interactive GDPR 2016/0679 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artikel 4 Definitioner
- 2 Artikel 13 Oplysningspligt ved indsamling af personoplysninger hos den registrerede
- 2 Artikel 14 Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede
- 3 Artikel 15 Den registreredes indsigtsret
- 1 Artikel 19 Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
- 2 Artikel 30 Fortegnelser over behandlingsaktiviteter
- 1 Artikel 46 Overførsler omfattet af fornødne garantier
- 1 Artikel 58 Beføjelser
- eller 164
- personoplysninger 48
- dataansvarlige 47
- registrerede 38
- behandling 38
- artikel 35
- hvis 30
- personoplysningerne 30
- denne 25
- artikel 25
- henhold 23
- oplysninger 23
- ikke 21
- databehandleren 20
- omhandlet 19
- stk 18
- herunder 16
- tilsynsmyndighed 15
- dette 14
- samt 14
- fysisk 14
- andet 14
- hvor 13
- garantier 13
- person 12
- modtagere 12
- organisation 12
- forordning 12
- vedrørende 12
- fornødne 10
- give 10
- retten 10
- medlemsstat 10
- relevant 10
- kategorier 10
- behandlingen 10
- nationale 10
- rettigheder 9
- skal 9
- dataansvarlig 9
- unionen 9
- følgende 9
- dataansvarliges 9
- litra 9
- tredjeland 9
- sletning 9
- tilfælde 9
- giver 9
- enhver 8
- overførsler 8
Artikel 4
Definitioner
I denne forordning forstås ved:
1) | »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet |
2) | »behandling«: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse |
3) | »begrænsning af behandling«: mærkning af opbevarede personoplysninger med den hensigt at begrænse fremtidig behandling af disse oplysninger |
4) | »profilering«: enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk position eller bevægelser |
5) | »pseudonymisering«: behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person |
6) | »register«: enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt eller decentralt eller er fordelt på funktionsbestemt eller geografisk grundlag |
7) | »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret |
8) | »databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne |
9) | »modtager«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej. Offentlige myndigheder, som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel i henhold til EU-retten eller medlemsstaternes nationale ret, anses dog ikke for modtagere; de offentlige myndigheders behandling af disse oplysninger skal overholde de gældende databeskyttelsesregler afhængigt af formålet med behandlingen |
10) | »tredjemand«: en anden fysisk eller juridisk person, offentlig myndighed eller institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle personoplysninger |
11) | »samtykke« fra den registrerede: enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling |
12) | »brud på persondatasikkerheden«: et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet |
13) | »genetiske data«: personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske karakteristika, som giver entydig information om den fysiske persons fysiologi eller helbred, og som navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person |
14) | »biometriske data«: personoplysninger, der som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger |
15) | »helbredsoplysninger«: personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand |
16) | »hovedvirksomhed«:
|
17) | »repræsentant«: en fysisk eller juridisk person, der er etableret i Unionen, som skriftligt er udpeget af den dataansvarlige eller databehandleren i henhold til artikel 27, og som repræsenterer den dataansvarlige eller databehandleren hvad angår deres respektive forpligtelser i medfør af denne forordning |
18) | »foretagende«: en fysisk eller juridisk person, som udøver økonomisk aktivitet, uanset dens retlige status, herunder partnerskaber eller sammenslutninger, der regelmæssigt udøver økonomisk aktivitet |
19) | »koncern« :_en_virksomhed,_der_udøver_kontrol,_og_de_af_denne_kontrollerede_virksomheder |
20) | »bindende virksomhedsregler«: regler om beskyttelse af personoplysninger, som en dataansvarlig eller databehandler, der er etableret på en medlemsstats område, overholder i forbindelse med overførsel eller en række overførsler af personoplysninger til en dataansvarlig eller databehandler i et eller flere tredjelande inden for en koncern eller gruppe af foretagender, der udøver en fælles økonomisk aktivitet |
21) | »tilsynsmyndighed«: en uafhængig offentlig myndighed, der er etableret i en medlemsstat i henhold til artikel 51 |
22) | »berørt tilsynsmyndighed«: en tilsynsmyndighed, der er berørt af en behandling af personoplysninger, fordi:
|
23) | »grænseoverskridende behandling«:
|
