Sammendrag: Bestemmelsen inneholder de sentrale definisjoner i GDPR som bl.a. personopplysninger, behandle / behandling, behandlingsansvarlig, databehandler, samtykke, osv.
I denne forordning menes med
1) «personopplysninger» enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet,
Anvendelse på fysiske og ikke juridiske personer*
14. Det vern som denne forordning gir i forbindelse med behandling av personopplysninger, bør få anvendelse på fysiske personer, uavhengig av deres statsborgerskap eller bosted. Denne forordning omfatter ikke behandling av personopplysninger som gjelder juridiske personer, og særlig foretak etablert som juridiske personer, herunder den juridiske personens navn, form og kontaktopplysninger.
*ikke offisiell overskrift
Omfatter alle opplysninger som kan knyttes til identifiserbar fysisk person, men ikke anonymiserte opplysninger*
26. Prinsippene om vern av personopplysninger bør få anvendelse på enhver opplysning om en identifisert eller identifiserbar fysisk person. Personopplysninger som er blitt pseudonymisert, og som kan knyttes til en fysisk person ved hjelp av tilleggsopplysninger, bør anses som opplysninger om en identifiserbar fysisk person. Når det skal fastslås om en fysisk person er identifiserbar, bør det tas hensyn til alle midler som det med rimelighet kan tenkes at den behandlingsansvarlige eller en annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte, f.eks. utpeking. For å fastslå om midler med rimelighet kan tenkes å bli tatt bruk for å identifisere den fysiske personen bør det tas hensyn til alle objektive faktorer, f.eks. kostnadene for og tiden som er nødvendig for å foreta identifikasjonen, idet det tas hensyn til teknologien som er tilgjengelig på behandlingstidspunktet, samt den teknologiske utvikling. Prinsippene om vern av personopplysninger bør derfor ikke få anvendelse på anonyme opplysninger, nærmere bestemt opplysninger som ikke kan knyttes til en identifisert eller identifiserbar fysisk person, eller personopplysninger som er blitt anonymisert på en slik måte at den registrerte ikke lenger kan identifiseres. Denne forordning gjelder derfor ikke behandling av slike anonyme opplysninger, herunder for statistiske formål eller forskningsformål.
*ikke offisiell overskrift
Personopplysninger om avdøde personer*
27. Denne forordning får ikke anvendelse på personopplysninger om avdøde personer. Medlemsstatene kan fastsette regler om behandling av personopplysninger om avdøde personer.
*ikke offisiell overskrift
Midler for identifikasjon av fysiske personer*
30. Fysiske personer kan knyttes til nettidentifikatorer via utstyr, programmer, verktøy og protokoller, f.eks. IP-adresser, informasjonskapsler eller andre identifikatorer, f.eks. radiofrekvensidentifikasjonsmerker. Dette kan etterlate spor som særlig i kombinasjon med entydige identifikatorer og andre opplysninger som serverne mottar, kan brukes til å opprette profiler for fysiske personer og identifisere dem.
*ikke offisiell overskrift
Sikring av personvern gjelder uavhengig av statsborgerskap og bosted for å styrke EUs indre marked og velferd*
2. Prinsippene og reglene for vern av fysiske personer i forbindelse med behandling av personopplysninger som gjelder dem selv, bør, uavhengig av nevnte personers statsborgerskap eller bosted, respektere deres grunnleggende rettigheter og friheter, særlig retten til vern av personopplysninger. Hensikten med denne forordning er å bidra til å skape et område med frihet, sikkerhet og rettferdighet samt en økonomisk union og å bidra til økonomisk og sosial framgang, til å oppnå en styrking og tilnærming av økonomiene i det indre marked og til fysiske personers velferd.
*ikke offisiell overskrift
Behandling for rent personlige/familiemessige forhold*
18. Denne forordning får ikke anvendelse på behandling av personopplysninger som en fysisk person utfører i forbindelse med rent personlige eller familiemessige aktiviteter, og som derfor ikke er knyttet til en yrkes- eller forretningsvirksomhet. Personlige eller familiemessige aktiviteter kan omfatte korrespondanse og føring av adresselister eller aktiviteter på sosiale nettverk samt aktiviteter på internett i forbindelse med slike aktiviteter. Denne forordning får imidlertid anvendelse på behandlingsansvarlige eller databehandlere som stiller til rådighet midler til behandling av personopplysninger i forbindelse med slike personlige eller familiemessige aktiviteter.
*ikke offisiell overskrift
Myndighetenes forfølgelse av straffbare forhold/strafferettslige sanksjoner og trusler mot offentlig sikkerhet*
19. Vern av fysiske personer i forbindelse med vedkommende myndigheters behandling av personopplysninger med henblikk på å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet samt fri utveksling av nevnte opplysninger, omfattes av en spesifikk EU-rettsakt. Denne forordning bør derfor ikke få anvendelse på behandlingsaktiviteter som utføres for nevnte formål. Offentlige myndigheters behandling av personopplysninger i henhold til denne forordning bør, når behandlingen utføres for nevnte formål, imidlertid omfattes av en mer spesifikk EU-rettsakt, nærmere bestemt europaparlaments- og rådsdirektiv (EU) 2016/680. Medlemsstatene kan overlate oppgaver som ikke nødvendigvis utføres for å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet, til vedkommende myndigheter som definert i direktiv (EU) 2016/680, slik at behandlingen av personopplysninger for slike andre formål, i den grad dette omfattes av unionsretten, omfattes av denne forordning.
Med hensyn til nevnte vedkommende myndigheters behandling av personopplysninger for formål som omfattes av denne forordning, bør medlemsstatene kunne opprettholde eller innføre mer spesifikke bestemmelser for å tilpasse anvendelsen av reglene i denne forordning. I nevnte bestemmelser kan det fastsettes mer spesifikke krav til nevnte vedkommende myndigheters behandling av personopplysninger for slike andre formål, idet det tas hensyn til den enkelte medlemsstats forfatningsmessige, organisatoriske og administrative struktur. Når behandling av personopplysninger utført av private organer omfattes av denne forordning, bør det i denne forordning fastsettes en mulighet for at medlemsstatene på særlige vilkår ved lov kan begrense visse forpliktelser og rettigheter dersom nevnte begrensning utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre særlige viktige interesser, herunder den offentlige sikkerhet samt forebygging, etterforskning, avsløring eller straffeforfølging av straffbare forhold eller iverksetting av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet. Dette er f.eks. relevant i forbindelse med bekjempelse av hvitvasking av penger eller kriminaltekniske laboratoriers virksomhet.
*ikke offisiell overskrift
Pseudonymisering*
28. Pseudonymisering av personopplysninger kan redusere risikoene for de berørte registrerte og bidra til at behandlingsansvarlige og databehandlere kan oppfylle sine forpliktelser med hensyn til vern av personopplysninger. Hensikten med den uttrykkelige innføringen av «pseudonymisering» i denne forordning er ikke å utelukke andre tiltak for vern av personopplysninger.
*ikke offisiell overskrift
Article 9 Definitons
For the purposes of this Regulation:
(1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
2) «behandling» enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring,
Teknologisk nøytral, elektroniske behandling, og manuell behandling i register*
15. For å unngå at det oppstår en alvorlig risiko for at bestemmelsene omgås bør vernet av fysiske personer være teknologisk nøytralt og ikke avhenge av teknikkene som benyttes. Vernet av fysiske personer bør få anvendelse på automatisert behandling av personopplysninger samt manuell behandling dersom personopplysningene inngår i eller skal inngå i et register. Saksmapper eller samlinger av saksmapper samt deres forsider som ikke er strukturert etter bestemte kriterier, bør ikke omfattes av denne forordnings virkeområde.
*ikke offisiell overskrift
Behandling for rent personlige/familiemessige forhold*
18. Denne forordning får ikke anvendelse på behandling av personopplysninger som en fysisk person utfører i forbindelse med rent personlige eller familiemessige aktiviteter, og som derfor ikke er knyttet til en yrkes- eller forretningsvirksomhet. Personlige eller familiemessige aktiviteter kan omfatte korrespondanse og føring av adresselister eller aktiviteter på sosiale nettverk samt aktiviteter på internett i forbindelse med slike aktiviteter. Denne forordning får imidlertid anvendelse på behandlingsansvarlige eller databehandlere som stiller til rådighet midler til behandling av personopplysninger i forbindelse med slike personlige eller familiemessige aktiviteter.
*ikke offisiell overskrift
Myndighetenes forfølgelse av straffbare forhold/strafferettslige sanksjoner og trusler mot offentlig sikkerhet*
19. Vern av fysiske personer i forbindelse med vedkommende myndigheters behandling av personopplysninger med henblikk på å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet samt fri utveksling av nevnte opplysninger, omfattes av en spesifikk EU-rettsakt. Denne forordning bør derfor ikke få anvendelse på behandlingsaktiviteter som utføres for nevnte formål. Offentlige myndigheters behandling av personopplysninger i henhold til denne forordning bør, når behandlingen utføres for nevnte formål, imidlertid omfattes av en mer spesifikk EU-rettsakt, nærmere bestemt europaparlaments- og rådsdirektiv (EU) 2016/680. Medlemsstatene kan overlate oppgaver som ikke nødvendigvis utføres for å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet, til vedkommende myndigheter som definert i direktiv (EU) 2016/680, slik at behandlingen av personopplysninger for slike andre formål, i den grad dette omfattes av unionsretten, omfattes av denne forordning.
Med hensyn til nevnte vedkommende myndigheters behandling av personopplysninger for formål som omfattes av denne forordning, bør medlemsstatene kunne opprettholde eller innføre mer spesifikke bestemmelser for å tilpasse anvendelsen av reglene i denne forordning. I nevnte bestemmelser kan det fastsettes mer spesifikke krav til nevnte vedkommende myndigheters behandling av personopplysninger for slike andre formål, idet det tas hensyn til den enkelte medlemsstats forfatningsmessige, organisatoriske og administrative struktur. Når behandling av personopplysninger utført av private organer omfattes av denne forordning, bør det i denne forordning fastsettes en mulighet for at medlemsstatene på særlige vilkår ved lov kan begrense visse forpliktelser og rettigheter dersom nevnte begrensning utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre særlige viktige interesser, herunder den offentlige sikkerhet samt forebygging, etterforskning, avsløring eller straffeforfølging av straffbare forhold eller iverksetting av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet. Dette er f.eks. relevant i forbindelse med bekjempelse av hvitvasking av penger eller kriminaltekniske laboratoriers virksomhet.
*ikke offisiell overskrift
Domstolers og rettshåndhevende myndigheters virksomhet*
20. Selv om denne forordning blant annet får anvendelse på domstolers og andre rettshåndhevende myndigheters virksomhet, kan det i unionsretten eller medlemsstatenes nasjonale rett angis hvilke prosesser og framgangsmåter for behandling som får anvendelse på behandling av personopplysninger som utføres av domstoler og andre rettshåndhevende myndigheter. Tilsynsmyndighetenes kompetanse bør ikke omfatte domstolers behandling av personopplysninger når dette utføres innenfor rammen av domstolenes domsmyndighet, for å sikre domstolenes uavhengighet når de utfører sine juridiske oppgaver, herunder når de treffer avgjørelser. Det bør være mulig å overlate tilsynet med slike databehandlingsaktiviteter til særskilte organer innenfor medlemsstatens rettssystem som særlig bør sikre at reglene i denne forordning overholdes, øke bevisstheten til medlemmene av domstolsvesenet om de forpliktelser de har i henhold til denne forordning, og håndtere klager i forbindelse med nevnte databehandlingsaktiviteter.
*ikke offisiell overskrift
Monitorering av personer innenfor EØS av virksomheter etablert utenfor EØS*
24. Behandling av personopplysninger om registrerte som befinner seg i Unionen, og som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i Unionen, bør også omfattes av denne forordning dersom behandlingen er knyttet til monitorering av de registrertes atferd, så langt atferden finner sted i Unionen. For å fastslå om en behandlingsaktivitet kan anses som monitorering av de registrertes atferd bør det bringes på det rene om det skjer sporing av fysiske personer på internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe avgjørelser om vedkommende eller analysere eller forutsi vedkommendes personlige preferanser, atferd eller holdninger.
*ikke offisiell overskrift
Registre knyttet til forskning*
157. Ved å koble sammen opplysninger fra forskjellige registre kan forskere oppnå ny og svært verdifull kunnskap om utbredte sykdomstilstander som hjerte- og karsykdommer, kreft og depresjon. På grunnlag av registre kan forskningsresultater forbedres, ettersom registrene omfatter større befolkningsgrupper. Innen samfunnsvitenskap gjør registerforskning det mulig for forskere å få viktig kunnskap om den langsiktige sammenhengen mellom en rekke sosiale forhold, f.eks. arbeidsløshet og utdanning, og andre livsvilkår. Forskningsresultater oppnådd gjennom registerforskning gir omfattende kunnskap av høy kvalitet som kan danne grunnlaget for utformingen og gjennomføringen av en kunnskapsbasert politikk, forbedre livskvaliteten til en rekke mennesker og gjøre sosialtjenester mer effektive. For å fremme vitenskapelig forskning kan personopplysninger behandles for formål knyttet til vitenskapelig forskning, med forbehold for nødvendige vilkår og garantier fastsatt i unionsretten eller i medlemsstatenes nasjonale rett.
*ikke offisiell overskrift
Behandling av personopplysninger til arkivformål*
158. Dersom personopplysninger behandles for arkivformål, bør denne forordning også få anvendelse på slik behandling, men ikke på avdøde personer. Offentlige myndigheter eller offentlige eller private organer som oppbevarer fortegnelser av allmenn interesse, bør være tjenester som i henhold til unionsretten eller medlemsstatenes nasjonale rett har en rettslig forpliktelse til å innhente, bevare, vurdere, organisere, beskrive, kommunisere, fremme, spre og gi tilgang til fortegnelser av varig verdi i allmennhetens interesse. Medlemsstatene bør også ha rett til å fastsette at personopplysninger kan viderebehandles for arkivformål, f.eks. for å framlegge spesifikk informasjon om politisk atferd under tidligere totalitære regimer, folkemord, forbrytelser mot menneskeheten, særlig holocaust, eller krigsforbrytelser.
*ikke offisiell overskrift
Behandling for formål knyttet til vitenskapelig forskning*
159. Når personopplysninger behandles i forbindelse med formål knyttet til vitenskapelig forskning, bør denne forordning også få anvendelse på slik behandling. I denne forordning bør behandling av personopplysninger i forbindelse med formål knyttet til vitenskapelig forskning tolkes vidt og f.eks. omfatte teknologisk utvikling og demonstrasjon, grunnleggende forskning, anvendt forskning og privatfinansiert forskning. I tillegg bør den ta hensyn til Unionens mål om å skape et europeisk forskningsområde i henhold til artikkel 179 nr. 1 i TEUV. Formål knyttet til vitenskapelig forskning bør også omfatte studier som utføres i allmennhetens interesse på området folkehelse. For å ta hensyn til de særlige forholdene som gjelder ved behandling av personopplysninger i forbindelse med vitenskapelig forskning, bør særlige vilkår få anvendelse, særlig med hensyn til publisering eller annen utlevering av personopplysninger i forbindelse med nevnte formål. Dersom resultatet av den vitenskapelige forskningen, særlig på området helse, berettiger ytterligere tiltak i den registrertes interesse, bør de allmenne bestemmelsene i denne forordning få anvendelse med henblikk på nevnte tiltak.
*ikke offisiell overskrift
Behandling til statistisk formål*
162. Når personopplysninger behandles for statistiske formål, bør denne forordning få anvendelse på slik behandling. I unionsretten eller medlemsstatenes nasjonale rett bør det innenfor rammene av denne forordning fastsettes statistisk innhold, tilgangskontroll, spesifikasjoner for behandling av personopplysninger for statistiske formål og egnede tiltak for å sikre den registrertes rettigheter og friheter samt for å sikre konfidensiell behandling av statistiske opplysninger. Med statistiske formål menes enhver innsamling og behandling av personopplysninger som er nødvendig i forbindelse med statistiske undersøkelser eller for å framskaffe statistiske resultater. Nevnte statistiske resultater kan deretter brukes til forskjellige formål, herunder til vitenskapelig forskning. Det statistiske formålet innebærer at resultatet av behandlingen for statistiske formål ikke er personopplysninger, men aggregerte data, og at dette resultatet eller personopplysningene ikke brukes som støtte for tiltak eller avgjørelser som gjelder en bestemt fysisk person.
*ikke offisiell overskrift
3) «begrensning av behandling» merking av lagrede personopplysninger med det som mål å begrense behandlingen av disse i framtiden,
Begrensning av behandling*
67. Metodene for å begrense behandlingen av personopplysninger kan blant annet innebære at utvalgte opplysninger flyttes midlertidig til et annet behandlingssystem, at utvalgte personopplysninger gjøres utilgjengelig for brukere, eller at offentliggjorte opplysninger fjernes midlertidig fra et nettsted. I automatiserte registre bør behandlingen i prinsippet begrenses ved hjelp av tekniske midler som sikrer at personopplysningene ikke kan viderebehandles og endres. Det faktum at behandlingen av personopplysninger er begrenset, bør være tydelig angitt i systemet.
*ikke offisiell overskrift
4) «profilering» enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser,
Automatiserte avgjørelser*
71. Den registrerte bør ha rett til ikke å bli gjort til gjenstand for en avgjørelse, f.eks. et tiltak, som kan omfatte en vurdering av personlige aspekter ved vedkommende som fullt ut bygger på automatisert behandling, og som har rettsvirkning for vedkommende eller på lignende måte i betydelig grad påvirker vedkommende, f.eks. et automatisk avslag på en søknad om kreditt på internett eller e-rekruttering uten menneskelig inngripen. En slik behandling omfatter «profilering», som består av enhver form for automatisert behandling av personopplysninger der målet er å vurdere personlige aspekter ved en fysisk person, særlig for å analysere eller forutsi aspekter knyttet til den registrertes arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, når dette har rettsvirkning for eller på lignende måte i betydelig grad påvirker vedkommende. Avgjørelser som treffes på grunnlag av slik behandling, herunder profilering, bør imidlertid være tillatt når unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, uttrykkelig tillater dette, herunder med henblikk på overvåking og forebygging av bedrageri og skatteunndragelse som utføres i samsvar med forordningene, standardene og anbefalingene fra Unionens institusjoner eller nasjonale tilsynsorganer, og for å sikre at en tjeneste som leveres av den behandlingsansvarlige, er sikker eller pålitelig, eller som er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte og en behandlingsansvarlig, eller dersom den registrerte har gitt sitt uttrykkelige samtykke. Under alle omstendigheter bør en slik behandling ledsages av nødvendige garantier som bør omfatte spesifikk informasjon til den registrerte og rett til menneskelig inngripen, til å uttrykke sine synspunkter, til å få en forklaring på avgjørelsen som er truffet etter en slik vurdering, og til å protestere mot avgjørelsen. Nevnte tiltak bør ikke gjelde barn.
For å sikre en rettferdig og åpen behandling med hensyn til den registrerte, idet det tas hensyn til de særlige omstendighetene og sammenhengen personopplysningene behandles i, bør den behandlingsansvarlige bruke egnede matematiske eller statistiske framgangsmåter i forbindelse med profileringen, gjennomføre egnede tekniske og organisatoriske tiltak for særlig å sikre at faktorer som fører til uriktige personopplysninger, rettes opp og at risikoen for feil minimeres, sikre personopplysningene på en måte som tar hensyn til den registrertes interesser og rettigheter, og hindre blant annet forskjellsbehandling av fysiske personer på grunn av rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, genetisk status, helsetilstand eller seksuell orientering, eller behandling som fører til tiltak som har en slik virkning. Automatiserte avgjørelser og profilering basert på særlige kategorier av personopplysninger bør bare være tillatt på særlige vilkår.
*ikke offisiell overskrift
GDPR omfatter profilering*
72. Profilering omfattes av reglene for behandling av personopplysninger i denne forordning, f.eks. det rettslige grunnlaget for behandlingen eller prinsippene for vern av personopplysninger. Det europeiske personvernråd (heretter kalt «Personvernrådet») som opprettes ved denne forordning, bør kunne gi veiledning om dette.
*ikke offisiell overskrift
Monitorering av personer innenfor EØS av virksomheter etablert utenfor EØS*
24. Behandling av personopplysninger om registrerte som befinner seg i Unionen, og som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i Unionen, bør også omfattes av denne forordning dersom behandlingen er knyttet til monitorering av de registrertes atferd, så langt atferden finner sted i Unionen. For å fastslå om en behandlingsaktivitet kan anses som monitorering av de registrertes atferd bør det bringes på det rene om det skjer sporing av fysiske personer på internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe avgjørelser om vedkommende eller analysere eller forutsi vedkommendes personlige preferanser, atferd eller holdninger.
*ikke offisiell overskrift
Informasjonsplikten overfor registrerte*
60. Prinsippene om rettferdig og åpen behandling krever at den registrerte informeres om at behandlingen skjer, samt om formålet med den. Den behandlingsansvarlige bør gi den registrerte eventuell ytterligere informasjon som er nødvendig for å sikre en rettferdig og åpen behandling, idet det tas hensyn til de særlige omstendighetene rundt behandlingen av personopplysningene og sammenhengen den skjer i. Den registrerte bør dessuten informeres om forekomsten av profilering og konsekvensene av dette. Dersom personopplysningene samles inn fra den registrerte, bør den registrerte også informeres om hvorvidt vedkommende har plikt til å gi personopplysningene, og om konsekvensene dersom de ikke gis. Nevnte informasjon kan gis sammen med standardiserte ikoner, slik at det gis en oversikt over den tiltenkte behandlingen på en lett synlig, forståelig og lettlest måte. Dersom ikonene presenteres elektronisk, bør de være maskinlesbare.
*ikke offisiell overskrift
Rett til innsyn*
63. En registrert bør ha rett til å få innsyn i personopplysninger som er samlet inn om vedkommende, og til på en enkel måte og med rimelige intervaller å utøve denne retten for å forvisse seg om og kontrollere at behandlingen er lovlig. Dette omfatter de registrertes rett til å få innsyn i egne helseopplysninger, f.eks. opplysninger i egen pasientjournal om diagnoser, undersøkelsesresultater, behandlende leges vurderinger og enhver behandling som er gitt, eller enhver intervensjon som er utført. Alle registrerte bør derfor ha rett til å kjenne til og bli informert om formålene med behandlingen av personopplysninger, om mulig om perioden som personopplysningene behandles i, hvem mottakerne av personopplysningene er, logikken som ligger bak en eventuell automatisk behandling av personopplysningene, og konsekvensene av nevnte behandling, i det minste dersom den er basert på profilering. Dersom det er mulig, bør den behandlingsansvarlige kunne gi fjerntilgang til et sikkert system der den registrerte kan få direkte tilgang til egne personopplysninger. Denne retten bør ikke ha negativ innvirkning på andres rettigheter eller friheter, herunder forretningshemmeligheter eller immaterialretten, særlig opphavsretten som programvaren er beskyttet av. Disse hensynene bør imidlertid ikke føre til at den registrerte nektes innsyn i alle opplysninger. Dersom den behandlingsansvarlige behandler en stor mengde opplysninger om den registrerte, bør den behandlingsansvarlige før informasjonen gis, kunne anmode om at den registrerte presiserer hvilke opplysninger eller behandlingsaktiviteter anmodningen gjelder.
*ikke offisiell overskrift
Rett til å protestere mot behandling ved direkte markedsføring*
70. Dersom personopplysninger behandles med henblikk på direkte markedsføring, bør den registrerte, uansett om det dreier seg om innledende behandling eller viderebehandling, ha rett til når som helst og gratis å protestere mot nevnte behandling, herunder profilering så lenge dette er knyttet til direkte markedsføring. Den registrerte bør uttrykkelig gjøres oppmerksom på denne retten, og informasjonen bør presenteres på en tydelig måte og atskilt fra all annen informasjon.
*ikke offisiell overskrift
Begrensninger i de registrertes rettigheter etter nasjonal lov*
73. Særlige prinsipper og retten til informasjon, innsyn i og retting eller sletting av personopplysninger, retten til dataportabilitet, retten til å protestere, avgjørelser basert på profilering samt underretning av en registrert om brudd på personopplysningssikkerheten og visse tilhørende forpliktelser som påhviler de behandlingsansvarlige, kan begrenses av unionsretten eller medlemsstatenes nasjonale rett i den grad det i et demokratisk samfunn er nødvendig og forholdsmessig av hensyn til den offentlige sikkerhet, herunder vern av menneskeliv, særlig som følge av naturkatastrofer eller menneskeskapte katastrofer, forebygging, etterforskning og straffeforfølging av straffbare forhold eller iverksetting av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet, eller brudd på yrkesetiske regler i lovregulerte yrker, andre viktige mål i allmennhetens interesse i Unionen eller en medlemsstat, særlig en viktig økonomisk eller finansiell interesse for Unionen eller en medlemsstat, føring av offentlige registre i allmennhetens interesse, viderebehandling av arkiverte personopplysninger for å framlegge særlig informasjon om politisk atferd under tidligere totalitære regimer eller vern av den registrerte eller andres rettigheter og friheter, herunder sosial trygghet, folkehelse og humanitære formål. Nevnte begrensninger bør være i samsvar med kravene fastsatt i pakten og i Den europeiske konvensjon om beskyttelse av menneskerettighetene og de grunnleggende friheter.
