interactive GDPR 2016/0679 DA

1. EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige eller databehandleren er underlagt, kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 12-22 og 34 samt artikel 5, for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 12-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:

a)	statens sikkerhed

forsvaret

c)	den offentlige sikkerhed

d)	forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed

e)	andre vigtige målsætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle samfundsinteresser, navnlig Unionens eller en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed

f)	beskyttelse af retsvæsenets uafhængighed og retssager

g)	forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv

h)	kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i litra a)-e) og g)

i)	beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder

j)	håndhævelse af civilretlige krav.

2. Navnlig skal enhver lovgivningsmæssig foranstaltning, der er omhandlet i stk. 1, som minimum, hvor det er relevant, indeholde specifikke bestemmelser vedrørende:

a)	formålene med behandlingen eller kategorierne af behandling

b)	kategorierne af personoplysninger

c)	rækkevidden af de indførte begrænsninger

d)	garantierne for at undgå misbrug eller ulovlig adgang eller overførsel

e)	specifikation af den dataansvarlige eller kategorierne af dataansvarlige

f)	opbevaringsperioder og de gældende garantier under hensyntagen til behandlingens karakter, omfang og formål eller kategorier af behandling

g)	risiciene for de registreredes rettigheder og frihedsrettigheder, og

h)	de registreredes ret til at blive underrettet om begrænsningen, medmindre dette kan skade formålet med begrænsningen.

KAPITEL IV

Dataansvarlig og databehandler

Afdeling 1

Generelle forpligtelser

Artikel 36

Forudgående høring

1. Den dataansvarlige hører tilsynsmyndigheden inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse foretaget i henhold til artikel 35 viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.

2. Hvis tilsynsmyndigheden finder, at den planlagte behandling omhandlet i stk. 1 overtræder denne forordning, navnlig hvis den dataansvarlige ikke tilstrækkeligt har identificeret eller begrænset risikoen, skal tilsynsmyndigheden inden for en periode på op til otte uger efter modtagelse af anmodningen om høring give den dataansvarlige og, hvor det er relevant, databehandleren skriftlig rådgivning og kan i den forbindelse anvende enhver af sine beføjelser, jf. artikel 58. Denne periode kan forlænges med seks uger under hensyntagen til den påtænkte behandlings kompleksitet. Tilsynsmyndigheden underretter den dataansvarlige og, hvor det er relevant, databehandleren om enhver sådan forlængelse senest en måned efter modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen. Disse perioder kan suspenderes, indtil tilsynsmyndigheden har modtaget oplysninger, som den har anmodet om med henblik på høringen.

3. Når tilsynsmyndigheden skal høres i henhold til stk. 1, indgiver den dataansvarlige følgende til tilsynsmyndigheden:

a)	hvor det er relevant, ansvarsområderne for henholdsvis den dataansvarlige, fælles dataansvarlige og databehandleren, der er involveret i behandlingen, navnlig med hensyn til behandling inden for en koncern

b)	den planlagte behandlings formål og hjælpemidler

c)	foranstaltninger og garantier til beskyttelse af de registreredes rettigheder og frihedsrettigheder i henhold til denne forordning

d)	hvor det er relevant, databeskyttelsesrådgiverens kontaktoplysninger

e)	konsekvensanalysen vedrørende databeskyttelse i henhold til artikel 35, og

f)	andre oplysninger, som tilsynsmyndigheden anmoder om.

4. Medlemsstaterne hører tilsynsmyndigheden som led i udarbejdelse af et forslag til lovgivningsmæssige foranstaltninger, som skal vedtages af et nationalt parlament, eller af en regulerende foranstaltning, der har hjemmel i en sådan lovgivningsmæssig foranstaltning, som vedrører behandling.

5. Uanset stk. 1 kan det i medlemsstaternes nationale ret kræves, at dataansvarlige hører og opnår forudgående tilladelse fra tilsynsmyndigheden i forbindelse med en dataansvarligs behandling under udførelsen af en opgave i samfundets interesse, herunder behandling i forbindelse med social sikring og folkesundhed.

