interactive GDPR 2016/0679 DA

1. Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.

2. Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende:

a)	Den registrerede har givet udtrykkeligt samtykke til behandling af sådanne personoplysninger til et eller flere specifikke formål, medmindre det i EU-retten eller medlemsstaternes nationale ret er fastsat, at det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke.

Behandling er nødvendig for at overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder, for så vidt den har hjemmel i EU-retten eller medlemsstaternes nationale ret eller en kollektiv overenskomst i medfør af medlemsstaternes nationale ret, som giver fornødne garantier for den registreredes grundlæggende rettigheder og interesser.

c)	Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser i tilfælde, hvor den registrerede fysisk eller juridisk ikke er i stand til at give samtykke.

Behandling foretages af en stiftelse, en sammenslutning eller et andet organ, som ikke arbejder med gevinst for øje, og hvis sigte er af politisk, filosofisk, religiøs eller fagforeningsmæssig art, som led i organets legitime aktiviteter og med de fornødne garantier, og på betingelse af at behandlingen alene vedrører organets medlemmer, tidligere medlemmer eller personer, der på grund af organets formål er i regelmæssig kontakt hermed, og at personoplysningerne ikke videregives uden for organet uden den registreredes samtykke.

e)	Behandling vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede.

f)	Behandling er nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares, eller når domstole handler i deres egenskab af domstol.

Behandling er nødvendig af hensyn til væsentlige samfundsinteresser på grundlag af EU-retten eller medlemsstaternes nationale ret og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser.

Behandling er nødvendig med henblik på forebyggende medicin eller arbejdsmedicin til vurdering af arbejdstagerens erhvervsevne, medicinsk diagnose, ydelse af social- og sundhedsomsorg eller -behandling eller forvaltning af social- og sundhedsomsorg og -tjenester på grundlag af EU-retten eller medlemsstaternes nationale ret eller i henhold til en kontrakt med en sundhedsperson og underlagt de betingelser og garantier, der er omhandlet i stk. 3.

Behandling er nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet, f.eks. beskyttelse mod alvorlige grænseoverskridende sundhedsrisici eller sikring af høje kvalitets- og sikkerhedsstandarder for sundhedspleje og lægemidler eller medicinsk udstyr på grundlag af EU-retten eller medlemsstaternes nationale ret, som fastsætter passende og specifikke foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder, navnlig tavshedspligt.

Behandling er nødvendig til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, på grundlag af EU-retten eller medlemsstaternes nationale ret og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser.

3. Personoplysninger som omhandlet i stk. 1 kan behandles til de formål, der er omhandlet i stk. 2, litra h), hvis disse oplysninger behandles af en fagperson, der har tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret eller regler, der er fastsat af nationale kompetente organer, eller under en sådan persons ansvar, eller af en anden person, der også har tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret eller regler, der er fastsat af nationale kompetente organer.

4. Medlemsstaterne kan opretholde eller indføre yderligere betingelser, herunder begrænsninger, for behandling af genetiske data, biometriske data eller helbredsoplysninger.

Artikel 17

Ret til sletning (»retten til at blive glemt«)

1. Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende:

a)	Personoplysningerne er ikke længere nødvendige til at opfylde de formål, hvortil de blev indsamlet eller på anden vis behandlet.

b)	Den registrerede trækker det samtykke, der er grundlaget for behandlingen, jf. artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), tilbage, og der er ikke et andet retsgrundlag for behandlingen.

c)	Den registrerede gør indsigelse mod behandlingen i henhold til artikel 21, stk. 1, og der foreligger ikke legitime grunde til behandlingen, som går forud for indsigelsen, eller den registrerede gør indsigelse mod behandlingen i medfør af artikel 21, stk. 2.

d)	Personoplysningerne er blevet behandlet ulovligt.

e)	Personoplysningerne skal slettes for at overholde en retlig forpligtelse i EU-retten eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt.

f)	Personoplysningerne er blevet indsamlet i forbindelse med udbud af informationssamfundstjenester som omhandlet i artikel 8, stk. 1.

