Lov om behandling av personopplysninger (personopplysningsloven)

EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]

EUROPAPARLAMENTET OG RÅDET FOR DEN EUROPEISKE UNION HAR

under henvisning til traktaten om Den europeiske unions virkemåte, særlig artikkel 16,

under henvisning til forslag fra Europakommisjonen, etter oversending av utkast til regelverksakt til de nasjonale parlamentene,

under henvisning til uttalelse fra Den europeiske økonomiske og sosiale komité,​1

under henvisning til uttalelse fra Regionkomiteen,​2 etter den ordinære regelverksprosessen​3 og

ut fra følgende betraktninger:

1.Vern av fysiske personer i forbindelse med behandling av personopplysninger er en grunnleggende rettighet. I artikkel 8 nr. 1 i Den europeiske unions pakt om grunnleggende rettigheter (heretter kalt «pakten») og i artikkel 16 nr. 1 i traktaten om Den europeiske unions virkemåte (TEUV) er det fastsatt at enhver person har rett til vern av personopplysninger om vedkommende selv.
2.Prinsippene og reglene for vern av fysiske personer i forbindelse med behandling av personopplysninger som gjelder dem selv, bør, uavhengig av nevnte personers statsborgerskap eller bosted, respektere deres grunnleggende rettigheter og friheter, særlig retten til vern av personopplysninger. Hensikten med denne forordning er å bidra til å skape et område med frihet, sikkerhet og rettferdighet samt en økonomisk union og å bidra til økonomisk og sosial framgang, til å oppnå en styrking og tilnærming av økonomiene i det indre marked og til fysiske personers velferd.
3.Europaparlaments- og rådsdirektiv 95/46/EF​4 har som formål å harmonisere vernet av fysiske personers grunnleggende rettigheter og friheter i forbindelse med behandlingsaktiviteter samt å sikre fri flyt av personopplysninger mellom medlemsstatene.
4.Behandling av personopplysninger bør ha som formål å tjene menneskeheten. Retten til vern av personopplysninger er ikke en absolutt rettighet; den må ses i sammenheng med den funksjon den har i samfunnet, og veies mot andre grunnleggende rettigheter i samsvar med forholdsmessighetsprinsippet. Denne forordning overholder alle grunnleggende rettigheter og de friheter og prinsipper som er anerkjent i pakten, slik de er nedfelt i traktatene, særlig med hensyn til privatliv og familieliv, hjem og kommunikasjon, vern av personopplysninger, tanke-, tros- og religionsfrihet, ytrings- og informasjonsfrihet, frihet til å drive næringsvirksomhet, retten til effektiv prøving og rettferdig rettergang samt kulturelt, religiøst og språklig mangfold.
5.Den økonomiske og sosiale integrasjon som er oppnådd som følge av det indre markeds virkemåte, har ført til en betydelig økt flyt av personopplysninger over landegrensene. Utvekslingen av personopplysninger mellom offentlige og private aktører, herunder fysiske personer, sammenslutninger og foretak, i Unionen har økt. Nasjonale myndigheter i medlemsstatene oppfordres i unionsretten til å samarbeide og utveksle personopplysninger for å kunne utføre sitt arbeid eller utføre oppgaver på vegne av en myndighet i en annen medlemsstat.
6.Den raske teknologiske utviklingen samt globaliseringen har skapt nye utfordringer med hensyn til vern av personopplysninger. Omfanget av innsamlingen og utvekslingen av personopplysninger har økt betraktelig. Teknologien gjør det mulig for både private selskaper og offentlige myndigheter å benytte seg av personopplysninger i sitt arbeid i et helt nytt omfang. Fysiske personer gjør i stadig større grad personopplysninger offentlig tilgjengelig, også globalt. Teknologien har endret både økonomien og det sosiale liv og bør ytterligere fremme den frie flyt av personopplysninger i Unionen og overføring av disse til tredjestater og internasjonale organisasjoner, samtidig som det sikres et høyt nivå for vern av personopplysningene.
7.Denne utviklingen krever en sterk og mer sammenhengende ramme for vern av personopplysninger i Unionen støttet av en streng håndheving av reglene, ettersom det er viktig å skape den nødvendige tillit som vil gjøre at den digitale økonomien kan utvikle seg i det indre marked. Fysiske personer bør ha kontroll over egne personopplysninger. Rettssikkerheten og den praktiske sikkerheten for fysiske personer, markedsdeltakere og offentlige myndigheter bør styrkes.
8.Når det i denne forordning fastsettes at det kan innføres presiseringer eller begrensninger av dens regler gjennom medlemsstatenes nasjonale rett, kan medlemsstatene, i den grad det er nødvendig av hensyn til sammenhengen og for å gjøre nasjonale bestemmelser forståelige for de personer de får anvendelse på, innarbeide elementer fra denne forordning i sin nasjonale rett.
9.Målene og prinsippene i direktiv 95/46/EF er fremdeles gyldige, men det har ikke hindret en fragmentert gjennomføring av vernet av personopplysninger i Unionen, rettslig usikkerhet eller en utbredt allmenn oppfatning om at det fremdeles er betydelige risikoer forbundet med vernet av fysiske personer, særlig i forbindelse med aktiviteter på internett. Forskjeller i nivået for vern av fysiske personers rettigheter og friheter, særlig retten til vern av personopplysninger, i forbindelse med behandling av personopplysninger i medlemsstatene kan hindre den frie flyt av personopplysninger i Unionen. Disse forskjellene kan derfor være til hinder for utøvelsen av økonomisk virksomhet på EU-plan, føre til konkurransevridning og hindre myndighetene i å ivareta sitt ansvar i henhold til unionsretten. En slik forskjell i beskyttelsesnivå skyldes forskjellig gjennomføring og anvendelse av direktiv 95/46/EF.
10.For å sikre et ensartet og høyt nivå for vern av fysiske personer og fjerne hindringene for flyten av personopplysninger i Unionen bør nivået for vern av fysiske personers rettigheter og friheter i forbindelse med behandling av slike opplysninger være det samme i alle medlemsstater. Det bør sikres at reglene for vern av fysiske personers grunnleggende rettigheter og friheter i forbindelse med behandling av personopplysninger anvendes på en ensartet og enhetlig måte i hele Unionen. Når det gjelder behandling av personopplysninger for å oppfylle en rettslig forpliktelse, utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, bør medlemsstatene kunne opprettholde eller innføre nasjonale bestemmelser for nærmere å presisere anvendelsen av reglene i denne forordning. Sammen med det alminnelige og tverrgående regelverket for vern av personopplysninger som gjennomfører direktiv 95/46/EF, har medlemsstatene flere sektorspesifikke lover på områder som krever mer spesifikke bestemmelser. Denne forordning gir også medlemsstatene handlingsrom til å fastsette egne regler, herunder for behandling av særlige kategorier av personopplysninger («sensitive opplysninger»). I denne forbindelse utelukker denne forordning ikke at det i medlemsstatenes nasjonale rett fastsettes nærmere omstendigheter for spesifikke situasjoner der personopplysninger behandles, herunder mer nøyaktige vilkår for når behandling av personopplysninger er lovlig.
11.For å sikre et effektivt vern av personopplysninger i hele Unionen kreves det en styrking og en nærmere fastsettelse av rettighetene til de registrerte og pliktene til dem som behandler og treffer avgjørelser om behandling av personopplysninger, samt at det i medlemsstatene finnes den samme myndighet til å føre tilsyn med og sikre overholdelse av reglene for vern av personopplysninger og de samme sanksjonene ved overtredelser.
12.Ved artikkel 16 nr. 2 i TEUV gis Europaparlamentet og Rådet fullmakt til å fastsette regler om vern av fysiske personer i forbindelse med behandling av personopplysninger samt regler om fri utveksling av personopplysninger.
13.For å sikre et ensartet nivå for vern av fysiske personer i hele Unionen og hindre at forskjeller hemmer den frie utvekslingen av personopplysninger i det indre marked er det behov for en forordning for å skape rettssikkerhet og åpenhet for markedsdeltakere, herunder svært små, små og mellomstore bedrifter, og som vil gi fysiske personer i alle medlemsstater det samme nivået av rettslig bindende rettigheter og plikter, og behandlingsansvarlige og databehandlere det samme ansvaret, for å sikre et ensartet tilsyn med behandlingen av personopplysninger og de samme sanksjonene i alle medlemsstater samt et effektivt samarbeid mellom tilsynsmyndighetene i forskjellige medlemsstater. For å sikre et velfungerende indre marked kreves det at den frie utvekslingen av personopplysninger i Unionen ikke begrenses eller forbys av årsaker knyttet til vern av fysiske personer i forbindelse med behandling av personopplysninger. For å ta høyde for den særlige situasjonen til svært små, små og mellomstore bedrifter inneholder denne forordning et unntak for organisasjoner med færre enn 250 ansatte med hensyn til føring av protokoller. Videre oppfordres Unionens institusjoner og organer samt medlemsstatene og deres tilsynsmyndigheter til å ta høyde for de særlige behovene til svært små, små og mellomstore bedrifter ved anvendelsen av denne forordning. Definisjonen av begrepene svært små, små og mellomstore bedrifter bør bygge på artikkel 2 i vedlegget til kommisjonsrekommandasjon 2003/361/EF.​5
14.Det vern som denne forordning gir i forbindelse med behandling av personopplysninger, bør få anvendelse på fysiske personer, uavhengig av deres statsborgerskap eller bosted. Denne forordning omfatter ikke behandling av personopplysninger som gjelder juridiske personer, og særlig foretak etablert som juridiske personer, herunder den juridiske personens navn, form og kontaktopplysninger.
15.For å unngå at det oppstår en alvorlig risiko for at bestemmelsene omgås bør vernet av fysiske personer være teknologisk nøytralt og ikke avhenge av teknikkene som benyttes. Vernet av fysiske personer bør få anvendelse på automatisert behandling av personopplysninger samt manuell behandling dersom personopplysningene inngår i eller skal inngå i et register. Saksmapper eller samlinger av saksmapper samt deres forsider som ikke er strukturert etter bestemte kriterier, bør ikke omfattes av denne forordnings virkeområde.
16.Denne forordning får ikke anvendelse på spørsmål om vern av grunnleggende rettigheter og friheter eller fri flyt av personopplysninger knyttet til aktiviteter som ikke omfattes av unionsretten, f.eks. aktiviteter som gjelder nasjonal sikkerhet. Denne forordning får ikke anvendelse på medlemsstatenes behandling av personopplysninger når dette utføres i forbindelse med aktiviteter knyttet til Unionens felles utenriks- og sikkerhetspolitikk.
17.Europaparlaments- og rådsforordning (EF) nr. 45/2001​6 får anvendelse på behandling av personopplysninger som utføres av Unionens institusjoner, organer, kontorer og byråer. Forordning (EF) nr. 45/2001 og andre EU-rettsakter som får anvendelse på nevnte behandling av personopplysninger, bør tilpasses prinsippene og reglene fastsatt i denne forordning og anvendes i lys av denne forordning. For å sikre en sterk og sammenhengende ramme for vern av personopplysninger i Unionen bør de nødvendige tilpasninger av forordning (EF) nr. 45/2001 gjøres etter at denne forordning er vedtatt, slik at de får anvendelse samtidig som denne forordning.
18.Denne forordning får ikke anvendelse på behandling av personopplysninger som en fysisk person utfører i forbindelse med rent personlige eller familiemessige aktiviteter, og som derfor ikke er knyttet til en yrkes- eller forretningsvirksomhet. Personlige eller familiemessige aktiviteter kan omfatte korrespondanse og føring av adresselister eller aktiviteter på sosiale nettverk samt aktiviteter på internett i forbindelse med slike aktiviteter. Denne forordning får imidlertid anvendelse på behandlingsansvarlige eller databehandlere som stiller til rådighet midler til behandling av personopplysninger i forbindelse med slike personlige eller familiemessige aktiviteter.
19.Vern av fysiske personer i forbindelse med vedkommende myndigheters behandling av personopplysninger med henblikk på å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet samt fri utveksling av nevnte opplysninger, omfattes av en spesifikk EU-rettsakt. Denne forordning bør derfor ikke få anvendelse på behandlingsaktiviteter som utføres for nevnte formål. Offentlige myndigheters behandling av personopplysninger i henhold til denne forordning bør, når behandlingen utføres for nevnte formål, imidlertid omfattes av en mer spesifikk EU-rettsakt, nærmere bestemt europaparlaments- og rådsdirektiv (EU) 2016/680.​7. Medlemsstatene kan overlate oppgaver som ikke nødvendigvis utføres for å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet, til vedkommende myndigheter som definert i direktiv (EU) 2016/680, slik at behandlingen av personopplysninger for slike andre formål, i den grad dette omfattes av unionsretten, omfattes av denne forordning.

Med hensyn til nevnte vedkommende myndigheters behandling av personopplysninger for formål som omfattes av denne forordning, bør medlemsstatene kunne opprettholde eller innføre mer spesifikke bestemmelser for å tilpasse anvendelsen av reglene i denne forordning. I nevnte bestemmelser kan det fastsettes mer spesifikke krav til nevnte vedkommende myndigheters behandling av personopplysninger for slike andre formål, idet det tas hensyn til den enkelte medlemsstats forfatningsmessige, organisatoriske og administrative struktur. Når behandling av personopplysninger utført av private organer omfattes av denne forordning, bør det i denne forordning fastsettes en mulighet for at medlemsstatene på særlige vilkår ved lov kan begrense visse forpliktelser og rettigheter dersom nevnte begrensning utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre særlige viktige interesser, herunder den offentlige sikkerhet samt forebygging, etterforskning, avsløring eller straffeforfølging av straffbare forhold eller iverksetting av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet. Dette er f.eks. relevant i forbindelse med bekjempelse av hvitvasking av penger eller kriminaltekniske laboratoriers virksomhet.

