interactive GDPR 2016/0679 DA

1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.

2. Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.

3. En godkendt certificeringsmekanisme i medfør af artikel 42 kan blive brugt som et element til at påvise overholdelse af kravene i nærværende artikels stk. 1 og 2.

Artikel 27

Repræsentanter for dataansvarlige og databehandlere, der ikke er etableret i Unionen

1. Hvis artikel 3, stk. 2, finder anvendelse, udpeger den dataansvarlige eller databehandleren skriftligt en repræsentant i Unionen.

2. Forpligtelsen fastsat i denne artikels stk. 1 gælder ikke for:

behandling, der er lejlighedsvis, som ikke i stort omfang omfatter behandling af særlige kategorier af oplysninger, jf. artikel 9, stk. 1, eller behandling af personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10, og som sandsynligvis ikke indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder under hensyntagen til behandlingens karakter, sammenhæng, omfang og formål, eller

b)	offentlige myndigheder eller organer.

3. Repræsentanten skal være etableret i en af de medlemsstater, hvor de registrerede, hvis personoplysninger behandles i forbindelse med udbud af varer eller tjenesteydelser til dem, eller hvis adfærd overvåges, er.

4. Repræsentanten bemyndiges af den dataansvarlige eller databehandleren til at modtage henvendelser ud over eller i stedet for den dataansvarlige eller databehandleren, navnlig fra tilsynsmyndigheder og registrerede, i forbindelse med alle spørgsmål vedrørende behandling med henblik på at sikre overholdelse af denne forordning.

5. Den dataansvarliges eller databehandlerens udpegning af en repræsentant berører ikke eventuelle retlige skridt mod den dataansvarlige eller databehandleren selv.

Artikel 33

Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden

1. Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til den tilsynsmyndighed, som er kompetent i overensstemmelse med artikel 55, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.

2. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden.

3. Den i stk. 1 omhandlede anmeldelse skal mindst:

a)	beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger

b)	angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes

c)	beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden

d)	beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

4. Når og for så vidt som det ikke er muligt at give oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.

5. Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel er overholdt.

Artikel 34

Underretning om brud på persondatasikkerheden til den registrerede

1. Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

2. Underretningen af den registrerede i henhold til denne artikels stk. 1 skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 33, stk. 3, litra b), c) og d).

3. Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis en af følgende betingelser er opfyldt:

den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering

b)	den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel

c)	det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.

4. Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.

Afdeling 3

Konsekvensanalyse vedrørende databeskyttelse og forudgående høring

Artikel 35

Konsekvensanalyse vedrørende databeskyttelse

1. Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebærer lignende høje risici.

2. Den dataansvarlige rådfører sig med databeskyttelsesrådgiveren, hvis en sådan er udpeget, når der foretages en konsekvensanalyse vedrørende databeskyttelse.

3. En konsekvensanalyse vedrørende databeskyttelse som omhandlet i stk. 1 er navnlig påkrævet i følgende tilfælde:

a)	en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering, og som er grundlag for afgørelser, der har retsvirkning for den fysiske person eller på tilsvarende vis betydeligt påvirker den fysiske person

b)	behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 9, stk. 1, eller af personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10, eller

c)	systematisk overvågning af et offentligt tilgængeligt område i stort omfang.

4. Tilsynsmyndigheden udarbejder og offentliggør en liste over de typer af behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse i henhold til stk. 1. Tilsynsmyndigheden indgiver disse lister til det i artikel 68 omhandlede Databeskyttelsesråd.

5. Tilsynsmyndigheden kan også udarbejde og offentliggøre en liste over de typer af behandlingsaktiviteter, for hvilke der ikke kræves nogen konsekvensanalyse vedrørende databeskyttelse. Tilsynsmyndigheden indgiver disse lister til Databeskyttelsesrådet.

6. Inden vedtagelsen af listerne i stk. 4 og 5 anvender den kompetente tilsynsmyndighed den sammenhængsmekanisme, der er omhandlet i artikel 63, hvis sådanne lister omfatter behandlingsaktiviteter, der vedrører udbud af varer eller tjenesteydelser til registrerede eller overvågning af sådanne registreredes adfærd i flere medlemsstater, eller som i væsentlig grad kan påvirke den frie udveksling af personoplysninger i Unionen.

