Databeskyttelsesforordningenjustitsministeriet.dk/sites/default/files/media/Pressemeddelelser/... · Databeskyttelsesforordningen – og de retlige rammer for dansk lovgivning Betænkning

Databeskyttelsesforordningen og de retlige rammer for dansk lovgivning

Betnkning nr. 1565

Del I bind 2

Betnkning om

Databeskyttelsesforordningen (2016/679) og de retlige rammer for dansk lovgivning

Del I, bind 2

Betnkning nr. 1565

4.7. Ret til sletning (retten til at blive glemt), artikel 17

vedrrende databeskyttelse, artikel 35

2.1. Begrebet tredjelandBegrebet overfrsel

629628

skabslovgiver har tilsigtet, at begrebet videregivelse til et tredjeland af personoplysniger skal omfatte udlggelse af oplysninger p en hjemmeside, selv om oplysningerne persondatalovens 27s forstand, selvom en databehandler udelukkende vil kunne se de

631630

I sagen bliver det sledes fastslet, at en skaldt seadgang til personoplysninger er nok

631

633632

635634

den dataansvarlige og databehandleren. des. For nrmere om begrebet tredjeland og forskellen i ordlyden mellem persondatal

637636

vens 27, stk. 1 (overfrsel), og databeskyttelsesdirektivets artikel 25, stk. 1 (videregvelse) henvises til afsnit

637

at det synes dog praksis. Ordet tilstrkkeligt grelse, skal udtrykket sesniveau

639638

minder om den, der fremgr af bemrkningerne til persondatalovens 27, stk. 1. Det hje ambitionsniveau skal derfor fastholdes i praksis.

639

641640

643642

ningerne behandles lovligt i EU. Landene kaldes derfor i daglig tale for sikre tredjelande.

643

U.S. Privacy Shieldet fungerer som det skal, og at

645644

2.7. En afgrelse efter databeskyttelsesdirektivets artikel 25, stk. 4s betydning for a

647646

649648

651650

653652

655654

657656

659658

sproglige ndringer hvor f.eks. dataeksportr og dataimportr

661660

Opinions on Contractual clauses Considered as compliant with

661

ger) i flere medlemsstater, kan njes med at g til en ledende tilsynsmyndighed. Denne

663662

665664

667666

669668

671670

virksomhedsregler (WP 107) og i en aftale om gensidig anerkendelse (mutual recogntion) mellem 21 tilsynsmyndigheder.

673672

I praksis vil den ledende tilsynsmyndighed normalt bede to skaldte coreviewers om at

673

675674

677676

679678

681680

683682

685684

687686

klringer fra modervirksomhden.

687

689688

691690

693692

695694

klringer fra modervden.

697696

699698

701700

703702

705704

707706

709708

tydigt. I kommentaren henvises i den forbindelse bl.a. til bogen Retlig reguleringnationale persondataoverfrsler,

711710

mation (provided in Section 215) or a national security letter issued by US law is subject to US law, including such court orders or national secrity letters that might request production of information or evi

Member States legal instrument which respects its obligations under EC

711

Commissions upcoming proposals for reform of the EU data

713712

gruppen har endvidere i en udtalelse af 11. februar 2009 om skaldt prediscovery have hjemmel i direktivets artikel 26 m.fl. Der glder sledes et dobbelt hjemmelskrav.

713

715714

717716

bejdsdokument WP 12: Disse arbejdstagere eller patienter.

717

719718

721720

723722

725724

727726

729728

tredje linje i artikel 49, stk. 1, andet afsnit, benyttes ordet videregivelse. I den engelske telsesforordningen str der sledes ogs transfer, hvilket burde have vret oversat til overfrsel.

729

731730

733732

I 2007 vedtog OECDs rdAf anbefalingen fremgr det bl.a., at OECDs medlemsstater br fremme etableringen af et

733

Om GPENs mission fremgr det af netvrkets hjemmeside, at man primrt forsger at relateret til GPENs mission.Det fremgr endvidere af GPENs hjemmeside, at shield sikrer et tilst

735734

ghederne til at trffe de ndvendige foranstaltninger med henblik p at samarbe

737736

EUs charter om grundlggende rettigheder fastslr i den forbindelse ogs i art itel VI, der har overskriften U myndigheder, bestr af 8 artikler og er delt op i to afdelinger. Frste afdeling omhandler

737

739738

I forhold til disse andre tilsynsmyndigheder

le medlemmer af en tilsynsmyndighed. Der er sledes i direktivet hverk

739

741740

personoplysninger i Unionen (tilsynsmyndighed).

741

udtrykket en tilsynsmyndigheds medlem eller medlemmer. Af forordningens artikel 54, stk. 1, litra f, m imidlertid kunne udledes, at medlem eller medlemmer ikke er det same som personale, idet ordet personale fremgr af denne bestemmelse ved siden af ordne medlem og medlemmer. mellem medlem og medlemmer og personale fremgr ogs af

743742

745744

747746

18, at udtrykket uafhngighed normalt betegner en status, som sikrer, at det pgldende endvidere, at udtrykket fuld uafhngighed indebrer en beslutningsbefjelse for tilsyn

747

749748

751750

753752

755754

757756

af begrebet fuld uafhngighed, kan der for en nrmere forstelse heraf henvises til EU

759758

761760

763762

765764

767766

769768

For s vidt angr begreberne hovedvirksomhed og grnseoverskridende behandling er

771770

regler om den skaldte oneshop mekanisme, der findes i forordningens kapitel VII, ganske lang, er den ikke udtmmende, jf. ordene uden at dette berrer andre opgaver, der er fastsat i denne forordning. Det fremgr i den forbindelse ogs af artikel 5

771

773772

775774

forbindelse med sit informationsarbejde skulle have srlig tanke p brn det kan vre

777776

kel 60 (oneshop), artikel 61 og artikel 62 samt reglerne om sammenhngsmek

777

779778

Begrebet adfrdskodekser er ikke nyt, jf. persondatalovens 74. Det har dog aldrig

779

781780

Sammenholder man tilsynsmyndighedens opgaveliste i artikel 57 i databeskyttelsesfo

781

783782

Udtrykket anmodninger i bestemmelsen m antages at skulle forsts bredt som henve

783

785784

787786

789788

791790

gribe effektivt ind.

synsmyndigheden skal kunne gribe effektivt ind danner ogs baggrunden for persondat

791

793792

Forordningen indeholder ikke nogen definition af, hvad der nrmere ligger i begrebet dtabeskyttelsesrevisioner.

795794

Formuleringen undersgelser i form af databeskyttelsesrevisioner antages at dkke over

795

797796

799798

ikke synes at vre begrnset til srlige tilflde.

801800

Begrebet adfrdskodekser er ikke nyt, idet der som nvnt ovenfor allerede i dag er m

803802

805804

omfattet af grundlovens 72. Husundersgelser omfatter sledes undersgelse af private

807806

mv., garager, stalde, lader og kahytsrum. Det fremgr desuden, at undersgelse eller bslaglggelse af breve og andre papirer omf fattet af begrebet husundersgelser i retssikkerhedslovens 1, stk. 1, nr. 1, og nr tils

807

inspektioner/tilsynsbesg p samme vis, som det glder efter persondataloven. Det vil

809808

skal ses i lyset af artikel 50 i EUs Charter for Grund

809

811810

gennemfres i EUs forskellige medlemsstater. Samtidig fremgr d

813812

der regler om en skaldt sammenhngsmekanime, som skal sikre en ensartet anvendelse af forordningen, og som betyder at Det Eur

Kapitel VIIs vsentligste nyskabelse i forhold til de gldende regler om tilsynsmyndi e oneshop mekanisme, som indebrer, at n tilsynsmyndighed ("den sammenhngsmekanisme i forordningens kapitel V

813

For nrmere om begrebet den ledende tilsynsmyndighed henvises til artikel 56.Ved begrebet en berrt tilsynsmyndighed forsts iflge

dvs. hele oneshop

815814

ogs kunne tnkes at skulle behandles i overensstemmelse med oneshop fremgr ikke af bestemmelsen, hvad der forsts ved alle relevante oplysninger. Det

815

Begrebet en relevant og begrundet indsigelse er defineret i forordningens ar

den skaldte sammenhngsmekanisme henvises til forordningens kap

817816

819818

gesom kapitlet indeholder regler om en skaldt sammenhngsmekanisme, som skal

819

821820

823822

vre muligt i medfr af denne bestemmelse at indbringe en tilsynsmyndighed, der vFor nrmere om den skaldte sammenhngsmekanisme, herunder Databeskyttelsesr Der henvises i vrigt til det ovenfor anfrte om muligheden for at indbringe en

825824

ekstraordinre omstndigheder sigtes til ikke helt ubet

825

Med udtrykket flles aktiviteter sigtes bl.a. til alt fra udarbejdelse af flles vejledninger srlige tilsynsmyndigheder til at deltage

827826

829828

frist, ligesom tilsynsmyndighederne i dag heller ikke har mulighed for at indbringe hi

829

831830

vil dele brugerinformationer inden for Facebook familien, herunder bl.a. til markedsf

833832

835834

837836

839838

841840

843842

845844

les aktiviteter, ligesom kapitlet indeholder regler om en skaldt sammenhngsmekanime, som skal sikre en ensartet anvendelse af forordningen, og som

845

(artikel 16), stemmeafgivning (art

847846

uropiske Databeskyttelsesrd (Datbeskyttelsesrdet)

849848

hvor afgrelsen har direkte betydning for EDPS virkeomrde. kaldte sammenhngsmekanisme i forordningens kapitel VII,

849

851850

853852

855854

857856

859858

Domstolens fortolkning af udtrykket uafhngighed . EDPS uafhngighed flger af forordning (EF) nr.

