Søk i innholdsfortegnelse

Lov om behandling av personopplysninger (personopplysningsloven)

Dato	LOV-2018-06-15-38
Departement	Justis- og beredskapsdepartementet
Sist endret	LOV-2021-06-18-124 fra 01.01.2022
Ikrafttredelse	20.07.2018
Endrer	LOV-2000-04-14-31
Kunngjort	15.06.2018
Rettet	09.01.2025 (fjernet faglige noter)
Korttittel	Personopplysningsloven
EØS/EU/Schengen	EØS-avtalen vedlegg XI nr. 5e (forordning (EU) 2016/679)

Jf. tidligere lov 14. april 2000 nr. 31. Jf. personvernforordningen, også omtalt som GDPR og PVF.

Kapitteloversikt:

Kapittel 1. Personvernforordningen

§ 1.Gjennomføring av personvernforordningen

EØS-avtalen vedlegg XI nr. 5e (forordning (EU) 2016/679) om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) gjelder som lov med de tilpasningene som følger av vedlegg XI, protokoll 1 og avtalen for øvrig.

Kapittel 2. Lovens saklige og geografiske virkeområde

§ 2.Saklig virkeområde og forholdet til andre lover

Loven og personvernforordningen gjelder ved helt eller delvis automatisert behandling av personopplysninger og ved ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register. Loven og personvernforordningen gjelder ikke når annet er bestemt i eller med hjemmel i lov.

Loven og personvernforordningen gjelder ikke

a.	ved behandling av personopplysninger som utføres av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter

b.	for saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.).

Personvernforordningen artikkel 56 og kapittel VII gjelder bare innenfor EØS-avtalens virkeområde.

Bestemmelsene i personvernforordningen går i tilfelle konflikt foran bestemmelser i annen lov som regulerer samme forhold, jf. EØS-loven § 2.

Kongen kan gi forskrift om at loven eller deler av den ikke skal gjelde for bestemte institusjoner og saksområder.

§ 3.Forholdet til ytrings- og informasjonsfriheten

Så langt det er nødvendig for utøvelsen av retten til ytrings- og informasjonsfrihet, gjelder ikke personvernforordningen og loven her ved behandling av personopplysninger for journalistiske formål eller med henblikk på akademiske, kunstneriske eller litterære ytringer. Ved vurderingen av i hvilken utstrekning personvernforordningen og loven her gjelder ved behandlingen, skal det særlig tas hensyn til

a.	samfunnets interesse i behandlingen eller ytringer den leder frem til

b.	atferdsnormer, etiske retningslinjer og selvdømmeordninger eller lignende som bidrar til å ivareta den registrertes personvern ved behandlingen

c.	negative konsekvenser en anvendelse av bestemmelser i personvernforordningen eller loven her kan få for utøvelsen av ytrings- og informasjonsfriheten

d.	konsekvensene behandlingen kan få for den registrerte, og om den registrerte har et særskilt behov for vern.

Uavhengig av hva som følger av første ledd, kan det ikke gjøres unntak fra personvernforordningen artikkel 24, 26, 28, 29, 32, 33 nr. 2 og 40 til 43, jf. kapittel I, VI, VIII, X og XI og kapittel 1, 2, 6 og 7 i loven her.

Når medier som er omfattet av medieansvarsloven, behandler personopplysninger utelukkende for formålene som nevnt i første ledd, gjelder kun bestemmelsene som nevnt i annet ledd.

0	Endret ved lov 18 juni 2021 nr. 124 (ikr. 1 jan 2022 iflg. res. 18 juni 2021 nr. 1967).

§ 4.Geografisk virkeområde

Loven og personvernforordningen gjelder for behandling av personopplysninger som utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller en databehandler i Norge, uavhengig av om behandlingen finner sted i EØS eller ikke.

Loven og personvernforordningen gjelder for behandling av personopplysninger om registrerte som befinner seg i Norge, og som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i EØS, dersom behandlingen er knyttet til

a.	tilbud av varer eller tjenester til slike registrerte i Norge, uavhengig av om det kreves betaling fra den registrerte eller ikke, eller

b.	monitorering av deres atferd, i den grad deres atferd finner sted i Norge.

Loven og personvernforordningen gjelder også for behandling av personopplysninger som utføres av en behandlingsansvarlig som ikke er etablert i Norge, men på et sted der norsk rett får anvendelse i henhold til folkeretten.

Kongen kan i forskrift bestemme at loven og personvernforordningen helt eller delvis skal gjelde for Svalbard og Jan Mayen, og fastsette særlige regler om behandling av personopplysninger for disse områdene.

Kapittel 3. Utfyllende regler om behandling av personopplysninger

§ 5.Barns samtykke i forbindelse med informasjonssamfunnstjenester

Aldersgrensen er 13 år for samtykke etter personvernforordningen artikkel 6 nr. 1 bokstav a i forbindelse med formål som nevnt i personvernforordningen artikkel 8 nr. 1.

§ 6.Behandling av særlige kategorier av personopplysninger i arbeidsforhold

Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter.

§ 7.Behandling av særlige kategorier av personopplysninger etter tillatelse eller forskrift

Datatilsynet kan i særlige tilfeller gi tillatelse til å behandle personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 dersom behandling er nødvendig av hensyn til viktige allmenne interesser. Datatilsynet skal fastsette vilkår for å verne den registrertes grunnleggende rettigheter og interesser.

Kongen kan i forskrift åpne for behandling av personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 når det er nødvendig av hensyn til viktige allmenne interesser. I en slik forskrift skal det fastsettes egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.

§ 8.Behandling av personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål

Personopplysninger kan behandles på grunnlag av personvernforordningen artikkel 6 nr. 1 bokstav e dersom det er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.

§ 9.Behandling av særlige kategorier av personopplysninger uten samtykke for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål

Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles uten samtykke fra den registrerte dersom behandlingen er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål og samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.

Før det foretas behandling på grunnlag av første ledd, skal den behandlingsansvarlige rådføre seg med personvernombudet etter personvernforordningen artikkel 37 eller en annen som oppfyller vilkårene i personvernforordningen artikkel 37 nr. 5 og 6 og artikkel 38 nr. 3 første og annet punktum. Ved rådføringen skal det vurderes om behandlingen vil oppfylle kravene i personvernforordningen og øvrige bestemmelser fastsatt i eller med hjemmel i loven her. Rådføringsplikten gjelder likevel ikke dersom det er utført en vurdering av personvernkonsekvenser etter personvernforordningen artikkel 35.

Kongen kan gi forskrift om behandling av særlige kategorier av personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål.

§ 10.Rådføringsplikt før behandling av særlige kategorier av personopplysninger for forskningsformål på grunnlag av samtykke

Rådføringsplikten etter § 9 annet ledd gjelder tilsvarende når personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 skal behandles for vitenskapelige eller historiske forskningsformål på grunnlag av den registrertes samtykke.

§ 11.Behandling av personopplysninger om straffedommer og lovovertredelser mv.

Personvernforordningen artikkel 9 nr. 2 bokstav a og c til f samt §§ 6, 7 og 9 i loven her gjelder tilsvarende for behandling av personopplysninger som nevnt i personvernforordningen artikkel 10 som ikke utføres under en offentlig myndighets kontroll. Omfattende registre over straffedommer kan bare føres under en offentlig myndighets kontroll.

Rådføringsplikten etter § 9 annet ledd gjelder tilsvarende også når personopplysninger som nevnt i personvernforordningen artikkel 10 skal behandles for vitenskapelige eller historiske forskningsformål på grunnlag av

a.	den registrertes samtykke, uten hensyn til om behandlingen utføres under en offentlig myndighets kontroll eller ikke

b.	§ 8 i loven her, dersom behandlingen utføres under en offentlig myndighets kontroll.

§ 12.Bruk av fødselsnummer og andre entydige identifikasjonsmidler

Fødselsnummer og andre entydige identifikasjonsmidler kan bare behandles når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.

Kongen kan gi forskrift om bruk av fødselsnummer og andre entydige identifikasjonsmidler.

§ 12 a.Adgang for offentlige myndigheter til å utlevere personopplysninger i arbeidet mot arbeidslivskriminalitet

Offentlige myndigheter kan utlevere personopplysninger til hverandre når det er nødvendig for å forebygge, avdekke, forhindre eller sanksjonere arbeidslivskriminalitet. Første punktum gjelder ikke personopplysninger som nevnt i personvernforordningen artikkel 9. Departementet kan i forskrift gi nærmere regler om hvilke offentlige myndigheter som kan utveksle personopplysninger etter bestemmelsen her.

Første ledd gjelder ikke der noe annet er bestemt i eller i medhold av lov og gir ikke adgang til utlevering av opplysninger som er omfattet av lovbestemt taushetsplikt.

0	Tilføyd ved lov 20 des 2018 nr. 116 (ikr. 20 des 2018 iflg. res. 20 des 2018 nr. 2093).

§ 13.Forskrifter om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner

Kongen kan gi forskrift om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner.

§ 14.Forskrifter om forhåndsdrøfting og forhåndsgodkjenning

Kongen kan gi forskrift om forhåndsdrøfting med Datatilsynet og om forhåndsgodkjenning fra Datatilsynet.

§ 15.Forskrifter om gjennomføring av delegerte rettsakter og gjennomføringsrettsakter

Kongen kan gi forskrift om gjennomføring av delegerte rettsakter og gjennomføringsrettsakter.

Kapittel 4. Unntak fra den registrertes rettigheter

§ 16.Unntak fra retten til informasjon og innsyn og plikten til underretning om brudd på personopplysningssikkerheten

Retten til informasjon og innsyn etter personvernforordningen artikkel 13, 14 og 15 omfatter ikke opplysninger som

a.	er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser, når den behandlingsansvarlige kan unnta opplysningene etter offentleglova §§ 20 eller 21

b.	det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger

c.	det må anses utilrådelig at den registrerte får kjennskap til av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær

d.	i lov eller med hjemmel i lov er underlagt taushetsplikt

e.	utelukkende finnes i tekst som er utarbeidet for intern saksforberedelse, og som heller ikke er utlevert til andre, så langt det er nødvendig å nekte innsyn for å sikre forsvarlige interne avgjørelsesprosesser

f.	det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om.

Opplysninger som nevnt i første ledd bokstav c kan på anmodning likevel gjøres kjent for en representant for den registrerte når ikke særlige grunner taler mot det.

Den som nekter å gi innsyn i medhold av første ledd, må begrunne dette skriftlig og gi en presis henvisning til unntakshjemmelen. Dersom innsyn nektes på grunnlag av første ledd bokstav f, skal det også angis hvilke hensyn som begrunner hemmelighold.

Plikten til å underrette den registrerte om brudd på personopplysningssikkerheten etter personvernforordningen artikkel 34 gjelder ikke i den utstrekning en slik underretning vil røpe opplysninger som nevnt i første ledd bokstav a, b og d.

Kongen kan gi forskrift om unntak fra og nærmere vilkår for informasjons- og innsynsrett og underretning om brudd på personopplysningssikkerheten.

§ 17.Unntak fra den registrertes rettigheter ved behandling av personopplysninger for arkivformål i allmennhetens interesse, vitenskapelige eller historiske forskningsformål og statistiske formål

Retten til innsyn etter personvernforordningen artikkel 15 gjelder ikke for behandling av personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål i samsvar med personvernforordningen artikkel 89 nr. 1 så langt

a.	det vil kreve en uforholdsmessig stor innsats å gi innsyn eller

b.	innsynsrett sannsynligvis vil gjøre det umulig eller i alvorlig grad hindre at målene med behandlingen nås.

Retten til retting og begrensning av behandling etter personvernforordningen artikkel 16 og 18 gjelder ikke for behandling for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål i samsvar med personvernforordningen artikkel 89 nr. 1 så langt rettighetene sannsynligvis vil gjøre det umulig eller i alvorlig grad hindre at målene med behandlingen nås.

Første og annet ledd gjelder ikke dersom behandlingen får rettsvirkninger eller direkte faktiske virkninger for den registrerte.

Kapittel 5. Personvernombud

§ 18.Personvernombudets taushetsplikt

Personvernombud plikter å hindre at andre får adgang eller kjennskap til det de i forbindelse med utførelsen av sine oppgaver får vite om

a.	noens personlige forhold

b.	tekniske innretninger, produksjonsmetoder, forretningsmessige analyser og beregninger og forretningshemmeligheter ellers når opplysningene er av en slik art at andre kan utnytte dem i sin egen næringsvirksomhet

c.	sikkerhetstiltak etter personvernforordningen artikkel 32

d.	enkeltpersoners varsling om overtredelser av loven her.

Taushetsplikten gjelder ikke dersom personvernombudet får samtykke fra den opplysningene gjelder, til å legge dem frem, eller dette er nødvendig for gjennomføring av personvernombudets lovpålagte oppgaver.

Taushetsplikten gjelder også etter at personvernombudet har avsluttet tjenesten eller arbeidet. Opplysninger som nevnt i denne paragraf kan heller ikke utnyttes i egen virksomhet eller i tjeneste eller arbeid for andre.

§ 19.Forskrifter om plikt til å utpeke personvernombud

Kongen kan gi forskrift om plikt til å utpeke personvernombud.

Kapittel 6. Tilsyn og klage

§ 20.Datatilsynet

Datatilsynet er tilsynsmyndighet etter personvernforordningen artikkel 51 og er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. Datatilsynet kan ikke instrueres om behandlingen av enkeltsaker eller om den faglige virksomheten for øvrig. Kongen og departementet kan ikke omgjøre Datatilsynets vedtak.

Datatilsynet ledes av en direktør som utnevnes av Kongen. Kongen kan gi forskrift om at direktøren for Datatilsynet skal ansettes på åremål, om lengden på åremålet og om adgangen til gjenutnevnelse.

Datatilsynets myndighet etter personvernforordningen artikkel 58 gjelder tilsvarende for tilsyn med overholdelsen av

a.	bestemmelser i loven her og i forskrifter gitt med hjemmel i loven her

b.	bestemmelser om behandling av personopplysninger i andre lover og forskrifter, så langt behandlingen faller innenfor lovens og personvernforordningens virkeområde etter § 2.

Kongen kan gi forskrift om dekning av Datatilsynets kostnader ved kontroll.

§ 21.Årsrapport fra Datatilsynet

Datatilsynet skal sende sin årlige rapport etter personvernforordningen artikkel 59 til Kongen, som legger rapporten frem for Stortinget.

§ 22.Personvernnemnda

Personvernnemnda er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. Nemnda kan ikke instrueres om behandlingen av enkeltsaker eller om den faglige virksomheten for øvrig. Kongen og departementet kan ikke omgjøre nemndas vedtak.

Personvernnemnda avgjør klager over Datatilsynets vedtak med mindre noe annet er særskilt fastsatt. Datatilsynets vedtak etter personvernforordningen artikkel 56 og kapittel VII kan ikke påklages til Personvernnemnda.

Personvernnemnda har syv medlemmer med personlige varamedlemmer. Medlemmene og varamedlemmene utnevnes av Kongen for fire år, med adgang til gjenutnevning for ytterligere fire år. Det skal være en leder og nestleder, som begge skal ha juridisk embetseksamen eller mastergrad i rettsvitenskap.

Personvernnemnda kan bestemme at klager som må avgjøres raskt, skal kunne avgjøres av lederen eller nestlederen sammen med to andre nemndsmedlemmer.

Personvernnemnda skal årlig orientere Kongen om sin virksomhet.

Kongen kan gi forskrift om Personvernnemndas organisering og saksbehandling.

§ 23.Tilgang til opplysninger

Datatilsynet skal utøve sin undersøkelsesmyndighet etter personvernforordningen artikkel 58 nr. 1 uten hinder av taushetsplikt.

Personvernnemnda kan utøve myndighet etter personvernforordningen artikkel 58 nr. 1 bokstav a. Dette skal skje uten hinder av taushetsplikt.

Behandling av personopplysninger som er nødvendig av hensynet til rikets eller alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser, er unntatt fra personvernforordningen artikkel 58 nr. 1. Ved uenighet mellom den behandlingsansvarlige og Datatilsynet om utstrekningen av første punktum avgjøres spørsmålet av Personvernnemnda.

§ 24.Taushetsplikt

Bestemmelsene om taushetsplikt i forvaltningsloven § 13 flg. gjelder for ansatte i Datatilsynet, medlemmene i Personvernnemnda og alle andre som utfører tjeneste eller arbeid for Datatilsynet eller Personvernnemnda. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak etter personvernforordningen artikkel 32 og enkeltpersoners varsling om overtredelser av loven her.

Datatilsynet kan uten hinder av taushetsplikten etter første ledd gi opplysninger til utenlandske tilsynsmyndigheter når det er nødvendig for at en tilsynsmyndighet som omfattes av forordningen, skal kunne treffe vedtak som et ledd i tilsynsvirksomheten.

§ 25.Partsstilling

Datatilsynet opptrer som part på vegne av staten i søksmål som er knyttet til tilsynsvirksomheten.

Søksmål om gyldigheten av Personvernnemndas vedtak rettes mot staten ved Personvernnemnda.

Kapittel 7. Sanksjoner og tvangsmulkt

§ 26.Overtredelsesgebyr

Personvernforordningen artikkel 83 nr. 4 gjelder tilsvarende for overtredelser av personvernforordningen artikkel 10 og artikkel 24.

Datatilsynet kan ilegge offentlige myndigheter og organer overtredelsesgebyr etter reglene i personvernforordningen artikkel 83, jf. artikkel 83 nr. 7.

§ 27.Oppfyllelsesfrist og domstolsprøving i saker om overtredelsesgebyr

Oppfyllelsesfristen for et vedtak om overtredelsesgebyr er fire uker fra vedtaket er endelig.

Retten kan prøve alle sider av saker om overtredelsesgebyr. Retten kan avsi dom for realiteten i saken dersom den finner det hensiktsmessig og forsvarlig.

§ 28.Foreldelse

Adgangen til å ilegge overtredelsesgebyr foreldes fem år etter overtredelsen er opphørt. Fristen avbrytes ved at Datatilsynet gir forhåndsvarsel om eller fatter vedtak om overtredelsesgebyr.

§ 29.Tvangsmulkt

Ved pålegg etter loven her kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfyllelse av pålegget, inntil pålegget er oppfylt.

Kongen kan i forskrift gi nærmere bestemmelser om tvangsmulkt, blant annet om tvangsmulktens størrelse og varighet, fastsettelse av tvangsmulkt og frafall av påløpt tvangsmulkt.

§ 30.Erstatning for ikke-økonomisk skade

Den som er erstatningsansvarlig etter reglene i personvernforordningen artikkel 82, kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig.

Kapittel 8. Uekte kameraovervåkingsutstyr mv.

§ 31.Uekte kameraovervåkingsutstyr mv.

Når kameraovervåking vil være i strid med personvernforordningen eller loven her, er det heller ikke tillatt å benytte uekte kameraovervåkingsutstyr eller ved skilting, oppslag eller lignende gi inntrykk av at kameraovervåking finner sted. Personvernforordningen kapittel VI og artikkel 83 nr. 4 samt kapittel 6, § 26 annet ledd og §§ 27 til 29 i loven her gjelder tilsvarende.

Med kameraovervåking menes vedvarende eller regelmessig gjentatt personovervåking ved hjelp av fjernbetjent eller automatisk virkende overvåkingskamera eller annet lignende utstyr som er fastmontert. Med uekte kameraovervåkingsutstyr menes utstyr som lett kan forveksles med en ekte kameraløsning.

Kapittel 9. Ikrafttredelse. Overgangsregler. Endringer i andre lover

§ 32.Ikrafttredelse

Loven trer i kraft fra den tiden¹ Kongen bestemmer. Fra samme tidspunkt oppheves lov 14. april 2000 nr. 31 om behandling av personopplysninger.

De ulike bestemmelsene kan settes i kraft og oppheves til ulik tid.

1	Fra 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195, jf. res. 15 juni 2018 nr. 875.

§ 33.Overgangsregler

Reglene om behandling av personopplysninger som gjaldt på handlingstidspunktet, skal legges til grunn når det treffes vedtak om overtredelsesgebyr. Lovgivningen på tidspunktet for avgjørelsen skal likevel anvendes når dette fører til et gunstigere resultat for den ansvarlige.

Kongen kan gi nærmere overgangsregler.

§ 34.Endringer i andre lover

Fra den tiden loven her trer i kraft, gjøres følgende endringer i andre lover:

– – –

EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]

EUROPAPARLAMENTET OG RÅDET FOR DEN EUROPEISKE UNION HAR

under henvisning til traktaten om Den europeiske unions virkemåte, særlig artikkel 16,

under henvisning til forslag fra Europakommisjonen, etter oversending av utkast til regelverksakt til de nasjonale parlamentene,

under henvisning til uttalelse fra Den europeiske økonomiske og sosiale komité,¹

under henvisning til uttalelse fra Regionkomiteen,² etter den ordinære regelverksprosessen³ og

ut fra følgende betraktninger:

Vern av fysiske personer i forbindelse med behandling av personopplysninger er en grunnleggende rettighet. I artikkel 8 nr. 1 i Den europeiske unions pakt om grunnleggende rettigheter (heretter kalt «pakten») og i artikkel 16 nr. 1 i traktaten om Den europeiske unions virkemåte (TEUV) er det fastsatt at enhver person har rett til vern av personopplysninger om vedkommende selv.

Prinsippene og reglene for vern av fysiske personer i forbindelse med behandling av personopplysninger som gjelder dem selv, bør, uavhengig av nevnte personers statsborgerskap eller bosted, respektere deres grunnleggende rettigheter og friheter, særlig retten til vern av personopplysninger. Hensikten med denne forordning er å bidra til å skape et område med frihet, sikkerhet og rettferdighet samt en økonomisk union og å bidra til økonomisk og sosial framgang, til å oppnå en styrking og tilnærming av økonomiene i det indre marked og til fysiske personers velferd.

3.	Europaparlaments- og rådsdirektiv 95/46/EF⁴ har som formål å harmonisere vernet av fysiske personers grunnleggende rettigheter og friheter i forbindelse med behandlingsaktiviteter samt å sikre fri flyt av personopplysninger mellom medlemsstatene.

