2 Europaparlaments- og rådsdirektiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger

EUROPAPARLAMENTET OG RÅDET FOR DEN EUROPEISKE UNION HAR -

under henvisning til traktaten om opprettelse av Det europeiske fellesskap, særlig artikkel 100 A,

under henvisning til forslag fra Kommisjonen, 1

under henvisning til uttalelse fra Den økonomiske og sosiale komité, 2

etter framgangsmåten fastsatt i traktatens artikkel 189 B, 3og

ut fra følgende betraktninger:

1. Fellesskapets mål nedfelt i traktaten, som endret ved traktaten om Den europeiske union, er å skape en stadig nærmere sammenslutning mellom de europeiske folk, å fremme nærmere forbindelser mellom de stater Fellesskapet forener, å sikre økonomisk og sosial framgang gjennom felles handling ved å fjerne skrankene som deler opp Europa, å virke for en stadig bedring av sine folks levevilkår, å bevare og styrke fred og frihet samt fremme demokratiet i samsvar med de grunnleggende rettigheter som er anerkjent i medlemsstatenes forfatning og lover og i den europeiske konvensjon om beskyttelse av menneskerettighetene og de grunnleggende friheter.

2. Databehandlingssystemer står i menneskets tjeneste. De må respektere fysiske personers grunnleggende rettigheter og friheter, uten hensyn til statsborgerskap eller bosted, særlig retten til privatlivets fred, samt bidra til økonomisk og sosial framgang, fremme handel og det enkelte menneskes velferd.

3. Det indre markeds opprettelse og virkemåte, som i samsvar med traktatens artikkel 7 A innebærer fritt varebytte og fri bevegelighet for personer, tjenester og kapital, forutsetter ikke bare at personopplysninger kan overføres fritt fra en medlemsstat til en annen, men også at det enkelte menneskes grunnleggende rettigheter vernes.

4. Behandling av personopplysninger forekommer stadig oftere på de ulike områdene av den økonomiske og sosiale virksomhet i Fellesskapet. Utviklingen innen informasjonsteknologien gjør det betydelig lettere å behandle og utveksle slike opplysninger.

5. Den økonomiske og sosiale integrasjon som følger av det indre markeds opprettelse og virkemåte i henhold til traktatens artikkel 7 A, vil nødvendigvis føre til en sterk økning i strømmen av personopplysninger over landegrensene mellom alle aktører i medlemsstatenes økonomiske og sosiale virksomhet, både i privat og offentlig sektor. Utvekslingen av personopplysninger mellom foretak i ulike medlemsstater vil øke i omfang. Medlemsstatenes myndigheter vil i henhold til fellesskapsretten bli oppfordret til å samarbeide og utveksle personopplysninger for å kunne ivareta sine plikter eller utføre oppgaver på vegne av en myndighet i en annen medlemsstat innenfor det området uten indre grenser som det indre marked utgjør.

6. En styrking av vitenskapelig og teknisk samarbeid og en samordnet innføring av nye telekommunikasjonsnett i Fellesskapet gjør det nødvendig og lettere å overføre personopplysninger over landegrensene.

7. Det ulike vernenivå for personers rettigheter og friheter i medlemsstatene, særlig retten til privatlivets fred, i forbindelse med behandling av personopplysninger kan hindre overføring av slike opplysninger fra en medlemsstats territorium til en annens. Det ulike vernenivå kan dermed hindre utøvelse av flere former for økonomisk virksomhet på fellesskapsplan, vri konkurransen og hindre myndighetene i å utføre de oppgaver de er pålagt i henhold til fellesskapsretten. Det ulike vernenivå skyldes de mange ulikhetene i nasjonale lover og forskrifter.

8. For at hindrene for overføring av personopplysninger skal kunne fjernes, må vernenivået for personers rettigheter og friheter i forbindelse med behandling av disse opplysningene være ensartet i alle medlemsstatene. Dette målet er av grunnleggende betydning for det indre marked, men kan ikke nås av medlemsstatene alene, særlig på grunn av omfanget av de nåværende ulikhetene mellom gjeldende nasjonale lover på området og fordi det er nødvendig å samordne medlemsstatenes lovgivning slik at utvekslingen av personopplysninger over landegrensene blir lovregulert på en samordnet måte i samsvar med det indre markeds mål som fastsatt i traktatens artikkel 7 A. Det er derfor nødvendig med et fellesskapstiltak for å oppnå tilnærming mellom lovgivningene.

9. Med den ensartede beskyttelse som vil følge av tilnærmingen av de nasjonale lovgivninger, vil medlemsstatene ikke lenger kunne hindre fri utveksling av personopplysninger seg imellom under henvisning til vern av personers rettigheter og friheter, særlig retten til privatlivets fred. Medlemsstatene vil få et spillerom som næringslivet og partene i arbeidslivet også kan benytte i forbindelse med gjennomføring av direktivet. Medlemsstatene vil dermed kunne fastsette generelle vilkår for lovlig behandling av opplysningene i sin nasjonale lovgivning. Når de gjør dette, skal medlemsstatene søke å bedre den beskyttelsen som deres nåværende lovgivning gir. Innenfor spillerommets grenser og i samsvar med fellesskapsretten kan det oppstå ulikheter ved gjennomføring av direktivet, og det kan få følger for utvekslingen av opplysninger så vel innenfor en medlemsstat som innenfor Fellesskapet.

10. De nasjonale lovgivninger om behandling av personopplysninger har som mål å verne de grunnleggende rettigheter og friheter, særlig retten til privatlivets fred, som er anerkjent både i artikkel 8 i Den europeiske konvensjon om beskyttelse av menneskerettighetene og de grunnleggende friheter og i fellesskapsrettens generelle prinsipper. Derfor må tilnærmingen av lovgivningene ikke føre til en svekkelse av den beskyttelsen de gir, men tvert imot ha som mål å sikre et høyt vernenivå i Fellesskapet.

11. Prinsippene om vern av personers rettigheter og friheter, særlig retten til privatlivets fred, som omhandles i dette direktiv, presiserer og utvider prinsippene fastsatt i Europarådets konvensjon av 28. januar 1981 om personvern i forbindelse med elektronisk databehandling av personopplysninger.

12. Prinsippene om vern må få anvendelse på all behandling av personopplysninger som utføres av en person hvis virksomhet omfattes av fellesskapsrettens virkeområde. Behandling av opplysninger som utføres av en fysisk person i forbindelse med rent personlige eller familiemessige aktiviteter, som f.eks. korrespondanse eller føring av en adressebok, bør ikke være omfattet.

13. Virksomheten nevnt i avdeling V og VI i traktaten om Den europeiske union med hensyn til offentlig sikkerhet, forsvar, statens sikkerhet og statens virksomhet på det strafferettslige området omfattes ikke av fellesskapsrettens virkeområde, med forbehold for de forpliktelser som påhviler medlemsstatene i henhold til traktatens artikkel 56 nr. 2, artikkel 57 og artikkel 100 A. Behandling av personopplysninger som er nødvendig for å verne statens økonomiske interesser, omfattes ikke av dette direktivs virkeområde når slik behandling er forbundet med spørsmål om rikets sikkerhet.

14. På bakgrunn av den betydelige utvikling som skjer i informasjonssamfunnet med hensyn til teknikker for å registrere, overføre, bearbeide, lagre, oppbevare og videresende opplysninger om fysiske personer gjennom lyd og bilde, bør dette direktiv få anvendelse på behandling av slike opplysninger.

15. Behandling av slike opplysninger omfattes av dette direktiv bare når den utføres elektronisk eller dersom opplysningene som behandles, inngår i eller skal inngå i et register som er oppbygd etter bestemte kriterier for personene for å lette tilgangen til de aktuelle personopplysningene.

16. Behandling av lyd- og bildedata, som for eksempel ved video-overvåking, omfattes ikke av dette direktivs virkeområde når den iverksettes med henblikk på offentlig sikkerhet, forsvar, statens sikkerhet eller statens virksomhet på det strafferettslige området eller annen virksomhet som ikke omfattes av fellesskapsrettens virkeområde.

17. Når det gjelder behandling av lyd- og bildedata som utføres i journalistisk øyemed eller i forbindelse med litterær eller kunstnerisk virksomhet, særlig på det audiovisuelle området, får direktivets prinsipper begrenset anvendelse i henhold til bestemmelsene fastsatt i artikkel 9.

18. For å forhindre at personer unndras den beskyttelse de har krav på i henhold til dette direktiv, må enhver behandling av personopplysninger i Fellesskapet utføres i samsvar med lovgivningen i en av medlemsstatene. I denne sammenheng bør behandling av opplysninger underlegges lovgivningen i den stat der den behandlingsansvarlige er etablert under hvis myndighet behandlingen utføres.

19. Etablering på en medlemsstats territorium forutsetter at det faktisk utøves en virksomhet innenfor en fast struktur. En slik strukturs rettslige form, enten det dreier seg om bare en filial eller et datterforetak med status som juridisk person, er ikke av avgjørende betydning i denne forbindelse. En behandlingsansvarlig som er etablert på flere medlemsstaters territorium, særlig gjennom datterforetak, må særlig for å unngå omgåelse av nasjonale regler, sørge for at hver enkelt struktur oppfyller de krav i den gjeldende nasjonale lovgivning som får anvendelse på virksomheten.

20. Den omstendighet at behandlingen av opplysninger utføres av en behandlingsansvarlig som er etablert i en tredjestat, må ikke være til hinder for at personer får den beskyttelse som er fastsatt i dette direktiv. I så fall bør behandlingen av opplysninger underlegges lovgivningen i den medlemsstat der hjelpemidlene befinner seg som benyttes ved behandlingen, og det bør stilles garanti for at de rettigheter og forpliktelser som er fastsatt i dette direktiv, faktisk oppfylles.