859

861860

863862

865864

.

865

Dermed kan der i grnseoverskridende sager opst en situation, hvor en national

867866

869868

flger, at e Derudover faststter artikel 263, i traktaterne. Det finder anvendelse over for EUs institutioner og medlem

871870

Den forklarende rapport til EUs Charter om grundlggende rettigheder, EU Jonas Christoffersen, EUs Charter om Grundlggende Rettigheder med kommentarer, 1. udgave, 2014, s. Den forklarende rapport til EUs Charter om grundlggende rettigheder, EU Jonas Christoffersen, EUs Charter om Grundlggende Rettigheder med kommentarer, 1. udgave, 2014, s. Jonas Christoffersen, EUs Charter om Grundlggende Rettigheder med kommentarer, 1. udgave, 2014, s.

871

Jonas Christoffersen, EUs Charter om Grundlggende Rettigheder med kommentarer, 1. udgave, 2014, s.

873872

875874

877876

For s vidt angr forstelsen af effektive retsmidler, og for en nrmere behandling af

879878

881880

883882

885884

887886

889888

891890

893892

895894

stolen ogs kan erklre sig inkompetent taler for, at det er sdan bestemmelsen m fo

895

897896

Domstolen har i en rkke sager fortolket begrebet skade, herunder hvorvidt og i arrangren erstatter de skader, der pfres forbrugeren som flge af manglende eller elfuld opfyldelse af kontrakten. grnser sig til generelt at henvise til begrebet skader, skal det bemrkes, at idet artikel 5,

897

direktivers beskyttelsesforml, mtte fastsls, at omfattet af begrebet personskade var direktivs artikel 1, stk. 1, i det vsentlige anvender begreberne svel legemsskade som personskade, m man henholde sig til den almindelige opbygning af og formlet mgrebet materiel skade, og at de nvnte bestemmelser og direktivet navnlig tilsigter at

899898

Domstolen synes ikke at have en konsekvent linje i fortolkningen af begrebet skade. Begrebet erstatning er bl.a. reguleret i artikel 13 i direktiv om hndhvelse af intellekt Ligebehandlingsdirektivets (direktiv 2006/54/EF) artikel 18 brer overskriften erstatning eller godtgrelse. I den engelske sprogversion brer artikel 18 overskriften compenstion or reparation. Af direktivets artikel 18, 1. pkt., flger det, at medlemsstaterne i deres

899

901900

plagt solidarisk medansvar for legemsskade. For Cs vedkommende blev det i straff

903902

og tingsskade, skaldt almindelig (eller ren) formueskade normalt kaldet godtgrelse. Dansk erstatningsret bygger p det

903

905904

gjort erstatningsansvarlig overfor Jysk A/S og Eng Danmark A/S p grundlag af en r Vestre Landsret tog i U 2005.1639 V stilling til en arbejdsgivers, Bs, lsning af en ansats, As, private e

907906

skade

909908

bet skade, i lyset af ret Domstolen fortolket begrebet skade til sts ved en bred fortolkning af begrebet skade i EUder efter artikel 82, stk. 1, skal kunne tilkendes en erstaning for ikkelovgiver er heller ikke konsekvent i anvendelsen af henholdsvis begreberne erstaning og godtgrelse, ligesom der heller ikke kan konstateres konsistens i brugen af bgreberne materiel/immateriel skade og konomisk/ikkekonomisk skade. Dette ses slag, affattet p flgende mde: Enhver, som har lidt skade som

909

.affattet sledes: Personer, der lider skade som flge af en ulovlig behandling, br have ret . tragtning nr. 146, blev af Rdet affattet p ny og lyder sledes: Personer, der lider skade forvoldte skade () Begrebet skade skal fortolkes bredt i lyset af retspraksis ved den ning.

911910

overskriften ret til erstatning og erstatningsansvar. I den engelske version brer artikel 82 overskriften right to compensation and liability, ligsom det ogs var tilfldet i ligebehandlingsdirektivets artikel 18, hvor erstatning i den ogversion er compensation. Derudover faststter forordningen ikke i artikel taler imod, at der alene ud fra forskellen mellem direktivets artikel 23 om skade og foordningens artikel 82, stk. 1, om materiel eller immateriel skade kan udledes, at det med

911

913912

915914

917916

919918

921920

fatter begrebet virksomhedenhver finansieringsmde.

923922

925924

Det fremgr af bemrkningerne til persondataloven, at passagen medmindre hjere straf er den vrige lovgivning har

927926

929928

Jonas Christoffersen, EUs Charter om Grundlggende Rettigheder med komme

929

931930

933932

plggelse af

933

tager skridt til bder der. Sdanne oplysninger om bder i Danmark vil derefter kunne sammenlignes med EUs

935934

937936

939938

941940

943942

artikel 50 i EUs Charter for Grundlggende Rettig

943

pkt., at det trdelser, som ikke er underlagt administrative bder i henhold til artikel 83, hvor me

945944

947946

bl.a., at bekmpe magtmisbrug, korruption og svindel inden ffentlige og opn retfrdighed i samfundet. Et andet forml

949948

951950

til sknlitterr virksomhed, f.eks. udarbe

951

953952

Ordet herunder viser, at anvendelsesomrdet for artikel 85 ikke

953

955954

957956

959958

961960

963962

965964

967966

kende anvendes med de forndne garantier for den registreredes rettigheder og frihed

967

969968

fagforeningsmssigt tilhrsforhold (som er en flsom oplysning), hvis det er ndvendigt

971970

973972

herunder lokalaftaler,

975974

lokalaftaler te mere specifikke bestemmelser. Denne opdeling af, hvad er der er almindelige pe

975

er tale om recruitment, mens bestemmelsen i vrigt angr employment. Det m herefter lgges til grund, at muligheden for at faststte specifikke bestemmelser om asttelse skal forsts sledes, at der kan faststtes specifikke bestemmelser om

977976

sionen skal have meddelelse of those provisions of its

977

979978

981980

udtrykkene sttistiske eller videnskabelige undersgelser, skal forsts sledes, at der er t videnskabelige undersgelser efter persondatalovens 10.

981

983982

det netop udtrykkeligt til medlemsstaterne at bestemme, hvad passende og specifikke foedes grundlggende rettigheder og interesser skyttelsesdirektivets artikel 8, stk. 4, der krver tilstrkkelige garantier, jf. Registeru

985984

987986

989988

991990

993992

995994

997996

999998

10011000

10031002

I

(Lovgivningsmssige retsakter)

FORORDNINGER

EUROPA-PARLAMENTETS OG RDETS FORORDNING (EU) 2016/679

af 27. april 2016

om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sdanne oplysninger og om ophvelse af direktiv 95/46/EF (generel forordning om

databeskyttelse)

(ES-relevant tekst)

EUROPA-PARLAMENTET OG RDET FOR DEN EUROPISKE UNION HAR

under henvisning til traktaten om Den Europiske Unions funktionsmde, srlig artikel 16,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europiske konomiske og Sociale Udvalg (1),

under henvisning til udtalelse fra Regionsudvalget (2),

efter den almindelige lovgivningsprocedure (3), og

ud fra flgende betragtninger:

(1) Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlggende rettighed. I artikel 8, stk. 1, i Den Europiske Unions charter om grundlggende rettigheder (chartret) og i artikel 16, stk. 1, i traktaten om Den Europiske Unions funktionsmde (TEUF) faststtes det, at enhver har ret til beskyttelse af personoplysninger, der vedrrer den pgldende.

(2) Principperne og reglerne for beskyttelse af fysiske personer i forbindelse med behandling af deres personoplysninger br, uanset deres nationalitet eller bopl, respektere deres grundlggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger. Denne forordning har til forml at bidrage til skabelsen af et omrde med frihed, sikkerhed og retfrdighed samt en konomisk union og til konomiske og sociale fremskridt, styrkelse af og konvergens mellem konomierne inden for det indre marked og fysiske personers velfrd.

(3) Europa-Parlamentets og Rdets direktiv 95/46/EF (4) har til forml at harmonisere beskyttelsen af fysiske personers grundlggende rettigheder og frihedsrettigheder i forbindelse med behandlingsaktiviteter og at sikre den frie udveksling af personoplysninger mellem medlemsstaterne.

4.5.2016 L 119/1 Den Europiske Unions Tidende DA

(1) EUT C 229 af 31.7.2012, s. 90. (2) EUT C 391 af 18.12.2012, s. 127. (3) Europa-Parlamentets holdning af 12.3.2014 (endnu ikke offentliggjort i EUT) og Rdets frstebehandlingsholdning af 8.4.2016 (endnu

ikke offentliggjort i EUT). Europa-Parlamentets holdning af 14.4.2016. (4) Europa-Parlamentet og Rdets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af

personoplysninger og om fri udveksling af sdanne oplysninger (EFT L 281 af 23.11.1995, s. 31).

1003

(4) Behandling af personoplysninger br have til forml at tjene menneskeheden. Retten til beskyttelse af personoplysninger er ikke en absolut ret; den skal ses i sammenhng med sin funktion i samfundet og afvejes i forhold til andre grundlggende rettigheder i overensstemmelse med proportionalitetsprincippet. Denne forordning overholder alle de grundlggende rettigheder og flger de frihedsrettigheder og principper, der anerkendes i chartret som forankret i traktaterne, navnlig respekten for privatliv og familieliv, hjem og kommunikation, beskyttelsen af personoplysninger, retten til at tnke frit, til samvittigheds- og religionsfrihed, ytrings- og informationsfrihed, frihed til at oprette og drive egen virksomhed, adgang til effektive retsmidler og til en retfrdig rettergang og kulturel, religis og sproglig mangfoldighed.

