interactive GDPR 2016/0679 DA

1. Hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede alle følgende oplysninger:

a)	identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræsentant

b)	kontaktoplysninger for en eventuel databeskyttelsesrådgiver

c)	formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen

d)	de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er baseret på artikel 6, stk. 1, litra f)

e)	eventuelle modtagere eller kategorier af modtagere af personoplysningerne

hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 46 eller 47 eller artikel 49, stk. 1, andet afsnit, litra h), henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.

2. Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede følgende yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling:

a)	det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum

b)	retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede eller til at gøre indsigelse mod behandling samt retten til dataportabilitet

c)	når behandling er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf

d)	retten til at indgive en klage til en tilsynsmyndighed

e)	om meddelelse af personoplysninger er lovpligtigt eller et krav i henhold til en kontrakt eller et krav, der skal være opfyldt for at indgå en kontrakt, samt om den registrerede har pligt til at give personoplysningerne og de eventuelle konsekvenser af ikke at give sådanne oplysninger

f)	forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

3. Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål og andre relevante yderligere oplysninger, jf. stk. 2.

4. Stk. 1, 2 og 3 finder ikke anvendelse, hvis og i det omfang den registrerede allerede er bekendt med oplysningerne.

Artikel 34

Underretning om brud på persondatasikkerheden til den registrerede

1. Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

2. Underretningen af den registrerede i henhold til denne artikels stk. 1 skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 33, stk. 3, litra b), c) og d).

3. Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis en af følgende betingelser er opfyldt:

den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering

b)	den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel

c)	det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.

4. Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.

Afdeling 3

Konsekvensanalyse vedrørende databeskyttelse og forudgående høring

Artikel 41

Kontrol af godkendte adfærdskodekser

1. Uden at dette berører den kompetente tilsynsmyndigheds opgaver og beføjelser i henhold til artikel 57 og 58, kan kontrol af overholdelsen af en adfærdskodeks i henhold til artikel 40 foretages af et organ, der har et passende ekspertiseniveau for så vidt angår kodeksens genstand, og som er akkrediteret til dette formål af den kompetente tilsynsmyndighed.

2. Et organ som omhandlet i stk. 1 kan akkrediteres til at kontrollere overholdelsen af en adfærdskodeks, hvis dette organ har:

a)	påvist sin uafhængighed og ekspertise for så vidt angår kodeksens genstand til den kompetente tilsynsmyndigheds tilfredshed

b)	fastlagt procedurer, der gør det muligt for organet at vurdere dataansvarliges og databehandleres egnethed til at anvende kodeksen, kontrollere deres overholdelse af dens bestemmelser og regelmæssigt vurdere kodeksens virkemåde

c)	fastlagt procedurer og ordninger for behandling af klager over overtrædelser af kodeksen eller den måde, hvorpå kodeksen er blevet eller bliver gennemført af en dataansvarlig eller en databehandler, og at gøre disse procedurer og ordninger gennemsigtige for registrerede og offentligheden, og

d)	påvist til den kompetente tilsynsmyndigheds tilfredshed, at dets opgaver og pligter ikke fører til en interessekonflikt.

3. Den kompetente tilsynsmyndighed forelægger et udkast til kriterier for akkreditering af et organ som omhandlet i denne artikels stk. 1 for Databeskyttelsesrådet i henhold til sammenhængsmekanismen, der er omhandlet i artikel 63.

4. Uden at dette berører den kompetente tilsynsmyndigheds opgaver og beføjelser eller bestemmelserne i kapitel VIII, træffer et organ som omhandlet i denne artikels stk. 1 under forudsætning af fornødne garantier de nødvendige foranstaltninger i tilfælde af en dataansvarligs eller databehandlers overtrædelse af kodeksen, herunder suspension eller udelukkelse af den dataansvarlige eller databehandleren fra kodeksen. Organet underretter den kompetente tilsynsmyndighed om sådanne foranstaltninger og begrundelsen for at have truffet dem.

5. Den kompetente tilsynsmyndighed tilbagekalder akkrediteringen af et organ som omhandlet i stk. 1, hvis betingelserne for akkreditering ikke er eller ikke længere er opfyldt, eller hvis foranstaltninger truffet af organet overtræder denne forordning.

