet.

 

2c. Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til at kontakte den databeskyttelsesansvarlige om alle spørgsmål vedrørende behandlingen af vedkommendes personoplysninger.

3. Den databeskyttelsesansvarlige kan udpeges for flere enheder under hensyntagen til den kompetente myndigheds organisatoriske struktur.

3. Den databeskyttelsesansvarlige kan udpeges for flere enheder under hensyntagen til den kompetente myndigheds organisatoriske struktur.

 

3a. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige eller registerføreren meddeler navnet på og kontaktoplysningerne for den databeskyttelsesansvarlige til tilsynsmyndigheden og offentligheden.

Ændringsforslag  94

Forslag til direktiv

Artikel 31 – stk. 2 a (nyt)

Kommissionens forslag

Ændringsforslag

 

2a. Den registeransvarlige eller registerføreren støtter den databeskyttelsesansvarlige i udøvelsen af dennes hverv og tilvejebringer alle midler, herunder personale, lokaler, udstyr og andre ressourcer, der er nødvendige for udøvelsen af det hverv, der er omhandlet i artikel 32, og for opretholdelse af dennes faglige kundskaber.

Ændringsforslag  95

Forslag til direktiv

Artikel 32

Kommissionens forslag

Ændringsforslag

Den databeskyttelsesansvarliges hverv

Den databeskyttelsesansvarliges hverv

Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og registerføreren mindst skal overdrage følgende opgaver til den databeskyttelsesansvarlige:

Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og registerføreren mindst skal overdrage følgende opgaver til den databeskyttelsesansvarlige:

(a) at underrette og rådgive den registeransvarlige eller registerføreren om deres forpligtelser i overensstemmelse med de bestemmelser, der vedtages til gennemførelse af dette direktiv, og at dokumentere denne aktivitet og de modtagne reaktioner

(a) at bevidstgøre, underrette og rådgive den registeransvarlige eller registerføreren om deres forpligtelser i overensstemmelse med de bestemmelser, der vedtages til gennemførelse af dette direktiv, navnlig tekniske og organisatoriske foranstaltninger og procedurer, og at dokumentere denne aktivitet og de modtagne reaktioner

(b) at overvåge gennemførelsen og anvendelsen af reglerne om beskyttelse af personoplysninger, herunder fordeling af ansvar, uddannelse af det personale, der medvirker ved databehandlingen, og de tilhørende kontroller

(b) at overvåge gennemførelsen og anvendelsen af reglerne om beskyttelse af personoplysninger, herunder fordeling af ansvar, uddannelse af det personale, der medvirker ved databehandlingen, og de tilhørende kontroller

(c) at kontrollere gennemførelsen og anvendelsen af de bestemmelser, der vedtages i medfør at dette direktiv, navnlig med hensyn til kravene vedrørende indbygget databeskyttelse, databeskyttelse gennem indstillinger og datasikkerhed og oplysninger til de registrerede og deres anmodninger i forbindelse med udøvelsen af deres rettigheder i henhold til de bestemmelser, der er vedtaget i medfør af dette direktiv

(c) at kontrollere gennemførelsen og anvendelsen af de bestemmelser, der vedtages i medfør at dette direktiv, navnlig med hensyn til kravene vedrørende indbygget databeskyttelse, databeskyttelse gennem indstillinger og datasikkerhed og oplysninger til de registrerede og deres anmodninger i forbindelse med udøvelsen af deres rettigheder i henhold til de bestemmelser, der er vedtaget i medfør af dette direktiv

(d) at sikre vedligeholdelse af den i artikel 23 omhandlede dokumentation

(d) at sikre vedligeholdelse af den i artikel 23 omhandlede dokumentation

(e) at kontrollere dokumentation, anmeldelse og meddelelser vedrørende brud på persondatasikkerheden i henhold til artikel 28 og 29

(e) at kontrollere dokumentation, anmeldelse og meddelelser vedrørende brud på persondatasikkerheden i henhold til artikel 28 og 29

(f) at kontrollere, at der sker en forudgående høring af tilsynsmyndigheden, hvis det kræves i henhold til artikel 26

(f) at kontrollere resultaterne af den registeransvarliges eller registerførerens konsekvensanalyse af databeskyttelsen, og at der sker en forudgående høring af tilsynsmyndigheden, hvis det kræves i henhold til artikel 26, stk. 1.

(g) at kontrollere besvarelsen af anmodninger fra tilsynsmyndigheden og inden for rammerne af den databeskyttelsesansvarliges beføjelser at samarbejde med tilsynsmyndigheden på dennes anmodning eller på eget initiativ

(g) at kontrollere besvarelsen af anmodninger fra tilsynsmyndigheden og inden for rammerne af den databeskyttelsesansvarliges beføjelser at samarbejde med tilsynsmyndigheden på dennes anmodning eller på eget initiativ

(h) at fungere som tilsynsmyndighedens kontaktpunkt i forbindelse med spørgsmål vedrørende behandling og på eget initiativ og efter behov rådføre sig med tilsynsmyndigheden.

(h) at fungere som tilsynsmyndighedens kontaktpunkt i forbindelse med spørgsmål vedrørende behandling og på eget initiativ og efter behov rådføre sig med tilsynsmyndigheden.

Ændringsforslag  96

Forslag til direktiv

Artikel 33

Kommissionens forslag

Ændringsforslag

Generelle principper for videregivelse af personoplysninger

Generelle principper for videregivelse af personoplysninger

Medlemsstaterne fastsætter bestemmelser om, at kompetente myndigheder alene må videregive personoplysninger, som underkastes behandling eller er beregnet til behandling efter videregivelse til et tredjeland eller til en international organisation, herunder videreoverførsel til et andet tredjeland eller en international organisation, såfremt:

Medlemsstaterne fastsætter bestemmelser om, at kompetente myndigheder alene må videregive personoplysninger, som underkastes behandling eller er beregnet til behandling efter videregivelse til et tredjeland eller til en international organisation, herunder videreoverførsel til et andet tredjeland eller en international organisation, såfremt:

(a) videregivelsen er nødvendig for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner

(a) den specifikke videregivelse er nødvendig for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og

 

(aa) oplysninger videregives til en registeransvarlig i et tredjeland eller i en international organisation, som er en kompetent offentlig myndighed, jf. bestemmelserne i artikel 1, stk. 1 og

 

(ab) den registeransvarlige og registerføreren overholder denne artikels bestemmelser, herunder i forbindelse med yderligere videregivelse af personoplysninger fra tredjelandet eller en international organisation til et andet tredjeland eller en anden international organisation og

(b) betingelserne i dette kapitel overholdes af den registeransvarlige eller registerføreren

(b) de øvrige bestemmelser, der vedtages i henhold til dette direktiv, overholdes af den registeransvarlige og registerføreren og

 

(ba) det beskyttelsesniveau, som fysiske personer garanteres i Unionen i medfør af dette direktiv, ikke undermineres. og

 

(bb) når Kommissionen i henhold til bestemmelserne og proceduren i artikel 34, har fastslået, at det pågældende tredjeland eller den internationale organisation har et tilstrækkeligt databeskyttelsesniveau, eller

 

(bc) når der er blevet indført hensigtsmæssige garantier, hvad angår beskyttelsen af personoplysninger, i et retligt bindende instrument, jf. artikel 35.

 

Medlemsstaterne fastsætter bestemmelser om, at yderligere videregivelse, jf. denne artikels stk. 1, ud over de betingelser, der er indeholdt i nævnte stk. 1, kun må finde sted, hvis:

 

(a) videregivelsen er nødvendig af hensyn til samme specifikke formål som den oprindelige videregivelse og

 

(b) den kompetente myndighed, som foretog den oprindelige videregivelse, godkender den yderligere videregivelse.

Ændringsforslag  97

Forslag til direktiv

Artikel 34

Kommissionens forslag

Ændringsforslag

Videregivelse af personoplysninger på grundlag af en afgørelse om tilstrækkeligheden af databeskyttelsesniveauet

Videregivelse af personoplysninger på grundlag af en afgørelse om tilstrækkeligheden af databeskyttelsesniveauet

1. Medlemsstaterne fastsætter bestemmelser om, at videregivelse af personoplysninger til et tredjeland eller en international organisation kun må finde sted, når Kommissionen i henhold til artikel 41 forordning (EU) nr. …/2012 eller i henhold til stk. 3 i denne artikel har fastslået, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation har et tilstrækkeligt databeskyttelsesniveau. En sådan videregivelse oplysninger kræver ikke yderligere godkendelse.

1. Medlemsstaterne fastsætter bestemmelser om, at videregivelse af personoplysninger til et tredjeland eller en international organisation kun må finde sted, når Kommissionen i henhold til stk. 3 i denne artikel har fastslået, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation har et tilstrækkeligt databeskyttelsesniveau En sådan videregivelse oplysninger kræver ikke nogen særlig godkendelse

2. Såfremt der ikke er vedtaget en afgørelse i henhold til artikel 41 i forordning (EU) nr. …./2012, vurderer Kommissionen beskyttelsesniveauets tilstrækkelighed under hensyntagen til følgende:

2. I forbindelse med vurderingen af tilstrækkeligheden af databeskyttelsesniveauet tager Kommissionen hensyn til følgende:

(a) retsstatsprincippet, relevant gældende lovgivning, både almindelig og sektorbestemt, herunder vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og strafferet og de sikkerhedsforanstaltninger, der gælder i dette tredjeland eller den internationale organisation, samt effektive rettigheder, der kan håndhæves retsligt, herunder effektiv adgang til administrativ og retlig prøvelse for registrerede, navnlig registrerede, der er bosiddende i Unionen, og hvis personoplysninger videregives

(a) retsstatsprincippet, relevant gældende lovgivning, herunder vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og strafferet og gennemførelsen af denne lovgivning og de sikkerhedsforanstaltninger, der gælder i dette tredjeland eller den internationale organisation, retspraksis samt effektive rettigheder, der kan håndhæves retsligt, herunder effektiv adgang til administrativ og retlig prøvelse for registrerede, navnlig registrerede, der er bosiddende i Unionen, og hvis personoplysninger videregives;

(b) tilstedeværelsen af en eller flere velfungerende uafhængige tilsynsmyndigheder i tredjelandet eller den internationale organisation, der har ansvaret for at sikre, at databeskyttelsesreglerne overholdes, og for at bistå og rådgive de registrerede, når de udøver deres rettigheder, og samarbejde med tilsynsmyndighederne i Unionen og medlemsstaterne og

(b) tilstedeværelsen af en eller flere velfungerende uafhængige tilsynsmyndigheder i tredjelandet eller den internationale organisation, der har ansvaret for at sikre, at databeskyttelsesreglerne overholdes, herunder tilstrækkelige sanktionsbeføjelser, og for at bistå og rådgive de registrerede, når de udøver deres rettigheder, og samarbejde med tilsynsmyndighederne i Unionen og medlemsstaterne og

(c) de internationale forpligtelser, som tredjelandet eller en international organisation har indgået.

(c) de internationale forpligtelser, som tredjelandet eller en international organisation har indgået, navnlig juridisk bindende konventioner eller instrumenter om beskyttelse af personoplysninger.

3. Kommissionen kan inden for rammerne af dette direktiv fastslå, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med stk. 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 57, stk. 2.

3. Kommissionen bemyndiges til efter at have anmodet Det Europæiske Databeskyttelsesråd om en udtalelse at vedtage delegerede retsakter i overensstemmelse med artikel 56 for inden for rammerne af dette direktiv fastslå, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med stk. 2.

4. I gennemførelsesretsakten angives dennes geografiske og sektorbestemte anvendelsesområde og i påkommende tilfælde den tilsynsmyndighed, der er nævnt i stk. 2, litra b).

4. I den delegerede retsakt angives dennes geografiske og sektorbestemte anvendelsesområde og den tilsynsmyndighed, der er nævnt i stk. 2, litra b).

 

4a. Kommissionen overvåger løbende udviklinger, der kan påvirke opfyldelsen af elementerne i stk. 2, i tredjelande eller internationale organisationer, for hvilke der er vedtaget delegerede retsakter, jf. stk. 3.

5. Kommissionen kan inden for rammerne af dette direktiv fastslå, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation ikke har et tilstrækkeligt beskyttelsesniveau i henhold til denne artikels stk. 2, navnlig hvis den gældende lovgivning, både almindelig og sektorbestemt, i tredjelandet eller den internationale organisation ikke garanterer effektive rettigheder, der kan håndhæves retsligt, herunder effektiv adgang til administrativ og retslig prøvelse for registrerede, navnlig registrerede, hvis personoplysninger videregives. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 57, stk. 2, eller efter proceduren i artikel 57, stk. 3, i særligt hastende tilfælde for fysiske personer, hvad angår beskyttelse af deres personoplysninger.

5. Kommissionen er bemyndiget til at vedtage delegerede retsakter i overensstemmelse med artikel 46 for inden for rammerne af dette direktiv at fastslå, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation ikke har et tilstrækkeligt beskyttelsesniveau i henhold til denne artikels stk. 2, navnlig hvis den gældende lovgivning, både almindelig og sektorbestemt, i tredjelandet eller den internationale organisation ikke garanterer effektive rettigheder, der kan håndhæves retsligt, herunder effektiv adgang til administrativ og retslig prøvelse for registrerede, navnlig registrerede, hvis personoplysninger videregives

6. Når Kommissionen træffer afgørelse i henhold til i stk. 5, sikrer medlemsstaterne, at enhver form for videregivelse af personoplysninger til tredjelandet eller et område eller en behandlingssektor i dette tredjeland eller den pågældende internationale organisation forbydes; denne afgørelse påvirker ikke videregivelse i henhold til artikel 35, stk. 1, eller artikel 36. Kommissionen indleder på et passende tidspunkt høringer af tredjelandet eller den internationale organisation med henblik på at afhjælpe den situation, der opstår som følge af afgørelsen i henhold til stk. 5 i denne artikel.

6. Når Kommissionen træffer afgørelse i henhold til i stk. 5, sikrer medlemsstaterne, at enhver form for videregivelse af personoplysninger til tredjelandet eller et område eller en behandlingssektor i dette tredjeland eller den pågældende internationale organisation forbydes. Kommissionen indleder på et passende tidspunkt høringer af tredjelandet eller den internationale organisation med henblik på at afhjælpe den situation, der opstår som følge af afgørelsen i henhold til stk. 5 i denne artikel.

7. Kommissionen offentliggør i Den Europæiske Unions Tidende en liste over tredjelande, områder og behandlingssektorer i et tredjeland eller en international organisation, for hvilke den har fastslået, om der er et tilstrækkeligt beskyttelsesniveau eller ej.

7. Kommissionen offentliggør i Den Europæiske Unions Tidende en liste over tredjelande, områder og behandlingssektorer i et tredjeland eller en international organisation, for hvilke den har fastslået, om der er et tilstrækkeligt beskyttelsesniveau eller ej.

8. Kommissionen overvåger anvendelsen af de gennemførelsesretsakter, der er omhandlet i stk. 3 og 5.

8. Kommissionen overvåger anvendelsen af de delegerede retsakter, der er omhandlet i stk. 3 og 5

Ændringsforslag  98

Forslag til direktiv

Artikel 35

Kommissionens forslag

Ændringsforslag

Videregivelse på grundlag af hensigtsmæssige garantier

Videregivelse på grundlag af hensigtsmæssige garantier

1. Hvis Kommissionen ikke har truffet afgørelse i henhold til artikel 34, fastsætter medlemsstaterne bestemmelser om videregivelse af personoplysninger til en modtager i et tredjeland eller en international organisation må finde sted, hvis:

1. Hvis Kommissionen ikke har truffet afgørelse i henhold til artikel 34, eller beslutter, at et tredjeland eller et territorium i dette tredjeland eller en international organisation ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 34, stk. 5, kan en registeransvarlig eller en registerfører kun videregive personoplysninger til dette tredjeland eller territorium i dette tredjeland eller til denne internationale organisation, hvis den registeransvarlige eller registerføreren har godtgjort, at der er truffet de nødvendige sikkerhedsforanstaltninger til sikring af beskyttelsen af personoplysningerne i et juridisk bindende dokument.

(a) der er blevet indført hensigtsmæssige garantier, hvad angår beskyttelsen af personoplysninger, i et retligt bindende instrument eller

 

(b) den registeransvarlige eller registerføreren har vurderet alle forhold i forbindelse med videregivelsen af personoplysninger og konkluderet, at der findes hensigtsmæssige garantier, hvad angår beskyttelsen af personoplysninger

 

1. Beslutningen om videregivelse i henhold til stk. 1, litra b), skal træffes af personale, der er behørigt bemyndiget hertil. Disse videregivelser skal dokumenteres, og dokumentationen skal på anmodning stilles til rådighed for tilsynsmyndigheden.

2. Disse videregivelser skal godkendes af tilsynsmyndigheden forud for overførslen.

Ændringsforslag  99

Forslag til direktiv

Artikel 36

Kommissionens forslag

Ændringsforslag

Undtagelser

Undtagelser

 

1. Når Kommissionen i henhold til artikel 34, stk. 5, konstaterer, at der ikke findes et tilstrækkeligt sikkerhedsniveau, må personoplysninger ikke videregives til det pågældende tredjeland eller til den pågældende internationale organisation, hvis den registreredes legitime interesse i at forhindre videregivelsen i det konkrete tilfælde vejer tungere end den offentlige interesse i videregivelsen af oplysninger

Uanset artikel 34 og 35 fastsætter medlemsstaterne bestemmelser om, at en videregivelse af personoplysninger til et tredjeland eller en international organisation kun må finde sted, hvis:

2. Uanset artikel 34 og 35 fastsætter medlemsstaterne bestemmelser om, at en videregivelse af personoplysninger til et tredjeland eller en international organisation kun må finde sted, hvis:

(a) videregivelsen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser, eller

(a) videregivelsen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser, eller

(b) videregivelsen er nødvendig for at beskytte den registreredes legitime interesser, hvis det er påkrævet ved lov i den medlemsstat, der videregiver personoplysningerne, eller

(b) videregivelsen er nødvendig for at beskytte den registreredes legitime interesser, hvis det er påkrævet ved lov i den medlemsstat, der videregiver personoplysningerne, eller

(c) videregivelsen af oplysningerne er afgørende for at afværge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed, eller

(c) videregivelsen af oplysningerne er afgørende for at afværge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed, eller

(d) videregivelsen er nødvendig i enkeltsager med henblik på forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner, eller

(d) videregivelsen er nødvendig i enkeltsager med henblik på forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner, eller

(e) videregivelsen er nødvendig i enkeltsager med henblik på at fastslå et retskrav eller gøre det gældende eller forsvare det ved en domstol i forbindelse med forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner.

(e) videregivelsen er nødvendig i enkeltsager med henblik på at fastslå et retskrav eller gøre det gældende eller forsvare det ved en domstol i forbindelse med forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner.

 

2a. Behandling i medfør af stk. 2 skal have hjemmel i EU-retten eller i lovgivningen i den medlemsstat, som den registeransvarlige er statsborger i; denne lovgivning skal være i overensstemmelse med målsætningen om almen interesse eller nødvendigheden af at beskytte andres rettigheder og frihedsrettigheder, respektere ånden i retten til beskyttelse af personoplysninger og stå i forhold til den legitime tilstræbte målsætning.