(5) Den konomiske og sociale integration, der er en flge af det indre markeds funktion, har medfrt en kraftig vkst i bevgelserne af personoplysninger p tvrs af landegrnserne. Udvekslingen af personoplysninger mellem offentlige og private aktrer, herunder fysiske personer, sammenslutninger og virksomheder, i Unionen er steget. De nationale myndigheder i medlemsstaterne opfordres i EU-retten til at samarbejde og udveksle personoplysninger for at kunne varetage deres hverv og udfre opgaver p vegne af en myndighed i en anden medlemsstat.

(6) Den hastige teknologiske udvikling og globaliseringen har skabt nye udfordringer, hvad angr beskyttelsen af personoplysninger. Omfanget af indsamlingen og delingen af personoplysninger er steget betydeligt. Teknologien giver bde private selskaber og offentlige myndigheder mulighed for at udnytte personoplysninger i et hidtil uset omfang, nr de udver deres aktiviteter. Fysiske personer udbreder i stigende grad deres personoplysninger offentligt og globalt. Teknologien har ndret bde konomien og sociale aktiviteter og br yderligere fremme den frie udveksling af personoplysninger inden for Unionen og overfrslen af oplysninger til tredjelande og internationale organisationer, samtidig med at der sikres et hjt niveau for beskyttelse af personoplysninger.

(7) Denne udvikling krver en strk og mere sammenhngende databeskyttelsesramme i Unionen, som understttes af effektiv hndhvelse, fordi det er vigtigt at skabe den tillid, der gr det muligt, at den digitale konomi kan udvikle sig p det indre marked. Fysiske personer br have kontrol over deres personoplysninger. Sikkerheden bde retligt og praktisk br styrkes for fysiske personer, erhvervsdrivende og offentlige myndigheder.

(8) Nr denne forordning faststter, at der kan indfres specifikationer eller begrnsninger af dens regler ved medlemsstaternes nationale ret, kan medlemsstaterne, i det omfang det er ndvendigt af hensyn til sammenhngen og for at gre de nationale bestemmelser forstelige for de personer, som de finder anvendelse p, indarbejde elementer af denne forordning i deres nationale ret.

(9) Mlstningerne og principperne i direktiv 95/46/EF er stadig gyldige, men direktivet har ikke forhindret en fragmentering af gennemfrelsen af databeskyttelse i Unionen, manglende retssikkerhed eller en udbredt offentlig opfattelse af, at der er betydelige risici for beskyttelsen af fysiske personer, navnlig i forbindelse med onlineaktivitet. Forskelle i niveauet for beskyttelsen af fysiske personers rettigheder og frihedsrettigheder, navnlig retten til beskyttelse af personoplysninger, i forbindelse med behandling af personoplysninger i medlemsstaterne, kan forhindre fri udveksling af personoplysninger i Unionen. Disse forskelle kan derfor udgre en hindring for udvelsen af en rkke konomiske aktiviteter p EU-plan, virke konkurrenceforvridende og hindre myndighederne i at varetage de opgaver, de er plagt i medfr af EU-retten. En sdan forskel i beskyttelsesniveauet skyldes forskelle i gennemfrelsen og anvendelsen af direktiv 95/46/EF.

(10) For at sikre et ensartet og hjt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for Unionen br beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sdanne oplysninger vre ensartet i alle medlemsstater. Det br sikres, at reglerne for beskyttelse af fysiske personers grundlggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen. I forbindelse med behandling af personoplysninger for at overholde en retlig forpligtelse eller for at udfre en opgave i samfundets interesse, eller som henhrer under offentlig myndighedsudvelse, som den dataansvarlige har fet plagt, br medlemsstaterne kunne opretholde eller indfre nationale bestemmelser for yderligere at prcisere anvendelsen af denne forordnings bestemmelser. Sammen med generel og horisontal lovgivning om databeskyttelse til gennemfrelse af direktiv 95/46/EF har medlemsstaterne flere sektorspecifikke love p omrder, hvor der er behov for mere specifikke bestemmelser. Denne forordning indeholder ogs en manvremargen, s medlemsstaterne kan prcisere reglerne heri, herunder for behandling af srlige kategorier af personoplysninger (flsomme oplysninger). Denne forordning udelukker sledes ikke, at medlemsstaternes nationale ret fastlgger omstndighederne i forbindelse med specifikke databehandlingssituationer, herunder mere prcis fastlggelse af de forhold, hvorunder behandling af personoplysninger er lovlig.


10051004

(11) For at sikre effektiv beskyttelse af personoplysninger i Unionen er det ndvendigt at styrke og prcisere de registreredes rettigheder og de forpligtelser, der phviler dem, der behandler og trffer afgrelse om behandling af personoplysninger, samt at der gives tilsvarende befjelser til at fre tilsyn med og sikre overholdelse af reglerne om beskyttelse af personoplysninger og indfres tilsvarende sanktioner ved overtrdelser i medlemsstaterne.

(12) Artikel 16, stk. 2, i TEUF giver Europa-Parlamentet og Rdet befjelse til at faststte regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af sdanne oplysninger.

(13) For at sikre et ensartet beskyttelsesniveau for fysiske personer i hele Unionen og for at hindre, at forskelle hmmer den frie udveksling af personoplysninger p det indre marked, er der behov for en forordning for at skabe retssikkerhed og gennemsigtighed for erhvervsdrivende, herunder mikrovirksomheder og sm og mellemstore virksomheder, at give fysiske personer i alle medlemsstaterne det samme niveau af rettigheder, som kan hndhves, og forpligtelser og ansvar for dataansvarlige og databehandlere og at sikre konsekvent tilsyn med behandling af personoplysninger og tilsvarende sanktioner i alle medlemsstaterne samt effektivt samarbejde mellem tilsynsmyndighederne i de forskellige medlemsstater. Et velfungerende indre marked krver, at den frie udveksling af personoplysninger i Unionen hverken indskrnkes eller forbydes af grunde, der vedrrer beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger. For at tage hensyn til den srlige situation for mikrovirksomheder og sm og mellemstore virksomheder indeholder denne forordning en undtagelse for organisationer med mindre end 250 ansatte med hensyn til at fre fortegnelser. Derudover opfordres EU- institutionerne og -organerne samt medlemsstaterne og deres tilsynsmyndigheder til at tage hensyn til mikrovirksomheders og sm og mellemstore virksomheders srlige behov i forbindelse med anvendelsen af denne forordning. Begreberne mikrovirksomheder og sm og mellemstore virksomheder br baseres p artikel 2 i bilaget til Kommissionens henstilling 2003/361/EF (1).

(14) Den beskyttelse, som denne forordning yder i forbindelse med behandling af personoplysninger, br finde anvendelse p fysiske personer uanset nationalitet eller bopl. Denne forordning finder ikke anvendelse p behandling af personoplysninger, der vedrrer juridiske personer, navnlig virksomheder, der er etableret som juridiske personer, herunder den juridiske persons navn, form og kontaktoplysninger.

(15) For at undg at skabe en alvorlig risiko for omgelse br beskyttelsen af fysiske personer vre teknologineutral og ikke afhnge af de anvendte teknikker. Beskyttelsen af fysiske personer br glde for bde automatisk og manuel behandling af personoplysninger, hvis personoplysningerne er indeholdt eller vil blive indeholdt i et register. Sagsmapper eller samlinger af sagsmapper samt deres forsider, som ikke er struktureret efter bestemte kriterier, br ikke vre omfattet af denne forordnings anvendelsesomrde.

(16) Denne forordning finder ikke anvendelse p sprgsml vedrrende beskyttelse af grundlggende rettigheder og frihedsrettigheder eller fri udveksling af personoplysninger, der vedrrer aktiviteter, som falder uden for EU- retten, ssom aktiviteter vedrrende statens sikkerhed. Denne forordning finder ikke anvendelse p behandling af personoplysninger, der foretages af medlemsstaterne, nr de udfrer aktiviteter i forbindelse med Unionens flles udenrigs- og sikkerhedspolitik.

(17) Europa-Parlamentets og Rdets forordning (EF) nr. 45/2001 (2) finder anvendelse p behandling af personoplysninger, der foretages af Unionens institutioner, organer, kontorer og agenturer. Forordning (EF) nr. 45/2001 og andre EU-retsakter, der finder anvendelse p sdan behandling af personoplysninger, br tilpasses til principperne og bestemmelserne fastsat i nrvrende forordning og anvendes i lyset af nrvrende forordning. Med henblik p at sikre en strk og sammenhngende databeskyttelsesramme i Unionen br de ndvendige tilpasninger af forordning (EF) nr. 45/2001 flge efter vedtagelsen af nrvrende forordning, sledes at de finder anvendelse samtidig med nrvrende forordning.

(18) Denne forordning glder ikke for en fysisk persons behandling af oplysninger under en rent personlig eller familiemssig aktivitet og sledes uden forbindelse med en erhvervsmssig eller kommerciel aktivitet. Personlige


(1) Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, sm og mellemstore virksomheder (C(2003) 1422) (EUT L 124 af 20.5.2003, s. 36).

(2) Europa-Parlamentets og Rdets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fllesskabsinstitutionerne og -organerne og om fri udveksling af sdanne oplysninger (EFT L 8 af 12.1.2001, s. 1).

1005

eller familiemssige aktiviteter kan omfatte korrespondance og fring af en adressefortegnelse eller sociale netvrksaktiviteter og onlineaktiviteter, der udves som led i sdanne aktiviteter. Denne forordning glder dog for dataansvarlige eller databehandlere, som tilvejebringer midlerne til behandling af personoplysninger til sdanne personlige eller familiemssige aktiviteter.