21. Dette direktiv berører ikke territorialbestemmelsene som gjelder på det strafferettslige området.

22. Medlemsstatene skal i sin lovgivning eller når de iverksetter tiltak i henhold til dette direktiv, fastsette nærmere hvilke alminnelige vilkår som må oppfylles for at behandlingen av opplysninger skal være lovlig. Særlig artikkel 5 sammenholdt med artikkel 7 og 8 gir medlemsstatene mulighet til uavhengig av alminnelige bestemmelser å fastsette særlige vilkår for behandling av opplysninger på bestemte områder og for de ulike kategorier opplysninger som er nevnt i artikkel 8.

23. Medlemsstatene har myndighet til å sørge for gjennomføring av personvernet så vel gjennom en generell lov om personvern i forbindelse med behandling av personopplysninger som gjennom særlover f.eks. for statistikkontorer.

24. Dette direktiv berører ikke lovgivning om beskyttelse av juridiske personer i forbindelse med behandling av personopplysninger som angår dem.

25. Prinsippene om beskyttelse må på den ene side avspeile seg i de forpliktelser som påhviler personer, offentlige myndigheter, foretak, byråer eller andre organer som behandler opplysninger, særlig med hensyn til opplysningenes kvalitet, teknisk sikkerhet, melding til tilsynsmyndigheten og under hvilke omstendigheter behandlingen kan utføres, og på den annen side i den rett personer hvis personopplysninger blir behandlet, har til å bli underrettet om behandlingen, til å få innsyn i opplysningene, til å kreve at opplysningene blir rettet, og også til under visse omstendigheter å motsette seg behandlingen.

26. Prinsippene om beskyttelse må gjelde enhver opplysning om en identifisert eller identifiserbar person. Når det skal avgjøres om en person er identifiserbar, bør alle hjelpemidler vurderes som det er rimelig å ta i bruk for å identifisere vedkommende, enten av den behandlingsansvarlige eller av en annen person. Prinsippene om beskyttelse får ikke anvendelse på opplysninger som er gjort anonyme på en slik måte at den registrerte ikke lenger kan identifiseres. Regler for anvendelse i henhold til artikkel 27 kan være et nyttig redskap for å angi på hvilke måter opplysningene kan gjøres anonyme og oppbevares i en slik form at den registrerte ikke lenger kan identifiseres.

27. Personvernet må gjelde for elektronisk så vel som for manuell behandling av opplysninger. Omfanget av vernet må i praksis ikke være avhengig av de teknikker som brukes, ellers ville det være stor fare for omgåelse. Med hensyn til manuell behandling omfatter dette direktiv likevel bare registre, og ikke saksmapper som ikke er systematisk oppbygd. Særlig må innholdet i et register være systematisk oppbygd etter bestemte kriterier for personer for å lette tilgangen til personopplysningene. I samsvar med definisjonen i artikkel 2 bokstav c) kan de ulike kriteriene som gjør det mulig å bestemme de enkelte delene av en systematisk oppbygd samling av personopplysninger, og de ulike kriteriene for tilgang til en slik samling fastsettes av hver enkelt medlemsstat. Saksmapper eller samlinger av saksmapper samt deres forsider som ikke er systematisk oppbygd etter bestemte kriterier, skal ikke under noen omstendighet omfattes av dette direktivs virkeområde.

28. All behandling av personopplysninger må være lovlig og rettferdig overfor de berørte personer. Opplysningene må særlig være adekvate, relevante og ikke for omfattende i forhold til de formål de behandles for. Disse formålene må være klare og berettigede og må fastsettes når opplysningene samles inn. Formål for behandlingen som fastsettes etter innsamlingen, må ikke være uforenlige med formålene slik de opprinnelig ble fastsatt.

29. Senere behandling av personopplysninger for historiske, statistiske eller vitenskapelige formål anses generelt ikke som uforenlig med de formål opplysningene tidligere er innsamlet for, forutsatt at medlemsstatene gir de nødvendige garantier. Disse garantiene skal særlig hindre at opplysningene blir brukt til støtte for tiltak eller beslutninger som gjelder en bestemt person.

30. For å være lovlig må behandlingen av personopplysninger dessuten utføres med den registrertes samtykke eller være nødvendig for å inngå eller oppfylle en kontrakt som er bindende for den registrerte, eller være begrunnet i et lovfestet krav, i utførelsen av en oppgave i offentlighetens interesse eller i utøvelsen av offentlig myndighet eller i en persons berettigede interesse, med mindre den registrertes interesse eller rettigheter og friheter går foran. For å opprettholde likevekt mellom de berørte interesser og samtidig sikre en effektiv konkurranse kan medlemsstatene særlig fastsette vilkår for bruk og videreformidling til tredjemann av personopplysninger i forbindelse med vanlig løpende forretningsvirksomhet i foretak og andre organer. Medlemsstatene kan videre fastsette vilkår for formidling av personopplysninger til tredjemann i forbindelse med markedsføring utført i forretningsøyemed eller av ideelle organisasjoner eller andre sammenslutninger eller stiftelser, f.eks. av politisk art, med forbehold for de bestemmelser som gir den registrerte mulighet til uten begrunnelse og kostnadsfritt å motsette seg behandling av opplysninger som angår vedkommende.

31. Behandling av personopplysninger anses også som lovlig når den har som formål å beskytte en interesse av vesentlig betydning for den registrertes liv.

32. Det fastsettes i nasjonal lovgivning om den behandlingsansvarlige som utfører en oppgave i offentlighetens interesse eller under utøvelse av offentlig myndighet, må være et offentlig forvaltningsorgan eller et annet offentlig eller privat rettssubjekt, f.eks. et profesjonsorgan.

33. Opplysninger som er av en slik art at de kan krenke grunnleggende friheter eller privatlivets fred, bør ikke behandles uten den registrertes uttrykkelige samtykke. Det må likevel uttrykkelig gis mulighet for unntak fra dette forbudet for å imøtekomme bestemte behov, særlig når opplysningene behandles for visse helsemessige formål av personer underlagt taushetsplikt eller i forbindelse med visse sammenslutningers eller stiftelsers legitime virksomhet, som har som formål å sikre utøvelse av grunnleggende friheter.

34. Når hensynet til viktige samfunnsinteresser gjør det berettiget, må medlemsstatene også kunne fravike forbudet mot å behandle kategorier av følsomme opplysninger på områder som folkehelse og trygd - særlig for å sikre kvaliteten og kostnadseffektiviteten med hensyn til de prosedyrer som benyttes i forbindelse med krav om ytelser og tjenester innenfor syketrygdeordningen - vitenskapelig forskning og offentlig statistikk. Det påhviler likevel medlemsstatene å sørge for nødvendige og særskilte garantier for vern av den enkelte persons grunnleggende rettigheter og privatlivets fred.

35. Av hensyn til viktige samfunnsinteresser utfører dessuten offentlige myndigheter behandling av personopplysninger for offentlig anerkjente religiøse sammenslutninger for å nå mål fastsatt i statsforfatningsretten eller i folkeretten.

36. Dersom det i enkelte medlemsstater som et ledd i det demokratiske systems virkemåte er nødvendig at politiske partier i forbindelse med avholdelse av valg samler inn opplysninger om folks politiske oppfatninger, kan behandling av slike opplysninger tillates ut fra hensynet til viktige samfunnsmessige interesser, forutsatt at det fastsettes bestemmelser om nødvendige garantier.

37. Det bør fastsettes unntak fra visse bestemmelser i dette direktiv for behandling av personopplysninger i journalistisk øyemed eller i forbindelse med litterær eller kunstnerisk virksomhet, særlig på det audiovisuelle området, når dette er nødvendig for å bringe personens grunnleggende rettigheter i samsvar med ytringsfriheten og særlig retten til å motta og gi opplysninger som fastsatt i artikkel 10 i Den europeiske konvensjon om beskyttelse av menneskerettighetene og de grunnleggende friheter. Medlemsstatene bør derfor med henblikk på avveining mellom de grunnleggende rettigheter fastsette nødvendige unntak og begrensninger med hensyn til generelle tiltak i forbindelse med lovligheten av behandling av opplysninger, tiltak i forbindelse med overføring av opplysninger til tredjestater samt tilsynsmyndighetens fullmakter. Dette bør likevel ikke føre til at medlemsstatene fastsetter unntak fra tiltak som skal garantere sikkerheten ved behandlingen. Videre bør i det minste den tilsynsmyndighet som har ansvar for dette området, gis visse etterfølgende fullmakter til f.eks. regelmessig å utgi en rapport eller bringe saker inn for rettsmyndighetene.

38. En rettferdig behandling av opplysninger forutsetter at den registrerte kan få kjennskap til at en slik behandling eksisterer og, når det samles inn opplysninger fra vedkommende, kan få nøyaktige og fullstendige opplysninger om de nærmere omstendighetene ved innsamlingen.

39. Visse typer behandling gjelder opplysninger som den behandlingsansvarlige ikke har samlet inn direkte fra den registrerte. Videre kan opplysninger rettmessig videreformidles til tredjemann, selv om dette ikke var forutsatt da opplysningene ble samlet inn fra den registrerte. I alle disse tilfellene bør den registrerte underrettes når opplysningene blir registrert, eller senest når opplysningene for første gang videreformidles til tredjemann.

40. Det er likevel ikke nødvendig å pålegge en slik plikt dersom den registrerte allerede er underrettet. Det foreligger heller ingen slik plikt dersom registreringen eller videreformidlingen er fastsatt uttrykkelig i lov, eller dersom det viser seg umulig eller uforholdsmessig vanskelig å underrette den registrerte, noe som kan være tilfellet ved behandling for historiske, statistiske eller vitenskapelige formål. I denne forbindelse kan det tas hensyn til antall registrerte, opplysningenes alder samt hvilke kompensatoriske tiltak som kan treffes.

