Artikkel 64. Uttalelse fra Personvernrådet

Sammendrag: Tilsynsmyndighet skal oversende utkast til avgjørelse til Personvernrådet, som skal gi uttalelse, ved liste over behandlingsktiviteter som skal medføre vurdering av personvernkonsekvenser (DPIA), adferdsnormer eller endring av disse, godkjenning av krav til akkredigeringsorgan sertifiseringsorgan, fastsette standard personvernbestemmelser og godkjenning av avtalevilkår om overføring til tredjeland og godkjenne bindende virksomhetsregler. Forhold med allmenn rekkevidde kan undersøkes av Personvernrådet for å få uttalelse, som ved manglende gjensidig bistand eller felles aktiviteter. Uttalelse skal gis innen åtte uker (med tillegg av seks uker i visse tilfelle), hvor tilsynsmyndigheten skal avvente sin avgjørelse. Tilsynsmyndighet og Kommisjonen skal oversende all relevant informasjon, hvoretter lederen av Personvernrådet skal oversende informasjonen til medlemmene av Personvernrådet og Kommisjonen, samt til sistnevnte og tilsynsmyndigheten om uttalelse og offentliggjøring av denne. Tilsynsmyndigheten skal i størst mulig grad hensynta Personvernrådets uttalelse, og gi rådets leder informasjon om hvilken beslutning tilsynsmyndigheten fatter.

1. Personvernrådet skal avgi uttalelse når en vedkommende tilsynsmyndighet akter å treffe noen av tiltakene nevnt nedenfor. I denne forbindelse skal vedkommende tilsynsmyndighet oversende utkastet til avgjørelse til Personvernrådet når

a) formålet er å vedta en liste over de behandlingsaktiviteter som er underlagt kravet om en vurdering av personvernkonsekvenser i henhold til artikkel 35 nr. 4,

b) det gjelder et forhold i henhold til artikkel 40 nr. 7 om hvorvidt et utkast til atferdsnormer eller en endring eller utvidelse av atferdsnormer oppfyller kravene i denne forordning,

c) formålet er å godkjenne kravene for akkreditering av et organ i henhold til artikkel 41 nr. 3 eller av et sertifiseringsorgan i henhold til artikkel 43 nr. 3 eller kriteriene for sertifisering som nevnt i artikkel 42 nr. 5,

d) formålet er å fastsette standard personvernbestemmelser som nevnt i artikkel 46 nr. 2 bokstav d) og artikkel 28 nr. 8,

e) formålet er å godkjenne avtalevilkår som nevnt i artikkel 46 nr. 3 bokstav a) eller

f) formålet er å godkjenne bindende virksomhetsregler i henhold til artikkel 47.

2. Enhver tilsynsmyndighet, lederen for Personvernrådet eller Kommisjonen kan kreve at ethvert forhold med allmenn rekkevidde eller som har virkning i flere enn én medlemsstat, undersøkes av Personvernrådet med det som mål å innhente en uttalelse, særlig dersom en vedkommende tilsynsmyndighet ikke oppfyller plikten til å yte gjensidig bistand i samsvar med artikkel 61 eller med hensyn til felles aktiviteter i samsvar med artikkel 62.

3. I tilfellene nevnt i nr. 1 og 2 skal Personvernrådet avgi uttalelse om forholdet det har fått seg forelagt, forutsatt at det ikke allerede har avgitt uttalelse om samme forhold. Uttalelsen skal vedtas innen åtte uker ved simpelt flertall blant Personvernrådets medlemmer. Denne fristen kan forlenges med ytterligere seks uker, idet det tas hensyn til forholdets kompleksitet. Med hensyn til utkastet til avgjørelse nevnt i nr. 1, oversendt til medlemmene av Personvernrådet i samsvar med nr. 5, skal et medlem som ikke har gjort innsigelse innen en rimelig frist angitt av lederen, anses for å samtykke i utkastet til avgjørelse.

4. Tilsynsmyndigheter og Kommisjonen skal uten ugrunnet opphold oversende Personvernrådet, elektronisk og ved bruk av et standardisert format, all relevant informasjon, herunder, alt etter hva som er relevant, et sammendrag av de faktiske forhold, utkastet til avgjørelse, årsaken til hvorfor nevnte tiltak må treffes og synspunkter fra andre berørte tilsynsmyndigheter.