(19) Beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik p at forebygge, efterforske, afslre eller retsforflge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskyttelsen mod og forebyggelsen af trusler mod den offentlige sikkerhed og den frie udveksling af sdanne oplysninger, er genstand for en specifik EU-retsakt. Denne forordning br derfor ikke glde for behandlingsaktiviteter med disse forml. Behandling af personoplysninger af offentlige myndigheder, som er omfattet af denne forordning, med henblik p disse forml br imidlertid vre genstand for en mere specifik EU-retsakt, Europa-Parlamentets og Rdets direktiv (EU) 2016/680 (1). Medlemsstater kan overdrage opgaver, der ikke ndvendigvis foretages med henblik p at forebygge, efterforske, afslre eller retsforflge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, til de kompetente myndigheder som omhandlet i direktiv (EU) 2016/680, sledes at behandling af personoplysninger til disse andre forml, for s vidt som de er omfattet af EU-retten, falder ind under denne forordnings anvendelsesomrde.

Med hensyn til disse kompetente myndigheders behandling af personoplysninger til forml, der er omfattet af anvendelsesomrdet for denne forordning, br medlemsstaterne kunne opretholde eller indfre mere specifikke bestemmelser for at tilpasse anvendelsen af reglerne i denne forordning. Sdanne bestemmelser kan mere prcist fastlgge specifikke krav til disse kompetente myndigheders behandling af personoplysninger til disse andre forml under hensyntagen til den forfatningsmssige, organisatoriske og administrative struktur i den pgldende medlemsstat. Nr behandling af personoplysninger foretaget af private organer er omfattet af denne forordnings anvendelsesomrde, br forordningen give medlemsstaterne mulighed for p srlige betingelser ved lov at begrnse visse forpligtelser og rettigheder, nr en sdan begrnsning udgr en ndvendig og forholdsmssig foranstaltning i et demokratisk samfund for at sikre bestemte vigtige interesser, herunder den offentlige sikkerhed og forebyggelse, efterforskning, afslring eller retsforflgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed. Dette er f.eks. relevant inden for rammerne af bekmpelse af hvidvaskning af penge eller kriminaltekniske laboratoriers aktiviteter.

(20) Selv om denne forordning bl.a. finder anvendelse p domstoles og andre judicielle myndigheders aktiviteter, kan EU-retten eller medlemsstaternes nationale ret prcisere, hvilke behandlingsaktiviteter og -procedurer der finder anvendelse i forbindelse med domstoles og andre judicielle myndigheders behandling af personoplysninger. Tilsynsmyndighedernes kompetence br af hensyn til dommerstandens uafhngighed under udfrelsen af dens judicielle opgaver, herunder ved beslutningstagning, ikke omfatte domstolenes behandling af personoplysninger, nr domstole handler i deres egenskab af domstol. Tilsynet med sdanne databehandlingsaktiviteter br kunne overdrages til specifikke organer i medlemsstatens retssystem, der navnlig br sikre overholdelsen af reglerne i denne forordning, gre dommerstanden bekendt med dens forpligtelser i henhold til denne forordning og behandle klager over sdanne databehandlingsaktiviteter.

(21) Denne forordning berrer ikke anvendelsen af Europa-Parlamentets og Rdets direktiv 2000/31/EF (2), navnlig reglerne om formidleransvar for tjenesteydere, der er fastsat i artikel 12-15 i dette direktiv. Direktivet har til forml at bidrage til et velfungerende indre marked ved at sikre den frie bevgelighed for informationssamfundstjenester mellem medlemsstaterne.

(22) Enhver behandling af personoplysninger, som foretages som led i aktiviteter, der udfres for en dataansvarlig eller en databehandler, som er etableret i Unionen, br gennemfres i overensstemmelse med denne forordning, uanset om selve behandlingen finder sted i Unionen. Etablering indebrer effektiv og faktisk udvelse af aktivitet gennem en mere permanent struktur. De pgldende ordningers retlige form, hvad enten det er en filial eller et datterselskab med status som juridisk person, har ikke afgrende betydning i denne forbindelse.


(1) Europa-Parlamentets og Rdets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik p at forebygge, efterforske, afslre eller retsforflge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sdanne oplysninger og om ophvelse af Rdets rammeafgrelse 2008/977/RIA (se side 89 i denne EUT).

(2) Europa-Parlamentets og Rdets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked (Direktivet om elektronisk handel) (EFT L 178 af 17.7.2000, s. 1).

10071006

(23) For at sikre, at fysiske personer ikke unddrages den beskyttelse, som de har ret til i medfr af denne forordning, br behandling af personoplysninger om registrerede, der er i Unionen, som foretages af en dataansvarlig eller en databehandler, der ikke er etableret i Unionen, vre omfattet af denne forordning, hvis behandlingsaktiviteterne vedrrer udbud af varer eller tjenesteydelser til sdanne registrerede, uanset om de er knyttet til en betaling. Med henblik p at afgre, om en sdan dataansvarlig eller databehandler udbyder varer eller tjenesteydelser til registrerede, der befinder sig i Unionen, br det undersges, om det er benbart, at den dataansvarlige eller databehandleren ptnker at udbyde tjenesteydelser til registrerede i en eller flere EU-medlemsstater. Selv om det forhold, at der er adgang til den dataansvarliges, databehandlerens eller en mellemmands websted i Unionen, til en e-mailadresse eller til andre kontaktoplysninger, eller at der anvendes et sprog, der almindeligvis anvendes i det tredjeland, hvor den dataansvarlige er etableret, i sig selv er utilstrkkeligt til at fastsl en sdan hensigt, kan faktorer ssom anvendelse af et sprog eller en valuta, der almindeligvis anvendes i en eller flere medlemsstater, med mulighed for at bestille varer og tjenesteydelser p det pgldende sprog eller omtale af kunder eller brugere, der befinder sig i Unionen, gre det benbart, at den dataansvarlige ptnker at udbyde varer eller tjenesteydelser til registrerede i Unionen.

(24) Behandling af personoplysninger om registrerede, der befinder sig i Unionen, foretaget af en dataansvarlig eller en databehandler, der ikke er etableret i Unionen, br ogs vre omfattet af denne forordning, nr den vedrrer overvgning af sdanne registreredes adfrd, s lnge denne adfrd foregr inden for Unionen. For at afgre, om en behandlingsaktivitet kan betragtes som overvgning af registreredes adfrd, br det undersges, om fysiske personer spores p internettet, herunder mulig efterflgende brug af teknikker til behandling af personoplysninger, der bestr i profilering af en fysisk person, navnlig med det forml at trffe beslutninger om den pgldende eller analysere eller forudsige den pgldendes prferencer, adfrd og holdninger.

(25) Hvis medlemsstaternes nationale ret finder anvendelse i medfr af folkeretten, br denne forordning ogs glde for en dataansvarlig, der ikke er etableret i Unionen, som f.eks. ved en medlemsstats diplomatiske eller konsulre reprsentation.

(26) Principperne for databeskyttelse br glde for enhver information om en identificeret eller identificerbar fysisk person. Personoplysninger, der har vret genstand for pseudonymisering, og som kan henfres til en fysisk person ved brug af supplerende oplysninger, br anses for at vre oplysninger om en identificerbar fysisk person. For at afgre, om en fysisk person er identificerbar, br alle midler tages i betragtning, der med rimelighed kan tnkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere, herunder udpege, den pgldende. For at fastsl, om midler med rimelighed kan tnkes bragt i anvendelse til at identificere en fysisk person, br alle objektive forhold tages i betragtning, ssom omkostninger ved og tid der er ndvendig til identifikation, under hensyntagen til den tilgngelige teknologi p behandlingstidspunktet og den teknologiske udvikling. Databeskyttelsesprincipperne br derfor ikke glde for anonyme oplysninger, dvs. oplysninger, der ikke vedrrer en identificeret eller identificerbar fysisk person, eller for personoplysninger, som er gjort anonyme p en sdan mde, at den registrerede ikke eller ikke lngere kan identificeres. Denne forordning vedrrer derfor ikke behandling af sdanne anonyme oplysninger, herunder til statistiske eller forskningsmssige forml.

(27) Denne forordning finder ikke anvendelse p personoplysninger om afdde personer. Medlemsstaterne kan faststte regler for behandling af personoplysninger om afdde personer.

(28) Anvendelsen af pseudonymisering af personoplysninger kan mindske risikoen for de berrte registrerede og gre det lettere for dataansvarlige og databehandlere at opfylde deres databeskyttelsesforpligtelser. Det er ikke tanken med den udtrykkelige indfrelse af pseudonymisering i denne forordning at udelukke andre databeskyttelsesforanstaltninger.

(29) For at skabe incitamenter til anvendelse af pseudonymisering i forbindelse med behandling af personoplysninger br pseudonymiseringsforanstaltninger, som samtidig tillader en generel analyse, under den samme dataansvarlige vre mulige, nr den dataansvarlige har truffet de tekniske og organisatoriske foranstaltninger, der er ndvendige for at sikre, at denne forordning gennemfres for s vidt angr den pgldende behandling, og at yderligere oplysninger, der gr det muligt at henfre personoplysninger til en bestemt registreret, opbevares separat. Den dataansvarlige, som behandler personoplysningerne, br anfre de autoriserede personer under den samme dataansvarlige.