41. Alle må ha rett til innsyn i opplysninger om dem selv som behandles, for å forvisse seg om at opplysningene er nøyaktige, og at behandlingen er lovlig. Av samme årsak må enhver registrert dessuten ha rett til å få opplyst hvilken logikk som ligger bak den elektroniske behandlingen av opplysningene om vedkommende, i det minste i forbindelse med edb-baserte beslutninger som nevnt i artikkel 15 nr. 1. Denne rett må ikke krenke forretningshemmeligheter eller den intellektuelle eiendomsrett, særlig opphavsretten som beskytter programvaren. Dette må likevel ikke føre til at den registrerte nektes alle opplysninger.

42. Av hensyn til den registrertes interesser eller for å verne andres rettigheter og friheter kan medlemsstatene begrense retten til innsyn og underretning. De kan f.eks. fastsette at innsyn i medisinske opplysninger bare kan oppnås gjennom en person som har sitt yrke innenfor helsevesenet.

43. Medlemsstatene kan også begrense retten til innsyn og underretning samt visse av den behandlingsansvarliges forpliktelser, i den grad det er nødvendig av hensyn til f.eks. statens sikkerhet, forsvaret, offentlig sikkerhet eller en medlemsstats eller Unionens vesentlige økonomiske eller finansielle interesser samt etterforskning eller rettslig forfølging i straffesaker eller brudd på yrkesetiske regler i lovregulerte yrker. Listen over unntak og begrensninger bør omfatte nødvendige kontroll-, tilsyns- eller reguleringsoppgaver på de tre sistnevnte områdene som gjelder offentlig sikkerhet, økonomiske eller finansielle interesser og straffeforfølging. Oppregningen av oppgaver på disse tre områdene berører ikke berettigelsen av unntak og begrensninger av hensyn til statens sikkerhet og forsvaret.

44. Medlemsstatene kan i henhold til fellesskapsrettens bestemmelser bli nødt til å fravike bestemmelsene i dette direktiv om rett til innsyn, underretning av personer og opplysningenes kvalitet for å ivareta noen av de ovennevnte målene.

45. I tilfeller der personopplysninger kan behandles lovlig i offentlighetens interesse, av hensyn til utøvelse av offentlig myndighet eller i en persons berettigede interesse, bør enhver registrert likevel, dersom vedkommende ut fra sin særskilte situasjon har tungtveiende og berettigede grunner til det, ha rett til å motsette seg at opplysninger om vedkommende behandles. Medlemsstatene kan likevel fastsette nasjonale bestemmelser om det motsatte.

46. Vern av de registrertes rettigheter og friheter i forbindelse med behandling av personopplysninger forutsetter hensiktsmessige tekniske og organisatoriske tiltak både under utformingen av behandlingssystemet og under iverksettingen av selve behandlingen, særlig for å ivareta sikkerheten og dermed forhindre enhver form for uberettiget behandling. Det påhviler medlemsstatene å sørge for at de behandlingsansvarlige retter seg etter disse tiltakene. Tiltakene skal, når det tas hensyn til det nåværende utviklingstrinn i teknikken og kostnadene ved å iverksette dem, garantere et tilstrekkelig sikkerhetsnivå i forhold til farene ved behandlingen og arten av opplysninger som skal beskyttes.

47. Dersom en melding som inneholder personopplysninger, oversendes ved hjelp av en telekommunikasjonstjeneste eller en elektronisk posttjeneste som har som eneste formål å oversende slike meldinger, er det den person meldingen opprinnelig kom fra, og ikke den person som tilbyr tjenesten, som normalt vil bli ansett som behandlingsansvarlig for personopplysningene meldingen inneholder. De personer som tilbyr disse tjenestene, vil likevel normalt bli ansett som behandlingsansvarlige for utfyllende personopplysninger som er nødvendige for å utføre tjenesten.

48. Meldingen til tilsynsmyndigheten har som mål å gjøre behandlingens formål og viktigste særtrekk kjent for offentligheten, slik at det kan kontrolleres om behandlingen er i samsvar med nasjonale bestemmelser som vedtas i henhold til dette direktiv.

49. For å unngå unødige administrative formaliteter kan medlemsstatene fastsette fritak fra eller lempninger i meldeplikten i tilfeller der det ikke er sannsynlig at behandlingen av opplysninger vil kunne krenke registrertes rettigheter og friheter, forutsatt at behandlingen er i samsvar med tiltak truffet av en medlemsstat for å fastsette begrensninger for slik behandling. Medlemsstatene kan også fastsette fritak eller lempninger når en person utpekt av den behandlingsansvarlige fastslår at det ikke er sannsynlig at behandlingen vil kunne krenke de registrertes rettigheter eller friheter. Den person som har ansvar for datavern, skal uansett om vedkommende er tilsatt hos den behandlingsansvarlige eller ikke, kunne utøve sitt verv i full uavhengighet.

50. Det kan fastsettes fritak eller lempninger når behandlingen har som eneste formål å føre et register som i henhold til nasjonal lovgivning er utarbeidet for å stille opplysninger til rådighet for offentligheten eller for personer som kan godtgjøre en berettiget interesse i det.

51. Lempninger i eller fritak fra meldeplikten skal likevel ikke frita den behandlingsansvarlige for de øvrige forpliktelser som følger av dette direktiv.

52. I den forbindelse skal etterfølgende kontroll fra vedkommende myndighet vanligvis anses som tilstrekkelig.

53. Visse typer behandling vil likevel på grunn av sin art, omfang eller formål kunne innebære en særlig fare for de registrertes rettigheter og friheter, f.eks. behandling som har som formål å utelukke personer fra å utøve en rett, motta en ytelse eller oppnå en kontrakt, eller som innebærer bruk av ny teknologi. Medlemsstatene kan, dersom de ønsker det, presisere denne fare i sin lovgivning.

54. Sett i forhold til alle de typer behandling som utføres i samfunnet, skulle det antall typer behandling som innebærer en særlig fare, være svært begrenset. Medlemsstatene skal fastsette bestemmelser om at tilsynsmyndigheten, eller den person som har ansvar for datavern, i samarbeid med tilsynsmyndigheten, skal foreta en kontroll av slike typer behandling før de utføres. Etter at kontrollen er utført, og i samsvar med nasjonal lovgivning kan tilsynsmyndigheten avgi uttalelse om eller gi tillatelse til behandlingen. En slik kontroll kan også foretas i forbindelse med utarbeidingen av et lovgivningsmessig tiltak som vedtas av det nasjonale parlament, eller av et annet tiltak med hjemmel i et slikt lovgivningsmessig tiltak som fastsetter behandlingens art og de nødvendige garantier.

55. Dersom den behandlingsansvarlige krenker en registrerts rettigheter, skal det fastsettes en klageadgang i nasjonal lovgivning. Personer som lider skade som følge av ulovlig behandling, skal ha rett til erstatning fra den behandlingsansvarlige, som kan fritas for erstatningsansvar dersom det kan bevises at vedkommende ikke er skyld i skaden, særlig i tilfeller der det kan påvises feil hos den registrerte eller i tilfelle force majeure. Det skal iverksettes sanksjoner overfor ethvert privat eller offentlig rettssubjekt som ikke overholder de nasjonale bestemmelser som vedtas i henhold til dette direktiv.

56. Strømmen av personopplysninger over landegrensene er nødvendig for utviklingen av den internasjonale handel. Det personvern som ved dette direktiv sikres innenfor Fellesskapet, hindrer ikke overføring av personopplysninger til tredjestater som sørger for et tilstrekkelig vernenivå. Vurderingen av om vernenivået i en tredjestat er tilstrekkelig, skal foretas på bakgrunn av alle de forhold som har innflytelse på overføringen, eller på en type overføringer.

57. Dersom en tredjestat ikke sørger for et tilstrekkelig vernenivå, skal overføring av personopplysninger til denne staten derimot forbys.

58. Det bør likevel kunne fastsettes unntak fra dette forbudet under visse omstendigheter der den registrerte har gitt sitt samtykke, der overføringen er nødvendig i forbindelse med en kontrakt eller en rettssak, der vern av viktige samfunnsinteresser krever det, f.eks. ved internasjonal overføring av opplysninger mellom skatte- eller tollmyndigheter eller mellom kompetente trygdemyndigheter, eller der overføringen skjer fra et register som er opprettet ved lov, og som allmennheten eller personer som har en berettiget interesse i det, skal kunne konsultere. I dette tilfellet bør slik overføring ikke omfatte alle opplysningene eller hele kategorier opplysninger i registeret. Når registeret er beregnet på å bli konsultert av personer som har en berettiget interesse i det, bør overføring skje bare på anmodning fra disse personene, eller dersom de selv er mottakere.

59. Det kan treffes særlige tiltak for å avhjelpe et utilstrekkelig vernenivå i en tredjestat i tilfeller der den behandlingsansvarlige stiller nødvendige garantier. Det skal videre fastsettes framgangsmåter for forhandlinger mellom Fellesskapet og slike tredjestater.

60. Overføring til tredjestater må under enhver omstendighet finne sted bare under full overholdelse av de bestemmelsene medlemsstatene vedtar i henhold til dette direktiv, særlig artikkel 8.

61. Medlemsstatene og Kommisjonen skal innenfor sine respektive myndighetsområder oppfordre de berørte yrkesmiljøer til å utarbeide regler for hvordan dette direktiv skal anvendes, slik at gjennomføringen av direktivet fremmes, idet det tas hensyn til særtrekk ved behandling av opplysninger på visse områder, og under overholdelse av de nasjonale bestemmelser som er vedtatt for gjennomføringen.