*ikke offisiell overskrift
Gjenstand for vurdering av personvernkonsekvenser (DPIA)*
91. Dette bør særlig få anvendelse på behandlingsaktiviteter i stor skala der formålet er å behandle en betydelig mengde personopplysninger på regionalt, nasjonalt eller overnasjonalt plan, og som kan påvirke et stort antall registrerte og innebære en høy risiko, f.eks. fordi opplysningene er sensitive, dersom, i samsvar med det oppnådde nivået av teknisk kunnskap, en ny teknologi anvendes i stor skala samt i forbindelse med andre behandlingsaktiviteter som innebærer en høy risiko for de registrertes rettigheter og friheter, særlig dersom nevnte aktiviteter gjør det vanskeligere for de registrerte å utøve sine rettigheter. Det bør også utføres en vurdering av personvernkonsekvenser dersom personopplysninger behandles med det formål å treffe avgjørelser om særskilte fysiske personer etter en systematisk og omfattende vurdering av personlige aspekter vedrørende fysiske personer basert på profilering av nevnte opplysninger, eller etter behandling av særlige kategorier av personopplysninger, biometriske opplysninger eller opplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak. Det kreves også en vurdering av personvernkonsekvenser ved overvåking i stor skala av offentlig tilgjengelige steder, særlig ved bruk av optoelektronisk utstyr, eller ved andre aktiviteter der vedkommende tilsynsmyndighet vurderer at behandlingen kan føre til en høy risiko for de registrertes rettigheter og friheter, særlig fordi de hindrer de registrerte i å utøve en rettighet eller gjøre bruk av en tjeneste eller en avtale, eller fordi de utføres systematisk i stor skala. Behandling av personopplysninger bør ikke anses for å være i stor skala dersom det er snakk om en leges, annet helsepersonells eller en advokats behandling av personopplysninger tilhørende pasienter eller klienter. I slike tilfeller bør en vurdering av personvernkonsekvenser ikke være obligatorisk.
*ikke offisiell overskrift
5) «pseudonymisering» behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres atskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person,
Omfatter alle opplysninger som kan knyttes til identifiserbar fysisk person, men ikke anonymiserte opplysninger*
26. Prinsippene om vern av personopplysninger bør få anvendelse på enhver opplysning om en identifisert eller identifiserbar fysisk person. Personopplysninger som er blitt pseudonymisert, og som kan knyttes til en fysisk person ved hjelp av tilleggsopplysninger, bør anses som opplysninger om en identifiserbar fysisk person. Når det skal fastslås om en fysisk person er identifiserbar, bør det tas hensyn til alle midler som det med rimelighet kan tenkes at den behandlingsansvarlige eller en annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte, f.eks. utpeking. For å fastslå om midler med rimelighet kan tenkes å bli tatt bruk for å identifisere den fysiske personen bør det tas hensyn til alle objektive faktorer, f.eks. kostnadene for og tiden som er nødvendig for å foreta identifikasjonen, idet det tas hensyn til teknologien som er tilgjengelig på behandlingstidspunktet, samt den teknologiske utvikling. Prinsippene om vern av personopplysninger bør derfor ikke få anvendelse på anonyme opplysninger, nærmere bestemt opplysninger som ikke kan knyttes til en identifisert eller identifiserbar fysisk person, eller personopplysninger som er blitt anonymisert på en slik måte at den registrerte ikke lenger kan identifiseres. Denne forordning gjelder derfor ikke behandling av slike anonyme opplysninger, herunder for statistiske formål eller forskningsformål.
*ikke offisiell overskrift
Pseudonymisering*
28. Pseudonymisering av personopplysninger kan redusere risikoene for de berørte registrerte og bidra til at behandlingsansvarlige og databehandlere kan oppfylle sine forpliktelser med hensyn til vern av personopplysninger. Hensikten med den uttrykkelige innføringen av «pseudonymisering» i denne forordning er ikke å utelukke andre tiltak for vern av personopplysninger.
*ikke offisiell overskrift
Pseudonymisering hos samme behandlingsansvarlig*
29. For å skape insitamenter til bruk av pseudonymisering i forbindelse med behandling av personopplysninger bør pseudonymiseringstiltak som samtidig tillater en generell analyse, være mulig hos den samme behandlingsansvarlige når denne har truffet de tekniske og organisatoriske tiltak som er nødvendige for å sikre at denne forordning gjennomføres med tanke på den berørte behandlingen, og at tilleggsopplysninger som gjør det mulig å knytte personopplysningene til en bestemt registrert, lagres atskilt. Den behandlingsansvarlige som behandler personopplysningene, bør angi de autoriserte personene hos den samme behandlingsansvarlige.
*ikke offisiell overskrift
Risiko ved behandling av personopplysninger*
75. Behandling av personopplysninger kan føre til at det oppstår risikoer av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter som kan medføre fysisk, materiell eller ikke-materiell skade, særlig når behandlingen kan føre til forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger, uautorisert oppheving av pseudonymisering eller andre betydelige økonomiske eller sosiale ulemper, når de registrerte kan bli fratatt sine rettigheter og friheter eller bli hindret i å utøve kontroll over egne personopplysninger, når behandlingen gjelder personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, og behandling av genetiske opplysninger, helseopplysninger, seksuelle forhold eller straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak, når personlige aspekter vurderes, særlig for å analysere eller forutsi aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, for å opprette eller bruke personlige profiler, når sårbare fysiske personers, særlig barns, personopplysninger behandles, eller når behandlingen omfatter en stor mengde personopplysninger og berører et stort antall registrerte.
*ikke offisiell overskrift
Sikring ved tekniske og organisatoriske tiltak. Personvern som standardinnstllinger*
78. Vern av fysiske personers rettigheter og friheter i forbindelse med behandling av personopplysninger krever at det treffes egnede tekniske og organisatoriske tiltak for å sikre at kravene i denne forordning oppfylles. For å påvise at denne forordning overholdes bør den behandlingsansvarlige vedta interne retningslinjer og gjennomføre tiltak som særlig overholder prinsippene om innebygd personvern og personvern som standardinnstilling. Nevnte tiltak kan blant annet omfatte å minimere behandlingen av personopplysninger, pseudonymisere personopplysninger så raskt som mulig, sikre at behandlingen og formålene med den er åpen, gjøre det mulig for den registrerte å kontrollere behandlingen samt gjøre det mulig for den behandlingsansvarlige å iverksette sikkerhetsfunksjoner og å forbedre dem.
Ved utvikling, utforming, valg og bruk av programmer, tjenester og produkter som er basert på behandling av personopplysninger, eller når personopplysninger behandles for å oppfylle disses funksjon, bør produsenter av nevnte produkter, tjenester og programmer oppmuntres til å ta hensyn til retten til vern av personopplysninger ved utvikling og utforming av nevnte produkter, tjenester og programmer og, idet det tas behørig hensyn til den tekniske utviklingen, sikre at behandlingsansvarlige og databehandlere kan oppfylle sine forpliktelser med hensyn til vern av personopplysninger. Det bør også tas hensyn til prinsippene om innebygd personvern og personvern som standardinnstilling i forbindelse med offentlige anbud.
*ikke offisiell overskrift
Personvernbrudd og varsling*
85. Et brudd på personopplysningssikkerheten kan, dersom det ikke håndteres på egnet måte og i rett tid, påføre fysiske personer fysisk, materiell eller ikke-materiell skade, f.eks. tap av kontroll over egne personopplysninger eller begrensning av egne rettigheter, forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, uautorisert oppheving av pseudonymisering, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger eller andre betydelige økonomiske eller sosiale ulemper for den berørte fysiske personen. Så snart den behandlingsansvarlige får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten, bør vedkommende melde nevnte brudd til tilsynsmyndigheten uten ugrunnet opphold og om mulig senest 72 timer etter å ha fått kjennskap til det, med mindre vedkommende i samsvar med ansvarlighetsprinsippet kan påvise at nevnte brudd på personopplysningssikkerheten sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom nevnte melding ikke kan gis innen 72 timer, bør årsaken til forsinkelsen oppgis i meldingen, og informasjonen kan gis trinnvis uten videre ugrunnet opphold.
*ikke offisiell overskrift
Krav til behandling for formål knyttet til arkiv, vitenskapelig/historisk forskning eller statistikk*
156. Behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål bør være omfattet av nødvendige garantier som sikrer den registrertes rettigheter og friheter i henhold til denne forordning. Disse garantiene bør sikre at det er innført tekniske og organisatoriske tiltak for særlig å sikre overholdelse av prinsippet om dataminimering. Viderebehandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal utføres etter at den behandlingsansvarlige har foretatt en vurdering av om det er mulig å oppfylle nevnte formål ved å behandle opplysninger som ikke eller ikke lenger gjør det mulig å identifisere de registrerte, forutsatt at det foreligger nødvendige garantier (f.eks. pseudonymisering av opplysningene). Medlemsstatene bør fastsette nødvendige garantier for behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Medlemsstatene bør på særlige vilkår og med forbehold for nødvendige garantier for de registrerte ha rett til å fastsette spesifikasjoner og unntak med hensyn til informasjonskravene og retten til retting, sletting, til å bli glemt, til begrensning av behandling, til dataportabilitet og til å protestere i forbindelse med behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. De aktuelle vilkårene og garantiene kan omfatte særlige framgangsmåter som gjør det mulig for registrerte å utøve nevnte rettigheter dersom dette er egnet med henblikk på formålene med den spesifikke behandlingen, samt tekniske og organisatoriske tiltak som tar sikte på å minimere behandlingen av personopplysninger i henhold til forholdsmessighets- og nødvendighetsprinsippet. Behandling av personopplysninger for vitenskapelige formål bør også utføres i samsvar med annet relevant regelverk, f.eks. om kliniske utprøvinger.
*ikke offisiell overskrift
6) «register» enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag,
Teknologisk nøytral, elektroniske behandling, og manuell behandling i register*
15. For å unngå at det oppstår en alvorlig risiko for at bestemmelsene omgås bør vernet av fysiske personer være teknologisk nøytralt og ikke avhenge av teknikkene som benyttes. Vernet av fysiske personer bør få anvendelse på automatisert behandling av personopplysninger samt manuell behandling dersom personopplysningene inngår i eller skal inngå i et register. Saksmapper eller samlinger av saksmapper samt deres forsider som ikke er strukturert etter bestemte kriterier, bør ikke omfattes av denne forordnings virkeområde.
*ikke offisiell overskrift
Overføring av personopplysninger til tredjestater mv. med særlige grunnlag*
111. Det bør fastsettes bestemmelser om at overføringer i visse tilfeller skal være mulig dersom den registrerte har gitt sitt uttrykkelige samtykke, og dersom overføringen skjer leilighetsvis og er nødvendig i forbindelse med en avtale eller et rettslig krav, uavhengig av om det skjer i forbindelse med en rettssak, forvaltningssak eller utenrettslig prosedyre, herunder prosedyrer ved reguleringsorganer. Det bør også fastsettes bestemmelser om muligheten for overføring dersom viktige allmenne interesser nedfelt i unionsretten eller medlemsstatenes nasjonale rett krever det, eller dersom overføringen skjer fra et register som er opprettet ved lov, og som allmennheten eller personer med en berettiget interesse kan konsultere. I sistnevnte tilfelle bør en slik overføring ikke omfatte alle personopplysninger eller hele kategorier av opplysninger i registeret, og dersom nevnte register skal kunne konsulteres av personer med en berettiget interesse, bør overføringen skje bare på anmodning fra nevnte personer eller, dersom de selv er mottakere, ved å ta behørig hensyn til de registrertes interesser og grunnleggende rettigheter.
*ikke offisiell overskrift
7) «behandlingsansvarlig» en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett,
Fordeling av ansvar*
79. Vern av de registrertes rettigheter og friheter samt de behandlingsansvarliges og databehandleres ansvar, herunder i forbindelse med tilsynsmyndighetenes tilsyn og tiltak, krever en tydelig fordeling av ansvar i henhold til denne forordning, herunder når den behandlingsansvarlige fastsetter formålene med og midlene for behandlingen sammen med andre behandlingsansvarlige, eller når en behandlingsaktivitet utføres på vegne av en behandlingsansvarlig.
*ikke offisiell overskrift
Behandling for rent personlige/familiemessige forhold*
18. Denne forordning får ikke anvendelse på behandling av personopplysninger som en fysisk person utfører i forbindelse med rent personlige eller familiemessige aktiviteter, og som derfor ikke er knyttet til en yrkes- eller forretningsvirksomhet. Personlige eller familiemessige aktiviteter kan omfatte korrespondanse og føring av adresselister eller aktiviteter på sosiale nettverk samt aktiviteter på internett i forbindelse med slike aktiviteter. Denne forordning får imidlertid anvendelse på behandlingsansvarlige eller databehandlere som stiller til rådighet midler til behandling av personopplysninger i forbindelse med slike personlige eller familiemessige aktiviteter.
*ikke offisiell overskrift
Virksomheters behandling av personopplysninger innenfor eller utenfor EØS*
22. Enhver behandling av personopplysninger som utføres i forbindelse med aktivitetene i en virksomhet tilhørende en behandlingsansvarlig eller databehandler i Unionen, bør utføres i samsvar med denne forordning, uavhengig av om behandlingen finner sted i Unionen eller ikke. En virksomhet innebærer en effektiv og faktisk utøvelse av aktivitet gjennom en stabil struktur. En slik strukturs rettslige form, enten det dreier seg om en filial eller et datterforetak med status som juridisk person, er ikke av avgjørende betydning i denne forbindelse.*ikke offisiell overskrift
Omfatter alle opplysninger som kan knyttes til identifiserbar fysisk person, men ikke anonymiserte opplysninger*
26. Prinsippene om vern av personopplysninger bør få anvendelse på enhver opplysning om en identifisert eller identifiserbar fysisk person. Personopplysninger som er blitt pseudonymisert, og som kan knyttes til en fysisk person ved hjelp av tilleggsopplysninger, bør anses som opplysninger om en identifiserbar fysisk person. Når det skal fastslås om en fysisk person er identifiserbar, bør det tas hensyn til alle midler som det med rimelighet kan tenkes at den behandlingsansvarlige eller en annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte, f.eks. utpeking. For å fastslå om midler med rimelighet kan tenkes å bli tatt bruk for å identifisere den fysiske personen bør det tas hensyn til alle objektive faktorer, f.eks. kostnadene for og tiden som er nødvendig for å foreta identifikasjonen, idet det tas hensyn til teknologien som er tilgjengelig på behandlingstidspunktet, samt den teknologiske utvikling. Prinsippene om vern av personopplysninger bør derfor ikke få anvendelse på anonyme opplysninger, nærmere bestemt opplysninger som ikke kan knyttes til en identifisert eller identifiserbar fysisk person, eller personopplysninger som er blitt anonymisert på en slik måte at den registrerte ikke lenger kan identifiseres. Denne forordning gjelder derfor ikke behandling av slike anonyme opplysninger, herunder for statistiske formål eller forskningsformål.
*ikke offisiell overskrift
Behandlingsansvarliges hovedvirksomhet*
36. En behandlingsansvarliges hovedvirksomhet i Unionen bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, med mindre det treffes beslutninger om formål og midler i forbindelse med behandlingen av personopplysninger i en annen av den behandlingsansvarliges virksomheter i Unionen; da skal nevnte andre virksomhet anses for å være hovedvirksomheten. En behandlingsansvarliges hovedvirksomhet i Unionen bør fastslås ut fra objektive kriterier og bør innebære en effektiv og faktisk utøvelse av ledelsesaktiviteter som munner ut i de viktigste avgjørelsene med hensyn til formålet med og midlene for behandlingen gjennom en stabil struktur. Dette kriteriet bør ikke avhenge av om behandlingen av personopplysninger utføres på nevnte sted. Det forhold at det finnes og benyttes tekniske midler og teknologier i forbindelse med behandling av personopplysninger eller behandlingsaktiviteter, utgjør i seg selv ikke en hovedvirksomhet, og er derfor ikke avgjørende for kriteriet om hovedvirksomhet. Databehandlerens hovedvirksomhet bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, eller dersom vedkommende ikke har en hovedadministrasjon i Unionen, det sted der de fleste behandlingsaktivitetene finner sted i Unionen. I tilfeller som omfatter både den behandlingsansvarlige og databehandleren, bør vedkommende ledende tilsynsmyndighet fortsatt være tilsynsmyndigheten i medlemsstaten der den behandlingsansvarlige har sin hovedvirksomhet, mens databehandlerens tilsynsmyndighet bør anses for å være en berørt tilsynsmyndighet, og denne tilsynsmyndighet bør delta i framgangsmåten for samarbeid fastsatt i denne forordning. Under alle omstendigheter bør tilsynsmyndighetene i medlemsstaten eller medlemsstatene der databehandleren har én eller flere virksomheter, ikke anses for å være berørte tilsynsmyndigheter dersom utkastet til avgjørelse bare gjelder den behandlingsansvarlige. Dersom behandlingen utføres av et konsern, bør hovedvirksomheten til det foretaket som utøver kontroll, anses som konsernets hovedvirksomhet, bortsett fra når formålet med behandlingen og midlene som skal brukes, fastsettes av et annet foretak.
*ikke offisiell overskrift
Prinsipper for behandling av personopplysninger*
39. Enhver behandling av personopplysninger bør være lovlig og rettferdig. For fysiske personer bør det framgå klart og tydelig at personopplysninger om dem samles inn, benyttes, konsulteres eller på annen måte behandles, og i hvilket omfang de behandles eller vil bli behandlet. Prinsippet om åpenhet krever at all informasjon og kommunikasjon i forbindelse med behandling av nevnte personopplysninger er lett tilgjengelig og lettfattelig, og at språket som brukes, er klart og enkelt. Prinsippet gjelder særlig informasjon til de registrerte om identiteten til den behandlingsansvarlige og formålene med behandlingen samt ytterligere informasjon for å sikre en rettferdig og åpen behandling for de berørte fysiske personer samt deres rett til å få bekreftelse på og bli underrettet om de personopplysninger som gjelder dem, som behandles. Fysiske personer bør gjøres oppmerksomme på risikoer, regler, garantier og rettigheter i forbindelse med behandling av personopplysninger, og på hvilken måte de kan utøve sine rettigheter i forbindelse med nevnte behandling. De særlige formålene med behandlingen av personopplysningene bør især være berettigede, uttrykkelig angitt og fastsatt når personopplysningene samles inn. Personopplysningene bør være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Dette krever særlig at det sikres at personopplysningene ikke lagres lenger enn det som er strengt nødvendig. Personopplysninger bør behandles bare dersom formålet med behandlingen ikke med rimelighet kan oppfylles på annen måte. For å sikre at personopplysningene ikke lagres lenger enn nødvendig bør den behandlingsansvarlige fastsette frister for sletting eller for regelmessig gjennomgåelse. Ethvert rimelig tiltak bør treffes for å sikre at uriktige personopplysninger rettes eller slettes. Personopplysninger bør behandles på en måte som gir tilstrekkelig sikkerhet og konfidensialitet, herunder for å hindre ulovlig tilgang til eller bruk av personopplysninger og utstyret som brukes i forbindelse med behandlingen.
*ikke offisiell overskrift
8) «databehandler» en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige,
Bruk av databehandler*
81. For å sikre overholdelse av kravene i denne forordning med hensyn til behandling som skal utføres av databehandleren på vegne av den behandlingsansvarlige, når behandlingsaktiviteter overlates til en databehandler, bør den behandlingsansvarlige bare benytte databehandlere som gir tilstrekkelige garantier, særlig med tanke på dybdekunnskap, pålitelighet og ressurser, for at de vil gjennomføre tekniske og organisatoriske tiltak som vil oppfylle kravene i denne forordning, herunder kravene til sikker behandling. Databehandlerens overholdelse av godkjente atferdsnormer eller bruk av en godkjent sertifiseringsmekanisme kan brukes som en faktor for å påvise at den behandlingsansvarliges forpliktelser overholdes. Behandling som utføres av en databehandler, bør være underlagt en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett som binder databehandleren til den behandlingsansvarlige, og som fastsetter gjenstanden for og varigheten av behandlingen, behandlingens art og formål, typen personopplysninger og kategorier av registrerte, idet det tas hensyn til databehandlerens særlige oppgaver og ansvar i forbindelse med behandlingen som skal utføres, samt risikoen for den registrertes rettigheter og friheter. Den behandlingsansvarlige og databehandleren kan velge å bruke en individuell avtale eller standardavtalevilkår som enten er vedtatt direkte av Kommisjonen eller av en tilsynsmyndighet i samsvar med konsistensmekanismen, og deretter vedtatt av Kommisjonen. Når behandlingen på vegne av den behandlingsansvarlige er fullført, bør databehandleren tilbakelevere eller slette personopplysningene, avhengig av hva den behandlingsansvarlige velger, med mindre unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt, inneholder krav om lagring av personopplysningene.
*ikke offisiell overskrift
Behandlingsansvarliges hovedvirksomhet*
36. En behandlingsansvarliges hovedvirksomhet i Unionen bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, med mindre det treffes beslutninger om formål og midler i forbindelse med behandlingen av personopplysninger i en annen av den behandlingsansvarliges virksomheter i Unionen; da skal nevnte andre virksomhet anses for å være hovedvirksomheten. En behandlingsansvarliges hovedvirksomhet i Unionen bør fastslås ut fra objektive kriterier og bør innebære en effektiv og faktisk utøvelse av ledelsesaktiviteter som munner ut i de viktigste avgjørelsene med hensyn til formålet med og midlene for behandlingen gjennom en stabil struktur. Dette kriteriet bør ikke avhenge av om behandlingen av personopplysninger utføres på nevnte sted. Det forhold at det finnes og benyttes tekniske midler og teknologier i forbindelse med behandling av personopplysninger eller behandlingsaktiviteter, utgjør i seg selv ikke en hovedvirksomhet, og er derfor ikke avgjørende for kriteriet om hovedvirksomhet. Databehandlerens hovedvirksomhet bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, eller dersom vedkommende ikke har en hovedadministrasjon i Unionen, det sted der de fleste behandlingsaktivitetene finner sted i Unionen. I tilfeller som omfatter både den behandlingsansvarlige og databehandleren, bør vedkommende ledende tilsynsmyndighet fortsatt være tilsynsmyndigheten i medlemsstaten der den behandlingsansvarlige har sin hovedvirksomhet, mens databehandlerens tilsynsmyndighet bør anses for å være en berørt tilsynsmyndighet, og denne tilsynsmyndighet bør delta i framgangsmåten for samarbeid fastsatt i denne forordning. Under alle omstendigheter bør tilsynsmyndighetene i medlemsstaten eller medlemsstatene der databehandleren har én eller flere virksomheter, ikke anses for å være berørte tilsynsmyndigheter dersom utkastet til avgjørelse bare gjelder den behandlingsansvarlige. Dersom behandlingen utføres av et konsern, bør hovedvirksomheten til det foretaket som utøver kontroll, anses som konsernets hovedvirksomhet, bortsett fra når formålet med behandlingen og midlene som skal brukes, fastsettes av et annet foretak.
*ikke offisiell overskrift
Databehandlers bistand ved vurdering av personvernkonsekvenser (DPIA)*
95. Databehandleren bør ved behov og på anmodning bistå den behandlingsansvarlige med å overholde pliktene som er forbundet med utførelsen av vurderingen av personvernkonsekvenser, og med forhåndsdrøftinger med tilsynsmyndigheten.
*ikke offisiell overskrift
9) «mottaker» en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som personopplysninger utleveres til, enten det dreier seg om en tredjepart eller ikke. Offentlige myndigheter som kan motta personopplysninger innenfor rammen av en særskilt undersøkelse i samsvar med unionsretten eller medlemsstatenes nasjonale rett, skal imidlertid ikke anses som mottakere; nevnte offentlige myndigheters behandling av slike opplysninger skal være i samsvar med gjeldende regler om vern av personopplysninger i henhold til formålet med behandlingen,
Offentlige myndigheters anmodning og mottak av personopplysninger*
31. Offentlige myndigheter som får utlevert personopplysninger i samsvar med en rettslig forpliktelse i forbindelse med utøvelse av sitt offentlige oppdrag, f.eks. skatte- og tollmyndigheter, enheter som driver økonomisk etterforskning, uavhengige forvaltningsmyndigheter eller finansmarkedsmyndigheter med ansvar for regulering av og tilsyn med verdipapirmarkeder, bør ikke anses som mottakere dersom de mottar personopplysninger som er nødvendige for å utføre en bestemt granskning av allmenn interesse i samsvar med unionsretten eller medlemsstatenes nasjonale rett. Offentlige myndigheters anmodninger om utlevering av informasjon bør alltid være skriftlige, begrunnede og leilighetsvise og bør ikke gjelde et helt register eller føre til sammenkopling av registre. Nevnte offentlige myndigheters behandling av personopplysninger bør overholde gjeldende regler om vern av personopplysninger i samsvar med formålet med behandlingen.