20.Selv om denne forordning blant annet får anvendelse på domstolers og andre rettshåndhevende myndigheters virksomhet, kan det i unionsretten eller medlemsstatenes nasjonale rett angis hvilke prosesser og framgangsmåter for behandling som får anvendelse på behandling av personopplysninger som utføres av domstoler og andre rettshåndhevende myndigheter. Tilsynsmyndighetenes kompetanse bør ikke omfatte domstolers behandling av personopplysninger når dette utføres innenfor rammen av domstolenes domsmyndighet, for å sikre domstolenes uavhengighet når de utfører sine juridiske oppgaver, herunder når de treffer avgjørelser. Det bør være mulig å overlate tilsynet med slike databehandlingsaktiviteter til særskilte organer innenfor medlemsstatens rettssystem som særlig bør sikre at reglene i denne forordning overholdes, øke bevisstheten til medlemmene av domstolsvesenet om de forpliktelser de har i henhold til denne forordning, og håndtere klager i forbindelse med nevnte databehandlingsaktiviteter.
21.Denne forordning berører ikke anvendelsen av europaparlaments- og rådsdirektiv 2000/31/EF,​8 særlig reglene for tjenesteytende mellommenns ansvar i artikkel 12-15 i nevnte direktiv. Formålet med nevnte direktiv er å bidra til at det indre marked fungerer på en tilfredsstillende måte ved å sikre fri bevegelighet for informasjonssamfunnstjenester mellom medlemsstatene.
22.Enhver behandling av personopplysninger som utføres i forbindelse med aktivitetene i en virksomhet tilhørende en behandlingsansvarlig eller databehandler i Unionen, bør utføres i samsvar med denne forordning, uavhengig av om behandlingen finner sted i Unionen eller ikke. En virksomhet innebærer en effektiv og faktisk utøvelse av aktivitet gjennom en stabil struktur. En slik strukturs rettslige form, enten det dreier seg om en filial eller et datterforetak med status som juridisk person, er ikke av avgjørende betydning i denne forbindelse.
23.For å sikre at fysiske personer ikke fratas det vern de har rett til i henhold til denne forordning, bør behandling av personopplysninger om registrerte som befinner seg i Unionen, og som utføres av en behandlingsansvarlig eller en databehandler som ikke er etablert i Unionen, omfattes av denne forordning dersom behandlingsaktivitetene er knyttet til tilbud av varer eller tjenester til nevnte registrerte, uansett om det kreves betaling eller ikke. For å avgjøre om nevnte behandlingsansvarlig eller databehandler tilbyr varer eller tjenester til registrerte som befinner seg i Unionen, bør det bringes på det rene om det er åpenbart at den behandlingsansvarlige eller databehandleren har til hensikt å tilby tjenester til registrerte i én eller flere medlemsstater i Unionen. Selv om tilgang til den behandlingsansvarliges, databehandlerens eller en mellommanns nettsted i Unionen, til en e-postadresse eller til andre kontaktopplysninger, eller bruk av et språk som vanligvis benyttes i tredjestaten der den behandlingsansvarlige er etablert, ikke er tilstrekkelig til å fastslå en slik hensikt, kan faktorer som bruk av et språk eller en valuta som vanligvis benyttes i én eller flere medlemsstater, sammen med en mulighet til å bestille varer og tjenester på nevnte andre språk, eller omtale av kunder eller brukere som befinner seg i Unionen, gjøre det åpenbart at den behandlingsansvarlige har til hensikt å tilby varer eller tjenester til registrerte i Unionen.
24.Behandling av personopplysninger om registrerte som befinner seg i Unionen, og som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i Unionen, bør også omfattes av denne forordning dersom behandlingen er knyttet til monitorering av de registrertes atferd, så langt atferden finner sted i Unionen. For å fastslå om en behandlingsaktivitet kan anses som monitorering av de registrertes atferd bør det bringes på det rene om det skjer sporing av fysiske personer på internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe avgjørelser om vedkommende eller analysere eller forutsi vedkommendes personlige preferanser, atferd eller holdninger.
25.Dersom medlemsstatens nasjonale rett får anvendelse i kraft av folkeretten, bør denne forordning også få anvendelse på en behandlingsansvarlig som ikke er etablert i Unionen, f.eks. ved en medlemsstats diplomatiske stasjoner eller konsulater.
26.Prinsippene om vern av personopplysninger bør få anvendelse på enhver opplysning om en identifisert eller identifiserbar fysisk person. Personopplysninger som er blitt pseudonymisert, og som kan knyttes til en fysisk person ved hjelp av tilleggsopplysninger, bør anses som opplysninger om en identifiserbar fysisk person. Når det skal fastslås om en fysisk person er identifiserbar, bør det tas hensyn til alle midler som det med rimelighet kan tenkes at den behandlingsansvarlige eller en annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte, f.eks. utpeking. For å fastslå om midler med rimelighet kan tenkes å bli tatt bruk for å identifisere den fysiske personen bør det tas hensyn til alle objektive faktorer, f.eks. kostnadene for og tiden som er nødvendig for å foreta identifikasjonen, idet det tas hensyn til teknologien som er tilgjengelig på behandlingstidspunktet, samt den teknologiske utvikling. Prinsippene om vern av personopplysninger bør derfor ikke få anvendelse på anonyme opplysninger, nærmere bestemt opplysninger som ikke kan knyttes til en identifisert eller identifiserbar fysisk person, eller personopplysninger som er blitt anonymisert på en slik måte at den registrerte ikke lenger kan identifiseres. Denne forordning gjelder derfor ikke behandling av slike anonyme opplysninger, herunder for statistiske formål eller forskningsformål.
27.Denne forordning får ikke anvendelse på personopplysninger om avdøde personer. Medlemsstatene kan fastsette regler om behandling av personopplysninger om avdøde personer.
28.Pseudonymisering av personopplysninger kan redusere risikoene for de berørte registrerte og bidra til at behandlingsansvarlige og databehandlere kan oppfylle sine forpliktelser med hensyn til vern av personopplysninger. Hensikten med den uttrykkelige innføringen av «pseudonymisering» i denne forordning er ikke å utelukke andre tiltak for vern av personopplysninger.
29.For å skape insitamenter til bruk av pseudonymisering i forbindelse med behandling av personopplysninger bør pseudonymiseringstiltak som samtidig tillater en generell analyse, være mulig hos den samme behandlingsansvarlige når denne har truffet de tekniske og organisatoriske tiltak som er nødvendige for å sikre at denne forordning gjennomføres med tanke på den berørte behandlingen, og at tilleggsopplysninger som gjør det mulig å knytte personopplysningene til en bestemt registrert, lagres atskilt. Den behandlingsansvarlige som behandler personopplysningene, bør angi de autoriserte personene hos den samme behandlingsansvarlige.
30.Fysiske personer kan knyttes til nettidentifikatorer via utstyr, programmer, verktøy og protokoller, f.eks. IP-adresser, informasjonskapsler eller andre identifikatorer, f.eks. radiofrekvensidentifikasjonsmerker. Dette kan etterlate spor som særlig i kombinasjon med entydige identifikatorer og andre opplysninger som serverne mottar, kan brukes til å opprette profiler for fysiske personer og identifisere dem.
31.Offentlige myndigheter som får utlevert personopplysninger i samsvar med en rettslig forpliktelse i forbindelse med utøvelse av sitt offentlige oppdrag, f.eks. skatte- og tollmyndigheter, enheter som driver økonomisk etterforskning, uavhengige forvaltningsmyndigheter eller finansmarkedsmyndigheter med ansvar for regulering av og tilsyn med verdipapirmarkeder, bør ikke anses som mottakere dersom de mottar personopplysninger som er nødvendige for å utføre en bestemt granskning av allmenn interesse i samsvar med unionsretten eller medlemsstatenes nasjonale rett. Offentlige myndigheters anmodninger om utlevering av informasjon bør alltid være skriftlige, begrunnede og leilighetsvise og bør ikke gjelde et helt register eller føre til sammenkopling av registre. Nevnte offentlige myndigheters behandling av personopplysninger bør overholde gjeldende regler om vern av personopplysninger i samsvar med formålet med behandlingen.
32.Samtykke bør gis i form av en tydelig bekreftelse der den registrerte på en frivillig, spesifikk, informert og utvetydig måte gir sitt samtykke til behandling av vedkommendes personopplysninger, f.eks. i form av en skriftlig, herunder elektronisk, eller en muntlig erklæring. Dette kan innebære å krysse av i en boks under et besøk på et nettsted, velge tekniske innstillinger for informasjonssamfunnstjenester eller en annen erklæring eller handling som i denne forbindelse tydelig viser at den registrerte godtar den foreslåtte behandlingen av vedkommendes personopplysninger. Taushet, forhåndsavkryssede bokser eller inaktivitet bør derfor ikke utgjøre et samtykke. Et samtykke bør omfatte alle behandlingsaktiviteter som utføres med henblikk på samme formål. Dersom det er flere formål med behandlingen, bør det gis samtykke til alle. Dersom den registrertes samtykke skal gis etter en elektronisk anmodning, må anmodningen være tydelig, kortfattet og ikke unødig forstyrre bruken av den tjenesten samtykket gjelder.
33.For formål knyttet til vitenskapelig forskning er det ofte ikke mulig fullt ut å identifisere formålet med behandlingen av personopplysninger på tidspunktet for innsamlingen av opplysningene. De registrerte bør derfor kunne gi sitt samtykke til visse områder innen vitenskapelig forskning når dette er i samsvar med anerkjente etiske standarder for vitenskapelig forskning. De registrerte bør ha mulighet til å gi sitt samtykke bare til visse forskningsområder eller deler av forskningsprosjekter i det omfang det tilsiktede formålet tillater det.
34.Genetiske opplysninger bør defineres som personopplysninger om en fysisk persons nedarvede eller ervervede genetiske egenskaper som foreligger etter analysering av en biologisk prøve fra nevnte fysiske person, særlig en kromosomanalyse eller en DNA- eller RNA-analyse, eller analysering av andre elementer som gjør det mulig å innhente tilsvarende opplysninger.
35.Personopplysninger om helse bør omfatte alle opplysninger om den registrertes helsetilstand som avdekker den registrertes tidligere, nåværende eller fremtidige fysiske eller psykiske helsetilstand. Dette omfatter opplysninger om den fysiske personen innsamlet under registrering av vedkommende med henblikk på eller under yting av helsetjenester, som nevnt i europaparlaments- og rådsdirektiv 2011/24/EU,​9 til den aktuelle fysiske personen; et tall, symbol eller kjennetegn som tildeles en fysisk person for på en entydig måte å identifisere vedkommende for helseformål; opplysninger som stammer fra tester eller undersøkelser av en kroppsdel eller en kroppssubstans, herunder fra genetiske opplysninger og biologiske prøver; og enhver opplysning om den registrerte med hensyn til f.eks. sykdom, funksjonshemning, sykdomsrisiko, sykehistorie, klinisk behandling eller fysiologisk eller biomedisinsk tilstand uavhengig av hvor dette stammer fra, f.eks. fra en lege eller annet helsepersonell, et sykehus, medisinsk utstyr eller in vitro-diagnostikk.
36.En behandlingsansvarligs hovedvirksomhet i Unionen bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, med mindre det treffes beslutninger om formål og midler i forbindelse med behandlingen av personopplysninger i en annen av den behandlingsansvarliges virksomheter i Unionen; da skal nevnte andre virksomhet anses for å være hovedvirksomheten. En behandlingsansvarligs hovedvirksomhet i Unionen bør fastslås ut fra objektive kriterier og bør innebære en effektiv og faktisk utøvelse av ledelsesaktiviteter som munner ut i de viktigste avgjørelsene med hensyn til formålet med og midlene for behandlingen gjennom en stabil struktur. Dette kriteriet bør ikke avhenge av om behandlingen av personopplysninger utføres på nevnte sted. Det forhold at det finnes og benyttes tekniske midler og teknologier i forbindelse med behandling av personopplysninger eller behandlingsaktiviteter, utgjør i seg selv ikke en hovedvirksomhet, og er derfor ikke avgjørende for kriteriet om hovedvirksomhet. Databehandlerens hovedvirksomhet bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, eller dersom vedkommende ikke har en hovedadministrasjon i Unionen, det sted der de fleste behandlingsaktivitetene finner sted i Unionen. I tilfeller som omfatter både den behandlingsansvarlige og databehandleren, bør vedkommende ledende tilsynsmyndighet fortsatt være tilsynsmyndigheten i medlemsstaten der den behandlingsansvarlige har sin hovedvirksomhet, mens databehandlerens tilsynsmyndighet bør anses for å være en berørt tilsynsmyndighet, og denne tilsynsmyndighet bør delta i framgangsmåten for samarbeid fastsatt i denne forordning. Under alle omstendigheter bør tilsynsmyndighetene i medlemsstaten eller medlemsstatene der databehandleren har én eller flere virksomheter, ikke anses for å være berørte tilsynsmyndigheter dersom utkastet til avgjørelse bare gjelder den behandlingsansvarlige. Dersom behandlingen utføres av et konsern, bør hovedvirksomheten til det foretaket som utøver kontroll, anses som konsernets hovedvirksomhet, bortsett fra når formålet med behandlingen og midlene som skal brukes, fastsettes av et annet foretak.
37.Et konsern bør omfatte et foretak som utøver kontroll, og dets kontrollerte foretak, der foretaket som utøver kontroll, bør være det foretak som kan utøve en dominerende innflytelse på de andre foretakene, f.eks. i kraft av eiendomsrett, økonomisk deltaking eller reglene det er underlagt, eller myndigheten til å få gjennomført regler om vern av personopplysninger. Et foretak som kontrollerer behandlingen av personopplysninger i tilknyttede foretak, bør sammen med disse foretak anses som et konsern.
38.Barns personopplysninger fortjener et særlig vern, ettersom barn kan være mindre bevisste på aktuelle risikoer, konsekvenser og garantier samt på de rettigheter de har når det gjelder behandling av personopplysninger. Et slikt særlig vern bør især få anvendelse på bruk av barns personopplysninger for markedsføringsformål eller for å opprette personlighets- eller brukerprofiler samt på innsamling av personopplysninger om barn når de bruker tjenester som tilbys direkte til barn. Samtykke fra den som har foreldreansvaret, bør ikke være nødvendig i forbindelse med forebyggings- eller rådgivningstjenester som tilbys direkte til barn.
39.Enhver behandling av personopplysninger bør være lovlig og rettferdig. For fysiske personer bør det framgå klart og tydelig at personopplysninger om dem samles inn, benyttes, konsulteres eller på annen måte behandles, og i hvilket omfang de behandles eller vil bli behandlet. Prinsippet om åpenhet krever at all informasjon og kommunikasjon i forbindelse med behandling av nevnte personopplysninger er lett tilgjengelig og lettfattelig, og at språket som brukes, er klart og enkelt. Prinsippet gjelder særlig informasjon til de registrerte om identiteten til den behandlingsansvarlige og formålene med behandlingen samt ytterligere informasjon for å sikre en rettferdig og åpen behandling for de berørte fysiske personer samt deres rett til å få bekreftelse på og bli underrettet om de personopplysninger som gjelder dem, som behandles. Fysiske personer bør gjøres oppmerksomme på risikoer, regler, garantier og rettigheter i forbindelse med behandling av personopplysninger, og på hvilken måte de kan utøve sine rettigheter i forbindelse med nevnte behandling. De særlige formålene med behandlingen av personopplysningene bør især være berettigede, uttrykkelig angitt og fastsatt når personopplysningene samles inn. Personopplysningene bør være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Dette krever særlig at det sikres at personopplysningene ikke lagres lenger enn det som er strengt nødvendig. Personopplysninger bør behandles bare dersom formålet med behandlingen ikke med rimelighet kan oppfylles på annen måte. For å sikre at personopplysningene ikke lagres lenger enn nødvendig bør den behandlingsansvarlige fastsette frister for sletting eller for regelmessig gjennomgåelse. Ethvert rimelig tiltak bør treffes for å sikre at uriktige personopplysninger rettes eller slettes. Personopplysninger bør behandles på en måte som gir tilstrekkelig sikkerhet og konfidensialitet, herunder for å hindre ulovlig tilgang til eller bruk av personopplysninger og utstyret som brukes i forbindelse med behandlingen.
40.For at behandlingen skal kunne anses som lovlig bør personopplysninger behandles på grunnlag av den berørte registrertes samtykke eller et annet berettiget grunnlag som er fastsatt ved lov, enten i denne forordning eller i en annen bestemmelse i unionsretten eller medlemsstatenes nasjonale rett som nevnt i denne forordning, herunder behovet for å oppfylle den rettslige forpliktelsen som påhviler den behandlingsansvarlige, eller behovet for å oppfylle en avtale som den registrerte er part i, eller for å treffe tiltak på anmodning fra den registrerte før en avtaleinngåelse.
41.Når det i denne forordning vises til et rettslig grunnlag eller et lovgivningsmessig tiltak, krever dette ikke nødvendigvis en regelverksakt vedtatt av et parlament, med forbehold for kravene fastsatt i henhold til forfatningsordningen i den berørte medlemsstat. Nevnte rettslige grunnlag eller lovgivningsmessige tiltak bør imidlertid være tydelig og presist, og anvendelsen av det bør være forutsigbar for personer som omfattes av det, i samsvar med rettspraksisen til Den europeiske unions domstol («Domstolen») og Den europeiske menneskerettighetsdomstol.
42.Dersom behandlingen er basert på den registrertes samtykke, bør den behandlingsansvarlige kunne påvise at den registrerte har samtykket til behandlingen. Særlig i forbindelse med skriftlige erklæringer om andre forhold bør det foreligge garantier for å sikre at den registrerte er kjent med at samtykke er gitt, og omfanget av det. I samsvar med rådsdirektiv 93/13/EØF​10 bør det foreligge en samtykkeerklæring som den behandlingsansvarlige på forhånd har utarbeidet i en forståelig og lett tilgjengelig form og formulert på et klart og enkelt språk, og som ikke bør inneholde urimelige vilkår. For å sikre at samtykket er informert bør den registrerte minst kjenne den behandlingsansvarliges identitet og formålene med behandlingen som personopplysningene skal brukes til. Samtykket skal ikke anses som frivillig dersom den registrerte ikke har en reell valgfrihet, eller ikke er i stand til å nekte å gi eller trekke tilbake et samtykke uten at det er til skade for vedkommende.
43.For å sikre at et samtykke gis frivillig bør det ikke utgjøre et gyldig rettslig grunnlag for behandling av personopplysninger i et bestemt tilfelle dersom det er en klar skjevhet mellom den registrerte og den behandlingsansvarlige, særlig dersom den behandlingsansvarlige er en offentlig myndighet og det derfor er usannsynlig at samtykket er gitt frivillig med hensyn til alle omstendigheter som kjennetegner den bestemte situasjonen. Samtykket antas å ikke være gitt frivillig dersom det ikke er mulig å gi separat samtykke for forskjellige behandlingsaktiviteter, selv om det er hensiktsmessig i det enkelte tilfellet, eller dersom oppfyllelsen av en avtale, herunder yting av en tjeneste, avhenger av samtykket, til tross for at et slikt samtykke ikke er nødvendig for å oppfylle avtalen.
44.Behandlingen bør anses som lovlig når den er nødvendig i forbindelse med en avtale, eller når det foreligger en hensikt om å inngå en avtale.
45.Dersom behandlingen utføres i samsvar med en rettslig forpliktelse som påhviler den behandlingsansvarlige, eller dersom behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet, bør behandlingen ha rettslig grunnlag i unionsretten eller medlemsstatenes nasjonale rett. Ved denne forordning kreves det ikke en særlig lovbestemmelse for hver enkelt behandling. En lov kan være tilstrekkelig som grunnlag for flere behandlingsaktiviteter som bygger på en rettslig forpliktelse som påhviler den behandlingsansvarlige, eller dersom behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet. Formålet med behandlingen bør også fastsettes i unionsretten eller i medlemsstatenes nasjonale rett. Videre kan nevnte rettslige grunnlag presisere denne forordnings allmenne vilkår for lovlig behandling av personopplysninger, fastsette spesifikasjoner for å fastslå hvem den behandlingsansvarlige er, hvilken type personopplysninger som skal behandles, de berørte registrerte, hvilke enheter personopplysningene kan utleveres til, formålsbegrensninger, hvor lenge opplysningene kan lagres og andre tiltak for å sikre lovlig og rettferdig behandling. I unionsretten eller medlemsstatenes nasjonale rett bør det også fastsettes om den behandlingsansvarlige som utfører en oppgave i allmennhetens interesse eller utøver offentlig myndighet, bør være en offentlig myndighet eller en annen fysisk eller juridisk person underlagt offentlig rett eller, dersom det er i allmennhetens interesse, herunder for helseformål som folkehelse og sosial trygghet og forvaltning av helsetjenester, privatrett, f.eks. en yrkessammenslutning.
46.Behandlingen av personopplysninger bør også anses som lovlig dersom den er nødvendig for å verne en interesse som er av avgjørende betydning for den registrertes eller en annen fysisk persons liv. Behandling av personopplysninger som er basert på en annen fysisk persons vitale interesser, bør i prinsippet bare finne sted dersom det er åpenbart at behandlingen ikke kan baseres på et annet rettslig grunnlag. Noen typer behandling kan tjene både viktige allmenne interesser og den registrertes vitale interesser, f.eks. når behandlingen er nødvendig av humanitære årsaker, herunder for å overvåke epidemier og spredning av dem, eller i humanitære nødssituasjoner, særlig i forbindelse med naturkatastrofer og menneskeskapte katastrofer.
47.De berettigede interessene til en behandlingsansvarlig, herunder de berettigede interessene til en behandlingsansvarlig som personopplysninger kan utleveres til, eller til en tredjepart, kan utgjøre et rettslig grunnlag for behandlingen, forutsatt at den registrertes interesser eller grunnleggende rettigheter og friheter ikke går foran, idet det tas hensyn til de registrertes rimelige forventninger på grunnlag av forholdet mellom dem og den behandlingsansvarlige. Det kan f.eks. foreligge en slik berettiget interesse når det er et relevant og passende forhold mellom den registrerte og den behandlingsansvarlige, f.eks. dersom den registrerte er kunde av den behandlingsansvarlige eller i vedkommendes tjeneste. En berettiget interesse krever i alle tilfeller en nøye vurdering, herunder av om en registrert på tidspunktet for og i forbindelse med innsamling av personopplysninger med rimelighet kan forvente at disse behandles for nevnte formål. Den registrertes interesser og grunnleggende rettigheter kan særlig gå foran den behandlingsansvarliges interesser dersom personopplysningene behandles under omstendigheter der de registrerte med rimelighet forventer at opplysningene ikke viderebehandles. Ettersom det er opp til lovgiveren ved lov å fastsette det rettslige grunnlaget for offentlige myndigheters behandling av personopplysninger, bør nevnte rettslige grunnlag ikke gjelde for behandling som offentlige myndigheter utfører i forbindelse med utførelse av de oppgavene de er tillagt. Behandling av personopplysninger som er strengt nødvendig for å forebygge bedrageri, utgjør også en berettiget interesse for den berørte behandlingsansvarlige. Behandling av personopplysninger i forbindelse med direkte markedsføring kan anses for å være en berettiget interesse.
48.Behandlingsansvarlige som er en del av et konsern, eller institusjoner som er tilknyttet et sentralt organ, kan ha en berettiget interesse av å overføre personopplysninger internt i konsernet med henblikk på interne administrative formål, herunder behandling av kunders eller arbeidstakeres personopplysninger. De allmenne prinsippene for overføring av personopplysninger i et konsern til et foretak i en tredjestat påvirkes ikke.
49.Behandling av personopplysninger i det omfang som er strengt nødvendig og forholdsmessig for å sikre nett- og informasjonssikkerheten, det vil si et netts eller informasjonssystems evne til, på et bestemt sikkerhetsnivå, å stå imot utilsiktede hendelser eller ulovlige eller skadelige handlinger som svekker tilgjengeligheten, autentisiteten, integriteten og konfidensialiteten til lagrede eller overførte personopplysninger, samt sikkerheten i beslektede tjenester som tilbys av eller er gjort tilgjengelige via nevnte nett og systemer, av offentlige myndigheter, enheter for IT-beredskap (CERT), enheter for IT-sikkerhetshendelser (CSIRT), leverandører av elektroniske kommunikasjonsnett og -tjenester og leverandører av sikkerhetsteknologier og -tjenester, utgjør en berettiget interesse for den berørte behandlingsansvarlige. Dette kan f.eks. omfatte å hindre ulovlig tilgang til elektroniske kommunikasjonsnett og spredning av skadelige koder og å stoppe «tjenestenektangrep» og skade på datasystemer og elektroniske kommunikasjonssystemer.
50.Behandling av personopplysninger for andre formål enn de formål personopplysningene opprinnelig ble samlet inn for, bør bare være tillatt dersom behandlingen er forenlig med formålene som personopplysningene opprinnelig ble samlet inn for. I et slikt tilfelle kreves det ikke et annet rettslig grunnlag enn det som ligger til grunn for innsamlingen av personopplysninger. Dersom behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, kan det i unionsretten eller medlemsstatenes nasjonale rett fastsettes og angis nærmere hvilke oppgaver og formål viderebehandling bør anses som forenlig og lovlig for. Viderebehandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål bør anses som forenlige og lovlige behandlingsaktiviteter. Det rettslige grunnlaget for behandling av personopplysninger som er fastsatt i unionsretten eller medlemsstatenes nasjonale rett, kan også utgjøre et rettslig grunnlag for viderebehandling. For å fastslå om formålet med viderebehandlingen er forenlig med formålet som personopplysningene opprinnelig ble samlet inn for, bør den behandlingsansvarlige, etter å ha oppfylt alle krav for å sikre at den opprinnelige behandlingen er lovlig, blant annet ta hensyn til enhver forbindelse mellom disse formålene og formålene med den tiltenkte viderebehandlingen, i hvilken sammenheng personopplysningene er blitt samlet inn, særlig de registrertes rimelige forventninger på grunnlag av forholdet de har til den behandlingsansvarlige med hensyn til viderebruk av opplysningene, personopplysningenes art, konsekvensene av den tiltenkte viderebehandlingen for de registrerte, og om både de opprinnelige behandlingsaktivitetene og de tiltenkte viderebehandlingsaktivitetene omfattes av nødvendige garantier.

Når den registrerte har samtykket eller behandlingen er basert på unionsretten eller medlemsstatenes nasjonale rett som utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for særlig å verne viktige samfunnsmessige mål, bør den behandlingsansvarlige kunne viderebehandle personopplysningene uavhengig av om formålene er forenlige. I alle tilfeller bør det sikres at prinsippene fastsatt i denne forordning, og særlig informasjonen til de registrerte om nevnte andre formål og om vedkommendes rettigheter, herunder retten til å protestere, anvendes. Dersom den behandlingsansvarlige avdekker mulige straffbare handlinger eller trusler mot den offentlige sikkerhet og overfører relevante personopplysninger i enkeltstående eller flere tilfeller som gjelder samme straffbare handling eller trusler mot den offentlige sikkerhet, til en vedkommende myndighet, bør dette anses for å være i den behandlingsansvarliges berettigede interesse. En slik overføring i den behandlingsansvarliges berettigede interesse eller viderebehandling av personopplysninger bør være forbudt dersom behandlingen ikke er forenlig med en rettslig, yrkesmessig eller annen bindende taushetsplikt.

51.Personopplysninger som av natur er særlig sensitive med hensyn til grunnleggende rettigheter og friheter, fortjener et særskilt vern, ettersom sammenhengen de behandles i, kan skape betydelige risikoer for de grunnleggende rettigheter og friheter. Slike personopplysninger bør omfatte personopplysninger som avdekker rasemessig eller etnisk opprinnelse, idet bruken av begrepet «rasemessig opprinnelse» i denne forordning ikke innebærer at Unionen godtar teorier som søker å fastslå at det finnes forskjellige menneskeraser. Behandling av fotografier bør ikke systematisk anses som behandling av særlige kategorier av personopplysninger, ettersom fotografier omfattes av definisjonen av biometriske opplysninger bare når de behandles ved hjelp av et særskilt teknisk middel som gjør det mulig entydig å identifisere eller autentisere en fysisk person. Slike personopplysninger bør ikke behandles, med mindre behandlingen er tillatt i særlige tilfeller fastsatt i denne forordning, idet det tas hensyn til at det i medlemsstatenes nasjonale rett kan fastsettes særlige bestemmelser om vern av personopplysninger med henblikk på å tilpasse anvendelsen av reglene i denne forordning for å oppfylle en rettslig forpliktelse eller utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. I tillegg til de særlige kravene til slik behandling bør de allmenne prinsippene og de andre reglene i denne forordning få anvendelse, særlig når det gjelder vilkårene for lovlig behandling. Unntak fra det allmenne forbudet mot å behandle nevnte særlige kategorier av personopplysninger bør fastsettes uttrykkelig, blant annet dersom den registrerte gir sitt uttrykkelige samtykke, eller for å oppfylle særlige behov, særlig når behandlingen utføres i forbindelse med visse sammenslutningers eller stiftelsers rettmessige virksomhet hvis formål er å gjøre det mulig å utøve grunnleggende friheter.
52.Unntak fra forbudet mot å behandle særlige kategorier av personopplysninger bør også tillates når dette er fastsatt i unionsretten eller medlemsstatenes nasjonale rett, og det omfattes av nødvendige garantier som sikrer vern av personopplysninger og andre grunnleggende rettigheter når dette er i allmennhetens interesse, særlig behandling av personopplysninger på området arbeidsrett, sosialrett, herunder pensjoner, og med henblikk på helsesikkerhet, -overvåking og -varsling, forebygging av eller kontroll med smittsomme sykdommer og andre alvorlige helsetrusler. Et slikt unntak kan gis for helseformål, herunder på området folkehelse og helsetjenesteforvaltning, særlig for å sikre kvalitet og kostnadseffektivitet i framgangsmåtene som brukes ved behandling av krav om ytelser og tjenester i sykeforsikringssystemet, eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Et unntak bør også tillate behandling av slike personopplysninger dersom dette er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav, uansett om det skjer innenfor rammen av en rettergang eller en administrativ eller utenrettslig prosedyre.
53.Særlige kategorier av personopplysninger som fortjener et sterkere vern, bør bare behandles for helserelaterte formål når det er nødvendig for å oppfylle nevnte formål til fordel for fysiske personer og samfunnet som helhet, særlig i forbindelse med forvaltning av helse- eller sosialtjenester og -systemer, herunder forvaltningens og sentrale nasjonale helsemyndigheters behandling av slike opplysninger med henblikk på kvalitetskontroll, forvaltningsinformasjon og den allmenne nasjonale og lokale overvåking av helse- og sosialsystemet, og for å sikre kontinuitet innen helse- og sosialtjenester og helsetjenester over landegrensene eller i forbindelse med helsesikkerhet, -overvåking og -varsling eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som må oppfylle et mål i allmennhetens interesse, samt for studier på området folkehelse som utføres i allmennhetens interesse. Ved denne forordning bør det derfor fastsettes harmoniserte vilkår for behandling av særlige kategorier av personopplysninger om helse for å oppfylle særlige behov, især når behandlingen av nevnte opplysninger utføres for visse helserelaterte formål av personer som er underlagt lovfestet taushetsplikt. I unionsretten eller medlemsstatenes nasjonale rett bør det fastsettes særlige og egnede tiltak for vern av fysiske personers grunnleggende rettigheter og personopplysninger. Medlemsstatene bør kunne opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger. Dette bør imidlertid ikke hindre den frie flyten av personopplysninger i Unionen når nevnte vilkår får anvendelse på grenseoverskridende behandling av nevnte opplysninger.
54.Allmenne folkehelsehensyn gjør at det kan være nødvendig å behandle særlige kategorier av personopplysninger uten den registrertes samtykke. En slik behandling bør være underlagt egnede og særlige tiltak som sikrer vern av fysiske personers rettigheter og friheter. I denne forbindelse bør «folkehelse» tolkes i henhold til europaparlaments- og rådsforordning (EF) nr. 1338/2008,​11 nærmere bestemt alle faktorer knyttet til helse, nærmere bestemt helsestatus, herunder sykelighet og funksjonshemning, faktorer som har innvirkning på denne helsestatusen, behov for helsetjenester, ressurser avsatt til helsetjenester, yting av og allmenn tilgang til helsetjenester, utgifter til og finansiering av helsetjenester samt dødsårsaker. En slik behandling av helseopplysninger i allmennhetens interesse bør ikke føre til at personopplysninger behandles for andre formål av tredjeparter, f.eks. arbeidsgivere, forsikringsselskaper eller banker.
55.Offentlige myndigheters behandling av personopplysninger med henblikk på å nå målene til offisielt anerkjente religiøse sammenslutninger som er fastsatt ved forfatningsretten eller ved folkeretten, utføres også i allmennhetens interesse.
56.Dersom det i forbindelse med valgaktiviteter i en medlemsstat, for å sikre at det demokratiske systemet fungerer, kreves at politiske partier samler inn personopplysninger om fysiske personers politiske oppfatninger, kan behandling av slike opplysninger være tillatt av hensyn til allmennhetens interesse, forutsatt at det foreligger nødvendige garantier.
57.Dersom personopplysningene som behandles av en behandlingsansvarlig, ikke gjør det mulig for den behandlingsansvarlige å identifisere en fysisk person, bør den behandlingsansvarlige ikke ha plikt til å innhente ytterligere opplysninger for å identifisere den registrerte utelukkende med det formål å overholde bestemmelsene i denne forordning. Den behandlingsansvarlige bør imidlertid ikke nekte å ta imot flere opplysninger som den registrerte gir med henblikk på å utøve sine rettigheter. Identifikasjon bør omfatte digital identifikasjon av den registrerte, f.eks. ved hjelp av en autentiseringsmekanisme, f.eks. de samme legitimasjonsopplysninger som den registrerte bruker for å logge seg inn på den nettbaserte tjenesten som tilbys av den behandlingsansvarlige.
58.Prinsippet om åpenhet krever at all informasjon som er rettet mot allmennheten eller den registrerte, skal være kortfattet, lett tilgjengelig og enkel å forstå, at det skal benyttes et klart og enkelt språk og ved behov visualisering. Slik informasjon kan, når den er rettet mot allmennheten, gis elektronisk, f.eks. på et nettsted. Dette er særlig relevant i situasjoner der det økende antallet aktører samt de komplekse teknologiene som brukes, gjør det vanskelig for den registrerte å vite og forstå om, av hvem og for hvilket formål vedkommendes personopplysninger samles inn, f.eks. i forbindelse med nettreklame. Ettersom barn fortjener et særlig vern, bør all informasjon og kommunikasjon, dersom behandlingen gjelder barn, være formulert på et klart og enkelt språk som barnet lett kan forstå.
59.Det bør fastsettes nærmere regler for å sikre at den registrerte på en enkel måte kan utøve sine rettigheter i henhold til denne forordning, herunder mekanismer for å anmode om og, dersom det er relevant, kostnadsfritt få innsyn i personopplysninger og få rettet eller slettet disse, samt utøve retten til å protestere. Den behandlingsansvarlige bør også gjøre det mulig å inngi anmodninger elektronisk, særlig dersom personopplysninger behandles elektronisk. Den behandlingsansvarlige bør ha plikt til å svare på anmodninger fra den registrerte uten ugrunnet opphold, og senest innen én måned, samt å begrunne sitt svar dersom den behandlingsansvarlige ikke akter å imøtekomme nevnte anmodninger.
60.Prinsippene om rettferdig og åpen behandling krever at den registrerte informeres om at behandlingen skjer, samt om formålet med den. Den behandlingsansvarlige bør gi den registrerte eventuell ytterligere informasjon som er nødvendig for å sikre en rettferdig og åpen behandling, idet det tas hensyn til de særlige omstendighetene rundt behandlingen av personopplysningene og sammenhengen den skjer i. Den registrerte bør dessuten informeres om forekomsten av profilering og konsekvensene av dette. Dersom personopplysningene samles inn fra den registrerte, bør den registrerte også informeres om hvorvidt vedkommende har plikt til å gi personopplysningene, og om konsekvensene dersom de ikke gis. Nevnte informasjon kan gis sammen med standardiserte ikoner, slik at det gis en oversikt over den tiltenkte behandlingen på en lett synlig, forståelig og lettlest måte. Dersom ikonene presenteres elektronisk, bør de være maskinlesbare.
61.Informasjonen i forbindelse med behandlingen av personopplysninger bør gis den registrerte på tidspunktet for innsamlingen av personopplysninger fra vedkommende eller, dersom personopplysningene innhentes fra en annen kilde, innen en rimelig frist, avhengig av de aktuelle omstendighetene. Dersom personopplysninger rettmessig kan utleveres til en annen mottaker, bør den registrerte informeres første gang personopplysningene utleveres til nevnte mottaker. Dersom den behandlingsansvarlige akter å behandle personopplysningene for et annet formål enn det de ble samlet inn for, bør den behandlingsansvarlige før nevnte viderebehandling gi den registrerte informasjon om nevnte andre formål og annen nødvendig informasjon. Dersom det ikke er mulig å informere den registrerte om personopplysningenes opprinnelse fordi det er brukt forskjellige kilder, bør det gis generell informasjon.
62.Det er imidlertid ikke nødvendig å pålegge en plikt til å informere dersom den registrerte allerede har informasjonen, dersom registrering eller utlevering av personopplysninger er uttrykkelig fastsatt ved lov, eller dersom det viser seg å være umulig eller vil kreve en uforholdsmessig stor innsats å informere den registrerte. Det sistnevnte kan særlig være tilfellet dersom behandlingen utføres for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. I denne forbindelse bør det tas hensyn til antall registrerte, hvor gamle opplysningene er, og eventuelle garantier som er vedtatt.
63.En registrert bør ha rett til å få innsyn i personopplysninger som er samlet inn om vedkommende, og til på en enkel måte og med rimelige intervaller å utøve denne retten for å forvisse seg om og kontrollere at behandlingen er lovlig. Dette omfatter de registrertes rett til å få innsyn i egne helseopplysninger, f.eks. opplysninger i egen pasientjournal om diagnoser, undersøkelsesresultater, behandlende leges vurderinger og enhver behandling som er gitt, eller enhver intervensjon som er utført. Alle registrerte bør derfor ha rett til å kjenne til og bli informert om formålene med behandlingen av personopplysninger, om mulig om perioden som personopplysningene behandles i, hvem mottakerne av personopplysningene er, logikken som ligger bak en eventuell automatisk behandling av personopplysningene, og konsekvensene av nevnte behandling, i det minste dersom den er basert på profilering. Dersom det er mulig, bør den behandlingsansvarlige kunne gi fjerntilgang til et sikkert system der den registrerte kan få direkte tilgang til egne personopplysninger. Denne retten bør ikke ha negativ innvirkning på andres rettigheter eller friheter, herunder forretningshemmeligheter eller immaterialretten, særlig opphavsretten som programvaren er beskyttet av. Disse hensynene bør imidlertid ikke føre til at den registrerte nektes innsyn i alle opplysninger. Dersom den behandlingsansvarlige behandler en stor mengde opplysninger om den registrerte, bør den behandlingsansvarlige før informasjonen gis, kunne anmode om at den registrerte presiserer hvilke opplysninger eller behandlingsaktiviteter anmodningen gjelder.
64.Den behandlingsansvarlige bør treffe alle rimelige tiltak for å kontrollere identiteten til en registrert som anmoder om innsyn, særlig i forbindelse med nettjenester og nettidentifikatorer. En behandlingsansvarlig bør ikke lagre personopplysninger utelukkende for å kunne svare på mulige anmodninger.
65.En registrert bør ha rett til å få rettet sine personopplysninger samt ha «rett til å bli glemt» dersom lagring av nevnte opplysninger er i strid med denne forordning, unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt. En registrert bør særlig ha rett til å få sine personopplysninger slettet og ikke lenger behandlet dersom personopplysningene ikke lenger er nødvendige for de formål de er blitt samlet inn eller behandlet for, dersom en registrert har trukket tilbake sitt samtykke eller motsetter seg behandling av vedkommendes personopplysninger, eller dersom behandlingen av vedkommendes personopplysninger på annen måte ikke er i samsvar med denne forordning. Denne retten er særlig relevant når den registrerte har gitt sitt samtykke som barn og ikke har fullstendig kjennskap til risikoene forbundet med behandlingen, og senere ønsker å fjerne slike personopplysninger, særlig på internett. Den registrerte bør kunne utøve denne retten selv om vedkommende ikke lenger er et barn. Ytterligere lagring av personopplysninger bør imidlertid være lovlig dersom det er nødvendig for å utøve retten til ytrings- og informasjonsfrihet, for å oppfylle en rettslig forpliktelse, utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, av allmenne folkehelsehensyn, for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning, for statistiske formål eller for å fastsette, gjøre gjeldende eller forsvare rettskrav.
66.For å styrke retten til å bli glemt på internett bør retten til sletting også utvides, slik at en behandlingsansvarlig som har offentliggjort personopplysningene, har plikt til å underrette de behandlingsansvarlige som behandler nevnte personopplysninger, om at alle lenker til eller kopier eller reproduksjoner av nevnte personopplysninger skal slettes. I den forbindelse bør nevnte behandlingsansvarlig treffe rimelige tiltak, idet det tas hensyn til tilgjengelig teknologi og de midler den behandlingsansvarlige har til rådighet, herunder tekniske tiltak, for å underrette de behandlingsansvarlige som behandler personopplysningene, om den registrertes anmodning.
67.Metodene for å begrense behandlingen av personopplysninger kan blant annet innebære at utvalgte opplysninger flyttes midlertidig til et annet behandlingssystem, at utvalgte personopplysninger gjøres utilgjengelig for brukere, eller at offentliggjorte opplysninger fjernes midlertidig fra et nettsted. I automatiserte registre bør behandlingen i prinsippet begrenses ved hjelp av tekniske midler som sikrer at personopplysningene ikke kan viderebehandles og endres. Det faktum at behandlingen av personopplysninger er begrenset, bør være tydelig angitt i systemet.
68.For å gi den registrerte økt kontroll over egne personopplysninger bør den registrerte, ved automatisert behandling av personopplysningene, også ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en behandlingsansvarlig i et strukturert, alminnelig anvendt, maskinlesbart og kompatibelt format, og til å overføre dem til en annen behandlingsansvarlig. Behandlingsansvarlige bør oppmuntres til å utvikle kompatible formater som muliggjør dataportabilitet. Denne retten bør få anvendelse dersom den registrerte har gitt personopplysninger på grunnlag av et samtykke, eller dersom behandlingen er nødvendig for å oppfylle en avtale. Den bør ikke få anvendelse dersom behandlingen er basert på et annet rettslig grunnlag enn et samtykke eller en avtale. Denne retten er av en slik art at den ikke bør utøves overfor behandlingsansvarlige som behandler personopplysninger som et ledd i utøvelsen av sine offentlige oppgaver. Den bør derfor ikke få anvendelse dersom behandlingen av personopplysninger er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige, eller for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Den registrertes rett til å overføre eller motta personopplysninger om seg selv bør ikke innebære at de behandlingsansvarlige har plikt til å innføre eller opprettholde teknisk kompatible behandlingssystemer. Dersom et bestemt sett med personopplysninger berører mer enn én registrert, bør retten til å motta personopplysningene ikke berøre andre registrertes rettigheter og friheter i samsvar med denne forordning. Denne retten bør videre ikke berøre den registrertes rett til å få slettet personopplysninger samt begrensningene av denne retten som fastsatt i denne forordning, og bør særlig ikke innebære sletting av personopplysninger om den registrerte som vedkommende har gitt med henblikk på å oppfylle en avtale, i den grad og så lenge personopplysningene er nødvendige for å oppfylle nevnte avtale. Dersom det er teknisk mulig, bør den registrerte ha rett til å få personopplysningene overført direkte fra én behandlingsansvarlig til en annen.
69.Dersom personopplysningene kan behandles på lovlig vis fordi behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, eller av hensyn til en behandlingsansvarligs eller en tredjeparts berettigede interesser, bør en registrert imidlertid ha rett til å protestere mot enhver behandling av personopplysninger som gjelder vedkommendes særlige situasjon. Det bør være opp til behandlingsansvarlige å påvise at vedkommendes tvingende berettigede interesse går foran den registrertes interesser eller grunnleggende rettigheter og friheter.
70.Dersom personopplysninger behandles med henblikk på direkte markedsføring, bør den registrerte, uansett om det dreier seg om innledende behandling eller viderebehandling, ha rett til når som helst og gratis å protestere mot nevnte behandling, herunder profilering så lenge dette er knyttet til direkte markedsføring. Den registrerte bør uttrykkelig gjøres oppmerksom på denne retten, og informasjonen bør presenteres på en tydelig måte og atskilt fra all annen informasjon.
71.Den registrerte bør ha rett til ikke å bli gjort til gjenstand for en avgjørelse, f.eks. et tiltak, som kan omfatte en vurdering av personlige aspekter ved vedkommende som fullt ut bygger på automatisert behandling, og som har rettsvirkning for vedkommende eller på lignende måte i betydelig grad påvirker vedkommende, f.eks. et automatisk avslag på en søknad om kreditt på internett eller e-rekruttering uten menneskelig inngripen. En slik behandling omfatter «profilering», som består av enhver form for automatisert behandling av personopplysninger der målet er å vurdere personlige aspekter ved en fysisk person, særlig for å analysere eller forutsi aspekter knyttet til den registrertes arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, når dette har rettsvirkning for eller på lignende måte i betydelig grad påvirker vedkommende. Avgjørelser som treffes på grunnlag av slik behandling, herunder profilering, bør imidlertid være tillatt når unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, uttrykkelig tillater dette, herunder med henblikk på overvåking og forebygging av bedrageri og skatteunndragelse som utføres i samsvar med forordningene, standardene og anbefalingene fra Unionens institusjoner eller nasjonale tilsynsorganer, og for å sikre at en tjeneste som leveres av den behandlingsansvarlige, er sikker eller pålitelig, eller som er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte og en behandlingsansvarlig, eller dersom den registrerte har gitt sitt uttrykkelige samtykke. Under alle omstendigheter bør en slik behandling ledsages av nødvendige garantier som bør omfatte spesifikk informasjon til den registrerte og rett til menneskelig inngripen, til å uttrykke sine synspunkter, til å få en forklaring på avgjørelsen som er truffet etter en slik vurdering, og til å protestere mot avgjørelsen. Nevnte tiltak bør ikke gjelde barn.

