Artikkel 4. Definisjoner

Sammendrag: Bestemmelsen inneholder de sentrale definisjoner i GDPR som bl.a. personopplysninger, behandle / behandling, behandlingsansvarlig, databehandler, samtykke, osv.

Relatert Engelsk

Article 4. Definitions

I denne forordning menes med

1) «personopplysninger» enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet,

Fortalepunkter

27) Denne forordning får ikke anvendelse på personopplysninger om avdøde personer. Medlemsstatene kan fastsette regler om behandling av personopplysninger om avdøde personer.

158) Dersom personopplysninger behandles for arkivformål, bør denne forordning også få anvendelse på slik behandling, men ikke på avdøde personer. Offentlige myndigheter eller offentlige eller private organer som oppbevarer fortegnelser av allmenn interesse, bør være tjenester som i henhold til unionsretten eller medlemsstatenes nasjonale rett har en rettslig forpliktelse til å innhente, bevare, vurdere, organisere, beskrive, kommunisere, fremme, spre og gi tilgang til fortegnelser av varig verdi i allmennhetens interesse. Medlemsstatene bør også ha rett til å fastsette at personopplysninger kan viderebehandles for arkivformål, f.eks. for å framlegge spesifikk informasjon om politisk atferd under tidligere totalitære regimer, folkemord, forbrytelser mot menneskeheten, særlig holocaust, eller krigsforbrytelser.

160) Når personopplysninger behandles i forbindelse med formål knyttet til historisk forskning, bør denne forordning også få anvendelse på slik behandling. Dette bør også omfatte historisk forskning og genealogisk forskning, idet det tas hensyn til at denne forordning ikke bør få anvendelse på avdøde personer.

Relatert Engelsk

(1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

2) «behandling» enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring,

Relatert Engelsk

(2) ‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;

3) «begrensning av behandling» merking av lagrede personopplysninger med det som mål å begrense behandlingen av disse i framtiden,

Fortalepunkter

67) Metodene for å begrense behandlingen av personopplysninger kan blant annet innebære at utvalgte opplysninger flyttes midlertidig til et annet behandlingssystem, at utvalgte personopplysninger gjøres utilgjengelig for brukere, eller at offentliggjorte opplysninger fjernes midlertidig fra et nettsted. I automatiserte registre bør behandlingen i prinsippet begrenses ved hjelp av tekniske midler som sikrer at personopplysningene ikke kan viderebehandles og endres. Det faktum at behandlingen av personopplysninger er begrenset, bør være tydelig angitt i systemet.

156) Behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål bør være omfattet av nødvendige garantier som sikrer den registrertes rettigheter og friheter i henhold til denne forordning. Disse garantiene bør sikre at det er innført tekniske og organisatoriske tiltak for særlig å sikre overholdelse av prinsippet om dataminimering. Viderebehandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal utføres etter at den behandlingsansvarlige har foretatt en vurdering av om det er mulig å oppfylle nevnte formål ved å behandle opplysninger som ikke eller ikke lenger gjør det mulig å identifisere de registrerte, forutsatt at det foreligger nødvendige garantier (f.eks. pseudonymisering av opplysningene). Medlemsstatene bør fastsette nødvendige garantier for behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Medlemsstatene bør på særlige vilkår og med forbehold for nødvendige garantier for de registrerte ha rett til å fastsette spesifikasjoner og unntak med hensyn til informasjonskravene og retten til retting, sletting, til å bli glemt, til begrensning av behandling, til dataportabilitet og til å protestere i forbindelse med behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. De aktuelle vilkårene og garantiene kan omfatte særlige framgangsmåter som gjør det mulig for registrerte å utøve nevnte rettigheter dersom dette er egnet med henblikk på formålene med den spesifikke behandlingen, samt tekniske og organisatoriske tiltak som tar sikte på å minimere behandlingen av personopplysninger i henhold til forholdsmessighets- og nødvendighetsprinsippet. Behandling av personopplysninger for vitenskapelige formål bør også utføres i samsvar med annet relevant regelverk, f.eks. om kliniske utprøvinger.

Relatert Engelsk

(3) ‘restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future;

4) «profilering» enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser,

Fortalepunkter

24) Behandling av personopplysninger om registrerte som befinner seg i Unionen, og som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i Unionen, bør også omfattes av denne forordning dersom behandlingen er knyttet til monitorering av de registrertes atferd, så langt atferden finner sted i Unionen. For å fastslå om en behandlingsaktivitet kan anses som monitorering av de registrertes atferd bør det bringes på det rene om det skjer sporing av fysiske personer på internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe avgjørelser om vedkommende eller analysere eller forutsi vedkommendes personlige preferanser, atferd eller holdninger.

60) Prinsippene om rettferdig og åpen behandling krever at den registrerte informeres om at behandlingen skjer, samt om formålet med den. Den behandlingsansvarlige bør gi den registrerte eventuell ytterligere informasjon som er nødvendig for å sikre en rettferdig og åpen behandling, idet det tas hensyn til de særlige omstendighetene rundt behandlingen av personopplysningene og sammenhengen den skjer i. Den registrerte bør dessuten informeres om forekomsten av profilering og konsekvensene av dette. Dersom personopplysningene samles inn fra den registrerte, bør den registrerte også informeres om hvorvidt vedkommende har plikt til å gi personopplysningene, og om konsekvensene dersom de ikke gis. Nevnte informasjon kan gis sammen med standardiserte ikoner, slik at det gis en oversikt over den tiltenkte behandlingen på en lett synlig, forståelig og lettlest måte. Dersom ikonene presenteres elektronisk, bør de være maskinlesbare.

63) En registrert bør ha rett til å få innsyn i personopplysninger som er samlet inn om vedkommende, og til på en enkel måte og med rimelige intervaller å utøve denne retten for å forvisse seg om og kontrollere at behandlingen er lovlig. Dette omfatter de registrertes rett til å få innsyn i egne helseopplysninger, f.eks. opplysninger i egen pasientjournal om diagnoser, undersøkelsesresultater, behandlende leges vurderinger og enhver behandling som er gitt, eller enhver intervensjon som er utført. Alle registrerte bør derfor ha rett til å kjenne til og bli informert om formålene med behandlingen av personopplysninger, om mulig om perioden som personopplysningene behandles i, hvem mottakerne av personopplysningene er, logikken som ligger bak en eventuell automatisk behandling av personopplysningene, og konsekvensene av nevnte behandling, i det minste dersom den er basert på profilering. Dersom det er mulig, bør den behandlingsansvarlige kunne gi fjerntilgang til et sikkert system der den registrerte kan få direkte tilgang til egne personopplysninger. Denne retten bør ikke ha negativ innvirkning på andres rettigheter eller friheter, herunder forretningshemmeligheter eller immaterialretten, særlig opphavsretten som programvaren er beskyttet av. Disse hensynene bør imidlertid ikke føre til at den registrerte nektes innsyn i alle opplysninger. Dersom den behandlingsansvarlige behandler en stor mengde opplysninger om den registrerte, bør den behandlingsansvarlige før informasjonen gis, kunne anmode om at den registrerte presiserer hvilke opplysninger eller behandlingsaktiviteter anmodningen gjelder.

70) Dersom personopplysninger behandles med henblikk på direkte markedsføring, bør den registrerte, uansett om det dreier seg om innledende behandling eller viderebehandling, ha rett til når som helst og gratis å protestere mot nevnte behandling, herunder profilering så lenge dette er knyttet til direkte markedsføring. Den registrerte bør uttrykkelig gjøres oppmerksom på denne retten, og informasjonen bør presenteres på en tydelig måte og atskilt fra all annen informasjon.

71) Den registrerte bør ha rett til ikke å bli gjort til gjenstand for en avgjørelse, f.eks. et tiltak, som kan omfatte en vurdering av personlige aspekter ved vedkommende som fullt ut bygger på automatisert behandling, og som har rettsvirkning for vedkommende eller på lignende måte i betydelig grad påvirker vedkommende, f.eks. et automatisk avslag på en søknad om kreditt på internett eller e-rekruttering uten menneskelig inngripen. En slik behandling omfatter «profilering», som består av enhver form for automatisert behandling av personopplysninger der målet er å vurdere personlige aspekter ved en fysisk person, særlig for å analysere eller forutsi aspekter knyttet til den registrertes arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, når dette har rettsvirkning for eller på lignende måte i betydelig grad påvirker vedkommende. Avgjørelser som treffes på grunnlag av slik behandling, herunder profilering, bør imidlertid være tillatt når unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, uttrykkelig tillater dette, herunder med henblikk på overvåking og forebygging av bedrageri og skatteunndragelse som utføres i samsvar med forordningene, standardene og anbefalingene fra Unionens institusjoner eller nasjonale tilsynsorganer, og for å sikre at en tjeneste som leveres av den behandlingsansvarlige, er sikker eller pålitelig, eller som er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte og en behandlingsansvarlig, eller dersom den registrerte har gitt sitt uttrykkelige samtykke. Under alle omstendigheter bør en slik behandling ledsages av nødvendige garantier som bør omfatte spesifikk informasjon til den registrerte og rett til menneskelig inngripen, til å uttrykke sine synspunkter, til å få en forklaring på avgjørelsen som er truffet etter en slik vurdering, og til å protestere mot avgjørelsen. Nevnte tiltak bør ikke gjelde barn.
For å sikre en rettferdig og åpen behandling med hensyn til den registrerte, idet det tas hensyn til de særlige omstendighetene og sammenhengen personopplysningene behandles i, bør den behandlingsansvarlige bruke egnede matematiske eller statistiske framgangsmåter i forbindelse med profileringen, gjennomføre egnede tekniske og organisatoriske tiltak for særlig å sikre at faktorer som fører til uriktige personopplysninger, rettes opp og at risikoen for feil minimeres, sikre personopplysningene på en måte som tar hensyn til den registrertes interesser og rettigheter, og hindre blant annet forskjellsbehandling av fysiske personer på grunn av rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, genetisk status, helsetilstand eller seksuell orientering, eller behandling som fører til tiltak som har en slik virkning. Automatiserte avgjørelser og profilering basert på særlige kategorier av personopplysninger bør bare være tillatt på særlige vilkår.

72) Profilering omfattes av reglene for behandling av personopplysninger i denne forordning, f.eks. det rettslige grunnlaget for behandlingen eller prinsippene for vern av personopplysninger. Det europeiske personvernråd (heretter kalt «Personvernrådet») som opprettes ved denne forordning, bør kunne gi veiledning om dette.

73) Særlige prinsipper og retten til informasjon, innsyn i og retting eller sletting av personopplysninger, retten til dataportabilitet, retten til å protestere, avgjørelser basert på profilering samt underretning av en registrert om brudd på personopplysningssikkerheten og visse tilhørende forpliktelser som påhviler de behandlingsansvarlige, kan begrenses av unionsretten eller medlemsstatenes nasjonale rett i den grad det i et demokratisk samfunn er nødvendig og forholdsmessig av hensyn til den offentlige sikkerhet, herunder vern av menneskeliv, særlig som følge av naturkatastrofer eller menneskeskapte katastrofer, forebygging, etterforskning og straffeforfølging av straffbare forhold eller iverksetting av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet, eller brudd på yrkesetiske regler i lovregulerte yrker, andre viktige mål i allmennhetens interesse i Unionen eller en medlemsstat, særlig en viktig økonomisk eller finansiell interesse for Unionen eller en medlemsstat, føring av offentlige registre i allmennhetens interesse, viderebehandling av arkiverte personopplysninger for å framlegge særlig informasjon om politisk atferd under tidligere totalitære regimer eller vern av den registrerte eller andres rettigheter og friheter, herunder sosial trygghet, folkehelse og humanitære formål. Nevnte begrensninger bør være i samsvar med kravene fastsatt i pakten og i Den europeiske konvensjon om beskyttelse av menneskerettighetene og de grunnleggende friheter.