Afdeling 4

Databeskyttelsesrådgiver

Artikel 45

Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet

1. Overførsel af personoplysninger til et tredjeland eller en international organisation kan finde sted, hvis Kommissionen har fastslået, at tredjelandet, et område eller en eller flere specifikke sektorer i dette tredjeland, eller den pågældende internationale organisation har et tilstrækkeligt beskyttelsesniveau. En sådan overførsel kræver ikke specifik godkendelse.

2. Ved vurdering af beskyttelsesniveauets tilstrækkelighed tager Kommissionen navnlig følgende elementer i betragtning:

retsstatsprincippet, respekt for menneskerettighederne og de grundlæggende frihedsrettigheder, relevant lovgivning, både generel og sektorbestemt, herunder vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og strafferet og offentlige myndigheders adgang til personoplysninger, samt gennemførelsen af sådan lovgivning, databeskyttelsesregler, faglige regler og sikkerhedsforanstaltninger, herunder regler for videreoverførsel af personoplysninger til et andet tredjeland eller en anden international organisation, der gælder i dette land eller denne internationale organisation, retspraksis samt effektive rettigheder for registrerede, som kan håndhæves, og effektiv administrativ og retslig prøvelse for de registrerede, hvis personoplysninger overføres

tilstedeværelse af en eller flere velfungerende uafhængige tilsynsmyndigheder i tredjelandet, eller som den internationale organisation er underlagt, med ansvar for at sikre og håndhæve, at databeskyttelsesreglerne overholdes, herunder tilstrækkelige håndhævelsesbeføjelser, for at bistå og rådgive de registrerede, når de udøver deres rettigheder, og for samarbejde med tilsynsmyndighederne i medlemsstaterne, og

de internationale forpligtelser, som tredjelandet eller den internationale organisation har påtaget sig, eller andre forpligtelser, der følger af retligt bindende konventioner eller instrumenter og af landets eller organisationens deltagelse i multilaterale eller regionale systemer, navnlig vedrørende beskyttelse af personoplysninger.

3. Kommissionen kan efter vurdering af beskyttelsesniveauets tilstrækkelighed ved hjælp af en gennemførelsesretsakt fastslå, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2. I den pågældende gennemførelsesretsakt fastsættes en mekanisme for regelmæssig revision, som foretages mindst hvert fjerde år, og som inddrager enhver relevant udvikling i tredjelandet eller den internationale organisation. I gennemførelsesretsakten angives dennes territoriale og sektorbestemte anvendelsesområde og i påkommende tilfælde den eller de tilsynsmyndigheder, der er omhandlet i denne artikels stk. 2, litra b). Gennemførelsesretsakten vedtages efter undersøgelsesproceduren i artikel 93, stk. 2.

4. Kommissionen overvåger løbende udvikling i tredjelande og internationale organisationer, der kan påvirke virkningen af afgørelser, der er vedtaget i henhold til denne artikels stk. 3, og afgørelser og beslutninger, der er vedtaget på grundlag af artikel 25, stk. 6, i direktiv 95/46/EF.

5. Kommissionen ophæver, ændrer eller suspenderer i det omfang, det er nødvendigt, uden tilbagevirkende kraft afgørelsen omhandlet i denne artikels stk. 3 ved hjælp af gennemførelsesretsakter, hvis tilgængelige oplysninger, navnlig efter den i denne artikels stk. 3 omhandlede revision, viser, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation ikke længere sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 93, stk. 2.

I behørigt begrundede særligt hastende tilfælde vedtager Kommissionen efter proceduren i artikel 93, stk. 3, gennemførelsesretsakter, der finder anvendelse straks.

6. Kommissionen fører konsultationer med tredjelandet eller den internationale organisation med henblik på at afhjælpe den situation, der har givet anledning til en afgørelse vedtaget i henhold til stk. 5.

7. En afgørelse som angivet i denne artikels stk. 5 berører ikke overførsel af personoplysninger til det pågældende tredjeland, et område eller en eller flere specifikke sektorer i dette tredjeland, eller den pågældende internationale organisation i medfør af artikel 46-49.

8. Kommissionen offentliggør i Den Europæiske Unions Tidende og på sit websted en liste over tredjelande, områder og specifikke sektorer i tredjelande samt internationale organisationer, som den har fastslået sikrer eller ikke længere sikrer et tilstrækkeligt beskyttelsesniveau.