62. Opprettelsen av tilsynsmyndigheter i medlemsstatene som utøver sine funksjoner i full uavhengighet, er av avgjørende betydning for personvernet i forbindelse med behandling av personopplysninger.

63. Disse myndighetene må ha de nødvendige virkemidler for å utføre sine oppgaver, herunder myndighet til å foreta undersøkelser og til å gripe inn, særlig i forbindelse med klager, samt myndighet til å opptre som part i rettssaker. Myndighetene skal bidra til sikre innsyn i behandling av opplysninger i den medlemsstat den er underlagt.

64. Tilsynsmyndighetene i de ulike medlemsstater oppfordres til å yte hverandre bistand i gjennomføringen av sine oppgaver for å sikre at reglene for beskyttelse overholdes overalt i Den europeiske union.

65. Det må på fellesskapsplan nedsettes en arbeidsgruppe for personvern i forbindelse med behandling av personopplysninger som skal utøve sine funksjoner i full uavhengighet. I kraft av sin uavhengighet skal den gi råd til Kommisjonen og særlig bidra til en ensartet anvendelse av de nasjonale regler som vedtas i henhold til dette direktiv.

66. Med hensyn til overføring av opplysninger til tredjestater er det i henhold til dette direktiv nødvendig å tillegge Kommisjonen gjennomføringsmyndighet og å innføre en framgangsmåte etter reglene fastsatt i rådsbeslutning 87/373/EØF. 4

67. Europaparlamentet, Rådet og Kommisjonen ble 20. desember 1994 enige om en modus vivendi for gjennomføringstiltakene for rettsakter vedtatt etter framgangsmåten fastsatt i traktatens artikkel 189 B.

68. Prinsippene fastsatt i dette direktiv for vern av personers rettigheter og friheter, særlig retten til privatlivets fred, i forbindelse med behandling av personopplysninger kan særlig på visse områder utfylles eller presiseres i særregler som er i samsvar med prinsippene.

69. Medlemsstatene bør gis en frist på høyst tre år fra datoen for ikrafttredelsen av de nasjonale tiltak for gjennomføring av dette direktiv, slik at de gradvis skal kunne anvende de nye nasjonale bestemmelsene på all behandling av opplysninger som allerede pågår. For å oppnå en kostnadseffektiv gjennomføring av bestemmelsene innrømmes medlemsstatene en ytterligere periode som utløper tolv år etter datoen for vedtakelsen av dette direktiv, for å sikre at eksisterende manuelle registre bringes i samsvar med visse av direktivets bestemmelser. Når opplysningene i disse registrene behandles manuelt i den utvidede overgangsperioden, må registrene være brakt i samsvar med bestemmelsene på det tidspunkt denne behandling utføres.

70. Det er ikke nødvendig at den registrerte gir sitt samtykke på nytt for at den behandlingsansvarlige etter ikrafttredelsen av de nasjonale bestemmelsene vedtatt i henhold til dette direktiv skal kunne fortsette en behandling av følsomme opplysninger som er nødvendig for å oppfylle en kontrakt inngått på grunnlag av fritt og informert samtykke før disse bestemmelsene trådte i kraft.

71. Dette direktiv er ikke til hinder for at en medlemsstat fastsetter regler for markedsføringsvirksomhet overfor forbrukere som er bosatt på dens territorium, såfremt slike regler ikke berører personvernet i forbindelse med behandling av personopplysninger.

72. Dette direktiv gir mulighet for at det ved gjennomføring av direktivets bestemmelser kan tas hensyn til prinsippet om innsyn i offentlige dokumenter -

VEDTATT DETTE DIREKTIV:

Kapittel I

Alminnelige bestemmelser

Artikkel 1

Direktivets formål

1. Medlemsstatene skal i samsvar med dette direktiv sikre vern av fysiske personers grunnleggende rettigheter og friheter, særlig retten til privatlivets fred, ved behandling av personopplysninger.

2. Medlemsstatene skal ikke innskrenke eller forby fri utveksling av personopplysninger mellom medlemsstater med begrunnelse i det vern som er fastsatt i nr. 1.

Artikkel 2

Definisjoner

I dette direktiv menes med:

1. «personopplysning»: enhver opplysning om en identifisert eller identifiserbar person («den registrerte»); en identifiserbar person er en som direkte eller indirekte kan identifiseres, særlig ved hjelp av et identifikasjonsnummer eller ett eller flere elementer som er særegne for personens fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sosiale identitet,

2. «behandling av personopplysninger» («behandling»): enhver operasjon eller rekke av operasjoner som med eller uten elektroniske hjelpemidler utføres i forbindelse med personopplysninger, for eksempel innsamling, registrering, systematisering, oppbevaring, tilpasning eller endring, gjenfinning, søking, bruk, videreformidling ved overføring, spredning eller andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, sperring, sletting eller tilintetgjøring,

3. «personregister»: enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag,

4. «den behandlingsansvarlige»: den fysiske eller juridiske person, offentlige myndighet, byrå eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal benyttes; når formålet med og hjelpemidlene ved behandlingen er fastlagt ved nasjonale lover og forskrifter eller på fellesskapsplan, kan den behandlingsansvarlige, eller de særlige kriterier for utpeking av vedkommende, fastsettes i nasjonal lovgivning eller i fellesskapsretten,

5. «databehandler»: den fysiske eller juridiske person, offentlige myndighet, byrå eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige,

6. «tredjemann»: enhver annen fysisk eller juridisk person, offentlig myndighet, byrå eller ethvert annet organ enn den registrerte, den behandlingsansvarlige, databehandleren og de personer som under den behandlingsansvarliges eller databehandlerens direkte myndighet har fullmakt til å behandle opplysningene,

7. «mottaker»: den fysiske eller juridiske person, offentlige myndighet, byrå eller ethvert annet organ som mottar opplysninger, uansett om det dreier seg om tredjemann; myndigheter som vil kunne motta opplysninger som ledd i en særskilt undersøkelse, skal ikke anses som mottakere,

8. «den registrertes samtykke»: enhver frivillig, spesifikk og informert viljesytring om at den registrerte gir sitt samtykke til at personopplysninger om vedkommende blir behandlet.

Artikkel 3

Virkeområde

1. Dette direktiv får anvendelse på behandling av personopplysninger som helt eller delvis utføres med elektroniske hjelpemidler, og på ikke-elektronisk behandling av personopplysninger som inngår i eller skal inngå i et register.

2. Dette direktiv får ikke anvendelse på behandling av personopplysninger

   • som utføres i forbindelse med utøvelse av virksomhet som ikke omfattes av fellesskapsrettens virkeområde, f.eks. den virksomhet som er fastsatt i avdeling V og VI i traktaten om Den europeiske union, og ikke under noen omstendighet på behandling som gjelder offentlig sikkerhet, forsvar, statens sikkerhet (herunder statens økonomiske interesser når behandlingen er forbundet med spørsmål om statens sikkerhet) og statens virksomhet på det strafferettslige område,

   • som utføres av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter.

Artikkel 4

Gjeldende nasjonal lovgivning

1. Medlemsstatene skal anvende de nasjonale bestemmelser de vedtar i henhold til dette direktiv, på behandling av personopplysninger

   1. som utføres i forbindelse med virksomheten i et foretak eid av den behandlingsansvarlige på medlemsstatens territorium; når den samme behandlingsansvarlige er etablert på flere medlemsstaters territorium, må vedkommende treffe nødvendige tiltak for å sikre at hvert av disse foretakene oppfyller kravene fastsatt i den nasjonale lovgivning som får anvendelse,

   2. som utføres av en behandlingsansvarlig som ikke er etablert på medlemsstatens territorium, men på et sted der den nasjonale lovgivning gjelder i henhold til folkeretten,

   3. som utføres av en behandlingsansvarlig som ikke er etablert på Fellesskapets territorium, og som med henblikk på behandling av personopplysninger benytter elektroniske eller andre hjelpemidler som befinner seg på nevnte medlemsstats territorium, med mindre disse hjelpemidlene benyttes bare med henblikk på transitt gjennom Fellesskapets territorium.

2. I tilfellene nevnt i nr. 1 bokstav c) skal den behandlingsansvarlige utpeke en representant som er etablert på nevnte medlemsstats territorium, uten at dette berører eventuelle rettslige skritt mot den behandlingsansvarlige selv.

Kapittel II

Alminnelige vilkår for lovlig behandling av personopplysninger

Artikkel 5

Medlemsstatene skal innen rammen av bestemmelsene i dette kapittel fastsette mer nøyaktig hvilke vilkår som må oppfylles for at behandling av personopplysninger skal være lovlig.

Avsnitt I

Prinsipper for opplysningenes kvalitet

Artikkel 6

1. Medlemsstatene skal fastsette bestemmelser om at personopplysninger

   1. skal behandles på rimelig og lovlig vis,

   2. skal innsamles til bestemte, uttrykkelig angitte og berettigede formål samt at senere behandling ikke skal være uforenlig med disse formålene. Senere behandling av opplysninger for historiske, statistiske eller vitenskapelige formål skal ikke anses som uforenlig med disse formålene, forutsatt at medlemsstatene gir de nødvendige garantier,

   3. skal være adekvate, relevante og ikke for omfattende i forhold til de formål de er innsamlet for og/eller senere behandles for,

   4. skal være nøyaktige og om nødvendig ajourført; alle rimelige tiltak skal treffes for å slette eller rette opplysninger som er unøyaktige eller ufullstendige i forhold til de formål de ble innsamlet for eller senere behandles for,

   5. skal oppbevares på en måte som ikke gir mulighet til å identifisere de registrerte lenger enn nødvendig for det formål opplysningene er innsamlet for eller senere behandles for. Medlemsstatene skal fastsette nødvendige garantier for personopplysninger som oppbevares lenger for historiske, statistiske eller vitenskapelige formål.