Behandling av personopplysninger bør ha som formål å tjene menneskeheten. Retten til vern av personopplysninger er ikke en absolutt rettighet; den må ses i sammenheng med den funksjon den har i samfunnet, og veies mot andre grunnleggende rettigheter i samsvar med forholdsmessighetsprinsippet. Denne forordning overholder alle grunnleggende rettigheter og de friheter og prinsipper som er anerkjent i pakten, slik de er nedfelt i traktatene, særlig med hensyn til privatliv og familieliv, hjem og kommunikasjon, vern av personopplysninger, tanke-, tros- og religionsfrihet, ytrings- og informasjonsfrihet, frihet til å drive næringsvirksomhet, retten til effektiv prøving og rettferdig rettergang samt kulturelt, religiøst og språklig mangfold.

Den økonomiske og sosiale integrasjon som er oppnådd som følge av det indre markeds virkemåte, har ført til en betydelig økt flyt av personopplysninger over landegrensene. Utvekslingen av personopplysninger mellom offentlige og private aktører, herunder fysiske personer, sammenslutninger og foretak, i Unionen har økt. Nasjonale myndigheter i medlemsstatene oppfordres i unionsretten til å samarbeide og utveksle personopplysninger for å kunne utføre sitt arbeid eller utføre oppgaver på vegne av en myndighet i en annen medlemsstat.

Den raske teknologiske utviklingen samt globaliseringen har skapt nye utfordringer med hensyn til vern av personopplysninger. Omfanget av innsamlingen og utvekslingen av personopplysninger har økt betraktelig. Teknologien gjør det mulig for både private selskaper og offentlige myndigheter å benytte seg av personopplysninger i sitt arbeid i et helt nytt omfang. Fysiske personer gjør i stadig større grad personopplysninger offentlig tilgjengelig, også globalt. Teknologien har endret både økonomien og det sosiale liv og bør ytterligere fremme den frie flyt av personopplysninger i Unionen og overføring av disse til tredjestater og internasjonale organisasjoner, samtidig som det sikres et høyt nivå for vern av personopplysningene.

Denne utviklingen krever en sterk og mer sammenhengende ramme for vern av personopplysninger i Unionen støttet av en streng håndheving av reglene, ettersom det er viktig å skape den nødvendige tillit som vil gjøre at den digitale økonomien kan utvikle seg i det indre marked. Fysiske personer bør ha kontroll over egne personopplysninger. Rettssikkerheten og den praktiske sikkerheten for fysiske personer, markedsdeltakere og offentlige myndigheter bør styrkes.

Når det i denne forordning fastsettes at det kan innføres presiseringer eller begrensninger av dens regler gjennom medlemsstatenes nasjonale rett, kan medlemsstatene, i den grad det er nødvendig av hensyn til sammenhengen og for å gjøre nasjonale bestemmelser forståelige for de personer de får anvendelse på, innarbeide elementer fra denne forordning i sin nasjonale rett.

Målene og prinsippene i direktiv 95/46/EF er fremdeles gyldige, men det har ikke hindret en fragmentert gjennomføring av vernet av personopplysninger i Unionen, rettslig usikkerhet eller en utbredt allmenn oppfatning om at det fremdeles er betydelige risikoer forbundet med vernet av fysiske personer, særlig i forbindelse med aktiviteter på internett. Forskjeller i nivået for vern av fysiske personers rettigheter og friheter, særlig retten til vern av personopplysninger, i forbindelse med behandling av personopplysninger i medlemsstatene kan hindre den frie flyt av personopplysninger i Unionen. Disse forskjellene kan derfor være til hinder for utøvelsen av økonomisk virksomhet på EU-plan, føre til konkurransevridning og hindre myndighetene i å ivareta sitt ansvar i henhold til unionsretten. En slik forskjell i beskyttelsesnivå skyldes forskjellig gjennomføring og anvendelse av direktiv 95/46/EF.

10.

For å sikre et ensartet og høyt nivå for vern av fysiske personer og fjerne hindringene for flyten av personopplysninger i Unionen bør nivået for vern av fysiske personers rettigheter og friheter i forbindelse med behandling av slike opplysninger være det samme i alle medlemsstater. Det bør sikres at reglene for vern av fysiske personers grunnleggende rettigheter og friheter i forbindelse med behandling av personopplysninger anvendes på en ensartet og enhetlig måte i hele Unionen. Når det gjelder behandling av personopplysninger for å oppfylle en rettslig forpliktelse, utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, bør medlemsstatene kunne opprettholde eller innføre nasjonale bestemmelser for nærmere å presisere anvendelsen av reglene i denne forordning. Sammen med det alminnelige og tverrgående regelverket for vern av personopplysninger som gjennomfører direktiv 95/46/EF, har medlemsstatene flere sektorspesifikke lover på områder som krever mer spesifikke bestemmelser. Denne forordning gir også medlemsstatene handlingsrom til å fastsette egne regler, herunder for behandling av særlige kategorier av personopplysninger («sensitive opplysninger»). I denne forbindelse utelukker denne forordning ikke at det i medlemsstatenes nasjonale rett fastsettes nærmere omstendigheter for spesifikke situasjoner der personopplysninger behandles, herunder mer nøyaktige vilkår for når behandling av personopplysninger er lovlig.

11.

For å sikre et effektivt vern av personopplysninger i hele Unionen kreves det en styrking og en nærmere fastsettelse av rettighetene til de registrerte og pliktene til dem som behandler og treffer avgjørelser om behandling av personopplysninger, samt at det i medlemsstatene finnes den samme myndighet til å føre tilsyn med og sikre overholdelse av reglene for vern av personopplysninger og de samme sanksjonene ved overtredelser.

12.	Ved artikkel 16 nr. 2 i TEUV gis Europaparlamentet og Rådet fullmakt til å fastsette regler om vern av fysiske personer i forbindelse med behandling av personopplysninger samt regler om fri utveksling av personopplysninger.

13.

For å sikre et ensartet nivå for vern av fysiske personer i hele Unionen og hindre at forskjeller hemmer den frie utvekslingen av personopplysninger i det indre marked er det behov for en forordning for å skape rettssikkerhet og åpenhet for markedsdeltakere, herunder svært små, små og mellomstore bedrifter, og som vil gi fysiske personer i alle medlemsstater det samme nivået av rettslig bindende rettigheter og plikter, og behandlingsansvarlige og databehandlere det samme ansvaret, for å sikre et ensartet tilsyn med behandlingen av personopplysninger og de samme sanksjonene i alle medlemsstater samt et effektivt samarbeid mellom tilsynsmyndighetene i forskjellige medlemsstater. For å sikre et velfungerende indre marked kreves det at den frie utvekslingen av personopplysninger i Unionen ikke begrenses eller forbys av årsaker knyttet til vern av fysiske personer i forbindelse med behandling av personopplysninger. For å ta høyde for den særlige situasjonen til svært små, små og mellomstore bedrifter inneholder denne forordning et unntak for organisasjoner med færre enn 250 ansatte med hensyn til føring av protokoller. Videre oppfordres Unionens institusjoner og organer samt medlemsstatene og deres tilsynsmyndigheter til å ta høyde for de særlige behovene til svært små, små og mellomstore bedrifter ved anvendelsen av denne forordning. Definisjonen av begrepene svært små, små og mellomstore bedrifter bør bygge på artikkel 2 i vedlegget til kommisjonsrekommandasjon 2003/361/EF.⁵

14.

Det vern som denne forordning gir i forbindelse med behandling av personopplysninger, bør få anvendelse på fysiske personer, uavhengig av deres statsborgerskap eller bosted. Denne forordning omfatter ikke behandling av personopplysninger som gjelder juridiske personer, og særlig foretak etablert som juridiske personer, herunder den juridiske personens navn, form og kontaktopplysninger.

15.

For å unngå at det oppstår en alvorlig risiko for at bestemmelsene omgås bør vernet av fysiske personer være teknologisk nøytralt og ikke avhenge av teknikkene som benyttes. Vernet av fysiske personer bør få anvendelse på automatisert behandling av personopplysninger samt manuell behandling dersom personopplysningene inngår i eller skal inngå i et register. Saksmapper eller samlinger av saksmapper samt deres forsider som ikke er strukturert etter bestemte kriterier, bør ikke omfattes av denne forordnings virkeområde.

16.

Denne forordning får ikke anvendelse på spørsmål om vern av grunnleggende rettigheter og friheter eller fri flyt av personopplysninger knyttet til aktiviteter som ikke omfattes av unionsretten, f.eks. aktiviteter som gjelder nasjonal sikkerhet. Denne forordning får ikke anvendelse på medlemsstatenes behandling av personopplysninger når dette utføres i forbindelse med aktiviteter knyttet til Unionens felles utenriks- og sikkerhetspolitikk.

17.

Europaparlaments- og rådsforordning (EF) nr. 45/2001⁶ får anvendelse på behandling av personopplysninger som utføres av Unionens institusjoner, organer, kontorer og byråer. Forordning (EF) nr. 45/2001 og andre EU-rettsakter som får anvendelse på nevnte behandling av personopplysninger, bør tilpasses prinsippene og reglene fastsatt i denne forordning og anvendes i lys av denne forordning. For å sikre en sterk og sammenhengende ramme for vern av personopplysninger i Unionen bør de nødvendige tilpasninger av forordning (EF) nr. 45/2001 gjøres etter at denne forordning er vedtatt, slik at de får anvendelse samtidig som denne forordning.

18.

Denne forordning får ikke anvendelse på behandling av personopplysninger som en fysisk person utfører i forbindelse med rent personlige eller familiemessige aktiviteter, og som derfor ikke er knyttet til en yrkes- eller forretningsvirksomhet. Personlige eller familiemessige aktiviteter kan omfatte korrespondanse og føring av adresselister eller aktiviteter på sosiale nettverk samt aktiviteter på internett i forbindelse med slike aktiviteter. Denne forordning får imidlertid anvendelse på behandlingsansvarlige eller databehandlere som stiller til rådighet midler til behandling av personopplysninger i forbindelse med slike personlige eller familiemessige aktiviteter.

19.

Vern av fysiske personer i forbindelse med vedkommende myndigheters behandling av personopplysninger med henblikk på å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet samt fri utveksling av nevnte opplysninger, omfattes av en spesifikk EU-rettsakt. Denne forordning bør derfor ikke få anvendelse på behandlingsaktiviteter som utføres for nevnte formål. Offentlige myndigheters behandling av personopplysninger i henhold til denne forordning bør, når behandlingen utføres for nevnte formål, imidlertid omfattes av en mer spesifikk EU-rettsakt, nærmere bestemt europaparlaments- og rådsdirektiv (EU) 2016/680.⁷. Medlemsstatene kan overlate oppgaver som ikke nødvendigvis utføres for å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet, til vedkommende myndigheter som definert i direktiv (EU) 2016/680, slik at behandlingen av personopplysninger for slike andre formål, i den grad dette omfattes av unionsretten, omfattes av denne forordning.

Med hensyn til nevnte vedkommende myndigheters behandling av personopplysninger for formål som omfattes av denne forordning, bør medlemsstatene kunne opprettholde eller innføre mer spesifikke bestemmelser for å tilpasse anvendelsen av reglene i denne forordning. I nevnte bestemmelser kan det fastsettes mer spesifikke krav til nevnte vedkommende myndigheters behandling av personopplysninger for slike andre formål, idet det tas hensyn til den enkelte medlemsstats forfatningsmessige, organisatoriske og administrative struktur. Når behandling av personopplysninger utført av private organer omfattes av denne forordning, bør det i denne forordning fastsettes en mulighet for at medlemsstatene på særlige vilkår ved lov kan begrense visse forpliktelser og rettigheter dersom nevnte begrensning utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre særlige viktige interesser, herunder den offentlige sikkerhet samt forebygging, etterforskning, avsløring eller straffeforfølging av straffbare forhold eller iverksetting av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet. Dette er f.eks. relevant i forbindelse med bekjempelse av hvitvasking av penger eller kriminaltekniske laboratoriers virksomhet.

20.

Selv om denne forordning blant annet får anvendelse på domstolers og andre rettshåndhevende myndigheters virksomhet, kan det i unionsretten eller medlemsstatenes nasjonale rett angis hvilke prosesser og framgangsmåter for behandling som får anvendelse på behandling av personopplysninger som utføres av domstoler og andre rettshåndhevende myndigheter. Tilsynsmyndighetenes kompetanse bør ikke omfatte domstolers behandling av personopplysninger når dette utføres innenfor rammen av domstolenes domsmyndighet, for å sikre domstolenes uavhengighet når de utfører sine juridiske oppgaver, herunder når de treffer avgjørelser. Det bør være mulig å overlate tilsynet med slike databehandlingsaktiviteter til særskilte organer innenfor medlemsstatens rettssystem som særlig bør sikre at reglene i denne forordning overholdes, øke bevisstheten til medlemmene av domstolsvesenet om de forpliktelser de har i henhold til denne forordning, og håndtere klager i forbindelse med nevnte databehandlingsaktiviteter.

21.

Denne forordning berører ikke anvendelsen av europaparlaments- og rådsdirektiv 2000/31/EF,⁸ særlig reglene for tjenesteytende mellommenns ansvar i artikkel 12-15 i nevnte direktiv. Formålet med nevnte direktiv er å bidra til at det indre marked fungerer på en tilfredsstillende måte ved å sikre fri bevegelighet for informasjonssamfunnstjenester mellom medlemsstatene.

22.

Enhver behandling av personopplysninger som utføres i forbindelse med aktivitetene i en virksomhet tilhørende en behandlingsansvarlig eller databehandler i Unionen, bør utføres i samsvar med denne forordning, uavhengig av om behandlingen finner sted i Unionen eller ikke. En virksomhet innebærer en effektiv og faktisk utøvelse av aktivitet gjennom en stabil struktur. En slik strukturs rettslige form, enten det dreier seg om en filial eller et datterforetak med status som juridisk person, er ikke av avgjørende betydning i denne forbindelse.

23.

For å sikre at fysiske personer ikke fratas det vern de har rett til i henhold til denne forordning, bør behandling av personopplysninger om registrerte som befinner seg i Unionen, og som utføres av en behandlingsansvarlig eller en databehandler som ikke er etablert i Unionen, omfattes av denne forordning dersom behandlingsaktivitetene er knyttet til tilbud av varer eller tjenester til nevnte registrerte, uansett om det kreves betaling eller ikke. For å avgjøre om nevnte behandlingsansvarlig eller databehandler tilbyr varer eller tjenester til registrerte som befinner seg i Unionen, bør det bringes på det rene om det er åpenbart at den behandlingsansvarlige eller databehandleren har til hensikt å tilby tjenester til registrerte i én eller flere medlemsstater i Unionen. Selv om tilgang til den behandlingsansvarliges, databehandlerens eller en mellommanns nettsted i Unionen, til en e-postadresse eller til andre kontaktopplysninger, eller bruk av et språk som vanligvis benyttes i tredjestaten der den behandlingsansvarlige er etablert, ikke er tilstrekkelig til å fastslå en slik hensikt, kan faktorer som bruk av et språk eller en valuta som vanligvis benyttes i én eller flere medlemsstater, sammen med en mulighet til å bestille varer og tjenester på nevnte andre språk, eller omtale av kunder eller brukere som befinner seg i Unionen, gjøre det åpenbart at den behandlingsansvarlige har til hensikt å tilby varer eller tjenester til registrerte i Unionen.

24.

Behandling av personopplysninger om registrerte som befinner seg i Unionen, og som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i Unionen, bør også omfattes av denne forordning dersom behandlingen er knyttet til monitorering av de registrertes atferd, så langt atferden finner sted i Unionen. For å fastslå om en behandlingsaktivitet kan anses som monitorering av de registrertes atferd bør det bringes på det rene om det skjer sporing av fysiske personer på internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe avgjørelser om vedkommende eller analysere eller forutsi vedkommendes personlige preferanser, atferd eller holdninger.

25.	Dersom medlemsstatens nasjonale rett får anvendelse i kraft av folkeretten, bør denne forordning også få anvendelse på en behandlingsansvarlig som ikke er etablert i Unionen, f.eks. ved en medlemsstats diplomatiske stasjoner eller konsulater.

26.

Prinsippene om vern av personopplysninger bør få anvendelse på enhver opplysning om en identifisert eller identifiserbar fysisk person. Personopplysninger som er blitt pseudonymisert, og som kan knyttes til en fysisk person ved hjelp av tilleggsopplysninger, bør anses som opplysninger om en identifiserbar fysisk person. Når det skal fastslås om en fysisk person er identifiserbar, bør det tas hensyn til alle midler som det med rimelighet kan tenkes at den behandlingsansvarlige eller en annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte, f.eks. utpeking. For å fastslå om midler med rimelighet kan tenkes å bli tatt bruk for å identifisere den fysiske personen bør det tas hensyn til alle objektive faktorer, f.eks. kostnadene for og tiden som er nødvendig for å foreta identifikasjonen, idet det tas hensyn til teknologien som er tilgjengelig på behandlingstidspunktet, samt den teknologiske utvikling. Prinsippene om vern av personopplysninger bør derfor ikke få anvendelse på anonyme opplysninger, nærmere bestemt opplysninger som ikke kan knyttes til en identifisert eller identifiserbar fysisk person, eller personopplysninger som er blitt anonymisert på en slik måte at den registrerte ikke lenger kan identifiseres. Denne forordning gjelder derfor ikke behandling av slike anonyme opplysninger, herunder for statistiske formål eller forskningsformål.

27.	Denne forordning får ikke anvendelse på personopplysninger om avdøde personer. Medlemsstatene kan fastsette regler om behandling av personopplysninger om avdøde personer.

28.

Pseudonymisering av personopplysninger kan redusere risikoene for de berørte registrerte og bidra til at behandlingsansvarlige og databehandlere kan oppfylle sine forpliktelser med hensyn til vern av personopplysninger. Hensikten med den uttrykkelige innføringen av «pseudonymisering» i denne forordning er ikke å utelukke andre tiltak for vern av personopplysninger.

29.

For å skape insitamenter til bruk av pseudonymisering i forbindelse med behandling av personopplysninger bør pseudonymiseringstiltak som samtidig tillater en generell analyse, være mulig hos den samme behandlingsansvarlige når denne har truffet de tekniske og organisatoriske tiltak som er nødvendige for å sikre at denne forordning gjennomføres med tanke på den berørte behandlingen, og at tilleggsopplysninger som gjør det mulig å knytte personopplysningene til en bestemt registrert, lagres atskilt. Den behandlingsansvarlige som behandler personopplysningene, bør angi de autoriserte personene hos den samme behandlingsansvarlige.

30.

Fysiske personer kan knyttes til nettidentifikatorer via utstyr, programmer, verktøy og protokoller, f.eks. IP-adresser, informasjonskapsler eller andre identifikatorer, f.eks. radiofrekvensidentifikasjonsmerker. Dette kan etterlate spor som særlig i kombinasjon med entydige identifikatorer og andre opplysninger som serverne mottar, kan brukes til å opprette profiler for fysiske personer og identifisere dem.

31.

Offentlige myndigheter som får utlevert personopplysninger i samsvar med en rettslig forpliktelse i forbindelse med utøvelse av sitt offentlige oppdrag, f.eks. skatte- og tollmyndigheter, enheter som driver økonomisk etterforskning, uavhengige forvaltningsmyndigheter eller finansmarkedsmyndigheter med ansvar for regulering av og tilsyn med verdipapirmarkeder, bør ikke anses som mottakere dersom de mottar personopplysninger som er nødvendige for å utføre en bestemt granskning av allmenn interesse i samsvar med unionsretten eller medlemsstatenes nasjonale rett. Offentlige myndigheters anmodninger om utlevering av informasjon bør alltid være skriftlige, begrunnede og leilighetsvise og bør ikke gjelde et helt register eller føre til sammenkopling av registre. Nevnte offentlige myndigheters behandling av personopplysninger bør overholde gjeldende regler om vern av personopplysninger i samsvar med formålet med behandlingen.

32.

Samtykke bør gis i form av en tydelig bekreftelse der den registrerte på en frivillig, spesifikk, informert og utvetydig måte gir sitt samtykke til behandling av vedkommendes personopplysninger, f.eks. i form av en skriftlig, herunder elektronisk, eller en muntlig erklæring. Dette kan innebære å krysse av i en boks under et besøk på et nettsted, velge tekniske innstillinger for informasjonssamfunnstjenester eller en annen erklæring eller handling som i denne forbindelse tydelig viser at den registrerte godtar den foreslåtte behandlingen av vedkommendes personopplysninger. Taushet, forhåndsavkryssede bokser eller inaktivitet bør derfor ikke utgjøre et samtykke. Et samtykke bør omfatte alle behandlingsaktiviteter som utføres med henblikk på samme formål. Dersom det er flere formål med behandlingen, bør det gis samtykke til alle. Dersom den registrertes samtykke skal gis etter en elektronisk anmodning, må anmodningen være tydelig, kortfattet og ikke unødig forstyrre bruken av den tjenesten samtykket gjelder.

33.

For formål knyttet til vitenskapelig forskning er det ofte ikke mulig fullt ut å identifisere formålet med behandlingen av personopplysninger på tidspunktet for innsamlingen av opplysningene. De registrerte bør derfor kunne gi sitt samtykke til visse områder innen vitenskapelig forskning når dette er i samsvar med anerkjente etiske standarder for vitenskapelig forskning. De registrerte bør ha mulighet til å gi sitt samtykke bare til visse forskningsområder eller deler av forskningsprosjekter i det omfang det tilsiktede formålet tillater det.

34.

Genetiske opplysninger bør defineres som personopplysninger om en fysisk persons nedarvede eller ervervede genetiske egenskaper som foreligger etter analysering av en biologisk prøve fra nevnte fysiske person, særlig en kromosomanalyse eller en DNA- eller RNA-analyse, eller analysering av andre elementer som gjør det mulig å innhente tilsvarende opplysninger.

35.

Personopplysninger om helse bør omfatte alle opplysninger om den registrertes helsetilstand som avdekker den registrertes tidligere, nåværende eller fremtidige fysiske eller psykiske helsetilstand. Dette omfatter opplysninger om den fysiske personen innsamlet under registrering av vedkommende med henblikk på eller under yting av helsetjenester, som nevnt i europaparlaments- og rådsdirektiv 2011/24/EU,⁹ til den aktuelle fysiske personen; et tall, symbol eller kjennetegn som tildeles en fysisk person for på en entydig måte å identifisere vedkommende for helseformål; opplysninger som stammer fra tester eller undersøkelser av en kroppsdel eller en kroppssubstans, herunder fra genetiske opplysninger og biologiske prøver; og enhver opplysning om den registrerte med hensyn til f.eks. sykdom, funksjonshemning, sykdomsrisiko, sykehistorie, klinisk behandling eller fysiologisk eller biomedisinsk tilstand uavhengig av hvor dette stammer fra, f.eks. fra en lege eller annet helsepersonell, et sykehus, medisinsk utstyr eller in vitro-diagnostikk.

