Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning)
Kapittel I
Alminnelige bestemmelser
Artikkel 1
Formål og mål
- Denne forordning fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger samt regler om fri utveksling av personopplysninger.
- Denne forordning sikrer vern av fysiske personers grunnleggende rettigheter og friheter, særlig deres rett til vern av personopplysninger.
- Fri utveksling av personopplysninger i Unionen skal verken begrenses eller forbys av årsaker knyttet til vern av fysiske personer i forbindelse med behandling av personopplysninger.
Artikkel 2
Saklig virkeområde
- Denne forordning får anvendelse på helt eller delvis automatisert behandling av personopplysninger og på ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register.
- Denne forordning får ikke anvendelse på behandling av personopplysninger som utføres
a) i forbindelse med utøvelse av en aktivitet som ikke omfattes av unionsretten,
b) av medlemsstatene når de utøver aktiviteter som omfattes av avdeling V kapittel 2 i TEU,
c) av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter,
d) av vedkommende myndigheter med henblikk på å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet. - Forordning (EF) nr. 45/2001 får anvendelse på behandling av personopplysninger som utføres av Unionens institusjoner, organer, kontorer og byråer. Forordning (EF) nr. 45/2001 og andre av Unionens rettsakter som får anvendelse på slik behandling av personopplysninger, skal tilpasses prinsippene og reglene i denne forordning i samsvar med artikkel 98.
- Denne forordning berører ikke anvendelsen av direktiv 2000/31/EF, særlig reglene for tjenesteytende mellommenns ansvar i artikkel 12–15 i nevnte direktiv.
Artikkel 3
Geografisk virkeområde
- Denne forordning får anvendelse på behandling av personopplysninger som utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller en databehandler i Unionen, uavhengig av om behandlingen finner sted i Unionen eller ikke.
- Denne forordning får anvendelse på behandling av personopplysninger om registrerte som befinner seg i Unionen, og som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i Unionen, dersom behandlingen er knyttet til
a) tilbud av varer eller tjenester til slike registrerte i Unionen, uavhengig av om det kreves betaling fra den registrerte eller ikke, eller
b) monitorering av deres atferd, i den grad deres atferd finner sted i Unionen. - Denne forordning får anvendelse på behandling av personopplysninger som utføres av en behandlingsansvarlig som ikke er etablert i Unionen, men på et sted der en medlemsstats nasjonale rett får anvendelse i henhold til folkeretten.
Artikkel 4
Definisjoner
I denne forordning menes med
- 1) «personopplysninger» enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet,
- 2) «behandling» enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring,
- 3) «begrensning av behandling» merking av lagrede personopplysninger med det som mål å begrense behandlingen av disse i framtiden,
- 4) «profilering» enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser,
- 5) «pseudonymisering» behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres atskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person,
- 6) «register» enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag,
- 7) «behandlingsansvarlig» en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett,
- 8) «databehandler» en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige,
- 9) «mottaker» en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som personopplysninger utleveres til, enten det dreier seg om en tredjepart eller ikke. Offentlige myndigheter som kan motta personopplysninger innenfor rammen av en særskilt undersøkelse i samsvar med unionsretten eller medlemsstatenes nasjonale rett, skal imidlertid ikke anses som mottakere; nevnte offentlige myndigheters behandling av slike opplysninger skal være i samsvar med gjeldende regler om vern av personopplysninger i henhold til formålet med behandlingen,
- 10) «tredjepart» enhver annen fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ enn den registrerte, den behandlingsansvarlige, databehandleren og de personer som under den behandlingsansvarlige eller databehandlerens direkte myndighet har fullmakt til å behandle personopplysninger,
- 11) «samtykke» fra den registrerte enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende,
- 12) «brudd på personopplysningssikkerheten» et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet,
- 13) «genetiske opplysninger» personopplysninger om en fysisk persons nedarvede eller ervervede genetiske egenskaper som gir unik informasjon om den aktuelle fysiske personens fysiologi eller helse, og som særlig er framkommet etter analysering av en biologisk prøve fra den aktuelle fysiske personen,
- 14) «biometriske opplysninger» personopplysninger som stammer fra en særskilt teknisk behandling knyttet til en fysisk persons fysiske, fysiologiske eller atferdsmessige egenskaper, og som muliggjør eller bekrefter en entydig identifikasjon av nevnte fysiske person, f.eks. ansiktsbilder eller fingeravtrykksopplysninger,
- 15) «helseopplysninger» personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand,
- 16) «hovedvirksomhet»:
- a) når det gjelder en behandlingsansvarlig med virksomheter i mer enn én medlemsstat, stedet for dennes hovedadministrasjon i Unionen, med mindre avgjørelser om formål og midler i forbindelse med behandlingen av personopplysninger treffes i en annen av den behandlingsansvarliges virksomheter i Unionen, og sistnevnte virksomhet har myndighet til å få gjennomført nevnte avgjørelser, i dette tilfellet skal virksomheten som har truffet slike avgjørelser, anses for å være hovedvirksomheten,
- b) når det gjelder en databehandler med virksomheter i mer enn én medlemsstat, stedet for dennes hovedadministrasjon i Unionen eller, dersom databehandleren ikke har noen hovedadministrasjon i Unionen, databehandlerens virksomhet i Unionen der hoveddelen av behandlingsaktivitetene i forbindelse med aktivitetene ved en databehandlers virksomhet finner sted, i den grad databehandleren er underlagt særlige forpliktelser i henhold til denne forordning,
- 17) «representant» en fysisk eller juridisk person som er etablert i Unionen, som den behandlingsansvarlige eller databehandleren har utpekt skriftlig i henhold til artikkel 27, og som representerer den behandlingsansvarlige eller databehandleren med hensyn til de forpliktelser de har i henhold til denne forordning,
- 18) «foretak» en fysisk eller juridisk person som utøver økonomisk virksomhet, uavhengig av foretakets rettslige form, herunder partnerskap eller sammenslutninger som regelmessig utøver økonomisk virksomhet,
- 19) «konsern» et foretak som utøver kontroll, og dets kontrollerte foretak,
- 20) «bindende virksomhetsregler» retningslinjer for vern av personopplysninger som en behandlingsansvarlig eller databehandler som er etablert på en medlemsstats territorium, følger i forbindelse med en overføring eller en rekke overføringer av personopplysninger til en behandlingsansvarlig eller databehandler i én eller flere tredjestater internt i et konsern eller gruppe av foretak som utøver en felles økonomisk virksomhet,
- 21) «tilsynsmyndighet» en uavhengig offentlig myndighet som er opprettet av en medlemsstat i henhold til artikkel 51,
- 22) «berørt tilsynsmyndighet» en tilsynsmyndighet som er berørt av en behandling av personopplysninger, fordi
- a) den behandlingsansvarlige eller databehandleren er etablert på territoriet til nevnte tilsynsmyndighets medlemsstat,
- b) registrerte som er bosatt i nevnte tilsynsmyndighets medlemsstat, i vesentlig grad påvirkes eller sannsynligvis vil bli påvirket av behandlingen, eller
- c) det er klaget til nevnte tilsynsmyndighet,
- 23) «grenseoverskridende behandling»
- a) behandling av personopplysninger som finner sted i forbindelse med aktiviteter i en behandlingsansvarligs eller databehandlers virksomheter i mer enn én medlemsstat, dersom den behandlingsansvarlige eller databehandleren er etablert i mer enn én medlemsstat, eller
- b) behandling av personopplysninger som finner sted i forbindelse med aktiviteter i en behandlingsansvarligs eller databehandlers eneste virksomhet i Unionen, men som i betydelig grad påvirker eller sannsynligvis vil påvirke registrerte i mer enn én medlemsstat.
- 24) «relevant og begrunnet innsigelse» en innsigelse mot et utkast til avgjørelse om hvorvidt det foreligger en overtredelse av denne forordning eller om hvorvidt et planlagt tiltak som gjelder den behandlingsansvarlige eller databehandleren, er i samsvar med denne forordning, og som tydelig viser betydningen av risikoene som utkastet til avgjørelse utgjør med hensyn til de registrertes grunnleggende rettigheter og friheter og, dersom det er relevant, den frie flyten av personopplysninger i Unionen,
- 25) «informasjonssamfunnstjeneste» en tjeneste som definert i artikkel 1 nr. 1 bokstav b) i europaparlaments- og rådsdirektiv (EU) 2015/153519,
- 26) «internasjonal organisasjon» en organisasjon og dens underordnede organer som er underlagt folkeretten, eller ethvert annet organ opprettet ved eller på grunnlag av en avtale mellom to eller flere stater.
Kapittel II
Prinsipper
Artikkel 5
Prinsipper for behandling av personopplysninger
- 1. Personopplysninger skal
- a) behandles på en lovlig, rettferdig og åpen måte med hensyn til den registrerte («lovlighet, rettferdighet og åpenhet»),
- b) samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene; viderebehandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal, i samsvar med artikkel 89 nr. 1, ikke anses som uforenlig med de opprinnelige formålene («formålsbegrensning»),
- c) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»),
- d) være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller rettes («riktighet»),
- e) lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for; personopplysninger kan lagres i lengre perioder dersom de utelukkende vil bli behandlet for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1, forutsatt at det gjennomføres egnede tekniske og organisatoriske tiltak som kreves i henhold til denne forordning for å sikre de registrertes rettigheter og friheter («lagringsbegrensning»),
- f) behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak («integritet og konfidensialitet»).
- 2. Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at nr. 1 overholdes («ansvar»).
Artikkel 6
Behandlingens lovlighet
- 1. Behandlingen er bare lovlig dersom og i den grad minst ett av følgende vilkår er oppfylt:
- a) den registrerte har samtykket til behandling av sine personopplysninger for ett eller flere spesifikke formål,
- b) behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse,
- c) behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige,
- d) behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser,
- e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,
- f) behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.Nr. 1 bokstav f) får ikke anvendelse på behandling som utføres av offentlige myndigheter som ledd i utførelsen av deres oppgaver.
- 2. Medlemsstatene kan opprettholde eller innføre mer spesifikke bestemmelser for å tilpasse anvendelsen av reglene for behandling i denne forordning med henblikk på å sikre samsvar med nr. 1 bokstav c) og e) ved nærmere å fastsette mer spesifikke krav til behandlingen samt andre tiltak som har som mål å sikre en lovlig og rettferdig behandling, herunder i forbindelse med andre særlige behandlingssituasjoner som nevnt i kapittel IX.
- 3. Grunnlaget for behandlingen nevnt i nr. 1 bokstav c) og e) skal fastsettes i
- a) unionsretten eller
- b) medlemsstatens nasjonale rett som den behandlingsansvarlige er underlagt.
- 4. Dersom behandlingen for et annet formål enn det som personopplysningene er blitt samlet inn for, ikke bygger på den registrertes samtykke eller på unionsretten eller medlemsstatenes nasjonale rett som utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene nevnt i artikkel 23 nr. 1, skal den behandlingsansvarlige for å avgjøre om behandlingen for et annet formål er forenlig med formålet som personopplysningene opprinnelig ble samlet inn for, blant annet ta hensyn til følgende:
- a) enhver forbindelse mellom formålene som personopplysningene er blitt samlet inn for, og formålene med den tiltenkte viderebehandlingen,
- b) i hvilken sammenheng personopplysningene er blitt samlet inn, særlig med hensyn til forholdet mellom de registrerte og den behandlingsansvarlige,
- c) personopplysningenes art, især om særlige kategorier av personopplysninger behandles, i henhold til artikkel 9, eller om personopplysninger om straffedommer og lovovertredelser behandles, i henhold til artikkel 10,
- d) de mulige konsekvensene av den tiltenkte viderebehandlingen for de registrerte,
- e) om det foreligger nødvendige garantier, som kan omfatte kryptering eller pseudonymisering.
Artikkel 7
Vilkår for samtykke
- 1. Dersom behandlingen bygger på samtykke, skal den behandlingsansvarlige kunne påvise at den registrerte har samtykket til behandling av personopplysninger om vedkommende.
- 2. Dersom den registrertes samtykke gis i forbindelse med en skriftlig erklæring som også gjelder andre forhold, skal anmodningen om samtykke framlegges på en måte som gjør at den tydelig kan skilles fra nevnte andre forhold, i en forståelig og lett tilgjengelig form og på et klart og enkelt språk. Deler av en slik erklæring som er i strid med denne forordning, skal ikke være bindende.
- 3. Den registrerte skal ha rett til å trekke tilbake sitt samtykke til enhver tid. Dersom samtykket trekkes tilbake, skal det ikke påvirke lovligheten av behandlingen som bygger på samtykket før det trekkes tilbake. Før det gis samtykke, skal den registrerte opplyses om dette. Det skal være like enkelt å trekke tilbake som å gi samtykke.
- 4. Ved vurdering av om et samtykke er gitt frivillig skal det tas størst mulig hensyn til blant annet om oppfyllelse av en avtale, herunder om yting av en tjeneste, er gjort betinget av samtykke til behandling av personopplysninger som ikke er nødvendig for å oppfylle nevnte avtale.
Artikkel 8
Vilkår for barns samtykke i forbindelse med informasjonssamfunnstjenester
- 1. Dersom artikkel 6 nr. 1 bokstav a) får anvendelse i forbindelse med tilbud om informasjonssamfunnstjenester direkte til et barn, er behandling av et barns personopplysninger lovlig dersom barnet er minst 16 år. Dersom barnet er under 16 år, er slik behandling lovlig bare dersom og i den grad samtykke er gitt eller godkjent av den som har foreldreansvar for barnet.For disse formål kan medlemsstatene ved lov fastsette en lavere aldersgrense, forutsatt at den ikke er lavere enn 13 år.
- 2. I slike tilfeller skal den behandlingsansvarlige treffe rimelige tiltak for å kontrollere at samtykke er gitt eller godkjent av den som har foreldreansvar for barnet, idet det tas hensyn til tilgjengelig teknologi.
- 3. Nr. 1 skal ikke påvirke medlemsstatenes alminnelige avtalerett, f.eks. reglene for gyldigheten, utformingen eller virkningen av en avtale som gjelder et barn.
Artikkel 9
Behandling av særlige kategorier av personopplysninger
- 1. Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er forbudt.
- 2. Nr. 1 får ikke anvendelse dersom et av følgende vilkår er oppfylt:
- a) Den registrerte har gitt uttrykkelig samtykke til behandling av slike personopplysninger for ett eller flere spesifikke formål, unntatt dersom det i unionsretten eller medlemsstatenes nasjonale rett er fastsatt at den registrerte ikke kan oppheve forbudet nevnt i nr. 1.
- b) Behandlingen er nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett, trygderett og sosialrett i den grad dette er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett, eller en tariffavtale i henhold til medlemsstatenes nasjonale rett som gir nødvendige garantier for den registrertes grunnleggende rettigheter og interesser.
- c) Behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser dersom den registrerte fysisk eller juridisk ikke er i stand til å gi samtykke.
- d) Behandlingen utføres av en stiftelse, sammenslutning eller et annet ideelt organ hvis mål er av politisk, religiøs eller fagforeningsmessig art, som ledd i organets berettigede aktiviteter og med nødvendige garantier, forutsatt at behandlingen bare gjelder organets medlemmer eller tidligere medlemmer eller personer som på grunn av organets mål har regelmessig kontakt med det, og at personopplysningene ikke utleveres til andre enn nevnte organ uten de registrertes samtykke.
- e) Behandlingen gjelder personopplysninger som det er åpenbart at den registrerte har offentliggjort.
- f) Behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav eller når domstolene handler innenfor rammen av sin domsmyndighet.
- g) Behandlingen er nødvendig av hensyn til viktige allmenne interesser, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.
- h) Behandlingen er nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin for å vurdere en arbeidstakers arbeidskapasitet, i forbindelse med medisinsk diagnostikk, yting av helse- eller sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og -systemer på grunnlag av unionsretten eller medlemsstatenes nasjonale rett eller i henhold til en avtale med helsepersonell og med forbehold for vilkårene og garantiene nevnt i nr. 3.
- i) Behandlingen er nødvendig av allmenne folkehelsehensyn, f.eks. vern mot alvorlige grenseoverskridende helsetrusler eller for å sikre høye kvalitets- og sikkerhetsstandarder for helsetjenester og legemidler eller medisinsk utstyr, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett der det fastsettes egnede og særlige tiltak for å verne den registrertes rettigheter og friheter, særlig taushetsplikt.
- j) Behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.
- 3. Personopplysningene nevnt i nr. 1 kan behandles for formålene nevnt i nr. 2 bokstav h) dersom opplysningene behandles av en fagperson som har taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett eller regler fastsatt av nasjonale vedkommende organer, eller under en slik persons ansvar, eller av en annen person som også har taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett eller regler fastsatt av nasjonale vedkommende organer.
- 4. Medlemsstatene kan opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger.
Artikkel 10
Behandling av personopplysninger om straffedommer og lovovertredelser
Behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak på grunnlag av artikkel 6 nr. 1 skal bare utføres under en offentlig myndighets kontroll eller dersom behandlingen er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som sikrer nødvendige garantier for de registrertes rettigheter og friheter. Alle omfattende registre over straffedommer må bare føres under en offentlig myndighets kontroll.
Artikkel 11
Behandling som ikke krever identifikasjon
- 1. Dersom formålene med den behandlingsansvarliges behandling av personopplysninger ikke krever eller ikke lenger krever at den behandlingsansvarlige kan identifisere en registrert, skal den behandlingsansvarlige ikke ha plikt til å bevare, innhente eller behandle ytterligere opplysninger for å identifisere den registrerte utelukkende med det formål å oppfylle kravene i denne forordning.
- 2. Dersom den behandlingsansvarlige i tilfeller nevnt i nr. 1 i denne artikkel kan påvise at vedkommende ikke er i stand til å identifisere den registrerte, skal den behandlingsansvarlige, dersom det er mulig, informere den registrerte om dette. I slike tilfeller får artikkel 15–20 ikke anvendelse, bortsett fra når den registrerte for å utøve sine rettigheter i henhold til nevnte artikler gir ytterligere opplysninger som gjør det mulig å identifisere vedkommende.
Kapittel III
Den registrertes rettigheter
Avsnitt 1
Åpenhet og vilkår
Artikkel 12
Klar og tydelig informasjon, kommunikasjon og nærmere regler om utøvelse av den registrertes rettigheter
- 1. Den behandlingsansvarlige skal treffe egnede tiltak for å framlegge for den registrerte informasjonen nevnt i artikkel 13 og 14 og all kommunikasjon i henhold til artikkel 15–22 og 34 om behandlingen på en kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk, især når det gjelder informasjon som spesifikt er rettet mot et barn. Informasjonen skal gis skriftlig eller på en annen måte, herunder elektronisk dersom det er hensiktsmessig. På anmodning fra den registrerte kan informasjonen gis muntlig, forutsatt at den registrertes identitet bevises på andre måter.
- 2. Den behandlingsansvarlige skal legge til rette for at den registrerte kan utøve sine rettigheter i henhold til artikkel 15–22. I tilfellene nevnt i artikkel 11 nr. 2 skal den behandlingsansvarlige ikke nekte å etterkomme den registrertes anmodning om å utøve sine rettigheter i henhold til artikkel 15–22, med mindre den behandlingsansvarlige påviser at vedkommende ikke er i stand til å identifisere den registrerte.
- 3. Den behandlingsansvarlige skal informere den registrerte om tiltak som er truffet på grunnlag av en anmodning i henhold til artikkel 15–22, uten ugrunnet opphold og senest én måned etter mottak av anmodningen. Denne fristen kan ved behov forlenges med ytterligere to måneder, idet det tas hensyn til antall anmodninger og anmodningenes kompleksitet. Den behandlingsansvarlige skal informere den registrerte om enhver slik forlengelse senest én måned etter mottak av anmodningen sammen med en begrunnelse for forsinkelsen. Dersom den registrerte inngir anmodningen elektronisk, skal informasjonen om mulig gis elektronisk, med mindre den registrerte anmoder om noe annet.
- 4. Dersom den behandlingsansvarlige ikke treffer tiltak på anmodning fra den registrerte, skal den behandlingsansvarlige informere den registrerte uten opphold og senest én måned etter mottak av anmodningen om årsakene til dette og om muligheten for å inngi klage til en tilsynsmyndighet og for rettslig prøving.
- 5. Informasjon som gis i henhold til artikkel 13 og 14, og enhver kommunikasjon og ethvert tiltak som treffes i henhold til artikkel 15–22 og 34, skal være gratis. Dersom anmodninger fra en registrert er åpenbart grunnløse eller overdrevne, særlig dersom de gjentas, kan den behandlingsansvarlige enten
- a) kreve et rimelig gebyr, idet det tas hensyn til administrasjonskostnadene for å gi informasjonen eller treffe de tiltak det anmodes om, eller
- b) nekte å etterkomme anmodningen.
- 6. Uten at det berører artikkel 11, kan den behandlingsansvarlige, dersom det hersker rimelig tvil om identiteten til den fysiske personen som inngir anmodningen nevnt i artikkel 15–21, anmode om ytterligere opplysninger som er nødvendige for å kunne bekrefte den registrertes identitet.
- 7. Informasjonen som skal gis de registrerte i henhold til artikkel 13 og 14, kan gis sammen med standardiserte ikoner for å gi en lett synlig, forståelig, lettlest og meningsfull oversikt over den tiltenkte behandlingen. Dersom ikonene presenteres elektronisk, skal de være maskinlesbare.
- 8. Kommisjonen skal gis myndighet til å vedta delegerte rettsakter i samsvar med artikkel 92 for å fastsette hvilken informasjon som skal gis ved hjelp av ikoner, og framgangsmåtene for å tilveiebringe standardiserte ikoner.
Avsnitt 2
Informasjon og innsyn i personopplysninger
Artikkel 13
Informasjon som skal gis ved innsamling av personopplysninger fra den registrerte
- 1. Når personopplysninger om en registrert samles inn fra den registrerte, skal den behandlingsansvarlige på tidspunktet for innsamlingen av personopplysningene gi den registrerte følgende informasjon:
- a) identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den behandlingsansvarliges representant,
- b) kontaktopplysningene til personvernombudet, dersom dette er relevant,
- c) formålene med den tiltenkte behandlingen av personopplysningene samt det rettslige grunnlaget for behandlingen,
- d) dersom behandlingen er basert på artikkel 6 nr. 1 bokstav f), de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart,
- e) eventuelle mottakere eller kategorier av mottakere av personopplysningene,
- f) dersom det er relevant, det faktum at den behandlingsansvarlige akter å overføre personopplysninger til en tredjestat eller en internasjonal organisasjon og om hvorvidt Kommisjonen har truffet en beslutning om tilstrekkelig beskyttelsesnivå eller ikke, eller når det gjelder overføringene nevnt i artikkel 46 eller 47 eller artikkel 49 nr. 1 annet ledd, en henvisning til nødvendige eller passende garantier, hvordan man får tak i et eksemplar av dem, eller hvor de er gjort tilgjengelig.