91) Dette bør særlig få anvendelse på behandlingsaktiviteter i stor skala der formålet er å behandle en betydelig mengde personopplysninger på regionalt, nasjonalt eller overnasjonalt plan, og som kan påvirke et stort antall registrerte og innebære en høy risiko, f.eks. fordi opplysningene er sensitive, dersom, i samsvar med det oppnådde nivået av teknisk kunnskap, en ny teknologi anvendes i stor skala samt i forbindelse med andre behandlingsaktiviteter som innebærer en høy risiko for de registrertes rettigheter og friheter, særlig dersom nevnte aktiviteter gjør det vanskeligere for de registrerte å utøve sine rettigheter. Det bør også utføres en vurdering av personvernkonsekvenser dersom personopplysninger behandles med det formål å treffe avgjørelser om særskilte fysiske personer etter en systematisk og omfattende vurdering av personlige aspekter vedrørende fysiske personer basert på profilering av nevnte opplysninger, eller etter behandling av særlige kategorier av personopplysninger, biometriske opplysninger eller opplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak. Det kreves også en vurdering av personvernkonsekvenser ved overvåking i stor skala av offentlig tilgjengelige steder, særlig ved bruk av optoelektronisk utstyr, eller ved andre aktiviteter der vedkommende tilsynsmyndighet vurderer at behandlingen kan føre til en høy risiko for de registrertes rettigheter og friheter, særlig fordi de hindrer de registrerte i å utøve en rettighet eller gjøre bruk av en tjeneste eller en avtale, eller fordi de utføres systematisk i stor skala. Behandling av personopplysninger bør ikke anses for å være i stor skala dersom det er snakk om en leges, annet helsepersonells eller en advokats behandling av personopplysninger tilhørende pasienter eller klienter. I slike tilfeller bør en vurdering av personvernkonsekvenser ikke være obligatorisk.

Relatert Engelsk

(4) ‘profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;

5) «pseudonymisering» behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres atskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person,

Fortalepunkter

26) Prinsippene om vern av personopplysninger bør få anvendelse på enhver opplysning om en identifisert eller identifiserbar fysisk person. Personopplysninger som er blitt pseudonymisert, og som kan knyttes til en fysisk person ved hjelp av tilleggsopplysninger, bør anses som opplysninger om en identifiserbar fysisk person. Når det skal fastslås om en fysisk person er identifiserbar, bør det tas hensyn til alle midler som det med rimelighet kan tenkes at den behandlingsansvarlige eller en annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte, f.eks. utpeking. For å fastslå om midler med rimelighet kan tenkes å bli tatt bruk for å identifisere den fysiske personen bør det tas hensyn til alle objektive faktorer, f.eks. kostnadene for og tiden som er nødvendig for å foreta identifikasjonen, idet det tas hensyn til teknologien som er tilgjengelig på behandlingstidspunktet, samt den teknologiske utvikling. Prinsippene om vern av personopplysninger bør derfor ikke få anvendelse på anonyme opplysninger, nærmere bestemt opplysninger som ikke kan knyttes til en identifisert eller identifiserbar fysisk person, eller personopplysninger som er blitt anonymisert på en slik måte at den registrerte ikke lenger kan identifiseres. Denne forordning gjelder derfor ikke behandling av slike anonyme opplysninger, herunder for statistiske formål eller forskningsformål.

28) Pseudonymisering av personopplysninger kan redusere risikoene for de berørte registrerte og bidra til at behandlingsansvarlige og databehandlere kan oppfylle sine forpliktelser med hensyn til vern av personopplysninger. Hensikten med den uttrykkelige innføringen av «pseudonymisering» i denne forordning er ikke å utelukke andre tiltak for vern av personopplysninger.

29) For å skape insitamenter til bruk av pseudonymisering i forbindelse med behandling av personopplysninger bør pseudonymiseringstiltak som samtidig tillater en generell analyse, være mulig hos den samme behandlingsansvarlige når denne har truffet de tekniske og organisatoriske tiltak som er nødvendige for å sikre at denne forordning gjennomføres med tanke på den berørte behandlingen, og at tilleggsopplysninger som gjør det mulig å knytte personopplysningene til en bestemt registrert, lagres atskilt. Den behandlingsansvarlige som behandler personopplysningene, bør angi de autoriserte personene hos den samme behandlingsansvarlige.

75) Behandling av personopplysninger kan føre til at det oppstår risikoer av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter som kan medføre fysisk, materiell eller ikke-materiell skade, særlig når behandlingen kan føre til forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger, uautorisert oppheving av pseudonymisering eller andre betydelige økonomiske eller sosiale ulemper, når de registrerte kan bli fratatt sine rettigheter og friheter eller bli hindret i å utøve kontroll over egne personopplysninger, når behandlingen gjelder personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, og behandling av genetiske opplysninger, helseopplysninger, seksuelle forhold eller straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak, når personlige aspekter vurderes, særlig for å analysere eller forutsi aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, for å opprette eller bruke personlige profiler, når sårbare fysiske personers, særlig barns, personopplysninger behandles, eller når behandlingen omfatter en stor mengde personopplysninger og berører et stort antall registrerte.

78) Vern av fysiske personers rettigheter og friheter i forbindelse med behandling av personopplysninger krever at det treffes egnede tekniske og organisatoriske tiltak for å sikre at kravene i denne forordning oppfylles. For å påvise at denne forordning overholdes bør den behandlingsansvarlige vedta interne retningslinjer og gjennomføre tiltak som særlig overholder prinsippene om innebygd personvern og personvern som standardinnstilling. Nevnte tiltak kan blant annet omfatte å minimere behandlingen av personopplysninger, pseudonymisere personopplysninger så raskt som mulig, sikre at behandlingen og formålene med den er åpen, gjøre det mulig for den registrerte å kontrollere behandlingen samt gjøre det mulig for den behandlingsansvarlige å iverksette sikkerhetsfunksjoner og å forbedre dem.
Ved utvikling, utforming, valg og bruk av programmer, tjenester og produkter som er basert på behandling av personopplysninger, eller når personopplysninger behandles for å oppfylle disses funksjon, bør produsenter av nevnte produkter, tjenester og programmer oppmuntres til å ta hensyn til retten til vern av personopplysninger ved utvikling og utforming av nevnte produkter, tjenester og programmer og, idet det tas behørig hensyn til den tekniske utviklingen, sikre at behandlingsansvarlige og databehandlere kan oppfylle sine forpliktelser med hensyn til vern av personopplysninger. Det bør også tas hensyn til prinsippene om innebygd personvern og personvern som standardinnstilling i forbindelse med offentlige anbud.

85) Et brudd på personopplysningssikkerheten kan, dersom det ikke håndteres på egnet måte og i rett tid, påføre fysiske personer fysisk, materiell eller ikke-materiell skade, f.eks. tap av kontroll over egne personopplysninger eller begrensning av egne rettigheter, forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, uautorisert oppheving av pseudonymisering, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger eller andre betydelige økonomiske eller sosiale ulemper for den berørte fysiske personen. Så snart den behandlingsansvarlige får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten, bør vedkommende melde nevnte brudd til tilsynsmyndigheten uten ugrunnet opphold og om mulig senest 72 timer etter å ha fått kjennskap til det, med mindre vedkommende i samsvar med ansvarlighetsprinsippet kan påvise at nevnte brudd på personopplysningssikkerheten sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom nevnte melding ikke kan gis innen 72 timer, bør årsaken til forsinkelsen oppgis i meldingen, og informasjonen kan gis trinnvis uten videre ugrunnet opphold.

156) Behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål bør være omfattet av nødvendige garantier som sikrer den registrertes rettigheter og friheter i henhold til denne forordning. Disse garantiene bør sikre at det er innført tekniske og organisatoriske tiltak for særlig å sikre overholdelse av prinsippet om dataminimering. Viderebehandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal utføres etter at den behandlingsansvarlige har foretatt en vurdering av om det er mulig å oppfylle nevnte formål ved å behandle opplysninger som ikke eller ikke lenger gjør det mulig å identifisere de registrerte, forutsatt at det foreligger nødvendige garantier (f.eks. pseudonymisering av opplysningene). Medlemsstatene bør fastsette nødvendige garantier for behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Medlemsstatene bør på særlige vilkår og med forbehold for nødvendige garantier for de registrerte ha rett til å fastsette spesifikasjoner og unntak med hensyn til informasjonskravene og retten til retting, sletting, til å bli glemt, til begrensning av behandling, til dataportabilitet og til å protestere i forbindelse med behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. De aktuelle vilkårene og garantiene kan omfatte særlige framgangsmåter som gjør det mulig for registrerte å utøve nevnte rettigheter dersom dette er egnet med henblikk på formålene med den spesifikke behandlingen, samt tekniske og organisatoriske tiltak som tar sikte på å minimere behandlingen av personopplysninger i henhold til forholdsmessighets- og nødvendighetsprinsippet. Behandling av personopplysninger for vitenskapelige formål bør også utføres i samsvar med annet relevant regelverk, f.eks. om kliniske utprøvinger.

Relatert Engelsk

(5) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;

6) «register» enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag,

Fortalepunkter

15) For å unngå at det oppstår en alvorlig risiko for at bestemmelsene omgås bør vernet av fysiske personer være teknologisk nøytralt og ikke avhenge av teknikkene som benyttes. Vernet av fysiske personer bør få anvendelse på automatisert behandling av personopplysninger samt manuell behandling dersom personopplysningene inngår i eller skal inngå i et register. Saksmapper eller samlinger av saksmapper samt deres forsider som ikke er strukturert etter bestemte kriterier, bør ikke omfattes av denne forordnings virkeområde.

31) Offentlige myndigheter som får utlevert personopplysninger i samsvar med en rettslig forpliktelse i forbindelse med utøvelse av sitt offentlige oppdrag, f.eks. skatte- og tollmyndigheter, enheter som driver økonomisk etterforskning, uavhengige forvaltningsmyndigheter eller finansmarkedsmyndigheter med ansvar for regulering av og tilsyn med verdipapirmarkeder, bør ikke anses som mottakere dersom de mottar personopplysninger som er nødvendige for å utføre en bestemt granskning av allmenn interesse i samsvar med unionsretten eller medlemsstatenes nasjonale rett. Offentlige myndigheters anmodninger om utlevering av informasjon bør alltid være skriftlige, begrunnede og leilighetsvise og bør ikke gjelde et helt register eller føre til sammenkopling av registre. Nevnte offentlige myndigheters behandling av personopplysninger bør overholde gjeldende regler om vern av personopplysninger i samsvar med formålet med behandlingen.

67) Metodene for å begrense behandlingen av personopplysninger kan blant annet innebære at utvalgte opplysninger flyttes midlertidig til et annet behandlingssystem, at utvalgte personopplysninger gjøres utilgjengelig for brukere, eller at offentliggjorte opplysninger fjernes midlertidig fra et nettsted. I automatiserte registre bør behandlingen i prinsippet begrenses ved hjelp av tekniske midler som sikrer at personopplysningene ikke kan viderebehandles og endres. Det faktum at behandlingen av personopplysninger er begrenset, bør være tydelig angitt i systemet.

Engelsk

(6) ‘filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;

7) «behandlingsansvarlig» en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett,

Fortalepunkter

1) Vern av fysiske personer i forbindelse med behandling av personopplysninger er en grunnleggende rettighet. I artikkel 8 nr. 1 i Den europeiske unions pakt om grunnleggende rettigheter (heretter kalt «pakten») og i artikkel 16 nr. 1 i traktaten om Den europeiske unions virkemåte (TEUV) er det fastsatt at enhver person har rett til vern av personopplysninger om vedkommende selv.

27) Denne forordning får ikke anvendelse på personopplysninger om avdøde personer. Medlemsstatene kan fastsette regler om behandling av personopplysninger om avdøde personer.

79) Vern av de registrertes rettigheter og friheter samt de behandlingsansvarliges og databehandleres ansvar, herunder i forbindelse med tilsynsmyndighetenes tilsyn og tiltak, krever en tydelig fordeling av ansvar i henhold til denne forordning, herunder når den behandlingsansvarlige fastsetter formålene med og midlene for behandlingen sammen med andre behandlingsansvarlige, eller når en behandlingsaktivitet utføres på vegne av en behandlingsansvarlig.