2. Den behandlingsansvarlige skal sørge for at nr. 1 overholdes.

Avsnitt II

Kriterier for lovlig behandling av opplysninger

Artikkel 7

Medlemsstatene skal fastsette bestemmelser om at behandling av personopplysninger kan utføres bare dersom

1. den registrerte har gitt sitt utvetydige samtykke, eller

2. behandlingen er nødvendig for å oppfylle en kontrakt som den registrerte er part i, eller for å iverksette tiltak på dennes anmodning før kontraktsinngåelsen, eller

3. behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som gjelder den behandlingsansvarlige, eller

4. behandlingen er nødvendig for å verne den registrertes vitale interesser, eller

5. behandlingen er nødvendig for å utføre en oppgave i offentlighetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige eller tredjemann som opplysningene er formidlet til, er blitt pålagt, eller

6. behandlingen er nødvendig for at den behandlingsansvarlige eller tredjemann som opplysningene er formidlet til, kan forfølge en berettiget interesse, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter som skal vernes i henhold til artikkel 1 nr. 1, går foran.

Avsnitt III

Særlige typer behandling

Artikkel 8

Behandling av særlige typer opplysninger

1. Medlemsstatene skal forby behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religiøs eller filosofisk overbevisning, fagforeningsmedlemskap samt behandling av opplysninger om helse og seksualliv.

2. Nr. 1 får ikke anvendelse dersom

   1. den registrerte uttrykkelig har gitt sitt samtykke til slik behandling, med mindre det i medlemsstatens lovgivning er fastsatt at forbudet nevnt i nr. 1 ikke kan oppheves ved at den registrerte gir sitt samtykke, eller

   2. behandlingen er nødvendig for å oppfylle den behandlingsansvarliges forpliktelser og rettigheter på det arbeidsrettslige område, i den grad den er tillatt i henhold til nasjonal lovgivning, som fastsetter nødvendige garantier, eller

   3. behandlingen er nødvendig for å verne den registrertes eller en annen persons vitale interesser i tilfeller der den registrerte fysisk eller juridisk ikke er i stand til å gi sitt samtykke, eller

   4. behandlingen utføres av en stiftelse, sammenslutning eller en annen ideell organisasjon med politisk, filosofisk, religiøst eller faglig formål som ledd i organisasjonens rettmessige virksomhet og med de nødvendige garantier, under forutsetning av at behandlingen utelukkende gjelder organisasjonens medlemmer eller personer som på grunn av organisasjonens formål er i regelmessig kontakt med den, og at opplysningene ikke videreformidles til tredjemann uten de registrertes samtykke, eller

   5. behandlingen gjelder opplysninger som den registrerte åpenbart har offentliggjort, eller den er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav.

3. Nr. 1 får ikke anvendelse dersom behandlingen av opplysningene er nødvendig med henblikk på forebyggende medisin, medisinsk diagnose, sykepleie eller behandling eller forvaltning av helsetjenester, og dersom opplysningene behandles av en helsearbeider som har taushetsplikt i henhold til nasjonal lovgivning eller regler fastsatt av vedkommende nasjonale myndighet, eller av en annen person med tilsvarende taushetsplikt.

4. Med forbehold for at det gis nødvendige garantier, kan medlemsstatene av hensyn til viktige samfunnsinteresser fastsette andre unntak enn dem som er fastsatt i nr. 2, enten i nasjonal lovgivning eller ved vedtak gjort av tilsynsmyndigheten.

5. Behandling av opplysninger om lovovertredelser, straffedommer eller sikkerhetstiltak kan utføres bare under kontroll av en offentlig myndighet eller dersom det gis tilstrekkelige og spesifikke garantier i henhold til nasjonal lovgivning, med forbehold for unntak som medlemsstaten kan fastsette på grunnlag av nasjonale bestemmelser som gir tilstrekkelige, spesifikke garantier. Et fullstendig register over straffedommer kan likevel føres bare under kontroll av en offentlig myndighet.

Medlemsstatene kan fastsette bestemmelser om at behandling av opplysninger om administrative sanksjoner eller dommer i sivile rettssaker også skal utføres under kontroll av en offentlig myndighet.

1. Unntak fra nr. 1 som fastsatt i nr. 4 og 5 skal meddeles Kommisjonen.

2. Medlemsstatene skal bestemme hvilke vilkår som må oppfylles for at et nasjonalt identifikasjonsnummer eller andre vanlige midler til identifikasjon kan behandles.

Artikkel 9

Behandling av personopplysninger og ytringsfriheten

For behandling av personopplysninger som utføres utelukkende i journalistisk øyemed eller i forbindelse med kunstnerisk eller litterær virksomhet, skal medlemsstatene fastsette fritak eller unntak fra bestemmelsene i dette kapittel, kapittel IV og kapittel VI i den grad de er nødvendige for å bringe retten til privatlivets fred i samsvar med reglene for ytringsfrihet.

Avsnitt IV

Opplysningsplikt overfor den registrerte

Artikkel 10

Opplysningsplikt ved innsamling av opplysninger fra den registrerte

Medlemsstatene skal fastsette bestemmelser om at den behandlingsansvarlige eller dennes representant skal gi en person som det innsamles opplysninger fra, minst følgende informasjon, med mindre vedkommende allerede er underrettet:

1. identiteten til den behandlingsansvarlige og eventuelt dennes representant,

2. formålene med den behandling opplysningene er innsamlet for,

3. all ytterligere informasjon som f.eks.

   • mottakerne eller kategoriene av mottakere,

   • om det er obligatorisk eller frivillig å besvare spørsmålene, samt mulige følger av ikke å svare,

   • om retten til å få innsyn i og rette opplysningene om seg selv,

i den grad slik ytterligere informasjon på bakgrunn av de særlige omstendigheter ved innsamlingen av opplysningene er nødvendige for å sikre en rimelig behandling av den registrerte.

Artikkel 11

Opplysningsplikt når opplysningene ikke er innsamlet fra den registrerte

1. Når opplysningene ikke er innsamlet fra den registrerte, skal medlemsstatene fastsette bestemmelser om at den behandlingsansvarlige eller dennes representant allerede ved registreringen av opplysningene, eller dersom det forutsettes at personopplysningene skal videreformidles til tredjemann, senest når opplysningene videreformidles første gang, skal gi den registrerte minst følgende informasjon, med mindre vedkommende allerede er underrettet:

   1. identiteten til den behandlingsansvarlige og eventuelt til dennes representant,

   2. formålene med behandlingen,

   3. all ytterligere informasjon som f.eks.

      • hvilken kategori opplysninger det dreier seg om,

      • mottakerne eller kategoriene av mottakere,

      • om retten til å få innsyn i og rette opplysningene om seg selv,

i den grad slik ytterligere informasjon på bakgrunn av de særlige omstendigheter ved innsamlingen av opplysningene er nødvendige for å sikre en rimelig behandling av den registrerte.

1. Nr. 1 får ikke anvendelse, særlig ikke når behandlingen utføres for statistiske formål eller for historiske eller vitenskapelige forskningsformål, dersom det viser seg umulig eller uforholdsmessig vanskelig å underrette den registrerte, eller dersom registreringen eller videreformidlingen er fastsatt uttrykkelig i lov. I disse tilfellene skal medlemsstatene fastsette nødvendige garantier.

Avsnitt V

Den registrertes rett til innsyn i opplysninger

Artikkel 12

Rett til innsyn

Medlemsstatene skal sikre enhver registrert rett til hos den behandlingsansvarlige

1. uhindret, med rimelige mellomrom og uten ugrunnet opphold eller urimelige kostnader

   • å få bekreftet om det behandles opplysninger om vedkommende, samt minst å få opplyst formålene for behandlingen, hvilke kategorier opplysninger behandlingen gjelder, og mottakerne eller kategoriene mottakere som opplysningene videreformidles til,

   • å få meddelt i en forståelig form hvilke opplysninger behandlingen omfatter, og å få tilgjengelig informasjon om hvor de stammer fra,

   • å få vite hvilken logikk som ligger bak den elektroniske behandlingen av opplysninger om vedkommende, i det minste i forbindelse med edb-baserte beslutninger som nevnt i artikkel 15 nr. 1,

2. etter omstendighetene å få rettet, slettet eller sperret opplysninger som er blitt behandlet i strid med bestemmelsene i dette direktiv, særlig når opplysningene er ufullstendige eller unøyaktige,

3. å få underrettet tredjemann som opplysningene er videreformidlet til, om enhver retting, sletting eller sperring utført i samsvar med bokstav b), med mindre dette viser seg umulig eller uforholdsmessig vanskelig.

Avsnitt VI

Unntak og begrensninger

Artikkel 13

Unntak og begrensninger

1. Medlemsstatene kan treffe lovgivningstiltak for å begrense rekkevidden av de forpliktelser og rettigheter som er fastsatt i artikkel 6 nr. 1, artikkel 10, artikkel 11 nr. 1 og artikkel 12 og 21, dersom en slik begrensning er nødvendig for

   1. statens sikkerhet,

   2. forsvaret,

   3. offentlig sikkerhet,

   4. forebygging, etterforskning, avsløring og rettslig forfølging av straffbare handlinger eller brudd på yrkesetiske regler i lovregulerte yrker,

   5. en medlemsstats eller Den europeiske unions vesentlige økonomiske eller finansielle interesser, herunder valuta-, budsjett- og skattesaker,

   6. en kontroll-, tilsyns- eller reguleringsoppgave, selv av midlertidig art, i forbindelse med utøvelse av offentlig myndighet i tilfellene nevnt i bokstav c), d) og e),

   7. vern av den registrertes interesser eller andres rettigheter og friheter.

