GDPR » Kapittel VI Uavhengige tilsynsmyndigheter (art. 51-59) » Avsnitt 1 Uavhengig stilling (art. 51-54) » Artikkel 54. Regler om opprettelse av tilsynsmyndigheten

Artikkel 54. Regler om opprettelse av tilsynsmyndigheten

Sammendrag: Det skal lovfestes opprettelse av tilsynsmyndighet, kvalifikasjonskravene og kriteriene for å bli tilsynsmyndighet, varighet for utnevndelsen til tilsyn, som skal være minst fire år, og om perioden kan fornyes og hvor mange ganger, vilkår for tilsynet og personellet her, forbud mot aktiviteter, yrkesvirksomhet, fordeler som er uforenelig med virksomheten, regler for avslutning av arbeidsforhold, samt taushetsplikt før og etter fratreden av stilling.

1. Hver medlemsstat skal ved lov fastsette følgende:

a) opprettelse av hver tilsynsmyndighet,

b) de nødvendige kvalifikasjonene og utvelgelseskriteriene for å kunne bli utnevnt som medlem av en tilsynsmyndighet,

c) reglene om og framgangsmåtene for utnevnelse av medlemmet/medlemmene av hver tilsynsmyndighet,

d) varigheten av mandatet til medlemmet/medlemmene av hver tilsynsmyndighet, som skal være minst fire år, bortsett fra den første utnevnelsen etter 24. mai 2016, som kan ha kortere varighet dersom det er nødvendig for å sikre tilsynsmyndighetens uavhengighet ved hjelp av en trinnvis utnevnelsesprosess,

e) om mandatet til medlemmet/medlemmene av hver tilsynsmyndighet kan fornyes, og eventuelt hvor mange ganger,

f) de vilkår som gjelder for forpliktelsene til medlemmet/medlemmene av og personellet hos hver tilsynsmyndighet, forbud mot aktiviteter, yrkesvirksomhet og fordeler som er uforenlige med disse i og etter utnevnelsesperioden, samt regler om avslutning av arbeidsforholdet.

2. Medlemmet/medlemmene og personellet hos hver tilsynsmyndighet skal, i samsvar med unionsretten eller medlemsstatenes nasjonale rett, både i og etter utnevnelsesperioden være bundet av taushetsplikt med hensyn til eventuell konfidensiell informasjon de får kjennskap til under utførelsen av sine oppgaver eller utøvelsen av sin myndighet. I utnevnelsesperioden skal taushetsplikten særlig omfatte fysiske personers varsling om overtredelser av denne forordning.

Relevante fortalepunkter

Formålet med behandling*

50. Behandling av personopplysninger for andre formål enn de formål personopplysningene opprinnelig ble samlet inn for, bør bare være tillatt dersom behandlingen er forenlig med formålene som personopplysningene opprinnelig ble samlet inn for. I et slikt tilfelle kreves det ikke et annet rettslig grunnlag enn det som ligger til grunn for innsamlingen av personopplysninger. Dersom behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, kan det i unionsretten eller medlemsstatenes nasjonale rett fastsettes og angis nærmere hvilke oppgaver og formål viderebehandling bør anses som forenlig og lovlig for. Viderebehandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål bør anses som forenlige og lovlige behandlingsaktiviteter. Det rettslige grunnlaget for behandling av personopplysninger som er fastsatt i unionsretten eller medlemsstatenes nasjonale rett, kan også utgjøre et rettslig grunnlag for viderebehandling. For å fastslå om formålet med viderebehandlingen er forenlig med formålet som personopplysningene opprinnelig ble samlet inn for, bør den behandlingsansvarlige, etter å ha oppfylt alle krav for å sikre at den opprinnelige behandlingen er lovlig, blant annet ta hensyn til enhver forbindelse mellom disse formålene og formålene med den tiltenkte viderebehandlingen, i hvilken sammenheng personopplysningene er blitt samlet inn, særlig de registrertes rimelige forventninger på grunnlag av forholdet de har til den behandlingsansvarlige med hensyn til viderebruk av opplysningene, personopplysningenes art, konsekvensene av den tiltenkte viderebehandlingen for de registrerte, og om både de opprinnelige behandlingsaktivitetene og de tiltenkte viderebehandlingsaktivitetene omfattes av nødvendige garantier.
   Når den registrerte har samtykket eller behandlingen er basert på unionsretten eller medlemsstatenes nasjonale rett som utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for særlig å verne viktige samfunnsmessige mål, bør den behandlingsansvarlige kunne viderebehandle personopplysningene uavhengig av om formålene er forenlige. I alle tilfeller bør det sikres at prinsippene fastsatt i denne forordning, og særlig informasjonen til de registrerte om nevnte andre formål og om vedkommendes rettigheter, herunder retten til å protestere, anvendes. Dersom den behandlingsansvarlige avdekker mulige straffbare handlinger eller trusler mot den offentlige sikkerhet og overfører relevante personopplysninger i enkeltstående eller flere tilfeller som gjelder samme straffbare handling eller trusler mot den offentlige sikkerhet, til en vedkommende myndighet, bør dette anses for å være i den behandlingsansvarliges berettigede interesse. En slik overføring i den behandlingsansvarliges berettigede interesse eller viderebehandling av personopplysninger bør være forbudt dersom behandlingen ikke er forenlig med en rettslig, yrkesmessig eller annen bindende taushetsplikt.
*ikke offisiell overskrift