Relatert Engelsk

(7) ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;

(a) processing of personal data which takes place in the context of the activities of establishments in more than one Member State of a controller or processor in the Union where the controller or processor is established in more than one Member State; or

(b) processing of personal data which takes place in the context of the activities of a single establishment of a controller or processor in the Union but which substantially affects or is likely to substantially affect data subjects in more than one Member State.

8) «databehandler» en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige,

Relatert Engelsk

(8) ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;

9) «mottaker» en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som personopplysninger utleveres til, enten det dreier seg om en tredjepart eller ikke. Offentlige myndigheter som kan motta personopplysninger innenfor rammen av en særskilt undersøkelse i samsvar med unionsretten eller medlemsstatenes nasjonale rett, skal imidlertid ikke anses som mottakere; nevnte offentlige myndigheters behandling av slike opplysninger skal være i samsvar med gjeldende regler om vern av personopplysninger i henhold til formålet med behandlingen,

Engelsk

(9) ‘recipient’ means a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with Union or Member State law shall not be regarded as recipients; the processing of those data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes of the processing;

10) «tredjepart» enhver annen fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ enn den registrerte, den behandlingsansvarlige, databehandleren og de personer som under den behandlingsansvarlige eller databehandlerens direkte myndighet har fullmakt til å behandle personopplysninger,

Engelsk

(10) ‘third party’ means a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who, under the direct authority of the controller or processor, are authorised to process personal data;

11) «samtykke» fra den registrerte enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende,

Fortalepunkter

25) Dersom medlemsstatens nasjonale rett får anvendelse i kraft av folkeretten, bør denne forordning også få anvendelse på en behandlingsansvarlig som ikke er etablert i Unionen, f.eks. ved en medlemsstats diplomatiske stasjoner eller konsulater.

32) Samtykke bør gis i form av en tydelig bekreftelse der den registrerte på en frivillig, spesifikk, informert og utvetydig måte gir sitt samtykke til behandling av vedkommendes personopplysninger, f.eks. i form av en skriftlig, herunder elektronisk, eller en muntlig erklæring. Dette kan innebære å krysse av i en boks under et besøk på et nettsted, velge tekniske innstillinger for informasjonssamfunnstjenester eller en annen erklæring eller handling som i denne forbindelse tydelig viser at den registrerte godtar den foreslåtte behandlingen av vedkommendes personopplysninger. Taushet, forhåndsavkryssede bokser eller inaktivitet bør derfor ikke utgjøre et samtykke. Et samtykke bør omfatte alle behandlingsaktiviteter som utføres med henblikk på samme formål. Dersom det er flere formål med behandlingen, bør det gis samtykke til alle. Dersom den registrertes samtykke skal gis etter en elektronisk anmodning, må anmodningen være tydelig, kortfattet og ikke unødig forstyrre bruken av den tjenesten samtykket gjelder.

42) Dersom behandlingen er basert på den registrertes samtykke, bør den behandlingsansvarlige kunne påvise at den registrerte har samtykket til behandlingen. Særlig i forbindelse med skriftlige erklæringer om andre forhold bør det foreligge garantier for å sikre at den registrerte er kjent med at samtykke er gitt, og omfanget av det. I samsvar med rådsdirektiv 93/13/EØF bør det foreligge en samtykkeerklæring som den behandlingsansvarlige på forhånd har utarbeidet i en forståelig og lett tilgjengelig form og formulert på et klart og enkelt språk, og som ikke bør inneholde urimelige vilkår. For å sikre at samtykket er informert bør den registrerte minst kjenne den behandlingsansvarliges identitet og formålene med behandlingen som personopplysningene skal brukes til. Samtykket skal ikke anses som frivillig dersom den registrerte ikke har en reell valgfrihet, eller ikke er i stand til å nekte å gi eller trekke tilbake et samtykke uten at det er til skade for vedkommende.

Relatert Engelsk

(11) ‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

12) «brudd på personopplysningssikkerheten» et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet,

Fortalepunkter

73) Særlige prinsipper og retten til informasjon, innsyn i og retting eller sletting av personopplysninger, retten til dataportabilitet, retten til å protestere, avgjørelser basert på profilering samt underretning av en registrert om brudd på personopplysningssikkerheten og visse tilhørende forpliktelser som påhviler de behandlingsansvarlige, kan begrenses av unionsretten eller medlemsstatenes nasjonale rett i den grad det i et demokratisk samfunn er nødvendig og forholdsmessig av hensyn til den offentlige sikkerhet, herunder vern av menneskeliv, særlig som følge av naturkatastrofer eller menneskeskapte katastrofer, forebygging, etterforskning og straffeforfølging av straffbare forhold eller iverksetting av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet, eller brudd på yrkesetiske regler i lovregulerte yrker, andre viktige mål i allmennhetens interesse i Unionen eller en medlemsstat, særlig en viktig økonomisk eller finansiell interesse for Unionen eller en medlemsstat, føring av offentlige registre i allmennhetens interesse, viderebehandling av arkiverte personopplysninger for å framlegge særlig informasjon om politisk atferd under tidligere totalitære regimer eller vern av den registrerte eller andres rettigheter og friheter, herunder sosial trygghet, folkehelse og humanitære formål. Nevnte begrensninger bør være i samsvar med kravene fastsatt i pakten og i Den europeiske konvensjon om beskyttelse av menneskerettighetene og de grunnleggende friheter.

85) Et brudd på personopplysningssikkerheten kan, dersom det ikke håndteres på egnet måte og i rett tid, påføre fysiske personer fysisk, materiell eller ikke-materiell skade, f.eks. tap av kontroll over egne personopplysninger eller begrensning av egne rettigheter, forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, uautorisert oppheving av pseudonymisering, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger eller andre betydelige økonomiske eller sosiale ulemper for den berørte fysiske personen. Så snart den behandlingsansvarlige får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten, bør vedkommende melde nevnte brudd til tilsynsmyndigheten uten ugrunnet opphold og om mulig senest 72 timer etter å ha fått kjennskap til det, med mindre vedkommende i samsvar med ansvarlighetsprinsippet kan påvise at nevnte brudd på personopplysningssikkerheten sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom nevnte melding ikke kan gis innen 72 timer, bør årsaken til forsinkelsen oppgis i meldingen, og informasjonen kan gis trinnvis uten videre ugrunnet opphold.

86) Den behandlingsansvarlige bør uten ugrunnet opphold underrette den registrerte om et brudd på personopplysningssikkerheten dersom det er sannsynlig at nevnte brudd kan medføre en høy risiko for den fysiske personens rettigheter og friheter, slik at vedkommende får mulighet til å treffe de nødvendige forholdsregler. Underretningen bør beskrive arten av bruddet på personopplysningssikkerheten og inneholde anbefalinger som den berørte fysiske personen kan følge for å begrense mulige skadevirkninger. De registrerte bør underrettes så snart det med rimelighet er mulig, og i nært samarbeid med tilsynsmyndigheten og i samsvar med retningslinjer utstedt av den eller av andre relevante myndigheter, f.eks. myndigheter med ansvar for håndheving av loven. Behovet for å redusere en umiddelbar risiko for skade kan f.eks. kreve at de registrerte underrettes omgående, mens behovet for å gjennomføre egnede tiltak mot fortsatte eller lignende brudd på personopplysningssikkerheten kan berettige en lengre frist for underretning.

87) Det bør undersøkes om alle egnede teknologiske sikkerhetstiltak og organisatoriske tiltak er blitt gjennomført for omgående å kunne fastslå om det har funnet sted et brudd på personopplysningssikkerheten, og for omgående å underrette tilsynsmyndigheten og den registrerte. Det bør fastslås om meldingen ble gitt uten ugrunnet opphold, idet det tas særlig hensyn til arten og alvorlighetsgraden av bruddet på personopplysningssikkerheten og konsekvensene og skadevirkningene det har for den registrerte. En slik melding kan føre til inngripen fra tilsynsmyndigheten i samsvar med dens oppgaver og myndighet fastsatt i denne forordning.

88) Ved fastsettelse av nærmere regler om formatet og framgangsmåtene som får anvendelse på melding av brudd på personopplysningssikkerheten, bør det tas behørig hensyn til omstendighetene rundt nevnte brudd, herunder om personopplysningene var omfattet av hensiktsmessige tekniske sikkerhetstiltak som på en effektiv måte begrenser sannsynligheten for identitetsbedrageri eller andre former for misbruk. Nevnte regler og framgangsmåter bør videre ta hensyn til de berettigede interessene til myndighetene med ansvar for håndheving av loven dersom en tidlig offentliggjøring i unødig grad vil kunne hindre etterforskning av omstendighetene rundt et brudd på personopplysningssikkerheten.

Relatert Engelsk

(12) ‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;

13) «genetiske opplysninger» personopplysninger om en fysisk persons nedarvede eller ervervede genetiske egenskaper som gir unik informasjon om den aktuelle fysiske personens fysiologi eller helse, og som særlig er framkommet etter analysering av en biologisk prøve fra den aktuelle fysiske personen,

Fortalepunkter

34) Genetiske opplysninger bør defineres som personopplysninger om en fysisk persons nedarvede eller ervervede genetiske egenskaper som foreligger etter analysering av en biologisk prøve fra nevnte fysiske person, særlig en kromosomanalyse eller en DNA- eller RNA-analyse, eller analysering av andre elementer som gjør det mulig å innhente tilsvarende opplysninger.

35) Personopplysninger om helse bør omfatte alle opplysninger om den registrertes helsetilstand som avdekker den registrertes tidligere, nåværende eller fremtidige fysiske eller psykiske helsetilstand. Dette omfatter opplysninger om den fysiske personen innsamlet under registrering av vedkommende med henblikk på eller under yting av helsetjenester, som nevnt i europaparlaments- og rådsdirektiv 2011/24/EU, til den aktuelle fysiske personen; et tall, symbol eller kjennetegn som tildeles en fysisk person for på en entydig måte å identifisere vedkommende for helseformål; opplysninger som stammer fra tester eller undersøkelser av en kroppsdel eller en kroppssubstans, herunder fra genetiske opplysninger og biologiske prøver; og enhver opplysning om den registrerte med hensyn til f.eks. sykdom, funksjonshemning, sykdomsrisiko, sykehistorie, klinisk behandling eller fysiologisk eller biomedisinsk tilstand uavhengig av hvor dette stammer fra, f.eks. fra en lege eller annet helsepersonell, et sykehus, medisinsk utstyr eller in vitro-diagnostikk.

53) Særlige kategorier av personopplysninger som fortjener et sterkere vern, bør bare behandles for helserelaterte formål når det er nødvendig for å oppfylle nevnte formål til fordel for fysiske personer og samfunnet som helhet, særlig i forbindelse med forvaltning av helse- eller sosialtjenester og -systemer, herunder forvaltningens og sentrale nasjonale helsemyndigheters behandling av slike opplysninger med henblikk på kvalitetskontroll, forvaltningsinformasjon og den allmenne nasjonale og lokale overvåking av helse- og sosialsystemet, og for å sikre kontinuitet innen helse- og sosialtjenester og helsetjenester over landegrensene eller i forbindelse med helsesikkerhet, -overvåking og -varsling eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som må oppfylle et mål i allmennhetens interesse, samt for studier på området folkehelse som utføres i allmennhetens interesse. Ved denne forordning bør det derfor fastsettes harmoniserte vilkår for behandling av særlige kategorier av personopplysninger om helse for å oppfylle særlige behov, især når behandlingen av nevnte opplysninger utføres for visse helserelaterte formål av personer som er underlagt lovfestet taushetsplikt. I unionsretten eller medlemsstatenes nasjonale rett bør det fastsettes særlige og egnede tiltak for vern av fysiske personers grunnleggende rettigheter og personopplysninger. Medlemsstatene bør kunne opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger. Dette bør imidlertid ikke hindre den frie flyten av personopplysninger i Unionen når nevnte vilkår får anvendelse på grenseoverskridende behandling av nevnte opplysninger.

