interactive GDPR 2016/0679 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- eller 88
- personoplysninger 33
- behandling 21
- denne 17
- vedrørende 17
- person 14
- fysisk 14
- dataansvarlige 14
- fysiske 14
- artikel 13
- unionen 11
- medlemsstat 10
- forordning 10
- tilsynsmyndighed 10
- konsekvensanalyse 8
- forbindelse 8
- henhold 8
- ikke 8
- databeskyttelse 8
- behandlingsaktiviteter 8
- databehandleren 7
- hvis 7
- enhver 7
- etableret 7
- navnlig 7
- beskyttelse 7
- deres 7
- persons 6
- herunder 6
- myndighed 6
- registrerede 6
- juridisk 6
- andet 5
- flere 5
- sådanne 5
- underlagt 5
- offentlig 5
- organ 5
- nationale 5
- registreredes 5
- væsentlig 5
- oplysninger 5
- mere 5
- grad 5
- disse 5
- rettigheder 5
- pågældende 5
- anden 4
- forhold 4
- sådan 4
Artikel 1
Genstand og formål
1. I denne forordning fastsættes regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger.
2. Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger.
3. Den frie udveksling af personoplysninger i Unionen må hverken indskrænkes eller forbydes af grunde, der vedrører beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.
Artikel 4
Definitioner
I denne forordning forstås ved:
1) | »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet |
2) | »behandling«: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse |
3) | »begrænsning af behandling«: mærkning af opbevarede personoplysninger med den hensigt at begrænse fremtidig behandling af disse oplysninger |
4) | »profilering«: enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk position eller bevægelser |
5) | »pseudonymisering«: behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person |
6) | »register«: enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt eller decentralt eller er fordelt på funktionsbestemt eller geografisk grundlag |
7) | »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret |
8) | »databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne |
9) | »modtager«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej. Offentlige myndigheder, som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel i henhold til EU-retten eller medlemsstaternes nationale ret, anses dog ikke for modtagere; de offentlige myndigheders behandling af disse oplysninger skal overholde de gældende databeskyttelsesregler afhængigt af formålet med behandlingen |
10) | »tredjemand«: en anden fysisk eller juridisk person, offentlig myndighed eller institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle personoplysninger |
11) | »samtykke« fra den registrerede: enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling |
12) | »brud på persondatasikkerheden«: et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet |
13) | »genetiske data«: personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske karakteristika, som giver entydig information om den fysiske persons fysiologi eller helbred, og som navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person |
14) | »biometriske data«: personoplysninger, der som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger |
15) | »helbredsoplysninger«: personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand |
16) | »hovedvirksomhed«:
|
17) | »repræsentant«: en fysisk eller juridisk person, der er etableret i Unionen, som skriftligt er udpeget af den dataansvarlige eller databehandleren i henhold til artikel 27, og som repræsenterer den dataansvarlige eller databehandleren hvad angår deres respektive forpligtelser i medfør af denne forordning |
18) | »foretagende«: en fysisk eller juridisk person, som udøver økonomisk aktivitet, uanset dens retlige status, herunder partnerskaber eller sammenslutninger, der regelmæssigt udøver økonomisk aktivitet |
19) | »koncern« :_en_virksomhed,_der_udøver_kontrol,_og_de_af_denne_kontrollerede_virksomheder |
20) | »bindende virksomhedsregler«: regler om beskyttelse af personoplysninger, som en dataansvarlig eller databehandler, der er etableret på en medlemsstats område, overholder i forbindelse med overførsel eller en række overførsler af personoplysninger til en dataansvarlig eller databehandler i et eller flere tredjelande inden for en koncern eller gruppe af foretagender, der udøver en fælles økonomisk aktivitet |
21) | »tilsynsmyndighed«: en uafhængig offentlig myndighed, der er etableret i en medlemsstat i henhold til artikel 51 |
22) | »berørt tilsynsmyndighed«: en tilsynsmyndighed, der er berørt af en behandling af personoplysninger, fordi:
|
23) | »grænseoverskridende behandling«:
|
24) | »relevant og begrundet indsigelse«: en indsigelse mod et udkast til afgørelse om, hvorvidt der foreligger en overtrædelse af denne forordning, eller hvorvidt en planlagt foranstaltning i forbindelse med den dataansvarlige eller databehandleren overholder denne forordning, og som klart påviser betydningen af de risici, som udkastet til afgørelse udgør for registreredes grundlæggende rettigheder og frihedsrettigheder og, hvis det er relevant, for den frie udveksling af personoplysninger i Unionen |
25) | »informationssamfundstjeneste«: en tjeneste som defineret i artikel 1, stk. 1, litra b), i Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 (19) |
26) | »international organisation«: en folkeretlig organisation og organer, der er underordnet den, samt ethvert andet organ, der er oprettet ved eller med hjemmel i en aftale mellem to eller flere lande. |
KAPITEL II
Principper
Artikel 35
Konsekvensanalyse vedrørende databeskyttelse
1. Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebærer lignende høje risici.