36.

En behandlingsansvarligs hovedvirksomhet i Unionen bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, med mindre det treffes beslutninger om formål og midler i forbindelse med behandlingen av personopplysninger i en annen av den behandlingsansvarliges virksomheter i Unionen; da skal nevnte andre virksomhet anses for å være hovedvirksomheten. En behandlingsansvarligs hovedvirksomhet i Unionen bør fastslås ut fra objektive kriterier og bør innebære en effektiv og faktisk utøvelse av ledelsesaktiviteter som munner ut i de viktigste avgjørelsene med hensyn til formålet med og midlene for behandlingen gjennom en stabil struktur. Dette kriteriet bør ikke avhenge av om behandlingen av personopplysninger utføres på nevnte sted. Det forhold at det finnes og benyttes tekniske midler og teknologier i forbindelse med behandling av personopplysninger eller behandlingsaktiviteter, utgjør i seg selv ikke en hovedvirksomhet, og er derfor ikke avgjørende for kriteriet om hovedvirksomhet. Databehandlerens hovedvirksomhet bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, eller dersom vedkommende ikke har en hovedadministrasjon i Unionen, det sted der de fleste behandlingsaktivitetene finner sted i Unionen. I tilfeller som omfatter både den behandlingsansvarlige og databehandleren, bør vedkommende ledende tilsynsmyndighet fortsatt være tilsynsmyndigheten i medlemsstaten der den behandlingsansvarlige har sin hovedvirksomhet, mens databehandlerens tilsynsmyndighet bør anses for å være en berørt tilsynsmyndighet, og denne tilsynsmyndighet bør delta i framgangsmåten for samarbeid fastsatt i denne forordning. Under alle omstendigheter bør tilsynsmyndighetene i medlemsstaten eller medlemsstatene der databehandleren har én eller flere virksomheter, ikke anses for å være berørte tilsynsmyndigheter dersom utkastet til avgjørelse bare gjelder den behandlingsansvarlige. Dersom behandlingen utføres av et konsern, bør hovedvirksomheten til det foretaket som utøver kontroll, anses som konsernets hovedvirksomhet, bortsett fra når formålet med behandlingen og midlene som skal brukes, fastsettes av et annet foretak.

37.

Et konsern bør omfatte et foretak som utøver kontroll, og dets kontrollerte foretak, der foretaket som utøver kontroll, bør være det foretak som kan utøve en dominerende innflytelse på de andre foretakene, f.eks. i kraft av eiendomsrett, økonomisk deltaking eller reglene det er underlagt, eller myndigheten til å få gjennomført regler om vern av personopplysninger. Et foretak som kontrollerer behandlingen av personopplysninger i tilknyttede foretak, bør sammen med disse foretak anses som et konsern.

38.

Barns personopplysninger fortjener et særlig vern, ettersom barn kan være mindre bevisste på aktuelle risikoer, konsekvenser og garantier samt på de rettigheter de har når det gjelder behandling av personopplysninger. Et slikt særlig vern bør især få anvendelse på bruk av barns personopplysninger for markedsføringsformål eller for å opprette personlighets- eller brukerprofiler samt på innsamling av personopplysninger om barn når de bruker tjenester som tilbys direkte til barn. Samtykke fra den som har foreldreansvaret, bør ikke være nødvendig i forbindelse med forebyggings- eller rådgivningstjenester som tilbys direkte til barn.

39.

Enhver behandling av personopplysninger bør være lovlig og rettferdig. For fysiske personer bør det framgå klart og tydelig at personopplysninger om dem samles inn, benyttes, konsulteres eller på annen måte behandles, og i hvilket omfang de behandles eller vil bli behandlet. Prinsippet om åpenhet krever at all informasjon og kommunikasjon i forbindelse med behandling av nevnte personopplysninger er lett tilgjengelig og lettfattelig, og at språket som brukes, er klart og enkelt. Prinsippet gjelder særlig informasjon til de registrerte om identiteten til den behandlingsansvarlige og formålene med behandlingen samt ytterligere informasjon for å sikre en rettferdig og åpen behandling for de berørte fysiske personer samt deres rett til å få bekreftelse på og bli underrettet om de personopplysninger som gjelder dem, som behandles. Fysiske personer bør gjøres oppmerksomme på risikoer, regler, garantier og rettigheter i forbindelse med behandling av personopplysninger, og på hvilken måte de kan utøve sine rettigheter i forbindelse med nevnte behandling. De særlige formålene med behandlingen av personopplysningene bør især være berettigede, uttrykkelig angitt og fastsatt når personopplysningene samles inn. Personopplysningene bør være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Dette krever særlig at det sikres at personopplysningene ikke lagres lenger enn det som er strengt nødvendig. Personopplysninger bør behandles bare dersom formålet med behandlingen ikke med rimelighet kan oppfylles på annen måte. For å sikre at personopplysningene ikke lagres lenger enn nødvendig bør den behandlingsansvarlige fastsette frister for sletting eller for regelmessig gjennomgåelse. Ethvert rimelig tiltak bør treffes for å sikre at uriktige personopplysninger rettes eller slettes. Personopplysninger bør behandles på en måte som gir tilstrekkelig sikkerhet og konfidensialitet, herunder for å hindre ulovlig tilgang til eller bruk av personopplysninger og utstyret som brukes i forbindelse med behandlingen.

40.

For at behandlingen skal kunne anses som lovlig bør personopplysninger behandles på grunnlag av den berørte registrertes samtykke eller et annet berettiget grunnlag som er fastsatt ved lov, enten i denne forordning eller i en annen bestemmelse i unionsretten eller medlemsstatenes nasjonale rett som nevnt i denne forordning, herunder behovet for å oppfylle den rettslige forpliktelsen som påhviler den behandlingsansvarlige, eller behovet for å oppfylle en avtale som den registrerte er part i, eller for å treffe tiltak på anmodning fra den registrerte før en avtaleinngåelse.

41.

Når det i denne forordning vises til et rettslig grunnlag eller et lovgivningsmessig tiltak, krever dette ikke nødvendigvis en regelverksakt vedtatt av et parlament, med forbehold for kravene fastsatt i henhold til forfatningsordningen i den berørte medlemsstat. Nevnte rettslige grunnlag eller lovgivningsmessige tiltak bør imidlertid være tydelig og presist, og anvendelsen av det bør være forutsigbar for personer som omfattes av det, i samsvar med rettspraksisen til Den europeiske unions domstol («Domstolen») og Den europeiske menneskerettighetsdomstol.

42.

Dersom behandlingen er basert på den registrertes samtykke, bør den behandlingsansvarlige kunne påvise at den registrerte har samtykket til behandlingen. Særlig i forbindelse med skriftlige erklæringer om andre forhold bør det foreligge garantier for å sikre at den registrerte er kjent med at samtykke er gitt, og omfanget av det. I samsvar med rådsdirektiv 93/13/EØF¹⁰ bør det foreligge en samtykkeerklæring som den behandlingsansvarlige på forhånd har utarbeidet i en forståelig og lett tilgjengelig form og formulert på et klart og enkelt språk, og som ikke bør inneholde urimelige vilkår. For å sikre at samtykket er informert bør den registrerte minst kjenne den behandlingsansvarliges identitet og formålene med behandlingen som personopplysningene skal brukes til. Samtykket skal ikke anses som frivillig dersom den registrerte ikke har en reell valgfrihet, eller ikke er i stand til å nekte å gi eller trekke tilbake et samtykke uten at det er til skade for vedkommende.

43.

For å sikre at et samtykke gis frivillig bør det ikke utgjøre et gyldig rettslig grunnlag for behandling av personopplysninger i et bestemt tilfelle dersom det er en klar skjevhet mellom den registrerte og den behandlingsansvarlige, særlig dersom den behandlingsansvarlige er en offentlig myndighet og det derfor er usannsynlig at samtykket er gitt frivillig med hensyn til alle omstendigheter som kjennetegner den bestemte situasjonen. Samtykket antas å ikke være gitt frivillig dersom det ikke er mulig å gi separat samtykke for forskjellige behandlingsaktiviteter, selv om det er hensiktsmessig i det enkelte tilfellet, eller dersom oppfyllelsen av en avtale, herunder yting av en tjeneste, avhenger av samtykket, til tross for at et slikt samtykke ikke er nødvendig for å oppfylle avtalen.

44.	Behandlingen bør anses som lovlig når den er nødvendig i forbindelse med en avtale, eller når det foreligger en hensikt om å inngå en avtale.

45.

Dersom behandlingen utføres i samsvar med en rettslig forpliktelse som påhviler den behandlingsansvarlige, eller dersom behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet, bør behandlingen ha rettslig grunnlag i unionsretten eller medlemsstatenes nasjonale rett. Ved denne forordning kreves det ikke en særlig lovbestemmelse for hver enkelt behandling. En lov kan være tilstrekkelig som grunnlag for flere behandlingsaktiviteter som bygger på en rettslig forpliktelse som påhviler den behandlingsansvarlige, eller dersom behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet. Formålet med behandlingen bør også fastsettes i unionsretten eller i medlemsstatenes nasjonale rett. Videre kan nevnte rettslige grunnlag presisere denne forordnings allmenne vilkår for lovlig behandling av personopplysninger, fastsette spesifikasjoner for å fastslå hvem den behandlingsansvarlige er, hvilken type personopplysninger som skal behandles, de berørte registrerte, hvilke enheter personopplysningene kan utleveres til, formålsbegrensninger, hvor lenge opplysningene kan lagres og andre tiltak for å sikre lovlig og rettferdig behandling. I unionsretten eller medlemsstatenes nasjonale rett bør det også fastsettes om den behandlingsansvarlige som utfører en oppgave i allmennhetens interesse eller utøver offentlig myndighet, bør være en offentlig myndighet eller en annen fysisk eller juridisk person underlagt offentlig rett eller, dersom det er i allmennhetens interesse, herunder for helseformål som folkehelse og sosial trygghet og forvaltning av helsetjenester, privatrett, f.eks. en yrkessammenslutning.

46.

Behandlingen av personopplysninger bør også anses som lovlig dersom den er nødvendig for å verne en interesse som er av avgjørende betydning for den registrertes eller en annen fysisk persons liv. Behandling av personopplysninger som er basert på en annen fysisk persons vitale interesser, bør i prinsippet bare finne sted dersom det er åpenbart at behandlingen ikke kan baseres på et annet rettslig grunnlag. Noen typer behandling kan tjene både viktige allmenne interesser og den registrertes vitale interesser, f.eks. når behandlingen er nødvendig av humanitære årsaker, herunder for å overvåke epidemier og spredning av dem, eller i humanitære nødssituasjoner, særlig i forbindelse med naturkatastrofer og menneskeskapte katastrofer.

47.

De berettigede interessene til en behandlingsansvarlig, herunder de berettigede interessene til en behandlingsansvarlig som personopplysninger kan utleveres til, eller til en tredjepart, kan utgjøre et rettslig grunnlag for behandlingen, forutsatt at den registrertes interesser eller grunnleggende rettigheter og friheter ikke går foran, idet det tas hensyn til de registrertes rimelige forventninger på grunnlag av forholdet mellom dem og den behandlingsansvarlige. Det kan f.eks. foreligge en slik berettiget interesse når det er et relevant og passende forhold mellom den registrerte og den behandlingsansvarlige, f.eks. dersom den registrerte er kunde av den behandlingsansvarlige eller i vedkommendes tjeneste. En berettiget interesse krever i alle tilfeller en nøye vurdering, herunder av om en registrert på tidspunktet for og i forbindelse med innsamling av personopplysninger med rimelighet kan forvente at disse behandles for nevnte formål. Den registrertes interesser og grunnleggende rettigheter kan særlig gå foran den behandlingsansvarliges interesser dersom personopplysningene behandles under omstendigheter der de registrerte med rimelighet forventer at opplysningene ikke viderebehandles. Ettersom det er opp til lovgiveren ved lov å fastsette det rettslige grunnlaget for offentlige myndigheters behandling av personopplysninger, bør nevnte rettslige grunnlag ikke gjelde for behandling som offentlige myndigheter utfører i forbindelse med utførelse av de oppgavene de er tillagt. Behandling av personopplysninger som er strengt nødvendig for å forebygge bedrageri, utgjør også en berettiget interesse for den berørte behandlingsansvarlige. Behandling av personopplysninger i forbindelse med direkte markedsføring kan anses for å være en berettiget interesse.

48.

Behandlingsansvarlige som er en del av et konsern, eller institusjoner som er tilknyttet et sentralt organ, kan ha en berettiget interesse av å overføre personopplysninger internt i konsernet med henblikk på interne administrative formål, herunder behandling av kunders eller arbeidstakeres personopplysninger. De allmenne prinsippene for overføring av personopplysninger i et konsern til et foretak i en tredjestat påvirkes ikke.

49.

Behandling av personopplysninger i det omfang som er strengt nødvendig og forholdsmessig for å sikre nett- og informasjonssikkerheten, det vil si et netts eller informasjonssystems evne til, på et bestemt sikkerhetsnivå, å stå imot utilsiktede hendelser eller ulovlige eller skadelige handlinger som svekker tilgjengeligheten, autentisiteten, integriteten og konfidensialiteten til lagrede eller overførte personopplysninger, samt sikkerheten i beslektede tjenester som tilbys av eller er gjort tilgjengelige via nevnte nett og systemer, av offentlige myndigheter, enheter for IT-beredskap (CERT), enheter for IT-sikkerhetshendelser (CSIRT), leverandører av elektroniske kommunikasjonsnett og -tjenester og leverandører av sikkerhetsteknologier og -tjenester, utgjør en berettiget interesse for den berørte behandlingsansvarlige. Dette kan f.eks. omfatte å hindre ulovlig tilgang til elektroniske kommunikasjonsnett og spredning av skadelige koder og å stoppe «tjenestenektangrep» og skade på datasystemer og elektroniske kommunikasjonssystemer.

50.

Behandling av personopplysninger for andre formål enn de formål personopplysningene opprinnelig ble samlet inn for, bør bare være tillatt dersom behandlingen er forenlig med formålene som personopplysningene opprinnelig ble samlet inn for. I et slikt tilfelle kreves det ikke et annet rettslig grunnlag enn det som ligger til grunn for innsamlingen av personopplysninger. Dersom behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, kan det i unionsretten eller medlemsstatenes nasjonale rett fastsettes og angis nærmere hvilke oppgaver og formål viderebehandling bør anses som forenlig og lovlig for. Viderebehandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål bør anses som forenlige og lovlige behandlingsaktiviteter. Det rettslige grunnlaget for behandling av personopplysninger som er fastsatt i unionsretten eller medlemsstatenes nasjonale rett, kan også utgjøre et rettslig grunnlag for viderebehandling. For å fastslå om formålet med viderebehandlingen er forenlig med formålet som personopplysningene opprinnelig ble samlet inn for, bør den behandlingsansvarlige, etter å ha oppfylt alle krav for å sikre at den opprinnelige behandlingen er lovlig, blant annet ta hensyn til enhver forbindelse mellom disse formålene og formålene med den tiltenkte viderebehandlingen, i hvilken sammenheng personopplysningene er blitt samlet inn, særlig de registrertes rimelige forventninger på grunnlag av forholdet de har til den behandlingsansvarlige med hensyn til viderebruk av opplysningene, personopplysningenes art, konsekvensene av den tiltenkte viderebehandlingen for de registrerte, og om både de opprinnelige behandlingsaktivitetene og de tiltenkte viderebehandlingsaktivitetene omfattes av nødvendige garantier.

Når den registrerte har samtykket eller behandlingen er basert på unionsretten eller medlemsstatenes nasjonale rett som utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for særlig å verne viktige samfunnsmessige mål, bør den behandlingsansvarlige kunne viderebehandle personopplysningene uavhengig av om formålene er forenlige. I alle tilfeller bør det sikres at prinsippene fastsatt i denne forordning, og særlig informasjonen til de registrerte om nevnte andre formål og om vedkommendes rettigheter, herunder retten til å protestere, anvendes. Dersom den behandlingsansvarlige avdekker mulige straffbare handlinger eller trusler mot den offentlige sikkerhet og overfører relevante personopplysninger i enkeltstående eller flere tilfeller som gjelder samme straffbare handling eller trusler mot den offentlige sikkerhet, til en vedkommende myndighet, bør dette anses for å være i den behandlingsansvarliges berettigede interesse. En slik overføring i den behandlingsansvarliges berettigede interesse eller viderebehandling av personopplysninger bør være forbudt dersom behandlingen ikke er forenlig med en rettslig, yrkesmessig eller annen bindende taushetsplikt.

51.

Personopplysninger som av natur er særlig sensitive med hensyn til grunnleggende rettigheter og friheter, fortjener et særskilt vern, ettersom sammenhengen de behandles i, kan skape betydelige risikoer for de grunnleggende rettigheter og friheter. Slike personopplysninger bør omfatte personopplysninger som avdekker rasemessig eller etnisk opprinnelse, idet bruken av begrepet «rasemessig opprinnelse» i denne forordning ikke innebærer at Unionen godtar teorier som søker å fastslå at det finnes forskjellige menneskeraser. Behandling av fotografier bør ikke systematisk anses som behandling av særlige kategorier av personopplysninger, ettersom fotografier omfattes av definisjonen av biometriske opplysninger bare når de behandles ved hjelp av et særskilt teknisk middel som gjør det mulig entydig å identifisere eller autentisere en fysisk person. Slike personopplysninger bør ikke behandles, med mindre behandlingen er tillatt i særlige tilfeller fastsatt i denne forordning, idet det tas hensyn til at det i medlemsstatenes nasjonale rett kan fastsettes særlige bestemmelser om vern av personopplysninger med henblikk på å tilpasse anvendelsen av reglene i denne forordning for å oppfylle en rettslig forpliktelse eller utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. I tillegg til de særlige kravene til slik behandling bør de allmenne prinsippene og de andre reglene i denne forordning få anvendelse, særlig når det gjelder vilkårene for lovlig behandling. Unntak fra det allmenne forbudet mot å behandle nevnte særlige kategorier av personopplysninger bør fastsettes uttrykkelig, blant annet dersom den registrerte gir sitt uttrykkelige samtykke, eller for å oppfylle særlige behov, særlig når behandlingen utføres i forbindelse med visse sammenslutningers eller stiftelsers rettmessige virksomhet hvis formål er å gjøre det mulig å utøve grunnleggende friheter.

52.

Unntak fra forbudet mot å behandle særlige kategorier av personopplysninger bør også tillates når dette er fastsatt i unionsretten eller medlemsstatenes nasjonale rett, og det omfattes av nødvendige garantier som sikrer vern av personopplysninger og andre grunnleggende rettigheter når dette er i allmennhetens interesse, særlig behandling av personopplysninger på området arbeidsrett, sosialrett, herunder pensjoner, og med henblikk på helsesikkerhet, -overvåking og -varsling, forebygging av eller kontroll med smittsomme sykdommer og andre alvorlige helsetrusler. Et slikt unntak kan gis for helseformål, herunder på området folkehelse og helsetjenesteforvaltning, særlig for å sikre kvalitet og kostnadseffektivitet i framgangsmåtene som brukes ved behandling av krav om ytelser og tjenester i sykeforsikringssystemet, eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Et unntak bør også tillate behandling av slike personopplysninger dersom dette er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav, uansett om det skjer innenfor rammen av en rettergang eller en administrativ eller utenrettslig prosedyre.

53.

Særlige kategorier av personopplysninger som fortjener et sterkere vern, bør bare behandles for helserelaterte formål når det er nødvendig for å oppfylle nevnte formål til fordel for fysiske personer og samfunnet som helhet, særlig i forbindelse med forvaltning av helse- eller sosialtjenester og -systemer, herunder forvaltningens og sentrale nasjonale helsemyndigheters behandling av slike opplysninger med henblikk på kvalitetskontroll, forvaltningsinformasjon og den allmenne nasjonale og lokale overvåking av helse- og sosialsystemet, og for å sikre kontinuitet innen helse- og sosialtjenester og helsetjenester over landegrensene eller i forbindelse med helsesikkerhet, -overvåking og -varsling eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som må oppfylle et mål i allmennhetens interesse, samt for studier på området folkehelse som utføres i allmennhetens interesse. Ved denne forordning bør det derfor fastsettes harmoniserte vilkår for behandling av særlige kategorier av personopplysninger om helse for å oppfylle særlige behov, især når behandlingen av nevnte opplysninger utføres for visse helserelaterte formål av personer som er underlagt lovfestet taushetsplikt. I unionsretten eller medlemsstatenes nasjonale rett bør det fastsettes særlige og egnede tiltak for vern av fysiske personers grunnleggende rettigheter og personopplysninger. Medlemsstatene bør kunne opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger. Dette bør imidlertid ikke hindre den frie flyten av personopplysninger i Unionen når nevnte vilkår får anvendelse på grenseoverskridende behandling av nevnte opplysninger.

54.

Allmenne folkehelsehensyn gjør at det kan være nødvendig å behandle særlige kategorier av personopplysninger uten den registrertes samtykke. En slik behandling bør være underlagt egnede og særlige tiltak som sikrer vern av fysiske personers rettigheter og friheter. I denne forbindelse bør «folkehelse» tolkes i henhold til europaparlaments- og rådsforordning (EF) nr. 1338/2008,¹¹ nærmere bestemt alle faktorer knyttet til helse, nærmere bestemt helsestatus, herunder sykelighet og funksjonshemning, faktorer som har innvirkning på denne helsestatusen, behov for helsetjenester, ressurser avsatt til helsetjenester, yting av og allmenn tilgang til helsetjenester, utgifter til og finansiering av helsetjenester samt dødsårsaker. En slik behandling av helseopplysninger i allmennhetens interesse bør ikke føre til at personopplysninger behandles for andre formål av tredjeparter, f.eks. arbeidsgivere, forsikringsselskaper eller banker.