*ikke offisiell overskrift
Tidspunkt for informering av registrerte*
61. Informasjonen i forbindelse med behandlingen av personopplysninger bør gis den registrerte på tidspunktet for innsamlingen av personopplysninger fra vedkommende eller, dersom personopplysningene innhentes fra en annen kilde, innen en rimelig frist, avhengig av de aktuelle omstendighetene. Dersom personopplysninger rettmessig kan utleveres til en annen mottaker, bør den registrerte informeres første gang personopplysningene utleveres til nevnte mottaker. Dersom den behandlingsansvarlige akter å behandle personopplysningene for et annet formål enn det de ble samlet inn for, bør den behandlingsansvarlige før nevnte viderebehandling gi den registrerte informasjon om nevnte andre formål og annen nødvendig informasjon. Dersom det ikke er mulig å informere den registrerte om personopplysningenes opprinnelse fordi det er brukt forskjellige kilder, bør det gis generell informasjon.
*ikke offisiell overskrift
Rett til innsyn*
63. En registrert bør ha rett til å få innsyn i personopplysninger som er samlet inn om vedkommende, og til på en enkel måte og med rimelige intervaller å utøve denne retten for å forvisse seg om og kontrollere at behandlingen er lovlig. Dette omfatter de registrertes rett til å få innsyn i egne helseopplysninger, f.eks. opplysninger i egen pasientjournal om diagnoser, undersøkelsesresultater, behandlende leges vurderinger og enhver behandling som er gitt, eller enhver intervensjon som er utført. Alle registrerte bør derfor ha rett til å kjenne til og bli informert om formålene med behandlingen av personopplysninger, om mulig om perioden som personopplysningene behandles i, hvem mottakerne av personopplysningene er, logikken som ligger bak en eventuell automatisk behandling av personopplysningene, og konsekvensene av nevnte behandling, i det minste dersom den er basert på profilering. Dersom det er mulig, bør den behandlingsansvarlige kunne gi fjerntilgang til et sikkert system der den registrerte kan få direkte tilgang til egne personopplysninger. Denne retten bør ikke ha negativ innvirkning på andres rettigheter eller friheter, herunder forretningshemmeligheter eller immaterialretten, særlig opphavsretten som programvaren er beskyttet av. Disse hensynene bør imidlertid ikke føre til at den registrerte nektes innsyn i alle opplysninger. Dersom den behandlingsansvarlige behandler en stor mengde opplysninger om den registrerte, bør den behandlingsansvarlige før informasjonen gis, kunne anmode om at den registrerte presiserer hvilke opplysninger eller behandlingsaktiviteter anmodningen gjelder.
*ikke offisiell overskrift
Overføring av personopplysninger til tredjestater mv.*
101. Strømmen av personopplysninger til og fra stater utenfor Unionen og internasjonale organisasjoner er nødvendig for å kunne utvide internasjonal handel og internasjonalt samarbeid. Denne strømmen har økt, og dette har skapt nye utfordringer og bekymringer med tanke på vern av personopplysninger. Når personopplysninger overføres fra Unionen til behandlingsansvarlige, databehandlere eller andre mottakere i tredjestater eller til internasjonale organisasjoner, bør det beskyttelsesnivået som fysiske personer ved denne forordning sikres i Unionen, imidlertid ikke undergraves, herunder i tilfeller der personopplysninger videreoverføres fra tredjestaten eller den internasjonale organisasjonen til behandlingsansvarlige eller databehandlere i den samme eller en annen tredjestat eller internasjonal organisasjon. Overføring til tredjestater og internasjonale organisasjoner må under alle omstendigheter bare skje i fullt samsvar med denne forordning. Med forbehold for de andre bestemmelsene i denne forordning kan en overføring bare finne sted dersom den behandlingsansvarlige eller databehandleren overholder vilkårene fastsatt i bestemmelsene i denne forordning om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner.
*ikke offisiell overskrift
Overføring av personopplysninger til tredjestater mv. med særlige grunnlag*
111. Det bør fastsettes bestemmelser om at overføringer i visse tilfeller skal være mulig dersom den registrerte har gitt sitt uttrykkelige samtykke, og dersom overføringen skjer leilighetsvis og er nødvendig i forbindelse med en avtale eller et rettslig krav, uavhengig av om det skjer i forbindelse med en rettssak, forvaltningssak eller utenrettslig prosedyre, herunder prosedyrer ved reguleringsorganer. Det bør også fastsettes bestemmelser om muligheten for overføring dersom viktige allmenne interesser nedfelt i unionsretten eller medlemsstatenes nasjonale rett krever det, eller dersom overføringen skjer fra et register som er opprettet ved lov, og som allmennheten eller personer med en berettiget interesse kan konsultere. I sistnevnte tilfelle bør en slik overføring ikke omfatte alle personopplysninger eller hele kategorier av opplysninger i registeret, og dersom nevnte register skal kunne konsulteres av personer med en berettiget interesse, bør overføringen skje bare på anmodning fra nevnte personer eller, dersom de selv er mottakere, ved å ta behørig hensyn til de registrertes interesser og grunnleggende rettigheter.
*ikke offisiell overskrift
10) «tredjepart» enhver annen fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ enn den registrerte, den behandlingsansvarlige, databehandleren og de personer som under den behandlingsansvarlige eller databehandlerens direkte myndighet har fullmakt til å behandle personopplysninger,
Behandling på grunnlag av berettigede interesser*
47. De berettigede interessene til en behandlingsansvarlig, herunder de berettigede interessene til en behandlingsansvarlig som personopplysninger kan utleveres til, eller til en tredjepart, kan utgjøre et rettslig grunnlag for behandlingen, forutsatt at den registrertes interesser eller grunnleggende rettigheter og friheter ikke går foran, idet det tas hensyn til de registrertes rimelige forventninger på grunnlag av forholdet mellom dem og den behandlingsansvarlige. Det kan f.eks. foreligge en slik berettiget interesse når det er et relevant og passende forhold mellom den registrerte og den behandlingsansvarlige, f.eks. dersom den registrerte er kunde av den behandlingsansvarlige eller i vedkommendes tjeneste. En berettiget interesse krever i alle tilfeller en nøye vurdering, herunder av om en registrert på tidspunktet for og i forbindelse med innsamling av personopplysninger med rimelighet kan forvente at disse behandles for nevnte formål. Den registrertes interesser og grunnleggende rettigheter kan særlig gå foran den behandlingsansvarliges interesser dersom personopplysningene behandles under omstendigheter der de registrerte med rimelighet forventer at opplysningene ikke viderebehandles. Ettersom det er opp til lovgiveren ved lov å fastsette det rettslige grunnlaget for offentlige myndigheters behandling av personopplysninger, bør nevnte rettslige grunnlag ikke gjelde for behandling som offentlige myndigheter utfører i forbindelse med utførelse av de oppgavene de er tillagt. Behandling av personopplysninger som er strengt nødvendig for å forebygge bedrageri, utgjør også en berettiget interesse for den berørte behandlingsansvarlige. Behandling av personopplysninger i forbindelse med direkte markedsføring kan anses for å være en berettiget interesse.
*ikke offisiell overskrift
Rett til å protestere mot behandling*
69. Dersom personopplysningene kan behandles på lovlig vis fordi behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, eller av hensyn til en behandlingsansvarligs eller en tredjeparts berettigede interesser, bør en registrert imidlertid ha rett til å protestere mot enhver behandling av personopplysninger som gjelder vedkommendes særlige situasjon. Det bør være opp til behandlingsansvarlige å påvise at vedkommendes tvingende berettigede interesse går foran den registrertes interesser eller grunnleggende rettigheter og friheter.
*ikke offisiell overskrift
11) «samtykke» fra den registrerte enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende,
Samtykke ved vitenskapelig forskning*
161. Når det gjelder samtykke til å delta i vitenskapelige forskningsaktiviteter i forbindelse med kliniske utprøvinger, bør de relevante bestemmelsene i europaparlaments- og rådsforordning (EU) nr. 536/2014 få anvendelse.
*ikke offisiell overskrift
12) «brudd på personopplysningssikkerheten» et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet,
Personvernbrudd og varsling*
85. Et brudd på personopplysningssikkerheten kan, dersom det ikke håndteres på egnet måte og i rett tid, påføre fysiske personer fysisk, materiell eller ikke-materiell skade, f.eks. tap av kontroll over egne personopplysninger eller begrensning av egne rettigheter, forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, uautorisert oppheving av pseudonymisering, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger eller andre betydelige økonomiske eller sosiale ulemper for den berørte fysiske personen. Så snart den behandlingsansvarlige får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten, bør vedkommende melde nevnte brudd til tilsynsmyndigheten uten ugrunnet opphold og om mulig senest 72 timer etter å ha fått kjennskap til det, med mindre vedkommende i samsvar med ansvarlighetsprinsippet kan påvise at nevnte brudd på personopplysningssikkerheten sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom nevnte melding ikke kan gis innen 72 timer, bør årsaken til forsinkelsen oppgis i meldingen, og informasjonen kan gis trinnvis uten videre ugrunnet opphold.
*ikke offisiell overskrift
Varsel om personvernbrudd til registrerte*
86. Den behandlingsansvarlige bør uten ugrunnet opphold underrette den registrerte om et brudd på personopplysningssikkerheten dersom det er sannsynlig at nevnte brudd kan medføre en høy risiko for den fysiske personens rettigheter og friheter, slik at vedkommende får mulighet til å treffe de nødvendige forholdsregler. Underretningen bør beskrive arten av bruddet på personopplysningssikkerheten og inneholde anbefalinger som den berørte fysiske personen kan følge for å begrense mulige skadevirkninger. De registrerte bør underrettes så snart det med rimelighet er mulig, og i nært samarbeid med tilsynsmyndigheten og i samsvar med retningslinjer utstedt av den eller av andre relevante myndigheter, f.eks. myndigheter med ansvar for håndheving av loven. Behovet for å redusere en umiddelbar risiko for skade kan f.eks. kreve at de registrerte underrettes omgående, mens behovet for å gjennomføre egnede tiltak mot fortsatte eller lignende brudd på personopplysningssikkerheten kan berettige en lengre frist for underretning.
*ikke offisiell overskrift
Undersøkelser av personvernbrudd*
87. Det bør undersøkes om alle egnede teknologiske sikkerhetstiltak og organisatoriske tiltak er blitt gjennomført for omgående å kunne fastslå om det har funnet sted et brudd på personopplysningssikkerheten, og for omgående å underrette tilsynsmyndigheten og den registrerte. Det bør fastslås om meldingen ble gitt uten ugrunnet opphold, idet det tas særlig hensyn til arten og alvorlighetsgraden av bruddet på personopplysningssikkerheten og konsekvensene og skadevirkningene det har for den registrerte. En slik melding kan føre til inngripen fra tilsynsmyndigheten i samsvar med dens oppgaver og myndighet fastsatt i denne forordning.
*ikke offisiell overskrift
Format og fremgangsmåte for å melde personvernbrudd*
88. Ved fastsettelse av nærmere regler om formatet og framgangsmåtene som får anvendelse på melding av brudd på personopplysningssikkerheten, bør det tas behørig hensyn til omstendighetene rundt nevnte brudd, herunder om personopplysningene var omfattet av hensiktsmessige tekniske sikkerhetstiltak som på en effektiv måte begrenser sannsynligheten for identitetsbedrageri eller andre former for misbruk. Nevnte regler og framgangsmåter bør videre ta hensyn til de berettigede interessene til myndighetene med ansvar for håndheving av loven dersom en tidlig offentliggjøring i unødig grad vil kunne hindre etterforskning av omstendighetene rundt et brudd på personopplysningssikkerheten.
*ikke offisiell overskrift
Begrensninger i de registrertes rettigheter etter nasjonal lov*
73. Særlige prinsipper og retten til informasjon, innsyn i og retting eller sletting av personopplysninger, retten til dataportabilitet, retten til å protestere, avgjørelser basert på profilering samt underretning av en registrert om brudd på personopplysningssikkerheten og visse tilhørende forpliktelser som påhviler de behandlingsansvarlige, kan begrenses av unionsretten eller medlemsstatenes nasjonale rett i den grad det i et demokratisk samfunn er nødvendig og forholdsmessig av hensyn til den offentlige sikkerhet, herunder vern av menneskeliv, særlig som følge av naturkatastrofer eller menneskeskapte katastrofer, forebygging, etterforskning og straffeforfølging av straffbare forhold eller iverksetting av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet, eller brudd på yrkesetiske regler i lovregulerte yrker, andre viktige mål i allmennhetens interesse i Unionen eller en medlemsstat, særlig en viktig økonomisk eller finansiell interesse for Unionen eller en medlemsstat, føring av offentlige registre i allmennhetens interesse, viderebehandling av arkiverte personopplysninger for å framlegge særlig informasjon om politisk atferd under tidligere totalitære regimer eller vern av den registrerte eller andres rettigheter og friheter, herunder sosial trygghet, folkehelse og humanitære formål. Nevnte begrensninger bør være i samsvar med kravene fastsatt i pakten og i Den europeiske konvensjon om beskyttelse av menneskerettighetene og de grunnleggende friheter.
*ikke offisiell overskrift
13) «genetiske opplysninger» personopplysninger om en fysisk persons nedarvede eller ervervede genetiske egenskaper som gir unik informasjon om den aktuelle fysiske personens fysiologi eller helse, og som særlig er framkommet etter analysering av en biologisk prøve fra den aktuelle fysiske personen,
Genetiske opplysninger*
34. Genetiske opplysninger bør defineres som personopplysninger om en fysisk persons nedarvede eller ervervede genetiske egenskaper som foreligger etter analysering av en biologisk prøve fra nevnte fysiske person, særlig en kromosomanalyse eller en DNA- eller RNA-analyse, eller analysering av andre elementer som gjør det mulig å innhente tilsvarende opplysninger.
*ikke offisiell overskrift
Personopplysninger om helse*
35. Personopplysninger om helse bør omfatte alle opplysninger om den registrertes helsetilstand som avdekker den registrertes tidligere, nåværende eller fremtidige fysiske eller psykiske helsetilstand. Dette omfatter opplysninger om den fysiske personen innsamlet under registrering av vedkommende med henblikk på eller under yting av helsetjenester, som nevnt i europaparlaments- og rådsdirektiv 2011/24/EU, til den aktuelle fysiske personen; et tall, symbol eller kjennetegn som tildeles en fysisk person for på en entydig måte å identifisere vedkommende for helseformål; opplysninger som stammer fra tester eller undersøkelser av en kroppsdel eller en kroppssubstans, herunder fra genetiske opplysninger og biologiske prøver; og enhver opplysning om den registrerte med hensyn til f.eks. sykdom, funksjonshemning, sykdomsrisiko, sykehistorie, klinisk behandling eller fysiologisk eller biomedisinsk tilstand uavhengig av hvor dette stammer fra, f.eks. fra en lege eller annet helsepersonell, et sykehus, medisinsk utstyr eller in vitro-diagnostikk.
*ikke offisiell overskrift
Behandling av særlige kategorier personopplysninger for helserelaterte formål*
53. Særlige kategorier av personopplysninger som fortjener et sterkere vern, bør bare behandles for helserelaterte formål når det er nødvendig for å oppfylle nevnte formål til fordel for fysiske personer og samfunnet som helhet, særlig i forbindelse med forvaltning av helse- eller sosialtjenester og -systemer, herunder forvaltningens og sentrale nasjonale helsemyndigheters behandling av slike opplysninger med henblikk på kvalitetskontroll, forvaltningsinformasjon og den allmenne nasjonale og lokale overvåking av helse- og sosialsystemet, og for å sikre kontinuitet innen helse- og sosialtjenester og helsetjenester over landegrensene eller i forbindelse med helsesikkerhet, -overvåking og -varsling eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som må oppfylle et mål i allmennhetens interesse, samt for studier på området folkehelse som utføres i allmennhetens interesse. Ved denne forordning bør det derfor fastsettes harmoniserte vilkår for behandling av særlige kategorier av personopplysninger om helse for å oppfylle særlige behov, især når behandlingen av nevnte opplysninger utføres for visse helserelaterte formål av personer som er underlagt lovfestet taushetsplikt. I unionsretten eller medlemsstatenes nasjonale rett bør det fastsettes særlige og egnede tiltak for vern av fysiske personers grunnleggende rettigheter og personopplysninger. Medlemsstatene bør kunne opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger. Dette bør imidlertid ikke hindre den frie flyten av personopplysninger i Unionen når nevnte vilkår får anvendelse på grenseoverskridende behandling av nevnte opplysninger.
*ikke offisiell overskrift
Risiko ved behandling av personopplysninger*
75. Behandling av personopplysninger kan føre til at det oppstår risikoer av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter som kan medføre fysisk, materiell eller ikke-materiell skade, særlig når behandlingen kan føre til forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger, uautorisert oppheving av pseudonymisering eller andre betydelige økonomiske eller sosiale ulemper, når de registrerte kan bli fratatt sine rettigheter og friheter eller bli hindret i å utøve kontroll over egne personopplysninger, når behandlingen gjelder personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, og behandling av genetiske opplysninger, helseopplysninger, seksuelle forhold eller straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak, når personlige aspekter vurderes, særlig for å analysere eller forutsi aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, for å opprette eller bruke personlige profiler, når sårbare fysiske personers, særlig barns, personopplysninger behandles, eller når behandlingen omfatter en stor mengde personopplysninger og berører et stort antall registrerte.
*ikke offisiell overskrift
14) «biometriske opplysninger» personopplysninger som stammer fra en særskilt teknisk behandling knyttet til en fysisk persons fysiske, fysiologiske eller atferdsmessige egenskaper, og som muliggjør eller bekrefter en entydig identifikasjon av nevnte fysiske person, f.eks. ansiktsbilder eller fingeravtrykksopplysninger,
Behandling av særlige kategorier/sensitive personopplysninger*
51. Personopplysninger som av natur er særlig sensitive med hensyn til grunnleggende rettigheter og friheter, fortjener et særskilt vern, ettersom sammenhengen de behandles i, kan skape betydelige risikoer for de grunnleggende rettigheter og friheter. Slike personopplysninger bør omfatte personopplysninger som avdekker rasemessig eller etnisk opprinnelse, idet bruken av begrepet «rasemessig opprinnelse» i denne forordning ikke innebærer at Unionen godtar teorier som søker å fastslå at det finnes forskjellige menneskeraser. Behandling av fotografier bør ikke systematisk anses som behandling av særlige kategorier av personopplysninger, ettersom fotografier omfattes av definisjonen av biometriske opplysninger bare når de behandles ved hjelp av et særskilt teknisk middel som gjør det mulig entydig å identifisere eller autentisere en fysisk person. Slike personopplysninger bør ikke behandles, med mindre behandlingen er tillatt i særlige tilfeller fastsatt i denne forordning, idet det tas hensyn til at det i medlemsstatenes nasjonale rett kan fastsettes særlige bestemmelser om vern av personopplysninger med henblikk på å tilpasse anvendelsen av reglene i denne forordning for å oppfylle en rettslig forpliktelse eller utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. I tillegg til de særlige kravene til slik behandling bør de allmenne prinsippene og de andre reglene i denne forordning få anvendelse, særlig når det gjelder vilkårene for lovlig behandling. Unntak fra det allmenne forbudet mot å behandle nevnte særlige kategorier av personopplysninger bør fastsettes uttrykkelig, blant annet dersom den registrerte gir sitt uttrykkelige samtykke, eller for å oppfylle særlige behov, særlig når behandlingen utføres i forbindelse med visse sammenslutningers eller stiftelsers rettmessige virksomhet hvis formål er å gjøre det mulig å utøve grunnleggende friheter.
*ikke offisiell overskrift
Behandling av særlige kategorier personopplysninger for helserelaterte formål*
53. Særlige kategorier av personopplysninger som fortjener et sterkere vern, bør bare behandles for helserelaterte formål når det er nødvendig for å oppfylle nevnte formål til fordel for fysiske personer og samfunnet som helhet, særlig i forbindelse med forvaltning av helse- eller sosialtjenester og -systemer, herunder forvaltningens og sentrale nasjonale helsemyndigheters behandling av slike opplysninger med henblikk på kvalitetskontroll, forvaltningsinformasjon og den allmenne nasjonale og lokale overvåking av helse- og sosialsystemet, og for å sikre kontinuitet innen helse- og sosialtjenester og helsetjenester over landegrensene eller i forbindelse med helsesikkerhet, -overvåking og -varsling eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som må oppfylle et mål i allmennhetens interesse, samt for studier på området folkehelse som utføres i allmennhetens interesse. Ved denne forordning bør det derfor fastsettes harmoniserte vilkår for behandling av særlige kategorier av personopplysninger om helse for å oppfylle særlige behov, især når behandlingen av nevnte opplysninger utføres for visse helserelaterte formål av personer som er underlagt lovfestet taushetsplikt. I unionsretten eller medlemsstatenes nasjonale rett bør det fastsettes særlige og egnede tiltak for vern av fysiske personers grunnleggende rettigheter og personopplysninger. Medlemsstatene bør kunne opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger. Dette bør imidlertid ikke hindre den frie flyten av personopplysninger i Unionen når nevnte vilkår får anvendelse på grenseoverskridende behandling av nevnte opplysninger.
*ikke offisiell overskrift
Offentlig myndigheters behandling av personopplysninger om religiøse sammenslutninger*
55. Offentlige myndigheters behandling av personopplysninger med henblikk på å nå målene til offisielt anerkjente religiøse sammenslutninger som er fastsatt ved forfatningsretten eller ved folkeretten, utføres også i allmennhetens interesse.
*ikke offisiell overskrift
Gjenstand for vurdering av personvernkonsekvenser (DPIA)*
91. Dette bør særlig få anvendelse på behandlingsaktiviteter i stor skala der formålet er å behandle en betydelig mengde personopplysninger på regionalt, nasjonalt eller overnasjonalt plan, og som kan påvirke et stort antall registrerte og innebære en høy risiko, f.eks. fordi opplysningene er sensitive, dersom, i samsvar med det oppnådde nivået av teknisk kunnskap, en ny teknologi anvendes i stor skala samt i forbindelse med andre behandlingsaktiviteter som innebærer en høy risiko for de registrertes rettigheter og friheter, særlig dersom nevnte aktiviteter gjør det vanskeligere for de registrerte å utøve sine rettigheter. Det bør også utføres en vurdering av personvernkonsekvenser dersom personopplysninger behandles med det formål å treffe avgjørelser om særskilte fysiske personer etter en systematisk og omfattende vurdering av personlige aspekter vedrørende fysiske personer basert på profilering av nevnte opplysninger, eller etter behandling av særlige kategorier av personopplysninger, biometriske opplysninger eller opplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak. Det kreves også en vurdering av personvernkonsekvenser ved overvåking i stor skala av offentlig tilgjengelige steder, særlig ved bruk av optoelektronisk utstyr, eller ved andre aktiviteter der vedkommende tilsynsmyndighet vurderer at behandlingen kan føre til en høy risiko for de registrertes rettigheter og friheter, særlig fordi de hindrer de registrerte i å utøve en rettighet eller gjøre bruk av en tjeneste eller en avtale, eller fordi de utføres systematisk i stor skala. Behandling av personopplysninger bør ikke anses for å være i stor skala dersom det er snakk om en leges, annet helsepersonells eller en advokats behandling av personopplysninger tilhørende pasienter eller klienter. I slike tilfeller bør en vurdering av personvernkonsekvenser ikke være obligatorisk.
*ikke offisiell overskrift
15) «helseopplysninger» personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand,
Personopplysninger om helse*
35. Personopplysninger om helse bør omfatte alle opplysninger om den registrertes helsetilstand som avdekker den registrertes tidligere, nåværende eller fremtidige fysiske eller psykiske helsetilstand. Dette omfatter opplysninger om den fysiske personen innsamlet under registrering av vedkommende med henblikk på eller under yting av helsetjenester, som nevnt i europaparlaments- og rådsdirektiv 2011/24/EU, til den aktuelle fysiske personen; et tall, symbol eller kjennetegn som tildeles en fysisk person for på en entydig måte å identifisere vedkommende for helseformål; opplysninger som stammer fra tester eller undersøkelser av en kroppsdel eller en kroppssubstans, herunder fra genetiske opplysninger og biologiske prøver; og enhver opplysning om den registrerte med hensyn til f.eks. sykdom, funksjonshemning, sykdomsrisiko, sykehistorie, klinisk behandling eller fysiologisk eller biomedisinsk tilstand uavhengig av hvor dette stammer fra, f.eks. fra en lege eller annet helsepersonell, et sykehus, medisinsk utstyr eller in vitro-diagnostikk.