- 2. I tillegg til informasjonen nevnt i nr. 1 skal den behandlingsansvarlige på tidspunktet for innsamling av personopplysninger gi den registrerte følgende ytterligere informasjon som er nødvendig for å sikre en rettferdig og åpen behandling:
- a) det tidsrom personopplysningene vil bli lagret, eller dersom dette ikke er mulig, kriteriene som brukes for å fastsette dette tidsrommet,
- b) retten til å anmode den behandlingsansvarlige om innsyn i og retting eller sletting av personopplysninger eller begrensning av behandlingen som gjelder den registrerte, eller til å protestere mot behandlingen samt retten til dataportabilitet,
- c) dersom behandlingen er basert på artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), retten til når som helst å trekke tilbake et samtykke uten at det påvirker lovligheten av en behandling basert på et samtykke før samtykket trekkes tilbake,
- d) retten til å klage til en tilsynsmyndighet,
- e) om det foreligger et lovfestet eller avtalefestet krav om å gi personopplysninger eller et krav som er nødvendig for å inngå en avtale, samt om den registrerte har plikt til å gi personopplysningene og om mulige konsekvenser dersom vedkommende ikke gjør det,
- f) forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.
- 3. Dersom den behandlingsansvarlige har til hensikt å viderebehandle personopplysningene for et annet formål enn det opplysningene ble samlet inn for, skal den behandlingsansvarlige før nevnte viderebehandling gi den registrerte informasjon om nevnte andre formål og annen nødvendig informasjon som nevnt i nr. 2.
- 4. Nr. 1, 2 og 3 får ikke anvendelse dersom og i den grad den registrerte allerede har informasjonen.
Artikkel 14
Informasjon som skal gis dersom personopplysninger ikke er blitt samlet inn fra den registrerte
- 1. Dersom personopplysninger ikke er blitt samlet inn fra den registrerte, skal den behandlingsansvarlige gi den registrerte følgende informasjon:
- a) identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den behandlingsansvarliges representant,
- b) kontaktopplysningene til personvernombudet, dersom dette er relevant,
- c) formålene med den tiltenkte behandlingen av personopplysningene samt det rettslige grunnlaget for behandlingen,
- d) de berørte kategoriene av personopplysninger,
- e) eventuelle mottakere eller kategorier av mottakere av personopplysningene,
- f) dersom det er relevant, at den behandlingsansvarlige har til hensikt å overføre personopplysninger til en mottaker i en tredjestat eller en internasjonal organisasjon og om hvorvidt Kommisjonen har truffet en beslutning om tilstrekkelig beskyttelsesnivå eller ikke, eller, når det gjelder overføringene nevnt i artikkel 46 eller 47 eller artikkel 49 nr. 1 annet ledd, en henvisning til nødvendige eller passende garantier, hvordan man får tak i et eksemplar av dem eller hvor de er gjort tilgjengelig.
- 2. I tillegg til informasjonen nevnt i nr. 1 skal den behandlingsansvarlige gi den registrerte følgende informasjon som er nødvendig for å sikre den registrerte en rettferdig og åpen behandling:
- a) det tidsrom personopplysningene vil bli lagret, eller dersom dette ikke er mulig, kriteriene som brukes for å fastsette dette tidsrommet,
- b) dersom behandlingen er basert på artikkel 6 nr. 1 bokstav f), de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart,
- c) retten til å anmode den behandlingsansvarlige om innsyn i og retting eller sletting av personopplysninger eller begrensning av behandlingen som gjelder den registrerte, og til å protestere mot behandlingen samt retten til dataportabilitet,
- d) dersom behandlingen er basert på artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), retten til når som helst å trekke tilbake et samtykke uten at det påvirker lovligheten av en behandling basert på et samtykke før samtykket trekkes tilbake,
- e) retten til å klage til en tilsynsmyndighet,
- f) fra hvilken kilde personopplysningene stammer fra, og, dersom det er relevant, om de stammer fra offentlig tilgjengelige kilder,
- g) forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.
- 3. Den behandlingsansvarlige skal gi informasjonen nevnt i nr. 1 og 2
- a) innen en rimelig frist etter at personopplysningene er samlet inn, men senest innen én måned, idet det tas hensyn til de særlige forholdene som personopplysningene er behandlet under,
- b) dersom personopplysningene skal brukes til å kommunisere med den registrerte, senest på tidspunktet for den første kommunikasjonen med vedkommende, eller
- c) dersom det er planlagt at personopplysningene skal utleveres til en annen mottaker, senest når personopplysningene første gang utleveres.
- 4. Dersom den behandlingsansvarlige har til hensikt å viderebehandle personopplysningene for et annet formål enn det opplysningene ble samlet inn for, skal den behandlingsansvarlige før nevnte viderebehandling gi den registrerte informasjon om nevnte andre formål og annen relevant informasjon som nevnt i nr. 2.
- 5. Nr. 1–4 får ikke anvendelse dersom og i den grad
- a) den registrerte allerede har informasjonen,
- b) det viser seg umulig å gi nevnte informasjon eller det vil innebære en uforholdsmessig stor innsats, særlig i forbindelse med behandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i henhold til vilkårene og garantiene nevnt i artikkel 89 nr. 1, eller i den grad forpliktelsen nevnt i nr. 1 i denne artikkel sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med nevnte behandling nås. I slike tilfeller skal den behandlingsansvarlige treffe egnede tiltak for å verne den registrertes rettigheter og friheter og berettigede interesser, herunder gjøre informasjonen offentlig tilgjengelig,
- c) innsamling eller utlevering er uttrykkelig fastsatt i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, og som inneholder egnede tiltak for å verne den registrertes berettigede interesser, eller
- d) dersom personopplysningene må holdes konfidensielle som følge av taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett, herunder en lovfestet taushetsplikt.
Artikkel 15
Den registrertes rett til innsyn
- 1. Den registrerte skal ha rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene og følgende informasjon:
- a) formålene med behandlingen,
- b) de berørte kategoriene av personopplysninger,
- c) mottakerne eller kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, særlig mottakere i tredjestater eller internasjonale organisasjoner,
- d) dersom det er mulig, hvor lenge det forventes at personopplysningene vil bli lagret, eller, dersom dette ikke er mulig, kriteriene som brukes for å fastsette denne perioden,
- e) retten til å anmode den behandlingsansvarlige om retting eller sletting av personopplysninger eller begrensning av behandlingen av personopplysninger som gjelder den registrerte, eller til å protestere mot nevnte behandling,
- f) retten til å klage til en tilsynsmyndighet,
- g) dersom personopplysningene ikke er samlet inn fra den registrerte, all tilgjengelig informasjon om hvor personopplysningene stammer fra,
- h) forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.
- 2. Dersom personopplysningene overføres til en tredjestat eller til en internasjonal organisasjon, skal den registrerte ha rett til å bli underrettet om de nødvendige garantiene i henhold til artikkel 46 i forbindelse med overføringen.
- 3. Den behandlingsansvarlige skal gjøre tilgjengelig en kopi av personopplysningene som behandles. Dersom den registrerte anmoder om flere kopier, kan den behandlingsansvarlige kreve et rimelig gebyr basert på administrasjonskostnadene. Dersom den registrerte inngir anmodningen elektronisk, og med mindre den registrerte anmoder om noe annet, skal informasjonen gis i en vanlig elektronisk form.
- 4. Retten til å motta en kopi nevnt i nr. 3 skal ikke ha negativ innvirkning på andres rettigheter og friheter.
Avsnitt 3
Retting og sletting
Artikkel 16
Rett til retting
Den registrerte skal ha rett til å få uriktige personopplysninger om seg selv rettet av den behandlingsansvarlige uten ugrunnet opphold. Idet det tas hensyn til formålene med behandlingen skal den registrerte ha rett til å få ufullstendige personopplysninger komplettert, herunder ved å framlegge en supplerende erklæring.
Artikkel 17
Rett til sletting («rett til å bli glemt»)
- 1. Den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold, og den behandlingsansvarlige skal ha plikt til å slette personopplysninger uten ugrunnet opphold dersom et av de følgende forhold gjør seg gjeldende:
- a) personopplysningene er ikke lenger nødvendige for formålet som de ble samlet inn eller behandlet for,
- b) den registrerte trekker tilbake samtykket som ligger til grunn for behandlingen, i henhold til artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), og det ikke finnes noe annet rettslig grunnlag for behandlingen,
- c) den registrerte protesterer mot behandlingen i henhold til artikkel 21 nr. 1, og det ikke finnes mer tungtveiende berettigede grunner til behandlingen, eller den registrerte protesterer mot behandlingen i henhold til artikkel 21 nr. 2,
- d) personopplysningene er blitt behandlet ulovlig,
- e) personopplysningene må slettes for å oppfylle en rettslig forpliktelse i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt,
- f) personopplysningene er blitt samlet inn i forbindelse med tilbud om informasjonssamfunnstjenester som nevnt i artikkel 8 nr. 1.
- 2. Dersom den behandlingsansvarlige har offentliggjort personopplysningene og i henhold til nr. 1 har plikt til å slette personopplysningene, skal vedkommende, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnadene, treffe rimelige tiltak, herunder tekniske tiltak, for å underrette behandlingsansvarlige som behandler personopplysningene, om at den registrerte har anmodet om at nevnte behandlingsansvarlige skal slette alle lenker til, kopier eller reproduksjoner av nevnte personopplysninger.
- 3. Nr. 1 og 2 får ikke anvendelse dersom nevnte behandling er nødvendig
- a) for å utøve retten til ytrings- og informasjonsfrihet,
- b) for å oppfylle en rettslig forpliktelse som krever behandling i henhold til unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, eller for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,
- c) av hensyn til allmennhetens interesse på området folkehelse i samsvar med artikkel 9 nr. 2 bokstav h) og i) og artikkel 9 nr. 3,
- d) for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 i den grad rettigheten nevnt i nr. 1 sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med nevnte behandling nås, eller
- e) for å fastsette, gjøre gjeldende eller forsvare rettskrav.
Artikkel 18
Rett til begrensning av behandling
- 1. Den registrerte skal ha rett til å kreve av den behandlingsansvarlige at behandlingen begrenses dersom et av de følgende forhold gjør seg gjeldende:
- a) den registrerte bestrider riktigheten av personopplysningene, i en periode som gjør det mulig for den behandlingsansvarlige å kontrollere riktigheten av personopplysningene,
- b) behandlingen er ulovlig og den registrerte motsetter seg sletting av personopplysningene og isteden anmoder om at bruken av personopplysningene begrenses,
- c) den behandlingsansvarlige ikke lenger trenger personopplysningene til formålet med behandlingen, men den registrerte har behov for disse for å fastsette, gjøre gjeldende eller forsvare rettskrav,
- d) den registrerte har protestert mot behandling i henhold til artikkel 21 nr. 1 i påvente av kontrollen av om hvorvidt den behandlingsansvarliges berettigede grunner går foran den registrertes.
- 2. Dersom behandlingen er blitt begrenset i henhold til nr. 1, skal slike personopplysninger, bortsett fra lagring, bare behandles med den registrertes samtykke eller for å fastsette, gjøre gjeldende eller forsvare rettskrav eller for å verne en annen fysisk eller juridisk persons rettigheter eller av hensyn til viktige allmenne interesser i Unionen eller en medlemsstat.
- 3. En registrert som har oppnådd begrensning av behandlingen i henhold til nr. 1, skal underrettes av den behandlingsansvarlige før nevnte begrensning av behandlingen oppheves.
Artikkel 19
Underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling
Den behandlingsansvarlige skal underrette enhver mottaker som har fått utlevert personopplysninger, om enhver retting eller sletting av personopplysninger eller begrensning av behandlingen utført i samsvar med artikkel 16, artikkel 17 nr. 1 og artikkel 18, med mindre dette viser seg å være umulig eller innebærer en uforholdsmessig stor innsats. Den behandlingsansvarlige skal underrette den registrerte om nevnte mottakere dersom den registrerte anmoder om det.
Artikkel 20
Rett til dataportabilitet
- 1. Den registrerte skal ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en behandlingsansvarlig, i et strukturert, alminnelig anvendt og maskinlesbart format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig uten at den behandlingsansvarlige som personopplysningene er gitt til, hindrer dette, dersom
- a) behandlingen er basert på samtykke i henhold til artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a) eller en avtale i henhold til artikkel 6 nr. 1 bokstav b), og
- b) behandlingen utføres automatisk.
- 2. Når den registrerte utøver sin rett til dataportabilitet i henhold til nr. 1, skal vedkommende, når det er teknisk mulig, ha rett til å få overført personopplysningene direkte fra en behandlingsansvarlig til en annen.
- 3. Utøvelse av rettigheten nevnt i nr. 1 i denne artikkel berører ikke artikkel 17. Nevnte rettighet får ikke anvendelse på behandling som er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.
- 4. Rettigheten nevnt i nr. 1 skal ikke ha negativ innvirkning på andres rettigheter og friheter.
Avsnitt 4
Rett til å protestere og automatiserte individuelle avgjørelser
Artikkel 21
Rett til å protestere
- 1. Den registrerte skal til enhver tid, av grunner knyttet til vedkommendes særlige situasjon, ha rett til å protestere mot behandling av personopplysninger om vedkommende, og som har grunnlag i artikkel 6 nr. 1 bokstav e) eller f), herunder profilering med grunnlag i nevnte bestemmelser. Den behandlingsansvarlige skal ikke lenger behandle personopplysningene, med mindre vedkommende kan påvise at det foreligger tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, eller for å fastsette, gjøre gjeldende eller forsvare rettskrav.
- 2. Dersom personopplysninger behandles med henblikk på direkte markedsføring, skal den registrerte til enhver tid ha rett til å protestere mot behandling av personopplysninger som angår vedkommende, til slik markedsføring, herunder profilering i den grad dette er knyttet til direkte markedsføring.
- 3. Dersom den registrerte protesterer mot behandling med henblikk på direkte markedsføring, skal personopplysningene ikke lenger behandles for slike formål.
- 4. Senest på tidspunktet for den første kommunikasjonen med den registrerte skal vedkommende uttrykkelig gjøres oppmerksom på rettigheten nevnt i nr. 1 og 2, og informasjon om nevnte rettighet skal framlegges på en klar måte og atskilt fra annen informasjon.
- 5. I forbindelse med bruk av informasjonssamfunnstjenester og uten hensyn til direktiv 2002/58/EF kan den registrerte utøve sin rett til å protestere ved hjelp av automatiserte midler ved bruk av tekniske spesifikasjoner.
- 6. Dersom personopplysninger behandles for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i henhold til artikkel 89 nr. 1, har den registrerte, av grunner knyttet til vedkommendes særlige situasjon, rett til å protestere mot behandling av personopplysninger om vedkommende, med mindre behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse.
Artikkel 22
Automatiserte individuelle avgjørelser, herunder profilering
- 1. Den registrerte skal ha rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende.
- 2. Nr. 1 får ikke anvendelse dersom avgjørelsen
- a) er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte og en behandlingsansvarlig,
- b) er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, og der det også er fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser, eller
- c) er basert på den registrertes uttrykkelige samtykke.
- 3. I tilfellene nevnt i nr. 2 bokstav a) og c) skal den behandlingsansvarlige gjennomføre egnede tiltak for å verne den registrertes rettigheter og friheter og berettigede interesser, i det minste retten til menneskelig inngripen fra den behandlingsansvarlige, til å uttrykke sine synspunkter og til å bestride avgjørelsen.
- 4. Avgjørelsene nevnt i nr. 2 skal ikke bygge på særlige kategorier av personopplysninger nevnt i artikkel 9 nr. 1, med mindre artikkel 9 nr. 2 bokstav a) eller g) får anvendelse og det er innført egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser.
Avsnitt 5
Begrensninger
Artikkel 23
Begrensninger
- 1. Unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige eller databehandleren er underlagt, kan ved lovgivningsmessige tiltak begrense rekkevidden av forpliktelsene og rettighetene fastsatt i artikkel 12–22 og artikkel 34 samt i artikkel 5 i den grad dens bestemmelser svarer til rettighetene og pliktene fastsatt i artikkel 12–22, når en slik begrensning overholder det vesentligste innholdet i de grunnleggende rettighetene og frihetene og er et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre
- a) den nasjonale sikkerhet,
- b) forsvaret,
- c) den offentlige sikkerhet,
- d) forebygging, etterforskning, avsløring eller straffeforfølging av straffbare forhold eller iverksettelse av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet,
- e) andre viktige mål av generell allmenn interesse for Unionen eller en medlemsstat, særlig Unionens eller en medlemsstats viktige økonomiske eller finansielle interesser, herunder valuta-, budsjett- og skattesaker, folkehelse og trygdespørsmål,
- f) beskyttelse av rettsvesenets uavhengighet samt retterganger,
- g) forebygging, etterforskning, avsløring og straffeforfølging av brudd på yrkesetiske regler i lovregulerte yrker,
- h) en kontroll-, tilsyns- eller reguleringsfunksjon som, også midlertidig, er knyttet til utøvelse av offentlig myndighet i tilfellene nevnt i bokstav a)–e) og g),
- i) vern av den registrertes interesser eller andres rettigheter og friheter,
- j) håndheving av sivilrettslige krav.
- 2. Alle lovgivningsmessige tiltak nevnt i nr. 1 skal, når det er relevant, minst inneholde særlige bestemmelser om
- a) formålene med behandlingen eller kategorier av behandling,
- b) kategoriene av personopplysninger,
- c) omfanget av begrensningene som er innført,
- d) garantiene for å unngå misbruk eller ulovlig tilgang eller overføring,
- e) spesifisering av den behandlingsansvarlige eller kategoriene av behandlingsansvarlige,
- f) lagringsperioder og gjeldende garantier, idet det tas hensyn til arten, omfanget av og formålene med behandlingen eller kategoriene av behandling,
- g) risikoene for de registrertes rettigheter og friheter og
- h) de registrertes rett til å bli underrettet om begrensningen, med mindre dette kan skade formålet med begrensningen.
Kapittel IV
Behandlingsansvarlig og databehandler
Avsnitt 1
Generelle forpliktelser
Artikkel 24
Den behandlingsansvarliges ansvar
- 1. Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov.
- 2. Dersom det står i et rimelig forhold til behandlingsaktivitetene, skal tiltakene nevnt i nr. 1 omfatte den behandlingsansvarliges iverksetting av egnede retningslinjer for vern av personopplysninger.
- 3. Overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 eller godkjente sertifiseringsmekanismer som nevnt i artikkel 42 kan brukes som en faktor for å påvise at den behandlingsansvarliges forpliktelser overholdes.
Artikkel 25
Innebygd personvern og personvern som standardinnstilling
- 1. Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene, behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter som behandlingen medfører, skal den behandlingsansvarlige, både på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen, og på tidspunktet for selve behandlingen, gjennomføre egnede tekniske og organisatoriske tiltak, f.eks. pseudonymisering, utformet med sikte på en effektiv gjennomføring av prinsippene for vern av personopplysninger, f.eks. dataminimering, og for å integrere de nødvendige garantier i behandlingen for å oppfylle kravene i denne forordning og verne de registrertes rettigheter.
- 2. Den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare er personopplysninger som er nødvendige for hvert spesifikke formål med behandlingen, som behandles. Nevnte forpliktelse får anvendelse på den mengden personopplysninger som samles inn, omfanget av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet. Nevnte tiltak skal særlig sikre at personopplysninger som standard ikke gjøres tilgjengelige for et ubegrenset antall fysiske personer uten den berørte personens medvirkning.
- 3. En godkjent sertifiseringsmekanisme i henhold til artikkel 42 kan brukes som en faktor for å påvise at kravene fastsatt i nr. 1 og 2 i denne artikkel overholdes.
Artikkel 26
Felles behandlingsansvarlige
- 1. Dersom to eller flere behandlingsansvarlige i fellesskap fastsetter formålene med og midlene for behandlingen, skal de være felles behandlingsansvarlige. De skal på en åpen måte fastsette sitt respektive ansvar for å overholde forpliktelsene i denne forordning, særlig med hensyn til utøvelse av den registrertes rettigheter og den plikt de har til å framlegge informasjonen nevnt i artikkel 13 og 14, ved hjelp av en ordning seg imellom, med mindre og i den grad de behandlingsansvarliges respektive ansvar er fastsatt i unionsretten eller medlemsstatenes nasjonale rett som de behandlingsansvarlige er underlagt. I ordningen kan det utpekes et kontaktpunkt for registrerte.
- 2. Ordningen nevnt i nr. 1 skal på behørig måte gjenspeile de felles behandlingsansvarliges respektive roller og forhold til de registrerte. Det vesentligste innholdet i ordningen skal gjøres tilgjengelig for den registrerte.
- 3. Uavhengig av vilkårene for ordningen nevnt i nr. 1 kan den registrerte utøve sine rettigheter i henhold til denne forordning med hensyn til og overfor hver av de behandlingsansvarlige.
Artikkel 27
Representanter for behandlingsansvarlige eller databehandlere som ikke er etablert i Unionen
- 1. Dersom artikkel 3 nr. 2 får anvendelse, skal den behandlingsansvarlige eller databehandleren skriftlig utpeke en representant i Unionen.
- 2. Forpliktelsen fastsatt i nr. 1 i denne artikkel får ikke anvendelse på
- a) behandling som skjer leilighetsvis, som ikke omfatter behandling i stor skala av særlige kategorier av opplysninger som nevnt i artikkel 9 nr. 1, eller behandling av personopplysninger om straffedommer eller lovovertredelser som nevnt i artikkel 10, og som sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, eller
- b) en offentlig myndighet eller et offentlig organ.
- 3. Representanten skal være etablert i en av medlemsstatene der de registrerte hvis personopplysninger behandles i forbindelse med tilbud av varer eller tjenester til dem eller hvis atferd monitoreres, befinner seg.
- 4. Den behandlingsansvarlige eller databehandleren skal gi representanten fullmakt til å være den, i tillegg til eller istedenfor den behandlingsansvarlige eller databehandleren, som især tilsynsmyndigheter og registrerte kan henvende seg til ved spørsmål om behandlingen, med henblikk på å sikre overholdelse av denne forordning.
- 5. Den behandlingsansvarliges eller databehandlerens utpeking av en representant skal ikke berøre eventuelle rettslige skritt mot den behandlingsansvarlige eller databehandleren selv.
Artikkel 28
Databehandler
- 1. Dersom en behandling skal utføres på vegne av en behandlingsansvarlig, skal den behandlingsansvarlige bare bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning og vern av den registrertes rettigheter.