2. Medlemsstatene kan med forbehold for nødvendige lovhjemlede garantier, særlig for at opplysningene ikke anvendes til å treffe tiltak eller beslutninger som gjelder en bestemt person, når det klart ikke er noen fare for at den registrertes rett til privatlivets fred krenkes, ved lov begrense rettighetene fastsatt i artikkel 12 når opplysningene behandles med henblikk bare på vitenskapelig forskning eller oppbevares som personopplysninger bare i det tidsrom som er nødvendig for å utarbeide statistikker.

Avsnitt VII

Den registrertes innsigelsesrett

Artikkel 14

Den registrertes innsigelsesrett

Medlemsstatene skal innrømme den registrerte rett til

1. i det minste i tilfellene nevnt i artikkel 7 bokstav e) og f) av tungtveiende og berettigede grunner som gjelder vedkommendes særskilte situasjon, til enhver tid å gjøre innsigelse mot at personopplysninger om vedkommende bearbeides, med mindre nasjonal lovgivning fastsetter noe annet. Dersom innsigelsen er berettiget, kan behandlingen iverksatt av den behandlingsansvarlige ikke lenger omfatte disse opplysningene,

2. på anmodning og kostnadsfritt å gjøre innsigelse mot behandling av personopplysninger om vedkommende som den behandlingsansvarlige har til hensikt å behandle med henblikk på markedsføring,

   eller

   å bli underrettet før personopplysningene videreformidles første gang til tredjemann eller anvendes på tredjemanns vegne med henblikk på markedsføring, og til å få uttrykkelig tilbud om kostnadsfritt å gjøre innsigelse mot slik videreformidling eller anvendelse.

   Medlemsstatene skal treffe nødvendige tiltak for å sikre at de registrerte er kjent med den rett som er nevnt i bokstav b) første ledd.

Artikkel 15

Automatiserte individuelle beslutninger

1. Medlemsstatene skal innrømme enhver person rett til ikke å bli undergitt en beslutning som har rettsvirkning for vedkommende eller berører vedkommende i vesentlig grad, og som utelukkende er truffet på grunnlag av elektronisk behandling av opplysninger med sikte på å vurdere visse personlige forhold som arbeidsinnsats, kredittverdighet, pålitelighet, atferd osv.

2. Uten at det berører andre bestemmelser i dette direktiv, skal medlemsstatene fastsette bestemmelser om at en person kan undergis en beslutning av en slik art som nevnt i nr. 1, når beslutningen

   1. er truffet i forbindelse med inngåelse eller oppfyllelse av en kontrakt, forutsatt at den registrertes anmodning om inngåelse eller oppfyllelse av kontrakten er blitt etterkommet, eller at det er truffet hensiktsmessige tiltak for å verne den registrertes berettigede interesser, f.eks. vedkommendes mulighet til å gjøre sitt synspunkt gjeldende, eller

   2. er tillatt i henhold til en lov som fastsetter garantier for vern av den registrertes berettigede interesser.

Avsnitt VIII

Fortrolighet og sikkerhet ved behandlingen

Artikkel 16

Fortrolighet ved behandlingen

Enhver person som er underordnet den behandlingsansvarlige eller databehandleren, herunder databehandleren selv, og som får tilgang til personopplysninger, må behandle dem bare etter instruks fra den behandlingsansvarlige, bortsett fra i tilfeller fastsatt i lovgivningen.

Artikkel 17

Sikkerhet ved behandlingen

1. Medlemsstatene skal fastsette bestemmelser om at den behandlingsansvarlige skal iverkesette hensiktsmessige tekniske og organisatoriske tiltak for å beskytte personopplysninger mot tilfeldig eller ulovlig ødeleggelse, mot tilfeldig tap, mot ikke-autorisert endring, spredning eller tilgang, særlig når behandlingen omfatter overføring av opplysninger i et nett, samt mot enhver annen form for ulovlig behandling.

   Disse tiltakene skal, idet det tas hensyn til det nåværende utviklingstrinn i teknikken og kostnadene ved iverksettingen, sørge for et tilstrekkelig sikkerhetsnivå i forhold til de farer behandlingen innebærer, og arten av opplysninger som skal beskyttes.

2. Medlemsstatene skal fastsette bestemmelser om at den behandlingsansvarlige, dersom behandlingen utføres for dennes regning, må velge en databehandler som gir de nødvendige garantier med hensyn til tekniske sikkerhetstiltak og organisatoriske tiltak under behandlingen, og må påse at disse tiltakene overholdes.

3. En behandling som utføres av en databehandler, skal skje i henhold til en kontrakt eller et annet juridisk bindende dokument mellom databehandleren og den behandlingsansvarlige der det særlig er fastsatt

   • at databehandleren skal handle utelukkende etter instruks fra den behandlingsansvarlige,

   • at forpliktelsene nevnt i nr. 1, som fastlagt i lovgivningen i den medlemsstat der databehandleren er etablert, også påhviler denne.

4. Med henblikk på oppbevaring av bevis skal de deler av kontrakten eller det juridiske dokumentet som gjelder beskyttelse av opplysninger, og de krav som gjelder tiltakene nevnt i nr. 1, foreligge skriftlig eller i en annen tilsvarende form.

Avsnitt IX

Melding

Artikkel 18

Meldeplikt overfor tilsynsmyndigheten

1. Medlemsstatene skal fastsette bestemmelser om at den behandlingsansvarlige eller eventuelt dennes representant må underrette tilsynsmyndigheten nevnt i artikkel 28 før det iverksettes en behandling som helt eller delvis utføres elektronisk, eller en rekke slike behandlinger med samme eller innbyrdes relaterte formål.

2. Medlemsstatene kan gi mulighet for forenklet melding eller fritak for meldeplikten bare i følgende tilfeller og på følgende vilkår:

   • når medlemsstatene, for de kategorier behandling som på bakgrunn av opplysningene som skal behandles, sannsynligvis ikke vil krenke den registrertes rettigheter og friheter, oppgir behandlingens formål, hvilke opplysninger eller kategorier opplysninger som behandles, hvilken eller hvilke kategorier registrerte det dreier seg om, til hvilke mottakere eller kategorier mottakere opplysningene videreformidles, og hvor lenge opplysningene oppbevares, og/eller

   • når den behandlingsansvarlige i samsvar med den nasjonale lovgivning vedkommende er underlagt, utpeker en person med ansvar for beskyttelse av personopplysninger, som særlig har til oppgave

   • på en uavhengig måte å sikre den interne anvendelse av de nasjonale bestemmelsene fastsatt i henhold til dette direktiv,

   • å føre et register over de behandlinger som utføres av den behandlingsansvarlige, og som omfatter opplysningene nevnt i artikkel 21 nr. 2,

     for på den måten å sikre at det ikke er sannsynlig at behandlingene vil kunne krenke de registrertes rettigheter og friheter.

3. Medlemsstatene kan fastsette at nr. 1 ikke får anvendelse på behandlinger hvis eneste formål er at det skal føres et register som i henhold til lover og forskrifter er beregnet på å gi informasjon til offentligheten, og som er tilgjengelig for offentligheten eller for enhver person som kan godtgjøre en berettiget interesse i det.

4. Medlemsstatene kan fastsette fritak for meldeplikten eller fastsette en forenklet melding for behandlingene nevnt i artikkel 8 nr. 2 bokstav d).

5. Medlemsstatene kan fastsette at noen eller alle ikke-elektroniske behandlinger av personopplysninger skal meldes, eller fastsette forenklet melding for slike behandlinger.

Artikkel 19

Meldingens innhold

1. Medlemsstatene skal angi hvilke opplysninger meldingen skal inneholde. Den skal minst inneholde følgende:

   1. navn og adresse til den behandlingsansvarlige og eventuelt til dennes representant,

   2. behandlingens formål,

   3. en beskrivelse av kategorien eller kategoriene registrerte og av opplysningene eller kategoriene opplysninger som gjelder dem,

   4. mottakerne eller kategoriene mottakere som opplysningene kan bli videreformidlet til,

   5. planlagte overføringer av opplysninger til tredjestater,

   6. en generell beskrivelse som gir mulighet for foreløpig å vurdere hensiktsmessigheten ved tiltakene truffet i henhold til artikkel 17 for å sørge for sikkerheten ved behandlingen.

2. Medlemsstatene skal fastsette nærmere regler for melding til tilsynsmyndigheten om endringer i opplysningene nevnt i nr. 1.

Artikkel 20

Forhåndskontroll

1. Medlemsstatene skal fastsette nærmere hvilke behandlinger som kan innebære særlige farer for de registrertes rettigheter og friheter, og skal sørge for kontroll av disse behandlingene før de utføres.

2. Slike forhåndskontroller skal foretas av tilsynsmyndigheten etter mottak av meldingen fra den behandlingsansvarlige eller fra den person som har ansvar for datavern, som i tvilstilfeller skal rådspørre tilsynsmyndigheten.

3. Medlemsstatene kan også gjennomføre en slik kontroll som ledd i utarbeidingen av et tiltak som vedtas av nasjonalforsamlingen, eller av et annet tiltak med hjemmel i et slikt lovgivningsmessig tiltak, som fastsetter behandlingens art og de nødvendige garantier.

Artikkel 21

Offentlig tilgjengelige behandlinger

1. Medlemsstatene skal treffe tiltak for å sikre at behandlingene er offentlig tilgjengelige.

2. Medlemsstatene skal fastsette bestemmelser om at tilsynsmyndigheten fører et register over behandlinger som er meldt i henhold til artikkel 18.

   Registeret skal inneholde minst de opplysninger som er oppført i artikkel 19 nr. 1 bokstav a)-e).