2. Hvis den dataansvarlige har offentliggjort personoplysningerne og i henhold til stk. 1 er forpligtet til at slette personoplysningerne, træffer den dataansvarlige under hensyntagen til den teknologi, der er tilgængelig, og omkostningerne ved implementeringen, rimelige foranstaltninger, herunder tekniske foranstaltninger, for at underrette de dataansvarlige, som behandler personoplysningerne, om, at den registrerede har anmodet disse dataansvarlige om at slette alle link til eller kopier eller gengivelser af de pågældende personoplysninger.

3. Stk. 1 og 2 finder ikke anvendelse, i det omfang denne behandling er nødvendig:

a)	for at udøve retten til ytrings- og informationsfrihed

for at overholde en retlig forpligtelse, der kræver behandling i henhold til EU-retten eller medlemsstaternes nationale ret, og som den dataansvarlige er underlagt, eller for at udføre en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt

c)	af hensyn til samfundsinteresser på folkesundhedsområdet i overensstemmelse med artikel 9, stk. 2, litra h) og i), samt artikel 9, stk. 3

til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, i det omfang den rettighed, der er omhandlet i stk. 1, sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af denne behandling, eller

e)	for, at retskrav kan fastlægges, gøres gældende eller forsvares.

Artikel 50

Internationalt samarbejde om beskyttelse af personoplysninger

Kommissionen og tilsynsmyndighederne træffer i forhold til tredjelande og internationale organisationer de nødvendige foranstaltninger til at:

a)	udvikle internationale samarbejdsmekanismer med henblik på at lette effektiv håndhævelse af lovgivningen om beskyttelse af personoplysninger

yde international gensidig bistand i håndhævelse af lovgivningen om beskyttelse af personoplysninger, herunder gennem anmeldelse, indbringelse af klager, efterforskningsbistand og informationsudveksling, under iagttagelse af de fornødne garantier for beskyttelse af personoplysninger og andre grundlæggende rettigheder og frihedsrettigheder

c)	inddrage relevante interessenter i drøftelser og aktiviteter, der har til formål at fremme det internationale samarbejde om håndhævelse af lovgivningen om beskyttelse af personoplysninger

d)	fremme udveksling og dokumentation af lovgivning om beskyttelse af personoplysninger og praksis på området, herunder om kompetencekonflikter med tredjelande.

KAPITEL VI

Uafhængige tilsynsmyndigheder

Afdeling 1

Uafhængig status

Artikel 53

Generelle betingelser for medlemmer af en tilsynsmyndighed

1. Medlemsstaterne sikrer, at hvert medlem af en tilsynsmyndighed udnævnes efter en gennemsigtig procedure af:

—	deres parlament

—	deres regering

—	deres statschef, eller

—	et uafhængigt organ, der i henhold til medlemsstaternes nationale ret har fået overdraget ansvaret for udnævnelsen.

2. Hvert medlem skal have de kvalifikationer, den erfaring og den kompetence, navnlig på området beskyttelse af personoplysninger, der er nødvendige for at varetage dets hverv og udøve dets beføjelser.

3. Et medlems hverv ophører ved udløbet af embedsperioden, ved frivillig fratrædelse eller ved obligatorisk fratrædelse i overensstemmelse med den pågældende medlemsstats nationale ret.

4. Et medlem må kun afskediges i tilfælde af alvorligt embedsmisbrug, eller hvis medlemmet ikke længere opfylder betingelserne for at varetage sit hverv.

Artikel 70

Databeskyttelsesrådets opgaver

1. Databeskyttelsesrådet sikrer ensartet anvendelse af denne forordning. Med henblik herpå skal Databeskyttelsesrådet på eget initiativ eller, når det er relevant, efter anmodning fra Kommissionen navnlig:

a)	føre tilsyn med og sikre korrekt anvendelse af denne forordning i de tilfælde, der er omhandlet i artikel 64 og 65, uden at dette berører de nationale tilsynsmyndigheders opgaver

b)	rådgive Kommissionen om ethvert spørgsmål vedrørende beskyttelse af personoplysninger i Unionen, herunder om ethvert forslag til ændring af denne forordning

c)	rådgive Kommissionen om format og procedurer for videregivelse af oplysninger mellem dataansvarlige, databehandlere og tilsynsmyndigheder vedrørende bindende virksomhedsregler