For å sikre en rettferdig og åpen behandling med hensyn til den registrerte, idet det tas hensyn til de særlige omstendighetene og sammenhengen personopplysningene behandles i, bør den behandlingsansvarlige bruke egnede matematiske eller statistiske framgangsmåter i forbindelse med profileringen, gjennomføre egnede tekniske og organisatoriske tiltak for særlig å sikre at faktorer som fører til uriktige personopplysninger, rettes opp og at risikoen for feil minimeres, sikre personopplysningene på en måte som tar hensyn til den registrertes interesser og rettigheter, og hindre blant annet forskjellsbehandling av fysiske personer på grunn av rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, genetisk status, helsetilstand eller seksuell orientering, eller behandling som fører til tiltak som har en slik virkning. Automatiserte avgjørelser og profilering basert på særlige kategorier av personopplysninger bør bare være tillatt på særlige vilkår.

72.Profilering omfattes av reglene for behandling av personopplysninger i denne forordning, f.eks. det rettslige grunnlaget for behandlingen eller prinsippene for vern av personopplysninger. Det europeiske personvernråd (heretter kalt «Personvernrådet») som opprettes ved denne forordning, bør kunne gi veiledning om dette.
73.Særlige prinsipper og retten til informasjon, innsyn i og retting eller sletting av personopplysninger, retten til dataportabilitet, retten til å protestere, avgjørelser basert på profilering samt underretning av en registrert om brudd på personopplysningssikkerheten og visse tilhørende forpliktelser som påhviler de behandlingsansvarlige, kan begrenses av unionsretten eller medlemsstatenes nasjonale rett i den grad det i et demokratisk samfunn er nødvendig og forholdsmessig av hensyn til den offentlige sikkerhet, herunder vern av menneskeliv, særlig som følge av naturkatastrofer eller menneskeskapte katastrofer, forebygging, etterforskning og straffeforfølging av straffbare forhold eller iverksetting av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet, eller brudd på yrkesetiske regler i lovregulerte yrker, andre viktige mål i allmennhetens interesse i Unionen eller en medlemsstat, særlig en viktig økonomisk eller finansiell interesse for Unionen eller en medlemsstat, føring av offentlige registre i allmennhetens interesse, viderebehandling av arkiverte personopplysninger for å framlegge særlig informasjon om politisk atferd under tidligere totalitære regimer eller vern av den registrerte eller andres rettigheter og friheter, herunder sosial trygghet, folkehelse og humanitære formål. Nevnte begrensninger bør være i samsvar med kravene fastsatt i pakten og i Den europeiske konvensjon om beskyttelse av menneskerettighetene og de grunnleggende friheter.
74.Den behandlingsansvarliges ansvar og erstatningsansvar for enhver behandling av personopplysninger som utføres av eller på vegne av vedkommende, bør fastsettes. Den behandlingsansvarlige bør særlig ha plikt til å gjennomføre egnede og effektive tiltak og påvise at behandlingsaktivitetene oppfyller kravene i denne forordning, herunder at tiltakene er effektive. Nevnte tiltak bør ta høyde for behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene for fysiske personers rettigheter og friheter.
75.Behandling av personopplysninger kan føre til at det oppstår risikoer av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter som kan medføre fysisk, materiell eller ikke-materiell skade, særlig når behandlingen kan føre til forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger, uautorisert oppheving av pseudonymisering eller andre betydelige økonomiske eller sosiale ulemper, når de registrerte kan bli fratatt sine rettigheter og friheter eller bli hindret i å utøve kontroll over egne personopplysninger, når behandlingen gjelder personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, og behandling av genetiske opplysninger, helseopplysninger, seksuelle forhold eller straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak, når personlige aspekter vurderes, særlig for å analysere eller forutsi aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, for å opprette eller bruke personlige profiler, når sårbare fysiske personers, særlig barns, personopplysninger behandles, eller når behandlingen omfatter en stor mengde personopplysninger og berører et stort antall registrerte.
76.Hvor sannsynlig og alvorlig risikoen for den registrertes rettigheter og friheter er, bør fastslås ut fra behandlingens art, omfang, formål og sammenhengen den utføres i. Risikoen bør vurderes ut fra en objektiv vurdering der det fastslås om behandlingen av personopplysningene innebærer en risiko eller en høy risiko.
77.Veiledning om gjennomføring av egnede tiltak og tiltak for å påvise at den behandlingsansvarlige eller databehandleren overholder denne forordning, særlig med hensyn til kartlegging av risikoen forbundet med behandlingen og en vurdering av risikoens opprinnelse, art, sannsynlighet og alvorlighetsgrad, samt kartlegging av beste praksis for å redusere risikoen, kan særlig gis ved hjelp av godkjente atferdsnormer, godkjente sertifiseringer, retningslinjer fra Personvernrådet eller anvisninger fra et personvernombud. Personvernrådet kan også utstede retningslinjer for behandlingsaktiviteter som sannsynligvis ikke vil innebære en høy risiko for fysiske personers rettigheter og friheter, samt angi hvilke tiltak som i slike tilfeller kan være tilstrekkelig for å håndtere nevnte risiko.
78.Vern av fysiske personers rettigheter og friheter i forbindelse med behandling av personopplysninger krever at det treffes egnede tekniske og organisatoriske tiltak for å sikre at kravene i denne forordning oppfylles. For å påvise at denne forordning overholdes bør den behandlingsansvarlige vedta interne retningslinjer og gjennomføre tiltak som særlig overholder prinsippene om innebygd personvern og personvern som standardinnstilling. Nevnte tiltak kan blant annet omfatte å minimere behandlingen av personopplysninger, pseudonymisere personopplysninger så raskt som mulig, sikre at behandlingen og formålene med den er åpen, gjøre det mulig for den registrerte å kontrollere behandlingen samt gjøre det mulig for den behandlingsansvarlige å iverksette sikkerhetsfunksjoner og å forbedre dem.

Ved utvikling, utforming, valg og bruk av programmer, tjenester og produkter som er basert på behandling av personopplysninger, eller når personopplysninger behandles for å oppfylle disses funksjon, bør produsenter av nevnte produkter, tjenester og programmer oppmuntres til å ta hensyn til retten til vern av personopplysninger ved utvikling og utforming av nevnte produkter, tjenester og programmer og, idet det tas behørig hensyn til den tekniske utviklingen, sikre at behandlingsansvarlige og databehandlere kan oppfylle sine forpliktelser med hensyn til vern av personopplysninger. Det bør også tas hensyn til prinsippene om innebygd personvern og personvern som standardinnstilling i forbindelse med offentlige anbud.