24) | »relevant og begrundet indsigelse«: en indsigelse mod et udkast til afgørelse om, hvorvidt der foreligger en overtrædelse af denne forordning, eller hvorvidt en planlagt foranstaltning i forbindelse med den dataansvarlige eller databehandleren overholder denne forordning, og som klart påviser betydningen af de risici, som udkastet til afgørelse udgør for registreredes grundlæggende rettigheder og frihedsrettigheder og, hvis det er relevant, for den frie udveksling af personoplysninger i Unionen |
25) | »informationssamfundstjeneste«: en tjeneste som defineret i artikel 1, stk. 1, litra b), i Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 (19) |
26) | »international organisation«: en folkeretlig organisation og organer, der er underordnet den, samt ethvert andet organ, der er oprettet ved eller med hjemmel i en aftale mellem to eller flere lande. |
KAPITEL II
Principper
Artikel 13
Oplysningspligt ved indsamling af personoplysninger hos den registrerede
1. Hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede alle følgende oplysninger:
a) | identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræsentant |
b) | kontaktoplysninger for en eventuel databeskyttelsesrådgiver |
c) | formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen |
d) | de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er baseret på artikel 6, stk. 1, litra f) |
e) | eventuelle modtagere eller kategorier af modtagere af personoplysningerne |
f) | hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 46 eller 47 eller artikel 49, stk. 1, andet afsnit, litra h), henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige. |
2. Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede følgende yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling:
a) | det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum |
b) | retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede eller til at gøre indsigelse mod behandling samt retten til dataportabilitet |
c) | når behandling er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf |
d) | retten til at indgive en klage til en tilsynsmyndighed |
e) | om meddelelse af personoplysninger er lovpligtigt eller et krav i henhold til en kontrakt eller et krav, der skal være opfyldt for at indgå en kontrakt, samt om den registrerede har pligt til at give personoplysningerne og de eventuelle konsekvenser af ikke at give sådanne oplysninger |
f) | forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede. |
3. Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål og andre relevante yderligere oplysninger, jf. stk. 2.
4. Stk. 1, 2 og 3 finder ikke anvendelse, hvis og i det omfang den registrerede allerede er bekendt med oplysningerne.
Artikel 14
Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede
1. Hvis personoplysningerne ikke er indsamlet hos den registrerede, giver den dataansvarlige den registrerede følgende oplysninger:
a) | identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræsentant |
b) | kontaktoplysninger for en eventuel databeskyttelsesrådgiver |
c) | formålene med den behandling, som personoplysningerne skal bruges til, samt retsgrundlaget for behandlingen |
d) | de berørte kategorier af personoplysninger |
e) | eventuelle modtagere eller kategorier af modtagere af personoplysningerne |
f) | hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til en modtager i et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 46 eller 47 eller artikel 49, stk. 1, andet afsnit, litra h), henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige. |
2. Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige den registrerede følgende oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede:
a) | det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum |
b) | de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er baseret på artikel 6, stk. 1, litra f) |
c) | retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede og til at gøre indsigelse mod behandling samt retten til dataportabilitet |
d) | når behandling er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf |
e) | retten til at indgive en klage til en tilsynsmyndighed |
f) | hvilken kilde personoplysningerne hidrører fra, og eventuelt hvorvidt de stammer fra offentligt tilgængelige kilder |
g) | forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede. |
3. Den dataansvarlige giver de oplysninger, der er omhandlet i stk. 1 og 2:
a) | inden for en rimelig frist efter indsamlingen af personoplysningerne, men senest inden for en måned under hensyn til de specifikke forhold, som personoplysningerne er behandlet under, |
b) | hvis personoplysningerne skal bruges til at kommunikere med den registrerede, senest på tidspunktet for den første kommunikation med den registrerede, eller |
c) | hvis personoplysningerne er bestemt til videregivelse til en anden modtager, senest når personoplysningerne videregives første gang. |
4. Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål samt andre relevante yderligere oplysninger, jf. stk. 2.