d)	udstede retningslinjer, henstillinger og bedste praksis vedrørende procedurer for sletning af link til og kopier eller gengivelser af personoplysninger fra offentligt tilgængelige kommunikationstjenester som omhandlet i artikel 17, stk. 2

e)	på eget initiativ, efter anmodning fra et af sine medlemmer eller efter anmodning fra Kommissionen undersøge ethvert spørgsmål vedrørende anvendelsen af denne forordning og udstede retningslinjer, henstillinger og bedste praksis for at fremme ensartet anvendelse af denne forordning

f)	udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på nærmere at angive kriterierne og betingelserne for afgørelser baseret på profilering i henhold til artikel 22, stk. 2

udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på fastlæggelse af brud på persondatasikkerheden og den unødige forsinkelse omhandlet i artikel 33, stk. 1 og 2, og vedrørende de særlige omstændigheder, hvor en dataansvarlig eller en databehandler har pligt til at anmelde brud på persondatasikkerheden

h)	udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) vedrørende de omstændigheder, hvor brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder som omhandlet i artikel 34, stk. 1

udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på nærmere at angive kriterierne for og kravene til overførsel af personoplysninger baseret på bindende virksomhedsregler, som dataansvarlige overholder, og bindende virksomhedsregler, som databehandlere overholder, og vedrørende yderligere krav til at sikre beskyttelse af de berørte registreredes personoplysninger som omhandlet i artikel 47

j)	udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på nærmere at angive kriterierne for og kravene til overførsel af personoplysninger på grundlag af artikel 49, stk. 1

k)	udarbejde retningslinjer for tilsynsmyndighederne vedrørende anvendelse af foranstaltninger, jf. artikel 58, stk. 1, 2 og 3, og fastsættelse af administrative bøder i henhold til artikel 83

l)	gennemgå den praktiske anvendelse af de retningslinjer og henstillinger og den bedste praksis, der er omhandlet i litra e) og f)

m)	udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på fastlæggelse af fælles procedurer for fysiske personers indberetning af overtrædelser af denne forordning, jf. artikel 54, stk. 2,

n)	tilskynde til udarbejdelse af adfærdskodekser og fastlæggelse af certificeringsmekanismer for databeskyttelse og databeskyttelsesmærkninger og -mærker i henhold til artikel 40 og 42

foretage akkreditering af certificeringsorganer og regelmæssig revision heraf i henhold til artikel 43 og føre et offentligt register over akkrediterede organer i henhold til artikel 43, stk. 6, og over de akkrediterede dataansvarlige eller databehandlere i tredjelande i henhold til artikel 42, stk. 7

p)	angive de krav, der er omhandlet i artikel 43, stk. 3, med henblik på akkreditering af certificeringsorganer i henhold til artikel 42

q)	afgive udtalelse til Kommissionen om de certificeringskrav, der er omhandlet i artikel 43, stk. 8

r)	afgive udtalelse til Kommissionen om de ikoner, der er omhandlet i artikel 12, stk. 7

afgive udtalelse til Kommissionen med henblik på vurdering af tilstrækkeligheden af beskyttelsesniveauet i et tredjeland eller en international organisation, herunder vurdering af, om et tredjeland, et område eller en eller flere specifikke sektorer i det pågældende tredjeland, eller en international organisation ikke længere sikrer et tilstrækkeligt beskyttelsesniveau. Til dette formål forelægger Kommissionen Databeskyttelsesrådet al nødvendig dokumentation vedrørende tredjelandet, området eller den specifikke sektor, eller den internationale organisation, herunder korrespondance med regeringen i tredjelandet,

afgive udtalelser om tilsynsmyndigheders udkast til afgørelse i overensstemmelse med den sammenhængsmekanisme, der er omhandlet i artikel 64, stk. 1, og om sager, der er forelagt i henhold til artikel 64, stk. 2, og udstede bindende afgørelser i henhold til artikel 65, herunder i de tilfælde, der er omhandlet i artikel 66

u)	fremme samarbejdet og effektiv bilateral og multilateral udveksling af oplysninger og bedste praksis mellem tilsynsmyndighederne