9. Afgørelser og beslutninger, der er vedtaget af Kommissionen på grundlag af artikel 25, stk. 6, i direktiv 95/46/EF, gælder fortsat, indtil de ændres, erstattes eller ophæves ved en kommissionsafgørelse, der vedtages i henhold til nærværende artikels stk. 3 eller 5.

Artikel 50

Internationalt samarbejde om beskyttelse af personoplysninger

Kommissionen og tilsynsmyndighederne træffer i forhold til tredjelande og internationale organisationer de nødvendige foranstaltninger til at:

a)	udvikle internationale samarbejdsmekanismer med henblik på at lette effektiv håndhævelse af lovgivningen om beskyttelse af personoplysninger

yde international gensidig bistand i håndhævelse af lovgivningen om beskyttelse af personoplysninger, herunder gennem anmeldelse, indbringelse af klager, efterforskningsbistand og informationsudveksling, under iagttagelse af de fornødne garantier for beskyttelse af personoplysninger og andre grundlæggende rettigheder og frihedsrettigheder

c)	inddrage relevante interessenter i drøftelser og aktiviteter, der har til formål at fremme det internationale samarbejde om håndhævelse af lovgivningen om beskyttelse af personoplysninger

d)	fremme udveksling og dokumentation af lovgivning om beskyttelse af personoplysninger og praksis på området, herunder om kompetencekonflikter med tredjelande.

KAPITEL VI

Uafhængige tilsynsmyndigheder

Afdeling 1

Uafhængig status

Artikel 57

Opgaver

1. Uden at dette berører andre opgaver, der er fastsat i denne forordning, skal hver tilsynsmyndighed på sit område:

a)	føre tilsyn med og håndhæve anvendelsen af denne forordning

b)	fremme offentlighedens kendskab til og forståelse af risici, regler, garantier og rettigheder i forbindelse med behandling Der skal sættes særlig fokus på aktiviteter, der er direkte rettet mod børn

c)	i henhold til medlemsstaternes nationale ret rådgive det nationale parlament, regeringen og andre institutioner og organer om lovgivningsmæssige og administrative foranstaltninger til beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling

d)	fremme dataansvarliges og databehandleres kendskab til deres forpligtelser i henhold til denne forordning

e)	efter anmodning informere registrerede om udøvelse af deres rettigheder i henhold til denne forordning og med henblik herpå samarbejde med tilsynsmyndighederne i andre medlemsstater, hvis det er relevant

behandle klager, der indgives af en registreret eller af et organ, en organisation eller en sammenslutning i overensstemmelse med artikel 80, og, for så vidt det er hensigtsmæssigt, undersøge genstanden for klagen og underrette klageren om forløbet og resultatet af undersøgelsen inden for en rimelig frist, navnlig hvis yderligere undersøgelse eller koordinering med en anden tilsynsmyndighed er nødvendig

g)	samarbejde med andre tilsynsmyndigheder, herunder gennem udveksling af oplysninger og gensidig bistand, med henblik på at sikre ensartet anvendelse og håndhævelse af denne forordning

h)	gennemføre undersøgelser om anvendelsen af denne forordning, herunder på grundlag af oplysninger, der er modtaget fra en anden tilsynsmyndighed eller en anden offentlig myndighed

i)	holde øje med relevant udvikling, for så vidt den har indvirkning på beskyttelse af personoplysninger, navnlig udviklingen inden for informations- og kommunikationsteknologi og handelspraksis

j)	vedtage standardkontraktbestemmelser som omhandlet i artikel 28, stk. 8, og i artikel 46, stk. 2, litra d)

k)	opstille og føre en liste i forbindelse med kravet om en konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 35, stk. 4

l)	rådgive om behandlingsaktiviteter som omhandlet i artikel 36, stk. 2

m)	tilskynde til udarbejdelse af adfærdskodekser i henhold til artikel 40, stk. 1, og afgive udtalelse om og godkende sådanne adfærdskodekser, som sikrer tilstrækkelige garantier i henhold til artikel 40, stk. 5

n)	tilskynde til fastlæggelse af certificeringsmekanismer for databeskyttelse og databeskyttelsesmærkninger og -mærker i henhold til artikel 42, stk. 1, og godkende kriterierne for certificering i henhold til artikel 42, stk. 5