5. Stk. 1-4 finder ikke anvendelse, hvis og i det omfang:
a) | den registrerede allerede er bekendt med oplysningerne |
b) | meddelelse af sådanne oplysninger viser sig umulig eller vil kræve en uforholdsmæssigt stor indsats, navnlig i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål underlagt de betingelser og garantier, der er omhandlet i artikel 89, stk. 1, eller i det omfang den forpligtelse, der er omhandlet i nærværende artikels stk. 1, sandsynligvis vil gøre det umuligt eller i alvorlig grad vil hindre opfyldelse af formålene med denne behandling. I sådanne tilfælde træffer den dataansvarlige passende foranstaltninger for at beskytte den registreredes rettigheder og frihedsrettigheder samt legitime interesser, herunder ved at gøre oplysningerne offentligt tilgængelige |
c) | indsamling eller videregivelse udtrykkelig er fastsat i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, og som fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser, eller |
d) | personoplysningerne skal forblive fortrolige som følge af tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret, herunder lovbestemt tavshedspligt. |
Artikel 15
Den registreredes indsigtsret
1. Den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information:
a) | formålene med behandlingen |
b) | de berørte kategorier af personoplysninger |
c) | de modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, navnlig modtagere i tredjelande eller internationale organisationer |
d) | om muligt det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum |
e) | retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling af personoplysninger vedrørende den registrerede eller til at gøre indsigelse mod en sådan behandling |
f) | retten til at indgive en klage til en tilsynsmyndighed |
g) | enhver tilgængelig information om, hvorfra personoplysningerne stammer, hvis de ikke indsamles hos den registrerede |
h) | forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede. |
2. Hvis personoplysningerne overføres til et tredjeland eller en international organisation, har den registrerede ret til at blive underrettet om de fornødne garantier i medfør af artikel 46 i forbindelse med overførslen.
3. Den dataansvarlige udleverer en kopi af de personoplysninger, der behandles. For yderligere kopier, som den registrerede anmoder om, kan den dataansvarlige opkræve et rimeligt gebyr baseret på de administrative omkostninger. Hvis den registrerede indgiver anmodningen elektronisk, og medmindre den registrerede anmoder om andet, udleveres oplysningerne i en almindeligt anvendt elektronisk form.
4. Retten til at modtage en kopi som omhandlet i stk. 3 må ikke krænke andres rettigheder og frihedsrettigheder.
Artikel 19
Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
Den dataansvarlige underretter hver modtager, som personoplysningerne er videregivet til, om enhver berigtigelse eller sletning af personoplysningerne eller begrænsning af behandling, der er udført i henhold til artikel 16, artikel 17, stk. 1, og artikel 18, medmindre dette viser sig umuligt eller er uforholdsmæssigt vanskeligt. Den dataansvarlige oplyser den registrerede om disse modtagere, hvis den registrerede anmoder herom.
Artikel 30
Fortegnelser over behandlingsaktiviteter
1. Hver dataansvarlig og hvis det er relevant, den dataansvarliges repræsentant fører fortegnelser over behandlingsaktiviteter under deres ansvar. Disse fortegnelser skal omfatte alle af følgende oplysninger:
a) | navn på og kontaktoplysninger for den dataansvarlige og, hvis det er relevant, den fælles dataansvarlige, den dataansvarliges repræsentant og databeskyttelsesrådgiveren |
b) | formålene med behandlingen |
c) | en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger |
d) | de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer |
e) | hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation og i tilfælde af overførsler i henhold til artikel 49, stk. 1, andet afsnit, dokumentation for passende garantier |
f) | hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger |
g) | hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 32, stk. 1. |
2. Hver databehandler og, hvis det er relevant, databehandlerens repræsentant fører fortegnelser over alle kategorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig, idet fortegnelsen skal indeholde:
a) | navn på og kontaktoplysninger for databehandleren eller databehandlerne og for hver dataansvarlig, på hvis vegne databehandleren handler, samt, hvis det er relevant, den dataansvarliges eller databehandlerens repræsentant og databeskyttelsesrådgiveren |
b) | de kategorier af behandling, der foretages på vegne af den enkelte dataansvarlige |
c) | hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation og i tilfælde af overførsler i henhold til artikel 49, stk. 1, andet afsnit, dokumentation for passende garantier |
d) | hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 32, stk. 1. |
3. De fortegnelser, der er omhandlet i stk. 1 og 2, skal foreligge skriftligt, herunder elektronisk.
4. Den dataansvarlige eller databehandleren samt, hvis det er relevant, den dataansvarliges eller databehandlerens repræsentant stiller efter anmodning fortegnelserne til rådighed for tilsynsmyndigheden.