5. Lederen for Personvernrådet skal uten ugrunnet opphold gi elektronisk underretning til

a) medlemmene av Personvernrådet og Kommisjonen om all relevant informasjon som det har mottatt, ved bruk av et standardisert format. Personvernrådets sekretariat skal ved behov sørge for oversettelse av relevant informasjon, og

b) tilsynsmyndigheten nevnt i nr. 1 og 2 og Kommisjonen om uttalelsen og offentliggjøre den.

6. Vedkommende tilsynsmyndighet nevnt i nr. 1 skal ikke vedta sitt utkast til avgjørelse nevnt i nr. 1 i løpet av perioden nevnt i nr. 3.

7. Vedkommende tilsynsmyndighet nevnt i nr. 1 skal i størst mulig grad ta hensyn til Personvernrådets uttalelse og skal senest to uker etter å ha mottatt uttalelsen underrette lederen for Personvernrådet elektronisk om hvorvidt den akter å opprettholde eller endre sitt utkast til avgjørelse, og eventuelt oversende det endrede utkastet til avgjørelse ved bruk av et standardisert format.

8. Dersom vedkommende tilsynsmyndighet nevnt i nr. 1 innen fristen nevnt i nr. 7 i denne artikkel underretter Personvernrådets leder om at den ikke akter å følge Personvernrådets uttalelse, helt eller delvis, og gir en relevant begrunnelse for dette, får artikkel 65 nr. 1 anvendelse.

Relevante fortalepunkter

Nødvendige garantier for overføring av personopplysninger til tredjestat mv.*

108. Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, bør den behandlingsansvarlige eller databehandleren treffe tiltak for å kompensere for det manglende vernet av personopplysninger i en tredjestat i form av nødvendige garantier for den registrerte. Nødvendige garantier kan omfatte bruk av bindende virksomhetsregler, standard personvernbestemmelser vedtatt av Kommisjonen, standard personvernbestemmelser vedtatt av en tilsynsmyndighet eller avtalevilkår godkjent av en tilsynsmyndighet. Disse garantiene bør sikre samsvar med kravene til vern av personopplysninger og de registrertes rettigheter i forbindelse med behandling internt i Unionen, herunder om de registrerte har tilgang til håndhevbare rettigheter og effektive rettsmidler, herunder retten til effektiv administrativ eller rettslig prøving og til å kreve erstatning i Unionen eller i en tredjestat. Garantiene bør særlig omfatte samsvar med de allmenne prinsippene om behandling av personopplysninger og prinsippene om innebygd personvern og personvern som standardinnstilling. Offentlige myndigheter eller organer kan også foreta overføringer til offentlige myndigheter eller organer i tredjestater eller til internasjonale organisasjoner med tilsvarende oppgaver eller funksjoner, herunder på grunnlag av bestemmelser som skal innlemmes i administrative ordninger, f.eks. en programerklæring, som gir de registrerte håndhevbare og effektive rettigheter. Det bør innhentes godkjenning fra vedkommende tilsynsmyndighet når garantiene er fastsatt i administrative ordninger som ikke er rettslig bindende.
*ikke offisiell overskrift

Standardbestemmelser om vern av personopplysninger kan inntas i mer omfattende avtale*

109. Den behandlingsansvarliges eller databehandlerens mulighet til å benytte standardbestemmelser for vern av personopplysninger vedtatt av Kommisjonen eller av en tilsynsmyndighet bør ikke hindre de behandlingsansvarlige eller databehandlere i å innlemme standardbestemmelsene for vern av personopplysninger i en mer omfattende avtale, f.eks. en avtale mellom databehandleren og en annen databehandler, eller i å tilføye andre bestemmelser eller ytterligere garantier, forutsatt at de ikke direkte eller indirekte er i strid med standardavtalevilkårene vedtatt av Kommisjonen eller av en tilsynsmyndighet eller berører de registrertes grunnleggende rettigheter og friheter. Behandlingsansvarlige og databehandlere bør oppmuntres til å fastsette ytterligere garantier gjennom avtalefestede forpliktelser som utfyller standard personvernbestemmelser.
*ikke offisiell overskrift

Tilsynsmyndighets holdningskampanjer*

132. Tilsynsmyndighetenes holdningskampanjer rettet mot allmennheten bør omfatte særlige tiltak rettet mot behandlingsansvarlige og databehandlere, herunder svært små, små og mellomstore bedrifter samt fysiske personer, særlig i utdanningssammenheng.
*ikke offisiell overskrift

