Prop. 98 S (2016–2017)

Samtykke til godtakelse av direktiv (EU) 2016/680 av 27. april 2016 om fysiske personers vern i forbindelse med kompetente myndigheters behandling av personopplysninger mv. og om opphevelse av Rådets rammebeslutning 2008/977/JIS (videreutvikling av Schengen-regelverket)

Til innholdsfortegnelse

1 Europaparlaments- og rådsdirektiv (EU) 2016/680 av 27. april 2016 om fysiske personers vern i forbindelse med kompetente myndigheters behandling av personopplysninger med sikte på å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner og om fri utveksling av slike opplysninger, og opphevelse av Rådets rammebeslutning 2008/977/JIS

EUROPAPARLAMENTET OG RÅDET FOR DEN EUROPEISKE UNION HAR –

under henvisning til traktaten om Den europeiske unions virkemåte, særlig artikkel 16 nr. 2,

under henvisning til forslag fra Europakommisjonen,

etter oversending av utkast til regelverksakt til de nasjonale parlamentene,

under henvisning til uttalelse fra Regionkomiteen1,

etter den ordinære regelverksprosessen2 og

ut fra følgende betraktninger:

  • 1) Vern av fysiske personer i forbindelse med behandling av personopplysninger er en grunnleggende rettighet. I artikkel 8 nr. 1 i Den europeiske unions pakt om grunnleggende rettigheter («pakten») og artikkel 16 nr. 1 i traktaten om Den europeiske unions virkemåte (TEUV) er det fastsatt at enhver person har rett til vern av personopplysninger om vedkommende selv.

  • 2) Prinsippene og reglene for vern av fysiske personer i forbindelse med behandling av personopplysninger som gjelder dem selv, bør, uavhengig av nevnte personers statsborgerskap eller bosted, respektere deres grunnleggende rettigheter og friheter, særlig retten til vern av personopplysninger. Hensikten med dette direktiv er å bidra til å skape et område med frihet, sikkerhet og rettferdighet.

  • 3) Den raske tekniske utviklingen samt globaliseringen har skapt nye utfordringer med hensyn til vern av personopplysninger. Omfanget av innsamlingen og utvekslingen av personopplysninger har økt betraktelig. Teknologien gjør det mulig å behandle personopplysninger i et helt nytt omfang med sikte på å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner.

  • 4) Det bør legges til rette for fri flyt av personopplysninger mellom kompetente myndigheter med sikte på å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner, herunder hindre trusler mot og verne om offentlig sikkerhet i Unionen, og for overføring av slike personopplysninger til tredjestater og internasjonale organisasjoner, samtidig som det sikres et godt vern av personopplysninger. Denne utviklingen krever at det bygges opp en sterk og mer helhetlig ramme for vern av personopplysninger i Unionen, understøttet av streng håndheving.

  • 5) Europaparlaments- og rådsdirektiv 95/46/EF3 gjelder for all behandling av personopplysninger i medlemsstatene, både i offentlig og i privat sektor. Det gjelder imidlertid ikke for behandling av personopplysninger i forbindelse med virksomhet utenfor fellesskapsrettens virkeområde, for eksempel virksomhet på områdene strafferettslig samarbeid og politisamarbeid.

  • 6) Rådets rammebeslutning 2008/977/JIS4 gjelder for områdene strafferettslig samarbeid og politisamarbeid. Rammebeslutningens virkeområde er begrenset til behandling av personopplysninger som overføres eller blir tilgjengelige medlemsstatene imellom.

  • 7) Det er helt avgjørende å sikre et ensartet og godt vern av fysiske personers personopplysninger og legge til rette for utveksling av personopplysninger mellom kompetente myndigheter i medlemsstatene for å kunne sikre effektivt strafferettslig samarbeid og politisamarbeid. For det formål bør vernet av fysiske personers rettigheter og friheter i forbindelse med kompetente myndigheters behandling av personopplysninger med sikte på å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner, herunder hindre trusler mot og verne om offentlig sikkerhet i Unionen, holde samme nivå i alle medlemsstater. For å sikre et effektivt vern av personopplysninger i hele Unionen kreves det en styrking av rettighetene til de registrerte og pliktene til dem som behandler personopplysninger, samt at det i medlemsstatene finnes den samme myndighet til å føre tilsyn med og sikre overholdelse av reglene for vern av personopplysninger.

  • 8) Ved artikkel 16 nr. 2 i TEUV gis Europaparlamentet og Rådet fullmakt til å fastsette regler for vern av fysiske personer i forbindelse med behandling av personopplysninger samt regler for fri utveksling av personopplysninger.

  • 9) Med denne hjemmel er det i europaparlaments- og rådsforordning (EU) 2016/6795 fastsatt generelle bestemmelser som gir fysiske personer vern i forbindelse med behandling av personopplysninger og sikrer fri utveksling av personopplysninger innenfor Unionen.

  • 10) I erklæring nr. 21 om vern av personopplysninger på områdene strafferettslig samarbeid og politisamarbeid, vedlagt sluttakten fra den mellomstatlige konferansen som vedtok Lisboa-traktaten, erkjente konferansen at det kan vise seg å bli nødvendig med særlige bestemmelser om vern av personopplysninger og fri utveksling av personopplysninger på områdene strafferettslig samarbeid og politisamarbeid, med hjemmel i artikkel 16 i TEUV, ut fra disse områdenes særpreg.

  • 11) Disse områdene bør derfor behandles i et direktiv som fastsetter særlige bestemmelser om fysiske personers vern i forbindelse med kompetente myndigheters behandling av personopplysninger med sikte på å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner, herunder hindre trusler mot og verne om offentlig sikkerhet, med respekt for disse områdenes særpreg. Disse kompetente myndigheter kan være offentlige myndigheter som rettsmyndigheter, politi eller andre rettshåndhevingsmyndigheter, men også alle andre organer eller enheter som i henhold til medlemsstatenes nasjonale rett har til oppgave å utøve offentlig myndighet for dette direktivs formål. Når et slikt organ eller en slik enhet behandler personopplysninger for andre formål enn formålene i dette direktiv, får forordning (EU) 2016/679 anvendelse. Forordning (EU) 2016/679 får derfor anvendelse i tilfeller der et organ eller en enhet innhenter personopplysninger for andre formål og viderebehandler disse personopplysningene for å oppfylle en rettslig forpliktelse. For eksempel oppbevarer finansinstitusjoner visse personopplysninger som behandles av dem, for å kunne etterforske, avsløre eller rettsforfølge straffbare handlinger, og disse personopplysningene leveres bare ut til kompetente nasjonale myndigheter i særlige tilfeller og i samsvar med medlemsstatens nasjonale rett. Et organ eller en enhet som behandler personopplysninger på vegne av slike myndigheter innenfor dette direktivs virkeområde bør være bundet av en avtale eller annen rettshandel og av de bestemmelser som gjelder for databehandlere i henhold til dette direktiv, mens anvendelsen av forordning (EU) 2016/679 forblir upåvirket med hensyn til databehandlerens behandling av personopplysninger utenfor dette direktivs virkeområde.

  • 12) Politiets eller andre rettshåndhevende myndigheters virksomhet er hovedsakelig rettet inn mot å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger, herunder politivirksomhet der det ikke er fastslått om en hendelse er en straffbar handling eller ikke. Slik virksomhet kan også omfatte myndighetsutøvelse ved bruk av tvang, for eksempel politiets virksomhet under demonstrasjoner, store sportsarrangementer og opptøyer. Den omfatter også opprettholdelse av lov og orden, som en oppgave tillagt politiet eller andre rettshåndhevende myndigheter der det er nødvendig for å hindre trusler mot og verne om offentlig orden og grunnleggende samfunnsinteresser vernet ved lov, når dette kan føre til en straffbar handling. Medlemsstatene kan gi kompetente myndigheter andre oppgaver som ikke nødvendigvis utføres med sikte på å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger, herunder hindre trusler mot og verne om offentlig sikkerhet, slik at behandling av personopplysninger for disse andre formålene, i den grad dette omfattes av unionsretten, hører under virkeområdet for forordning (EU) 2016/679.

  • 13) En straffbar handling som definert i dette direktiv bør være et selvstendig begrep i unionsretten, slik det fortolkes av Den europeiske unions domstol («Domstolen»).

  • 14) Ettersom dette direktiv ikke bør få anvendelse på behandling av personopplysninger i forbindelse med virksomhet utenfor unionsrettens virkeområde, bør virksomhet som vedrører nasjonal sikkerhet, virksomhet utført av institusjoner eller enheter som håndterer spørsmål knyttet til nasjonal sikkerhet, samt medlemsstatenes behandling av opplysninger når de utfører virksomhet som hører under virkeområdet for avdeling V kapittel 2 i traktaten om Den europeiske union (TEU), ikke anses som virksomhet innenfor dette direktivs virkeområde.

  • 15) For å sikre at fysiske personer har det samme vern i hele Unionen gjennom rettigheter som kan håndheves, og for å hindre ulikheter som vanskeliggjør utveksling av personopplysninger mellom kompetente myndigheter, bør dette direktiv fastsette harmoniserte bestemmelser om vern og fri utveksling av personopplysninger som behandles med sikte på å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner, herunder hindre trusler mot og verne om offentlig sikkerhet. Tilnærmingen mellom medlemsstatenes nasjonale rett bør ikke føre til et dårligere vern av personopplysninger, men bør tvert om søke å sikre et godt vern innenfor Unionen. Medlemsstatene bør ikke hindres i å fastsette strengere tiltak enn det som er fastsatt i dette direktiv til vern av den registrertes rettigheter og friheter i forbindelse med kompetente myndigheters behandling av personopplysninger.

  • 16) Dette direktiv berører ikke prinsippet om offentlig innsyn i offentlige dokumenter. I henhold til forordning (EU) 2016/679 kan personopplysninger i offentlige dokumenter som en offentlig myndighet eller et offentlig eller privat organ sitter med for å kunne utføre en oppgave som er i samfunnets interesse, leveres ut av denne myndigheten eller dette organet i samsvar med unionsretten eller den nasjonale rett som den offentlige myndigheten eller organet er undergitt, slik at hensynet til offentlig innsyn i offentlige dokumenter balanseres mot retten til vern av personopplysninger.

  • 17) Det vern som dette direktiv gir i forbindelse med behandling av personopplysninger, bør få anvendelse på fysiske personer, uavhengig av deres statsborgerskap eller bosted.

  • 18) For å unngå at det oppstår en alvorlig risiko for at bestemmelsene omgås bør vernet av fysiske personer være teknologisk nøytralt og ikke avhenge av teknikkene som benyttes. Vernet av fysiske personer bør få anvendelse på automatisert behandling av personopplysninger samt manuell behandling dersom personopplysningene inngår i eller skal inngå i et register. Saksmapper eller samlinger av saksmapper samt deres forsider som ikke er strukturert etter bestemte kriterier, bør ikke omfattes av dette direktivs virkeområde.

  • 19) Europaparlaments- og rådsforordning (EF) nr. 45/20016 får anvendelse på behandling av personopplysninger som utføres av Unionens institusjoner, organer, kontorer og byråer. Forordning (EF) nr. 45/2001 og andre EU-rettsakter som får anvendelse på nevnte behandling av personopplysninger, bør tilpasses prinsippene og reglene i forordning (EU) 2016/679.

  • 20) Dette direktiv er ikke til hinder for at medlemsstatene i sine straffeprosessbestemmelser spesifiserer behandling og behandlingsprosedyrer i forbindelse med domstolenes og andre rettsmyndigheters behandling av personopplysninger, særlig hva angår personopplysninger i en rettsavgjørelse eller i en protokoll fra en straffesak.

  • 21) Prinsippene om vern av personopplysninger bør få anvendelse på enhver opplysning om en identifisert eller identifiserbar fysisk person. Når det skal fastslås om en fysisk person er identifiserbar, bør det tas hensyn til alle midler som det med rimelighet kan tenkes at den behandlingsansvarlige eller en annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte, f.eks. utpeking. For å fastslå om midler med rimelighet kan tenkes å bli tatt i bruk for å identifisere den fysiske personen bør det tas hensyn til alle objektive faktorer, f.eks. kostnadene for og tiden som er nødvendig for å foreta identifikasjonen, idet det tas hensyn til teknologien som er tilgjengelig på behandlingstidspunktet, samt den teknologiske utvikling. Prinsippene om vern av personopplysninger bør derfor ikke få anvendelse på anonyme opplysninger, nærmere bestemt opplysninger som ikke kan knyttes til en identifisert eller identifiserbar fysisk person, eller personopplysninger som er blitt anonymisert på en slik måte at den registrerte ikke lenger kan identifiseres.

  • 22) Offentlige myndigheter som får utlevert personopplysninger i samsvar med en rettslig forpliktelse i forbindelse med utøvelse av sitt offentlige oppdrag, f.eks. skatte- og tollmyndigheter, enheter som driver økonomisk etterforskning, uavhengige forvaltningsmyndigheter eller finansmarkedsmyndigheter med ansvar for regulering av og tilsyn med verdipapirmarkeder, bør ikke anses som mottakere dersom de mottar personopplysninger som er nødvendige for å utføre en bestemt granskning av allmenn interesse i samsvar med unionsretten eller medlemsstatenes nasjonale rett. Offentlige myndigheters anmodninger om utlevering av informasjon bør alltid være skriftlige, begrunnede og leilighetsvise, og bør ikke gjelde et helt register eller føre til sammenkopling av registre. Nevnte offentlige myndigheters behandling av personopplysninger bør overholde gjeldende regler for vern av personopplysninger i samsvar med formålet med behandlingen.

  • 23) Genetiske opplysninger bør defineres som personopplysninger om en fysisk persons nedarvede eller ervervede genetiske egenskaper som gir entydig informasjon om denne persons fysiologi eller helse som foreligger etter analysering av en biologisk prøve fra nevnte fysiske person, særlig en kromosomanalyse eller en DNA- eller RNA-analyse, eller analysering av andre elementer som gjør det mulig å innhente tilsvarende opplysninger. Ettersom genetisk informasjon er kompleks og sensitiv, er det stor risiko for misbruk og gjenbruk til forskjellige formål fra den behandlingsansvarliges side. All diskriminering på grunnlag av genetiske egenskaper bør i prinsippet være forbudt.

  • 24) Personopplysninger om helse bør omfatte alle opplysninger om den registrertes helsetilstand som avdekker den registrertes tidligere, nåværende eller fremtidige fysiske eller psykiske helsetilstand. Dette omfatter opplysninger om den fysiske personen innsamlet under registrering av vedkommende med henblikk på eller under yting av helsetjenester, som nevnt i europaparlaments- og rådsdirektiv 2011/24/EU7, til den aktuelle fysiske personen; et tall, symbol eller kjennetegn som tildeles en fysisk person for på en entydig måte å identifisere vedkommende for helseformål; opplysninger som stammer fra prøvinger eller undersøkelser av en kroppsdel eller en kroppssubstans, herunder fra genetiske opplysninger og biologiske prøver; og enhver opplysning om den registrerte med hensyn til f.eks. sykdom, funksjonshemning, sykdomsrisiko, sykehistorie, klinisk behandling eller fysiologisk eller biomedisinsk tilstand uavhengig av hvor dette stammer fra, f.eks. fra en lege eller annet helsepersonell, et sykehus, medisinsk utstyr eller in vitro-diagnostikk.

  • 25) Alle medlemsstater er tilknyttet den internasjonale politiorganisasjonen Interpol. I forbindelse med sitt oppdrag mottar, lagrer og videreformidler Interpol personopplysninger for å bistå kompetente myndigheter med å forebygge og bekjempe internasjonal kriminalitet. Det er derfor hensiktsmessig å styrke samarbeidet mellom Unionen og Interpol ved å fremme effektiv utveksling av personopplysninger, samtidig som respekten for grunnleggende rettigheter og friheter i forbindelse med automatisk behandling av personopplysninger sikres. Når personopplysninger overføres fra Unionen til Interpol, og til stater som har delegert medlemmer til Interpol, bør dette direktiv og framfor alt bestemmelsene om internasjonale overføringer, få anvendelse. Dette direktiv bør ikke berøre de særlige bestemmelsene i Rådets felles holdning 2005/69/JIS8 og rådsbeslutning 2007/533/JIS9.

  • 26) Enhver behandling av personopplysninger skal være lovlig og rettferdig, og gi de berørte fysiske personer mulighet for innsyn, og bare finne sted for visse lovbestemte formål. Dette er i seg selv ikke til hinder for at rettshåndhevende myndigheter kan utføre sine oppgaver, for eksempel etterforskning i det skjulte eller videoovervåking. Slike oppgaver kan utføres med sikte på å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner, herunder hindre trusler mot og verne om offentlig sikkerhet, så lenge de er fastlagt ved lov og er et nødvendig og forholdsmessig tiltak i et demokratisk samfunn, og det tas behørig hensyn til den berørte fysiske personens berettigede interesser. Personvernprinsippet om redelig behandling er et annet begrep enn retten til rettferdig rettergang slik dette er definert i paktens artikkel 47 og i artikkel 6 i Den europeiske konvensjon om beskyttelse av menneskerettighetene og de grunnleggende friheter (ECHR). Fysiske personer bør gjøres kjent med risiko, bestemmelser, vernetiltak og rettigheter knyttet til behandling av personopplysninger og hvordan de kan utøve sine rettigheter i forbindelse med behandlingen. De konkrete formålene med behandlingen av personopplysningene bør være uttrykkelig angitt og berettigede og fastlagt på tidspunktet da personopplysningene innhentes. Personopplysningene bør være adekvate og relevante ut fra behandlingens formål. Det bør framfor alt sikres at de innhentede personopplysningene ikke er for omfattende, og ikke oppbevares lenger enn det som er nødvendig ut fra behandlingens formål. Personopplysninger skal bare behandles dersom behandlingens formål ikke med rimelighet kan oppfylles på annen måte. For å sikre at personopplysningene ikke lagres lenger enn nødvendig, bør den behandlingsansvarlige fastsette frister for sletting eller nødvendige garantier til vern av personopplysninger som lagres i lengre tidsrom, med sikte på arkivering i samfunnets interesse eller til vitenskapelig, statistisk eller historisk bruk.

  • 27) Kompetente myndigheter har, med sikte på å forebygge, etterforske og rettsforfølge straffbare handlinger, behov for at personopplysninger som er innhentet i forbindelse med forebygging, etterforskning, avsløring eller rettsforfølgning av konkrete straffbare handlinger, behandles i en videre sammenheng for å få en bedre forståelse av den kriminelle virksomheten og knytte sammen ulike avslørte straffbare handlinger.

  • 28) For å opprettholde sikkerheten i forbindelse med behandling og hindre behandling som er i strid med dette direktiv, bør personopplysninger behandles på en måte som gir tilstrekkelig sikkerhet og fortrolighet, herunder ved å hindre uvedkommendes tilgang til eller bruk av personopplysninger og utstyr som benyttes i behandlingen, og som tar hensyn til det aktuelle tekniske nivå og tilgjengelig teknologi, gjennomføringskostnadene sett i forhold til risikoen og hva slags personopplysninger som skal vernes.

  • 29) Personopplysninger bør innhentes for uttrykkelig angitte og berettigede formål innenfor dette direktivs virkeområde, og bør ikke behandles for formål som er uforenlige med å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner, herunder hindre trusler mot og verne om offentlig sikkerhet. Dersom personopplysninger behandles av den samme eller en annen behandlingsansvarlig for et formål som er innenfor dette direktivs virkeområde, men som har et annet formål enn det som lå til grunn for at de ble innhentet, bør en slik behandling være tillatt, forutsatt at den er godkjent i samsvar med gjeldende lovbestemmelser og er nødvendig og forholdsmessig ut fra det andre formålet.

  • 30) Prinsippet om riktige opplysninger bør sees i lys av den aktuelle behandlingens art og formål. Under rettergang er forklaringer inneholdende personopplysninger basert på fysiske personers subjektive oppfatning, og de kan ikke alltid verifiseres. Kravet om riktighet bør derfor ikke dreie seg om hvorvidt en forklaring er riktig, men bare det faktum at en bestemt forklaring er gitt.

  • 31) Ved behandling av personopplysninger i forbindelse med strafferettslig samarbeid og politisamarbeid ligger det i sakens natur at det behandles personopplysninger om ulike kategorier registrerte. Når det er relevant, og så langt som mulig, bør det derfor skilles klart mellom personopplysninger om ulike kategorier registrerte, for eksempel mistenkte, straffedømte, ofre og andre parter, slik som vitner, personer med relevante opplysninger eller kontakter, samt personer med tilknytning til mistenkte og straffedømte. Dette bør ikke være til hinder for anvendelsen av retten til formodet uskyld, slik den er sikret ved pakten og Den europeiske menneskerettskonvensjonen, og fortolket i rettspraksis ved Domstolen og Den europeiske menneskerettighetsdomstol.

  • 32) Kompetente myndigheter bør sikre at personopplysninger som er uriktige, ufullstendige eller ikke lenger ajourført, ikke overføres eller blir tilgjengelige. For å sikre fysiske personers vern, og at personopplysningene som overføres eller blir tilgjengelige er riktige, fullstendige, pålitelige og ajourført, bør kompetente myndigheter så langt som mulig tilføye nødvendig informasjon ved all overføring av personopplysninger.