- 2. Databehandleren skal ikke engasjere en annen databehandler uten at det på forhånd er innhentet særlig eller generell skriftlig tillatelse til dette fra den behandlingsansvarlige. Dersom det er innhentet en generell skriftlig tillatelse, skal databehandleren underrette den behandlingsansvarlige om eventuelle planer om å benytte andre databehandlere eller skifte ut databehandlere, og dermed gi den behandlingsansvarlige muligheten til å motsette seg slike endringer.
- 3. Behandling utført av en databehandler skal være underlagt en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett som er bindende for databehandleren med hensyn til den behandlingsansvarlige, og der gjenstanden for og varigheten av behandlingen, behandlingens art og formål, typen personopplysninger og kategorier av registrerte samt den behandlingsansvarliges rettigheter og plikter er fastsatt. I nevnte avtale eller nevnte andre rettslige dokument skal det særlig angis at databehandleren
- a) behandler personopplysningene bare på dokumenterte instrukser fra den behandlingsansvarlige, herunder med hensyn til overføring av personopplysninger til en tredjestat eller en internasjonal organisasjon, med mindre det kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt; i så fall skal databehandleren underrette den behandlingsansvarlige om nevnte rettslige krav før behandlingen, men mindre denne rett av hensyn til viktige allmenne interesser forbyr en slik underretning,
- b) sikrer at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene konfidensielt eller er underlagt en egnet lovfestet taushetsplikt,
- c) treffer alle tiltak som er nødvendig i henhold til artikkel 32,
- d) overholder vilkårene nevnt i nr. 2 og 4 når det gjelder å engasjere en annen databehandler,
- e) idet det tas hensyn til behandlingens art og i den grad det er mulig, bistår, ved hjelp av egnede tekniske og organisatoriske tiltak, den behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i kapittel III,
- f) bistår den behandlingsansvarlige med å sikre overholdelse av forpliktelsene i henhold til artikkel 32–36, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren,
- g) etter den behandlingsansvarliges valg, sletter eller tilbakeleverer alle personopplysninger til den behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende kopier, med mindre unionsretten eller medlemsstatenes nasjonale rett krever at personopplysningene lagres,
- h) gjør tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i denne artikkel er oppfylt, samt muliggjør og bidrar til revisjoner, herunder inspeksjoner, som gjennomføres av den behandlingsansvarlige eller en annen inspektør på fullmakt fra den behandlingsansvarlige.
- 4. Dersom en databehandler engasjerer en annen databehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal nevnte andre databehandler pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i avtalen eller i et annet rettslig dokument mellom den behandlingsansvarlige og databehandleren som nevnt i nr. 3, ved hjelp av en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett, der det særlig gis tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning. Dersom nevnte andre databehandler ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger, skal den opprinnelige databehandleren overfor den behandlingsansvarlige ha fullt ansvar for at nevnte andre databehandler oppfyller sine forpliktelser.
- 5. En databehandlers overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 eller en godkjent sertifiseringsmekanisme som nevnt i artikkel 42 kan brukes som en faktor for å påvise at det foreligger tilstrekkelige garantier som nevnt i nr. 1 og 4 i denne artikkel.
- 6. Uten at det berører en individuell avtale mellom den behandlingsansvarlige og databehandleren, kan avtalen eller det andre rettslige dokumentet nevnt i nr. 3 og 4 i denne artikkel helt eller delvis bygge på standardavtalevilkårene nevnt i nr. 7 og 8 i denne artikkel, herunder når de inngår i en sertifisering som er gitt den behandlingsansvarlige eller databehandleren i henhold til artikkel 42 og 43.
- 7. Kommisjonen kan fastsette standardavtalevilkår for tilfellene nevnt i nr. 3 og 4 i denne artikkel og i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.
- 8. En tilsynsmyndighet kan vedta standardavtalevilkår for tilfellene nevnt i nr. 3 og 4 i denne artikkel og i samsvar med konsistensmekanismen nevnt i artikkel 63.
- 9. Avtalen eller det andre rettslige dokumentet nevnt i nr. 3 og 4 skal være skriftlig, herunder elektronisk.
- 10. Dersom en databehandler overtrer bestemmelsene i denne forordning ved å fastsette formålene med og midlene for behandlingen, skal databehandleren anses for å være en behandlingsansvarlig med hensyn til nevnte behandling, uten at det berører artikkel 82, 83 og 84.
Artikkel 29
Behandling som utføres for den behandlingsansvarlige eller databehandleren
Databehandleren og enhver person som handler for den behandlingsansvarlige eller databehandleren, og som har tilgang til personopplysninger, skal behandle nevnte opplysninger bare etter instruks fra den behandlingsansvarlige, med mindre det kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett.
Artikkel 30
Protokoller over behandlingsaktiviteter
- 1. Hver behandlingsansvarlig og, dersom det er relevant, den behandlingsansvarliges representant skal føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar. Nevnte protokoll skal inneholde følgende informasjon:
- a) navnet på og kontaktopplysningene til den behandlingsansvarlige og, dersom det er relevant, den felles behandlingsansvarlige, den behandlingsansvarliges representant og personvernombudet,
- b) formålene med behandlingen,
- c) en beskrivelse av kategoriene av registrerte og kategoriene av personopplysninger,
- d) kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, herunder mottakere i tredjestater eller internasjonale organisasjoner,
- e) dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier,
- f) dersom det er mulig, de planlagte tidsfristene for sletting av de forskjellige kategoriene av opplysninger,
- g) dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.
- 2. Hver databehandler og, dersom det er relevant, databehandlerens representant skal føre en protokoll over alle kategorier av behandlingsaktiviteter som er utført på vegne av en behandlingsansvarlig, og som skal inneholde:
- a) navnet på og kontaktopplysningene til databehandleren eller databehandlerne og til hver behandlingsansvarlig som databehandleren opptrer på vegne av, samt, dersom det er relevant, den behandlingsansvarliges eller databehandlerens representant og personvernombudet,
- b) kategoriene av behandling utført på vegne av hver behandlingsansvarlig,
- c) dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier,
- d) dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.
- 3. Protokollene nevnt i nr. 1 og 2 skal være skriftlige, herunder elektroniske.
- 4. Den behandlingsansvarlige eller databehandleren og, dersom det er relevant, den behandlingsansvarliges eller databehandlerens representant skal på anmodning gjøre protokollen tilgjengelig for tilsynsmyndigheten.
- 5. Forpliktelsene nevnt i nr. 1 og 2 gjelder ikke et foretak eller en organisasjon med færre enn 250 ansatte, med mindre behandlingen det/den utfører, sannsynligvis vil medføre en risiko for de registrertes rettigheter og friheter, behandlingen ikke skjer leilighetsvis eller omfatter særlige kategorier av opplysninger som nevnt i artikkel 9 nr. 1 eller personopplysninger om straffedommer og lovovertredelser nevnt i artikkel 10.
Artikkel 31
Samarbeid med tilsynsmyndigheten
Den behandlingsansvarlige og databehandleren og, dersom det er relevant, deres representanter skal på anmodning samarbeide med tilsynsmyndigheten i forbindelse med utførelsen av dens oppgaver.
Avsnitt 2
Personopplysningssikkerhet
Artikkel 32
Sikkerhet ved behandlingen
- 1. Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder blant annet, alt etter hva som er egnet,
- a) pseudonymisering og kryptering av personopplysninger,
- b) evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene,
- c) evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse,
- d) en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.
- 2. Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.
- 3. Overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 eller en godkjent sertifiseringsmekanisme som nevnt i artikkel 42 kan brukes som en faktor for å påvise at kravene i nr. 1 i denne artikkel er oppfylt.
- 4. Den behandlingsansvarlige og databehandleren skal treffe tiltak for å sikre at enhver fysisk person som handler for den behandlingsansvarlige eller databehandleren, og som har tilgang til personopplysninger, behandler nevnte opplysninger bare etter instruks fra den behandlingsansvarlige, med mindre unionsretten eller medlemsstatenes nasjonale rett krever at vedkommende gjør dette.
Artikkel 33
Melding til tilsynsmyndigheten om brudd på personopplysningssikkerheten
- 1. Ved brudd på personopplysningssikkerheten skal den behandlingsansvarlige uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet til vedkommende tilsynsmyndighet i samsvar med artikkel 55, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom bruddet ikke meldes til tilsynsmyndigheten innen 72 timer, skal årsakene til forsinkelsen oppgis.
- 2. Etter å ha fått kjennskap til et brudd på personopplysningssikkerheten skal databehandleren uten ugrunnet opphold underrette den behandlingsansvarlige.
- 3. Meldingen nevnt i nr. 1 skal minst
- a) beskrive arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt,
- b) inneholde navnet på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes,
- c) beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,
- d) beskrive de tiltak som den behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.
- 4. Dersom og i den grad det ikke er mulig å gi all informasjon samtidig, kan den gis trinnvis uten ytterligere ugrunnet opphold.
- 5. Den behandlingsansvarlige skal dokumentere ethvert brudd på personopplysningssikkerheten, herunder de faktiske forhold rundt nevnte brudd, virkningene av det og hvilke tiltak som er truffet for å utbedre det. Denne dokumentasjonen skal gjøre det mulig for tilsynsmyndigheten å kontrollere samsvar med denne artikkel.
Artikkel 34
Underretning av den registrerte om brudd på personopplysningssikkerheten
- 1. Dersom det er sannsynlig at bruddet på personopplysningssikkerheten vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige uten ugrunnet opphold underrette den registrerte om bruddet.
- 2. Underretningen til den registrerte nevnt i nr. 1 i denne artikkel skal inneholde en klar og tydelig beskrivelse av arten av bruddet på personopplysningssikkerheten og minst informasjonen og tiltakene nevnt i artikkel 33 nr. 3 bokstav b), c) og d).
- 3. Underretningen til den registrerte nevnt i nr. 1 er ikke påkrevd dersom noen av følgende vilkår er oppfylt:
- a) den behandlingsansvarlige har gjennomført egnede tekniske og organisatoriske sikkerhetstiltak, og disse tiltakene er blitt anvendt på personopplysningene som er berørt av bruddet på personopplysningssikkerheten, særlig tiltak som gjør personopplysningene uleselige for enhver person som ikke har autorisert tilgang til dem, f.eks. kryptering,
- b) den behandlingsansvarlige har truffet etterfølgende tiltak som sikrer at det ikke lenger er sannsynlig at den høye risikoen for de registrertes rettigheter og friheter nevnt i nr. 1 vil oppstå,
- c) det vil innebære en uforholdsmessig stor innsats. Dersom dette er tilfellet, skal allmennheten isteden underrettes, eller det skal treffes et lignende tiltak som sikrer at de registrerte underrettes på en like effektiv måte.
- 4. Dersom den behandlingsansvarlige ikke allerede har underrettet den registrerte om bruddet på personopplysningssikkerheten, kan tilsynsmyndigheten, etter å ha vurdert sannsynligheten for at bruddet vil medføre en høy risiko, kreve at den behandlingsansvarlige gjør dette, eller beslutte at ett eller flere av vilkårene nevnt i nr. 3 er oppfylt.
Avsnitt 3
Vurdering av personvernkonsekvenser og forhåndsdrøftinger
Artikkel 35
Vurdering av personvernkonsekvenser
- 1. Dersom det er sannsynlig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet. En vurdering kan omfatte flere lignende behandlingsaktiviteter som innebærer tilsvarende høye risikoer.
- 2. Den behandlingsansvarlige skal rådføre seg med personvernombudet, dersom et personvernombud er utpekt, i forbindelse med utførelsen av en vurdering av personvernkonsekvenser.
- 3. En vurdering av personvernkonsekvenser som nevnt i nr. 1 skal særlig være nødvendig i følgende tilfeller:
- a) en systematisk og omfattende vurdering av personlige aspekter ved fysiske personer som er basert på automatisert behandling, herunder profilering, og som danner grunnlag for avgjørelser som har rettsvirkning for den fysiske personen eller på lignende måte i betydelig grad påvirker den fysiske personen,
- b) behandling i stor skala av særlige kategorier av opplysninger som nevnt i artikkel 9 nr. 1, eller av personopplysninger om straffedommer og lovovertredelser som nevnt i artikkel 10, eller
- c) en systematisk overvåking i stor skala av et offentlig tilgjengelig område.
- 4. Tilsynsmyndigheten skal utarbeide og offentliggjøre en liste over hvilke typer behandlingsaktiviteter som omfattes av kravet om vurdering av personvernkonsekvenser i henhold til nr. 1. Tilsynsmyndigheten skal oversende nevnte lister til Personvernrådet nevnt i artikkel 68.
- 5. Tilsynsmyndigheten kan også utarbeide og offentliggjøre en liste over hvilke typer behandlingsaktiviteter det ikke kreves at det utføres en vurdering av personvernkonsekvenser for. Tilsynsmyndigheten skal oversende nevnte lister til Personvernrådet.
- 6. Før listene nevnt i nr. 4 og 5 godkjennes, skal vedkommende tilsynsmyndighet anvende konsistensmekanismen nevnt i artikkel 63 dersom slike lister omfatter behandlingsaktiviteter som gjelder tilbud av varer eller tjenester til registrerte eller monitorering av deres atferd i flere medlemsstater, eller som i betydelig grad kan påvirke den frie utveksling av personopplysninger i Unionen.
- 7. Vurderingen skal minst inneholde
- a) en systematisk beskrivelse av de planlagte behandlingsaktivitetene og formålene med behandlingen, herunder, dersom det er relevant, den berettigede interessen som forfølges av den behandlingsansvarlige,
- b) en vurdering av om behandlingsaktivitetene er nødvendige og står i et rimelig forhold til formålene,
- c) en vurdering av risikoene for de registrertes rettigheter og friheter som nevnt i nr. 1, og
- d) de planlagte tiltakene for å håndtere risikoene, herunder garantier, sikkerhetstiltak og mekanismer for å sikre vern av personopplysninger og for å påvise at denne forordning overholdes, idet det tas hensyn til de registrertes og andre berørte personers rettigheter og berettigede interesser.
- 8. Det skal tas behørig hensyn til de berørte behandlingsansvarliges eller databehandleres overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 ved vurderingen av konsekvensene av behandlingsaktivitetene som utføres av nevnte behandlingsansvarlige eller databehandlere, særlig med henblikk på en vurdering av personvernkonsekvenser.
- 9. Dersom det er relevant, skal den behandlingsansvarlige innhente synspunkter på den planlagte behandlingen fra de registrerte eller deres representanter uten at det berører vernet av kommersielle eller allmenne interesser eller sikkerheten ved behandlingsaktivitetene.
- 10. Dersom behandling i henhold til artikkel 6 nr. 1 bokstav c) eller e) har et rettslig grunnlag i unionsretten eller retten i medlemsstaten som den behandlingsansvarlige er underlagt, og nevnte rett regulerer den eller de aktuelle spesifikke behandlingsaktivitetene, og det allerede er utført en vurdering av personvernkonsekvenser som en del av en generell konsekvensvurdering i forbindelse med vedtakelse av nevnte rettslige grunnlag, får nr. 1–7 ikke anvendelse, med mindre medlemsstatene anser det nødvendig å utføre en slik vurdering før behandlingsaktivitetene.
- 11. Ved behov skal den behandlingsansvarlige foreta en gjennomgåelse for å vurdere om behandlingen utføres i samsvar med vurderingen av personvernkonsekvenser, i det minste dersom risikoen som behandlingen medfører, endres.
Artikkel 36
Forhåndsdrøftinger
- 1. Den behandlingsansvarlige skal rådføre seg med tilsynsmyndigheten før behandlingen dersom en vurdering av personvernkonsekvenser i henhold til artikkel 35 tilsier at behandlingen vil medføre en høy risiko dersom den behandlingsansvarlige ikke treffer tiltak for å redusere risikoen.
- 2. Dersom tilsynsmyndigheten mener at den planlagte behandlingen nevnt i nr. 1 vil være i strid med denne forordning, særlig dersom den behandlingsansvarlige ikke i tilstrekkelig grad har identifisert eller redusert risikoen, skal tilsynsmyndigheten innen en frist på opptil åtte uker fra mottak av anmodningen om drøftinger, gi den behandlingsansvarlige og, dersom det er relevant, databehandleren skriftlige råd, og kan i den forbindelse benytte den myndighet den har i henhold til artikkel 58. Denne fristen kan forlenges med seks uker, idet det tas hensyn til den planlagte behandlingens kompleksitet. Tilsynsmyndigheten skal underrette den behandlingsansvarlige og, dersom det er relevant, databehandleren om en eventuell forlengelse, sammen med årsakene til dette, senest én måned etter å ha mottatt anmodningen om drøftinger. Disse fristene kan utsettes midlertidig fram til tilsynsmyndigheten har innhentet informasjonen den har anmodet i forbindelse med drøftingene.
- 3. Ved drøftinger med tilsynsmyndigheten i henhold til nr. 1 skal den behandlingsansvarlige framlegge det følgende for tilsynsmyndigheten:
- a) dersom det er relevant, ansvarsfordelingen mellom den behandlingsansvarlige, de felles behandlingsansvarlige og databehandlerne som er involvert i behandlingen, særlig ved behandling i et konsern,
- b) formålene med og midlene for den planlagte behandlingen,
- c) tiltakene og garantiene som er fastsatt for å verne de registrertes rettigheter og friheter i henhold til denne forordning,
- d) dersom det er relevant, kontaktopplysningene til personvernombudet,
- e) vurderingen av personvernkonsekvenser fastsatt i artikkel 35 og
- f) all annen informasjon som tilsynsmyndigheten anmoder om.
- 4. Medlemsstatene skal rådføre seg med tilsynsmyndigheten ved utarbeiding av forslag til lovgivning som skal vedtas av et nasjonalt parlament, eller av et reguleringstiltak som er basert på slik lovgivning, og som er knyttet til behandling.
- 5. Uten hensyn til nr. 1 kan det i medlemsstatenes nasjonale rett kreves at de behandlingsansvarlige skal rådføre seg med og innhente forhåndsgodkjenning fra tilsynsmyndigheten i forbindelse med en oppgave som utføres av en behandlingsansvarlig i allmennhetens interesse, herunder knyttet til sosial trygghet og folkehelse.
Avsnitt 4
Personvernombud
Artikkel 37
Utpeking av et personvernombud
- 1. Den behandlingsansvarlige og databehandleren skal utpeke et personvernombud når
- a) behandlingen utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som opptrer innenfor rammen av sin domsmyndighet,
- b) den behandlingsansvarliges eller databehandlerens kjernevirksomhet består av behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller
- c) den behandlingsansvarliges eller databehandlerens kjernevirksomhet består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9 samt personopplysninger om straffedommer og lovovertredelser som nevnt i artikkel 10.
- 2. Et konsern kan utnevne ett personvernombud, forutsatt at alle virksomhetene har enkel tilgang til vedkommende.
- 3. Dersom den behandlingsansvarlige eller databehandleren er en offentlig myndighet eller et offentlig organ, kan det utpekes ett personvernombud for flere av nevnte myndigheter eller organer, idet det tas hensyn til deres organisasjonsstruktur og størrelse.
- 4. I andre tilfeller enn dem nevnt i nr. 1 kan eller, dersom det kreves i unionsretten eller i medlemsstatenes nasjonale rett, skal den behandlingsansvarlige eller databehandleren eller sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, utpeke et personvernombud. Personvernombudet kan handle på vegne av nevnte sammenslutninger og andre organer som representerer behandlingsansvarlige eller databehandlere.
- 5. Personvernombudet skal utpekes på grunnlag av faglige kvalifikasjoner og særlig på grunnlag av dybdekunnskap om personvernlovgivning og praksis på området samt evne til å utføre oppgavene nevnt i artikkel 39.
- 6. Personvernombudet kan være en ansatt hos den behandlingsansvarlige eller databehandleren eller utføre oppgavene på grunnlag av en tjenesteavtale.
- 7. Den behandlingsansvarlige eller databehandleren skal offentliggjøre kontaktopplysningene til personvernombudet og meddele disse til tilsynsmyndigheten.
Artikkel 38
Personvernombudets stilling
- 1. Den behandlingsansvarlige og databehandleren skal sikre at personvernombudet på riktig måte og i rett tid involveres i alle spørsmål som gjelder vern av personopplysninger.
- 2. Den behandlingsansvarlige og databehandleren skal støtte personvernombudet i forbindelse med utførelsen av oppgavene nevnt i artikkel 39 ved å stille til rådighet de ressurser som er nødvendig for å utføre nevnte oppgaver, samt gi tilgang til personopplysninger og behandlingsaktiviteter og gjøre det mulig for vedkommende å opprettholde sin dybdekunnskap.
- 3. Den behandlingsansvarlige og databehandleren skal sikre at personvernombudet ikke mottar instrukser om utførelsen av nevnte oppgaver. Vedkommende skal ikke avsettes eller straffes av den behandlingsansvarlige eller databehandleren for å utføre sine oppgaver. Personvernombudet skal rapportere direkte til det høyeste ledelsesnivået hos den behandlingsansvarlige eller databehandleren.
- 4. De registrerte kan kontakte personvernombudet angående alle spørsmål om behandling av deres personopplysninger og om utøvelsen av de rettighetene de har i henhold til denne forordning.
- 5. Personvernombudet skal være bundet av taushetsplikt eller en plikt til konfidensiell behandling av opplysninger ved utførelse av sine oppgaver i samsvar med unionsretten eller medlemsstatenes nasjonale rett.
- 6. Personvernombudet kan utføre andre oppgaver og ha andre plikter. Den behandlingsansvarlige eller databehandleren skal sikre at nevnte oppgaver eller plikter ikke fører til en interessekonflikt.
Artikkel 39
Personvernombudets oppgaver
- 1. Personvernombudet skal minst ha følgende oppgaver:
- a) informere og gi råd til den behandlingsansvarlige eller databehandleren og de ansatte som utfører behandlingen, om de forpliktelsene de har i henhold til denne forordning, og i henhold til andre av Unionens eller medlemsstatenes bestemmelser om vern av personopplysninger,
- b) kontrollere overholdelsen av denne forordning, av andre av Unionens eller medlemsstatenes personvernregler og den behandlingsansvarliges eller databehandlerens personvernretningslinjer, herunder fordeling av ansvar, holdningsskapende tiltak og opplæring av personellet som er involvert i behandlingsaktivitetene, og tilhørende revisjoner,
- c) på anmodning gi råd om vurderingen av personvernkonsekvenser og kontrollere gjennomføringen av den i henhold til artikkel 35,
- d) samarbeide med tilsynsmyndigheten,
- e) fungere som kontaktpunkt for tilsynsmyndigheten ved spørsmål om behandlingen, herunder forhåndsdrøftingene nevnt i artikkel 36, og ved behov rådføre seg med tilsynsmyndigheten om eventuelle andre spørsmål.
- 2. Personvernombudet skal ved utførelsen av sine oppgaver ta behørig hensyn til risikoene forbundet med behandlingsaktivitetene, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i.