7. Analysen skal mindst omfatte:

a)	en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen, herunder i givet fald de legitime interesser, der forfølges af den dataansvarlige

b)	en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene

c)	en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1, og

de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

8. Overholdelse af godkendte adfærdskodekser, jf. artikel 40, inddrages behørigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter, der udføres af de pågældende dataansvarlige eller databehandlere, navnlig i forbindelse med en konsekvensanalyse vedrørende databeskyttelse.

9. Den dataansvarlige indhenter, hvis det er relevant, de registreredes eller deres repræsentanters synspunkter vedrørende den planlagte behandling, uden at det berører beskyttelse af kommercielle eller samfundsmæssige interesser eller behandlingsaktiviteternes sikkerhed.

10. Hvis behandling i henhold til artikel 6, stk. 1, litra c) eller e), har et retsgrundlag i EU-retten eller i den medlemsstats nationale ret, som den dataansvarlige er underlagt, og denne ret regulerer den eller de pågældende specifikke behandlingsaktiviteter, og der allerede er foretaget en konsekvensanalyse vedrørende databeskyttelse som led i en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag, finder stk. 1-7 ikke anvendelse, medmindre medlemsstaterne anser det for nødvendigt at foretage en sådan analyse inden behandlingsaktiviteter.

11. Den dataansvarlige foretager, hvis det er nødvendigt, en fornyet gennemgang for at vurdere, hvorvidt behandling er foretaget i overensstemmelse med konsekvensanalysen vedrørende databeskyttelse, i hvert fald når der er en ændring af den risiko, som behandlingsaktiviteterne udgør.

whereas

(22) Enhver behandling af personoplysninger, som foretages som led i aktiviteter, der udføres for en dataansvarlig eller en databehandler, som er etableret i Unionen, bør gennemføres i overensstemmelse med denne forordning, uanset om selve behandlingen finder sted i Unionen.
Etablering indebærer effektiv og faktisk udøvelse af aktivitet gennem en mere permanent struktur.
De pågældende ordningers retlige form, hvad enten det er en filial eller et datterselskab med status som juridisk person, har ikke afgørende betydning i denne forbindelse.

- = -

(32) Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles, f.eks.
ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring.
Dette kan f.eks.
foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger.
Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke.
Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål.
Når behandling tjener flere formål, bør der gives samtykke til dem alle.
Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til.

- = -

(45) Hvis behandling foretages i overensstemmelse med en retlig forpligtelse, som påhviler den dataansvarlige, eller hvis behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, bør behandlingen have retsgrundlag i EU-retten eller medlemsstaternes nationale ret.
Denne forordning indebærer ikke, at der kræves en specifik lov til hver enkelt behandling.
Det kan være tilstrækkeligt med en lov som grundlag for adskillige databehandlingsaktiviteter, som baseres på en retlig forpligtelse, som påhviler den dataansvarlige, eller hvis behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse.
Det bør også henhøre under EU-retten eller medlemsstaternes nationale ret at fastlægge formålet med behandlingen.
Endvidere kan dette retsgrundlag præcisere denne forordnings generelle betingelser for lovlig behandling af personoplysninger og nærmere præcisere, hvem den dataansvarlige er, hvilken type personoplysninger der skal behandles, de berørte registrerede, hvilke enheder personoplysningerne kan videregives til, formålsbegrænsninger, opbevaringsperiode og andre foranstaltninger til at sikre lovlig og rimelig behandling.
Det bør ligeledes henhøre under EU-retten eller medlemsstaternes nationale ret at afgøre, om den dataansvarlige, der udfører en opgave i samfundets interesse eller i forbindelse med offentlig myndighedsudøvelse, skal være en offentlig myndighed eller en anden fysisk eller juridisk person, der er omfattet af offentlig ret, eller, hvis dette er i samfundets interesse, herunder sundhedsformål, såsom folkesundhed og social sikring samt forvaltning af sundhedsydelser, af privatret som f.eks.
en erhvervssammenslutning.

- = -

(76) Risikoens sandsynlighed og alvor for så vidt angår den registreredes rettigheder og frihedsrettigheder bør bestemmes med henvisning til behandlingens karakter, omfang, sammenhæng og formål.
Risikoen bør evalueres på grundlag af en objektiv vurdering, hvorved det fastslås, om databehandlingsaktiviteter indebærer en risiko eller en høj risiko.