Tilsynsmyndigheters gjensidige bistand*

133. Tilsynsmyndighetene bør bistå hverandre i forbindelse med utførelsen av sine oppgaver og yte gjensidig bistand for å sikre ensartet anvendelse og håndheving av denne forordning i det indre marked. En tilsynsmyndighet som anmoder om gjensidig bistand, kan treffe et midlertidig tiltak dersom den ikke mottar svar på nevnte anmodning innen en måned etter at den andre tilsynsmyndigheten har mottatt anmodningen.
*ikke offisiell overskrift

Tilsynsmyndigheters felles aktiviteter og svar på anmodninger*

134. Dersom det er relevant, bør hver tilsynsmyndighet delta i felles aktiviteter sammen med andre tilsynsmyndigheter. Den anmodede tilsynsmyndighet bør ha plikt til å svare på anmodningen innen en fastsatt frist.
*ikke offisiell overskrift

Konsistensmekanisme for å sikre ensartet anvendelse av GDPR*

135. For å sikre ensartet anvendelse av denne forordning i hele Unionen bør det opprettes en konsistensmekanisme for samarbeid mellom tilsynsmyndighetene. Nevnte mekanisme bør særlig få anvendelse dersom en tilsynsmyndighet akter å treffe et tiltak som skal ha rettsvirkning, når det gjelder behandlingsaktiviteter som i vesentlig grad berører et betydelig antall registrerte i flere medlemsstater. Den bør også få anvendelse dersom en berørt tilsynsmyndighet eller Kommisjonen anmoder om at et slikt forhold behandles innenfor rammen av konsistensmekanismen. Nevnte mekanisme bør ikke berøre eventuelle tiltak som Kommisjonen kan treffe som ledd i utøvelsen av sin myndighet i henhold til traktatene.
*ikke offisiell overskrift

Uttalelse fra EUs personvernråd (EDPB) ved konsistensmekanismen*

136. Ved anvendelse av konsistensmekanismen bør Personvernrådet innen en fastsatt frist avgi uttalelse dersom et flertall av dets medlemmer beslutter det, eller dersom en berørt tilsynsmyndighet eller Kommisjonen anmoder om det. Personvernrådet bør også gis myndighet til å treffe rettslig bindende beslutninger dersom det oppstår tvister mellom tilsynsmyndighetene. For dette formål bør det, i prinsippet med to tredels flertall blant dets medlemmene, treffe rettslig bindende beslutninger i tydelig angitte tilfeller der det foreligger motstridende synspunkter blant tilsynsmyndighetene, særlig i mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene om en saks fakta, særlig om hvorvidt det foreligger en overtredelse av denne forordning.
*ikke offisiell overskrift

Hastetiltak av tilsynsmyndighet*

137. Det kan være nødvendig å treffe tiltak omgående for å verne registrertes rettigheter og friheter, særlig dersom det foreligger en fare for at en registrerts utøvelse av en rettighet kan bli betydelig hemmet. En tilsynsmyndighet bør derfor kunne treffe behørig begrunnede midlertidige tiltak på sitt territorium med en fastsatt gyldighetsperiode som ikke bør være lenger enn tre måneder.
*ikke offisiell overskrift

Konsistensmekanismen som vilkår for tiltak av tilsynsmyndighet*

138. Anvendelsen av en slik mekanisme bør være et vilkår for lovligheten av et tiltak som er truffet av en tilsynsmyndighet, og som er ment å ha rettsvirkning, i tilfeller der anvendelsen av den er obligatorisk. I andre tilfeller som har en grenseoverskridende dimensjon, bør mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene anvendes, og gjensidig bistand kan ytes og felles aktiviteter kan gjennomføres mellom de berørte tilsynsmyndighetene på et bilateralt eller multilateralt grunnlag uten at det utløser konsistensmekanismen.
*ikke offisiell overskrift