*ikke offisiell overskrift
Behandling av særlige kategorier personopplysninger for helserelaterte formål*
53. Særlige kategorier av personopplysninger som fortjener et sterkere vern, bør bare behandles for helserelaterte formål når det er nødvendig for å oppfylle nevnte formål til fordel for fysiske personer og samfunnet som helhet, særlig i forbindelse med forvaltning av helse- eller sosialtjenester og -systemer, herunder forvaltningens og sentrale nasjonale helsemyndigheters behandling av slike opplysninger med henblikk på kvalitetskontroll, forvaltningsinformasjon og den allmenne nasjonale og lokale overvåking av helse- og sosialsystemet, og for å sikre kontinuitet innen helse- og sosialtjenester og helsetjenester over landegrensene eller i forbindelse med helsesikkerhet, -overvåking og -varsling eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som må oppfylle et mål i allmennhetens interesse, samt for studier på området folkehelse som utføres i allmennhetens interesse. Ved denne forordning bør det derfor fastsettes harmoniserte vilkår for behandling av særlige kategorier av personopplysninger om helse for å oppfylle særlige behov, især når behandlingen av nevnte opplysninger utføres for visse helserelaterte formål av personer som er underlagt lovfestet taushetsplikt. I unionsretten eller medlemsstatenes nasjonale rett bør det fastsettes særlige og egnede tiltak for vern av fysiske personers grunnleggende rettigheter og personopplysninger. Medlemsstatene bør kunne opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger. Dette bør imidlertid ikke hindre den frie flyten av personopplysninger i Unionen når nevnte vilkår får anvendelse på grenseoverskridende behandling av nevnte opplysninger.
*ikke offisiell overskrift
Behandling av særlige kategorier personopplysninger for allmenne folkehelsehensyn*
54. Allmenne folkehelsehensyn gjør at det kan være nødvendig å behandle særlige kategorier av personopplysninger uten den registrertes samtykke. En slik behandling bør være underlagt egnede og særlige tiltak som sikrer vern av fysiske personers rettigheter og friheter. I denne forbindelse bør «folkehelse» tolkes i henhold til europaparlaments- og rådsforordning (EF) nr. 1338/2008, nærmere bestemt alle faktorer knyttet til helse, nærmere bestemt helsestatus, herunder sykelighet og funksjonshemning, faktorer som har innvirkning på denne helsestatusen, behov for helsetjenester, ressurser avsatt til helsetjenester, yting av og allmenn tilgang til helsetjenester, utgifter til og finansiering av helsetjenester samt dødsårsaker. En slik behandling av helseopplysninger i allmennhetens interesse bør ikke føre til at personopplysninger behandles for andre formål av tredjeparter, f.eks. arbeidsgivere, forsikringsselskaper eller banker.
*ikke offisiell overskrift
Rett til innsyn*
63. En registrert bør ha rett til å få innsyn i personopplysninger som er samlet inn om vedkommende, og til på en enkel måte og med rimelige intervaller å utøve denne retten for å forvisse seg om og kontrollere at behandlingen er lovlig. Dette omfatter de registrertes rett til å få innsyn i egne helseopplysninger, f.eks. opplysninger i egen pasientjournal om diagnoser, undersøkelsesresultater, behandlende leges vurderinger og enhver behandling som er gitt, eller enhver intervensjon som er utført. Alle registrerte bør derfor ha rett til å kjenne til og bli informert om formålene med behandlingen av personopplysninger, om mulig om perioden som personopplysningene behandles i, hvem mottakerne av personopplysningene er, logikken som ligger bak en eventuell automatisk behandling av personopplysningene, og konsekvensene av nevnte behandling, i det minste dersom den er basert på profilering. Dersom det er mulig, bør den behandlingsansvarlige kunne gi fjerntilgang til et sikkert system der den registrerte kan få direkte tilgang til egne personopplysninger. Denne retten bør ikke ha negativ innvirkning på andres rettigheter eller friheter, herunder forretningshemmeligheter eller immaterialretten, særlig opphavsretten som programvaren er beskyttet av. Disse hensynene bør imidlertid ikke føre til at den registrerte nektes innsyn i alle opplysninger. Dersom den behandlingsansvarlige behandler en stor mengde opplysninger om den registrerte, bør den behandlingsansvarlige før informasjonen gis, kunne anmode om at den registrerte presiserer hvilke opplysninger eller behandlingsaktiviteter anmodningen gjelder.
*ikke offisiell overskrift
Risiko ved behandling av personopplysninger*
75. Behandling av personopplysninger kan føre til at det oppstår risikoer av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter som kan medføre fysisk, materiell eller ikke-materiell skade, særlig når behandlingen kan føre til forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger, uautorisert oppheving av pseudonymisering eller andre betydelige økonomiske eller sosiale ulemper, når de registrerte kan bli fratatt sine rettigheter og friheter eller bli hindret i å utøve kontroll over egne personopplysninger, når behandlingen gjelder personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, og behandling av genetiske opplysninger, helseopplysninger, seksuelle forhold eller straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak, når personlige aspekter vurderes, særlig for å analysere eller forutsi aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, for å opprette eller bruke personlige profiler, når sårbare fysiske personers, særlig barns, personopplysninger behandles, eller når behandlingen omfatter en stor mengde personopplysninger og berører et stort antall registrerte.
*ikke offisiell overskrift
16) «hovedvirksomhet»:
a) når det gjelder en behandlingsansvarlig med virksomheter i mer enn én medlemsstat, stedet for dennes hovedadministrasjon i Unionen, med mindre avgjørelser om formål og midler i forbindelse med behandlingen av personopplysninger treffes i en annen av den behandlingsansvarliges virksomheter i Unionen, og sistnevnte virksomhet har myndighet til å få gjennomført nevnte avgjørelser, i dette tilfellet skal virksomheten som har truffet slike avgjørelser, anses for å være hovedvirksomheten,
b) når det gjelder en databehandler med virksomheter i mer enn én medlemsstat, stedet for dennes hovedadministrasjon i Unionen eller, dersom databehandleren ikke har noen hovedadministrasjon i Unionen, databehandlerens virksomhet i Unionen der hoveddelen av behandlingsaktivitetene i forbindelse med aktivitetene ved en databehandlers virksomhet finner sted, i den grad databehandleren er underlagt særlige forpliktelser i henhold til denne forordning,
Behandlingsansvarliges hovedvirksomhet*
36. En behandlingsansvarliges hovedvirksomhet i Unionen bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, med mindre det treffes beslutninger om formål og midler i forbindelse med behandlingen av personopplysninger i en annen av den behandlingsansvarliges virksomheter i Unionen; da skal nevnte andre virksomhet anses for å være hovedvirksomheten. En behandlingsansvarliges hovedvirksomhet i Unionen bør fastslås ut fra objektive kriterier og bør innebære en effektiv og faktisk utøvelse av ledelsesaktiviteter som munner ut i de viktigste avgjørelsene med hensyn til formålet med og midlene for behandlingen gjennom en stabil struktur. Dette kriteriet bør ikke avhenge av om behandlingen av personopplysninger utføres på nevnte sted. Det forhold at det finnes og benyttes tekniske midler og teknologier i forbindelse med behandling av personopplysninger eller behandlingsaktiviteter, utgjør i seg selv ikke en hovedvirksomhet, og er derfor ikke avgjørende for kriteriet om hovedvirksomhet. Databehandlerens hovedvirksomhet bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, eller dersom vedkommende ikke har en hovedadministrasjon i Unionen, det sted der de fleste behandlingsaktivitetene finner sted i Unionen. I tilfeller som omfatter både den behandlingsansvarlige og databehandleren, bør vedkommende ledende tilsynsmyndighet fortsatt være tilsynsmyndigheten i medlemsstaten der den behandlingsansvarlige har sin hovedvirksomhet, mens databehandlerens tilsynsmyndighet bør anses for å være en berørt tilsynsmyndighet, og denne tilsynsmyndighet bør delta i framgangsmåten for samarbeid fastsatt i denne forordning. Under alle omstendigheter bør tilsynsmyndighetene i medlemsstaten eller medlemsstatene der databehandleren har én eller flere virksomheter, ikke anses for å være berørte tilsynsmyndigheter dersom utkastet til avgjørelse bare gjelder den behandlingsansvarlige. Dersom behandlingen utføres av et konsern, bør hovedvirksomheten til det foretaket som utøver kontroll, anses som konsernets hovedvirksomhet, bortsett fra når formålet med behandlingen og midlene som skal brukes, fastsettes av et annet foretak.
*ikke offisiell overskrift
Konsern*
37. Et konsern bør omfatte et foretak som utøver kontroll, og dets kontrollerte foretak, der foretaket som utøver kontroll, bør være det foretak som kan utøve en dominerende innflytelse på de andre foretakene, f.eks. i kraft av eiendomsrett, økonomisk deltaking eller reglene det er underlagt, eller myndigheten til å få gjennomført regler om vern av personopplysninger. Et foretak som kontrollerer behandlingen av personopplysninger i tilknyttede foretak, bør sammen med disse foretak anses som et konsern.
*ikke offisiell overskrift
Ledende tilsynsmyndighet når behandlingsansvarlig/databehandler er etablert i flere land (ettstedsmekanismen)*
124. Dersom behandlingen av personopplysninger utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller databehandler i Unionen, og den behandlingsansvarlige eller databehandleren er etablert i mer enn én medlemsstat, eller dersom behandlingen som utføres i forbindelse med aktivitetene ved den eneste virksomheten til en behandlingsansvarlig eller databehandler i Unionen, i vesentlig grad påvirker eller sannsynligvis vil påvirke registrerte i mer enn én medlemsstat, bør tilsynsmyndigheten for den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet fungere som ledende tilsynsmyndighet. Den bør samarbeide med de andre berørte myndighetene dersom den behandlingsansvarlige eller databehandleren har en virksomhet på territoriet til deres medlemsstat, dersom registrerte bosatt på deres territorium i vesentlig grad berøres, eller dersom det er inngitt klage til dem. Også dersom en registrert som ikke er bosatt i nevnte medlemsstat, har inngitt klage, bør tilsynsmyndigheten som klagen er inngitt til, også være en berørt tilsynsmyndighet. Personvernrådet bør innenfor rammen av sine oppgaver med å utstede retningslinjer for eventuelle spørsmål som omfatter anvendelsen av denne forordning, særlig kunne utstede retningslinjer for kriteriene som skal tas i betraktning for å vurdere om den aktuelle behandlingen i vesentlig grad berører registrerte i mer enn én medlemsstat, og for hva som utgjør en relevant og begrunnet innsigelse.
*ikke offisiell overskrift
Avgjørelse av flere tilsynsmyndigheter*
126. Avgjørelsen bør treffes i fellesskap av den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene og bør rettes til den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet, og den bør være bindende for den behandlingsansvarlige og databehandleren. Den behandlingsansvarlige eller databehandleren bør treffe de nødvendige tiltak for å sikre samsvar med denne forordning samt gjennomføring av avgjørelsen som den ledende tilsynsmyndigheten har meddelt den behandlingsansvarliges eller databehandlerens hovedvirksomhet med hensyn til behandlingsaktiviteter i Unionen.
*ikke offisiell overskrift
(a) as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment;
(b) as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation;
17) «representant» en fysisk eller juridisk person som er etablert i Unionen, som den behandlingsansvarlige eller databehandleren har utpekt skriftlig i henhold til artikkel 27, og som representerer den behandlingsansvarlige eller databehandleren med hensyn til de forpliktelser de har i henhold til denne forordning,
Representant for behandlingsansvarlig/databehandler utenfor EØS*
80. Dersom en behandlingsansvarlig eller en databehandler som ikke er etablert i Unionen, behandler personopplysninger om registrerte som befinner seg i Unionen, og behandlingsaktivitetene gjelder tilbud av varer og tjenester til nevnte registrerte i Unionen, uavhengig av om det kreves betaling fra disse eller ikke, eller monitorering av deres atferd, dersom atferden finner sted i Unionen, bør den behandlingsansvarlige eller databehandleren utpeke en representant, med mindre behandlingen skjer leilighetsvis, ikke omfatter behandling i stor skala av særlige kategorier av personopplysninger eller behandling av personopplysninger om straffedommer og lovovertredelser, og at behandlingen sannsynligvis ikke vil innebære en risiko for fysiske personers rettigheter og friheter, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, eller om den behandlingsansvarlige er en offentlig myndighet eller et offentlig organ. Representanten bør opptre på vegne av den behandlingsansvarlige eller databehandleren og bør kunne kontaktes av alle tilsynsmyndigheter. Representanten bør utpekes eksplisitt gjennom en skriftlig fullmakt fra den behandlingsansvarlige eller databehandleren til å opptre på deres vegne med hensyn til deres forpliktelser i henhold til denne forordning. Utpekingen av nevnte representant berører ikke den behandlingsansvarliges eller databehandlerens ansvar eller erstatningsansvar i henhold til denne forordning. Nevnte representant bør utføre sine oppgaver i henhold til fullmakten fra den behandlingsansvarlige eller databehandleren, herunder samarbeide med vedkommende tilsynsmyndigheter om eventuelle tiltak som treffes for å sikre at denne forordning overholdes. Den utpekte representanten bør være underlagt håndhevingstiltak i tilfelle manglende overholdelse fra den behandlingsansvarliges eller databehandlerens side.
*ikke offisiell overskrift
18) «foretak» en fysisk eller juridisk person som utøver økonomisk virksomhet, uavhengig av foretakets rettslige form, herunder partnerskap eller sammenslutninger som regelmessig utøver økonomisk virksomhet,
Anvendelse på fysiske og ikke juridiske personer*
14. Det vern som denne forordning gir i forbindelse med behandling av personopplysninger, bør få anvendelse på fysiske personer, uavhengig av deres statsborgerskap eller bosted. Denne forordning omfatter ikke behandling av personopplysninger som gjelder juridiske personer, og særlig foretak etablert som juridiske personer, herunder den juridiske personens navn, form og kontaktopplysninger.
*ikke offisiell overskrift
Myndighetenes samarbeid og utveksling av personopplysninger*
5. Den økonomiske og sosiale integrasjon som er oppnådd som følge av det indre markeds virkemåte, har ført til en betydelig økt flyt av personopplysninger over landegrensene. Utvekslingen av personopplysninger mellom offentlige og private aktører, herunder fysiske personer, sammenslutninger og foretak, i Unionen har økt. Nasjonale myndigheter i medlemsstatene oppfordres i unionsretten til å samarbeide og utveksle personopplysninger for å kunne utføre sitt arbeid eller utføre oppgaver på vegne av en myndighet i en annen medlemsstat.
*ikke offisiell overskrift
Virksomheters behandling av personopplysninger innenfor eller utenfor EØS*
22. Enhver behandling av personopplysninger som utføres i forbindelse med aktivitetene i en virksomhet tilhørende en behandlingsansvarlig eller databehandler i Unionen, bør utføres i samsvar med denne forordning, uavhengig av om behandlingen finner sted i Unionen eller ikke. En virksomhet innebærer en effektiv og faktisk utøvelse av aktivitet gjennom en stabil struktur. En slik strukturs rettslige form, enten det dreier seg om en filial eller et datterforetak med status som juridisk person, er ikke av avgjørende betydning i denne forbindelse.*ikke offisiell overskrift
Behandlingsansvarliges hovedvirksomhet*
36. En behandlingsansvarliges hovedvirksomhet i Unionen bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, med mindre det treffes beslutninger om formål og midler i forbindelse med behandlingen av personopplysninger i en annen av den behandlingsansvarliges virksomheter i Unionen; da skal nevnte andre virksomhet anses for å være hovedvirksomheten. En behandlingsansvarliges hovedvirksomhet i Unionen bør fastslås ut fra objektive kriterier og bør innebære en effektiv og faktisk utøvelse av ledelsesaktiviteter som munner ut i de viktigste avgjørelsene med hensyn til formålet med og midlene for behandlingen gjennom en stabil struktur. Dette kriteriet bør ikke avhenge av om behandlingen av personopplysninger utføres på nevnte sted. Det forhold at det finnes og benyttes tekniske midler og teknologier i forbindelse med behandling av personopplysninger eller behandlingsaktiviteter, utgjør i seg selv ikke en hovedvirksomhet, og er derfor ikke avgjørende for kriteriet om hovedvirksomhet. Databehandlerens hovedvirksomhet bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, eller dersom vedkommende ikke har en hovedadministrasjon i Unionen, det sted der de fleste behandlingsaktivitetene finner sted i Unionen. I tilfeller som omfatter både den behandlingsansvarlige og databehandleren, bør vedkommende ledende tilsynsmyndighet fortsatt være tilsynsmyndigheten i medlemsstaten der den behandlingsansvarlige har sin hovedvirksomhet, mens databehandlerens tilsynsmyndighet bør anses for å være en berørt tilsynsmyndighet, og denne tilsynsmyndighet bør delta i framgangsmåten for samarbeid fastsatt i denne forordning. Under alle omstendigheter bør tilsynsmyndighetene i medlemsstaten eller medlemsstatene der databehandleren har én eller flere virksomheter, ikke anses for å være berørte tilsynsmyndigheter dersom utkastet til avgjørelse bare gjelder den behandlingsansvarlige. Dersom behandlingen utføres av et konsern, bør hovedvirksomheten til det foretaket som utøver kontroll, anses som konsernets hovedvirksomhet, bortsett fra når formålet med behandlingen og midlene som skal brukes, fastsettes av et annet foretak.
*ikke offisiell overskrift
Konsern*
37. Et konsern bør omfatte et foretak som utøver kontroll, og dets kontrollerte foretak, der foretaket som utøver kontroll, bør være det foretak som kan utøve en dominerende innflytelse på de andre foretakene, f.eks. i kraft av eiendomsrett, økonomisk deltaking eller reglene det er underlagt, eller myndigheten til å få gjennomført regler om vern av personopplysninger. Et foretak som kontrollerer behandlingen av personopplysninger i tilknyttede foretak, bør sammen med disse foretak anses som et konsern.
*ikke offisiell overskrift
Behandling på grunnlag av berettiget interesse i konsern/sentralt organ*
48. Behandlingsansvarlige som er en del av et konsern, eller institusjoner som er tilknyttet et sentralt organ, kan ha en berettiget interesse av å overføre personopplysninger internt i konsernet med henblikk på interne administrative formål, herunder behandling av kunders eller arbeidstakeres personopplysninger. De allmenne prinsippene for overføring av personopplysninger i et konsern til et foretak i en tredjestat påvirkes ikke.
*ikke offisiell overskrift
Bindende virksomhetsregler*
110. Et konsern eller en gruppe av foretak som utøver en felles økonomisk virksomhet, bør kunne anvende godkjente bindende virksomhetsregler når de foretar internasjonale overføringer fra Unionen til organisasjoner i samme konsern, eller gruppe av foretak som utøver en felles økonomisk virksomhet, forutsatt at nevnte virksomhetsregler omfatter alle grunnleggende prinsipper og håndhevbare rettigheter for å sikre nødvendige garantier for overføringer eller kategorier av overføringer av personopplysninger.
*ikke offisiell overskrift
Overtredelsesgebyr ved overtredelse*
150. For å styrke og harmonisere de administrative sanksjonene for overtredelse av denne forordning bør hver tilsynsmyndighet ha myndighet til å ilegge overtredelsesgebyr. Denne forordning bør definere overtredelser og den øvre grensen og kriteriene for fastsettelse av de tilhørende overtredelsesgebyrene, som bør bestemmes av vedkommende tilsynsmyndighet i hvert enkelt tilfelle, idet det tas hensyn til alle forhold som er relevante for den bestemte situasjonen, og idet det tas behørig hensyn særlig til overtredelsens art, alvorlighetsgrad, varighet og konsekvenser samt tiltakene som er truffet for å sikre samsvar med forpliktelsene i denne forordning, og for å forebygge eller redusere konsekvensene av overtredelsen. Dersom et foretak ilegges overtredelsesgebyr, bør et foretak for disse formål forstås som et foretak i henhold til artikkel 101 og 102 i TEUV. Dersom personer som ikke er foretak, ilegges overtredelsesgebyr, bør tilsynsmyndigheten ved fastsettelse av en egnet størrelse på overtredelsesgebyret ta hensyn til det generelle inntektsnivået i medlemsstaten samt til personens økonomiske situasjon. Konsistensmekanismen kan også brukes for å fremme en ensartet anvendelse av overtredelsesgebyrer. Det bør være opp til medlemsstatene å bestemme om og i hvilken grad offentlige myndigheter bør kunne ilegges overtredelsesgebyr. Ilegging av et overtredelsesgebyr eller utstedelse av en advarsel berører ikke anvendelsen av tilsynsmyndighetenes øvrige myndighet eller andre sanksjoner i henhold til denne forordning.
*ikke offisiell overskrift
19) «konsern» et foretak som utøver kontroll, og dets kontrollerte foretak,
Konsern*
37. Et konsern bør omfatte et foretak som utøver kontroll, og dets kontrollerte foretak, der foretaket som utøver kontroll, bør være det foretak som kan utøve en dominerende innflytelse på de andre foretakene, f.eks. i kraft av eiendomsrett, økonomisk deltaking eller reglene det er underlagt, eller myndigheten til å få gjennomført regler om vern av personopplysninger. Et foretak som kontrollerer behandlingen av personopplysninger i tilknyttede foretak, bør sammen med disse foretak anses som et konsern.
*ikke offisiell overskrift
Virksomheters behandling av personopplysninger innenfor eller utenfor EØS*
22. Enhver behandling av personopplysninger som utføres i forbindelse med aktivitetene i en virksomhet tilhørende en behandlingsansvarlig eller databehandler i Unionen, bør utføres i samsvar med denne forordning, uavhengig av om behandlingen finner sted i Unionen eller ikke. En virksomhet innebærer en effektiv og faktisk utøvelse av aktivitet gjennom en stabil struktur. En slik strukturs rettslige form, enten det dreier seg om en filial eller et datterforetak med status som juridisk person, er ikke av avgjørende betydning i denne forbindelse.*ikke offisiell overskrift
Behandlingsansvarliges hovedvirksomhet*
36. En behandlingsansvarliges hovedvirksomhet i Unionen bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, med mindre det treffes beslutninger om formål og midler i forbindelse med behandlingen av personopplysninger i en annen av den behandlingsansvarliges virksomheter i Unionen; da skal nevnte andre virksomhet anses for å være hovedvirksomheten. En behandlingsansvarliges hovedvirksomhet i Unionen bør fastslås ut fra objektive kriterier og bør innebære en effektiv og faktisk utøvelse av ledelsesaktiviteter som munner ut i de viktigste avgjørelsene med hensyn til formålet med og midlene for behandlingen gjennom en stabil struktur. Dette kriteriet bør ikke avhenge av om behandlingen av personopplysninger utføres på nevnte sted. Det forhold at det finnes og benyttes tekniske midler og teknologier i forbindelse med behandling av personopplysninger eller behandlingsaktiviteter, utgjør i seg selv ikke en hovedvirksomhet, og er derfor ikke avgjørende for kriteriet om hovedvirksomhet. Databehandlerens hovedvirksomhet bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, eller dersom vedkommende ikke har en hovedadministrasjon i Unionen, det sted der de fleste behandlingsaktivitetene finner sted i Unionen. I tilfeller som omfatter både den behandlingsansvarlige og databehandleren, bør vedkommende ledende tilsynsmyndighet fortsatt være tilsynsmyndigheten i medlemsstaten der den behandlingsansvarlige har sin hovedvirksomhet, mens databehandlerens tilsynsmyndighet bør anses for å være en berørt tilsynsmyndighet, og denne tilsynsmyndighet bør delta i framgangsmåten for samarbeid fastsatt i denne forordning. Under alle omstendigheter bør tilsynsmyndighetene i medlemsstaten eller medlemsstatene der databehandleren har én eller flere virksomheter, ikke anses for å være berørte tilsynsmyndigheter dersom utkastet til avgjørelse bare gjelder den behandlingsansvarlige. Dersom behandlingen utføres av et konsern, bør hovedvirksomheten til det foretaket som utøver kontroll, anses som konsernets hovedvirksomhet, bortsett fra når formålet med behandlingen og midlene som skal brukes, fastsettes av et annet foretak.
*ikke offisiell overskrift
Behandling på grunnlag av berettiget interesse i konsern/sentralt organ*
48. Behandlingsansvarlige som er en del av et konsern, eller institusjoner som er tilknyttet et sentralt organ, kan ha en berettiget interesse av å overføre personopplysninger internt i konsernet med henblikk på interne administrative formål, herunder behandling av kunders eller arbeidstakeres personopplysninger. De allmenne prinsippene for overføring av personopplysninger i et konsern til et foretak i en tredjestat påvirkes ikke.
*ikke offisiell overskrift
Bindende virksomhetsregler*
110. Et konsern eller en gruppe av foretak som utøver en felles økonomisk virksomhet, bør kunne anvende godkjente bindende virksomhetsregler når de foretar internasjonale overføringer fra Unionen til organisasjoner i samme konsern, eller gruppe av foretak som utøver en felles økonomisk virksomhet, forutsatt at nevnte virksomhetsregler omfatter alle grunnleggende prinsipper og håndhevbare rettigheter for å sikre nødvendige garantier for overføringer eller kategorier av overføringer av personopplysninger.
*ikke offisiell overskrift
20) «bindende virksomhetsregler» retningslinjer for vern av personopplysninger som en behandlingsansvarlig eller databehandler som er etablert på en medlemsstats territorium, følger i forbindelse med en overføring eller en rekke overføringer av personopplysninger til en behandlingsansvarlig eller databehandler i én eller flere tredjestater internt i et konsern eller gruppe av foretak som utøver en felles økonomisk virksomhet,
Bindende virksomhetsregler*
110. Et konsern eller en gruppe av foretak som utøver en felles økonomisk virksomhet, bør kunne anvende godkjente bindende virksomhetsregler når de foretar internasjonale overføringer fra Unionen til organisasjoner i samme konsern, eller gruppe av foretak som utøver en felles økonomisk virksomhet, forutsatt at nevnte virksomhetsregler omfatter alle grunnleggende prinsipper og håndhevbare rettigheter for å sikre nødvendige garantier for overføringer eller kategorier av overføringer av personopplysninger.