o)	når det er relevant, regelmæssigt gennemgå certificeringer udstedt i henhold til artikel 42, stk. 7

p)	opstille og offentliggøre kriterierne for akkreditering af et organ til kontrol af adfærdskodekser i henhold til artikel 41 og af et certificeringsorgan i henhold til artikel 43

q)	foretage akkreditering af et organ til kontrol af adfærdskodekser i henhold til artikel 41 og af et certificeringsorgan i henhold til artikel 43

r)	godkende kontraktbestemmelser og bestemmelser som omhandlet i artikel 46, stk. 3

s)	godkende bindende virksomhedsregler i henhold til artikel 47

t)	bidrage til Databeskyttelsesrådets aktiviteter

u)	føre interne fortegnelser over overtrædelser af denne forordning og over foranstaltninger, der er truffet i henhold til artikel 58, stk. 2, og

v)	udføre enhver anden opgave i forbindelse med beskyttelse af personoplysninger.

2. Hver tilsynsmyndighed letter indgivelse af klager, jf. stk. 1, litra f), gennem foranstaltninger som f.eks. en klageformular, der også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmidler.

3. Hver tilsynsmyndighed varetager sine opgaver uden udgifter for den registrerede og, hvis det er relevant, for databeskyttelsesrådgiveren.

4. Hvis anmodninger er åbenbart grundløse eller uforholdsmæssige, især fordi de gentages, kan tilsynsmyndigheden opkræve et rimeligt gebyr baseret på de administrative omkostninger eller afvise at efterkomme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller uforholdsmæssig, påhviler tilsynsmyndigheden.

Artikel 70

Databeskyttelsesrådets opgaver

1. Databeskyttelsesrådet sikrer ensartet anvendelse af denne forordning. Med henblik herpå skal Databeskyttelsesrådet på eget initiativ eller, når det er relevant, efter anmodning fra Kommissionen navnlig:

a)	føre tilsyn med og sikre korrekt anvendelse af denne forordning i de tilfælde, der er omhandlet i artikel 64 og 65, uden at dette berører de nationale tilsynsmyndigheders opgaver

b)	rådgive Kommissionen om ethvert spørgsmål vedrørende beskyttelse af personoplysninger i Unionen, herunder om ethvert forslag til ændring af denne forordning

c)	rådgive Kommissionen om format og procedurer for videregivelse af oplysninger mellem dataansvarlige, databehandlere og tilsynsmyndigheder vedrørende bindende virksomhedsregler

d)	udstede retningslinjer, henstillinger og bedste praksis vedrørende procedurer for sletning af link til og kopier eller gengivelser af personoplysninger fra offentligt tilgængelige kommunikationstjenester som omhandlet i artikel 17, stk. 2

e)	på eget initiativ, efter anmodning fra et af sine medlemmer eller efter anmodning fra Kommissionen undersøge ethvert spørgsmål vedrørende anvendelsen af denne forordning og udstede retningslinjer, henstillinger og bedste praksis for at fremme ensartet anvendelse af denne forordning

f)	udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på nærmere at angive kriterierne og betingelserne for afgørelser baseret på profilering i henhold til artikel 22, stk. 2

udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på fastlæggelse af brud på persondatasikkerheden og den unødige forsinkelse omhandlet i artikel 33, stk. 1 og 2, og vedrørende de særlige omstændigheder, hvor en dataansvarlig eller en databehandler har pligt til at anmelde brud på persondatasikkerheden

h)	udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) vedrørende de omstændigheder, hvor brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder som omhandlet i artikel 34, stk. 1

udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på nærmere at angive kriterierne for og kravene til overførsel af personoplysninger baseret på bindende virksomhedsregler, som dataansvarlige overholder, og bindende virksomhedsregler, som databehandlere overholder, og vedrørende yderligere krav til at sikre beskyttelse af de berørte registreredes personoplysninger som omhandlet i artikel 47

j)	udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på nærmere at angive kriterierne for og kravene til overførsel af personoplysninger på grundlag af artikel 49, stk. 1

k)	udarbejde retningslinjer for tilsynsmyndighederne vedrørende anvendelse af foranstaltninger, jf. artikel 58, stk. 1, 2 og 3, og fastsættelse af administrative bøder i henhold til artikel 83