 

2b. enhver form for videregivelse af oplysninger, som skyldes beslutninger på grundlag af undtagelsesbestemmelser, bør være behørigt begrundet og begrænset til det strengt nødvendige, eftersom omfattende og hyppige overførsler af data ikke er tilladt.

 

2c. Beslutningen om videregivelse i henhold til stk. 2 skal træffes af personale, der er behørigt bemyndiget hertil. Videregivelsen skal dokumenteres og dokumentationen skal stilles til rådighed for tilsynsmyndigheden efter anmodning, og skal omfatte dato og tidspunkt for videregivelsen, oplysninger om den modtagende myndighed, begrundelsen for videregivelsen og angivelse af de overførte oplysninger.

Ændringsforslag  100

Forslag til direktiv

Artikel 37

Kommissionens forslag

Ændringsforslag

Særlige betingelser for videregivelse af personoplysninger

Særlige betingelser for videregivelse af personoplysninger

Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal underrette modtageren af personoplysninger om eventuelle begrænsninger for behandling og træffer alle rimelige foranstaltninger for at sikre, at disse begrænsninger overholdes.

Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal underrette modtageren af personoplysninger om eventuelle begrænsninger for behandling og træffer alle rimelige foranstaltninger for at sikre, at disse begrænsninger overholdes. Den registeransvarlige underretter også modtageren af personoplysningerne om enhver form for opdatering, korrektion eller sletning af data, som er sket, og modtageren bør foretage samme underretning, hvis vedkommende har videregivet oplysningerne.

Ændringsforslag  101

Forslag til direktiv

Artikel 38 – stk. 1 – litra a

Kommissionens forslag

Ændringsforslag

(a) udvikle effektive internationale samarbejdsmekanismer med henblik på at lette håndhævelsen af lovgivningen om beskyttelse af personoplysninger

(a) udvikle effektive internationale samarbejdsmekanismer med henblik på at sikre håndhævelsen af lovgivningen om beskyttelse af personoplysninger

Ændringsforslag  102

Forslag til direktiv

Artikel 38 – stk. 1 – litra d a (nyt)

Kommissionens forslag

Ændringsforslag

 

da) afklare og indhente ekspertudtalelser om værnetingstvister med tredjelande.

Ændringsforslag  103

Forslag til direktiv

Artikel 38 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 38a

 

Rapport fra Kommissionen

 

Kommissionen forelægger en rapport om anvendelsen af artikel 33 til 38 for Europa-Parlamentet og Rådet med regelmæssige mellemrum. Den første rapport forelægges senest fire år efter dette direktivs ikrafttræden. Kommissionen kan med henblik herpå anmode medlemsstaterne og tilsynsmyndighederne om oplysninger, som disse skal fremsende hurtigst muligt. Rapporten offentliggøres.

Ændringsforslag  104

Forslag til direktiv

Artikel 40 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden skal udøve de opgaver og beføjelser, der tillægges den, i fuld uafhængighed.

1. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden skal udøve de opgaver og beføjelser, der tillægges den, i fuld uafhængighed uden at det berører samarbejdsordningerne i medfør af kapitel VII i dette direktiv.

Ændringsforslag  105

Forslag til direktiv

Artikel 40 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Medlemsstaterne fastsætter bestemmelser om, at medlemmerne af tilsynsmyndigheden ved udøvelsen af deres opgaver hverken må søge eller modtage instrukser fra andre.

2. Medlemsstaterne fastsætter bestemmelser om, at medlemmerne af tilsynsmyndigheden ved udøvelsen af deres opgaver hverken må søge eller modtage instrukser fra andre, og at de skal være fuldstændig uafhængige og upartiske.

Ændringsforslag  106

Forslag til direktiv

Artikel 43

Kommissionens forslag

Ændringsforslag

Tavshedspligt

Tavshedspligt

Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndighedens medlemmer og personale såvel under embeds- og ansættelsesperioden som efter dens ophør har tavshedspligt, for så vidt angår alle fortrolige oplysninger, der er kommet til deres kendskab under udøvelsen af deres hverv.

Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndighedens medlemmer og personale såvel under embeds- og ansættelsesperioden som efter dens ophør i overensstemmelse med national lovgivning og praksis har tavshedspligt, for så vidt angår alle fortrolige oplysninger, der er kommet til deres kendskab under udøvelsen af deres hverv, mens de udfører deres hverv i fuld uafhængighed og med fuld åbenhed i overensstemmelse med dette direktiv.

Ændringsforslag  107

Forslag til direktiv

Artikel 44 – stk. 1

Kommissionens forslag

Ændringsforslag

Kompetence

Kompetence

1. Medlemsstaterne drager omsorg for, at hver tilsynsmyndighed på sin medlemsstats område udøver de beføjelser, der tillægges den i overensstemmelse med dette direktiv.

1. Medlemsstaterne drager omsorg for, at hver tilsynsmyndighed har kompetence tilden pågældende medlemsstats område at udøve de beføjelser, der tillægges den i overensstemmelse med dette direktiv

Ændringsforslag  108

Forslag til direktiv

Artikel 45

Kommissionens forslag

Ændringsforslag

Opgaver

Opgaver

Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden skal:

1. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden skal:

(a) overvåge og sikre anvendelsen af de bestemmelser, der vedtages i medfør at dette direktiv og gennemførelsesbestemmelserne hertil

(a) overvåge og sikre anvendelsen af de bestemmelser, der vedtages i medfør at dette direktiv og gennemførelsesbestemmelserne hertil

(b) høre klager, der indgives af en registreret eller en sammenslutning, der repræsenterer og er behørigt bemyndiget af den registrerede i overensstemmelse med artikel 50, så vidt det er hensigtsmæssigt, undersøge sagen og underrette den registrerede eller sammenslutningen om forløbet og resultatet af klagen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig

(b) høre klager, der indgives af en registreret eller en sammenslutning i overensstemmelse med artikel 50, så vidt det er hensigtsmæssigt, undersøge sagen og underrette den registrerede eller sammenslutningen om forløbet og resultatet af klagen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig

(c) kontrollere, om en behandling er lovlig i henhold til artikel 14, og underrette den registrerede inden for en rimelig frist om resultatet af undersøgelsen eller om årsagerne til, at undersøgelsen ikke er foretaget

(c) kontrollere, om en behandling er lovlig i henhold til artikel 14, og underrette den registrerede inden for en rimelig frist om resultatet af undersøgelsen eller om årsagerne til, at undersøgelsen ikke er foretaget

(d) yde gensidig bistand til andre tilsynsmyndigheder og sikre ensartet anvendelse og håndhævelse af bestemmelser vedtaget i medfør af dette direktiv

(d) yde gensidig bistand til andre tilsynsmyndigheder og sikre ensartet anvendelse og håndhævelse af bestemmelser vedtaget i medfør af dette direktiv

(e) gennemføre undersøgelser på eget initiativ, på grundlag af en klage eller efter anmodning fra en anden tilsynsmyndighed og underrette den registrerede, hvis vedkommende har indgivet en klage til denne tilsynsmyndighed, om resultatet af undersøgelsen inden for en rimelig frist

(e) gennemføre undersøgelser, inspektioner og revisioner på eget initiativ, på grundlag af en klage eller efter anmodning fra en anden tilsynsmyndighed og underrette den registrerede, hvis vedkommende har indgivet en klage til denne tilsynsmyndighed, om resultatet af undersøgelsen inden for en rimelig frist

(f) overvåge den relevante udvikling, for så vidt den har indvirkning på beskyttelsen af personoplysninger, navnlig udviklingen i informations- og kommunikationsteknologier

(f) overvåge den relevante udvikling, for så vidt den har indvirkning på beskyttelsen af personoplysninger, navnlig udviklingen i informations- og kommunikationsteknologier

(g) høres af medlemsstaternes institutioner og organer om administrative foranstaltninger til beskyttelse af personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysning

(g) høres af medlemsstaternes institutioner og organer om administrative foranstaltninger til beskyttelse af personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysning

(h) høres om behandling i henhold til artikel 26

(h) høres om behandling i henhold til artikel 26

(i) deltage i Det Europæiske Databeskyttelsesråds aktiviteter

(i) deltage i Det Europæiske Databeskyttelsesråds aktiviteter

2. Hver tilsynsmyndighed styrker offentlighedens kendskab til risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger. Der skal lægges særlig vægt på aktiviteter, der er direkte rettet mod børn.

2. Hver tilsynsmyndighed styrker offentlighedens kendskab til risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger. Der skal lægges særlig vægt på aktiviteter, der er direkte rettet mod børn.

3. Tilsynsmyndigheden rådgiver efter anmodning den registrerede i udøvelsen af dennes rettigheder som fastsat i de bestemmelser, der vedtages i henhold til direktivet, og samarbejder i den forbindelse med tilsynsmyndighederne i andre medlemsstater, hvis det er relevant.

3. Tilsynsmyndigheden rådgiver efter anmodning den registrerede i udøvelsen af dennes rettigheder som fastsat i de bestemmelser, der vedtages i henhold til direktivet, og samarbejder i den forbindelse med tilsynsmyndighederne i andre medlemsstater, hvis det er relevant.

4. I forbindelse med de klager, der er omhandlet i stk. 1, litra b), udarbejder tilsynsmyndigheden en klageformular, der kan udfyldes elektronisk, uden dog at udelukke andre kommunikationsmidler.

4. I forbindelse med de klager, der er omhandlet i stk. 1, litra b), udarbejder tilsynsmyndigheden en klageformular, der kan udfyldes elektronisk, uden dog at udelukke andre kommunikationsmidler.

5. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden skal varetage sine opgaver uden udgifter for den registrerede.

5. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden skal varetage sine opgaver uden udgifter for den registrerede.

6. Hvis anmodninger er usaglige, bl.a. fordi de gentages, kan tilsynsmyndigheden opkræve et gebyr eller undlade at iværksætte den handling, den registrerede anmoder om. Tilsynsmyndigheden bærer ansvaret for at bevise, at anmodningen er usaglig.

6. Hvis anmodninger er markant uforholdsmæssige, bl.a. fordi de gentages, kan tilsynsmyndigheden opkræve et rimeligt gebyr. Gebyret må ikke overstige udgifterne til den krævede indsats. Tilsynsmyndigheden bærer ansvaret for at bevise, at anmodningen er klart overdreven.

Ændringsforslag  109

Forslag til direktiv

Artikel 46

Kommissionens forslag

Ændringsforslag

Beføjelser

Beføjelser

Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden bl.a. skal have:

1. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden har beføjelser til:

(a) undersøgelsesbeføjelser såsom beføjelse til at få indsigt i de oplysninger, der er genstand for behandling, og beføjelse til at indsamle alle de oplysninger, der er nødvendige for at udføre sine tilsynsopgaver

(a) at underrette den registeransvarlige eller registerføreren om en påstået overtrædelse af bestemmelserne om behandling af personoplysninger og i givet fald give den registeransvarlige eller registerføreren påbud om at råde bod på overtrædelsen og forbedre beskyttelsen af den registrerede

(b) beføjelse til at gribe effektivt ind ved f.eks. at afgive udtalelser forud for iværksættelsen af behandlingen og sikre en passende offentliggørelse af disse udtalelser, at beordre oplysninger begrænset, slettet eller tilintetgjort, midlertidigt eller definitivt at forbyde en behandling, at udstede en advarsel til den registeransvarlige eller påtale en overtrædelse over for den registeransvarlige eller ved at høre de nationale parlamenter eller andre nationale politiske institutioner

(b) at give den registeransvarlige påbud om at imødekomme den registreredes anmodninger om at udøve sine rettigheder, der er omfattet af dette direktiv, herunder de i artikel 12 til 17 fastsatte, når sådanne anmodninger er blevet afvist i strid med disse bestemmelser

(c) beføjelse til at indbringe overtrædelser af de bestemmelser, der vedtages i medfør af dette direktiv for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser.

(c) at give den registeransvarlige eller registerføreren påbud om at udlevere oplysningerne, jf. artikel 10, stk. 1 og 2, samt artikel 11, 28 og 29

 

(d) at sikre overensstemmelse med udtalelser om forudgående høringer, jf. artikel 26

 

(e) at rette en advarsel eller en påtale til den registeransvarlige eller registerføreren

 

(f) at give påbud om berigtigelse, sletning eller tilintetgørelse af alle personoplysninger, når de er blevet behandlet i strid med bestemmelserne i dette direktiv, og meddelelse af sådanne handlinger til tredjemand, til hvem disse oplysninger er videregivet

 

(g) midlertidigt eller definitivt at forbyde en behandling

 

(h) at suspendere videregivelsen af oplysninger til et tredjeland eller en international organisation

 

(i) at informere nationale parlamenter, regeringen eller andre offentlige institutioner samt offentligheden om spørgsmålet.

 

2. Hver tilsynsmyndighed har undersøgelsesbeføjelser til fra den registeransvarlige eller registerføreren:

 

(a) at få indsigt i alle personoplysninger og informationer, der er nødvendige for at varetage dens tilsynsopgaver

 

(b) at få adgang til alle deres lokaler, herunder databehandlingsudstyr og -midler, i overensstemmelse med den nationale lovgivning, når der er rimelig grund til at antage, at der dér udøves en aktivitet, der strider mod bestemmelserne, der er vedtaget i henhold til dette direktiv, med forbehold af rettens tilladelse, hvis dette kræves i henhold til den nationale lovgivning.

 

3. Uanset artikel 43 indfører medlemsstaterne bestemmelser til at sikre, at der ikke stilles yderligere sikkerhedskrav til tilsynsmyndighedernes anmodninger.

 

4. Medlemsstaterne kan fastsætte bestemmelser om, at adgang til oplysninger, som er klassificeret på et niveau svarende til EU CONFIDENTIAL eller højere, kræver en supplerende sikkerhedsscreening i henhold til national lovgivning. Hvis lovgivningen i tilsynsmyndighedens medlemsstat ikke kræver supplerende sikkerhedsscreening, skal de øvrige medlemsstater anerkende dette.

 

5. Hver tilsynsmyndighed har beføjelser til at gøre de retlige myndigheder opmærksom på krænkelser af bestemmelser vedtaget i medfør af dette direktiv og til at deltage i retssager samt anlægge sag ved den kompetente domstol, jf. artikel 53, stk. 2.

 

6. Hver tilsynsmyndighed har beføjelse til at indføre sanktioner for administrative overtrædelser.

Ændringsforslag  110

Forslag til direktiv

Artikel 46 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 46a

 

Indberetning af overtrædelser

 

1. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheder skal tage hensyn til retningslinjerne fra Det Europæiske Databeskyttelsesråd i overensstemmelse med artikel 66, stk. 4 i forordning (EU) nr. ,,,/2013 og indføre effektive mekanismer, som skal tilskynde til fortrolig indberetning af overtrædelser af dette direktiv.

 

2. Medlemsstaterne fastsætter bestemmelser om, at de kompetente myndigheder skal indføre effektive mekanismer, som skal tilskynde til fortrolig indberetning af overtrædelser af dette direktiv.

Ændringsforslag  111

Forslag til direktiv

Artikel 47

Kommissionens forslag

Ændringsforslag

Medlemsstaterne sørger for, at hver tilsynsmyndighed udarbejder en årlig rapport om sin virksomhed. Rapporten forelægges Kommissionen og Det Europæiske Databeskyttelsesråd.

Medlemsstaterne sørger for, at hver tilsynsmyndighed udarbejder en rapport om sin virksomhed mindst hvert andet år. Rapporten forelægges offentligheden, det nationale parlament, Kommissionen og Det Europæiske Databeskyttelsesråd. Den skal indeholde oplysninger om, i hvilket omfang de kompetente myndigheder inden for deres jurisdiktion har fået adgang til oplysninger fra private instanser med henblik på efterforskning eller retsforfølgelse af straffelovsovertrædelser.

Ændringsforslag  112

Forslag til direktiv

Artikel 48

Kommissionens forslag

Ændringsforslag

Gensidig bistand

Gensidig bistand

1. Medlemsstaterne drager omsorg for, at tilsynsmyndighederne yder hinanden gensidig bistand med henblik på at gennemføre og anvende de bestemmelser, der vedtages i medfør af dette direktiv, på en ensartet måde og træffer foranstaltninger med henblik på et effektivt samarbejde med hinanden. Gensidig bistand omfatter bl.a. anmodninger om oplysninger og tilsynsforanstaltninger som f.eks. anmodninger om gennemførelse af forudgående høring, inspektioner og undersøgelser.

1. Medlemsstaterne drager omsorg for, at tilsynsmyndighederne yder hinanden gensidig bistand med henblik på at gennemføre og anvende de bestemmelser, der vedtages i medfør af dette direktiv, på en ensartet måde og træffer foranstaltninger med henblik på et effektivt samarbejde med hinanden. Gensidig bistand omfatter bl.a. anmodninger om oplysninger og tilsynsforanstaltninger som f.eks. anmodninger om gennemførelse af forudgående høring, inspektioner og undersøgelser.

2. Medlemsstaterne drager omsorg for, at tilsynsmyndigheden træffer alle foranstaltninger, som er nødvendige for at besvare anmodninger fra en anden tilsynsmyndighed.

2. Medlemsstaterne drager omsorg for, at tilsynsmyndigheden træffer alle foranstaltninger, som er nødvendige for at besvare anmodninger fra en anden tilsynsmyndighed. Sådanne foranstaltninger kan bl.a. omfatte videregivelse af relevante oplysninger eller håndhævelsesforanstaltninger, der har til formål at stoppe eller forbyde behandling, der er i strid med dette direktiv, med det samme og senest en måned efter, at anmodningen er modtaget.

 

2a. Anmodningen om bistand skal indeholde alle nødvendige oplysninger, herunder formålet med og baggrunden for anmodningen. De udvekslede oplysninger må kun anvendes i forbindelse med den sag, der ligger til grund for anmodningen.

 

2b. En tilsynsmyndighed, der modtager en anmodning om bistand, kan ikke afvise at imødekomme denne, medmindre:

 

(a) den ikke har kompetence til at behandle an modningen; eller

 

(b) imødekommelse af anmodningen er uforenelig med bestemmelserne i dette direktiv.

3. Den anmodede tilsynsmyndighed underretter den anmodende tilsynsmyndighed om resultaterne eller om forløbet eller de foranstaltninger, der er iværksat for at imødekomme anmodningen fra den anmodende tilsynsmyndighed.

3. Den anmodede tilsynsmyndighed underretter den anmodende tilsynsmyndighed om resultaterne eller om forløbet eller de foranstaltninger, der er iværksat for at imødekomme anmodningen fra den anmodende tilsynsmyndighed.

 

3a. Tilsynsmyndighederne fremsender hurtigst muligt elektronisk de oplysninger, som andre tilsynsmyndigheder anmoder om, i et standardformat.

 

3b. Der opkræves ikke gebyr for foranstaltninger, der iværksættes efter en anmodning om gensidig bistand.

Ændringsforslag  113

Forslag til direktiv

Artikel 48 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 48a

 

Fælles aktioner

 

1. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndighederne for at intensivere samarbejdet og den gensidige bistand gennemfører fælles håndhævelsesforanstaltninger og andre fælles aktiviteter, hvor udpegede medlemmer eller medarbejdere fra andre medlemsstaters tilsynsmyndigheder deltager i operationer på en medlemsstats område.