*ikke offisiell overskrift
Behandlingsansvarliges hovedvirksomhet*
36. En behandlingsansvarliges hovedvirksomhet i Unionen bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, med mindre det treffes beslutninger om formål og midler i forbindelse med behandlingen av personopplysninger i en annen av den behandlingsansvarliges virksomheter i Unionen; da skal nevnte andre virksomhet anses for å være hovedvirksomheten. En behandlingsansvarliges hovedvirksomhet i Unionen bør fastslås ut fra objektive kriterier og bør innebære en effektiv og faktisk utøvelse av ledelsesaktiviteter som munner ut i de viktigste avgjørelsene med hensyn til formålet med og midlene for behandlingen gjennom en stabil struktur. Dette kriteriet bør ikke avhenge av om behandlingen av personopplysninger utføres på nevnte sted. Det forhold at det finnes og benyttes tekniske midler og teknologier i forbindelse med behandling av personopplysninger eller behandlingsaktiviteter, utgjør i seg selv ikke en hovedvirksomhet, og er derfor ikke avgjørende for kriteriet om hovedvirksomhet. Databehandlerens hovedvirksomhet bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, eller dersom vedkommende ikke har en hovedadministrasjon i Unionen, det sted der de fleste behandlingsaktivitetene finner sted i Unionen. I tilfeller som omfatter både den behandlingsansvarlige og databehandleren, bør vedkommende ledende tilsynsmyndighet fortsatt være tilsynsmyndigheten i medlemsstaten der den behandlingsansvarlige har sin hovedvirksomhet, mens databehandlerens tilsynsmyndighet bør anses for å være en berørt tilsynsmyndighet, og denne tilsynsmyndighet bør delta i framgangsmåten for samarbeid fastsatt i denne forordning. Under alle omstendigheter bør tilsynsmyndighetene i medlemsstaten eller medlemsstatene der databehandleren har én eller flere virksomheter, ikke anses for å være berørte tilsynsmyndigheter dersom utkastet til avgjørelse bare gjelder den behandlingsansvarlige. Dersom behandlingen utføres av et konsern, bør hovedvirksomheten til det foretaket som utøver kontroll, anses som konsernets hovedvirksomhet, bortsett fra når formålet med behandlingen og midlene som skal brukes, fastsettes av et annet foretak.
*ikke offisiell overskrift
Konsern*
37. Et konsern bør omfatte et foretak som utøver kontroll, og dets kontrollerte foretak, der foretaket som utøver kontroll, bør være det foretak som kan utøve en dominerende innflytelse på de andre foretakene, f.eks. i kraft av eiendomsrett, økonomisk deltaking eller reglene det er underlagt, eller myndigheten til å få gjennomført regler om vern av personopplysninger. Et foretak som kontrollerer behandlingen av personopplysninger i tilknyttede foretak, bør sammen med disse foretak anses som et konsern.
*ikke offisiell overskrift
Kommisjonsbeslutning om manglende personvernbeskyttelse i tredjestat mv.*
107. Kommisjonen kan fastslå at en tredjestat, et territorium eller en bestemt sektor i en tredjestat eller en internasjonal organisasjon ikke lenger sikrer et tilstrekkelig nivå for vern av personopplysninger. Overføringen av personopplysninger til nevnte tredjestat eller internasjonale organisasjon bør da forbys, med mindre kravene i denne forordning som gjelder overføringer som omfattes av nødvendige garantier, herunder bindende virksomhetsregler, og unntak for særlige situasjoner, er oppfylt. I slike tilfeller bør det fastsettes at det skal gjennomføres samråd mellom Kommisjonen og nevnte tredjestater eller internasjonale organisasjoner. Kommisjonen bør i rett tid underrette tredjestaten eller den internasjonale organisasjonen om årsakene og innlede samråd med den for å avhjelpe situasjonen.
*ikke offisiell overskrift
Nødvendige garantier for overføring av personopplysninger til tredjestat mv.*
108. Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, bør den behandlingsansvarlige eller databehandleren treffe tiltak for å kompensere for det manglende vernet av personopplysninger i en tredjestat i form av nødvendige garantier for den registrerte. Nødvendige garantier kan omfatte bruk av bindende virksomhetsregler, standard personvernbestemmelser vedtatt av Kommisjonen, standard personvernbestemmelser vedtatt av en tilsynsmyndighet eller avtalevilkår godkjent av en tilsynsmyndighet. Disse garantiene bør sikre samsvar med kravene til vern av personopplysninger og de registrertes rettigheter i forbindelse med behandling internt i Unionen, herunder om de registrerte har tilgang til håndhevbare rettigheter og effektive rettsmidler, herunder retten til effektiv administrativ eller rettslig prøving og til å kreve erstatning i Unionen eller i en tredjestat. Garantiene bør særlig omfatte samsvar med de allmenne prinsippene om behandling av personopplysninger og prinsippene om innebygd personvern og personvern som standardinnstilling. Offentlige myndigheter eller organer kan også foreta overføringer til offentlige myndigheter eller organer i tredjestater eller til internasjonale organisasjoner med tilsvarende oppgaver eller funksjoner, herunder på grunnlag av bestemmelser som skal innlemmes i administrative ordninger, f.eks. en programerklæring, som gir de registrerte håndhevbare og effektive rettigheter. Det bør innhentes godkjenning fra vedkommende tilsynsmyndighet når garantiene er fastsatt i administrative ordninger som ikke er rettslig bindende.
*ikke offisiell overskrift
Bruka av undersøkelsesprosedyren*
168. Undersøkelsesprosedyren bør brukes når det vedtas gjennomføringsrettsakter om standardavtalevilkår mellom behandlingsansvarlige og databehandlere og mellom databehandlere; atferdsnormer; tekniske standarder og sertifiseringsmekanismer; det tilstrekkelige beskyttelsesnivået som sikres av en tredjestat, et territorium eller en angitt sektor i nevnte tredjestat eller en internasjonal organisasjon; standard personvernbestemmelser; formater og framgangsmåter for elektronisk utveksling av informasjon mellom behandlingsansvarlige, databehandlere og tilsynsmyndigheter med tanke på bindende virksomhetsregler; gjensidig bistand samt ordninger for elektronisk utveksling av informasjon mellom tilsynsmyndigheter og mellom tilsynsmyndigheter og Personvernrådet.
*ikke offisiell overskrift
21) «tilsynsmyndighet» en uavhengig offentlig myndighet som er opprettet av en medlemsstat i henhold til artikkel 51,
Opprettelse av tilsynsmyndighet og uavhengighet*
117. Opprettelse av tilsynsmyndigheter i medlemsstater som gis myndighet til å utføre sine oppgaver og utøve sin myndighet i full uavhengighet, har avgjørende betydning for vernet av fysiske personer i forbindelse med behandling av deres personopplysninger. Medlemsstatene bør kunne opprette mer enn én tilsynsmyndighet for å gjenspeile medlemsstatens forfatningsmessige, organisatoriske og administrative struktur.
Krav til og utnevnelse av medlemmer av tilsynsmyndighet*
121. De allmenne vilkårene for medlemmet/medlemmene av tilsynsmyndigheten bør fastsettes ved lov i hver medlemsstat, og det bør særlig fastsettes at nevnte medlemmer skal utnevnes ved hjelp av en åpen prosess, enten av parlamentet, regjeringen eller statsoverhodet i medlemsstaten på grunnlag et forslag fra regjeringen, et medlem av regjeringen, parlamentet eller et kammer i parlamentet, eller av et uavhengig organ med myndighet til dette i henhold til medlemsstatens nasjonale rett. For å sikre tilsynsmyndighetens uavhengighet bør medlemmet/medlemmene opptre med integritet, avstå fra enhver handling som ikke er forenlig med deres oppgaver, og så lenge utnevnelsesperioden varer, ikke utøve en uforenlig yrkesvirksomhet, enten den er lønnet eller ikke. Tilsynsmyndigheten bør ha sitt eget personell som er utvalgt av tilsynsmyndigheten eller av et uavhengig organ opprettet i henhold til medlemsstatens nasjonale rett, som utelukkende bør stå under ledelse av tilsynsmyndighetens medlem/medlemmer.
*ikke offisiell overskrift
Tilsynsmyndighets kompetanse*
122. Hver tilsynsmyndighet bør på territoriet til sin egen medlemsstat ha kompetanse til å utøve den myndighet og utføre de oppgaver den gis i henhold til denne forordning. Dette bør særlig omfatte behandling i forbindelse med aktivitetene ved den behandlingsansvarliges eller databehandlerens virksomhet på egen medlemsstats territorium, behandling av personopplysninger utført av offentlige myndigheter eller private organer i allmennhetens interesse, behandling som berører registrerte på medlemsstatens territorium, eller behandling som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i Unionen, når den er rettet mot registrerte som er bosatt på dens territorium. Dette bør omfatte behandling av klager inngitt av en registrert, gjennomføring av undersøkelser om anvendelsen av denne forordning og å fremme allmennhetens bevissthet om risikoene, reglene, garantiene og rettighetene i forbindelse med behandling av personopplysninger.
*ikke offisiell overskrift
Tilsynsmyndighetenes oppgaver og myndighet*
129. For å sikre ensartet tilsyn med og anvendelse av denne forordning i hele Unionen bør tilsynsmyndighetene i hver medlemsstat ha de samme oppgaver og den samme effektive myndighet, herunder myndighet til å foreta undersøkelser, myndighet til å beslutte korrigerende tiltak og ilegge sanksjoner samt myndighet til å godkjenne og utstede rådgivende uttalelser, særlig ved klager fra fysiske personer, og, uten at det berører den myndighet straffeforfølgende myndigheter har i henhold til medlemsstatenes nasjonale rett, myndighet til å bringe overtredelser av denne forordning inn for rettshåndhevende myndigheter og til å opptre som part i rettssaker. En slik myndighet bør også omfatte myndigheten til å fastsette en midlertidig eller endelig begrensning av, herunder et forbud mot, behandling. Medlemsstatene kan fastsette andre oppgaver knyttet til vern av personopplysninger i henhold til denne forordning. Tilsynsmyndighetenes myndighet bør utøves i samsvar med nødvendige prosessuelle garantier som er fastsatt i unionsretten og medlemsstatenes nasjonale rett, på en upartisk og rettferdig måte og innen rimelig tid. For å sikre samsvar med denne forordning bør hvert tiltak være egnet, nødvendig og forholdsmessig, idet det tas hensyn til omstendighetene i hvert enkelt tilfelle, samt respektere enhver persons rett til å bli hørt før det treffes individuelle tiltak som kan påvirke vedkommende negativt, og være utformet slik at overflødige kostnader og for store ulemper for de berørte personene unngås. Når det gjelder adgang til lokaler, bør undersøkelsesmyndigheten utøves i samsvar med særlige krav i medlemsstatenes prosessrett, f.eks. kravet om at det skal innhentes en rettslig forhåndsgodkjenning. Hvert rettslig bindende tiltak som treffes av tilsynsmyndigheten, bør være skriftlig, tydelig og utvetydig, angi hvilken tilsynsmyndighet som har truffet tiltaket, og på hvilken dato, være undertegnet av lederen for eller et medlem av tilsynsmyndigheten som er godkjent av vedkommende, angi begrunnelsen for tiltaket og inneholde en henvisning til retten til effektivt rettsmiddel. Dette bør ikke utelukke ytterligere krav i henhold til medlemsstatenes prosessrett. Dersom det treffes en rettslig bindende avgjørelse, kan den underlegges domstolskontroll i medlemsstaten til tilsynsmyndigheten som har truffet avgjørelsen.
*ikke offisiell overskrift
Domstolers og rettshåndhevende myndigheters virksomhet*
20. Selv om denne forordning blant annet får anvendelse på domstolers og andre rettshåndhevende myndigheters virksomhet, kan det i unionsretten eller medlemsstatenes nasjonale rett angis hvilke prosesser og framgangsmåter for behandling som får anvendelse på behandling av personopplysninger som utføres av domstoler og andre rettshåndhevende myndigheter. Tilsynsmyndighetenes kompetanse bør ikke omfatte domstolers behandling av personopplysninger når dette utføres innenfor rammen av domstolenes domsmyndighet, for å sikre domstolenes uavhengighet når de utfører sine juridiske oppgaver, herunder når de treffer avgjørelser. Det bør være mulig å overlate tilsynet med slike databehandlingsaktiviteter til særskilte organer innenfor medlemsstatens rettssystem som særlig bør sikre at reglene i denne forordning overholdes, øke bevisstheten til medlemmene av domstolsvesenet om de forpliktelser de har i henhold til denne forordning, og håndtere klager i forbindelse med nevnte databehandlingsaktiviteter.
*ikke offisiell overskrift
Behandlingsansvarliges hovedvirksomhet*
36. En behandlingsansvarliges hovedvirksomhet i Unionen bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, med mindre det treffes beslutninger om formål og midler i forbindelse med behandlingen av personopplysninger i en annen av den behandlingsansvarliges virksomheter i Unionen; da skal nevnte andre virksomhet anses for å være hovedvirksomheten. En behandlingsansvarliges hovedvirksomhet i Unionen bør fastslås ut fra objektive kriterier og bør innebære en effektiv og faktisk utøvelse av ledelsesaktiviteter som munner ut i de viktigste avgjørelsene med hensyn til formålet med og midlene for behandlingen gjennom en stabil struktur. Dette kriteriet bør ikke avhenge av om behandlingen av personopplysninger utføres på nevnte sted. Det forhold at det finnes og benyttes tekniske midler og teknologier i forbindelse med behandling av personopplysninger eller behandlingsaktiviteter, utgjør i seg selv ikke en hovedvirksomhet, og er derfor ikke avgjørende for kriteriet om hovedvirksomhet. Databehandlerens hovedvirksomhet bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, eller dersom vedkommende ikke har en hovedadministrasjon i Unionen, det sted der de fleste behandlingsaktivitetene finner sted i Unionen. I tilfeller som omfatter både den behandlingsansvarlige og databehandleren, bør vedkommende ledende tilsynsmyndighet fortsatt være tilsynsmyndigheten i medlemsstaten der den behandlingsansvarlige har sin hovedvirksomhet, mens databehandlerens tilsynsmyndighet bør anses for å være en berørt tilsynsmyndighet, og denne tilsynsmyndighet bør delta i framgangsmåten for samarbeid fastsatt i denne forordning. Under alle omstendigheter bør tilsynsmyndighetene i medlemsstaten eller medlemsstatene der databehandleren har én eller flere virksomheter, ikke anses for å være berørte tilsynsmyndigheter dersom utkastet til avgjørelse bare gjelder den behandlingsansvarlige. Dersom behandlingen utføres av et konsern, bør hovedvirksomheten til det foretaket som utøver kontroll, anses som konsernets hovedvirksomhet, bortsett fra når formålet med behandlingen og midlene som skal brukes, fastsettes av et annet foretak.
*ikke offisiell overskrift
Fordeling av ansvar*
79. Vern av de registrertes rettigheter og friheter samt de behandlingsansvarliges og databehandleres ansvar, herunder i forbindelse med tilsynsmyndighetenes tilsyn og tiltak, krever en tydelig fordeling av ansvar i henhold til denne forordning, herunder når den behandlingsansvarlige fastsetter formålene med og midlene for behandlingen sammen med andre behandlingsansvarlige, eller når en behandlingsaktivitet utføres på vegne av en behandlingsansvarlig.
*ikke offisiell overskrift
Representant for behandlingsansvarlig/databehandler utenfor EØS*
80. Dersom en behandlingsansvarlig eller en databehandler som ikke er etablert i Unionen, behandler personopplysninger om registrerte som befinner seg i Unionen, og behandlingsaktivitetene gjelder tilbud av varer og tjenester til nevnte registrerte i Unionen, uavhengig av om det kreves betaling fra disse eller ikke, eller monitorering av deres atferd, dersom atferden finner sted i Unionen, bør den behandlingsansvarlige eller databehandleren utpeke en representant, med mindre behandlingen skjer leilighetsvis, ikke omfatter behandling i stor skala av særlige kategorier av personopplysninger eller behandling av personopplysninger om straffedommer og lovovertredelser, og at behandlingen sannsynligvis ikke vil innebære en risiko for fysiske personers rettigheter og friheter, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, eller om den behandlingsansvarlige er en offentlig myndighet eller et offentlig organ. Representanten bør opptre på vegne av den behandlingsansvarlige eller databehandleren og bør kunne kontaktes av alle tilsynsmyndigheter. Representanten bør utpekes eksplisitt gjennom en skriftlig fullmakt fra den behandlingsansvarlige eller databehandleren til å opptre på deres vegne med hensyn til deres forpliktelser i henhold til denne forordning. Utpekingen av nevnte representant berører ikke den behandlingsansvarliges eller databehandlerens ansvar eller erstatningsansvar i henhold til denne forordning. Nevnte representant bør utføre sine oppgaver i henhold til fullmakten fra den behandlingsansvarlige eller databehandleren, herunder samarbeide med vedkommende tilsynsmyndigheter om eventuelle tiltak som treffes for å sikre at denne forordning overholdes. Den utpekte representanten bør være underlagt håndhevingstiltak i tilfelle manglende overholdelse fra den behandlingsansvarliges eller databehandlerens side.
*ikke offisiell overskrift
Bruk av databehandler*
81. For å sikre overholdelse av kravene i denne forordning med hensyn til behandling som skal utføres av databehandleren på vegne av den behandlingsansvarlige, når behandlingsaktiviteter overlates til en databehandler, bør den behandlingsansvarlige bare benytte databehandlere som gir tilstrekkelige garantier, særlig med tanke på dybdekunnskap, pålitelighet og ressurser, for at de vil gjennomføre tekniske og organisatoriske tiltak som vil oppfylle kravene i denne forordning, herunder kravene til sikker behandling. Databehandlerens overholdelse av godkjente atferdsnormer eller bruk av en godkjent sertifiseringsmekanisme kan brukes som en faktor for å påvise at den behandlingsansvarliges forpliktelser overholdes. Behandling som utføres av en databehandler, bør være underlagt en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett som binder databehandleren til den behandlingsansvarlige, og som fastsetter gjenstanden for og varigheten av behandlingen, behandlingens art og formål, typen personopplysninger og kategorier av registrerte, idet det tas hensyn til databehandlerens særlige oppgaver og ansvar i forbindelse med behandlingen som skal utføres, samt risikoen for den registrertes rettigheter og friheter. Den behandlingsansvarlige og databehandleren kan velge å bruke en individuell avtale eller standardavtalevilkår som enten er vedtatt direkte av Kommisjonen eller av en tilsynsmyndighet i samsvar med konsistensmekanismen, og deretter vedtatt av Kommisjonen. Når behandlingen på vegne av den behandlingsansvarlige er fullført, bør databehandleren tilbakelevere eller slette personopplysningene, avhengig av hva den behandlingsansvarlige velger, med mindre unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt, inneholder krav om lagring av personopplysningene.
*ikke offisiell overskrift
Protokoll over behandlingsaktiviteter (behandlingsprotokoll)*
82. For å påvise samsvar med denne forordning bør den behandlingsansvarlige eller databehandleren føre protokoll over de behandlingsaktiviteter som de har ansvar for. Hver behandlingsansvarlig og hver databehandler bør ha plikt til å samarbeide med tilsynsmyndigheten og på anmodning gjøre disse protokollene tilgjengelig for den, slik at de kan benyttes til tilsyn med nevnte behandlingsaktiviteter.
*ikke offisiell overskrift
Vurdering av personvernkonsekvenser (DPIA)*
84. For å bedre overholdelsen av denne forordning i tilfeller der det er sannsynlig at behandlingsaktiviteter vil medføre en høy risiko for fysiske personers rettigheter og friheter, bør den behandlingsansvarlige ha ansvar for å foreta en vurdering av personvernkonsekvenser for særlig å vurdere risikoens opprinnelse, art, særegenhet og alvorlighetsgrad. Det bør tas hensyn til utfallet av vurderingen ved fastsettelse av egnede tiltak som skal treffes for å påvise at behandlingen av personopplysningene oppfyller kravene i denne forordning. Dersom det framgår av nevnte konsekvensvurdering at behandlingsaktivitetene innebærer en høy risiko som den behandlingsansvarlige ikke kan begrense ved å treffe egnede tiltak, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnadene, bør tilsynsmyndigheten rådspørres før behandlingen finner sted.
*ikke offisiell overskrift
Personvernbrudd og varsling*
85. Et brudd på personopplysningssikkerheten kan, dersom det ikke håndteres på egnet måte og i rett tid, påføre fysiske personer fysisk, materiell eller ikke-materiell skade, f.eks. tap av kontroll over egne personopplysninger eller begrensning av egne rettigheter, forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, uautorisert oppheving av pseudonymisering, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger eller andre betydelige økonomiske eller sosiale ulemper for den berørte fysiske personen. Så snart den behandlingsansvarlige får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten, bør vedkommende melde nevnte brudd til tilsynsmyndigheten uten ugrunnet opphold og om mulig senest 72 timer etter å ha fått kjennskap til det, med mindre vedkommende i samsvar med ansvarlighetsprinsippet kan påvise at nevnte brudd på personopplysningssikkerheten sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom nevnte melding ikke kan gis innen 72 timer, bør årsaken til forsinkelsen oppgis i meldingen, og informasjonen kan gis trinnvis uten videre ugrunnet opphold.
*ikke offisiell overskrift
Varsel om personvernbrudd til registrerte*
86. Den behandlingsansvarlige bør uten ugrunnet opphold underrette den registrerte om et brudd på personopplysningssikkerheten dersom det er sannsynlig at nevnte brudd kan medføre en høy risiko for den fysiske personens rettigheter og friheter, slik at vedkommende får mulighet til å treffe de nødvendige forholdsregler. Underretningen bør beskrive arten av bruddet på personopplysningssikkerheten og inneholde anbefalinger som den berørte fysiske personen kan følge for å begrense mulige skadevirkninger. De registrerte bør underrettes så snart det med rimelighet er mulig, og i nært samarbeid med tilsynsmyndigheten og i samsvar med retningslinjer utstedt av den eller av andre relevante myndigheter, f.eks. myndigheter med ansvar for håndheving av loven. Behovet for å redusere en umiddelbar risiko for skade kan f.eks. kreve at de registrerte underrettes omgående, mens behovet for å gjennomføre egnede tiltak mot fortsatte eller lignende brudd på personopplysningssikkerheten kan berettige en lengre frist for underretning.
*ikke offisiell overskrift
Undersøkelser av personvernbrudd*
87. Det bør undersøkes om alle egnede teknologiske sikkerhetstiltak og organisatoriske tiltak er blitt gjennomført for omgående å kunne fastslå om det har funnet sted et brudd på personopplysningssikkerheten, og for omgående å underrette tilsynsmyndigheten og den registrerte. Det bør fastslås om meldingen ble gitt uten ugrunnet opphold, idet det tas særlig hensyn til arten og alvorlighetsgraden av bruddet på personopplysningssikkerheten og konsekvensene og skadevirkningene det har for den registrerte. En slik melding kan føre til inngripen fra tilsynsmyndigheten i samsvar med dens oppgaver og myndighet fastsatt i denne forordning.
*ikke offisiell overskrift
Ingen meldeplikt om behandling av personopplysninger*
89. Ved direktiv 95/46/EF ble det fastsatt en generell plikt til å melde behandlingen av personopplysningene til tilsynsmyndighetene. Denne plikten har medført en administrativ og økonomisk byrde, men har ikke alltid bidratt til å bedre vernet av personopplysninger. En slik vilkårlig og generell meldingsplikt bør derfor avskaffes og erstattes av effektive framgangsmåter og mekanismer, der det isteden fokuseres på den typen behandlingsaktiviteter som kan medføre en høy risiko for fysiske personers rettigheter og friheter i kraft av aktivitetenes art, omfang, formål og sammenhengen de utføres i. Denne typen behandlingsaktiviteter kan være aktiviteter som især innebærer bruk av ny teknologi, eller som er av en ny type, og der den behandlingsansvarlige ikke tidligere har gjennomført en vurdering av personvernkonsekvenser, eller dersom de blir nødvendige på grunn av tiden som har gått siden den opprinnelige behandlingen.