75) Behandling av personopplysninger kan føre til at det oppstår risikoer av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter som kan medføre fysisk, materiell eller ikke-materiell skade, særlig når behandlingen kan føre til forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger, uautorisert oppheving av pseudonymisering eller andre betydelige økonomiske eller sosiale ulemper, når de registrerte kan bli fratatt sine rettigheter og friheter eller bli hindret i å utøve kontroll over egne personopplysninger, når behandlingen gjelder personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, og behandling av genetiske opplysninger, helseopplysninger, seksuelle forhold eller straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak, når personlige aspekter vurderes, særlig for å analysere eller forutsi aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, for å opprette eller bruke personlige profiler, når sårbare fysiske personers, særlig barns, personopplysninger behandles, eller når behandlingen omfatter en stor mengde personopplysninger og berører et stort antall registrerte.

Relatert Engelsk

(13) ‘genetic data’ means personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question;

14) «biometriske opplysninger» personopplysninger som stammer fra en særskilt teknisk behandling knyttet til en fysisk persons fysiske, fysiologiske eller atferdsmessige egenskaper, og som muliggjør eller bekrefter en entydig identifikasjon av nevnte fysiske person, f.eks. ansiktsbilder eller fingeravtrykksopplysninger,

Fortalepunkter

51) Personopplysninger som av natur er særlig sensitive med hensyn til grunnleggende rettigheter og friheter, fortjener et særskilt vern, ettersom sammenhengen de behandles i, kan skape betydelige risikoer for de grunnleggende rettigheter og friheter. Slike personopplysninger bør omfatte personopplysninger som avdekker rasemessig eller etnisk opprinnelse, idet bruken av begrepet «rasemessig opprinnelse» i denne forordning ikke innebærer at Unionen godtar teorier som søker å fastslå at det finnes forskjellige menneskeraser. Behandling av fotografier bør ikke systematisk anses som behandling av særlige kategorier av personopplysninger, ettersom fotografier omfattes av definisjonen av biometriske opplysninger bare når de behandles ved hjelp av et særskilt teknisk middel som gjør det mulig entydig å identifisere eller autentisere en fysisk person. Slike personopplysninger bør ikke behandles, med mindre behandlingen er tillatt i særlige tilfeller fastsatt i denne forordning, idet det tas hensyn til at det i medlemsstatenes nasjonale rett kan fastsettes særlige bestemmelser om vern av personopplysninger med henblikk på å tilpasse anvendelsen av reglene i denne forordning for å oppfylle en rettslig forpliktelse eller utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. I tillegg til de særlige kravene til slik behandling bør de allmenne prinsippene og de andre reglene i denne forordning få anvendelse, særlig når det gjelder vilkårene for lovlig behandling. Unntak fra det allmenne forbudet mot å behandle nevnte særlige kategorier av personopplysninger bør fastsettes uttrykkelig, blant annet dersom den registrerte gir sitt uttrykkelige samtykke, eller for å oppfylle særlige behov, særlig når behandlingen utføres i forbindelse med visse sammenslutningers eller stiftelsers rettmessige virksomhet hvis formål er å gjøre det mulig å utøve grunnleggende friheter.

53) Særlige kategorier av personopplysninger som fortjener et sterkere vern, bør bare behandles for helserelaterte formål når det er nødvendig for å oppfylle nevnte formål til fordel for fysiske personer og samfunnet som helhet, særlig i forbindelse med forvaltning av helse- eller sosialtjenester og -systemer, herunder forvaltningens og sentrale nasjonale helsemyndigheters behandling av slike opplysninger med henblikk på kvalitetskontroll, forvaltningsinformasjon og den allmenne nasjonale og lokale overvåking av helse- og sosialsystemet, og for å sikre kontinuitet innen helse- og sosialtjenester og helsetjenester over landegrensene eller i forbindelse med helsesikkerhet, -overvåking og -varsling eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som må oppfylle et mål i allmennhetens interesse, samt for studier på området folkehelse som utføres i allmennhetens interesse. Ved denne forordning bør det derfor fastsettes harmoniserte vilkår for behandling av særlige kategorier av personopplysninger om helse for å oppfylle særlige behov, især når behandlingen av nevnte opplysninger utføres for visse helserelaterte formål av personer som er underlagt lovfestet taushetsplikt. I unionsretten eller medlemsstatenes nasjonale rett bør det fastsettes særlige og egnede tiltak for vern av fysiske personers grunnleggende rettigheter og personopplysninger. Medlemsstatene bør kunne opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger. Dette bør imidlertid ikke hindre den frie flyten av personopplysninger i Unionen når nevnte vilkår får anvendelse på grenseoverskridende behandling av nevnte opplysninger.

91) Dette bør særlig få anvendelse på behandlingsaktiviteter i stor skala der formålet er å behandle en betydelig mengde personopplysninger på regionalt, nasjonalt eller overnasjonalt plan, og som kan påvirke et stort antall registrerte og innebære en høy risiko, f.eks. fordi opplysningene er sensitive, dersom, i samsvar med det oppnådde nivået av teknisk kunnskap, en ny teknologi anvendes i stor skala samt i forbindelse med andre behandlingsaktiviteter som innebærer en høy risiko for de registrertes rettigheter og friheter, særlig dersom nevnte aktiviteter gjør det vanskeligere for de registrerte å utøve sine rettigheter. Det bør også utføres en vurdering av personvernkonsekvenser dersom personopplysninger behandles med det formål å treffe avgjørelser om særskilte fysiske personer etter en systematisk og omfattende vurdering av personlige aspekter vedrørende fysiske personer basert på profilering av nevnte opplysninger, eller etter behandling av særlige kategorier av personopplysninger, biometriske opplysninger eller opplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak. Det kreves også en vurdering av personvernkonsekvenser ved overvåking i stor skala av offentlig tilgjengelige steder, særlig ved bruk av optoelektronisk utstyr, eller ved andre aktiviteter der vedkommende tilsynsmyndighet vurderer at behandlingen kan føre til en høy risiko for de registrertes rettigheter og friheter, særlig fordi de hindrer de registrerte i å utøve en rettighet eller gjøre bruk av en tjeneste eller en avtale, eller fordi de utføres systematisk i stor skala. Behandling av personopplysninger bør ikke anses for å være i stor skala dersom det er snakk om en leges, annet helsepersonells eller en advokats behandling av personopplysninger tilhørende pasienter eller klienter. I slike tilfeller bør en vurdering av personvernkonsekvenser ikke være obligatorisk.

Relatert Engelsk

(14) ‘biometric data’ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data;

15) «helseopplysninger» personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand,

Fortalepunkter

35) Personopplysninger om helse bør omfatte alle opplysninger om den registrertes helsetilstand som avdekker den registrertes tidligere, nåværende eller fremtidige fysiske eller psykiske helsetilstand. Dette omfatter opplysninger om den fysiske personen innsamlet under registrering av vedkommende med henblikk på eller under yting av helsetjenester, som nevnt i europaparlaments- og rådsdirektiv 2011/24/EU, til den aktuelle fysiske personen; et tall, symbol eller kjennetegn som tildeles en fysisk person for på en entydig måte å identifisere vedkommende for helseformål; opplysninger som stammer fra tester eller undersøkelser av en kroppsdel eller en kroppssubstans, herunder fra genetiske opplysninger og biologiske prøver; og enhver opplysning om den registrerte med hensyn til f.eks. sykdom, funksjonshemning, sykdomsrisiko, sykehistorie, klinisk behandling eller fysiologisk eller biomedisinsk tilstand uavhengig av hvor dette stammer fra, f.eks. fra en lege eller annet helsepersonell, et sykehus, medisinsk utstyr eller in vitro-diagnostikk.

53) Særlige kategorier av personopplysninger som fortjener et sterkere vern, bør bare behandles for helserelaterte formål når det er nødvendig for å oppfylle nevnte formål til fordel for fysiske personer og samfunnet som helhet, særlig i forbindelse med forvaltning av helse- eller sosialtjenester og -systemer, herunder forvaltningens og sentrale nasjonale helsemyndigheters behandling av slike opplysninger med henblikk på kvalitetskontroll, forvaltningsinformasjon og den allmenne nasjonale og lokale overvåking av helse- og sosialsystemet, og for å sikre kontinuitet innen helse- og sosialtjenester og helsetjenester over landegrensene eller i forbindelse med helsesikkerhet, -overvåking og -varsling eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som må oppfylle et mål i allmennhetens interesse, samt for studier på området folkehelse som utføres i allmennhetens interesse. Ved denne forordning bør det derfor fastsettes harmoniserte vilkår for behandling av særlige kategorier av personopplysninger om helse for å oppfylle særlige behov, især når behandlingen av nevnte opplysninger utføres for visse helserelaterte formål av personer som er underlagt lovfestet taushetsplikt. I unionsretten eller medlemsstatenes nasjonale rett bør det fastsettes særlige og egnede tiltak for vern av fysiske personers grunnleggende rettigheter og personopplysninger. Medlemsstatene bør kunne opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger. Dette bør imidlertid ikke hindre den frie flyten av personopplysninger i Unionen når nevnte vilkår får anvendelse på grenseoverskridende behandling av nevnte opplysninger.

54) Allmenne folkehelsehensyn gjør at det kan være nødvendig å behandle særlige kategorier av personopplysninger uten den registrertes samtykke. En slik behandling bør være underlagt egnede og særlige tiltak som sikrer vern av fysiske personers rettigheter og friheter. I denne forbindelse bør «folkehelse» tolkes i henhold til europaparlaments- og rådsforordning (EF) nr. 1338/2008, nærmere bestemt alle faktorer knyttet til helse, nærmere bestemt helsestatus, herunder sykelighet og funksjonshemning, faktorer som har innvirkning på denne helsestatusen, behov for helsetjenester, ressurser avsatt til helsetjenester, yting av og allmenn tilgang til helsetjenester, utgifter til og finansiering av helsetjenester samt dødsårsaker. En slik behandling av helseopplysninger i allmennhetens interesse bør ikke føre til at personopplysninger behandles for andre formål av tredjeparter, f.eks. arbeidsgivere, forsikringsselskaper eller banker.

75) Behandling av personopplysninger kan føre til at det oppstår risikoer av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter som kan medføre fysisk, materiell eller ikke-materiell skade, særlig når behandlingen kan føre til forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger, uautorisert oppheving av pseudonymisering eller andre betydelige økonomiske eller sosiale ulemper, når de registrerte kan bli fratatt sine rettigheter og friheter eller bli hindret i å utøve kontroll over egne personopplysninger, når behandlingen gjelder personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, og behandling av genetiske opplysninger, helseopplysninger, seksuelle forhold eller straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak, når personlige aspekter vurderes, særlig for å analysere eller forutsi aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, for å opprette eller bruke personlige profiler, når sårbare fysiske personers, særlig barns, personopplysninger behandles, eller når behandlingen omfatter en stor mengde personopplysninger og berører et stort antall registrerte.