 

2. Medlemsstaterne fastsætter bestemmelser om, at den kompetente tilsynsmyndighed, når registrerede i en eller flere andre medlemsstater sandsynligvis berøres af behandlingen, kan opfordres til at deltage i de fælles aktiviteter. Den kompetente tilsynsmyndighed kan indbyde tilsynsmyndigheden i hver af disse medlemsstater til at deltage i de respektive aktiviteter, og når den selv indbydes, besvarer den straks en tilsynsmyndigheds anmodning om deltagelse i aktiviteterne.

 

3. Medlemsstaterne fastlægger de praktiske aspekter af specifikke samarbejdsaktiviteter.

Ændringsforslag  114

Forslag til direktiv

Artikel 49

Kommissionens forslag

Ændringsforslag

Det Europæiske Databeskyttelsesråds opgaver

Det Europæiske Databeskyttelsesråds opgaver

1. Det Europæiske Databeskyttelsesråd, oprettet ved forordning (EU) nr. … /2012, har følgende opgaver i forbindelse med behandling af personoplysninger inden for rammerne af dette direktiv:

1. Det Europæiske Databeskyttelsesråd, oprettet ved forordning (EU) nr. … /2013, har følgende opgaver i forbindelse med behandling af personoplysninger inden for rammerne af dette direktiv:

(a) at rådgive Kommissionen om ethvert spørgsmål vedrørende beskyttelse af personoplysninger i EU, herunder om ethvert forslag til ændring af dette direktiv

(a) rådgive EU-institutionerne om ethvert spørgsmål vedrørende beskyttelse af personoplysninger i EU, herunder om ethvert forslag til ændring af dette direktiv

(b) efter anmodning fra Kommissionen, på eget initiativ eller efter anmodning fra et af rådets medlemmer, at undersøge ethvert spørgsmål vedrørende anvendelsen af bestemmelser vedtaget i medfør af dette direktiv og udarbejde retningslinjer, henstillinger og bedste praksis til de nationale tilsynsmyndigheder for at fremme en konsekvent anvendelse af disse bestemmelser

(b) efter anmodning fra Kommissionen, Europa-Parlamentet eller Rådet eller på eget initiativ eller efter anmodning fra et af rådets medlemmer, at undersøge ethvert spørgsmål vedrørende anvendelsen af bestemmelser vedtaget i medfør af dette direktiv og udarbejde retningslinjer, henstillinger og bedste praksis til de nationale tilsynsmyndigheder for at fremme en konsekvent anvendelse af disse bestemmelser, herunder anvendelse af håndhævelsesbeføjelser

(c) at gennemgå den praktiske anvendelse af de retningslinjer, henstillinger og bedste praksis, som er omhandlet i litra b), og aflægge regelmæssig rapport herom til Kommissionen

(c) at gennemgå den praktiske anvendelse af de retningslinjer, henstillinger og bedste praksis, som er omhandlet i litra b), og aflægge regelmæssig rapport herom til Kommissionen

(d) at afgive udtalelse til Kommissionen om beskyttelsesniveauet i tredjelande eller internationale organisationer

(d) at afgive udtalelse til Kommissionen om beskyttelsesniveauet i tredjelande eller internationale organisationer

(e) at fremme samarbejdet og en effektiv bilateral og multilateral udveksling af information og bedste praksis mellem tilsynsmyndighederne

(e) at fremme samarbejdet og en effektiv bilateral og multilateral udveksling af information og bedste praksis mellem tilsynsmyndighederne, herunder koordineringen af fælles aktiviteter, der iværksættes efter anmodning fra en eller flere tilsynsmyndigheder

(f) at fremme fælles uddannelsesprogrammer og udveksling af personale mellem tilsynsmyndighederne samt i påkommende tilfælde med tilsynsmyndighederne i tredjelande og internationale organisationers tilsynsmyndigheder

(f) at fremme fælles uddannelsesprogrammer og udveksling af personale mellem tilsynsmyndighederne samt i påkommende tilfælde med tilsynsmyndighederne i tredjelande og internationale organisationers tilsynsmyndigheder

(g) at fremme udveksling af viden og dokumentation med databeskyttelsesmyndigheder over hele verden, herunder databeskyttelseslovgivning og -praksis.

(g) at fremme udveksling af viden og dokumentation med databeskyttelsesmyndigheder over hele verden, herunder databeskyttelseslovgivning og –praksis;

 

(ga) afgive udtalelse til Kommissionen i forbindelse med udarbejdelsen af delegerede retsakter og gennemførelsesretsakter på grundlag af dette direktiv.

2. Når Kommissionen anmoder Det Europæiske Databeskyttelsesråd om råd, kan den under hensyntagen til, hvor meget den pågældende sag haster, fastsætte en frist for, hvornår Det Europæiske Databeskyttelsesråds skal yde denne rådgivning. En sådan frist fastsættes under hensyntagen til, hvor meget den pågældende sag haster.

2. Når Parlamentet, Rådet eller Kommissionen anmoder Det Europæiske Databeskyttelsesråd om rådgivning, kan den fastsætte en frist for, hvornår Det Europæiske Databeskyttelsesråds skal yde denne rådgivning. En sådan frist fastsættes under hensyntagen til, hvor meget den pågældende sag haster.

3. Det Europæiske Databeskyttelsesråd fremsender sine udtalelser, retningslinjer, henstillinger og bedste praksis til Kommissionen og til det udvalg, der er nævnt i artikel 57, stk. 1, og offentliggør dem.

3. Det Europæiske Databeskyttelsesråd fremsender sine udtalelser, retningslinjer, henstillinger og bedste praksis til Kommissionen og til det udvalg, der er nævnt i artikel 57, stk. 1, og offentliggør dem.

4. Kommissionen underretter Det Europæiske Databeskyttelsesråd om sin opfølgning på udtalelser, retningslinjer, henstillinger og bedste praksis udarbejdet af Det Europæiske Databeskyttelsesråd.

4. Kommissionen underretter Det Europæiske Databeskyttelsesråd om sin opfølgning på udtalelser, retningslinjer, henstillinger og bedste praksis udarbejdet af Det Europæiske Databeskyttelsesråd.

Ændringsforslag  115

Forslag til direktiv

Artikel 50 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Medlemsstaterne fastsætter bestemmelser om, at alle organer, organisationer eller sammenslutninger, der har til formål at beskytte registreredes rettigheder og interesser i forbindelse med beskyttelsen af deres personoplysninger, og som er etableret i overensstemmelse med en medlemsstats lovgivning, har ret til at indgive klage til en tilsynsmyndighed i enhver medlemsstat på vegne af en eller flere registrerede, hvis de vurderer, at den registreredes rettigheder i henhold til dette direktiv er blevet krænket som følge af behandlingen af deres personoplysninger. Organisationen eller sammenslutningen skal være behørigt bemyndiget af de(n) registrerede.

2. Medlemsstaterne fastsætter bestemmelser om, at alle organer, organisationer eller sammenslutninger, der handler i offentlighedens interesse, og som er etableret i overensstemmelse med en medlemsstats lovgivning, har ret til at indgive klage til en tilsynsmyndighed i enhver medlemsstat på vegne af en eller flere registrerede, hvis de vurderer, at den registreredes rettigheder i henhold til dette direktiv er blevet krænket som følge af behandlingen af deres personoplysninger.

Ændringsforslag  116

Forslag til direktiv

Artikel 51

Kommissionens forslag

Ændringsforslag

Retsmidler over for tilsynsmyndigheden

Retsmidler over for tilsynsmyndigheden

1. Medlemsstaterne fastsætter bestemmelser om ret til domstolsprøvelse af afgørelser truffet af en tilsynsmyndighed.

1. Medlemsstaterne fastsætter bestemmelser om enhver fysisk eller juridisk persons ret til domstolsprøvelse af afgørelser, der vedrører dem, truffet af en tilsynsmyndighed.

2. Enhver registreret har adgang til et retsmiddel, der forpligter tilsynsmyndigheden til at reagere på en klage, hvis der ikke træffes en afgørelse, som er nødvendig for at beskytte vedkommendes rettigheder, eller hvis tilsynsmyndigheden ikke inden for tre måneder underretter den registrerede om forløbet eller resultatet af klagen i henhold til artikel 45, stk. 1.

2. Medlemsstaterne fastsætter bestemmelser om, at enhver registreret har adgang til et retsmiddel, der forpligter tilsynsmyndigheden til at reagere på en klage, hvis der ikke træffes en afgørelse, som er nødvendig for at beskytte vedkommendes rettigheder, eller hvis tilsynsmyndigheden ikke inden for tre måneder underretter den registrerede om forløbet eller resultatet af klagen i henhold til artikel 45, stk. 1.

3. Medlemsstaterne fastsætter bestemmelser om, at en sag mod en tilsynsmyndighed skal anlægges ved domstolen i den medlemsstat, hvor tilsynsmyndigheden er etableret.

3. Medlemsstaterne fastsætter bestemmelser om, at en sag mod en tilsynsmyndighed skal anlægges ved domstolen i den medlemsstat, hvor tilsynsmyndigheden er etableret.

 

3a. Medlemsstaterne sikrer, at endelige kendelser fra den i denne artikel omhandlede domstol fuldbyrdes.

Ændringsforslag  117

Forslag til direktiv

Artikel 52 – stk. 1 a (nyt)

Kommissionens forslag

Ændringsforslag

 

1a. Medlemsstaterne sikrer, at endelige kendelser fra den i denne artikel omhandlede domstol fuldbyrdes.

Ændringsforslag  118

Forslag til direktiv

Artikel 53 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Medlemsstaterne fastsætter bestemmelser om, at alle organer, organisationer eller sammenslutninger, der er omhandlet i artikel 50, stk. 2, har ret til at udøve de rettigheder, der er omhandlet i artikel 51 og 52, på vegne af en eller flere registrerede.

1. Medlemsstaterne fastsætter bestemmelser om, at alle organer, organisationer eller sammenslutninger, der er omhandlet i artikel 50, stk. 2, har ret til at udøve de rettigheder, der er omhandlet i artikel 51, 52 og 54, efter bemyndigelse fra en eller flere registrerede.

Ændringsforslag  119

Forslag til direktiv

Artikel 53 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Hver tilsynsmyndighed har ret til at deltage i retssager og anlægge sager ved en domstol med det formål at håndhæve bestemmelser vedtaget i medfør af dette direktiv eller sikre en ensartet beskyttelse af personoplysninger i Unionen.

2. Medlemsstaterne fastsætter bestemmelser om, at hver tilsynsmyndighed har ret til at deltage i retssager og anlægge sager ved en domstol med det formål at håndhæve bestemmelser vedtaget i medfør af dette direktiv eller sikre en ensartet beskyttelse af personoplysninger i Unionen.

Ændringsforslag  120

Forslag til direktiv

Artikel 54 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Medlemsstaterne fastsætter bestemmelser om, at enhver, som har lidt skade som følge af en ulovlig behandling eller enhver anden handling, der er uforenelig med de nationale bestemmelser, der vedtages i medfør af dette direktiv, har ret til erstatning for den forvoldte skade fra den registeransvarlige eller registerføreren.

1. Medlemsstaterne fastsætter bestemmelser om, at enhver, som har lidt skade, herunder ikke-økonomiske tab, som følge af en ulovlig behandling eller enhver anden handling, der er uforenelig med de nationale bestemmelser, der vedtages i medfør af dette direktiv, har ret til at kræve erstatning for den forvoldte skade fra den registeransvarlige eller registerføreren.

Ændringsforslag  121

Forslag til direktiv

Artikel 55 a (ny)

Kommissionens forslag

Ændringsforslag

 

KAPITEL VIIIa

 

Videregivelse af personoplysninger til andre parter

 

Artikel 55a

 

Videregivelse af personoplysninger til andre myndigheder eller private i Unionen

 

1. Medlemsstaterne sikrer, at den registeransvarlige ikke videregiver eller pålægger registerføreren at videregive personoplysninger til fysiske eller juridiske personer, som ikke er underlagt bestemmelser, der er vedtaget i medfør af dette direktiv, medmindre:

 

(a) videregivelsen sker i overensstemmelse med EU-lovgivningen eller den nationale lovgivning og

 

(b) modtageren er hjemmehørende i en af Den Europæiske Unions medlemsstater og

 

(c) den registreredes specifikke legitime interesser ikke forhindrer en videregivelse og

 

(d) videregivelsen er nødvendig i en specifik sag for den registeransvarlige, der videregiver personoplysningerne i forbindelse med:

 

i) udførelsen af en opgave, den er blevet pålagt ved lov eller

 

ii) forebyggelse af en umiddelbar og alvorlig trussel mod den offentlige sikkerhed eller

 

iii) forebyggelse af alvorlige krænkelser af enkeltpersoners rettigheder.

 

2. Den registeransvarlige underretter modtageren om, hvilke formål personoplysningerne udelukkende må anvendes til.

 

3. Den registeransvarlige underretter tilsynsmyndigheden om sådanne videregivelser.

 

4. Den registeransvarlige underretter modtageren om begrænsninger i behandlingen og sikrer, at disse overholdes.

Ændringsforslag  122

Forslag til direktiv

Artikel 56

Kommissionens forslag

Ændringsforslag

Udøvelse af de delegerede beføjelser

Udøvelse af de delegerede beføjelser

1. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter på de i denne artikel fastlagte betingelser.

1. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter på de i denne artikel fastlagte betingelser.

2. De beføjelser, der er omhandlet i artikel 28, stk. 5, tillægges Kommissionen for et ubestemt tidsrum fra datoen for dette direktivs ikrafttræden.

2. De beføjelser til at vedtage delegerede retsakter, der er omhandlet i artikel 25a, stk. 7, artikel 28, stk. 5, artikel 34, stk. 3, og artikel 34, stk. 5, tillægges Kommissionen for et ubestemt tidsrum fra datoen for dette direktivs ikrafttræden.

3. De beføjelser, der er omhandlet i artikel 28, stk. 5, kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer de i den pågældende afgørelse anførte delegerede beføjelser til ophør. Afgørelsen får virkning fra dagen efter offentliggørelsen i Den Europæiske Unions Tidende eller fra en senere dato, der fastsættes nærmere i afgørelsen. Den berører ikke gyldigheden af de delegerede retsakter, der allerede er i kraft.

3. De beføjelser, der er omhandlet i artikel 25a, stk. 7, artikel 28, stk. 5, artikel 34, stk. 3, og artikel 34, stk. 5, kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer de i den pågældende afgørelse anførte delegerede beføjelser til ophør. Afgørelsen får virkning fra dagen efter offentliggørelsen i Den Europæiske Unions Tidende eller fra en senere dato, der fastsættes nærmere i afgørelsen. Den berører ikke gyldigheden af de delegerede retsakter, der allerede er i kraft.

4. Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidig Europa-Parlamentet og Rådet meddelelse herom.

4. Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidig Europa-Parlamentet og Rådet meddelelse herom.

5. En delegeret retsakt vedtaget i henhold til artikel 28, stk. 5, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på to måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet eller Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har informeret Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med to måneder på Europa-Parlamentets eller Rådets initiativ.

5. En delegeret retsakt vedtaget i henhold til artikel 25a, stk. 7, artikel 28, stk. 5, artikel 34, stk. 3, og artikel 34, stk. 5, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på seks måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet eller Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har informeret Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med seks måneder på Europa-Parlamentets eller Rådets initiativ.

Ændringsforslag  123

Forslag til direktiv

Artikel 56 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 56a

 

Frist for vedtagelse af delegerede retsakter

 

1. Kommissionen vedtager de delegerede retsakter i henhold til artikel 25a, stk. 7, og artikel 28, stk. 5, senest den ... [seks måneder inden datoen i artikel 62, stk. 1]. Kommissionen kan forlænge fristen i dette stk. med seks måneder.

Begrundelse

For at sikre den korrekte gennemførelse af direktivet og opnå retssikkerhed er det nødvendigt, at den delegerede retsakt vedrørende anmeldelse af brud på persondatasikkerheden vedtages inden direktivets ikrafttrædelsesdato.

Ændringsforslag  124

Forslag til direktiv

Artikel 57 – stk. 3

Kommissionens forslag

Ændringsforslag

3. Når der henvises til dette stykke, anvendes artikel 8 i forordning (EU) nr. 182/2011 sammenholdt med dennes artikel 5.

udgår

Ændringsforslag  125

Forslag til direktiv

Artikel 61

Kommissionens forslag

Ændringsforslag

Evaluering

Evaluering

1. Kommissionen evaluerer anvendelsen af dette direktiv.

1. Kommissionen evaluerer efter indhentning af en udtalelse fra Det Europæiske Databeskyttelsesråd anvendelsen og gennemførelsen af dette direktiv. Det samordnes i nært samarbejde med medlemsstaterne og omfatter anmeldte og uanmeldte besøg. Europa-Parlamentet og Rådet bør holdes informerede under hele forløbet og have adgang til de relevante dokumenter.

2. Kommissionen gennemgår senest tre år efter dette direktivs ikrafttræden andre vedtagne EU-retsakter vedrørende kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, navnlig de i artikel 59 nævnte vedtagne EU-retsakter, for at vurdere behovet for at tilpasse dem til dette direktiv og fremsætte de forslag til ændring af disse retsakter, der måtte være nødvendige for at sikre en konsekvent tilgang til beskyttelse af personoplysninger inden for rammerne af dette direktiv.

2. Kommissionen gennemgår senest to år efter dette direktivs ikrafttræden andre vedtagne EU-retsakter vedrørende kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, navnlig de i artikel 59 nævnte vedtagne EU-retsakter og fremsætter hensigtsmæssige forslag med henblik på at sikre konsekvente og ensartede retlige bestemmelser vedrørende kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner inden for rammerne af dette direktiv.

 

2a. Kommissionen forelægger senest to år efter dette direktivs ikrafttrædelse et hensigtsmæssig forslag til en revision af de lovgivningsmæssige rammer for behandling af personoplysninger foretaget af EU's institutioner, organer, kontorer og agenturer med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner med henblik på at sikre konsekvente og ensartede retsregler vedrørende den grundlæggende ret til beskyttelse af personoplysninger i EU.

3. Kommissionen forelægger regelmæssigt Europa-Parlamentet og Rådet rapporter om evalueringen og gennemgangen af dette direktiv i henhold til stk. 1. De første rapporter forelægges senest fire år efter dette direktivs ikrafttræden. Efterfølgende rapporter forelægges hvert fjerde år derefter. Kommissionen forelægger efter behov relevante forslag til ændring af dette direktiv og tilpasning af andre retsakter. Rapporten offentliggøres.

3. Kommissionen forelægger regelmæssigt Europa-Parlamentet og Rådet rapporter om evalueringen og gennemgangen af dette direktiv i henhold til stk. 1. De første rapporter forelægges senest fire år efter dette direktivs ikrafttræden. Efterfølgende rapporter forelægges hvert fjerde år derefter. Kommissionen forelægger efter behov relevante forslag til ændring af dette direktiv og tilpasning af andre retsakter. Rapporten offentliggøres.

BEGRUNDELSE

Baggrund for forslaget

Ordføreren mener, at en effektiv ramme for databeskyttelse i Europa kan yde et væsentligt bidrag til et godt databeskyttelsesniveau for den enkelte EU-borger. Ordføreren har ændret indholdet af Kommissionens forslag 2012/0010 (COD) for at bringe beskyttelsen op på et niveau svarende til det, man finder i forslaget til forordning, og samtidig fremlægge begrundelser for de foreslåede løsninger.