  • 33) Når dette direktiv viser til medlemsstatenes nasjonale rett, en rettslig hjemmel eller et lovgivningsmessig tiltak, betyr dette ikke nødvendigvis en lov som er vedtatt av et parlament, med forbehold for den berørte medlemsstatens forfatningsregler. Denne nasjonale rett, denne rettslige hjemmel eller dette lovgivningsmessige tiltak bør imidlertid være klar(t) og presis(t), og anvendelsen bør være forutsigelig for dem som omfattes av den, i henhold til rettspraksis ved Domstolen og Den europeiske menneskerettighetsdomstol. Medlemsstatenes nasjonale rett, som regulerer behandlingen av personopplysninger innenfor dette direktivs virkeområde, bør som et minimum angi målene for behandlingen, hvilke personopplysninger som skal behandles, behandlingens formål, prosedyrene for å bevare personopplysningenes integritet og fortrolige karakter, samt prosedyrene for tilintetgjøring, og derved gi tilstrekkelig garanti mot risiko for misbruk og vilkårlighet.

  • 34) Kompetente myndigheters behandling av personopplysninger med sikte på å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner, herunder hindre trusler mot og verne om offentlig sikkerhet, bør omfatte enhver operasjon eller serie av operasjoner som utføres på personopplysninger eller sett med personopplysninger for disse formålene, enten det skjer automatisk eller ikke, for eksempel innhenting, registrering, organisering, systematisering, lagring, tilpasning eller endring, gjenfinning, lesing, bruk, justering eller samkjøring, begrensning av behandlingen, sletting eller tilintetgjøring. Bestemmelsene i dette direktiv bør ikke minst få anvendelse på overføring av personopplysninger for dette direktivs formål til en mottaker som ikke omfattes av dette direktiv. En slik mottaker kan være en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som mottar personopplysninger fra kompetent myndighet på lovlig måte. Om personopplysningene først ble innhentet av en kompetent myndighet for et av formålene i dette direktiv, bør forordning (EU) 2016/679 få anvendelse på behandling av disse opplysningene dersom formålet er et annet enn formålene i dette direktiv, når behandlingen er godkjent i henhold til unionsretten eller medlemsstatenes nasjonale rett. Framfor alt bør bestemmelsene i forordning (EU) 2016/679 få anvendelse på overføring av personopplysninger for formål utenfor dette direktivs virkeområde. Forordning (EU) 2016/679 bør få anvendelse når personopplysninger behandles av en mottaker som ikke er en kompetent myndighet, eller som ikke fungerer som en kompetent myndighet som definert i dette direktiv, og som mottar personopplysninger fra en kompetent myndighet på lovlig måte. Ved gjennomføring av dette direktiv bør medlemsstatene også kunne presisere anvendelsen av bestemmelsene i forordning (EU) 2016/679, med forbehold for vilkårene i forordningen.

  • 35) For å være lovlig bør behandling av personopplysninger i henhold til dette direktiv være nødvendig for at en kompetent myndighet skal kunne utføre en oppgave som er i samfunnets interesse, med hjemmel i unionsretten eller medlemsstatenes nasjonale rett, med sikte på å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner, herunder hindre trusler mot og verne om offentlig sikkerhet. Denne virksomheten bør omfatte vern av den registrertes vitale interesser. Oppgavene med å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger, som institusjonelt er tillagt kompetente myndigheter ved lov, gjør at de kan kreve eller gi ordre om at fysiske personer skal etterkomme anmodninger. I et slikt tilfelle bør den registrertes samtykke, som definert i forordning (EU) 2016/679, ikke utgjøre et rettsgrunnlag for kompetente myndigheters behandling av personopplysninger. Når den registrerte må oppfylle en rettslig forpliktelse, har vedkommende ikke et reelt og fritt valg, slik at den registrertes reaksjon ikke kan anses som et uttrykk for hans eller hennes vilje avgitt på fritt grunnlag. Dette bør ikke være til hinder for at medlemsstatene fastsetter ved lov at den registrerte kan godta behandling av sine personopplysninger for dette direktivs formål, slik som DNA-testing i forbindelse med etterforskning av straffbare forhold, eller overvåking av hans eller hennes geografiske plassering med elektronisk fotlenke for å fullbyrde strafferettslige sanksjoner.

  • 36) Medlemsstatene bør fastsette at når unionsretten eller den nasjonale rett som gjelder for den kompetente myndighet som overfører opplysningene fastsetter særlige vilkår, som under særlige omstendigheter gjelder for behandling av personopplysninger, for eksempel bruk av håndteringsregler, bør den kompetente myndighet som overfører opplysningene informere mottakeren av personopplysningene om disse vilkårene og kravet om å overholde dem. Slike vilkår kan for eksempel være et forbud mot å videresende personopplysningene til andre, et forbud mot å bruke dem til andre formål enn det som lå til grunn for at de ble oversendt til mottakeren, eller et forbud mot å informere den registrerte i tilfelle av begrenset rett til informasjon uten forhåndsgodkjenning fra den kompetente myndighet som overfører opplysningene. Disse forpliktelsene bør også gjelde for overføring fra den kompetente myndighet som overfører opplysningene, til mottakere i tredjestater eller internasjonale organisasjoner. Medlemsstatene bør sikre at den kompetente myndighet som overfører opplysningene, ikke setter slike vilkår for mottakere i andre medlemsstater, eller for byråer, kontorer og organer opprettet i henhold til avdeling V kapittel 4 og 5 i TEUV, med unntak av de vilkår som gjelder for tilsvarende dataoverføring i den kompetente myndighetens medlemsstat.

  • 37) Personopplysninger som av natur er særlig sensitive med hensyn til grunnleggende rettigheter og friheter, fortjener et særskilt vern, ettersom sammenhengen de behandles i, kan skape betydelige risikoer for de grunnleggende rettigheter og friheter. Slike personopplysninger bør omfatte personopplysninger som avdekker rasemessig eller etnisk opprinnelse, idet bruken av begrepet «rasemessig opprinnelse» i dette direktiv ikke innebærer at Unionen godtar teorier som søker å fastslå at det finnes forskjellige menneskeraser. Slike personopplysninger bør ikke behandles, med mindre behandlingen er undergitt nødvendige garantier til vern av den registrertes lovbestemte rettigheter og friheter og er tillatt i tilfeller hjemlet i lov, eller behandlingen, dersom den ikke er hjemlet i lov, er nødvendig for å verne om den registrertes eller en annen persons vitale interesser, eller behandlingen gjelder opplysninger som helt åpenbart er offentliggjort av den registrerte. Nødvendige garantier til vern av den registrertes rettigheter og friheter kan omfatte muligheten til bare å innhente slike opplysninger i forbindelse med andre opplysninger om den berørte fysiske personen, muligheten til å sikre de innhentede opplysningene på tilfredsstillende måte, strengere bestemmelser om tilgang til opplysningene for den kompetente myndighetens personale og forbud mot overføring av slike opplysninger. Behandling av slike opplysninger bør også tillates ved lov når den registrerte har gitt uttrykkelig samtykke til en behandling som er særlig inngripende overfor ham eller henne. Den registrertes samtykke bør imidlertid ikke i seg selv utgjøre et rettsgrunnlag for kompetente myndigheters behandling av slike sensitive personopplysninger.

  • 38) Den registrerte bør ha rett til ikke å bli gjenstand for en avgjørelse som kan omfatte en vurdering av personlige aspekter ved vedkommende som fullt ut bygger på automatisert behandling og som har negative rettsvirkninger eller i betydelig grad påvirker ham eller henne. Under alle omstendigheter bør en slik behandling ledsages av nødvendige garantier, herunder spesifikk informasjon til den registrerte og rett til menneskelig inngripen, til å uttrykke sine synspunkter, til å få en forklaring på beslutningen som er truffet etter en slik vurdering, og til å protestere mot beslutningen. Profilering som fører til diskriminering av fysiske personer på grunnlag av personopplysninger som er av en slik art at de er særlig sensitive med hensyn til grunnleggende rettigheter og friheter, bør være forbudt på de vilkår som er fastlagt i paktens artikkel 21 og 52.

  • 39) For at den registrerte skal kunne utøve sine rettigheter, bør all informasjon rettet til vedkommende være lett tilgjengelig, blant annet på den behandlingsansvarliges nettsted, og være enkel å forstå, og det skal benyttes et klart og enkelt språk. Informasjonen bør tilpasses behovene til sårbare personer, for eksempel barn.

  • 40) Det bør fastsettes nærmere regler for å sikre at den registrerte på en enkel måte kan utøve sine rettigheter etter bestemmelser vedtatt i henhold til dette direktiv, herunder mekanismer for å anmode om og, dersom det er relevant, kostnadsfritt få innsyn i personopplysninger og få korrigert eller slettet disse, og til begrensning av behandlingen. Den behandlingsansvarlige bør ha plikt til å svare på anmodninger fra den registrerte uten ugrunnet opphold, med mindre den behandlingsansvarlige anvender begrensninger på den registrertes rettigheter i samsvar med dette direktiv. Dersom det imidlertid dreier seg om en anmodning som er åpenbart grunnløs eller urimelig, som når den registrerte uten grunn og gjentatte ganger ber om informasjon, eller når den registrerte misbruker sin rett til informasjon, for eksempel ved å gi uriktig eller villedende informasjon i sin anmodning, bør den behandlingsansvarlige kunne kreve et rimelig gebyr eller unnlate å etterkomme anmodningen.

  • 41) Når den behandlingsansvarlige ber om at det legges fram ytterligere opplysninger for å kunne bekrefte den registrertes identitet, bør disse opplysningene behandles utelukkende for dette konkrete formålet, og ikke lagres lenger enn det som er nødvendig ut fra dette.

  • 42) Som et minimum bør følgende informasjon bli tilgjengelig for den registrerte: den behandlingsansvarliges identitet, at behandlingen finner sted, behandlingens formål, retten til å klage og retten til å be den behandlingsansvarlige om innsyn i personopplysningene og få dem korrigert eller slettet, eller om begrensning av behandlingen. Dette kan gjøres på den kompetente myndighetens nettsted. I tillegg bør den registrerte, i særlige tilfeller og for å gjøre det mulig for ham eller henne å utøve sine rettigheter, informeres om rettsgrunnlaget for behandlingen og om hvor lenge opplysningene vil bli lagret, i den grad slike ytterligere opplysninger er nødvendige for å sikre den registrerte en redelig behandling, ut fra de konkrete omstendighetene rundt behandlingen av opplysningene.

  • 43) En fysisk person bør ha rett til å få innsyn i personopplysninger som er samlet inn om vedkommende, og til på en enkel måte og med rimelige intervaller å utøve denne retten for å forvisse seg om og kontrollere at behandlingen er lovlig. Alle registrerte bør derfor ha rett til å kjenne til og bli informert om formålet med behandlingen av opplysningene, perioden som personopplysningene behandles og hvem som mottar dem, herunder mottakere i tredjestater. Når meldingen inneholder informasjon om hvor personopplysningene kommer fra, bør informasjonen ikke avsløre fysiske personers identitet, og særlig ikke fortrolige kilder. For at denne rettigheten skal respekteres, er det tilstrekkelig at den registrerte får et fullstendig sammendrag av opplysningene i en forståelig form, det vil si en form som gjør at den registrerte får kjennskap til disse opplysningene og kan verifisere at de er riktige og behandles i samsvar med dette direktiv, slik at det blir mulig for ham eller henne å utøve sine rettigheter i henhold til dette direktiv. Et slikt sammendrag kan leveres i form av en kopi av personopplysningene som blir behandlet.

  • 44) Medlemsstatene bør kunne vedta lovgivningsmessige tiltak som utsetter, begrenser eller utelater informasjonen til de registrerte eller helt eller delvis begrenser deres innsyn i sine personopplysninger, i den utstrekning og så lenge et slikt tiltak er et nødvendig og forholdsmessig tiltak i et demokratisk samfunn, og det tas behørig hensyn til den berørte fysiske personens grunnleggende rettigheter og berettigede interesser, med sikte på å unngå å hindre offentlige eller rettslige undersøkelser, etterforskninger eller prosedyrer, unngå å skade arbeidet med å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner, å verne om offentlig sikkerhet eller nasjonal sikkerhet, eller å verne om andres rettigheter og friheter. Den behandlingsansvarlige bør, ved en konkret og individuell undersøkelse av hvert enkelt tilfelle, vurdere om retten til innsyn bør helt eller delvis begrenses.

  • 45) Ethvert avslag på eller begrensning av innsyn bør i prinsippet meldes skriftlig til den registrerte, og meldingen bør inneholde de faktiske eller rettslige grunnene som beslutningen er basert på.

  • 46) Enhver begrensning av den registrertes rettigheter må være i samsvar med pakten og med Den europeiske menneskerettskonvensjonen, fortolket i rettspraksis ved Domstolen og Den europeiske menneskerettighetsdomstol, og framfor alt respektere kjernen i disse rettigheter og friheter.

  • 47) En fysisk person bør ha rett til å få korrigert uriktige personopplysninger om seg, særlig faktaopplysninger, og rett til å få dem slettet når behandling av opplysningene er i strid med dette direktiv. Imidlertid bør retten til korrigering ikke berøre for eksempel innholdet i en vitneforklaring. En fysisk person bør også ha rett til begrensning av behandlingen når han eller hun bestrider riktigheten av personopplysningene og det ikke kan fastslås om de er riktige eller uriktige, eller når personopplysningene må oppbevares som bevismiddel. I stedet for at personopplysninger slettes, bør behandlingen begrenses dersom det i et konkret tilfelle er rimelig grunn til å tro at sletting kan innvirke på den registrertes berettigede interesser. I et slikt tilfelle bør begrensede opplysninger behandles bare for det formål som var til hinder for at de ble slettet. Behandlingen av personopplysninger kan blant annet begrenses ved å flytte de utvalgte opplysningene til et annet behandlingssystem, for eksempel for arkivformål, eller ved å sørge for at de utvalgte opplysningene er utilgjengelige. I automatiserte registre bør begrensning av behandlingen i prinsippet sikres med tekniske hjelpemidler. Det faktum at behandlingen av personopplysninger er begrenset, bør angis i systemet på en slik måte at det framgår klart at behandlingen av personopplysninger er begrenset. En slik korrigering eller sletting av personopplysninger, eller begrensning av behandlingen, bør meldes til de mottakere som har fått opplysningene utlevert, og til de kompetente myndigheter som de uriktige opplysningene kommer fra. De behandlingsansvarlige bør også avstå fra ytterligere utlevering av slike opplysninger.

  • 48) Når den behandlingsansvarlige ikke vil innrømme en registrert rett til informasjon, til innsyn i personopplysninger, eller til å få dem korrigert eller slettet, eller til begrensning av behandlingen, bør den registrerte ha rett til å be om at den nasjonale tilsynsmyndigheten kontrollerer om behandlingen er lovlig. Den registrerte bør informeres om denne rettigheten. Når tilsynsmyndigheten opptrer på vegne av den registrerte, bør tilsynsmyndigheten som et minimum informere vedkommende om at den har gjennomført alle nødvendige kontroller eller undersøkelser. Tilsynsmyndigheten bør også informere den registrerte om retten til å kreve rettslig prøving.

  • 49) Når personopplysninger behandles i forbindelse med etterforskning av straffbare forhold og domstolsbehandling av straffesaker, bør medlemsstatene kunne fastsette at retten til informasjon, til innsyn i personopplysningene, til å få dem korrigert eller slettet, og til begrensning av behandlingen, utøves i samsvar med nasjonale rettergangsregler.

  • 50) Den behandlingsansvarliges ansvar og erstatningsansvar for enhver behandling av personopplysninger som utføres av eller på vegne av vedkommende, bør fastsettes. Den behandlingsansvarlige bør særlig ha plikt til å gjennomføre egnede og effektive tiltak og bør kunne vise at behandlingsaktivitetene er i samsvar med dette direktiv. Nevnte tiltak bør ta høyde for behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene for fysiske personers rettigheter og friheter. Den behandlingsansvarliges tiltak bør omfatte utarbeiding og gjennomføring av særlige vernetiltak for behandling av personopplysninger om sårbare personer, for eksempel barn.

  • 51) Behandling av personopplysninger kan føre til at det oppstår risikoer av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter som kan medføre fysisk, materiell eller ikke-materiell skade, særlig når behandlingen kan føre til forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, skade på omdømme, tap av fortrolighet for taushetsbelagte opplysninger, uautorisert oppheving av pseudonymisering eller andre betydelige økonomiske eller sosiale ulemper, når de registrerte kan bli fratatt sine rettigheter og friheter eller bli hindret i å utøve kontroll over egne personopplysninger, når behandlingen gjelder personopplysninger som avslører rasemessig eller etnisk opprinnelse, politisk oppfatning, religiøs eller filosofisk overbevisning, fagforeningsmedlemskap, og behandling av genetiske eller biometriske opplysninger som entydig kan identifisere en person, helseopplysninger, seksuelle forhold eller straffedommer og straffbare forhold eller tilknyttede sikkerhetstiltak, når personlige aspekter vurderes, særlig for å analysere og forutsi aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, for å opprette eller bruke personlige profiler, når sårbare fysiske personers, særlig barns, personopplysninger behandles, eller når behandlingen omfatter en stor mengde personopplysninger og berører et stort antall registrerte.

  • 52) Hvor sannsynlig og alvorlig risikoen er bør fastslås ut fra behandlingens art, omfang, formål og sammenhengen den utføres i. Risikoen bør vurderes ut fra en objektiv vurdering der det fastslås om behandlingen av personopplysningene innebærer en høy risiko. Høy risiko er en særlig risiko for skade på de registrertes rettigheter og friheter.

  • 53) Vern av fysiske personers rettigheter og friheter i forbindelse med behandling av personopplysninger krever at det treffes egnede tekniske og organisatoriske tiltak for å sikre at kravene i dette direktiv blir oppfylt. Gjennomføringen av slike tiltak bør ikke avhenge utelukkende av økonomiske hensyn. For å påvise at dette direktiv er overholdt bør den behandlingsansvarlige vedta interne retningslinjer og gjennomføre tiltak, som framfor alt følger prinsippene om innebygd personvern og personvern som standardinnstilling. Om den behandlingsansvarlige har gjennomført en vurdering av personvernkonsekvenser i henhold til dette direktiv, bør det tas hensyn til resultatene når disse tiltakene og prosedyrene skal utarbeides. Ett tiltak kan være pseudonymisering på et så tidlig tidspunkt som mulig. Bruk av pseudonymisering for dette direktivs formål kan fungere som et verktøy, som ikke minst kan lette fri flyt av personopplysninger innenfor området med frihet, sikkerhet og rettferdighet.

  • 54) Vernet av registrertes rettigheter og friheter samt de behandlingsansvarliges og databehandleres ansvar, herunder i forbindelse med tilsynsmyndighetenes tilsyn og tiltak, krever en tydelig fordeling av ansvar i dette direktiv, herunder når den behandlingsansvarlige fastsetter formålene med og midlene for behandlingen sammen med andre behandlingsansvarlige, eller når en behandling utføres på vegne av en behandlingsansvarlig.

  • 55) Behandling som utføres av en databehandler bør reguleres ved et rettslig dokument, herunder en avtale som binder databehandleren til den behandlingsansvarlige, og som fastsetter at databehandleren utelukkende skal handle på instruks fra den behandlingsansvarlige. Databehandleren bør ta hensyn til prinsippene om innebygd personvern og personvern som standardinnstilling.

  • 56) For å påvise samsvar med dette direktiv bør den behandlingsansvarlige eller databehandleren føre protokoll over alle kategorier behandlingsaktiviteter som de har ansvar for. Hver behandlingsansvarlig og hver databehandler bør ha plikt til å samarbeide med tilsynsmyndigheten og på anmodning gjøre disse protokollene tilgjengelig for den, slik at de kan benyttes til kontroll av nevnte behandlingsaktiviteter. En behandlingsansvarlig eller databehandler som behandler personopplysninger i ikke-automatiserte behandlingssystemer, bør ha innført effektive metoder som viser at behandlingen er lovlig, muliggjør egenkontroll og garanterer dataintegritet og datasikring, for eksempel logg eller andre typer registrering.

  • 57) Det bør som et minimum føres logg over operasjoner i automatiserte behandlingssystemer, slik som innhenting, endring, lesing, utlevering – herunder overføring – samkjøring eller sletting. Det bør loggføres hvem som har søkt etter eller utlevert personopplysninger, og ut fra dette bør det være mulig å fastslå hva som var begrunnelsen for behandlingen. Loggene bør utelukkende benyttes til å verifisere at behandlingen er lovlig, til egenkontroll, til å garantere dataintegritet og datasikring, og i forbindelse med straffesaker. Egenkontroll omfatter også kompetente myndigheters interne disiplinærsaker.

  • 58) Den behandlingsansvarlige bør gjennomføre en vurdering av personvernkonsekvenser når de ulike operasjonene på grunn av sin karakter, sitt virkeområde eller sitt formål sannsynligvis vil innebære stor risiko for registrertes rettigheter og friheter, og den bør blant annet omfatte planlagte tiltak, vernetiltak og ordninger for å sikre vern av personopplysninger, og for å kunne påvise at dette direktiv er overholdt. Vurderinger av personvernkonsekvenser bør omfatte relevante systemer og prosesser for de ulike operasjonene, men ikke enkeltsaker.

  • 59) For å sikre et effektivt vern av registrertes rettigheter og friheter bør den behandlingsansvarlige eller databehandleren i enkelte tilfeller rådføre seg med tilsynsmyndigheten før behandling.