1007

(30) Fysiske personer kan tilknyttes onlineidentifikatorer, som tilvejebringes af deres enheder, applikationer, vrktjer og protokoller, ssom IP-adresser og cookieidentifikatorer, eller andre identifikatorer, ssom radiofrekvensidentifikationsmrker. Dette kan efterlade spor, der, navnlig nr de kombineres med unikke identifikatorer og andre oplysninger, som serverne modtager, kan bruges til at oprette profiler om fysiske personer og identificere dem.

(31) Offentlige myndigheder, til hvem personoplysninger videregives i overensstemmelse med en retlig forpligtelse i forbindelse med udvelsen af deres officielle hverv, ssom skatte- og toldmyndigheder, finansielle efterforskningsenheder, uafhngige administrative myndigheder eller finansielle markedsmyndigheder, der er ansvarlige for regulering af og tilsyn med vrdipapirmarkederne, br ikke betragtes som vrende modtagere, hvis de modtager personoplysninger, der er ndvendige som led i en isoleret foresprgsel af almen interesse i overensstemmelse med EU-retten eller medlemsstaternes nationale ret. Anmodninger om videregivelse af oplysninger sendt af offentlige myndigheder br altid vre skriftlige, begrundede og lejlighedsvise og br ikke vedrre et register som helhed eller fre til samkring af registre. Disse offentlige myndigheders behandling af personoplysninger br vre i overensstemmelse med de gldende databeskyttelsesregler afhngigt af formlet med behandlingen.

(32) Samtykke br gives i form af en klar bekrftelse, der indebrer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklring, herunder elektronisk, eller en mundtlig erklring. Dette kan f.eks. foreg ved at stte kryds i et felt ved besg p et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklring eller handling, der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslede behandling af vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet br derfor ikke udgre samtykke. Samtykke br dkke alle behandlingsaktiviteter, der udfres til det eller de samme forml. Nr behandling tjener flere forml, br der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen vre klar, kortfattet og ikke undigt forstyrre brugen af den tjeneste, som samtykke gives til.

(33) Det er ofte ikke muligt fuldt ud at fastlgge formlet med behandling af personoplysninger til videnskabelige forskningsforml, nr oplysninger indsamles. De registrerede br derfor kunne give deres samtykke til bestemte videnskabelige forskningsomrder, nr dette er i overensstemmelse med anerkendte etiske standarder for videnskabelig forskning. Registrerede br have mulighed for kun at give deres samtykke til bestemte forskningsomrder eller dele af forskningsprojekter i det omfang, det tilsigtede forml tillader det.

(34) Genetiske data br defineres som personoplysninger vedrrende en fysisk persons arvede eller erhvervede genetiske karakteristika, som foreligger efter en analyse af en biologisk prve fra den pgldende fysiske person, navnlig en analyse p kromosomniveau, af deoxyribonukleinsyre (DNA) eller af ribonukleinsyre (RNA), eller efter en analyse af et andet element til indhentning af lignende oplysninger.

(35) Helbredsoplysninger br omfatte alle personoplysninger om den registreredes helbredstilstand, som giver oplysninger om den registreredes tidligere, nuvrende eller fremtidige fysiske eller mentale helbredstilstand. Dette omfatter oplysninger om den fysiske person indsamlet i lbet af registreringen af denne med henblik p eller under levering af sundhedsydelser, jf. Europa-Parlamentets og Rdets direktiv 2011/24/EU (1), til den fysiske person; et nummer, symbol eller srligt mrke, der tildeles en fysisk person for entydigt at identificere den fysiske person til sundhedsforml; oplysninger, der hidrrer fra prver eller undersgelser af en legemsdel eller legemlig substans, herunder fra genetiske data og biologiske prver; og enhver oplysning om f.eks. en sygdom, et handicap, en sygdomsrisiko, en sygehistorie, en sundhedsfaglig behandling eller den registreredes fysiologiske eller biomedicinske tilstand uafhngigt af kilden hertil, f.eks. fra en lge eller anden sundhedsperson, et hospital, medicinsk udstyr eller in vitro-diagnostik.

(36) En dataansvarligs hovedvirksomhed i Unionen br vre stedet for dennes centrale administration i Unionen, medmindre der trffes beslutninger vedrrende forml og hjlpemidler i forbindelse med behandling af personoplysninger et andet sted i Unionen, hvor den dataansvarlige er etableret; i dette tilflde br dette andet sted


(1) Europa-Parlamentets og Rdets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grnseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).

10091008

anses for at vre hovedvirksomheden. En dataansvarligs hovedvirksomhed i Unionen br fastlgges ud fra objektive kriterier og br indebre effektiv og faktisk udvelse af ledelsesaktiviteter, der fastlgger de vigtigste beslutninger om behandlingsforml og -hjlpemidler gennem en mere permanent struktur. Dette kriterium br ikke afhnge af, om behandling af personoplysninger foretages p dette sted. Det forhold, at der findes og anvendes tekniske midler og teknologi til behandling af personoplysninger eller behandlingsaktiviteter, medfrer ikke i sig selv, at der er etableret en hovedvirksomhed, og er derfor ikke afgrende for kriteriet om hovedvirksomhed. Databehandlerens hovedvirksomhed br vre stedet for den pgldendes centrale administration i Unionen, eller hvis databehandleren ikke har nogen central administration i Unionen, det sted, hvor hovedbehandlingsaktiviteterne foregr i Unionen. I tilflde, der involverer bde den dataansvarlige og databehandleren, br den kompetente ledende tilsynsmyndighed fortsat vre tilsynsmyndigheden i den medlemsstat, hvor den dataansvarlige har sin hovedvirksomhed, men databehandlerens tilsynsmyndighed br anses for at vre en berrt tilsynsmyndighed, og denne tilsynsmyndighed br deltage i den samarbejdsprocedure, der er fastsat i denne forordning. Under alle omstndigheder br tilsynsmyndighederne i den eller de medlemsstater, hvor databehandleren har en eller flere etableringer, ikke anses for at vre berrte tilsynsmyndigheder, nr et udkast til afgrelse kun vedrrer den dataansvarlige. Foretages behandlingen af en koncern, br den kontrollerende virksomheds hovedvirksomhed anses for at vre koncernens hovedvirksomhed, medmindre forml og hjlpemidler fastlgges af en anden virksomhed.

(37) En koncern br omfatte en virksomhed, der udver kontrol, og de af denne kontrollerede virksomheder, hvor den kontrollerende virksomhed br vre den virksomhed, der kan udve bestemmende indflydelse p de vrige virksomheder, f.eks. i kraft af ejendomsret, finansiel deltagelse eller de regler, den er underlagt, eller befjelsen til at f gennemfrt regler om beskyttelse af personoplysninger. En virksomhed, der udver kontrol med behandlingen af personoplysninger i de virksomheder, der er knyttet til den, br sammen med disse virksomheder anses som en koncern.

(38) Brn br nyde srlig beskyttelse af deres personoplysninger, eftersom de ofte er mindre bevidste om de pgldende risici, konsekvenser og garantier og deres rettigheder for s vidt angr behandling af personoplysninger. En sdan srlig beskyttelse br navnlig glde for brug af brns personoplysninger med henblik p markedsfring eller til at oprette personligheds- eller brugerprofiler og indsamling af personoplysninger vedrrende brn, nr de anvender tjenester, der tilbydes direkte til et barn. Samtykke fra indehaveren af forldremyndigheden er ikke ndvendigt, nr det drejer sig om forebyggende eller rdgivende tjenester, der tilbydes direkte til et barn.

(39) Enhver behandling af personoplysninger br vre lovlig og rimelig. Det br vre gennemsigtigt for de pgldende fysiske personer, at personoplysninger, der vedrrer dem, indsamles, anvendes, tilgs eller p anden vis behandles, og i hvilket omfang personoplysningerne behandles eller vil blive behandlet. Princippet om gennemsigtighed tilsiger, at enhver information og kommunikation vedrrende behandling af disse personoplysninger er lettilgngelig og letforstelig, og at der benyttes et klart og enkelt sprog. Dette princip vedrrer navnlig oplysningen til de registrerede om den dataansvarliges identitet og formlene med den pgldende behandling samt yderligere oplysninger for at sikre en rimelig og gennemsigtig behandling for de berrte fysiske personer og deres ret til at f bekrftelse og meddelelse om de personoplysninger vedrrende dem, der behandles. Fysiske personer br gres bekendt med risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger og med, hvordan de skal udve deres rettigheder i forbindelse med en sdan behandling. Isr br de specifikke forml med behandlingen af personoplysninger vre udtrykkelige og legitime og fastlagt, nr personoplysningerne indsamles. Personoplysningerne br vre tilstrkkelige, relevante og begrnset til, hvad der er ndvendigt i forhold til formlene med deres behandling. Dette krver navnlig, at det sikres, at perioden for opbevaring af personoplysningerne ikke er lngere end strengt ndvendigt. Personoplysninger br kun behandles, hvis formlet med behandlingen ikke med rimelighed kan opfyldes p anden mde. For at sikre, at personoplysninger ikke opbevares i lngere tid end ndvendigt, br den dataansvarlige indfre tidsfrister for sletning eller periodisk gennemgang. Der br trffes enhver rimelig foranstaltning for at sikre, at personoplysninger, som er urigtige, berigtiges eller slettes. Personoplysninger br behandles p en mde, der garanterer tilstrkkelig sikkerhed og fortrolighed, herunder for at hindre uautoriseret adgang til eller anvendelse af personoplysninger eller af det udstyr, der anvendes til behandlingen.

(40) For at behandling kan betragtes som lovlig, br personoplysninger behandles p grundlag af den registreredes samtykke eller et andet legitimt grundlag, der er fastlagt ved lov enten i denne forordning eller i anden EU-ret


1009

eller i medlemsstaternes nationale ret, som omhandlet i denne forordning, herunder nr det er ndvendigt for overholdelse af de retlige forpligtelser, som phviler den dataansvarlige, eller behovet for opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til foranstaltninger, der trffes p dennes anmodning forud for indgelse af en sdan kontrakt.