Uavhengighet, deltakere og oppgaver for EUs personvernråd (EDPB)*

139. For å fremme en ensartet anvendelse av denne forordning bør Personvernrådet opprettes som et uavhengig EU-organ. For å kunne oppfylle sine mål bør Personvernrådet ha status som juridisk person. Personvernrådet bør representeres av sin leder. Det bør erstatte arbeidsgruppen for personvern i forbindelse med behandling av personopplysninger nedsatt ved direktiv 95/46/EF. Det bør bestå av lederen for en tilsynsmyndighet i hver medlemsstat samt EUs datatilsyn eller de respektive representantene for dette. Kommisjonen bør delta i Personvernrådets aktiviteter uten stemmerett, og EUs datatilsyn bør ha særlig stemmerett. Personvernrådet bør bidra til en ensartet anvendelse av denne forordning i hele Unionen, herunder ved å rådgi Kommisjonen, særlig om beskyttelsesnivået i tredjestater eller internasjonale organisasjoner, samt fremme samarbeid mellom tilsynsmyndighetene i hele Unionen. Personvernrådet bør utføre sine oppgaver i full uavhengighet.
*ikke offisiell overskrift

EUs personvernråd (EDPB) sekretariat og personell*

140. Personvernrådet bør bistås av et sekretariat som stilles til rådighet av EUs datatilsyn. Personellet ved EUs datatilsyn som deltar i utførelsen av oppgavene som Personvernrådet gis ved denne forordning, bør utføre sine oppgaver utelukkende under ledelse av lederen for Personvernrådet og rapportere til vedkommende.
*ikke offisiell overskrift

Engelsk tekst

Article 64. Opinion of the Board

1. The Board shall issue an opinion where a competent supervisory authority intends to adopt any of the measures below. To that end, the competent supervisory authority shall communicate the draft decision to the Board, when it:

(a) aims to adopt a list of the processing operations subject to the requirement for a data protection impact assessment pursuant to Article 35 (4);

(b) concerns a matter pursuant to Article 40 (7) whether a draft code of conduct or an amendment or extension to a code of conduct complies with this Regulation;

(c) aims to approve the requirements for accreditation of a body pursuant to Article 41 (3), of a certification body pursuant to Article 43 (3) or the criteria for certification referred to in Article 42 (5);

(d) aims to determine standard data protection clauses referred to in point (d) of Article 46 (2) and in Article 28 (8);

(e) aims to authorise contractual clauses referred to in point (a) of Article 46 (3); or

(f) aims to approve binding corporate rules within the meaning of Article 47.

2. Any supervisory authority, the Chair of the Board or the Commission may request that any matter of general application or producing effects in more than one Member State be examined by the Board with a view to obtaining an opinion, in particular where a competent supervisory authority does not comply with the obligations for mutual assistance in accordance with Article 61 or for joint operations in accordance with Article 62.

3. In the cases referred to in paragraphs 1 and 2, the Board shall issue an opinion on the matter submitted to it provided that it has not already issued an opinion on the same matter. That opinion shall be adopted within eight weeks by simple majority of the members of the Board. That period may be extended by a further six weeks, taking into account the complexity of the subject matter. Regarding the draft decision referred to in paragraph 1 circulated to the members of the Board in accordance with paragraph 5, a member which has not objected within a reasonable period indicated by the Chair, shall be deemed to be in agreement with the draft decision.

4. Supervisory authorities and the Commission shall, without undue delay, communicate by electronic means to the Board, using a standardised format any relevant information, including as the case may be a summary of the facts, the draft decision, the grounds which make the enactment of such measure necessary, and the views of other supervisory authorities concerned.

5. The Chair of the Board shall, without undue, delay inform by electronic means:

(a) the members of the Board and the Commission of any relevant information which has been communicated to it using a standardised format. The secretariat of the Board shall, where necessary, provide translations of relevant information; and

(b) the supervisory authority referred to, as the case may be, in paragraphs 1 and 2, and the Commission of the opinion and make it public.

6. The competent supervisory authority referred to in paragraph 1 shall not adopt its draft decision referred to in paragraph 1 within the period referred to in paragraph 3.

7. The competent supervisory authority referred to in paragraph 1 shall take utmost account of the opinion of the Board and shall, within two weeks after receiving the opinion, communicate to the Chair of the Board by electronic means whether it will maintain or amend its draft decision and, if any, the amended draft decision, using a standardised format.

8. Where the competent supervisory authority referred to in paragraph 1 informs the Chair of the Board within the period referred to in paragraph 7 of this Article that it does not intend to follow the opinion of the Board, in whole or in part, providing the relevant grounds, Article 65 (1) shall apply.

< Artikkel 63 | Artikkel 65 >