79.Vern av de registrertes rettigheter og friheter samt de behandlingsansvarliges og databehandleres ansvar, herunder i forbindelse med tilsynsmyndighetenes tilsyn og tiltak, krever en tydelig fordeling av ansvar i henhold til denne forordning, herunder når den behandlingsansvarlige fastsetter formålene med og midlene for behandlingen sammen med andre behandlingsansvarlige, eller når en behandlingsaktivitet utføres på vegne av en behandlingsansvarlig.
80.Dersom en behandlingsansvarlig eller en databehandler som ikke er etablert i Unionen, behandler personopplysninger om registrerte som befinner seg i Unionen, og behandlingsaktivitetene gjelder tilbud av varer og tjenester til nevnte registrerte i Unionen, uavhengig av om det kreves betaling fra disse eller ikke, eller monitorering av deres atferd, dersom atferden finner sted i Unionen, bør den behandlingsansvarlige eller databehandleren utpeke en representant, med mindre behandlingen skjer leilighetsvis, ikke omfatter behandling i stor skala av særlige kategorier av personopplysninger eller behandling av personopplysninger om straffedommer og lovovertredelser, og at behandlingen sannsynligvis ikke vil innebære en risiko for fysiske personers rettigheter og friheter, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, eller om den behandlingsansvarlige er en offentlig myndighet eller et offentlig organ. Representanten bør opptre på vegne av den behandlingsansvarlige eller databehandleren og bør kunne kontaktes av alle tilsynsmyndigheter. Representanten bør utpekes eksplisitt gjennom en skriftlig fullmakt fra den behandlingsansvarlige eller databehandleren til å opptre på deres vegne med hensyn til deres forpliktelser i henhold til denne forordning. Utpekingen av nevnte representant berører ikke den behandlingsansvarliges eller databehandlerens ansvar eller erstatningsansvar i henhold til denne forordning. Nevnte representant bør utføre sine oppgaver i henhold til fullmakten fra den behandlingsansvarlige eller databehandleren, herunder samarbeide med vedkommende tilsynsmyndigheter om eventuelle tiltak som treffes for å sikre at denne forordning overholdes. Den utpekte representanten bør være underlagt håndhevingstiltak i tilfelle manglende overholdelse fra den behandlingsansvarliges eller databehandlerens side.
81.For å sikre overholdelse av kravene i denne forordning med hensyn til behandling som skal utføres av databehandleren på vegne av den behandlingsansvarlige, når behandlingsaktiviteter overlates til en databehandler, bør den behandlingsansvarlige bare benytte databehandlere som gir tilstrekkelige garantier, særlig med tanke på dybdekunnskap, pålitelighet og ressurser, for at de vil gjennomføre tekniske og organisatoriske tiltak som vil oppfylle kravene i denne forordning, herunder kravene til sikker behandling. Databehandlerens overholdelse av godkjente atferdsnormer eller bruk av en godkjent sertifiseringsmekanisme kan brukes som en faktor for å påvise at den behandlingsansvarliges forpliktelser overholdes. Behandling som utføres av en databehandler, bør være underlagt en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett som binder databehandleren til den behandlingsansvarlige, og som fastsetter gjenstanden for og varigheten av behandlingen, behandlingens art og formål, typen personopplysninger og kategorier av registrerte, idet det tas hensyn til databehandlerens særlige oppgaver og ansvar i forbindelse med behandlingen som skal utføres, samt risikoen for den registrertes rettigheter og friheter. Den behandlingsansvarlige og databehandleren kan velge å bruke en individuell avtale eller standardavtalevilkår som enten er vedtatt direkte av Kommisjonen eller av en tilsynsmyndighet i samsvar med konsistensmekanismen, og deretter vedtatt av Kommisjonen. Når behandlingen på vegne av den behandlingsansvarlige er fullført, bør databehandleren tilbakelevere eller slette personopplysningene, avhengig av hva den behandlingsansvarlige velger, med mindre unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt, inneholder krav om lagring av personopplysningene.
82.For å påvise samsvar med denne forordning bør den behandlingsansvarlige eller databehandleren føre protokoll over de behandlingsaktiviteter som de har ansvar for. Hver behandlingsansvarlig og hver databehandler bør ha plikt til å samarbeide med tilsynsmyndigheten og på anmodning gjøre disse protokollene tilgjengelig for den, slik at de kan benyttes til tilsyn med nevnte behandlingsaktiviteter.
83.For å opprettholde sikkerheten og hindre at behandlingen er i strid med denne forordning bør den behandlingsansvarlige eller databehandleren vurdere de iboende risikoene forbundet med behandlingen og gjennomføre tiltak for å begrense disse, f.eks. kryptering. Nevnte tiltak bør sørge for et egnet sikkerhetsnivå, herunder et egnet nivå av konfidensialitet, idet det tas hensyn til den tekniske utviklingen og gjennomføringskostnadene i forbindelse med risikoene samt arten av personopplysningene som skal vernes. Når risikoen for datasikkerheten vurderes, bør det tas hensyn til risikoene forbundet med behandling av personopplysninger, f.eks. utilsiktet eller ulovlig tilintetgjøring, tap, endring, ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet, som særlig kan føre til fysisk, materiell eller ikke-materiell skade.
84.For å bedre overholdelsen av denne forordning i tilfeller der det er sannsynlig at behandlingsaktiviteter vil medføre en høy risiko for fysiske personers rettigheter og friheter, bør den behandlingsansvarlige ha ansvar for å foreta en vurdering av personvernkonsekvenser for særlig å vurdere risikoens opprinnelse, art, særegenhet og alvorlighetsgrad. Det bør tas hensyn til utfallet av vurderingen ved fastsettelse av egnede tiltak som skal treffes for å påvise at behandlingen av personopplysningene oppfyller kravene i denne forordning. Dersom det framgår av nevnte konsekvensvurdering at behandlingsaktivitetene innebærer en høy risiko som den behandlingsansvarlige ikke kan begrense ved å treffe egnede tiltak, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnadene, bør tilsynsmyndigheten rådspørres før behandlingen finner sted.
85.Et brudd på personopplysningssikkerheten kan, dersom det ikke håndteres på egnet måte og i rett tid, påføre fysiske personer fysisk, materiell eller ikke-materiell skade, f.eks. tap av kontroll over egne personopplysninger eller begrensning av egne rettigheter, forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, uautorisert oppheving av pseudonymisering, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger eller andre betydelige økonomiske eller sosiale ulemper for den berørte fysiske personen. Så snart den behandlingsansvarlige får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten, bør vedkommende melde nevnte brudd til tilsynsmyndigheten uten ugrunnet opphold og om mulig senest 72 timer etter å ha fått kjennskap til det, med mindre vedkommende i samsvar med ansvarlighetsprinsippet kan påvise at nevnte brudd på personopplysningssikkerheten sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom nevnte melding ikke kan gis innen 72 timer, bør årsaken til forsinkelsen oppgis i meldingen, og informasjonen kan gis trinnvis uten videre ugrunnet opphold.
86.Den behandlingsansvarlige bør uten ugrunnet opphold underrette den registrerte om et brudd på personopplysningssikkerheten dersom det er sannsynlig at nevnte brudd kan medføre en høy risiko for den fysiske personens rettigheter og friheter, slik at vedkommende får mulighet til å treffe de nødvendige forholdsregler. Underretningen bør beskrive arten av bruddet på personopplysningssikkerheten og inneholde anbefalinger som den berørte fysiske personen kan følge for å begrense mulige skadevirkninger. De registrerte bør underrettes så snart det med rimelighet er mulig, og i nært samarbeid med tilsynsmyndigheten og i samsvar med retningslinjer utstedt av den eller av andre relevante myndigheter, f.eks. myndigheter med ansvar for håndheving av loven. Behovet for å redusere en umiddelbar risiko for skade kan f.eks. kreve at de registrerte underrettes omgående, mens behovet for å gjennomføre egnede tiltak mot fortsatte eller lignende brudd på personopplysningssikkerheten kan berettige en lengre frist for underretning.
87.Det bør undersøkes om alle egnede teknologiske sikkerhetstiltak og organisatoriske tiltak er blitt gjennomført for omgående å kunne fastslå om det har funnet sted et brudd på personopplysningssikkerheten, og for omgående å underrette tilsynsmyndigheten og den registrerte. Det bør fastslås om meldingen ble gitt uten ugrunnet opphold, idet det tas særlig hensyn til arten og alvorlighetsgraden av bruddet på personopplysningssikkerheten og konsekvensene og skadevirkningene det har for den registrerte. En slik melding kan føre til inngripen fra tilsynsmyndigheten i samsvar med dens oppgaver og myndighet fastsatt i denne forordning.
88.Ved fastsettelse av nærmere regler om formatet og framgangsmåtene som får anvendelse på melding av brudd på personopplysningssikkerheten, bør det tas behørig hensyn til omstendighetene rundt nevnte brudd, herunder om personopplysningene var omfattet av hensiktsmessige tekniske sikkerhetstiltak som på en effektiv måte begrenser sannsynligheten for identitetsbedrageri eller andre former for misbruk. Nevnte regler og framgangsmåter bør videre ta hensyn til de berettigede interessene til myndighetene med ansvar for håndheving av loven dersom en tidlig offentliggjøring i unødig grad vil kunne hindre etterforskning av omstendighetene rundt et brudd på personopplysningssikkerheten.
89.Ved direktiv 95/46/EF ble det fastsatt en generell plikt til å melde behandlingen av personopplysningene til tilsynsmyndighetene. Denne plikten har medført en administrativ og økonomisk byrde, men har ikke alltid bidratt til å bedre vernet av personopplysninger. En slik vilkårlig og generell meldingsplikt bør derfor avskaffes og erstattes av effektive framgangsmåter og mekanismer, der det isteden fokuseres på den typen behandlingsaktiviteter som kan medføre en høy risiko for fysiske personers rettigheter og friheter i kraft av aktivitetenes art, omfang, formål og sammenhengen de utføres i. Denne typen behandlingsaktiviteter kan være aktiviteter som især innebærer bruk av ny teknologi, eller som er av en ny type, og der den behandlingsansvarlige ikke tidligere har gjennomført en vurdering av personvernkonsekvenser, eller dersom de blir nødvendige på grunn av tiden som har gått siden den opprinnelige behandlingen.
90.I slike tilfeller bør den behandlingsansvarlige før behandlingen gjennomføre en vurdering av personvernkonsekvenser for å vurdere sannsynligheten for at det vil oppstå en høy risiko, samt alvorlighetsgraden av denne, idet det tas hensyn til behandlingens art, omfang, formål, sammenhengen den utføres i, og kildene til risikoen. Nevnte konsekvensvurdering bør særlig omfatte planlagte tiltak, garantier og mekanismer for å begrense risikoen, sikre vern av personopplysningene og påvise at denne forordning overholdes.
91.Dette bør særlig få anvendelse på behandlingsaktiviteter i stor skala der formålet er å behandle en betydelig mengde personopplysninger på regionalt, nasjonalt eller overnasjonalt plan, og som kan påvirke et stort antall registrerte og innebære en høy risiko, f.eks. fordi opplysningene er sensitive, dersom, i samsvar med det oppnådde nivået av teknisk kunnskap, en ny teknologi anvendes i stor skala samt i forbindelse med andre behandlingsaktiviteter som innebærer en høy risiko for de registrertes rettigheter og friheter, særlig dersom nevnte aktiviteter gjør det vanskeligere for de registrerte å utøve sine rettigheter. Det bør også utføres en vurdering av personvernkonsekvenser dersom personopplysninger behandles med det formål å treffe avgjørelser om særskilte fysiske personer etter en systematisk og omfattende vurdering av personlige aspekter vedrørende fysiske personer basert på profilering av nevnte opplysninger, eller etter behandling av særlige kategorier av personopplysninger, biometriske opplysninger eller opplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak. Det kreves også en vurdering av personvernkonsekvenser ved overvåking i stor skala av offentlig tilgjengelige steder, særlig ved bruk av optoelektronisk utstyr, eller ved andre aktiviteter der vedkommende tilsynsmyndighet vurderer at behandlingen kan føre til en høy risiko for de registrertes rettigheter og friheter, særlig fordi de hindrer de registrerte i å utøve en rettighet eller gjøre bruk av en tjeneste eller en avtale, eller fordi de utføres systematisk i stor skala. Behandling av personopplysninger bør ikke anses for å være i stor skala dersom det er snakk om en leges, annet helsepersonells eller en advokats behandling av personopplysninger tilhørende pasienter eller klienter. I slike tilfeller bør en vurdering av personvernkonsekvenser ikke være obligatorisk.
92.I noen tilfeller kan det være rimelig og økonomisk å utvide vurderingen av personvernkonsekvenser til å omfatte mer enn ett prosjekt, f.eks. dersom offentlige myndigheter eller organer har planer om å innføre en felles applikasjon eller behandlingsplattform, eller dersom flere behandlingsansvarlige planlegger å innføre en felles applikasjon eller et felles behandlingsmiljø på tvers av en industrisektor eller -segment eller for en horisontal aktivitet som er i utstrakt bruk.
93.I forbindelse med vedtakelse av medlemsstatenes nasjonale rett som utgjør grunnlaget for en offentlig myndighets eller et offentlig organs utførelse av oppgaver, og som regulerer den eller de aktuelle spesifikke behandlingsaktivitetene, kan medlemsstatene anse det nødvendig å foreta nevnte vurdering før behandlingsaktivitetene.
94.Dersom en vurdering av personvernkonsekvenser viser at behandlingen, i fravær av garantier, sikkerhetstiltak og mekanismer for å redusere risikoen, vil innebære en høy risiko for fysiske personers rettigheter og friheter, og den behandlingsansvarlige mener at risikoen ikke kan reduseres ved hjelp av rimelige midler, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnader, bør tilsynsmyndigheten rådspørres før oppstart av behandlingsaktivitetene. Visse typer behandling og omfanget og hyppigheten av behandlingen kan medføre nevnte høye risiko, som også kan føre til skade for eller inngrep i fysiske personers rettigheter og friheter. Tilsynsmyndigheten bør svare på anmodningen om drøftinger innen en fastsatt frist. En manglende reaksjon fra tilsynsmyndigheten innen nevnte frist bør imidlertid ikke berøre tilsynsmyndighetens mulighet til å gripe inn i samsvar med dens oppgaver og myndighet fastsatt i denne forordning, herunder myndighet til å forby behandlingsaktiviteter. Som en del av nevnte drøftinger kan utfallet av en vurdering av personvernkonsekvenser som utføres med henblikk på den aktuelle behandlingen, framlegges for tilsynsmyndigheten, særlig de planlagte tiltakene for å redusere risikoene for fysiske personers rettigheter og friheter.
95.Databehandleren bør ved behov og på anmodning bistå den behandlingsansvarlige med å overholde pliktene som er forbundet med utførelsen av vurderingen av personvernkonsekvenser, og med forhåndsdrøftinger med tilsynsmyndigheten.
96.Tilsynsmyndigheten bør også rådspørres i det forberedende arbeidet med et lovgivningsmessig tiltak eller et reguleringstiltak som gjelder behandling av personopplysninger, for å sikre at den tiltenkte behandlingen oppfyller kravene i denne forordning, og særlig for å redusere risikoen den medfører for den registrerte.
97.Dersom behandlingen utføres av en offentlig myndighet, bortsett fra domstoler eller uavhengige rettshåndhevende myndigheter når de opptrer innenfor rammen av sin domsmyndighet, dersom behandlingen i privat sektor utføres av en behandlingsansvarlig hvis kjernevirksomhet består av behandlingsaktiviteter som krever regelmessig og systematisk monitorering i stor skala av de registrerte, eller dersom den behandlingsansvarliges eller databehandlerens kjernevirksomhet består av behandling i stor skala av særlige kategorier av personopplysninger og opplysninger om straffedommer og lovovertredelser, bør en person med dybdekunnskap om personvernlovgivning og -praksis bistå den behandlingsansvarlige eller databehandleren for å føre tilsyn med den interne overholdelsen av denne forordning. I privat sektor omfatter en behandlingsansvarligs kjernevirksomhet vedkommendes primære virksomhet og ikke behandling av personopplysninger som bivirksomhet. Det nødvendige nivået av dybdekunnskap bør fastsettes i henhold til de behandlingsaktivitetene som utføres, og det vernet som er nødvendig for personopplysningene som behandles av den behandlingsansvarlige eller databehandleren. Slike personvernombud, enten de er ansatt hos den behandlingsansvarlige eller ikke, bør kunne utføre sine funksjoner og oppgaver på en uavhengig måte.
98.Sammenslutninger eller andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, bør oppmuntres til å utarbeide atferdsnormer innenfor rammen av denne forordning for å fremme en effektiv anvendelse av denne forordning, idet det tas hensyn til de særlige kjennetegnene ved behandling som utføres i visse sektorer, og de særlige behovene til svært små, små og mellomstore bedrifter. I slike atferdsnormer bør de behandlingsansvarliges og databehandlernes plikter defineres, idet det tas hensyn til risikoen for fysiske personers rettigheter og friheter som behandlingen kan medføre.
99.Ved utarbeiding av atferdsnormer, eller ved endring eller utvidelse av atferdsnormer, bør sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, rådføre seg med relevante berørte parter, herunder registrerte når det er mulig, og ta hensyn til bemerkninger og synspunkter framsatt i forbindelse med slik rådføring.
100.For å øke åpenheten og overholdelsen av denne forordning bør det oppmuntres til opprettelse av sertifiseringsmekanismer og personvernsegl og -merker, slik at de registrerte raskt kan vurdere nivået for vern av personopplysninger som relevante produkter og tjenester omfattes av.
101.Strømmen av personopplysninger til og fra stater utenfor Unionen og internasjonale organisasjoner er nødvendig for å kunne utvide internasjonal handel og internasjonalt samarbeid. Denne strømmen har økt, og dette har skapt nye utfordringer og bekymringer med tanke på vern av personopplysninger. Når personopplysninger overføres fra Unionen til behandlingsansvarlige, databehandlere eller andre mottakere i tredjestater eller til internasjonale organisasjoner, bør det beskyttelsesnivået som fysiske personer ved denne forordning sikres i Unionen, imidlertid ikke undergraves, herunder i tilfeller der personopplysninger videreoverføres fra tredjestaten eller den internasjonale organisasjonen til behandlingsansvarlige eller databehandlere i den samme eller en annen tredjestat eller internasjonal organisasjon. Overføring til tredjestater og internasjonale organisasjoner må under alle omstendigheter bare skje i fullt samsvar med denne forordning. Med forbehold for de andre bestemmelsene i denne forordning kan en overføring bare finne sted dersom den behandlingsansvarlige eller databehandleren overholder vilkårene fastsatt i bestemmelsene i denne forordning om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner.
102.Denne forordning berører ikke internasjonale avtaler inngått mellom Unionen og tredjestater om overføring av personopplysninger, herunder nødvendige garantier for de registrerte. Medlemsstatene kan inngå internasjonale avtaler som omfatter overføring av personopplysninger til tredjestater eller internasjonale organisasjoner, så lenge nevnte avtaler ikke berører denne forordning eller andre bestemmelser i unionsretten og gir et egnet nivå for vern av de registrertes grunnleggende rettigheter.
103.Kommisjonen kan med virkning for hele Unionen beslutte at en tredjestat, et territorium eller en bestemt sektor i en tredjestat eller en internasjonal organisasjon har et tilstrekkelig nivå for vern av personopplysninger, og på den måten skape rettssikkerhet og ensartethet i hele Unionen med hensyn til tredjestaten eller de internasjonale organisasjonene som anses for å ha et slikt nivå for vern av personopplysninger. I slike tilfeller kan personopplysninger overføres til nevnte tredjestat eller internasjonale organisasjon uten at det er nødvendig å innhente ytterligere godkjenning. Kommisjonen kan også beslutte å tilbakekalle en slik beslutning etter å ha underrettet tredjestaten eller den internasjonale organisasjonen og gitt en fullstendig begrunnelse for dette.
104.I samsvar med de grunnleggende verdiene som Unionen bygger på, særlig beskyttelse av menneskerettighetene, bør Kommisjonen i sin vurdering av tredjestaten, eller av et territorium eller en bestemt sektor i en tredjestat, ta hensyn til hvordan en bestemt tredjestat overholder rettsstatsprinsippet, sikrer klageadgang og domstolsprøving og overholder internasjonale menneskerettighetsstandarder samt sin allmenne og sektorbestemte lovgivning, herunder lovgivning om offentlig sikkerhet, forsvar, nasjonal sikkerhet, offentlig orden samt strafferett. Når det treffes en beslutning om tilstrekkelig beskyttelsesnivå som gjelder et territorium eller en bestemt sektor i en tredjestat, bør det tas hensyn til tydelige og objektive kriterier, f.eks. spesifikke behandlingsaktiviteter og omfanget av gjeldende rettsregler og lovgivning i tredjestaten. Tredjestaten bør gi garantier som sikrer et tilstrekkelig beskyttelsesnivå, og som i hovedtrekk tilsvarer det som sikres i Unionen, særlig når personopplysninger behandles i en eller flere spesifikke sektorer. Tredjestaten bør særlig sikre et effektivt og uavhengig personverntilsyn og bør opprette mekanismer for samarbeid med medlemsstatenes personvernmyndigheter, og de registrerte bør ha effektive og håndhevbare rettigheter og mulighet til effektiv administrativ og rettslig prøving.
105.I tillegg til de internasjonale forpliktelsene som tredjestaten eller den internasjonale organisasjonen har inngått, bør Kommisjonen ta hensyn til forpliktelsene som følger av tredjestatens eller den internasjonale organisasjonens deltaking i multilaterale eller regionale systemer, særlig i forbindelse med vern av personopplysninger, samt gjennomføringen av nevnte forpliktelser. Det bør særlig tas hensyn til tredjestatens tiltredelse til Europarådets konvensjon av 28. januar 1981 om personvern i forbindelse med elektronisk databehandling av personopplysninger samt dens tilleggsprotokoll. Kommisjonen bør rådspørre Personvernrådet når den vurderer beskyttelsesnivå i tredjestater eller internasjonale organisasjoner.
106.Kommisjonen bør overvåke virkningen av beslutninger om beskyttelsesnivået i en tredjestat, på et territorium eller i en bestemt sektor i en tredjestat eller en internasjonal organisasjon og overvåke virkningen av beslutninger truffet på grunnlag av artikkel 25 nr. 6 eller artikkel 26 nr. 4 i direktiv 95/46/EF. I sine beslutninger om tilstrekkelig beskyttelsesnivå bør Kommisjonen fastsette en mekanisme for regelmessig gjennomgåelse av beslutningenes virkning. Nevnte regelmessige gjennomgåelse bør utføres i samråd med den aktuelle tredjestat eller internasjonale organisasjon, idet det tas hensyn til all relevant utvikling i tredjestaten eller den internasjonale organisasjonen. I forbindelse med overvåking og de regelmessige gjennomgåelsene bør Kommisjonen ta hensyn til synspunkter og konklusjoner fra Europaparlamentet og Rådet samt fra andre relevante organer og kilder. Kommisjonen bør innen en rimelig frist vurdere virkningen av sistnevnte beslutninger og rapportere eventuelle relevante konklusjoner til komiteen omhandlet i europaparlaments- og rådsforordning (EU) nr. 182/2011​12 som nedsettes ved denne forordning, og til Europaparlamentet og Rådet.
107.Kommisjonen kan fastslå at en tredjestat, et territorium eller en bestemt sektor i en tredjestat eller en internasjonal organisasjon ikke lenger sikrer et tilstrekkelig nivå for vern av personopplysninger. Overføringen av personopplysninger til nevnte tredjestat eller internasjonale organisasjon bør da forbys, med mindre kravene i denne forordning som gjelder overføringer som omfattes av nødvendige garantier, herunder bindende virksomhetsregler, og unntak for særlige situasjoner, er oppfylt. I slike tilfeller bør det fastsettes at det skal gjennomføres samråd mellom Kommisjonen og nevnte tredjestater eller internasjonale organisasjoner. Kommisjonen bør i rett tid underrette tredjestaten eller den internasjonale organisasjonen om årsakene og innlede samråd med den for å avhjelpe situasjonen.
108.Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, bør den behandlingsansvarlige eller databehandleren treffe tiltak for å kompensere for det manglende vernet av personopplysninger i en tredjestat i form av nødvendige garantier for den registrerte. Nødvendige garantier kan omfatte bruk av bindende virksomhetsregler, standard personvernbestemmelser vedtatt av Kommisjonen, standard personvernbestemmelser vedtatt av en tilsynsmyndighet eller avtalevilkår godkjent av en tilsynsmyndighet. Disse garantiene bør sikre samsvar med kravene til vern av personopplysninger og de registrertes rettigheter i forbindelse med behandling internt i Unionen, herunder om de registrerte har tilgang til håndhevbare rettigheter og effektive rettsmidler, herunder retten til effektiv administrativ eller rettslig prøving og til å kreve erstatning i Unionen eller i en tredjestat. Garantiene bør særlig omfatte samsvar med de allmenne prinsippene om behandling av personopplysninger og prinsippene om innebygd personvern og personvern som standardinnstilling. Offentlige myndigheter eller organer kan også foreta overføringer til offentlige myndigheter eller organer i tredjestater eller til internasjonale organisasjoner med tilsvarende oppgaver eller funksjoner, herunder på grunnlag av bestemmelser som skal innlemmes i administrative ordninger, f.eks. en programerklæring, som gir de registrerte håndhevbare og effektive rettigheter. Det bør innhentes godkjenning fra vedkommende tilsynsmyndighet når garantiene er fastsatt i administrative ordninger som ikke er rettslig bindende.
109.Den behandlingsansvarliges eller databehandlerens mulighet til å benytte standardbestemmelser for vern av personopplysninger vedtatt av Kommisjonen eller av en tilsynsmyndighet bør ikke hindre de behandlingsansvarlige eller databehandlere i å innlemme standardbestemmelsene for vern av personopplysninger i en mer omfattende avtale, f.eks. en avtale mellom databehandleren og en annen databehandler, eller i å tilføye andre bestemmelser eller ytterligere garantier, forutsatt at de ikke direkte eller indirekte er i strid med standardavtalevilkårene vedtatt av Kommisjonen eller av en tilsynsmyndighet eller berører de registrertes grunnleggende rettigheter og friheter. Behandlingsansvarlige og databehandlere bør oppmuntres til å fastsette ytterligere garantier gjennom avtalefestede forpliktelser som utfyller standard personvernbestemmelser.
110.Et konsern eller en gruppe av foretak som utøver en felles økonomisk virksomhet, bør kunne anvende godkjente bindende virksomhetsregler når de foretar internasjonale overføringer fra Unionen til organisasjoner i samme konsern, eller gruppe av foretak som utøver en felles økonomisk virksomhet, forutsatt at nevnte virksomhetsregler omfatter alle grunnleggende prinsipper og håndhevbare rettigheter for å sikre nødvendige garantier for overføringer eller kategorier av overføringer av personopplysninger.
111.Det bør fastsettes bestemmelser om at overføringer i visse tilfeller skal være mulig dersom den registrerte har gitt sitt uttrykkelige samtykke, og dersom overføringen skjer leilighetsvis og er nødvendig i forbindelse med en avtale eller et rettslig krav, uavhengig av om det skjer i forbindelse med en rettssak, forvaltningssak eller utenrettslig prosedyre, herunder prosedyrer ved reguleringsorganer. Det bør også fastsettes bestemmelser om muligheten for overføring dersom viktige allmenne interesser nedfelt i unionsretten eller medlemsstatenes nasjonale rett krever det, eller dersom overføringen skjer fra et register som er opprettet ved lov, og som allmennheten eller personer med en berettiget interesse kan konsultere. I sistnevnte tilfelle bør en slik overføring ikke omfatte alle personopplysninger eller hele kategorier av opplysninger i registeret, og dersom nevnte register skal kunne konsulteres av personer med en berettiget interesse, bør overføringen skje bare på anmodning fra nevnte personer eller, dersom de selv er mottakere, ved å ta behørig hensyn til de registrertes interesser og grunnleggende rettigheter.
112.Disse unntakene bør særlig få anvendelse på overføring av opplysninger som er nødvendig av hensyn til viktige allmenne interesser, f.eks. ved internasjonal utveksling av opplysninger mellom konkurransemyndigheter, skatte- eller tollmyndigheter, mellom finanstilsynsmyndigheter, mellom kompetente trygdemyndigheter eller folkehelsemyndigheter, f.eks. ved kontaktsporing i forbindelse med smittsomme sykdommer eller for å redusere og/eller avskaffe doping i idrett. En overføring av personopplysninger bør også anses som lovlig dersom den er nødvendig for å verne en interesse av avgjørende betydning for den registrertes eller en annen persons vitale interesser, herunder fysisk integritet eller liv, dersom den registrerte ikke er i stand til å gi sitt samtykke. Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, kan det, av hensyn til viktige allmenne interesser, i unionsretten eller medlemsstatenes nasjonale rett uttrykkelig fastsettes grenser for overføring av spesifikke kategorier av opplysninger til en tredjestat eller en internasjonal organisasjon. Medlemsstatene bør underrette Kommisjonen om nevnte bestemmelser. Enhver overføring til en internasjonal humanitær organisasjon av personopplysninger om en registrert som fysisk eller juridisk ikke er i stand til å gi sitt samtykke, med det formål å utføre en oppgave i henhold til Genève-konvensjonene eller overholde internasjonalt humanitært regelverk som får anvendelse i væpnede konflikter, kan anses for å være nødvendig av hensyn til viktige allmenne interesser eller fordi det er av vital interesse for den registrerte.
113.Overføringer som kan klassifiseres som ikke-gjentakende, og som bare gjelder et begrenset antall registrerte, bør også være mulig av hensyn til de tvingende berettigede interessene som forfølges av den behandlingsansvarlige, dersom den registrertes interesser eller rettigheter og friheter ikke går foran nevnte interesser, og dersom den behandlingsansvarlige har foretatt en vurdering av alle omstendighetene rundt overføringen. Den behandlingsansvarlige bør ta særlig hensyn til personopplysningenes art, formålet med og varigheten av den foreslåtte behandlingen samt situasjonen i opprinnelsesstaten, tredjestaten og den endelige bestemmelsesstaten, og bør fastsette nødvendige garantier for å verne fysiske personers grunnleggende rettigheter og friheter i forbindelse med behandling av deres personopplysninger. Nevnte overføringer bør bare være mulig i visse tilfeller der ingen av de andre grunnene til overføring får anvendelse. For formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål bør det tas hensyn til samfunnets berettigede forventninger om økt kunnskap. Den behandlingsansvarlige bør underrette tilsynsmyndigheten og den registrerte om overføringen.
114.Dersom Kommisjonen ikke har truffet en beslutning om hvorvidt nivået for vern av personopplysninger i en tredjestat er tilstrekkelig, bør den behandlingsansvarlige eller databehandleren benytte løsninger som gir de registrerte håndhevbare og effektive rettigheter når det gjelder behandling av deres opplysninger i Unionen så snart nevnte opplysninger er blitt overført, slik at de fortsatt kan nyte godt av grunnleggende rettigheter og garantier.
115.Visse tredjestater vedtar lover, forskrifter og andre rettsakter med det formål direkte å regulere behandlingsaktiviteter som utføres av fysiske og juridiske personer underlagt medlemsstatenes jurisdiksjon. Dette kan omfatte rettsavgjørelser fra domstoler eller avgjørelser fra administrative myndigheter i tredjestater der det kreves at en behandlingsansvarlig eller databehandler skal overføre eller utlevere personopplysninger, og som ikke bygger på en internasjonal avtale, f.eks. en traktat om gjensidig juridisk bistand, mellom den anmodende tredjestat og Unionen eller en medlemsstat. En anvendelse av nevnte lover, forskrifter og andre rettsakter på andre staters territorium kan være i strid med folkeretten og hindre oppnåelsen av det vernet av fysiske personer som ved denne forordning sikres i Unionen. Overføring bør bare være tillatt dersom vilkårene for overføring til tredjestater i denne forordning er oppfylt. Dette kan blant annet være tilfellet dersom utlevering er nødvendig av hensyn til viktige allmenne interesser som er anerkjent i unionsretten eller medlemsstatenes nasjonale rett, og som den behandlingsansvarlige er underlagt.
116.Når personopplysninger krysser grenser utenfor Unionen, kan det øke risikoen for at fysiske personer ikke kan utøve sine rettigheter med hensyn til vern av personopplysninger, særlig for å beskytte seg mot ulovlig bruk eller utlevering av nevnte opplysninger. Samtidig kan tilsynsmyndigheter i noen tilfeller innse at de ikke er i stand til å følge opp klager eller foreta undersøkelser av aktiviteter som finner sted utenfor deres grenser. Samarbeidet på tvers av landegrensene kan også bli hindret av utilstrekkelig myndighet til å treffe forebyggende tiltak eller utbedringstiltak, av uensartede rettsordninger og praktiske hindringer, f.eks. ressursbegrensninger. Det er derfor behov for å fremme et tettere samarbeid mellom tilsynsmyndigheter for personvern, slik at de lettere kan utveksle informasjon og foreta undersøkelser sammen med sine internasjonale kolleger. For å utvikle mekanismer for internasjonalt samarbeid med sikte på å fremme og yte internasjonal gjensidig bistand med hensyn til håndheving av regelverket for vern av personopplysninger bør Kommisjonen og tilsynsmyndighetene utveksle informasjon og samarbeide om aktiviteter som er knyttet til utøvelse av deres myndighet, med vedkommende myndigheter i tredjestater på grunnlag av gjensidighet og i samsvar med denne forordning.
117.Opprettelse av tilsynsmyndigheter i medlemsstater som gis myndighet til å utføre sine oppgaver og utøve sin myndighet i full uavhengighet, har avgjørende betydning for vernet av fysiske personer i forbindelse med behandling av deres personopplysninger. Medlemsstatene bør kunne opprette mer enn én tilsynsmyndighet for å gjenspeile medlemsstatens forfatningsmessige, organisatoriske og administrative struktur.
118.Tilsynsmyndighetenes uavhengighet bør ikke bety at de ikke kan være gjenstand for mekanismer for kontroll eller tilsyn med egen økonomistyring eller underkastes domstolskontroll.
119.Dersom en medlemsstat oppretter flere tilsynsmyndigheter, bør den ved lov opprette mekanismer for å sikre at disse tilsynsmyndighetene deltar effektivt i konsistensmekanismen. Nevnte medlemsstat bør særlig utpeke en tilsynsmyndighet som skal fungere som et felles kontaktpunkt for disse myndighetenes effektive deltaking i mekanismen, for å sikre et raskt og smidig samarbeid med andre tilsynsmyndigheter, Personvernrådet og Kommisjonen.
120.Hver tilsynsmyndighet bør ha de nødvendige økonomiske og menneskelige ressurser, lokaler og infrastruktur for å kunne utføre sine oppgaver på en effektiv måte, herunder oppgaver knyttet til gjensidig bistand og samarbeid med andre tilsynsmyndigheter i Unionen. Hver tilsynsmyndighet bør ha et separat og offentlig årlig budsjett som kan inngå i det overordnede statsbudsjettet eller nasjonale budsjettet.
121.De allmenne vilkårene for medlemmet/medlemmene av tilsynsmyndigheten bør fastsettes ved lov i hver medlemsstat, og det bør særlig fastsettes at nevnte medlemmer skal utnevnes ved hjelp av en åpen prosess, enten av parlamentet, regjeringen eller statsoverhodet i medlemsstaten på grunnlag et forslag fra regjeringen, et medlem av regjeringen, parlamentet eller et kammer i parlamentet, eller av et uavhengig organ med myndighet til dette i henhold til medlemsstatens nasjonale rett. For å sikre tilsynsmyndighetens uavhengighet bør medlemmet/medlemmene opptre med integritet, avstå fra enhver handling som ikke er forenlig med deres oppgaver, og så lenge utnevnelsesperioden varer, ikke utøve en uforenlig yrkesvirksomhet, enten den er lønnet eller ikke. Tilsynsmyndigheten bør ha sitt eget personell som er utvalgt av tilsynsmyndigheten eller av et uavhengig organ opprettet i henhold til medlemsstatens nasjonale rett, som utelukkende bør stå under ledelse av tilsynsmyndighetens medlem/medlemmer.
122.Hver tilsynsmyndighet bør på territoriet til sin egen medlemsstat ha kompetanse til å utøve den myndighet og utføre de oppgaver den gis i henhold til denne forordning. Dette bør særlig omfatte behandling i forbindelse med aktivitetene ved den behandlingsansvarliges eller databehandlerens virksomhet på egen medlemsstats territorium, behandling av personopplysninger utført av offentlige myndigheter eller private organer i allmennhetens interesse, behandling som berører registrerte på medlemsstatens territorium, eller behandling som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i Unionen, når den er rettet mot registrerte som er bosatt på dens territorium. Dette bør omfatte behandling av klager inngitt av en registrert, gjennomføring av undersøkelser om anvendelsen av denne forordning og å fremme allmennhetens bevissthet om risikoene, reglene, garantiene og rettighetene i forbindelse med behandling av personopplysninger.
123.Tilsynsmyndighetene bør føre tilsyn med anvendelsen av bestemmelsene i denne forordning samt bidra til en ensartet anvendelse av forordningen i hele Unionen for å sikre vern av fysiske personer i forbindelse med behandling av deres personopplysninger og fremme den frie flyten av personopplysninger i det indre marked. For dette formål bør tilsynsmyndighetene samarbeide med hverandre og med Kommisjonen uten at det er behov for en avtale om yting av gjensidig bistand eller slikt samarbeid mellom medlemsstatene.
124.Dersom behandlingen av personopplysninger utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller databehandler i Unionen, og den behandlingsansvarlige eller databehandleren er etablert i mer enn én medlemsstat, eller dersom behandlingen som utføres i forbindelse med aktivitetene ved den eneste virksomheten til en behandlingsansvarlig eller databehandler i Unionen, i vesentlig grad påvirker eller sannsynligvis vil påvirke registrerte i mer enn én medlemsstat, bør tilsynsmyndigheten for den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet fungere som ledende tilsynsmyndighet. Den bør samarbeide med de andre berørte myndighetene dersom den behandlingsansvarlige eller databehandleren har en virksomhet på territoriet til deres medlemsstat, dersom registrerte bosatt på deres territorium i vesentlig grad berøres, eller dersom det er inngitt klage til dem. Også dersom en registrert som ikke er bosatt i nevnte medlemsstat, har inngitt klage, bør tilsynsmyndigheten som klagen er inngitt til, også være en berørt tilsynsmyndighet. Personvernrådet bør innenfor rammen av sine oppgaver med å utstede retningslinjer for eventuelle spørsmål som omfatter anvendelsen av denne forordning, særlig kunne utstede retningslinjer for kriteriene som skal tas i betraktning for å vurdere om den aktuelle behandlingen i vesentlig grad berører registrerte i mer enn én medlemsstat, og for hva som utgjør en relevant og begrunnet innsigelse.
125.Den ledende myndigheten bør ha kompetanse til å treffe bindende avgjørelser om tiltak innenfor rammen av den myndighet den gis i samsvar med denne forordning. I egenskap av å være ledende myndighet bør tilsynsmyndigheten sørge for at de berørte tilsynsmyndighetene involveres tett og samordnes i avgjørelsesprosessen. Dersom det besluttes helt eller delvis å avslå den registrertes klage, bør avgjørelsen treffes av tilsynsmyndigheten som klagen er inngitt til.
126.Avgjørelsen bør treffes i fellesskap av den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene og bør rettes til den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet, og den bør være bindende for den behandlingsansvarlige og databehandleren. Den behandlingsansvarlige eller databehandleren bør treffe de nødvendige tiltak for å sikre samsvar med denne forordning samt gjennomføring av avgjørelsen som den ledende tilsynsmyndigheten har meddelt den behandlingsansvarliges eller databehandlerens hovedvirksomhet med hensyn til behandlingsaktiviteter i Unionen.
127.Hver tilsynsmyndighet som ikke fungerer som ledende tilsynsmyndighet, bør ha kompetanse til å håndtere lokale saker dersom den behandlingsansvarlige eller databehandleren er etablert i flere enn én medlemsstat, men gjenstanden for den spesifikke behandlingen bare gjelder behandling utført i én medlemsstat, og bare omfatter registrerte i nevnte ene medlemsstat, f.eks. dersom det gjelder behandling av arbeidstakeres personopplysninger i forbindelse med spesifikke ansettelsesforhold i en medlemsstat. I slike tilfeller bør tilsynsmyndigheten uten opphold underrette den ledende tilsynsmyndigheten om forholdet. Etter å ha blitt underrettet bør den ledende tilsynsmyndigheten beslutte om den skal behandle saken i henhold til bestemmelsen om samarbeid mellom den ledende tilsynsmyndigheten og andre berørte tilsynsmyndigheter («ettstedsmekanismen»), eller om tilsynsmyndigheten som underrettet den, bør behandle saken på lokalt plan. Når den ledende tilsynsmyndigheten skal beslutte om den skal behandle saken, bør den ta hensyn til om den behandlingsansvarlige eller databehandleren har en virksomhet i medlemsstaten til tilsynsmyndigheten som underrettet den, for å sikre en effektiv gjennomføring av en avgjørelse overfor den behandlingsansvarlige eller databehandleren. Dersom den ledende tilsynsmyndigheten beslutter å behandle saken, bør tilsynsmyndigheten som underrettet den, ha mulighet til å legge fram et forslag til avgjørelse som den ledende tilsynsmyndigheten bør ta størst mulig hensyn til ved utarbeiding av sitt utkast til avgjørelse i nevnte ettstedsmekanisme.
128.Reglene for den ledende tilsynsmyndigheten og ettstedsmekanismen bør ikke få anvendelse dersom behandlingen utføres av offentlige myndigheter eller private organer i allmennhetens interesse. I slike tilfeller bør bare tilsynsmyndigheten i medlemsstaten der den offentlige myndigheten eller det private organet er etablert, ha kompetanse til å utøve myndigheten den er gitt i henhold til denne forordning.
129.For å sikre ensartet tilsyn med og anvendelse av denne forordning i hele Unionen bør tilsynsmyndighetene i hver medlemsstat ha de samme oppgaver og den samme effektive myndighet, herunder myndighet til å foreta undersøkelser, myndighet til å beslutte korrigerende tiltak og ilegge sanksjoner samt myndighet til å godkjenne og utstede rådgivende uttalelser, særlig ved klager fra fysiske personer, og, uten at det berører den myndighet straffeforfølgende myndigheter har i henhold til medlemsstatenes nasjonale rett, myndighet til å bringe overtredelser av denne forordning inn for rettshåndhevende myndigheter og til å opptre som part i rettssaker. En slik myndighet bør også omfatte myndigheten til å fastsette en midlertidig eller endelig begrensning av, herunder et forbud mot, behandling. Medlemsstatene kan fastsette andre oppgaver knyttet til vern av personopplysninger i henhold til denne forordning. Tilsynsmyndighetenes myndighet bør utøves i samsvar med nødvendige prosessuelle garantier som er fastsatt i unionsretten og medlemsstatenes nasjonale rett, på en upartisk og rettferdig måte og innen rimelig tid. For å sikre samsvar med denne forordning bør hvert tiltak være egnet, nødvendig og forholdsmessig, idet det tas hensyn til omstendighetene i hvert enkelt tilfelle, samt respektere enhver persons rett til å bli hørt før det treffes individuelle tiltak som kan påvirke vedkommende negativt, og være utformet slik at overflødige kostnader og for store ulemper for de berørte personene unngås. Når det gjelder adgang til lokaler, bør undersøkelsesmyndigheten utøves i samsvar med særlige krav i medlemsstatenes prosessrett, f.eks. kravet om at det skal innhentes en rettslig forhåndsgodkjenning. Hvert rettslig bindende tiltak som treffes av tilsynsmyndigheten, bør være skriftlig, tydelig og utvetydig, angi hvilken tilsynsmyndighet som har truffet tiltaket, og på hvilken dato, være undertegnet av lederen for eller et medlem av tilsynsmyndigheten som er godkjent av vedkommende, angi begrunnelsen for tiltaket og inneholde en henvisning til retten til effektivt rettsmiddel. Dette bør ikke utelukke ytterligere krav i henhold til medlemsstatenes prosessrett. Dersom det treffes en rettslig bindende avgjørelse, kan den underlegges domstolskontroll i medlemsstaten til tilsynsmyndigheten som har truffet avgjørelsen.
130.Dersom tilsynsmyndigheten som klagen er inngitt til, ikke er den ledende tilsynsmyndigheten, bør den ledende tilsynsmyndigheten samarbeide tett med tilsynsmyndigheten som klagen er inngitt til, i samsvar med bestemmelsene om samarbeid og ensartet anvendelse fastsatt i denne forordning. I slike tilfeller bør den ledende tilsynsmyndigheten, når den treffer tiltak som skal ha rettsvirkning, herunder ilegging av overtredelsesgebyr, ta størst mulig hensyn til synspunktene til tilsynsmyndigheten som klagen er inngitt til, og som fortsatt skal ha kompetanse til å foreta undersøkelser på sin egen medlemsstats territorium sammen med vedkommende tilsynsmyndighet.
131.Dersom en annen tilsynsmyndighet bør fungere som ledende tilsynsmyndighet for den behandlingsansvarliges eller databehandlerens behandlingsaktiviteter, men det konkrete innholdet i en klage eller den mulige overtredelsen bare gjelder behandlingsaktiviteter som utføres av den behandlingsansvarlige eller databehandleren i medlemsstaten der klagen er inngitt eller den mulige overtredelsen er oppdaget, og forholdet ikke i vesentlig grad berører eller sannsynligvis ikke i vesentlig grad vil berøre registrerte i andre medlemsstater, bør tilsynsmyndigheten som mottar en klage eller oppdager eller på annen måte blir underrettet om situasjoner som innebærer mulige overtredelser av denne forordning, søke å komme fram til en minnelig løsning sammen med den behandlingsansvarlige og dersom dette ikke lykkes, utøve sin myndighet fullt ut. Dette bør omfatte spesifikk behandling som utføres på territoriet til tilsynsmyndighetens medlemsstat, eller når det gjelder registrerte, på territoriet til nevnte medlemsstat, behandling som utføres i forbindelse med tilbud av varer eller tjenester som er særlig rettet mot registrerte på territoriet til tilsynsmyndighetens medlemsstat, eller behandling som skal vurderes i henhold til relevante rettslige forpliktelser i medlemsstatenes nasjonale rett.
132.Tilsynsmyndighetenes holdningskampanjer rettet mot allmennheten bør omfatte særlige tiltak rettet mot behandlingsansvarlige og databehandlere, herunder svært små, små og mellomstore bedrifter samt fysiske personer, særlig i utdanningssammenheng.
133.Tilsynsmyndighetene bør bistå hverandre i forbindelse med utførelsen av sine oppgaver og yte gjensidig bistand for å sikre ensartet anvendelse og håndheving av denne forordning i det indre marked. En tilsynsmyndighet som anmoder om gjensidig bistand, kan treffe et midlertidig tiltak dersom den ikke mottar svar på nevnte anmodning innen en måned etter at den andre tilsynsmyndigheten har mottatt anmodningen.
134.Dersom det er relevant, bør hver tilsynsmyndighet delta i felles aktiviteter sammen med andre tilsynsmyndigheter. Den anmodede tilsynsmyndighet bør ha plikt til å svare på anmodningen innen en fastsatt frist.
135.For å sikre ensartet anvendelse av denne forordning i hele Unionen bør det opprettes en konsistensmekanisme for samarbeid mellom tilsynsmyndighetene. Nevnte mekanisme bør særlig få anvendelse dersom en tilsynsmyndighet akter å treffe et tiltak som skal ha rettsvirkning, når det gjelder behandlingsaktiviteter som i vesentlig grad berører et betydelig antall registrerte i flere medlemsstater. Den bør også få anvendelse dersom en berørt tilsynsmyndighet eller Kommisjonen anmoder om at et slikt forhold behandles innenfor rammen av konsistensmekanismen. Nevnte mekanisme bør ikke berøre eventuelle tiltak som Kommisjonen kan treffe som ledd i utøvelsen av sin myndighet i henhold til traktatene.
136.Ved anvendelse av konsistensmekanismen bør Personvernrådet innen en fastsatt frist avgi uttalelse dersom et flertall av dets medlemmer beslutter det, eller dersom en berørt tilsynsmyndighet eller Kommisjonen anmoder om det. Personvernrådet bør også gis myndighet til å treffe rettslig bindende beslutninger dersom det oppstår tvister mellom tilsynsmyndighetene. For dette formål bør det, i prinsippet med to tredels flertall blant dets medlemmene, treffe rettslig bindende beslutninger i tydelig angitte tilfeller der det foreligger motstridende synspunkter blant tilsynsmyndighetene, særlig i mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene om en saks fakta, særlig om hvorvidt det foreligger en overtredelse av denne forordning.
137.Det kan være nødvendig å treffe tiltak omgående for å verne registrertes rettigheter og friheter, særlig dersom det foreligger en fare for at en registrerts utøvelse av en rettighet kan bli betydelig hemmet. En tilsynsmyndighet bør derfor kunne treffe behørig begrunnede midlertidige tiltak på sitt territorium med en fastsatt gyldighetsperiode som ikke bør være lenger enn tre måneder.
138.Anvendelsen av en slik mekanisme bør være et vilkår for lovligheten av et tiltak som er truffet av en tilsynsmyndighet, og som er ment å ha rettsvirkning, i tilfeller der anvendelsen av den er obligatorisk. I andre tilfeller som har en grenseoverskridende dimensjon, bør mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene anvendes, og gjensidig bistand kan ytes og felles aktiviteter kan gjennomføres mellom de berørte tilsynsmyndighetene på et bilateralt eller multilateralt grunnlag uten at det utløser konsistensmekanismen.
139.For å fremme en ensartet anvendelse av denne forordning bør Personvernrådet opprettes som et uavhengig EU-organ. For å kunne oppfylle sine mål bør Personvernrådet ha status som juridisk person. Personvernrådet bør representeres av sin leder. Det bør erstatte arbeidsgruppen for personvern i forbindelse med behandling av personopplysninger nedsatt ved direktiv 95/46/EF. Det bør bestå av lederen for en tilsynsmyndighet i hver medlemsstat samt EUs datatilsyn eller de respektive representantene for dette. Kommisjonen bør delta i Personvernrådets aktiviteter uten stemmerett, og EUs datatilsyn bør ha særlig stemmerett. Personvernrådet bør bidra til en ensartet anvendelse av denne forordning i hele Unionen, herunder ved å rådgi Kommisjonen, særlig om beskyttelsesnivået i tredjestater eller internasjonale organisasjoner, samt fremme samarbeid mellom tilsynsmyndighetene i hele Unionen. Personvernrådet bør utføre sine oppgaver i full uavhengighet.
140.Personvernrådet bør bistås av et sekretariat som stilles til rådighet av EUs datatilsyn. Personellet ved EUs datatilsyn som deltar i utførelsen av oppgavene som Personvernrådet gis ved denne forordning, bør utføre sine oppgaver utelukkende under ledelse av lederen for Personvernrådet og rapportere til vedkommende.
141.Enhver registrert bør ha rett til å klage til én enkelt tilsynsmyndighet, særlig i medlemsstaten der vedkommende til vanlig er bosatt, samt ha rett til effektivt rettsmiddel i samsvar med artikkel 47 i pakten dersom vedkommende anser sine rettigheter i henhold til denne forordning for krenket, eller dersom tilsynsmyndigheten ikke reagerer på en klage, helt eller delvis avslår eller avviser en klage eller ikke griper inn når det er nødvendig for å verne den registrertes rettigheter. Undersøkelsen av en klage bør, med forbehold for domstolskontroll, foretas i den utstrekning som er egnet i det enkelte tilfellet. Tilsynsmyndigheten bør innen en rimelig frist underrette den registrerte om klagebehandlingsforløpet og om utfallet av klagen. Dersom saken krever ytterligere undersøkelse eller samordning med en annen tilsynsmyndighet, bør den registrerte underrettes om dette underveis. For å forenkle inngivelsen av klager bør hver tilsynsmyndighet treffe tiltak som f.eks. å utarbeide et klageskjema som også kan fylles ut elektronisk, uten at andre kommunikasjonsmidler utelukkes.
142.Dersom en registrert mener at vedkommendes rettigheter i henhold til denne forordning er krenket, bør vedkommende ha rett til å gi et ideelt organ eller en ideell organisasjon eller sammenslutning som er opprettet i samsvar med en medlemsstats nasjonale rett, som har vedtektsfestede mål som er i allmennhetens interesse, og som er aktiv på området vern av personopplysninger, fullmakt til å klage til en tilsynsmyndighet på vedkommendes vegne, utøve retten til rettslig prøving på vegne av de registrerte eller, dersom det er fastsatt i medlemsstatenes nasjonale rett, utøve retten til å motta erstatning på vegne av de registrerte. En medlemsstat kan fastsette at nevnte organ, organisasjon eller sammenslutning, uavhengig av fullmakten fra en registrert, skal ha rett til å inngi klage i den aktuelle medlemsstaten samt ha rett til effektivt rettsmiddel dersom den har grunn til å tro at en registrerts rettigheter er blitt krenket som følge av en behandling av personopplysninger som er i strid med bestemmelsene i denne forordning. Nevnte organ, organisasjon eller sammenslutning kan ikke kreve erstatning på vegne av en registrert uavhengig av den registrertes fullmakt.
143.Enhver fysisk eller juridisk person har rett til å bringe en sak om oppheving av Personvernrådets beslutninger inn for Domstolen på vilkårene fastsatt i artikkel 263 i TEUV. De berørte tilsynsmyndighetene som slike beslutninger er rettet til, må, dersom de ønsker å bestride dem, reise sak innen to måneder etter at beslutningene er meddelt dem, i samsvar med 263 i TEUV. Dersom en behandlingsansvarlig, databehandler eller klager er direkte og individuelt berørt av Personvernrådets beslutninger, kan disse, i samsvar med artikkel 263 i TEUV, reise sak om oppheving av nevnte beslutninger innen to måneder etter at beslutningene er offentliggjort på Personvernrådets nettsted. Uten at det berører denne rett i henhold til artikkel 263 i TEUV, bør enhver fysisk eller juridisk person ha rett til effektiv rettslig prøving ved vedkommende nasjonale domstol av en beslutning som er truffet av en tilsynsmyndighet, og som har rettsvirkning for vedkommende. En slik beslutning gjelder særlig tilsynsmyndighetens myndighet til å foreta undersøkelser, til å vedta korrigerende tiltak og til å godkjenne eller avslå eller avvise klager. Retten til effektiv rettslig prøving omfatter imidlertid ikke tiltak truffet av tilsynsmyndighetene som ikke er rettslig bindende, f.eks. uttalelser eller råd fra tilsynsmyndigheten. Saker som reises mot en tilsynsmyndighet, bør bringes inn for domstolene i medlemsstaten der tilsynsmyndigheten er etablert, og bør føres i samsvar med prosessretten i nevnte medlemsstat. Nevnte domstoler bør ha full domsmyndighet, som bør omfatte myndighet til å undersøke alle faktiske og rettslige forhold som gjelder tvisten de har fått seg forelagt.