l)	gennemgå den praktiske anvendelse af de retningslinjer og henstillinger og den bedste praksis, der er omhandlet i litra e) og f)

m)	udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på fastlæggelse af fælles procedurer for fysiske personers indberetning af overtrædelser af denne forordning, jf. artikel 54, stk. 2,

n)	tilskynde til udarbejdelse af adfærdskodekser og fastlæggelse af certificeringsmekanismer for databeskyttelse og databeskyttelsesmærkninger og -mærker i henhold til artikel 40 og 42

foretage akkreditering af certificeringsorganer og regelmæssig revision heraf i henhold til artikel 43 og føre et offentligt register over akkrediterede organer i henhold til artikel 43, stk. 6, og over de akkrediterede dataansvarlige eller databehandlere i tredjelande i henhold til artikel 42, stk. 7

p)	angive de krav, der er omhandlet i artikel 43, stk. 3, med henblik på akkreditering af certificeringsorganer i henhold til artikel 42

q)	afgive udtalelse til Kommissionen om de certificeringskrav, der er omhandlet i artikel 43, stk. 8

r)	afgive udtalelse til Kommissionen om de ikoner, der er omhandlet i artikel 12, stk. 7

afgive udtalelse til Kommissionen med henblik på vurdering af tilstrækkeligheden af beskyttelsesniveauet i et tredjeland eller en international organisation, herunder vurdering af, om et tredjeland, et område eller en eller flere specifikke sektorer i det pågældende tredjeland, eller en international organisation ikke længere sikrer et tilstrækkeligt beskyttelsesniveau. Til dette formål forelægger Kommissionen Databeskyttelsesrådet al nødvendig dokumentation vedrørende tredjelandet, området eller den specifikke sektor, eller den internationale organisation, herunder korrespondance med regeringen i tredjelandet,

afgive udtalelser om tilsynsmyndigheders udkast til afgørelse i overensstemmelse med den sammenhængsmekanisme, der er omhandlet i artikel 64, stk. 1, og om sager, der er forelagt i henhold til artikel 64, stk. 2, og udstede bindende afgørelser i henhold til artikel 65, herunder i de tilfælde, der er omhandlet i artikel 66

u)	fremme samarbejdet og effektiv bilateral og multilateral udveksling af oplysninger og bedste praksis mellem tilsynsmyndighederne

v)	fremme fælles uddannelsesprogrammer og udveksling af personale mellem tilsynsmyndighederne og i relevante tilfælde med tilsynsmyndighederne i tredjelande eller med internationale organisationer

w)	fremme udveksling af viden og dokumentation vedrørende databeskyttelseslovgivning og -praksis med datatilsynsmyndigheder over hele verden

x)	afgive udtalelser om adfærdskodekser, der udarbejdes på EU-plan, jf. artikel 40, stk. 9, og

y)	føre et offentligt tilgængeligt elektronisk register over afgørelser truffet af tilsynsmyndigheder og domstole om spørgsmål, der er blevet behandlet i sammenhængsmekanismen.

2. Hvis Kommissionen anmoder Databeskyttelsesrådet om rådgivning, kan den fastsætte en frist under hensyntagen til, hvor meget den pågældende sag haster.

3. Databeskyttelsesrådet fremsender sine udtalelser, retningslinjer, henstillinger og bedste praksis til Kommissionen og det udvalg, der er omhandlet i artikel 93, og offentliggør dem.

4. Databeskyttelsesrådet hører efter omstændighederne berørte parter og giver dem mulighed for at fremsætte bemærkninger inden for en rimelig frist. Databeskyttelsesrådet offentliggør med forbehold af artikel 76 resultaterne af høringsproceduren.

Artikel 81

Udsættelse af en sag

1. Hvis en kompetent domstol i en medlemsstat har oplysninger om, at der verserer en sag vedrørende samme genstand for så vidt angår behandling foretaget af den samme dataansvarlige eller databehandler ved en domstol i en anden medlemsstat, skal den rette henvendelse til pågældende domstol i den anden medlemsstat for at bekræfte eksistensen af en sådan sag.