- = -

(80) Hvis en dataansvarlig eller en databehandler, som ikke er etableret i Unionen, behandler personoplysninger om registrerede, der er i Unionen, og hvis behandlingsaktiviteter vedrører udbud af varer eller tjenesteydelser til sådanne registrerede i Unionen, uanset om betaling fra de registrerede er påkrævet, eller overvågning af deres adfærd, hvis adfærden finder sted i Unionen, bør den dataansvarlige eller databehandleren udpege en repræsentant, medmindre behandlingen er lejlighedsvis, ikke i stort omfang indebærer behandling af særlige kategorier af personoplysninger eller behandlingen af personoplysninger vedrørende straffedomme og lovovertrædelser, og sandsynligvis ikke indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder under hensyntagen til behandlingens karakter, sammenhæng, omfang og formål, eller hvis den dataansvarlige er en offentlig myndighed eller et offentligt organ.
Repræsentanten bør handle på den dataansvarliges eller databehandlerens vegne og kan kontaktes af enhver tilsynsmyndighed.
Repræsentanten bør udtrykkelig udpeges ved et skriftligt mandat fra den dataansvarlige eller fra databehandleren til at handle på dennes vegne for så vidt angår dennes forpligtelser i henhold til denne forordning.
Udpegelsen af en sådan repræsentant berører ikke den dataansvarliges eller databehandlerens ansvar, herunder erstatningsansvar, i henhold til denne forordning.
En sådan repræsentant bør udføre sine opgaver i overensstemmelse med mandatet fra den dataansvarlige eller databehandleren, herunder samarbejde med de kompetente tilsynsmyndigheder med hensyn til enhver foranstaltning, der træffes for at sikre overholdelse af denne forordning.
Den udpegede repræsentant bør være underlagt håndhævelsesforanstaltninger i tilfælde af manglende overholdelse fra den dataansvarliges eller databehandlerens side.

- = -

(83) For at opretholde sikkerheden og hindre behandling i strid med denne forordning bør den dataansvarlige eller databehandleren vurdere de risici, som en behandling indebærer, og gennemføre foranstaltninger, der kan begrænse disse risici, som f.eks.
kryptering.
Disse foranstaltninger bør under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne sikre et tilstrækkeligt sikkerhedsniveau, herunder fortrolighed, i forhold til risiciene og karakteren af de personoplysninger, der skal beskyttes.
Ved vurderingen af datasikkerhedsrisikoen bør der tages hensyn til de risici, som behandling af personoplysninger indebærer, såsom hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, og som navnlig kan føre til fysisk, materiel eller immateriel skade.

- = -

(84) For at fremme overholdelse af denne forordning bør den dataansvarlige, hvor behandlingsaktiviteter sandsynligvis indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder, have ansvaret for at foretage en konsekvensanalyse vedrørende databeskyttelse for navnlig at vurdere denne risikos oprindelse, karakter, særegenhed og alvor.
Resultatet af analysen bør tages i betragtning, når der skal træffes passende foranstaltninger med henblik på at påvise, at behandlingen af personoplysningerne overholder denne forordning.
Hvis det fremgår af en konsekvensanalyse vedrørende databeskyttelse, at behandlingsaktiviteter indebærer en høj risiko, som den dataansvarlige ikke kan begrænse ved passende foranstaltninger med hensyn til tilgængelig teknologi og gennemførelsesomkostninger, bør tilsynsmyndigheden høres forud for behandlingen.