Avsnitt 5
Atferdsnormer og sertifisering
Artikkel 40
Atferdsnormer
- 1. Medlemsstatene, tilsynsmyndighetene, Personvernrådet og Kommisjonen skal oppmuntre til at det utarbeides atferdsnormer som skal bidra til riktig anvendelse av denne forordning, idet det tas hensyn til de særlige forholdene i de forskjellige behandlingssektorene og de særlige behovene til svært små, små og mellomstore bedrifter.
- 2. Sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, kan utarbeide atferdsnormer, eller endre eller utvide omfanget av slike regler, for å angi anvendelsen av denne forordning nærmere, f.eks. med hensyn til
- a) rettferdig og åpen behandling,
- b) de berettigede interessene som forfølges av behandlingsansvarlige i bestemte sammenhenger,
- c) innsamling av personopplysninger,
- d) pseudonymisering av personopplysninger,
- e) informasjonen som gis allmennheten og de registrerte,
- f) utøvelsen av registrertes rettigheter,
- g) informasjonen som gis til barn, og vern av barn, samt måten samtykke fra de personer som har foreldreansvar for barn, innhentes på,
- h) tiltakene og framgangsmåtene nevnt i artikkel 24 og 25 og tiltakene for å ivareta sikkerheten ved behandlingen nevnt i artikkel 32,
- i) melding av brudd på personopplysningssikkerheten til tilsynsmyndigheter og underretning av registrerte om nevnte brudd,
- j) overføring av personopplysninger til tredjestater eller internasjonale organisasjoner eller
- k) utenrettslige prosesser og andre mekanismer for tvisteløsning mellom behandlingsansvarlige og registrerte med hensyn til behandling, uten at det berører de registrertes rettigheter i henhold til artikkel 77 og 79.
- 3. Atferdsnormer som er godkjent i henhold til nr. 5 i denne artikkel, og som har allmenn gyldighet i henhold til nr. 9 i denne artikkel, kan, i tillegg til at behandlingsansvarlige eller databehandlere som omfattes av denne forordning, overholder dem, også overholdes av behandlingsansvarlige eller databehandlere som ikke omfattes av denne forordning i henhold til artikkel 3, med henblikk på å gi nødvendige garantier i forbindelse med overføring av personopplysninger til tredjestater eller internasjonale organisasjoner i henhold til vilkårene nevnt i artikkel 46 nr. 2 bokstav e). Nevnte behandlingsansvarlige eller databehandlere skal, gjennom avtaler eller andre rettslig bindende virkemidler, inngå bindende og håndhevbare forpliktelser om å anvende slike nødvendige garantier, herunder med hensyn til de registrertes rettigheter.
- 4. Atferdsnormene nevnt i nr. 2 i denne artikkel skal inneholde mekanismer som gjør det mulig for organet nevnt i artikkel 41 nr. 1 å utføre det obligatoriske tilsynet med at behandlingsansvarlige eller databehandlere som forplikter seg til å anvende atferdsnormene, overholder dem, uten at det berører oppgavene og myndigheten til tilsynsmyndighetene som har kompetanse i henhold til artikkel 55 eller 56.
- 5. Sammenslutninger og andre organer nevnt i nr. 2 i denne artikkel som har til hensikt å utarbeide atferdsnormer eller endre eller utvide eksisterende atferdsnormer, skal framlegge utkastet til, endringen eller utvidelsen av atferdsnormene for tilsynsmyndigheten som har kompetanse i henhold til artikkel 55. Tilsynsmyndigheten skal avgi uttalelse om hvorvidt utkastet til, endringen eller utvidelsen av atferdsnormene oppfyller kravene i denne forordning, og skal godkjenne nevnte utkast til, endring eller utvidelse av atferdsnormene dersom den finner at de inneholder tilstrekkelige og nødvendige garantier.
- 6. Dersom utkastet til, endringen eller utvidelsen av atferdsnormene godkjennes i samsvar med nr. 5, og dersom de berørte atferdsnormene ikke gjelder behandlingsaktiviteter i flere medlemsstater, skal tilsynsmyndigheten registrere og offentliggjøre atferdsnormene.
- 7. Dersom et utkast til atferdsnormer gjelder behandlingsaktiviteter i flere medlemsstater, skal tilsynsmyndigheten som har kompetanse i henhold til artikkel 55, før utkastet til, endringen eller utvidelsen av atferdsnormene godkjennes, oversende dem i henhold til framgangsmåten nevnt i artikkel 63 til Personvernrådet, som skal avgi uttalelse om hvorvidt utkastet til, endringen eller utvidelsen av atferdsnormene oppfyller kravene i denne forordning eller, i tilfellet nevnt i nr. 3 i denne artikkel, inneholder nødvendige garantier.
- 8. Dersom uttalelsen nevnt i nr. 7 bekrefter at utkastet til, endringen eller utvidelsen av atferdsnormene er i samsvar med denne forordning eller, i tilfellet nevnt i nr. 3, inneholder nødvendige garantier, skal Personvernrådet framlegge sin uttalelse for Kommisjonen.
- 9. Kommisjonen kan ved hjelp av gjennomføringsrettsakter beslutte at de godkjente atferdsnormene, endringen eller utvidelsen av dem som den har mottatt i henhold til nr. 8 i denne artikkel, har allmenn gyldighet i Unionen. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren fastsatt i artikkel 93 nr. 2.
- 10. Kommisjonen skal sørge for at de godkjente atferdsnormene som det er besluttet har allmenn gyldighet i samsvar med nr. 9, offentliggjøres på egnet måte.
- 11. Personvernrådet skal samle alle godkjente atferdsnormer, endringer og utvidelser av dem i et register, og skal gjøre dem offentlig tilgjengelig på egnet måte.
Artikkel 41
Kontroll av godkjente atferdsnormer
- 1. Uten at det berører vedkommende tilsynsmyndighets oppgaver og myndighet i henhold til artikkel 57 og 58, kan tilsynet med at atferdsnormene overholdes i henhold til artikkel 40 utføres av et organ med et egnet nivå av dybdekunnskap om temaet for atferdsnormene og som er akkreditert for dette formål av vedkommende tilsynsmyndighet.
- 2. Et organ som nevnt i nr. 1 kan akkrediteres til å føre tilsyn med overholdelsen av atferdsnormer dersom nevnte organ har
- a) vist at det er uavhengig og har dybdekunnskap om temaet for atferdsnormene på en måte som oppfyller vedkommende tilsynsmyndighets krav,
- b) fastsatt framgangsmåter som gjør det mulig å vurdere om berørte behandlingsansvarlige og databehandlere oppfyller vilkårene for anvendelse av atferdsnormene, føre tilsyn med at de overholdes og foreta regelmessige gjennomgåelser av atferdsnormenes virkemåte,
- c) fastsatt framgangsmåter og rutiner for behandling av klager på overtredelser av atferdsnormene eller måten de er blitt eller blir gjennomført på av den behandlingsansvarlige eller databehandleren, og gjøre nevnte framgangsmåter og rutiner åpne for de registrerte og allmennheten, og
- d) vist, på en måte som oppfyller vedkommende tilsynsmyndighets krav, at oppgavene eller pliktene ikke fører til en interessekonflikt.
- 3. Vedkommende tilsynsmyndighet skal legge fram et utkast til vilkår for akkreditering av et organ som nevnt i nr. 1 i denne artikkel for Personvernrådet i henhold til konsistensmekanismen nevnt i artikkel 63.
- 4. Uten at det berører vedkommende tilsynsmyndighets oppgaver og myndighet og bestemmelsene i kapittel VIII, skal et organ som nevnt i nr. 1 i denne artikkel, under forutsetning av nødvendige garantier, treffe egnede tiltak i tilfelle en behandlingsansvarlig eller databehandler ikke overholder atferdsnormene, herunder suspendere eller utelukke den berørte behandlingsansvarlige eller databehandleren fra atferdsnormene. Det skal underrette vedkommende tilsynsmyndighet om nevnte tiltak og årsakene til at de er truffet.
- 5. Vedkommende tilsynsmyndighet skal tilbakekalle akkrediteringen av et organ som nevnt i nr. 1 dersom vilkårene for akkreditering ikke eller ikke lenger oppfylles, eller dersom tiltak som er truffet av organet, er i strid med bestemmelsene i denne forordning.
- 6. Denne artikkel får ikke anvendelse på behandling utført av offentlige myndigheter og organer.
Artikkel 42
Sertifisering
- 1. Medlemsstatene, tilsynsmyndighetene, Personvernrådet og Kommisjonen skal, særlig på unionsplan, oppmuntre til at det opprettes mekanismer for personvernsertifisering samt personvernsegl og -merker med det som mål å påvise at de behandlingsansvarliges og databehandlernes behandlingsaktiviteter oppfyller kravene i denne forordning. Det skal tas hensyn til de særlige behovene til svært små, små og mellomstore bedrifter.
- 2. Mekanismer for personvernsertifisering, personvernsegl eller -merker som er godkjent i henhold til nr. 5 i denne artikkel, kan, i tillegg til at de overholdes av behandlingsansvarlige eller databehandlere som omfattes av denne forordning, fastsettes med det formål å påvise at det foreligger nødvendige garantier gitt av behandlingsansvarlige eller databehandlere som ikke omfattes av denne forordning i henhold til artikkel 3, i forbindelse med overføring av personopplysninger til tredjestater eller internasjonale organisasjoner på vilkårene nevnt i artikkel 46 nr. 2 bokstav f). Nevnte behandlingsansvarlige eller databehandlere skal, gjennom avtaler eller andre rettslig bindende virkemidler, inngå bindende og håndhevbare forpliktelser om å anvende nevnte nødvendige garantier, herunder for å ivareta de registrertes rettigheter.
- 3. Sertifiseringen skal være frivillig og tilgjengelig gjennom en åpen prosess.
- 4. En sertifisering i henhold til denne artikkel begrenser ikke den behandlingsansvarliges eller databehandlerens ansvar for å oppfylle kravene i denne forordning, og berører ikke oppgavene og myndigheten til tilsynsmyndighetene som har kompetanse i henhold til artikkel 55 eller 56.
- 5. En sertifisering i henhold til denne artikkel skal utstedes av sertifiseringsorganene nevnt i artikkel 43 eller av vedkommende tilsynsmyndighet på grunnlag av kriterier som er godkjent av nevnte vedkommende myndighet i henhold til artikkel 58 nr. 3, eller av Personvernrådet i henhold til artikkel 63. Dersom kriteriene er godkjent av Personvernrådet, kan dette føre til en felles sertifisering – det europeiske personvernsegl.
- 6. Den behandlingsansvarlige eller databehandleren som forelegger sin behandling for sertifiseringsmekanismen, skal gi sertifiseringsorganet nevnt i artikkel 43 eller, dersom det er relevant, vedkommende tilsynsmyndighet all informasjon samt tilgang til de behandlingsaktivitetene som er nødvendig for å gjennomføre sertifiseringen.
- 7. Sertifiseringen skal utstedes til en behandlingsansvarlig eller databehandler for en periode på høyst tre år og kan fornyes på samme vilkår, forutsatt at relevante krav fortsatt er oppfylt. Sertifiseringen skal tilbakekalles av sertifiseringsorganene nevnt i artikkel 43 eller av vedkommende tilsynsmyndighet, etter hva som er relevant, dersom kravene til sertifisering ikke lenger er oppfylt.
- 8. Personvernrådet skal samle alle sertifiseringsmekanismer og personvernsegl og -merker i et register, og skal gjøre dem offentlig tilgjengelig på egnet måte.
Artikkel 43
Sertifiseringsorganer
- 1. Uten at det berører vedkommende tilsynsmyndigheters oppgaver og myndighet i henhold til artikkel 57 og 58, skal sertifiseringsorganer som har et egnet nivå av dybdekunnskap om vern av personopplysninger, etter å ha underrettet tilsynsmyndigheten slik at den kan utøve sin myndighet i henhold til artikkel 58 nr. 2 bokstav h) når det er nødvendig, utstede og fornye sertifiseringen. Medlemsstatene skal sikre at nevnte sertifiseringsorganer akkrediteres av en eller begge av følgende:
- a) tilsynsmyndigheten som har kompetanse i henhold til artikkel 55 eller 56,
- b) det nasjonale akkrediteringsorganet som er utpekt i samsvar med europaparlaments- og rådsforordning (EF) nr. 765/200820 i samsvar med EN-ISO/IEC 17065/2012, og med tilleggskravene fastsatt av tilsynsmyndigheten som har kompetanse i henhold til artikkel 55 eller 56.
- 2. Sertifiseringsorganer nevnt i nr. 1 skal akkrediteres i samsvar med nevnte nummer bare dersom de har
- a) vist at de er uavhengige og har dybdekunnskap om sertifiseringens innhold på en måte som oppfyller vedkommende tilsynsmyndighets krav,
- b) forpliktet seg til å overholde kriteriene nevnt i artikkel 42 nr. 5 og som er godkjent av tilsynsmyndigheten som har kompetanse i henhold til artikkel 55 eller 56, eller av Personvernrådet i henhold til artikkel 63,
- c) fastsatt framgangsmåter for utstedelse, regelmessig gjennomgåelse og tilbakekalling av en personvernsertifisering og personvernsegl og -merker,
- d) fastsatt framgangsmåter og rutiner for behandling av klager på overtredelser av sertifiseringen eller måten sertifiseringen er blitt eller blir gjennomført på av den behandlingsansvarlige eller databehandleren, og gjøre nevnte framgangsmåter og rutiner åpne for de registrerte og allmennheten, og
- e) vist, på en måte som oppfyller vedkommende tilsynsmyndighets krav, at deres oppgaver og plikter ikke fører til en interessekonflikt.
- 3. Akkrediteringen av sertifiseringsorganer som nevnt i nr. 1 og 2 i denne artikkel skal skje på grunnlag av kriterier som er godkjent av tilsynsmyndigheten som har kompetanse i henhold til artikkel 55 eller 56, eller av Personvernrådet i henhold til artikkel 63. Ved akkreditering i henhold til nr. 1 bokstav b) i denne artikkel skal nevnte krav utfylle kravene fastsatt i forordning (EF) nr. 765/2008 og de tekniske reglene som beskriver sertifiseringsorganenes metoder og framgangsmåter.
- 4. Sertifiseringsorganene nevnt i nr. 1 skal ha ansvar for å utføre en egnet vurdering som fører til sertifisering eller tilbakekalling av nevnte sertifisering, uten at det berører den behandlingsansvarliges eller databehandlerens ansvar for å overholde kravene i denne forordning. Akkrediteringen skal utstedes for en periode på høyst fem år og kan fornyes på samme vilkår, forutsatt at sertifiseringsorganet oppfyller kravene i denne artikkel.
- 5. Sertifiseringsorganene nevnt i nr. 1 skal underrette vedkommende tilsynsmyndighet om årsakene til at sertifiseringen det er anmodet om, er utstedt eller tilbakekalt.
- 6. Kravene nevnt i nr. 3 i denne artikkel og kriteriene nevnt i artikkel 42 nr. 5 skal offentliggjøres av tilsynsmyndigheten i et lett tilgjengelig format. Tilsynsmyndighetene skal også oversende nevnte krav og kriterier til Personvernrådet. Personvernrådet skal samle sertifiseringsmekanismer og personvernsegl i et register, og skal gjøre dem offentlig tilgjengelig på egnet måte.
- 7. Uten at det berører kapittel VIII, skal vedkommende tilsynsmyndighet eller det nasjonale akkrediteringsorganet trekke tilbake en akkreditering av et sertifiseringsorgan i henhold til nr. 1 i denne artikkel dersom vilkårene for akkrediteringen ikke eller ikke lenger overholdes, eller dersom tiltak truffet av sertifiseringsorganet er i strid med denne forordning.
- 8. Kommisjonen skal gis myndighet til å vedta delegerte rettsakter i samsvar med artikkel 92 for å fastsette de krav som skal tas i betraktning med henblikk på mekanismene for personvernsertifisering nevnt i artikkel 42 nr. 1.
- 9. Kommisjonen kan vedta gjennomføringsrettsakter der det fastsettes tekniske standarder for sertifiseringsmekanismer og personvernsegl og -merker, og mekanismer for å fremme og anerkjenne nevnte sertifiseringsmekanismer, segl og merker. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.
Kapittel V
Overføring av personopplysninger til tredjestater eller internasjonale organisasjoner
Artikkel 44
Generelt prinsipp for overføring
Enhver overføring av personopplysninger som behandles eller skal behandles etter overføring til en tredjestat eller til en internasjonal organisasjon, skal finne sted bare dersom den behandlingsansvarlige og databehandleren, med forbehold for de andre bestemmelsene i denne forordning, oppfyller vilkårene i dette kapittel, herunder for videreoverføring av personopplysninger fra tredjestaten eller en internasjonal organisasjon til en annen tredjestat eller en annen internasjonal organisasjon. Alle bestemmelser i dette kapittel skal få anvendelse for å sikre at det nivået for vern av fysiske personer som garanteres i denne forordning, ikke undergraves.
Artikkel 45
Overføringer på grunnlag av en beslutning om tilstrekkelig beskyttelsesnivå
- 1. Personopplysninger kan overføres til en tredjestat eller en internasjonal organisasjon når Kommisjonen har fastslått at tredjestaten, et territorium eller en eller flere angitte sektorer i nevnte tredjestat eller den aktuelle internasjonale organisasjonen sikrer et tilstrekkelig beskyttelsesnivå. En slik overføring skal ikke kreve en særlig godkjenning.
- 2. Ved vurderingen av om beskyttelsesnivå er tilstrekkelig skal Kommisjonen særlig ta hensyn til det følgende:
- a) prinsippet om rettsstaten, respekt for menneskerettighetene og grunnleggende friheter, relevant lovgivning, både generell og sektorbestemt, herunder om offentlig sikkerhet, forsvar, nasjonal sikkerhet og strafferett og offentlige myndigheters tilgang til personopplysninger samt gjennomføring av nevnte lovgivning, regler om vern av personopplysninger, regler om yrkesutøvelse og sikkerhetstiltak, herunder regler om videreoverføring av personopplysninger til en annen tredjestat eller internasjonal organisasjon som gjelder i nevnte stat eller internasjonale organisasjon, rettspraksis samt effektive og håndhevbare rettigheter for de registrerte og rett til effektiv administrativ og rettslig prøving for de registrerte hvis personopplysninger overføres,
- b) om det finnes en eller flere velfungerende, uavhengige tilsynsmyndigheter i tredjestaten eller som en internasjonal organisasjon er underlagt, med ansvar for å sikre og håndheve at reglene for vern av personopplysninger overholdes, herunder tilstrekkelig håndhevingsmyndighet, for å bistå og gi råd til de registrerte når de utøver sine rettigheter, og for samarbeid med tilsynsmyndighetene i medlemsstatene, og
- c) de internasjonale forpliktelsene som den berørte tredjestaten eller den internasjonale organisasjonen har påtatt seg, eller andre forpliktelser som følger av rettslig bindende konvensjoner eller instrumenter og av tredjestatens eller organisasjonens deltaking i multilaterale eller regionale systemer, særlig i forbindelse med vern av personopplysninger.
- 3. Etter å ha vurdert om beskyttelsesnivået er tilstrekkelig, kan Kommisjonen ved hjelp av gjennomføringsrettsakter beslutte at en tredjestat, et territorium eller en eller flere angitte sektorer i en tredjestat eller en internasjonal organisasjon sikrer et tilstrekkelig beskyttelsesnivå i henhold til nr. 2 i denne artikkel. I gjennomføringsrettsaktene skal det fastsettes en mekanisme for regelmessig gjennomgåelse, som skal foretas minst hvert fjerde år, der det skal tas hensyn til all relevant utvikling i tredjestaten eller den internasjonale organisasjonen. I gjennomføringsrettsakten skal dens geografiske og sektorvise virkeområde angis samt, dersom det er relevant, den eller de tilsynsmyndigheter som er nevnt i nr. 2 bokstav b) i denne artikkel. Gjennomføringsrettsakten skal vedtas i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.
- 4. Kommisjonen skal fortløpende overvåke utviklingen i tredjestater og internasjonale organisasjoner som kan påvirke virkemåten til beslutninger truffet i henhold til nr. 3 i denne artikkel samt beslutninger truffet på grunnlag av artikkel 25 nr. 6 i direktiv 95/46/EF.
- 5. Når tilgjengelig informasjon, særlig etter gjennomgåelsen nevnt i nr. 3 i denne artikkel, viser at en tredjestat, et territorium eller en eller flere angitte sektorer i en tredjestat eller en internasjonal organisasjon ikke lenger sikrer et tilstrekkelig beskyttelsesnivå i henhold til nr. 2 i denne artikkel, skal Kommisjonen i det omfang som er nødvendig, oppheve, endre eller midlertidig oppheve beslutningen nevnt i nr. 3 i denne artikkel ved hjelp av gjennomføringsrettsakter uten tilbakevirkende kraft. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.I behørig begrunnede, tvingende hastetilfeller skal Kommisjonen vedta gjennomføringsrettsakter med umiddelbar virkning i samsvar med prosedyren nevnt i artikkel 93 nr. 3.
- 6. Kommisjonen skal innlede samråd med tredjestaten eller den internasjonale organisasjonen med henblikk på å avhjelpe situasjonen som har gitt opphav til beslutningen truffet i henhold til nr. 5.
- 7. En beslutning i henhold til nr. 5 i denne artikkel berører ikke overføringer av personopplysninger til tredjestaten, et territorium eller en eller flere angitte sektorer i nevnte tredjestat eller den aktuelle internasjonale organisasjonen som utføres i henhold til artikkel 46–49.
- 8. Kommisjonen skal i Den europeiske unions tidende og på sitt nettsted offentliggjøre en liste over tredjestatene, territoriene og de angitte sektorene i en tredjestat samt internasjonale organisasjoner som den har fastslått ikke eller ikke lenger sikrer et tilstrekkelig beskyttelsesnivå.
- 9. Beslutninger truffet av Kommisjonen på grunnlag av artikkel 25 nr. 6 i direktiv 95/46/EF skal fortsette å gjelde fram til de endres, erstattes eller oppheves ved en kommisjonsbeslutning truffet i samsvar med nr. 3 eller 5 i denne artikkel.
Artikkel 46
Overføringer som omfattes av nødvendige garantier
- 1. Dersom det ikke foreligger en beslutning i henhold til artikkel 45 nr. 3, kan en behandlingsansvarlig eller databehandler overføre personopplysninger til en tredjestat eller en internasjonal organisasjon bare dersom den behandlingsansvarlige eller databehandleren har gitt nødvendige garantier, og under forutsetning av at de registrerte har håndhevbare rettigheter og effektive rettsmidler.