Relatert Engelsk

(15) ‘data concerning health’ means personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status;

16) «hovedvirksomhet»:

a) når det gjelder en behandlingsansvarlig med virksomheter i mer enn én medlemsstat, stedet for dennes hovedadministrasjon i Unionen, med mindre avgjørelser om formål og midler i forbindelse med behandlingen av personopplysninger treffes i en annen av den behandlingsansvarliges virksomheter i Unionen, og sistnevnte virksomhet har myndighet til å få gjennomført nevnte avgjørelser, i dette tilfellet skal virksomheten som har truffet slike avgjørelser, anses for å være hovedvirksomheten,

b) når det gjelder en databehandler med virksomheter i mer enn én medlemsstat, stedet for dennes hovedadministrasjon i Unionen eller, dersom databehandleren ikke har noen hovedadministrasjon i Unionen, databehandlerens virksomhet i Unionen der hoveddelen av behandlingsaktivitetene i forbindelse med aktivitetene ved en databehandlers virksomhet finner sted, i den grad databehandleren er underlagt særlige forpliktelser i henhold til denne forordning, 

Fortalepunkter

36) En behandlingsansvarligs hovedvirksomhet i Unionen bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, med mindre det treffes beslutninger om formål og midler i forbindelse med behandlingen av personopplysninger i en annen av den behandlingsansvarliges virksomheter i Unionen; da skal nevnte andre virksomhet anses for å være hovedvirksomheten. En behandlingsansvarligs hovedvirksomhet i Unionen bør fastslås ut fra objektive kriterier og bør innebære en effektiv og faktisk utøvelse av ledelsesaktiviteter som munner ut i de viktigste avgjørelsene med hensyn til formålet med og midlene for behandlingen gjennom en stabil struktur. Dette kriteriet bør ikke avhenge av om behandlingen av personopplysninger utføres på nevnte sted. Det forhold at det finnes og benyttes tekniske midler og teknologier i forbindelse med behandling av personopplysninger eller behandlingsaktiviteter, utgjør i seg selv ikke en hovedvirksomhet, og er derfor ikke avgjørende for kriteriet om hovedvirksomhet. Databehandlerens hovedvirksomhet bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, eller dersom vedkommende ikke har en hovedadministrasjon i Unionen, det sted der de fleste behandlingsaktivitetene finner sted i Unionen. I tilfeller som omfatter både den behandlingsansvarlige og databehandleren, bør vedkommende ledende tilsynsmyndighet fortsatt være tilsynsmyndigheten i medlemsstaten der den behandlingsansvarlige har sin hovedvirksomhet, mens databehandlerens tilsynsmyndighet bør anses for å være en berørt tilsynsmyndighet, og denne tilsynsmyndighet bør delta i framgangsmåten for samarbeid fastsatt i denne forordning. Under alle omstendigheter bør tilsynsmyndighetene i medlemsstaten eller medlemsstatene der databehandleren har én eller flere virksomheter, ikke anses for å være berørte tilsynsmyndigheter dersom utkastet til avgjørelse bare gjelder den behandlingsansvarlige. Dersom behandlingen utføres av et konsern, bør hovedvirksomheten til det foretaket som utøver kontroll, anses som konsernets hovedvirksomhet, bortsett fra når formålet med behandlingen og midlene som skal brukes, fastsettes av et annet foretak.

Engelsk

(16) ‘main establishment’ means:

(a) as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment;

(b) as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation;

17) «representant» en fysisk eller juridisk person som er etablert i Unionen, som den behandlingsansvarlige eller databehandleren har utpekt skriftlig i henhold til artikkel 27, og som representerer den behandlingsansvarlige eller databehandleren med hensyn til de forpliktelser de har i henhold til denne forordning,

Fortalepunkter

80) Dersom en behandlingsansvarlig eller en databehandler som ikke er etablert i Unionen, behandler personopplysninger om registrerte som befinner seg i Unionen, og behandlingsaktivitetene gjelder tilbud av varer og tjenester til nevnte registrerte i Unionen, uavhengig av om det kreves betaling fra disse eller ikke, eller monitorering av deres atferd, dersom atferden finner sted i Unionen, bør den behandlingsansvarlige eller databehandleren utpeke en representant, med mindre behandlingen skjer leilighetsvis, ikke omfatter behandling i stor skala av særlige kategorier av personopplysninger eller behandling av personopplysninger om straffedommer og lovovertredelser, og at behandlingen sannsynligvis ikke vil innebære en risiko for fysiske personers rettigheter og friheter, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, eller om den behandlingsansvarlige er en offentlig myndighet eller et offentlig organ. Representanten bør opptre på vegne av den behandlingsansvarlige eller databehandleren og bør kunne kontaktes av alle tilsynsmyndigheter. Representanten bør utpekes eksplisitt gjennom en skriftlig fullmakt fra den behandlingsansvarlige eller databehandleren til å opptre på deres vegne med hensyn til deres forpliktelser i henhold til denne forordning. Utpekingen av nevnte representant berører ikke den behandlingsansvarliges eller databehandlerens ansvar eller erstatningsansvar i henhold til denne forordning. Nevnte representant bør utføre sine oppgaver i henhold til fullmakten fra den behandlingsansvarlige eller databehandleren, herunder samarbeide med vedkommende tilsynsmyndigheter om eventuelle tiltak som treffes for å sikre at denne forordning overholdes. Den utpekte representanten bør være underlagt håndhevingstiltak i tilfelle manglende overholdelse fra den behandlingsansvarliges eller databehandlerens side.

Relatert Engelsk

(17) ‘representative’ means a natural or legal person established in the Union who, designated by the controller or processor in writing pursuant to Article 27, represents the controller or processor with regard to their respective obligations under this Regulation;

18) «foretak» en fysisk eller juridisk person som utøver økonomisk virksomhet, uavhengig av foretakets rettslige form, herunder partnerskap eller sammenslutninger som regelmessig utøver økonomisk virksomhet,

Fortalepunkter

13) For å sikre et ensartet nivå for vern av fysiske personer i hele Unionen og hindre at forskjeller hemmer den frie utvekslingen av personopplysninger i det indre marked er det behov for en forordning for å skape rettssikkerhet og åpenhet for markedsdeltakere, herunder svært små, små og mellomstore bedrifter, og som vil gi fysiske personer i alle medlemsstater det samme nivået av rettslig bindende rettigheter og plikter, og behandlingsansvarlige og databehandlere det samme ansvaret, for å sikre et ensartet tilsyn med behandlingen av personopplysninger og de samme sanksjonene i alle medlemsstater samt et effektivt samarbeid mellom tilsynsmyndighetene i forskjellige medlemsstater. For å sikre et velfungerende indre marked kreves det at den frie utvekslingen av personopplysninger i Unionen ikke begrenses eller forbys av årsaker knyttet til vern av fysiske personer i forbindelse med behandling av personopplysninger. For å ta høyde for den særlige situasjonen til svært små, små og mellomstore bedrifter inneholder denne forordning et unntak for organisasjoner med færre enn 250 ansatte med hensyn til føring av protokoller. Videre oppfordres Unionens institusjoner og organer samt medlemsstatene og deres tilsynsmyndigheter til å ta høyde for de særlige behovene til svært små, små og mellomstore bedrifter ved anvendelsen av denne forordning. Definisjonen av begrepene svært små, små og mellomstore bedrifter bør bygge på artikkel 2 i vedlegget til kommisjonsrekommandasjon 2003/361/EF.

Engelsk

(18) ‘enterprise’ means a natural or legal person engaged in an economic activity, irrespective of its legal form, including partnerships or associations regularly engaged in an economic activity;

19) «konsern» et foretak som utøver kontroll, og dets kontrollerte foretak,

Fortalepunkter

36) En behandlingsansvarligs hovedvirksomhet i Unionen bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, med mindre det treffes beslutninger om formål og midler i forbindelse med behandlingen av personopplysninger i en annen av den behandlingsansvarliges virksomheter i Unionen; da skal nevnte andre virksomhet anses for å være hovedvirksomheten. En behandlingsansvarligs hovedvirksomhet i Unionen bør fastslås ut fra objektive kriterier og bør innebære en effektiv og faktisk utøvelse av ledelsesaktiviteter som munner ut i de viktigste avgjørelsene med hensyn til formålet med og midlene for behandlingen gjennom en stabil struktur. Dette kriteriet bør ikke avhenge av om behandlingen av personopplysninger utføres på nevnte sted. Det forhold at det finnes og benyttes tekniske midler og teknologier i forbindelse med behandling av personopplysninger eller behandlingsaktiviteter, utgjør i seg selv ikke en hovedvirksomhet, og er derfor ikke avgjørende for kriteriet om hovedvirksomhet. Databehandlerens hovedvirksomhet bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, eller dersom vedkommende ikke har en hovedadministrasjon i Unionen, det sted der de fleste behandlingsaktivitetene finner sted i Unionen. I tilfeller som omfatter både den behandlingsansvarlige og databehandleren, bør vedkommende ledende tilsynsmyndighet fortsatt være tilsynsmyndigheten i medlemsstaten der den behandlingsansvarlige har sin hovedvirksomhet, mens databehandlerens tilsynsmyndighet bør anses for å være en berørt tilsynsmyndighet, og denne tilsynsmyndighet bør delta i framgangsmåten for samarbeid fastsatt i denne forordning. Under alle omstendigheter bør tilsynsmyndighetene i medlemsstaten eller medlemsstatene der databehandleren har én eller flere virksomheter, ikke anses for å være berørte tilsynsmyndigheter dersom utkastet til avgjørelse bare gjelder den behandlingsansvarlige. Dersom behandlingen utføres av et konsern, bør hovedvirksomheten til det foretaket som utøver kontroll, anses som konsernets hovedvirksomhet, bortsett fra når formålet med behandlingen og midlene som skal brukes, fastsettes av et annet foretak.

37) Et konsern bør omfatte et foretak som utøver kontroll, og dets kontrollerte foretak, der foretaket som utøver kontroll, bør være det foretak som kan utøve en dominerende innflytelse på de andre foretakene, f.eks. i kraft av eiendomsrett, økonomisk deltaking eller reglene det er underlagt, eller myndigheten til å få gjennomført regler om vern av personopplysninger. Et foretak som kontrollerer behandlingen av personopplysninger i tilknyttede foretak, bør sammen med disse foretak anses som et konsern.

48) Behandlingsansvarlige som er en del av et konsern, eller institusjoner som er tilknyttet et sentralt organ, kan ha en berettiget interesse av å overføre personopplysninger internt i konsernet med henblikk på interne administrative formål, herunder behandling av kunders eller arbeidstakeres personopplysninger. De allmenne prinsippene for overføring av personopplysninger i et konsern til et foretak i en tredjestat påvirkes ikke.

110) Et konsern eller en gruppe av foretak som utøver en felles økonomisk virksomhet, bør kunne anvende godkjente bindende virksomhetsregler når de foretar internasjonale overføringer fra Unionen til organisasjoner i samme konsern, eller gruppe av foretak som utøver en felles økonomisk virksomhet, forutsatt at nevnte virksomhetsregler omfatter alle grunnleggende prinsipper og håndhevbare rettigheter for å sikre nødvendige garantier for overføringer eller kategorier av overføringer av personopplysninger.

Engelsk

(19) ‘group of undertakings’ means a controlling undertaking and its controlled undertakings;

20) «bindende virksomhetsregler» retningslinjer for vern av personopplysninger som en behandlingsansvarlig eller databehandler som er etablert på en medlemsstats territorium, følger i forbindelse med en overføring eller en rekke overføringer av personopplysninger til en behandlingsansvarlig eller databehandler i én eller flere tredjestater internt i et konsern eller gruppe av foretak som utøver en felles økonomisk virksomhet,

Fortalepunkter

107) Kommisjonen kan fastslå at en tredjestat, et territorium eller en bestemt sektor i en tredjestat eller en internasjonal organisasjon ikke lenger sikrer et tilstrekkelig nivå for vern av personopplysninger. Overføringen av personopplysninger til nevnte tredjestat eller internasjonale organisasjon bør da forbys, med mindre kravene i denne forordning som gjelder overføringer som omfattes av nødvendige garantier, herunder bindende virksomhetsregler, og unntak for særlige situasjoner, er oppfylt. I slike tilfeller bør det fastsettes at det skal gjennomføres samråd mellom Kommisjonen og nevnte tredjestater eller internasjonale organisasjoner. Kommisjonen bør i rett tid underrette tredjestaten eller den internasjonale organisasjonen om årsakene og innlede samråd med den for å avhjelpe situasjonen.

108) Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, bør den behandlingsansvarlige eller databehandleren treffe tiltak for å kompensere for det manglende vernet av personopplysninger i en tredjestat i form av nødvendige garantier for den registrerte. Nødvendige garantier kan omfatte bruk av bindende virksomhetsregler, standard personvernbestemmelser vedtatt av Kommisjonen, standard personvernbestemmelser vedtatt av en tilsynsmyndighet eller avtalevilkår godkjent av en tilsynsmyndighet. Disse garantiene bør sikre samsvar med kravene til vern av personopplysninger og de registrertes rettigheter i forbindelse med behandling internt i Unionen, herunder om de registrerte har tilgang til håndhevbare rettigheter og effektive rettsmidler, herunder retten til effektiv administrativ eller rettslig prøving og til å kreve erstatning i Unionen eller i en tredjestat. Garantiene bør særlig omfatte samsvar med de allmenne prinsippene om behandling av personopplysninger og prinsippene om innebygd personvern og personvern som standardinnstilling. Offentlige myndigheter eller organer kan også foreta overføringer til offentlige myndigheter eller organer i tredjestater eller til internasjonale organisasjoner med tilsvarende oppgaver eller funksjoner, herunder på grunnlag av bestemmelser som skal innlemmes i administrative ordninger, f.eks. en programerklæring, som gir de registrerte håndhevbare og effektive rettigheter. Det bør innhentes godkjenning fra vedkommende tilsynsmyndighet når garantiene er fastsatt i administrative ordninger som ikke er rettslig bindende.