6. Denne artikel finder ikke anvendelse på behandling, der udføres af offentlige myndigheder og organer.

Artikel 42

Certificering

1. Medlemsstaterne, tilsynsmyndighederne, Databeskyttelsesrådet og Kommissionen tilskynder navnlig på EU-plan til fastlæggelse af certificeringsmekanismer for databeskyttelse samt databeskyttelsesmærkninger og -mærker med henblik på at påvise, at dataansvarliges og databehandleres behandlingsaktiviteter overholder denne forordning. Mikrovirksomheders og små og mellemstore virksomheders særlige behov tages i betragtning.

2. Certificeringsmekanismer for databeskyttelse samt databeskyttelsesmærkninger eller -mærker, der er godkendt i henhold til denne artikels stk. 5, kan — ud over overholdelse af de dataansvarlige eller databehandlere, der er omfattet af denne forordning — fastlægges med det formål at påvise tilstedeværelse af fornødne garantier afgivet af dataansvarlige eller databehandlere, der i henhold til artikel 3 ikke er omfattet af denne forordning, inden for rammerne af overførsel af personoplysninger til tredjelande eller internationale organisationer, jf. artikel 46, stk. 2, litra f). Disse dataansvarlige eller databehandlere skal, gennem kontrakter eller andre retligt bindende instrumenter, afgive bindende tilsagn, som kan håndhæves, om at anvende disse fornødne garantier, herunder for så vidt angår registreredes rettigheder.

3. Certificering skal være frivillig og tilgængelig gennem en gennemsigtig proces.

4. Certificering i henhold til denne artikel indskrænker ikke den dataansvarliges eller databehandlerens ansvar for at overholde denne forordning og berører ikke opgaverne og beføjelserne for de tilsynsmyndigheder, der er kompetente i henhold til artikel 55 eller 56.

5. Certificering i henhold til denne artikel udstedes af certificeringsorganer, jf. artikel 43, eller af den kompetente tilsynsmyndighed på grundlag af kriterier, der er godkendt af den pågældende kompetente tilsynsmyndighed i henhold til artikel 58, stk. 3, eller af Databeskyttelsesrådet i henhold til artikel 63. Hvis kriterierne er godkendt af Databeskyttelsesrådet, kan det føre til en fælles certificering, Den Europæiske Databeskyttelsesmærkning.

6. Den dataansvarlige eller databehandler, der forelægger sin behandling for certificeringsmekanismen, giver det i artikel 43 omhandlede certificeringsorgan eller eventuelt den kompetente tilsynsmyndighed alle oplysninger og adgang til de behandlingsaktiviteter, der er nødvendige for at gennemføre certificeringsproceduren.

7. Certificering udstedes til en dataansvarlig eller en databehandler for en periode på højst tre år og kan forlænges på de samme betingelser, så længe de relevante krav stadig er opfyldt. Certificering trækkes tilbage af certificeringsorganerne, jf. artikel 43, eller i givet fald den kompetente tilsynsmyndighed, hvis kravene til certificering ikke er eller ikke længere er opfyldt.

8. Databeskyttelsesrådet samler alle certificeringsmekanismer og databeskyttelsesmærkninger og -mærker i et register og gør dem offentligt tilgængelige på passende vis.

Artikel 43

Certificeringsorganer

1. Uden at dette berører den kompetente tilsynsmyndigheds opgaver og beføjelser i henhold til artikel 57 og 58, udsteder og forlænger certificeringsorganer, der har et passende ekspertiseniveau for så vidt angår databeskyttelse, certificering, efter at have underrettet tilsynsmyndigheden for at gøre det muligt for den at udøve sine beføjelser i henhold til artikel 58, stk. 2, litra h), hvis det er nødvendigt. Medlemsstaterne sikrer, at disse certificeringsorganer akkrediteres af en eller begge af følgende:

a)	den tilsynsmyndighed, der er kompetent i henhold til artikel 55 eller 56

det nationale akkrediteringsorgan, som er udpeget i overensstemmelse med Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 (20) i overensstemmelse med EN-ISO/IEC 17065/2012 og med de supplerende krav, der er fastsat af den tilsynsmyndighed, som er kompetent i henhold til artikel 55 eller 56.