Behandling av særlige kategorier personopplysninger for helserelaterte formål*

53. Særlige kategorier av personopplysninger som fortjener et sterkere vern, bør bare behandles for helserelaterte formål når det er nødvendig for å oppfylle nevnte formål til fordel for fysiske personer og samfunnet som helhet, særlig i forbindelse med forvaltning av helse- eller sosialtjenester og -systemer, herunder forvaltningens og sentrale nasjonale helsemyndigheters behandling av slike opplysninger med henblikk på kvalitetskontroll, forvaltningsinformasjon og den allmenne nasjonale og lokale overvåking av helse- og sosialsystemet, og for å sikre kontinuitet innen helse- og sosialtjenester og helsetjenester over landegrensene eller i forbindelse med helsesikkerhet, -overvåking og -varsling eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som må oppfylle et mål i allmennhetens interesse, samt for studier på området folkehelse som utføres i allmennhetens interesse. Ved denne forordning bør det derfor fastsettes harmoniserte vilkår for behandling av særlige kategorier av personopplysninger om helse for å oppfylle særlige behov, især når behandlingen av nevnte opplysninger utføres for visse helserelaterte formål av personer som er underlagt lovfestet taushetsplikt. I unionsretten eller medlemsstatenes nasjonale rett bør det fastsettes særlige og egnede tiltak for vern av fysiske personers grunnleggende rettigheter og personopplysninger. Medlemsstatene bør kunne opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger. Dette bør imidlertid ikke hindre den frie flyten av personopplysninger i Unionen når nevnte vilkår får anvendelse på grenseoverskridende behandling av nevnte opplysninger.
*ikke offisiell overskrift

Risiko ved behandling av personopplysninger*

75. Behandling av personopplysninger kan føre til at det oppstår risikoer av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter som kan medføre fysisk, materiell eller ikke-materiell skade, særlig når behandlingen kan føre til forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger, uautorisert oppheving av pseudonymisering eller andre betydelige økonomiske eller sosiale ulemper, når de registrerte kan bli fratatt sine rettigheter og friheter eller bli hindret i å utøve kontroll over egne personopplysninger, når behandlingen gjelder personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, og behandling av genetiske opplysninger, helseopplysninger, seksuelle forhold eller straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak, når personlige aspekter vurderes, særlig for å analysere eller forutsi aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, for å opprette eller bruke personlige profiler, når sårbare fysiske personers, særlig barns, personopplysninger behandles, eller når behandlingen omfatter en stor mengde personopplysninger og berører et stort antall registrerte.
*ikke offisiell overskrift