- = -

(85) Et brud på persondatasikkerheden kan, hvis det ikke håndteres på en passende og rettidig måde, påføre fysiske personer fysisk, materiel eller immateriel skade, såsom tab af kontrol over deres personoplysninger eller begrænsning af deres rettigheder, forskelsbehandling, identitetstyveri eller -svig, finansielle tab, uautoriseret ophævelse af pseudonymisering, skade på omdømme, tab af fortrolighed for oplysninger, der er omfattet af tavshedspligt, eller andre betydelige økonomiske eller sociale konsekvenser for den berørte fysiske person.
Så snart den dataansvarlige bliver bekendt med, at der er sket et brud på persondatasikkerheden, bør vedkommende derfor anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed uden unødig forsinkelse og om muligt senest 72 timer efter, at denne er blevet bekendt med det, medmindre den dataansvarlige i overensstemmelse med ansvarlighedsprincippet kan påvise, at bruddet på persondatasikkerheden sandsynligvis ikke indebærer risiko for fysiske personers rettigheder eller frihedsrettigheder.
Hvis en sådan anmeldelse ikke kan ske inden for 72 timer, bør den ledsages af en begrundelse for forsinkelsen, og oplysningerne kan indgives trinvis uden unødig yderligere forsinkelse.

- = -

(89) Ved direktiv 95/46/EF blev der fastsat en generel forpligtelse til at anmelde behandlingen af personoplysninger til tilsynsmyndighederne.
Denne forpligtelse medførte en administrativ og finansiel byrde, men den bidrog ikke i alle tilfælde til at forbedre beskyttelsen af personoplysninger.
En sådan vilkårlig og generel anmeldelsespligt bør derfor afskaffes og erstattes med effektive procedurer og mekanismer, som i stedet fokuserer på de typer behandlingsaktiviteter, der sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder i medfør af deres karakter, omfang, sammenhæng og formål.
Sådanne typer behandlingsaktiviteter kan være aktiviteter, der navnlig indebærer brug af ny teknologi, eller aktiviteter som er af en ny slags, og hvor den dataansvarlige endnu ikke har foretaget en konsekvensanalyse vedrørende databeskyttelse, eller hvor de er blevet nødvendige på grund af den tid, der er gået siden den oprindelige behandling.

- = -

(91) Dette er især relevant i forbindelse med omfattende behandlingsaktiviteter til behandling af meget store mængder personoplysninger på regionalt, nationalt eller overnationalt plan, der kan berøre mange registrerede, og som sandsynligvis vil indebære en høj risiko, f.eks.
på grund af behandlingsaktiviteternes følsomhed, hvis der i overensstemmelse med det opnåede niveau af teknologisk viden sker omfattende brug af ny teknologi, samt i forbindelse med andre behandlingsaktiviteter, der indebærer en høj risiko for registreredes rettigheder og frihedsrettigheder, navnlig hvis disse aktiviteter gør det vanskeligere for registrerede at udøve deres rettigheder.
Der bør også foretages en konsekvensanalyse vedrørende databeskyttelse, hvis personoplysninger behandles med det formål at træffe afgørelser vedrørende specifikke fysiske personer efter en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer baseret på profilering af disse oplysninger eller efter behandling af særlige kategorier af personoplysninger, biometriske data eller oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger.
En konsekvensanalyse vedrørende databeskyttelse er ligeledes påkrævet ved omfattende overvågning af offentligt tilgængelige områder, navnlig ved brug af optoelektronisk udstyr, eller ved alle andre aktiviteter, hvor den kompetente tilsynsmyndighed mener, at den pågældende behandling sandsynligvis indebærer en høj risiko for registreredes rettigheder og frihedsrettigheder, navnlig fordi den hindrer registrerede i at udøve en rettighed eller gøre brug af en tjeneste eller en kontrakt, eller fordi den foretages på systematisk og omfattende vis.
Behandling af personoplysninger bør ikke anses for at være omfattende, hvis der er tale om en læges, sundhedspersonales eller en advokats behandling af personoplysninger om patienter eller klienter.
I sådanne tilfælde bør en konsekvensanalyse vedrørende databeskyttelse ikke være obligatorisk.