Rådets nuværende rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager indeholder ikke en omfattende ramme for beskyttelse af personoplysninger i forbindelse med politi- og retsmyndighedernes behandling af oplysningerne i kriminalsager, da den kun omhandler grænseoverskridende situationer og ikke behandler spørgsmålet om parallelle eksisterende bestemmelser om beskyttelse af personlige oplysninger i forskellige EU-instrumenter om retshåndhævelse og strafferet.

Ordføreren er overbevist om, at den hurtige teknologiske udvikling har skabt nye udfordringer, hvad angår beskyttelse af personoplysninger. Omfanget af datadeling og -indsamling er steget dramatisk. Teknologien giver både offentlige myndigheder, bl.a. retshåndhævende myndigheder, og private virksomheder mulighed for at udnytte personoplysninger i et hidtil uset omfang. Fysiske personer udbreder i stigende grad deres personoplysninger offentligt og globalt. Teknologien har ændret både samfundet og det sociale liv.

I en globaliseret og indbyrdes forbundet verden, der er opbygget omkring onlinekommunikation, er personoplysninger tilgængelige og oplagres, anvendes og evalueres dagligt i hidtil uset omfang. I de næste par år og de kommende årtier skal Europa beslutte, hvordan vi vil gøre brug af alle disse oplysninger, navnlig inden for retshåndhævelsen samt til forebyggelse og bekæmpelse af kriminalitet, uden at gå på kompromis med de grundlæggende rettigheder og standarder, vi har kæmpet så hårdt for at indføre. Det er en enestående mulighed for at indføre høje standarder og velafbalancerede retlige instrumenter.

Ordføreren glæder sig i høj grad over Kommissionens bestræbelser på at skabe en fælles databeskyttelsesramme og harmonisere de forskellige systemer mellem EU's medlemsstater og håber, at også Rådet vil opfylde sine forpligtelser fuldt ud.

Ordførerens forslag til ændringer

Ordføreren mener, at en række specifikke forhold bør afklares yderligere i forslaget til direktiv, bl.a. følgende:

- Alle undtagelser fra princippet skal behørigt begrundes, eftersom beskyttelse af personlige oplysninger er en grundlæggende rettighed. Rettigheden skal være lige så beskyttet i alle tilfælde, og artikel 52 i chartret, der tillader begrænsninger, gælder fuldt ud. Sådanne begrænsninger bør være en undtagelse fra den generelle regel og må ikke blive selve reglen. Derfor kan ubegrænsede og omfattende undtagelser ikke accepteres.

- En klar definition af databeskyttelsesprincipperne vedrørende f.eks. elementerne i lagring af data, gennemsigtighed, ajourføring af relevante, tilstrækkelige og nødvendige oplysninger. Endvidere mangler der bestemmelser, hvorefter den registeransvarlige skal påvise overholdelse af gældende krav.

- Behandlingen af personoplysninger bør udføres lovligt, loyalt og gennemsigtigt i forhold til de berørte personer. De specifikke formål med behandlingen af oplysningerne bør navnlig være udtrykkelige og legitime og fremgå, når personoplysningerne indsamles. Desuden bør personoplysningerne være passende, relevante og begrænset til det minimum, der er nødvendigt til formålene med behandlingen af personoplysningerne. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke kan opfyldes på anden måde. Under det foreslåede system skal det sikres, at oplysningerne ikke opbevares i længere tid end nødvendigt. Den registeransvarlige bør fastsættes tidsbegrænsninger for sletning eller periodisk revision.

- Personoplysningerne bør ikke behandles til formål, der er uforenelige med det formål, hvortil de blev indsamlet. Det forhold, at dataene behandles med henblik på retshåndhævelse indebærer ikke nødvendigvis, at dette formål er foreneligt med det oprindelige formål. Princippet om forenelig anvendelse skal fortolkes restriktivt.

- Det er vigtigt, at videregivelsen af personoplysninger til andre myndigheder eller private instanser i Unionen forbydes, medmindre videregivelsen sker i overensstemmelse med lovgivningen, og modtageren er hjemmehørende i en medlemsstat. Desuden bør ingen legitime særinteresser hos den registrerede forhindre videregivelsen, og videregivelsen er nødvendig i specifikke tilfælde, hvor den registeransvarlige videregiver oplysningerne enten i forbindelse med udøvelsen af en opgave, som denne har fået tildelt i henhold til lovgivningen, eller for at forebygge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed eller for at forhindre alvorlige krænkelser af enkeltpersoners rettigheder. Den registeransvarlige bør underrette modtageren om formålet med behandlingen og tilsynsmyndigheden om overførslen, og modtageren bør også underrettes om restriktioner på behandlingen og sikre, at de overholdes.

- Der mangler en evalueringsmekanisme for en grundig vurdering af nødvendighed og proportionalitet. Dette spørgsmål er afgørende for at vurdere, om visse former for behandling af personoplysninger overhovedet er nødvendige og opfylder deres mål. En sådan evaluering ville desuden forhindre oprettelsen af ​​en form for "orwellsk" samfund, hvor samtlige oplysninger til sidst bliver behandlet og analyseret. Indsamlingen af ​​data skal være nødvendig for at retfærdiggøre et mål, idet der skal tages hensyn til, at målet ikke kan nås med andre midler, og at kernen i den private sfære for den enkelte er velbevaret. Proportionalitetsprincippet er også forbundet med spørgsmålet om videreanvendelse af data til et andet formål end det, der oprindeligt lovligt begrundede databehandlingen, for at forhindre en samlet oprettelse af profiler af befolkningen.

- Det er ønskeligt, at der indføres en konsekvensanalyse vedrørende databeskyttelse, som skal udføres af registeransvarlige eller registerføreren, og som navnlig bør omhandle de planlagte foranstaltninger, garantier og systemer, der skal sikre beskyttelsen af personoplysninger og overensstemmelsen med dette direktiv. Konsekvensanalyserne skal vedrøre relevante systemer og processer i forbindelse med behandling af personoplysninger, men ikke enkelttilfælde. Hvis en konsekvensanalyse vedrørende databeskyttelse desuden viser, at behandlingen efter al sandsynlighed vil involvere en høj grad af specifikke risici for registreredes rettigheder og frihedsrettigheder, bør tilsynsmyndigheden inden iværksættelse af behandlingsaktiviteter kunne forhindre en risikobehæftet behandling, der ikke er i overensstemmelse med dette direktiv, og fremsætte forslag om afhjælpning af en sådan situation. En sådan høring kan ligeledes gennemføres som led i udarbejdelsen af en lovgivningsmæssig foranstaltning, der vedtages af det nationale parlament, eller af en anden foranstaltning med hjemmel i en sådan lovgivningsmæssig foranstaltning, som fastlægger karakteren af behandlingen og indfører de fornødne garantier.

- Der mangler en klar definition af profilering. En sådan definition bør være i overensstemmelse med Europarådets henstilling CM/Rec(2010)13. Reglerne for profilering i forbindelse med politiarbejde skal fastsættes ved lov, hvori man fastsætter foranstaltninger til sikring af de registreredes legitime interesser, navnlig ved at give dem mulighed for at fremsætte deres synspunkter. Eventuelle negative konsekvenser skal vurderes gennem menneskelig indgriben. Samtidig bør profilanalyser ikke blive en boksering med fuldstændig uskyldige personer uden nogen begrundet personlig udløsende faktor – det bør ikke føre til den såkaldte generelle Rasterfahndung.

- Den foreslåede ordning for videregivelse af personoplysninger til tredjelande er svag og giver ikke alle de nødvendige garantier med henblik på at sikre beskyttelsen af rettighederne for den enkelte, hvis data vil blive videregivet. Dette system giver en mindre beskyttelse end den foreslåede forordning. Kommissionens forslag ville f.eks. gøre det muligt at videregive personoplysninger til et tredjelands myndighed eller en international organisation, der ikke er kompetent med henblik på retshåndhævelse. Såfremt videregivelse sker på grundlag af en vurdering, der er foretaget af den registeransvarlige (artikel 35, stk. 1, litra b)), kan der i henhold til direktivet endda foretages omfattende masseoverførsler af personlige oplysninger.

- Det er yderst vigtigt, at der er mulighed for undtagelser i sager, hvor der ikke er grundlag for at give tilladelse til en videregivelse, for at beskytte den registreredes eller andre personers legitime interesser eller for at beskytte den registreredes vitale interesser. Undtagelser, f.eks. i forbindelse med den offentlige sikkerhed i en medlemsstat eller et tredjeland, bør fortolkes restriktivt og bør ikke give mulighed for hyppig, omfattende og strukturel overførsel af personoplysninger og bør ikke give mulighed for generel dataoverførsel, men begrænses til de data, der er strengt nødvendige. Desuden bør beslutningen om overførsel af personoplysninger træffes af en dertil behørigt bemyndiget person, og overførslen skal dokumenteres og stilles til rådighed for tilsynsmyndigheden, hvis denne anmoder om det, for at give mulighed for at kontrollere overførslens lovlighed.

- Databeskyttelsesmyndighedernes beføjelser til at overvåge og sikre overholdelsen af ​​databeskyttelsesreglerne er ikke korrekt defineret. I forhold til forslaget til forordning er databeskyttelsesmyndighedernes beføjelser mindre klare. Det er ikke indlysende, om databeskyttelsesmyndigheden kan få adgang til den registeransvarliges lokaler, hvilket er tilfældet i henhold til forordningen. Sanktioner og håndhævelsesforanstaltninger forekommer også at være mindre præcise.

- Der indsættes en ny artikel om genetiske oplysninger. Behandlingen af genetiske oplysninger bør kun være tilladt, hvis der findes en genetisk sammenhæng, der viser sig i forbindelse med efterforskningen af en forbrydelse eller med en retssag. Genetiske oplysninger bør kun opbevares, så længe det er strengt nødvendigt til brug for disse undersøgelser og retssager, men medlemsstaterne kan give tilladelse til opbevaring i en længere periode på de betingelser, der opstilles i dette direktiv.

- Ordføreren mener, at forslaget til direktiv i mange henseender ikke opfylder kravene om et højt databeskyttelsesniveau, som Kommissionens beskriver som "væsentligt" (jf. betragtning 7), og at det ikke juridisk set var i overensstemmelse med bestemmelserne i forslaget til forordning. Ordføreren mener desuden, at det er altafgørende, at de to retsakter (forordningen og direktivet om beskyttelse af personoplysninger) betragtes som en pakke med hensyn til tidsplanen og den endelige vedtagelse.

Efter en periode, hvor de nationale retshåndhævende myndigheder er nødt til at tilpasse niveauet for databeskyttelse i henhold til den situation, de har med at gøre (intern situation, grænseoverskridende situation, Prüm, Europol, Eurojust), kan et holdbart og konsekvent instrument endelig skabe retssikkerhed og kan samtidig være konkurrencedygtig internationalt og blive et skoleeksempel på beskyttelse af personoplysninger i det 21. århundrede.

UDTALELSE fra Retsudvalget (16.4.2013)

til Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender

om forslag til Europa-Parlamentets og Rådets direktiv om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger
(COM(2012)0010 – C7‑0024/2012 – 2012/0010(COD))

Ordfører for udtalelse: Axel Voss

KORT BEGRUNDELSE

Det er en god idé, at EU vil skabe sig en omfattende, kohærent og moderne ramme inden for databeskyttelse på højt niveau, for der er mange udfordringer i forbindelse med datasikkerhed, for eksempel globaliseringen, den teknologiske udvikling, større online-aktivitet, anvendelser i forbindelse med stadig flere kriminelle aktiviteter samt sikkerhedsbetænkeligheder.

Derfor er det vigtigt, at man i de relevante europæiske forskrifter (artikel 16 i TEUF og anerkendelsen af retten til beskyttelse af personoplysninger i artikel 8 i chartret om grundlæggende rettigheder som selvstændige rettigheder) garanterer retssikkerheden og tilliden til de registeransvarlige og navnlig også til de retshåndhævende myndigheder på det strafferetlige område, navnlig da overtrædelser af reglerne om datasikkerhed kan føre til alvorlige risici for den enkeltes grundlæggende rettigheder og frihedsrettigheder og for medlemsstaternes værdier.

Europa-Parlamentet har derfor altid haft det udgangspunkt, at den grundlæggende ret til databeskyttelse og privatlivets fred også omfatter beskyttelse af personer mod mulig overvågning samt mod misbrug af deres oplysninger fra statens side. Det er derfor en logisk konsekvens, at Kommissionen har stillet forslag til et direktiv "om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger", som ordføreren principielt kan tilslutte sig.

I forbindelse med opklaring og håndhævelse inden for straffelovens område er det imidlertid nødvendigt at tilpasse databeskyttelsen til de andre retsstatslige overvejelser, der følger af statens magtmonopol. Lovgivningen om databeskyttelse inden for forebyggelse af risici, tilvejebringelse og sikring af den generelle sikkerhed samt opklaring og håndhævelse på det strafferetlige område skal tilpasses til de opgaver, en stat skal varetage, og skal samtidig sikre, at den kan varetage disse opgaver effektivt til gavn for alle borgere.

Lovgivningen inden for databeskyttelse på europæisk niveau er generelt præget af forskellige kompetencer: Inden for den tidligere første søjle findes der er en meget udpræget kompetence, som er afledt af det indre marked. Inden for den tidligere tredje søjle er det ikke harmonisering, men samarbejde, der dominerer. Derfor var rammeafgørelse 2008/977/RIA også det mest vidtgående instrument til fastsættelse af minimumsstandarder på dette område.

Hertil kommer, at medlemsstaternes retstraditioner, netop når det gælder det politimæssige og retlige samarbejde, gennem århundreder har udviklet sig meget forskelligt, og at det på dette følsomme område er nødvendigt, at man med europæiske regler kun ændrer gamle nationale strukturer og traditioner forsigtigt og skridt for skridt.

Hertil kommer, at der med hensyn til anvendelsesområdet for artikel 16 i TEUF er en omstridt situation, der endnu ikke er afklaret gennem højesteretlige afgørelser og derfor udgør en retsusikkerhed, som efter ordførerens opfattelse må løses pragmatisk:

Kommissionens direktivforslag lægger dataudveksling i medlemsstaterne ind under direktivets anvendelsesområde, mens artikel 16 II i TEUF kun giver EU kompetence inden for EU-lovgivningens anvendelsesområde. Dette omfatter imidlertid ikke databehandlingen i staterne på politiområdet (artikel 87 i TEUF).

Det er kendetegnende for databeskyttelsen, at den virker horisontalt og kan indvirke på områder, som ikke er underlagt EU's ubegrænsede kompetence, og derved muligvis overtræder nærhedsprincippet.

På grund af disse overvejelser mener ordføreren, at direktivet kun bør fastsætte minimumsstandarder. Dermed bortfalder spørgsmålet om "kun grænseoverskridende" eller "også national" databeskyttelse i praksis, idet en høj standard for datasikkerhed udmærket kan opretholdes.

For imidlertid at bevare balancen i forhold til databeskyttelse som grundlæggende rettighed er det på den anden side nødvendigt at styrke den enkeltes rettigheder og formulere dem klart i direktivet. Principperne om gennemsigtighed og kontrol skal forankres, men de må ikke modarbejde målene om at afværge risici og forfølge forbrydelser.

For at sikre denne balance mellem at bevare magtmonopolet, garantier for den offentlige sikkerhed og orden og den enkeltes fysiske integritet på den ene side og retten til databeskyttelse på den anden side, anser ordføreren følgende ændringer for nødvendige:

Kapitel I

- Risikoforebyggelse lægges ind under anvendelsesområdet (artikel 1).

- Medlemsstaterne får klar mulighed for at udstede højere standarder (artikel 1). Direktivet har ikke harmonisering som mål, men fastsættelsen minimumsstandarder.

- Anvendelsesområdet udvides til EU's organer, institutioner, kontorer og agenturer (artikel 2).

Kapitel II

- Teksten i det centrale afsnit "Principper for databehandling" tilpasses til den generelle forordning om databeskyttelse. I henhold til pakkemodellen bør disse principper stemme overens (artikel 4).

- Artikel 5 udgår, da der her vil opstå øget bureaukrati og øgede udgifter for medlemsstaterne, og der samtidig mangler en bestemmelse om de retlige konsekvenser.

- Databehandlingens formålsafgrænsning er et vigtigt princip i lovgivningen om databeskyttelse. Artikel 6 og 7 er revideret grundlæggende og udvidet ved hjælp af rammeafgørelse 2008/977/RIA (her: artikel 8 (saglig rigtighed), artikel 3 (formålsafgrænsning) og artikel 13 (formålsafgrænsning for så vidt angår data fra andre EU-stater).

Kapitel III

Ændringerne i kapitel III fokuserer på kravet om individuel berørthed og den individuelle, faktiske anmodning om lagrede oplysninger.

- Muligheden for at begrænse retten til indsigt (artikel 12) begrænses til det konkrete enkelttilfælde med kontrol, hvorved de individuelle rettigheder styrkes.

- Retten til information på tidspunktet for dataindsamlingen, uden at der foreligger en anmodning, begrænses til fordel for nationale bestemmelser.

- Retten til sletning og berigtigelse revideres tekstmæssigt og styrkes. Samtidig indføres der dog undtagelser fra retten til sletning, f.eks. i forbindelse med et lovkrav om opbevaring.

Kapitel IV

- Artikel 20 "Fælles registeransvarlige" udgår, da den sænker standarden for databeskyttelse. I det eksterne forhold bør det fælles ansvar for begge ansvarlige bevares til fordel for den registrerede.

- Artikel 23 "Dokumentation" strammes analogt til artikel 10 i rammeafgørelse 2008/977/RIA. Som konsekvens udgår artikel 24 "Registre".

- Artikel 27 "Datasikkerhed" tilpasses til teksten i artikel 22 i rammeafgørelsen.

- Forudgående høring/Privacy Impact Assessment indføres som artikel 28a (ny), hentet fra rammeafgørelsen 2008/977/RIA, artikel 23.

- "Data Breaches" skal kun anmeldes til tilsynsmyndigheden, ikke til den registrerede (artikel 28 og 29).

Kapitel V

- Artikel 35b overtager bestemmelserne fra artikel 13 i rammeafgørelsen og fastsætter særlige regler for håndtering af data, der stammer fra andre medlemsstater.

- Artikel 36 omformuleres. I strengt begrænsede enkelttilfælde skal det trods en negativ afgørelse om tilstrækkeligheden af beskyttelsesniveauet være muligt at udlevere data til tredjelande under meget strenge betingelser for at beskytte goder af højeste værdi som liv og helbred.

Kapitel VIII

- Det repræsentative søgsmål i artikel 50 udgår. Den personlige berørthed og det enkelte tilfælde må være udslaggivende for et søgsmål.

Delegerede retsakter og gennemførelsesretsakter

- Her må Kommissionens forslag revideres på en sådan måde, at der gælder fælles bestemmelser for delegerede retsakter og gennemførelsesretsakter, så kompetencen ikke spredes. Der foretrækkes i den forbindelse ligesom for de planlagte ændringer til forslaget til den generelle forordning om databeskyttelse (COM(2012)0011) delegerede retsakter eller en afgørelsen på medlemsstatsniveau.

Ansvar uden for kontraktforhold

- Det er muligt, at Kommissionen træffer en forkert beslutning med hensyn til tilstrækkeligheden af databeskyttelsen i et tredjeland eller en international organisation, og at der herved opstår skader. Dette tilfælde bør nævnes i direktivet.