2. Certificeringsorganer som omhandlet i stk. 1 akkrediteres kun i overensstemmelse med nævnte stykke, hvis de har:

a)	påvist deres uafhængighed og ekspertise med hensyn til certificeringens genstand til den kompetente tilsynsmyndigheds tilfredshed

b)	påtaget sig at opfylde kriterierne i artikel 42, stk. 5, og er blevet godkendt af den tilsynsmyndighed, der er kompetent i henhold til artikel 55 eller 56, eller af Databeskyttelsesrådet i henhold til artikel 63

c)	fastlagt procedurer for udstedelse, regelmæssig revision og tilbagetrækning af databeskyttelsescertificeringer, -mærkninger og -mærker

fastlagt procedurer og ordninger for behandling af klager over overtrædelser af certificering eller den måde, hvorpå certificering er blevet eller bliver gennemført af en dataansvarlig eller en databehandler, og for, hvordan disse procedurer og ordninger gøres gennemsigtige for registrerede og offentligheden, og

e)	vist til den kompetente tilsynsmyndigheds tilfredshed, at deres opgaver og pligter ikke fører til en interessekonflikt.

3. Akkreditering af de i denne artikels stk. 1 og 2 omhandlede certificeringsorganer finder sted på grundlag af kriterier, der er godkendt af den tilsynsmyndighed, som er kompetent i henhold til artikel 55 eller 56, eller af Databeskyttelsesrådet i henhold til artikel 63. I tilfælde af akkreditering i henhold til nærværende artikels stk. 1, litra b), supplerer disse krav kravene i forordning (EF) nr. 765/2008 og de tekniske regler, der beskriver certificeringsorganers metoder og procedurer.

4. De i stk. 1 omhandlede certificeringsorganer er ansvarlige for en korrekt vurdering, der fører til certificering eller tilbagetrækning af certificering, uden at dette berører den dataansvarliges eller databehandlerens ansvar for at overholde denne forordning. Akkreditering udstedes for en periode på højst fem år og kan forlænges på samme betingelser, såfremt certificeringsorganet opfylder de i denne artikel fastsatte krav.

5. De i stk. 1 omhandlede certificeringsorganer giver de kompetente tilsynsmyndigheder oplysninger om begrundelsen for at udstede eller tilbagetrække den certificering, der er anmodet om.

6. Tilsynsmyndigheden offentliggør de i denne artikels stk. 3 omhandlede krav og de i artikel 42, stk. 5, omhandlede kriterier i lettilgængelig form. Tilsynsmyndighederne meddeler også disse krav og kriterier til Databeskyttelsesrådet. Databeskyttelsesrådet samler alle certificeringsmekanismer og databeskyttelsesmærkninger i et register og gør dem offentligt tilgængelige på passende vis.

7. Uden at dette berører kapitel VIII, tilbagekalder den kompetente tilsynsmyndighed eller det nationale akkrediteringsorgan en akkreditering af et certificeringsorgan, jf. denne artikels stk. 1, hvis betingelserne for akkrediteringen ikke er eller ikke længere er opfyldt, eller hvis de foranstaltninger, som organet har truffet, overtræder denne forordning.

8. Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 92 med henblik på at fastlægge de krav, der skal tages i betragtning vedrørende de certificeringsmekanismer for databeskyttelse, der er omhandlet i artikel 42, stk. 1.

9. Kommissionen kan vedtage gennemførelsesretsakter, der fastlægger tekniske standarder for certificeringsmekanismer og databeskyttelsesmærkninger og -mærker samt ordninger, der har til formål at fremme og anerkende disse certificeringsmekanismer, mærkninger og -mærker. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 93, stk. 2.

KAPITEL V

Overførsler af personoplysninger til tredjelande eller internationale organisationer

Artikel 49

Undtagelser i særlige situationer

1. I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45, stk. 3, eller fornødne garantier i henhold til artikel 46, herunder bindende virksomhedsregler, må en overførsel eller flere overførsler af personoplysninger til et tredjeland eller en international organisation kun finde sted på en af følgende betingelser:

a)	den registrerede udtrykkelig har givet samtykke til den foreslåede overførsel efter at være blevet informeret om de mulige risici, som sådanne overførsler kan medføre for den registrerede på grund af den manglende afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller fornødne garantier

b)	overførslen er nødvendig af hensyn til opfyldelse af en kontrakt mellem den registrerede og den dataansvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan kontrakt

c)	overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt, der i den registreredes interesse indgås mellem den dataansvarlige og en anden fysisk eller juridisk person

d)	overførslen er nødvendig af hensyn til vigtige samfundsinteresser

e)	overførslen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares

f)	overførslen er nødvendig for at beskytte den registreredes eller andre personers vitale interesser, hvis den registrerede ikke fysisk eller juridisk er i stand til at give samtykke

overførslen finder sted fra et register, der ifølge EU-ret eller medlemsstaternes nationale ret er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri, men kun i det omfang de ved EU-ret eller medlemsstaternes nationale ret fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde

Hvis overførsel ikke kan have hjemmel i en bestemmelse i artikel 45 eller 46, herunder bestemmelserne om bindende virksomhedsregler, og ingen af undtagelserne i særlige situationer omhandlet i dette stykkes første afsnit finder anvendelse, må en videregivelse til et tredjeland eller en international organisation kun finde sted, hvis overførslen ikke gentages, kun vedrører et begrænset antal registrerede, er nødvendig af hensyn til vægtige legitime interesser, som forfølges af den dataansvarlige, den registreredes interesser eller rettigheder og frihedsrettigheder ikke går forud for disse interesser, og den dataansvarlige har vurderet alle omstændigheder i forbindelse med overførslen og på grundlag af denne vurdering giver passende garantier for beskyttelse af personoplysningerne. Den dataansvarlige underretter tilsynsmyndigheden om overførslen. Ud over oplysningerne i artikel 13 og 14 underretter den dataansvarlige den registrerede om overførslen og om de vægtige legitime interesser, der forfølges.

2. En overførsel i henhold til stk. 1, første afsnit, litra g), må ikke omfatte alle personoplysninger eller hele kategorier af personoplysninger i et register. Når et register er beregnet til at blive konsulteret af personer, der har en legitim interesse heri, må overførsel kun ske på anmodning af disse personer, eller hvis de skal være modtagerne.

3. Stk. 1, første afsnit, litra a), b) og c), og stk. 1, andet afsnit, finder ikke anvendelse på aktiviteter, der gennemføres af offentlige myndigheder som led udøvelsen af deres offentligretlige beføjelser.

4. De samfundsinteresser, der er omhandlet i stk. 1, første afsnit, litra d), skal være anerkendt i EU-retten eller retten i den medlemsstat, som den dataansvarlige er underlagt.

5. Hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, kan EU-retten eller medlemsstaternes nationale ret af hensyn til vigtige samfundsinteresser udtrykkelig fastsætte grænser for overførsel af særlige kategorier af oplysninger til et tredjeland eller en international organisation. Medlemsstaterne giver Kommissionen meddelelse om disse bestemmelser.

6. Den dataansvarlige eller databehandleren dokumenterer vurderingen og de passende garantier i denne artikels stk. 1, andet afsnit, i de fortegnelser, der er omhandlet i artikel 30.

Artikel 54

Regler om oprettelse af en tilsynsmyndighed

1. Hver medlemsstat fastsætter ved lov alle af følgende:

a)	den enkelte tilsynsmyndigheds oprettelse

b)	de nødvendige kvalifikationer og udvælgelseskriterier, der skal være opfyldt for at kunne blive udnævnt til medlem af den enkelte tilsynsmyndighed

c)	reglerne og procedurerne for udnævnelse af medlemmet eller medlemmerne af den enkelte tilsynsmyndighed

embedsperioden for medlemmet eller medlemmerne af den enkelte tilsynsmyndighed på mindst fire år, med undtagelse af den første udnævnelse efter den 24. maj 2016, som kan være af kortere varighed, hvis det er nødvendigt for at beskytte den pågældende tilsynsmyndigheds uafhængighed ved hjælp af en forskudt udnævnelsesprocedure

e)	om og i bekræftende fald for hvor mange embedsperioder medlemmet eller medlemmerne af den enkelte tilsynsmyndighed kan genudnævnes

f)	betingelserne vedrørende forpligtelser for den enkelte tilsynsmyndigheds medlem eller medlemmer og personale, forbud mod handlinger, hverv og fordele, der er uforenelige hermed, under og efter embedsperioden, og regler for arbejdsophør.

2. Den enkelte tilsynsmyndigheds medlem eller medlemmer og personale har i overensstemmelse med EU-retten eller medlemsstaternes nationale ret såvel under som efter deres embedsperiode tavshedspligt for så vidt angår alle fortrolige oplysninger, der er kommet til deres kendskab under udførelsen af deres opgaver eller udøvelsen af deres beføjelser. I deres embedsperiode gælder denne tavshedspligt især indberetninger fra fysiske personer af overtrædelser af denne forordning.