*ikke offisiell overskrift
Gjenstand for vurdering av personvernkonsekvenser (DPIA)*
91. Dette bør særlig få anvendelse på behandlingsaktiviteter i stor skala der formålet er å behandle en betydelig mengde personopplysninger på regionalt, nasjonalt eller overnasjonalt plan, og som kan påvirke et stort antall registrerte og innebære en høy risiko, f.eks. fordi opplysningene er sensitive, dersom, i samsvar med det oppnådde nivået av teknisk kunnskap, en ny teknologi anvendes i stor skala samt i forbindelse med andre behandlingsaktiviteter som innebærer en høy risiko for de registrertes rettigheter og friheter, særlig dersom nevnte aktiviteter gjør det vanskeligere for de registrerte å utøve sine rettigheter. Det bør også utføres en vurdering av personvernkonsekvenser dersom personopplysninger behandles med det formål å treffe avgjørelser om særskilte fysiske personer etter en systematisk og omfattende vurdering av personlige aspekter vedrørende fysiske personer basert på profilering av nevnte opplysninger, eller etter behandling av særlige kategorier av personopplysninger, biometriske opplysninger eller opplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak. Det kreves også en vurdering av personvernkonsekvenser ved overvåking i stor skala av offentlig tilgjengelige steder, særlig ved bruk av optoelektronisk utstyr, eller ved andre aktiviteter der vedkommende tilsynsmyndighet vurderer at behandlingen kan føre til en høy risiko for de registrertes rettigheter og friheter, særlig fordi de hindrer de registrerte i å utøve en rettighet eller gjøre bruk av en tjeneste eller en avtale, eller fordi de utføres systematisk i stor skala. Behandling av personopplysninger bør ikke anses for å være i stor skala dersom det er snakk om en leges, annet helsepersonells eller en advokats behandling av personopplysninger tilhørende pasienter eller klienter. I slike tilfeller bør en vurdering av personvernkonsekvenser ikke være obligatorisk.
*ikke offisiell overskrift
Konsultasjon av tilsynsmyndighet ved høy risiko etter vurdering av personvernkonsekvenser (DPIA)*
94. Dersom en vurdering av personvernkonsekvenser viser at behandlingen, i fravær av garantier, sikkerhetstiltak og mekanismer for å redusere risikoen, vil innebære en høy risiko for fysiske personers rettigheter og friheter, og den behandlingsansvarlige mener at risikoen ikke kan reduseres ved hjelp av rimelige midler, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnader, bør tilsynsmyndigheten rådspørres før oppstart av behandlingsaktivitetene. Visse typer behandling og omfanget og hyppigheten av behandlingen kan medføre nevnte høye risiko, som også kan føre til skade for eller inngrep i fysiske personers rettigheter og friheter. Tilsynsmyndigheten bør svare på anmodningen om drøftinger innen en fastsatt frist. En manglende reaksjon fra tilsynsmyndigheten innen nevnte frist bør imidlertid ikke berøre tilsynsmyndighetens mulighet til å gripe inn i samsvar med dens oppgaver og myndighet fastsatt i denne forordning, herunder myndighet til å forby behandlingsaktiviteter. Som en del av nevnte drøftinger kan utfallet av en vurdering av personvernkonsekvenser som utføres med henblikk på den aktuelle behandlingen, framlegges for tilsynsmyndigheten, særlig de planlagte tiltakene for å redusere risikoene for fysiske personers rettigheter og friheter.
*ikke offisiell overskrift
Databehandlers bistand ved vurdering av personvernkonsekvenser (DPIA)*
95. Databehandleren bør ved behov og på anmodning bistå den behandlingsansvarlige med å overholde pliktene som er forbundet med utførelsen av vurderingen av personvernkonsekvenser, og med forhåndsdrøftinger med tilsynsmyndigheten.
*ikke offisiell overskrift
Rådføring med tilsynsmyndighet ved innføring av lovgivning som gjelder behandling av personopplysninger*
96. Tilsynsmyndigheten bør også rådspørres i det forberedende arbeidet med et lovgivningsmessig tiltak eller et reguleringstiltak som gjelder behandling av personopplysninger, for å sikre at den tiltenkte behandlingen oppfyller kravene i denne forordning, og særlig for å redusere risikoen den medfører for den registrerte.
*ikke offisiell overskrift
Nødvendige garantier for overføring av personopplysninger til tredjestat mv.*
108. Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, bør den behandlingsansvarlige eller databehandleren treffe tiltak for å kompensere for det manglende vernet av personopplysninger i en tredjestat i form av nødvendige garantier for den registrerte. Nødvendige garantier kan omfatte bruk av bindende virksomhetsregler, standard personvernbestemmelser vedtatt av Kommisjonen, standard personvernbestemmelser vedtatt av en tilsynsmyndighet eller avtalevilkår godkjent av en tilsynsmyndighet. Disse garantiene bør sikre samsvar med kravene til vern av personopplysninger og de registrertes rettigheter i forbindelse med behandling internt i Unionen, herunder om de registrerte har tilgang til håndhevbare rettigheter og effektive rettsmidler, herunder retten til effektiv administrativ eller rettslig prøving og til å kreve erstatning i Unionen eller i en tredjestat. Garantiene bør særlig omfatte samsvar med de allmenne prinsippene om behandling av personopplysninger og prinsippene om innebygd personvern og personvern som standardinnstilling. Offentlige myndigheter eller organer kan også foreta overføringer til offentlige myndigheter eller organer i tredjestater eller til internasjonale organisasjoner med tilsvarende oppgaver eller funksjoner, herunder på grunnlag av bestemmelser som skal innlemmes i administrative ordninger, f.eks. en programerklæring, som gir de registrerte håndhevbare og effektive rettigheter. Det bør innhentes godkjenning fra vedkommende tilsynsmyndighet når garantiene er fastsatt i administrative ordninger som ikke er rettslig bindende.
*ikke offisiell overskrift
Standardbestemmelser om vern av personopplysninger kan inntas i mer omfattende avtale*
109. Den behandlingsansvarliges eller databehandlerens mulighet til å benytte standardbestemmelser for vern av personopplysninger vedtatt av Kommisjonen eller av en tilsynsmyndighet bør ikke hindre de behandlingsansvarlige eller databehandlere i å innlemme standardbestemmelsene for vern av personopplysninger i en mer omfattende avtale, f.eks. en avtale mellom databehandleren og en annen databehandler, eller i å tilføye andre bestemmelser eller ytterligere garantier, forutsatt at de ikke direkte eller indirekte er i strid med standardavtalevilkårene vedtatt av Kommisjonen eller av en tilsynsmyndighet eller berører de registrertes grunnleggende rettigheter og friheter. Behandlingsansvarlige og databehandlere bør oppmuntres til å fastsette ytterligere garantier gjennom avtalefestede forpliktelser som utfyller standard personvernbestemmelser.
*ikke offisiell overskrift
Overføring av personopplysninger til tredjestater mv. i særlige tilfeller*
112. Disse unntakene bør særlig få anvendelse på overføring av opplysninger som er nødvendig av hensyn til viktige allmenne interesser, f.eks. ved internasjonal utveksling av opplysninger mellom konkurransemyndigheter, skatte- eller tollmyndigheter, mellom finanstilsynsmyndigheter, mellom kompetente trygdemyndigheter eller folkehelsemyndigheter, f.eks. ved kontaktsporing i forbindelse med smittsomme sykdommer eller for å redusere og/eller avskaffe doping i idrett. En overføring av personopplysninger bør også anses som lovlig dersom den er nødvendig for å verne en interesse av avgjørende betydning for den registrertes eller en annen persons vitale interesser, herunder fysisk integritet eller liv, dersom den registrerte ikke er i stand til å gi sitt samtykke. Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, kan det, av hensyn til viktige allmenne interesser, i unionsretten eller medlemsstatenes nasjonale rett uttrykkelig fastsettes grenser for overføring av spesifikke kategorier av opplysninger til en tredjestat eller en internasjonal organisasjon. Medlemsstatene bør underrette Kommisjonen om nevnte bestemmelser. Enhver overføring til en internasjonal humanitær organisasjon av personopplysninger om en registrert som fysisk eller juridisk ikke er i stand til å gi sitt samtykke, med det formål å utføre en oppgave i henhold til Genève-konvensjonene eller overholde internasjonalt humanitært regelverk som får anvendelse i væpnede konflikter, kan anses for å være nødvendig av hensyn til viktige allmenne interesser eller fordi det er av vital interesse for den registrerte.
*ikke offisiell overskrift
Overføring av personopplysninger til tredjestater mv. ved berettiget interesse*
113. Overføringer som kan klassifiseres som ikke-gjentakende, og som bare gjelder et begrenset antall registrerte, bør også være mulig av hensyn til de tvingende berettigede interessene som forfølges av den behandlingsansvarlige, dersom den registrertes interesser eller rettigheter og friheter ikke går foran nevnte interesser, og dersom den behandlingsansvarlige har foretatt en vurdering av alle omstendighetene rundt overføringen. Den behandlingsansvarlige bør ta særlig hensyn til personopplysningenes art, formålet med og varigheten av den foreslåtte behandlingen samt situasjonen i opprinnelsesstaten, tredjestaten og den endelige bestemmelsesstaten, og bør fastsette nødvendige garantier for å verne fysiske personers grunnleggende rettigheter og friheter i forbindelse med behandling av deres personopplysninger. Nevnte overføringer bør bare være mulig i visse tilfeller der ingen av de andre grunnene til overføring får anvendelse. For formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål bør det tas hensyn til samfunnets berettigede forventninger om økt kunnskap. Den behandlingsansvarlige bør underrette tilsynsmyndigheten og den registrerte om overføringen.
*ikke offisiell overskrift
Samarbeid mellom Kommisjonen og tilsynsmyndigheter med myndigheter i tredjeland*
116. Når personopplysninger krysser grenser utenfor Unionen, kan det øke risikoen for at fysiske personer ikke kan utøve sine rettigheter med hensyn til vern av personopplysninger, særlig for å beskytte seg mot ulovlig bruk eller utlevering av nevnte opplysninger. Samtidig kan tilsynsmyndigheter i noen tilfeller innse at de ikke er i stand til å følge opp klager eller foreta undersøkelser av aktiviteter som finner sted utenfor deres grenser. Samarbeidet på tvers av landegrensene kan også bli hindret av utilstrekkelig myndighet til å treffe forebyggende tiltak eller utbedringstiltak, av uensartede rettsordninger og praktiske hindringer, f.eks. ressursbegrensninger. Det er derfor behov for å fremme et tettere samarbeid mellom tilsynsmyndigheter for personvern, slik at de lettere kan utveksle informasjon og foreta undersøkelser sammen med sine internasjonale kolleger. For å utvikle mekanismer for internasjonalt samarbeid med sikte på å fremme og yte internasjonal gjensidig bistand med hensyn til håndheving av regelverket for vern av personopplysninger bør Kommisjonen og tilsynsmyndighetene utveksle informasjon og samarbeide om aktiviteter som er knyttet til utøvelse av deres myndighet, med vedkommende myndigheter i tredjestater på grunnlag av gjensidighet og i samsvar med denne forordning.
*ikke offisiell overskrift
Tilsynsmyndigheter kan være underlagt kontroll eller tilsyn med økonomistyring og domstolskontroll*
118. Tilsynsmyndighetenes uavhengighet bør ikke bety at de ikke kan være gjenstand for mekanismer for kontroll eller tilsyn med egen økonomistyring eller underkastes domstolskontroll.
*ikke offisiell overskrift
Lovmessig plikt til å sikre konsistens for regelverket og én tilsynsmyndighet som kontaktpunkt*
119. Dersom en medlemsstat oppretter flere tilsynsmyndigheter, bør den ved lov opprette mekanismer for å sikre at disse tilsynsmyndighetene deltar effektivt i konsistensmekanismen. Nevnte medlemsstat bør særlig utpeke en tilsynsmyndighet som skal fungere som et felles kontaktpunkt for disse myndighetenes effektive deltaking i mekanismen, for å sikre et raskt og smidig samarbeid med andre tilsynsmyndigheter, Personvernrådet og Kommisjonen.
*ikke offisiell overskrift
Tilstrekkelige ressurser og midler for tilsynsmyndigheter*
120. Hver tilsynsmyndighet bør ha de nødvendige økonomiske og menneskelige ressurser, lokaler og infrastruktur for å kunne utføre sine oppgaver på en effektiv måte, herunder oppgaver knyttet til gjensidig bistand og samarbeid med andre tilsynsmyndigheter i Unionen. Hver tilsynsmyndighet bør ha et separat og offentlig årlig budsjett som kan inngå i det overordnede statsbudsjettet eller nasjonale budsjettet.
*ikke offisiell overskrift
Ensartet anvendelse av GDPR i EØS (konsistensmekanisme)*
123. Tilsynsmyndighetene bør føre tilsyn med anvendelsen av bestemmelsene i denne forordning samt bidra til en ensartet anvendelse av forordningen i hele Unionen for å sikre vern av fysiske personer i forbindelse med behandling av deres personopplysninger og fremme den frie flyten av personopplysninger i det indre marked. For dette formål bør tilsynsmyndighetene samarbeide med hverandre og med Kommisjonen uten at det er behov for en avtale om yting av gjensidig bistand eller slikt samarbeid mellom medlemsstatene.
*ikke offisiell overskrift
Ledende tilsynsmyndighet når behandlingsansvarlig/databehandler er etablert i flere land (ettstedsmekanismen)*
124. Dersom behandlingen av personopplysninger utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller databehandler i Unionen, og den behandlingsansvarlige eller databehandleren er etablert i mer enn én medlemsstat, eller dersom behandlingen som utføres i forbindelse med aktivitetene ved den eneste virksomheten til en behandlingsansvarlig eller databehandler i Unionen, i vesentlig grad påvirker eller sannsynligvis vil påvirke registrerte i mer enn én medlemsstat, bør tilsynsmyndigheten for den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet fungere som ledende tilsynsmyndighet. Den bør samarbeide med de andre berørte myndighetene dersom den behandlingsansvarlige eller databehandleren har en virksomhet på territoriet til deres medlemsstat, dersom registrerte bosatt på deres territorium i vesentlig grad berøres, eller dersom det er inngitt klage til dem. Også dersom en registrert som ikke er bosatt i nevnte medlemsstat, har inngitt klage, bør tilsynsmyndigheten som klagen er inngitt til, også være en berørt tilsynsmyndighet. Personvernrådet bør innenfor rammen av sine oppgaver med å utstede retningslinjer for eventuelle spørsmål som omfatter anvendelsen av denne forordning, særlig kunne utstede retningslinjer for kriteriene som skal tas i betraktning for å vurdere om den aktuelle behandlingen i vesentlig grad berører registrerte i mer enn én medlemsstat, og for hva som utgjør en relevant og begrunnet innsigelse.
*ikke offisiell overskrift
Ledende tilsynsmyndighets avgjørelser*
125. Den ledende myndigheten bør ha kompetanse til å treffe bindende avgjørelser om tiltak innenfor rammen av den myndighet den gis i samsvar med denne forordning. I egenskap av å være ledende myndighet bør tilsynsmyndigheten sørge for at de berørte tilsynsmyndighetene involveres tett og samordnes i avgjørelsesprosessen. Dersom det besluttes helt eller delvis å avslå den registrertes klage, bør avgjørelsen treffes av tilsynsmyndigheten som klagen er inngitt til.
*ikke offisiell overskrift
Avgjørelse av flere tilsynsmyndigheter*
126. Avgjørelsen bør treffes i fellesskap av den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene og bør rettes til den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet, og den bør være bindende for den behandlingsansvarlige og databehandleren. Den behandlingsansvarlige eller databehandleren bør treffe de nødvendige tiltak for å sikre samsvar med denne forordning samt gjennomføring av avgjørelsen som den ledende tilsynsmyndigheten har meddelt den behandlingsansvarliges eller databehandlerens hovedvirksomhet med hensyn til behandlingsaktiviteter i Unionen.
*ikke offisiell overskrift
Håndtering av saker for ikke-ledende tilsynsmyndighet*
127. Hver tilsynsmyndighet som ikke fungerer som ledende tilsynsmyndighet, bør ha kompetanse til å håndtere lokale saker dersom den behandlingsansvarlige eller databehandleren er etablert i flere enn én medlemsstat, men gjenstanden for den spesifikke behandlingen bare gjelder behandling utført i én medlemsstat, og bare omfatter registrerte i nevnte ene medlemsstat, f.eks. dersom det gjelder behandling av arbeidstakeres personopplysninger i forbindelse med spesifikke ansettelsesforhold i en medlemsstat. I slike tilfeller bør tilsynsmyndigheten uten opphold underrette den ledende tilsynsmyndigheten om forholdet. Etter å ha blitt underrettet bør den ledende tilsynsmyndigheten beslutte om den skal behandle saken i henhold til bestemmelsen om samarbeid mellom den ledende tilsynsmyndigheten og andre berørte tilsynsmyndigheter («ettstedsmekanismen»), eller om tilsynsmyndigheten som underrettet den, bør behandle saken på lokalt plan. Når den ledende tilsynsmyndigheten skal beslutte om den skal behandle saken, bør den ta hensyn til om den behandlingsansvarlige eller databehandleren har en virksomhet i medlemsstaten til tilsynsmyndigheten som underrettet den, for å sikre en effektiv gjennomføring av en avgjørelse overfor den behandlingsansvarlige eller databehandleren. Dersom den ledende tilsynsmyndigheten beslutter å behandle saken, bør tilsynsmyndigheten som underrettet den, ha mulighet til å legge fram et forslag til avgjørelse som den ledende tilsynsmyndigheten bør ta størst mulig hensyn til ved utarbeiding av sitt utkast til avgjørelse i nevnte ettstedsmekanisme.
*ikke offisiell overskrift
Unntak fra regler om ledende tilsynsmyndighet og ettstedsmekanismen*
128. Reglene for den ledende tilsynsmyndigheten og ettstedsmekanismen bør ikke få anvendelse dersom behandlingen utføres av offentlige myndigheter eller private organer i allmennhetens interesse. I slike tilfeller bør bare tilsynsmyndigheten i medlemsstaten der den offentlige myndigheten eller det private organet er etablert, ha kompetanse til å utøve myndigheten den er gitt i henhold til denne forordning.
*ikke offisiell overskrift
Samarbeid mellom ledende tilsynsmyndighet og tilsynsmyndighet som har mottatt klage*
130. Dersom tilsynsmyndigheten som klagen er inngitt til, ikke er den ledende tilsynsmyndigheten, bør den ledende tilsynsmyndigheten samarbeide tett med tilsynsmyndigheten som klagen er inngitt til, i samsvar med bestemmelsene om samarbeid og ensartet anvendelse fastsatt i denne forordning. I slike tilfeller bør den ledende tilsynsmyndigheten, når den treffer tiltak som skal ha rettsvirkning, herunder ilegging av overtredelsesgebyr, ta størst mulig hensyn til synspunktene til tilsynsmyndigheten som klagen er inngitt til, og som fortsatt skal ha kompetanse til å foreta undersøkelser på sin egen medlemsstats territorium sammen med vedkommende tilsynsmyndighet.
*ikke offisiell overskrift
Behandling av tilsynsmyndighet som mottar klage om det foreligger ledende tilsynsmyndighet*
131. Dersom en annen tilsynsmyndighet bør fungere som ledende tilsynsmyndighet for den behandlingsansvarliges eller databehandlerens behandlingsaktiviteter, men det konkrete innholdet i en klage eller den mulige overtredelsen bare gjelder behandlingsaktiviteter som utføres av den behandlingsansvarlige eller databehandleren i medlemsstaten der klagen er inngitt eller den mulige overtredelsen er oppdaget, og forholdet ikke i vesentlig grad berører eller sannsynligvis ikke i vesentlig grad vil berøre registrerte i andre medlemsstater, bør tilsynsmyndigheten som mottar en klage eller oppdager eller på annen måte blir underrettet om situasjoner som innebærer mulige overtredelser av denne forordning, søke å komme fram til en minnelig løsning sammen med den behandlingsansvarlige og dersom dette ikke lykkes, utøve sin myndighet fullt ut. Dette bør omfatte spesifikk behandling som utføres på territoriet til tilsynsmyndighetens medlemsstat, eller når det gjelder registrerte, på territoriet til nevnte medlemsstat, behandling som utføres i forbindelse med tilbud av varer eller tjenester som er særlig rettet mot registrerte på territoriet til tilsynsmyndighetens medlemsstat, eller behandling som skal vurderes i henhold til relevante rettslige forpliktelser i medlemsstatenes nasjonale rett.
*ikke offisiell overskrift
Tilsynsmyndighets holdningskampanjer*
132. Tilsynsmyndighetenes holdningskampanjer rettet mot allmennheten bør omfatte særlige tiltak rettet mot behandlingsansvarlige og databehandlere, herunder svært små, små og mellomstore bedrifter samt fysiske personer, særlig i utdanningssammenheng.
*ikke offisiell overskrift
Tilsynsmyndigheters gjensidige bistand*
133. Tilsynsmyndighetene bør bistå hverandre i forbindelse med utførelsen av sine oppgaver og yte gjensidig bistand for å sikre ensartet anvendelse og håndheving av denne forordning i det indre marked. En tilsynsmyndighet som anmoder om gjensidig bistand, kan treffe et midlertidig tiltak dersom den ikke mottar svar på nevnte anmodning innen en måned etter at den andre tilsynsmyndigheten har mottatt anmodningen.
*ikke offisiell overskrift
Tilsynsmyndigheters felles aktiviteter og svar på anmodninger*
134. Dersom det er relevant, bør hver tilsynsmyndighet delta i felles aktiviteter sammen med andre tilsynsmyndigheter. Den anmodede tilsynsmyndighet bør ha plikt til å svare på anmodningen innen en fastsatt frist.
*ikke offisiell overskrift
Konsistensmekanisme for å sikre ensartet anvendelse av GDPR*
135. For å sikre ensartet anvendelse av denne forordning i hele Unionen bør det opprettes en konsistensmekanisme for samarbeid mellom tilsynsmyndighetene. Nevnte mekanisme bør særlig få anvendelse dersom en tilsynsmyndighet akter å treffe et tiltak som skal ha rettsvirkning, når det gjelder behandlingsaktiviteter som i vesentlig grad berører et betydelig antall registrerte i flere medlemsstater. Den bør også få anvendelse dersom en berørt tilsynsmyndighet eller Kommisjonen anmoder om at et slikt forhold behandles innenfor rammen av konsistensmekanismen. Nevnte mekanisme bør ikke berøre eventuelle tiltak som Kommisjonen kan treffe som ledd i utøvelsen av sin myndighet i henhold til traktatene.
*ikke offisiell overskrift
Uttalelse fra EUs personvernråd (EDPB) ved konsistensmekanismen*
136. Ved anvendelse av konsistensmekanismen bør Personvernrådet innen en fastsatt frist avgi uttalelse dersom et flertall av dets medlemmer beslutter det, eller dersom en berørt tilsynsmyndighet eller Kommisjonen anmoder om det. Personvernrådet bør også gis myndighet til å treffe rettslig bindende beslutninger dersom det oppstår tvister mellom tilsynsmyndighetene. For dette formål bør det, i prinsippet med to tredels flertall blant dets medlemmene, treffe rettslig bindende beslutninger i tydelig angitte tilfeller der det foreligger motstridende synspunkter blant tilsynsmyndighetene, særlig i mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene om en saks fakta, særlig om hvorvidt det foreligger en overtredelse av denne forordning.
*ikke offisiell overskrift
Hastetiltak av tilsynsmyndighet*
137. Det kan være nødvendig å treffe tiltak omgående for å verne registrertes rettigheter og friheter, særlig dersom det foreligger en fare for at en registrerts utøvelse av en rettighet kan bli betydelig hemmet. En tilsynsmyndighet bør derfor kunne treffe behørig begrunnede midlertidige tiltak på sitt territorium med en fastsatt gyldighetsperiode som ikke bør være lenger enn tre måneder.
*ikke offisiell overskrift
Konsistensmekanismen som vilkår for tiltak av tilsynsmyndighet*
138. Anvendelsen av en slik mekanisme bør være et vilkår for lovligheten av et tiltak som er truffet av en tilsynsmyndighet, og som er ment å ha rettsvirkning, i tilfeller der anvendelsen av den er obligatorisk. I andre tilfeller som har en grenseoverskridende dimensjon, bør mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene anvendes, og gjensidig bistand kan ytes og felles aktiviteter kan gjennomføres mellom de berørte tilsynsmyndighetene på et bilateralt eller multilateralt grunnlag uten at det utløser konsistensmekanismen.
*ikke offisiell overskrift
Uavhengighet, deltakere og oppgaver for EUs personvernråd (EDPB)*
139. For å fremme en ensartet anvendelse av denne forordning bør Personvernrådet opprettes som et uavhengig EU-organ. For å kunne oppfylle sine mål bør Personvernrådet ha status som juridisk person. Personvernrådet bør representeres av sin leder. Det bør erstatte arbeidsgruppen for personvern i forbindelse med behandling av personopplysninger nedsatt ved direktiv 95/46/EF. Det bør bestå av lederen for en tilsynsmyndighet i hver medlemsstat samt EUs datatilsyn eller de respektive representantene for dette. Kommisjonen bør delta i Personvernrådets aktiviteter uten stemmerett, og EUs datatilsyn bør ha særlig stemmerett. Personvernrådet bør bidra til en ensartet anvendelse av denne forordning i hele Unionen, herunder ved å rådgi Kommisjonen, særlig om beskyttelsesnivået i tredjestater eller internasjonale organisasjoner, samt fremme samarbeid mellom tilsynsmyndighetene i hele Unionen. Personvernrådet bør utføre sine oppgaver i full uavhengighet.