ÆNDRINGSFORSLAG

Retsudvalget opfordrer Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender, som er korresponderende udvalg, til at optage følgende ændringsforslag i sin betænkning:

Ændringsforslag  1

Forslag til direktiv

Betragtning 7

Kommissionens forslag

Ændringsforslag

(7) Det er vigtigt at sikre et ensartet og højt niveau for beskyttelse af fysiske personers personoplysninger og gøre det lettere at udveksle personoplysninger mellem medlemsstaternes kompetente myndigheder for at sikre et effektivt retligt samarbejde i straffesager og politisamarbejde. Med det formål skal niveauet for beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner være det samme i alle medlemsstater. For at sikre en effektiv beskyttelse af personoplysninger i Unionen er det nødvendigt at styrke de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler personoplysninger, men der skal også gives tilsvarende beføjelser til at kontrollere og sikre overholdelsen af reglerne om beskyttelse af personoplysninger i medlemsstaterne.

(7) Det er vigtigt at sikre et ensartet og højt niveau for beskyttelse af fysiske personers personoplysninger og gøre det lettere at udveksle personoplysninger mellem medlemsstaternes kompetente myndigheder for at sikre et effektivt retligt samarbejde i straffesager og politisamarbejde. Med det formål skal minimumsstandarderne sikres i alle medlemsstater i forbindelse med enhver behandling af personoplysninger af de kompetente myndigheder med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner.

Ændringsforslag  2

Forslag til direktiv

Betragtning 15

Kommissionens forslag

Ændringsforslag

(15) Beskyttelsen af fysiske personer bør være teknologineutral og må ikke afhænge af de anvendte teknikker, da der ellers vil være alvorlig risiko for omgåelse. Beskyttelsen af fysiske personer bør gælde for både automatisk og manuel behandling af personoplysninger, hvis oplysningerne er indeholdt eller påtænkes indeholdt i et register. Sagsmapper eller samlinger af sagsmapper eller deres forsider, som ikke er struktureret efter bestemte kriterier, henhører ikke under dette direktivs anvendelsesområde. Dette direktiv bør ikke finde anvendelse på behandlingen af personoplysninger i forbindelse med en aktivitet, der falder uden for EU-rettens anvendelsesområde, særlig vedrørende national sikkerhed, eller på data, der behandles af EU-institutioner, ‑organer, ‑kontorer og ‑agenturer såsom Europol eller Eurojust.

(15) Beskyttelsen af fysiske personer bør være teknologineutral og må ikke afhænge af de anvendte teknikker, da der ellers vil være alvorlig risiko for omgåelse. Beskyttelsen af fysiske personer bør gælde for både automatisk og manuel behandling af personoplysninger, hvis oplysningerne er indeholdt eller påtænkes indeholdt i et register. Sagsmapper eller samlinger af sagsmapper eller deres forsider, som ikke er struktureret efter bestemte kriterier, henhører ikke under dette direktivs anvendelsesområde. Dette direktiv bør ikke finde anvendelse på behandlingen af personoplysninger i forbindelse med en aktivitet, der falder uden for EU-rettens anvendelsesområde, særlig vedrørende national sikkerhed.

Ændringsforslag  3

Forslag til direktiv

Betragtning 16

Kommissionens forslag

Ændringsforslag

(16) Principperne om databeskyttelse bør gælde for alle former for oplysninger om en identificeret eller identificerbar fysisk person. For at afgøre, om en fysisk person er identificerbar, bør alle de hjælpemidler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den registeransvarlige eller af enhver anden person. Beskyttelsesprincipperne bør ikke gælde oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres.

(16) Principperne om databeskyttelse bør gælde for alle former for oplysninger om en identificeret eller identificerbar fysisk person. For at afgøre, om en fysisk person er identificerbar, bør alle de hjælpemidler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den registeransvarlige eller af enhver anden person, der samarbejder med den registeransvarlige. Beskyttelsesprincipperne bør ikke gælde oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres.

Ændringsforslag  4

Forslag til direktiv

Betragtning 23

Kommissionens forslag

Ændringsforslag

(23) Behandling af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde indebærer i sagens natur behandling af personoplysninger om forskellige kategorier af registrerede. Der bør således så vidt muligt sondres klart mellem personoplysninger om forskellige kategorier af registrerede såsom mistænkte, personer, der er dømt for en straffelovsovertrædelse, ofre eller tredjeparter som f.eks. vidner, personer, der ligger inde med relevante oplysninger, eller mistænktes og dømte kriminelles kontaktpersoner og associerede.

udgår

Ændringsforslag  5

Forslag til direktiv

Betragtning 24

Kommissionens forslag

Ændringsforslag

(24) Der bør så vidt muligt sondres mellem forskellige kategorier af oplysninger ud fra, i hvor høj grad disse er korrekte og pålidelige. Der bør sondres mellem kendsgerninger og personlige vurderinger for både at sikre beskyttelsen af fysiske personer og kvaliteten og pålideligheden af de oplysninger, der behandles af de kompetente myndigheder.

udgår

Ændringsforslag  6

Forslag til direktiv

Betragtning 43

Kommissionens forslag

Ændringsforslag

(43) Når der fastsættes nærmere regler for, hvilket format og hvilke procedurer der skal anvendes ved anmeldelse af brud på persondatasikkerheden, bør der tages behørigt hensyn til omstændighederne ved sikkerhedsbruddet, herunder om personoplysningerne var beskyttet ved passende tekniske beskyttelsesforanstaltninger, der effektivt begrænser sandsynligheden for misbrug. Sådanne regler og procedurer bør desuden tage hensyn til de kompetente myndigheders legitime interesser, hvis tidlig anmeldelse kunne udgøre en unødvendig hæmsko for efterforskningen af omstændighederne ved et sikkerhedsbrud.

udgår

Ændringsforslag  7

Forslag til direktiv

Betragtning 45

Kommissionens forslag

Ændringsforslag

(45) Medlemsstaterne bør sikre, at videregivelse af personoplysninger til et tredjeland kun sker, hvis det er nødvendigt for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, og den registeransvarlige i det pågældende tredjeland eller den pågældende internationale organisation er en kompetent myndighed som defineret i dette direktiv. Der kan finde videregivelse sted i de tilfælde, hvor Kommissionen har afgjort, at det pågældende tredjelande eller den pågældende internationale organisation sikrer et passende beskyttelsesniveau, eller hvis der er indført passende beskyttelsesforanstaltninger.

(45) Medlemsstaterne bør sikre, at videregivelse af personoplysninger til et tredjeland kun sker, hvis det er nødvendigt for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, og den registeransvarlige i det pågældende tredjeland eller den pågældende internationale organisation er en kompetent myndighed som defineret i dette direktiv.

Ændringsforslag  8

Forslag til direktiv

Betragtning 55

Kommissionens forslag

Ændringsforslag

(55) Selv om dette direktiv også gælder for de nationale domstoles aktiviteter, bør der af hensyn til domstolenes uafhængighed, når de udfører deres retslige opgaver, ikke tillægges tilsynsmyndighederne kompetence til at behandle personoplysninger, når domstolene handler som led i deres retspleje. Denne undtagelse bør dog begrænses til egentlige retslige aktiviteter i forbindelse med retssager og ikke gælde for andre aktiviteter, som dommere kan inddrages i efter national lovgivning.

(55) Selv om dette direktiv også gælder for de nationale domstoles aktiviteter, bør der af hensyn til domstolenes uafhængighed, når de udfører deres retslige opgaver, ikke tillægges tilsynsmyndighederne kompetence til at behandle personoplysninger, når domstolene handler som led i deres retspleje.

Ændringsforslag  9

Forslag til direktiv

Betragtning 70

Kommissionens forslag

Ændringsforslag

(70) Unionen kan derfor træffe foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, rækker dette direktiv ikke ud over, hvad der er nødvendigt for at nå dette mål.

udgår

Ændringsforslag  10

Forslag til direktiv

Betragtning 73

Kommissionens forslag

Ændringsforslag

(73) For at sikre en overordnet og sammenhængende beskyttelse af personoplysninger i Unionen, bør internationale aftaler, som medlemsstaterne indgår inden dette direktivs ikrafttræden, ændres i overensstemmelse med dette direktiv.

udgår

Ændringsforslag  11

Forslag til direktiv

Artikel 1 – stk. 1

Kommissionens forslag

Ændringsforslag

1. I dette direktiv fastsættes regler om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner.

1. I dette direktiv fastsættes regler om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge risici, efterforske, opdage eller retsforfølge straffelovsovertrædelser samt fuldbyrde strafferetlige sanktioner.

Begrundelse

I forbindelse med politiets forebyggelse af risici er der vanskeligheder ved afgrænsningen af direktivets og forordningens anvendelsesområder. Hvis den risiko, der skal afværges, ikke er belagt med straf, og politiet derfor ikke forebygger en strafbar handling i henhold til artikel 1, stk. 1, i forslaget til direktivet, finder direktivet ikke anvendelse (f.eks. en fil for savnede personer, selvmordere). Bestemmelserne i den generelle forordning om databeskyttelse er helt upassende for så vidt angår forebyggelse af risici.

Ændringsforslag  12

Forslag til direktiv

Artikel 1 – stk. 2 – indledning

Kommissionens forslag

Ændringsforslag

2. Medlemsstaterne sikrer i overensstemmelse med dette direktiv:

2. Minimumsbestemmelserne i dette direktiv hindrer ikke medlemsstaterne i at bevare eller vedtage bestemmelser til beskyttelse af personoplysninger, som sikrer en højere beskyttelsesstandard.

Begrundelse

Direktivet bør have som mål at skabe en europæisk minimumsbeskyttelsesstandard og ikke at erstatte de eksisterende nationale bestemmelser. Det skal udtrykkeligt være tilladt for medlemsstaterne at udstede strengere standarder.

Ændringsforslag  13

Forslag til direktiv

Artikel 1 – stk. 2 – litra b

Kommissionens forslag

Ændringsforslag

b) at udvekslingen af personoplysninger mellem de kompetente myndigheder i EU ikke indskrænkes eller forbydes af grunde, der vedrører beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger.

udgår

Ændringsforslag  14

Forslag til direktiv

Artikel 2 – stk. 3 – litra b

Kommissionens forslag

Ændringsforslag

b) som foretages af EU-institutioner, ‑organer, ‑kontorer og ‑agenturer.

udgår

Begrundelse

EU's institutioner og myndigheder bør også høre ind under direktivets anvendelsesområde.

Ændringsforslag  15

Forslag til direktiv

Artikel 3 – stk. 1 – nr. 1

Kommissionens forslag

Ændringsforslag

1) "registreret": en identificeret fysisk person eller en fysisk person, der direkte eller indirekte kan identificeres med hjælpemidler, som med rimelighed kan tænkes bragt i anvendelse enten af den registeransvarlige eller af enhver anden fysisk eller juridisk person, bl.a. ved et id-nummer, lokaliseringsdata, online-id, eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

1) "registreret": en identificeret fysisk person eller en fysisk person, der direkte eller indirekte kan identificeres med hjælpemidler, som med rimelighed kan tænkes bragt i anvendelse enten af den registeransvarlige eller af enhver anden fysisk eller juridisk person, der samarbejder med den registeransvarlige, bl.a. ved et id-nummer, lokaliseringsdata, online-id, eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

Ændringsforslag  16

Forslag til direktiv

Artikel 3 – stk. 1 – nr. 9 a (nyt)

Kommissionens forslag

Ændringsforslag

 

9a) "den registreredes samtykke": enhver frivillig, specifik, informeret og udtrykkelig viljestilkendegivelse baseret på en erklæring eller klar bekræftelse fra den registrerede, hvorved den registrerede indvilliger i, at personoplysninger om vedkommende gøres til genstand for behandling

Begrundelse

Ændringen indfører den registreredes samtykke inden for snævre grænser. Selv om borger og stat principielt ikke kan ligestilles, kan samtykket i det enkelte tilfælde fungere som en begrundelse, f.eks. i forbindelse med dna-massetests.

Ændringsforslag  17

Forslag til direktiv

Artikel 3 – stk. 1 – nr. 14

Kommissionens forslag

Ændringsforslag

14) "kompetente myndigheder": enhver offentlig myndighed med ansvar for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner

14) "kompetente myndigheder": enhver offentlig myndighed med ansvar for at forebygge risici, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner, herunder EU's organer, institutioner, kontorer og agenturer

Ændringsforslag  18

Forslag til direktiv

Artikel 4 – stk. 1 – litra a

Kommissionens forslag

Ændringsforslag

a) skal behandles loyalt og lovligt

a) skal behandles lovligt, loyalt og på en gennemsigtig og kontrollerbar måde i forhold til den registrerede

Ændringsforslag  19

Forslag til direktiv

Artikel 4 – litra c

Kommissionens forslag

Ændringsforslag

c) skal være tilstrækkelige, relevante og ikke for omfattende i forhold til de formål, hvortil de behandles

c) skal være tilstrækkelige, relevante og begrænset til det nødvendige minimum i forhold til de formål, hvortil de behandles; personoplysninger må kun behandles, når anonym behandling ikke er tilstrækkelig til det pågældende formål, og så længe disse formål ikke kan opfyldes ved at behandle oplysninger, der ikke omfatter personoplysninger;

Ændringsforslag  20

Forslag til direktiv

Artikel 4 – litra e

Kommissionens forslag

Ændringsforslag

e) skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles

e) skal opbevares på en sådan måde, at det er muligt at identificere de registrerede, dog ikke i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles

Begrundelse

Ændringen tilpasser direktivet til teksten i databeskyttelsesforordningen. I henhold til pakkemodellen bør der gælde samme principper for databehandlingen i de to retsakter.

Ændringsforslag  21

Forslag til direktiv

Artikel 4 – litra f

Kommissionens forslag

Ændringsforslag

f) skal behandles under den registeransvarliges ansvar, og denne skal sikre overholdelsen af de bestemmelser, der vedtages til gennemførelse af dette direktiv.

f) må kun behandles og anvendes af kompetente medarbejdere i kompetente myndigheder i forbindelse med udøvelsen af deres virke.

Ændringsforslag  22

Forslag til direktiv

Artikel 4 – litra f

Kommissionens forslag

Ændringsforslag

f) skal behandles under den registeransvarliges ansvar, og denne skal sikre overholdelsen af de bestemmelser, der vedtages til gennemførelse af dette direktiv.

f) skal behandles under den registeransvarliges ansvar, og denne skal sikre og påvise overholdelsen af de bestemmelser, der vedtages til gennemførelse af dette direktiv.

Ændringsforslag  23

Forslag til direktiv

Artikel 5 – stk. 1a (nyt)

Kommissionens forslag

Ændringsforslag

 

1a. Medlemsstaterne kan, så vidt muligt, fastsætte særlige regler om en kategorisering af oplysninger, herunder de respektive konsekvenser, under hensyntagen til de forskellige formål, hvortil oplysningerne indsamles, herunder betingelser for indsamling af oplysninger, tidsfrister for opbevaring af oplysninger, mulige begrænsninger i registreredes ret til indsigt samt information og betingelserne vedrørende de kompetente myndigheders adgang til oplysninger.

Ændringsforslag  24

Forslag til direktiv

Artikel 6 – overskrift

Kommissionens forslag

Ændringsforslag

Forskellige grader af personoplysningers nøjagtighed og pålidelighed

Saglig nøjagtighed

Ændringsforslag  25

Forslag til direktiv

Artikel 6 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Medlemsstaterne sikrer, at der i videst muligt omfang sondres mellem de forskellige kategorier af oplysninger, der er genstand for behandling, ud fra i hvor høj grad disse er korrekte og pålidelige.

1. De kompetente myndigheder sikrer, at personoplysninger i videst muligt omfang er korrekte, fuldstændige og, hvis det er nødvendigt, opdateret.

Ændringsforslag  26

Forslag til direktiv

Artikel 6 – stk. 2 og stk. 2 a (nyt)

Kommissionens forslag

Ændringsforslag

2. Medlemsstaterne sikrer, at der så vidt muligt sondres mellem personoplysninger, der bygger på kendsgerninger, og personoplysninger, der bygger på personlige vurderinger.

2. De kompetente myndigheder sikrer, at personoplysninger, som er urigtige, ufuldstændige eller ikke længere aktuelle, ikke bliver videregivet eller stillet til rådighed. Til dette formål fastsætter de, at de kompetente myndigheder skal kontrollere kvaliteten af personoplysningerne, før de videregives eller stilles til rådighed, hvis dette er praktisk muligt. I forbindelse med al videregivelse af oplysninger skal der desuden så vidt muligt stilles oplysninger til rådighed, hvormed det bliver muligt for den modtagende medlemsstat at vurdere, i hvor høj grad oplysningerne er korrekte, fuldstændige, ajourførte og pålidelige. Hvis personoplysningerne blev videregivet uanmodet, vurderer den modtagende myndighed straks, om oplysningerne er nødvendige til det formål, hvortil de er blevet videregivet.

 

2a. Hvis det konstateres, at der er videregivet urigtige oplysninger, eller at oplysningerne er videregivet ulovligt, meddeles dette straks modtageren. Modtageren er forpligtet til straks at rette oplysningerne i henhold til stk. 1 og artikel 15 eller at slette dem i henhold til artikel 16.

Begrundelse

Tekstforslaget følger artikel 8 i rammeafgørelse 2008/977/RIA og statuerer et forbud mod at videregive urigtige oplysninger.

Ændringsforslag  27

Forslag til direktiv

Artikel 7 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 7a

 

Lovlig behandling af personoplysninger; formålsafgrænsning

 

1. Behandlingen af personoplysninger er kun lovlig, hvis og i det omfang den sker under overholdelse af følgende principper.

 

2. Personoplysninger må indsamles af de kompetente myndigheder i forbindelse med deres opgaver til specifikke, entydige og legitime formål. Legitime formål opfylder især indsamling af oplysninger

 

a) for at en kompetent myndighed kan udføre en specifik opgave med de i artikel 1, stk. 1, nævnte formål eller

 

b) for at overholde en retlig forpligtelse, som den registeransvarlige er pålagt eller

 

c) til varetagelse af den registreredes specifikke legitime interesser eller

 

d) til varetagelse af en anden persons legitime interesser, medmindre den registreredes legitime interesse i at udelukke behandling vejer tungere

 

e) til forebyggelse af en trussel mod den offentlige sikkerhed.

 

3. Behandlingen af personoplysninger skal svare til de formål, oplysningerne blev indsamlet til. Yderligere behandling til et andet formål er tilladt, hvis:

 

a) den tjener legitime formål (stk. 2)

 

b) den er nødvendig af hensyn til dette andet formål

 

c) den ikke er uforenelig med de formål, hvortil oplysningerne blev indsamlet.

 

4. Uanset stk. 3 må personoplysninger viderebehandles til historiske, statistiske eller videnskabelige formål, hvis medlemsstaterne sørger for egnede garantier, f.eks. anonymisering af oplysningerne.