Afdeling 2

Kompetence, opgaver og beføjelser

Artikel 58

Beføjelser

1. Hver tilsynsmyndighed har alle af følgende undersøgelsesbeføjelser:

a)	at give den dataansvarlige og databehandleren samt den dataansvarliges eller databehandlerens eventuelle repræsentant påbud om at give alle oplysninger, der kræves til udførelse af myndighedens opgaver

b)	at foretage undersøgelser i form af databeskyttelsesrevisioner

c)	at foretage en revision af certificeringer udstedt i henhold til artikel 42, stk. 7

d)	at underrette den dataansvarlige eller databehandleren om en påstået overtrædelse af denne forordning

e)	af den dataansvarlige eller databehandleren at få adgang til alle personoplysninger og oplysninger, der er nødvendige for at varetage dens opgaver

f)	at få adgang til alle lokaler hos den dataansvarlige og databehandleren, herunder til databehandlingsudstyr og -midler, i overensstemmelse med retsplejeregler i EU-retten eller medlemsstaternes nationale ret.

2. Hver tilsynsmyndighed har alle af følgende korrigerende beføjelser:

a)	at udstede advarsler til en dataansvarlig eller en databehandler om, at planlagte behandlingsaktiviteter sandsynligvis vil være i strid med denne forordning

b)	at udtale kritik af en dataansvarlig eller en databehandler, hvis behandlingsaktiviteter har været i strid med denne forordning

c)	at give den dataansvarlige eller databehandleren påbud om at imødekomme den registreredes anmodninger om at udøve sine rettigheder i henhold til denne forordning

d)	at give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i overensstemmelse med bestemmelserne i denne forordning og, hvis det er hensigtsmæssigt, på en nærmere angivet måde og inden for en nærmere angivet frist

e)	at give den dataansvarlige påbud om at underrette den registrerede om et brud på persondatasikkerheden

f)	midlertidigt eller definitivt at begrænse, herunder forbyde, behandling

g)	at give påbud om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling i henhold til artikel 16, 17 og 18 og meddelelse af sådanne handlinger til de modtagere, som personoplysningerne er videregivet til i henhold til artikel 17, stk. 2, og artikel 19

at trække en certificering tilbage eller at give et certificeringsorgan påbud om at trække en certificering, der er udstedt i henhold til artikel 42 og 43, tilbage eller at give certificeringsorganet påbud om ikke at udstede en certificering, hvis kravene til certificering ikke er eller ikke længere er opfyldt

i)	at pålægge en administrativ bøde i henhold til artikel 83 i tillæg til eller i stedet for foranstaltningerne i dette stykke, afhængigt af omstændighederne i hvert enkelt tilfælde, og

j)	at påbyde suspension af overførsel af oplysninger til en modtager i et tredjeland eller til en international organisation.

3. Hver tilsynsmyndighed har alle af følgende godkendelses- og rådgivningsbeføjelser:

a)	at rådgive den dataansvarlige efter den procedure for forudgående høring, der er omhandlet i artikel 36

b)	på eget initiativ eller på anmodning at afgive udtalelser til det nationale parlament, medlemsstatens regering eller i overensstemmelse med medlemsstaternes nationale ret til andre institutioner og organer samt offentligheden om ethvert spørgsmål om beskyttelse af personoplysninger

c)	at godkende den i artikel 36, stk. 5, omhandlede behandling, hvis en sådan forudgående godkendelse er påkrævet i henhold til den pågældende medlemsstats nationale ret

d)	at afgive udtalelse og godkende forslag til adfærdskodekser i henhold til artikel 40, stk. 5

e)	at akkreditere certificeringsorganer i henhold til artikel 43

f)	at udstede certificeringer og godkende kriterier for certificering i overensstemmelse med artikel 42, stk. 5

g)	at vedtage standardbestemmelser om databeskyttelse som omhandlet i artikel 28, stk. 8, og i artikel 46, stk. 2, litra d)

h)	at godkende kontraktbestemmelser som omhandlet i artikel 46, stk. 3, litra a)

i)	at godkende administrative ordninger som omhandlet i artikel 46, stk. 3, litra b)

j)	at godkende bindende virksomhedsregler i henhold til artikel 47.