110) Et konsern eller en gruppe av foretak som utøver en felles økonomisk virksomhet, bør kunne anvende godkjente bindende virksomhetsregler når de foretar internasjonale overføringer fra Unionen til organisasjoner i samme konsern, eller gruppe av foretak som utøver en felles økonomisk virksomhet, forutsatt at nevnte virksomhetsregler omfatter alle grunnleggende prinsipper og håndhevbare rettigheter for å sikre nødvendige garantier for overføringer eller kategorier av overføringer av personopplysninger.

168) Undersøkelsesprosedyren bør brukes når det vedtas gjennomføringsrettsakter om standardavtalevilkår mellom behandlingsansvarlige og databehandlere og mellom databehandlere; atferdsnormer; tekniske standarder og sertifiseringsmekanismer; det tilstrekkelige beskyttelsesnivået som sikres av en tredjestat, et territorium eller en angitt sektor i nevnte tredjestat eller en internasjonal organisasjon; standard personvernbestemmelser; formater og framgangsmåter for elektronisk utveksling av informasjon mellom behandlingsansvarlige, databehandlere og tilsynsmyndigheter med tanke på bindende virksomhetsregler; gjensidig bistand samt ordninger for elektronisk utveksling av informasjon mellom tilsynsmyndigheter og mellom tilsynsmyndigheter og Personvernrådet.

Relatert Engelsk

(20) ‘binding corporate rules’ means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings, or group of enterprises engaged in a joint economic activity;

21) «tilsynsmyndighet» en uavhengig offentlig myndighet som er opprettet av en medlemsstat i henhold til artikkel 51,

Fortalepunkter

20) Selv om denne forordning blant annet får anvendelse på domstolers og andre rettshåndhevende myndigheters virksomhet, kan det i unionsretten eller medlemsstatenes nasjonale rett angis hvilke prosesser og framgangsmåter for behandling som får anvendelse på behandling av personopplysninger som utføres av domstoler og andre rettshåndhevende myndigheter. Tilsynsmyndighetenes kompetanse bør ikke omfatte domstolers behandling av personopplysninger når dette utføres innenfor rammen av domstolenes domsmyndighet, for å sikre domstolenes uavhengighet når de utfører sine juridiske oppgaver, herunder når de treffer avgjørelser. Det bør være mulig å overlate tilsynet med slike databehandlingsaktiviteter til særskilte organer innenfor medlemsstatens rettssystem som særlig bør sikre at reglene i denne forordning overholdes, øke bevisstheten til medlemmene av domstolsvesenet om de forpliktelser de har i henhold til denne forordning, og håndtere klager i forbindelse med nevnte databehandlingsaktiviteter.

36) En behandlingsansvarligs hovedvirksomhet i Unionen bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, med mindre det treffes beslutninger om formål og midler i forbindelse med behandlingen av personopplysninger i en annen av den behandlingsansvarliges virksomheter i Unionen; da skal nevnte andre virksomhet anses for å være hovedvirksomheten. En behandlingsansvarligs hovedvirksomhet i Unionen bør fastslås ut fra objektive kriterier og bør innebære en effektiv og faktisk utøvelse av ledelsesaktiviteter som munner ut i de viktigste avgjørelsene med hensyn til formålet med og midlene for behandlingen gjennom en stabil struktur. Dette kriteriet bør ikke avhenge av om behandlingen av personopplysninger utføres på nevnte sted. Det forhold at det finnes og benyttes tekniske midler og teknologier i forbindelse med behandling av personopplysninger eller behandlingsaktiviteter, utgjør i seg selv ikke en hovedvirksomhet, og er derfor ikke avgjørende for kriteriet om hovedvirksomhet. Databehandlerens hovedvirksomhet bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, eller dersom vedkommende ikke har en hovedadministrasjon i Unionen, det sted der de fleste behandlingsaktivitetene finner sted i Unionen. I tilfeller som omfatter både den behandlingsansvarlige og databehandleren, bør vedkommende ledende tilsynsmyndighet fortsatt være tilsynsmyndigheten i medlemsstaten der den behandlingsansvarlige har sin hovedvirksomhet, mens databehandlerens tilsynsmyndighet bør anses for å være en berørt tilsynsmyndighet, og denne tilsynsmyndighet bør delta i framgangsmåten for samarbeid fastsatt i denne forordning. Under alle omstendigheter bør tilsynsmyndighetene i medlemsstaten eller medlemsstatene der databehandleren har én eller flere virksomheter, ikke anses for å være berørte tilsynsmyndigheter dersom utkastet til avgjørelse bare gjelder den behandlingsansvarlige. Dersom behandlingen utføres av et konsern, bør hovedvirksomheten til det foretaket som utøver kontroll, anses som konsernets hovedvirksomhet, bortsett fra når formålet med behandlingen og midlene som skal brukes, fastsettes av et annet foretak.

Engelsk

(21) ‘supervisory authority’ means an independent public authority which is established by a Member State pursuant to Article 51;

22) «berørt tilsynsmyndighet» en tilsynsmyndighet som er berørt av en behandling av personopplysninger, fordi

a) den behandlingsansvarlige eller databehandleren er etablert på territoriet til nevnte tilsynsmyndighets medlemsstat,

b) registrerte som er bosatt i nevnte tilsynsmyndighets medlemsstat, i vesentlig grad påvirkes eller sannsynligvis vil bli påvirket av behandlingen, eller

c) det er klaget til nevnte tilsynsmyndighet,

Fortalepunkter

36) En behandlingsansvarligs hovedvirksomhet i Unionen bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, med mindre det treffes beslutninger om formål og midler i forbindelse med behandlingen av personopplysninger i en annen av den behandlingsansvarliges virksomheter i Unionen; da skal nevnte andre virksomhet anses for å være hovedvirksomheten. En behandlingsansvarligs hovedvirksomhet i Unionen bør fastslås ut fra objektive kriterier og bør innebære en effektiv og faktisk utøvelse av ledelsesaktiviteter som munner ut i de viktigste avgjørelsene med hensyn til formålet med og midlene for behandlingen gjennom en stabil struktur. Dette kriteriet bør ikke avhenge av om behandlingen av personopplysninger utføres på nevnte sted. Det forhold at det finnes og benyttes tekniske midler og teknologier i forbindelse med behandling av personopplysninger eller behandlingsaktiviteter, utgjør i seg selv ikke en hovedvirksomhet, og er derfor ikke avgjørende for kriteriet om hovedvirksomhet. Databehandlerens hovedvirksomhet bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, eller dersom vedkommende ikke har en hovedadministrasjon i Unionen, det sted der de fleste behandlingsaktivitetene finner sted i Unionen. I tilfeller som omfatter både den behandlingsansvarlige og databehandleren, bør vedkommende ledende tilsynsmyndighet fortsatt være tilsynsmyndigheten i medlemsstaten der den behandlingsansvarlige har sin hovedvirksomhet, mens databehandlerens tilsynsmyndighet bør anses for å være en berørt tilsynsmyndighet, og denne tilsynsmyndighet bør delta i framgangsmåten for samarbeid fastsatt i denne forordning. Under alle omstendigheter bør tilsynsmyndighetene i medlemsstaten eller medlemsstatene der databehandleren har én eller flere virksomheter, ikke anses for å være berørte tilsynsmyndigheter dersom utkastet til avgjørelse bare gjelder den behandlingsansvarlige. Dersom behandlingen utføres av et konsern, bør hovedvirksomheten til det foretaket som utøver kontroll, anses som konsernets hovedvirksomhet, bortsett fra når formålet med behandlingen og midlene som skal brukes, fastsettes av et annet foretak.

91) Dette bør særlig få anvendelse på behandlingsaktiviteter i stor skala der formålet er å behandle en betydelig mengde personopplysninger på regionalt, nasjonalt eller overnasjonalt plan, og som kan påvirke et stort antall registrerte og innebære en høy risiko, f.eks. fordi opplysningene er sensitive, dersom, i samsvar med det oppnådde nivået av teknisk kunnskap, en ny teknologi anvendes i stor skala samt i forbindelse med andre behandlingsaktiviteter som innebærer en høy risiko for de registrertes rettigheter og friheter, særlig dersom nevnte aktiviteter gjør det vanskeligere for de registrerte å utøve sine rettigheter. Det bør også utføres en vurdering av personvernkonsekvenser dersom personopplysninger behandles med det formål å treffe avgjørelser om særskilte fysiske personer etter en systematisk og omfattende vurdering av personlige aspekter vedrørende fysiske personer basert på profilering av nevnte opplysninger, eller etter behandling av særlige kategorier av personopplysninger, biometriske opplysninger eller opplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak. Det kreves også en vurdering av personvernkonsekvenser ved overvåking i stor skala av offentlig tilgjengelige steder, særlig ved bruk av optoelektronisk utstyr, eller ved andre aktiviteter der vedkommende tilsynsmyndighet vurderer at behandlingen kan føre til en høy risiko for de registrertes rettigheter og friheter, særlig fordi de hindrer de registrerte i å utøve en rettighet eller gjøre bruk av en tjeneste eller en avtale, eller fordi de utføres systematisk i stor skala. Behandling av personopplysninger bør ikke anses for å være i stor skala dersom det er snakk om en leges, annet helsepersonells eller en advokats behandling av personopplysninger tilhørende pasienter eller klienter. I slike tilfeller bør en vurdering av personvernkonsekvenser ikke være obligatorisk.

124) Dersom behandlingen av personopplysninger utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller databehandler i Unionen, og den behandlingsansvarlige eller databehandleren er etablert i mer enn én medlemsstat, eller dersom behandlingen som utføres i forbindelse med aktivitetene ved den eneste virksomheten til en behandlingsansvarlig eller databehandler i Unionen, i vesentlig grad påvirker eller sannsynligvis vil påvirke registrerte i mer enn én medlemsstat, bør tilsynsmyndigheten for den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet fungere som ledende tilsynsmyndighet. Den bør samarbeide med de andre berørte myndighetene dersom den behandlingsansvarlige eller databehandleren har en virksomhet på territoriet til deres medlemsstat, dersom registrerte bosatt på deres territorium i vesentlig grad berøres, eller dersom det er inngitt klage til dem. Også dersom en registrert som ikke er bosatt i nevnte medlemsstat, har inngitt klage, bør tilsynsmyndigheten som klagen er inngitt til, også være en berørt tilsynsmyndighet. Personvernrådet bør innenfor rammen av sine oppgaver med å utstede retningslinjer for eventuelle spørsmål som omfatter anvendelsen av denne forordning, særlig kunne utstede retningslinjer for kriteriene som skal tas i betraktning for å vurdere om den aktuelle behandlingen i vesentlig grad berører registrerte i mer enn én medlemsstat, og for hva som utgjør en relevant og begrunnet innsigelse.

128) Reglene for den ledende tilsynsmyndigheten og ettstedsmekanismen bør ikke få anvendelse dersom behandlingen utføres av offentlige myndigheter eller private organer i allmennhetens interesse. I slike tilfeller bør bare tilsynsmyndigheten i medlemsstaten der den offentlige myndigheten eller det private organet er etablert, ha kompetanse til å utøve myndigheten den er gitt i henhold til denne forordning.

135) For å sikre ensartet anvendelse av denne forordning i hele Unionen bør det opprettes en konsistensmekanisme for samarbeid mellom tilsynsmyndighetene. Nevnte mekanisme bør særlig få anvendelse dersom en tilsynsmyndighet akter å treffe et tiltak som skal ha rettsvirkning, når det gjelder behandlingsaktiviteter som i vesentlig grad berører et betydelig antall registrerte i flere medlemsstater. Den bør også få anvendelse dersom en berørt tilsynsmyndighet eller Kommisjonen anmoder om at et slikt forhold behandles innenfor rammen av konsistensmekanismen. Nevnte mekanisme bør ikke berøre eventuelle tiltak som Kommisjonen kan treffe som ledd i utøvelsen av sin myndighet i henhold til traktatene.