- 2. De nødvendige garantiene nevnt i nr. 1 kan uten krav om særlig godkjenning fra en tilsynsmyndighet sikres ved hjelp av
- a) et rettslig bindende og håndhevbart instrument mellom offentlige myndigheter eller organer,
- b) bindende virksomhetsregler i samsvar med artikkel 47,
- c) standard personvernbestemmelser vedtatt av Kommisjonen i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2,
- d) standard personvernbestemmelser vedtatt av en tilsynsmyndighet og godkjent av Kommisjonen i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2,
- e) godkjente atferdsnormer i henhold til artikkel 40 sammen med bindende og håndhevbare forpliktelser for den behandlingsansvarlige eller databehandleren i tredjestaten om å anvende nødvendige garantier, herunder med hensyn til de registrertes rettigheter, eller
- f) en godkjent sertifiseringsmekanisme i henhold til artikkel 42 sammen med bindende og håndhevbare forpliktelser for den behandlingsansvarlige eller databehandleren i tredjestaten om å anvende nødvendige garantier, herunder med hensyn til de registrertes rettigheter.
- 3. Forutsatt godkjenning fra vedkommende tilsynsmyndighet kan de nødvendige garantiene nevnt i nr. 1 også sikres, særlig ved hjelp av
- a) avtalevilkår mellom den behandlingsansvarlige eller databehandleren og den behandlingsansvarlige, databehandleren eller mottakeren av personopplysninger i tredjestaten eller den internasjonale organisasjonen, eller
- b) bestemmelser som skal innføres i administrative ordninger mellom offentlige myndigheter eller organer, og som omfatter håndhevbare og effektive rettigheter for de registrerte.
- 4. Tilsynsmyndigheten skal anvende konsistensmekanismen nevnt i artikkel 63 i tilfellene nevnt i nr. 3 i denne artikkel.
- 5. Godkjenninger gitt av en medlemsstat eller tilsynsmyndighet på grunnlag av artikkel 26 nr. 2 i direktiv 95/46/EF skal fortsette å gjelde fram til de ved behov endres, erstattes eller oppheves av nevnte tilsynsmyndighet. Beslutninger truffet av Kommisjonen på grunnlag av artikkel 26 nr. 4 i direktiv 95/46/EF skal fortsette å gjelde fram til de ved behov endres, erstattes eller oppheves ved en kommisjonsbeslutning truffet i samsvar med nr. 2 i denne artikkel.
Artikkel 47
Bindende virksomhetsregler
- 1. Vedkommende tilsynsmyndighet skal godkjenne bindende virksomhetsregler i samsvar med konsistensmekanismen fastsatt i artikkel 63, forutsatt at de
- a) er rettslig bindende og får anvendelse på og håndheves av hvert berørte foretak i konsernet eller gruppen av foretak som utøver en felles økonomisk virksomhet, herunder deres ansatte,
- b) uttrykkelig gir de registrerte håndhevbare rettigheter med hensyn til behandling av deres personopplysninger og
- c) oppfyller kravene fastsatt i nr. 2.
- 2. De bindende virksomhetsreglene nevnt i nr. 1 skal minst angi
- a) strukturen og kontaktopplysninger til konsernet eller gruppen av foretak som utøver en felles økonomisk virksomhet, og hvert av dets/dens medlemmer,
- b) overføringene eller rekken av overføringer av opplysninger, herunder kategorier av personopplysninger, behandlingstype og -formål, typen av berørte registrerte samt angivelse av den aktuelle tredjestaten eller de aktuelle tredjestatene,
- c) reglenes rettslig bindende art, både internt og eksternt,
- d) anvendelsen av de allmenne prinsippene for vern av personopplysninger, særlig formålsbegrensning, dataminimering, begrenset lagringstid, datakvalitet, innebygd personvern og personvern som standardinnstilling, rettslig grunnlag for behandlingen, behandling av særlige kategorier av personopplysninger, tiltak for å ivareta datasikkerheten og krav med hensyn til videreoverføring til organer som ikke er bundet av de bindende virksomhetsreglene,
- e) rettighetene til registrerte i forbindelse med behandlingen samt midler for å utøve nevnte rettigheter, herunder retten til ikke å være gjenstand for avgjørelser som utelukkende er truffet på grunnlag av automatisert behandling, herunder profilering i samsvar med artikkel 22, retten til å klage til vedkommende tilsynsmyndighet og til vedkommende domstoler i medlemsstatene i samsvar med artikkel 79 samt til å motta erstatning og, dersom det er relevant, godtgjøring for brudd på de bindende virksomhetsreglene,
- f) at den behandlingsansvarlige eller databehandleren som er etablert på territoriet til en medlemsstat, påtar seg ansvaret dersom et berørt foretak som ikke er etablert i Unionen, bryter de bindende virksomhetsreglene; den behandlingsansvarlige eller databehandleren skal fritas for nevnte ansvar, helt eller delvis, bare dersom vedkommende beviser at nevnte foretak ikke er ansvarlig for hendelsen som forvoldte skaden,
- g) hvordan informasjonen om de bindende virksomhetsreglene, særlig om bestemmelsene nevnt i bokstav d), e) og f) i dette nummer, gis til de registrerte i tillegg til informasjonen nevnt i artikkel 13 og 14,
- h) oppgavene til et personvernombud som er utpekt i samsvar med artikkel 37, eller enhver annen person eller enhet med ansvar for å kontrollere at de bindende virksomhetsreglene overholdes i konsernet eller gruppen av foretak som utøver en felles økonomisk virksomhet, samt oppfølging av opplæring og håndtering av klager,
- i) framgangsmåtene for å inngi klage,
- j) mekanismene i konsernet eller gruppen av foretak som utøver en felles økonomisk virksomhet, for å kontrollere at de bindende virksomhetsreglene overholdes. Nevnte mekanismer skal omfatte personvernrevisjoner og metoder for å sikre korrigerende tiltak for å verne de registrertes rettigheter. Resultatene av en slik kontroll bør meddeles personen eller enheten nevnt i bokstav h) og styret i foretaket som utøver kontroll i et konsern, eller i gruppen av foretak som utøver en felles økonomisk virksomhet, og bør på anmodning være tilgjengelig for vedkommende tilsynsmyndighet,
- k) mekanismene for rapportering og registrering av endringer i reglene og for rapportering av nevnte endringer til tilsynsmyndigheten,
- l) mekanismene for samarbeid med tilsynsmyndigheten for å sikre at alle foretak i konsernet eller gruppen av foretak som utøver en felles økonomisk virksomhet, overholder reglene, særlig ved å gjøre resultatene av kontrollen av tiltakene nevnt i bokstav j) tilgjengelig for tilsynsmyndigheten,
- m) mekanismene for rapportering til vedkommende tilsynsmyndighet av eventuelle lovfestede krav som et foretak i konsernet eller gruppen av foretak som utøver en felles økonomisk virksomhet, er underlagt i en tredjestat, og som sannsynligvis vil ha en betydelig negativ virkning på garantiene fastsatt i de bindende virksomhetsreglene, og
- n) egnet opplæring om personvern for personell som har permanent eller regelmessig tilgang til personopplysninger.
- 3. Kommisjonen kan fastsette formatet og framgangsmåtene for utveksling av informasjon mellom behandlingsansvarlige, databehandlere og tilsynsmyndigheter om bindende virksomhetsregler som omhandlet i denne artikkel. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren fastsatt i artikkel 93 nr. 2.
Artikkel 48
Overføring eller utlevering som ikke er tillatt i henhold til unionsretten
Enhver dom avsagt av en domstol eller rett og ethvert vedtak gjort av en forvaltningsmyndighet i en tredjestat som krever at en behandlingsansvarlig eller databehandler skal overføre eller utlevere personopplysninger, kan bare anerkjennes eller håndheves dersom den/det bygger på en internasjonal avtale, f.eks. en traktat om gjensidig juridisk bistand mellom den anmodende tredjestat og Unionen eller en medlemsstat, uten at det berører andre grunner til overføring i henhold til dette kapittel.
Artikkel 49
Unntak for særlige situasjoner
- 1. Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå i henhold til artikkel 45 nr. 3 eller nødvendige garantier i henhold til artikkel 46, herunder bindende virksomhetsregler, skal en overføring eller en rekke av overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon bare finne sted på et av følgende vilkår:
- a) den registrerte uttrykkelig har samtykket til den foreslåtte overføringen etter å ha blitt informert om de mulige risikoene nevnte overføringer kan innebære for vedkommende når det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå og nødvendige garantier,
- b) overføringen er nødvendig for å oppfylle en avtale mellom den registrerte og den behandlingsansvarlige eller for å gjennomføre tiltak som treffes før avtaleinngåelse på den registrertes anmodning,
- c) overføringen er nødvendig for å inngå eller oppfylle en avtale inngått i den registrertes interesse mellom den behandlingsansvarlige og en annen fysisk eller juridisk person,
- d) overføringen er nødvendig av hensyn til viktige allmenne interesser,
- e) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav,
- f) overføringen er nødvendig for å verne den registrertes eller andre personers vitale interesser i tilfeller der den registrerte fysisk eller juridisk ikke er i stand til å gi samtykke,
- g) overføringen finner sted fra et register som i henhold til unionsretten eller medlemsstatenes nasjonale rett er beregnet på å gi informasjon til allmennheten, og som er tilgjengelig for allmennheten eller for enhver person som kan gjøre gjeldende en berettiget interesse, men bare i den utstrekning vilkårene for offentlig tilgjengelighet fastsatt i unionsretten eller medlemsstatenes nasjonale rett er oppfylt i det særskilte tilfellet.
- 2. En overføring i henhold til nr. 1 første ledd bokstav g) skal ikke omfatte alle personopplysningene eller hele kategorier av personopplysninger i registeret. Når registeret er ment å være tilgjengelig for personer som har en berettiget interesse i det, skal overføring bare skje på anmodning fra nevnte personer, eller dersom de selv skal være mottakere.
- 3. Nr. 1 første ledd bokstav a), b) og c) og nr. 1 annet ledd får ikke anvendelse på aktiviteter som utføres av offentlige myndigheter når de utøver offentlig myndighet.
- 4. De viktige allmenne interessene nevnt i nr. 1 første ledd bokstav d) skal anerkjennes i unionsretten eller nasjonal rett i medlemsstaten som den behandlingsansvarlige er underlagt.
- 5. Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, kan det i unionsretten eller medlemsstatenes nasjonale rett av hensyn til viktige allmenne interesser uttrykkelig fastsettes grenser for overføring av spesifikke kategorier av personopplysninger til en tredjestat eller en internasjonal organisasjon. Medlemsstatene skal underrette Kommisjonen om nevnte bestemmelser.
- 6. Den behandlingsansvarlige eller databehandleren skal dokumentere vurderingen og de nødvendige garantiene nevnt i nr. 1 annet ledd i denne artikkel i protokollene nevnt i artikkel 30.
Artikkel 50
Internasjonalt samarbeid om vern av personopplysninger
I forbindelse med tredjestater og internasjonale organisasjoner skal Kommisjonen og tilsynsmyndighetene treffe nødvendige tiltak for å
- a) utvikle mekanismer for internasjonalt samarbeid for å fremme en effektiv håndheving av regelverket for vern av personopplysninger,
- b) yte internasjonal gjensidig bistand ved håndheving av regelverket for vern av personopplysninger, herunder ved underretning, oversending av klager, etterforskningsbistand og informasjonsutveksling, tatt i betraktning nødvendige garantier for vern av personopplysninger og andre grunnleggende rettigheter og friheter,
- c) trekke inn relevante berørte parter i drøftinger og aktiviteter som har som mål å fremme internasjonalt samarbeid om håndheving av regelverket for vern av personopplysninger,
- d) fremme utveksling av og dokumentasjon på regelverket for vern av personopplysninger og praksis på området, herunder om kompetansekonflikter med tredjestater.
Kapittel VI
Uavhengige tilsynsmyndigheter
Avsnitt 1
Uavhengig stilling
Artikkel 51
Tilsynsmyndighet
- 1. Hver medlemsstat skal sikre at en eller flere uavhengige offentlige myndigheter har ansvar for å føre tilsyn med anvendelsen av denne forordning for å verne fysiske personers grunnleggende rettigheter og friheter i forbindelse med behandling, og for å fremme den frie flyten av personopplysninger i Unionen («tilsynsmyndighet»).
- 2. Hver tilsynsmyndighet skal bidra til en ensartet anvendelse av denne forordning i hele Unionen. For dette formål skal tilsynsmyndighetene samarbeide med hverandre og med Kommisjonen i samsvar med kapittel VII.
- 3. Dersom mer enn én tilsynsmyndighet er etablert i en medlemsstat, skal nevnte medlemsstat utpeke en tilsynsmyndighet som skal representere disse myndighetene i Personvernrådet, og fastsette en mekanisme for å sikre at de andre myndighetene overholder reglene for konsistensmekanismen nevnt i artikkel 63.
- 4. Medlemsstatene skal senest 25. mai 2018 underrette Kommisjonen om de lovbestemmelser de vedtar i henhold til dette kapittel, og uten opphold om eventuelle senere endringer som påvirker dem.
Artikkel 52
Uavhengighet
- 1. Hver tilsynsmyndighet skal utføre sine oppgaver og utøve sin myndighet etter denne forordning i full uavhengighet.
- 2. Når medlemmet/medlemmene av hver tilsynsmyndighet utfører sine oppgaver og utøver sin myndighet i samsvar med denne forordning, skal de ikke utsettes for påvirkninger utenfra, verken direkte eller indirekte, og skal ikke anmode om eller motta instrukser fra noen.
- 3. Medlemmet/medlemmene av hver tilsynsmyndighet skal avstå fra enhver handling som ikke er forenlig med vedkommendes oppgaver, og skal så lenge utnevnelsesperioden varer, ikke utøve en uforenlig yrkesvirksomhet, verken lønnet eller ulønnet.
- 4. Hver medlemsstat skal sikre at hver tilsynsmyndighet har de menneskelige, tekniske og økonomiske ressurser og lokaler samt infrastruktur som er nødvendig for å kunne utføre sine oppgaver og utøve sin myndighet på en effektiv måte, herunder i forbindelse med gjensidig bistand, samarbeid og deltaking i Personvernrådet.
- 5. Hver medlemsstat skal sikre at hver tilsynsmyndighet velger og har sitt eget personell som utelukkende skal stå under ledelse av medlemmet/medlemmene av den berørte tilsynsmyndighet.
- 6. Hver medlemsstat skal sikre at hver tilsynsmyndighet er underlagt finansiell kontroll som ikke påvirker dens uavhengighet, og at den har separate, offentlige årsbudsjetter som kan være en del av det samlede statsbudsjettet eller nasjonalbudsjettet.
Artikkel 53
Generelle vilkår for medlemmer av tilsynsmyndigheten
- 1. Medlemsstatene skal ved hjelp av en åpen framgangsmåte sikre at hvert medlem av deres tilsynsmyndigheter utnevnes av
- – deres parlament,
- – deres regjering,
- – deres statsoverhode eller
- – et uavhengig organ som har fått ansvar for utnevnelsen i henhold til medlemsstatens nasjonale rett.
- 2. Hvert medlem skal ha de kvalifikasjoner, den erfaring og den kompetanse, særlig på området vern av personopplysninger, som er nødvendig for å utføre sine oppgaver og utøve sin myndighet.
- 3. Et medlems oppgaver opphører ved utløpet av utnevnelsesperioden, ved avgang eller ved avsettelse i samsvar med nasjonal rett i den berørte medlemsstat.
- 4. Et medlem kan bare avskjediges ved alvorlig forsømmelse eller dersom medlemmet ikke lenger oppfyller vilkårene for å utføre oppgavene.
Artikkel 54
Regler om opprettelse av tilsynsmyndigheten
- 1. Hver medlemsstat skal ved lov fastsette følgende:
- a) opprettelse av hver tilsynsmyndighet,
- b) de nødvendige kvalifikasjonene og utvelgelseskriteriene for å kunne bli utnevnt som medlem av en tilsynsmyndighet,
- c) reglene om og framgangsmåtene for utnevnelse av medlemmet/medlemmene av hver tilsynsmyndighet,
- d) varigheten av mandatet til medlemmet/medlemmene av hver tilsynsmyndighet, som skal være minst fire år, bortsett fra den første utnevnelsen etter 24. mai 2016, som kan ha kortere varighet dersom det er nødvendig for å sikre tilsynsmyndighetens uavhengighet ved hjelp av en trinnvis utnevnelsesprosess,
- e) om mandatet til medlemmet/medlemmene av hver tilsynsmyndighet kan fornyes, og eventuelt hvor mange ganger,
- f) de vilkår som gjelder for forpliktelsene til medlemmet/medlemmene av og personellet hos hver tilsynsmyndighet, forbud mot aktiviteter, yrkesvirksomhet og fordeler som er uforenlige med disse i og etter utnevnelsesperioden, samt regler om avslutning av arbeidsforholdet.
- 2. Medlemmet/medlemmene og personellet hos hver tilsynsmyndighet skal, i samsvar med unionsretten eller medlemsstatenes nasjonale rett, både i og etter utnevnelsesperioden være bundet av taushetsplikt med hensyn til eventuell konfidensiell informasjon de får kjennskap til under utførelsen av sine oppgaver eller utøvelsen av sin myndighet. I utnevnelsesperioden skal taushetsplikten særlig omfatte fysiske personers varsling om overtredelser av denne forordning.
Avsnitt 2
Kompetanse, oppgaver og myndighet
Artikkel 55
Kompetanse
- 1. Hver tilsynsmyndighet skal ha kompetanse til å utføre de oppgaver og utøve den myndighet den gis i samsvar med denne forordning, på sin medlemsstats territorium.
- 2. Dersom behandlingen utføres av offentlige myndigheter eller private organer som handler på grunnlag av artikkel 6 nr. 1 bokstav c) eller e), er det tilsynsmyndighetene i den berørte medlemsstaten som skal ha kompetanse. I slike tilfeller får artikkel 56 ikke anvendelse.
- 3. Tilsynsmyndigheter skal ikke ha kompetanse til å føre tilsyn med domstolers behandlingsaktiviteter når disse handler innenfor rammen av sin domsmyndighet.
Artikkel 56
Den ledende tilsynsmyndighets kompetanse
- 1. Uten at det berører artikkel 55, skal tilsynsmyndigheten for den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet ha kompetanse til å fungere som ledende tilsynsmyndighet i forbindelse med grenseoverskridende behandling som utføres av nevnte behandlingsansvarlig eller databehandler i samsvar med framgangsmåten fastsatt i artikkel 60.
- 2. Som unntak fra nr. 1 skal hver tilsynsmyndighet ha kompetanse til å behandle en mottatt klage eller en mulig overtredelse av denne forordning dersom klagens gjenstand bare gjelder en virksomhet i dens medlemsstat eller i vesentlig grad påvirker registrerte bare i dens medlemsstat.
- 3. I tilfellene nevnt i nr. 2 i denne artikkel skal tilsynsmyndigheten uten opphold underrette den ledende tilsynsmyndigheten om forholdet. Innen en frist på tre uker etter å ha mottatt underretning skal den ledende tilsynsmyndigheten beslutte om den skal behandle saken eller ikke i samsvar med framgangsmåten fastsatt i artikkel 60, idet det tas hensyn til hvorvidt den behandlingsansvarlige eller databehandleren har en virksomhet eller ikke i medlemsstaten til tilsynsmyndigheten som har gitt underretningen.
- 4. Dersom den ledende tilsynsmyndigheten beslutter å behandle saken, får framgangsmåten fastsatt i artikkel 60 anvendelse. Tilsynsmyndigheten som underrettet den ledende tilsynsmyndigheten, kan legge fram et utkast til avgjørelse for den ledende tilsynsmyndigheten. Den ledende tilsynsmyndigheten skal i størst mulig grad ta hensyn til nevnte utkast ved utarbeiding av utkastet til avgjørelse nevnt i artikkel 60 nr. 3.
- 5. Dersom den ledende tilsynsmyndigheten beslutter å ikke behandle saken, skal tilsynsmyndigheten som underrettet den ledende tilsynsmyndigheten, behandle saken i henhold til artikkel 61 og 62.
- 6. Den ledende tilsynsmyndigheten skal være den behandlingsansvarliges eller databehandlerens eneste kontaktpunkt i forbindelse med den grenseoverskridende behandlingen som utføres av nevnte behandlingsansvarlig eller databehandler.
Artikkel 57
Oppgaver
- 1. Uten at det berører andre oppgaver fastsatt i denne forordning, skal hver tilsynsmyndighet på sitt territorium
- a) føre tilsyn med og håndheve anvendelsen av denne forordning,
- b) fremme allmennhetens kjennskap til og forståelse for risikoer, regler, garantier og rettigheter i forbindelse med behandling. Aktiviteter rettet spesielt mot barn skal vies særlig oppmerksomhet,
- c) rådgi, i samsvar med medlemsstatenes nasjonale rett, det nasjonale parlament, regjeringen og andre institusjoner og organer om lovgivning og administrative tiltak knyttet til vern av fysiske personers rettigheter og friheter ved behandling,
- d) fremme de behandlingsansvarliges og databehandlernes kjennskap til de forpliktelsene de har i henhold til denne forordning,
- e) på anmodning informere registrerte om utøvelse av de rettighetene de har i henhold til denne forordning og, dersom det er relevant, samarbeide med tilsynsmyndighetene i andre medlemsstater om dette,
- f) behandle klager som er inngitt av en registrert eller et organ, en organisasjon eller en sammenslutning i samsvar med artikkel 80, og undersøke, i den grad det er hensiktsmessig, klagens gjenstand og underrette klageren om forløpet og utfallet av undersøkelsen innen en rimelig frist, særlig dersom det er behov for videre undersøkelse eller samordning med en annen tilsynsmyndighet,
- g) samarbeide med andre tilsynsmyndigheter, herunder ved å utveksle informasjon og yte gjensidig bistand, for å sikre ensartet anvendelse og håndheving av denne forordning,
- h) gjennomføre undersøkelser om anvendelsen av denne forordning, herunder på grunnlag av informasjon mottatt fra en annen tilsynsmyndighet eller en annen offentlig myndighet,
- i) følge relevant utvikling, i den grad den har innvirkning på personvern, særlig utviklingen innen informasjons- og kommunikasjonsteknologi og handelspraksis,
- j) vedta standardavtalevilkår som nevnt i artikkel 28 nr. 8 og artikkel 46 nr. 2 bokstav d),
- k) opprette og vedlikeholde en liste i forbindelse med kravene til vurderingen av personvernkonsekvenser i henhold til artikkel 35 nr. 4,
- l) gi råd om behandlingsaktivitetene nevnt i artikkel 36 nr. 2,
- m) oppmuntre til utarbeiding av atferdsnormer i henhold til artikkel 40 nr. 1 og avgi uttalelse om og godkjenne slike atferdsnormer som gir tilstrekkelige garantier, i henhold til artikkel 40 nr. 5,
- n) oppmuntre til innføring av mekanismer for personvernsertifisering samt personvernsegl og -merker i henhold til artikkel 42 nr. 1, og å godkjenne kriteriene for sertifisering i henhold til artikkel 42 nr. 5,
- o) dersom det er relevant, foreta en regelmessig gjennomgåelse av sertifiseringene utstedt i samsvar med artikkel 42 nr. 7,
- p) utarbeide et utkast til og offentliggjøre kriteriene for akkreditering av et organ med ansvar for tilsyn med atferdsnormer i henhold til artikkel 41 og et sertifiseringsorgan i henhold til artikkel 43,
- q) foreta akkreditering av et organ med ansvar for overvåking av atferdsnormer i henhold til artikkel 41 og et sertifiseringsorgan i henhold til artikkel 43,
- r) godkjenne avtalevilkår og bestemmelser som nevnt i artikkel 46 nr. 3,
- s) godkjenne bindende virksomhetsregler i henhold til artikkel 47,
- t) bidra i Personvernrådets arbeid,
- u) føre interne registre over overtredelser av denne forordning og over tiltak som er truffet i samsvar med artikkel 58 nr. 2, og
- v) utføre enhver annen oppgave knyttet til vern av personopplysninger.