4. Udøvelse af de beføjelser, der tillægges tilsynsmyndigheden i medfør af denne artikel, er underlagt de fornødne garantier, herunder effektive retsmidler og retfærdig procedure, der er fastsat i EU-retten eller medlemsstaternes nationale ret i overensstemmelse med chartret.

5. Hver medlemsstat fastsætter ved lov, at dens tilsynsmyndighed har beføjelse til at indbringe overtrædelser af denne forordning for de judicielle myndigheder og om nødvendigt at indlede eller på anden måde deltage i retssager med henblik på at håndhæve bestemmelserne i denne forordning.

6. Hver medlemsstat kan ved lov fastsætte, at dens tilsynsmyndighed har yderligere beføjelser end dem, der er omhandlet i stk. 1, 2 og 3. Udøvelsen af disse beføjelser må ikke hindre en effektiv anvendelse af kapitel VII.

Artikel 61

Gensidig bistand

1. Tilsynsmyndighederne udveksler relevante oplysninger og yder hinanden gensidig bistand med henblik på at gennemføre og anvende denne forordning på en ensartet måde og træffer foranstaltninger med henblik på et effektivt samarbejde med hinanden. Gensidig bistand omfatter navnlig anmodninger om oplysninger og tilsynsforanstaltninger, som f.eks. anmodninger om gennemførelse af forudgående godkendelser og høringer, inspektioner og undersøgelser.

2. Hver tilsynsmyndighed træffer alle passende foranstaltninger, som er nødvendige for at besvare en anmodning fra en anden tilsynsmyndighed uden unødig forsinkelse og senest en måned efter modtagelsen af anmodningen. Sådanne foranstaltninger kan bl.a. omfatte videregivelse af relevante oplysninger om gennemførelsen af en undersøgelse.

3. Anmodninger om bistand skal indeholde alle nødvendige oplysninger, herunder formålet med og grunden til anmodningen. Udvekslede oplysninger må kun anvendes til det formål, som er angivet i anmodningen.

4. Den anmodede tilsynsmyndighed må ikke afvise at imødekomme anmodningen, medmindre:

a)	den ikke har kompetence med hensyn til genstanden for anmodningen eller de foranstaltninger, som den anmodes om at iværksætte, eller

b)	imødekommelse af anmodningen ville udgøre en overtrædelse af denne forordning eller af EU-ret eller medlemsstaternes nationale ret, som den tilsynsmyndighed, der modtager anmodningen, er underlagt.

5. Den anmodede tilsynsmyndighed underretter den anmodende tilsynsmyndighed om resultaterne eller efter omstændighederne om fremskridtene med de foranstaltninger, der er truffet for at imødekomme anmodningen. Den anmodede tilsynsmyndighed begrunder enhver afvisning af at imødekomme en anmodning i henhold til stk. 4.

6. Anmodede tilsynsmyndigheder fremsender som hovedregel de oplysninger, som andre tilsynsmyndigheder anmoder om, elektronisk i et standardformat.

7. Anmodede tilsynsmyndigheder må ikke opkræve gebyr for foranstaltninger, der træffes af dem på grundlag af en anmodning om gensidig bistand. Tilsynsmyndighederne kan vedtage regler om at godtgøre hinanden for specifikke udgifter, der opstår under ekstraordinære omstændigheder, når der ydes gensidig bistand.

8. Hvis en tilsynsmyndighed ikke giver de oplysninger, der er omhandlet i denne artikels stk. 5, inden for en måned efter modtagelsen af en anmodning fra en anden tilsynsmyndighed, kan den anmodende tilsynsmyndighed vedtage en foreløbig foranstaltning på sin medlemsstats område i henhold til artikel 55, stk. 1. I dette tilfælde antages kravet om behovet for at handle omgående, jf. artikel 66, stk. 1, at være opfyldt, og at kræve en hurtig bindende afgørelse fra Databeskyttelsesrådet, jf. artikel 66, stk. 2.

9. Kommissionen kan ved gennemførelsesretsakter fastlægge format og procedurer for gensidig bistand som omhandlet i denne artikel og ordninger for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder og mellem tilsynsmyndigheder og Databeskyttelsesrådet, navnlig standardformatet omhandlet i denne artikels stk. 6. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 93, stk. 2.

Artikel 62

Tilsynsmyndigheders fælles aktiviteter

1. Hvis det er hensigtsmæssigt, gennemfører tilsynsmyndighederne fælles aktiviteter, herunder fælles undersøgelses- og håndhævelsesforanstaltninger, som medlemmer eller medarbejdere fra andre medlemsstaters tilsynsmyndigheder deltager i.