(41) Nr denne forordning henviser til et retsgrundlag eller en lovgivningsmssig foranstaltning, krver det ikke ndvendigvis en lov, der er vedtaget af et parlament, med forbehold for krav i henhold til den forfatningsmssige orden i den pgldende medlemsstat. Et sdant retsgrundlag eller en sdan lovgivningsmssig foranstaltning br imidlertid vre klar(t) og prcis(t), og anvendelse heraf br vre forudsigelig for personer, der er omfattet af dets/dens anvendelsesomrde, jf. retspraksis fra Den Europiske Unions Domstol (Domstolen) og Den Europiske Menneskerettighedsdomstol.

(42) Hvis behandling er baseret p den registreredes samtykke, br den dataansvarlige kunne pvise, at den registrerede har givet samtykke til behandlingen. Navnlig i forbindelse med skriftlige erklringer om andre forhold br garantier sikre, at den registrerede er bekendt med, at og i hvilket omfang der er givet samtykke. I overensstemmelse med Rdets direktiv 93/13/EF (1) br der stilles en samtykkeerklring udformet af den dataansvarlige til rdighed i en letforstelig og lettilgngelig form og i et klart og enkelt sprog, og den br ikke indeholde urimelige vilkr. For at sikre, at samtykket er informeret, br den registrerede som minimum vre bekendt med den dataansvarliges identitet og formlene med den behandling, som personoplysningerne skal bruges til. Samtykke br ikke anses for at vre givet frivilligt, hvis den registrerede ikke har et reelt eller frit valg eller ikke kan afvise eller tilbagetrkke sit samtykke, uden at det er til skade for den pgldende.

(43) Med henblik p at sikre, at der frivilligt er givet samtykke, br samtykke ikke udgre et gyldigt retsgrundlag for behandling af personoplysninger i et specifikt tilflde, hvis der er en klar skvhed mellem den registrerede og den dataansvarlige, navnlig hvis den dataansvarlige er en offentlig myndighed, og det derfor er usandsynligt, at samtykket er givet frivilligt under hensyntagen til alle de omstndigheder, der kendetegner den specifikke situation. Samtykke formodes ikke at vre givet frivilligt, hvis det ikke er muligt at give srskilt samtykke til forskellige behandlingsaktiviteter vedrrende personoplysninger, selv om det er hensigtsmssigt i det enkelte tilflde, eller hvis opfyldelsen af en kontrakt, herunder ydelsen af en tjeneste, gres afhngig af samtykke, selv om et sdant samtykke ikke er ndvendigt for dennes opfyldelse.

(44) Behandling br anses for lovlig, nr den er ndvendig i forbindelse med en kontrakt eller en ptnkt indgelse af en kontrakt.

(45) Hvis behandling foretages i overensstemmelse med en retlig forpligtelse, som phviler den dataansvarlige, eller hvis behandling er ndvendig for at udfre en opgave i samfundets interesse, eller som henhrer under offentlig myndighedsudvelse, br behandlingen have retsgrundlag i EU-retten eller medlemsstaternes nationale ret. Denne forordning indebrer ikke, at der krves en specifik lov til hver enkelt behandling. Det kan vre tilstrkkeligt med en lov som grundlag for adskillige databehandlingsaktiviteter, som baseres p en retlig forpligtelse, som phviler den dataansvarlige, eller hvis behandling er ndvendig for at udfre en opgave i samfundets interesse, eller som henhrer under offentlig myndighedsudvelse. Det br ogs henhre under EU-retten eller medlemsstaternes nationale ret at fastlgge formlet med behandlingen. Endvidere kan dette retsgrundlag prcisere denne forordnings generelle betingelser for lovlig behandling af personoplysninger og nrmere prcisere, hvem den dataansvarlige er, hvilken type personoplysninger der skal behandles, de berrte registrerede, hvilke enheder personoplysningerne kan videregives til, formlsbegrnsninger, opbevaringsperiode og andre foranstaltninger til at sikre lovlig og rimelig behandling. Det br ligeledes henhre under EU-retten eller medlemsstaternes nationale ret at afgre, om den dataansvarlige, der udfrer en opgave i samfundets interesse eller i forbindelse med offentlig myndighedsudvelse, skal vre en offentlig myndighed eller en anden fysisk eller juridisk person, der er omfattet af offentlig ret, eller, hvis dette er i samfundets interesse, herunder sundhedsforml, ssom folkesundhed og social sikring samt forvaltning af sundhedsydelser, af privatret som f.eks. en erhvervssammenslutning.

(46) Behandling af personoplysninger, der er ndvendig for at beskytte et hensyn af fundamental betydning for den registreredes eller en anden fysisk persons liv, br ligeledes anses for lovlig. Behandling af personoplysninger p


(1) Rdets direktiv 93/13/EF af 5. april 1993 om urimelige kontraktvilkr i forbrugeraftaler (EFT L 95 af 21.4.1993, s. 29).

10111010

grundlag af en anden fysisk persons vitale interesser br i princippet kun finde sted, hvis behandlingen tydeligvis ikke kan baseres p et andet retsgrundlag. Nogle typer behandling kan tjene bde vigtige samfundsmssige interesser og den registreredes vitale interesser, f.eks. nr behandling er ndvendig af humanitre rsager, herunder med henblik p at overvge epidemier og deres spredning eller i humanitre ndsituationer, navnlig i tilflde af naturkatastrofer og menneskeskabte katastrofer.

(47) En dataansvarligs legitime interesser, herunder en dataansvarlig, som personoplysninger kan videregives til, eller en tredjemands legitime interesser kan udgre et retsgrundlag for behandling, medmindre den registreredes interesser eller grundlggende rettigheder og frihedsrettigheder gr forud herfor under hensyntagen til registreredes rimelige forventninger p grundlag af deres forhold til den dataansvarlige. For eksempel kan der foreligge sdanne legitime interesser, nr der er et relevant og passende forhold mellem den registrerede og den dataansvarlige, f.eks. hvis den registrerede er kunde hos eller gr tjeneste under den dataansvarlige. I alle tilflde krver tilstedevrelsen af en legitim interesse en nje vurdering, herunder af, om en registreret p tidspunktet for og i forbindelse med indsamling af personoplysninger med rimelighed kan forvente, at behandling med dette forml kan finde sted. Den registreredes interesser og grundlggende rettigheder kan navnlig g forud for den dataansvarliges interesser, hvis personoplysninger behandles under omstndigheder, hvor registrerede ikke med rimelighed forventer viderebehandling. Eftersom det er op til lovgiver ved lov at faststte retsgrundlaget for offentlige myndigheders behandling af personoplysninger, br dette retsgrundlag ikke glde for behandling, som offentlige myndigheder foretager som led i udfrelsen af deres opgaver. Behandling af personoplysninger, der er strengt ndvendig for at forebygge svig, udgr ogs en legitim interesse for den berrte dataansvarlige. Behandling af personoplysninger til direkte markedsfring kan anses for at vre foretaget i en legitim interesse.

(48) Dataansvarlige, der indgr i en koncern eller institutioner, som er tilknyttet et centralt organ, kan have en legitim interesse i at videregive personoplysninger inden for koncernen til interne administrative forml, herunder behandling af kunders eller medarbejderes personoplysninger. De generelle principper for overfrsler af personoplysninger inden for en koncern til en virksomhed i et tredjeland forbliver undrede.

(49) Behandling af personoplysninger i det omfang, det er strengt ndvendigt og forholdsmssigt for at sikre net- og informationssikkerhed, dvs. et nets eller et informationssystems evne til p et givet sikkerhedsniveau at kunne modst utilsigtede hndelser eller ulovlige eller ondsindede handlinger, som kompromitterer tilgngeligheden, autenticiteten, integriteten og fortroligheden af opbevarede eller transmitterede personoplysninger, og sikkerheden ved hermed forbundne tjenester udbudt af eller tilgngelige via sdanne net og systemer, der foretages af offentlige myndigheder, Computer Emergency Response Teams (CERT'er), Computer Security Incident Response Teams (CSIRT'er), udbydere af elektroniske kommunikationsnet og -tjenester og udbydere af sikkerhedsteknologier og -tjenester, udgr en legitim interesse for den berrte dataansvarlige. Behandlingen kan f.eks. have til forml at hindre uautoriseret adgang til elektroniske kommunikationsnet, distribution af ondsindet kode, standsning af overbelastningsangreb (denial of service-angreb) og beskadigelser af computersystemer og elektroniske kommunikationssystemer.

(50) Behandling af personoplysninger til andre forml end de forml, som personoplysningerne oprindelig blev indsamlet til, br kun tillades, hvis behandlingen er forenelig med de forml, som personoplysningerne oprindelig blev indsamlet til. I dette tilflde krves der ikke andet retsgrundlag end det, der begrundede indsamlingen af personoplysningerne. Hvis behandling er ndvendig for at udfre en opgave i samfundets interesse eller henhrer under offentlig myndighedsudvelse, som den dataansvarlige har fet plagt, kan EU-retten eller medlemsstaternes nationale ret faststte og prcisere de opgaver og forml, hvortil det br vre foreneligt og lovligt at foretage viderebehandling. Viderebehandling til arkivforml i samfundets interesse, til videnskabelige eller historiske forskningsforml eller til statistiske forml br anses for at vre forenelige lovlige behandlingsaktiviteter. Retsgrundlaget i EU-retten eller medlemsstaternes nationale ret for behandling af personoplysninger kan ogs udgre et retsgrundlag for viderebehandling. For at fastsl, om et forml med viderebehandling er foreneligt med det forml, som personoplysningerne oprindelig blev indsamlet til, br den dataansvarlige efter at have opfyldt alle kravene til lovlighed af den oprindelige behandling bl.a. tage hensyn til enhver forbindelse mellem disse forml og formlet med den ptnkte viderebehandling, den sammenhng, som personoplysningerne er blevet indsamlet i, navnlig de registreredes rimelige forventninger til den videre anvendelse heraf p grundlag af deres


1011

forhold til den dataansvarlige, personoplysningernes art, konsekvenserne af den ptnkte viderebehandling for de registrerede og tilstedevrelse af forndne garantier i forbindelse med bde de oprindelige og de ptnkte yderligere behandlingsaktiviteter.