2. Hvis der verserer en sag vedrørende samme genstand for så vidt angår behandling foretaget af den samme dataansvarlige eller databehandler ved en domstol i en anden medlemsstat, kan enhver anden kompetent domstol end den, ved hvilken sagen først er anlagt, udsætte sagen.

3. Hvis denne sag verserer ved første instans, kan enhver anden domstol end den, ved hvilken sagen først er anlagt, efter anmodning fra en af parterne også erklære sig inkompetent, hvis den domstol, ved hvilken sagen først er anlagt, har kompetence til at behandle de pågældende sager, og forening heraf er tilladt i henhold til dens lovgivning.

Artikel 98

Gennemgang af andre EU-retsakter om databeskyttelse

Hvis det er relevant, fremsætter Kommissionen lovgivningsforslag til ændring af andre EU-retsakter om beskyttelse af personoplysninger for at sikre ensartet og konsekvent beskyttelse af fysiske personer i forbindelse med behandling. Dette gælder især bestemmelser om beskyttelse af fysiske personer i forbindelse med EU-institutioners, -organers, -kontorers og -agenturers behandling og om fri udveksling af sådanne oplysninger.

whereas

(10) For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for Unionen bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater.
Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen.
I forbindelse med behandling af personoplysninger for at overholde en retlig forpligtelse eller for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, bør medlemsstaterne kunne opretholde eller indføre nationale bestemmelser for yderligere at præcisere anvendelsen af denne forordnings bestemmelser.
Sammen med generel og horisontal lovgivning om databeskyttelse til gennemførelse af direktiv 95/46/EF har medlemsstaterne flere sektorspecifikke love på områder, hvor der er behov for mere specifikke bestemmelser.
Denne forordning indeholder også en manøvremargen, så medlemsstaterne kan præcisere reglerne heri, herunder for behandling af særlige kategorier af personoplysninger (»følsomme oplysninger«).
Denne forordning udelukker således ikke, at medlemsstaternes nationale ret fastlægger omstændighederne i forbindelse med specifikke databehandlingssituationer, herunder mere præcis fastlæggelse af de forhold, hvorunder behandling af personoplysninger er lovlig.

- = -

(41) Når denne forordning henviser til et retsgrundlag eller en lovgivningsmæssig foranstaltning, kræver det ikke nødvendigvis en lov, der er vedtaget af et parlament, med forbehold for krav i henhold til den forfatningsmæssige orden i den pågældende medlemsstat.
Et sådant retsgrundlag eller en sådan lovgivningsmæssig foranstaltning bør imidlertid være klar(t) og præcis(t), og anvendelse heraf bør være forudsigelig for personer, der er omfattet af dets/dens anvendelsesområde, jf.
retspraksis fra Den Europæiske Unions Domstol (»Domstolen«) og Den Europæiske Menneskerettighedsdomstol.

- = -

(93) I forbindelse med vedtagelsen af national lovgivning i medlemsstaterne, der udgør grundlaget for en offentlig myndigheds eller et offentligt organs udførelse af opgaver, og som regulerer den eller de pågældende specifikke behandlingsaktiviteter, kan medlemsstaterne vurdere, at en sådan analyse skal foretages inden behandlingsaktiviteterne.

- = -

(96) Tilsynsmyndigheden bør ligeledes høres som led i udarbejdelsen af lovgivning eller regulerende foranstaltninger, som omhandler behandling af personoplysninger, med henblik på at sikre, at den planlagte behandling overholder denne forordning, og navnlig for at begrænse risiciene for den registrerede.

- = -

(104) I overensstemmelse med de grundlæggende værdier, som Unionen bygger på, navnlig beskyttelse af menneskerettighederne, bør Kommissionen i sin vurdering af et tredjeland eller et område eller en specifik sektor i et tredjeland tage hensyn til, hvordan et bestemt tredjeland efterlever retsstatsprincippet, klageadgang og domstolsprøvelse, internationale menneskerettighedsnormer og -standarder samt sin generelle og sektorbestemte ret, herunder lovgivning vedrørende offentlig sikkerhed, forsvar, statens sikkerhed samt offentlig orden og strafferet.
Når der vedtages en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i et område eller en specifik sektor i et tredjeland, bør der tages hensyn til klare og objektive kriterier, som f.eks.
specifikke behandlingsaktiviteter og anvendelsesområdet for gældende retsstandarder og lovgivning i tredjelandet.
Tredjelandet bør give garantier, der sikrer et passende beskyttelsesniveau, som i det væsentlige svarer til det, der sikres i Unionen, især når personoplysninger behandles i en eller flere specifikke sektorer.
Tredjelandet bør navnlig sikre et effektivt uafhængigt databeskyttelsestilsyn og bør fastlægge samarbejdsmekanismer med medlemsstaternes databeskyttelsesmyndigheder, og de registrerede bør have effektive rettigheder, som kan håndhæves, og adgang til effektiv administrativ og retslig prøvelse.