136) Ved anvendelse av konsistensmekanismen bør Personvernrådet innen en fastsatt frist avgi uttalelse dersom et flertall av dets medlemmer beslutter det, eller dersom en berørt tilsynsmyndighet eller Kommisjonen anmoder om det. Personvernrådet bør også gis myndighet til å treffe rettslig bindende beslutninger dersom det oppstår tvister mellom tilsynsmyndighetene. For dette formål bør det, i prinsippet med to tredels flertall blant dets medlemmene, treffe rettslig bindende beslutninger i tydelig angitte tilfeller der det foreligger motstridende synspunkter blant tilsynsmyndighetene, særlig i mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene om en saks fakta, særlig om hvorvidt det foreligger en overtredelse av denne forordning.

Engelsk

(22) ‘supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal data because:

(a) the controller or processor is established on the territory of the Member State of that supervisory authority;

(b) data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or

(c) a complaint has been lodged with that supervisory authority;

23) «grenseoverskridende behandling»

a) behandling av personopplysninger som finner sted i forbindelse med aktiviteter i en behandlingsansvarligs eller databehandlers virksomheter i mer enn én medlemsstat, dersom den behandlingsansvarlige eller databehandleren er etablert i mer enn én medlemsstat, eller

b) behandling av personopplysninger som finner sted i forbindelse med aktiviteter i en behandlingsansvarligs eller databehandlers eneste virksomhet i Unionen, men som i betydelig grad påvirker eller sannsynligvis vil påvirke registrerte i mer enn én medlemsstat.

Fortalepunkter

5) Den økonomiske og sosiale integrasjon som er oppnådd som følge av det indre markeds virkemåte, har ført til en betydelig økt flyt av personopplysninger over landegrensene. Utvekslingen av personopplysninger mellom offentlige og private aktører, herunder fysiske personer, sammenslutninger og foretak, i Unionen har økt. Nasjonale myndigheter i medlemsstatene oppfordres i unionsretten til å samarbeide og utveksle personopplysninger for å kunne utføre sitt arbeid eller utføre oppgaver på vegne av en myndighet i en annen medlemsstat.

53) Særlige kategorier av personopplysninger som fortjener et sterkere vern, bør bare behandles for helserelaterte formål når det er nødvendig for å oppfylle nevnte formål til fordel for fysiske personer og samfunnet som helhet, særlig i forbindelse med forvaltning av helse- eller sosialtjenester og -systemer, herunder forvaltningens og sentrale nasjonale helsemyndigheters behandling av slike opplysninger med henblikk på kvalitetskontroll, forvaltningsinformasjon og den allmenne nasjonale og lokale overvåking av helse- og sosialsystemet, og for å sikre kontinuitet innen helse- og sosialtjenester og helsetjenester over landegrensene eller i forbindelse med helsesikkerhet, -overvåking og -varsling eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som må oppfylle et mål i allmennhetens interesse, samt for studier på området folkehelse som utføres i allmennhetens interesse. Ved denne forordning bør det derfor fastsettes harmoniserte vilkår for behandling av særlige kategorier av personopplysninger om helse for å oppfylle særlige behov, især når behandlingen av nevnte opplysninger utføres for visse helserelaterte formål av personer som er underlagt lovfestet taushetsplikt. I unionsretten eller medlemsstatenes nasjonale rett bør det fastsettes særlige og egnede tiltak for vern av fysiske personers grunnleggende rettigheter og personopplysninger. Medlemsstatene bør kunne opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger. Dette bør imidlertid ikke hindre den frie flyten av personopplysninger i Unionen når nevnte vilkår får anvendelse på grenseoverskridende behandling av nevnte opplysninger.

116) Når personopplysninger krysser grenser utenfor Unionen, kan det øke risikoen for at fysiske personer ikke kan utøve sine rettigheter med hensyn til vern av personopplysninger, særlig for å beskytte seg mot ulovlig bruk eller utlevering av nevnte opplysninger. Samtidig kan tilsynsmyndigheter i noen tilfeller innse at de ikke er i stand til å følge opp klager eller foreta undersøkelser av aktiviteter som finner sted utenfor deres grenser. Samarbeidet på tvers av landegrensene kan også bli hindret av utilstrekkelig myndighet til å treffe forebyggende tiltak eller utbedringstiltak, av uensartede rettsordninger og praktiske hindringer, f.eks. ressursbegrensninger. Det er derfor behov for å fremme et tettere samarbeid mellom tilsynsmyndigheter for personvern, slik at de lettere kan utveksle informasjon og foreta undersøkelser sammen med sine internasjonale kolleger. For å utvikle mekanismer for internasjonalt samarbeid med sikte på å fremme og yte internasjonal gjensidig bistand med hensyn til håndheving av regelverket for vern av personopplysninger bør Kommisjonen og tilsynsmyndighetene utveksle informasjon og samarbeide om aktiviteter som er knyttet til utøvelse av deres myndighet, med vedkommende myndigheter i tredjestater på grunnlag av gjensidighet og i samsvar med denne forordning.

135) For å sikre ensartet anvendelse av denne forordning i hele Unionen bør det opprettes en konsistensmekanisme for samarbeid mellom tilsynsmyndighetene. Nevnte mekanisme bør særlig få anvendelse dersom en tilsynsmyndighet akter å treffe et tiltak som skal ha rettsvirkning, når det gjelder behandlingsaktiviteter som i vesentlig grad berører et betydelig antall registrerte i flere medlemsstater. Den bør også få anvendelse dersom en berørt tilsynsmyndighet eller Kommisjonen anmoder om at et slikt forhold behandles innenfor rammen av konsistensmekanismen. Nevnte mekanisme bør ikke berøre eventuelle tiltak som Kommisjonen kan treffe som ledd i utøvelsen av sin myndighet i henhold til traktatene.

136) Ved anvendelse av konsistensmekanismen bør Personvernrådet innen en fastsatt frist avgi uttalelse dersom et flertall av dets medlemmer beslutter det, eller dersom en berørt tilsynsmyndighet eller Kommisjonen anmoder om det. Personvernrådet bør også gis myndighet til å treffe rettslig bindende beslutninger dersom det oppstår tvister mellom tilsynsmyndighetene. For dette formål bør det, i prinsippet med to tredels flertall blant dets medlemmene, treffe rettslig bindende beslutninger i tydelig angitte tilfeller der det foreligger motstridende synspunkter blant tilsynsmyndighetene, særlig i mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene om en saks fakta, særlig om hvorvidt det foreligger en overtredelse av denne forordning.

137) Det kan være nødvendig å treffe tiltak omgående for å verne registrertes rettigheter og friheter, særlig dersom det foreligger en fare for at en registrerts utøvelse av en rettighet kan bli betydelig hemmet. En tilsynsmyndighet bør derfor kunne treffe behørig begrunnede midlertidige tiltak på sitt territorium med en fastsatt gyldighetsperiode som ikke bør være lenger enn tre måneder.

138) Anvendelsen av en slik mekanisme bør være et vilkår for lovligheten av et tiltak som er truffet av en tilsynsmyndighet, og som er ment å ha rettsvirkning, i tilfeller der anvendelsen av den er obligatorisk. I andre tilfeller som har en grenseoverskridende dimensjon, bør mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene anvendes, og gjensidig bistand kan ytes og felles aktiviteter kan gjennomføres mellom de berørte tilsynsmyndighetene på et bilateralt eller multilateralt grunnlag uten at det utløser konsistensmekanismen.

Relatert Engelsk

(23) ‘cross-border processing’ means either:

(a) processing of personal data which takes place in the context of the activities of establishments in more than one Member State of a controller or processor in the Union where the controller or processor is established in more than one Member State; or

(b) processing of personal data which takes place in the context of the activities of a single establishment of a controller or processor in the Union but which substantially affects or is likely to substantially affect data subjects in more than one Member State.

24) «relevant og begrunnet innsigelse» en innsigelse mot et utkast til avgjørelse om hvorvidt det foreligger en overtredelse av denne forordning eller om hvorvidt et planlagt tiltak som gjelder den behandlingsansvarlige eller databehandleren, er i samsvar med denne forordning, og som tydelig viser betydningen av risikoene som utkastet til avgjørelse utgjør med hensyn til de registrertes grunnleggende rettigheter og friheter og, dersom det er relevant, den frie flyten av personopplysninger i Unionen,

Fortalepunkter

124) Dersom behandlingen av personopplysninger utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller databehandler i Unionen, og den behandlingsansvarlige eller databehandleren er etablert i mer enn én medlemsstat, eller dersom behandlingen som utføres i forbindelse med aktivitetene ved den eneste virksomheten til en behandlingsansvarlig eller databehandler i Unionen, i vesentlig grad påvirker eller sannsynligvis vil påvirke registrerte i mer enn én medlemsstat, bør tilsynsmyndigheten for den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet fungere som ledende tilsynsmyndighet. Den bør samarbeide med de andre berørte myndighetene dersom den behandlingsansvarlige eller databehandleren har en virksomhet på territoriet til deres medlemsstat, dersom registrerte bosatt på deres territorium i vesentlig grad berøres, eller dersom det er inngitt klage til dem. Også dersom en registrert som ikke er bosatt i nevnte medlemsstat, har inngitt klage, bør tilsynsmyndigheten som klagen er inngitt til, også være en berørt tilsynsmyndighet. Personvernrådet bør innenfor rammen av sine oppgaver med å utstede retningslinjer for eventuelle spørsmål som omfatter anvendelsen av denne forordning, særlig kunne utstede retningslinjer for kriteriene som skal tas i betraktning for å vurdere om den aktuelle behandlingen i vesentlig grad berører registrerte i mer enn én medlemsstat, og for hva som utgjør en relevant og begrunnet innsigelse.

Engelsk

(24) ‘relevant and reasoned objection’ means an objection to a draft decision as to whether there is an infringement of this Regulation, or whether envisaged action in relation to the controller or processor complies with this Regulation, which clearly demonstrates the significance of the risks posed by the draft decision as regards the fundamental rights and freedoms of data subjects and, where applicable, the free flow of personal data within the Union;

25) «informasjonssamfunnstjeneste» en tjeneste som definert i artikkel 1 nr. 1 bokstav b) i europaparlaments- og rådsdirektiv (EU) 2015/1535,

Fortalepunkter

21) Denne forordning berører ikke anvendelsen av europaparlaments- og rådsdirektiv 2000/31/EF, særlig reglene for tjenesteytende mellommenns ansvar i artikkel 12-15 i nevnte direktiv. Formålet med nevnte direktiv er å bidra til at det indre marked fungerer på en tilfredsstillende måte ved å sikre fri bevegelighet for informasjonssamfunnstjenester mellom medlemsstatene.

Engelsk

(25) ‘information society service’ means a service as defined in point (b) of Article 1(1) of Directive (EU) 2015/1535 of the European Parliament and of the Council ( 1 );

26) «internasjonal organisasjon» en organisasjon og dens underordnede organer som er underlagt folkeretten, eller ethvert annet organ opprettet ved eller på grunnlag av en avtale mellom to eller flere stater.

Fortalepunkter

6) Den raske teknologiske utviklingen samt globaliseringen har skapt nye utfordringer med hensyn til vern av personopplysninger. Omfanget av innsamlingen og utvekslingen av personopplysninger har økt betraktelig. Teknologien gjør det mulig for både private selskaper og offentlige myndigheter å benytte seg av personopplysninger i sitt arbeid i et helt nytt omfang. Fysiske personer gjør i stadig større grad personopplysninger offentlig tilgjengelig, også globalt. Teknologien har endret både økonomien og det sosiale liv og bør ytterligere fremme den frie flyt av personopplysninger i Unionen og overføring av disse til tredjestater og internasjonale organisasjoner, samtidig som det sikres et høyt nivå for vern av personopplysningene.