  • 60) For å opprettholde sikkerheten og hindre behandling som er i strid med dette direktiv, bør den behandlingsansvarlige eller databehandleren vurdere de iboende risikoene forbundet med behandlingen og gjennomføre tiltak for å begrense disse, for eksempel kryptering. Slike tiltak bør sørge for et egnet sikkerhetsnivå, herunder et egnet nivå av fortrolighet, idet det tas hensyn til det nåværende utviklingstrinn i teknikken og gjennomføringskostnadene i forbindelse med risikoene, samt arten av personopplysninger som skal vernes. Når risikoen for datasikkerheten vurderes, bør det tas hensyn til risikoene forbundet med behandling av opplysninger, f.eks. utilsiktet eller ulovlig tilintetgjøring, tap, endring, ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet, som særlig kan føre til fysisk, materiell eller ikke-materiell skade. Den behandlingsansvarlige og databehandleren bør påse at personopplysninger ikke behandles av uautoriserte personer.

  • 61) Et personvernbrudd kan, dersom det ikke håndteres på egnet måte og i rett tid, påføre fysiske personer fysisk, materiell eller ikke-materiell skade, f.eks. tap av kontroll over egne personopplysninger eller begrensning av egne rettigheter, forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, uautorisert oppheving av pseudonymisering, skade på omdømme, tap av fortrolighet for taushetsbelagte personopplysninger eller andre betydelige økonomiske eller sosiale ulemper for den berørte fysiske personen. Så snart den behandlingsansvarlige får kjennskap til at det har oppstått et personvernbrudd, skal vedkommende melde nevnte brudd til tilsynsmyndigheten uten ugrunnet opphold og om mulig senest 72 timer etter å ha fått kjennskap til det, med mindre vedkommende i samsvar med ansvarlighetsprinsippet kan påvise at det er lite trolig at nevnte personvernbrudd vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom nevnte melding ikke kan gis innen 72 timer, bør årsaken til forsinkelsen oppgis i meldingen, og informasjonen kan gis trinnvis uten videre ugrunnet opphold.

  • 62) Når personvernbruddet sannsynligvis vil innebære en høy risiko for en fysisk persons rettigheter og friheter, bør vedkommende underrettes uten ugrunnet opphold, slik at han eller hun kan treffe nødvendige forholdsregler. Underretningen bør beskrive arten av personvernbruddet og inneholde anbefalinger som den berørte fysiske personen kan følge for å begrense mulige skadevirkninger. De registrerte bør underrettes så snart det med rimelighet er mulig, og i nært samarbeid med tilsynsmyndigheten og i samsvar med retningslinjer utstedt av den eller av andre relevante myndigheter. Behovet for å redusere en umiddelbar risiko for skade kan for eksempel kreve at de registrerte underrettes omgående, mens behovet for å gjennomføre egnede tiltak mot fortsatte eller lignende personvernbrudd kan berettige en lengre frist for underretning. Når det ikke er mulig å unngå å hindre offentlige eller rettslige undersøkelser, etterforskninger eller prosedyrer, å unngå å skade arbeidet med å forebygge, avsløre, etterforske eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner, eller verne om offentlig sikkerhet eller nasjonal sikkerhet eller andres rettigheter og friheter, ved å utsette eller begrense underretningen til den berørte fysiske personen om personvernbruddet, kan denne underretningen under særlige omstendigheter utelates.

  • 63) Den behandlingsansvarlige bør utnevne en person til å bistå seg i arbeidet med å kontrollere intern overholdelse av bestemmelser vedtatt i henhold til dette direktiv, bortsett fra når en medlemsstat beslutter at domstoler og andre uavhengige rettsmyndigheter skal unntas når de utfører sine judisielle oppgaver. Denne personen kan være et medlem av den behandlingsansvarliges personale, som har fått særlig opplæring om rett og praksis på personvernområdet med sikte på å tilegne seg dybdekunnskap på dette området. Nødvendig dybdekunnskapsnivå bør ikke minst bestemmes ut fra den aktuelle databehandlingen og hvilket vern som kreves for personopplysningene som den behandlingsansvarlige har til behandling. Vedkommendes oppgaver kan utføres på deltid eller heltid. Flere behandlingsansvarlige kan i fellesskap utnevne en personvernrådgiver i samsvar med sin organisatoriske struktur og størrelse, for eksempel når de har felles ressurser i sentrale enheter. Denne personen kan også utnevnes til forskjellige stillinger i de berørte behandlingsansvarliges struktur. Han eller hun bør bistå den behandlingsansvarlige og ansatte som behandler personopplysninger, ved å gi dem informasjon og råd om hvordan de kan oppfylle sine personvernforpliktelser. Personvernrådgiveren bør kunne utføre sin tjeneste og sine oppgaver i full uavhengighet, i samsvar med medlemsstatenes nasjonale rett.

  • 64) Medlemsstatene bør sikre at overføring til en tredjestat eller en internasjonal organisasjon finner sted bare dersom det er nødvendig for å kunne forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner, herunder hindre trusler mot og verne om offentlig sikkerhet, og at den behandlingsansvarlige i tredjestaten eller den internasjonale organisasjonen er en kompetent myndighet som definert i dette direktiv. En overføring bør bare utføres av kompetente myndigheter som fungerer som behandlingsansvarlige, med mindre en databehandler har fått uttrykkelig instruks om overføring på vegne av en behandlingsansvarlig. En slik overføring kan finne sted når Kommisjonen har besluttet at vernet i den aktuelle tredjestaten eller internasjonale organisasjonen er tilfredsstillende, når det er fastsatt nødvendige garantier, eller når det gjøres unntak for særlige situasjoner. Når personopplysninger overføres fra Unionen til behandlingsansvarlige, databehandlere eller andre mottakere i tredjestater eller internasjonale organisasjoner, bør vernenivået for fysiske personer fastsatt i Unionen ved dette direktiv ikke undergraves, og heller ikke når personopplysninger overføres videre fra tredjestaten eller den internasjonale organisasjonen til behandlingsansvarlige eller databehandlere i den samme eller en annen tredjestat eller internasjonal organisasjon.

  • 65) Når personopplysninger overføres fra en medlemsstat til tredjestater eller internasjonale organisasjoner, bør overføringen i prinsippet finne sted først etter at medlemsstaten der opplysningene ble innhentet, har gitt tillatelse til overføringen. For å oppnå et effektivt samarbeid om rettshåndheving bør den kompetente myndighet kunne overføre relevante personopplysninger til den aktuelle tredjestaten eller internasjonale organisasjonen uten tillatelse på forhånd når det er en så umiddelbar trussel mot offentlig sikkerhet i en medlemsstat eller en tredjestat, eller mot en medlemsstats vesentlige interesser, at forhåndstillatelse ikke kan innhentes i tide. Medlemsstatene bør fastsette at eventuelle særlige vilkår for overføringen bør meldes til tredjestater eller internasjonale organisasjoner. Videreoverføring av personopplysninger bør godkjennes på forhånd av den kompetente myndighet som har foretatt den opprinnelige overføringen. Når den kompetente myndighet som har foretatt den opprinnelige overføringen treffer beslutning om en anmodning om tillatelse til videreoverføring, bør den ta alle relevante faktorer i betraktning, blant annet hvor alvorlig den straffbare handlingen er, de særlige vilkårene for, og formålet med, den opprinnelige overføringen av opplysningene, hva slags fullbyrding av den strafferettslige sanksjonen det dreier seg om og vilkårene for den, samt vernenivået for personopplysninger i tredjestaten eller den internasjonale organisasjonen som personopplysningene videreoverføres til. Den kompetente myndighet som har foretatt den opprinnelige overføringen bør også kunne fastsette særlige vilkår for videreoverføringen. Slike særlige vilkår kan for eksempel beskrives i håndteringsregler.

  • 66) Kommisjonen bør kunne beslutte, med virkning for hele Unionen, at visse tredjestater, et territorium eller en eller flere nærmere angitte sektorer i en tredjestat, eller en internasjonal organisasjon, har et tilstrekkelig nivå for vern av personopplysninger, og på den måten skape rettssikkerhet og ensartethet i hele Unionen med hensyn til tredjestater eller internasjonale organisasjoner som anses å ha et slikt vernenivå. I slike tilfeller bør overføring av personopplysninger til disse statene kunne finne sted uten at det er nødvendig å innhente en særlig tillatelse, unntatt når en annen medlemsstat, der opplysningene ble innhentet, må gi tillatelse til overføringen.

  • 67) I samsvar med de grunnleggende verdiene som Unionen bygger på, særlig beskyttelse av menneskerettighetene, bør Kommisjonen i sin vurdering av tredjestaten, eller av et territorium, eller en bestemt sektor i en tredjestat, ta hensyn til hvordan en bestemt tredjestat overholder rettsstatsprinsippet, sikrer klageadgang og domstolsprøving og overholder internasjonale menneskerettighetsstandarder samt sin allmenne og sektorbestemte lovgivning, herunder lovgivning om offentlig sikkerhet, forsvar, nasjonal sikkerhet, offentlig orden og strafferett. Når det treffes en beslutning om tilstrekkelig vernenivå som gjelder et territorium eller en bestemt sektor i en tredjestat, bør det tas hensyn til tydelige og objektive kriterier, f.eks. spesifikke behandlingsaktiviteter og omfanget av gjeldende rettsregler og lovgivning i tredjestaten. Tredjestaten bør gi garantier som sikrer et tilstrekkelig vernenivå, og som i hovedtrekk tilsvarer det som sikres i Unionen, særlig når opplysninger behandles i en eller flere spesifikke sektorer. Tredjestaten bør særlig sikre et effektivt og uavhengig personverntilsyn og bør opprette mekanismer for samarbeid med medlemsstatenes personvernmyndigheter, og de registrerte bør ha effektive og håndhevbare rettigheter og kunne oppnå effektiv administrativ og rettslig prøving.

  • 68) I tillegg til de internasjonale forpliktelsene som tredjestaten eller den internasjonale organisasjonen har inngått, bør Kommisjonen også ta hensyn til forpliktelsene som følger av tredjestatens eller den internasjonale organisasjonens deltakelse i multilaterale eller regionale systemer, særlig i forbindelse med vern av personopplysninger, samt gjennomføringen av nevnte forpliktelser. Det bør særlig tas hensyn til tredjestatens tiltredelse til Europarådets konvensjon av 28. januar 1981 om personvern i forbindelse med elektronisk databehandling av personopplysninger samt dens tilleggsprotokoll. Kommisjonen bør rådspørre Det europeiske personvernrådet, som ble opprettet ved forordning (EU) 2016/679 («Personvernrådet»), når den vurderer vernenivået i tredjestater eller internasjonale organisasjoner. Kommisjonen bør også ta hensyn til en eventuell relevant kommisjonsbeslutning om tilfredsstillende vernenivå, vedtatt i samsvar med artikkel 45 i forordning (EU) 2016/679.

  • 69) Kommisjonen bør overvåke virkningen av beslutninger om vernenivået i en tredjestat, på et territorium eller i en bestemt sektor i en tredjestat eller en internasjonal organisasjon. I sine beslutninger om tilstrekkelig vernenivå bør Kommisjonen fastsette en mekanisme for regelmessig gjennomgåelse av beslutningenes virkning. Nevnte regelmessige gjennomgåelse bør utføres i samråd med den aktuelle tredjestat eller internasjonale organisasjon, og bør ta hensyn til all relevant utvikling i tredjestaten eller den internasjonale organisasjonen.

  • 70) Kommisjonen bør også kunne fastslå at en tredjestat, et territorium eller en bestemt sektor i en tredjestat eller en internasjonal organisasjon, ikke lenger sikrer et tilstrekkelig nivå for vern av personopplysninger. Overføring av personopplysninger til nevnte tredjestat eller internasjonal organisasjonen bør da forbys, med mindre kravene i dette direktiv som gjelder overføringer som omfattes av nødvendige garantier og unntak for særlige situasjoner er oppfylt. Det bør fastsettes at det skal gjennomføres samråd mellom Kommisjonen og nevnte tredjestater eller internasjonale organisasjoner. Kommisjonen bør i rett tid underrette tredjestaten eller den internasjonale organisasjonen om årsakene og innlede samråd med den for å avhjelpe situasjonen.

  • 71) Overføringer som ikke er basert på en slik beslutning om tilstrekkelig vernenivå, bør tillates bare når det er fastlagt nødvendige garantier i et rettslig bindende instrument som sikrer vernet av personopplysninger, eller når den behandlingsansvarlige har vurdert alle forhold ved dataoverføringen og på grunnlag av vurderingen anser at det foreligger nødvendige garantier til vern av personopplysninger. Slike rettslig bindende instrumenter kan for eksempel være rettslig bindende bilaterale avtaler som er inngått av medlemsstatene og gjennomført i deres rettsorden, og som kan håndheves av de registrerte i disse statene og garanterer at kravene til personvern og de registrertes rettigheter blir overholdt, herunder retten til effektiv administrativ eller rettslig prøving. Den behandlingsansvarlige bør, i sin vurdering av alle forhold av betydning for dataoverføringen, kunne ta hensyn til samarbeidsavtaler som er inngått mellom Europol eller Eurojust og tredjestater, og som åpner for utveksling av personopplysninger. Den behandlingsansvarlige bør også kunne ta hensyn til det faktum at overføringen av personopplysninger vil være undergitt taushetsplikt og avgrensningsprinsippet, noe som sikrer at opplysningene ikke vil bli behandlet for andre formål enn formålene med overføringen. Dessuten bør den behandlingsansvarlige ta hensyn til at personopplysningene ikke vil bli brukt til å be om, avsi eller iverksette dødsstraff eller annen form for grusom og umenneskelig behandling. Selv om disse vilkårene kan anses som hensiktsmessige vernetiltak som muliggjør overføring av opplysninger, bør den behandlingsansvarlige kunne kreve ytterligere vernetiltak.

  • 72) Når det ikke foreligger nødvendige garantier eller en beslutning om tilstrekkelig vernenivå, kan en overføring eller en type overføring bare finne sted i særlige situasjoner dersom det er nødvendig for å verne om den registrertes eller en annen persons vitale interesser, eller for å trygge den registrertes berettigede interesser når det er fastsatt i nasjonal rett i medlemsstaten som overfører personopplysningene; for å kunne hindre en umiddelbar og alvorlig trussel mot offentlig sikkerhet i en medlemsstat eller en tredjestat; i en enkeltsak med sikte på å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner, herunder hindre trusler mot og verne om offentlig sikkerhet; eller i en enkeltsak for å kunne fastslå, gjøre gjeldende eller forsvare rettslige krav. Disse unntakene bør tolkes restriktivt og bør ikke åpne for hyppige, omfattende og systematiske overføringer av personopplysninger, eller overføringer av opplysninger i stor skala, men begrenses til opplysninger som er strengt nødvendige. Slike overføringer bør dokumenteres og på anmodning gjøres tilgjengelig for tilsynsmyndigheten, slik at den kan kontrollere at overføringen er lovlig.

  • 73) Kompetente myndigheter anvender bilaterale eller multilaterale internasjonale avtaler inngått med tredjestater på området strafferettslig samarbeid og politisamarbeid, med sikte på utveksling av relevant informasjon slik at de kan utføre sine lovbestemte oppgaver. I prinsippet finner dette sted via eller i det minste i samarbeid med kompetente myndigheter i de aktuelle tredjestatene for dette direktivs formål, enkelte ganger også uten en bilateral eller multilateral internasjonal avtale. I konkrete enkeltsaker kan imidlertid vanlige prosedyrer, som krever kontakt med en slik myndighet i tredjestaten, være lite effektive eller uhensiktsmessige, ikke minst fordi overføringen ikke kan gjennomføres i tide, eller fordi tredjestatens myndighet ikke respekterer rettsstatens prinsipper eller internasjonale menneskerettighetsstandarder, slik at medlemsstatenes kompetente myndigheter kan beslutte å overføre personopplysninger direkte til mottakere i disse tredjestatene. Dette kan være tilfellet når det er et akutt behov for å overføre personopplysninger for å redde livet til en person som står i fare for å bli offer for en straffbar handling, eller for å hindre nært forestående kriminalitet, herunder terrorisme. Selv om en slik overføring mellom kompetente myndigheter og mottakere i tredjestater bare bør finne sted i konkrete enkeltsaker, bør dette direktiv fastsette vilkår som regulerer slike tilfeller. Disse bestemmelsene bør ikke anses som unntak fra eksisterende bilaterale eller multilaterale internasjonale avtaler på området strafferettslig samarbeid og politisamarbeid. Disse reglene bør få anvendelse i tillegg til de øvrige bestemmelsene i dette direktiv, og særlig bestemmelsene om lovlig behandling og bestemmelsene i kapittel V.

  • 74) Når personopplysninger krysser landegrenser, kan det øke risikoen for at fysiske personer ikke kan utøve sine rettigheter med hensyn til vern av personopplysninger for å beskytte seg mot ulovlig bruk eller utlevering av disse opplysningene. Samtidig kan tilsynsmyndigheter i noen tilfeller innse at de ikke er i stand til å følge opp klager eller foreta undersøkelser av aktiviteter som finner sted utenfor deres grenser. Samarbeidet på tvers av landegrensene kan også bli hindret av utilstrekkelig myndighet til å treffe forebyggende tiltak eller utbedringstiltak og av uensartede rettsordninger. Det er derfor behov for å fremme et tettere samarbeid mellom tilsynsmyndigheter for personvern, slik at de lettere kan utveksle informasjon og foreta undersøkelser sammen med sine utenlandske kolleger.

  • 75) Opprettelse av tilsynsmyndigheter i medlemsstatene som kan utføre sine oppgaver i full uavhengighet, har avgjørende betydning for vernet av fysiske personer i forbindelse med behandling av deres personopplysninger. Tilsynsmyndighetene bør føre tilsyn med anvendelsen av bestemmelser vedtatt i henhold til dette direktiv, og bør bidra til en ensartet anvendelse i hele Unionen med sikte på å gi fysiske personer vern i forbindelse med behandling av personopplysninger. Tilsynsmyndighetene bør samarbeide med hverandre og med Kommisjonen om dette.

  • 76) Medlemsstatene kan gi en tilsynsmyndighet som allerede er opprettet i henhold til forordning (EU) 2016/679, ansvaret for oppgaver tillagt de nasjonale tilsynsmyndighetene som skal opprettes i henhold til dette direktiv.

  • 77) Medlemsstatene bør kunne opprette mer enn én tilsynsmyndighet for å gjenspeile deres forfatningsmessige, organisatoriske og administrative struktur. Hver tilsynsmyndighet bør ha de nødvendige økonomiske og menneskelige ressurser, lokaler og infrastruktur for å kunne utføre sine oppgaver på en effektiv måte, herunder oppgaver knyttet til gjensidig bistand og samarbeid med andre tilsynsmyndigheter i Unionen. Hver tilsynsmyndighet bør ha et separat og offentlig årlig budsjett som kan inngå i det overordnede statsbudsjettet eller nasjonale budsjettet.

  • 78) Tilsynsmyndigheter bør være undergitt uavhengig kontroll eller tilsyn med egen økonomistyring, forutsatt at en slik finansiell kontroll ikke påvirker deres uavhengighet.

  • 79) De allmenne vilkårene for medlemmet/medlemmene av tilsynsmyndigheten bør fastsettes ved lov i hver medlemstat, og det bør særlig fastsettes at nevnte medlemmer skal oppnevnes ved hjelp av en gjennomsiktig prosess, enten av parlamentet, regjeringen eller statsoverhodet i medlemsstaten på grunnlag av et forslag fra regjeringen, et medlem av regjeringen, parlamentet eller et kammer i parlamentet, eller av et uavhengig organ med myndighet til dette i henhold til medlemsstatens nasjonale rett. For å sikre tilsynsmyndighetens uavhengighet bør medlemmet/medlemmene opptre med integritet, avstå fra enhver handling som ikke er forenlig med deres oppgaver og så lenge oppnevningsperioden varer, ikke utøve en uforenlig yrkesvirksomhet, enten den er lønnet eller ikke. For å sikre tilsynsmyndighetens uavhengighet bør den selv velge sitt personale, eventuelt med medvirkning av et uavhengig organ, som er tillagt denne oppgaven i henhold til medlemsstatens nasjonale rett.

  • 80) Selv om dette direktiv også gjelder for nasjonale domstolers og andre rettsmyndigheters virksomhet, bør tilsynsmyndighetenes kompetanse ikke omfatte domstolenes behandling av personopplysninger innenfor rammen av sin dømmende virksomhet, for å sikre dommernes uavhengighet når de utfører sine judisielle oppgaver. Dette unntaket bør begrenses til judisiell virksomhet i domstolssaker, og ikke gjelde for annen virksomhet der dommere kan delta i henhold til medlemsstatenes nasjonale rett. Medlemsstatene bør også kunne bestemme at tilsynsmyndighetens kompetanse ikke omfatter tilsyn med andre uavhengige rettsmyndigheters behandling av personopplysninger når de utfører sine judisielle oppgaver, for eksempel påtalemyndigheten. Under alle omstendigheter er domstolenes og andre uavhengige rettsmyndigheters overholdelse av bestemmelsene i dette direktiv alltid undergitt uavhengig tilsyn i samsvar med paktens artikkel 8 nr. 3.