55.	Offentlige myndigheters behandling av personopplysninger med henblikk på å nå målene til offisielt anerkjente religiøse sammenslutninger som er fastsatt ved forfatningsretten eller ved folkeretten, utføres også i allmennhetens interesse.

56.

Dersom det i forbindelse med valgaktiviteter i en medlemsstat, for å sikre at det demokratiske systemet fungerer, kreves at politiske partier samler inn personopplysninger om fysiske personers politiske oppfatninger, kan behandling av slike opplysninger være tillatt av hensyn til allmennhetens interesse, forutsatt at det foreligger nødvendige garantier.

57.

Dersom personopplysningene som behandles av en behandlingsansvarlig, ikke gjør det mulig for den behandlingsansvarlige å identifisere en fysisk person, bør den behandlingsansvarlige ikke ha plikt til å innhente ytterligere opplysninger for å identifisere den registrerte utelukkende med det formål å overholde bestemmelsene i denne forordning. Den behandlingsansvarlige bør imidlertid ikke nekte å ta imot flere opplysninger som den registrerte gir med henblikk på å utøve sine rettigheter. Identifikasjon bør omfatte digital identifikasjon av den registrerte, f.eks. ved hjelp av en autentiseringsmekanisme, f.eks. de samme legitimasjonsopplysninger som den registrerte bruker for å logge seg inn på den nettbaserte tjenesten som tilbys av den behandlingsansvarlige.

58.

Prinsippet om åpenhet krever at all informasjon som er rettet mot allmennheten eller den registrerte, skal være kortfattet, lett tilgjengelig og enkel å forstå, at det skal benyttes et klart og enkelt språk og ved behov visualisering. Slik informasjon kan, når den er rettet mot allmennheten, gis elektronisk, f.eks. på et nettsted. Dette er særlig relevant i situasjoner der det økende antallet aktører samt de komplekse teknologiene som brukes, gjør det vanskelig for den registrerte å vite og forstå om, av hvem og for hvilket formål vedkommendes personopplysninger samles inn, f.eks. i forbindelse med nettreklame. Ettersom barn fortjener et særlig vern, bør all informasjon og kommunikasjon, dersom behandlingen gjelder barn, være formulert på et klart og enkelt språk som barnet lett kan forstå.

59.

Det bør fastsettes nærmere regler for å sikre at den registrerte på en enkel måte kan utøve sine rettigheter i henhold til denne forordning, herunder mekanismer for å anmode om og, dersom det er relevant, kostnadsfritt få innsyn i personopplysninger og få rettet eller slettet disse, samt utøve retten til å protestere. Den behandlingsansvarlige bør også gjøre det mulig å inngi anmodninger elektronisk, særlig dersom personopplysninger behandles elektronisk. Den behandlingsansvarlige bør ha plikt til å svare på anmodninger fra den registrerte uten ugrunnet opphold, og senest innen én måned, samt å begrunne sitt svar dersom den behandlingsansvarlige ikke akter å imøtekomme nevnte anmodninger.

60.

Prinsippene om rettferdig og åpen behandling krever at den registrerte informeres om at behandlingen skjer, samt om formålet med den. Den behandlingsansvarlige bør gi den registrerte eventuell ytterligere informasjon som er nødvendig for å sikre en rettferdig og åpen behandling, idet det tas hensyn til de særlige omstendighetene rundt behandlingen av personopplysningene og sammenhengen den skjer i. Den registrerte bør dessuten informeres om forekomsten av profilering og konsekvensene av dette. Dersom personopplysningene samles inn fra den registrerte, bør den registrerte også informeres om hvorvidt vedkommende har plikt til å gi personopplysningene, og om konsekvensene dersom de ikke gis. Nevnte informasjon kan gis sammen med standardiserte ikoner, slik at det gis en oversikt over den tiltenkte behandlingen på en lett synlig, forståelig og lettlest måte. Dersom ikonene presenteres elektronisk, bør de være maskinlesbare.

61.

Informasjonen i forbindelse med behandlingen av personopplysninger bør gis den registrerte på tidspunktet for innsamlingen av personopplysninger fra vedkommende eller, dersom personopplysningene innhentes fra en annen kilde, innen en rimelig frist, avhengig av de aktuelle omstendighetene. Dersom personopplysninger rettmessig kan utleveres til en annen mottaker, bør den registrerte informeres første gang personopplysningene utleveres til nevnte mottaker. Dersom den behandlingsansvarlige akter å behandle personopplysningene for et annet formål enn det de ble samlet inn for, bør den behandlingsansvarlige før nevnte viderebehandling gi den registrerte informasjon om nevnte andre formål og annen nødvendig informasjon. Dersom det ikke er mulig å informere den registrerte om personopplysningenes opprinnelse fordi det er brukt forskjellige kilder, bør det gis generell informasjon.

62.

Det er imidlertid ikke nødvendig å pålegge en plikt til å informere dersom den registrerte allerede har informasjonen, dersom registrering eller utlevering av personopplysninger er uttrykkelig fastsatt ved lov, eller dersom det viser seg å være umulig eller vil kreve en uforholdsmessig stor innsats å informere den registrerte. Det sistnevnte kan særlig være tilfellet dersom behandlingen utføres for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. I denne forbindelse bør det tas hensyn til antall registrerte, hvor gamle opplysningene er, og eventuelle garantier som er vedtatt.

63.

En registrert bør ha rett til å få innsyn i personopplysninger som er samlet inn om vedkommende, og til på en enkel måte og med rimelige intervaller å utøve denne retten for å forvisse seg om og kontrollere at behandlingen er lovlig. Dette omfatter de registrertes rett til å få innsyn i egne helseopplysninger, f.eks. opplysninger i egen pasientjournal om diagnoser, undersøkelsesresultater, behandlende leges vurderinger og enhver behandling som er gitt, eller enhver intervensjon som er utført. Alle registrerte bør derfor ha rett til å kjenne til og bli informert om formålene med behandlingen av personopplysninger, om mulig om perioden som personopplysningene behandles i, hvem mottakerne av personopplysningene er, logikken som ligger bak en eventuell automatisk behandling av personopplysningene, og konsekvensene av nevnte behandling, i det minste dersom den er basert på profilering. Dersom det er mulig, bør den behandlingsansvarlige kunne gi fjerntilgang til et sikkert system der den registrerte kan få direkte tilgang til egne personopplysninger. Denne retten bør ikke ha negativ innvirkning på andres rettigheter eller friheter, herunder forretningshemmeligheter eller immaterialretten, særlig opphavsretten som programvaren er beskyttet av. Disse hensynene bør imidlertid ikke føre til at den registrerte nektes innsyn i alle opplysninger. Dersom den behandlingsansvarlige behandler en stor mengde opplysninger om den registrerte, bør den behandlingsansvarlige før informasjonen gis, kunne anmode om at den registrerte presiserer hvilke opplysninger eller behandlingsaktiviteter anmodningen gjelder.

64.

Den behandlingsansvarlige bør treffe alle rimelige tiltak for å kontrollere identiteten til en registrert som anmoder om innsyn, særlig i forbindelse med nettjenester og nettidentifikatorer. En behandlingsansvarlig bør ikke lagre personopplysninger utelukkende for å kunne svare på mulige anmodninger.

65.

En registrert bør ha rett til å få rettet sine personopplysninger samt ha «rett til å bli glemt» dersom lagring av nevnte opplysninger er i strid med denne forordning, unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt. En registrert bør særlig ha rett til å få sine personopplysninger slettet og ikke lenger behandlet dersom personopplysningene ikke lenger er nødvendige for de formål de er blitt samlet inn eller behandlet for, dersom en registrert har trukket tilbake sitt samtykke eller motsetter seg behandling av vedkommendes personopplysninger, eller dersom behandlingen av vedkommendes personopplysninger på annen måte ikke er i samsvar med denne forordning. Denne retten er særlig relevant når den registrerte har gitt sitt samtykke som barn og ikke har fullstendig kjennskap til risikoene forbundet med behandlingen, og senere ønsker å fjerne slike personopplysninger, særlig på internett. Den registrerte bør kunne utøve denne retten selv om vedkommende ikke lenger er et barn. Ytterligere lagring av personopplysninger bør imidlertid være lovlig dersom det er nødvendig for å utøve retten til ytrings- og informasjonsfrihet, for å oppfylle en rettslig forpliktelse, utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, av allmenne folkehelsehensyn, for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning, for statistiske formål eller for å fastsette, gjøre gjeldende eller forsvare rettskrav.

66.

For å styrke retten til å bli glemt på internett bør retten til sletting også utvides, slik at en behandlingsansvarlig som har offentliggjort personopplysningene, har plikt til å underrette de behandlingsansvarlige som behandler nevnte personopplysninger, om at alle lenker til eller kopier eller reproduksjoner av nevnte personopplysninger skal slettes. I den forbindelse bør nevnte behandlingsansvarlig treffe rimelige tiltak, idet det tas hensyn til tilgjengelig teknologi og de midler den behandlingsansvarlige har til rådighet, herunder tekniske tiltak, for å underrette de behandlingsansvarlige som behandler personopplysningene, om den registrertes anmodning.

67.

Metodene for å begrense behandlingen av personopplysninger kan blant annet innebære at utvalgte opplysninger flyttes midlertidig til et annet behandlingssystem, at utvalgte personopplysninger gjøres utilgjengelig for brukere, eller at offentliggjorte opplysninger fjernes midlertidig fra et nettsted. I automatiserte registre bør behandlingen i prinsippet begrenses ved hjelp av tekniske midler som sikrer at personopplysningene ikke kan viderebehandles og endres. Det faktum at behandlingen av personopplysninger er begrenset, bør være tydelig angitt i systemet.

68.

For å gi den registrerte økt kontroll over egne personopplysninger bør den registrerte, ved automatisert behandling av personopplysningene, også ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en behandlingsansvarlig i et strukturert, alminnelig anvendt, maskinlesbart og kompatibelt format, og til å overføre dem til en annen behandlingsansvarlig. Behandlingsansvarlige bør oppmuntres til å utvikle kompatible formater som muliggjør dataportabilitet. Denne retten bør få anvendelse dersom den registrerte har gitt personopplysninger på grunnlag av et samtykke, eller dersom behandlingen er nødvendig for å oppfylle en avtale. Den bør ikke få anvendelse dersom behandlingen er basert på et annet rettslig grunnlag enn et samtykke eller en avtale. Denne retten er av en slik art at den ikke bør utøves overfor behandlingsansvarlige som behandler personopplysninger som et ledd i utøvelsen av sine offentlige oppgaver. Den bør derfor ikke få anvendelse dersom behandlingen av personopplysninger er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige, eller for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Den registrertes rett til å overføre eller motta personopplysninger om seg selv bør ikke innebære at de behandlingsansvarlige har plikt til å innføre eller opprettholde teknisk kompatible behandlingssystemer. Dersom et bestemt sett med personopplysninger berører mer enn én registrert, bør retten til å motta personopplysningene ikke berøre andre registrertes rettigheter og friheter i samsvar med denne forordning. Denne retten bør videre ikke berøre den registrertes rett til å få slettet personopplysninger samt begrensningene av denne retten som fastsatt i denne forordning, og bør særlig ikke innebære sletting av personopplysninger om den registrerte som vedkommende har gitt med henblikk på å oppfylle en avtale, i den grad og så lenge personopplysningene er nødvendige for å oppfylle nevnte avtale. Dersom det er teknisk mulig, bør den registrerte ha rett til å få personopplysningene overført direkte fra én behandlingsansvarlig til en annen.

69.

Dersom personopplysningene kan behandles på lovlig vis fordi behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, eller av hensyn til en behandlingsansvarligs eller en tredjeparts berettigede interesser, bør en registrert imidlertid ha rett til å protestere mot enhver behandling av personopplysninger som gjelder vedkommendes særlige situasjon. Det bør være opp til behandlingsansvarlige å påvise at vedkommendes tvingende berettigede interesse går foran den registrertes interesser eller grunnleggende rettigheter og friheter.

70.

Dersom personopplysninger behandles med henblikk på direkte markedsføring, bør den registrerte, uansett om det dreier seg om innledende behandling eller viderebehandling, ha rett til når som helst og gratis å protestere mot nevnte behandling, herunder profilering så lenge dette er knyttet til direkte markedsføring. Den registrerte bør uttrykkelig gjøres oppmerksom på denne retten, og informasjonen bør presenteres på en tydelig måte og atskilt fra all annen informasjon.

71.

Den registrerte bør ha rett til ikke å bli gjort til gjenstand for en avgjørelse, f.eks. et tiltak, som kan omfatte en vurdering av personlige aspekter ved vedkommende som fullt ut bygger på automatisert behandling, og som har rettsvirkning for vedkommende eller på lignende måte i betydelig grad påvirker vedkommende, f.eks. et automatisk avslag på en søknad om kreditt på internett eller e-rekruttering uten menneskelig inngripen. En slik behandling omfatter «profilering», som består av enhver form for automatisert behandling av personopplysninger der målet er å vurdere personlige aspekter ved en fysisk person, særlig for å analysere eller forutsi aspekter knyttet til den registrertes arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, når dette har rettsvirkning for eller på lignende måte i betydelig grad påvirker vedkommende. Avgjørelser som treffes på grunnlag av slik behandling, herunder profilering, bør imidlertid være tillatt når unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, uttrykkelig tillater dette, herunder med henblikk på overvåking og forebygging av bedrageri og skatteunndragelse som utføres i samsvar med forordningene, standardene og anbefalingene fra Unionens institusjoner eller nasjonale tilsynsorganer, og for å sikre at en tjeneste som leveres av den behandlingsansvarlige, er sikker eller pålitelig, eller som er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte og en behandlingsansvarlig, eller dersom den registrerte har gitt sitt uttrykkelige samtykke. Under alle omstendigheter bør en slik behandling ledsages av nødvendige garantier som bør omfatte spesifikk informasjon til den registrerte og rett til menneskelig inngripen, til å uttrykke sine synspunkter, til å få en forklaring på avgjørelsen som er truffet etter en slik vurdering, og til å protestere mot avgjørelsen. Nevnte tiltak bør ikke gjelde barn.

For å sikre en rettferdig og åpen behandling med hensyn til den registrerte, idet det tas hensyn til de særlige omstendighetene og sammenhengen personopplysningene behandles i, bør den behandlingsansvarlige bruke egnede matematiske eller statistiske framgangsmåter i forbindelse med profileringen, gjennomføre egnede tekniske og organisatoriske tiltak for særlig å sikre at faktorer som fører til uriktige personopplysninger, rettes opp og at risikoen for feil minimeres, sikre personopplysningene på en måte som tar hensyn til den registrertes interesser og rettigheter, og hindre blant annet forskjellsbehandling av fysiske personer på grunn av rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, genetisk status, helsetilstand eller seksuell orientering, eller behandling som fører til tiltak som har en slik virkning. Automatiserte avgjørelser og profilering basert på særlige kategorier av personopplysninger bør bare være tillatt på særlige vilkår.

72.

Profilering omfattes av reglene for behandling av personopplysninger i denne forordning, f.eks. det rettslige grunnlaget for behandlingen eller prinsippene for vern av personopplysninger. Det europeiske personvernråd (heretter kalt «Personvernrådet») som opprettes ved denne forordning, bør kunne gi veiledning om dette.

73.

Særlige prinsipper og retten til informasjon, innsyn i og retting eller sletting av personopplysninger, retten til dataportabilitet, retten til å protestere, avgjørelser basert på profilering samt underretning av en registrert om brudd på personopplysningssikkerheten og visse tilhørende forpliktelser som påhviler de behandlingsansvarlige, kan begrenses av unionsretten eller medlemsstatenes nasjonale rett i den grad det i et demokratisk samfunn er nødvendig og forholdsmessig av hensyn til den offentlige sikkerhet, herunder vern av menneskeliv, særlig som følge av naturkatastrofer eller menneskeskapte katastrofer, forebygging, etterforskning og straffeforfølging av straffbare forhold eller iverksetting av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet, eller brudd på yrkesetiske regler i lovregulerte yrker, andre viktige mål i allmennhetens interesse i Unionen eller en medlemsstat, særlig en viktig økonomisk eller finansiell interesse for Unionen eller en medlemsstat, føring av offentlige registre i allmennhetens interesse, viderebehandling av arkiverte personopplysninger for å framlegge særlig informasjon om politisk atferd under tidligere totalitære regimer eller vern av den registrerte eller andres rettigheter og friheter, herunder sosial trygghet, folkehelse og humanitære formål. Nevnte begrensninger bør være i samsvar med kravene fastsatt i pakten og i Den europeiske konvensjon om beskyttelse av menneskerettighetene og de grunnleggende friheter.

74.

Den behandlingsansvarliges ansvar og erstatningsansvar for enhver behandling av personopplysninger som utføres av eller på vegne av vedkommende, bør fastsettes. Den behandlingsansvarlige bør særlig ha plikt til å gjennomføre egnede og effektive tiltak og påvise at behandlingsaktivitetene oppfyller kravene i denne forordning, herunder at tiltakene er effektive. Nevnte tiltak bør ta høyde for behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene for fysiske personers rettigheter og friheter.

75.

Behandling av personopplysninger kan føre til at det oppstår risikoer av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter som kan medføre fysisk, materiell eller ikke-materiell skade, særlig når behandlingen kan føre til forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger, uautorisert oppheving av pseudonymisering eller andre betydelige økonomiske eller sosiale ulemper, når de registrerte kan bli fratatt sine rettigheter og friheter eller bli hindret i å utøve kontroll over egne personopplysninger, når behandlingen gjelder personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, og behandling av genetiske opplysninger, helseopplysninger, seksuelle forhold eller straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak, når personlige aspekter vurderes, særlig for å analysere eller forutsi aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, for å opprette eller bruke personlige profiler, når sårbare fysiske personers, særlig barns, personopplysninger behandles, eller når behandlingen omfatter en stor mengde personopplysninger og berører et stort antall registrerte.

76.

Hvor sannsynlig og alvorlig risikoen for den registrertes rettigheter og friheter er, bør fastslås ut fra behandlingens art, omfang, formål og sammenhengen den utføres i. Risikoen bør vurderes ut fra en objektiv vurdering der det fastslås om behandlingen av personopplysningene innebærer en risiko eller en høy risiko.

77.

Veiledning om gjennomføring av egnede tiltak og tiltak for å påvise at den behandlingsansvarlige eller databehandleren overholder denne forordning, særlig med hensyn til kartlegging av risikoen forbundet med behandlingen og en vurdering av risikoens opprinnelse, art, sannsynlighet og alvorlighetsgrad, samt kartlegging av beste praksis for å redusere risikoen, kan særlig gis ved hjelp av godkjente atferdsnormer, godkjente sertifiseringer, retningslinjer fra Personvernrådet eller anvisninger fra et personvernombud. Personvernrådet kan også utstede retningslinjer for behandlingsaktiviteter som sannsynligvis ikke vil innebære en høy risiko for fysiske personers rettigheter og friheter, samt angi hvilke tiltak som i slike tilfeller kan være tilstrekkelig for å håndtere nevnte risiko.

78.

Vern av fysiske personers rettigheter og friheter i forbindelse med behandling av personopplysninger krever at det treffes egnede tekniske og organisatoriske tiltak for å sikre at kravene i denne forordning oppfylles. For å påvise at denne forordning overholdes bør den behandlingsansvarlige vedta interne retningslinjer og gjennomføre tiltak som særlig overholder prinsippene om innebygd personvern og personvern som standardinnstilling. Nevnte tiltak kan blant annet omfatte å minimere behandlingen av personopplysninger, pseudonymisere personopplysninger så raskt som mulig, sikre at behandlingen og formålene med den er åpen, gjøre det mulig for den registrerte å kontrollere behandlingen samt gjøre det mulig for den behandlingsansvarlige å iverksette sikkerhetsfunksjoner og å forbedre dem.

Ved utvikling, utforming, valg og bruk av programmer, tjenester og produkter som er basert på behandling av personopplysninger, eller når personopplysninger behandles for å oppfylle disses funksjon, bør produsenter av nevnte produkter, tjenester og programmer oppmuntres til å ta hensyn til retten til vern av personopplysninger ved utvikling og utforming av nevnte produkter, tjenester og programmer og, idet det tas behørig hensyn til den tekniske utviklingen, sikre at behandlingsansvarlige og databehandlere kan oppfylle sine forpliktelser med hensyn til vern av personopplysninger. Det bør også tas hensyn til prinsippene om innebygd personvern og personvern som standardinnstilling i forbindelse med offentlige anbud.

79.

Vern av de registrertes rettigheter og friheter samt de behandlingsansvarliges og databehandleres ansvar, herunder i forbindelse med tilsynsmyndighetenes tilsyn og tiltak, krever en tydelig fordeling av ansvar i henhold til denne forordning, herunder når den behandlingsansvarlige fastsetter formålene med og midlene for behandlingen sammen med andre behandlingsansvarlige, eller når en behandlingsaktivitet utføres på vegne av en behandlingsansvarlig.

80.

Dersom en behandlingsansvarlig eller en databehandler som ikke er etablert i Unionen, behandler personopplysninger om registrerte som befinner seg i Unionen, og behandlingsaktivitetene gjelder tilbud av varer og tjenester til nevnte registrerte i Unionen, uavhengig av om det kreves betaling fra disse eller ikke, eller monitorering av deres atferd, dersom atferden finner sted i Unionen, bør den behandlingsansvarlige eller databehandleren utpeke en representant, med mindre behandlingen skjer leilighetsvis, ikke omfatter behandling i stor skala av særlige kategorier av personopplysninger eller behandling av personopplysninger om straffedommer og lovovertredelser, og at behandlingen sannsynligvis ikke vil innebære en risiko for fysiske personers rettigheter og friheter, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, eller om den behandlingsansvarlige er en offentlig myndighet eller et offentlig organ. Representanten bør opptre på vegne av den behandlingsansvarlige eller databehandleren og bør kunne kontaktes av alle tilsynsmyndigheter. Representanten bør utpekes eksplisitt gjennom en skriftlig fullmakt fra den behandlingsansvarlige eller databehandleren til å opptre på deres vegne med hensyn til deres forpliktelser i henhold til denne forordning. Utpekingen av nevnte representant berører ikke den behandlingsansvarliges eller databehandlerens ansvar eller erstatningsansvar i henhold til denne forordning. Nevnte representant bør utføre sine oppgaver i henhold til fullmakten fra den behandlingsansvarlige eller databehandleren, herunder samarbeide med vedkommende tilsynsmyndigheter om eventuelle tiltak som treffes for å sikre at denne forordning overholdes. Den utpekte representanten bør være underlagt håndhevingstiltak i tilfelle manglende overholdelse fra den behandlingsansvarliges eller databehandlerens side.