101) Strømmen av personopplysninger til og fra stater utenfor Unionen og internasjonale organisasjoner er nødvendig for å kunne utvide internasjonal handel og internasjonalt samarbeid. Denne strømmen har økt, og dette har skapt nye utfordringer og bekymringer med tanke på vern av personopplysninger. Når personopplysninger overføres fra Unionen til behandlingsansvarlige, databehandlere eller andre mottakere i tredjestater eller til internasjonale organisasjoner, bør det beskyttelsesnivået som fysiske personer ved denne forordning sikres i Unionen, imidlertid ikke undergraves, herunder i tilfeller der personopplysninger videreoverføres fra tredjestaten eller den internasjonale organisasjonen til behandlingsansvarlige eller databehandlere i den samme eller en annen tredjestat eller internasjonal organisasjon. Overføring til tredjestater og internasjonale organisasjoner må under alle omstendigheter bare skje i fullt samsvar med denne forordning. Med forbehold for de andre bestemmelsene i denne forordning kan en overføring bare finne sted dersom den behandlingsansvarlige eller databehandleren overholder vilkårene fastsatt i bestemmelsene i denne forordning om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner.

102) Denne forordning berører ikke internasjonale avtaler inngått mellom Unionen og tredjestater om overføring av personopplysninger, herunder nødvendige garantier for de registrerte. Medlemsstatene kan inngå internasjonale avtaler som omfatter overføring av personopplysninger til tredjestater eller internasjonale organisasjoner, så lenge nevnte avtaler ikke berører denne forordning eller andre bestemmelser i unionsretten og gir et egnet nivå for vern av de registrertes grunnleggende rettigheter.

103) Kommisjonen kan med virkning for hele Unionen beslutte at en tredjestat, et territorium eller en bestemt sektor i en tredjestat eller en internasjonal organisasjon har et tilstrekkelig nivå for vern av personopplysninger, og på den måten skape rettssikkerhet og ensartethet i hele Unionen med hensyn til tredjestaten eller de internasjonale organisasjonene som anses for å ha et slikt nivå for vern av personopplysninger. I slike tilfeller kan personopplysninger overføres til nevnte tredjestat eller internasjonale organisasjon uten at det er nødvendig å innhente ytterligere godkjenning. Kommisjonen kan også beslutte å tilbakekalle en slik beslutning etter å ha underrettet tredjestaten eller den internasjonale organisasjonen og gitt en fullstendig begrunnelse for dette.

105) I tillegg til de internasjonale forpliktelsene som tredjestaten eller den internasjonale organisasjonen har inngått, bør Kommisjonen ta hensyn til forpliktelsene som følger av tredjestatens eller den internasjonale organisasjonens deltaking i multilaterale eller regionale systemer, særlig i forbindelse med vern av personopplysninger, samt gjennomføringen av nevnte forpliktelser. Det bør særlig tas hensyn til tredjestatens tiltredelse til Europarådets konvensjon av 28. januar 1981 om personvern i forbindelse med elektronisk databehandling av personopplysninger samt dens tilleggsprotokoll. Kommisjonen bør rådspørre Personvernrådet når den vurderer beskyttelsesnivå i tredjestater eller internasjonale organisasjoner.

106) Kommisjonen bør overvåke virkningen av beslutninger om beskyttelsesnivået i en tredjestat, på et territorium eller i en bestemt sektor i en tredjestat eller en internasjonal organisasjon og overvåke virkningen av beslutninger truffet på grunnlag av artikkel 25 nr. 6 eller artikkel 26 nr. 4 i direktiv 95/46/EF. I sine beslutninger om tilstrekkelig beskyttelsesnivå bør Kommisjonen fastsette en mekanisme for regelmessig gjennomgåelse av beslutningenes virkning. Nevnte regelmessige gjennomgåelse bør utføres i samråd med den aktuelle tredjestat eller internasjonale organisasjon, idet det tas hensyn til all relevant utvikling i tredjestaten eller den internasjonale organisasjonen. I forbindelse med overvåking og de regelmessige gjennomgåelsene bør Kommisjonen ta hensyn til synspunkter og konklusjoner fra Europaparlamentet og Rådet samt fra andre relevante organer og kilder. Kommisjonen bør innen en rimelig frist vurdere virkningen av sistnevnte beslutninger og rapportere eventuelle relevante konklusjoner til komiteen omhandlet i europaparlaments- og rådsforordning (EU) nr. 182/2011 som nedsettes ved denne forordning, og til Europaparlamentet og Rådet.

107) Kommisjonen kan fastslå at en tredjestat, et territorium eller en bestemt sektor i en tredjestat eller en internasjonal organisasjon ikke lenger sikrer et tilstrekkelig nivå for vern av personopplysninger. Overføringen av personopplysninger til nevnte tredjestat eller internasjonale organisasjon bør da forbys, med mindre kravene i denne forordning som gjelder overføringer som omfattes av nødvendige garantier, herunder bindende virksomhetsregler, og unntak for særlige situasjoner, er oppfylt. I slike tilfeller bør det fastsettes at det skal gjennomføres samråd mellom Kommisjonen og nevnte tredjestater eller internasjonale organisasjoner. Kommisjonen bør i rett tid underrette tredjestaten eller den internasjonale organisasjonen om årsakene og innlede samråd med den for å avhjelpe situasjonen.

108) Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, bør den behandlingsansvarlige eller databehandleren treffe tiltak for å kompensere for det manglende vernet av personopplysninger i en tredjestat i form av nødvendige garantier for den registrerte. Nødvendige garantier kan omfatte bruk av bindende virksomhetsregler, standard personvernbestemmelser vedtatt av Kommisjonen, standard personvernbestemmelser vedtatt av en tilsynsmyndighet eller avtalevilkår godkjent av en tilsynsmyndighet. Disse garantiene bør sikre samsvar med kravene til vern av personopplysninger og de registrertes rettigheter i forbindelse med behandling internt i Unionen, herunder om de registrerte har tilgang til håndhevbare rettigheter og effektive rettsmidler, herunder retten til effektiv administrativ eller rettslig prøving og til å kreve erstatning i Unionen eller i en tredjestat. Garantiene bør særlig omfatte samsvar med de allmenne prinsippene om behandling av personopplysninger og prinsippene om innebygd personvern og personvern som standardinnstilling. Offentlige myndigheter eller organer kan også foreta overføringer til offentlige myndigheter eller organer i tredjestater eller til internasjonale organisasjoner med tilsvarende oppgaver eller funksjoner, herunder på grunnlag av bestemmelser som skal innlemmes i administrative ordninger, f.eks. en programerklæring, som gir de registrerte håndhevbare og effektive rettigheter. Det bør innhentes godkjenning fra vedkommende tilsynsmyndighet når garantiene er fastsatt i administrative ordninger som ikke er rettslig bindende.

112) Disse unntakene bør særlig få anvendelse på overføring av opplysninger som er nødvendig av hensyn til viktige allmenne interesser, f.eks. ved internasjonal utveksling av opplysninger mellom konkurransemyndigheter, skatte- eller tollmyndigheter, mellom finanstilsynsmyndigheter, mellom kompetente trygdemyndigheter eller folkehelsemyndigheter, f.eks. ved kontaktsporing i forbindelse med smittsomme sykdommer eller for å redusere og/eller avskaffe doping i idrett. En overføring av personopplysninger bør også anses som lovlig dersom den er nødvendig for å verne en interesse av avgjørende betydning for den registrertes eller en annen persons vitale interesser, herunder fysisk integritet eller liv, dersom den registrerte ikke er i stand til å gi sitt samtykke. Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, kan det, av hensyn til viktige allmenne interesser, i unionsretten eller medlemsstatenes nasjonale rett uttrykkelig fastsettes grenser for overføring av spesifikke kategorier av opplysninger til en tredjestat eller en internasjonal organisasjon. Medlemsstatene bør underrette Kommisjonen om nevnte bestemmelser. Enhver overføring til en internasjonal humanitær organisasjon av personopplysninger om en registrert som fysisk eller juridisk ikke er i stand til å gi sitt samtykke, med det formål å utføre en oppgave i henhold til Genève-konvensjonene eller overholde internasjonalt humanitært regelverk som får anvendelse i væpnede konflikter, kan anses for å være nødvendig av hensyn til viktige allmenne interesser eller fordi det er av vital interesse for den registrerte.

139) For å fremme en ensartet anvendelse av denne forordning bør Personvernrådet opprettes som et uavhengig EU-organ. For å kunne oppfylle sine mål bør Personvernrådet ha status som juridisk person. Personvernrådet bør representeres av sin leder. Det bør erstatte arbeidsgruppen for personvern i forbindelse med behandling av personopplysninger nedsatt ved direktiv 95/46/EF. Det bør bestå av lederen for en tilsynsmyndighet i hver medlemsstat samt EUs datatilsyn eller de respektive representantene for dette. Kommisjonen bør delta i Personvernrådets aktiviteter uten stemmerett, og EUs datatilsyn bør ha særlig stemmerett. Personvernrådet bør bidra til en ensartet anvendelse av denne forordning i hele Unionen, herunder ved å rådgi Kommisjonen, særlig om beskyttelsesnivået i tredjestater eller internasjonale organisasjoner, samt fremme samarbeid mellom tilsynsmyndighetene i hele Unionen. Personvernrådet bør utføre sine oppgaver i full uavhengighet.

153) I medlemsstatenes nasjonale rett bør reglene for ytrings- og informasjonsfrihet, herunder med henblikk på journalistiske, akademiske, kunstneriske og/eller litterære ytringer, bringes i samsvar med retten til vern av personopplysninger i henhold til denne forordning. Det bør fastsettes unntak eller fritak fra visse bestemmelser i denne forordning for behandling av personopplysninger som utelukkende finner sted i journalistisk øyemed eller med henblikk på akademiske, kunstneriske eller litterære ytringer, dersom dette er nødvendig for å bringe retten til vern av personopplysninger i samsvar med retten til ytrings- og informasjonsfrihet som nedfelt i artikkel 11 i pakten. Dette bør særlig gjelde behandling av personopplysninger på det audiovisuelle området og i nyhetsarkiver og pressebiblioteker. Medlemsstatene bør derfor treffe lovgivningsmessige tiltak som fastsetter de fritak og unntak som er nødvendige for å oppnå en balanse mellom disse grunnleggende rettighetene. Medlemsstatene bør vedta nevnte fritak og unntak med hensyn til allmenne prinsipper, den registrertes rettigheter, den behandlingsansvarlige og databehandleren, overføring av personopplysninger til tredjestater eller internasjonale organisasjoner, de uavhengige tilsynsmyndighetene, samarbeid og ensartethet samt særlige databehandlingssituasjoner. Dersom slike fritak eller unntak varierer fra en medlemsstat til en annen, bør retten i medlemsstaten som den behandlingsansvarlige er underlagt, få anvendelse. For å ta høyde for viktigheten av retten til ytringsfrihet i ethvert demokratisk samfunn må begreper som er knyttet til denne friheten, f.eks. journalistikk, tolkes bredt.

168) Undersøkelsesprosedyren bør brukes når det vedtas gjennomføringsrettsakter om standardavtalevilkår mellom behandlingsansvarlige og databehandlere og mellom databehandlere; atferdsnormer; tekniske standarder og sertifiseringsmekanismer; det tilstrekkelige beskyttelsesnivået som sikres av en tredjestat, et territorium eller en angitt sektor i nevnte tredjestat eller en internasjonal organisasjon; standard personvernbestemmelser; formater og framgangsmåter for elektronisk utveksling av informasjon mellom behandlingsansvarlige, databehandlere og tilsynsmyndigheter med tanke på bindende virksomhetsregler; gjensidig bistand samt ordninger for elektronisk utveksling av informasjon mellom tilsynsmyndigheter og mellom tilsynsmyndigheter og Personvernrådet.

169) Kommisjonen bør vedta gjennomføringsrettsakter med umiddelbar virkning når tilgjengelig dokumentasjon viser at en tredjestat, et territorium eller en angitt sektor i nevnte tredjestat eller en internasjonal organisasjon ikke sikrer et tilstrekkelig beskyttelsesnivå, og tvingende og presserende hensyn krever det.

Engelsk

(26) ‘international organisation’ means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries.


< Artikkel 3 | Artikkel 5 >