Ændringsforslag  28

Forslag til direktiv

Artikel 7 b (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 7b

 

Særlige forhold i forbindelse med personoplysninger fra andre medlemsstater

 

For personoplysninger, som videregives eller stilles til rådighed af den kompetente myndighed i en anden medlemsstat, skal foruden de generelle principper for databehandlingen følgende overholdes:

 

1. Personoplysningerne må kun videregives til ikkeoffentlige instanser, hvis

 

a) den kompetente myndighed i den medlemsstat, hvor oplysningerne er indsamlet, har givet tilladelse til videregivelse i henhold til sin nationale lovgivning

 

b) den registreredes specifikke legitime interesser ikke forhindrer en videregivelse og

 

c) videregivelse af oplysninger i særlige tilfælde er afgørende for den kompetente myndighed, der videregiver oplysningerne til en privat, af hensyn til:

 

i) udførelsen af en opgave, den er blevet pålagt ved lov

 

ii) forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner

 

iii) afværgelse af en umiddelbar og alvorlig trussel mod den offentlige sikkerhed, eller

 

iv) forebyggelse af alvorlige krænkelser af enkeltpersoners rettigheder.

 

Den kompetente myndighed, der videregiver oplysningerne til en privatperson, orienterer denne om, hvilke formål oplysningerne udelukkende må anvendes til.

 

2. Personoplysningerne må i henhold til forudsætningerne i artikel 7, stk. 3, kun viderebehandles til følgende andre formål end dem, som de er blevet videregivet eller stillet til rådighed til:

 

a) forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner i forbindelse med andre straffelovsovertrædelser eller sanktioner end dem, hvortil de blev videregivet eller stillet til rådighed

 

b) andre retlige og administrative procedurer, som hænger direkte sammen med forebyggelse, efterforskning, afsløring eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner

 

c) afværgelse af en umiddelbar og alvorlig trussel mod den offentlige sikkerhed eller

 

d) ethvert andet formål med forhåndsgodkendelse fra den videregivende medlemsstat eller med den registreredes samtykke givet i overensstemmelse med national ret.

 

Dette stykke berører ikke artikel 7, stk. 4.

 

3. Når specifikke begrænsninger for behandlingen i henhold til den videregivende medlemsstats lovgivning under særlige omstændigheder finder anvendelse på udveksling af oplysninger mellem de kompetente myndigheder i denne medlemsstat, gør den videregivende myndighed modtageren opmærksom på disse begrænsninger. Modtageren sikrer, at disse begrænsninger overholdes.

Begrundelse

Revisionen af denne artikel overtager bestemmelserne fra rammeafgørelse 2008/977/RIA, artikel 13, om behandling af data, der stammer fra andre medlemsstater, og beskytter disse oplysninger særligt. Artikel 7a beskytter samtidig den medlemsstat, som oplysningerne stammer fra, og etablerer dermed den tillid internt i EU, som er nødvendig for udvekslingen af oplysninger, til at de videregivne oplysninger ikke behandles vilkårligt i modtagerstaten.

Ændringsforslag  29

Forslag til direktiv

Artikel 7 c (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 7c

 

Fastlæggelse af frister for sletning og undersøgelse

 

Der fastsættes passende frister for sletning af personoplysninger eller regelmæssig undersøgelse af behovet for lagringen af oplysningerne. Det sikres ved proceduremæssige foranstaltninger, at disse tidsfrister overholdes.

Begrundelse

Tilføjelsen er overtaget ordret fra artikel 5 i rammeafgørelse 2008/977/RIA.

Ændringsforslag  30

Forslag til direktiv

Artikel 8

Kommissionens forslag

Ændringsforslag

1. Medlemsstaterne forbyder behandling af personoplysninger, der viser racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning og fagforeningsmæssigt tilhørsforhold samt genetiske data, helbredsoplysninger og oplysninger om seksuelle forhold.

Behandling af personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning og fagforeningsmæssigt tilhørsforhold samt oplysninger om helbredsforhold eller seksuelle forhold er kun tilladt, hvis

2. Stk. 1 finder ikke anvendelse, hvis:

 

a) behandlingen er tilladt i henhold til lovgivningen, som fastlægger de fornødne garantier

a) behandlingen er strengt nødvendig og tilladt i henhold til lovgivningen, som fastlægger de fornødne garantier

b) behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser

b) behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser

c) behandlingen vedrører oplysninger, som tydeligvis er offentliggjort af den registrerede

c) behandlingen vedrører oplysninger, som tydeligvis er offentliggjort af den registrerede

Begrundelse

Artiklen er omformuleret i henhold til artikel 6 i rammeafgørelse 2008/977/RIA. Selv om systematikken afviger fra forbudsprincippet i forslag til direktivet, er behandling af følsomme oplysninger dog fortsat kun tilladt under strenge betingelser. I betragtning af den store betydning, som dna-beviser har, er Kommissionens nye principielle forbud mod behandling af genetiske data slettet.

Ændringsforslag  31

Forslag til direktiv

Artikel 9 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Medlemsstaterne fastsætter bestemmelser om, at foranstaltninger, der har negative retlige virkninger for den registrerede eller påvirker vedkommende i væsentlig grad, og som udelukkende er baseret på automatisk behandling af personoplysninger med henblik på vurdering af visse individuelle aspekter vedrørende den registreredes person, skal forbydes, medmindre de er tilladt ved en lov, som også indeholder bestemmelser til beskyttelse af den registreredes legitime interesser.

1. Foranstaltninger, der har negative retlige virkninger for den registrerede eller påvirker vedkommende i væsentlig grad, og som udelukkende er baseret på automatisk behandling af personoplysninger med henblik på vurdering af visse individuelle aspekter vedrørende den registreredes person, er kun tilladt, hvis de er tilladt ved en lov, som også indeholder bestemmelser til beskyttelse af den registreredes legitime interesser.

Begrundelse

Revisionen af denne artikel vender tilbage til ordlyden i rammeafgørelse 2008/977/RIA, artikel 7. Profilering er fortsat kun tilladt under strenge betingelser, selv om man går bort fra forbudsprincippet.

Ændringsforslag  32

Forslag til direktiv

Artikel 9 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Automatisk behandling af personoplysninger, der har til formål at vurdere bestemte personlige forhold vedrørende den registrerede, må ikke alene baseres på de særlige kategorier af personoplysninger, der er nævnt i artikel 8.

udgår

Begrundelse

Stk. 2 giver anledning til særlig omfangsrig profilering og ville være let at omgå.

Ændringsforslag  33

Forslag til direktiv

Artikel 10 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Medlemsstaterne sørger for, at den registeransvarlige træffer alle rimelige foranstaltninger for at fastsætte gennemsigtige og lettilgængelige regler for behandlingen af personoplysninger og udøvelsen af registreredes rettigheder.

1. Medlemsstaterne sørger for, at den registeransvarlige træffer egnede og passende foranstaltninger for at fastsætte gennemsigtige og lettilgængelige regler for behandlingen af personoplysninger og udøvelsen af registreredes rettigheder.

Ændringsforslag  34

Forslag til direktiv

Artikel 10 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Medlemsstaterne sørger for, at den registeransvarlige udleverer alle oplysninger og meddelelser vedrørende behandlingen af personoplysninger til den registrerede i en letforståelig form og i et klart og forståeligt sprog.

2. Medlemsstaterne sørger for, at den registeransvarlige udleverer alle oplysninger og meddelelser vedrørende behandlingen af personoplysninger til den registrerede i en letforståelig form og i et klart og forståeligt sprog som muligt.

Ændringsforslag  35

Forslag til direktiv

Artikel 10 – stk. 4

Kommissionens forslag

Ændringsforslag

4. Medlemsstaterne sikrer, at den registeransvarlige informerer den registrerede om, hvordan dennes anmodning følges op uden unødig forsinkelse.

udgår

Ændringsforslag  36

Forslag til direktiv

Artikel 12 – stk. 1 – litra a (nyt)

Kommissionens forslag

Ændringsforslag

 

a) hvilke personoplysninger der er omfattet af behandlingen, samt enhver tilgængelig information om, hvorfra disse oplysninger stammer

Ændringsforslag  37

Forslag til direktiv

Artikel 12 – stk. 1 – litra g

Kommissionens forslag

Ændringsforslag

g) hvilke personoplysninger der er omfattet af behandlingen, samt enhver tilgængelig information om, hvorfra disse oplysninger stammer

udgår

Begrundelse

Dette vedrører den væsentligste ret, nemlig retten til indsigt i oplysninger, og bør derfor figurere højere oppe på listen.

Ændringsforslag  38

Forslag til direktiv

Artikel 13 – stk. 1 – indledning

Kommissionens forslag

Ændringsforslag

1. Medlemsstaterne kan træffe lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser eller udsætter den registreredes ret til indsigt, i det omfang en sådan delvis eller fuldstændig begrænsning er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under hensyn til den pågældendes legitime interesser:

1. Medlemsstaterne kan træffe lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser eller udsætter den registreredes ret til indsigt i det enkelte tilfælde, i det omfang og i det tidsrum en sådan delvis eller fuldstændig begrænsning er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under hensyn til den pågældendes legitime interesser:

Ændringsforslag  39

Forslag til direktiv

Artikel 13 – stk. 1 – litra b

Kommissionens forslag

Ændringsforslag

b) for at undgå, at forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af straffelovsovertrædelser skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner

b) for at undgå, at forebyggelsen af risici, opdagelsen, efterforskningen og retsforfølgningen af straffelovsovertrædelser skades, eller af hensyn til fuldbyrdelsen af strafferetlige sanktioner

Ændringsforslag  40

Forslag til direktiv

Artikel 13 – stk. 1 – litra e

Kommissionens forslag

Ændringsforslag

e) for at beskytte andres rettigheder og friheder.

e) for at beskytte den registreredes eller andres rettigheder og friheder.

Ændringsforslag  41

Forslag til direktiv

Artikel 13 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Medlemsstaterne kan ved lov fastsætte de kategorier af databehandling, der helt eller delvis er omfattet af undtagelserne i stk. 1.

udgår

Begrundelse

Nægtet oplysning må altid afhænge af det enkelte tilfælde.

Ændringsforslag  42

Forslag til direktiv

Artikel 14 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede, navnlig i de i artikel 13 omhandlede tilfælde, har ret til at anmode tilsynsmyndigheden om at kontrollere, om behandlingen er lovlig.

1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede inden for de i artikel 12 og 13 omhandlede grænser har ret til at anmode tilsynsmyndigheden om at kontrollere, om behandlingen er lovlig.

Ændringsforslag  43

Forslag til direktiv

Artikel 14 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal underrette den registrerede om retten til at anmode tilsynsmyndigheden om at gribe ind, jf. stk. 1.

2. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige efter anmodning skal underrette den registrerede om retten til at anmode tilsynsmyndigheden om at gribe ind, jf. stk. 1.

Ændringsforslag  44

Forslag til direktiv

Artikel 14 – stk. 3 – afsnit 1 a (nyt)

Kommissionens forslag

Ændringsforslag

 

Medlemsstaterne bestemmer, hvorvidt den registrerede kan gøre disse rettigheder gældende direkte overfor den registeransvarlige eller gennem den kompetente tilsynsmyndighed.

Begrundelse

Dette giver bestemmelser om et system til indirekte anmodning om adgang fra den registrerede, hvor ordlyden fra rammeafgørelse 2008 bruges.

Ændringsforslag  45

Forslag til direktiv

Artikel 15 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede kan kræve, at den registeransvarlige berigtiger urigtige personoplysninger vedrørende den registrerede. Den registrerede har ret til få kompletteret ufuldstændige personoplysninger, bl.a. ved at kræve en berigtigelse.

1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede kan kræve, at urigtige personoplysninger vedrørende den registrerede berigtiges. Den registrerede har ret til få kompletteret ufuldstændige personoplysninger, bl.a. ved at kræve en berigtigelse.

Ændringsforslag  46

Forslag til direktiv

Artikel 15 – stk. 2 og stk. 2 a (nyt)

Kommissionens forslag

Ændringsforslag

2. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal give den registrerede skriftlig meddelelse om ethvert afslag på berigtigelse, om årsagerne til afslaget og om mulighederne for at indgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans.

2. Medlemsstaterne bestemmer, hvorvidt den registrerede kan gøre disse rettigheder gældende direkte overfor den registeransvarlige eller gennem den kompetente tilsynsmyndighed.

 

2a. Hvis den registrerede gør sine rettigheder gældende direkte over for den registeransvarlige, og afviser denne at berigtige eller komplettere oplysningerne skal han give den registrerede meddelelse om ethvert afslag på berigtigelse, om årsagerne til afslaget og mulighederne for at indgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans.

Begrundelse

Det bør overlades til medlemsstaterne, hvordan de vil udforme dette.

Ændringsforslag  47

Forslag til direktiv

Artikel 16 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede kan kræve, at den registeransvarlige sletter personoplysninger vedrørende den registrerede, hvis behandlingen ikke er i overensstemmelse med de bestemmelser, der er vedtaget i medfør af artikel 4, litra a)-litra e), samt artikel 7 og 8 i direktivet.

1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede kan kræve, at den registeransvarlige sletter personoplysninger vedrørende den registrerede, hvis behandlingen ikke er i overensstemmelse med de bestemmelser, der er vedtaget i medfør af artikel 4, 6, 7 og 8 i direktivet.

Begrundelse

Ændringen udvider anvendelsesområdet og styrker den enkeltes rettigheder.

Ændringsforslag  48

Forslag til direktiv

Artikel 16 – stk. 2 og stk. 2 a (nyt)

Kommissionens forslag

Ændringsforslag

2. Den registeransvarlige foretager omgående sletningen.

2. Medlemsstaterne bestemmer, hvorvidt den registrerede kan gøre disse rettigheder gældende direkte overfor den registeransvarlige eller gennem den kompetente tilsynsmyndighed.

 

2a. Hvis den registrerede gør sine rettigheder gældende direkte over for den registeransvarlige, og afviser denne at berigtige eller komplettere oplysningerne skal han give den registrerede meddelelse om ethvert afslag på berigtigelse, om årsagerne til afslaget og mulighederne for at indgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans.

Ændringsforslag  49

Forslag til direktiv

Artikel 16 – stk. 3 – indledning

Kommissionens forslag

Ændringsforslag

3. I stedet for sletning begrænser den registeransvarlige behandlingen af personoplysninger, hvis:

3. I stedet for sletning begrænser den registeransvarlige så vidt muligt anvendelsen af personoplysninger, hvis:

Ændringsforslag  50

Forslag til direktiv

Artikel 16 – stk. 3 – litra c

Kommissionens forslag

Ændringsforslag

c) den registrerede modsætter sig deres sletning og i stedet kræver, at anvendelsen heraf begrænses.

c) sletningen ville begrænse den registreredes legitime interesser eller den registrerede modsætter sig deres sletning og i stedet kræver, at anvendelsen heraf begrænses.

Ændringsforslag  51

Forslag til direktiv

Artikel 16 – stk. 3 – litra c a-c c (nye)

Kommissionens forslag

Ændringsforslag

 

ca) en sletning ville være i strid med lovbefalede dokumentations- eller opbevaringsforpligtelser; i så fald behandles oplysningerne i henhold til de lovbefalede dokumentations- eller opbevaringsforpligtelser

 

cb) hvis de kun er gemt med henblik på databeskyttelse eller databeskyttelseskontrol

 

cc) sletningen teknisk ville være uforholdsmæssig byrdefuld, f.eks. på grund af den særlige opbevaringsmåde.

Ændringsforslag  52

Forslag til direktiv

Artikel 16 – stk. 3 a (nyt)

Kommissionens forslag

Ændringsforslag

 

3a. Begrænsede oplysninger må kun anvendes til det formål, for hvilket sletning blev undladt. De må også anvendes, hvis dette er nødvendigt af hensyn til at føre bevis.

Begrundelse

Ændringen præciserer, hvilke retlige konsekvenser en blokering skal medføre.

Ændringsforslag  53

Forslag til direktiv

Artikel 16 – stk. 4

Kommissionens forslag

Ændringsforslag

4. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal give den registrerede skriftlig meddelelse om ethvert afslag på sletning eller markering af behandlingen, om årsagerne til afslaget og mulighederne for at indgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans.

4. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal give den registrerede skriftlig meddelelse om ethvert afslag på sletning eller begrænsning af behandlingen, om årsagerne til afslaget og mulighederne for at indgive klage til tilsynsmyndigheden og indbringe sagen for en retsinstans.

Ændringsforslag  54

Forslag til direktiv

Artikel 17 – stk. 1

Kommissionens forslag

Ændringsforslag

Medlemsstaterne kan fastsætte bestemmelser om, at retten til oplysninger og retten til indsigt i og berigtigelse og sletning af personoplysninger samt begrænsning af behandlingen heraf, jf. artikel 11-16, skal udøves i overensstemmelse med de nationale retsplejeregler, når personoplysningerne er indeholdt i en retsafgørelse eller et register, der behandles i forbindelse med strafferetlige efterforskninger og straffesager.

Medlemsstaterne kan fastsætte bestemmelser om, at oplysninger om, indsigt i og berigtigelse og sletning af personoplysninger samt begrænsning af behandlingen heraf, jf. artikel 11-16, overholder de nationale retsplejeregler, når personoplysningerne er indeholdt i en retsafgørelse eller et register, der er tilknyttet afsigelsen af en retsafgørelse.

Begrundelse

Artiklen bør udvides til alle domstole og ikke kun omfatte straffesager.

Ændringsforslag  55

Forslag til direktiv

Artikel 18 – stk. 3

Kommissionens forslag

Ændringsforslag

3. Den registeransvarlige anvender mekanismer, der har til formål at kontrollere effektiviteten af de foranstaltninger, der er omhandlet i stk. 1 i denne artikel. Denne kontrol udføres af uafhængige interne eller eksterne revisorer, hvis det er hensigtsmæssigt.

udgår

Begrundelse

Artikel 18, stk. 3, udgår, da der ellers ville kunne opstå et kontrolkaos. Den tilsynsførende for databeskyttelse og tilsynsmyndigheden bør være tilstrækkelige til at sikre databeskyttelsen, og flere eksterne eller interne revisorer er ikke nødvendige, men ville snare være forvirrende.

Ændringsforslag  56

Forslag til direktiv

Artikel 21 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Medlemsstaterne fastsætter bestemmelser om, at hvis en behandling foretages på vegne af en registeransvarlig, skal den registeransvarlige vælge en registerfører, som giver de fornødne garantier for gennemførelsen af passende tekniske og organisatoriske foranstaltninger og procedurer, således at behandlingen opfylder kravene i de bestemmelser, der vedtages i medfør af dette direktiv, og sikrer beskyttelsen af den registreredes rettigheder.

1. Medlemsstaterne fastsætter bestemmelser om, at hvis en behandling foretages på vegne af en registeransvarlig, skal den registeransvarlige vælge en registerfører, som giver de fornødne garantier for,

 

a) at tekniske og organisatoriske foranstaltninger i henhold til artikel 27, stk. 1, gennemføres

 

b) at behandlingen også i øvrigt opfylder kravene i de bestemmelser, der vedtages i medfør at dette direktiv, og sikrer beskyttelsen af den registreredes rettigheder

 

c) at han følger den registeransvarliges anvisninger.

Begrundelse

Revisionen af denne artikel følger rammeafgørelse 2008/977/RIA, som der ikke er nogen grund til at afvige fra. En del af stk. 1 i Kommissionens tekst er blevet til litra a) og b) i Parlamentets ændringsforslag.