81.

For å sikre overholdelse av kravene i denne forordning med hensyn til behandling som skal utføres av databehandleren på vegne av den behandlingsansvarlige, når behandlingsaktiviteter overlates til en databehandler, bør den behandlingsansvarlige bare benytte databehandlere som gir tilstrekkelige garantier, særlig med tanke på dybdekunnskap, pålitelighet og ressurser, for at de vil gjennomføre tekniske og organisatoriske tiltak som vil oppfylle kravene i denne forordning, herunder kravene til sikker behandling. Databehandlerens overholdelse av godkjente atferdsnormer eller bruk av en godkjent sertifiseringsmekanisme kan brukes som en faktor for å påvise at den behandlingsansvarliges forpliktelser overholdes. Behandling som utføres av en databehandler, bør være underlagt en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett som binder databehandleren til den behandlingsansvarlige, og som fastsetter gjenstanden for og varigheten av behandlingen, behandlingens art og formål, typen personopplysninger og kategorier av registrerte, idet det tas hensyn til databehandlerens særlige oppgaver og ansvar i forbindelse med behandlingen som skal utføres, samt risikoen for den registrertes rettigheter og friheter. Den behandlingsansvarlige og databehandleren kan velge å bruke en individuell avtale eller standardavtalevilkår som enten er vedtatt direkte av Kommisjonen eller av en tilsynsmyndighet i samsvar med konsistensmekanismen, og deretter vedtatt av Kommisjonen. Når behandlingen på vegne av den behandlingsansvarlige er fullført, bør databehandleren tilbakelevere eller slette personopplysningene, avhengig av hva den behandlingsansvarlige velger, med mindre unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt, inneholder krav om lagring av personopplysningene.

82.

For å påvise samsvar med denne forordning bør den behandlingsansvarlige eller databehandleren føre protokoll over de behandlingsaktiviteter som de har ansvar for. Hver behandlingsansvarlig og hver databehandler bør ha plikt til å samarbeide med tilsynsmyndigheten og på anmodning gjøre disse protokollene tilgjengelig for den, slik at de kan benyttes til tilsyn med nevnte behandlingsaktiviteter.

83.

For å opprettholde sikkerheten og hindre at behandlingen er i strid med denne forordning bør den behandlingsansvarlige eller databehandleren vurdere de iboende risikoene forbundet med behandlingen og gjennomføre tiltak for å begrense disse, f.eks. kryptering. Nevnte tiltak bør sørge for et egnet sikkerhetsnivå, herunder et egnet nivå av konfidensialitet, idet det tas hensyn til den tekniske utviklingen og gjennomføringskostnadene i forbindelse med risikoene samt arten av personopplysningene som skal vernes. Når risikoen for datasikkerheten vurderes, bør det tas hensyn til risikoene forbundet med behandling av personopplysninger, f.eks. utilsiktet eller ulovlig tilintetgjøring, tap, endring, ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet, som særlig kan føre til fysisk, materiell eller ikke-materiell skade.

84.

For å bedre overholdelsen av denne forordning i tilfeller der det er sannsynlig at behandlingsaktiviteter vil medføre en høy risiko for fysiske personers rettigheter og friheter, bør den behandlingsansvarlige ha ansvar for å foreta en vurdering av personvernkonsekvenser for særlig å vurdere risikoens opprinnelse, art, særegenhet og alvorlighetsgrad. Det bør tas hensyn til utfallet av vurderingen ved fastsettelse av egnede tiltak som skal treffes for å påvise at behandlingen av personopplysningene oppfyller kravene i denne forordning. Dersom det framgår av nevnte konsekvensvurdering at behandlingsaktivitetene innebærer en høy risiko som den behandlingsansvarlige ikke kan begrense ved å treffe egnede tiltak, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnadene, bør tilsynsmyndigheten rådspørres før behandlingen finner sted.

85.

Et brudd på personopplysningssikkerheten kan, dersom det ikke håndteres på egnet måte og i rett tid, påføre fysiske personer fysisk, materiell eller ikke-materiell skade, f.eks. tap av kontroll over egne personopplysninger eller begrensning av egne rettigheter, forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, uautorisert oppheving av pseudonymisering, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger eller andre betydelige økonomiske eller sosiale ulemper for den berørte fysiske personen. Så snart den behandlingsansvarlige får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten, bør vedkommende melde nevnte brudd til tilsynsmyndigheten uten ugrunnet opphold og om mulig senest 72 timer etter å ha fått kjennskap til det, med mindre vedkommende i samsvar med ansvarlighetsprinsippet kan påvise at nevnte brudd på personopplysningssikkerheten sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom nevnte melding ikke kan gis innen 72 timer, bør årsaken til forsinkelsen oppgis i meldingen, og informasjonen kan gis trinnvis uten videre ugrunnet opphold.

86.

Den behandlingsansvarlige bør uten ugrunnet opphold underrette den registrerte om et brudd på personopplysningssikkerheten dersom det er sannsynlig at nevnte brudd kan medføre en høy risiko for den fysiske personens rettigheter og friheter, slik at vedkommende får mulighet til å treffe de nødvendige forholdsregler. Underretningen bør beskrive arten av bruddet på personopplysningssikkerheten og inneholde anbefalinger som den berørte fysiske personen kan følge for å begrense mulige skadevirkninger. De registrerte bør underrettes så snart det med rimelighet er mulig, og i nært samarbeid med tilsynsmyndigheten og i samsvar med retningslinjer utstedt av den eller av andre relevante myndigheter, f.eks. myndigheter med ansvar for håndheving av loven. Behovet for å redusere en umiddelbar risiko for skade kan f.eks. kreve at de registrerte underrettes omgående, mens behovet for å gjennomføre egnede tiltak mot fortsatte eller lignende brudd på personopplysningssikkerheten kan berettige en lengre frist for underretning.

87.

Det bør undersøkes om alle egnede teknologiske sikkerhetstiltak og organisatoriske tiltak er blitt gjennomført for omgående å kunne fastslå om det har funnet sted et brudd på personopplysningssikkerheten, og for omgående å underrette tilsynsmyndigheten og den registrerte. Det bør fastslås om meldingen ble gitt uten ugrunnet opphold, idet det tas særlig hensyn til arten og alvorlighetsgraden av bruddet på personopplysningssikkerheten og konsekvensene og skadevirkningene det har for den registrerte. En slik melding kan føre til inngripen fra tilsynsmyndigheten i samsvar med dens oppgaver og myndighet fastsatt i denne forordning.

88.

Ved fastsettelse av nærmere regler om formatet og framgangsmåtene som får anvendelse på melding av brudd på personopplysningssikkerheten, bør det tas behørig hensyn til omstendighetene rundt nevnte brudd, herunder om personopplysningene var omfattet av hensiktsmessige tekniske sikkerhetstiltak som på en effektiv måte begrenser sannsynligheten for identitetsbedrageri eller andre former for misbruk. Nevnte regler og framgangsmåter bør videre ta hensyn til de berettigede interessene til myndighetene med ansvar for håndheving av loven dersom en tidlig offentliggjøring i unødig grad vil kunne hindre etterforskning av omstendighetene rundt et brudd på personopplysningssikkerheten.

89.

Ved direktiv 95/46/EF ble det fastsatt en generell plikt til å melde behandlingen av personopplysningene til tilsynsmyndighetene. Denne plikten har medført en administrativ og økonomisk byrde, men har ikke alltid bidratt til å bedre vernet av personopplysninger. En slik vilkårlig og generell meldingsplikt bør derfor avskaffes og erstattes av effektive framgangsmåter og mekanismer, der det isteden fokuseres på den typen behandlingsaktiviteter som kan medføre en høy risiko for fysiske personers rettigheter og friheter i kraft av aktivitetenes art, omfang, formål og sammenhengen de utføres i. Denne typen behandlingsaktiviteter kan være aktiviteter som især innebærer bruk av ny teknologi, eller som er av en ny type, og der den behandlingsansvarlige ikke tidligere har gjennomført en vurdering av personvernkonsekvenser, eller dersom de blir nødvendige på grunn av tiden som har gått siden den opprinnelige behandlingen.

90.

I slike tilfeller bør den behandlingsansvarlige før behandlingen gjennomføre en vurdering av personvernkonsekvenser for å vurdere sannsynligheten for at det vil oppstå en høy risiko, samt alvorlighetsgraden av denne, idet det tas hensyn til behandlingens art, omfang, formål, sammenhengen den utføres i, og kildene til risikoen. Nevnte konsekvensvurdering bør særlig omfatte planlagte tiltak, garantier og mekanismer for å begrense risikoen, sikre vern av personopplysningene og påvise at denne forordning overholdes.

91.

Dette bør særlig få anvendelse på behandlingsaktiviteter i stor skala der formålet er å behandle en betydelig mengde personopplysninger på regionalt, nasjonalt eller overnasjonalt plan, og som kan påvirke et stort antall registrerte og innebære en høy risiko, f.eks. fordi opplysningene er sensitive, dersom, i samsvar med det oppnådde nivået av teknisk kunnskap, en ny teknologi anvendes i stor skala samt i forbindelse med andre behandlingsaktiviteter som innebærer en høy risiko for de registrertes rettigheter og friheter, særlig dersom nevnte aktiviteter gjør det vanskeligere for de registrerte å utøve sine rettigheter. Det bør også utføres en vurdering av personvernkonsekvenser dersom personopplysninger behandles med det formål å treffe avgjørelser om særskilte fysiske personer etter en systematisk og omfattende vurdering av personlige aspekter vedrørende fysiske personer basert på profilering av nevnte opplysninger, eller etter behandling av særlige kategorier av personopplysninger, biometriske opplysninger eller opplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak. Det kreves også en vurdering av personvernkonsekvenser ved overvåking i stor skala av offentlig tilgjengelige steder, særlig ved bruk av optoelektronisk utstyr, eller ved andre aktiviteter der vedkommende tilsynsmyndighet vurderer at behandlingen kan føre til en høy risiko for de registrertes rettigheter og friheter, særlig fordi de hindrer de registrerte i å utøve en rettighet eller gjøre bruk av en tjeneste eller en avtale, eller fordi de utføres systematisk i stor skala. Behandling av personopplysninger bør ikke anses for å være i stor skala dersom det er snakk om en leges, annet helsepersonells eller en advokats behandling av personopplysninger tilhørende pasienter eller klienter. I slike tilfeller bør en vurdering av personvernkonsekvenser ikke være obligatorisk.

92.

I noen tilfeller kan det være rimelig og økonomisk å utvide vurderingen av personvernkonsekvenser til å omfatte mer enn ett prosjekt, f.eks. dersom offentlige myndigheter eller organer har planer om å innføre en felles applikasjon eller behandlingsplattform, eller dersom flere behandlingsansvarlige planlegger å innføre en felles applikasjon eller et felles behandlingsmiljø på tvers av en industrisektor eller -segment eller for en horisontal aktivitet som er i utstrakt bruk.

93.

I forbindelse med vedtakelse av medlemsstatenes nasjonale rett som utgjør grunnlaget for en offentlig myndighets eller et offentlig organs utførelse av oppgaver, og som regulerer den eller de aktuelle spesifikke behandlingsaktivitetene, kan medlemsstatene anse det nødvendig å foreta nevnte vurdering før behandlingsaktivitetene.

94.

Dersom en vurdering av personvernkonsekvenser viser at behandlingen, i fravær av garantier, sikkerhetstiltak og mekanismer for å redusere risikoen, vil innebære en høy risiko for fysiske personers rettigheter og friheter, og den behandlingsansvarlige mener at risikoen ikke kan reduseres ved hjelp av rimelige midler, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnader, bør tilsynsmyndigheten rådspørres før oppstart av behandlingsaktivitetene. Visse typer behandling og omfanget og hyppigheten av behandlingen kan medføre nevnte høye risiko, som også kan føre til skade for eller inngrep i fysiske personers rettigheter og friheter. Tilsynsmyndigheten bør svare på anmodningen om drøftinger innen en fastsatt frist. En manglende reaksjon fra tilsynsmyndigheten innen nevnte frist bør imidlertid ikke berøre tilsynsmyndighetens mulighet til å gripe inn i samsvar med dens oppgaver og myndighet fastsatt i denne forordning, herunder myndighet til å forby behandlingsaktiviteter. Som en del av nevnte drøftinger kan utfallet av en vurdering av personvernkonsekvenser som utføres med henblikk på den aktuelle behandlingen, framlegges for tilsynsmyndigheten, særlig de planlagte tiltakene for å redusere risikoene for fysiske personers rettigheter og friheter.

95.	Databehandleren bør ved behov og på anmodning bistå den behandlingsansvarlige med å overholde pliktene som er forbundet med utførelsen av vurderingen av personvernkonsekvenser, og med forhåndsdrøftinger med tilsynsmyndigheten.

96.

Tilsynsmyndigheten bør også rådspørres i det forberedende arbeidet med et lovgivningsmessig tiltak eller et reguleringstiltak som gjelder behandling av personopplysninger, for å sikre at den tiltenkte behandlingen oppfyller kravene i denne forordning, og særlig for å redusere risikoen den medfører for den registrerte.

97.

Dersom behandlingen utføres av en offentlig myndighet, bortsett fra domstoler eller uavhengige rettshåndhevende myndigheter når de opptrer innenfor rammen av sin domsmyndighet, dersom behandlingen i privat sektor utføres av en behandlingsansvarlig hvis kjernevirksomhet består av behandlingsaktiviteter som krever regelmessig og systematisk monitorering i stor skala av de registrerte, eller dersom den behandlingsansvarliges eller databehandlerens kjernevirksomhet består av behandling i stor skala av særlige kategorier av personopplysninger og opplysninger om straffedommer og lovovertredelser, bør en person med dybdekunnskap om personvernlovgivning og -praksis bistå den behandlingsansvarlige eller databehandleren for å føre tilsyn med den interne overholdelsen av denne forordning. I privat sektor omfatter en behandlingsansvarligs kjernevirksomhet vedkommendes primære virksomhet og ikke behandling av personopplysninger som bivirksomhet. Det nødvendige nivået av dybdekunnskap bør fastsettes i henhold til de behandlingsaktivitetene som utføres, og det vernet som er nødvendig for personopplysningene som behandles av den behandlingsansvarlige eller databehandleren. Slike personvernombud, enten de er ansatt hos den behandlingsansvarlige eller ikke, bør kunne utføre sine funksjoner og oppgaver på en uavhengig måte.

98.

Sammenslutninger eller andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, bør oppmuntres til å utarbeide atferdsnormer innenfor rammen av denne forordning for å fremme en effektiv anvendelse av denne forordning, idet det tas hensyn til de særlige kjennetegnene ved behandling som utføres i visse sektorer, og de særlige behovene til svært små, små og mellomstore bedrifter. I slike atferdsnormer bør de behandlingsansvarliges og databehandlernes plikter defineres, idet det tas hensyn til risikoen for fysiske personers rettigheter og friheter som behandlingen kan medføre.

99.

Ved utarbeiding av atferdsnormer, eller ved endring eller utvidelse av atferdsnormer, bør sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, rådføre seg med relevante berørte parter, herunder registrerte når det er mulig, og ta hensyn til bemerkninger og synspunkter framsatt i forbindelse med slik rådføring.

100.	For å øke åpenheten og overholdelsen av denne forordning bør det oppmuntres til opprettelse av sertifiseringsmekanismer og personvernsegl og -merker, slik at de registrerte raskt kan vurdere nivået for vern av personopplysninger som relevante produkter og tjenester omfattes av.

101.

Strømmen av personopplysninger til og fra stater utenfor Unionen og internasjonale organisasjoner er nødvendig for å kunne utvide internasjonal handel og internasjonalt samarbeid. Denne strømmen har økt, og dette har skapt nye utfordringer og bekymringer med tanke på vern av personopplysninger. Når personopplysninger overføres fra Unionen til behandlingsansvarlige, databehandlere eller andre mottakere i tredjestater eller til internasjonale organisasjoner, bør det beskyttelsesnivået som fysiske personer ved denne forordning sikres i Unionen, imidlertid ikke undergraves, herunder i tilfeller der personopplysninger videreoverføres fra tredjestaten eller den internasjonale organisasjonen til behandlingsansvarlige eller databehandlere i den samme eller en annen tredjestat eller internasjonal organisasjon. Overføring til tredjestater og internasjonale organisasjoner må under alle omstendigheter bare skje i fullt samsvar med denne forordning. Med forbehold for de andre bestemmelsene i denne forordning kan en overføring bare finne sted dersom den behandlingsansvarlige eller databehandleren overholder vilkårene fastsatt i bestemmelsene i denne forordning om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner.

102.

Denne forordning berører ikke internasjonale avtaler inngått mellom Unionen og tredjestater om overføring av personopplysninger, herunder nødvendige garantier for de registrerte. Medlemsstatene kan inngå internasjonale avtaler som omfatter overføring av personopplysninger til tredjestater eller internasjonale organisasjoner, så lenge nevnte avtaler ikke berører denne forordning eller andre bestemmelser i unionsretten og gir et egnet nivå for vern av de registrertes grunnleggende rettigheter.

103.

Kommisjonen kan med virkning for hele Unionen beslutte at en tredjestat, et territorium eller en bestemt sektor i en tredjestat eller en internasjonal organisasjon har et tilstrekkelig nivå for vern av personopplysninger, og på den måten skape rettssikkerhet og ensartethet i hele Unionen med hensyn til tredjestaten eller de internasjonale organisasjonene som anses for å ha et slikt nivå for vern av personopplysninger. I slike tilfeller kan personopplysninger overføres til nevnte tredjestat eller internasjonale organisasjon uten at det er nødvendig å innhente ytterligere godkjenning. Kommisjonen kan også beslutte å tilbakekalle en slik beslutning etter å ha underrettet tredjestaten eller den internasjonale organisasjonen og gitt en fullstendig begrunnelse for dette.

104.

I samsvar med de grunnleggende verdiene som Unionen bygger på, særlig beskyttelse av menneskerettighetene, bør Kommisjonen i sin vurdering av tredjestaten, eller av et territorium eller en bestemt sektor i en tredjestat, ta hensyn til hvordan en bestemt tredjestat overholder rettsstatsprinsippet, sikrer klageadgang og domstolsprøving og overholder internasjonale menneskerettighetsstandarder samt sin allmenne og sektorbestemte lovgivning, herunder lovgivning om offentlig sikkerhet, forsvar, nasjonal sikkerhet, offentlig orden samt strafferett. Når det treffes en beslutning om tilstrekkelig beskyttelsesnivå som gjelder et territorium eller en bestemt sektor i en tredjestat, bør det tas hensyn til tydelige og objektive kriterier, f.eks. spesifikke behandlingsaktiviteter og omfanget av gjeldende rettsregler og lovgivning i tredjestaten. Tredjestaten bør gi garantier som sikrer et tilstrekkelig beskyttelsesnivå, og som i hovedtrekk tilsvarer det som sikres i Unionen, særlig når personopplysninger behandles i en eller flere spesifikke sektorer. Tredjestaten bør særlig sikre et effektivt og uavhengig personverntilsyn og bør opprette mekanismer for samarbeid med medlemsstatenes personvernmyndigheter, og de registrerte bør ha effektive og håndhevbare rettigheter og mulighet til effektiv administrativ og rettslig prøving.

105.

I tillegg til de internasjonale forpliktelsene som tredjestaten eller den internasjonale organisasjonen har inngått, bør Kommisjonen ta hensyn til forpliktelsene som følger av tredjestatens eller den internasjonale organisasjonens deltaking i multilaterale eller regionale systemer, særlig i forbindelse med vern av personopplysninger, samt gjennomføringen av nevnte forpliktelser. Det bør særlig tas hensyn til tredjestatens tiltredelse til Europarådets konvensjon av 28. januar 1981 om personvern i forbindelse med elektronisk databehandling av personopplysninger samt dens tilleggsprotokoll. Kommisjonen bør rådspørre Personvernrådet når den vurderer beskyttelsesnivå i tredjestater eller internasjonale organisasjoner.

106.

Kommisjonen bør overvåke virkningen av beslutninger om beskyttelsesnivået i en tredjestat, på et territorium eller i en bestemt sektor i en tredjestat eller en internasjonal organisasjon og overvåke virkningen av beslutninger truffet på grunnlag av artikkel 25 nr. 6 eller artikkel 26 nr. 4 i direktiv 95/46/EF. I sine beslutninger om tilstrekkelig beskyttelsesnivå bør Kommisjonen fastsette en mekanisme for regelmessig gjennomgåelse av beslutningenes virkning. Nevnte regelmessige gjennomgåelse bør utføres i samråd med den aktuelle tredjestat eller internasjonale organisasjon, idet det tas hensyn til all relevant utvikling i tredjestaten eller den internasjonale organisasjonen. I forbindelse med overvåking og de regelmessige gjennomgåelsene bør Kommisjonen ta hensyn til synspunkter og konklusjoner fra Europaparlamentet og Rådet samt fra andre relevante organer og kilder. Kommisjonen bør innen en rimelig frist vurdere virkningen av sistnevnte beslutninger og rapportere eventuelle relevante konklusjoner til komiteen omhandlet i europaparlaments- og rådsforordning (EU) nr. 182/2011¹² som nedsettes ved denne forordning, og til Europaparlamentet og Rådet.

107.

Kommisjonen kan fastslå at en tredjestat, et territorium eller en bestemt sektor i en tredjestat eller en internasjonal organisasjon ikke lenger sikrer et tilstrekkelig nivå for vern av personopplysninger. Overføringen av personopplysninger til nevnte tredjestat eller internasjonale organisasjon bør da forbys, med mindre kravene i denne forordning som gjelder overføringer som omfattes av nødvendige garantier, herunder bindende virksomhetsregler, og unntak for særlige situasjoner, er oppfylt. I slike tilfeller bør det fastsettes at det skal gjennomføres samråd mellom Kommisjonen og nevnte tredjestater eller internasjonale organisasjoner. Kommisjonen bør i rett tid underrette tredjestaten eller den internasjonale organisasjonen om årsakene og innlede samråd med den for å avhjelpe situasjonen.