   Registeret skal være offentlig tilgjengelig.

3. Med hensyn til behandlinger som ikke omfattes av meldeplikten, skal medlemsstatene fastsette bestemmelser om at den behandlingsansvarlige eller et annet organ som medlemsstatene utpeker, på en hensiktsmessig måte skal stille minst opplysningene nevnt i artikkel 19 nr. 1 bokstav a)-e) til rådighet for enhver som anmoder om det.

Medlemsstatene kan fastsette at denne bestemmelse ikke får anvendelse på behandlinger hvis eneste formål er at det skal føres et register som i henhold til lover og forskrifter er beregnet på å gi informasjon til offentligheten, og som er tilgjengelig for offentligheten eller for enhver person som kan godtgjøre en berettiget interesse i det.

Kapittel III

Klageadgang, ansvar og sanksjoner

Artikkel 22

Klageadgang

Uten at det berører muligheten for å inngi klage til overordnet forvaltningsmyndighet, særlig til tilsynsmyndigheten nevnt i artikkel 28, før henvisning til rettsmyndighet, skal medlemsstatene fastsette bestemmelser om at enhver har rett til å bringe en klage inn for domstolen for krenkelser av rettigheter som er sikret i de nasjonale bestemmelser som får anvendelse på den berørte behandling.

Artikkel 23

Ansvar

1. Medlemsstatene skal fastsette bestemmelser om at enhver som har lidt skade som følge av en ulovlig behandling eller enhver annen handling som er uforenlig med de nasjonale bestemmelser som vedtas i henhold til dette direktiv, har rett til erstatning fra den behandlingsansvarlige for den skade som er voldt.

2. Den behandlingsansvarlige kan helt eller delvis fritas for erstatningsansvar dersom vedkommende godtgjør at vedkommende ikke kan lastes for den hendelse som forårsaket skaden.

Artikkel 24

Sanksjoner

Medlemsstatene skal treffe nødvendige tiltak for å sikre at bestemmelsene i dette direktiv gjennomføres i fullt omfang, og skal særlig fastsette de sanksjoner som får anvendelse i tilfelle overtredelse av bestemmelser som vedtas i henhold til dette direktiv.

Kapittel IV

Overføring av personopplysninger til tredjestater

Artikkel 25

Prinsipper

1. Medlemsstatene skal fastsette bestemmelser om at overføring til en tredjestat av personopplysninger som er under behandling, eller som skal behandles etter overføringen, kan finne sted bare dersom den berørte tredjestat sørger for et tilstrekkelig vernenivå, og med forbehold for at de nasjonale bestemmelser som er vedtatt i henhold til dette direktivs øvrige bestemmelser, overholdes.

2. Vurderingen av om vernenivået i en tredjestat er tilstrekkelig, skal foretas på bakgrunn av alle forhold som har innflytelse på overføringen eller på en kategori overføringer. Særlig skal opplysningenes art, den eller de planlagte behandlingenes formål og varighet, opprinnelsesstat, endelig bestemmelsesstat, de rettsregler, både alminnelige og sektorielle, samt de regler for god forretningsskikk og de sikkerhetstiltak som gjelder i den berørte tredjestat, tas i betraktning.

3. Medlemsstatene og Kommisjonen skal underrette hverandre om tilfeller der de mener at en tredjestat ikke sikrer et tilstrekkelig vernenivå i henhold til nr. 2.

4. Dersom Kommisjonen etter framgangsmåten fastsatt i artikkel 31 nr. 2 påviser at en tredjestat ikke sikrer et tilstrekkelig vernenivå i henhold til nr. 2 i denne artikkel, skal medlemsstatene treffe de nødvendige tiltak for å hindre enhver overføring av opplysninger av samme art til den berørte tredjestat.

5. Kommisjonen skal på et egnet tidspunkt innlede forhandlinger med henblikk på å avhjelpe den situasjon som oppstår som følge av en påvisning som angitt i nr. 4.

6. Kommisjonen kan etter framgangsmåten fastsatt i artikkel 31 nr. 2 fastslå at en tredjestat sikrer et tilstrekkelig vernenivå i henhold til nr. 2 i denne artikkel på grunn av sin nasjonale lovgivning eller sine internasjonale forpliktelser med sikte på vern av privatlivets fred og personers grunnleggende rettigheter og friheter, særlig de forpliktelser som er inngått som følge av forhandlingene nevnt i nr. 5.

   Medlemsstatene skal treffe nødvendige tiltak for å etterkomme Kommisjonens avgjørelse.

Artikkel 26

Unntak

1. Som unntak fra artikkel 25 og med mindre noe annet er bestemt i deres nasjonale lovgivning, skal medlemsstatene fastsette at overføring av personopplysninger til en tredjestat som ikke sikrer et tilstrekkelig vernenivå i henhold til artikkel 25 nr. 2, kan finne sted dersom

   1. den registrerte utvilsomt har gitt sitt samtykke, eller

   2. dersom overføringen er nødvendig for å oppfylle en kontrakt mellom den registrerte og den behandlingsansvarlige eller for å iverksette tiltak på den registrertes anmodning før kontraktsinngåelsen, eller

   3. overføringen er nødvendig for å inngå eller oppfylle en kontrakt som i den registrertes interesse er inngått eller skal inngås mellom den behandlingsansvarlige og tredjemann, eller

   4. overføringen er nødvendig eller er gjort lovpliktig for å verne en viktig samfunnsinteresse eller for å fastsette, gjøre gjeldende eller forsvare et rettskrav, eller

   5. overføringen er nødvendig for å verne den registrertes vitale interesser, eller

   6. overføringen finner sted fra et offentlig register som i henhold til lover og forskrifter er beregnet på å gi informasjon til offentligheten, og som er tilgjengelig for offentligheten eller for enhver person som kan godtgjøre en berettiget interesse i det, i den utstrekning vilkårene for offentlig tilgjengelighet fastsatt i lov er oppfylt i det særskilte tilfellet.

2. Med forbehold for nr. 1 kan en medlemsstat gi tillatelse til en overføring eller en rekke overføringer av personopplysninger til en tredjestat som ikke sikrer et tilstrekkelig vernenivå i henhold til artikkel 25 nr. 2, når den behandlingsansvarlige stiller tilstrekkelige garantier for vern av privatlivets fred og personers grunnleggende rettigheter og friheter samt for utøvelsen av tilsvarende rettigheter; slike garantier kan særlig framgå av passende kontraktsvilkår.

3. Medlemsstaten skal underrette Kommisjonen og de øvrige medlemsstater om de tillatelser den gir i henhold til nr. 2.

   Dersom en annen medlemsstat eller Kommisjonen gjør innsigelse som er velbegrunnet ut fra hensynet til privatlivets fred og personers grunnleggende rettigheter og friheter, skal Kommisjonen vedta hensiktsmessige tiltak etter framgangsmåten fastsatt i artikkel 31 nr. 2.

   Medlemsstatene skal treffe nødvendige tiltak for å etterkomme Kommisjonens beslutning.

4. Når Kommisjonen etter framgangsmåten fastsatt i artikkel 31 nr. 2 fastslår at visse standardiserte kontraktsvilkår gir tilstrekkelige garantier i henhold til nr. 2, skal medlemsstatene treffe nødvendige tiltak for å etterkomme Kommisjonens beslutning.

Kapittel V

Atferdsregler

Artikkel 27

1. Medlemsstatene og Kommisjonen skal oppmuntre til utarbeiding av atferdsregler som avhengig av særlige forhold på de ulike områder skal bidra til en riktig anvendelse av de nasjonale bestemmelsene medlemsstatene vedtar i henhold til dette direktiv.

2. Medlemsstatene skal fastsette bestemmelser om at yrkessammenslutninger og andre organer som representerer andre kategorier behandlingsansvarlige, som har utarbeidet utkast til nasjonale atferdsregler eller som har til hensikt å endre eller forlenge gjeldende nasjonale atferdsregler, skal kunne framlegge dem for den nasjonale myndighet til uttalelse.

   Medlemsstatene skal fastsette bestemmelser om at denne myndighet blant annet skal kontrollere at de utkast den får seg forelagt, er i samsvar med de nasjonale bestemmelser som vedtas i henhold til dette direktiv. Dersom myndigheten finner det hensiktsmessig, skal den innhente synspunkter fra de registrerte eller deres representanter.

3. Utkast til fellesskapsregler og forslag til endring eller forlengelse av gjeldende fellesskapsregler kan framlegges for arbeidsgruppen nevnt i artikkel 29. Arbeidsgruppen skal blant annet uttale seg om hvorvidt de utkastene den har fått seg forelagt, er i samsvar med nasjonale bestemmelser vedtatt i henhold til dette direktiv. Dersom den finner det hensiktsmessig, skal den innhente synspunkter fra de registrerte eller deres representanter. Kommisjonen kan sørge for at de reglene arbeidsgruppen har godkjent, offentliggjøres på en hensiktsmessig måte.

Kapittel VI

Tilsynsmyndighet og arbeidsgruppe for personvern i forbindelse med behandling av personopplysninger

Artikkel 28

Tilsynsmyndighet

1. Hver medlemsstat skal fastsette at én eller flere offentlige myndigheter skal ha til oppgave å overvåke anvendelsen på dens territorium av de bestemmelser som medlemsstatene vedtar i henhold til dette direktiv.

   Disse myndighetene skal i full uavhengighet utføre de oppgaver de er pålagt.

2. Hver medlemsstat skal fastsette at tilsynsmyndighetene skal høres ved utarbeidingen av lover og forskrifter om vern av personers rettigheter og friheter i forbindelse med behandling av personopplysninger.