*ikke offisiell overskrift
Rett til å klage til tilsynsmyndighet*
141. Enhver registrert bør ha rett til å klage til én enkelt tilsynsmyndighet, særlig i medlemsstaten der vedkommende til vanlig er bosatt, samt ha rett til effektivt rettsmiddel i samsvar med artikkel 47 i pakten dersom vedkommende anser sine rettigheter i henhold til denne forordning for krenket, eller dersom tilsynsmyndigheten ikke reagerer på en klage, helt eller delvis avslår eller avviser en klage eller ikke griper inn når det er nødvendig for å verne den registrertes rettigheter. Undersøkelsen av en klage bør, med forbehold for domstolskontroll, foretas i den utstrekning som er egnet i det enkelte tilfellet. Tilsynsmyndigheten bør innen en rimelig frist underrette den registrerte om klagebehandlingsforløpet og om utfallet av klagen. Dersom saken krever ytterligere undersøkelse eller samordning med en annen tilsynsmyndighet, bør den registrerte underrettes om dette underveis. For å forenkle inngivelsen av klager bør hver tilsynsmyndighet treffe tiltak som f.eks. å utarbeide et klageskjema som også kan fylles ut elektronisk, uten at andre kommunikasjonsmidler utelukkes.
*ikke offisiell overskrift
Rett til å la ideelt organ/sammenslutning til å klage på sine vegne*
142. Dersom en registrert mener at vedkommendes rettigheter i henhold til denne forordning er krenket, bør vedkommende ha rett til å gi et ideelt organ eller en ideell organisasjon eller sammenslutning som er opprettet i samsvar med en medlemsstats nasjonale rett, som har vedtektsfestede mål som er i allmennhetens interesse, og som er aktiv på området vern av personopplysninger, fullmakt til å klage til en tilsynsmyndighet på vedkommendes vegne, utøve retten til rettslig prøving på vegne av de registrerte eller, dersom det er fastsatt i medlemsstatenes nasjonale rett, utøve retten til å motta erstatning på vegne av de registrerte. En medlemsstat kan fastsette at nevnte organ, organisasjon eller sammenslutning, uavhengig av fullmakten fra en registrert, skal ha rett til å inngi klage i den aktuelle medlemsstaten samt ha rett til effektivt rettsmiddel dersom den har grunn til å tro at en registrerts rettigheter er blitt krenket som følge av en behandling av personopplysninger som er i strid med bestemmelsene i denne forordning. Nevnte organ, organisasjon eller sammenslutning kan ikke kreve erstatning på vegne av en registrert uavhengig av den registrertes fullmakt.
*ikke offisiell overskrift
Rett til domstolprøving av beslutning eller avgjørelse*
143. Enhver fysisk eller juridisk person har rett til å bringe en sak om oppheving av Personvernrådets beslutninger inn for Domstolen på vilkårene fastsatt i artikkel 263 i TEUV. De berørte tilsynsmyndighetene som slike beslutninger er rettet til, må, dersom de ønsker å bestride dem, reise sak innen to måneder etter at beslutningene er meddelt dem, i samsvar med 263 i TEUV. Dersom en behandlingsansvarlig, databehandler eller klager er direkte og individuelt berørt av Personvernrådets beslutninger, kan disse, i samsvar med artikkel 263 i TEUV, reise sak om oppheving av nevnte beslutninger innen to måneder etter at beslutningene er offentliggjort på Personvernrådets nettsted. Uten at det berører denne rett i henhold til artikkel 263 i TEUV, bør enhver fysisk eller juridisk person ha rett til effektiv rettslig prøving ved vedkommende nasjonale domstol av en beslutning som er truffet av en tilsynsmyndighet, og som har rettsvirkning for vedkommende. En slik beslutning gjelder særlig tilsynsmyndighetens myndighet til å foreta undersøkelser, til å vedta korrigerende tiltak og til å godkjenne eller avslå eller avvise klager. Retten til effektiv rettslig prøving omfatter imidlertid ikke tiltak truffet av tilsynsmyndighetene som ikke er rettslig bindende, f.eks. uttalelser eller råd fra tilsynsmyndigheten. Saker som reises mot en tilsynsmyndighet, bør bringes inn for domstolene i medlemsstaten der tilsynsmyndigheten er etablert, og bør føres i samsvar med prosessretten i nevnte medlemsstat. Nevnte domstoler bør ha full domsmyndighet, som bør omfatte myndighet til å undersøke alle faktiske og rettslige forhold som gjelder tvisten de har fått seg forelagt.
Dersom en tilsynsmyndighet har avslått eller avvist en klage, kan klageren bringe saken inn for domstolene i samme medlemsstat. Når det gjelder rettslig prøving i forbindelse med anvendelsen av denne forordning, kan, eller i tilfellet fastsatt i artikkel 267 i TEUV, skal nasjonale domstoler som anser en avgjørelse om spørsmålet som nødvendig for å avsi dom, anmode Domstolen om en forhåndsavgjørelse om fortolkningen av unionsretten, herunder denne forordning. Dersom en avgjørelse truffet av en tilsynsmyndighet som gjennomfører en beslutning truffet av Personvernrådet, bestrides ved en nasjonal domstol, og det er uenighet om gyldigheten av Personvernrådets beslutning, har nevnte nasjonale domstol ikke myndighet til å erklære Personvernrådets beslutning for ugyldig, men skal, dersom den anser at beslutningen er ugyldig, henvise spørsmålet om gyldighet til Domstolen i samsvar med artikkel 267 i TEUV som fortolket av Domstolen. En nasjonal domstol kan imidlertid ikke henvise et spørsmål om gyldigheten av en beslutning truffet av Personvernrådet på anmodning fra en fysisk eller juridisk person som har hatt mulighet til reise sak om oppheving av nevnte beslutning, særlig dersom vedkommende var direkte eller personlig berørt av nevnte beslutning, men ikke har gjort dette innen fristen fastsatt i artikkel 263 i TEUV.
*ikke offisiell overskrift
Håndtering av samme sak for domstoler i flere land*
144. Dersom en domstol for hvilken det er anlagt sak mot en avgjørelse truffet av en tilsynsmyndighet, har grunn til å tro at en sak som gjelder samme behandling, f.eks. med samme saksgjenstand og utført av samme behandlingsansvarlig eller databehandler, eller som har samme saksgrunnlag, er brakt inn for en vedkommende domstol i en annen medlemsstat, bør den kontakte nevnte domstol for å få bekreftet at det foreligger slike relaterte saker. Dersom det verserer relaterte saker for en domstol i en annen medlemsstat, kan enhver annen domstol enn den som saken først ble brakt inn for, utsette saken eller, på anmodning fra en av partene, erklære seg ikke domsmyndig til fordel for domstolen som saken først ble brakt inn for, forutsatt at nevnte domstol har domsmyndighet i den aktuelle saken, og at konsolidering av slike relaterte saker er tillatt i henhold til medlemsstatens nasjonale rett. Saker anses for å være relaterte når de er så tett forbundet at det er hensiktsmessig å behandle og avgjøre dem sammen, for å unngå risikoen for uforenlige rettsavgjørelser som følge av at de behandles hver for seg.
*ikke offisiell overskrift
Sanksjoner ved overtredelse*
148. For å styrke håndhevingen av bestemmelsene i denne forordning bør det ved overtredelse av denne forordning ilegges sanksjoner, herunder overtredelsesgebyr, i tillegg til eller i stedet for egnede tiltak som tilsynsmyndigheten pålegger i henhold til denne forordning. Ved mindre overtredelser eller dersom overtredelsesgebyret som kan bli ilagt, vil utgjøre en uforholdsmessig stor byrde for en fysisk person, kan det gis en irettesettelse i stedet for et overtredelsesgebyr. Det bør imidlertid tas behørig hensyn til overtredelsens art, alvorlighetsgrad og varighet, om den er gjort forsettlig, tiltak som er truffet for å redusere den forvoldte skade, graden av ansvar eller eventuelle relevante tidligere overtredelser, måten tilsynsmyndigheten fikk kjennskap til overtredelsen på, overholdelse av tiltak truffet overfor den behandlingsansvarlige eller databehandleren, overholdelse av atferdsnormer samt andre skjerpende eller formildende faktorer. Ilegging av sanksjoner, herunder overtredelsesgebyr, bør være omfattet av nødvendige prosessuelle garantier i samsvar med de allmenne prinsippene i unionsretten og i pakten, herunder et effektivt rettslig vern og en rettferdig rettergang.
*ikke offisiell overskrift
Overtredelsesgebyr ved overtredelse*
150. For å styrke og harmonisere de administrative sanksjonene for overtredelse av denne forordning bør hver tilsynsmyndighet ha myndighet til å ilegge overtredelsesgebyr. Denne forordning bør definere overtredelser og den øvre grensen og kriteriene for fastsettelse av de tilhørende overtredelsesgebyrene, som bør bestemmes av vedkommende tilsynsmyndighet i hvert enkelt tilfelle, idet det tas hensyn til alle forhold som er relevante for den bestemte situasjonen, og idet det tas behørig hensyn særlig til overtredelsens art, alvorlighetsgrad, varighet og konsekvenser samt tiltakene som er truffet for å sikre samsvar med forpliktelsene i denne forordning, og for å forebygge eller redusere konsekvensene av overtredelsen. Dersom et foretak ilegges overtredelsesgebyr, bør et foretak for disse formål forstås som et foretak i henhold til artikkel 101 og 102 i TEUV. Dersom personer som ikke er foretak, ilegges overtredelsesgebyr, bør tilsynsmyndigheten ved fastsettelse av en egnet størrelse på overtredelsesgebyret ta hensyn til det generelle inntektsnivået i medlemsstaten samt til personens økonomiske situasjon. Konsistensmekanismen kan også brukes for å fremme en ensartet anvendelse av overtredelsesgebyrer. Det bør være opp til medlemsstatene å bestemme om og i hvilken grad offentlige myndigheter bør kunne ilegges overtredelsesgebyr. Ilegging av et overtredelsesgebyr eller utstedelse av en advarsel berører ikke anvendelsen av tilsynsmyndighetenes øvrige myndighet eller andre sanksjoner i henhold til denne forordning.
*ikke offisiell overskrift
Unntak for overtredelsesgebyr i Danmark og Estland*
151. Rettsordenen i Danmark og Estland tillater ikke overtredelsesgebyr som fastsatt i denne forordning. Bestemmelsene om overtredelsesgebyr kan i Danmark anvendes ved at gebyr ilegges av vedkommende nasjonale domstoler som en strafferettslig sanksjon, og i Estland ved at gebyr ilegges av tilsynsmyndigheten innenfor rammen av en forseelsesprosedyre, forutsatt at en slik anvendelse av bestemmelsene i disse medlemsstatene har en virkning som tilsvarer virkningen av overtredelsesgebyrer ilagt av tilsynsmyndigheter. Vedkommende nasjonale domstoler bør derfor ta hensyn til anbefalingen fra tilsynsmyndigheten som har initiert gebyret. I alle tilfeller bør gebyrene som ilegges, være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende.
*ikke offisiell overskrift
Særlige regler om arbeidstakeres personopplysninger i nasjonal rett eller tariffavtaler*
155. I medlemsstatenes nasjonale rett eller tariffavtaler, herunder «arbeidsavtaler», kan det fastsettes særlige regler om behandling av arbeidstakernes personopplysninger i ansettelsesforhold, særlig når det gjelder vilkårene for behandling av personopplysninger i ansettelsesforhold på grunnlag av et samtykke fra den ansatte, formålet med ansettelsen, gjennomføring av ansettelsesavtalen, herunder overholdelse av pliktene fastsatt ved lov eller i tariffavtaler, ledelse, planlegging og organisering av arbeidet, likestilling og mangfold samt helse og sikkerhet på arbeidsplassen, individuell eller kollektiv utøvelse og rett til å nyte godt av rettighetene og fordelene knyttet til ansettelsen samt for å avslutte ansettelsesforholdet.
*ikke offisiell overskrift
Tilsynsmyndighets taushetsplikt*
164. Når det gjelder tilsynsmyndighetenes myndighet til å få tilgang til personopplysninger fra den behandlingsansvarlige eller databehandleren og adgang til deres lokaler, kan medlemsstatene innenfor rammene av denne forordning ved lov vedta særlige regler for å sikre yrkesmessig eller annen tilsvarende taushetsplikt, i den grad det er nødvendig for å bringe retten til vern av personopplysning i samsvar med yrkesmessig taushetsplikt. Dette berører ikke medlemsstatenes eksisterende forpliktelser til å vedta regler om taushetsplikt dersom det kreves i unionsretten.
*ikke offisiell overskrift
Bruka av undersøkelsesprosedyren*
168. Undersøkelsesprosedyren bør brukes når det vedtas gjennomføringsrettsakter om standardavtalevilkår mellom behandlingsansvarlige og databehandlere og mellom databehandlere; atferdsnormer; tekniske standarder og sertifiseringsmekanismer; det tilstrekkelige beskyttelsesnivået som sikres av en tredjestat, et territorium eller en angitt sektor i nevnte tredjestat eller en internasjonal organisasjon; standard personvernbestemmelser; formater og framgangsmåter for elektronisk utveksling av informasjon mellom behandlingsansvarlige, databehandlere og tilsynsmyndigheter med tanke på bindende virksomhetsregler; gjensidig bistand samt ordninger for elektronisk utveksling av informasjon mellom tilsynsmyndigheter og mellom tilsynsmyndigheter og Personvernrådet.
*ikke offisiell overskrift
Opphevelse av personverndirektivet og overgangsregler*
171. Direktiv 95/46/EF bør oppheves ved denne forordning. Behandling som allerede pågår på anvendelsesdatoen for denne forordning, bør bringes i samsvar med denne forordning senest to år etter at denne forordning har trådt i kraft. Når behandlingen bygger på et samtykke i henhold til direktiv 95/46/EF, trenger den registrerte ikke å gi sitt samtykke på nytt for at den behandlingsansvarlige skal kunne fortsette nevnte behandling etter anvendelsesdatoen for denne forordning, dersom samtykket ble gitt i samsvar med vilkårene i denne forordning. Beslutninger truffet av Kommisjonen og godkjenninger gitt av tilsynsmyndigheter på grunnlag av direktiv 95/46/EF skal fortsette å gjelde fram til de endres, erstattes eller oppheves.
*ikke offisiell overskrift
22) «berørt tilsynsmyndighet» en tilsynsmyndighet som er berørt av en behandling av personopplysninger, fordi
a) den behandlingsansvarlige eller databehandleren er etablert på territoriet til nevnte tilsynsmyndighets medlemsstat,
b) registrerte som er bosatt i nevnte tilsynsmyndighets medlemsstat, i vesentlig grad påvirkes eller sannsynligvis vil bli påvirket av behandlingen, eller
c) det er klaget til nevnte tilsynsmyndighet,
Behandlingsansvarliges hovedvirksomhet*
36. En behandlingsansvarliges hovedvirksomhet i Unionen bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, med mindre det treffes beslutninger om formål og midler i forbindelse med behandlingen av personopplysninger i en annen av den behandlingsansvarliges virksomheter i Unionen; da skal nevnte andre virksomhet anses for å være hovedvirksomheten. En behandlingsansvarliges hovedvirksomhet i Unionen bør fastslås ut fra objektive kriterier og bør innebære en effektiv og faktisk utøvelse av ledelsesaktiviteter som munner ut i de viktigste avgjørelsene med hensyn til formålet med og midlene for behandlingen gjennom en stabil struktur. Dette kriteriet bør ikke avhenge av om behandlingen av personopplysninger utføres på nevnte sted. Det forhold at det finnes og benyttes tekniske midler og teknologier i forbindelse med behandling av personopplysninger eller behandlingsaktiviteter, utgjør i seg selv ikke en hovedvirksomhet, og er derfor ikke avgjørende for kriteriet om hovedvirksomhet. Databehandlerens hovedvirksomhet bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, eller dersom vedkommende ikke har en hovedadministrasjon i Unionen, det sted der de fleste behandlingsaktivitetene finner sted i Unionen. I tilfeller som omfatter både den behandlingsansvarlige og databehandleren, bør vedkommende ledende tilsynsmyndighet fortsatt være tilsynsmyndigheten i medlemsstaten der den behandlingsansvarlige har sin hovedvirksomhet, mens databehandlerens tilsynsmyndighet bør anses for å være en berørt tilsynsmyndighet, og denne tilsynsmyndighet bør delta i framgangsmåten for samarbeid fastsatt i denne forordning. Under alle omstendigheter bør tilsynsmyndighetene i medlemsstaten eller medlemsstatene der databehandleren har én eller flere virksomheter, ikke anses for å være berørte tilsynsmyndigheter dersom utkastet til avgjørelse bare gjelder den behandlingsansvarlige. Dersom behandlingen utføres av et konsern, bør hovedvirksomheten til det foretaket som utøver kontroll, anses som konsernets hovedvirksomhet, bortsett fra når formålet med behandlingen og midlene som skal brukes, fastsettes av et annet foretak.
*ikke offisiell overskrift
Gjenstand for vurdering av personvernkonsekvenser (DPIA)*
91. Dette bør særlig få anvendelse på behandlingsaktiviteter i stor skala der formålet er å behandle en betydelig mengde personopplysninger på regionalt, nasjonalt eller overnasjonalt plan, og som kan påvirke et stort antall registrerte og innebære en høy risiko, f.eks. fordi opplysningene er sensitive, dersom, i samsvar med det oppnådde nivået av teknisk kunnskap, en ny teknologi anvendes i stor skala samt i forbindelse med andre behandlingsaktiviteter som innebærer en høy risiko for de registrertes rettigheter og friheter, særlig dersom nevnte aktiviteter gjør det vanskeligere for de registrerte å utøve sine rettigheter. Det bør også utføres en vurdering av personvernkonsekvenser dersom personopplysninger behandles med det formål å treffe avgjørelser om særskilte fysiske personer etter en systematisk og omfattende vurdering av personlige aspekter vedrørende fysiske personer basert på profilering av nevnte opplysninger, eller etter behandling av særlige kategorier av personopplysninger, biometriske opplysninger eller opplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak. Det kreves også en vurdering av personvernkonsekvenser ved overvåking i stor skala av offentlig tilgjengelige steder, særlig ved bruk av optoelektronisk utstyr, eller ved andre aktiviteter der vedkommende tilsynsmyndighet vurderer at behandlingen kan føre til en høy risiko for de registrertes rettigheter og friheter, særlig fordi de hindrer de registrerte i å utøve en rettighet eller gjøre bruk av en tjeneste eller en avtale, eller fordi de utføres systematisk i stor skala. Behandling av personopplysninger bør ikke anses for å være i stor skala dersom det er snakk om en leges, annet helsepersonells eller en advokats behandling av personopplysninger tilhørende pasienter eller klienter. I slike tilfeller bør en vurdering av personvernkonsekvenser ikke være obligatorisk.
*ikke offisiell overskrift
Ledende tilsynsmyndighet når behandlingsansvarlig/databehandler er etablert i flere land (ettstedsmekanismen)*
124. Dersom behandlingen av personopplysninger utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller databehandler i Unionen, og den behandlingsansvarlige eller databehandleren er etablert i mer enn én medlemsstat, eller dersom behandlingen som utføres i forbindelse med aktivitetene ved den eneste virksomheten til en behandlingsansvarlig eller databehandler i Unionen, i vesentlig grad påvirker eller sannsynligvis vil påvirke registrerte i mer enn én medlemsstat, bør tilsynsmyndigheten for den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet fungere som ledende tilsynsmyndighet. Den bør samarbeide med de andre berørte myndighetene dersom den behandlingsansvarlige eller databehandleren har en virksomhet på territoriet til deres medlemsstat, dersom registrerte bosatt på deres territorium i vesentlig grad berøres, eller dersom det er inngitt klage til dem. Også dersom en registrert som ikke er bosatt i nevnte medlemsstat, har inngitt klage, bør tilsynsmyndigheten som klagen er inngitt til, også være en berørt tilsynsmyndighet. Personvernrådet bør innenfor rammen av sine oppgaver med å utstede retningslinjer for eventuelle spørsmål som omfatter anvendelsen av denne forordning, særlig kunne utstede retningslinjer for kriteriene som skal tas i betraktning for å vurdere om den aktuelle behandlingen i vesentlig grad berører registrerte i mer enn én medlemsstat, og for hva som utgjør en relevant og begrunnet innsigelse.
*ikke offisiell overskrift
Ledende tilsynsmyndighets avgjørelser*
125. Den ledende myndigheten bør ha kompetanse til å treffe bindende avgjørelser om tiltak innenfor rammen av den myndighet den gis i samsvar med denne forordning. I egenskap av å være ledende myndighet bør tilsynsmyndigheten sørge for at de berørte tilsynsmyndighetene involveres tett og samordnes i avgjørelsesprosessen. Dersom det besluttes helt eller delvis å avslå den registrertes klage, bør avgjørelsen treffes av tilsynsmyndigheten som klagen er inngitt til.
*ikke offisiell overskrift
Avgjørelse av flere tilsynsmyndigheter*
126. Avgjørelsen bør treffes i fellesskap av den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene og bør rettes til den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet, og den bør være bindende for den behandlingsansvarlige og databehandleren. Den behandlingsansvarlige eller databehandleren bør treffe de nødvendige tiltak for å sikre samsvar med denne forordning samt gjennomføring av avgjørelsen som den ledende tilsynsmyndigheten har meddelt den behandlingsansvarliges eller databehandlerens hovedvirksomhet med hensyn til behandlingsaktiviteter i Unionen.
*ikke offisiell overskrift
Håndtering av saker for ikke-ledende tilsynsmyndighet*
127. Hver tilsynsmyndighet som ikke fungerer som ledende tilsynsmyndighet, bør ha kompetanse til å håndtere lokale saker dersom den behandlingsansvarlige eller databehandleren er etablert i flere enn én medlemsstat, men gjenstanden for den spesifikke behandlingen bare gjelder behandling utført i én medlemsstat, og bare omfatter registrerte i nevnte ene medlemsstat, f.eks. dersom det gjelder behandling av arbeidstakeres personopplysninger i forbindelse med spesifikke ansettelsesforhold i en medlemsstat. I slike tilfeller bør tilsynsmyndigheten uten opphold underrette den ledende tilsynsmyndigheten om forholdet. Etter å ha blitt underrettet bør den ledende tilsynsmyndigheten beslutte om den skal behandle saken i henhold til bestemmelsen om samarbeid mellom den ledende tilsynsmyndigheten og andre berørte tilsynsmyndigheter («ettstedsmekanismen»), eller om tilsynsmyndigheten som underrettet den, bør behandle saken på lokalt plan. Når den ledende tilsynsmyndigheten skal beslutte om den skal behandle saken, bør den ta hensyn til om den behandlingsansvarlige eller databehandleren har en virksomhet i medlemsstaten til tilsynsmyndigheten som underrettet den, for å sikre en effektiv gjennomføring av en avgjørelse overfor den behandlingsansvarlige eller databehandleren. Dersom den ledende tilsynsmyndigheten beslutter å behandle saken, bør tilsynsmyndigheten som underrettet den, ha mulighet til å legge fram et forslag til avgjørelse som den ledende tilsynsmyndigheten bør ta størst mulig hensyn til ved utarbeiding av sitt utkast til avgjørelse i nevnte ettstedsmekanisme.
*ikke offisiell overskrift
Konsistensmekanisme for å sikre ensartet anvendelse av GDPR*
135. For å sikre ensartet anvendelse av denne forordning i hele Unionen bør det opprettes en konsistensmekanisme for samarbeid mellom tilsynsmyndighetene. Nevnte mekanisme bør særlig få anvendelse dersom en tilsynsmyndighet akter å treffe et tiltak som skal ha rettsvirkning, når det gjelder behandlingsaktiviteter som i vesentlig grad berører et betydelig antall registrerte i flere medlemsstater. Den bør også få anvendelse dersom en berørt tilsynsmyndighet eller Kommisjonen anmoder om at et slikt forhold behandles innenfor rammen av konsistensmekanismen. Nevnte mekanisme bør ikke berøre eventuelle tiltak som Kommisjonen kan treffe som ledd i utøvelsen av sin myndighet i henhold til traktatene.
*ikke offisiell overskrift
Uttalelse fra EUs personvernråd (EDPB) ved konsistensmekanismen*
136. Ved anvendelse av konsistensmekanismen bør Personvernrådet innen en fastsatt frist avgi uttalelse dersom et flertall av dets medlemmer beslutter det, eller dersom en berørt tilsynsmyndighet eller Kommisjonen anmoder om det. Personvernrådet bør også gis myndighet til å treffe rettslig bindende beslutninger dersom det oppstår tvister mellom tilsynsmyndighetene. For dette formål bør det, i prinsippet med to tredels flertall blant dets medlemmene, treffe rettslig bindende beslutninger i tydelig angitte tilfeller der det foreligger motstridende synspunkter blant tilsynsmyndighetene, særlig i mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene om en saks fakta, særlig om hvorvidt det foreligger en overtredelse av denne forordning.
*ikke offisiell overskrift
Konsistensmekanismen som vilkår for tiltak av tilsynsmyndighet*
138. Anvendelsen av en slik mekanisme bør være et vilkår for lovligheten av et tiltak som er truffet av en tilsynsmyndighet, og som er ment å ha rettsvirkning, i tilfeller der anvendelsen av den er obligatorisk. I andre tilfeller som har en grenseoverskridende dimensjon, bør mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene anvendes, og gjensidig bistand kan ytes og felles aktiviteter kan gjennomføres mellom de berørte tilsynsmyndighetene på et bilateralt eller multilateralt grunnlag uten at det utløser konsistensmekanismen.