2. Hvis den dataansvarlige eller databehandleren har etableringer i flere medlemsstater, eller hvor et betydeligt antal registrerede i mere end én medlemsstat sandsynligvis påvirkes i væsentlig grad af behandlingsaktiviteter, har tilsynsmyndigheden i hver af disse medlemsstater ret til at deltage i fælles aktiviteter. Den tilsynsmyndighed, der er kompetent i henhold til artikel 56, stk. 1 eller 4, indbyder tilsynsmyndigheden i hver af disse medlemsstater til at deltage i de fælles aktiviteter og besvarer straks en tilsynsmyndigheds anmodning om deltagelse.

3. En tilsynsmyndighed kan i overensstemmelse med medlemsstatens nationale ret og med den udsendende tilsynsmyndigheds godkendelse delegere beføjelser, herunder undersøgelsesbeføjelser, til den udsendende tilsynsmyndigheds medlemmer eller medarbejdere, som deltager i fælles aktiviteter, eller, for så vidt national ret i værtstilsynsmyndighedens medlemsstat tillader det, tillade, at den udsendende tilsynsmyndigheds medlemmer eller medarbejdere udøver deres undersøgelsesbeføjelser i overensstemmelse med retten i den udsendende tilsynsmyndigheds medlemsstat. Sådanne undersøgelsesbeføjelser må kun udøves under vejledning og i tilstedeværelse af værtstilsynsmyndighedens medlemmer eller medarbejdere. Den udsendende tilsynsmyndigheds medlemmer eller medarbejdere er underlagt national ret i værtstilsynsmyndighedens medlemsstat.

4. Hvis en udsendende tilsynsmyndigheds medarbejdere i henhold til stk. 1 udfører aktiviteter i en anden medlemsstat, påtager værtstilsynsmyndighedens medlemsstat sig ansvaret for deres handlinger, herunder erstatningsansvar for enhver skade, som de måtte forvolde under udførelsen af deres aktiviteter, i overensstemmelse med retten i den medlemsstat, på hvis område de udfører aktiviteter.

5. Den medlemsstat, på hvis område skade forvoldes, erstatter den pågældende skade på samme betingelser som skader forvoldt af dens egne medarbejdere. Den udsendende tilsynsmyndigheds medlemsstat, hvis medarbejdere har forvoldt skade på personer på en anden medlemsstats område, skal fuldt ud godtgøre alle beløb, som denne anden medlemsstat har betalt i skadeserstatning til de berettigede personer på deres vegne.

6. Uden at det berører udøvelsen af rettigheder over for tredjemand og med undtagelse af det i stk. 5 omhandlede tilfælde, giver den enkelte medlemsstat i det tilfælde, der er omhandlet i stk. 1, afkald på at kræve godtgørelse fra en anden medlemsstat i forbindelse med skade som omhandlet i stk. 4.

7. Hvis der planlægges en fælles aktivitet, og en tilsynsmyndighed ikke opfylder forpligtelsen i stk. 2, andet punktum, inden for en måned, kan de andre tilsynsmyndigheder vedtage en foreløbig foranstaltning på deres medlemsstats område i overensstemmelse med artikel 55. I dette tilfælde antages kravet om behovet for at handle omgående, jf. artikel 66, stk. 1, at være opfyldt, og at kræve en hurtig bindende afgørelse fra Databeskyttelsesrådet, jf. artikel 66, stk. 2.

Afdeling 2

Sammenhæng

Artikel 82

Ret til erstatning og erstatningsansvar

1. Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.

2. Enhver dataansvarlig, der er involveret i behandling, hæfter for den skade, der er forvoldt af behandling, der overtræder denne forordning. En databehandler hæfter kun for den skade, der er forvoldt af behandling, hvis pågældende ikke har opfyldt forpligtelser i denne forordning, der er rettet specifikt mod databehandlere, eller hvis pågældende har undladt at følge eller handlet i strid med den dataansvarliges lovlige instrukser.

3. En dataansvarlig eller databehandler er fritaget for erstatningsansvar i henhold til stk. 2, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.

4. Hvis mere end én dataansvarlig eller databehandler eller både en dataansvarlig og en databehandler er involveret i den samme behandling, og hvis de i henhold til stk. 2 og 3 er ansvarlige for skader, der er forvoldt af behandling, hæfter de solidarisk for hele skaden for at sikre fuld erstatning til den registrerede.