Ændringsforslag  57

Forslag til direktiv

Artikel 21 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Medlemsstaterne fastsætter bestemmelser om, at behandling ved en registerfører skal foretages i henhold til et retligt bindende dokument mellem registerføreren og den registeransvarlige, hvori det navnlig fastsættes, at registerføreren alene handler efter instruks fra den registeransvarlige, især hvis videregivelsen af de anvendte personoplysninger er forbudt.

2. Behandling ved en registerfører skal foretages i henhold til retligt bindende dokument eller en skriftlig kontrakt, hvori det fastsættes, at registerføreren alene handler efter instruks fra den registeransvarlige.

Begrundelse

Revisionen af denne artikel følger rammeafgørelse 2008/977/RIA, som der ikke er nogen grund til at afvige fra.

Ændringsforslag  58

Forslag til direktiv

Artikel 23 – stk. 1, stk. 1 a (nyt) og 1 b (nyt)

Kommissionens forslag

Ændringsforslag

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og registerføreren skal opbevare dokumentation for alle behandlingssystemer og ‑procedurer, der anvendes under deres ansvar.

1. Alle kompetente myndigheder opbevarer detaljeret dokumentation for alle behandlingssystemer og ‑procedurer, der anvendes under deres ansvar.

 

1a. Videregivelse af personoplysninger skal registreres eller dokumenteres med henblik på at kontrollere, om databehandlingen er lovlig, samt med henblik på at udøve egenkontrol og protokollere eller dokumentere sikringen af dataenes integritet og sikkerhed.

 

1b. Protokollerne eller dokumentationen skal på anmodning stilles til rådighed for tilsynsmyndigheden. Tilsynsmyndigheden anvender udelukkende disse oplysninger til at kontrollere, om databehandlingen er lovlig, og til at sikre dataintegriteten og datasikkerheden.

Begrundelse

Baseret på artikel 10 i rammeafgørelse 2008/977/JHA. Denne ændring fjerner ansvaret fra nationalt plan og vedrører kun videregivelse på tværs af landegrænserne, hvilket modarbejder formålet med dette direktiv, lægger større afstand til forordningen og hele den såkaldt harmoniserede pakke. Den nævnte ændring sikrer i det mindste en vis kompetence på nationalt plan, gennem en fornyet vægt på, som oprindeligt, at en harmonisering i henhold til forordningen ville være ønskelig.

Ændringsforslag  59

Forslag til direktiv

Artikel 27 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige og registerføreren under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen skal træffe passende tekniske og organisatoriske foranstaltninger for at tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, behandlingen af personoplysninger indebærer, og arten af de personoplysninger, der skal beskyttes.

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige træffer tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger

 

a) utilsigtet eller ulovlig tilintetgørelse

 

b) utilsigtet tab

 

c) uberettiget ændring

 

d) uberettiget videregivelse eller uberettiget adgang – navnlig hvis oplysninger i forbindelse med behandlingen videregives i et net eller stilles til rådighed gennem en direkte, automatisk adgang – samt

 

e) enhver anden form for ulovlig behandling af personoplysninger.

 

Disse foranstaltninger skal under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de oplysninger, som skal beskyttes.

Begrundelse

Revisionen af denne artikel er hentet fra rammeafgørelsens artikel 22, stk. 1.

Ændringsforslag  60

Forslag til direktiv

Artikel 27 – stk. 2 – indledning

Kommissionens forslag

Ændringsforslag

2. Med henblik på automatisk databehandling af oplysninger fastsætter medlemsstaterne bestemmelser om, at den registeransvarlige eller registerføreren på grundlag af en risikovurdering skal gennemføre foranstaltninger til at sikre:

2. Med henblik på automatisk databehandling af oplysninger træffer medlemsstaterne foranstaltninger til at opnå følgende

Ændringsforslag  61

Forslag til direktiv

Artikel 27 – stk. 2 – litra j

Kommissionens forslag

Ændringsforslag

j) at systemet fungerer, at indtrufne fejl meldes (pålidelighed), og at opbevarede personoplysninger ikke bliver ødelagt som følge af fejlfunktioner i systemet (integritet).

j) at systemet fungerer, at indtrufne fejl meldes (pålidelighed), og at lagrede personoplysninger ikke bliver forkerte som følge af fejlfunktioner i systemet (ægthed).

Ændringsforslag  62

Forslag til direktiv

Artikel 27 – stk. 3

Kommissionens forslag

Ændringsforslag

3. Kommissionen kan om nødvendigt vedtage gennemførelsesretsakter med henblik på at specificere, hvordan kravene i stk. 1 og 2 gælder i forskellige situationer, navnlig krypteringsstandarder. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 57, stk. 2.

3. Medlemsstaterne kan om nødvendigt vedtage forskrifter med henblik på at specificere, hvordan kravene i stk. 1 og 2 gælder i forskellige situationer, navnlig krypteringsstandarder.

Ændringsforslag  63

Forslag til direktiv

Artikel 28 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige ved brud på persondatasikkerheden uden unødig forsinkelse, og når det er muligt, senest 24 timer, efter at den pågældende er blevet opmærksom herpå, skal anmelde bruddet på persondatasikkerheden til tilsynsmyndigheden. Hvis anmeldelsen ikke sker inden 24 timer, fremlægger den registeransvarlige på anmodning en underbygget begrundelse herfor for tilsynsmyndigheden.

1. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige ved brud på persondatasikkerheden uden unødig forsinkelse, efter at den pågældende er blevet opmærksom herpå, skal anmelde bruddet på persondatasikkerheden til tilsynsmyndigheden. Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige i tilfælde af de mest alvorlige brud skal anmelde bruddet til tilsynsmyndigheden senest 24 timer, efter at den pågældende er blevet opmærksom herpå.

Begrundelse

At stille krav om, at registeransvarlige anmelder alle brud på persondatasikkerheden inden for 24 timer efter at være blevet bekendt hermed, og endvidere om en begrundelse er for bureaukratisk.

Ændringsforslag  64

Forslag til direktiv

Artikel 28 – stk. 5

Kommissionens forslag

Ændringsforslag

5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 56 med henblik på yderligere at specificere kriterier for og krav til, hvordan databrud som omhandlet i stk. 1 og 2 fastslås, og under hvilke særlige omstændigheder en registeransvarlig og registerfører har pligt til at anmelde brud på persondatasikkerheden.

udgår

Begrundelse

Kriterier og krav for at fastslå brud på datasikkerheden er allerede tilstrækkeligt specificeret i stk. 1. Den foreslåede delegation af lovgivningsmæssige beføjelser ville under alle omstændigheder berøre væsentlige elementer, som ikke kan delegeres, og de bør specificeres i den grundlæggende retsakt. Der foreslås også en tilsvarende ændring i den generelle forordning om databeskyttelse.

Ændringsforslag  65

Forslag til direktiv

Artikel 28 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 28a

 

Forudgående høring

 

Medlemsstaterne sikrer, at de kompetente nationale tilsynsmyndigheder høres inden behandling af personoplysninger, der vil indgå i et nyt register, der skal oprettes:

 

a) når der behandles særlige kategorier af oplysninger, jf. artikel 8, eller

 

b) når formen for behandling, især anvendelse af nye teknologier, mekanismer eller procedurer, i andre henseender indebærer særlige risici for den registreredes grundlæggende rettigheder og frihedsrettigheder, herunder især dennes privatliv.

Begrundelse

Overtager teksten fra rammeafgørelse 2008/977/RIA, artikel 13.

Ændringsforslag  66

Forslag til direktiv

Artikel 31 – stk. 2 a (nyt)

Kommissionens forslag

Ændringsforslag

 

2a. Den databeskyttelsesansvarlige må ikke stilles ringere på grund af udførelsen af hans opgaver. Den databeskyttelsesansvarlige kan ikke opsiges under sit virke og i det efterfølgende år, medmindre der foreligger kendsgerninger, som berettiger den registeransvarlige til at opsige ham af vigtige grunde.

Ændringsforslag  67

Forslag til direktiv

Artikel 33 – litra a

Kommissionens forslag

Ændringsforslag

a) videregivelsen er nødvendig for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner

a) videregivelsen er nødvendig for at forebygge risici, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner

Ændringsforslag  68

Forslag til direktiv

Artikel 33 – litra b

Kommissionens forslag

Ændringsforslag

b) betingelserne i dette kapitel overholdes af den registeransvarlige eller registerføreren

b) betingelserne i dette kapitel overholdes

Ændringsforslag  69

Forslag til direktiv

Artikel 34 – stk. 2 – indledning

Kommissionens forslag

Ændringsforslag

2. Såfremt der ikke er vedtaget en afgørelse i henhold til artikel 41 i forordning (EU) nr. …./2012, vurderer Kommissionen beskyttelsesniveauets tilstrækkelighed under hensyntagen til følgende:

2. Såfremt der ikke er vedtaget en afgørelse i henhold til artikel 41 i forordning (EU) nr. …./2012, vurderer Kommissionen beskyttelsesniveauets tilstrækkelighed under hensyntagen til alle forhold, som generelt spiller en rolle i forbindelse med videregivelse af oplysninger eller kategorier af videregivelse af oplysninger, og som kan vurderes uafhængigt af konkrete tilfælde af videregivelse. Der bør især lægges vægt på følgende:

Ændringsforslag  70

Forslag til direktiv

Artikel 34 – stk. 3

Kommissionens forslag

Ændringsforslag

3. Kommissionen kan inden for rammerne af dette direktiv fastslå, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med stk. 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 57, stk. 2.

3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 56 med henblik på at supplere listen i bilag [x] over tredjelande, områder eller behandlingssektorer eller internationale organisationer, som sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med stk. 2. Ved fastsættelsen af sikkerhedsniveauet skal Kommissionen tage stilling til, om relevant gældende lovgivning, både almindelig og sektorbestemt, der gælder i dette tredjeland eller den internationale organisation, garanterer effektive rettigheder, der kan håndhæves retligt, herunder effektiv adgang til administrativ og retlig prøvelse for registrerede, navnlig registrerede, hvis personoplysninger videregives.

Begrundelse

Da disse beslutninger er af vidtrækkende karakter, går de ud over, hvad der kræves for fælles gennemførelsesbetingelser, og disse ikkevæsentlige elementer skal derfor underlægges delegation af lovgivningsmæssige beføjelser i henhold til artikel 290 i TEUF. Der foreslås også en tilsvarende ændring i den generelle forordning om databeskyttelse.

Ændringsforslag  71

Forslag til direktiv

Artikel 34 – stk. 4

Kommissionens forslag

Ændringsforslag

4. I gennemførelsesretsakten angives dennes geografiske og sektorbestemte anvendelsesområde og i påkommende tilfælde den tilsynsmyndighed, der er nævnt i stk. 2, litra b).

4. I henhold til artikel 340, stk. 2, i TEUF og Domstolens retspraksis skal EU i henhold til medlemsstaternes fælles almindelige lovgivningsprincipper erstatte enhver skade, som forvoldes af dens institutioner under udførelsen af deres opgaver, herunder enhver skade som følge af forkert anvendelse af personoplysninger som følge af forkerte afgørelser i henhold til stk. 2 og 3.

Begrundelse

EU's ansvar uden for kontraktforhold i tilfælde, hvor der træffes forkerte afgørelser på grundlag af kriterierne i stk. 2 og 3, bør udtrykkes eksplicit.

Ændringsforslag  72

Forslag til direktiv

Artikel 34 – stk. 5

Kommissionens forslag

Ændringsforslag

5. Kommissionen kan inden for rammerne af dette direktiv fastslå, at et tredjeland, et område eller en behandlingssektor i dette tredjeland eller en international organisation ikke har et tilstrækkeligt beskyttelsesniveau i henhold til denne artikels stk. 2, navnlig hvis den gældende lovgivning, både almindelig og sektorbestemt, i tredjelandet eller den internationale organisation ikke garanterer effektive rettigheder, der kan håndhæves retsligt, herunder effektiv adgang til administrativ og retslig prøvelse for registrerede, navnlig registrerede, hvis personoplysninger videregives. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 57, stk. 2, eller efter proceduren i artikel 57, stk. 3, i særligt hastende tilfælde for fysiske personer, hvad angår beskyttelse af deres personoplysninger.

udgår

Ændringsforslag  73

Forslag til direktiv

Artikel 34 – stk. 6

Kommissionens forslag

Ændringsforslag

6. Når Kommissionen træffer afgørelse i henhold til i stk. 5, sikrer medlemsstaterne, at enhver form for videregivelse af personoplysninger til tredjelandet eller et område eller en behandlingssektor i dette tredjeland eller den pågældende internationale organisation forbydes; denne afgørelse påvirker ikke videregivelse i henhold til artikel 35, stk. 1, eller artikel 36. Kommissionen indleder på et passende tidspunkt høringer af tredjelandet eller den internationale organisation med henblik på at afhjælpe den situation, der opstår som følge af afgørelsen i henhold til stk. 5 i denne artikel.

udgår

Ændringsforslag  74

Forslag til direktiv

Artikel 34 – stk. 8

Kommissionens forslag

Ændringsforslag

8. Kommissionen overvåger anvendelsen af de gennemførelsesretsakter, der er omhandlet i stk. 3 og 5.

udgår

Ændringsforslag  75

Forslag til direktiv

Artikel 35

Kommissionens forslag

Ændringsforslag

Artikel 35

udgår

Videregivelse på grundlag af hensigtsmæssige garantier

 

1. Hvis Kommissionen ikke har truffet afgørelse i henhold til artikel 34, fastsætter medlemsstaterne bestemmelser om videregivelse af personoplysninger til en modtager i et tredjeland eller en international organisation må finde sted, hvis:

 

a) der er blevet indført hensigtsmæssige garantier, hvad angår beskyttelsen af personoplysninger, i et retligt bindende instrument eller

 

b) den registeransvarlige eller registerføreren har vurderet alle forhold i forbindelse med videregivelsen af personoplysninger og konkluderet, at der findes hensigtsmæssige garantier, hvad angår beskyttelsen af personoplysninger

 

2. Beslutningen om videregivelse i henhold til stk. 1, litra b), skal træffes af personale, der er behørigt bemyndiget hertil. Disse videregivelser skal dokumenteres, og dokumentationen skal på anmodning stilles til rådighed for tilsynsmyndigheden.

 

Ændringsforslag  76

Forslag til direktiv

Artikel 35 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 35a

 

Videregivelse på grundlag af hensigtsmæssige garantier

 

1. Hvis Kommissionen ikke har truffet afgørelse i henhold til artikel 34, må personoplysninger videregives til en modtager i et tredjeland eller en international organisation, hvis:

 

a) der er blevet indført hensigtsmæssige garantier, hvad angår beskyttelsen af personoplysninger, i et retligt bindende instrument

 

b) den registeransvarlige eller registerføreren har vurderet alle forhold, som generelt spiller en rolle i forbindelse med videregivelsen af personoplysninger (artikel 34, stk. 2), og har konkluderet, at der findes hensigtsmæssige garantier, hvad angår beskyttelsen af personoplysninger, eller

 

c) videregivelsen af personoplysningerne også efter Kommissionens konstatering af, at der ikke findes et hensigtsmæssigt sikkerhedsniveau, var tilladt i det konkrete tilfælde (artikel 36).

Ændringsforslag  77

Forslag til direktiv

Artikel 35 b (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 35b

 

Videregivelse af personoplysninger fra andre medlemsstater

 

1. Medlemsstaterne fastsætter bestemmelser om, at kompetente myndigheder i forlængelse af ovenstående forudsætninger alene må videregive personoplysninger, som er videregivet eller stillet til rådighed af den kompetente myndighed i en anden medlemsstat, herunder videregive dem til et tredjeland eller til en international organisation, såfremt:

 

a) modtageren i tredjelandet eller det modtagende internationale organ har ansvaret for at forebygge risici, efterforske, afsløre eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner

 

b) den medlemsstat, som har videregivet oplysningerne, har givet sin godkendelse til at videregive disse i henhold til sin nationale lovgivning, og

 

c) i de i artikel 34, litra a), og artikel 35, litra b) og c), omhandlede tilfælde også den medlemsstat, som har videregivet oplysningerne, i henhold til sin nationale lovgivning finder garantierne for de videregivne oplysningers sikkerhed passende.

 

2. Videregivelse uden forhåndsgodkendelse i henhold til stk. 1, litra b), tillades kun, hvis videregivelsen af oplysningerne er afgørende for forebyggelse af en umiddelbar og alvorlig trussel mod en medlemsstats eller en tredjestats offentlige sikkerhed eller en medlemsstats væsentlige interesser, og forhåndsgodkendelsen ikke kan indhentes i tide. Den myndighed, der skal give sin godkendelse, skal orienteres omgående.

 

3. Uanset stk. 1, litra c), må videregivelse af personoplysninger kun finde sted, hvis dette er tilladt i henhold til lovgivningen i den medlemsstat, som videregiver oplysningerne, på grundlag af:

 

a) på grund af den registreredes specifikke legitime interesser eller

 

 

b) på grund af legitime vigtige interesser, navnlig vigtige offentlige interesser.

 

4. Videregivelse til private instanser er kun tilladt, hvis de i artikel 7, litra a) og b), omhandlede forudsætninger er opfyldt.

Begrundelse

Artikel 35b svarer til artikel 13 i rammeafgørelsen Den indfører særlige regler for håndteringen af oplysninger fra andre medlemsstater og giver disse særlig beskyttelse. Bestemmelsen beskytter den medlemsstat, som oplysningerne stammer fra, og etablerer dermed den tillid internt i EU, som er nødvendig for udvekslingen af oplysninger, nemlig tilliden til at de videregivne oplysninger ikke behandles vilkårligt i modtagerstaten.

Ændringsforslag  78

Forslag til direktiv

Artikel 36

Kommissionens forslag

Ændringsforslag

Artikel 36

udgår

Undtagelser

 

Uanset artikel 34 og 35 fastsætter medlemsstaterne bestemmelser om, at en videregivelse af personoplysninger til et tredjeland eller en international organisation kun må finde sted, hvis:

 

a) videregivelsen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser, eller

 

b) videregivelsen er nødvendig for at beskytte den registreredes legitime interesser, hvis det er påkrævet ved lov i den medlemsstat, der videregiver personoplysningerne, eller

 

c) videregivelsen af oplysningerne er afgørende for at afværge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed, eller

 

d) videregivelsen er nødvendig i enkeltsager med henblik på forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner, eller

 

e) videregivelsen er nødvendig i enkeltsager med henblik på at fastslå et retskrav eller gøre det gældende eller forsvare det ved en domstol i forbindelse med forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner.

 

Ændringsforslag  79

Forslag til direktiv

Artikel 36 a (ny)

Kommissionens forslag

Ændringsforslag

 

Artikel 36a

 

Undtagelser for videregivelse af oplysninger efter afvejning af interesserne i konkrete enkelttilfælde

 

1. Når Kommissionen i henhold til bestemmelserne i artikel 34, stk. 5, konstaterer, at der ikke findes et hensigtsmæssigt sikkerhedsniveau, undlades enhver form for videregivelse af personoplysninger til tredjelandet eller et område eller en behandlingssektor i dette tredjeland eller til den pågældende internationale organisation, hvis den berørtes legitime interesse i en afværgelse af videregivelsen også i det konkrete tilfælde vejer tungere end den offentlige interesse i videregivelsen af oplysninger.