  • 81) Hver tilsynsmyndighet bør behandle klager fra registrerte, og undersøke saken eller oversende den til kompetent tilsynsmyndighet. Undersøkelsen av en klage bør, med forbehold for rettslig prøving, gjennomføres i den utstrekning som er hensiktsmessig i den konkrete saken. Tilsynsmyndigheten bør innen rimelig tid informere den registrerte om hvordan arbeidet med klagen forløper, og om utfallet. Dersom saken krever videre undersøkelser eller samordning med en annen tilsynsmyndighet, bør den registrerte umiddelbart informeres om dette.

  • 82) For å sikre effektiv, pålitelig og ensartet overvåking med hvordan dette direktiv overholdes og håndheves i hele Unionen, i henhold til TEUV, og som fortolket av Domstolen, bør tilsynsmyndighetene ha de samme oppgaver og den samme effektive myndighet i alle medlemsstater, herunder myndighet til å foreta undersøkelser, til å treffe korrigerende tiltak og gi råd, som er nødvendig for at de skal kunne utføre sitt arbeid. Deres myndighet bør imidlertid ikke innvirke på særlige straffeprosessbestemmelser, herunder etterforskning og påtale i forbindelse med straffbare handlinger, eller rettsvesenets uavhengighet. Med forbehold for påtalemyndighetenes myndighet i henhold til medlemsstatenes nasjonale rett, bør tilsynsmyndighetene også ha myndighet til å bringe manglende overholdelse av dette direktiv inn for rettsmyndighetene, eller til å delta i rettssaker. Tilsynsmyndighetenes myndighet bør utøves i samsvar med egnede prosessuelle garantier som er fastsatt i unionsretten og medlemsstatenes nasjonale rett, på en upartisk og rettferdig måtte og innen rimelig tid. For å sikre samsvar med dette direktiv bør hvert tiltak være egnet, nødvendig og forholdsmessig, idet det tas hensyn til omstendighetene i hvert enkelt tilfelle, samt respektere enhver persons rett til å bli hørt før det treffes individuelle tiltak som kan påvirke vedkommende negativt, og være utformet slik at overflødige kostnader og for store ulemper for de berørte personene unngås. Når det gjelder adgang til lokaler, bør undersøkelsesmyndigheten utøves i samsvar med særlige krav i medlemsstatenes rett, f.eks. kravet om at det skal innhentes en rettslig forhåndsgodkjenning. Vedtakelsen av en rettslig bindende beslutning bør kunne prøves rettslig i medlemsstaten der tilsynsmyndigheten som vedtok beslutningen er hjemmehørende.

  • 83) Tilsynsmyndighetene bør bistå hverandre i forbindelse med utførelsen av sine oppgaver og yte gjensidig bistand for å sikre ensartet anvendelse og håndheving av bestemmelser vedtatt i henhold til dette direktiv.

  • 84) Personvernrådet bør bidra til en ensartet anvendelse av dette direktiv i hele Unionen, herunder ved å gi Kommisjonen råd og fremme samarbeidet mellom tilsynsmyndighetene i hele Unionen.

  • 85) Enhver registrert bør ha rett til å inngi klage til én enkelt tilsynsmyndighet, samt ha rett til et effektivt rettsmiddel i samsvar med artikkel 47 i pakten dersom vedkommende anser sine rettigheter etter bestemmelser vedtatt i henhold til dette direktiv for krenket, eller dersom tilsynsmyndigheten ikke reagerer på en klage, helt eller delvis avslår eller avviser en klage, eller ikke griper inn når det er nødvendig for å verne den registrertes rettigheter. Undersøkelsen av en klage bør foretas i den utstrekning som er egnet i det enkelte tilfellet, med forbehold for domstolskontroll. Tilsynsmyndigheten bør innen en rimelig frist underrette den registrerte om klagebehandlingsforløpet og om utfallet av klagen. Dersom saken krever ytterligere undersøkelse eller samordning med en annen tilsynsmyndighet, bør den registrerte underrettes om dette underveis. For å forenkle inngivelsen av klager bør hver tilsynsmyndighet treffe tiltak som f.eks. å utarbeide et klageskjema, som også kan fylles ut elektronisk, uten at andre kommunikasjonsmidler utelukkes.

  • 86) Hver fysiske eller juridiske person bør ha rett til å få en tilsynsmyndighets beslutning rettslig prøvd ved kompetent nasjonal domstol når beslutningen har rettsvirkninger for vedkommende. Dette dreier seg særlig om tilsynsmyndighetens utøvelse av myndighet til å foreta undersøkelser, rette opp visse forhold og gi tillatelse, eller til å avslå eller avvise klager. Denne retten omfatter imidlertid ikke andre tiltak som tilsynsmyndigheten treffer, og som ikke er rettslig bindende, for eksempel tilsynsmyndighetens uttalelser eller råd. En sak mot en tilsynsmyndighet bør bringes inn for domstolene i medlemsstaten der tilsynsmyndigheten er hjemmehørende, og bør føres i samsvar med medlemsstatens nasjonale rett. Disse domstolene bør ha full jurisdiksjon, herunder jurisdiksjon til å undersøke alle faktiske og rettslige forhold som er relevante for tvisten de får seg forelagt.

  • 87) Dersom en registrert mener at vedkommendes rettigheter i henhold til dette direktiv er krenket, bør vedkommende ha rett til å gi et organ som skal verne om registrertes rettigheter og interesser i forbindelse med vern av personopplysninger, og som er opprettet i samsvar med medlemsstatens nasjonale rett, fullmakt til å klage til en tilsynsmyndighet på sine vegne, og til å utøve retten til rettslig prøving. Registrertes rett til å være representert bør ikke berøre medlemsstatenes prosessuelle rettsregler, som kan kreve at registrerte representeres av en advokat, som definert i rådsdirektiv 77/249/EØF10, ved nasjonale domstoler.

  • 88) Den som er skadelidt som følge av behandling i strid med bestemmelser vedtatt i henhold til dette direktiv, bør få erstatning fra den behandlingsansvarlige eller en annen myndighet som er kompetent etter medlemsstatens nasjonale rett. Begrepet «skade» bør fortolkes vidt i lys av Domstolens rettspraksis, og på en måte som fullt ut tar hensyn til målene for dette direktiv. Dette berører ikke eventuelle krav om skadeserstatning som følge av overtredelse av andre bestemmelser i unionsretten eller medlemsstatenes nasjonale rett. Når det vises til behandling som ikke er lovlig, eller som er i strid med bestemmelser vedtatt i henhold til dette direktiv, omfatter dette også behandling som er i strid med rettsakter vedtatt til gjennomføring av dette direktiv. Registrerte bør få full og effektiv erstatning for skaden de er påført.

  • 89) Sanksjoner bør ilegges alle fysiske eller juridiske personer, enten de er undergitt privatrettslige eller offentligrettslige bestemmelser, som ikke overholder dette direktiv. Medlemsstatene bør sørge for at sanksjonene er effektive, står i forhold til overtredelsen og virker avskrekkende, og bør treffe alle tiltak for å iverksette dem.

  • 90) For å sikre ensartede vilkår for gjennomføringen av dette direktiv, bør Kommisjonen gis gjennomføringsmyndighet hva angår tilstrekkelig vernenivå i en tredjestat, eller et territorium eller en nærmere angitt sektor i en tredjestat, eller i en internasjonal organisasjon, og hva angår format og prosedyrer for gjensidig bistand og ordninger for elektronisk utveksling av informasjon tilsynsmyndighetene imellom, og mellom tilsynsmyndighetene og Personvernrådet. Denne myndighet bør utøves i samsvar med europaparlaments- og rådsforordning (EU) nr. 182/201111.

  • 91) Framgangsmåten med undersøkelseskomité bør brukes når det vedtas gjennomføringsrettsakter om det tilstrekkelige vernenivået i en tredjestat, eller et territorium eller en angitt sektor i nevnte tredjestat, eller en internasjonal organisasjon, og om format og framgangsmåter for gjensidig bistand og ordninger for elektronisk utveksling av informasjon mellom tilsynsmyndigheter, samt mellom tilsynsmyndighetene og Personvernrådetrådet, forutsatt at disse rettsaktene har generell anvendelse.

  • 92) Kommisjonen bør vedta gjennomføringsrettsakter med umiddelbar virkning, i behørig begrunnede tilfeller vedrørende en tredjestat, et territorium eller en angitt sektor i en tredjestat, eller en internasjonal organisasjon, som ikke lenger sikrer et tilstrekkelig vernenivå, når tvingende og presserende hensyn krever det.

  • 93) Ettersom målene for dette direktiv, som er å verne om fysiske personers grunnleggende rettigheter og friheter, og særlig deres rett til vern av personopplysninger, og å sikre fri utveksling av personopplysninger mellom kompetente myndigheter innenfor Unionen, ikke kan nås i tilstrekkelig grad av medlemsstatene og derfor på grunn av tiltakets omfang og virkninger bedre kan nås på unionsplan, kan Unionen treffe tiltak i samsvar med nærhetsprinsippet som fastsatt i artikkel 5 i TEU. I samsvar med forholdsmessighetsprinsippet fastsatt i nevnte artikkel går dette direktiv ikke lenger enn det som er nødvendig for å nå disse målene.

  • 94) Særlige bestemmelser i unionsrettsakter som er vedtatt på området strafferettslig samarbeid og politisamarbeid før den dag dette direktiv vedtas, og som regulerer behandlingen av personopplysninger mellom medlemsstatene eller tilgang for utpekte myndigheter i medlemsstatene til informasjonssystemer som er opprettet i henhold til traktatene, bør ikke endres, for eksempel de særlige bestemmelsene om vern av personopplysninger som anvendes i henhold til rådsbeslutning 2008/615/JIS12, eller artikkel 23 i konvensjonen om gjensidig bistand i straffesaker mellom medlemsstatene i Den europeiske union13. Ettersom paktens artikkel 8 og artikkel 16 i TEUV krever at den grunnleggende retten til vern av personopplysninger sikres på en ensartet måte i hele Unionen, bør Kommisjonen se nærmere på forholdet mellom dette direktiv og rettsakter som er vedtatt før den dag dette direktiv vedtas, og som regulerer behandlingen av personopplysninger mellom medlemsstatene eller tilgang for utpekte myndigheter i medlemsstatene til informasjonssystemer som er opprettet i henhold til traktatene, med sikte på å vurdere behovet for å bringe disse særlige bestemmelsene i tråd med dette direktiv. Når det er hensiktsmessig, bør Kommisjonen legge fram forslag med sikte på å sikre ensartede bestemmelser om behandling av personopplysninger.

  • 95) For å sikre et omfattende og ensartet vern av personopplysninger i Unionen bør internasjonale avtaler som er inngått av medlemsstatene før den dag dette direktiv trer i kraft, og som er i samsvar med relevant unionsrett anvendt før det tidspunktet, forbli i kraft til de endres, erstattes eller oppheves.

  • 96) Medlemsstatene bør gis en innarbeidingsfrist på høyst to år fra den dag dette direktiv trer i kraft. Behandling som allerede pågår på det tidspunktet, bør bringes i samsvar med dette direktiv innen to år etter at dette direktiv trer i kraft. Når en slik behandling er i samsvar med unionsrett anvendt før dette direktiv trer i kraft, bør kravene i dette direktiv om å rådføre seg med tilsynsmyndigheten på forhånd, ikke gjelde for behandling som allerede pågår på det tidspunktet, ettersom det ligger i sakens natur at disse kravene skal oppfylles før behandling. Når medlemsstatene benytter den lengre gjennomføringsfristen, som utløper sju år etter at dette direktiv trer i kraft, til å oppfylle loggføringsforpliktelsene for automatiserte behandlingssystemer som er opprettet før det tidspunktet, bør den behandlingsansvarlige eller databehandleren ha innført effektive metoder som påviser at databehandlingen er lovlig, muliggjør egenkontroll og garanterer dataintegritet og datasikkerhet, for eksempel logg eller andre typer registrering.

  • 97) Dette direktiv berører ikke bestemmelsene om bekjempelse av seksuelt misbruk av barn, seksuell utnytting av barn og barnepornografi i europaparlaments- og rådsdirektiv 2011/93/EU14.

  • 98) Rammebeslutning 2008/977/JIS bør derfor oppheves.

  • 99) I samsvar med artikkel 6a i protokoll nr. 21 om Det forente kongerikes og Irlands stilling med hensyn til området med frihet, sikkerhet og rettferdighet, som følger som vedlegg til TEU og TEUV, er bestemmelsene i dette direktiv om medlemsstatenes behandling av personopplysninger under utøvelse av virksomhet som hører under tredje del avdeling V kapittel 4 eller 5 i TEUV, ikke bindende for Det forente kongerike og Irland, når bestemmelser om former for strafferettslig samarbeid eller politisamarbeid som krever overholdelse av bestemmelser fastsatt med hjemmel i artikkel 16 i TEUV, ikke er bindende for Det forente kongerike og Irland.

  • 100) I samsvar med artikkel 2 og 2a i protokoll nr. 22 om Danmarks stilling, som følger som vedlegg til TEU og TEUV, er bestemmelsene i dette direktiv om medlemsstatenes behandling av personopplysninger under utøvelse av virksomhet som hører under tredje del avdeling V kapittel 4 eller 5 i TEUV, ikke bindende for Danmark og får ikke anvendelse der. Ettersom dette direktiv bygger på gjeldende Schengen-rett etter bestemmelsene i tredje del avdeling V i TEUV, skal Danmark, i samsvar med artikkel 4 i nevnte protokoll, innen seks måneder etter at dette direktiv er vedtatt, beslutte om Danmark skal gjennomføre det i sin nasjonale rett.

  • 101) Hva angår Island og Norge utgjør dette direktiv en videreutvikling av bestemmelsene i gjeldende Schengen-rett, i samsvar med avtalen mellom Rådet for Den europeiske union og Republikken Island og Kongeriket Norge om disse to staters deltakelse som assosiert i gjennomføringen, anvendelsen og videreutviklingen av Schengen-retten15.

  • 102) Hva angår Sveits utgjør dette direktiv en videreutvikling av bestemmelsene i gjeldende Schengen-rett, i samsvar med avtalen mellom Den europeiske union, Det europeiske fellesskap og Det sveitsiske edsforbund om Det sveitsiske edsforbunds deltakelse som assosiert i gjennomføringen, anvendelsen og videreutviklingen av Schengen-retten16.

  • 103) Hva angår Liechtenstein utgjør dette direktiv en videreutvikling av bestemmelsene i gjeldende Schengen-rett som omhandlet i protokollen mellom Den europeiske union, Det europeiske fellesskap, Det sveitsiske edsforbund og Storhertugdømmet Liechtenstein om Storhertugdømmet Liechtensteins tiltredelse til avtalen mellom Den europeiske union, Det europeiske fellesskap og Det sveitsiske edsforbund om Det sveitsiske edsforbunds deltakelse som assosiert i gjennomføringen, anvendelsen og videreutviklingen av Schengen-retten17.

  • 104) Dette direktiv er forenlig med de grunnleggende rettigheter og prinsipper som er anerkjent i pakten og forankret i TEUV, og særlig retten til respekt for privatliv og familieliv, retten til vern av personopplysninger og retten til effektive rettsmidler og en rettferdig rettergang. Begrensninger av disse rettighetene er i samsvar med paktens artikkel 52 nr. 1, ettersom de er nødvendige for å nå mål av allmenn interesse som er anerkjent av Unionen, eller for å verne om andres rettigheter og friheter.

  • 105) I samsvar med medlemsstatenes og Kommisjonens felles politiske erklæring om forklarende dokumenter av 28. september 2011 har medlemsstatene forpliktet seg til, når det er berettiget, å la meldingen om innarbeidingstiltak følge av ett eller flere dokumenter som forklarer sammenhengen mellom delene i et direktiv og de tilsvarende delene i nasjonale innarbeidingstiltak. Regelgiveren anser at oversending av slike dokumenter er berettiget i forbindelse med dette direktiv.

  • 106) EUs datatilsynsmann ble rådspurt i samsvar med artikkel 28 nr. 2 i forordning (EF) nr. 45/2001 og avga en uttalelse 7. mars 201218.

  • 107) Dette direktiv bør ikke være til hinder for at medlemsstatene gjennomfører bestemmelser om registrertes utøvelse av sine rettigheter med hensyn til informasjon, til innsyn i personopplysninger, til å få dem korrigert eller slettet, og til begrensning av behandlingen i forbindelse med straffesaker, samt eventuelle begrensninger av disse rettigheter, i nasjonale straffeprosessbestemmelser —

VEDTATT DETTE DIREKTIV:

Kapittel I

Generelle bestemmelser

Artikkel 1

Formål og mål

  • 1. I dette direktiv fastsettes bestemmelser om vern av fysiske personer i forbindelse med kompetente myndigheters behandling av personopplysninger med sikte på å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner, herunder hindre trusler mot og verne om offentlig sikkerhet.

  • 2. Medlemsstatene skal, i samsvar med dette direktiv:

    • a) verne om fysiske personers grunnleggende rettigheter og friheter, og særlig deres rett til vern av personopplysninger, og

    • b) sikre at kompetente myndigheters utveksling av personopplysninger innenfor Unionen, når en slik utveksling kreves etter unionsretten eller medlemsstatenes nasjonale rett, verken begrenses eller forbys av årsaker som gjelder fysiske personers vern med hensyn til behandling av personopplysninger.

  • 3. Dette direktiv skal ikke være til hinder for at medlemsstatene fastsetter strengere tiltak enn tiltakene i dette direktiv til vern av den registrertes rettigheter og friheter i forbindelse med kompetente myndigheters behandling av personopplysninger.

Artikkel 2

Virkeområde

  • 1. Dette direktiv får anvendelse på kompetente myndigheters behandling av personopplysninger for formålene oppført i artikkel 1 nr. 1.

  • 2 Dette direktiv får anvendelse på helt eller delvis automatisert behandling av personopplysninger, og på ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register.

  • 3. Dette direktiv får ikke anvendelse på behandling av personopplysninger som utføres

    • a) i forbindelse med utøvelse av en aktivitet som ikke omfattes av unionsretten,

    • b) som utføres av Unionens institusjoner, organer, kontorer og byråer.

Artikkel 3

Definisjoner

I dette direktiv menes med

  • 1) «personopplysning»: enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, for eksempel et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet,

  • 2) «behandling»: enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, for eksempel innhenting, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring,

  • 3) «begrensning av behandling»: merking av lagrede personopplysninger med det som mål å begrense behandlingen av disse i framtiden,

  • 4) «profilering»: enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser,

  • 5) «pseudonymisering»: behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres atskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person,

  • 6) «register»: enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag,

  • 7) «kompetent myndighet»:

    • a) enhver offentlig myndighet som er kompetent med hensyn til å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner, herunder hindre trusler mot og verne om offentlig sikkerhet, eller

    • b) ethvert annet organ eller enhver annen enhet som i henhold til medlemsstatenes nasjonale rett skal utøve offentlig myndighet med sikte på å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner, herunder hindre trusler mot og verne om offentlig sikkerhet,

  • 8) «behandlingsansvarlig»: den kompetente myndighet som, alene eller sammen med andre, bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller medlemsstatenes nasjonale rett,

  • 9) «databehandler»: en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige,

  • 10) «mottaker»: en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som personopplysninger utleveres til, enten det dreier seg om en tredjepart eller ikke. Offentlige myndigheter som kan motta personopplysninger innenfor rammen av en særskilt undersøkelse i samsvar med medlemsstatenes nasjonale rett, skal imidlertid ikke anses som mottakere; nevnte offentlige myndigheters behandling av slike opplysninger skal være i samsvar med gjeldende regler for vern av personopplysninger i henhold til formålet med behandlingen,

  • 11) «personvernbrudd»: et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet,

  • 12) «genetiske opplysninger»: personopplysninger om en fysisk persons nedarvede eller ervervede genetiske egenskaper som gir unik informasjon om den aktuelle fysiske personens fysiologi eller helse, og som særlig er framkommet etter analysering av en biologisk prøve fra den aktuelle fysiske personen,

  • 13) «biometriske opplysninger»: personopplysninger som stammer fra en særskilt teknisk behandling knyttet til en fysisk persons fysiske, fysiologiske eller atferdsmessige egenskaper, og som muliggjør eller bekrefter en entydig identifikasjon av nevnte fysiske person, for eksempel ansiktsbilder eller fingeravtrykksopplysninger,

  • 14) «helseopplysninger»: personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand,

  • 15) «tilsynsmyndighet»: en uavhengig offentlig myndighet som er opprettet av en medlemsstat i henhold til artikkel 41,

  • 16) «internasjonal organisasjon»: en organisasjon og dens underordnede organer som er underlagt folkeretten, eller ethvert annet organ opprettet ved eller på grunnlag av en avtale mellom to eller flere stater.

Kapittel II

Prinsipper

Artikkel 4

Prinsipper for behandling av personopplysninger

  • 1. Medlemsstatene skal fastsette at personopplysninger skal:

    • a) behandles på lovlig og rettferdig måte,

    • b) samlet inn for spesifikke, uttrykkelig angitte og berettigede formål, og ikke behandles på en måte som er uforenlig med disse formålene,

    • c) være adekvate, relevante og ikke for omfattende ut fra formålene de behandles for,

    • d) være korrekte og, dersom det er nødvendig, oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller korrigeres,

    • e) lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for,

    • f) behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling, og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak.