5. Hvis en dataansvarlig eller en databehandler i overensstemmelse med stk. 4 har betalt fuld erstatning for den forvoldte skade, har den pågældende dataansvarlige eller databehandler ret til at kræve den del af erstatningen, der svarer til andres del af ansvaret for skaden, tilbage fra de andre dataansvarlige eller databehandlere, der er involveret i den samme behandling, i overensstemmelse med betingelserne i stk. 2.

6. Retssager med henblik på udøvelse af retten til at modtage erstatning anlægges ved de domstole, der er kompetente i henhold til national ret i den medlemsstat, der er omhandlet i artikel 79, stk. 2.

whereas

(50) Behandling af personoplysninger til andre formål end de formål, som personoplysningerne oprindelig blev indsamlet til, bør kun tillades, hvis behandlingen er forenelig med de formål, som personoplysningerne oprindelig blev indsamlet til.
I dette tilfælde kræves der ikke andet retsgrundlag end det, der begrundede indsamlingen af personoplysningerne.
Hvis behandling er nødvendig for at udføre en opgave i samfundets interesse eller henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, kan EU-retten eller medlemsstaternes nationale ret fastsætte og præcisere de opgaver og formål, hvortil det bør være foreneligt og lovligt at foretage viderebehandling.
Viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål bør anses for at være forenelige lovlige behandlingsaktiviteter.
Retsgrundlaget i EU-retten eller medlemsstaternes nationale ret for behandling af personoplysninger kan også udgøre et retsgrundlag for viderebehandling.
For at fastslå, om et formål med viderebehandling er foreneligt med det formål, som personoplysningerne oprindelig blev indsamlet til, bør den dataansvarlige efter at have opfyldt alle kravene til lovlighed af den oprindelige behandling bl.a.
tage hensyn til enhver forbindelse mellem disse formål og formålet med den påtænkte viderebehandling, den sammenhæng, som personoplysningerne er blevet indsamlet i, navnlig de registreredes rimelige forventninger til den videre anvendelse heraf på grundlag af deres forhold til den dataansvarlige, personoplysningernes art, konsekvenserne af den påtænkte viderebehandling for de registrerede og tilstedeværelse af fornødne garantier i forbindelse med både de oprindelige og de påtænkte yderligere behandlingsaktiviteter.

- = -

(107) Kommissionen kan fastslå, at et tredjeland, et område eller en specifik sektor i et tredjeland, eller en international organisation ikke længere sikrer et tilstrækkeligt databeskyttelsesniveau.
Overførsel af personoplysninger til et sådant tredjeland eller en sådan international organisation bør derfor forbydes, medmindre kravene i denne forordning vedrørende overførsel omfattet af fornødne garantier, herunder bindende virksomhedsregler og undtagelser i særlige situationer, er opfyldt.
Der bør i sådanne tilfælde fastlægges bestemmelser om en procedure for konsultationer mellem Kommissionen og sådanne tredjelande eller internationale organisationer.
Kommissionen bør rettidigt underrette tredjelandet eller den internationale organisation om årsagerne og indlede konsultationer med tredjelandet eller den internationale organisation for at afhjælpe situationen.

- = -

(115) Visse tredjelande vedtager love, forskrifter og andre retsakter med det formål direkte at regulere behandlingsaktiviteter udøvet af fysiske og juridiske personer under medlemsstaternes jurisdiktion.
Dette kan omfatte retsafgørelser eller administrative myndigheders afgørelser i tredjelande, der kræver, at en dataansvarlig eller en databehandler overfører personoplysninger, og som ikke er baseret på en gældende international aftale som en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen eller en medlemsstat.
Ekstraterritorial anvendelse af sådanne love, forskrifter og andre retsakter kan være i strid med folkeretten og hindre opnåelse af den beskyttelse af fysiske personer, der sikres i Unionen ved denne forordning.
Overførsel af oplysninger bør kun tillades, hvis denne forordnings betingelser for overførsel til tredjelande er opfyldt.
Det kan være tilfældet, bl.a.
hvis videregivelse er nødvendig af hensyn til vigtige samfundsinteresser, der anerkendes i EU-retten eller medlemsstaternes nationale ret, som den dataansvarlige er omfattet af.

- = -

dal 2004 diritto e informatica