- 2. Hver tilsynsmyndighet skal legge til rette for inngivelse av klager som nevnt i nr. 1 bokstav f) ved hjelp av tiltak som f.eks. et klageskjema som også kan fylles ut elektronisk, uten å utelukke andre kommunikasjonsmidler.
- 3. Oppgavene som hver tilsynsmyndighet utfører, skal være gratis for den registrerte og, dersom det er relevant, for personvernombudet.
- 4. Dersom anmodninger er åpenbart grunnløse eller overdrevne, især fordi de gjentas, kan tilsynsmyndigheten kreve et rimelig gebyr basert på administrasjonskostnadene, eller nekte å etterkomme anmodningen. Tilsynsmyndigheten skal bære bevisbyrden for at en anmodning er åpenbart grunnløs eller overdreven.
Artikkel 58
Myndighet
- 1. Hver tilsynsmyndighet skal ha følgende undersøkelsesmyndighet:
- a) pålegge den behandlingsansvarlige og databehandleren og, dersom det er relevant, disses representant, å framlegge all informasjon den trenger for å kunne utføre sine oppgaver,
- b) utføre undersøkelser i form av personvernrevisjoner,
- c) foreta en gjennomgåelse av sertifiseringer utstedt i henhold til artikkel 42 nr. 7,
- d) underrette den behandlingsansvarlige eller databehandleren om en påstått overtredelse av denne forordning,
- e) få tilgang, fra den behandlingsansvarlige og databehandleren, til alle personopplysninger og all informasjon som er nødvendig for å kunne utføre oppgavene den er gitt,
- f) få adgang til alle lokaler hos den behandlingsansvarlige eller databehandleren, herunder til alt databehandlingsutstyr og -midler, i samsvar med unionsretten eller medlemsstatenes prosessrett.
- 2. Hver tilsynsmyndighet skal ha myndighet til å beslutte følgende korrigerende tiltak:
- a) utstede advarsler til en behandlingsansvarlig eller databehandler om at de planlagte behandlingsaktivitetene sannsynligvis er i strid med bestemmelsene i denne forordning,
- b) utstede irettesettelser til en behandlingsansvarlig eller databehandler dersom behandlingsaktivitetene er i strid med bestemmelsene i denne forordning,
- c) pålegge den behandlingsansvarlige eller databehandleren å imøtekomme den registrertes anmodninger om å utøve sine rettigheter i henhold til denne forordning,
- d) pålegge den behandlingsansvarlige eller databehandleren å sørge for at behandlingsaktivitetene skjer i samsvar med bestemmelsene i denne forordning og, dersom det er relevant, på en bestemt måte og innen en bestemt frist,
- e) pålegge den behandlingsansvarlige å underrette den registrerte om brudd på personopplysningssikkerheten,
- f) innføre en midlertidig eller varig begrensning av, herunder et forbud mot, behandling,
- g) pålegge retting eller sletting av personopplysninger eller begrensning av behandlingen i henhold til artikkel 16, 17 og 18 og underretning av mottakere som personopplysningene er utlevert til i henhold til artikkel 17 nr. 2 og artikkel 19, om nevnte tiltak,
- h) trekke tilbake en sertifisering eller pålegge sertifiseringsorganet å trekke tilbake en sertifisering utstedt i henhold til artikkel 42 og 43, eller pålegge sertifiseringsorganet å ikke utstede sertifisering dersom kravene til sertifisering ikke lenger er oppfylt,
- i) ilegge overtredelsesgebyrer i henhold til artikkel 83 i tillegg til, eller i stedet for, tiltak som det vises til i dette nummer, avhengig av omstendighetene i hvert enkelt tilfelle,
- j) gi påbud om et midlertidig opphold i datastrømmene til en mottaker i en tredjestat eller til en internasjonal organisasjon.
- 3. Hver tilsynsmyndighet skal ha følgende myndighet til å godkjenne og gi råd:
- a) rådgi den behandlingsansvarlige i samsvar med framgangsmåten for forhåndsdrøftinger nevnt i artikkel 36,
- b) avgi uttalelse, på eget initiativ eller på anmodning, til det nasjonale parlamentet, medlemsstatens regjering eller, i samsvar med medlemsstatenes nasjonale rett, til andre institusjoner og organer samt allmennheten om eventuelle spørsmål knyttet til vern av personopplysninger,
- c) godkjenne behandlingen nevnt i artikkel 36 nr. 5 dersom det i medlemsstatens nasjonale rett kreves slik forhåndsgodkjenning,
- d) avgi uttalelse om og godkjenne utkast til atferdsnormer i henhold til artikkel 40 nr. 5,
- e) akkreditere sertifiseringsorganer i henhold til artikkel 43,
- f) utstede sertifiseringer og godkjenne kriterier for sertifisering i samsvar med artikkel 42 nr. 5,
- g) vedta standard personvernbestemmelser nevnt i artikkel 28 nr. 8 og i artikkel 46 nr. 2 bokstav d),
- h) godkjenne avtalevilkår som nevnt i artikkel 46 nr. 3 bokstav a),
- i) godkjenne administrative ordninger som nevnt i artikkel 46 nr. 3 bokstav b),
- j) godkjenne bindende virksomhetsregler i henhold til artikkel 47.
- 4. Utøvelse av den myndighet som tilsynsmyndigheten gis i henhold til denne artikkel, skal være underlagt nødvendige garantier, herunder effektive rettsmidler og rettferdig rettergang, fastsatt i unionsretten og medlemsstatenes nasjonale rett i samsvar med pakten.
- 5. Hver medlemsstat skal ved lov fastsette at dens tilsynsmyndighet skal ha myndighet til å opplyse rettshåndhevende myndigheter om overtredelser av denne forordning og, der det er relevant, til å innlede eller på annen måte opptre i rettssaker med det som mål å håndheve bestemmelsene i denne forordning.
- 6. Hver medlemsstat kan ved lov fastsette at dens tilsynsmyndighet skal ha mer omfattende myndighet enn det som angis i nr. 1, 2 og 3. Utøvelsen av nevnte myndighet skal ikke hindre en effektiv anvendelse av kapittel VII.
Artikkel 59
Årsrapporter
Hver tilsynsmyndighet skal utarbeide en årlig rapport om sin virksomhet som kan inneholde en liste over hvilke typer overtredelser som er meldt, og hvilke typer tiltak som er truffet i samsvar med artikkel 58 nr. 2. Nevnte rapporter skal oversendes til det nasjonale parlamentet, regjeringen og andre myndigheter som er utpekt i henhold til medlemsstatens nasjonale rett. De skal gjøres tilgjengelig for allmennheten, Kommisjonen og Personvernrådet.
Kapittel VII
Samarbeid og ensartet anvendelse
Avsnitt 1
Samarbeid
Artikkel 60
Samarbeid mellom ledende tilsynsmyndighet og andre berørte tilsynsmyndigheter
- 1. Den ledende tilsynsmyndigheten skal samarbeide med de andre berørte tilsynsmyndighetene i samsvar med denne artikkel og bestrebe seg på å oppnå enighet. Den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene skal utveksle all relevant informasjon seg imellom.
- 2. Den ledende tilsynsmyndigheten kan til enhver tid anmode andre berørte tilsynsmyndigheter om gjensidig bistand i henhold til artikkel 61 og gjennomføre felles aktiviteter i henhold til artikkel 62, særlig for å foreta undersøkelser eller føre tilsyn med gjennomføringen av et tiltak som gjelder en behandlingsansvarlig eller databehandler som er etablert i en annen medlemsstat.
- 3. Den ledende tilsynsmyndigheten skal uten opphold oversende relevant informasjon om saken til de andre berørte tilsynsmyndighetene. Den skal uten opphold legge fram et utkast til avgjørelse for de andre berørte tilsynsmyndighetene, slik at de kan avgi uttalelse, og skal ta behørig hensyn til deres synspunkter.
- 4. Dersom en av de andre berørte tilsynsmyndighetene innen fire uker etter å ha blitt konsultert i samsvar med nr. 3 i denne artikkel, uttrykker en relevant og begrunnet innsigelse mot utkastet til avgjørelse, skal den ledende tilsynsmyndigheten, dersom den ikke etterkommer den relevante og begrunnede innsigelsen eller mener at innsigelsen ikke er relevant eller begrunnet, framlegge forholdet for konsistensmekanismen nevnt i artikkel 63.
- 5. Dersom den ledende tilsynsmyndigheten har til hensikt å etterkomme den relevante og begrunnede innsigelsen, skal den framlegge et revidert utkast til avgjørelse til de andre berørte tilsynsmyndighetene og be om deres uttalelse. Det reviderte utkastet til avgjørelse skal behandles i samsvar med framgangsmåten nevnt i nr. 4 innen en frist på to uker.
- 6. Dersom ingen av de andre berørte tilsynsmyndighetene innen fristen nevnt i nr. 4 og 5 har gjort innsigelse mot utkastet til avgjørelse framlagt av den ledende tilsynsmyndigheten, skal den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene anses for å samtykke i nevnte utkast til avgjørelse og være bundet av det.
- 7. Den ledende tilsynsmyndigheten skal treffe avgjørelsen og meddele den til den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet, etter hva som er relevant, og underrette de andre berørte tilsynsmyndighetene og Personvernrådet om den aktuelle avgjørelsen, herunder gi et sammendrag av de relevante faktiske forhold og begrunnelser. Tilsynsmyndigheten som det er klaget til, skal underrette klageren om avgjørelsen.
- 8. Dersom en klage avvises eller avslås, skal tilsynsmyndigheten som klagen ble inngitt til, som unntak fra nr. 7, treffe avgjørelsen og meddele den til klageren og underrette den behandlingsansvarlige om den.
- 9. Dersom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene er enige om å avvise eller avslå deler av en klage og å behandle andre deler av klagen, skal det treffes en særskilt avgjørelse for hver av disse delene. Den ledende tilsynsmyndigheten skal treffe avgjørelse om den del som gjelder tiltak knyttet til den behandlingsansvarlige, meddele dette til den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet på territoriet til medlemsstaten den er underlagt, og underrette klageren om dette, mens klagerens tilsynsmyndighet skal treffe avgjørelse om den del som gjelder avvisning av eller avslag på klagen, og meddele den til klageren og underrette den behandlingsansvarlige eller databehandleren om dette.
- 10. Etter å ha blitt underrettet om den ledende tilsynsmyndighetens avgjørelse i henhold til nr. 7 og 9 skal den behandlingsansvarlige eller databehandleren treffe de nødvendige tiltak for å sikre overholdelse av denne avgjørelse med hensyn til behandlingsaktiviteter som utføres i forbindelse med alle vedkommendes virksomheter i Unionen. Den behandlingsansvarlige eller databehandleren skal underrette den ledende tilsynsmyndigheten, som skal underrette de andre berørte tilsynsmyndighetene om tiltakene som er truffet for å sikre overholdelse av avgjørelsen.
- 11. Dersom en berørt tilsynsmyndighet i særlige tilfeller har grunn til å tro at det er et akutt behov for å treffe tiltak for å verne de registrertes interesser, får framgangsmåten for behandling av hastesaker nevnt i artikkel 66 anvendelse.
- 12. Den ledende tilsynsmyndigheten og de andre berørte tilsynsmyndighetene skal utveksle den informasjonen som kreves i henhold til denne artikkel, elektronisk og ved bruk av et standardisert format.
Artikkel 61
Gjensidig bistand
- 1. Tilsynsmyndighetene skal utveksle relevant informasjon og yte gjensidig bistand for å oppnå en ensartet gjennomføring og anvendelse av denne forordning samt treffe tiltak for å sikre et effektivt samarbeid seg imellom. Gjensidig bistand skal særlig omfatte anmodninger om informasjon samt tilsynstiltak, f.eks. anmodninger om forhåndsgodkjenninger og gjennomføring av forhåndsdrøftinger, inspeksjoner og undersøkelser.
- 2. Hver tilsynsmyndighet skal treffe alle egnede tiltak som er nødvendig for å kunne svare på en anmodning fra en annen tilsynsmyndighet, uten ugrunnet opphold og senest én måned etter mottak av anmodningen. Nevnte tiltak kan særlig omfatte overføring av relevant informasjon om gjennomføringen av en undersøkelse.
- 3. Anmodninger om bistand skal inneholde all nødvendig informasjon, herunder informasjon om formålet med og årsakene til anmodningen. Informasjon som utveksles, skal bare benyttes til de formål som omfattes av anmodningen.
- 4. Den anmodede tilsynsmyndighet skal ikke nekte å etterkomme anmodningen, med mindre
- a) den ikke har kompetanse med hensyn til det anmodningen gjelder, eller de tiltak den anmodes om å iverksette, eller
- b) etterkommelse av anmodningen vil være i strid med denne forordning, unionsretten eller medlemsstatenes nasjonale rett som tilsynsmyndigheten som mottar anmodningen, er underlagt.
- 5. Den anmodede tilsynsmyndigheten skal underrette den anmodende tilsynsmyndigheten om resultatene eller, alt etter hva som er relevant, om framskrittene med tiltakene som er truffet for å svare på anmodningen. Den anmodede tilsynsmyndigheten skal begrunne ethvert avslag på å etterkomme en anmodning i henhold til nr. 4.
- 6. Anmodede tilsynsmyndigheter skal som hovedregel oversende informasjonen som en annen tilsynsmyndighet har anmodet om, elektronisk og ved bruk av et standardisert format.
- 7. Anmodede tilsynsmyndigheter skal ikke kreve et gebyr for tiltak de treffer på grunnlag av en anmodning om gjensidig bistand. Tilsynsmyndighetene kan vedta regler for å godtgjøre hverandre for spesifikke utgifter som oppstår ved yting av gjensidig bistand i særlige tilfeller.
- 8. Dersom en tilsynsmyndighet ikke framlegger informasjonen nevnt i nr. 5 i denne artikkel innen én måned etter å ha mottatt en anmodning fra en annen tilsynsmyndighet, kan den anmodende tilsynsmyndigheten treffe et midlertidig tiltak på sin medlemsstats territorium i samsvar med artikkel 55 nr. 1. I dette tilfellet skal det akutte behovet for å treffe tiltak i henhold til artikkel 66 nr. 1 anses for å være oppfylt og skal kreve en bindende hastebeslutning fra Personvernrådet i henhold til artikkel 66 nr. 2.
- 9. Kommisjonen kan ved hjelp av gjennomføringsrettsakter fastsette formatene og framgangsmåtene for gjensidig bistand nevnt i denne artikkel og ordningene for elektronisk utveksling av informasjon mellom tilsynsmyndighetene, og mellom tilsynsmyndighetene og Personvernrådet, særlig det standardiserte formatet nevnt i nr. 6 i denne artikkel. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.
Artikkel 62
Tilsynsmyndighetenes felles aktiviteter
- 1. Dersom det er relevant, skal tilsynsmyndighetene gjennomføre felles aktiviteter, herunder felles undersøkelser og felles håndhevingstiltak som medlemmer av eller personell fra andre medlemsstaters tilsynsmyndigheter skal delta i.
- 2. Dersom den behandlingsansvarlige eller databehandleren har virksomheter i flere medlemsstater, eller dersom det er sannsynlig at et betydelig antall registrerte i mer enn én medlemsstat i vesentlig grad vil bli påvirket av behandlingsaktiviteter, skal en tilsynsmyndighet i hver av disse medlemsstatene ha rett til å delta i felles aktiviteter. Tilsynsmyndigheten som har kompetanse i henhold til artikkel 56 nr. 1 eller 4, skal invitere tilsynsmyndigheten i hver av disse medlemsstatene til å delta i de felles aktivitetene og skal uten opphold svare på en tilsynsmyndighets anmodning om å delta.
- 3. En tilsynsmyndighet kan, i samsvar med medlemsstatens nasjonale rett og med tillatelse fra avgiverstatens tilsynsmyndighet, gi myndighet, herunder undersøkelsesmyndighet, til medlemmene eller personellet i avgiverstatens tilsynsmyndighet som deltar i felles aktiviteter, eller, dersom nasjonal rett i medlemsstaten til vertsstatens tilsynsmyndighet tillater det, tillate at medlemmene eller personellet i avgiverstatens tilsynsmyndighet utøver sin undersøkelsesmyndighet i samsvar med nasjonal rett i medlemsstaten til avgiverstatens tilsynsmyndighet. Nevnte undersøkelsesmyndighet kan bare utøves under veiledning og ved tilstedeværelse av medlemmer eller personell fra vertsstatens tilsynsmyndighet. Medlemmene eller personellet i avgiverstatens tilsynsmyndighet skal være underlagt nasjonal rett i medlemsstaten til vertsstatens tilsynsmyndighet.
- 4. Dersom personellet i avgiverstatens tilsynsmyndighet i samsvar med nr. 1 utfører aktiviteter i en annen medlemsstat, skal vertsstaten ha ansvar for deres handlinger, herunder erstatningsansvar, for enhver skade de forårsaker i forbindelse med aktivitetene i samsvar med nasjonal rett i medlemsstaten på hvis territorium de utfører aktiviteter.
- 5. Den medlemsstat på hvis territorium skaden ble forårsaket, skal erstatte skaden i samsvar med reglene som får anvendelse på skader forårsaket av dens eget personell. Avgiverstaten hvis personell har forårsaket skade på en person på territoriet til en annen medlemsstat, skal refundere alle beløp den andre medlemsstaten har betalt til berettigede personer på deres vegne.
- 6. Uten at det berører utøvelsen av rettigheter overfor tredjeparter og med unntak av nr. 5, skal hver medlemsstat i tilfellet nevnt i nr. 1 avstå fra å anmode om erstatning fra en annen medlemsstat for skader nevnt i nr. 4.
- 7. Dersom det planlegges en felles aktivitet og en tilsynsmyndighet innen en måned ikke oppfyller forpliktelsen fastsatt i nr. 2 annet punktum i denne artikkel, kan den andre tilsynsmyndigheten treffe et midlertidig tiltak på sin medlemsstats territorium i samsvar med artikkel 55. I dette tilfellet skal det akutte behovet for å treffe tiltak i henhold til artikkel 66 nr. 1 anses for å være oppfylt og skal forutsette en uttalelse eller kreve en bindende hastebeslutning fra Personvernrådet i henhold til artikkel 66 nr. 2.
Avsnitt 2
Ensartet anvendelse
Artikkel 63
Konsistensmekanisme
For å bidra til en ensartet anvendelse av denne forordning i hele Unionen skal tilsynsmyndighetene samarbeide med hverandre og, dersom det er relevant, med Kommisjonen gjennom konsistensmekanismen som fastsatt i dette avsnitt.
Artikkel 64
Uttalelse fra Personvernrådet
- 1. Personvernrådet skal avgi uttalelse når en vedkommende tilsynsmyndighet akter å treffe noen av tiltakene nevnt nedenfor. I denne forbindelse skal vedkommende tilsynsmyndighet oversende utkastet til avgjørelse til Personvernrådet når
- a) formålet er å vedta en liste over de behandlingsaktiviteter som er underlagt kravet om en vurdering av personvernkonsekvenser i henhold til artikkel 35 nr. 4,
- b) det gjelder et forhold i henhold til artikkel 40 nr. 7 om hvorvidt et utkast til atferdsnormer eller en endring eller utvidelse av atferdsnormer oppfyller kravene i denne forordning,
- c) formålet er å godkjenne kriteriene for akkreditering av et organ i henhold til artikkel 41 nr. 3 eller et sertifiseringsorgan i henhold til artikkel 43 nr. 3,
- d) formålet er å fastsette standard personvernbestemmelser som nevnt i artikkel 46 nr. 2 bokstav d) og artikkel 28 nr. 8,
- e) formålet er å godkjenne avtalevilkår som nevnt i artikkel 46 nr. 3 bokstav a) eller
- f) formålet er å godkjenne bindende virksomhetsregler i henhold til artikkel 47.
- 2. Enhver tilsynsmyndighet, lederen for Personvernrådet eller Kommisjonen kan kreve at ethvert forhold med allmenn rekkevidde eller som har virkning i flere enn én medlemsstat, undersøkes av Personvernrådet med det som mål å innhente en uttalelse, særlig dersom en vedkommende tilsynsmyndighet ikke oppfyller plikten til å yte gjensidig bistand i samsvar med artikkel 61 eller med hensyn til felles aktiviteter i samsvar med artikkel 62.
- 3. I tilfellene nevnt i nr. 1 og 2 skal Personvernrådet avgi uttalelse om forholdet det har fått seg forelagt, forutsatt at det ikke allerede har avgitt uttalelse om samme forhold. Uttalelsen skal vedtas innen åtte uker ved simpelt flertall blant Personvernrådets medlemmer. Denne fristen kan forlenges med ytterligere seks uker, idet det tas hensyn til forholdets kompleksitet. Med hensyn til utkastet til avgjørelse nevnt i nr. 1, oversendt til medlemmene av Personvernrådet i samsvar med nr. 5, skal et medlem som ikke har gjort innsigelse innen en rimelig frist angitt av lederen, anses for å samtykke i utkastet til avgjørelse.
- 4. Tilsynsmyndigheter og Kommisjonen skal uten ugrunnet opphold oversende Personvernrådet, elektronisk og ved bruk av et standardisert format, all relevant informasjon, herunder, alt etter hva som er relevant, et sammendrag av de faktiske forhold, utkastet til avgjørelse, årsaken til hvorfor nevnte tiltak må treffes og synspunkter fra andre berørte tilsynsmyndigheter.