Dersom en tilsynsmyndighet har avslått eller avvist en klage, kan klageren bringe saken inn for domstolene i samme medlemsstat. Når det gjelder rettslig prøving i forbindelse med anvendelsen av denne forordning, kan, eller i tilfellet fastsatt i artikkel 267 i TEUV, skal nasjonale domstoler som anser en avgjørelse om spørsmålet som nødvendig for å avsi dom, anmode Domstolen om en forhåndsavgjørelse om fortolkningen av unionsretten, herunder denne forordning. Dersom en avgjørelse truffet av en tilsynsmyndighet som gjennomfører en beslutning truffet av Personvernrådet, bestrides ved en nasjonal domstol, og det er uenighet om gyldigheten av Personvernrådets beslutning, har nevnte nasjonale domstol ikke myndighet til å erklære Personvernrådets beslutning for ugyldig, men skal, dersom den anser at beslutningen er ugyldig, henvise spørsmålet om gyldighet til Domstolen i samsvar med artikkel 267 i TEUV som fortolket av Domstolen. En nasjonal domstol kan imidlertid ikke henvise et spørsmål om gyldigheten av en beslutning truffet av Personvernrådet på anmodning fra en fysisk eller juridisk person som har hatt mulighet til reise sak om oppheving av nevnte beslutning, særlig dersom vedkommende var direkte eller personlig berørt av nevnte beslutning, men ikke har gjort dette innen fristen fastsatt i artikkel 263 i TEUV.