108.

Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, bør den behandlingsansvarlige eller databehandleren treffe tiltak for å kompensere for det manglende vernet av personopplysninger i en tredjestat i form av nødvendige garantier for den registrerte. Nødvendige garantier kan omfatte bruk av bindende virksomhetsregler, standard personvernbestemmelser vedtatt av Kommisjonen, standard personvernbestemmelser vedtatt av en tilsynsmyndighet eller avtalevilkår godkjent av en tilsynsmyndighet. Disse garantiene bør sikre samsvar med kravene til vern av personopplysninger og de registrertes rettigheter i forbindelse med behandling internt i Unionen, herunder om de registrerte har tilgang til håndhevbare rettigheter og effektive rettsmidler, herunder retten til effektiv administrativ eller rettslig prøving og til å kreve erstatning i Unionen eller i en tredjestat. Garantiene bør særlig omfatte samsvar med de allmenne prinsippene om behandling av personopplysninger og prinsippene om innebygd personvern og personvern som standardinnstilling. Offentlige myndigheter eller organer kan også foreta overføringer til offentlige myndigheter eller organer i tredjestater eller til internasjonale organisasjoner med tilsvarende oppgaver eller funksjoner, herunder på grunnlag av bestemmelser som skal innlemmes i administrative ordninger, f.eks. en programerklæring, som gir de registrerte håndhevbare og effektive rettigheter. Det bør innhentes godkjenning fra vedkommende tilsynsmyndighet når garantiene er fastsatt i administrative ordninger som ikke er rettslig bindende.

109.

Den behandlingsansvarliges eller databehandlerens mulighet til å benytte standardbestemmelser for vern av personopplysninger vedtatt av Kommisjonen eller av en tilsynsmyndighet bør ikke hindre de behandlingsansvarlige eller databehandlere i å innlemme standardbestemmelsene for vern av personopplysninger i en mer omfattende avtale, f.eks. en avtale mellom databehandleren og en annen databehandler, eller i å tilføye andre bestemmelser eller ytterligere garantier, forutsatt at de ikke direkte eller indirekte er i strid med standardavtalevilkårene vedtatt av Kommisjonen eller av en tilsynsmyndighet eller berører de registrertes grunnleggende rettigheter og friheter. Behandlingsansvarlige og databehandlere bør oppmuntres til å fastsette ytterligere garantier gjennom avtalefestede forpliktelser som utfyller standard personvernbestemmelser.

110.

Et konsern eller en gruppe av foretak som utøver en felles økonomisk virksomhet, bør kunne anvende godkjente bindende virksomhetsregler når de foretar internasjonale overføringer fra Unionen til organisasjoner i samme konsern, eller gruppe av foretak som utøver en felles økonomisk virksomhet, forutsatt at nevnte virksomhetsregler omfatter alle grunnleggende prinsipper og håndhevbare rettigheter for å sikre nødvendige garantier for overføringer eller kategorier av overføringer av personopplysninger.

111.

Det bør fastsettes bestemmelser om at overføringer i visse tilfeller skal være mulig dersom den registrerte har gitt sitt uttrykkelige samtykke, og dersom overføringen skjer leilighetsvis og er nødvendig i forbindelse med en avtale eller et rettslig krav, uavhengig av om det skjer i forbindelse med en rettssak, forvaltningssak eller utenrettslig prosedyre, herunder prosedyrer ved reguleringsorganer. Det bør også fastsettes bestemmelser om muligheten for overføring dersom viktige allmenne interesser nedfelt i unionsretten eller medlemsstatenes nasjonale rett krever det, eller dersom overføringen skjer fra et register som er opprettet ved lov, og som allmennheten eller personer med en berettiget interesse kan konsultere. I sistnevnte tilfelle bør en slik overføring ikke omfatte alle personopplysninger eller hele kategorier av opplysninger i registeret, og dersom nevnte register skal kunne konsulteres av personer med en berettiget interesse, bør overføringen skje bare på anmodning fra nevnte personer eller, dersom de selv er mottakere, ved å ta behørig hensyn til de registrertes interesser og grunnleggende rettigheter.

112.

Disse unntakene bør særlig få anvendelse på overføring av opplysninger som er nødvendig av hensyn til viktige allmenne interesser, f.eks. ved internasjonal utveksling av opplysninger mellom konkurransemyndigheter, skatte- eller tollmyndigheter, mellom finanstilsynsmyndigheter, mellom kompetente trygdemyndigheter eller folkehelsemyndigheter, f.eks. ved kontaktsporing i forbindelse med smittsomme sykdommer eller for å redusere og/eller avskaffe doping i idrett. En overføring av personopplysninger bør også anses som lovlig dersom den er nødvendig for å verne en interesse av avgjørende betydning for den registrertes eller en annen persons vitale interesser, herunder fysisk integritet eller liv, dersom den registrerte ikke er i stand til å gi sitt samtykke. Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, kan det, av hensyn til viktige allmenne interesser, i unionsretten eller medlemsstatenes nasjonale rett uttrykkelig fastsettes grenser for overføring av spesifikke kategorier av opplysninger til en tredjestat eller en internasjonal organisasjon. Medlemsstatene bør underrette Kommisjonen om nevnte bestemmelser. Enhver overføring til en internasjonal humanitær organisasjon av personopplysninger om en registrert som fysisk eller juridisk ikke er i stand til å gi sitt samtykke, med det formål å utføre en oppgave i henhold til Genève-konvensjonene eller overholde internasjonalt humanitært regelverk som får anvendelse i væpnede konflikter, kan anses for å være nødvendig av hensyn til viktige allmenne interesser eller fordi det er av vital interesse for den registrerte.

113.

Overføringer som kan klassifiseres som ikke-gjentakende, og som bare gjelder et begrenset antall registrerte, bør også være mulig av hensyn til de tvingende berettigede interessene som forfølges av den behandlingsansvarlige, dersom den registrertes interesser eller rettigheter og friheter ikke går foran nevnte interesser, og dersom den behandlingsansvarlige har foretatt en vurdering av alle omstendighetene rundt overføringen. Den behandlingsansvarlige bør ta særlig hensyn til personopplysningenes art, formålet med og varigheten av den foreslåtte behandlingen samt situasjonen i opprinnelsesstaten, tredjestaten og den endelige bestemmelsesstaten, og bør fastsette nødvendige garantier for å verne fysiske personers grunnleggende rettigheter og friheter i forbindelse med behandling av deres personopplysninger. Nevnte overføringer bør bare være mulig i visse tilfeller der ingen av de andre grunnene til overføring får anvendelse. For formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål bør det tas hensyn til samfunnets berettigede forventninger om økt kunnskap. Den behandlingsansvarlige bør underrette tilsynsmyndigheten og den registrerte om overføringen.

114.

Dersom Kommisjonen ikke har truffet en beslutning om hvorvidt nivået for vern av personopplysninger i en tredjestat er tilstrekkelig, bør den behandlingsansvarlige eller databehandleren benytte løsninger som gir de registrerte håndhevbare og effektive rettigheter når det gjelder behandling av deres opplysninger i Unionen så snart nevnte opplysninger er blitt overført, slik at de fortsatt kan nyte godt av grunnleggende rettigheter og garantier.

115.

Visse tredjestater vedtar lover, forskrifter og andre rettsakter med det formål direkte å regulere behandlingsaktiviteter som utføres av fysiske og juridiske personer underlagt medlemsstatenes jurisdiksjon. Dette kan omfatte rettsavgjørelser fra domstoler eller avgjørelser fra administrative myndigheter i tredjestater der det kreves at en behandlingsansvarlig eller databehandler skal overføre eller utlevere personopplysninger, og som ikke bygger på en internasjonal avtale, f.eks. en traktat om gjensidig juridisk bistand, mellom den anmodende tredjestat og Unionen eller en medlemsstat. En anvendelse av nevnte lover, forskrifter og andre rettsakter på andre staters territorium kan være i strid med folkeretten og hindre oppnåelsen av det vernet av fysiske personer som ved denne forordning sikres i Unionen. Overføring bør bare være tillatt dersom vilkårene for overføring til tredjestater i denne forordning er oppfylt. Dette kan blant annet være tilfellet dersom utlevering er nødvendig av hensyn til viktige allmenne interesser som er anerkjent i unionsretten eller medlemsstatenes nasjonale rett, og som den behandlingsansvarlige er underlagt.

116.

Når personopplysninger krysser grenser utenfor Unionen, kan det øke risikoen for at fysiske personer ikke kan utøve sine rettigheter med hensyn til vern av personopplysninger, særlig for å beskytte seg mot ulovlig bruk eller utlevering av nevnte opplysninger. Samtidig kan tilsynsmyndigheter i noen tilfeller innse at de ikke er i stand til å følge opp klager eller foreta undersøkelser av aktiviteter som finner sted utenfor deres grenser. Samarbeidet på tvers av landegrensene kan også bli hindret av utilstrekkelig myndighet til å treffe forebyggende tiltak eller utbedringstiltak, av uensartede rettsordninger og praktiske hindringer, f.eks. ressursbegrensninger. Det er derfor behov for å fremme et tettere samarbeid mellom tilsynsmyndigheter for personvern, slik at de lettere kan utveksle informasjon og foreta undersøkelser sammen med sine internasjonale kolleger. For å utvikle mekanismer for internasjonalt samarbeid med sikte på å fremme og yte internasjonal gjensidig bistand med hensyn til håndheving av regelverket for vern av personopplysninger bør Kommisjonen og tilsynsmyndighetene utveksle informasjon og samarbeide om aktiviteter som er knyttet til utøvelse av deres myndighet, med vedkommende myndigheter i tredjestater på grunnlag av gjensidighet og i samsvar med denne forordning.

117.

Opprettelse av tilsynsmyndigheter i medlemsstater som gis myndighet til å utføre sine oppgaver og utøve sin myndighet i full uavhengighet, har avgjørende betydning for vernet av fysiske personer i forbindelse med behandling av deres personopplysninger. Medlemsstatene bør kunne opprette mer enn én tilsynsmyndighet for å gjenspeile medlemsstatens forfatningsmessige, organisatoriske og administrative struktur.

118.	Tilsynsmyndighetenes uavhengighet bør ikke bety at de ikke kan være gjenstand for mekanismer for kontroll eller tilsyn med egen økonomistyring eller underkastes domstolskontroll.

119.

Dersom en medlemsstat oppretter flere tilsynsmyndigheter, bør den ved lov opprette mekanismer for å sikre at disse tilsynsmyndighetene deltar effektivt i konsistensmekanismen. Nevnte medlemsstat bør særlig utpeke en tilsynsmyndighet som skal fungere som et felles kontaktpunkt for disse myndighetenes effektive deltaking i mekanismen, for å sikre et raskt og smidig samarbeid med andre tilsynsmyndigheter, Personvernrådet og Kommisjonen.

120.

Hver tilsynsmyndighet bør ha de nødvendige økonomiske og menneskelige ressurser, lokaler og infrastruktur for å kunne utføre sine oppgaver på en effektiv måte, herunder oppgaver knyttet til gjensidig bistand og samarbeid med andre tilsynsmyndigheter i Unionen. Hver tilsynsmyndighet bør ha et separat og offentlig årlig budsjett som kan inngå i det overordnede statsbudsjettet eller nasjonale budsjettet.

121.

De allmenne vilkårene for medlemmet/medlemmene av tilsynsmyndigheten bør fastsettes ved lov i hver medlemsstat, og det bør særlig fastsettes at nevnte medlemmer skal utnevnes ved hjelp av en åpen prosess, enten av parlamentet, regjeringen eller statsoverhodet i medlemsstaten på grunnlag et forslag fra regjeringen, et medlem av regjeringen, parlamentet eller et kammer i parlamentet, eller av et uavhengig organ med myndighet til dette i henhold til medlemsstatens nasjonale rett. For å sikre tilsynsmyndighetens uavhengighet bør medlemmet/medlemmene opptre med integritet, avstå fra enhver handling som ikke er forenlig med deres oppgaver, og så lenge utnevnelsesperioden varer, ikke utøve en uforenlig yrkesvirksomhet, enten den er lønnet eller ikke. Tilsynsmyndigheten bør ha sitt eget personell som er utvalgt av tilsynsmyndigheten eller av et uavhengig organ opprettet i henhold til medlemsstatens nasjonale rett, som utelukkende bør stå under ledelse av tilsynsmyndighetens medlem/medlemmer.

122.

Hver tilsynsmyndighet bør på territoriet til sin egen medlemsstat ha kompetanse til å utøve den myndighet og utføre de oppgaver den gis i henhold til denne forordning. Dette bør særlig omfatte behandling i forbindelse med aktivitetene ved den behandlingsansvarliges eller databehandlerens virksomhet på egen medlemsstats territorium, behandling av personopplysninger utført av offentlige myndigheter eller private organer i allmennhetens interesse, behandling som berører registrerte på medlemsstatens territorium, eller behandling som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i Unionen, når den er rettet mot registrerte som er bosatt på dens territorium. Dette bør omfatte behandling av klager inngitt av en registrert, gjennomføring av undersøkelser om anvendelsen av denne forordning og å fremme allmennhetens bevissthet om risikoene, reglene, garantiene og rettighetene i forbindelse med behandling av personopplysninger.

123.

Tilsynsmyndighetene bør føre tilsyn med anvendelsen av bestemmelsene i denne forordning samt bidra til en ensartet anvendelse av forordningen i hele Unionen for å sikre vern av fysiske personer i forbindelse med behandling av deres personopplysninger og fremme den frie flyten av personopplysninger i det indre marked. For dette formål bør tilsynsmyndighetene samarbeide med hverandre og med Kommisjonen uten at det er behov for en avtale om yting av gjensidig bistand eller slikt samarbeid mellom medlemsstatene.

124.

Dersom behandlingen av personopplysninger utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller databehandler i Unionen, og den behandlingsansvarlige eller databehandleren er etablert i mer enn én medlemsstat, eller dersom behandlingen som utføres i forbindelse med aktivitetene ved den eneste virksomheten til en behandlingsansvarlig eller databehandler i Unionen, i vesentlig grad påvirker eller sannsynligvis vil påvirke registrerte i mer enn én medlemsstat, bør tilsynsmyndigheten for den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet fungere som ledende tilsynsmyndighet. Den bør samarbeide med de andre berørte myndighetene dersom den behandlingsansvarlige eller databehandleren har en virksomhet på territoriet til deres medlemsstat, dersom registrerte bosatt på deres territorium i vesentlig grad berøres, eller dersom det er inngitt klage til dem. Også dersom en registrert som ikke er bosatt i nevnte medlemsstat, har inngitt klage, bør tilsynsmyndigheten som klagen er inngitt til, også være en berørt tilsynsmyndighet. Personvernrådet bør innenfor rammen av sine oppgaver med å utstede retningslinjer for eventuelle spørsmål som omfatter anvendelsen av denne forordning, særlig kunne utstede retningslinjer for kriteriene som skal tas i betraktning for å vurdere om den aktuelle behandlingen i vesentlig grad berører registrerte i mer enn én medlemsstat, og for hva som utgjør en relevant og begrunnet innsigelse.

125.

Den ledende myndigheten bør ha kompetanse til å treffe bindende avgjørelser om tiltak innenfor rammen av den myndighet den gis i samsvar med denne forordning. I egenskap av å være ledende myndighet bør tilsynsmyndigheten sørge for at de berørte tilsynsmyndighetene involveres tett og samordnes i avgjørelsesprosessen. Dersom det besluttes helt eller delvis å avslå den registrertes klage, bør avgjørelsen treffes av tilsynsmyndigheten som klagen er inngitt til.

126.

Avgjørelsen bør treffes i fellesskap av den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene og bør rettes til den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet, og den bør være bindende for den behandlingsansvarlige og databehandleren. Den behandlingsansvarlige eller databehandleren bør treffe de nødvendige tiltak for å sikre samsvar med denne forordning samt gjennomføring av avgjørelsen som den ledende tilsynsmyndigheten har meddelt den behandlingsansvarliges eller databehandlerens hovedvirksomhet med hensyn til behandlingsaktiviteter i Unionen.

127.

Hver tilsynsmyndighet som ikke fungerer som ledende tilsynsmyndighet, bør ha kompetanse til å håndtere lokale saker dersom den behandlingsansvarlige eller databehandleren er etablert i flere enn én medlemsstat, men gjenstanden for den spesifikke behandlingen bare gjelder behandling utført i én medlemsstat, og bare omfatter registrerte i nevnte ene medlemsstat, f.eks. dersom det gjelder behandling av arbeidstakeres personopplysninger i forbindelse med spesifikke ansettelsesforhold i en medlemsstat. I slike tilfeller bør tilsynsmyndigheten uten opphold underrette den ledende tilsynsmyndigheten om forholdet. Etter å ha blitt underrettet bør den ledende tilsynsmyndigheten beslutte om den skal behandle saken i henhold til bestemmelsen om samarbeid mellom den ledende tilsynsmyndigheten og andre berørte tilsynsmyndigheter («ettstedsmekanismen»), eller om tilsynsmyndigheten som underrettet den, bør behandle saken på lokalt plan. Når den ledende tilsynsmyndigheten skal beslutte om den skal behandle saken, bør den ta hensyn til om den behandlingsansvarlige eller databehandleren har en virksomhet i medlemsstaten til tilsynsmyndigheten som underrettet den, for å sikre en effektiv gjennomføring av en avgjørelse overfor den behandlingsansvarlige eller databehandleren. Dersom den ledende tilsynsmyndigheten beslutter å behandle saken, bør tilsynsmyndigheten som underrettet den, ha mulighet til å legge fram et forslag til avgjørelse som den ledende tilsynsmyndigheten bør ta størst mulig hensyn til ved utarbeiding av sitt utkast til avgjørelse i nevnte ettstedsmekanisme.

128.

Reglene for den ledende tilsynsmyndigheten og ettstedsmekanismen bør ikke få anvendelse dersom behandlingen utføres av offentlige myndigheter eller private organer i allmennhetens interesse. I slike tilfeller bør bare tilsynsmyndigheten i medlemsstaten der den offentlige myndigheten eller det private organet er etablert, ha kompetanse til å utøve myndigheten den er gitt i henhold til denne forordning.

129.

For å sikre ensartet tilsyn med og anvendelse av denne forordning i hele Unionen bør tilsynsmyndighetene i hver medlemsstat ha de samme oppgaver og den samme effektive myndighet, herunder myndighet til å foreta undersøkelser, myndighet til å beslutte korrigerende tiltak og ilegge sanksjoner samt myndighet til å godkjenne og utstede rådgivende uttalelser, særlig ved klager fra fysiske personer, og, uten at det berører den myndighet straffeforfølgende myndigheter har i henhold til medlemsstatenes nasjonale rett, myndighet til å bringe overtredelser av denne forordning inn for rettshåndhevende myndigheter og til å opptre som part i rettssaker. En slik myndighet bør også omfatte myndigheten til å fastsette en midlertidig eller endelig begrensning av, herunder et forbud mot, behandling. Medlemsstatene kan fastsette andre oppgaver knyttet til vern av personopplysninger i henhold til denne forordning. Tilsynsmyndighetenes myndighet bør utøves i samsvar med nødvendige prosessuelle garantier som er fastsatt i unionsretten og medlemsstatenes nasjonale rett, på en upartisk og rettferdig måte og innen rimelig tid. For å sikre samsvar med denne forordning bør hvert tiltak være egnet, nødvendig og forholdsmessig, idet det tas hensyn til omstendighetene i hvert enkelt tilfelle, samt respektere enhver persons rett til å bli hørt før det treffes individuelle tiltak som kan påvirke vedkommende negativt, og være utformet slik at overflødige kostnader og for store ulemper for de berørte personene unngås. Når det gjelder adgang til lokaler, bør undersøkelsesmyndigheten utøves i samsvar med særlige krav i medlemsstatenes prosessrett, f.eks. kravet om at det skal innhentes en rettslig forhåndsgodkjenning. Hvert rettslig bindende tiltak som treffes av tilsynsmyndigheten, bør være skriftlig, tydelig og utvetydig, angi hvilken tilsynsmyndighet som har truffet tiltaket, og på hvilken dato, være undertegnet av lederen for eller et medlem av tilsynsmyndigheten som er godkjent av vedkommende, angi begrunnelsen for tiltaket og inneholde en henvisning til retten til effektivt rettsmiddel. Dette bør ikke utelukke ytterligere krav i henhold til medlemsstatenes prosessrett. Dersom det treffes en rettslig bindende avgjørelse, kan den underlegges domstolskontroll i medlemsstaten til tilsynsmyndigheten som har truffet avgjørelsen.

130.

Dersom tilsynsmyndigheten som klagen er inngitt til, ikke er den ledende tilsynsmyndigheten, bør den ledende tilsynsmyndigheten samarbeide tett med tilsynsmyndigheten som klagen er inngitt til, i samsvar med bestemmelsene om samarbeid og ensartet anvendelse fastsatt i denne forordning. I slike tilfeller bør den ledende tilsynsmyndigheten, når den treffer tiltak som skal ha rettsvirkning, herunder ilegging av overtredelsesgebyr, ta størst mulig hensyn til synspunktene til tilsynsmyndigheten som klagen er inngitt til, og som fortsatt skal ha kompetanse til å foreta undersøkelser på sin egen medlemsstats territorium sammen med vedkommende tilsynsmyndighet.

131.

Dersom en annen tilsynsmyndighet bør fungere som ledende tilsynsmyndighet for den behandlingsansvarliges eller databehandlerens behandlingsaktiviteter, men det konkrete innholdet i en klage eller den mulige overtredelsen bare gjelder behandlingsaktiviteter som utføres av den behandlingsansvarlige eller databehandleren i medlemsstaten der klagen er inngitt eller den mulige overtredelsen er oppdaget, og forholdet ikke i vesentlig grad berører eller sannsynligvis ikke i vesentlig grad vil berøre registrerte i andre medlemsstater, bør tilsynsmyndigheten som mottar en klage eller oppdager eller på annen måte blir underrettet om situasjoner som innebærer mulige overtredelser av denne forordning, søke å komme fram til en minnelig løsning sammen med den behandlingsansvarlige og dersom dette ikke lykkes, utøve sin myndighet fullt ut. Dette bør omfatte spesifikk behandling som utføres på territoriet til tilsynsmyndighetens medlemsstat, eller når det gjelder registrerte, på territoriet til nevnte medlemsstat, behandling som utføres i forbindelse med tilbud av varer eller tjenester som er særlig rettet mot registrerte på territoriet til tilsynsmyndighetens medlemsstat, eller behandling som skal vurderes i henhold til relevante rettslige forpliktelser i medlemsstatenes nasjonale rett.