2. Den dataansvarlige rådfører sig med databeskyttelsesrådgiveren, hvis en sådan er udpeget, når der foretages en konsekvensanalyse vedrørende databeskyttelse.
3. En konsekvensanalyse vedrørende databeskyttelse som omhandlet i stk. 1 er navnlig påkrævet i følgende tilfælde:
a) | en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering, og som er grundlag for afgørelser, der har retsvirkning for den fysiske person eller på tilsvarende vis betydeligt påvirker den fysiske person |
b) | behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 9, stk. 1, eller af personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10, eller |
c) | systematisk overvågning af et offentligt tilgængeligt område i stort omfang. |
4. Tilsynsmyndigheden udarbejder og offentliggør en liste over de typer af behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse i henhold til stk. 1. Tilsynsmyndigheden indgiver disse lister til det i artikel 68 omhandlede Databeskyttelsesråd.
5. Tilsynsmyndigheden kan også udarbejde og offentliggøre en liste over de typer af behandlingsaktiviteter, for hvilke der ikke kræves nogen konsekvensanalyse vedrørende databeskyttelse. Tilsynsmyndigheden indgiver disse lister til Databeskyttelsesrådet.
6. Inden vedtagelsen af listerne i stk. 4 og 5 anvender den kompetente tilsynsmyndighed den sammenhængsmekanisme, der er omhandlet i artikel 63, hvis sådanne lister omfatter behandlingsaktiviteter, der vedrører udbud af varer eller tjenesteydelser til registrerede eller overvågning af sådanne registreredes adfærd i flere medlemsstater, eller som i væsentlig grad kan påvirke den frie udveksling af personoplysninger i Unionen.
7. Analysen skal mindst omfatte:
a) | en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen, herunder i givet fald de legitime interesser, der forfølges af den dataansvarlige |
b) | en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene |
c) | en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1, og |
d) | de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser. |
8. Overholdelse af godkendte adfærdskodekser, jf. artikel 40, inddrages behørigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter, der udføres af de pågældende dataansvarlige eller databehandlere, navnlig i forbindelse med en konsekvensanalyse vedrørende databeskyttelse.
9. Den dataansvarlige indhenter, hvis det er relevant, de registreredes eller deres repræsentanters synspunkter vedrørende den planlagte behandling, uden at det berører beskyttelse af kommercielle eller samfundsmæssige interesser eller behandlingsaktiviteternes sikkerhed.
10. Hvis behandling i henhold til artikel 6, stk. 1, litra c) eller e), har et retsgrundlag i EU-retten eller i den medlemsstats nationale ret, som den dataansvarlige er underlagt, og denne ret regulerer den eller de pågældende specifikke behandlingsaktiviteter, og der allerede er foretaget en konsekvensanalyse vedrørende databeskyttelse som led i en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag, finder stk. 1-7 ikke anvendelse, medmindre medlemsstaterne anser det for nødvendigt at foretage en sådan analyse inden behandlingsaktiviteter.
11. Den dataansvarlige foretager, hvis det er nødvendigt, en fornyet gennemgang for at vurdere, hvorvidt behandling er foretaget i overensstemmelse med konsekvensanalysen vedrørende databeskyttelse, i hvert fald når der er en ændring af den risiko, som behandlingsaktiviteterne udgør.
Artikel 52
Uafhængighed
1. Hver tilsynsmyndighed udfører sine opgaver og udøver sine beføjelser i henhold til denne forordning i fuld uafhængighed.
2. Medlemmet eller medlemmerne af hver tilsynsmyndighed skal i forbindelse med udførelsen af deres opgaver og udøvelsen af deres beføjelser i henhold til denne forordning være frie for udefrakommende indflydelse, det være sig direkte eller indirekte, og må hverken søge eller modtage instrukser fra andre.
3. Et medlem eller medlemmer af den enkelte tilsynsmyndighed skal afholde sig fra enhver handling, der er uforenelig med deres hverv, og må ikke, så længe deres embedsperiode varer, udøve uforenelig lønnet eller ulønnet virksomhed.
4. Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed råder over de nødvendige menneskelige, tekniske og finansielle ressourcer samt lokaler og infrastruktur til effektivt at kunne udføre sine opgaver og udøve sine beføjelser, herunder opgaver og beføjelser vedrørende gensidig bistand samt samarbejde med og deltagelse i Databeskyttelsesrådet.
5. Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed vælger og råder over sit eget personale, der alene er under ledelse af medlemmet eller medlemmerne af den pågældende tilsynsmyndighed.
6. Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed er underlagt finansiel kontrol, som ikke påvirker dens uafhængighed, og at den fører særskilte, offentlige årsbudgetter, der kan være en del af det samlede statsbudget eller nationale budget.
whereas
dal 2004 diritto e informatica