144.Dersom en domstol for hvilken det er anlagt sak mot en avgjørelse truffet av en tilsynsmyndighet, har grunn til å tro at en sak som gjelder samme behandling, f.eks. med samme saksgjenstand og utført av samme behandlingsansvarlig eller databehandler, eller som har samme saksgrunnlag, er brakt inn for en vedkommende domstol i en annen medlemsstat, bør den kontakte nevnte domstol for å få bekreftet at det foreligger slike relaterte saker. Dersom det verserer relaterte saker for en domstol i en annen medlemsstat, kan enhver annen domstol enn den som saken først ble brakt inn for, utsette saken eller, på anmodning fra en av partene, erklære seg ikke domsmyndig til fordel for domstolen som saken først ble brakt inn for, forutsatt at nevnte domstol har domsmyndighet i den aktuelle saken, og at konsolidering av slike relaterte saker er tillatt i henhold til medlemsstatens nasjonale rett. Saker anses for å være relaterte når de er så tett forbundet at det er hensiktsmessig å behandle og avgjøre dem sammen, for å unngå risikoen for uforenlige rettsavgjørelser som følge av at de behandles hver for seg.
145.Når det gjelder saker mot en behandlingsansvarlig eller databehandler, bør saksøkeren ha valget mellom å bringe saken inn for domstolene i medlemsstatene der den behandlingsansvarlige eller databehandleren har en virksomhet, eller der den registrerte er bosatt, med mindre den behandlingsansvarlige er en offentlig myndighet i en medlemsstat som handler innenfor rammen av sin offentlige myndighet.
146.Den behandlingsansvarlige eller databehandleren bør yte erstatning for enhver skade som en person kan bli påført som følge av behandling som er i strid med bestemmelsene i denne forordning. Den behandlingsansvarlige eller databehandleren bør fritas for erstatningsansvar dersom vedkommende kan bevise at vedkommende på ingen måte er ansvarlig for skaden. Begrepet «skade» bør tolkes vidt på bakgrunn av Domstolens rettspraksis og på en måte som fullt ut gjenspeiler målene i denne forordning. Dette berører ikke eventuelle krav om skadeserstatning som følge av overtredelse av andre bestemmelser i unionsretten eller medlemsstatenes nasjonale rett. Behandling som er i strid med bestemmelsene i denne forordning, omfatter også behandling som er i strid med bestemmelser i delegerte rettsakter og gjennomføringsrettsakter vedtatt i samsvar med denne forordning og medlemsstatenes nasjonale rett som presiserer bestemmelsene i denne forordning. De registrerte bør få full og effektiv erstatning for den skade de har lidd. Dersom behandlingsansvarlige eller databehandlere er involvert i den samme behandlingen, bør den enkelte behandlingsansvarlige eller databehandler holdes ansvarlig for hele skaden. Dersom de er involvert i samme rettergang i samsvar med medlemsstatenes nasjonale rett, kan erstatningen imidlertid fordeles i henhold til den enkelte behandlingsansvarliges eller databehandlers ansvar for skaden som behandlingen har forvoldt, forutsatt at den registrerte som har lidd skaden, er sikret full og effektiv erstatning. Enhver behandlingsansvarlig eller databehandler som har betalt full erstatning, kan deretter gjøre regress gjeldende mot andre behandlingsansvarlige eller databehandlere som har vært involvert i samme behandling.
147.Når denne forordning inneholder særlige bestemmelser om domsmyndighet, særlig når det gjelder saker om adgang til rettsmidler, herunder for å oppnå erstatning, mot en behandlingsansvarlig eller databehandler, bør allmenne bestemmelser om domsmyndighet, f.eks. bestemmelsene i europaparlaments- og rådsforordning (EU) nr. 1215/2012,​13 ikke berøre anvendelsen av nevnte særlige bestemmelser.
148.For å styrke håndhevingen av bestemmelsene i denne forordning bør det ved overtredelse av denne forordning ilegges sanksjoner, herunder overtredelsesgebyr, i tillegg til eller i stedet for egnede tiltak som tilsynsmyndigheten pålegger i henhold til denne forordning. Ved mindre overtredelser eller dersom overtredelsesgebyret som kan bli ilagt, vil utgjøre en uforholdsmessig stor byrde for en fysisk person, kan det gis en irettesettelse i stedet for et overtredelsesgebyr. Det bør imidlertid tas behørig hensyn til overtredelsens art, alvorlighetsgrad og varighet, om den er gjort forsettlig, tiltak som er truffet for å redusere den forvoldte skade, graden av ansvar eller eventuelle relevante tidligere overtredelser, måten tilsynsmyndigheten fikk kjennskap til overtredelsen på, overholdelse av tiltak truffet overfor den behandlingsansvarlige eller databehandleren, overholdelse av atferdsnormer samt andre skjerpende eller formildende faktorer. Ilegging av sanksjoner, herunder overtredelsesgebyr, bør være omfattet av nødvendige prosessuelle garantier i samsvar med de allmenne prinsippene i unionsretten og i pakten, herunder et effektivt rettslig vern og en rettferdig rettergang.
149.Medlemsstatene bør også kunne fastsette regler om strafferettslige sanksjoner ved overtredelse av denne forordning, herunder ved overtredelse av nasjonale regler vedtatt i henhold til og innenfor rammen av denne forordning. Disse strafferettslige sanksjonene kan også omfatte muligheten til å inndra en eventuell fortjeneste som er oppnådd som følge av overtredelse av denne forordning. Ilegging av strafferettslige sanksjoner for overtredelse av nevnte nasjonale regler samt av administrative sanksjoner bør imidlertid ikke føre til et brudd på ne bis in idem-prinsippet slik det tolkes av Domstolen.
150.For å styrke og harmonisere de administrative sanksjonene for overtredelse av denne forordning bør hver tilsynsmyndighet ha myndighet til å ilegge overtredelsesgebyr. Denne forordning bør definere overtredelser og den øvre grensen og kriteriene for fastsettelse av de tilhørende overtredelsesgebyrene, som bør bestemmes av vedkommende tilsynsmyndighet i hvert enkelt tilfelle, idet det tas hensyn til alle forhold som er relevante for den bestemte situasjonen, og idet det tas behørig hensyn særlig til overtredelsens art, alvorlighetsgrad, varighet og konsekvenser samt tiltakene som er truffet for å sikre samsvar med forpliktelsene i denne forordning, og for å forebygge eller redusere konsekvensene av overtredelsen. Dersom et foretak ilegges overtredelsesgebyr, bør et foretak for disse formål forstås som et foretak i henhold til artikkel 101 og 102 i TEUV. Dersom personer som ikke er foretak, ilegges overtredelsesgebyr, bør tilsynsmyndigheten ved fastsettelse av en egnet størrelse på overtredelsesgebyret ta hensyn til det generelle inntektsnivået i medlemsstaten samt til personens økonomiske situasjon. Konsistensmekanismen kan også brukes for å fremme en ensartet anvendelse av overtredelsesgebyrer. Det bør være opp til medlemsstatene å bestemme om og i hvilken grad offentlige myndigheter bør kunne ilegges overtredelsesgebyr. Ilegging av et overtredelsesgebyr eller utstedelse av en advarsel berører ikke anvendelsen av tilsynsmyndighetenes øvrige myndighet eller andre sanksjoner i henhold til denne forordning.
151.Rettsordenen i Danmark og Estland tillater ikke overtredelsesgebyr som fastsatt i denne forordning. Bestemmelsene om overtredelsesgebyr kan i Danmark anvendes ved at gebyr ilegges av vedkommende nasjonale domstoler som en strafferettslig sanksjon, og i Estland ved at gebyr ilegges av tilsynsmyndigheten innenfor rammen av en forseelsesprosedyre, forutsatt at en slik anvendelse av bestemmelsene i disse medlemsstatene har en virkning som tilsvarer virkningen av overtredelsesgebyrer ilagt av tilsynsmyndigheter. Vedkommende nasjonale domstoler bør derfor ta hensyn til anbefalingen fra tilsynsmyndigheten som har initiert gebyret. I alle tilfeller bør gebyrene som ilegges, være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende.
152.Når denne forordning ikke harmoniserer administrative sanksjoner eller dersom det er nødvendig i andre tilfeller, f.eks. ved alvorlige overtredelser av denne forordning, bør medlemsstatene innføre et system som gjør det mulig å ilegge effektive, forholdsmessige og avskrekkende sanksjoner. Sanksjonenes art, dvs. om de er strafferettslige eller administrative, bør fastsettes i medlemsstatenes nasjonale rett.
153.I medlemsstatenes nasjonale rett bør reglene for ytrings- og informasjonsfrihet, herunder med henblikk på journalistiske, akademiske, kunstneriske og/eller litterære ytringer, bringes i samsvar med retten til vern av personopplysninger i henhold til denne forordning. Det bør fastsettes unntak eller fritak fra visse bestemmelser i denne forordning for behandling av personopplysninger som utelukkende finner sted i journalistisk øyemed eller med henblikk på akademiske, kunstneriske eller litterære ytringer, dersom dette er nødvendig for å bringe retten til vern av personopplysninger i samsvar med retten til ytrings- og informasjonsfrihet som nedfelt i artikkel 11 i pakten. Dette bør særlig gjelde behandling av personopplysninger på det audiovisuelle området og i nyhetsarkiver og pressebiblioteker. Medlemsstatene bør derfor treffe lovgivningsmessige tiltak som fastsetter de fritak og unntak som er nødvendige for å oppnå en balanse mellom disse grunnleggende rettighetene. Medlemsstatene bør vedta nevnte fritak og unntak med hensyn til allmenne prinsipper, den registrertes rettigheter, den behandlingsansvarlige og databehandleren, overføring av personopplysninger til tredjestater eller internasjonale organisasjoner, de uavhengige tilsynsmyndighetene, samarbeid og ensartethet samt særlige databehandlingssituasjoner. Dersom slike fritak eller unntak varierer fra en medlemsstat til en annen, bør retten i medlemsstaten som den behandlingsansvarlige er underlagt, få anvendelse. For å ta høyde for viktigheten av retten til ytringsfrihet i ethvert demokratisk samfunn må begreper som er knyttet til denne friheten, f.eks. journalistikk, tolkes bredt.
154.Denne forordning gir mulighet for at det ved anvendelse av denne forordning kan tas hensyn til prinsippet om allmennhetens rett til innsyn i offentlige dokumenter. Innsyn i offentlige dokumenter kan anses for å være i allmennhetens interesse. Personopplysninger i dokumenter som oppbevares av en offentlig myndighet eller et offentlig organ, bør kunne offentliggjøres av nevnte myndighet eller organ dersom dette er fastsatt i unionsretten eller medlemsstatenes nasjonale rett som den offentlige myndigheten eller det offentlige organet er underlagt. Nevnte lovbestemmelser bør bringe allmennhetens rett til innsyn i offentlige dokumenter og viderebruk av informasjon fra offentlig sektor i samsvar med retten til vern av personopplysninger, og kan derfor inneholde bestemmelser om det nødvendige samsvaret med retten til vern av personopplysninger i henhold til denne forordning. Offentlige myndigheter og organer bør i denne forbindelse omfatte alle myndigheter eller andre organer som omfattes av medlemsstatenes nasjonale rett om dokumentinnsyn. Europaparlaments- og rådsdirektiv 2003/98/EF​14 opprettholder og berører på ingen måte beskyttelsesnivået for fysiske personer ved behandling av personopplysninger i henhold til bestemmelsene i unionsretten og medlemsstatenes nasjonale rett, og det endrer især ikke forpliktelsene og rettighetene fastsatt i denne forordning. Nevnte direktiv bør særlig ikke få anvendelse på dokumenter som det i henhold til innsynsordningene ikke er eller er begrenset innsyn i av hensyn til vern av personopplysninger, og deler av dokumenter som er tilgjengelig i henhold til disse ordningene, men som inneholder personopplysninger hvis viderebruk ved lov er fastsatt som uforenlig med lovgivningen om vern av fysiske personer ved behandling av personopplysninger.
155.I medlemsstatenes nasjonale rett eller tariffavtaler, herunder «arbeidsavtaler», kan det fastsettes særlige regler om behandling av arbeidstakernes personopplysninger i ansettelsesforhold, særlig når det gjelder vilkårene for behandling av personopplysninger i ansettelsesforhold på grunnlag av et samtykke fra den ansatte, formålet med ansettelsen, gjennomføring av ansettelsesavtalen, herunder overholdelse av pliktene fastsatt ved lov eller i tariffavtaler, ledelse, planlegging og organisering av arbeidet, likestilling og mangfold samt helse og sikkerhet på arbeidsplassen, individuell eller kollektiv utøvelse og rett til å nyte godt av rettighetene og fordelene knyttet til ansettelsen samt for å avslutte ansettelsesforholdet.
156.Behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål bør være omfattet av nødvendige garantier som sikrer den registrertes rettigheter og friheter i henhold til denne forordning. Disse garantiene bør sikre at det er innført tekniske og organisatoriske tiltak for særlig å sikre overholdelse av prinsippet om dataminimering. Viderebehandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal utføres etter at den behandlingsansvarlige har foretatt en vurdering av om det er mulig å oppfylle nevnte formål ved å behandle opplysninger som ikke eller ikke lenger gjør det mulig å identifisere de registrerte, forutsatt at det foreligger nødvendige garantier (f.eks. pseudonymisering av opplysningene). Medlemsstatene bør fastsette nødvendige garantier for behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Medlemsstatene bør på særlige vilkår og med forbehold for nødvendige garantier for de registrerte ha rett til å fastsette spesifikasjoner og unntak med hensyn til informasjonskravene og retten til retting, sletting, til å bli glemt, til begrensning av behandling, til dataportabilitet og til å protestere i forbindelse med behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. De aktuelle vilkårene og garantiene kan omfatte særlige framgangsmåter som gjør det mulig for registrerte å utøve nevnte rettigheter dersom dette er egnet med henblikk på formålene med den spesifikke behandlingen, samt tekniske og organisatoriske tiltak som tar sikte på å minimere behandlingen av personopplysninger i henhold til forholdsmessighets- og nødvendighetsprinsippet. Behandling av personopplysninger for vitenskapelige formål bør også utføres i samsvar med annet relevant regelverk, f.eks. om kliniske utprøvinger.
157.Ved å koble sammen opplysninger fra forskjellige registre kan forskere oppnå ny og svært verdifull kunnskap om utbredte sykdomstilstander som hjerte- og karsykdommer, kreft og depresjon. På grunnlag av registre kan forskningsresultater forbedres, ettersom registrene omfatter større befolkningsgrupper. Innen samfunnsvitenskap gjør registerforskning det mulig for forskere å få viktig kunnskap om den langsiktige sammenhengen mellom en rekke sosiale forhold, f.eks. arbeidsløshet og utdanning, og andre livsvilkår. Forskningsresultater oppnådd gjennom registerforskning gir omfattende kunnskap av høy kvalitet som kan danne grunnlaget for utformingen og gjennomføringen av en kunnskapsbasert politikk, forbedre livskvaliteten til en rekke mennesker og gjøre sosialtjenester mer effektive. For å fremme vitenskapelig forskning kan personopplysninger behandles for formål knyttet til vitenskapelig forskning, med forbehold for nødvendige vilkår og garantier fastsatt i unionsretten eller i medlemsstatenes nasjonale rett.
158.Dersom personopplysninger behandles for arkivformål, bør denne forordning også få anvendelse på slik behandling, men ikke på avdøde personer. Offentlige myndigheter eller offentlige eller private organer som oppbevarer fortegnelser av allmenn interesse, bør være tjenester som i henhold til unionsretten eller medlemsstatenes nasjonale rett har en rettslig forpliktelse til å innhente, bevare, vurdere, organisere, beskrive, kommunisere, fremme, spre og gi tilgang til fortegnelser av varig verdi i allmennhetens interesse. Medlemsstatene bør også ha rett til å fastsette at personopplysninger kan viderebehandles for arkivformål, f.eks. for å framlegge spesifikk informasjon om politisk atferd under tidligere totalitære regimer, folkemord, forbrytelser mot menneskeheten, særlig holocaust, eller krigsforbrytelser.
159.Når personopplysninger behandles i forbindelse med formål knyttet til vitenskapelig forskning, bør denne forordning også få anvendelse på slik behandling. I denne forordning bør behandling av personopplysninger i forbindelse med formål knyttet til vitenskapelig forskning tolkes vidt og f.eks. omfatte teknologisk utvikling og demonstrasjon, grunnleggende forskning, anvendt forskning og privatfinansiert forskning. I tillegg bør den ta hensyn til Unionens mål om å skape et europeisk forskningsområde i henhold til artikkel 179 nr. 1 i TEUV. Formål knyttet til vitenskapelig forskning bør også omfatte studier som utføres i allmennhetens interesse på området folkehelse. For å ta hensyn til de særlige forholdene som gjelder ved behandling av personopplysninger i forbindelse med vitenskapelig forskning, bør særlige vilkår få anvendelse, særlig med hensyn til publisering eller annen utlevering av personopplysninger i forbindelse med nevnte formål. Dersom resultatet av den vitenskapelige forskningen, særlig på området helse, berettiger ytterligere tiltak i den registrertes interesse, bør de allmenne bestemmelsene i denne forordning få anvendelse med henblikk på nevnte tiltak.
160.Når personopplysninger behandles i forbindelse med formål knyttet til historisk forskning, bør denne forordning også få anvendelse på slik behandling. Dette bør også omfatte historisk forskning og genealogisk forskning, idet det tas hensyn til at denne forordning ikke bør få anvendelse på avdøde personer.
161.Når det gjelder samtykke til å delta i vitenskapelige forskningsaktiviteter i forbindelse med kliniske utprøvinger, bør de relevante bestemmelsene i europaparlaments- og rådsforordning (EU) nr. 536/2014​15 få anvendelse.
162.Når personopplysninger behandles for statistiske formål, bør denne forordning få anvendelse på slik behandling. I unionsretten eller medlemsstatenes nasjonale rett bør det innenfor rammene av denne forordning fastsettes statistisk innhold, tilgangskontroll, spesifikasjoner for behandling av personopplysninger for statistiske formål og egnede tiltak for å sikre den registrertes rettigheter og friheter samt for å sikre konfidensiell behandling av statistiske opplysninger. Med statistiske formål menes enhver innsamling og behandling av personopplysninger som er nødvendig i forbindelse med statistiske undersøkelser eller for å framskaffe statistiske resultater. Nevnte statistiske resultater kan deretter brukes til forskjellige formål, herunder til vitenskapelig forskning. Det statistiske formålet innebærer at resultatet av behandlingen for statistiske formål ikke er personopplysninger, men aggregerte data, og at dette resultatet eller personopplysningene ikke brukes som støtte for tiltak eller avgjørelser som gjelder en bestemt fysisk person.
163.De konfidensielle opplysningene som Unionens og nasjonale statistikkmyndigheter samler inn for å utarbeide offisiell EU-statistikk og offisiell nasjonal statistikk, bør vernes. EU-statistikk bør utvikles, utarbeides og formidles i samsvar med de statistiske prinsippene fastsatt i artikkel 338 nr. 2 i TEUV, mens nasjonal statistikk også bør være i samsvar med medlemsstatenes nasjonale rett. Ved europaparlaments- og rådsforordning (EF) nr. 223/2009​16 er det fastsatt ytterligere spesifikasjoner for konfidensiell behandling av statistiske opplysninger i Europa.
164.Når det gjelder tilsynsmyndighetenes myndighet til å få tilgang til personopplysninger fra den behandlingsansvarlige eller databehandleren og adgang til deres lokaler, kan medlemsstatene innenfor rammene av denne forordning ved lov vedta særlige regler for å sikre yrkesmessig eller annen tilsvarende taushetsplikt, i den grad det er nødvendig for å bringe retten til vern av personopplysning i samsvar med yrkesmessig taushetsplikt. Dette berører ikke medlemsstatenes eksisterende forpliktelser til å vedta regler om taushetsplikt dersom det kreves i unionsretten.
165.Denne forordning respekterer og berører ikke den status kirker og religiøse sammenslutninger eller samfunn har i henhold til eksisterende forfatningsrett i medlemsstatene, som anerkjent i artikkel 17 i TEUV.
166.For å oppfylle målene i denne forordning, som er å verne fysiske personers grunnleggende rettigheter og friheter og særlig deres rett til vern av personopplysninger, og for å sikre fri utveksling av personopplysninger i Unionen, bør myndigheten til å vedta rettsakter i samsvar med artikkel 290 i TEUV delegeres til Kommisjonen. Det bør særlig vedtas delegerte rettsakter om kriteriene for og kravene til sertifiseringsmekanismer, informasjon som skal gis ved hjelp av standardiserte ikoner, og framgangsmåter for å tilveiebringe nevnte ikoner. Det er særlig viktig at Kommisjonen holder hensiktsmessige samråd under sitt forberedende arbeid, herunder på ekspertnivå. Kommisjonen bør ved forberedelse og utarbeiding av delegerte rettsakter sikre at relevante dokumenter oversendes Europaparlamentet og Rådet samtidig, til rett tid og på en egnet måte.
167.For å sikre ensartede vilkår for gjennomføring av denne forordning bør Kommisjonen gis gjennomføringsmyndighet når dette er fastsatt i denne forordning. Nevnte myndighet bør utøves i samsvar med forordning (EU) nr. 182/2011. I denne forbindelse bør Kommisjonen vurdere særlige tiltak for svært små, små og mellomstore bedrifter.
168.Undersøkelsesprosedyren bør brukes når det vedtas gjennomføringsrettsakter om standardavtalevilkår mellom behandlingsansvarlige og databehandlere og mellom databehandlere; atferdsnormer; tekniske standarder og sertifiseringsmekanismer; det tilstrekkelige beskyttelsesnivået som sikres av en tredjestat, et territorium eller en angitt sektor i nevnte tredjestat eller en internasjonal organisasjon; standard personvernbestemmelser; formater og framgangsmåter for elektronisk utveksling av informasjon mellom behandlingsansvarlige, databehandlere og tilsynsmyndigheter med tanke på bindende virksomhetsregler; gjensidig bistand samt ordninger for elektronisk utveksling av informasjon mellom tilsynsmyndigheter og mellom tilsynsmyndigheter og Personvernrådet.
169.Kommisjonen bør vedta gjennomføringsrettsakter med umiddelbar virkning når tilgjengelig dokumentasjon viser at en tredjestat, et territorium eller en angitt sektor i nevnte tredjestat eller en internasjonal organisasjon ikke sikrer et tilstrekkelig beskyttelsesnivå, og tvingende og presserende hensyn krever det.
170.Ettersom målet for denne forordning, som er å sikre et ensartet nivå for vern av fysiske personer og fri flyt av personopplysninger i hele Unionen, ikke kan nås i tilstrekkelig grad av medlemsstatene og derfor på grunn av tiltakets omfang og virkninger bedre kan nås på unionsplan, kan Unionen treffe tiltak i samsvar med nærhetsprinsippet som fastsatt i artikkel 5 i traktaten om Den europeiske union (TEU). I samsvar med forholdsmessighetsprinsippet fastsatt i nevnte artikkel går denne forordning ikke lenger enn det som er nødvendig for å nå dette målet.
171.Direktiv 95/46/EF bør oppheves ved denne forordning. Behandling som allerede pågår på anvendelsesdatoen for denne forordning, bør bringes i samsvar med denne forordning senest to år etter at denne forordning har trådt i kraft. Når behandlingen bygger på et samtykke i henhold til direktiv 95/46/EF, trenger den registrerte ikke å gi sitt samtykke på nytt for at den behandlingsansvarlige skal kunne fortsette nevnte behandling etter anvendelsesdatoen for denne forordning, dersom samtykket ble gitt i samsvar med vilkårene i denne forordning. Beslutninger truffet av Kommisjonen og godkjenninger gitt av tilsynsmyndigheter på grunnlag av direktiv 95/46/EF skal fortsette å gjelde fram til de endres, erstattes eller oppheves.
172.EUs datatilsyn er blitt rådspurt i samsvar med artikkel 28 nr. 2 i forordning (EF) nr. 45/2001 og avga uttalelse 7. mars 2012.​17
173.Denne forordning bør få anvendelse på alle forhold som gjelder vern av grunnleggende rettigheter og friheter i forbindelse med behandling av personopplysninger, som ikke er underlagt særlige forpliktelser med samme formål som fastsatt i europaparlaments- og rådsdirektiv 2002/58/EF,​18 herunder den behandlingsansvarliges forpliktelser og fysiske personers rettigheter. For å avklare forholdet mellom denne forordning og direktiv 2002/58/EF bør nevnte direktiv derfor endres. Når denne forordning er vedtatt, bør det foretas en ny gjennomgåelse av direktiv 2002/58/EF, særlig for å sikre samsvar med denne forordning.

vedtatt denne forordning:

1EUT C 229 av 31.7.2012, s. 90.
2EUT C 391 av 18.12.2012, s. 127.
3Europaparlamentets holdning av 12. mars 2014 (ennå ikke offentliggjort i EUT) og Rådets holdning ved første behandling av 8. april 2016 (ennå ikke offentliggjort i EUT). Europaparlamentets holdning av 14. april 2016.
4Europaparlaments- og rådsdirektiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (EFT L 281 av 23.11.1995, s. 31).
5Kommisjonsrekommandasjon av 6. mai 2003 om definisjonen av svært små, små og mellomstore bedrifter (C(2003) 1422) (EFT L 124 av 20.5.2003, s. 36).
6Europaparlaments- og rådsforordning (EF) nr. 45/2001 av 18. desember 2000 om personvern i forbindelse med behandling av personopplysninger i Fellesskapets institusjoner og organer og om fri utveksling av slike opplysninger (EFT L 8 av 12.1.2001, s. 1).
7Europaparlaments- og rådsdirektiv (EU) 2016/680 av 27. april 2016 om vern av fysiske personer i forbindelse med vedkommende myndigheters behandling av personopplysninger med henblikk på å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, om fri utveksling av slike opplysninger og om oppheving av Rådets rammebeslutning 2008/977/JIS (se side 89 i denne EUT).
8Europaparlaments- og rådsdirektiv 2000/31/EF av 8. juni 2000 om visse rettslige aspekter ved informasjonssamfunnstjenester, særlig elektronisk handel, i det indre marked («Direktivet om elektronisk handel») (EFT L 178 av 17.7.2000, s. 1).
9Europaparlaments- og rådsdirektiv 2011/24/EU av 9. mars 2011 om anvendelse av pasientrettigheter ved helsetjenester over landegrensene (EUT L 88 av 4.4.2011, s. 45).
10Rådsdirektiv 93/13/EØF av 5. april 1993 om urimelige vilkår i forbrukeravtaler (EFT L 95 av 21.4.1993, s. 29).
11Europaparlaments- og rådsforordning (EF) nr. 1338/2008 av 16. desember 2008 om fellesskapsstatistikker over folkehelse og helse og sikkerhet på arbeidsplassen (EUT L 354 av 31.12.2008, s. 70).
12Europaparlaments- og rådsforordning (EU) nr. 182/2011 av 16. februar 2011 om fastsettelse av allmenne regler og prinsipper for medlemsstatenes kontroll med Kommisjonens utøvelse av sin gjennomføringsmyndighet (EUT L 55 av 28.2.2011, s. 13).
13Europaparlaments- og rådsforordning (EU) nr. 1215/2012 av 12. desember 2012 om domsmyndighet og anerkjennelse og fullbyrdelse av rettsavgjørelser på det sivilrettslige og handelsrettslige område (EUT L 351 av 20.12.2012, s. 1).
14Europaparlaments- og rådsdirektiv 2003/98/EF av 17. november 2003 om viderebruk av informasjon fra offentlig sektor (EUT L 345 av
15Europaparlaments- og rådsforordning (EU) nr. 536/2014 av 16. april 2014 om kliniske utprøvinger av legemidler for mennesker og om oppheving av direktiv 2001/20/EF (EUT L 158 av 27.5.2014, s. 1).
16Europaparlaments- og rådsforordning (EF) nr. 223/2009 av 11. mars 2009 om europeisk statistikk og om oppheving av europaparlaments- og rådsforordning (EF, Euratom) nr. 1101/2008 om oversending av fortrolige statistiske opplysninger til De europeiske fellesskaps statistikkontor, rådsforordning (EF) nr. 322/97 om fellesskapsstatistikker og rådsbeslutning 89/382/EØF, Euratom om nedsettelse av en komité for De europeiske fellesskaps statistiske program (EUT L 87 av 31.3.2009, s. 164).
17EUT C 192 av 30.6.2012, s. 7.
18Europaparlaments- og rådsdirektiv 2002/58/EF av 12. juli 2002 om behandling av personopplysninger og personvern i sektoren for elektronisk kommunikasjon (direktivet om personvern og elektronisk kommunikasjon) (EFT L 201 av 31.7.2002, s. 37).

KAPITTEL I Alminnelige bestemmelser

Artikkel 1.Formål og mål

1. Denne forordning fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger samt regler om fri utveksling av personopplysninger.
2. Denne forordning sikrer vern av fysiske personers grunnleggende rettigheter og friheter, særlig deres rett til vern av personopplysninger.
3. Fri utveksling av personopplysninger i Unionen skal verken begrenses eller forbys av årsaker knyttet til vern av fysiske personer i forbindelse med behandling av personopplysninger.

Artikkel 2.Saklig virkeområde

1. Denne forordning får anvendelse på helt eller delvis automatisert behandling av personopplysninger og på ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register.
2. Denne forordning får ikke anvendelse på behandling av personopplysninger som utføres
a.i forbindelse med utøvelse av en aktivitet som ikke omfattes av unionsretten,
b.av medlemsstatene når de utøver aktiviteter som omfattes av avdeling V kapittel 2 i TEU,
c.av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter,
d.av vedkommende myndigheter med henblikk på å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet.
3. Forordning (EF) nr. 45/2001 får anvendelse på behandling av personopplysninger som utføres av Unionens institusjoner, organer, kontorer og byråer. Forordning (EF) nr. 45/2001 og andre av Unionens rettsakter som får anvendelse på slik behandling av personopplysninger, skal tilpasses prinsippene og reglene i denne forordning i samsvar med artikkel 98.
4. Denne forordning berører ikke anvendelsen av direktiv 2000/31/EF, særlig reglene for tjenesteytende mellommenns ansvar i artikkel 12-15 i nevnte direktiv.