- = -

(116) Når personoplysninger overføres på tværs af grænser uden for Unionen, kan det medføre yderligere risici for fysiske personers mulighed for at udøve deres databeskyttelsesrettigheder og beskytte sig mod ulovlig brug eller videregivelse af disse oplysninger.
Samtidig må tilsynsmyndighederne i nogle tilfælde konstatere, at de er ude af stand til at følge op på klager eller foretage undersøgelser vedrørende aktiviteter uden for deres grænser.
Samarbejdet på tværs af grænserne kan også hæmmes af utilstrækkelige forebyggende eller afhjælpende beføjelser, uensartede retlige ordninger og praktiske hindringer som f.eks.
ressourcebegrænsninger.
Der er derfor behov for at fremme tættere samarbejde mellem datatilsynsmyndigheder, så de bedre kan udveksle oplysninger og gennemføre undersøgelser sammen med de tilsvarende internationale organer.
Med henblik på at udvikle mekanismer for internationalt samarbejde for at lette og yde international gensidig bistand til håndhævelsen af lovgivning om beskyttelse af personoplysninger bør Kommissionen og tilsynsmyndighederne udveksle oplysninger og samarbejde om aktiviteter i forbindelse med udøvelsen af deres beføjelser med de kompetente myndigheder i tredjelande på grundlag af gensidighed og i overensstemmelse med denne forordning.

- = -

(144) Hvis en domstol, for hvilken der indbringes en sag til prøvelse af en afgørelse truffet af en tilsynsmyndighed, har grund til at tro, at en sag vedrørende samme behandling, f.eks.
med samme genstand for så vidt angår behandling udført af den samme dataansvarlige eller databehandler, eller som hviler på samme grundlag, anlægges ved en kompetent domstol i en anden medlemsstat, bør den kontakte den pågældende domstol for at bekræfte eksistensen af sådanne relaterede sager.
Hvis der verserer relaterede sager for en domstol i en anden medlemsstat, kan enhver anden domstol end den, ved hvilken sagen først er anlagt, udsætte sagen eller kan efter begæring fra en af parterne erklære sig inkompetent til fordel for den domstol, ved hvilken sagen først er anlagt, forudsat at denne domstol har kompetence til at behandle den pågældende sag, og forening af sådanne relaterede sager er tilladt i henhold til dens lovgivning.
Sager anses for at være relaterede, når de er så snævert forbundne, at det er ønskeligt at behandle og påkende dem samtidig for at undgå risiko for uforenelige afgørelser som følge af, at de blev påkendt hver for sig.

- = -

(153) Medlemsstatslovgivningen bør forene reglerne om ytrings- og informationsfrihed, herunder i forbindelse med journalistisk, akademisk, kunstnerisk og/eller litterær virksomhed, med retten til beskyttelse af personoplysninger i henhold til denne forordning.
Der bør fastsættes undtagelser eller fravigelser fra visse bestemmelser i denne forordning for behandling af personoplysninger, der udelukkende finder sted i journalistisk øjemed eller med henblik på akademisk, kunstnerisk eller litterær virksomhed, hvis det er nødvendigt for at forene retten til beskyttelse af personoplysninger med retten til ytrings- og informationsfrihed som garanteret ved artikel 11 i chartret.
Dette bør navnlig gælde for behandlingen af personoplysninger på det audiovisuelle område og i nyhedsarkiver og pressebiblioteker.
Medlemsstaterne bør derfor vedtage lovgivningsmæssige foranstaltninger, der fastlægger undtagelser og fravigelser, som er nødvendige af hensyn til balancen mellem disse grundlæggende rettigheder.
Medlemsstaterne bør vedtage sådanne undtagelser og fravigelser vedrørende generelle principper, den registreredes rettigheder, den dataansvarlige og databehandleren, overførsel af personoplysninger til tredjelande eller internationale organisationer, de uafhængige tilsynsmyndigheder, samarbejde og sammenhæng samt specifikke databehandlingssituationer.
Hvis disse undtagelser eller fravigelser varierer fra en medlemsstat til en anden, bør den nationale ret i den medlemsstat, som den dataansvarlige er underlagt, finde anvendelse.
For at tage hensyn til betydningen af retten til ytringsfrihed i ethvert demokratisk samfund er det nødvendigt at tolke begreber vedrørende denne frihed, f.eks.
journalistik, bredt.