  • 2. Behandling som foretas av den samme eller en annen behandlingsansvarlig for et av formålene oppført i artikkel 1 nr. 1, men ikke det formål som lå til grunn for innhenting av opplysningene, skal tillates i den grad:

    • a) den behandlingsansvarlige har tillatelse til å behandle slike personopplysninger for et slikt formål i samsvar med unionsretten eller medlemsstatenes nasjonale rett, og

    • b) behandlingen er nødvendig og står i forhold til dette andre formålet i samsvar med unionsretten eller medlemsstatenes nasjonale rett.

  • 3. Behandling som foretas av den samme eller en annen behandlingsansvarlig kan være arkivering i samfunnets interesse eller til vitenskapelig, statistisk eller historisk bruk for formålene oppført i artikkel 1 nr. 1, med forbehold om tilstrekkelige tiltak for å sikre de registrertes rettigheter og friheter.

  • 4. Den behandlingsansvarlige er ansvarlig for, og skal kunne påvise at nr. 1, 2 og 3 overholdes.

Artikkel 5

Tidsbegrenset lagring og gjennomgang

Medlemsstatene skal sørge for at det fastsettes egnede frister for sletting av personopplysninger, eller for jevnlig gjennomgang av behovet for å lagre personopplysninger. Saksbehandlingsregler skal sikre at disse fristene blir overholdt.

Artikkel 6

Skille mellom ulike kategorier registrerte

Medlemsstatene skal fastsette at den behandlingsansvarlige, når det er relevant, og så langt som mulig, skal skille klart mellom personopplysninger for ulike kategorier registrerte, for eksempel:

  • a) når det er tungtveiende grunner til å tro at den registrerte har begått eller er i ferd med å begå en straffbar handling,

  • b) når den registrerte er dømt for en straffbar handling,

  • c) når den registrerte er offer for en straffbar handling, eller visse omstendigheter gir grunn til å tro at vedkommende kan bli offer for en straffbar handling, og

  • d) når det det dreier seg om andre parter knyttet til en straffbar handling, for eksempel personer som kan bli bedt om å vitne under etterforskning av en straffbar handling eller en senere straffesak, personer som har opplysninger om en straffbar handling, eller personer som har kontakt med eller tilknytning til personer som nevnt i bokstav a) og b).

Artikkel 7

Skille mellom personopplysninger og kvalitetskontroll av personopplysninger

  • 1. Medlemsstatene skal fastsette at det så langt som mulig skal skilles mellom personopplysninger basert på fakta og personopplysninger basert på personlige vurderinger.

  • 2. Medlemsstatene skal fastsette at kompetente myndigheter skal treffe alle rimelige tiltak for å sikre at personopplysninger som er uriktige, ufullstendige eller ikke ajourført, ikke overføres eller blir tilgjengelige. For det formål skal hver kompetent myndighet, så langt som praktisk mulig, kvalitetskontrollere personopplysninger før de overføres eller gjøres tilgjengelige. Ved all overføring av personopplysninger skal det, så langt som mulig, tilføyes nødvendig informasjon som gjør at den kompetente myndighet som mottar personopplysningene, kan vurdere i hvilken grad opplysningene er riktige, fullstendige og pålitelige, og i hvilken utstrekning de er ajourført.

  • 3. Dersom det viser seg at det er overført uriktige personopplysninger, eller at personopplysninger er ulovlig overført, skal mottakeren få melding om dette umiddelbart. I et slikt tilfelle skal personopplysningene korrigeres eller slettes, eller behandlingen skal begrenses i samsvar med artikkel 16.

Artikkel 8

Behandlingens lovlighet

  • 1. Medlemsstatene skal fastsette at en behandling er lovlig bare dersom og i den utstrekning den er nødvendig for at en kompetent myndighet skal kunne uføre en oppgave for formålene oppført i artikkel 1 nr. 1, og den er hjemlet i unionsretten eller medlemsstatenes nasjonale rett.

  • 2. Nasjonal rett som regulerer behandling innenfor dette direktivs virkeområde, skal som et minimum angi målet for behandlingen, hvilke personopplysninger som skal behandles og behandlingens formål.

Artikkel 9

Særlige vilkår for behandling

  • 1. Personopplysninger som er innhentet av kompetente myndigheter for formålene oppført i artikkel 1 nr. 1, skal ikke behandles for andre formål enn dem som er oppført i artikkel 1 nr. 1, med mindre slik behandling er tillatt etter unionsretten eller medlemsstatenes nasjonale rett. Når personopplysninger behandles for slike andre formål, får forordning (EU) 2016/679 anvendelse, med mindre behandlingen skjer som ledd i en virksomhet utenfor unionsrettens virkeområde.

  • 2. Når kompetente myndigheter har andre oppgaver i henhold til medlemsstatenes nasjonale rett enn dem som utføres for formålene oppført i artikkel 1 nr. 1, får forordning (EU) 2016/679 anvendelse på behandling for slike formål, herunder arkivering i samfunnets interesse, vitenskapelig eller historisk forskning eller statistikk, med mindre behandlingen skjer som ledd i en virksomhet utenfor unionsrettens virkeområde.

  • 3. Når unionsretten eller den nasjonale rett som gjelder for den kompetente myndighet som overfører opplysningene, fastsetter særlige vilkår for behandling, skal medlemsstatene fastsette at denne kompetente myndighet skal informere mottakeren av personopplysningene om disse vilkårene, og om kravet om å overholde dem.

  • 4. Medlemsstatene skal fastsette at den kompetente myndighet som overfører opplysningene, ikke skal sette vilkår som fastsatt i nr. 3 for mottakere i andre medlemsstater, eller for byråer, kontorer og organer opprettet i henhold til kapittel 4 og 5 i avdeling V i TEUV, som er annerledes enn vilkårene for tilsvarende dataoverføring i medlemsstaten der den kompetente myndigheten som overfører opplysningene er hjemmehørende.

Artikkel 10

Behandling av særlige kategorier personopplysninger

Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religiøs eller filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske eller biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om seksuelle forhold eller seksuell orientering, skal tillates bare når det er strengt nødvendig, med forbehold om tilstrekkelige garantier til vern av den registrertes rettigheter og friheter, og bare:

  • a) når det er tillatt etter unionsretten eller medlemsstatenes nasjonale rett,

  • b) for å verne den registrertes eller en annen fysisk persons vitale interesser, eller

  • c) når behandlingen gjelder opplysninger som det er åpenbart at den registrerte har offentliggjort.

Artikkel 11

Automatiserte individuelle avgjørelser

  • 1. Medlemsstatene skal fastsette at en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, og som har negativ rettsvirkning for den registrerte eller i betydelig grad påvirker vedkommende, skal være forbudt, med mindre det er tillatt etter unionsretten eller den nasjonale rett som den behandlingsansvarlige er underlagt, og som fastsetter tilstrekkelige garantier til vern av den registrertes rettigheter og friheter, i det minste retten til menneskelig inngripen fra den behandlingsansvarlige.

  • 2. De avgjørelser som er nevnt i nr. 1 i denne artikkel, skal ikke baseres på særlige kategorier personopplysninger som nevnt i artikkel 10, med mindre det er innført egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser.

  • 3. Profilering som fører til diskriminering av fysiske personer basert på særlige kategorier personopplysninger som nevnt i artikkel 10 skal forbys, i samsvar med unionsretten.

Kapittel III

Den registrertes rettigheter

Artikkel 12

Kommunikasjon og vilkår for utøvelse av den registrertes rettigheter

  • 1. Medlemsstatene skal fastsette at den behandlingsansvarlige skal treffe rimelige tiltak for å gi all informasjon nevnt i artikkel 13, og sende alle meldinger om behandling omhandlet i artikkel 11, artikkel 14 til 18 og artikkel 31 til den registrerte på en kortfattet, forståelig og lett tilgjengelig måte, og i et klart og enkelt språk. Informasjonen skal gis på hensiktsmessig måte, for eksempel elektronisk. Den behandlingsansvarlige skal som en hovedregel gi informasjonen i samme form som den som ble benyttet for anmodningen.

  • 2. Medlemsstatene skal fastsette at den behandlingsansvarlige skal legge til rette for at den registrerte kan utøve sine rettigheter etter artikkel 11 og artikkel 14 til 18.

  • 3. Medlemsstatene skal fastsette at den behandlingsansvarlige uten ugrunnet opphold skal informere den registrerte skriftlig om oppfølgingen av hans eller hennes anmodning.

  • 4. Medlemsstatene skal fastsette at informasjon i henhold til artikkel 13, og alle meldinger eller tiltak i henhold til artikkel 11, artikkel 14 til 18 og artikkel 31, skal være gratis. Dersom anmodninger fra en registrert er åpenbart grunnløse eller overdrevne, særlig dersom de gjentas, kan den behandlingsansvarlige enten:

    • a) kreve et rimelig gebyr, idet det tas hensyn til administrasjonskostnadene for å gi informasjonen eller treffe de tiltak det anmodes om, eller

    • b) nekte å etterkomme anmodningen.

    Den behandlingsansvarlige skal bære bevisbyrden for at anmodningen er åpenbart grunnløs eller overdreven.

  • 5. Den behandlingsansvarlige kan, dersom det hersker rimelig tvil om identiteten til den fysiske personen som inngir anmodningen nevnt i artikkel 14 eller 16, anmode om ytterligere opplysninger som er nødvendige for å kunne bekrefte den registrertes identitet.

Artikkel 13

Informasjon som skal gjøres tilgjengelig for eller gis til den registrerte

  • 1. Medlemsstatene skal fastsette at den behandlingsansvarlige som et minimum skal gjøre følgende informasjon tilgjengelig for den registrerte:

    • a) identiteten og kontaktopplysningene til den behandlingsansvarlige,

    • b) kontaktopplysningene til personvernrådgiveren, dersom dette er relevant,

    • c) formålene med den tiltenkte behandlingen av personopplysningene,

    • d) retten til å inngi klage til en tilsynsmyndighet, samt tilsynsmyndighetens kontaktopplysninger,

    • e) retten til å anmode den behandlingsansvarlige om innsyn i og korrigering eller sletting av personopplysninger eller begrensning av behandlingen som gjelder den registrerte.

  • 2. I tillegg til den informasjon som er nevnt i nr. 1, skal medlemsstatene lovfeste at den behandlingsansvarlige i særlige tilfeller skal gi den registrerte følgende ekstra informasjon, slik at han eller hun kan utøve sine rettigheter:

    • a) det rettslige grunnlaget for behandlingen,

    • b) hvor lenge personopplysningene vil bli lagret eller, når det ikke er mulig, hvilke kriterier som benyttes til å bestemme dette,

    • c) eventuelt de ulike kategorier mottakere av personopplysningene, herunder i tredjestater eller i internasjonale organisasjoner,

    • d) om nødvendig utfyllende informasjon, og særlig når personopplysningene innhentes uten at den registrerte vet om det.

  • 3. Medlemsstatene kan vedta lovgivningsmessige tiltak som utsetter, begrenser eller utelater informasjon til den registrerte i henhold til nr. 2, i den utstrekning og så lenge et slikt tiltak er et nødvendig og forholdsmessig tiltak i et demokratisk samfunn, og det tas behørig hensyn til den berørte fysiske personens grunnleggende rettigheter og berettigede interesser, med sikte på:

    • a) å unngå å hindre offentlige eller rettslige undersøkelser, etterforskninger eller prosedyrer,

    • b) å unngå å skade arbeidet med å forebygge, avsløre, etterforske eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner,

    • c) å verne om offentlig sikkerhet,

    • d) å verne om nasjonal sikkerhet,

    • e) å verne om andres rettigheter og friheter.

  • 4. Medlemsstatene kan vedta lovgivningsmessige tiltak for å fastsette kategorier behandling som helt eller delvis omfattes av et ledd i nr. 3.

Artikkel 14

Den registrertes rett til innsyn

Med forbehold for artikkel 15 skal medlemsstatene fastsette at den registrerte har rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om vedkommende behandles, og dersom det er tilfellet, innsyn i personopplysningene og følgende informasjon:

  • a) behandlingens formål og rettsgrunnlag,

  • b) de berørte kategoriene av personopplysninger,

  • c) hvilke mottakere eller kategorier mottakere som personopplysningene er blitt utlevert til, og særlig mottakere i tredjestater eller internasjonale organisasjoner,

  • d) dersom det er mulig, hvor lenge det forventes at personopplysningene vil bli lagret eller, dersom det ikke er mulig, kriteriene som brukes for å fastsette denne perioden,

  • e) retten til å anmode den behandlingsansvarlige om korrigering eller sletting av personopplysninger eller begrensning av behandlingen av personopplysninger som gjelder den registrerte,

  • f) retten til å inngi klage til en tilsynsmyndighet, samt tilsynsmyndighetens kontaktopplysninger,

  • g) melding om hvilke personopplysninger som er under behandling, og all tilgjengelig informasjon om hvor de stammer fra.

Artikkel 15

Begrensninger i retten til innsyn

  • 1. Medlemsstatene kan vedta lovgivningsmessige tiltak som helt eller delvis begrenser den registrertes rett til innsyn, i den utstrekning og så lenge en slik delvis eller full begrensning er et nødvendig og forholdsmessig tiltak i et demokratisk samfunn, og det tas behørig hensyn til den berørte fysiske personens grunnleggende rettigheter og berettigede interesser, med sikte på:

    • a) å unngå å hindre offentlige eller rettslige undersøkelser, etterforskninger eller prosedyrer,

    • b) å unngå å skade arbeidet med å forebygge, avsløre, etterforske eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner,

    • c) å verne om offentlig sikkerhet,

    • d) å verne om nasjonal sikkerhet,

    • e) å verne om andres rettigheter og friheter.

  • 2. Medlemsstatene kan vedta lovgivningsmessige tiltak for å fastsette kategorier behandlinger som helt eller delvis omfattes av nr. 1 bokstav a) til e).

  • 3. I de tilfeller som er nevnt i nr. 1 og 2, skal medlemsstatene fastsette at den behandlingsansvarlige uten ugrunnet opphold skal informere den registrerte skriftlig om ethvert avslag på eller enhver begrensning av innsyn, og om grunnene til avslaget eller begrensningen. Informasjonen kan utelates om den kan undergrave et formål oppført i nr. 1. Medlemsstatene skal fastsette at den behandlingsansvarlige skal informere den registrerte om muligheten for å klage til en tilsynsmyndighet eller kreve rettslig prøving.

  • 4. Medlemsstatene skal fastsette at den behandlingsansvarlige skal dokumentere de faktiske eller rettslige grunnene til beslutningen. Denne informasjonen skal være tilgjengelig for tilsynsmyndighetene.

Artikkel 16

Rett til å få korrigert eller slettet personopplysninger, og til begrensning av behandlingen

  • 1. Medlemsstatene skal fastsette at den registrerte skal ha rett til å få uriktige opplysninger om seg korrigert av den behandlingsansvarlige uten ugrunnet opphold. Medlemsstatene skal fastsette at den registrerte, samtidig som det tas hensyn til behandlingens formål, skal ha rett til å få ufullstendige personopplysninger komplettert, herunder ved å framlegge en supplerende erklæring.

  • 2. Medlemsstatene skal kreve at den behandlingsansvarlige sletter personopplysninger uten ugrunnet opphold, og skal fastsette at den registrerte skal ha rett til å få opplysninger om seg slettet av den behandlingsansvarlige uten ugrunnet opphold når behandlingen er i strid med bestemmelser vedtatt i henhold til artikkel 4, 8 eller 10, eller når personopplysninger må slettes for å oppfylle en rettslig forpliktelse for den behandlingsansvarlige.

  • 3. I stedet for sletting skal den behandlingsansvarlige begrense behandlingen når:

    • a) den registrerte bestrider riktigheten av personopplysningene, og det ikke kan fastslås om de er riktige eller uriktige, eller

    • b) personopplysningene skal oppbevares som bevismateriale.

    Når behandlingen begrenses i henhold til bokstav a), skal den behandlingsansvarlige informere den registrerte før begrensningen av behandlingen oppheves.

  • 4. Medlemsstatene skal fastsette at den behandlingsansvarlige skal informere den registrerte skriftlig når korrigering eller sletting av personopplysninger eller begrensning av behandlingen avslås og om grunnene til avslaget. Medlemsstatene kan vedta lovgivningsmessige tiltak som helt eller delvis begrenser plikten til å gi slik informasjon, i den utstrekning en slik begrensning er et nødvendig og forholdsmessig tiltak i et demokratisk samfunn, og det tas behørig hensyn til den berørte fysiske personens grunnleggende rettigheter og berettigede interesser, med sikte på:

    • a) å unngå å hindre offentlige eller rettslige undersøkelser, etterforskninger eller prosedyrer,

    • b) å unngå å skade arbeidet med å forebygge, avsløre, etterforske eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner,

    • c) å verne om offentlig sikkerhet,

    • d) å verne om nasjonal sikkerhet,

    • e) å verne om andres rettigheter og friheter.

    Medlemsstatene skal fastsette at den behandlingsansvarlige skal informere den registrerte om muligheten for å klage til en tilsynsmyndighet eller kreve rettslig prøving.

  • 5. Medlemsstatene skal fastsette at den behandlingsansvarlige skal gi den kompetente myndighet som de uriktige personopplysningene kommer fra, melding om at disse personopplysningene blir korrigert.

  • 6. Medlemsstatene skal, når personopplysninger er blitt korrigert eller slettet eller behandlingen er blitt begrenset i henhold til nr. 1, 2 og 3, fastsette at den behandlingsansvarlige skal gi mottakerne melding om dette, og at mottakerne skal korrigere eller slette personopplysningene eller begrense den behandling av personopplysninger de har ansvar for.

Artikkel 17

Den registrertes utøvelse av rettigheter og tilsynsmyndighetens kontroll

  • 1. I de tilfeller som er nevnt i artikkel 13 nr. 3, artikkel 15 nr. 3 og artikkel 16 nr. 4, skal medlemsstatene vedta bestemmelser om at den registrertes rettigheter også kan utøves via kompetent tilsynsmyndighet.

  • 2. Medlemsstatene skal fastsette at den behandlingsansvarlige skal informere den registrerte om hans eller hennes mulighet for å utøve sine rettigheter via tilsynsmyndigheten i henhold til nr. 1.

  • 3. Når det utøves en rettighet som nevnt i nr. 1, skal tilsynsmyndigheten som et minimum informere den registrerte om at tilsynsmyndigheten har gjennomført alle nødvendige kontroller, eller har foretatt en gjennomgang. Tilsynsmyndigheten skal også informere den registrerte om hans eller hennes rett til rettslig prøving.

Artikkel 18

Den registrertes rettigheter i forbindelse med etterforskning av straffbare forhold og straffesaker

Medlemsstatene kan fastsette at utøvelsen av rettigheter som nevnt i artikkel 13, 14 og 16 skal skje i samsvar med medlemsstatenes nasjonale rett når personopplysningene inngår i en rettsavgjørelse eller en protokoll eller et saksdokument som behandles i forbindelse med etterforskning av straffbare forhold og straffesaker.

Kapittel IV

Behandlingsansvarlig og databehandler

Avsnitt 1

Generelle forpliktelser

Artikkel 19

Den behandlingsansvarliges ansvar

  • 1. Medlemsstatene skal fastsette at den behandlingsansvarlige, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med dette direktiv. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov.

  • 2. Dersom det står i forhold til behandlingsaktivitetene, skal tiltakene nevnt i nr. 1 omfatte den behandlingsansvarliges implementering av retningslinjer for vern av personopplysninger.

Artikkel 20

Innebygd personvern og personvern som standardinnstilling

  • 1. Medlemsstatene skal fastsette at den behandlingsansvarlige, idet det tas hensyn til det nåværende utviklingstrinn i teknikken, gjennomføringskostnadene, behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter som behandlingen medfører, skal, både på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen, og på tidspunktet for selve behandlingen, gjennomføre egnede tekniske og organisatoriske tiltak, f.eks. pseudonymisering, utformet for å oppnå en effektiv gjennomføring av prinsippene for vern av personopplysninger, f.eks. dataminimering, og for å integrere de nødvendige garantier i behandlingen for å oppfylle kravene i dette direktiv og verne de registrertes rettigheter.

  • 2. Medlemsstatene skal fastsette at den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare er personopplysninger som er nødvendig for hvert spesifikke formål med behandlingen, som behandles. Nevnte forpliktelse får anvendelse på den mengden personopplysninger som samles inn, omfanget av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet. Nevnte tiltak skal særlig sikre at personopplysninger som standard ikke gjøres tilgjengelig for et ubegrenset antall fysiske personer uten den berørte personens medvirkning.

Artikkel 21

Felles behandlingsansvarlige

  • 1. Medlemsstatene skal, dersom to eller flere behandlingsansvarlige i fellesskap fastsetter formålene med og midlene for behandlingen, fastsette at de skal være felles behandlingsansvarlige. De skal på en gjennomsiktig måte fastsette sitt respektive ansvar for å overholde forpliktelsene i dette direktiv, særlig med hensyn til utøvelse av den registrertes rettigheter og den plikt de har til å framlegge informasjonen nevnt i artikkel 13, ved hjelp av en ordning seg imellom, med mindre, og i den grad de behandlingsansvarliges respektive ansvar er fastsatt i unionsretten eller medlemsstatenes nasjonale rett som de behandlingsansvarlige er underlagt. Kontaktpunktet for registrerte skal angis i ordningen. Medlemsstatene kan utpeke den av de felles behandlingsansvarlige som kan fungere som et felles kontaktpunkt for registrerte når disse skal utøve sine rettigheter.