132.	Tilsynsmyndighetenes holdningskampanjer rettet mot allmennheten bør omfatte særlige tiltak rettet mot behandlingsansvarlige og databehandlere, herunder svært små, små og mellomstore bedrifter samt fysiske personer, særlig i utdanningssammenheng.

133.

Tilsynsmyndighetene bør bistå hverandre i forbindelse med utførelsen av sine oppgaver og yte gjensidig bistand for å sikre ensartet anvendelse og håndheving av denne forordning i det indre marked. En tilsynsmyndighet som anmoder om gjensidig bistand, kan treffe et midlertidig tiltak dersom den ikke mottar svar på nevnte anmodning innen en måned etter at den andre tilsynsmyndigheten har mottatt anmodningen.

134.	Dersom det er relevant, bør hver tilsynsmyndighet delta i felles aktiviteter sammen med andre tilsynsmyndigheter. Den anmodede tilsynsmyndighet bør ha plikt til å svare på anmodningen innen en fastsatt frist.

135.

For å sikre ensartet anvendelse av denne forordning i hele Unionen bør det opprettes en konsistensmekanisme for samarbeid mellom tilsynsmyndighetene. Nevnte mekanisme bør særlig få anvendelse dersom en tilsynsmyndighet akter å treffe et tiltak som skal ha rettsvirkning, når det gjelder behandlingsaktiviteter som i vesentlig grad berører et betydelig antall registrerte i flere medlemsstater. Den bør også få anvendelse dersom en berørt tilsynsmyndighet eller Kommisjonen anmoder om at et slikt forhold behandles innenfor rammen av konsistensmekanismen. Nevnte mekanisme bør ikke berøre eventuelle tiltak som Kommisjonen kan treffe som ledd i utøvelsen av sin myndighet i henhold til traktatene.

136.

Ved anvendelse av konsistensmekanismen bør Personvernrådet innen en fastsatt frist avgi uttalelse dersom et flertall av dets medlemmer beslutter det, eller dersom en berørt tilsynsmyndighet eller Kommisjonen anmoder om det. Personvernrådet bør også gis myndighet til å treffe rettslig bindende beslutninger dersom det oppstår tvister mellom tilsynsmyndighetene. For dette formål bør det, i prinsippet med to tredels flertall blant dets medlemmene, treffe rettslig bindende beslutninger i tydelig angitte tilfeller der det foreligger motstridende synspunkter blant tilsynsmyndighetene, særlig i mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene om en saks fakta, særlig om hvorvidt det foreligger en overtredelse av denne forordning.

137.

Det kan være nødvendig å treffe tiltak omgående for å verne registrertes rettigheter og friheter, særlig dersom det foreligger en fare for at en registrerts utøvelse av en rettighet kan bli betydelig hemmet. En tilsynsmyndighet bør derfor kunne treffe behørig begrunnede midlertidige tiltak på sitt territorium med en fastsatt gyldighetsperiode som ikke bør være lenger enn tre måneder.

138.

Anvendelsen av en slik mekanisme bør være et vilkår for lovligheten av et tiltak som er truffet av en tilsynsmyndighet, og som er ment å ha rettsvirkning, i tilfeller der anvendelsen av den er obligatorisk. I andre tilfeller som har en grenseoverskridende dimensjon, bør mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene anvendes, og gjensidig bistand kan ytes og felles aktiviteter kan gjennomføres mellom de berørte tilsynsmyndighetene på et bilateralt eller multilateralt grunnlag uten at det utløser konsistensmekanismen.

139.

For å fremme en ensartet anvendelse av denne forordning bør Personvernrådet opprettes som et uavhengig EU-organ. For å kunne oppfylle sine mål bør Personvernrådet ha status som juridisk person. Personvernrådet bør representeres av sin leder. Det bør erstatte arbeidsgruppen for personvern i forbindelse med behandling av personopplysninger nedsatt ved direktiv 95/46/EF. Det bør bestå av lederen for en tilsynsmyndighet i hver medlemsstat samt EUs datatilsyn eller de respektive representantene for dette. Kommisjonen bør delta i Personvernrådets aktiviteter uten stemmerett, og EUs datatilsyn bør ha særlig stemmerett. Personvernrådet bør bidra til en ensartet anvendelse av denne forordning i hele Unionen, herunder ved å rådgi Kommisjonen, særlig om beskyttelsesnivået i tredjestater eller internasjonale organisasjoner, samt fremme samarbeid mellom tilsynsmyndighetene i hele Unionen. Personvernrådet bør utføre sine oppgaver i full uavhengighet.

140.

Personvernrådet bør bistås av et sekretariat som stilles til rådighet av EUs datatilsyn. Personellet ved EUs datatilsyn som deltar i utførelsen av oppgavene som Personvernrådet gis ved denne forordning, bør utføre sine oppgaver utelukkende under ledelse av lederen for Personvernrådet og rapportere til vedkommende.

141.

Enhver registrert bør ha rett til å klage til én enkelt tilsynsmyndighet, særlig i medlemsstaten der vedkommende til vanlig er bosatt, samt ha rett til effektivt rettsmiddel i samsvar med artikkel 47 i pakten dersom vedkommende anser sine rettigheter i henhold til denne forordning for krenket, eller dersom tilsynsmyndigheten ikke reagerer på en klage, helt eller delvis avslår eller avviser en klage eller ikke griper inn når det er nødvendig for å verne den registrertes rettigheter. Undersøkelsen av en klage bør, med forbehold for domstolskontroll, foretas i den utstrekning som er egnet i det enkelte tilfellet. Tilsynsmyndigheten bør innen en rimelig frist underrette den registrerte om klagebehandlingsforløpet og om utfallet av klagen. Dersom saken krever ytterligere undersøkelse eller samordning med en annen tilsynsmyndighet, bør den registrerte underrettes om dette underveis. For å forenkle inngivelsen av klager bør hver tilsynsmyndighet treffe tiltak som f.eks. å utarbeide et klageskjema som også kan fylles ut elektronisk, uten at andre kommunikasjonsmidler utelukkes.

142.

Dersom en registrert mener at vedkommendes rettigheter i henhold til denne forordning er krenket, bør vedkommende ha rett til å gi et ideelt organ eller en ideell organisasjon eller sammenslutning som er opprettet i samsvar med en medlemsstats nasjonale rett, som har vedtektsfestede mål som er i allmennhetens interesse, og som er aktiv på området vern av personopplysninger, fullmakt til å klage til en tilsynsmyndighet på vedkommendes vegne, utøve retten til rettslig prøving på vegne av de registrerte eller, dersom det er fastsatt i medlemsstatenes nasjonale rett, utøve retten til å motta erstatning på vegne av de registrerte. En medlemsstat kan fastsette at nevnte organ, organisasjon eller sammenslutning, uavhengig av fullmakten fra en registrert, skal ha rett til å inngi klage i den aktuelle medlemsstaten samt ha rett til effektivt rettsmiddel dersom den har grunn til å tro at en registrerts rettigheter er blitt krenket som følge av en behandling av personopplysninger som er i strid med bestemmelsene i denne forordning. Nevnte organ, organisasjon eller sammenslutning kan ikke kreve erstatning på vegne av en registrert uavhengig av den registrertes fullmakt.

143.

Enhver fysisk eller juridisk person har rett til å bringe en sak om oppheving av Personvernrådets beslutninger inn for Domstolen på vilkårene fastsatt i artikkel 263 i TEUV. De berørte tilsynsmyndighetene som slike beslutninger er rettet til, må, dersom de ønsker å bestride dem, reise sak innen to måneder etter at beslutningene er meddelt dem, i samsvar med 263 i TEUV. Dersom en behandlingsansvarlig, databehandler eller klager er direkte og individuelt berørt av Personvernrådets beslutninger, kan disse, i samsvar med artikkel 263 i TEUV, reise sak om oppheving av nevnte beslutninger innen to måneder etter at beslutningene er offentliggjort på Personvernrådets nettsted. Uten at det berører denne rett i henhold til artikkel 263 i TEUV, bør enhver fysisk eller juridisk person ha rett til effektiv rettslig prøving ved vedkommende nasjonale domstol av en beslutning som er truffet av en tilsynsmyndighet, og som har rettsvirkning for vedkommende. En slik beslutning gjelder særlig tilsynsmyndighetens myndighet til å foreta undersøkelser, til å vedta korrigerende tiltak og til å godkjenne eller avslå eller avvise klager. Retten til effektiv rettslig prøving omfatter imidlertid ikke tiltak truffet av tilsynsmyndighetene som ikke er rettslig bindende, f.eks. uttalelser eller råd fra tilsynsmyndigheten. Saker som reises mot en tilsynsmyndighet, bør bringes inn for domstolene i medlemsstaten der tilsynsmyndigheten er etablert, og bør føres i samsvar med prosessretten i nevnte medlemsstat. Nevnte domstoler bør ha full domsmyndighet, som bør omfatte myndighet til å undersøke alle faktiske og rettslige forhold som gjelder tvisten de har fått seg forelagt.

Dersom en tilsynsmyndighet har avslått eller avvist en klage, kan klageren bringe saken inn for domstolene i samme medlemsstat. Når det gjelder rettslig prøving i forbindelse med anvendelsen av denne forordning, kan, eller i tilfellet fastsatt i artikkel 267 i TEUV, skal nasjonale domstoler som anser en avgjørelse om spørsmålet som nødvendig for å avsi dom, anmode Domstolen om en forhåndsavgjørelse om fortolkningen av unionsretten, herunder denne forordning. Dersom en avgjørelse truffet av en tilsynsmyndighet som gjennomfører en beslutning truffet av Personvernrådet, bestrides ved en nasjonal domstol, og det er uenighet om gyldigheten av Personvernrådets beslutning, har nevnte nasjonale domstol ikke myndighet til å erklære Personvernrådets beslutning for ugyldig, men skal, dersom den anser at beslutningen er ugyldig, henvise spørsmålet om gyldighet til Domstolen i samsvar med artikkel 267 i TEUV som fortolket av Domstolen. En nasjonal domstol kan imidlertid ikke henvise et spørsmål om gyldigheten av en beslutning truffet av Personvernrådet på anmodning fra en fysisk eller juridisk person som har hatt mulighet til reise sak om oppheving av nevnte beslutning, særlig dersom vedkommende var direkte eller personlig berørt av nevnte beslutning, men ikke har gjort dette innen fristen fastsatt i artikkel 263 i TEUV.

144.

Dersom en domstol for hvilken det er anlagt sak mot en avgjørelse truffet av en tilsynsmyndighet, har grunn til å tro at en sak som gjelder samme behandling, f.eks. med samme saksgjenstand og utført av samme behandlingsansvarlig eller databehandler, eller som har samme saksgrunnlag, er brakt inn for en vedkommende domstol i en annen medlemsstat, bør den kontakte nevnte domstol for å få bekreftet at det foreligger slike relaterte saker. Dersom det verserer relaterte saker for en domstol i en annen medlemsstat, kan enhver annen domstol enn den som saken først ble brakt inn for, utsette saken eller, på anmodning fra en av partene, erklære seg ikke domsmyndig til fordel for domstolen som saken først ble brakt inn for, forutsatt at nevnte domstol har domsmyndighet i den aktuelle saken, og at konsolidering av slike relaterte saker er tillatt i henhold til medlemsstatens nasjonale rett. Saker anses for å være relaterte når de er så tett forbundet at det er hensiktsmessig å behandle og avgjøre dem sammen, for å unngå risikoen for uforenlige rettsavgjørelser som følge av at de behandles hver for seg.

145.

Når det gjelder saker mot en behandlingsansvarlig eller databehandler, bør saksøkeren ha valget mellom å bringe saken inn for domstolene i medlemsstatene der den behandlingsansvarlige eller databehandleren har en virksomhet, eller der den registrerte er bosatt, med mindre den behandlingsansvarlige er en offentlig myndighet i en medlemsstat som handler innenfor rammen av sin offentlige myndighet.

146.

Den behandlingsansvarlige eller databehandleren bør yte erstatning for enhver skade som en person kan bli påført som følge av behandling som er i strid med bestemmelsene i denne forordning. Den behandlingsansvarlige eller databehandleren bør fritas for erstatningsansvar dersom vedkommende kan bevise at vedkommende på ingen måte er ansvarlig for skaden. Begrepet «skade» bør tolkes vidt på bakgrunn av Domstolens rettspraksis og på en måte som fullt ut gjenspeiler målene i denne forordning. Dette berører ikke eventuelle krav om skadeserstatning som følge av overtredelse av andre bestemmelser i unionsretten eller medlemsstatenes nasjonale rett. Behandling som er i strid med bestemmelsene i denne forordning, omfatter også behandling som er i strid med bestemmelser i delegerte rettsakter og gjennomføringsrettsakter vedtatt i samsvar med denne forordning og medlemsstatenes nasjonale rett som presiserer bestemmelsene i denne forordning. De registrerte bør få full og effektiv erstatning for den skade de har lidd. Dersom behandlingsansvarlige eller databehandlere er involvert i den samme behandlingen, bør den enkelte behandlingsansvarlige eller databehandler holdes ansvarlig for hele skaden. Dersom de er involvert i samme rettergang i samsvar med medlemsstatenes nasjonale rett, kan erstatningen imidlertid fordeles i henhold til den enkelte behandlingsansvarliges eller databehandlers ansvar for skaden som behandlingen har forvoldt, forutsatt at den registrerte som har lidd skaden, er sikret full og effektiv erstatning. Enhver behandlingsansvarlig eller databehandler som har betalt full erstatning, kan deretter gjøre regress gjeldende mot andre behandlingsansvarlige eller databehandlere som har vært involvert i samme behandling.

147.

Når denne forordning inneholder særlige bestemmelser om domsmyndighet, særlig når det gjelder saker om adgang til rettsmidler, herunder for å oppnå erstatning, mot en behandlingsansvarlig eller databehandler, bør allmenne bestemmelser om domsmyndighet, f.eks. bestemmelsene i europaparlaments- og rådsforordning (EU) nr. 1215/2012,¹³ ikke berøre anvendelsen av nevnte særlige bestemmelser.

148.

For å styrke håndhevingen av bestemmelsene i denne forordning bør det ved overtredelse av denne forordning ilegges sanksjoner, herunder overtredelsesgebyr, i tillegg til eller i stedet for egnede tiltak som tilsynsmyndigheten pålegger i henhold til denne forordning. Ved mindre overtredelser eller dersom overtredelsesgebyret som kan bli ilagt, vil utgjøre en uforholdsmessig stor byrde for en fysisk person, kan det gis en irettesettelse i stedet for et overtredelsesgebyr. Det bør imidlertid tas behørig hensyn til overtredelsens art, alvorlighetsgrad og varighet, om den er gjort forsettlig, tiltak som er truffet for å redusere den forvoldte skade, graden av ansvar eller eventuelle relevante tidligere overtredelser, måten tilsynsmyndigheten fikk kjennskap til overtredelsen på, overholdelse av tiltak truffet overfor den behandlingsansvarlige eller databehandleren, overholdelse av atferdsnormer samt andre skjerpende eller formildende faktorer. Ilegging av sanksjoner, herunder overtredelsesgebyr, bør være omfattet av nødvendige prosessuelle garantier i samsvar med de allmenne prinsippene i unionsretten og i pakten, herunder et effektivt rettslig vern og en rettferdig rettergang.

149.

Medlemsstatene bør også kunne fastsette regler om strafferettslige sanksjoner ved overtredelse av denne forordning, herunder ved overtredelse av nasjonale regler vedtatt i henhold til og innenfor rammen av denne forordning. Disse strafferettslige sanksjonene kan også omfatte muligheten til å inndra en eventuell fortjeneste som er oppnådd som følge av overtredelse av denne forordning. Ilegging av strafferettslige sanksjoner for overtredelse av nevnte nasjonale regler samt av administrative sanksjoner bør imidlertid ikke føre til et brudd på ne bis in idem-prinsippet slik det tolkes av Domstolen.

150.

For å styrke og harmonisere de administrative sanksjonene for overtredelse av denne forordning bør hver tilsynsmyndighet ha myndighet til å ilegge overtredelsesgebyr. Denne forordning bør definere overtredelser og den øvre grensen og kriteriene for fastsettelse av de tilhørende overtredelsesgebyrene, som bør bestemmes av vedkommende tilsynsmyndighet i hvert enkelt tilfelle, idet det tas hensyn til alle forhold som er relevante for den bestemte situasjonen, og idet det tas behørig hensyn særlig til overtredelsens art, alvorlighetsgrad, varighet og konsekvenser samt tiltakene som er truffet for å sikre samsvar med forpliktelsene i denne forordning, og for å forebygge eller redusere konsekvensene av overtredelsen. Dersom et foretak ilegges overtredelsesgebyr, bør et foretak for disse formål forstås som et foretak i henhold til artikkel 101 og 102 i TEUV. Dersom personer som ikke er foretak, ilegges overtredelsesgebyr, bør tilsynsmyndigheten ved fastsettelse av en egnet størrelse på overtredelsesgebyret ta hensyn til det generelle inntektsnivået i medlemsstaten samt til personens økonomiske situasjon. Konsistensmekanismen kan også brukes for å fremme en ensartet anvendelse av overtredelsesgebyrer. Det bør være opp til medlemsstatene å bestemme om og i hvilken grad offentlige myndigheter bør kunne ilegges overtredelsesgebyr. Ilegging av et overtredelsesgebyr eller utstedelse av en advarsel berører ikke anvendelsen av tilsynsmyndighetenes øvrige myndighet eller andre sanksjoner i henhold til denne forordning.

151.

Rettsordenen i Danmark og Estland tillater ikke overtredelsesgebyr som fastsatt i denne forordning. Bestemmelsene om overtredelsesgebyr kan i Danmark anvendes ved at gebyr ilegges av vedkommende nasjonale domstoler som en strafferettslig sanksjon, og i Estland ved at gebyr ilegges av tilsynsmyndigheten innenfor rammen av en forseelsesprosedyre, forutsatt at en slik anvendelse av bestemmelsene i disse medlemsstatene har en virkning som tilsvarer virkningen av overtredelsesgebyrer ilagt av tilsynsmyndigheter. Vedkommende nasjonale domstoler bør derfor ta hensyn til anbefalingen fra tilsynsmyndigheten som har initiert gebyret. I alle tilfeller bør gebyrene som ilegges, være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende.

152.

Når denne forordning ikke harmoniserer administrative sanksjoner eller dersom det er nødvendig i andre tilfeller, f.eks. ved alvorlige overtredelser av denne forordning, bør medlemsstatene innføre et system som gjør det mulig å ilegge effektive, forholdsmessige og avskrekkende sanksjoner. Sanksjonenes art, dvs. om de er strafferettslige eller administrative, bør fastsettes i medlemsstatenes nasjonale rett.

153.

I medlemsstatenes nasjonale rett bør reglene for ytrings- og informasjonsfrihet, herunder med henblikk på journalistiske, akademiske, kunstneriske og/eller litterære ytringer, bringes i samsvar med retten til vern av personopplysninger i henhold til denne forordning. Det bør fastsettes unntak eller fritak fra visse bestemmelser i denne forordning for behandling av personopplysninger som utelukkende finner sted i journalistisk øyemed eller med henblikk på akademiske, kunstneriske eller litterære ytringer, dersom dette er nødvendig for å bringe retten til vern av personopplysninger i samsvar med retten til ytrings- og informasjonsfrihet som nedfelt i artikkel 11 i pakten. Dette bør særlig gjelde behandling av personopplysninger på det audiovisuelle området og i nyhetsarkiver og pressebiblioteker. Medlemsstatene bør derfor treffe lovgivningsmessige tiltak som fastsetter de fritak og unntak som er nødvendige for å oppnå en balanse mellom disse grunnleggende rettighetene. Medlemsstatene bør vedta nevnte fritak og unntak med hensyn til allmenne prinsipper, den registrertes rettigheter, den behandlingsansvarlige og databehandleren, overføring av personopplysninger til tredjestater eller internasjonale organisasjoner, de uavhengige tilsynsmyndighetene, samarbeid og ensartethet samt særlige databehandlingssituasjoner. Dersom slike fritak eller unntak varierer fra en medlemsstat til en annen, bør retten i medlemsstaten som den behandlingsansvarlige er underlagt, få anvendelse. For å ta høyde for viktigheten av retten til ytringsfrihet i ethvert demokratisk samfunn må begreper som er knyttet til denne friheten, f.eks. journalistikk, tolkes bredt.

154.

Denne forordning gir mulighet for at det ved anvendelse av denne forordning kan tas hensyn til prinsippet om allmennhetens rett til innsyn i offentlige dokumenter. Innsyn i offentlige dokumenter kan anses for å være i allmennhetens interesse. Personopplysninger i dokumenter som oppbevares av en offentlig myndighet eller et offentlig organ, bør kunne offentliggjøres av nevnte myndighet eller organ dersom dette er fastsatt i unionsretten eller medlemsstatenes nasjonale rett som den offentlige myndigheten eller det offentlige organet er underlagt. Nevnte lovbestemmelser bør bringe allmennhetens rett til innsyn i offentlige dokumenter og viderebruk av informasjon fra offentlig sektor i samsvar med retten til vern av personopplysninger, og kan derfor inneholde bestemmelser om det nødvendige samsvaret med retten til vern av personopplysninger i henhold til denne forordning. Offentlige myndigheter og organer bør i denne forbindelse omfatte alle myndigheter eller andre organer som omfattes av medlemsstatenes nasjonale rett om dokumentinnsyn. Europaparlaments- og rådsdirektiv 2003/98/EF¹⁴ opprettholder og berører på ingen måte beskyttelsesnivået for fysiske personer ved behandling av personopplysninger i henhold til bestemmelsene i unionsretten og medlemsstatenes nasjonale rett, og det endrer især ikke forpliktelsene og rettighetene fastsatt i denne forordning. Nevnte direktiv bør særlig ikke få anvendelse på dokumenter som det i henhold til innsynsordningene ikke er eller er begrenset innsyn i av hensyn til vern av personopplysninger, og deler av dokumenter som er tilgjengelig i henhold til disse ordningene, men som inneholder personopplysninger hvis viderebruk ved lov er fastsatt som uforenlig med lovgivningen om vern av fysiske personer ved behandling av personopplysninger.