v)	fremme fælles uddannelsesprogrammer og udveksling af personale mellem tilsynsmyndighederne og i relevante tilfælde med tilsynsmyndighederne i tredjelande eller med internationale organisationer

w)	fremme udveksling af viden og dokumentation vedrørende databeskyttelseslovgivning og -praksis med datatilsynsmyndigheder over hele verden

x)	afgive udtalelser om adfærdskodekser, der udarbejdes på EU-plan, jf. artikel 40, stk. 9, og

y)	føre et offentligt tilgængeligt elektronisk register over afgørelser truffet af tilsynsmyndigheder og domstole om spørgsmål, der er blevet behandlet i sammenhængsmekanismen.

2. Hvis Kommissionen anmoder Databeskyttelsesrådet om rådgivning, kan den fastsætte en frist under hensyntagen til, hvor meget den pågældende sag haster.

3. Databeskyttelsesrådet fremsender sine udtalelser, retningslinjer, henstillinger og bedste praksis til Kommissionen og det udvalg, der er omhandlet i artikel 93, og offentliggør dem.

4. Databeskyttelsesrådet hører efter omstændighederne berørte parter og giver dem mulighed for at fremsætte bemærkninger inden for en rimelig frist. Databeskyttelsesrådet offentliggør med forbehold af artikel 76 resultaterne af høringsproceduren.

Artikel 80

Repræsentation af registrerede

1. Den registrerede har ret til at bemyndige et organ, en organisation eller en sammenslutning, der er etableret i overensstemmelse med en medlemsstats nationale ret, som ikke arbejder med gevinst for øje, hvis vedtægtsmæssige formål er af almen interesse, og som er aktiv på området for beskyttelse af registreredes rettigheder og frihedsrettigheder med hensyn til beskyttelse af deres personoplysninger, til at indgive en klage på sine vegne, til at udøve de rettigheder, der er omhandlet i artikel 77, 78 og 79, på sine vegne og til, hvis det er fastsat i medlemsstaternes nationale ret, at udøve retten til at modtage erstatning som omhandlet i artikel 82 på sine vegne.

2. Medlemsstaterne kan fastsætte, at ethvert organ, enhver organisation eller enhver sammenslutning, jf. denne artikels stk. 1, uafhængigt af en bemyndigelse fra den registrerede har ret til at indgive en klage i den pågældende medlemsstat til den tilsynsmyndighed, der er kompetent i henhold til artikel 77, og til at udøve de rettigheder, der er omhandlet i artikel 78 og 79, hvis den/det har grund til at formode, at den registreredes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling.

whereas

(53) Særlige kategorier af personoplysninger, som bør nyde højere beskyttelse, bør kun behandles til sundhedsmæssige formål, når det er nødvendigt for at opfylde disse formål til gavn for fysiske personer og samfundet som helhed, navnlig i forbindelse med forvaltning af sundheds- eller socialydelser og -systemer, herunder administrationens og centrale nationale sundhedsmyndigheders behandling af sådanne oplysninger med henblik på kvalitetskontrol, ledelsesinformation og det generelle nationale og lokale tilsyn med sundheds- eller socialsystemet, og for at sikre kontinuitet inden for sundheds- eller socialforsorg og sundhedsydelser på tværs af grænserne eller med henblik på sundhedssikkerhed, overvågning og varsling eller til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål baseret på EU-retten eller medlemsstaternes nationale ret, og som skal opfylde et formål af offentlig interesse, samt studier, der foretages i samfundets interesse på folkesundhedsområdet.
Denne forordning bør derfor fastsætte harmoniserede betingelser for behandling af særlige kategorier af personoplysninger om helbredsforhold for så vidt angår specifikke behov, navnlig hvis behandlingen af sådanne oplysninger foretages til visse sundhedsmæssige formål af personer, der er underlagt tavshedspligt.
EU-retten eller medlemsstaternes nationale ret bør omfatte specifikke og passende foranstaltninger til at beskytte fysiske personers grundlæggende rettigheder og personoplysninger.
Medlemsstaterne bør kunne opretholde eller indføre yderligere betingelser, herunder begrænsninger, for behandling af genetiske data, biometriske data eller helbredsoplysninger.
Dette bør dog ikke hæmme den frie udveksling af personoplysninger i Unionen, når disse betingelser finder anvendelse på grænseoverskridende behandling af sådanne oplysninger.