- = -

(129) For at sikre ensartet tilsyn med og håndhævelse af denne forordning i hele Unionen bør tilsynsmyndighederne i hver medlemsstat have samme opgaver og effektive beføjelser, herunder undersøgelsesbeføjelser og beføjelser til at fastsætte korrigerende foranstaltninger og sanktioner samt godkendelses- og rådgivningsbeføjelser, navnlig i tilfælde af klager fra fysiske personer, og med forbehold for de retsforfølgende myndigheders beføjelser i henhold til medlemsstaternes nationale ret, til at indbringe overtrædelser af denne forordning for de judicielle myndigheder og deltage i retssager.
Disse beføjelser bør også omfatte beføjelse til midlertidig eller definitivt at begrænse, herunder forbyde, behandling.
Medlemsstaterne kan fastsætte andre opgaver, som vedrører beskyttelse af personoplysninger i henhold til denne forordning.
Tilsynsmyndighedernes beføjelser bør udøves i overensstemmelse med de fornødne proceduremæssige garantier, der er fastsat i EU-retten og medlemsstaternes nationale ret, uvildigt, retfærdigt og inden for en rimelig frist.
Hver foranstaltning bør især være passende, nødvendig og forholdsmæssig for at sikre overholdelse af denne forordning, idet der tages hensyn til omstændighederne i hver enkelt sag, bør overholde enhver persons ret til at blive hørt, inden der træffes en individuel foranstaltning, som vil berøre den pågældende negativt, og bør undgå overflødige udgifter og urimelige ulemper for de berørte personer.
Hvad angår adgang til lokaler bør undersøgelsesbeføjelserne udøves i overensstemmelse med specifikke krav i medlemsstaternes retspleje, f.eks.
krav om en forudgående retskendelse.
Hver juridisk bindende foranstaltning, der træffes af en tilsynsmyndighed, bør være skriftlig, klar og utvetydig, angive navnet på den tilsynsmyndighed, der har truffet foranstaltningen, og datoen for iværksættelse af foranstaltningen, være underskrevet af chefen for eller et medlem af tilsynsmyndigheden, som vedkommende har givet bemyndigelse hertil, angive begrundelsen for foranstaltningen og indeholde en henvisning til adgang til effektive retsmidler.
Dette bør ikke udelukke yderligere krav i medfør af medlemsstaternes retspleje.
Vedtagelse af en juridisk bindende afgørelse indebærer, at den kan undergives domstolskontrol i medlemsstaten for den tilsynsmyndighed, der har vedtaget afgørelsen.

- = -

(131) Hvis en anden tilsynsmyndighed burde fungere som ledende tilsynsmyndighed i forbindelse med den dataansvarliges eller databehandlerens behandlingsaktiviteter, men en klages konkrete indhold eller en mulig overtrædelse kun vedrører den dataansvarliges eller databehandlerens behandlingsaktiviteter i den medlemsstat, hvor klagen er indgivet, eller den konstaterede mulige overtrædelse og forholdet ikke i væsentlig grad påvirker eller sandsynligvis ikke i væsentlig grad vil påvirke registrerede i andre medlemsstater, bør den tilsynsmyndighed, der modtager en klage eller konstaterer eller på anden måde underrettes om situationer, som indebærer mulige overtrædelser af denne forordning, søge at nå frem til en mindelig løsning med den dataansvarlige, og hvis dette ikke lykkes, udøve alle sine beføjelser.
Dette bør omfatte specifik behandling, der foretages på tilsynsmyndighedens medlemsstats område eller for så vidt angår registrerede på den pågældende medlemsstats område, behandling, der foretages som led i udbud af varer eller tjenesteydelser specifikt rettet mod registrerede på tilsynsmyndighedens medlemsstats område, eller behandling som skal vurderes under hensyntagen til relevante retlige forpligtelser i henhold til medlemsstaternes nationale ret.

- = -

(162) Når personoplysninger behandles til statistiske formål, bør denne forordning finde anvendelse på denne behandling.
EU-retten eller medlemsstaternes nationale ret bør inden for rammerne af denne forordning fastsætte statistisk indhold, adgangskontrol, præciseringer for behandling af personoplysninger til statistiske formål og passende foranstaltninger til at beskytte den registreredes rettigheder og frihedsrettigheder og sikre statistisk fortrolighed.
Ved statistiske formål forstås enhver indsamling og behandlingen af personoplysninger, der er nødvendig for statistiske undersøgelser eller frembringelse af statistiske resultater.
Disse statistiske resultater kan videreanvendes til forskellige formål, herunder videnskabelige forskningsformål.
Det statistiske formål indebærer, at resultatet af behandling til statistiske formål ikke er personoplysninger, men aggregerede data, og at dette resultat eller personoplysningerne ikke anvendes til støtte for foranstaltninger eller afgørelser, der vedrører bestemte fysiske personer.

- = -

dal 2004 diritto e informatica