155.

I medlemsstatenes nasjonale rett eller tariffavtaler, herunder «arbeidsavtaler», kan det fastsettes særlige regler om behandling av arbeidstakernes personopplysninger i ansettelsesforhold, særlig når det gjelder vilkårene for behandling av personopplysninger i ansettelsesforhold på grunnlag av et samtykke fra den ansatte, formålet med ansettelsen, gjennomføring av ansettelsesavtalen, herunder overholdelse av pliktene fastsatt ved lov eller i tariffavtaler, ledelse, planlegging og organisering av arbeidet, likestilling og mangfold samt helse og sikkerhet på arbeidsplassen, individuell eller kollektiv utøvelse og rett til å nyte godt av rettighetene og fordelene knyttet til ansettelsen samt for å avslutte ansettelsesforholdet.

156.

Behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål bør være omfattet av nødvendige garantier som sikrer den registrertes rettigheter og friheter i henhold til denne forordning. Disse garantiene bør sikre at det er innført tekniske og organisatoriske tiltak for særlig å sikre overholdelse av prinsippet om dataminimering. Viderebehandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal utføres etter at den behandlingsansvarlige har foretatt en vurdering av om det er mulig å oppfylle nevnte formål ved å behandle opplysninger som ikke eller ikke lenger gjør det mulig å identifisere de registrerte, forutsatt at det foreligger nødvendige garantier (f.eks. pseudonymisering av opplysningene). Medlemsstatene bør fastsette nødvendige garantier for behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Medlemsstatene bør på særlige vilkår og med forbehold for nødvendige garantier for de registrerte ha rett til å fastsette spesifikasjoner og unntak med hensyn til informasjonskravene og retten til retting, sletting, til å bli glemt, til begrensning av behandling, til dataportabilitet og til å protestere i forbindelse med behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. De aktuelle vilkårene og garantiene kan omfatte særlige framgangsmåter som gjør det mulig for registrerte å utøve nevnte rettigheter dersom dette er egnet med henblikk på formålene med den spesifikke behandlingen, samt tekniske og organisatoriske tiltak som tar sikte på å minimere behandlingen av personopplysninger i henhold til forholdsmessighets- og nødvendighetsprinsippet. Behandling av personopplysninger for vitenskapelige formål bør også utføres i samsvar med annet relevant regelverk, f.eks. om kliniske utprøvinger.

157.

Ved å koble sammen opplysninger fra forskjellige registre kan forskere oppnå ny og svært verdifull kunnskap om utbredte sykdomstilstander som hjerte- og karsykdommer, kreft og depresjon. På grunnlag av registre kan forskningsresultater forbedres, ettersom registrene omfatter større befolkningsgrupper. Innen samfunnsvitenskap gjør registerforskning det mulig for forskere å få viktig kunnskap om den langsiktige sammenhengen mellom en rekke sosiale forhold, f.eks. arbeidsløshet og utdanning, og andre livsvilkår. Forskningsresultater oppnådd gjennom registerforskning gir omfattende kunnskap av høy kvalitet som kan danne grunnlaget for utformingen og gjennomføringen av en kunnskapsbasert politikk, forbedre livskvaliteten til en rekke mennesker og gjøre sosialtjenester mer effektive. For å fremme vitenskapelig forskning kan personopplysninger behandles for formål knyttet til vitenskapelig forskning, med forbehold for nødvendige vilkår og garantier fastsatt i unionsretten eller i medlemsstatenes nasjonale rett.

158.

Dersom personopplysninger behandles for arkivformål, bør denne forordning også få anvendelse på slik behandling, men ikke på avdøde personer. Offentlige myndigheter eller offentlige eller private organer som oppbevarer fortegnelser av allmenn interesse, bør være tjenester som i henhold til unionsretten eller medlemsstatenes nasjonale rett har en rettslig forpliktelse til å innhente, bevare, vurdere, organisere, beskrive, kommunisere, fremme, spre og gi tilgang til fortegnelser av varig verdi i allmennhetens interesse. Medlemsstatene bør også ha rett til å fastsette at personopplysninger kan viderebehandles for arkivformål, f.eks. for å framlegge spesifikk informasjon om politisk atferd under tidligere totalitære regimer, folkemord, forbrytelser mot menneskeheten, særlig holocaust, eller krigsforbrytelser.

159.

Når personopplysninger behandles i forbindelse med formål knyttet til vitenskapelig forskning, bør denne forordning også få anvendelse på slik behandling. I denne forordning bør behandling av personopplysninger i forbindelse med formål knyttet til vitenskapelig forskning tolkes vidt og f.eks. omfatte teknologisk utvikling og demonstrasjon, grunnleggende forskning, anvendt forskning og privatfinansiert forskning. I tillegg bør den ta hensyn til Unionens mål om å skape et europeisk forskningsområde i henhold til artikkel 179 nr. 1 i TEUV. Formål knyttet til vitenskapelig forskning bør også omfatte studier som utføres i allmennhetens interesse på området folkehelse. For å ta hensyn til de særlige forholdene som gjelder ved behandling av personopplysninger i forbindelse med vitenskapelig forskning, bør særlige vilkår få anvendelse, særlig med hensyn til publisering eller annen utlevering av personopplysninger i forbindelse med nevnte formål. Dersom resultatet av den vitenskapelige forskningen, særlig på området helse, berettiger ytterligere tiltak i den registrertes interesse, bør de allmenne bestemmelsene i denne forordning få anvendelse med henblikk på nevnte tiltak.

160.

Når personopplysninger behandles i forbindelse med formål knyttet til historisk forskning, bør denne forordning også få anvendelse på slik behandling. Dette bør også omfatte historisk forskning og genealogisk forskning, idet det tas hensyn til at denne forordning ikke bør få anvendelse på avdøde personer.

161.	Når det gjelder samtykke til å delta i vitenskapelige forskningsaktiviteter i forbindelse med kliniske utprøvinger, bør de relevante bestemmelsene i europaparlaments- og rådsforordning (EU) nr. 536/2014¹⁵ få anvendelse.

162.

Når personopplysninger behandles for statistiske formål, bør denne forordning få anvendelse på slik behandling. I unionsretten eller medlemsstatenes nasjonale rett bør det innenfor rammene av denne forordning fastsettes statistisk innhold, tilgangskontroll, spesifikasjoner for behandling av personopplysninger for statistiske formål og egnede tiltak for å sikre den registrertes rettigheter og friheter samt for å sikre konfidensiell behandling av statistiske opplysninger. Med statistiske formål menes enhver innsamling og behandling av personopplysninger som er nødvendig i forbindelse med statistiske undersøkelser eller for å framskaffe statistiske resultater. Nevnte statistiske resultater kan deretter brukes til forskjellige formål, herunder til vitenskapelig forskning. Det statistiske formålet innebærer at resultatet av behandlingen for statistiske formål ikke er personopplysninger, men aggregerte data, og at dette resultatet eller personopplysningene ikke brukes som støtte for tiltak eller avgjørelser som gjelder en bestemt fysisk person.

163.

De konfidensielle opplysningene som Unionens og nasjonale statistikkmyndigheter samler inn for å utarbeide offisiell EU-statistikk og offisiell nasjonal statistikk, bør vernes. EU-statistikk bør utvikles, utarbeides og formidles i samsvar med de statistiske prinsippene fastsatt i artikkel 338 nr. 2 i TEUV, mens nasjonal statistikk også bør være i samsvar med medlemsstatenes nasjonale rett. Ved europaparlaments- og rådsforordning (EF) nr. 223/2009¹⁶ er det fastsatt ytterligere spesifikasjoner for konfidensiell behandling av statistiske opplysninger i Europa.

164.

Når det gjelder tilsynsmyndighetenes myndighet til å få tilgang til personopplysninger fra den behandlingsansvarlige eller databehandleren og adgang til deres lokaler, kan medlemsstatene innenfor rammene av denne forordning ved lov vedta særlige regler for å sikre yrkesmessig eller annen tilsvarende taushetsplikt, i den grad det er nødvendig for å bringe retten til vern av personopplysning i samsvar med yrkesmessig taushetsplikt. Dette berører ikke medlemsstatenes eksisterende forpliktelser til å vedta regler om taushetsplikt dersom det kreves i unionsretten.

165.	Denne forordning respekterer og berører ikke den status kirker og religiøse sammenslutninger eller samfunn har i henhold til eksisterende forfatningsrett i medlemsstatene, som anerkjent i artikkel 17 i TEUV.

166.

For å oppfylle målene i denne forordning, som er å verne fysiske personers grunnleggende rettigheter og friheter og særlig deres rett til vern av personopplysninger, og for å sikre fri utveksling av personopplysninger i Unionen, bør myndigheten til å vedta rettsakter i samsvar med artikkel 290 i TEUV delegeres til Kommisjonen. Det bør særlig vedtas delegerte rettsakter om kriteriene for og kravene til sertifiseringsmekanismer, informasjon som skal gis ved hjelp av standardiserte ikoner, og framgangsmåter for å tilveiebringe nevnte ikoner. Det er særlig viktig at Kommisjonen holder hensiktsmessige samråd under sitt forberedende arbeid, herunder på ekspertnivå. Kommisjonen bør ved forberedelse og utarbeiding av delegerte rettsakter sikre at relevante dokumenter oversendes Europaparlamentet og Rådet samtidig, til rett tid og på en egnet måte.

167.

For å sikre ensartede vilkår for gjennomføring av denne forordning bør Kommisjonen gis gjennomføringsmyndighet når dette er fastsatt i denne forordning. Nevnte myndighet bør utøves i samsvar med forordning (EU) nr. 182/2011. I denne forbindelse bør Kommisjonen vurdere særlige tiltak for svært små, små og mellomstore bedrifter.

168.

Undersøkelsesprosedyren bør brukes når det vedtas gjennomføringsrettsakter om standardavtalevilkår mellom behandlingsansvarlige og databehandlere og mellom databehandlere; atferdsnormer; tekniske standarder og sertifiseringsmekanismer; det tilstrekkelige beskyttelsesnivået som sikres av en tredjestat, et territorium eller en angitt sektor i nevnte tredjestat eller en internasjonal organisasjon; standard personvernbestemmelser; formater og framgangsmåter for elektronisk utveksling av informasjon mellom behandlingsansvarlige, databehandlere og tilsynsmyndigheter med tanke på bindende virksomhetsregler; gjensidig bistand samt ordninger for elektronisk utveksling av informasjon mellom tilsynsmyndigheter og mellom tilsynsmyndigheter og Personvernrådet.

169.

Kommisjonen bør vedta gjennomføringsrettsakter med umiddelbar virkning når tilgjengelig dokumentasjon viser at en tredjestat, et territorium eller en angitt sektor i nevnte tredjestat eller en internasjonal organisasjon ikke sikrer et tilstrekkelig beskyttelsesnivå, og tvingende og presserende hensyn krever det.

170.

Ettersom målet for denne forordning, som er å sikre et ensartet nivå for vern av fysiske personer og fri flyt av personopplysninger i hele Unionen, ikke kan nås i tilstrekkelig grad av medlemsstatene og derfor på grunn av tiltakets omfang og virkninger bedre kan nås på unionsplan, kan Unionen treffe tiltak i samsvar med nærhetsprinsippet som fastsatt i artikkel 5 i traktaten om Den europeiske union (TEU). I samsvar med forholdsmessighetsprinsippet fastsatt i nevnte artikkel går denne forordning ikke lenger enn det som er nødvendig for å nå dette målet.

171.

Direktiv 95/46/EF bør oppheves ved denne forordning. Behandling som allerede pågår på anvendelsesdatoen for denne forordning, bør bringes i samsvar med denne forordning senest to år etter at denne forordning har trådt i kraft. Når behandlingen bygger på et samtykke i henhold til direktiv 95/46/EF, trenger den registrerte ikke å gi sitt samtykke på nytt for at den behandlingsansvarlige skal kunne fortsette nevnte behandling etter anvendelsesdatoen for denne forordning, dersom samtykket ble gitt i samsvar med vilkårene i denne forordning. Beslutninger truffet av Kommisjonen og godkjenninger gitt av tilsynsmyndigheter på grunnlag av direktiv 95/46/EF skal fortsette å gjelde fram til de endres, erstattes eller oppheves.

172.	EUs datatilsyn er blitt rådspurt i samsvar med artikkel 28 nr. 2 i forordning (EF) nr. 45/2001 og avga uttalelse 7. mars 2012.¹⁷

173.

Denne forordning bør få anvendelse på alle forhold som gjelder vern av grunnleggende rettigheter og friheter i forbindelse med behandling av personopplysninger, som ikke er underlagt særlige forpliktelser med samme formål som fastsatt i europaparlaments- og rådsdirektiv 2002/58/EF,¹⁸ herunder den behandlingsansvarliges forpliktelser og fysiske personers rettigheter. For å avklare forholdet mellom denne forordning og direktiv 2002/58/EF bør nevnte direktiv derfor endres. Når denne forordning er vedtatt, bør det foretas en ny gjennomgåelse av direktiv 2002/58/EF, særlig for å sikre samsvar med denne forordning.

vedtatt denne forordning:

1	EUT C 229 av 31.7.2012, s. 90.
2	EUT C 391 av 18.12.2012, s. 127.
3	Europaparlamentets holdning av 12. mars 2014 (ennå ikke offentliggjort i EUT) og Rådets holdning ved første behandling av 8. april 2016 (ennå ikke offentliggjort i EUT). Europaparlamentets holdning av 14. april 2016.
4	Europaparlaments- og rådsdirektiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (EFT L 281 av 23.11.1995, s. 31).
5	Kommisjonsrekommandasjon av 6. mai 2003 om definisjonen av svært små, små og mellomstore bedrifter (C(2003) 1422) (EFT L 124 av 20.5.2003, s. 36).
6	Europaparlaments- og rådsforordning (EF) nr. 45/2001 av 18. desember 2000 om personvern i forbindelse med behandling av personopplysninger i Fellesskapets institusjoner og organer og om fri utveksling av slike opplysninger (EFT L 8 av 12.1.2001, s. 1).
7	Europaparlaments- og rådsdirektiv (EU) 2016/680 av 27. april 2016 om vern av fysiske personer i forbindelse med vedkommende myndigheters behandling av personopplysninger med henblikk på å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, om fri utveksling av slike opplysninger og om oppheving av Rådets rammebeslutning 2008/977/JIS (se side 89 i denne EUT).
8	Europaparlaments- og rådsdirektiv 2000/31/EF av 8. juni 2000 om visse rettslige aspekter ved informasjonssamfunnstjenester, særlig elektronisk handel, i det indre marked («Direktivet om elektronisk handel») (EFT L 178 av 17.7.2000, s. 1).
9	Europaparlaments- og rådsdirektiv 2011/24/EU av 9. mars 2011 om anvendelse av pasientrettigheter ved helsetjenester over landegrensene (EUT L 88 av 4.4.2011, s. 45).
10	Rådsdirektiv 93/13/EØF av 5. april 1993 om urimelige vilkår i forbrukeravtaler (EFT L 95 av 21.4.1993, s. 29).
11	Europaparlaments- og rådsforordning (EF) nr. 1338/2008 av 16. desember 2008 om fellesskapsstatistikker over folkehelse og helse og sikkerhet på arbeidsplassen (EUT L 354 av 31.12.2008, s. 70).
12	Europaparlaments- og rådsforordning (EU) nr. 182/2011 av 16. februar 2011 om fastsettelse av allmenne regler og prinsipper for medlemsstatenes kontroll med Kommisjonens utøvelse av sin gjennomføringsmyndighet (EUT L 55 av 28.2.2011, s. 13).
13	Europaparlaments- og rådsforordning (EU) nr. 1215/2012 av 12. desember 2012 om domsmyndighet og anerkjennelse og fullbyrdelse av rettsavgjørelser på det sivilrettslige og handelsrettslige område (EUT L 351 av 20.12.2012, s. 1).
14	Europaparlaments- og rådsdirektiv 2003/98/EF av 17. november 2003 om viderebruk av informasjon fra offentlig sektor (EUT L 345 av
15	Europaparlaments- og rådsforordning (EU) nr. 536/2014 av 16. april 2014 om kliniske utprøvinger av legemidler for mennesker og om oppheving av direktiv 2001/20/EF (EUT L 158 av 27.5.2014, s. 1).
16	Europaparlaments- og rådsforordning (EF) nr. 223/2009 av 11. mars 2009 om europeisk statistikk og om oppheving av europaparlaments- og rådsforordning (EF, Euratom) nr. 1101/2008 om oversending av fortrolige statistiske opplysninger til De europeiske fellesskaps statistikkontor, rådsforordning (EF) nr. 322/97 om fellesskapsstatistikker og rådsbeslutning 89/382/EØF, Euratom om nedsettelse av en komité for De europeiske fellesskaps statistiske program (EUT L 87 av 31.3.2009, s. 164).
17	EUT C 192 av 30.6.2012, s. 7.
18	Europaparlaments- og rådsdirektiv 2002/58/EF av 12. juli 2002 om behandling av personopplysninger og personvern i sektoren for elektronisk kommunikasjon (direktivet om personvern og elektronisk kommunikasjon) (EFT L 201 av 31.7.2002, s. 37).

For Europaparlamentet	For Rådet
M. SCHULZ	J.A. HENNIS-PLASSCHAERT
Formann	President

Verktøylinje

Lov om behandling av personopplysninger (personopplysningsloven)

Kapittel 1. Personvernforordningen

§ 1.Gjennomføring av personvernforordningen

Kapittel 2. Lovens saklige og geografiske virkeområde

§ 2.Saklig virkeområde og forholdet til andre lover

§ 3.Forholdet til ytrings- og informasjonsfriheten

§ 4.Geografisk virkeområde

Kapittel 3. Utfyllende regler om behandling av personopplysninger

§ 5.Barns samtykke i forbindelse med informasjonssamfunnstjenester

§ 6.Behandling av særlige kategorier av personopplysninger i arbeidsforhold

§ 7.Behandling av særlige kategorier av personopplysninger etter tillatelse eller forskrift

§ 8.Behandling av personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål

§ 9.Behandling av særlige kategorier av personopplysninger uten samtykke for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål

§ 10.Rådføringsplikt før behandling av særlige kategorier av personopplysninger for forskningsformål på grunnlag av samtykke

§ 11.Behandling av personopplysninger om straffedommer og lovovertredelser mv.

§ 12.Bruk av fødselsnummer og andre entydige identifikasjonsmidler

§ 12 a.Adgang for offentlige myndigheter til å utlevere personopplysninger i arbeidet mot arbeidslivskriminalitet

§ 13.Forskrifter om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner

§ 14.Forskrifter om forhåndsdrøfting og forhåndsgodkjenning

§ 15.Forskrifter om gjennomføring av delegerte rettsakter og gjennomføringsrettsakter

Kapittel 4. Unntak fra den registrertes rettigheter

§ 16.Unntak fra retten til informasjon og innsyn og plikten til underretning om brudd på personopplysningssikkerheten

§ 17.Unntak fra den registrertes rettigheter ved behandling av personopplysninger for arkivformål i allmennhetens interesse, vitenskapelige eller historiske forskningsformål og statistiske formål

Kapittel 5. Personvernombud

§ 18.Personvernombudets taushetsplikt

§ 19.Forskrifter om plikt til å utpeke personvernombud

Kapittel 6. Tilsyn og klage

§ 20.Datatilsynet

§ 21.Årsrapport fra Datatilsynet

§ 22.Personvernnemnda

§ 23.Tilgang til opplysninger

§ 24.Taushetsplikt

§ 25.Partsstilling

Kapittel 7. Sanksjoner og tvangsmulkt

§ 26.Overtredelsesgebyr

§ 27.Oppfyllelsesfrist og domstolsprøving i saker om overtredelsesgebyr

§ 28.Foreldelse

§ 29.Tvangsmulkt

§ 30.Erstatning for ikke-økonomisk skade

Kapittel 8. Uekte kameraovervåkingsutstyr mv.

§ 31.Uekte kameraovervåkingsutstyr mv.

Kapittel 9. Ikrafttredelse. Overgangsregler. Endringer i andre lover

§ 32.Ikrafttredelse

§ 33.Overgangsregler

§ 34.Endringer i andre lover

EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]

KAPITTEL I Alminnelige bestemmelser

Artikkel 1.Formål og mål

Artikkel 2.Saklig virkeområde

Artikkel 3.Geografisk virkeområde

Artikkel 4.Definisjoner

KAPITTEL II Prinsipper

Artikkel 5.Prinsipper for behandling av personopplysninger

Artikkel 6.Behandlingens lovlighet

Artikkel 7.Vilkår for samtykke

Artikkel 8.Vilkår for barns samtykke i forbindelse med informasjonssamfunnstjenester

Artikkel 9.Behandling av særlige kategorier av personopplysninger

Artikkel 10.Behandling av personopplysninger om straffedommer og lovovertredelser

Artikkel 11.Behandling som ikke krever identifikasjon

KAPITTEL III Den registrertes rettigheter

Avsnitt 1 Åpenhet og vilkår

Artikkel 12.Klar og tydelig informasjon, kommunikasjon og nærmere regler om utøvelse av den registrertes rettigheter

Avsnitt 2 Informasjon og innsyn i personopplysninger

Artikkel 13.Informasjon som skal gis ved innsamling av personopplysninger fra den registrerte

Artikkel 14.Informasjon som skal gis dersom personopplysninger ikke er blitt samlet inn fra den registrerte

Artikkel 15.Den registrertes rett til innsyn

Avsnitt 3 Retting og sletting

Artikkel 16.Rett til retting

Artikkel 17.Rett til sletting («rett til å bli glemt»)

Artikkel 18.Rett til begrensning av behandling

Artikkel 19.Underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling

Artikkel 20.Rett til dataportabilitet

Avsnitt 4 Rett til å protestere og automatiserte individuelle avgjørelser

Artikkel 21.Rett til å protestere

Artikkel 22.Automatiserte individuelle avgjørelser, herunder profilering

Avsnitt 5 Begrensninger

Artikkel 23.Begrensninger

KAPITTEL IV Behandlingsansvarlig og databehandler

Avsnitt 1 Generelle forpliktelser