- = -

(65) En registreret bør have ret til at få berigtiget sine personoplysninger og »ret til at blive glemt«, hvis opbevaringen af sådanne oplysninger overtræder denne forordning eller EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt.
En registreret bør navnlig have ret til at få sine personoplysninger slettet og ikke længere behandlet, hvis personoplysningerne ikke længere er nødvendige til de formål, hvortil de er blevet indsamlet eller på anden måde behandlet, hvis en registreret har trukket sit samtykke tilbage eller gør indsigelse mod behandling af personoplysninger om vedkommende, eller hvis behandlingen af vedkommendes personoplysninger i øvrigt ikke er i overensstemmelse med denne forordning.
Denne ret er navnlig relevant, når den registrerede har givet sit samtykke som barn og ikke er fuldt ud var bekendt med risiciene i forbindelse med behandling, og senere ønsker at fjerne sådanne personoplysninger, særligt på internettet.
Den registrerede bør kunne udøve denne rettighed, uanset om vedkommende ikke længere er et barn.
Yderligere opbevaring af personoplysningerne bør dog være lovlig, hvis det er nødvendigt for at udøve retten til ytrings- og informationsfrihed, for at overholde en retlig forpligtelse, for udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, af hensyn til samfundsinteresser på folkesundhedsområdet, til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller statistiske formål, eller for at retskrav kan fastlægges, gøres gældende eller forsvares.

- = -

(104) I overensstemmelse med de grundlæggende værdier, som Unionen bygger på, navnlig beskyttelse af menneskerettighederne, bør Kommissionen i sin vurdering af et tredjeland eller et område eller en specifik sektor i et tredjeland tage hensyn til, hvordan et bestemt tredjeland efterlever retsstatsprincippet, klageadgang og domstolsprøvelse, internationale menneskerettighedsnormer og -standarder samt sin generelle og sektorbestemte ret, herunder lovgivning vedrørende offentlig sikkerhed, forsvar, statens sikkerhed samt offentlig orden og strafferet.
Når der vedtages en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i et område eller en specifik sektor i et tredjeland, bør der tages hensyn til klare og objektive kriterier, som f.eks.
specifikke behandlingsaktiviteter og anvendelsesområdet for gældende retsstandarder og lovgivning i tredjelandet.
Tredjelandet bør give garantier, der sikrer et passende beskyttelsesniveau, som i det væsentlige svarer til det, der sikres i Unionen, især når personoplysninger behandles i en eller flere specifikke sektorer.
Tredjelandet bør navnlig sikre et effektivt uafhængigt databeskyttelsestilsyn og bør fastlægge samarbejdsmekanismer med medlemsstaternes databeskyttelsesmyndigheder, og de registrerede bør have effektive rettigheder, som kan håndhæves, og adgang til effektiv administrativ og retslig prøvelse.

- = -

(159) Når personoplysninger behandles til videnskabelige forskningsformål, bør denne forordning også finde anvendelse på denne behandling.
Behandlingen af personoplysninger til videnskabelige forskningsformål bør med henblik på denne forordning fortolkes bredt og f.eks.
omfatte teknologisk udvikling og demonstration, grundforskning, anvendt forskning og privat finansieret forskning.
Desuden bør den tage hensyn til Unionens mål om et europæisk forskningsrum, jf.
artikel 179, stk. 1, i TEUF.
Videnskabelige forskningsformål bør også omfatte studier, der udføres i samfundets interesse på folkesundhedsområdet.
For at tage hensyn til de særlige forhold, der gør sig gældende ved behandling af personoplysninger til videnskabelige forskningsformål, bør der gælde særlige betingelser navnlig for offentliggørelse eller anden fremlæggelse af personoplysninger i forbindelse med videnskabelige forskningsformål.
Hvis resultatet af videnskabelig forskning navnlig inden for sundhed giver grund til yderligere foranstaltninger i den registreredes interesse, bør de generelle regler i denne forordning finde anvendelse med henblik på disse foranstaltninger.

- = -

dal 2004 diritto e informatica