interactive GDPR 2016/0679 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- eller 22
- medlemsstat 12
- foranstaltninger 11
- artikel 10
- dataansvarlige 10
- omhandlet 9
- passende 9
- medarbejdere 8
- rettigheder 8
- personoplysninger 8
- tilsynsmyndigheds 8
- aktiviteter 8
- tekniske 7
- udsendende 7
- samt 7
- deres 7
- fælles 7
- stk 7
- sikre 6
- pågældende 6
- behandling 6
- registreredes 6
- artikel 6
- herunder 6
- gennemfører 6
- frihedsrettigheder 6
- overensstemmelse 5
- fysiske 5
- medlemmer 5
- organisatoriske 5
- tilfælde 5
- disse 5
- anden 5
- skade 5
- ikke 5
- hvis 5
- skal 4
- databehandleren 4
- sammenhæng 4
- formål 4
- den 4
- dataansvarliges 4
- behandlingen 4
- påvise 4
- denne 4
- værtstilsynsmyndighedens 4
- hvis 4
- område 4
- gennem 4
- undersøgelsesbeføjelser 3
Artikel 22
Automatiske individuelle afgørelser, herunder profilering
1. Den registrerede har ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende.
2. Stk. 1 finder ikke anvendelse, hvis afgørelsen:
| a) | er nødvendig for indgåelse eller opfyldelse af en kontrakt mellem den registrerede og en dataansvarlig |
| b) | er hjemlet i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, og som også fastsætter passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser eller |
| c) | er baseret på den registreredes udtrykkelige samtykke. |
3. I de tilfælde, der er omhandlet i stk. 2, litra a) og c), gennemfører den dataansvarlige passende foranstaltninger til at beskytte den registreredes rettigheder og frihedsrettigheder samt legitime interesser, i det mindste den registreredes ret til menneskelig indgriben fra den dataansvarliges side, til at fremkomme med sine synspunkter og til at bestride afgørelsen.
4. De afgørelser, der er omhandlet i stk. 2, må ikke baseres på særlige kategorier af personoplysninger, jf. artikel 9, stk. 1, medmindre artikel 9, stk. 2, litra a) eller g), finder anvendelse, og der er indført passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser.
Artikel 24
Den dataansvarliges ansvar
1. Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres.
2. Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker.
3. Overholdelse af godkendte adfærdskodekser som omhandlet i artikel 40 eller godkendte certificeringsmekanismer som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af den dataansvarliges forpligtelser.
Artikel 25
Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger
1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.
2. Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.
3. En godkendt certificeringsmekanisme i medfør af artikel 42 kan blive brugt som et element til at påvise overholdelse af kravene i nærværende artikels stk. 1 og 2.
Artikel 32
Behandlingssikkerhed
1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:
| a) | pseudonymisering og kryptering af personoplysninger |
| b) | evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester |
| c) | evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse |
| d) | en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. |
2. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
3. Overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af kravene i nærværende artikels stk. 1.
4. Den dataansvarlige og databehandleren tager skridt til at sikre, at enhver fysisk person, der udfører arbejde for den dataansvarlige eller databehandleren, og som får adgang til personoplysninger, kun behandler disse efter instruks fra den dataansvarlige, medmindre behandling kræves i henhold til EU-retten eller medlemsstaternes nationale ret.
Artikel 62
Tilsynsmyndigheders fælles aktiviteter
1. Hvis det er hensigtsmæssigt, gennemfører tilsynsmyndighederne fælles aktiviteter, herunder fælles undersøgelses- og håndhævelsesforanstaltninger, som medlemmer eller medarbejdere fra andre medlemsstaters tilsynsmyndigheder deltager i.
2. Hvis den dataansvarlige eller databehandleren har etableringer i flere medlemsstater, eller hvor et betydeligt antal registrerede i mere end én medlemsstat sandsynligvis påvirkes i væsentlig grad af behandlingsaktiviteter, har tilsynsmyndigheden i hver af disse medlemsstater ret til at deltage i fælles aktiviteter. Den tilsynsmyndighed, der er kompetent i henhold til artikel 56, stk. 1 eller 4, indbyder tilsynsmyndigheden i hver af disse medlemsstater til at deltage i de fælles aktiviteter og besvarer straks en tilsynsmyndigheds anmodning om deltagelse.
3. En tilsynsmyndighed kan i overensstemmelse med medlemsstatens nationale ret og med den udsendende tilsynsmyndigheds godkendelse delegere beføjelser, herunder undersøgelsesbeføjelser, til den udsendende tilsynsmyndigheds medlemmer eller medarbejdere, som deltager i fælles aktiviteter, eller, for så vidt national ret i værtstilsynsmyndighedens medlemsstat tillader det, tillade, at den udsendende tilsynsmyndigheds medlemmer eller medarbejdere udøver deres undersøgelsesbeføjelser i overensstemmelse med retten i den udsendende tilsynsmyndigheds medlemsstat. Sådanne undersøgelsesbeføjelser må kun udøves under vejledning og i tilstedeværelse af værtstilsynsmyndighedens medlemmer eller medarbejdere. Den udsendende tilsynsmyndigheds medlemmer eller medarbejdere er underlagt national ret i værtstilsynsmyndighedens medlemsstat.
4. Hvis en udsendende tilsynsmyndigheds medarbejdere i henhold til stk. 1 udfører aktiviteter i en anden medlemsstat, påtager værtstilsynsmyndighedens medlemsstat sig ansvaret for deres handlinger, herunder erstatningsansvar for enhver skade, som de måtte forvolde under udførelsen af deres aktiviteter, i overensstemmelse med retten i den medlemsstat, på hvis område de udfører aktiviteter.
5. Den medlemsstat, på hvis område skade forvoldes, erstatter den pågældende skade på samme betingelser som skader forvoldt af dens egne medarbejdere. Den udsendende tilsynsmyndigheds medlemsstat, hvis medarbejdere har forvoldt skade på personer på en anden medlemsstats område, skal fuldt ud godtgøre alle beløb, som denne anden medlemsstat har betalt i skadeserstatning til de berettigede personer på deres vegne.
6. Uden at det berører udøvelsen af rettigheder over for tredjemand og med undtagelse af det i stk. 5 omhandlede tilfælde, giver den enkelte medlemsstat i det tilfælde, der er omhandlet i stk. 1, afkald på at kræve godtgørelse fra en anden medlemsstat i forbindelse med skade som omhandlet i stk. 4.
7. Hvis der planlægges en fælles aktivitet, og en tilsynsmyndighed ikke opfylder forpligtelsen i stk. 2, andet punktum, inden for en måned, kan de andre tilsynsmyndigheder vedtage en foreløbig foranstaltning på deres medlemsstats område i overensstemmelse med artikel 55. I dette tilfælde antages kravet om behovet for at handle omgående, jf. artikel 66, stk. 1, at være opfyldt, og at kræve en hurtig bindende afgørelse fra Databeskyttelsesrådet, jf. artikel 66, stk. 2.
whereas
dal 2004 diritto e informatica