  • 2. Uavhengig av vilkårene for ordningen nevnt i nr. 1 kan medlemsstatene fastsette at den registrerte kan utøve sine rettigheter etter bestemmelser vedtatt i henhold til dette direktiv med hensyn til og overfor hver av de behandlingsansvarlige.

Artikkel 22

Databehandler

  • 1. Medlemsstatene skal, dersom en behandling skal foretas på vegne av en behandlingsansvarlig, fastsette at den behandlingsansvarlige bare skal bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i dette direktiv og vern av den registrertes rettigheter.

  • 2. Medlemsstatene skal fastsette at databehandleren ikke skal engasjere en annen databehandler uten at det på forhånd er innhentet særlig eller generell skriftlig tillatelse til dette fra den behandlingsansvarlige. Dersom det er innhentet en generell skriftlig tillatelse, skal databehandleren underrette den behandlingsansvarlige om eventuelle planer om å benytte andre databehandlere eller skifte ut databehandlere, og dermed gi den behandlingsansvarlige muligheten til å motsette seg slike endringer.

  • 3. Medlemsstatene skal fastsette at behandling utført av en databehandler skal være underlagt en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett som er bindende for databehandleren med hensyn til den behandlingsansvarlige, og der hensikten med og varigheten av behandlingen, behandlingens formål og art, typen personopplysninger og kategorier av registrerte samt den behandlingsansvarliges rettigheter og plikter er fastsatt. I nevnte avtale eller nevnte andre rettslige dokument skal det særlig angis at databehandleren:

    • a) handler utelukkende på instruks fra den behandlingsansvarlige,

    • b) sikrer at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt,

    • c) bistår den behandlingsansvarlige på alle måter med å sikre at bestemmelsene om den registrertes rettigheter blir overholdt,

    • d) etter den behandlingsansvarliges valg, sletter eller tilbakeleverer alle personopplysninger til den behandlingsansvarlige etter at databehandlingen er avsluttet, og sletter eksisterende kopier, med mindre unionsretten eller medlemsstatenes nasjonale rett krever at personopplysningene lagres,

    • e) gjør tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å vise at denne artikkel er overholdt,

    • f) overholder vilkårene i nr. 2 og 3 når det gjelder å engasjere en annen databehandler.

  • 4. Avtalen eller det andre rettslige dokumentet nevnt i nr. 3 skal være skriftlig, herunder elektronisk.

  • 5. Dersom en databehandler, i strid med dette direktiv, fastsetter formålene med og midlene for behandlingen, skal databehandleren anses for å være en behandlingsansvarlig med hensyn til nevnte behandling.

Artikkel 23

Behandling som utføres for den behandlingsansvarlige eller databehandleren

Medlemsstatene skal fastsette at databehandleren og enhver person som handler for den behandlingsansvarlige eller databehandleren, og som har tilgang til personopplysninger, skal behandle nevnte opplysninger kun etter instruks fra den behandlingsansvarlige, med mindre det kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett.

Artikkel 24

Protokoller over behandlingsaktiviteter

  • 1. Medlemsstatene skal fastsette at den behandlingsansvarlige skal føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar. Nevnte protokoll skal inneholde følgende informasjon:

    • a) navnet på og kontaktopplysningene til den behandlingsansvarlige og, dersom det er relevant, den felles behandlingsansvarlige og personvernrådgiveren,

    • b) formålene med behandlingen,

    • c) kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, herunder mottakere i tredjestater eller internasjonale organisasjoner,

    • d) en beskrivelse av kategoriene av registrerte og kategoriene av personopplysninger,

    • e) dersom det er relevant, bruk av profilering,

    • f) dersom det er relevant, kategorier av overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon,

    • g) rettsgrunnlaget for behandlingen av personopplysningene, herunder overføringer,

    • h) dersom det er mulig, de planlagte tidsfristene for sletting av de forskjellige kategoriene av opplysninger,

    • i) dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 29 nr. 1.

  • 2. Medlemsstatene skal fastsette at hver databehandler skal føre en protokoll over alle kategorier av behandlingsaktiviteter som utføres på vegne av en behandlingsansvarlig, og som skal inneholde:

    • a) navnet på og kontaktopplysningene til databehandleren eller databehandlerne og til hver behandlingsansvarlig som databehandleren opptrer på vegne av, samt, dersom det er relevant, personvernrådgiveren,

    • b) kategoriene av behandling utført på vegne av hver behandlingsansvarlig,

    • c) dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, når den behandlingsansvarlige har gitt uttrykkelig instruks om dette, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon,

    • d) dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 29 nr. 1.

  • 3. Protokollene som er nevnt i nr. 1 og 2, skal være skriftlige, herunder elektroniske.

    Den behandlingsansvarlige og databehandleren skal på anmodning gjøre protokollen tilgjengelig for tilsynsmyndigheten.

Artikkel 25

Loggføring

  • 1. Medlemsstatene skal fastsette at det som et minimum skal føres logg over følgende behandling i automatiserte behandlingssystemer: innhenting, endring, lesing, utlevering – herunder overføring – samkjøring og sletting. Loggene for lesing og utlevering skal gjøre det mulig å fastslå begrunnelse, dato og klokkeslett for slike operasjoner og, så langt som mulig, hvem som har søkt etter eller utlevert personopplysningene, og hvem som har mottatt dem.

  • 2. Loggene skal utelukkende brukes til å verifisere at behandlingen er lovlig, til egenkontroll, til å garantere personopplysningenes integritet og sikkerhet, og i forbindelse med straffesaker.

  • 3. Den behandlingsansvarlige og databehandleren skal på anmodning sørge for at loggene er tilgjengelige for tilsynsmyndigheten.

Artikkel 26

Samarbeid med tilsynsmyndigheten

Medlemsstatene skal fastsette at den behandlingsansvarlige og databehandleren på anmodning skal samarbeide med tilsynsmyndigheten i forbindelse med utførelsen av dens oppgaver.

Artikkel 27

Vurdering av personvernkonsekvenser

  • 1. Dersom det er trolig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal medlemsstatene fastsette at den behandlingsansvarlige før behandlingen skal foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet.

  • 2. Vurderingen som er nevnt i nr. 1, skal som et minimum inneholde en generell beskrivelse av de planlagte behandlingsaktivitetene, en vurdering av risikoen for registrertes rettigheter og friheter, hvilke tiltak som planlegges for å håndtere denne risikoen, garantier, sikkerhetstiltak og mekanismer for å sikre vern av personopplysninger og for å påvise at dette direktiv overholdes, idet det tas hensyn til de registrertes og andre berørte personers rettigheter og berettigede interesser.

Artikkel 28

Forhåndsdrøftinger med tilsynsmyndigheten

  • 1. Medlemsstatene skal fastsette at den behandlingsansvarlige eller databehandleren skal rådføre seg med tilsynsmyndigheten før behandling som vil inngå i et nytt register som skal opprettes, når:

    • a) en vurdering av personvernkonsekvenser i henhold til artikkel 27 tilsier at behandlingen vil medføre en høy risiko dersom den behandlingsansvarlige ikke treffer tiltak for å redusere risikoen, eller

    • b) den type behandling, ikke minst ved bruk av ny teknologi eller nye mekanismer eller prosedyrer, innebærer høy risiko for de registrertes rettigheter og friheter.

  • 2. Medlemsstatene skal fastsette at tilsynsmyndigheten skal rådføres ved utarbeiding av forslag til lovgivning som skal treffes av et nasjonalt parlament, eller et reguleringsmessig tiltak som er basert på slik lovgivning, og som er knyttet til behandling.

  • 3. Medlemsstatene skal fastsette at tilsynsmyndigheten kan opprette en liste over operasjoner som forutsetter forhåndsdrøftinger i henhold til nr. 1.

  • 4. Medlemsstatene skal fastsette at den behandlingsansvarlige skal legge vurderingen av personvernkonsekvenser omhandlet i artikkel 27 fram for tilsynsmyndigheten og, på anmodning, annen informasjon som gjør det mulig for tilsynsmyndigheten å foreta en vurdering av behandlingens samsvar, og ikke minst risikoen for vernet av den registrertes personopplysninger og tilknyttede garantier.

  • 5. Medlemsstatene skal, dersom tilsynsmyndigheten mener at den planlagte behandlingen nevnt i nr. 1 vil være i strid med bestemmelser vedtatt i henhold til dette direktiv, særlig dersom den behandlingsansvarlige ikke i tilstrekkelig grad har identifisert eller redusert risikoen, fastsette at tilsynsmyndigheten innen en frist på opptil seks uker fra mottak av anmodningen om drøftinger, skal gi den behandlingsansvarlige og, dersom det er relevant, databehandleren, skriftlige råd, og kan i den forbindelse benytte den myndighet den har i henhold til artikkel 47. Denne fristen kan forlenges med én måned, idet det tas hensyn til den planlagte behandlingens kompleksitet. Tilsynsmyndigheten skal underrette den behandlingsansvarlige og, dersom det er relevant, databehandleren om en eventuell forlengelse, sammen med årsakene til dette, senest én måned etter å ha mottatt anmodningen om drøftinger.

Avsnitt 2

Personopplysningssikkerhet

Artikkel 29

Sikkerhet ved behandlingen

  • 1. Medlemsstatene skal fastsette at den behandlingsansvarlige og databehandleren, idet det tas hensyn til det nåværende utviklingstrinn i teknikken, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er egnet i forhold til risikoen, framfor alt hva angår særlige kategorier personopplysninger som nevnt i artikkel 10.

  • 2. Ved automatisert behandling skal hver medlemsstat fastsette at den behandlingsansvarlige eller databehandleren, etter å ha foretatt en risikovurdering, skal gjennomføre tiltak med sikte på å:

    • a) nekte uvedkommende tilgang til behandlingsutstyr som benyttes i behandlingen («kontroll med tilgang til utstyret»),

    • b) hindre uautorisert lesing, kopiering, endring eller fjerning av datamedier («kontroll med datamedier»),

    • c) hindre uautorisert innlegging av personopplysninger og uautorisert inspeksjon, endring eller sletting av lagrede personopplysninger («lagringskontroll»),

    • d) hindre at uvedkommende bruker automatiserte behandlingssystemer ved hjelp av utstyr til datakommunikasjon («brukerkontroll»),

    • e) sikre at personer som er autorisert til å bruke et automatisert behandlingssystem kun har tilgang til personopplysninger som omfattes av autorisasjonen («kontroll med datatilgang»),

    • f) sikre at det er mulig å verifisere og fastslå til hvilke organer personopplysninger er eller kan bli overført, eller for hvilke organer personopplysninger er eller kan bli tilgjengelige, ved hjelp av utstyr til datakommunikasjon («kommunikasjonskontroll»),

    • g) sikre at det er mulig i etterhånd å verifisere og fastslå hvilke personopplysninger som er lagt inn i automatiserte behandlingssystemer, og når og av hvem personopplysningene ble lagt inn («innleggingskontroll»),

    • h) hindre uautorisert lesing, kopiering, endring eller sletting av personopplysninger under overføring av personopplysninger, eller under transport av datamedier («transportkontroll»).

    • i) sikre at installerte systemer kan gjenopprettes etter avbrudd («gjenoppretting»),

    • j) sikre at systemet fungerer, at oppståtte funksjonsfeil rapporteres («pålitelighet»), og at lagrede personopplysninger ikke kan skades som følge av feilfunksjoner i systemet («integritet»).

Artikkel 30

Melding til tilsynsmyndigheten om personvernbrudd

  • 1. Medlemsstatene skal fastsette at den behandlingsansvarlige uten ugrunnet opphold og, når det er mulig, senest 72 timer etter å ha fått kjennskap til det, skal melde personvernbruddet til vedkommende tilsynsmyndighet, med mindre det er lite trolig at personvernbruddet vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom bruddet ikke meldes til tilsynsmyndigheten innen 72 timer, skal årsakene til forsinkelsen oppgis.

  • 2. Etter å ha fått kjennskap til et personvernbrudd skal databehandleren uten ugrunnet opphold underrette den behandlingsansvarlige.

  • 3. Meldingen nevnt i nr. 1 skal minst:

    • a) beskrive arten av personvernbruddet, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt,

    • b) inneholde navnet på og kontaktopplysningene til personvernrådgiveren eller et annet kontaktpunkt der mer informasjon kan innhentes,

    • c) beskrive de sannsynlige konsekvensene av personvernbruddet,

    • d) beskrive de tiltak som den behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere personvernbruddet, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

  • 4. Dersom og i den grad det ikke er mulig å gi all informasjon samtidig, kan den gis trinnvis uten ytterligere ugrunnet opphold.

  • 5. Medlemsstatene skal fastsette at den behandlingsansvarlige skal dokumentere ethvert personvernbrudd som nevnt i nr. 1, herunder de faktiske forhold rundt nevnte brudd, virkningene av det og hvilke tiltak som er truffet for å utbedre det. Denne dokumentasjonen skal gjøre det mulig for tilsynsmyndigheten å kontrollere samsvar med denne artikkel.

  • 6. Medlemsstatene skal, når personvernbruddet omfatter personopplysninger som er overført til eller fra den behandlingsansvarlige i en annen medlemsstat, fastsette at den informasjon som er nevnt i nr. 3, skal oversendes til den behandlingsansvarlige i denne medlemsstaten uten ugrunnet opphold.

Artikkel 31

Underretning til den registrerte om personvernbrudd

  • 1. Medlemsstatene skal, når det er trolig at personvernbruddet vil medføre en høy risiko for fysiske personers rettigheter og friheter, fastsette at den behandlingsansvarlige uten ugrunnet opphold skal underrette den registrerte om personvernbruddet.

  • 2. Underretningen til den registrerte som nevnt i nr. 1 skal inneholde en klar og tydelig beskrivelse av arten av personvernbruddet og minst informasjonen og tiltakene nevnt i artikkel 30 nr. 3 bokstav b), c) og d).

  • 3. Underretning til den registrerte som nevnt i nr. 1 er ikke påkrevd dersom noen av følgende vilkår er oppfylt:

    • a) den behandlingsansvarlige har gjennomført egnede tekniske og organisatoriske vernetiltak, og disse tiltakene er anvendt på personopplysningene som er berørt av personvernbruddet, særlig tiltak som gjør personopplysningene uleselige for enhver person som ikke har godkjent tilgang til dem, for eksempel kryptering,

    • b) den behandlingsansvarlige har truffet etterfølgende tiltak som sikrer at det er lite trolig at den høye risikoen for de registrertes rettigheter og friheter nevnt i nr. 1 vil oppstå,

    • c) det vil innebære en uforholdsmessig stor innsats. Dersom dette er tilfellet, skal allmennheten isteden underrettes, eller det skal treffes et lignende tiltak som sikrer at de registrerte underrettes på en like effektiv måte.

  • 4. Dersom den behandlingsansvarlige ikke allerede har underrettet den registrerte om personvernbruddet, kan tilsynsmyndigheten etter å ha vurdert sannsynligheten for at personvernbruddet vil medføre en høy risiko, kreve at den behandlingsansvarlige gjør dette, eller beslutte at ett eller flere av vilkårene nevnt i nr. 3 er oppfylt.

  • 5. Underretning til den registrerte som nevnt i nr. 1 kan utsettes, begrenses eller utelates på de vilkår og av de grunner som er nevnt i artikkel 13 nr. 3.

Avsnitt 3

Personvernrådgiver

Artikkel 32

Utpeking av en personvernrådgiver

  • 1. Medlemsstatene skal fastsette at den behandlingsansvarlige skal utpeke en personvernrådgiver. Medlemsstatene kan unnta domstoler og andre uavhengige rettsmyndigheter fra denne plikten når de handler innenfor rammen av sin domsmyndighet.

  • 2. Personvernrådgiveren skal utpekes på grunnlag av faglige kvalifikasjoner og særlig på grunnlag av dybdekunnskap om personvernlovgivning og praksis på området samt evne til å utføre oppgavene nevnt i artikkel 34.

  • 3. Det kan utnevnes en felles personvernrådgiver for flere kompetente myndigheter, idet det tas hensyn til deres organisasjonsstruktur og størrelse.

  • 4. Medlemsstatene skal fastsette at den behandlingsansvarlige skal offentliggjøre kontaktopplysningene til personvernrådgiveren og meddele disse til tilsynsmyndigheten.

Artikkel 33

Personvernrådgiverens stilling

  • 1. Medlemsstatene skal fastsette at den behandlingsansvarlige skal sikre at personvernrådgiveren på riktig måte og i rett tid involveres i alle spørsmål som gjelder vern av personopplysninger.

  • 2. Den behandlingsansvarlige skal støtte personvernrådgiveren i forbindelse med utførelsen av oppgavene nevnt i artikkel 34 ved å stille til rådighet de ressurser som er nødvendig for å utføre nevnte oppgaver, samt gi tilgang til personopplysninger og behandlingsaktiviteter og gjøre det mulig for vedkommende å opprettholde sin dybdekunnskap.

Artikkel 34

Personvernrådgiverens oppgaver

Medlemsstatene skal fastsette at den behandlingsansvarlige, som et minimum, skal gi personvernrådgiveren følgende oppgaver:

  • a) informere og gi råd til den behandlingsansvarlige eller databehandleren og de ansatte som utfører behandlingen, om de forpliktelsene de har i henhold til dette direktiv, og i henhold til andre av Unionens eller medlemsstatenes personvernregler,

  • b) kontrollere overholdelsen av dette direktiv, av andre av Unionens eller medlemsstatenes personvernregler og den behandlingsansvarliges eller databehandlerens personvernretningslinjer, herunder fordeling av ansvar, holdningsskapende tiltak og opplæring av personellet som er involvert i behandlingsaktivitetene, og de tilhørende revisjoner,

  • c) på anmodning gi råd om vurderingen av personvernkonsekvenser og kontrollere gjennomføringen av den i henhold til artikkel 27,

  • d) samarbeide med tilsynsmyndigheten,

  • e) fungere som kontaktpunkt for tilsynsmyndigheten ved spørsmål om behandlingen, herunder forhåndsdrøftingen nevnt i artikkel 28, og ved behov rådføre seg med tilsynsmyndigheten om eventuelle andre spørsmål.

Kapittel V

Overføring av personopplysninger til tredjestater eller internasjonale organisasjoner

Artikkel 35

Generelle prinsipper for overføring av personopplysninger

  • 1. Medlemsstatene skal fastsette at kompetente myndigheters overføring av personopplysninger som behandles eller skal behandles etter overføring til en tredjestat eller en internasjonal organisasjon, herunder med sikte på videreoverføring til en annen tredjestat eller internasjonal organisasjon, skal finne sted med forbehold om at nasjonale bestemmelser vedtatt i henhold til andre bestemmelser i dette direktiv er overholdt, og bare dersom vilkårene i dette kapittel er oppfylt, det vil si:

    • a) at overføringen er nødvendig for formålene oppført i artikkel 1 nr. 1,

    • b) at personopplysningene overføres til en behandlingsansvarlig i en tredjestat eller internasjonal organisasjon som er en kompetent myndighet for formålene oppført i artikkel 1 nr. 1,

    • c) når personopplysninger overføres eller gjøres tilgjengelige fra en annen medlemsstat, at den medlemsstaten på forhånd har gitt tillatelse til overføringen i samsvar med sin nasjonale rett,

    • d) at Kommisjonen har vedtatt en beslutning om tilstrekkelig vernenivå i henhold til artikkel 36 eller, dersom det ikke foreligger en slik beslutning, at det er fastsatt eller foreligger nødvendige garantier i henhold til artikkel 37 eller, dersom det ikke foreligger en beslutning om tilstrekkelig vernenivå i henhold til artikkel 36 og det ikke er vedtatt nødvendige garantier i henhold til artikkel 37, at unntak for særlige situasjoner får anvendelse i henhold til artikkel 38, og

    • e) ved videreoverføring til en annen tredjestat eller internasjonal organisasjon, at den kompetente myndighet som har foretatt den opprinnelige overføringen, eller en annen kompetent myndighet i samme medlemsstat, gir tillatelse til videreoverføring etter å ha tatt alle relevante faktorer i betraktning, blant annet hvor alvorlig den straffbare handlingen er, formålet med den opprinnelige overføringen av personopplysningene, samt vernenivået for personopplysninger i tredjestaten eller den internasjonale organisasjonen som personopplysningene videreoverføres til.

  • 2. Medlemsstatene skal fastsette at overføring uten forhåndstillatelse fra en annen medlemsstat i samsvar med nr. 1 bokstav c) skal tillates bare dersom overføringen av personopplysningene er nødvendig for å kunne hindre en umiddelbar og alvorlig trussel mot offentlig sikkerhet i en medlemsstat eller en tredjestat, eller mot en medlemsstats vesentlige interesser, og forhåndstillatelse ikke kan innhentes i tide. Den myndighet som har ansvar for å gi forhåndstillatelse, skal underrettes umiddelbart.

  • 3. Alle bestemmelser i dette kapittel skal få anvendelse for å sikre at det nivået for vern av fysiske personer som garanteres i dette direktiv, ikke undergraves.

Artikkel 36

Overføringer på grunnlag av en beslutning om tilstrekkelig vernenivå

  • 1. Medlemsstatene skal fastsette at personopplysninger kan overføres til en tredjestat eller en internasjonal organisasjon når Kommisjonen har fastslått at tredjestaten, et territorium eller en eller flere angitte sektorer i nevnte tredjestat, eller den aktuelle internasjonale organisasjonen sikrer et tilstrekkelig vernenivå. En slik overføring skal ikke kreve særlig godkjenning.