 

2. I forbindelse med afvejningen af interesserne i henhold til stk. 1 skal der også tages hensyn til sikkerhedsniveauets hensigtsmæssighed i det konkrete tilfælde. Ved vurderingen af, om der i det konkrete tilfælde findes et hensigtsmæssigt sikkerhedsniveau, tages der hensyn til alle forhold, som spiller en rolle ved den påtænkte videregivelse af oplysninger, navnlig

 

a) arten af de oplysninger, der skal videregives

 

b) formålet med videregivelsen af oplysningerne samt

 

c) varigheden af den planlagte behandling i tredjelandet.

 

3. Uanset artikel 1 og 35 kan medlemsstaterne fastsætte bestemmelser om, at en videregivelse af personoplysninger til et tredjeland eller en international organisation kun må finde sted, hvis:

 

a) videregivelsen er nødvendig for at beskytte den registreredes eller en anden persons legitime interesser, særlig med hensyn til liv og helbred

 

b) videregivelsen er nødvendig for at beskytte den registreredes legitime interesser, hvis det er påkrævet ved lov i den medlemsstat, der videregiver personoplysningerne, eller

 

c) hvis videregivelsen er strengt nødvendig med henblik på forebyggelse, efterforskning, afsløring eller retsforfølgning eller straffuldbyrdelse af alvorlige straffelovsovertrædelser, eller

 

d) videregivelsen er nødvendig i enkeltsager med henblik på at fastslå et retskrav eller gøre det gældende eller forsvare det ved en domstol i forbindelse med forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner.

 

4. Sikkerhedsniveauet kan i det konkrete tilfælde være hensigtsmæssigt, hvis det pågældende tredjeland, et område, en behandlingssektor eller en mellem- eller overstatslig instans i dette tredjeland eller den pågældende internationale organisation i det konkrete tilfælde garanterer en hensigtsmæssig beskyttelse af de videregivne oplysninger.

Begrundelse

Den omformulerede artikel 36 følger logikken fra artikel 34 og artikel 35. I strengt begrænsede enkelttilfælde skal det trods en negativ afgørelse om tilstrækkeligheden af beskyttelsesniveauet være muligt at udlevere data til tredjelande under meget strenge betingelser for at beskytte afgørende interesser som liv og helbred.

Ændringsforslag  80

Forslag til direktiv

Artikel 37

Kommissionens forslag

Ændringsforslag

Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal underrette modtageren af personoplysninger om eventuelle begrænsninger for behandling og træffer alle rimelige foranstaltninger for at sikre, at disse begrænsninger overholdes.

Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal underrette modtageren af personoplysninger om eventuelle begrænsninger for behandling og træffer alle rimelige foranstaltninger for at sikre, at disse begrænsninger overholdes. Første punktum gælder også for begrænsninger for behandling, som den registeransvarlige skal overholde i medfør af artikel 7a, stk. 3.

Begrundelse

Når oplysninger videregives inden for EU, bør nationale behandlingsbegrænsninger også og især gælde, når disse oplysninger igen videregives til et tredjeland. Ellers ville tilliden til intern udveksling af oplysninger i EU lide skade.

Ændringsforslag  81

Forslag til direktiv

Artikel 38 – stk. 2

Kommissionens forslag

Ændringsforslag

2. For så vidt angår stk. 1, træffer Kommissionen de nødvendige foranstaltninger for at styrke forholdet til tredjelande og internationale organisationer, bl.a. deres tilsynsmyndigheder, når Kommissionen har truffet afgørelse om, at de sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 35, stk. 3.

2. For så vidt angår stk. 1, træffer Kommissionen inden for direktivets anvendelsesområde de nødvendige foranstaltninger for at styrke forholdet til tredjelande og internationale organisationer, bl.a. deres tilsynsmyndigheder, når Kommissionen har truffet afgørelse om, at de sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 35, stk. 3. I denne forbindelse respekterer og beskytter Kommissionen medlemsstaternes kompetencer og de retlige og faktiske foranstaltninger, der er truffet i udøvelsen af disse kompetencer.

Ændringsforslag  82

Forslag til direktiv

Artikel 41 – stk. 5

Kommissionens forslag

Ændringsforslag

5. Når embedsperioden udløber, eller hvis et medlem udtræder, fortsætter medlemmet med at opfylde sine forpligtelser, indtil et nyt medlem er udpeget.

5. Når embedsperioden udløber, eller hvis et medlem udtræder, fortsætter medlemmet efter anmodning med at opfylde sine forpligtelser, indtil et nyt medlem er udpeget.

Begrundelse

I tilfælde af afskedigelse på grund af alvorlig pligtforsømmelse kan det være umuligt at fortsætte virksomheden, indtil der er udpeget en efterfølger. Virksomheden bør derfor kun kunne fortsættes "efter anmodning".

Ændringsforslag  83

Forslag til direktiv

Artikel 44 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Medlemsstaterne drager omsorg for, at hver tilsynsmyndighed på sin medlemsstats område udøver de beføjelser, der tillægges den i overensstemmelse med dette direktiv.

1. Medlemsstaterne drager omsorg for, at hver tilsynsmyndighed på sin medlemsstats område mindst udøver de beføjelser, der tillægges den i overensstemmelse med dette direktiv.

Ændringsforslag  84

Forslag til direktiv

Artikel 45 – stk. 1 – litra a

Kommissionens forslag

Ændringsforslag

a) overvåge og sikre anvendelsen af de bestemmelser, der vedtages i medfør at dette direktiv og gennemførelsesbestemmelserne hertil

a) mindst overvåge og sikre anvendelsen af de bestemmelser, der vedtages i medfør at dette direktiv og gennemførelsesbestemmelserne hertil

Ændringsforslag  85

Forslag til direktiv

Artikel 45 – stk. 1 – litra b

Kommissionens forslag

Ændringsforslag

b) høre klager, der indgives af en registreret eller en sammenslutning, der repræsenterer og er behørigt bemyndiget af den registrerede i overensstemmelse med artikel 50, så vidt det er hensigtsmæssigt, undersøge sagen og underrette den registrerede eller sammenslutningen om forløbet og resultatet af klagen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig

b) høre klager, der indgives af en registreret, så vidt det er hensigtsmæssigt, undersøge sagen og underrette den registrerede om forløbet og resultatet af klagen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig

Begrundelse

Dette er en konsekvens af, at det repræsentative søgsmål i artikel 50 udgår.

Ændringsforslag  86

Forslag til direktiv

Artikel 45 – stk. 1 – litra e

Kommissionens forslag

Ændringsforslag

e) gennemføre undersøgelser på eget initiativ, på grundlag af en klage eller efter anmodning fra en anden tilsynsmyndighed og underrette den registrerede, hvis vedkommende har indgivet en klage til denne tilsynsmyndighed, om resultatet af undersøgelsen inden for en rimelig frist

e) gennemføre undersøgelser på grundlag af en klage eller efter anmodning fra en anden tilsynsmyndighed og underrette den registrerede, hvis vedkommende har indgivet en klage til denne tilsynsmyndighed, om resultatet af undersøgelsen inden for en rimelig frist; tilsynsmyndighederne kan også gennemføre sådanne undersøgelser på eget initiativ i henhold til national lovgivning

Ændringsforslag  87

Forslag til direktiv

Artikel 46 – litra c

Kommissionens forslag

Ændringsforslag

c) beføjelse til at indbringe overtrædelser af de bestemmelser, der vedtages i medfør af dette direktiv for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser.

c) beføjelse til at indbringe overtrædelser af de bestemmelser, der vedtages i medfør af dette direktiv, for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser. Afgørelser truffet af tilsynsmyndigheden, som går en involveret part imod, kan indbringes for en retsinstans.

Begrundelse

Klageadgangen er en selvfølge; formuleringen er hentet ordret fra artikel 25, stk. 2, litra c) i rammeafgørelse 2008/977/RIA.

Ændringsforslag  88

Forslag til direktiv

Artikel 49 – stk. 1 – litra a

Kommissionens forslag

Ændringsforslag

a) at rådgive Kommissionen om ethvert spørgsmål vedrørende beskyttelse af personoplysninger i EU, herunder om ethvert forslag til ændring af dette direktiv

a) at rådgive EU-institutionerne om ethvert spørgsmål vedrørende beskyttelse af personoplysninger i EU, herunder om ethvert forslag til ændring af dette direktiv

Ændringsforslag  89

Forslag til direktiv

Artikel 52 – stk. 1

Kommissionens forslag

Ændringsforslag

Uden at det berører en eventuel administrativ klageadgang, herunder retten til at indgive klage til en tilsynsmyndighed, fastsætter medlemsstaterne bestemmelser om, at alle fysiske personer skal have adgang til domstolsprøvelse, hvis de finder, at deres rettigheder, som er fastsat i bestemmelser vedtaget i medfør af dette direktiv, er blevet krænket som følge af behandlingen af deres personoplysninger i strid med disse bestemmelser.

Uden at det berører en eventuel administrativ klageadgang, herunder retten til at indgive klage til en tilsynsmyndighed, fastsætter medlemsstaterne bestemmelser om, at alle fysiske personer skal have adgang til domstolsprøvelse, hvis deres rettigheder, som er fastsat i bestemmelser vedtaget i medfør af dette direktiv, er blevet krænket som følge af behandlingen af deres personoplysninger i strid med disse bestemmelser.

Ændringsforslag  90

Forslag til direktiv

Artikel 54 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Medlemsstaterne fastsætter bestemmelser om, at enhver, som har lidt skade som følge af en ulovlig behandling eller enhver anden handling, der er uforenelig med de nationale bestemmelser, der vedtages i medfør af dette direktiv, har ret til erstatning for den forvoldte skade fra den registeransvarlige eller registerføreren.

1. Medlemsstaterne fastsætter bestemmelser om, at enhver, som har lidt skade som følge af en ulovlig behandling eller enhver anden handling, der er uforenelig med de nationale bestemmelser, der vedtages i medfør af dette direktiv, i tråd med den nationale lovgivning har ret til erstatning for den forvoldte skade fra den registeransvarlige eller registerføreren.

Ændringsforslag  91

Forslag til direktiv

Artikel 54 – stk. 1 a (nyt)

Kommissionens forslag

Ændringsforslag

 

1 a. Hvis en kompetent myndighed i en medlemsstat har videregivet personoplysninger, kan modtageren inden for rammerne af det ansvar, han/hun i henhold til den nationale lovgivning har over for den skadelidte, ikke påberåbe sig, at de videregivne oplysninger var urigtige. Hvis modtageren yder erstatning for en skade, der er forårsaget af anvendelsen af urigtigt videregivne oplysninger, refunderer den videregivende kompetente myndighed modtageren den ydede skadeserstatning under hensyn til et eventuelt ansvar hos modtageren.

Begrundelse

Jf. artikel 19, stk. 1 og 2, i rammeafgørelse 2008/977/RIA.

Ændringsforslag  92

Forslag til direktiv

Artikel 55

Kommissionens forslag

Ændringsforslag

Medlemsstaterne fastsætter bestemmelser om sanktioner for overtrædelse af de nationale bestemmelser, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger til at sikre gennemførelsen heraf. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Medlemsstaterne træffer egnede foranstaltninger til at sikre korrekt anvendelse af bestemmelserne i dette direktiv og fastsætter navnlig bestemmelser om sanktioner for overtrædelse af de nationale bestemmelser, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger til at sikre gennemførelsen heraf. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Begrundelse

Jf. artikel 24 i rammeafgørelse 2008/977/RIA.

Ændringsforslag  93

Forslag til direktiv

Artikel 56 – stk. 2

Kommissionens forslag

Ændringsforslag

2. De beføjelser, der er omhandlet i artikel 28, stk. 5, tillægges Kommissionen for et ubestemt tidsrum fra datoen for dette direktivs ikrafttræden.

2. De beføjelser, der er omhandlet i artikel 34, stk. 3, tillægges Kommissionen for et ubestemt tidsrum fra datoen for dette direktivs ikrafttræden.

Begrundelse

Denne ændring er en følge af, at delegationen i artikel 28, stk. 5, udgår, og af ændringen fra gennemførelsesretsakter til delegerede retsakter i artikel 34, stk. 3.

Ændringsforslag  94

Forslag til direktiv

Artikel 56 – stk. 3

Kommissionens forslag

Ændringsforslag

3. De beføjelser, der er omhandlet i artikel 28, stk. 5, kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer de i den pågældende afgørelse anførte delegerede beføjelser til ophør. Afgørelsen får virkning fra dagen efter offentliggørelsen i Den Europæiske Unions Tidende eller fra en senere dato, der fastsættes nærmere i afgørelsen. Den berører ikke gyldigheden af de delegerede retsakter, der allerede er i kraft.

3. De beføjelser, der er omhandlet i artikel 34, stk. 3, kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer de i den pågældende afgørelse anførte delegerede beføjelser til ophør. Afgørelsen får virkning fra dagen efter offentliggørelsen i Den Europæiske Unions Tidende eller fra en senere dato, der fastsættes nærmere i afgørelsen. Den berører ikke gyldigheden af de delegerede retsakter, der allerede er i kraft.

Begrundelse

Denne ændring er en følge af, at delegationen i artikel 28, stk. 5, udgår, og af ændringen fra gennemførelsesretsakter til delegerede retsakter i artikel 34, stk. 3.

Ændringsforslag  95

Forslag til direktiv

Artikel 56 – stk. 5

Kommissionens forslag

Ændringsforslag

5. En delegeret retsakt vedtaget i henhold til artikel 28, stk. 5, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på to måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet eller Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har informeret Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med to måneder på Europa-Parlamentets eller Rådets initiativ.

5. En delegeret retsakt vedtaget i henhold til artikel 34, stk. 3, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på to måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet eller Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har informeret Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med to måneder på Europa-Parlamentets eller Rådets initiativ.

Begrundelse

Denne ændring er en følge af, at delegationen i artikel 28, stk. 5, udgår, og af ændringen fra gennemførelsesretsakter til delegerede retsakter i artikel 34, stk. 3.

Ændringsforslag  96

Forslag til direktiv

Artikel 57 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Når der henvises til dette stykke, anvendes artikel 5 i forordning (EU) nr. 182/2011.

udgår

Begrundelse

Dette følger af ændringerne i artikel 34, stk. 5.

Ændringsforslag  97

Forslag til direktiv

Artikel 60

Kommissionens forslag

Ændringsforslag

Internationale aftaler, som medlemsstaterne har indgået forud for dette direktivs ikrafttræden, ændres om nødvendigt inden fem år fra dette direktivs ikrafttræden.

1. Internationale aftaler, som medlemsstaterne har indgået forud for dette direktivs ikrafttræden, ændres om nødvendigt inden 10 år fra dette direktivs ikrafttræden, medmindre de i forvejen er underlagt særskilt kontrol.

 

2. Uanset stk. 1 finder bestemmelserne i artikel 36 i tilfælde af en negativ afgørelse om tilstrækkeligheden analog anvendelse på de internationale aftaler, der er indgået før dette direktivs ikrafttræden.

Begrundelse

En tilpasningsfrist på fem år er på grund af de mange eksisterende og komplekse internationale aftaler for kort. Reguleringsindholdet i artikel 36 kan ikke kun gælde mellem medlemsstaterne, men må også finde analog anvendelse på eksisterende internationale aftaler.

Ændringsforslag  98

Forslag til direktiv

Bilag [x] (nyt)

Kommissionens forslag

Ændringsforslag

 

Bilag [x]

 

Liste over tredjelande, områder eller behandlingssektorer i tredjelande eller internationale organisationer, som sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 34, stk. 2.

Begrundelse

Dette følger af ændringerne i artikel 34.

PROCEDURE

Titel

Beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger

Referencer

COM(2012)0010 – C7-0024/2012 – 2012/0010(COD)

Korresponderende udvalg

       Dato for meddelelse på plenarmødet

LIBE

16.2.2012

 

 

 

Udtalelse fra

       Dato for meddelelse på plenarmødet

JURI

14.6.2012

Ordfører for udtalelse

       Dato for valg

Axel Voss

14.6.2012

Behandling i udvalg

18.12.2012

21.2.2013

 

 

Dato for vedtagelse

19.3.2013

 

 

 

Resultat af den endelige afstemning

+:

–:

0:

14

9

0

Til stede ved den endelige afstemning – medlemmer

Raffaele Baldassarre, Luigi Berlinguer, Sebastian Valentin Bodu, Françoise Castex, Christian Engström, Marielle Gallo, Lidia Joanna Geringer de Oedenberg, Sajjad Karim, Klaus-Heiner Lehne, Jiří Maštálka, Alajos Mészáros, Bernhard Rapkay, Evelyn Regner, Francesco Enrico Speroni, Rebecca Taylor, Alexandra Thein, Rainer Wieland, Cecilia Wikström, Tadeusz Zwiefka

Til stede ved den endelige afstemning – stedfortrædere

Piotr Borys, Eva Lichtenberger, Axel Voss

Til stede ved den endelige afstemning – stedfortrædere, jf. art. 187, stk. 2

Ricardo Cortés Lastra

PROCEDURE

Titel

Beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger

Referencer

COM(2012)0010 – C7-0024/2012 – 2012/0010(COD)

Dato for høring af EP

25.1.2012

 

 

 

Korresponderende udvalg

       Dato for meddelelse på plenarmødet

LIBE

16.2.2012

 

 

 

Rådgivende udvalg

       Dato for meddelelse på plenarmødet

JURI

14.6.2012

 

 

 

Ordfører

       Dato for valg

Dimitrios Droutsas

25.4.2012

 

 

 

Behandling i udvalg

27.2.2012

31.5.2012

9.7.2012

19.9.2012

 

5.11.2012

10.1.2013

21.1.2013

20.3.2013

 

7.5.2013

9.7.2013

21.10.2013

 

Dato for vedtagelse

21.10.2013

 

 

 

Resultat af den endelige afstemning

+:

–:

0:

29

20

3

Til stede ved den endelige afstemning - medlemmer

Jan Philipp Albrecht, Roberta Angelilli, Edit Bauer, Rita Borsellino, Emine Bozkurt, Arkadiusz Tomasz Bratkowski, Salvatore Caronna, Philip Claeys, Carlos Coelho, Agustín Díaz de Mera García Consuegra, Ioan Enciu, Cornelia Ernst, Tanja Fajon, Kinga Gál, Kinga Göncz, Sylvie Guillaume, Salvatore Iacolino, Sophia in ‘t Veld, Juan Fernando López Aguilar, Baroness Sarah Ludford, Clemente Mastella, Véronique Mathieu Houillon, Anthea McIntyre, Nuno Melo, Roberta Metsola, Louis Michel, Claude Moraes, Georgios Papanikolaou, Carmen Romero López, Judith Sargentini, Birgit Sippel, Wim van de Camp, Axel Voss, Josef Weidenholzer, Cecilia Wikström, Tatjana Ždanoka, Auke Zijlstra

Til stede ved den endelige afstemning - stedfortrædere

Alexander Alvaro, Silvia Costa, Dimitrios Droutsas, Evelyne Gebhardt, Monika Hohlmeier, Jan Mulder, Raül Romeva i Rueda, Carl Schlyter, Marco Scurria

Til stede ved den endelige afstemning - stedfortrædere, jf. art. 187, stk. 2

Jean-Pierre Audy, Pilar Ayuso, Miloslav Ransdorf, Britta Reimers, Kay Swinburne, Rafał Trzaskowski

Dato for indgivelse

22.11.2013