- 5. Lederen for Personvernrådet skal uten ugrunnet opphold gi elektronisk underretning til
- a) medlemmene av Personvernrådet og Kommisjonen om all relevant informasjon som det har mottatt, ved bruk av et standardisert format. Personvernrådets sekretariat skal ved behov sørge for oversettelse av relevant informasjon, og
- b) tilsynsmyndigheten nevnt i nr. 1 og 2 og Kommisjonen om uttalelsen og offentliggjøre den.
- 6. Vedkommende tilsynsmyndighet skal ikke vedta sitt utkast til avgjørelse nevnt i nr. 1 i løpet av perioden nevnt i nr. 3.
- 7. Tilsynsmyndigheten nevnt i nr. 1 skal i størst mulig grad ta hensyn til Personvernrådets uttalelse og skal senest to uker etter å ha mottatt uttalelsen underrette lederen for Personvernrådet elektronisk om hvorvidt den akter å opprettholde eller endre sitt utkast til avgjørelse, og eventuelt oversende det endrede utkastet til avgjørelse ved bruk av et standardisert format.
- 8. Dersom den berørte tilsynsmyndigheten innen fristen nevnt i nr. 7 i denne artikkel underretter Personvernrådets leder om at den ikke akter å følge Personvernrådets uttalelse, helt eller delvis, og gir en relevant begrunnelse for dette, får artikkel 65 nr. 1 anvendelse.
Artikkel 65
Tvisteløsning gjennom Personvernrådet
- 1. For å sikre riktig og ensartet anvendelse av denne forordning i hvert enkelt tilfelle skal Personvernrådet treffe en bindende beslutning i følgende tilfeller:
- a) dersom en berørt tilsynsmyndighet i et tilfelle nevnt i artikkel 60 nr. 4 har gjort relevant og begrunnet innsigelse mot et utkast til avgjørelse fra den ledende myndigheten, eller den ledende myndigheten har avvist nevnte innsigelse med den begrunnelse at den ikke er relevant eller begrunnet. Den bindende beslutningen skal gjelde alle forhold som omfattes av den relevante og begrunnede innsigelsen, særlig om hvorvidt det foreligger en overtredelse av denne forordning,
- b) dersom det er uenighet om hvilken av de berørte tilsynsmyndighetene som har kompetanse med hensyn til hovedvirksomheten,
- c) dersom en vedkommende tilsynsmyndighet ikke anmoder om uttalelse fra Personvernrådet i tilfellene nevnt i artikkel 64 nr. 1, eller ikke følger Personvernrådets uttalelse avgitt i henhold til artikkel 64. Dersom dette er tilfellet, kan enhver berørt tilsynsmyndighet eller Kommisjonen framlegge forholdet for Personvernrådet.
- 2. Beslutningen nevnt i nr. 1 skal treffes med to tredels flertall blant Personvernrådets medlemmer senest én måned etter at forholdet er framlagt. Denne fristen kan forlenges med ytterligere én måned, idet det tas hensyn til forholdets kompleksitet. Beslutningen nevnt i nr. 1 skal være begrunnet og rettet til den ledende tilsynsmyndigheten og alle de berørte tilsynsmyndighetene og skal være bindende for dem.
- 3. Dersom Personvernrådet ikke har vært i stand til å treffe en beslutning innen fristene nevnt i nr. 2, skal det treffe sin beslutning innen to uker etter utløpet av den andre måneden nevnt i nr. 2 ved simpelt flertall blant dets medlemmer. Ved stemmelikhet blant medlemmene i Personvernrådet er lederens stemme utslagsgivende.
- 4. De berørte tilsynsmyndighetene skal ikke treffe beslutning om forholdet som er framlagt for Personvernrådet i henhold til nr. 1, i periodene nevnt i nr. 2 og 3.
- 5. Lederen for Personvernrådet skal uten ugrunnet opphold meddele beslutningen nevnt i nr. 1 til de berørte tilsynsmyndighetene. Vedkommende skal underrette Kommisjonen om dette. Beslutningen skal offentliggjøres på Personvernrådets nettsted uten opphold etter at tilsynsmyndigheten har meddelt den endelige beslutningen nevnt i nr. 6.
- 6. Den ledende tilsynsmyndigheten eller eventuelt tilsynsmyndigheten som en klage er inngitt til, skal treffe sin endelige beslutning på grunnlag av beslutningen nevnt i nr. 1 i denne artikkel, uten ugrunnet opphold og senest én måned etter at Personvernrådet har meddelt sin beslutning. Den ledende tilsynsmyndigheten eller eventuelt tilsynsmyndigheten som klagen er inngitt til, skal underrette Personvernrådet om datoen for meddelelse av den endelige beslutningen til henholdsvis den behandlingsansvarlige eller databehandleren og til den registrerte. De berørte tilsynsmyndighetenes endelige beslutning skal treffes i henhold til vilkårene i artikkel 60 nr. 7, 8 og 9. Den endelige beslutningen skal vise til beslutningen nevnt i nr. 1 i denne artikkel, og det skal angis at beslutningen som det vises til i nevnte nummer, vil bli offentliggjort på Personvernrådets nettsted i samsvar med nr. 5 i denne artikkel. Beslutningen nevnt i nr. 1 i denne artikkel skal vedlegges den endelige beslutningen.
Artikkel 66
Framgangsmåte for behandling av hastesaker
- 1. Dersom en berørt tilsynsmyndighet i særlige tilfeller anser at det er et akutt behov for å treffe tiltak for å verne registrertes rettigheter og friheter, kan den som unntak fra konsistensmekanismen nevnt i artikkel 63, 64 og 65 eller framgangsmåten nevnt i artikkel 60 omgående treffe midlertidige tiltak som skal ha rettsvirkning på eget territorium, med en fastsatt gyldighetsperiode på høyst tre måneder. Tilsynsmyndigheten skal uten opphold underrette de andre berørte tilsynsmyndighetene, Personvernrådet og Kommisjonen om nevnte tiltak og årsakene til at de er truffet.
- 2. Dersom en tilsynsmyndighet har truffet et tiltak i henhold til nr. 1 og anser at det omgående må treffes endelige tiltak, kan den anmode om en hasteuttalelse eller en bindende hastebeslutning fra Personvernrådet; anmodningen om nevnte uttalelse eller beslutning skal være begrunnet.
- 3. Enhver tilsynsmyndighet kan anmode om en hasteuttalelse eller eventuelt om en bindende hastebeslutning fra Personvernrådet dersom en vedkommende tilsynsmyndighet ikke har truffet et egnet tiltak i en situasjon der det er et akutt behov for å treffe tiltak for å verne registrertes rettigheter og friheter; anmodningen om nevnte uttalelse eller beslutning, herunder det akutte behovet for å treffe tiltak, skal være begrunnet.
- 4. Som unntak fra artikkel 64 nr. 3 og artikkel 65 nr. 2 skal en hasteuttalelse eller en bindende hastebeslutning som nevnt i nr. 2 og 3 i denne artikkel vedtas innen to uker ved simpelt flertall blant Personvernrådets medlemmer.
Artikkel 67
Utveksling av informasjon
Kommisjonen kan vedta gjennomføringsrettsakter av generell karakter for å presisere ordningene for elektronisk utveksling av informasjon mellom tilsynsmyndighetene og mellom tilsynsmyndighetene og Personvernrådet, særlig i det standardiserte formatet nevnt i artikkel 64.
Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.
Avsnitt 3
Det europeiske personvernråd
Artikkel 68
Det europeiske personvernråd
- 1. Det europeiske personvernråd («Personvernrådet») opprettes med dette som et EU-organ med status som juridisk person.
- 2. Personvernrådet skal representeres av sin leder.
- 3. Personvernrådet skal bestå av lederen for en tilsynsmyndighet i hver av medlemsstatene samt av EUs datatilsyn, eller deres respektive representanter.
- 4. Dersom en medlemsstat har mer enn én tilsynsmyndighet med ansvar for å føre tilsyn med anvendelsen av bestemmelsene i denne forordning, skal det utnevnes en felles representant i samsvar med nasjonal rett i nevnte medlemsstat.
- 5. Kommisjonen skal ha rett til å delta i Personvernrådets aktiviteter og møter uten stemmerett. Kommisjonen skal utpeke en representant. Lederen for Personvernrådet skal underrette Kommisjonen om Personvernrådets aktiviteter.
- 6. I tilfellene nevnt i artikkel 65 skal EUs datatilsyn ha stemmerett bare i forbindelse med beslutninger som gjelder prinsipper og regler som får anvendelse på Unionens institusjoner, organer, kontorer og byråer, og som i hovedsak tilsvarer dem i denne forordning.
Artikkel 69
Uavhengighet
- 1. Personvernrådet skal opptre uavhengig når det utfører sine oppgaver eller utøver sin myndighet i henhold til artikkel 70 og 71.
- 2. Uten at det berører Kommisjonens anmodninger nevnt i artikkel 70 nr. 1 bokstav b) og artikkel 70 nr. 2, skal Personvernrådet i forbindelse med utførelsen av sine oppgaver eller utøvelsen av sin myndighet ikke anmode om eller motta instrukser fra andre.
Artikkel 70
Personvernrådets oppgaver
- 1. Personvernrådet skal sikre ensartet anvendelse av denne forordning. For dette formål skal Personvernrådet på eget initiativ eller, dersom det er relevant, på anmodning fra Kommisjonen særlig
- a) overvåke og sikre riktig anvendelse av denne forordning i tilfellene nevnt i artikkel 64 og 65, uten at det berører nasjonale tilsynsmyndigheters oppgaver,
- b) rådgi Kommisjonen i alle spørsmål knyttet til vern av personopplysninger i Unionen, herunder om eventuelle forslag til endring av denne forordning,
- c) rådgi Kommisjonen om formatet og framgangsmåtene for utveksling av informasjon mellom behandlingsansvarlige, databehandlere og tilsynsmyndigheter med hensyn til bindende virksomhetsregler,
- d) utstede anbefalinger om, retningslinjer og beste praksis for framgangsmåter for å slette lenker, kopier eller reproduksjoner av personopplysninger fra offentlig tilgjengelige kommunikasjonstjenester som nevnt i artikkel 17 nr. 2,
- e) på eget initiativ, på anmodning fra ett av dets medlemmer eller fra Kommisjonen granske alle spørsmål som gjelder anvendelse av denne forordning, og utstede retningslinjer, anbefalinger og beste praksis for å fremme en ensartet anvendelse av denne forordning,
- f) utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav e) i dette nummer for å presisere kriteriene og vilkårene for avgjørelser basert på profilering i henhold til artikkel 22 nr. 2,
- g) utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav e) i dette nummer for å fastslå brudd på personopplysningssikkerheten og fastsette det ugrunnede oppholdet som nevnt i artikkel 33 nr. 1 og 2 samt for de særlige tilfellene der en behandlingsansvarlig eller en databehandler har plikt til å melde brudd på personopplysningssikkerheten,
- h) utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav e) i dette nummer for omstendighetene der et brudd på personopplysningssikkerheten sannsynligvis vil føre til en høy risiko for rettighetene og frihetene til de fysiske personene nevnt i artikkel 34 nr. 1.
- i) utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav e) i dette nummer for å presisere kriteriene for og kravene til overføring av personopplysninger basert på bindende virksomhetsregler som behandlingsansvarlige overholder, og bindende virksomhetsregler som databehandlere overholder, samt ytterligere nødvendige krav for å sikre vern av personopplysninger for de berørte registrerte nevnt i artikkel 47,
- j) utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav e) i dette nummer for å presisere kriteriene for og kravene til overføring av personopplysninger på grunnlag av artikkel 49 nr. 1,
- k) utarbeide retningslinjer for tilsynsmyndigheter med tanke på anvendelse av tiltakene nevnt i artikkel 58 nr. 1, 2 og 3 og fastsettelse av overtredelsesgebyr i henhold til artikkel 83,
- l) gjennomgå den praktiske anvendelsen av retningslinjene, anbefalingene og beste praksis nevnt i bokstav e) og f),
- m) utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav e) i dette nummer for å fastsette felles framgangsmåter for fysiske personers rapportering av overtredelser av denne forordning i henhold til artikkel 54 nr. 2,
- n) oppmuntre til utarbeiding av atferdsnormer og innføring av mekanismer for personvernsertifisering samt personvernsegl og -merker i henhold til artikkel 40 og 42,
- o) foreta akkreditering av sertifiseringsorganer og regelmessig gjennomgåelse av nevnte akkreditering i henhold til artikkel 43 samt føre et offentlig register over akkrediterte organer i henhold til artikkel 43 nr. 6 og over akkrediterte behandlingsansvarlige eller databehandlere som er etablert i tredjestater i henhold til artikkel 42 nr. 7,
- p) angi kravene nevnt i artikkel 43 nr. 3 med henblikk på akkreditering av sertifiseringsorganer i henhold til artikkel 42,
- q) avgi uttalelse til Kommisjonen om sertifiseringskravene nevnt i artikkel 43 nr. 8,
- r) avgi uttalelse til Kommisjonen om ikonene nevnt i artikkel 12 nr. 7,
- s) avgi uttalelse til Kommisjonen om vurderingen av om beskyttelsesnivået i en tredjestat eller internasjonal organisasjon er tilstrekkelig, herunder vurderingen av om en tredjestat, et territorium eller en eller flere angitte sektorer i nevnte tredjestat eller en internasjonal organisasjon ikke lenger sikrer et tilstrekkelig beskyttelsesnivå. For dette formål skal Kommisjonen framlegge for Personvernrådet all nødvendig dokumentasjon, herunder korrespondanse med regjeringen i tredjestaten, med hensyn til nevnte tredjestat, territorium eller spesifikke sektor, eller med den internasjonale organisasjonen,
- t) avgi uttalelser om tilsynsmyndighetenes utkast til beslutninger i henhold til konsistensmekanismen nevnt i artikkel 64 nr. 1 i forhold som er framlagt i henhold til artikkel 64 nr. 2), og treffe bindende beslutninger i henhold til artikkel 65, herunder i tilfellene nevnt i artikkel 66,
- u) fremme samarbeidet og en effektiv bi- og multilateral utveksling av informasjon og beste praksis mellom tilsynsmyndighetene,
- v) fremme felles opplæringsprogrammer og utveksling av personell mellom tilsynsmyndighetene og, dersom det er relevant, med tilsynsmyndigheter i tredjestater eller internasjonale organisasjoner,
- w) fremme utveksling av kunnskap og dokumentasjon om personvernlovgivning og praksis på området med datatilsynsmyndigheter over hele verden,
- x) avgi uttalelser om atferdsnormer som utarbeides på EU-plan i henhold til artikkel 40 nr. 9, og
- y) føre et offentlig tilgjengelig elektronisk register over beslutninger truffet av tilsynsmyndigheter og domstoler i saker som er blitt behandlet i konsistensmekanismen.
- 2. Dersom Kommisjonen ber Personvernrådet om råd, kan den oppgi en tidsfrist, idet det tas hensyn til hvor mye saken haster.
- 3. Personvernrådet skal videresende sine uttalelser, retningslinjer, anbefalinger og beste praksis til Kommisjonen og til komiteen nevnt i artikkel 93 samt offentliggjøre dem.
- 4. Dersom det er relevant, skal Personvernrådet rådføre seg med berørte parter og gi dem mulighet til å framlegge kommentarer innen en rimelig frist. Uten at det berører artikkel 76, skal Personvernrådet offentliggjøre resultatene av samrådsprosedyren.
Artikkel 71
Rapporter
- 1. Personvernrådet skal utarbeide en årlig rapport om vern av fysiske personer i forbindelse med behandling i Unionen og, dersom det er relevant, i tredjestater og internasjonale organisasjoner. Rapporten skal offentliggjøres og oversendes til Europaparlamentet, Rådet og Kommisjonen.
- 2. Den årlige rapporten skal inneholde en gjennomgåelse av den praktiske anvendelsen av retningslinjene, anbefalingene og beste praksis nevnt i artikkel 70 nr. 1 bokstav l) samt av de bindende beslutningene nevnt i artikkel 65.
Artikkel 72
Framgangsmåte
- 1. Personvernrådet skal treffe beslutninger ved simpelt flertall blant rådets medlemmer, men mindre annet er fastsatt i denne forordning.
- 2. Personvernrådet skal vedta sin egen forretningsorden med to tredels flertall blant medlemmene og fastsette sine egne driftsrutiner.
Artikkel 73
Leder
- 1. Personvernrådet skal ved simpelt flertall velge en leder og to nestledere blant sine medlemmer.
- 2. Utnevnelsesperioden for lederen og nestlederne skal være fire år og kan fornyes én gang.
Artikkel 74
Lederens oppgaver
- 1. Lederen skal ha følgende oppgaver:
- a) innkalle til møter i Personvernrådet og utarbeide dagsordenen for møtene,
- b) underrette den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene om beslutninger truffet av Personvernrådet i henhold til artikkel 65,
- c) sikre at Personvernrådet oppgaver utføres i rett tid, særlig i forbindelse med konsistensmekanismen nevnt i artikkel 63.
- 2. Personvernrådet skal fastsette fordelingen av oppgavene mellom lederen og nestlederne i sin forretningsorden.
Artikkel 75
Sekretariat
- 1. Personvernrådet skal ha et sekretariat, som skal stilles til rådighet av EUs datatilsyn.
- 2. Sekretariatet skal utføre sine oppgaver utelukkende under ledelse av Personvernrådets leder.
- 3. Personellet ved EUs datatilsyn som deltar i utførelsen av oppgavene som ved denne forordning gis Personvernrådet, skal ha andre rapporteringsveier enn personellet som deltar i utførelsen av oppgavene som EUs datatilsyn er gitt.
- 4. Dersom det er relevant, skal Personvernrådet og EUs datatilsyn utarbeide og offentliggjøre en programerklæring med henblikk på gjennomføring av denne artikkel med fastsettelse av vilkårene for deres samarbeid som får anvendelse på personellet hos EUs datatilsyn som deltar i utførelsen av oppgavene som ved denne forordning gis Personvernrådet.
- 5. Sekretariatet skal yte analytisk, administrativ og logistisk støtte til Personvernrådet.
- 6. Sekretariatet skal særlig ha ansvar for
- a) Personvernrådets daglige virksomhet,
- b) kommunikasjon mellom Personvernrådets medlemmer, dets leder og Kommisjonen,
- c) kommunikasjon med andre institusjoner og med allmennheten,
- d) bruken av elektroniske midler i forbindelse med intern og ekstern kommunikasjon,
- e) oversettelse av relevant informasjon,
- f) forberedelse og oppfølging av Personvernrådets møter,
- g) forberedelse, utarbeiding av utkast til og offentliggjøring av uttalelser, beslutninger om løsning av tvister mellom tilsynsmyndigheter samt andre tekster som vedtas av Personvernrådet.
Artikkel 76
Konfidensialitet
1. Personvernrådets drøftinger skal være konfidensielle når Personvernrådet anser det nødvendig, som fastsatt i dets forretningsorden.
2. Tilgangen til dokumenter som sendes til Personvernrådets medlemmer, sakkyndige og representanter for tredjeparter, omfattes av europaparlaments- og rådsforordning (EF) nr. 1049/200121.
Kapittel VIII
Rettsmidler, ansvar og sanksjoner
Artikkel 77
Rett til å klage til en tilsynsmyndighet
- 1. Uten at det berører annen administrativ eller rettslig prøving, skal enhver registrert ha rett til å klage til en tilsynsmyndighet, særlig i den medlemsstat der vedkommende har sitt vanlige bosted, har sitt arbeidssted eller der den påståtte overtredelsen har funnet sted, dersom den registrerte anser at behandlingen av personopplysninger som gjelder vedkommende, er i strid med denne forordning.
- 2. Tilsynsmyndigheten som klagen er inngitt til, skal underrette klageren om klagebehandlingsforløpet og utfallet av klagen, herunder muligheten for rettslig prøving i henhold til artikkel 78.
Artikkel 78
Rett til et effektivt rettsmiddel overfor en tilsynsmyndighet
- 1. Uten at det berører annen administrativ eller ikke-rettslig prøving, skal enhver fysisk eller juridisk person ha rett til et effektivt rettsmiddel overfor en rettslig bindende avgjørelse som gjelder dem, og som er truffet av en tilsynsmyndighet.
- 2. Uten at det berører annen administrativ eller ikke-rettslig prøving, skal enhver registrert ha rett til et effektivt rettsmiddel dersom tilsynsmyndigheten som har kompetanse i henhold til artikkel 55 og 56, ikke behandler en klage eller ikke underretter den registrerte innen tre måneder om klagebehandlingsforløpet eller utfallet av klagen som er inngitt i henhold til artikkel 77.
- 3. En sak mot en tilsynsmyndighet skal bringes inn for domstolene i medlemsstaten der tilsynsmyndigheten er etablert.
- 4. Dersom det anlegges sak mot en tilsynsmyndighets avgjørelse som ble truffet etter en uttalelse eller en avgjørelse fra Personvernrådet innenfor rammen av konsistensmekanismen, skal tilsynsmyndigheten framlegge nevnte uttalelse eller avgjørelse for domstolen.
Artikkel 79
Rett til et effektivt rettsmiddel overfor en behandlingsansvarlig eller databehandler
- 1. Uten at det berører annen tilgjengelig administrativ eller ikke-rettslig prøving, herunder retten til å klage til en tilsynsmyndighet i henhold til artikkel 77, skal enhver registrert ha rett til et effektivt rettsmiddel dersom vedkommende anser at vedkommendes rettigheter i henhold til denne forordning er krenket som følge av at vedkommendes personopplysninger er blitt behandlet på en måte som ikke er i samsvar med denne forordning.
- 2. En sak mot en behandlingsansvarlig eller databehandler skal bringes inn for domstolene i medlemsstaten der den behandlingsansvarlige eller databehandleren er etablert. Alternativt kan en slik sak bringes inn for domstolene i medlemsstaten der den registrerte til vanlig er bosatt, med mindre den behandlingsansvarlige eller databehandleren er en offentlig myndighet som handler innenfor rammen av sin offentlige myndighet.
Artikkel 80
Representasjon av registrerte
- 1. Den registrerte skal ha rett til å gi et ideelt organ eller en ideell organisasjon eller sammenslutning som er opprettet i samsvar med nasjonal rett i en medlemsstat, som har vedtektsfestede formål som er i allmennhetens interesse, og som er aktiv på området vern av registrertes rettigheter og friheter med hensyn til vern av deres personopplysninger, fullmakt til å klage på vedkommendes vegne, utøve rettighetene nevnt i artikkel 77, 78 og 79 på vedkommendes vegne og utøve retten til å motta erstatning nevnt i artikkel 82 på vedkommendes vegne dersom det er fastsatt i medlemsstatenes nasjonale rett.
- 2. Medlemsstatene kan fastsette at ethvert organ eller enhver organisasjon eller sammenslutning nevnt i nr. 1 i denne artikkel, uavhengig av en registrerts fullmakt, i nevnte medlemsstat har rett til å klage til tilsynsmyndigheten som har kompetanse i henhold til artikkel 77, og til å utøve rettighetene nevnt i artikkel 78 og 79 dersom den/det anser at den registrertes rettigheter i henhold til denne forordning er blitt krenket som følge av behandlingen.