3. Hver tilsynsmyndighet skal særlig kunne

   • iverksette undersøkelser, f.eks. få tilgang til opplysninger som behandles, og kunne innsamle all informasjon som er nødvendig for å ivareta sine tilsynsoppgaver,

   • gripe effektivt inn ved f.eks. i samsvar med artikkel 20 å avgi uttalelser før behandlingene iverksettes, og sørge for en hensiktsmessig offentliggjøring av uttalelsene, ved å gi ordre om sperring, sletting eller tilintetgjøring av opplysninger, ved midlertidig eller definitivt å forby en behandling, ved å rette en advarsel eller formaning til den behandlingsansvarlige eller ved å framlegge saken for nasjonalforsamlinger eller andre politiske institusjoner,

   • bringe overtredelser av nasjonale bestemmelser vedtatt i henhold til dette direktiv inn for rettsmyndighetene eller gjøre rettsmyndighetene oppmerksomme på slike overtredelser.

     Vedtak gjort av tilsynsmyndigheten som det reises innvendinger mot, kan påklages for domstolene.

4. Enhver person, eller en sammenslutning som representerer vedkommende, kan rette en anmodning til tilsynsmyndigheten om vern av sine rettigheter og friheter i forbindelse med behandling av personopplysninger. Den berørte skal underrettes om utfallet av anmodningen.

   Enhver person kan særlig rette en anmodning til tilsynsmyndigheten om å få kontrollert om en behandling er lovlig, når de nasjonale bestemmelsene vedtatt i henhold til artikkel 13 i dette direktiv får anvendelse. Personen skal i alle tilfeller underrettes om at det er utført en kontroll.

5. Den enkelte tilsynsmyndighet skal med jevne mellomrom utarbeide en rapport om sin virksomhet. Denne rapporten skal offentliggjøres.

6. Den enkelte tilsynsmyndighet har, uavhengig av den nasjonale lovgivning som får anvendelse på den aktuelle behandling, fullmakt til på sin medlemsstats territorium å utøve den myndighet den er tillagt i samsvar med nr. 3. Den enkelte tilsynsmyndighet kan bli anmodet om å utøve sin myndighet av en myndighet i en annen medlemsstat.

   Tilsynsmyndighetene skal samarbeide med hverandre i det omfang det er nødvendig for at de skal få utført sine oppgaver, særlig ved å utveksle nyttig informasjon.

7. Medlemsstatene skal fastsette bestemmelser om at tilsynsmyndighetenes medlemmer og tilsatte også etter at de har sluttet i sitt arbeid, har taushetsplikt med hensyn til de fortrolige opplysninger de har hatt tilgang til.

Artikkel 29

Arbeidsgruppe for personvern i forbindelse med behandling av personopplysninger

1. Det nedsettes en arbeidsgruppe for personvern i forbindelse med behandling av personopplysninger, heretter kalt «arbeidsgruppe».

Gruppen skal være rådgivende og uavhengig.

1. Arbeidsgruppen skal være sammensatt av en representant for den eller de tilsynsmyndigheter som hver medlemsstat har utpekt, en representant for den eller de myndigheter som er opprettet for fellesskapsorganene og -institusjonene, samt en representant for Kommisjonen.

   Hvert medlem av arbeidsgruppen skal utpekes av den institusjon eller den eller de myndigheter vedkommende representerer. Når en medlemsstat har utpekt flere tilsynsmyndigheter, skal disse utnevne en felles representant. Det samme er tilfellet for de myndighetene som er opprettet for fellesskapsorganene og -institusjonene.

2. Arbeidsgruppen skal treffe sine beslutninger med simpelt flertall blant representantene for tilsynsmyndighetene.

3. Arbeidsgruppen skal velge sin leder. Lederen velges for et tidsrom på to år. Lederen kan gjenvelges.

4. Kommisjonen skal ivareta arbeidsgruppens sekretariatsoppgaver.

5. Arbeidsgruppen fastsetter selv sin forretningsorden.

6. Arbeidsgruppen skal behandle de spørsmål som lederen setter på dagsordenen, enten på eget initiativ eller på anmodning fra en representant for tilsynsmyndighetene eller Kommisjonen.

Artikkel 30

1. Arbeidsgruppen har til oppgave

   1. å undersøke ethvert spørsmål om anvendelsen av nasjonale bestemmelser som vedtas i henhold til dette direktiv, med sikte på å bidra til en ensartet anvendelse,

   2. å avgi en uttalelse for Kommisjonen om vernenivået i Fellesskapet og i tredjestater,

   3. å gi Kommisjonen råd om ethvert utkast til endring av dette direktiv, om alle supplerende eller spesifikke tiltak som bør treffes for å verne fysiske personers rettigheter og friheter i forbindelse med behandling av personopplysninger, og om ethvert annet utkast til fellesskapstiltak som har innvirkning på slike rettigheter og friheter,

   4. å avgi uttalelse om de atferdsregler som er utarbeidet på fellesskapsplan.

2. Dersom arbeidsgruppen fastslår at ulikheter i medlemsstatenes lovgivning og praksis kan være til hinder for et ensartet personvern i forbindelse med behandling av personopplysninger i Fellesskapet, skal den underrette Kommisjonen om det.

3. Arbeidsgruppen kan på eget initiativ framlegge anbefalinger om ethvert spørsmål om personvern i forbindelse med behandling av personopplysninger i Fellesskapet.

4. Arbeidsgruppens uttalelser og anbefalinger skal oversendes Kommisjonen og komiteen nevnt i artikkel 31.

5. Kommisjonen skal underrette arbeidsgruppen om på hvilken måte den har tatt hensyn til uttalelsene og anbefalingene. Kommisjonen skal for dette formål utarbeide en rapport som også skal oversendes Europaparlamentet og Rådet. Rapporten skal offentliggjøres.

6. Arbeidsgruppen skal utarbeide en årsrapport om situasjonen med hensyn til beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger i Fellesskapet og i tredjestater, som den skal oversende Kommisjonen, Europaparlamentet og Rådet. Rapporten skal offentliggjøres.

Kapittel VII

Gjennomføringsbestemmelser for fellesskapet

Artikkel 31

Komité

1. Kommisjonen skal bistås av en komité sammensatt av representanter for medlemsstatene og ledet av Kommisjonens representant.

2. Kommisjonens representant skal framlegge for komiteen et utkast til tiltak som skal treffes. Komiteen skal uttale seg om utkastet innen en frist som lederen kan fastsette etter hvor mye saken haster.

   Uttalelsen skal avgis med det flertall som er fastsatt i traktatens artikkel 148 nr. 2. Ved avstemning i komiteen skal stemmer avgitt av medlemsstatenes representanter ha vekt som fastsatt i nevnte artikkel. Lederen skal ikke avgi stemme.

   Kommisjonen skal vedta tiltak som skal iverksettes umiddelbart. Dersom tiltakene ikke er i samsvar med komiteens uttalelse, skal imidlertid Kommisjonen omgående underrette Rådet om dem. I dette tilfellet

   • skal Kommisjonen utsette iverksettingen av tiltakene den har vedtatt, i tre måneder regnet fra den dag underretningen blir gitt,

   • kan Rådet med kvalifisert flertall treffe en annen beslutning innen fristen fastsatt i foregående ledd.

Sluttbestemmelser

Artikkel 32

1. Medlemsstatene skal sette i kraft de lover og forskrifter som er nødvendige for å etterkomme dette direktiv, innen tre år etter at det er vedtatt.

   Disse bestemmelsene skal, når de vedtas av medlemsstatene, inneholde en henvisning til dette direktiv, eller det skal vises til direktivet når de kunngjøres. Nærmere regler for henvisningen fastsettes av medlemsstatene.

2. Medlemsstatene skal sørge for at behandlinger som allerede er iverksatt på ikrafttredelsesdatoen for de nasjonale bestemmelser som vedtas i henhold til dette direktiv, bringes i samsvar med disse bestemmelsene innen tre år etter denne dato.

   Som unntak fra foregående ledd kan medlemsstatene fastsette at behandlinger av opplysninger som allerede inngår i manuelle registre på ikrafttredelsesdatoen for de nasjonale bestemmelser som vedtas i henhold til dette direktiv, skal bringes i samsvar med artikkel 6, 7 og 8 i dette direktiv innen tolv år etter at direktivet ble vedtatt. Medlemsstatene skal likevel innrømme den registrerte rett til på anmodning, og særlig i forbindelse med utøvelse av retten til innsyn, å få rettet, slettet eller sperret opplysninger som er ufullstendige, unøyaktige, eller som er oppbevart på en måte som er uforenlig med de legitime mål den behandlingsansvarlige forfølger.

3. Som unntak fra nr. 2 kan medlemsstatene med forbehold for passende garantier fastsette at opplysninger som oppbevares med henblikk bare på historisk forskning, ikke må bringes i samsvar med artikkel 6, 7 og 8 i dette direktiv.

4. Medlemsstatene skal oversende Kommisjonen teksten til de internrettslige bestemmelser som de vedtar på det området dette direktiv omhandler.

Artikkel 33

Med jevne mellomrom og første gang innen tre år etter datoen fastsatt i artikkel 32 nr. 1 skal Kommisjonen framlegge for Europaparlamentet og Rådet en rapport om gjennomføringen av dette direktiv, eventuelt vedlagt passende forslag til endringer. Rapporten skal offentliggjøres.

Kommisjonen skal særlig undersøke anvendelsen av direktivet på behandlingen av lyd- og bildedata om fysiske personer og skal framlegge passende forslag som er nødvendige på bakgrunn av utviklingen innen informasjonsteknologien og informasjonssamfunnet.

Artikkel 34

Dette direktiv er rettet til medlemsstatene.

Utferdiget i Luxembourg, 24. oktober 1995.