Nr den registrerede har givet samtykke, eller behandlingen er baseret p EU-retten eller medlemsstaternes nationale ret, som udgr en ndvendig og forholdsmssig foranstaltning i et demokratisk samfund med henblik p at beskytte navnlig vigtige mlstninger af generel samfundsinteresse, br den dataansvarlige kunne viderebehandle personoplysningerne uafhngigt af formlenes forenelighed. Under alle omstndigheder br de principper, der faststtes i denne forordning, og navnlig information til den registrerede om disse andre forml og om vedkommendes rettigheder, herunder retten til at gre indsigelse, sikres. Hvis den dataansvarlige pviser mulige strafbare handlinger eller trusler mod den offentlige sikkerhed og videresender de relevante personoplysninger i enkelte eller flere sager, der vedrrer den samme strafbare handling eller trusler mod den offentlige sikkerhed, til en kompetent myndighed, br det anses som vrende i den dataansvarliges legitime interesse. En sdan videresendelse i den dataansvarliges legitime interesse eller viderebehandling af personoplysninger br forbydes, hvis behandlingen krnker en retlig eller anden bindende tavshedspligt.

(51) Personoplysninger, der i kraft af deres karakter er srligt flsomme i forhold til grundlggende rettigheder og frihedsrettigheder, br nyde specifik beskyttelse, da sammenhngen for behandling af dem kan indebre betydelige risici for grundlggende rettigheder og frihedsrettigheder. Disse personoplysninger br omfatte personoplysninger om race eller etnisk oprindelse, idet anvendelsen af udtrykket race i denne forordning ikke betyder, at Unionen accepterer teorier, der sger at fastsl, at der findes forskellige menneskeracer. Behandling af fotografier br ikke systematisk anses for at vre behandling af srlige kategorier af personoplysninger, eftersom de kun vil vre omfattet af definitionen af biometriske data, nr de behandles ved en specifik teknisk fremgangsmde, der muliggr entydig identifikation eller autentifikation af en fysisk person. Sdanne personoplysninger br ikke behandles, medmindre behandling er tilladt i specifikke tilflde, der er fastsat i denne forordning, under hensyntagen til at medlemsstaternes nationale ret kan faststte specifikke bestemmelser om databeskyttelse for at tilpasse anvendelsen af reglerne i denne forordning med henblik p overholdelse af en retlig forpligtelse eller udfrelse af en opgave i samfundets interesse eller henhrende under offentlig myndighedsudvelse, som den dataansvarlige har fet plagt. Foruden de specifikke krav til sdan behandling br de generelle principper og andre regler i denne forordning finde anvendelse, navnlig for s vidt angr betingelserne for lovlig behandling. Der br udtrykkelig gives mulighed for undtagelser fra det generelle forbud mod behandling af sdanne srlige kategorier af personoplysninger, bl.a. hvis den registrerede giver sit udtrykkelige samtykke eller for s vidt angr specifikke behov, navnlig hvis behandling foretages i forbindelse med visse sammenslutningers eller stiftelsers legitime aktiviteter, hvis forml er at muliggre udvelse af grundlggende frihedsrettigheder.

(52) Der br ogs gives mulighed for at fravige forbuddet mod at behandle srlige kategorier af personoplysninger, nr det er fastsat i EU-retten eller medlemsstaternes nationale ret og er omfattet af de forndne garantier, sledes at personoplysninger og andre grundlggende rettigheder beskyttes, hvis dette er i samfundets interesse, navnlig behandling af personoplysninger inden for ansttelsesret, socialret, herunder pensioner og med henblik p sundhedssikkerhed, overvgning og varsling, forebyggelse eller kontrol af overfrbare sygdomme og andre alvorlige trusler mod sundheden. En sdan fravigelse kan ske til sundhedsforml, herunder folkesundhed og forvaltning af sundhedsydelser, isr for at sikre kvaliteten og omkostningseffektiviteten af de procedurer, der anvendes til afregning i forbindelse med ydelser og tjenester inden for sygesikringsordninger, eller til arkivforml i samfundets interesse, til videnskabelige eller historiske forskningsforml eller til statistiske forml. En fravigelse br desuden gre det muligt at behandle sdanne personoplysninger, hvis det er ndvendigt, for at retskrav kan fastsls, gres gldende eller forsvares, uanset om det er i forbindelse med en retssag eller en administrativ eller udenretslig procedure.

(53) Srlige kategorier af personoplysninger, som br nyde hjere beskyttelse, br kun behandles til sundhedsmssige forml, nr det er ndvendigt for at opfylde disse forml til gavn for fysiske personer og samfundet som helhed, navnlig i forbindelse med forvaltning af sundheds- eller socialydelser og -systemer, herunder administrationens og centrale nationale sundhedsmyndigheders behandling af sdanne oplysninger med henblik p kvalitetskontrol, ledelsesinformation og det generelle nationale og lokale tilsyn med sundheds- eller socialsystemet, og for at sikre kontinuitet inden for sundheds- eller socialforsorg og sundhedsydelser p tvrs af grnserne eller med henblik p sundhedssikkerhed, overvgning og varsling eller til arkivforml i samfundets interesse, til videnskabelige eller historiske forskningsforml eller til statistiske forml baseret p EU-retten eller medlemsstaternes nationale ret, og som skal opfylde et forml af offentlig interesse, samt studier, der foretages i samfundets interesse p folkesundhedsomrdet. Denne forordning br derfor faststte harmoniserede betingelser for behandling af srlige kategorier af personoplysninger om helbredsforhold for s vidt angr specifikke behov, navnlig hvis behandlingen af sdanne oplysninger foretages til visse sundhedsmssige forml af personer, der er underlagt tavshedspligt.


10131012

EU-retten eller medlemsstaternes nationale ret br omfatte specifikke og passende foranstaltninger til at beskytte fysiske personers grundlggende rettigheder og personoplysninger. Medlemsstaterne br kunne opretholde eller indfre yderligere betingelser, herunder begrnsninger, for behandling af genetiske data, biometriske data eller helbredsoplysninger. Dette br dog ikke hmme den frie udveksling af personoplysninger i Unionen, nr disse betingelser finder anvendelse p grnseoverskridende behandling af sdanne oplysninger.

(54) Behandling af srlige kategorier af personoplysninger kan vre ndvendig af hensyn til samfundsinteresser hvad angr folkesundhed uden den registreredes samtykke. En sdan behandling br vre underlagt passende og specifikke foranstaltninger med henblik p at beskytte fysiske personers rettigheder og frihedsrettigheder. I denne sammenhng fortolkes folkesundhed som defineret i Europa-Parlamentets og Rdets forordning (EF) nr. 1338/2008 (1), dvs. alle elementer vedrrende sundhed, nemlig helbredstilstand, herunder sygelighed og invaliditet, determinanter med en indvirkning p helbredstilstanden, behov for sundhedspleje, ressourcer tildelt sundhedsplejen, ydelse af og almen adgang til sundhedspleje, udgifter til og finansiering af sundhedspleje samt ddsrsager. Sdan behandling af helbredsoplysninger af hensyn til samfundsinteresser br ikke medfre, at tredjemnd ssom arbejdsgivere eller forsikringsselskaber og pengeinstitutter behandler personoplysninger til andre forml.

(55) Offentlige myndigheders behandling af personoplysninger med henblik p at forflge officielt anerkendte religise sammenslutningers mlstninger, der er fastsat ved forfatningsretten eller ved folkeretten, foretages ogs i samfundets interesse.

(56) Hvis det i forbindelse med afholdelse af valg i en medlemsstat er ndvendigt, for at det demokratiske system kan fungere, at politiske partier indsamler personoplysninger om enkeltpersoners politiske holdninger, kan behandling af sdanne oplysninger tillades af hensyn til varetagelsen af samfundsinteresser, sfremt forndne garantier er etableret.

(57) Hvis de personoplysninger, der behandles af en dataansvarlig, ikke stter den dataansvarlige i stand til at identificere en fysisk person, br den dataansvarlige ikke vre forpligtet til at indhente yderligere oplysninger for at identificere den registrerede udelukkende med det forml at overholde bestemmelserne i denne forordning. Den dataansvarlige br dog ikke ngte at tage imod yderligere oplysninger fra den registrerede, som han eller hun giver med henblik p udvelsen af sine rettigheder. Identifikation br omfatte digital identifikation af en registreret, for eksempel gennem en autentifikationsmekanisme, ssom de samme legitimationsoplysninger, som den registrerede anvender til at logge p den onlinetjeneste, der tilbydes af den dataansvarlige.