- = -

(154) Denne forordning giver mulighed for, at der ved anvendelsen af denne forordning, kan tages hensyn til princippet om aktindsigt i officielle dokumenter.
Aktindsigt i officielle dokumenter kan anses for at være i samfundets interesse.
Personoplysninger i dokumenter, der opbevares af en offentlig myndighed eller et offentligt organ, bør kunne offentliggøres af denne myndighed eller dette organ, hvis dette er fastsat i EU-retten eller medlemsstaternes nationale ret, som den offentlige myndighed eller det offentlige organ er underlagt.
Sådanne regler bør forene aktindsigt i officielle dokumenter og videreanvendelse af den offentlige sektors information med retten til beskyttelse af personoplysninger og kan derfor indeholde den nødvendige forening med retten til beskyttelse af personoplysninger i henhold til denne forordning.
Offentlige myndigheder og organer bør i denne sammenhæng omfatte alle myndigheder eller andre organer, der er omfattet af medlemsstaternes nationale ret om aktindsigt.
Europa-Parlamentets og Rådets direktiv 2003/98/EF (14) opretholder og griber på ingen måde ind i beskyttelsesniveauet for fysiske personer med hensyn til behandling af personoplysninger i henhold til EU-retten og medlemsstaternes nationale ret, og det ændrer navnlig ikke de forpligtelser og rettigheder, der er fastsat i denne forordning.
Dette direktiv bør navnlig ikke gælde for dokumenter, hvortil adgang er udelukket eller begrænset i henhold til aktindsigtsordningerne under henvisning til beskyttelse af personoplysninger, og dele af dokumenter, der i henhold til disse ordninger er adgang til, og som indeholder personoplysninger, hvis videreanvendelse ifølge lovgivningen er uforenelig med lovgivningen om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.

- = -

(156) Behandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål bør være omfattet af fornødne garantier for den registreredes rettigheder og frihedsrettigheder i henhold til denne forordning.
Disse garantier bør sikre, at der er truffet tekniske og organisatoriske foranstaltninger for især at sikre princippet om dataminimering.
Viderebehandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål skal foretages, når den dataansvarlige har vurderet muligheden for at opfylde disse formål ved at behandle oplysninger, som ikke gør det muligt eller ikke længere gør det muligt at identificere de registrerede, forudsat at de fornødne garantier foreligger (såsom f.eks.
pseudonymisering af oplysninger).
Medlemsstaterne bør sikre de fornødne garantier for behandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål.
Medlemsstaterne bør have tilladelse til på særlige betingelser og med de fornødne garantier for de registrerede at fastsætte præciseringer af og undtagelser med hensyn til oplysningskravene og retten til berigtigelse eller sletning af personoplysninger, retten til at blive glemt, retten til begrænsning af behandling, retten til dataportabilitet og retten til indsigelse i forbindelse med behandling af personoplysninger til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål.
De pågældende betingelser og garantier kan indebære specifikke procedurer for registreredes udøvelse af rettigheder, hvis dette er relevant i lyset af de formål, der tilstræbes med den specifikke behandling, foruden tekniske og organisatoriske foranstaltninger med henblik på at minimere behandlingen af personoplysninger i medfør af proportionalitetsprincippet og nødvendighedsprincippet.
Behandling af personoplysninger til videnskabelige formål bør også overholde anden relevant lovgivning, f.eks.
om kliniske forsøg.

- = -

dal 2004 diritto e informatica