Personvernbrudd og varsling*

85. Et brudd på personopplysningssikkerheten kan, dersom det ikke håndteres på egnet måte og i rett tid, påføre fysiske personer fysisk, materiell eller ikke-materiell skade, f.eks. tap av kontroll over egne personopplysninger eller begrensning av egne rettigheter, forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, uautorisert oppheving av pseudonymisering, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger eller andre betydelige økonomiske eller sosiale ulemper for den berørte fysiske personen. Så snart den behandlingsansvarlige får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten, bør vedkommende melde nevnte brudd til tilsynsmyndigheten uten ugrunnet opphold og om mulig senest 72 timer etter å ha fått kjennskap til det, med mindre vedkommende i samsvar med ansvarlighetsprinsippet kan påvise at nevnte brudd på personopplysningssikkerheten sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom nevnte melding ikke kan gis innen 72 timer, bør årsaken til forsinkelsen oppgis i meldingen, og informasjonen kan gis trinnvis uten videre ugrunnet opphold.
*ikke offisiell overskrift

Krav til og utnevnelse av medlemmer av tilsynsmyndighet*

121. De allmenne vilkårene for medlemmet/medlemmene av tilsynsmyndigheten bør fastsettes ved lov i hver medlemsstat, og det bør særlig fastsettes at nevnte medlemmer skal utnevnes ved hjelp av en åpen prosess, enten av parlamentet, regjeringen eller statsoverhodet i medlemsstaten på grunnlag et forslag fra regjeringen, et medlem av regjeringen, parlamentet eller et kammer i parlamentet, eller av et uavhengig organ med myndighet til dette i henhold til medlemsstatens nasjonale rett. For å sikre tilsynsmyndighetens uavhengighet bør medlemmet/medlemmene opptre med integritet, avstå fra enhver handling som ikke er forenlig med deres oppgaver, og så lenge utnevnelsesperioden varer, ikke utøve en uforenlig yrkesvirksomhet, enten den er lønnet eller ikke. Tilsynsmyndigheten bør ha sitt eget personell som er utvalgt av tilsynsmyndigheten eller av et uavhengig organ opprettet i henhold til medlemsstatens nasjonale rett, som utelukkende bør stå under ledelse av tilsynsmyndighetens medlem/medlemmer.
*ikke offisiell overskrift

Tilsynsmyndighets taushetsplikt*

164. Når det gjelder tilsynsmyndighetenes myndighet til å få tilgang til personopplysninger fra den behandlingsansvarlige eller databehandleren og adgang til deres lokaler, kan medlemsstatene innenfor rammene av denne forordning ved lov vedta særlige regler for å sikre yrkesmessig eller annen tilsvarende taushetsplikt, i den grad det er nødvendig for å bringe retten til vern av personopplysning i samsvar med yrkesmessig taushetsplikt. Dette berører ikke medlemsstatenes eksisterende forpliktelser til å vedta regler om taushetsplikt dersom det kreves i unionsretten.
*ikke offisiell overskrift

Engelsk tekst

Article 54. Rules on the establishment of the supervisory authority

1. Each Member State shall provide by law for all of the following:

(a) the establishment of each supervisory authority;

(b) the qualifications and eligibility conditions required to be appointed as member of each supervisory authority;

(c) the rules and procedures for the appointment of the member or members of each supervisory authority;

(d) the duration of the term of the member or members of each supervisory authority of no less than four years, except for the first appointment after 24 May 2016, part of which may take place for a shorter period where that is necessary to protect the independence of the supervisory authority by means of a staggered appointment procedure;

(e) whether and, if so, for how many terms the member or members of each supervisory authority is eligible for reappointment;

(f) the conditions governing the obligations of the member or members and staff of each supervisory authority, prohibitions on actions, occupations and benefits incompatible therewith during and after the term of office and rules governing the cessation of employment.

2. The member or members and the staff of each supervisory authority shall, in accordance with Union or Member State law, be subject to a duty of professional secrecy both during and after their term of office, with regard to any confidential information which has come to their knowledge in the course of the performance of their tasks or exercise of their powers. During their term of office, that duty of professional secrecy shall in particular apply to reporting by natural persons of infringements of this Regulation.

< Artikkel 53 | Artikkel 55 >