  • 2. Ved vurderingen av om vernenivået er tilstrekkelig skal Kommisjonen særlig ta hensyn til det følgende:

    • a) prinsippet om rettsstaten, respekt for menneskerettigheter og grunnleggende friheter, relevant lovgivning, både generell og sektorbestemt, herunder om offentlig sikkerhet, forsvar, nasjonal sikkerhet og strafferett og offentlige myndigheters tilgang til personopplysninger, samt gjennomføring av nevnte lovgivning, regler for vern av personopplysninger, regler for yrkesutøvelse og sikkerhetstiltak, herunder regler for videreoverføring av personopplysninger til en annen tredjestat eller internasjonal organisasjon som gjelder i nevnte stat eller internasjonale organisasjon, rettspraksis samt effektive og håndhevbare rettigheter for de registrerte og rett til effektiv administrativ og rettslig prøving for de registrerte hvis personopplysninger overføres,

    • b) om det finnes en eller flere velfungerende, uavhengige tilsynsmyndigheter i tredjestaten eller som en internasjonal organisasjon er underlagt, med ansvar for å sikre og håndheve at reglene for vern av personopplysninger overholdes, herunder tilstrekkelig håndhevingsmyndighet, for å bistå og gi råd til de registrerte når de utøver sine rettigheter, og for samarbeid med tilsynsmyndighetene i medlemsstatene, og

    • c) de internasjonale forpliktelsene som den berørte tredjestaten eller den internasjonale organisasjonen har påtatt seg, eller andre forpliktelser som følger av rettslig bindende konvensjoner eller instrumenter og av tredjestatens eller organisasjonens deltakelse i multilaterale eller regionale systemer, særlig i forbindelse med vern av personopplysninger.

  • 3. Etter å ha vurdert om vernenivået er tilstrekkelig, kan Kommisjonen ved hjelp av gjennomføringsrettsakter beslutte at en tredjestat, et territorium eller en eller flere angitte sektorer i en tredjestat eller en internasjonal organisasjon sikrer et tilstrekkelig vernenivå i henhold til nr. 2 i denne artikkel. I gjennomføringsrettsaktene skal det fastsettes en mekanisme for regelmessig gjennomgåelse, som skal foretas minst hvert fjerde år, der det skal tas hensyn til all relevant utvikling i tredjestaten eller den internasjonale organisasjonen. I gjennomføringsrettsakten skal dens geografiske og sektorvise virkeområde angis samt, dersom det er relevant, den eller de tilsynsmyndigheter som er nevnt i nr. 2 bokstav b) i denne artikkel. Gjennomføringsrettsakten skal vedtas etter framgangsmåten med undersøkelseskomité nevnt i artikkel 58 nr. 2.

  • 4. Kommisjonen skal fortløpende overvåke utviklingen i tredjestater og internasjonale organisasjoner som kan påvirke virkemåten til beslutninger truffet i henhold til nr. 3.

  • 5. Når tilgjengelig informasjon, særlig etter gjennomgåelsen nevnt i nr. 3 i denne artikkel, viser at en tredjestat, et territorium eller en eller flere angitte sektorer i en tredjestat eller en internasjonal organisasjon ikke lenger sikrer et tilstrekkelig vernenivå i henhold til nr. 2 i denne artikkel, skal Kommisjonen i det omfang som er nødvendig, oppheve, endre eller midlertidig oppheve beslutningen nevnt i nr. 3 i denne artikkel ved hjelp av gjennomføringsrettsakter uten tilbakevirkende kraft. Disse gjennomføringsrettsaktene skal vedtas etter framgangsmåten med undersøkelseskomité nevnt i artikkel 58 nr. 2.

    I behørig begrunnede, tvingende hastetilfeller skal Kommisjonen vedta gjennomføringsrettsakter med umiddelbar virkning i samsvar med framgangsmåten nevnt i artikkel 58 nr. 3.

  • 6. Kommisjonen skal innlede samråd med tredjestaten eller den internasjonale organisasjonen med henblikk på å avhjelpe situasjonen som har gitt opphav til beslutningen truffet i henhold til nr. 5.

  • 7. Medlemsstatene skal fastsette at en beslutning i henhold til nr. 5 ikke skal berøre overføringer av personopplysninger til tredjestaten, et territorium eller en eller flere angitte sektorer i nevnte tredjestat, eller til den aktuelle internasjonale organisasjonen som utføres i henhold til artikkel 37 og 38.

  • 8. Kommisjonen skal i Den europeiske unions tidende og på sitt nettsted offentliggjøre en liste over tredjestatene, territoriene og de angitte sektorene i en tredjestat samt internasjonale organisasjoner som den har fastslått ikke eller ikke lenger sikrer et tilstrekkelig vernenivå.

Artikkel 37

Overføringer som omfattes av nødvendige garantier

  • 1. Dersom det ikke foreligger en beslutning i henhold til artikkel 36 nr. 3, skal medlemsstatene fastsette at en overføring av personopplysninger til en tredjestat eller en internasjonal organisasjon kan finne sted når:

    • a) det er fastsatt nødvendige garantier til vern av personopplysninger i et rettslig bindende instrument, eller

    • b) den behandlingsansvarlige har vurdert alle forhold rundt overføringen av personopplysninger, og har kommet til at det foreligger nødvendige garantier til vern av personopplysninger.

  • 2. Den behandlingsansvarlige skal underrette tilsynsmyndigheten om de ulike kategorier overføringer i henhold til nr. 1 bokstav b).

  • 3. En overføring hjemlet i nr. 1 bokstav b) skal dokumenteres, og dokumentasjonen skal på anmodning gjøres tilgjengelig for tilsynsmyndigheten, herunder dato og klokkeslett for overføringen, informasjon om den kompetente myndighet som mottar opplysningene, begrunnelsen for overføringen og hvilke personopplysninger som er overført.

Artikkel 38

Unntak for særlige situasjoner

  • 1. Dersom det ikke foreligger en beslutning om tilstrekkelig vernenivå i henhold til artikkel 36, eller om nødvendige garantier i henhold til artikkel 37, skal medlemsstatene fastsette at en overføring eller en kategori overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon bare kan finne sted dersom overføringen er nødvendig :

    • a) for å verne om den registrertes eller en annen persons vitale interesser,

    • b) for å verne om den registrertes berettigede interesser, når det er fastsatt i nasjonal rett i medlemsstaten som overfører personopplysningene,

    • c) for å hindre en umiddelbar og alvorlig trussel mot offentlig sikkerhet i en medlemsstat eller en tredjestat,

    • d) i enkeltsaker for formålene oppført i artikkel 1 nr. 1, eller

    • e) i en enkeltsak for å fastsette, gjøre gjeldende eller forsvare rettskrav knyttet til formålene oppført i artikkel 1 nr. 1.

  • 2. Personopplysninger skal ikke overføres dersom den kompetente myndighet som foretar overføringen, fastslår at den registrertes grunnleggende rettigheter og friheter veier tyngre enn samfunnets interesse i en overføring som oppført i nr. 1 bokstav d) og e).

  • 3. En overføring hjemlet i nr. 1 skal dokumenteres, og dokumentasjonen skal på anmodning gjøres tilgjengelig for tilsynsmyndigheten, herunder dato og klokkeslett for overføringen, informasjon om den kompetente myndighet som mottar opplysningene, begrunnelsen for overføringen og hvilke personopplysninger som er overført.

Artikkel 39

Overføring av personopplysninger til mottakere i tredjestater

  • 1. Som unntak fra artikkel 35 nr. 1 bokstav b), og med forbehold for en internasjonal avtale som nevnt i denne artikkel nr. 2, kan unionsretten eller medlemsstatenes nasjonale rett fastsette at kompetente myndigheter som definert i artikkel 3 nr. 7 bokstav a) kan overføre personopplysninger direkte til mottakere i tredjestater i enkeltstående og særlige tilfeller, men bare dersom de øvrige bestemmelsene i dette direktiv er overholdt og alle følgende vilkår er oppfylt:

    • a) overføringen er strengt nødvendig for at den kompetente myndighet som foretar overføringen, skal kunne utføre en oppgave i henhold til unionsretten eller medlemsstatenes nasjonale rett for formålene oppført i artikkel 1 nr. 1,

    • b) den kompetente myndighet som foretar overføringen, fastslår at ingen av den registrertes grunnleggende rettigheter og friheter veier tyngre enn den samfunnsinteresse som nødvendiggjør overføring i det aktuelle tilfellet,

    • c) den kompetente myndighet som foretar overføringen, anser at overføring til en myndighet i tredjestaten som er kompetent for formålene oppført i artikkel 1 nr. 1, er lite effektivt eller uhensiktsmessig, særlig fordi overføringen ikke kan skje i tide,

    • d) den myndighet i tredjestaten som er kompetent for formålene oppført i artikkel 1 nr. 1, underrettes uten ugrunnet opphold, med mindre dette er lite effektivt eller uhensiktsmessig,

    • e) den kompetente myndighet som foretar overføringen, underretter mottakeren om hvilke(t) formål som utelukkende kan ligge til grunn for at sistnevnte behandler personopplysningene, og forutsatt at behandlingen er nødvendig.

  • 2. En internasjonal avtale som nevnt i nr. 1 skal være enhver bilateral eller multilateral internasjonal avtale som er i kraft mellom medlemsstatene og tredjestater på området strafferettslig samarbeid og politisamarbeid.

  • 3. Den kompetente myndighet som foretar overføringen, skal underrette tilsynsmyndigheten om overføringer i henhold til denne artikkel.

  • 4. En overføring hjemlet i nr. 1 skal dokumenteres.

Artikkel 40

Internasjonalt samarbeid om vern av personopplysninger

I forbindelse med tredjestater og internasjonale organisasjoner skal Kommisjonen og tilsynsmyndighetene treffe nødvendige tiltak for å :

  • a) utvikle mekanismer for internasjonalt samarbeid for å fremme en effektiv håndheving av regelverket om vern av personopplysninger,

  • b) yte internasjonal gjensidig bistand ved håndheving av regelverket om vern av personopplysninger, herunder ved underretning, oversending av klager, etterforskningsbistand og informasjonsutveksling, tatt i betraktning nødvendige garantier for vern av personopplysninger og andre grunnleggende rettigheter og friheter,

  • c) trekke inn relevante berørte parter i drøftinger og aktiviteter som har som mål å fremme internasjonalt samarbeid om håndheving av regelverket for vern av personopplysninger,

  • d) fremme utveksling av og dokumentasjon på regelverket for vern av personopplysninger og praksis på området, herunder om kompetansekonflikter med tredjestater.

Kapittel VI

Uavhengige tilsynsmyndigheter

Avsnitt 1

Uavhengig stilling

Artikkel 41

Tilsynsmyndighet

  • 1. Hver medlemsstat skal sikre at en eller flere uavhengige offentlige myndigheter har ansvar for å føre tilsyn med anvendelsen av dette direktiv for å verne fysiske personers grunnleggende rettigheter og friheter i forbindelse med behandling, og for å fremme den frie flyten av personopplysninger i Unionen («tilsynsmyndighet»).

  • 2. Hver tilsynsmyndighet skal bidra til en ensartet anvendelse av dette direktiv i hele Unionen. For dette formål skal tilsynsmyndighetene samarbeide med hverandre og med Kommisjonen i samsvar med kapittel VII.

  • 3. Medlemsstatene kan fastsette at en tilsynsmyndighet som er opprettet i henhold til forordning (EU) 2016/679, skal være den tilsynsmyndighet som er omhandlet i dette direktiv, og skal ha ansvar for de oppgaver som er tillagt tilsynsmyndigheten som skal opprettes i henhold til nr. 1.

  • 4. Dersom mer enn én tilsynsmyndighet er etablert i en medlemsstat, skal nevnte medlemsstat utpeke en tilsynsmyndighet som skal representere disse myndighetene i Personvernrådet som nevnt i artikkel 51.

Artikkel 42

Uavhengighet

  • 1. Hver medlemsstat skal fastsette at hver tilsynsmyndighet skal utføre sine oppgaver og utøve sin myndighet etter dette direktiv i full uavhengighet.

  • 2. Medlemsstatene skal fastsette at når medlemmet eller medlemmene av hver tilsynsmyndighet skal utføre sine oppgaver og utøve sin myndighet i samsvar med dette direktiv, skal de ikke utsettes for påvirkninger utenfra, verken direkte eller indirekte, og de skal ikke anmode om eller motta instrukser fra andre.

  • 3. Medlemmene av hver tilsynsmyndighet skal avstå fra enhver handling som ikke er forenlig med vedkommendes oppgaver, og skal så lenge oppnevningsperioden varer, ikke utøve en uforenlig yrkesvirksomhet, verken lønnet eller ulønnet.

  • 4. Hver medlemsstat skal sikre at hver tilsynsmyndighet har de menneskelige, tekniske og økonomiske ressurser, lokaler samt infrastruktur som er nødvendig for å kunne utføre sine oppgaver og utøve sin myndighet på en effektiv måte, herunder i forbindelse med gjensidig bistand, samarbeid og deltakelse i Personvernrådet.

  • 5. Hver medlemsstat skal sikre at hver tilsynsmyndighet velger og har sitt eget personell som utelukkende skal stå under ledelse av medlemmet eller medlemmene av den berørte tilsynsmyndighet.

  • 6. Hver medlemsstat skal sikre at hver tilsynsmyndighet er undergitt finansiell kontroll som ikke påvirker dens uavhengighet, og at den har separate, offentlige årsbudsjetter som kan være en del av det samlede statsbudsjettet eller nasjonalbudsjettet.

Artikkel 43

Generelle vilkår for medlemmer av tilsynsmyndigheten

  • 1. Medlemsstatene skal ved hjelp av en gjennomsiktig framgangsmåte sikre at hvert medlem av deres tilsynsmyndigheter oppnevnes av

  • deres parlament

  • deres regjering,

  • deres statsoverhode eller

  • et uavhengig organ som har fått ansvar for oppnevnelsen i henhold til medlemsstatens nasjonale rett.

  • 2. Hvert medlem skal ha de kvalifikasjoner, den erfaring og den kompetanse, særlig på området vern av personopplysninger, som er nødvendig for å utføre sine oppgaver og utøve sin myndighet.

  • 3. Et medlems oppgaver opphører ved utløpet av oppnevningsperioden, ved avgang eller ved avsettelse i samsvar med nasjonal rett i den berørte medlemsstat.

  • 4. Et medlem kan bare avskjediges ved alvorlig forsømmelse eller dersom medlemmet ikke lenger oppfyller vilkårene for å utføre oppgavene.

Artikkel 44

Regler for opprettelse av tilsynsmyndigheten

  • 1. Hver medlemsstat skal ved lov fastsette følgende:

    • a) opprettelse av hver tilsynsmyndighet,

    • b) de nødvendige kvalifikasjonene og utvelgelseskriteriene for å kunne bli oppnevnt som medlem av en tilsynsmyndighet,

    • c) reglene og framgangsmåtene for oppnevnelse av medlemmet eller medlemmene av hver tilsynsmyndighet,

    • d) varigheten av mandatet til medlemmet eller medlemmene av hver tilsynsmyndighet, som skal være minst fire år, bortsett fra den første oppnevnelsen etter 6. mai 2016, som kan ha kortere varighet dersom det er nødvendig for å sikre tilsynsmyndighetens uavhengighet ved hjelp av en trinnvis oppnevnelsesprosess,

    • e) om mandatet til medlemmet eller medlemmene av hver tilsynsmyndighet kan fornyes og, dersom dette er tilfellet, hvor mange ganger,

    • f) de vilkår som gjelder for forpliktelsene til medlemmet eller medlemmene av og personellet hos hver tilsynsmyndighet, forbud mot aktiviteter, yrkesvirksomhet og fordeler som er uforenlige med disse i og etter oppnevningsperioden, samt regler for avslutning av arbeidsforholdet.

  • 2. Medlemmet eller medlemmene og personellet hos hver tilsynsmyndighet skal, i samsvar med unionsretten eller medlemsstatenes nasjonale rett, både i og etter oppnevningsperioden være bundet av taushetsplikt med hensyn til eventuell fortrolig informasjon de får kjennskap til under utførelsen av sine oppgaver eller utøvelsen av sin myndighet. I oppnevningsperioden skal taushetsplikten særlig omfatte fysiske personers varsling om overtredelser av dette direktiv.

Avsnitt 2

Kompetanse, oppgaver og myndighet

Artikkel 45

Kompetanse

  • 1. Hver medlemsstat skal fastsette at hver tilsynsmyndighet skal ha kompetanse til å utføre de oppgaver og utøve den myndighet den gis i samsvar med dette direktiv, på sin medlemsstats territorium.

  • 2. Hver medlemsstat skal fastsette at den enkelte tilsynsmyndighet ikke skal ha kompetanse til å føre tilsyn med domstolers behandlingsaktiviteter når disse handler innenfor rammen av sin domsmyndighet. Hver medlemsstat skal fastsette at den enkelte tilsynsmyndighet ikke skal ha kompetanse til føre tilsyn med andre uavhengige rettsmyndigheters behandlingsaktiviteter når disse handler innenfor rammen av sin domsmyndighet.

Artikkel 46

Oppgaver

  • 1. Hver medlemsstat skal fastsette at den enkelte tilsynsmyndighet på sitt territorium skal:

    • a) føre tilsyn med og håndheve anvendelsen av bestemmelser vedtatt i henhold til dette direktiv og dets gjennomføringsbestemmelser,

    • b) fremme allmennhetens kjennskap til og forståelse for risikoer, regler, garantier og rettigheter i forbindelse med behandling,

    • c) rådgi, i samsvar med medlemsstatenes nasjonale rett, det nasjonale parlament, regjeringen og andre institusjoner og organer om lovgivning og administrative tiltak knyttet til vern av fysiske personers rettigheter og friheter ved behandling,

    • d) fremme de behandlingsansvarliges og databehandlernes kjennskap til de forpliktelsene de har i henhold til dette direktiv,

    • e) på anmodning informere registrerte om utøvelse av de rettighetene de har i henhold til dette direktiv og, dersom det er relevant, samarbeide med tilsynsmyndighetene i andre medlemsstater om dette,

    • f) behandle klager som er inngitt av en registrert eller et organ, en organisasjon eller en sammenslutning i samsvar med artikkel 55, og undersøke, i den grad det er hensiktsmessig, klagens gjenstand og underrette klageren om forløpet og utfallet av undersøkelsen innen en rimelig frist, særlig dersom det er behov for videre undersøkelse eller samordning med en annen tilsynsmyndighet,

    • g) kontrollere om en behandling i henhold til artikkel 17 er lovlig, og innen rimelig tid informere den registrerte om utfallet av kontrollen i henhold til nr. 3 i nevnte artikkel, eller om grunnene til at kontrollen ikke er gjennomført,

    • h) samarbeide med andre tilsynsmyndigheter, herunder ved å utveksle informasjon og yte gjensidig bistand, for å sikre ensartet anvendelse og håndheving av dette direktiv,

    • i) gjennomføre undersøkelser om anvendelsen av dette direktiv, herunder på grunnlag av informasjon mottatt fra en annen tilsynsmyndighet eller en annen offentlig myndighet,

    • j) følge relevant utvikling, i den grad den har innvirkning på personvern, særlig utviklingen innen informasjons- og kommunikasjonsteknologi,

    • k) gi råd om behandlingsaktivitetene nevnt i artikkel 28, og

    • l) bidra i Personvernrådets arbeid.

  • 2. Hver tilsynsmyndighet skal legge til rette for inngivelse av klager som nevnt i nr. 1 bokstav f) ved hjelp av tiltak som for eksempel et klageskjema, som også kan fylles ut elektronisk, uten å utelukke andre kommunikasjonsmidler.

  • 3. Oppgavene som hver tilsynsmyndighet utfører skal være gratis for den registrerte og for personvernrådgiveren.

  • 4. Dersom anmodninger er åpenbart grunnløse eller overdrevne, især fordi de gjentas, kan tilsynsmyndigheten kreve et rimelig gebyr basert på administrasjonskostnadene, eller nekte å etterkomme anmodningen. Tilsynsmyndigheten skal bære bevisbyrden for at en anmodning er åpenbart grunnløs eller overdreven.

Artikkel 47

Myndighet

  • 1. Medlemsstatene skal lovfeste at den enkelte tilsynsmyndighet skal ha effektiv undersøkelsesmyndighet. Dette skal som et minimum omfatte myndighet til å kreve at den behandlingsansvarlige og databehandleren gir tilgang til alle personopplysninger som behandles, og til all informasjon den trenger for å kunne utføre sine oppgaver.

  • 2. Hver medlemsstat skal lovfeste at den enkelte tilsynsmyndighet skal ha myndighet til å treffe korrigerende tiltak, for eksempel:

    • a) utstede advarsler til en behandlingsansvarlig eller databehandler om at de planlagte behandlingsaktivitetene trolig er i strid med bestemmelser vedtatt i henhold til dette direktiv,

    • b) pålegge den behandlingsansvarlige eller databehandleren å sørge for at behandlingsaktivitetene skjer i samsvar med bestemmelser vedtatt i henhold til dette direktiv og, dersom det er relevant, på en bestemt måte og innen en bestemt frist, blant annet ved å kreve at personopplysninger korrigeres eller slettes, eller at behandlingen begrenses i henhold til artikkel 16,

    • c) innføre en midlertidig eller varig begrensning, herunder et forbud mot, behandling.