Artikkel 81
Utsettelse av en sak
- 1. Dersom vedkommende domstol i en medlemsstat har informasjon om at det verserer en sak om samme saksgjenstand med hensyn til behandling foretatt av den samme behandlingsansvarlige eller databehandler ved en domstol i en annen medlemsstat, skal den kontakte nevnte domstol i den andre medlemsstaten for å få bekreftet at foreligger en slik sak.
- 2. Dersom det verserer en sak om samme saksgjenstand med hensyn til behandling foretatt av samme behandlingsansvarlige eller databehandler ved en domstol i en annen medlemsstat, kan enhver annen vedkommende domstol enn den som saken først ble brakt inn for, utsette saken.
- 3. Dersom nevnte sak verserer ved første instans, kan enhver annen domstol enn den som saken først ble brakt inn for, på anmodning fra en av partene også erklære at den ikke er domsmyndig dersom domstolen som saken først ble brakt inn for, har domsmyndighet til å behandle de aktuelle sakene, og dens lovgivning tillater forening av dette.
Artikkel 82
Rett til erstatning og erstatningsansvar
- 1. Enhver person som har lidd materiell eller ikke-materiell skade som følge av en overtredelse av denne forordning, skal ha rett til å motta erstatning fra den behandlingsansvarlige eller databehandleren for den forvoldte skaden.
- 2. Enhver behandlingsansvarlig som vært involvert i behandlingen, skal være ansvarlig for skaden forårsaket av behandling som er i strid med denne forordning. En databehandler skal være ansvarlig for en skade forårsaket av behandling bare dersom vedkommende ikke har oppfylt forpliktelsene i denne forordning som særlig er rettet mot databehandlere, eller dersom vedkommende har opptrådt utenfor eller i strid med databehandlerens lovlige instrukser.
- 3. En behandlingsansvarlig eller databehandler skal fritas for erstatningsansvar i henhold til nr. 2 dersom vedkommende godtgjør at vedkommende på ingen måte er ansvarlig for hendelsen som førte til skaden.
- 4. Dersom flere enn én behandlingsansvarlig eller databehandler eller både en behandlingsansvarlig og en databehandler er involvert i samme behandling, og dersom de i henhold til nr. 2 og 3 er ansvarlige for eventuelle skader som forårsakes av behandlingen, skal hver behandlingsansvarlig eller databehandles holdes ansvarlig for hele skaden for å sikre at den registrerte mottar effektiv erstatning.
- 5. Dersom en behandlingsansvarlig eller databehandler i samsvar med nr. 4 har betalt full erstatning for den forvoldte skaden, skal nevnte behandlingsansvarlig eller databehandler fra de andre behandlingsansvarlige eller databehandlere som har vært involvert i samme behandling, ha rett til å kreve tilbake den delen av erstatningen som svarer til deres del av ansvaret for skaden, i samsvar med vilkårene fastsatt i nr. 2.
- 6. Retterganger med henblikk på utøvelse av retten til å motta erstatning, skal bringes inn for domstolene som har kompetanse i henhold til nasjonal rett i medlemsstaten nevnt i artikkel 79 nr. 2.
Artikkel 83
Generelle vilkår for ilegging av overtredelsesgebyr
- 1. Hver tilsynsmyndighet skal sikre at ilegging av overtredelsesgebyr i henhold til denne artikkel for overtredelser av denne forordning nevnt i nr. 4, 5 og 6 i hvert enkelt tilfelle er virkningsfull, står i et rimelig forhold til overtredelsen og virker avskrekkende.
- 2. Avhengig av omstendighetene i hvert enkelt tilfelle skal overtredelsesgebyr ilegges i tillegg til eller istedenfor tiltakene nevnt i artikkel 58 nr. 2 bokstav a)–h) og j). Når det treffes avgjørelse om hvorvidt det skal ilegges overtredelsesgebyr samt om overtredelsesgebyrets størrelse, skal det i hvert enkelt tilfelle tas behørig hensyn til følgende:
- a) karakteren, alvorlighetsgraden og varigheten av overtredelsen, idet det tas hensyn til den berørte behandlingens art, omfang eller formål samt antall registrerte som er berørt, og omfanget av den skade de har lidd,
- b) hvorvidt overtredelsen ble begått forsettlig eller uaktsomt,
- c) eventuelle tiltak truffet av den behandlingsansvarlige eller databehandleren for å begrense skaden som de registrerte har lidd,
- d) den behandlingsansvarliges eller databehandlerens grad av ansvar, idet det tas hensyn til de tekniske og organisatoriske tiltak de har gjennomført i henhold til artikkel 25 og 32,
- e) eventuelle relevante tidligere overtredelser begått av den behandlingsansvarlige eller databehandleren,
- f) graden av samarbeid med tilsynsmyndigheten for å bøte på overtredelsen og redusere de mulige negative virkningene av den,
- g) kategoriene av personopplysninger som er berørt av overtredelsen,
- h) på hvilken måte tilsynsmyndigheten fikk kjennskap til overtredelsen, særlig om og eventuelt i hvilken grad den behandlingsansvarlige eller databehandleren har underrettet om overtredelsen,
- i) dersom tiltak nevnt i artikkel 58 nr. 2 tidligere er blitt truffet overfor den berørte behandlingsansvarlige eller databehandler med hensyn til samme saksgjenstand, at nevnte tiltak overholdes,
- j) overholdelse av godkjente atferdsnormer i henhold til artikkel 40 eller godkjente sertifiseringsmekanismer i henhold til artikkel 42 og
- k) enhver annen skjerpende eller formildende faktor ved saken, f.eks. økonomiske fordeler som er oppnådd, eller tap som er unngått, direkte eller indirekte, som følge av overtredelsen.
- 3. Dersom en behandlingsansvarlig eller databehandler i forbindelse med samme eller tilknyttede behandlingsaktiviteter forsettlig eller uaktsomt overtrer flere av bestemmelsene i denne forordning, skal overtredelsesgebyrets samlede beløp ikke være høyere enn beløpet angitt for den alvorligste overtredelsen.
- 4. Ved overtredelser av følgende bestemmelser skal det i samsvar med nr. 2 ilegges overtredelsesgebyr på opptil 10 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 2 % av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes:
- a) den behandlingsansvarliges og databehandlerens forpliktelser i henhold til artikkel 8, 11, 25–39 samt 42 og 43,
- b) sertifiseringsorganets forpliktelser i henhold til artikkel 42 og 43,
- c) kontrollorganets forpliktelser i henhold til artikkel 41 nr. 4.
- 5. Ved overtredelser av følgende bestemmelser skal det i samsvar med nr. 2 ilegges overtredelsesgebyr på opptil 20 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 4 % av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes:
- a) de grunnleggende prinsippene for behandling, herunder vilkår for samtykke, i henhold til artikkel 5, 6, 7 og 9,
- b) de registrertes rettigheter i henhold til artikkel 12–22,
- c) overføring av personopplysninger til en mottaker i en tredjestat eller en internasjonal organisasjon i henhold til artikkel 44–49,
- d) eventuelle forpliktelser i henhold til medlemsstatenes nasjonale rett vedtatt i henhold til kapittel IX,
- e) manglende overholdelse av et pålegg om eller en midlertidig eller definitiv begrensning av behandling eller en avgjørelse om midlertidige opphold i datastrømmen truffet av tilsynsmyndigheten i henhold til artikkel 58 nr. 2 eller dersom det ikke gis tilgang i strid med artikkel 58 nr. 1.
- 6. Ved manglende overholdelse av et pålegg fra tilsynsmyndigheten som nevnt i artikkel 58 nr. 2 skal det i samsvar med nr. 2 i denne artikkel ilegges overtredelsesgebyr på opptil 20 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 4 % av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes.
- 7. Uten at det berører tilsynsmyndighetenes myndighet til å beslutte korrigerende tiltak i henhold til artikkel 58 nr. 2, kan hver medlemsstat fastsette regler om når og i hvilken grad offentlige myndigheter og organer som er etablert i nevnte medlemsstat, kan ilegges overtredelsesgebyr.
- 8. Tilsynsmyndighetens utøvelse av myndighet i henhold til denne artikkel skal være omfattet av nødvendige prosessuelle garantier i samsvar med unionsretten og medlemsstatenes nasjonale rett, herunder effektive rettsmidler og rettferdig rettergang.
- 9. Dersom medlemsstatens rettsorden ikke gir mulighet til å ilegge overtredelsesgebyr, kan denne artikkel anvendes på en slik måte at gebyret initieres av vedkommende tilsynsmyndighet og ilegges av vedkommende nasjonale domstoler, idet det sikres at nevnte beføyelser er effektive og har samme virkning som overtredelsesgebyrene som ilegges av tilsynsmyndigheter. I alle tilfeller skal gebyrene som ilegges, være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Medlemsstatene skal senest 25. mai 2018 underrette Kommisjonen om de lovbestemmelser de vedtar i henhold til dette nummer, og uten opphold om eventuelle senere endringslover eller endringer som påvirker dem.
Artikkel 84
Sanksjoner
- 1. Medlemsstatene skal fastsette regler om andre sanksjoner for overtredelser av denne forordning, særlig for overtredelser som ikke omfattes av overtredelsesgebyrer i henhold til artikkel 83, og skal treffe alle nødvendige tiltak for å sikre at de gjennomføres. Sanksjonene skal være virkningsfulle, stå i rimelig forhold til overtredelsen og virke avskrekkende.
- 2. Medlemsstatene skal senest 25. mai 2018 underrette Kommisjonen om de lovbestemmelser de vedtar i henhold til nr. 1, og uten opphold om eventuelle senere endringer som påvirker dem.
Kapittel IX
Bestemmelser om særlige behandlingssituasjoner
Artikkel 85
Behandling og ytrings- og informasjonsfrihet
- 1. Medlemsstatene skal ved lov bringe retten til vern av personopplysninger i henhold til denne forordning i samsvar med retten til ytrings- og informasjonsfrihet, herunder behandling som finner sted i journalistisk øyemed eller med henblikk på akademiske, kunstneriske eller litterære ytringer.
- 2. Ved behandling som finner sted i journalistisk øyemed eller med henblikk på akademiske, kunstneriske eller litterære ytringer, skal medlemsstatene fastsette fritak eller unntak fra kapittel II (prinsipper), kapittel III (den registrertes rettigheter), kapittel IV (behandlingsansvarlig og databehandler), kapittel V (overføring av personopplysninger til tredjestater eller internasjonale organisasjoner), kapittel VI (uavhengige tilsynsmyndigheter), kapittel VII (samarbeid og ensartet anvendelse) og kapittel IX (særlige behandlingssituasjoner) dersom det er nødvendig for å bringe retten til vern av personopplysninger i samsvar med retten til ytrings- og informasjonsfrihet.
- 3. Medlemsstatene skal underrette Kommisjonen om de lovbestemmelser de har vedtatt i henhold til nr. 2, og uten opphold om eventuelle senere endringslover eller endringer som påvirker dem.
Artikkel 86
Behandling og allmennhetens innsyn i offentlige dokumenter
Personopplysninger i offentlige dokumenter som en offentlig myndighet eller et offentlig eller privat organ er i besittelse av for å utføre en oppgave i allmennhetens interesse, kan utleveres av myndigheten eller organet i samsvar med unionsretten eller medlemsstatenes nasjonale rett som den offentlige myndigheten eller organet er underlagt, for å bringe allmennhetens rett til innsyn i offentlige dokumenter i samsvar med retten til vern av personopplysninger i henhold til denne forordning.
Artikkel 87
Behandling av nasjonalt identifikasjonsnummer
Medlemsstatene kan fastsette nærmere særlige vilkår for behandling av et nasjonalt identifikasjonsnummer eller andre generelle identifikatorer. Dersom dette er tilfellet, skal det nasjonale identifikasjonsnummeret eller enhver annen generell identifikator bare brukes sammen med nødvendige garantier for den registrertes rettigheter og friheter i henhold til denne forordning.
Artikkel 88
Behandling i forbindelse med ansettelsesforhold
- 1. Medlemsstatene kan, ved lov eller tariffavtaler, fastsette nærmere regler for å sikre vern av rettigheter og friheter ved behandling av arbeidstakeres personopplysninger i forbindelse med ansettelsesforhold, særlig med henblikk på rekruttering, oppfyllelse av arbeidsavtaler, herunder oppfyllelse av forpliktelser fastsatt ved lov eller tariffavtaler, ledelse, planlegging og organisering av arbeidet, likestilling og mangfold samt helse og sikkerhet på arbeidsplassen, vern av arbeidsgiverens eller kundens eiendom, individuell eller kollektiv utøvelse av eller rett til å nyte godt av rettighetene og fordelene knyttet til ansettelsen samt for å avslutte ansettelsesforholdet.
- 2. Nevnte regler skal omfatte egnede og særlige tiltak for å verne den registrertes menneskeverd, berettigede interesser og grunnleggende rettigheter, særlig med hensyn til behandlingens åpenhet, overføring av personopplysninger internt i et konsern eller en gruppe av foretak som utøver en felles økonomisk virksomhet, og overvåkingssystemer på arbeidsplassen.
- 3. Medlemsstatene skal senest 25. mai 2018 underrette Kommisjonen om de lovbestemmelser de vedtar i henhold til nr. 1, og uten opphold om eventuelle senere endringer som påvirker dem.
Artikkel 89
Garantier og unntak ved behandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål
- 1. Behandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal omfattes av nødvendige garantier i samsvar med denne forordning for å sikre den registrertes rettigheter og friheter. Nevnte garantier skal sikre at det er innført tekniske og organisatoriske tiltak for særlig å sikre at prinsippet om dataminimering overholdes. Nevnte tiltak kan omfatte pseudonymisering, forutsatt at nevnte formål kan oppfylles på denne måten. Dersom nevnte formål kan oppfylles ved viderebehandling som ikke gjør det mulig eller ikke lenger gjør det mulig å identifisere de registrerte, skal formålene oppfylles på denne måten.
- 2. Når personopplysninger behandles for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, kan det i unionsretten eller medlemsstatenes nasjonale rett fastsettes unntak fra rettighetene nevnt i artikkel 15, 16, 18 og 21, med forbehold for vilkårene og garantiene nevnt i nr. 1 i denne artikkel, i den grad det er sannsynlig at slike rettigheter vil gjøre det umulig eller i alvorlig grad vil hindre oppfyllelsen av de spesifikke formålene, og slike unntak er nødvendig for å oppfylle nevnte formål.
- 3. Når personopplysninger behandles for arkivformål i allmennhetens interesse, kan det i unionsretten eller medlemsstatenes nasjonale rett fastsettes unntak fra rettighetene nevnt i artikkel 15, 16, 18, 19, 20 og 21, med forbehold for vilkårene og garantiene nevnt i nr. 1 i denne artikkel, i den grad det er sannsynlig at slike rettigheter vil gjøre det umulig eller i alvorlig grad vil hindre oppfyllelsen av de spesifikke formålene, og slike unntak er nødvendig for å oppfylle nevnte formål.
- 4. Når en behandling nevnt i nr. 2 og 3 samtidig har andre formål, får unntakene anvendelse bare på behandling for formålene nevnt i disse numre.
Artikkel 90
Taushetsplikt
- 1. Medlemsstatene kan vedta særlige regler for å fastsette tilsynsmyndighetenes myndighet omhandlet i artikkel 58 nr. 1 bokstav e) og f) i forbindelse med behandlingsansvarlige eller databehandlere som i henhold til unionsretten eller medlemsstatenes nasjonale rett eller regler fastsatt av nasjonale vedkommende organer omfattes av yrkesmessig taushetsplikt eller annen tilsvarende taushetsplikt, dersom det er nødvendig og står i et rimelig forhold til behovet for å bringe retten til vern av personopplysninger i samsvar med nevnte taushetsplikt. Nevnte regler får bare anvendelse på personopplysninger som den behandlingsansvarlige eller databehandleren har mottatt som følge av, eller har innhentet i forbindelse med, en aktivitet som omfattes av nevnte taushetsplikt.
- 2. Medlemsstatene skal senest 25. mai 2018 underrette Kommisjonen om de regler de vedtar i henhold til nr. 1, og uten opphold om eventuelle senere endringer som påvirker dem.
Artikkel 91
Eksisterende regler om vern av personopplysninger for kirker og religiøse sammenslutninger
- 1. Dersom kirker og religiøse sammenslutninger eller samfunn i en medlemsstat på tidspunktet for ikrafttredelsen av denne forordning anvender omfattende regler om vern av fysiske personer med hensyn til behandling, kan nevnte regler fortsatt anvendes, forutsatt at de bringes i samsvar med denne forordning.
- 2. Kirker og religiøse sammenslutninger som anvender omfattende regler i samsvar med nr. 1 i denne artikkel, skal være underlagt tilsyn av en uavhengig tilsynsmyndighet, som kan være spesifikk, forutsatt at den oppfyller vilkårene fastsatt i kapittel VI i denne forordning.
Kapittel X
Delegerte rettsakter og gjennomføringsrettsakter
Artikkel 92
Utøvelse av delegert myndighet
- 1. Myndigheten til å vedta delegerte rettsakter gis Kommisjonen med forbehold for vilkårene fastsatt i denne artikkel.
- 2. Den delegerte myndigheten nevnt i artikkel 12 nr. 8 og artikkel 43 nr. 8 gis Kommisjonen på ubestemt tid fra 24. mai 2016.
- 3. Den delegerte myndigheten nevnt i artikkel 12 nr. 8 og artikkel 43 nr. 8 kan når som helst tilbakekalles av Europaparlamentet eller Rådet. En beslutning om tilbakekalling innebærer at den delegerte myndigheten som angis i beslutningen, opphører å gjelde. Den får anvendelse dagen etter at den er kunngjort i Den europeiske unions tidende eller på et senere tidspunkt angitt i beslutningen. Den berører ikke gyldigheten av delegerte rettsakter som allerede er i trådt i kraft.
- 4. Så snart Kommisjonen vedtar en delegert rettsakt, skal den underrette Europaparlamentet og Rådet samtidig om dette.
- 5. En delegert rettsakt vedtatt i henhold til artikkel 12 nr. 8 og artikkel 43 nr. 8 skal tre i kraft bare dersom verken Europaparlamentet eller Rådet har gjort innsigelse mot rettsakten innen en frist på tre måneder etter at Europaparlamentet og Rådet ble underrettet om rettsakten, eller dersom både Europaparlamentet og Rådet innen utløpet av denne fristen har underrettet Kommisjonen om at de ikke kommer til å gjøre innsigelse. Fristen forlenges med tre måneder på Europaparlamentets eller Rådets initiativ.
Artikkel 93
Komitéprosedyre
- 1. Kommisjonen skal bistås av en komité. Nevnte komité skal være en komité i henhold til forordning (EU) nr. 182/2011.
- 2. Når det vises til dette nummer, får artikkel 5 i forordning (EU) nr. 182/2011 anvendelse.
- 3. Når det vises til dette nummer, får artikkel 8 sammenholdt med artikkel 5 i forordning (EU) nr. 182/2011 anvendelse.
Kapittel XI
Sluttbestemmelser
Artikkel 94
Oppheving av direktiv 95/46/EF
- 1. Direktiv 95/46/EF oppheves med virkning fra 25. mai 2018.
- 2. Henvisninger til det opphevede direktiv skal forstås som henvisninger til denne forordning. Henvisninger til arbeidsgruppen for personvern i forbindelse med behandling av personopplysninger nedsatt ved artikkel 29 i direktiv 95/46/EF skal forstås som henvisninger til Det europeiske personvernråd nedsatt ved denne forordning.
Artikkel 95
Forhold til direktiv 2002/58/EF
Ved denne forordning skal det ikke innføres ytterligere forpliktelser for fysiske eller juridiske personer når det gjelder behandling i forbindelse med levering av offentlig tilgjengelige elektroniske kommunikasjonstjenester i offentlige kommunikasjonsnett i Unionen med hensyn til aspekter der de er underlagt særlige forpliktelser med samme formål som det som er fastsatt i direktiv 2002/58/EF.
Artikkel 96
Forhold til tidligere inngåtte avtaler
Internasjonale avtaler som omfatter overføring av personopplysninger til tredjestater eller internasjonale organisasjoner, som medlemsstatene har inngått før 24. mai 2016, og som er i samsvar med unionsretten som gjaldt før nevnte dato, får fortsatt anvendelse fram til de endres, erstattes eller oppheves.
Artikkel 97
Kommisjonens rapporter
- 1. Kommisjonen skal senest 25. mai 2020 og deretter hvert fjerde år framlegge en rapport om vurderingen og gjennomgåelsen av denne forordning for Europaparlamentet og Rådet. Rapportene skal offentliggjøres.
- 2. I forbindelse med vurderingene og gjennomgåelsene nevnt i nr. 1 skal Kommisjonen særlig undersøke hvordan det følgende anvendes og fungerer:
- a) kapittel V om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner, særlig med hensyn til beslutninger som er truffet i henhold til artikkel 45 nr. 3 i denne forordning, og beslutninger som er truffet på grunnlag av artikkel 25 nr. 6 i direktiv 95/46/EF,
- b) kapittel VII om samarbeid og ensartet anvendelse.
- 3. Med hensyn til nr. 1 kan Kommisjonen anmode om informasjon fra medlemsstater og tilsynsmyndigheter.
- 4. Når Kommisjonen foretar vurderingene og gjennomgåelsene nevnt i nr. 1 og 2, skal den ta hensyn til holdningene og konklusjonene fra Europaparlamentet, Rådet og andre relevante organer eller kilder.
- 5. Kommisjonen skal ved behov framlegge egnede forslag til endring av denne forordning, idet det tas særlig hensyn til utviklingen innen informasjonsteknologi og de framskrittene som har funnet sted i informasjonssamfunnet.
Artikkel 98
Gjennomgåelse av andre EU-rettsakter om vern av personopplysninger
Dersom det er relevant, skal Kommisjonen framlegge forslag til regelverk med henblikk på endring av andre EU-rettsakter om vern av personopplysninger for å sikre et enhetlig og ensartet vern av fysiske personer i forbindelse med behandling. Dette skal særlig gjelde reglene for vern av fysiske personer i forbindelse med behandling som utføres av EUs institusjoner, organer, kontorer og byråer, og for fri utveksling av slike opplysninger.
Artikkel 99
Ikrafttredelse og anvendelse
- 1. Denne forordning trer i kraft den 20. dag etter at den er kunngjort i Den europeiske unions tidende.
- 2. Den får anvendelse fra 25. mai 2018.
Denne forordning er bindende i alle deler og kommer direkte til anvendelse i alle medlemsstater.
Utferdiget i Brussel 27. april 2016.