*ikke offisiell overskrift
Rett til domstolprøving av beslutning eller avgjørelse*
143. Enhver fysisk eller juridisk person har rett til å bringe en sak om oppheving av Personvernrådets beslutninger inn for Domstolen på vilkårene fastsatt i artikkel 263 i TEUV. De berørte tilsynsmyndighetene som slike beslutninger er rettet til, må, dersom de ønsker å bestride dem, reise sak innen to måneder etter at beslutningene er meddelt dem, i samsvar med 263 i TEUV. Dersom en behandlingsansvarlig, databehandler eller klager er direkte og individuelt berørt av Personvernrådets beslutninger, kan disse, i samsvar med artikkel 263 i TEUV, reise sak om oppheving av nevnte beslutninger innen to måneder etter at beslutningene er offentliggjort på Personvernrådets nettsted. Uten at det berører denne rett i henhold til artikkel 263 i TEUV, bør enhver fysisk eller juridisk person ha rett til effektiv rettslig prøving ved vedkommende nasjonale domstol av en beslutning som er truffet av en tilsynsmyndighet, og som har rettsvirkning for vedkommende. En slik beslutning gjelder særlig tilsynsmyndighetens myndighet til å foreta undersøkelser, til å vedta korrigerende tiltak og til å godkjenne eller avslå eller avvise klager. Retten til effektiv rettslig prøving omfatter imidlertid ikke tiltak truffet av tilsynsmyndighetene som ikke er rettslig bindende, f.eks. uttalelser eller råd fra tilsynsmyndigheten. Saker som reises mot en tilsynsmyndighet, bør bringes inn for domstolene i medlemsstaten der tilsynsmyndigheten er etablert, og bør føres i samsvar med prosessretten i nevnte medlemsstat. Nevnte domstoler bør ha full domsmyndighet, som bør omfatte myndighet til å undersøke alle faktiske og rettslige forhold som gjelder tvisten de har fått seg forelagt.
Dersom en tilsynsmyndighet har avslått eller avvist en klage, kan klageren bringe saken inn for domstolene i samme medlemsstat. Når det gjelder rettslig prøving i forbindelse med anvendelsen av denne forordning, kan, eller i tilfellet fastsatt i artikkel 267 i TEUV, skal nasjonale domstoler som anser en avgjørelse om spørsmålet som nødvendig for å avsi dom, anmode Domstolen om en forhåndsavgjørelse om fortolkningen av unionsretten, herunder denne forordning. Dersom en avgjørelse truffet av en tilsynsmyndighet som gjennomfører en beslutning truffet av Personvernrådet, bestrides ved en nasjonal domstol, og det er uenighet om gyldigheten av Personvernrådets beslutning, har nevnte nasjonale domstol ikke myndighet til å erklære Personvernrådets beslutning for ugyldig, men skal, dersom den anser at beslutningen er ugyldig, henvise spørsmålet om gyldighet til Domstolen i samsvar med artikkel 267 i TEUV som fortolket av Domstolen. En nasjonal domstol kan imidlertid ikke henvise et spørsmål om gyldigheten av en beslutning truffet av Personvernrådet på anmodning fra en fysisk eller juridisk person som har hatt mulighet til reise sak om oppheving av nevnte beslutning, særlig dersom vedkommende var direkte eller personlig berørt av nevnte beslutning, men ikke har gjort dette innen fristen fastsatt i artikkel 263 i TEUV.
*ikke offisiell overskrift
(a) the controller or processor is established on the territory of the Member State of that supervisory authority;
(b) data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or
(c) a complaint has been lodged with that supervisory authority;
23) «grenseoverskridende behandling»
a) behandling av personopplysninger som finner sted i forbindelse med aktiviteter i en behandlingsansvarligs eller databehandlers virksomheter i mer enn én medlemsstat, dersom den behandlingsansvarlige eller databehandleren er etablert i mer enn én medlemsstat, eller
b) behandling av personopplysninger som finner sted i forbindelse med aktiviteter i en behandlingsansvarligs eller databehandlers eneste virksomhet i Unionen, men som i betydelig grad påvirker eller sannsynligvis vil påvirke registrerte i mer enn én medlemsstat.
Myndighetenes samarbeid og utveksling av personopplysninger*
5. Den økonomiske og sosiale integrasjon som er oppnådd som følge av det indre markeds virkemåte, har ført til en betydelig økt flyt av personopplysninger over landegrensene. Utvekslingen av personopplysninger mellom offentlige og private aktører, herunder fysiske personer, sammenslutninger og foretak, i Unionen har økt. Nasjonale myndigheter i medlemsstatene oppfordres i unionsretten til å samarbeide og utveksle personopplysninger for å kunne utføre sitt arbeid eller utføre oppgaver på vegne av en myndighet i en annen medlemsstat.
*ikke offisiell overskrift
Monitorering av personer innenfor EØS av virksomheter etablert utenfor EØS*
24. Behandling av personopplysninger om registrerte som befinner seg i Unionen, og som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i Unionen, bør også omfattes av denne forordning dersom behandlingen er knyttet til monitorering av de registrertes atferd, så langt atferden finner sted i Unionen. For å fastslå om en behandlingsaktivitet kan anses som monitorering av de registrertes atferd bør det bringes på det rene om det skjer sporing av fysiske personer på internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe avgjørelser om vedkommende eller analysere eller forutsi vedkommendes personlige preferanser, atferd eller holdninger.
*ikke offisiell overskrift
Behandling av særlige kategorier personopplysninger for helserelaterte formål*
53. Særlige kategorier av personopplysninger som fortjener et sterkere vern, bør bare behandles for helserelaterte formål når det er nødvendig for å oppfylle nevnte formål til fordel for fysiske personer og samfunnet som helhet, særlig i forbindelse med forvaltning av helse- eller sosialtjenester og -systemer, herunder forvaltningens og sentrale nasjonale helsemyndigheters behandling av slike opplysninger med henblikk på kvalitetskontroll, forvaltningsinformasjon og den allmenne nasjonale og lokale overvåking av helse- og sosialsystemet, og for å sikre kontinuitet innen helse- og sosialtjenester og helsetjenester over landegrensene eller i forbindelse med helsesikkerhet, -overvåking og -varsling eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som må oppfylle et mål i allmennhetens interesse, samt for studier på området folkehelse som utføres i allmennhetens interesse. Ved denne forordning bør det derfor fastsettes harmoniserte vilkår for behandling av særlige kategorier av personopplysninger om helse for å oppfylle særlige behov, især når behandlingen av nevnte opplysninger utføres for visse helserelaterte formål av personer som er underlagt lovfestet taushetsplikt. I unionsretten eller medlemsstatenes nasjonale rett bør det fastsettes særlige og egnede tiltak for vern av fysiske personers grunnleggende rettigheter og personopplysninger. Medlemsstatene bør kunne opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger. Dette bør imidlertid ikke hindre den frie flyten av personopplysninger i Unionen når nevnte vilkår får anvendelse på grenseoverskridende behandling av nevnte opplysninger.
*ikke offisiell overskrift
Samarbeid mellom Kommisjonen og tilsynsmyndigheter med myndigheter i tredjeland*
116. Når personopplysninger krysser grenser utenfor Unionen, kan det øke risikoen for at fysiske personer ikke kan utøve sine rettigheter med hensyn til vern av personopplysninger, særlig for å beskytte seg mot ulovlig bruk eller utlevering av nevnte opplysninger. Samtidig kan tilsynsmyndigheter i noen tilfeller innse at de ikke er i stand til å følge opp klager eller foreta undersøkelser av aktiviteter som finner sted utenfor deres grenser. Samarbeidet på tvers av landegrensene kan også bli hindret av utilstrekkelig myndighet til å treffe forebyggende tiltak eller utbedringstiltak, av uensartede rettsordninger og praktiske hindringer, f.eks. ressursbegrensninger. Det er derfor behov for å fremme et tettere samarbeid mellom tilsynsmyndigheter for personvern, slik at de lettere kan utveksle informasjon og foreta undersøkelser sammen med sine internasjonale kolleger. For å utvikle mekanismer for internasjonalt samarbeid med sikte på å fremme og yte internasjonal gjensidig bistand med hensyn til håndheving av regelverket for vern av personopplysninger bør Kommisjonen og tilsynsmyndighetene utveksle informasjon og samarbeide om aktiviteter som er knyttet til utøvelse av deres myndighet, med vedkommende myndigheter i tredjestater på grunnlag av gjensidighet og i samsvar med denne forordning.
*ikke offisiell overskrift
Konsistensmekanismen som vilkår for tiltak av tilsynsmyndighet*
138. Anvendelsen av en slik mekanisme bør være et vilkår for lovligheten av et tiltak som er truffet av en tilsynsmyndighet, og som er ment å ha rettsvirkning, i tilfeller der anvendelsen av den er obligatorisk. I andre tilfeller som har en grenseoverskridende dimensjon, bør mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene anvendes, og gjensidig bistand kan ytes og felles aktiviteter kan gjennomføres mellom de berørte tilsynsmyndighetene på et bilateralt eller multilateralt grunnlag uten at det utløser konsistensmekanismen.
*ikke offisiell overskrift
(a) processing of personal data which takes place in the context of the activities of establishments in more than one Member State of a controller or processor in the Union where the controller or processor is established in more than one Member State; or
(b) processing of personal data which takes place in the context of the activities of a single establishment of a controller or processor in the Union but which substantially affects or is likely to substantially affect data subjects in more than one Member State.
24) «relevant og begrunnet innsigelse» en innsigelse mot et utkast til avgjørelse om hvorvidt det foreligger en overtredelse av denne forordning eller om hvorvidt et planlagt tiltak som gjelder den behandlingsansvarlige eller databehandleren, er i samsvar med denne forordning, og som tydelig viser betydningen av risikoene som utkastet til avgjørelse utgjør med hensyn til de registrertes grunnleggende rettigheter og friheter og, dersom det er relevant, den frie flyten av personopplysninger i Unionen,
Ledende tilsynsmyndighet når behandlingsansvarlig/databehandler er etablert i flere land (ettstedsmekanismen)*
124. Dersom behandlingen av personopplysninger utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller databehandler i Unionen, og den behandlingsansvarlige eller databehandleren er etablert i mer enn én medlemsstat, eller dersom behandlingen som utføres i forbindelse med aktivitetene ved den eneste virksomheten til en behandlingsansvarlig eller databehandler i Unionen, i vesentlig grad påvirker eller sannsynligvis vil påvirke registrerte i mer enn én medlemsstat, bør tilsynsmyndigheten for den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet fungere som ledende tilsynsmyndighet. Den bør samarbeide med de andre berørte myndighetene dersom den behandlingsansvarlige eller databehandleren har en virksomhet på territoriet til deres medlemsstat, dersom registrerte bosatt på deres territorium i vesentlig grad berøres, eller dersom det er inngitt klage til dem. Også dersom en registrert som ikke er bosatt i nevnte medlemsstat, har inngitt klage, bør tilsynsmyndigheten som klagen er inngitt til, også være en berørt tilsynsmyndighet. Personvernrådet bør innenfor rammen av sine oppgaver med å utstede retningslinjer for eventuelle spørsmål som omfatter anvendelsen av denne forordning, særlig kunne utstede retningslinjer for kriteriene som skal tas i betraktning for å vurdere om den aktuelle behandlingen i vesentlig grad berører registrerte i mer enn én medlemsstat, og for hva som utgjør en relevant og begrunnet innsigelse.
*ikke offisiell overskrift
25) «informasjonssamfunnstjeneste» en tjeneste som definert i artikkel 1 nr. 1 bokstav b) i europaparlaments- og rådsdirektiv (EU) 2015/1535,
Forhold til e-handelsdirektivet*
21. Denne forordning berører ikke anvendelsen av europaparlaments- og rådsdirektiv 2000/31/EF, særlig reglene for tjenesteytende mellommenns ansvar i artikkel 12-15 i nevnte direktiv. Formålet med nevnte direktiv er å bidra til at det indre marked fungerer på en tilfredsstillende måte ved å sikre fri bevegelighet for informasjonssamfunnstjenester mellom medlemsstatene.*ikke offisiell overskrift
Samtykke*
32. Samtykke bør gis i form av en tydelig bekreftelse der den registrerte på en frivillig, spesifikk, informert og utvetydig måte gir sitt samtykke til behandling av vedkommendes personopplysninger, f.eks. i form av en skriftlig, herunder elektronisk, eller en muntlig erklæring. Dette kan innebære å krysse av i en boks under et besøk på et nettsted, velge tekniske innstillinger for informasjonssamfunnstjenester eller en annen erklæring eller handling som i denne forbindelse tydelig viser at den registrerte godtar den foreslåtte behandlingen av vedkommendes personopplysninger. Taushet, forhåndsavkryssede bokser eller inaktivitet bør derfor ikke utgjøre et samtykke. Et samtykke bør omfatte alle behandlingsaktiviteter som utføres med henblikk på samme formål. Dersom det er flere formål med behandlingen, bør det gis samtykke til alle. Dersom den registrertes samtykke skal gis etter en elektronisk anmodning, må anmodningen være tydelig, kortfattet og ikke unødig forstyrre bruken av den tjenesten samtykket gjelder.
*ikke offisiell overskrift
26) «internasjonal organisasjon» en organisasjon og dens underordnede organer som er underlagt folkeretten, eller ethvert annet organ opprettet ved eller på grunnlag av en avtale mellom to eller flere stater.
Overføring av personopplysninger til tredjestater mv.*
101. Strømmen av personopplysninger til og fra stater utenfor Unionen og internasjonale organisasjoner er nødvendig for å kunne utvide internasjonal handel og internasjonalt samarbeid. Denne strømmen har økt, og dette har skapt nye utfordringer og bekymringer med tanke på vern av personopplysninger. Når personopplysninger overføres fra Unionen til behandlingsansvarlige, databehandlere eller andre mottakere i tredjestater eller til internasjonale organisasjoner, bør det beskyttelsesnivået som fysiske personer ved denne forordning sikres i Unionen, imidlertid ikke undergraves, herunder i tilfeller der personopplysninger videreoverføres fra tredjestaten eller den internasjonale organisasjonen til behandlingsansvarlige eller databehandlere i den samme eller en annen tredjestat eller internasjonal organisasjon. Overføring til tredjestater og internasjonale organisasjoner må under alle omstendigheter bare skje i fullt samsvar med denne forordning. Med forbehold for de andre bestemmelsene i denne forordning kan en overføring bare finne sted dersom den behandlingsansvarlige eller databehandleren overholder vilkårene fastsatt i bestemmelsene i denne forordning om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner.
*ikke offisiell overskrift
Overføring av personopplysninger etter internasjonale avtaler*
102. Denne forordning berører ikke internasjonale avtaler inngått mellom Unionen og tredjestater om overføring av personopplysninger, herunder nødvendige garantier for de registrerte. Medlemsstatene kan inngå internasjonale avtaler som omfatter overføring av personopplysninger til tredjestater eller internasjonale organisasjoner, så lenge nevnte avtaler ikke berører denne forordning eller andre bestemmelser i unionsretten og gir et egnet nivå for vern av de registrertes grunnleggende rettigheter.
*ikke offisiell overskrift
Kommisjonsbeslutning om tilstrekkelig personvern i tredjestat mv.*
103. Kommisjonen kan med virkning for hele Unionen beslutte at en tredjestat, et territorium eller en bestemt sektor i en tredjestat eller en internasjonal organisasjon har et tilstrekkelig nivå for vern av personopplysninger, og på den måten skape rettssikkerhet og ensartethet i hele Unionen med hensyn til tredjestaten eller de internasjonale organisasjonene som anses for å ha et slikt nivå for vern av personopplysninger. I slike tilfeller kan personopplysninger overføres til nevnte tredjestat eller internasjonale organisasjon uten at det er nødvendig å innhente ytterligere godkjenning. Kommisjonen kan også beslutte å tilbakekalle en slik beslutning etter å ha underrettet tredjestaten eller den internasjonale organisasjonen og gitt en fullstendig begrunnelse for dette.
*ikke offisiell overskrift
Innhold i kommisjonsvurdering av tredjestat mv.*
104. I samsvar med de grunnleggende verdiene som Unionen bygger på, særlig beskyttelse av menneskerettighetene, bør Kommisjonen i sin vurdering av tredjestaten, eller av et territorium eller en bestemt sektor i en tredjestat, ta hensyn til hvordan en bestemt tredjestat overholder rettsstatsprinsippet, sikrer klageadgang og domstolsprøving og overholder internasjonale menneskerettighetsstandarder samt sin allmenne og sektorbestemte lovgivning, herunder lovgivning om offentlig sikkerhet, forsvar, nasjonal sikkerhet, offentlig orden samt strafferett. Når det treffes en beslutning om tilstrekkelig beskyttelsesnivå som gjelder et territorium eller en bestemt sektor i en tredjestat, bør det tas hensyn til tydelige og objektive kriterier, f.eks. spesifikke behandlingsaktiviteter og omfanget av gjeldende rettsregler og lovgivning i tredjestaten. Tredjestaten bør gi garantier som sikrer et tilstrekkelig beskyttelsesnivå, og som i hovedtrekk tilsvarer det som sikres i Unionen, særlig når personopplysninger behandles i en eller flere spesifikke sektorer. Tredjestaten bør særlig sikre et effektivt og uavhengig personverntilsyn og bør opprette mekanismer for samarbeid med medlemsstatenes personvernmyndigheter, og de registrerte bør ha effektive og håndhevbare rettigheter og mulighet til effektiv administrativ og rettslig prøving.
*ikke offisiell overskrift
Betydningen av internasjonale avtaler ved kommisjonsvurdering av tredjestater mv.*
105. I tillegg til de internasjonale forpliktelsene som tredjestaten eller den internasjonale organisasjonen har inngått, bør Kommisjonen ta hensyn til forpliktelsene som følger av tredjestatens eller den internasjonale organisasjonens deltaking i multilaterale eller regionale systemer, særlig i forbindelse med vern av personopplysninger, samt gjennomføringen av nevnte forpliktelser. Det bør særlig tas hensyn til tredjestatens tiltredelse til Europarådets konvensjon av 28. januar 1981 om personvern i forbindelse med elektronisk databehandling av personopplysninger samt dens tilleggsprotokoll. Kommisjonen bør rådspørre Personvernrådet når den vurderer beskyttelsesnivå i tredjestater eller internasjonale organisasjoner.
*ikke offisiell overskrift
Kommisjonens overvåkning av beskyttelsesnivå i tredjestat mv.*
106. Kommisjonen bør overvåke virkningen av beslutninger om beskyttelsesnivået i en tredjestat, på et territorium eller i en bestemt sektor i en tredjestat eller en internasjonal organisasjon og overvåke virkningen av beslutninger truffet på grunnlag av artikkel 25 nr. 6 eller artikkel 26 nr. 4 i direktiv 95/46/EF. I sine beslutninger om tilstrekkelig beskyttelsesnivå bør Kommisjonen fastsette en mekanisme for regelmessig gjennomgåelse av beslutningenes virkning. Nevnte regelmessige gjennomgåelse bør utføres i samråd med den aktuelle tredjestat eller internasjonale organisasjon, idet det tas hensyn til all relevant utvikling i tredjestaten eller den internasjonale organisasjonen. I forbindelse med overvåking og de regelmessige gjennomgåelsene bør Kommisjonen ta hensyn til synspunkter og konklusjoner fra Europaparlamentet og Rådet samt fra andre relevante organer og kilder. Kommisjonen bør innen en rimelig frist vurdere virkningen av sistnevnte beslutninger og rapportere eventuelle relevante konklusjoner til komiteen omhandlet i europaparlaments- og rådsforordning (EU) nr. 182/2011 som nedsettes ved denne forordning, og til Europaparlamentet og Rådet.
*ikke offisiell overskrift
Kommisjonsbeslutning om manglende personvernbeskyttelse i tredjestat mv.*
107. Kommisjonen kan fastslå at en tredjestat, et territorium eller en bestemt sektor i en tredjestat eller en internasjonal organisasjon ikke lenger sikrer et tilstrekkelig nivå for vern av personopplysninger. Overføringen av personopplysninger til nevnte tredjestat eller internasjonale organisasjon bør da forbys, med mindre kravene i denne forordning som gjelder overføringer som omfattes av nødvendige garantier, herunder bindende virksomhetsregler, og unntak for særlige situasjoner, er oppfylt. I slike tilfeller bør det fastsettes at det skal gjennomføres samråd mellom Kommisjonen og nevnte tredjestater eller internasjonale organisasjoner. Kommisjonen bør i rett tid underrette tredjestaten eller den internasjonale organisasjonen om årsakene og innlede samråd med den for å avhjelpe situasjonen.
*ikke offisiell overskrift
Nødvendige garantier for overføring av personopplysninger til tredjestat mv.*
108. Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, bør den behandlingsansvarlige eller databehandleren treffe tiltak for å kompensere for det manglende vernet av personopplysninger i en tredjestat i form av nødvendige garantier for den registrerte. Nødvendige garantier kan omfatte bruk av bindende virksomhetsregler, standard personvernbestemmelser vedtatt av Kommisjonen, standard personvernbestemmelser vedtatt av en tilsynsmyndighet eller avtalevilkår godkjent av en tilsynsmyndighet. Disse garantiene bør sikre samsvar med kravene til vern av personopplysninger og de registrertes rettigheter i forbindelse med behandling internt i Unionen, herunder om de registrerte har tilgang til håndhevbare rettigheter og effektive rettsmidler, herunder retten til effektiv administrativ eller rettslig prøving og til å kreve erstatning i Unionen eller i en tredjestat. Garantiene bør særlig omfatte samsvar med de allmenne prinsippene om behandling av personopplysninger og prinsippene om innebygd personvern og personvern som standardinnstilling. Offentlige myndigheter eller organer kan også foreta overføringer til offentlige myndigheter eller organer i tredjestater eller til internasjonale organisasjoner med tilsvarende oppgaver eller funksjoner, herunder på grunnlag av bestemmelser som skal innlemmes i administrative ordninger, f.eks. en programerklæring, som gir de registrerte håndhevbare og effektive rettigheter. Det bør innhentes godkjenning fra vedkommende tilsynsmyndighet når garantiene er fastsatt i administrative ordninger som ikke er rettslig bindende.
*ikke offisiell overskrift
Overføring av personopplysninger til tredjestater mv. i særlige tilfeller*
112. Disse unntakene bør særlig få anvendelse på overføring av opplysninger som er nødvendig av hensyn til viktige allmenne interesser, f.eks. ved internasjonal utveksling av opplysninger mellom konkurransemyndigheter, skatte- eller tollmyndigheter, mellom finanstilsynsmyndigheter, mellom kompetente trygdemyndigheter eller folkehelsemyndigheter, f.eks. ved kontaktsporing i forbindelse med smittsomme sykdommer eller for å redusere og/eller avskaffe doping i idrett. En overføring av personopplysninger bør også anses som lovlig dersom den er nødvendig for å verne en interesse av avgjørende betydning for den registrertes eller en annen persons vitale interesser, herunder fysisk integritet eller liv, dersom den registrerte ikke er i stand til å gi sitt samtykke. Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, kan det, av hensyn til viktige allmenne interesser, i unionsretten eller medlemsstatenes nasjonale rett uttrykkelig fastsettes grenser for overføring av spesifikke kategorier av opplysninger til en tredjestat eller en internasjonal organisasjon. Medlemsstatene bør underrette Kommisjonen om nevnte bestemmelser. Enhver overføring til en internasjonal humanitær organisasjon av personopplysninger om en registrert som fysisk eller juridisk ikke er i stand til å gi sitt samtykke, med det formål å utføre en oppgave i henhold til Genève-konvensjonene eller overholde internasjonalt humanitært regelverk som får anvendelse i væpnede konflikter, kan anses for å være nødvendig av hensyn til viktige allmenne interesser eller fordi det er av vital interesse for den registrerte.
*ikke offisiell overskrift
Bruka av undersøkelsesprosedyren*
168. Undersøkelsesprosedyren bør brukes når det vedtas gjennomføringsrettsakter om standardavtalevilkår mellom behandlingsansvarlige og databehandlere og mellom databehandlere; atferdsnormer; tekniske standarder og sertifiseringsmekanismer; det tilstrekkelige beskyttelsesnivået som sikres av en tredjestat, et territorium eller en angitt sektor i nevnte tredjestat eller en internasjonal organisasjon; standard personvernbestemmelser; formater og framgangsmåter for elektronisk utveksling av informasjon mellom behandlingsansvarlige, databehandlere og tilsynsmyndigheter med tanke på bindende virksomhetsregler; gjensidig bistand samt ordninger for elektronisk utveksling av informasjon mellom tilsynsmyndigheter og mellom tilsynsmyndigheter og Personvernrådet.
*ikke offisiell overskrift
Tiltak når tredjeland ikke har tilstrekkelig beskyttelsesnivå*
169. Kommisjonen bør vedta gjennomføringsrettsakter med umiddelbar virkning når tilgjengelig dokumentasjon viser at en tredjestat, et territorium eller en angitt sektor i nevnte tredjestat eller en internasjonal organisasjon ikke sikrer et tilstrekkelig beskyttelsesnivå, og tvingende og presserende hensyn krever det.
*ikke offisiell overskrift
< Artikkel 3 | Artikkel 5 >