5. De i stk. 1 og 2 omhandlede forpligtelser finder ikke anvendelse på et foretagende eller en organisation, der beskæftiger under 250 personer, medmindre den behandling, som den foretager, sandsynligvis vil medføre en risiko for registreredes rettigheder og frihedsrettigheder, behandlingen ikke er lejlighedsvis, eller behandlingen omfatter særlige kategorier af oplysninger, jf. artikel 9, stk. 1, eller personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10.
Artikel 46
Overførsler omfattet af fornødne garantier
1. Hvis der ikke er vedtaget en afgørelse i henhold til artikel 45, stk. 3, må en dataansvarlig eller databehandler kun overføre personoplysninger til et tredjeland eller en international organisation, hvis vedkommende har givet de fornødne garantier, og på betingelse af at rettigheder, som kan håndhæves, og effektive retsmidler for registrerede er tilgængelige.
2. De fornødne garantier i stk. 1 kan uden krav om specifik godkendelse fra en tilsynsmyndighed sikres gennem:
a) | et retligt bindende instrument, som kan håndhæves, mellem offentlige myndigheder eller organer |
b) | bindende virksomhedsregler i overensstemmelse med artikel 47 |
c) | standardbestemmelser om databeskyttelse vedtaget af Kommissionen efter undersøgelsesproceduren i artikel 93, stk. 2 |
d) | standardbestemmelser om databeskyttelse vedtaget af en tilsynsmyndighed og godkendt af Kommissionen efter undersøgelsesproceduren i artikel 93, stk. 2 |
e) | en godkendt adfærdskodeks i medfør af artikel 40 sammen med bindende tilsagn, som kan håndhæves, fra den dataansvarlige eller databehandleren i tredjelandet om at anvende de fornødne garantier, herunder vedrørende registreredes rettigheder, eller |
f) | en godkendt certificeringsmekanisme i medfør af artikel 42 sammen med bindende tilsagn, som kan håndhæves, fra den dataansvarlige eller databehandleren i tredjelandet om at anvende de fornødne garantier, herunder vedrørende registreredes rettigheder. |
3. Med forbehold af godkendelse fra den kompetente tilsynsmyndighed kan de fornødne garantier i stk. 1 også sikres gennem navnlig:
a) | kontraktbestemmelser mellem den dataansvarlige eller databehandleren og den dataansvarlige, databehandleren eller modtageren af personoplysninger i tredjelandet eller den internationale organisation, eller |
b) | bestemmelser, der medtages i administrative ordninger mellem offentlige myndigheder eller organer, og som omfatter effektive rettigheder, som kan håndhæves, for registrerede. |
4. Tilsynsmyndigheden anvender den sammenhængsmekanisme, der er omhandlet i artikel 63, i de tilfælde, der er omhandlet i nærværende artikels stk. 3.
5. Godkendelser fra en medlemsstat eller en tilsynsmyndighed på grundlag af artikel 26, stk. 2, i direktiv 95/46/EF er gyldige, indtil de om nødvendigt ændres, erstattes eller ophæves af den pågældende tilsynsmyndighed. Afgørelser og beslutninger, der er vedtaget af Kommissionen på grundlag af artikel 26, stk. 4, i direktiv 95/46/EF, er i kraft, indtil de om nødvendigt ændres, erstattes eller ophæves ved en kommissionsafgørelse, der vedtages i henhold til nærværende artikels stk. 2.