  • 3. Hver medlemsstat skal lovfeste at den enkelte tilsynsmyndighet skal ha effektiv myndighet til å rådgi den behandlingsansvarlige i samsvar med framgangsmåten for forhåndsdrøftinger nevnt i artikkel 28, og til å avgi uttalelse, på eget initiativ eller på anmodning, til det nasjonale parlamentet, medlemsstatens regjering eller, i samsvar med medlemsstatenes nasjonale rett, til andre institusjoner og organer samt allmennheten om eventuelle spørsmål knyttet til vern av personopplysninger.

  • 4. Utøvelse av den myndighet som tilsynsmyndigheten gis i henhold til denne artikkel, skal være underlagt nødvendige garantier, herunder effektive rettsmidler og rettferdig rettergang, fastsatt i unionsretten og medlemsstatenes nasjonale rett i samsvar med pakten.

  • 5. Hver medlemsstat skal ved lov fastsette at dens tilsynsmyndighet skal ha myndighet til å bringe overtredelser av bestemmelser vedtatt i henhold til dette direktiv inn for rettsapparatet og, dersom det er relevant, til å innlede eller på annen måte opptre som part i rettssaker med det som mål å håndheve bestemmelser vedtatt i henhold til dette direktiv.

Artikkel 48

Rapportering av overtredelser

Medlemsstatene skal fastsette at kompetente myndigheter skal innføre effektive ordninger som oppmuntrer til fortrolig rapportering av overtredelser av dette direktiv.

Artikkel 49

Årsrapporter

Hver tilsynsmyndighet skal utarbeide en årlig rapport om sin virksomhet, som kan inneholde en liste over hvilke typer overtredelser som er meldt, og hvilke typer sanksjoner som er ilagt. Nevnte rapporter skal oversendes til det nasjonale parlamentet, regjeringen og andre myndigheter som er utpekt i henhold til medlemsstatens nasjonale rett. De skal gjøres tilgjengelig for allmennheten, Kommisjonen og Personvernrådet.

Kapittel VII

Samarbeid

Artikkel 50

Gjensidig bistand

  • 1. Hver medlemsstat skal fastsette at deres tilsynsmyndigheter skal utveksle relevant informasjon og yte gjensidig bistand for å oppnå en ensartet gjennomføring og anvendelse av dette direktiv samt treffe tiltak for å sikre et effektivt samarbeid seg imellom. Gjensidig bistand skal særlig omfatte anmodninger om informasjon samt tilsynstiltak, for eksempel anmodninger om forhåndsgodkjenninger og gjennomføring av forhåndsdrøftinger, inspeksjoner og undersøkelser.

  • 2. Hver medlemsstat skal fastsette at hver tilsynsmyndighet skal treffe alle egnede tiltak som er nødvendig for å kunne svare på en anmodning fra en annen tilsynsmyndighet, uten ugrunnet opphold og senest én måned etter mottak av anmodningen. Nevnte tiltak kan særlig omfatte overføring av relevant informasjon om gjennomføringen av en undersøkelse.

  • 3. Anmodninger om bistand skal inneholde all nødvendig informasjon, herunder informasjon om formålet med og årsakene til anmodningen. Informasjon som utveksles, skal bare benyttes til de formål som omfattes av anmodningen.

  • 4. Den anmodede tilsynsmyndighet skal ikke nekte å etterkomme anmodningen, med mindre :

    • a) den ikke har kompetanse med hensyn til det anmodningen gjelder, eller de tiltak den anmodes om å iverksette, eller

    • b) etterkommelse av anmodningen vil være i strid med dette direktiv, unionsretten eller medlemsstatenes nasjonale rett som tilsynsmyndigheten som mottar anmodningen, er underlagt.

  • 5. Den anmodede tilsynsmyndigheten skal underrette den anmodende tilsynsmyndigheten om resultatene eller, alt etter hva som er relevant, om framskrittene med tiltakene som er truffet for å svare på anmodningen. Den anmodede tilsynsmyndigheten skal begrunne ethvert avslag på å etterkomme en anmodning i henhold til nr. 4.

  • 6. Anmodede tilsynsmyndigheter skal som hovedregel oversende informasjonen som en annen tilsynsmyndighet har anmodet om, elektronisk og ved bruk av et standardisert format.

  • 7. Anmodede tilsynsmyndigheter skal ikke kreve et gebyr for tiltak de treffer på grunnlag av en anmodning om gjensidig bistand. Tilsynsmyndighetene kan vedta regler for å godtgjøre hverandre for spesifikke utgifter som oppstår ved yting av gjensidig bistand i særlige tilfeller.

  • 8. Kommisjonen kan ved hjelp av gjennomføringsrettsakter fastsette formatene og framgangsmåtene for gjensidig bistand nevnt i denne artikkel og ordningene for elektronisk utveksling av informasjon mellom tilsynsmyndighetene, og mellom tilsynsmyndighetene og Personvernrådet. Disse gjennomføringsrettsaktene skal vedtas etter framgangsmåten med undersøkelseskomité nevnt i artikkel 58 nr. 2.

Artikkel 51

Personvernrådets oppgaver

  • 1. Personvernrådet som er opprettet ved forordning (EU) 2016/679 skal, i forbindelse med behandling innenfor dette direktivs virkeområde, utføre følgende oppgaver:

    • a) rådgi Kommisjonen i alle spørsmål knyttet til vern av personopplysninger i Unionen, herunder om eventuelle forslag til endring av dette direktiv,

    • b) på eget initiativ, på anmodning fra ett av dets medlemmer eller fra Kommisjonen granske alle spørsmål som gjelder anvendelse av dette direktiv, og utstede retningslinjer, anbefalinger og beste praksis for å fremme en ensartet anvendelse av dette direktiv,

    • c) utarbeide retningslinjer for tilsynsmyndigheter om anvendelsen av tiltakene som er nevnt i artikkel 47 nr. 1 og 3,

    • d) utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav b) i dette nummer for å fastslå personvernbrudd og fastsette det ugrunnede oppholdet som nevnt i artikkel 30 nr. 1 og 2, samt for de særlige tilfellene der en behandlingsansvarlig eller en databehandler har plikt til å melde personvernbrudd,

    • e) utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav b) i dette nummer for omstendighetene der et personvernbrudd trolig vil føre til en høy risiko for rettighetene og frihetene til de fysiske personene nevnt i artikkel 31 nr. 1,

    • f) gjennomgå den praktiske anvendelsen av retningslinjene, anbefalingene og beste praksis nevnt i bokstav b) og c),

    • g) avgi uttalelse til Kommisjonen om vurderingen av om vernenivået i en tredjestat eller internasjonal organisasjon er tilstrekkelig, herunder vurderingen av om en tredjestat, et territorium eller en eller flere angitte sektorer i nevnte tredjestat eller en internasjonal organisasjon ikke lenger sikrer et tilstrekkelig vernenivå,

    • h) fremme samarbeid og en effektiv bi- og multilateral utveksling av informasjon og beste praksis mellom tilsynsmyndighetene,

    • i) fremme felles opplæringsprogrammer og utveksling av personell mellom tilsynsmyndighetene og, dersom det er relevant, med tilsynsmyndigheter i tredjestater eller internasjonale organisasjoner,

    • j) fremme utveksling av kunnskap og dokumentasjon om personvernlovgivning og praksis på området med datatilsynsmyndigheter over hele verden.

    Hva angår nr. 1 bokstav g) skal Kommisjonen framlegge for Personvernrådet all nødvendig dokumentasjon, herunder korrespondanse med regjeringen i tredjestaten, med hensyn til nevnte tredjestat, territorium eller spesifikke sektor, eller med den internasjonale organisasjonen.

  • 2. Dersom Kommisjonen ber Personvernrådet om råd, kan den oppgi en tidsfrist, idet det tas hensyn til hvor mye saken haster.

  • 3. Personvernrådet skal videresende sine uttalelser, retningslinjer, anbefalinger og beste praksis til Kommisjonen og til komiteen nevnt i artikkel 58 nr. 1 samt offentliggjøre dem.

  • 4. Kommisjonen skal underrette Personvernrådet om hvilke tiltak den har truffet som en følge av Personvernrådets uttalelser, retningslinjer, anbefalinger og beste praksis.

Kapittel VIII

Rettsmidler, ansvar og sanksjoner

Artikkel 52

Rett til å klage til en tilsynsmyndighet

  • 1. Uten at det berører annen administrativ eller rettslig prøving, skal medlemsstatene fastsette at enhver registrert skal ha rett til å klage til én tilsynsmyndighet dersom den registrerte anser at behandlingen av personopplysninger som gjelder vedkommende er i strid med bestemmelser vedtatt i henhold til dette direktiv.

  • 2. Medlemsstatene skal fastsette at tilsynsmyndigheten som har mottatt klagen, skal overføre den til kompetent tilsynsmyndighet uten ugrunnet opphold dersom klagen ikke er inngitt til den tilsynsmyndighet som er kompetent i henhold til artikkel 45 nr. 1. Den registrerte skal underrettes om overføringen.

  • 3. Medlemsstatene skal fastsette at den tilsynsmyndighet som har mottatt klagen, skal gi ytterligere bistand på anmodning fra den registrerte.

  • 4. Kompetent tilsynsmyndighet skal underrette klageren om klagebehandlingsforløpet og utfallet av klagen, herunder muligheten for rettslig prøving i henhold til artikkel 53.

Artikkel 53

Rett til et effektivt rettsmiddel overfor en tilsynsmyndighet

  • 1. Uten at det berører annen administrativ eller ikke-rettslig prøving, skal medlemsstatene fastsette at enhver fysisk eller juridisk person skal ha rett til et effektivt rettsmiddel overfor en rettslig bindende avgjørelse som gjelder dem, og som er truffet av en tilsynsmyndighet.

  • 2. Uten at det berører annen administrativ eller ikke-rettslig prøving, skal enhver registrert ha rett til et effektivt rettsmiddel dersom tilsynsmyndigheten som har kompetanse i henhold til artikkel 45 nr. 1, ikke behandler en klage eller ikke underretter den registrerte innen tre måneder om klagebehandlingsforløpet eller utfallet av klagen som er inngitt i henhold til artikkel 52.

  • 3. Medlemsstatene skal fastsette at en sak mot en tilsynsmyndighet skal bringes inn for domstolene i medlemsstaten der tilsynsmyndigheten er etablert.

Artikkel 54

Rett til et effektivt rettsmiddel overfor en behandlingsansvarlig eller databehandler

Uten at det berører annen tilgjengelig administrativ eller ikke-rettslig prøving, herunder retten til å klage til en tilsynsmyndighet i henhold til artikkel 52, skal medlemsstatene fastsette at enhver registrert skal ha rett til et effektivt rettsmiddel dersom vedkommende anser at vedkommendes rettigheter i henhold til dette direktiv er krenket som følge av at vedkommendes personopplysninger er blitt behandlet på en måte som ikke er i samsvar med bestemmelser vedtatt i henhold til dette direktiv.

Artikkel 55

Representasjon av registrerte

Medlemsstatene skal, i samsvar med medlemsstatenes prosessuelle rettsregler, fastsette at den registrerte skal ha rett til å gi et ideelt organ eller en ideell organisasjon eller sammenslutning som er opprettet i samsvar med nasjonal rett i en medlemstat, som har vedtektsfestede formål som er i allmennhetens interesse, og som er aktiv på området vern av registrertes rettigheter og friheter med hensyn til vern av deres personopplysninger, fullmakt til å klage på vedkommendes vegne, og til å utøve rettighetene i artikkel 52, 53 og 54 på vedkommendes vegne.

Artikkel 56

Rett til erstatning

Medlemsstatene skal fastsette at enhver person som har lidd materiell eller ikke-materiell skade som følge av behandling som ikke er lovlig, eller som følge av en handling som er i strid med nasjonal rett vedtatt i henhold til dette direktiv, skal ha rett til erstatning for forvoldt skade fra den behandlingsansvarlige eller en annen myndighet som er kompetent i henhold til medlemsstatenes nasjonale rett.

Artikkel 57

Sanksjoner

Medlemsstatene skal fastsette regler for sanksjoner som får anvendelse på overtredelser av bestemmelser vedtatt i henhold til dette direktiv, og skal treffe alle nødvendige tiltak for å sikre at de gjennomføres. Sanksjonene skal være effektive, stå i forhold til overtredelsen og virke avskrekkende.

Kapittel IX

Gjennomføringsrettsakter

Artikkel 58

Komitéframgangsmåte

  • 1. Kommisjonen skal bistås av den komité som er nedsatt ved artikkel 93 i forordning (EU) 2016/679. Nevnte komité skal være en komité som definert i forordning (EU) nr. 182/2011.

  • 2. Når det vises til dette nummer, får artikkel 5 i forordning (EU) nr. 182/2011 anvendelse.

  • 3. Når det vises til dette nummer, får artikkel 8 i forordning (EU) nr. 182/2011, sammenholdt med artikkel 5 i samme forordning, anvendelse.

Kapittel X

Sluttbestemmelser

Artikkel 59

Oppheving av rammebeslutning 2008/977/JIS

  • 1. Rammebeslutning 2008/977/JIS oppheves med virkning fra 6. mai 2018.

  • 2. Henvisninger til den opphevde beslutningen nevnt i nr. 1 skal forstås som henvisninger til dette direktiv.

Artikkel 60

Unionsrettsakter som allerede er i kraft

Dette direktiv skal ikke berøre særlige bestemmelser om vern av personopplysninger i unionsrettsakter på området strafferettslig samarbeid og politisamarbeid som er trådt i kraft innen 6. mai 2016, og som regulerer behandling mellom medlemsstatene og tilgang for utpekte myndigheter i medlemsstatene til informasjonssystemer som er opprettet i henhold til traktatene og er innenfor dette direktivs virkeområde.

Artikkel 61

Forholdet til tidligere inngåtte internasjonale avtaler på området strafferettslig samarbeid og politisamarbeid

Internasjonale avtaler som omfatter overføring av personopplysninger til tredjestater eller internasjonale organisasjoner, som er inngått av medlemsstatene før 6. mai 2016 og som er i samsvar med unionsretten som gjaldt før nevnte dato, får fortsatt anvendelse fram til de endres, erstattes eller oppheves.

Artikkel 62

Kommisjonsrapporter

  • 1. Kommisjonen skal senest 6. mai 2022, og deretter hvert fjerde år, framlegge en rapport om vurderingen og gjennomgåelsen av dette direktiv for Europaparlamentet og Rådet. Rapportene skal offentliggjøres.

  • 2. I forbindelse med vurderingene og gjennomgåelsene nevnt i nr. 1, skal Kommisjonen særlig undersøke hvordan kapittel V om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner anvendes og fungerer, særlig med hensyn til beslutninger som er truffet i henhold til artikkel 36 nr. 3 og artikkel 39.

  • 3. Kommisjonen kan, for formålene oppført i nr. 1 og 2, anmode om informasjon fra medlemsstater og tilsynsmyndigheter.

  • 4. Når Kommisjonen foretar vurderingene og gjennomgåelsene nevnt i nr. 1 og 2, skal den ta hensyn til holdningene og konklusjonene fra Europaparlamentet, Rådet og andre relevante organer eller kilder.

  • 5. Kommisjonen skal ved behov framlegge egnede forslag til endring av dette direktiv, idet det tas særlig hensyn til utviklingen innen informasjonsteknologi og de framskrittene som har funnet sted i informasjonssamfunnet.

  • 6. Innen 6. mai 2019 skal Kommisjonen gjennomgå andre rettsakter som er vedtatt av Unionen, og som regulerer kompetente myndigheters behandling for formålene oppført i artikkel 1 nr. 1, herunder dem som er nevnt i artikkel 60, for å kunne vurdere behovet for å bringe disse rettsaktene i tråd med dette direktiv, og eventuelt legge fram nødvendige forslag om å endre dem for å sikre en ensartet tilnærming til vern av personopplysninger innenfor dette direktivs virkeområde.

Artikkel 63

Innarbeiding

  • 1. Medlemsstatene skal innen 6. mai 2018 vedta og kunngjøre de lover og forskrifter som er nødvendige for å etterkomme dette direktiv. De skal umiddelbart oversende Kommisjonen teksten til disse bestemmelsene. De skal anvende disse bestemmelsene fra 6. mai 2018.

    Disse bestemmelsene skal, når de vedtas av medlemsstatene, inneholde en henvisning til dette direktiv, eller det skal vises til direktivet når de kunngjøres. Nærmere bestemmelser om henvisningen skal fastsettes av medlemsstatene.

  • 2. Som unntak fra nr. 1 kan en medlemsstat fastsette at automatiserte behandlingssystemer som er innført før 6. mai 2016, unntaksvis og når det er uforholdsmessig vanskelig, skal bringes i samsvar med artikkel 25 nr. 1 innen 6. mai 2023.

  • 3. Som unntak fra nr. 1 og 2 kan en medlemsstat unntaksvis bringe et automatisert behandlingssystem som nevnt i nr. 2 i samsvar med artikkel 25 nr. 1 i løpet av en bestemt frist, etter fristen i nr. 2, dersom det ellers ville oppstå alvorlige problemer med driften av det bestemte automatiserte behandlingssystemet. Medlemsstaten skal underrette Kommisjonen om grunnene til de alvorlige problemene, og grunnene til den angitte fristen for å bringe det bestemte automatiserte behandlingssystemet i samsvar med artikkel 25 nr. 1. Den angitte fristen skal ikke under noen omstendighet være senere enn 6. mai 2026.

  • 4. Medlemsstatene skal oversende Kommisjonen teksten til de viktigste internrettslige bestemmelser som de vedtar på det område dette direktiv omhandler.

Artikkel 64

Ikrafttredelse

Dette direktiv trer i kraft dagen etter at det er kunngjort i Den europeiske unions tidende.

Artikkel 65

Adressater

Dette direktiv er rettet til medlemsstatene.

Utferdiget i Brussel, 27. april 2016.

For Europaparlamentet

M. Schulz

President

For Rådet

J.A. Hennis-Plasschaert

Formann

Fotnoter

1.

EUT C 391 av 18.12.2012, s. 127.

2.

Europaparlamentets holdning av 12. mars 2014 (ennå ikke offentliggjort i EUT) og Rådets holdning ved første behandling av 8. april 2016 (ennå ikke offentliggjort i EUT). Europaparlamentets holdning av 14. april 2016.

3.

Europaparlaments- og rådsdirektiv 95/46/EF av 24. oktober 1995 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (EFT L 281 av 23.11.1995, s. 31).

4.

Rådets rammebeslutning 2008/977/JIS av 27. november 2008 om vern av personopplysninger som behandles innenfor rammen av politisamarbeid og strafferettslig samarbeid (EUT L 350 av 30.12.2008, s. 60).

5.

Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning).

6.

Europaparlaments og rådsforordning (EF) nr. 45/2001 av 18. desember 2000 om personvern i forbindelse med behandling av personopplysninger i Fellesskapets institusjoner og organer og om fri utveksling av slike opplysninger (EFT L 8 av 12.1.2001, s. 1).

7.

Europaparlaments- og rådsdirektiv 2011/24/EU av 9. mars 2011 om anvendelse av pasientrettigheter i forbindelse med helsetjenester over landegrensene (EUT L 88 av 4.4.2011, s. 45).

8.

Rådets felles holdning 2005/69/JIS av 24. januar 2005 om utveksling av visse opplysninger med Interpol (EUT L 27 av 29.1.2005, s. 61).

9.

Rådsbeslutning 2007/533/JIS av 12. juni 2007 om opprettelse, drift og bruk av annen generasjon av Schengen-informasjonssystemet (SIS II) (EUT L 205 av 7.8.2007, s. 63).

10.

Rådsdirektiv 77/249/EØF av 22. mars 1977 med henblikk på å lette den faktiske gjennomføring av advokaters adgang til å yte tjenester (EFT L 78 av 26.3.1977, s. 17).

11.

Europaparlaments- og rådsforordning (EU) nr. 182/2011 av 16. februar 2011 om fastsettelse av allmenne regler og prinsipper for medlemsstatenes kontroll med Kommisjonens utøvelse av sin gjennomføringsmyndighet (EUT L 55 av 28.2.2011, s. 13).

12.

Rådsbeslutning 2008/615/JIS av 23. juni 2008 om opptrapping av samarbeidet over landegrensene, særlig med sikte på å bekjempe terrorisme og grensekryssende kriminalitet (EUT L 210 av 6.8.2008, s. 1)

13.

Rådets rettsakt av 29. mai 2000 om opprettelse i samsvar med artikkel 34 i traktaten om Den europeiske union av konvensjonen om gjensidig bistand i straffesaker mellom medlemsstatene i Den europeiske union (EFT C 197 av 12.7.2000, s. 1)

14.

Europaparlaments- og rådsdirektiv 2011/93/EU av 13. desember 2011 om bekjempelse av seksuelt misbruk av barn, seksuell utnytting av barn og barnepornografi, og om erstatning av Rådets rammebeslutning 2004/68/JIS (EUT L 335 av 17.12.2011, s. 1)

15.

EFT L 176 av 10.7.1999, s. 36.

16.

EUT L 53 av 27.2.2008, s. 52.

17.

EUT L 160 av 18.6.2011, s. 21.

18.

EUT C 192 av 30.6.2012, s. 7.