Artikkel 3.Geografisk virkeområde

1. Denne forordning får anvendelse på behandling av personopplysninger som utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller en databehandler i Unionen, uavhengig av om behandlingen finner sted i Unionen eller ikke.
2. Denne forordning får anvendelse på behandling av personopplysninger om registrerte som befinner seg i Unionen, og som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i Unionen, dersom behandlingen er knyttet til
a.tilbud av varer eller tjenester til slike registrerte i Unionen, uavhengig av om det kreves betaling fra den registrerte eller ikke, eller
b.monitorering av deres atferd, i den grad deres atferd finner sted i Unionen.
3. Denne forordning får anvendelse på behandling av personopplysninger som utføres av en behandlingsansvarlig som ikke er etablert i Unionen, men på et sted der en medlemsstats nasjonale rett får anvendelse i henhold til folkeretten.

Artikkel 4.Definisjoner

I denne forordning menes med

1.«personopplysninger» enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet,
2.«behandling» enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring,
3.«begrensning av behandling» merking av lagrede personopplysninger med det som mål å begrense behandlingen av disse i framtiden,
4.«profilering» enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser,
5.«pseudonymisering» behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres atskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person,
6.«register» enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag,
7.«behandlingsansvarlig» en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett,
8.«databehandler» en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige,
9.«mottaker» en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som personopplysninger utleveres til, enten det dreier seg om en tredjepart eller ikke. Offentlige myndigheter som kan motta personopplysninger innenfor rammen av en særskilt undersøkelse i samsvar med unionsretten eller medlemsstatenes nasjonale rett, skal imidlertid ikke anses som mottakere; nevnte offentlige myndigheters behandling av slike opplysninger skal være i samsvar med gjeldende regler om vern av personopplysninger i henhold til formålet med behandlingen,
10.«tredjepart» enhver annen fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ enn den registrerte, den behandlingsansvarlige, databehandleren og de personer som under den behandlingsansvarlige eller databehandlerens direkte myndighet har fullmakt til å behandle personopplysninger,
11.«samtykke» fra den registrerte enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende,
12.«brudd på personopplysningssikkerheten» et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet,
13.«genetiske opplysninger» personopplysninger om en fysisk persons nedarvede eller ervervede genetiske egenskaper som gir unik informasjon om den aktuelle fysiske personens fysiologi eller helse, og som særlig er framkommet etter analysering av en biologisk prøve fra den aktuelle fysiske personen,
14.«biometriske opplysninger» personopplysninger som stammer fra en særskilt teknisk behandling knyttet til en fysisk persons fysiske, fysiologiske eller atferdsmessige egenskaper, og som muliggjør eller bekrefter en entydig identifikasjon av nevnte fysiske person, f.eks. ansiktsbilder eller fingeravtrykksopplysninger,
15.«helseopplysninger» personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand,
16.«hovedvirksomhet»:
a.når det gjelder en behandlingsansvarlig med virksomheter i mer enn én medlemsstat, stedet for dennes hovedadministrasjon i Unionen, med mindre avgjørelser om formål og midler i forbindelse med behandlingen av personopplysninger treffes i en annen av den behandlingsansvarliges virksomheter i Unionen, og sistnevnte virksomhet har myndighet til å få gjennomført nevnte avgjørelser, i dette tilfellet skal virksomheten som har truffet slike avgjørelser, anses for å være hovedvirksomheten,
b.når det gjelder en databehandler med virksomheter i mer enn én medlemsstat, stedet for dennes hovedadministrasjon i Unionen eller, dersom databehandleren ikke har noen hovedadministrasjon i Unionen, databehandlerens virksomhet i Unionen der hoveddelen av behandlingsaktivitetene i forbindelse med aktivitetene ved en databehandlers virksomhet finner sted, i den grad databehandleren er underlagt særlige forpliktelser i henhold til denne forordning,
17.«representant» en fysisk eller juridisk person som er etablert i Unionen, som den behandlingsansvarlige eller databehandleren har utpekt skriftlig i henhold til artikkel 27, og som representerer den behandlingsansvarlige eller databehandleren med hensyn til de forpliktelser de har i henhold til denne forordning,
18.«foretak» en fysisk eller juridisk person som utøver økonomisk virksomhet, uavhengig av foretakets rettslige form, herunder partnerskap eller sammenslutninger som regelmessig utøver økonomisk virksomhet,
19.«konsern» et foretak som utøver kontroll, og dets kontrollerte foretak,
20.«bindende virksomhetsregler» retningslinjer for vern av personopplysninger som en behandlingsansvarlig eller databehandler som er etablert på en medlemsstats territorium, følger i forbindelse med en overføring eller en rekke overføringer av personopplysninger til en behandlingsansvarlig eller databehandler i én eller flere tredjestater internt i et konsern eller gruppe av foretak som utøver en felles økonomisk virksomhet,
21.«tilsynsmyndighet» en uavhengig offentlig myndighet som er opprettet av en medlemsstat i henhold til artikkel 51,
22.«berørt tilsynsmyndighet» en tilsynsmyndighet som er berørt av en behandling av personopplysninger, fordi
a.den behandlingsansvarlige eller databehandleren er etablert på territoriet til nevnte tilsynsmyndighets medlemsstat,
b.registrerte som er bosatt i nevnte tilsynsmyndighets medlemsstat, i vesentlig grad påvirkes eller sannsynligvis vil bli påvirket av behandlingen, eller
c.det er klaget til nevnte tilsynsmyndighet,
23.«grenseoverskridende behandling»
a.behandling av personopplysninger som finner sted i forbindelse med aktiviteter i en behandlingsansvarligs eller databehandlers virksomheter i mer enn én medlemsstat, dersom den behandlingsansvarlige eller databehandleren er etablert i mer enn én medlemsstat, eller
b.behandling av personopplysninger som finner sted i forbindelse med aktiviteter i en behandlingsansvarligs eller databehandlers eneste virksomhet i Unionen, men som i betydelig grad påvirker eller sannsynligvis vil påvirke registrerte i mer enn én medlemsstat.
24.«relevant og begrunnet innsigelse» en innsigelse mot et utkast til avgjørelse om hvorvidt det foreligger en overtredelse av denne forordning eller om hvorvidt et planlagt tiltak som gjelder den behandlingsansvarlige eller databehandleren, er i samsvar med denne forordning, og som tydelig viser betydningen av risikoene som utkastet til avgjørelse utgjør med hensyn til de registrertes grunnleggende rettigheter og friheter og, dersom det er relevant, den frie flyten av personopplysninger i Unionen,
25.«informasjonssamfunnstjeneste» en tjeneste som definert i artikkel 1 nr. 1 bokstav b) i europaparlaments- og rådsdirektiv (EU) 2015/1535,​1
26.«internasjonal organisasjon» en organisasjon og dens underordnede organer som er underlagt folkeretten, eller ethvert annet organ opprettet ved eller på grunnlag av en avtale mellom to eller flere stater.
1Europaparlaments- og rådsdirektiv (EU) 2015/1535 av 9. september 2015 om en informasjonsprosedyre for tekniske forskrifter og regler for informasjonssamfunnstjenester (EUT L 241 av 17.9.2015, s. 1).

KAPITTEL II Prinsipper

Artikkel 5.Prinsipper for behandling av personopplysninger

1. Personopplysninger skal
a.behandles på en lovlig, rettferdig og åpen måte med hensyn til den registrerte («lovlighet, rettferdighet og åpenhet»),
b.samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene; viderebehandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal, i samsvar med artikkel 89 nr. 1, ikke anses som uforenlig med de opprinnelige formålene («formålsbegrensning»),
c.være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»),
d.være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller rettes («riktighet»),
e.lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for; personopplysninger kan lagres i lengre perioder dersom de utelukkende vil bli behandlet for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1, forutsatt at det gjennomføres egnede tekniske og organisatoriske tiltak som kreves i henhold til denne forordning for å sikre de registrertes rettigheter og friheter («lagringsbegrensning»),
f.behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak («integritet og konfidensialitet»).
2. Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at nr. 1 overholdes («ansvar»).

Artikkel 6.Behandlingens lovlighet

1. Behandlingen er bare lovlig dersom og i den grad minst ett av følgende vilkår er oppfylt:
a.den registrerte har samtykket til behandling av sine personopplysninger for ett eller flere spesifikke formål,
b.behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse,
c.behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige,
d.behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser,
e.behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,
f.behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.

Nr. 1 bokstav f) får ikke anvendelse på behandling som utføres av offentlige myndigheter som ledd i utførelsen av deres oppgaver.

2. Medlemsstatene kan opprettholde eller innføre mer spesifikke bestemmelser for å tilpasse anvendelsen av reglene for behandling i denne forordning med henblikk på å sikre samsvar med nr. 1 bokstav c) og e) ved nærmere å fastsette mer spesifikke krav til behandlingen samt andre tiltak som har som mål å sikre en lovlig og rettferdig behandling, herunder i forbindelse med andre særlige behandlingssituasjoner som nevnt i kapittel IX.
3. Grunnlaget for behandlingen nevnt i nr. 1 bokstav c) og e) skal fastsettes i
a.unionsretten eller
b.medlemsstatens nasjonale rett som den behandlingsansvarlige er underlagt.

Formålet med behandlingen skal være fastsatt i nevnte rettslige grunnlag eller, når det gjelder behandlingen nevnt i nr. 1 bokstav e), være nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Nevnte rettslige grunnlag kan inneholde særlige bestemmelser for å tilpasse anvendelsen av reglene i denne forordning, blant annet de generelle vilkårene som skal gjelde for lovligheten av den behandlingsansvarliges behandling, hvilken type opplysninger som skal behandles, berørte registrerte, enhetene som personopplysningene kan utleveres til, og formålene med dette, formålsbegrensning, lagringsperioder samt behandlingsaktiviteter og framgangsmåter for behandling, herunder tiltak for å sikre lovlig og rettferdig behandling, slik som dem fastsatt med henblikk på andre særlige behandlingssituasjoner som nevnt i kapittel IX. Unionsretten eller medlemsstatenes nasjonale rett skal oppfylle et mål i allmennhetens interesse og stå i et rimelig forhold til det berettigede målet som søkes oppnådd.

4. Dersom behandlingen for et annet formål enn det som personopplysningene er blitt samlet inn for, ikke bygger på den registrertes samtykke eller på unionsretten eller medlemsstatenes nasjonale rett som utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene nevnt i artikkel 23 nr. 1, skal den behandlingsansvarlige for å avgjøre om behandlingen for et annet formål er forenlig med formålet som personopplysningene opprinnelig ble samlet inn for, blant annet ta hensyn til følgende:
a.enhver forbindelse mellom formålene som personopplysningene er blitt samlet inn for, og formålene med den tiltenkte viderebehandlingen,
b.i hvilken sammenheng personopplysningene er blitt samlet inn, særlig med hensyn til forholdet mellom de registrerte og den behandlingsansvarlige,
c.personopplysningenes art, især om særlige kategorier av personopplysninger behandles, i henhold til artikkel 9, eller om personopplysninger om straffedommer og lovovertredelser behandles, i henhold til artikkel 10,
d.de mulige konsekvensene av den tiltenkte viderebehandlingen for de registrerte,
e.om det foreligger nødvendige garantier, som kan omfatte kryptering eller pseudonymisering.

Artikkel 7.Vilkår for samtykke

1. Dersom behandlingen bygger på samtykke, skal den behandlingsansvarlige kunne påvise at den registrerte har samtykket til behandling av personopplysninger om vedkommende.
2. Dersom den registrertes samtykke gis i forbindelse med en skriftlig erklæring som også gjelder andre forhold, skal anmodningen om samtykke framlegges på en måte som gjør at den tydelig kan skilles fra nevnte andre forhold, i en forståelig og lett tilgjengelig form og på et klart og enkelt språk. Deler av en slik erklæring som er i strid med denne forordning, skal ikke være bindende.
3. Den registrerte skal ha rett til å trekke tilbake sitt samtykke til enhver tid. Dersom samtykket trekkes tilbake, skal det ikke påvirke lovligheten av behandlingen som bygger på samtykket før det trekkes tilbake. Før det gis samtykke, skal den registrerte opplyses om dette. Det skal være like enkelt å trekke tilbake som å gi samtykke.
4. Ved vurdering av om et samtykke er gitt frivillig skal det tas størst mulig hensyn til blant annet om oppfyllelse av en avtale, herunder om yting av en tjeneste, er gjort betinget av samtykke til behandling av personopplysninger som ikke er nødvendig for å oppfylle nevnte avtale.

Artikkel 8.Vilkår for barns samtykke i forbindelse med informasjonssamfunnstjenester

1. Dersom artikkel 6 nr. 1 bokstav a) får anvendelse i forbindelse med tilbud om informasjonssamfunnstjenester direkte til et barn, er behandling av et barns personopplysninger lovlig dersom barnet er minst 16 år. Dersom barnet er under 16 år, er slik behandling lovlig bare dersom og i den grad samtykke er gitt eller godkjent av den som har foreldreansvar for barnet.

For disse formål kan medlemsstatene ved lov fastsette en lavere aldersgrense, forutsatt at den ikke er lavere enn 13 år.

2. I slike tilfeller skal den behandlingsansvarlige treffe rimelige tiltak for å kontrollere at samtykke er gitt eller godkjent av den som har foreldreansvar for barnet, idet det tas hensyn til tilgjengelig teknologi.
3. Nr. 1 skal ikke påvirke medlemsstatenes alminnelige avtalerett, f.eks. reglene for gyldigheten, utformingen eller virkningen av en avtale som gjelder et barn.

Artikkel 9.Behandling av særlige kategorier av personopplysninger

1. Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er forbudt.
2. Nr. 1 får ikke anvendelse dersom et av følgende vilkår er oppfylt:
a.Den registrerte har gitt uttrykkelig samtykke til behandling av slike personopplysninger for ett eller flere spesifikke formål, unntatt dersom det i unionsretten eller medlemsstatenes nasjonale rett er fastsatt at den registrerte ikke kan oppheve forbudet nevnt i nr. 1.
b.Behandlingen er nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett, trygderett og sosialrett i den grad dette er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett, eller en tariffavtale i henhold til medlemsstatenes nasjonale rett som gir nødvendige garantier for den registrertes grunnleggende rettigheter og interesser.
c.Behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser dersom den registrerte fysisk eller juridisk ikke er i stand til å gi samtykke.
d.Behandlingen utføres av en stiftelse, sammenslutning eller et annet ideelt organ hvis mål er av politisk, religiøs eller fagforeningsmessig art, som ledd i organets berettigede aktiviteter og med nødvendige garantier, forutsatt at behandlingen bare gjelder organets medlemmer eller tidligere medlemmer eller personer som på grunn av organets mål har regelmessig kontakt med det, og at personopplysningene ikke utleveres til andre enn nevnte organ uten de registrertes samtykke.
e.Behandlingen gjelder personopplysninger som det er åpenbart at den registrerte har offentliggjort.
f.Behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav eller når domstolene handler innenfor rammen av sin domsmyndighet.
g.Behandlingen er nødvendig av hensyn til viktige allmenne interesser, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.
h.Behandlingen er nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin for å vurdere en arbeidstakers arbeidskapasitet, i forbindelse med medisinsk diagnostikk, yting av helse- eller sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og -systemer på grunnlag av unionsretten eller medlemsstatenes nasjonale rett eller i henhold til en avtale med helsepersonell og med forbehold for vilkårene og garantiene nevnt i nr. 3.
i.Behandlingen er nødvendig av allmenne folkehelsehensyn, f.eks. vern mot alvorlige grenseoverskridende helsetrusler eller for å sikre høye kvalitets- og sikkerhetsstandarder for helsetjenester og legemidler eller medisinsk utstyr, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett der det fastsettes egnede og særlige tiltak for å verne den registrertes rettigheter og friheter, særlig taushetsplikt.
j.Behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.
3. Personopplysningene nevnt i nr. 1 kan behandles for formålene nevnt i nr. 2 bokstav h) dersom opplysningene behandles av en fagperson som har taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett eller regler fastsatt av nasjonale vedkommende organer, eller under en slik persons ansvar, eller av en annen person som også har taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett eller regler fastsatt av nasjonale vedkommende organer.
4. Medlemsstatene kan opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger.

Artikkel 10.Behandling av personopplysninger om straffedommer og lovovertredelser

Behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak på grunnlag av artikkel 6 nr. 1 skal bare utføres under en offentlig myndighets kontroll eller dersom behandlingen er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som sikrer nødvendige garantier for de registrertes rettigheter og friheter. Alle omfattende registre over straffedommer må bare føres under en offentlig myndighets kontroll.

Artikkel 11.Behandling som ikke krever identifikasjon

1. Dersom formålene med den behandlingsansvarliges behandling av personopplysninger ikke krever eller ikke lenger krever at den behandlingsansvarlige kan identifisere en registrert, skal den behandlingsansvarlige ikke ha plikt til å bevare, innhente eller behandle ytterligere opplysninger for å identifisere den registrerte utelukkende med det formål å oppfylle kravene i denne forordning.
2. Dersom den behandlingsansvarlige i tilfeller nevnt i nr. 1 i denne artikkel kan påvise at vedkommende ikke er i stand til å identifisere den registrerte, skal den behandlingsansvarlige, dersom det er mulig, informere den registrerte om dette. I slike tilfeller får artikkel 15-20 ikke anvendelse, bortsett fra når den registrerte for å utøve sine rettigheter i henhold til nevnte artikler gir ytterligere opplysninger som gjør det mulig å identifisere vedkommende.

KAPITTEL III Den registrertes rettigheter

Avsnitt 1 Åpenhet og vilkår

Artikkel 12.Klar og tydelig informasjon, kommunikasjon og nærmere regler om utøvelse av den registrertes rettigheter
1. Den behandlingsansvarlige skal treffe egnede tiltak for å framlegge for den registrerte informasjonen nevnt i artikkel 13 og 14 og all kommunikasjon i henhold til artikkel 15-22 og 34 om behandlingen på en kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk, især når det gjelder informasjon som spesifikt er rettet mot et barn. Informasjonen skal gis skriftlig eller på en annen måte, herunder elektronisk dersom det er hensiktsmessig. På anmodning fra den registrerte kan informasjonen gis muntlig, forutsatt at den registrertes identitet bevises på andre måter.
2. Den behandlingsansvarlige skal legge til rette for at den registrerte kan utøve sine rettigheter i henhold til artikkel 15-22. I tilfellene nevnt i artikkel 11 nr. 2 skal den behandlingsansvarlige ikke nekte å etterkomme den registrertes anmodning om å utøve sine rettigheter i henhold til artikkel 15-22, med mindre den behandlingsansvarlige påviser at vedkommende ikke er i stand til å identifisere den registrerte.
3. Den behandlingsansvarlige skal informere den registrerte om tiltak som er truffet på grunnlag av en anmodning i henhold til artikkel 15-22, uten ugrunnet opphold og senest én måned etter mottak av anmodningen. Denne fristen kan ved behov forlenges med ytterligere to måneder, idet det tas hensyn til antall anmodninger og anmodningenes kompleksitet. Den behandlingsansvarlige skal informere den registrerte om enhver slik forlengelse senest én måned etter mottak av anmodningen sammen med en begrunnelse for forsinkelsen. Dersom den registrerte inngir anmodningen elektronisk, skal informasjonen om mulig gis elektronisk, med mindre den registrerte anmoder om noe annet.
4. Dersom den behandlingsansvarlige ikke treffer tiltak på anmodning fra den registrerte, skal den behandlingsansvarlige informere den registrerte uten opphold og senest én måned etter mottak av anmodningen om årsakene til dette og om muligheten for å inngi klage til en tilsynsmyndighet og for rettslig prøving.
5. Informasjon som gis i henhold til artikkel 13 og 14, og enhver kommunikasjon og ethvert tiltak som treffes i henhold til artikkel 15-22 og 34, skal være gratis. Dersom anmodninger fra en registrert er åpenbart grunnløse eller overdrevne, særlig dersom de gjentas, kan den behandlingsansvarlige enten
a.kreve et rimelig gebyr, idet det tas hensyn til administrasjonskostnadene for å gi informasjonen eller treffe de tiltak det anmodes om, eller
b.nekte å etterkomme anmodningen.

Den behandlingsansvarlige skal bære bevisbyrden for at en anmodning er åpenbart grunnløs eller overdreven.

6. Uten at det berører artikkel 11, kan den behandlingsansvarlige, dersom det hersker rimelig tvil om identiteten til den fysiske personen som inngir anmodningen nevnt i artikkel 15-21, anmode om ytterligere opplysninger som er nødvendige for å kunne bekrefte den registrertes identitet.
7. Informasjonen som skal gis de registrerte i henhold til artikkel 13 og 14, kan gis sammen med standardiserte ikoner for å gi en lett synlig, forståelig, lettlest og meningsfull oversikt over den tiltenkte behandlingen. Dersom ikonene presenteres elektronisk, skal de være maskinlesbare.
8. Kommisjonen skal gis myndighet til å vedta delegerte rettsakter i samsvar med artikkel 92 for å fastsette hvilken informasjon som skal gis ved hjelp av ikoner, og framgangsmåtene for å tilveiebringe standardiserte ikoner.