Artikel 58
Beføjelser
1. Hver tilsynsmyndighed har alle af følgende undersøgelsesbeføjelser:
a) | at give den dataansvarlige og databehandleren samt den dataansvarliges eller databehandlerens eventuelle repræsentant påbud om at give alle oplysninger, der kræves til udførelse af myndighedens opgaver |
b) | at foretage undersøgelser i form af databeskyttelsesrevisioner |
c) | at foretage en revision af certificeringer udstedt i henhold til artikel 42, stk. 7 |
d) | at underrette den dataansvarlige eller databehandleren om en påstået overtrædelse af denne forordning |
e) | af den dataansvarlige eller databehandleren at få adgang til alle personoplysninger og oplysninger, der er nødvendige for at varetage dens opgaver |
f) | at få adgang til alle lokaler hos den dataansvarlige og databehandleren, herunder til databehandlingsudstyr og -midler, i overensstemmelse med retsplejeregler i EU-retten eller medlemsstaternes nationale ret. |
2. Hver tilsynsmyndighed har alle af følgende korrigerende beføjelser:
a) | at udstede advarsler til en dataansvarlig eller en databehandler om, at planlagte behandlingsaktiviteter sandsynligvis vil være i strid med denne forordning |
b) | at udtale kritik af en dataansvarlig eller en databehandler, hvis behandlingsaktiviteter har været i strid med denne forordning |
c) | at give den dataansvarlige eller databehandleren påbud om at imødekomme den registreredes anmodninger om at udøve sine rettigheder i henhold til denne forordning |
d) | at give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i overensstemmelse med bestemmelserne i denne forordning og, hvis det er hensigtsmæssigt, på en nærmere angivet måde og inden for en nærmere angivet frist |
e) | at give den dataansvarlige påbud om at underrette den registrerede om et brud på persondatasikkerheden |
f) | midlertidigt eller definitivt at begrænse, herunder forbyde, behandling |
g) | at give påbud om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling i henhold til artikel 16, 17 og 18 og meddelelse af sådanne handlinger til de modtagere, som personoplysningerne er videregivet til i henhold til artikel 17, stk. 2, og artikel 19 |
h) | at trække en certificering tilbage eller at give et certificeringsorgan påbud om at trække en certificering, der er udstedt i henhold til artikel 42 og 43, tilbage eller at give certificeringsorganet påbud om ikke at udstede en certificering, hvis kravene til certificering ikke er eller ikke længere er opfyldt |
i) | at pålægge en administrativ bøde i henhold til artikel 83 i tillæg til eller i stedet for foranstaltningerne i dette stykke, afhængigt af omstændighederne i hvert enkelt tilfælde, og |
j) | at påbyde suspension af overførsel af oplysninger til en modtager i et tredjeland eller til en international organisation. |
3. Hver tilsynsmyndighed har alle af følgende godkendelses- og rådgivningsbeføjelser:
a) | at rådgive den dataansvarlige efter den procedure for forudgående høring, der er omhandlet i artikel 36 |
b) | på eget initiativ eller på anmodning at afgive udtalelser til det nationale parlament, medlemsstatens regering eller i overensstemmelse med medlemsstaternes nationale ret til andre institutioner og organer samt offentligheden om ethvert spørgsmål om beskyttelse af personoplysninger |
c) | at godkende den i artikel 36, stk. 5, omhandlede behandling, hvis en sådan forudgående godkendelse er påkrævet i henhold til den pågældende medlemsstats nationale ret |
d) | at afgive udtalelse og godkende forslag til adfærdskodekser i henhold til artikel 40, stk. 5 |
e) | at akkreditere certificeringsorganer i henhold til artikel 43 |
f) | at udstede certificeringer og godkende kriterier for certificering i overensstemmelse med artikel 42, stk. 5 |
g) | at vedtage standardbestemmelser om databeskyttelse som omhandlet i artikel 28, stk. 8, og i artikel 46, stk. 2, litra d) |
h) | at godkende kontraktbestemmelser som omhandlet i artikel 46, stk. 3, litra a) |
i) | at godkende administrative ordninger som omhandlet i artikel 46, stk. 3, litra b) |
j) | at godkende bindende virksomhedsregler i henhold til artikel 47. |
4. Udøvelse af de beføjelser, der tillægges tilsynsmyndigheden i medfør af denne artikel, er underlagt de fornødne garantier, herunder effektive retsmidler og retfærdig procedure, der er fastsat i EU-retten eller medlemsstaternes nationale ret i overensstemmelse med chartret.
5. Hver medlemsstat fastsætter ved lov, at dens tilsynsmyndighed har beføjelse til at indbringe overtrædelser af denne forordning for de judicielle myndigheder og om nødvendigt at indlede eller på anden måde deltage i retssager med henblik på at håndhæve bestemmelserne i denne forordning.
6. Hver medlemsstat kan ved lov fastsætte, at dens tilsynsmyndighed har yderligere beføjelser end dem, der er omhandlet i stk. 1, 2 og 3. Udøvelsen af disse beføjelser må ikke hindre en effektiv anvendelse af kapitel VII.
whereas
dal 2004 diritto e informatica