(58) Princippet om gennemsigtighed krver, at enhver oplysning, som er rettet til offentligheden eller den registrerede, er kortfattet, lettilgngelig og letforstelig, og at der benyttes et klart og enkelt sprog og endvidere, hvis det er passende, visualisering. Sdanne oplysninger kan gres tilgngelige i elektronisk form, f.eks. nr de er rettet mod offentligheden, via et websted. Dette er isr relevant i situationer, hvor den hastige vkst i antallet af aktrer og den anvendte teknologis kompleksitet gr det vanskeligt for den registrerede at vide og forst, om, af hvem og til hvilket forml der indsamles personoplysninger om vedkommende, ssom i forbindelse med annoncering p internettet. Eftersom brn br nyde srlig beskyttelse, br alle oplysninger og meddelelser, hvis behandling er rettet mod et barn, vre i et s klart og enkelt sprog, at et barn let kan forst dem.

(59) Der br faststtes nrmere regler, som kan lette udvelsen af de registreredes rettigheder i henhold til denne forordning, herunder mekanismer til at anmode om og i givet fald opn navnlig gratis indsigt i og berigtigelse eller sletning af personoplysninger og udvelsen af retten til indsigelse. Den dataansvarlige br ogs give mulighed for elektroniske anmodninger, navnlig hvis personoplysninger behandles elektronisk. Den dataansvarlige br vre forpligtet til at besvare sdanne anmodninger fra en registreret uden undig forsinkelse og senest inden for en mned og begrunde det, hvis vedkommende ikke agter at imdekomme sdanne anmodninger.


(1) Europa-Parlamentets og Rdets forordning (EF) nr. 1338/2008 af 16. december 2008 om fllesskabsstatistikker over folkesundhed og arbejdsmilj (EUT L 354 af 31.12.2008, s. 70).

1013

(60) Principperne om rimelig og gennemsigtig behandling krver, at den registrerede informeres om behandlingsaktiviteters eksistens og deres forml. Den dataansvarlige br give den registrerede eventuelle yderligere oplysninger, der er ndvendige for at sikre en rimelig og gennemsigtig behandling, under hensyntagen til de specifikke omstndigheder og forhold, som personoplysningerne behandles under. Den registrerede br desuden informeres om tilstedevrelse af profilering og konsekvenserne heraf. Hvis personoplysninger indsamles fra den registrerede, br den registrerede ogs informeres om, hvorvidt den pgldende er forpligtet til at meddele personoplysningerne, og om konsekvenserne, hvis vedkommende ikke meddeler sdanne oplysninger. Denne information kan gives sammen med standardiserede ikoner med henblik p at give et meningsfuldt overblik over den planlagte behandling p en klart synlig, letlselig og letforstelig mde. Hvis ikonerne prsenteres elektronisk, br de vre maskinlsbare.

(61) Oplysninger om behandling af personoplysninger br gives til den registrerede p tidspunktet for indsamlingen fra den registrerede, eller hvis personoplysningerne indhentes fra en anden kilde, inden for en rimelig periode afhngigt af de konkrete omstndigheder. Hvis personoplysninger lovligt kan videregives til en anden modtager, br den registrerede informeres, nr personoplysningerne frste gang videregives til modtageren. Hvis den dataansvarlige agter at behandle personoplysningerne til et andet forml end det, hvortil de er indsamlet, br den dataansvarlige forud for denne viderebehandling give den registrerede oplysninger om dette andet forml og andre ndvendige oplysninger. Hvis den registrerede ikke kan informeres om personoplysningernes oprindelse, fordi der er anvendt forskellige kilder, br der gives generelle oplysninger.

(62) Det er imidlertid ikke ndvendigt at plgge forpligtelsen til at give information, hvis den registrerede allerede er bekendt med oplysningerne, hvis registrering eller videregivelse af personoplysningerne udtrykkelig er fastsat ved lov, eller hvis det viser sig at vre umuligt eller vil krve en uforholdsmssigt stor indsats at underrette den registrerede. Sidstnvnte kan navnlig vre tilfldet i forbindelse med behandling til arkivforml i samfundets interesse, til videnskabelige eller historiske forskningsforml eller til statistiske forml. I denne forbindelse br der tages hensyn til antallet af registrerede, oplysningernes alder og eventuelle forndne garantier, der er stillet.

(63) En registreret br have ret til indsigt i personoplysninger, der er indsamlet om vedkommende, og til let og med rimelige mellemrum at udve denne ret med henblik p at forvisse sig om og kontrollere en behandlings lovlighed. Dette omfatter registreredes ret til indsigt i deres helbredsoplysninger, f.eks. data i deres lgejournaler om diagnoser, undersgelsesresultater, lgelige vurderinger samt enhver behandling og ethvert indgreb, der er foretaget. Enhver registreret br derfor have ret til at kende og blive underrettet om navnlig de forml, hvortil personoplysningerne behandles, om muligt perioden, hvor personoplysningerne behandles, modtagerne af personoplysningerne, logikken der ligger bag en automatisk behandling af personoplysninger, og om konsekvenserne af sdan behandling, i hvert fald nr den er baseret p profilering. Hvis det er muligt, br den dataansvarlige kunne give fjernadgang til et sikkert system, der giver den registrerede direkte adgang til vedkommendes personoplysninger. Denne ret br ikke krnke andres rettigheder eller frihedsrettigheder, herunder forretningshemmeligheder eller intellektuel ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af. Denne vurdering br dog ikke resultere i en afvisning af at give al information til den registrerede. Hvis den dataansvarlige behandler en stor mngde oplysninger om den registrerede, br den dataansvarlige kunne anmode om, at den registrerede, inden informationen gives, prciserer den information eller de behandlingsaktiviteter, som anmodningen vedrrer.

(64) Den dataansvarlige br trffe alle rimelige foranstaltninger for at bekrfte identiteten af en registreret, som anmoder om indsigt, navnlig i forbindelse med onlinetjenester og onlineidentifikatorer. En dataansvarlig br ikke opbevare personoplysninger alene for at kunne reagere p mulige anmodninger.

(65) En registreret br have ret til at f berigtiget sine personoplysninger og ret til at blive glemt, hvis opbevaringen af sdanne oplysninger overtrder denne forordning eller EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt. En registreret br navnlig have ret til at f sine personoplysninger slettet og ikke lngere behandlet, hvis personoplysningerne ikke lngere er ndvendige til de forml, hvortil de er blevet indsamlet eller p anden mde behandlet, hvis en registreret har trukket sit samtykke tilbage eller gr indsigelse mod behandling af personoplysninger om vedkommende, eller hvis behandlingen af vedkommendes personoplysninger i vrigt ikke er i overensstemmelse med denne forordning. Denne ret er navnlig relevant, nr den


10151014

registrerede har givet sit samtykke som barn og ikke er fuldt ud var bekendt med risiciene i forbindelse med behandling, og senere nsker at fjerne sdanne personoplysninger, srligt p internettet. Den registrerede br kunne udve denne rettighed, uanset om vedkommende ikke lngere er et barn. Yderligere opbevaring af personoplysningerne br dog vre lovlig, hvis det er ndvendigt for at udve retten til ytrings- og informationsfrihed, for at overholde en retlig forpligtelse, for udfrelsen af en opgave i samfundets interesse eller som henhrer under offentlig myndighedsudvelse, som den dataansvarlige har fet plagt, af hensyn til samfundsinteresser p folkesundhedsomrdet, til arkivforml i samfundets interesse, til videnskabelige eller historiske forskningsforml eller statistiske forml, eller for at retskrav kan fastlgges, gres gldende eller forsvares.

(66) For at styrke retten til at blive glemt i onlinemiljet br retten til sletning udvides, s en dataansvarlig, der har offentliggjort personoplysninger, forpligtes til at underrette de dataansvarlige, der behandler sdanne personoplysninger, med henblik p at f slettet alle link til, kopier af eller gengivelser af disse personoplysninger. I den forbindelse br den dataansvarlige tage rimelige skridt under hensyntagen til den tilgngelige teknologi og de midler, som den dataansvarlige har til sin rdighed, herunder tekniske foranstaltninger, til at informere de dataansvarlige, der behandler personoplysningerne, om den registreredes anmodning.

(67) Metoder til at begrnse behandlingen af personoplysninger kan bl.a. omfatte, at udvalgte oplysninger midlertidig flyttes til et andet behandlingssystem, at udvalgte personoplysninger gres utilgngelige for brugere, eller at offentliggjorte oplysninger midlertidig fjernes fra et websted. I automatiske registre br begrnsning af behandling i princippet sikres ved hjlp af tekniske midler p en sdan mde, at personoplysningerne ikke kan viderebehandles og ikke kan ndres. Det forhold, at behandling af personoplysninger er begrnset, br angives tydeligt i systemet.

(68) For at give den registrerede get kontrol over sine personoplysninger br vedkommende, nr behandling af personoplysninger foretages automatisk, ogs kunne modtage personoplysninger vedrrende vedkommende, som vedkommende har givet til en dataansvarlig, i et struktureret, almindeligt anvendt, maskinlsbart og indbyrdes kompatibelt format og kunne transmittere dem til en anden dataansvarlig. Dataansvarlige br opfordres til at udvikle indbyrdes kompatible formater, der muliggr dataportabilitet. Denne ret br glde, hvis den registrerede har givet personoplysningerne p grundlag af sit samtykke, eller hvis behandlingen er ndvendig for opfyldelsen af en kontrakt. Den br ikke glde, hvis behandlingen er baseret p et andet retsgrundlag end samtykke eller kontrakt. Denne ret br p grund af selve sin karakter ikke udves over for dataansvarlige, der behandler personoplysninger under udvelsen af deres

Documents

Databeskyttelsesforordningenjustitsministeriet.dk/sites/default/files/media/Pressemeddelelser/... · Databeskyttelsesforordningen – og de retlige rammer for dansk lovgivning Betænkning