Avsnitt 2 Informasjon og innsyn i personopplysninger

Artikkel 13.Informasjon som skal gis ved innsamling av personopplysninger fra den registrerte
1. Når personopplysninger om en registrert samles inn fra den registrerte, skal den behandlingsansvarlige på tidspunktet for innsamlingen av personopplysningene gi den registrerte følgende informasjon:
a.identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den behandlingsansvarliges representant,
b.kontaktopplysningene til personvernombudet, dersom dette er relevant,
c.formålene med den tiltenkte behandlingen av personopplysningene samt det rettslige grunnlaget for behandlingen,
d.dersom behandlingen er basert på artikkel 6 nr. 1 bokstav f), de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart,
e.eventuelle mottakere eller kategorier av mottakere av personopplysningene,
f.dersom det er relevant, det faktum at den behandlingsansvarlige akter å overføre personopplysninger til en tredjestat eller en internasjonal organisasjon og om hvorvidt Kommisjonen har truffet en beslutning om tilstrekkelig beskyttelsesnivå eller ikke, eller når det gjelder overføringene nevnt i artikkel 46 eller 47 eller artikkel 49 nr. 1 annet ledd, en henvisning til nødvendige eller passende garantier, hvordan man får tak i et eksemplar av dem, eller hvor de er gjort tilgjengelig.
2. I tillegg til informasjonen nevnt i nr. 1 skal den behandlingsansvarlige på tidspunktet for innsamling av personopplysninger gi den registrerte følgende ytterligere informasjon som er nødvendig for å sikre en rettferdig og åpen behandling:
a.det tidsrom personopplysningene vil bli lagret, eller dersom dette ikke er mulig, kriteriene som brukes for å fastsette dette tidsrommet,
b.retten til å anmode den behandlingsansvarlige om innsyn i og retting eller sletting av personopplysninger eller begrensning av behandlingen som gjelder den registrerte, eller til å protestere mot behandlingen samt retten til dataportabilitet,
c.dersom behandlingen er basert på artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), retten til når som helst å trekke tilbake et samtykke uten at det påvirker lovligheten av en behandling basert på et samtykke før samtykket trekkes tilbake,
d.retten til å klage til en tilsynsmyndighet,
e.om det foreligger et lovfestet eller avtalefestet krav om å gi personopplysninger eller et krav som er nødvendig for å inngå en avtale, samt om den registrerte har plikt til å gi personopplysningene og om mulige konsekvenser dersom vedkommende ikke gjør det,
f.forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.
3. Dersom den behandlingsansvarlige har til hensikt å viderebehandle personopplysningene for et annet formål enn det opplysningene ble samlet inn for, skal den behandlingsansvarlige før nevnte viderebehandling gi den registrerte informasjon om nevnte andre formål og annen nødvendig informasjon som nevnt i nr. 2.
4. Nr. 1, 2 og 3 får ikke anvendelse dersom og i den grad den registrerte allerede har informasjonen.
Artikkel 14.Informasjon som skal gis dersom personopplysninger ikke er blitt samlet inn fra den registrerte
1. Dersom personopplysninger ikke er blitt samlet inn fra den registrerte, skal den behandlingsansvarlige gi den registrerte følgende informasjon:
a.identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den behandlingsansvarliges representant,
b.kontaktopplysningene til personvernombudet, dersom dette er relevant,
c.formålene med den tiltenkte behandlingen av personopplysningene samt det rettslige grunnlaget for behandlingen,
d.de berørte kategoriene av personopplysninger,
e.eventuelle mottakere eller kategorier av mottakere av personopplysningene,
f.dersom det er relevant, at den behandlingsansvarlige har til hensikt å overføre personopplysninger til en mottaker i en tredjestat eller en internasjonal organisasjon og om hvorvidt Kommisjonen har truffet en beslutning om tilstrekkelig beskyttelsesnivå eller ikke, eller, når det gjelder overføringene nevnt i artikkel 46 eller 47 eller artikkel 49 nr. 1 annet ledd, en henvisning til nødvendige eller passende garantier, hvordan man får tak i et eksemplar av dem eller hvor de er gjort tilgjengelig.
2. I tillegg til informasjonen nevnt i nr. 1 skal den behandlingsansvarlige gi den registrerte følgende informasjon som er nødvendig for å sikre den registrerte en rettferdig og åpen behandling:
a.det tidsrom personopplysningene vil bli lagret, eller dersom dette ikke er mulig, kriteriene som brukes for å fastsette dette tidsrommet,
b.dersom behandlingen er basert på artikkel 6 nr. 1 bokstav f), de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart,
c.retten til å anmode den behandlingsansvarlige om innsyn i og retting eller sletting av personopplysninger eller begrensning av behandlingen som gjelder den registrerte, og til å protestere mot behandlingen samt retten til dataportabilitet,
d.dersom behandlingen er basert på artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), retten til når som helst å trekke tilbake et samtykke uten at det påvirker lovligheten av en behandling basert på et samtykke før samtykket trekkes tilbake,
e.retten til å klage til en tilsynsmyndighet,
f.fra hvilken kilde personopplysningene stammer fra, og, dersom det er relevant, om de stammer fra offentlig tilgjengelige kilder,
g.forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.
3. Den behandlingsansvarlige skal gi informasjonen nevnt i nr. 1 og 2
a.innen en rimelig frist etter at personopplysningene er samlet inn, men senest innen én måned, idet det tas hensyn til de særlige forholdene som personopplysningene er behandlet under,
b.dersom personopplysningene skal brukes til å kommunisere med den registrerte, senest på tidspunktet for den første kommunikasjonen med vedkommende, eller
c.dersom det er planlagt at personopplysningene skal utleveres til en annen mottaker, senest når personopplysningene første gang utleveres.
4. Dersom den behandlingsansvarlige har til hensikt å viderebehandle personopplysningene for et annet formål enn det opplysningene ble samlet inn for, skal den behandlingsansvarlige før nevnte viderebehandling gi den registrerte informasjon om nevnte andre formål og annen relevant informasjon som nevnt i nr. 2.
5. Nr. 1-4 får ikke anvendelse dersom og i den grad
a.den registrerte allerede har informasjonen,
b.det viser seg umulig å gi nevnte informasjon eller det vil innebære en uforholdsmessig stor innsats, særlig i forbindelse med behandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i henhold til vilkårene og garantiene nevnt i artikkel 89 nr. 1, eller i den grad forpliktelsen nevnt i nr. 1 i denne artikkel sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med nevnte behandling nås. I slike tilfeller skal den behandlingsansvarlige treffe egnede tiltak for å verne den registrertes rettigheter og friheter og berettigede interesser, herunder gjøre informasjonen offentlig tilgjengelig,
c.innsamling eller utlevering er uttrykkelig fastsatt i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, og som inneholder egnede tiltak for å verne den registrertes berettigede interesser, eller
d.dersom personopplysningene må holdes konfidensielle som følge av taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett, herunder en lovfestet taushetsplikt.
Artikkel 15.Den registrertes rett til innsyn
1. Den registrerte skal ha rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene og følgende informasjon:
a.formålene med behandlingen,
b.de berørte kategoriene av personopplysninger,
c.mottakerne eller kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, særlig mottakere i tredjestater eller internasjonale organisasjoner,
d.dersom det er mulig, hvor lenge det forventes at personopplysningene vil bli lagret, eller, dersom dette ikke er mulig, kriteriene som brukes for å fastsette denne perioden,
e.retten til å anmode den behandlingsansvarlige om retting eller sletting av personopplysninger eller begrensning av behandlingen av personopplysninger som gjelder den registrerte, eller til å protestere mot nevnte behandling,
f.retten til å klage til en tilsynsmyndighet,
g.dersom personopplysningene ikke er samlet inn fra den registrerte, all tilgjengelig informasjon om hvor personopplysningene stammer fra,
h.forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.
2. Dersom personopplysningene overføres til en tredjestat eller til en internasjonal organisasjon, skal den registrerte ha rett til å bli underrettet om de nødvendige garantiene i henhold til artikkel 46 i forbindelse med overføringen.
3. Den behandlingsansvarlige skal gjøre tilgjengelig en kopi av personopplysningene som behandles. Dersom den registrerte anmoder om flere kopier, kan den behandlingsansvarlige kreve et rimelig gebyr basert på administrasjonskostnadene. Dersom den registrerte inngir anmodningen elektronisk, og med mindre den registrerte anmoder om noe annet, skal informasjonen gis i en vanlig elektronisk form.
4. Retten til å motta en kopi nevnt i nr. 3 skal ikke ha negativ innvirkning på andres rettigheter og friheter.

Avsnitt 3 Retting og sletting

Artikkel 16.Rett til retting

Den registrerte skal ha rett til å få uriktige personopplysninger om seg selv rettet av den behandlingsansvarlige uten ugrunnet opphold. Idet det tas hensyn til formålene med behandlingen skal den registrerte ha rett til å få ufullstendige personopplysninger komplettert, herunder ved å framlegge en supplerende erklæring.

Artikkel 17.Rett til sletting («rett til å bli glemt»)
1. Den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold, og den behandlingsansvarlige skal ha plikt til å slette personopplysninger uten ugrunnet opphold dersom et av de følgende forhold gjør seg gjeldende:
a.personopplysningene er ikke lenger nødvendige for formålet som de ble samlet inn eller behandlet for,
b.den registrerte trekker tilbake samtykket som ligger til grunn for behandlingen, i henhold til artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), og det ikke finnes noe annet rettslig grunnlag for behandlingen,
c.den registrerte protesterer mot behandlingen i henhold til artikkel 21 nr. 1, og det ikke finnes mer tungtveiende berettigede grunner til behandlingen, eller den registrerte protesterer mot behandlingen i henhold til artikkel 21 nr. 2,
d.personopplysningene er blitt behandlet ulovlig,
e.personopplysningene må slettes for å oppfylle en rettslig forpliktelse i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt,
f.personopplysningene er blitt samlet inn i forbindelse med tilbud om informasjonssamfunnstjenester som nevnt i artikkel 8 nr. 1.
2. Dersom den behandlingsansvarlige har offentliggjort personopplysningene og i henhold til nr. 1 har plikt til å slette personopplysningene, skal vedkommende, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnadene, treffe rimelige tiltak, herunder tekniske tiltak, for å underrette behandlingsansvarlige som behandler personopplysningene, om at den registrerte har anmodet om at nevnte behandlingsansvarlige skal slette alle lenker til, kopier eller reproduksjoner av nevnte personopplysninger.
3. Nr. 1 og 2 får ikke anvendelse dersom nevnte behandling er nødvendig
a.for å utøve retten til ytrings- og informasjonsfrihet,
b.for å oppfylle en rettslig forpliktelse som krever behandling i henhold til unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, eller for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,
c.av hensyn til allmennhetens interesse på området folkehelse i samsvar med artikkel 9 nr. 2 bokstav h) og i) og artikkel 9 nr. 3,
d.for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 i den grad rettigheten nevnt i nr. 1 sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med nevnte behandling nås, eller
e.for å fastsette, gjøre gjeldende eller forsvare rettskrav.
Artikkel 18.Rett til begrensning av behandling
1. Den registrerte skal ha rett til å kreve av den behandlingsansvarlige at behandlingen begrenses dersom et av de følgende forhold gjør seg gjeldende:
a.den registrerte bestrider riktigheten av personopplysningene, i en periode som gjør det mulig for den behandlingsansvarlige å kontrollere riktigheten av personopplysningene,
b.behandlingen er ulovlig og den registrerte motsetter seg sletting av personopplysningene og isteden anmoder om at bruken av personopplysningene begrenses,
c.den behandlingsansvarlige ikke lenger trenger personopplysningene til formålet med behandlingen, men den registrerte har behov for disse for å fastsette, gjøre gjeldende eller forsvare rettskrav,
d.den registrerte har protestert mot behandling i henhold til artikkel 21 nr. 1 i påvente av kontrollen av om hvorvidt den behandlingsansvarliges berettigede grunner går foran den registrertes.
2. Dersom behandlingen er blitt begrenset i henhold til nr. 1, skal slike personopplysninger, bortsett fra lagring, bare behandles med den registrertes samtykke eller for å fastsette, gjøre gjeldende eller forsvare rettskrav eller for å verne en annen fysisk eller juridisk persons rettigheter eller av hensyn til viktige allmenne interesser i Unionen eller en medlemsstat.
3. En registrert som har oppnådd begrensning av behandlingen i henhold til nr. 1, skal underrettes av den behandlingsansvarlige før nevnte begrensning av behandlingen oppheves.
Artikkel 19.Underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling

Den behandlingsansvarlige skal underrette enhver mottaker som har fått utlevert personopplysninger, om enhver retting eller sletting av personopplysninger eller begrensning av behandlingen utført i samsvar med artikkel 16, artikkel 17 nr. 1 og artikkel 18, med mindre dette viser seg å være umulig eller innebærer en uforholdsmessig stor innsats. Den behandlingsansvarlige skal underrette den registrerte om nevnte mottakere dersom den registrerte anmoder om det.

Artikkel 20.Rett til dataportabilitet
1. Den registrerte skal ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en behandlingsansvarlig, i et strukturert, alminnelig anvendt og maskinlesbart format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig uten at den behandlingsansvarlige som personopplysningene er gitt til, hindrer dette, dersom
a.behandlingen er basert på samtykke i henhold til artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a) eller en avtale i henhold til artikkel 6 nr. 1 bokstav b), og
b.behandlingen utføres automatisk.
2. Når den registrerte utøver sin rett til dataportabilitet i henhold til nr. 1, skal vedkommende, når det er teknisk mulig, ha rett til å få overført personopplysningene direkte fra en behandlingsansvarlig til en annen.
3. Utøvelse av rettigheten nevnt i nr. 1 i denne artikkel berører ikke artikkel 17. Nevnte rettighet får ikke anvendelse på behandling som er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.
4. Rettigheten nevnt i nr. 1 skal ikke ha negativ innvirkning på andres rettigheter og friheter.

Avsnitt 4 Rett til å protestere og automatiserte individuelle avgjørelser

Artikkel 21.Rett til å protestere
1. Den registrerte skal til enhver tid, av grunner knyttet til vedkommendes særlige situasjon, ha rett til å protestere mot behandling av personopplysninger om vedkommende, og som har grunnlag i artikkel 6 nr. 1 bokstav e) eller f), herunder profilering med grunnlag i nevnte bestemmelser. Den behandlingsansvarlige skal ikke lenger behandle personopplysningene, med mindre vedkommende kan påvise at det foreligger tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, eller for å fastsette, gjøre gjeldende eller forsvare rettskrav.
2. Dersom personopplysninger behandles med henblikk på direkte markedsføring, skal den registrerte til enhver tid ha rett til å protestere mot behandling av personopplysninger som angår vedkommende, til slik markedsføring, herunder profilering i den grad dette er knyttet til direkte markedsføring.
3. Dersom den registrerte protesterer mot behandling med henblikk på direkte markedsføring, skal personopplysningene ikke lenger behandles for slike formål.
4. Senest på tidspunktet for den første kommunikasjonen med den registrerte skal vedkommende uttrykkelig gjøres oppmerksom på rettigheten nevnt i nr. 1 og 2, og informasjon om nevnte rettighet skal framlegges på en klar måte og atskilt fra annen informasjon.
5. I forbindelse med bruk av informasjonssamfunnstjenester og uten hensyn til direktiv 2002/58/EF kan den registrerte utøve sin rett til å protestere ved hjelp av automatiserte midler ved bruk av tekniske spesifikasjoner.
6. Dersom personopplysninger behandles for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i henhold til artikkel 89 nr. 1, har den registrerte, av grunner knyttet til vedkommendes særlige situasjon, rett til å protestere mot behandling av personopplysninger om vedkommende, med mindre behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse.
Artikkel 22.Automatiserte individuelle avgjørelser, herunder profilering
1. Den registrerte skal ha rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende.
2. Nr. 1 får ikke anvendelse dersom avgjørelsen
a.er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte og en behandlingsansvarlig,
b.er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, og der det også er fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser, eller
c.er basert på den registrertes uttrykkelige samtykke.
3. I tilfellene nevnt i nr. 2 bokstav a) og c) skal den behandlingsansvarlige gjennomføre egnede tiltak for å verne den registrertes rettigheter og friheter og berettigede interesser, i det minste retten til menneskelig inngripen fra den behandlingsansvarlige, til å uttrykke sine synspunkter og til å bestride avgjørelsen.
4. Avgjørelsene nevnt i nr. 2 skal ikke bygge på særlige kategorier av personopplysninger nevnt i artikkel 9 nr. 1, med mindre artikkel 9 nr. 2 bokstav a) eller g) får anvendelse og det er innført egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser.

Avsnitt 5 Begrensninger

Artikkel 23.Begrensninger
1. Unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige eller databehandleren er underlagt, kan ved lovgivningsmessige tiltak begrense rekkevidden av forpliktelsene og rettighetene fastsatt i artikkel 12-22 og artikkel 34 samt i artikkel 5 i den grad dens bestemmelser svarer til rettighetene og pliktene fastsatt i artikkel 12-22, når en slik begrensning overholder det vesentligste innholdet i de grunnleggende rettighetene og frihetene og er et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre
a.den nasjonale sikkerhet,
b.forsvaret,
c.den offentlige sikkerhet,
d.forebygging, etterforskning, avsløring eller straffeforfølging av straffbare forhold eller iverksettelse av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet,
e.andre viktige mål av generell allmenn interesse for Unionen eller en medlemsstat, særlig Unionens eller en medlemsstats viktige økonomiske eller finansielle interesser, herunder valuta-, budsjett- og skattesaker, folkehelse og trygdespørsmål,
f.beskyttelse av rettsvesenets uavhengighet samt retterganger,
g.forebygging, etterforskning, avsløring og straffeforfølging av brudd på yrkesetiske regler i lovregulerte yrker,
h.en kontroll-, tilsyns- eller reguleringsfunksjon som, også midlertidig, er knyttet til utøvelse av offentlig myndighet i tilfellene nevnt i bokstav a)-e) og g),
i.vern av den registrertes interesser eller andres rettigheter og friheter,
j.håndheving av sivilrettslige krav.
2. Alle lovgivningsmessige tiltak nevnt i nr. 1 skal, når det er relevant, minst inneholde særlige bestemmelser om
a.formålene med behandlingen eller kategorier av behandling,
b.kategoriene av personopplysninger,
c.omfanget av begrensningene som er innført,
d.garantiene for å unngå misbruk eller ulovlig tilgang eller overføring,
e.spesifisering av den behandlingsansvarlige eller kategoriene av behandlingsansvarlige,
f.lagringsperioder og gjeldende garantier, idet det tas hensyn til arten, omfanget av og formålene med behandlingen eller kategoriene av behandling,
g.risikoene for de registrertes rettigheter og friheter og
h.de registrertes rett til å bli underrettet om begrensningen, med mindre dette kan skade formålet med begrensningen.

KAPITTEL IV Behandlingsansvarlig og databehandler

Avsnitt 1 Generelle forpliktelser

Artikkel 24.Den behandlingsansvarliges ansvar
1. Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov.
2. Dersom det står i et rimelig forhold til behandlingsaktivitetene, skal tiltakene nevnt i nr. 1 omfatte den behandlingsansvarliges iverksetting av egnede retningslinjer for vern av personopplysninger.
3. Overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 eller godkjente sertifiseringsmekanismer som nevnt i artikkel 42 kan brukes som en faktor for å påvise at den behandlingsansvarliges forpliktelser overholdes.
Artikkel 25.Innebygd personvern og personvern som standardinnstilling
1. Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene, behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter som behandlingen medfører, skal den behandlingsansvarlige, både på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen, og på tidspunktet for selve behandlingen, gjennomføre egnede tekniske og organisatoriske tiltak, f.eks. pseudonymisering, utformet med sikte på en effektiv gjennomføring av prinsippene for vern av personopplysninger, f.eks. dataminimering, og for å integrere de nødvendige garantier i behandlingen for å oppfylle kravene i denne forordning og verne de registrertes rettigheter.
2. Den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare er personopplysninger som er nødvendige for hvert spesifikke formål med behandlingen, som behandles. Nevnte forpliktelse får anvendelse på den mengden personopplysninger som samles inn, omfanget av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet. Nevnte tiltak skal særlig sikre at personopplysninger som standard ikke gjøres tilgjengelige for et ubegrenset antall fysiske personer uten den berørte personens medvirkning.
3. En godkjent sertifiseringsmekanisme i henhold til artikkel 42 kan brukes som en faktor for å påvise at kravene fastsatt i nr. 1 og 2 i denne artikkel overholdes.
Artikkel 26.Felles behandlingsansvarlige
1. Dersom to eller flere behandlingsansvarlige i fellesskap fastsetter formålene med og midlene for behandlingen, skal de være felles behandlingsansvarlige. De skal på en åpen måte fastsette sitt respektive ansvar for å overholde forpliktelsene i denne forordning, særlig med hensyn til utøvelse av den registrertes rettigheter og den plikt de har til å framlegge informasjonen nevnt i artikkel 13 og 14, ved hjelp av en ordning seg imellom, med mindre og i den grad de behandlingsansvarliges respektive ansvar er fastsatt i unionsretten eller medlemsstatenes nasjonale rett som de behandlingsansvarlige er underlagt. I ordningen kan det utpekes et kontaktpunkt for registrerte.
2. Ordningen nevnt i nr. 1 skal på behørig måte gjenspeile de felles behandlingsansvarliges respektive roller og forhold til de registrerte. Det vesentligste innholdet i ordningen skal gjøres tilgjengelig for den registrerte.
3. Uavhengig av vilkårene for ordningen nevnt i nr. 1 kan den registrerte utøve sine rettigheter i henhold til denne forordning med hensyn til og overfor hver av de behandlingsansvarlige.
Artikkel 27.Representanter for behandlingsansvarlige eller databehandlere som ikke er etablert i Unionen
1. Dersom artikkel 3 nr. 2 får anvendelse, skal den behandlingsansvarlige eller databehandleren skriftlig utpeke en representant i Unionen.
2. Forpliktelsen fastsatt i nr. 1 i denne artikkel får ikke anvendelse på
a.behandling som skjer leilighetsvis, som ikke omfatter behandling i stor skala av særlige kategorier av opplysninger som nevnt i artikkel 9 nr. 1, eller behandling av personopplysninger om straffedommer eller lovovertredelser som nevnt i artikkel 10, og som sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, eller
b.en offentlig myndighet eller et offentlig organ.
3. Representanten skal være etablert i en av medlemsstatene der de registrerte hvis personopplysninger behandles i forbindelse med tilbud av varer eller tjenester til dem eller hvis atferd monitoreres, befinner seg.
4. Den behandlingsansvarlige eller databehandleren skal gi representanten fullmakt til å være den, i tillegg til eller istedenfor den behandlingsansvarlige eller databehandleren, som især tilsynsmyndigheter og registrerte kan henvende seg til ved spørsmål om behandlingen, med henblikk på å sikre overholdelse av denne forordning.
5. Den behandlingsansvarliges eller databehandlerens utpeking av en representant skal ikke berøre eventuelle rettslige skritt mot den behandlingsansvarlige eller databehandleren selv.
Artikkel 28.Databehandler
1. Dersom en behandling skal utføres på vegne av en behandlingsansvarlig, skal den behandlingsansvarlige bare bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning og vern av den registrertes rettigheter.
2. Databehandleren skal ikke engasjere en annen databehandler uten at det på forhånd er innhentet særlig eller generell skriftlig tillatelse til dette fra den behandlingsansvarlige. Dersom det er innhentet en generell skriftlig tillatelse, skal databehandleren underrette den behandlingsansvarlige om eventuelle planer om å benytte andre databehandlere eller skifte ut databehandlere, og dermed gi den behandlingsansvarlige muligheten til å motsette seg slike endringer.
3. Behandling utført av en databehandler skal være underlagt en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett som er bindende for databehandleren med hensyn til den behandlingsansvarlige, og der gjenstanden for og varigheten av behandlingen, behandlingens art og formål, typen personopplysninger og kategorier av registrerte samt den behandlingsansvarliges rettigheter og plikter er fastsatt. I nevnte avtale eller nevnte andre rettslige dokument skal det særlig angis at databehandleren
a.behandler personopplysningene bare på dokumenterte instrukser fra den behandlingsansvarlige, herunder med hensyn til overføring av personopplysninger til en tredjestat eller en internasjonal organisasjon, med mindre det kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt; i så fall skal databehandleren underrette den behandlingsansvarlige om nevnte rettslige krav før behandlingen, men mindre denne rett av hensyn til viktige allmenne interesser forbyr en slik underretning,
b.sikrer at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene konfidensielt eller er underlagt en egnet lovfestet taushetsplikt,
c.treffer alle tiltak som er nødvendig i henhold til artikkel 32,
d.overholder vilkårene nevnt i nr. 2 og 4 når det gjelder å engasjere en annen databehandler,
e.idet det tas hensyn til behandlingens art og i den grad det er mulig, bistår, ved hjelp av egnede tekniske og organisatoriske tiltak, den behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i kapittel III,
f.bistår den behandlingsansvarlige med å sikre overholdelse av forpliktelsene i henhold til artikkel 32-36, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren,
g.etter den behandlingsansvarliges valg, sletter eller tilbakeleverer alle personopplysninger til den behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende kopier, med mindre unionsretten eller medlemsstatenes nasjonale rett krever at personopplysningene lagres,
h.gjør tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i denne artikkel er oppfylt, samt muliggjør og bidrar til revisjoner, herunder inspeksjoner, som gjennomføres av den behandlingsansvarlige eller en annen revisor på fullmakt fra den behandlingsansvarlige.

Når det gjelder første ledd bokstav h) skal databehandleren omgående underrette den behandlingsansvarlige dersom vedkommende mener at en instruks er i strid med denne forordning eller andre bestemmelser om vern av personopplysninger i unionsretten eller medlemsstatenes nasjonale rett.

4. Dersom en databehandler engasjerer en annen databehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal nevnte andre databehandler pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i avtalen eller i et annet rettslig dokument mellom den behandlingsansvarlige og databehandleren som nevnt i nr. 3, ved hjelp av en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett, der det særlig gis tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning. Dersom nevnte andre databehandler ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger, skal den opprinnelige databehandleren overfor den behandlingsansvarlige ha fullt ansvar for at nevnte andre databehandler oppfyller sine forpliktelser.
5. En databehandlers overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 eller en godkjent sertifiseringsmekanisme som nevnt i artikkel 42 kan brukes som en faktor for å påvise at det foreligger tilstrekkelige garantier som nevnt i nr. 1 og 4 i denne artikkel.
6. Uten at det berører en individuell avtale mellom den behandlingsansvarlige og databehandleren, kan avtalen eller det andre rettslige dokumentet nevnt i nr. 3 og 4 i denne artikkel helt eller delvis bygge på standardavtalevilkårene nevnt i nr. 7 og 8 i denne artikkel, herunder når de inngår i en sertifisering som er gitt den behandlingsansvarlige eller databehandleren i henhold til artikkel 42 og 43.
7. Kommisjonen kan fastsette standardavtalevilkår for tilfellene nevnt i nr. 3 og 4 i denne artikkel og i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.
8. En tilsynsmyndighet kan vedta standardavtalevilkår for tilfellene nevnt i nr. 3 og 4 i denne artikkel og i samsvar med konsistensmekanismen nevnt i artikkel 63.
9. Avtalen eller det andre rettslige dokumentet nevnt i nr. 3 og 4 skal være skriftlig, herunder elektronisk.
10. Dersom en databehandler overtrer bestemmelsene i denne forordning ved å fastsette formålene med og midlene for behandlingen, skal databehandleren anses for å være en behandlingsansvarlig med hensyn til nevnte behandling, uten at det berører artikkel 82, 83 og 84.
Artikkel 29.Behandling som utføres for den behandlingsansvarlige eller databehandleren

Databehandleren og enhver person som handler for den behandlingsansvarlige eller databehandleren, og som har tilgang til personopplysninger, skal behandle nevnte opplysninger bare etter instruks fra den behandlingsansvarlige, med mindre det kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett.

Artikkel 30.Protokoller over behandlingsaktiviteter
1. Hver behandlingsansvarlig og, dersom det er relevant, den behandlingsansvarliges representant skal føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar. Nevnte protokoll skal inneholde følgende informasjon:
a.navnet på og kontaktopplysningene til den behandlingsansvarlige og, dersom det er relevant, den felles behandlingsansvarlige, den behandlingsansvarliges representant og personvernombudet,
b.formålene med behandlingen,
c.en beskrivelse av kategoriene av registrerte og kategoriene av personopplysninger,
d.kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, herunder mottakere i tredjestater eller internasjonale organisasjoner,
e.dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier,
f.dersom det er mulig, de planlagte tidsfristene for sletting av de forskjellige kategoriene av opplysninger,
g.dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.
2. Hver databehandler og, dersom det er relevant, databehandlerens representant skal føre en protokoll over alle kategorier av behandlingsaktiviteter som er utført på vegne av en behandlingsansvarlig, og som skal inneholde:
a.navnet på og kontaktopplysningene til databehandleren eller databehandlerne og til hver behandlingsansvarlig som databehandleren opptrer på vegne av, samt, dersom det er relevant, den behandlingsansvarliges eller databehandlerens representant og personvernombudet,
b.kategoriene av behandling utført på vegne av hver behandlingsansvarlig,
c.dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier,
d.dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.
3. Protokollene nevnt i nr. 1 og 2 skal være skriftlige, herunder elektroniske.
4. Den behandlingsansvarlige eller databehandleren og, dersom det er relevant, den behandlingsansvarliges eller databehandlerens representant skal på anmodning gjøre protokollen tilgjengelig for tilsynsmyndigheten.
5. Forpliktelsene nevnt i nr. 1 og 2 gjelder ikke et foretak eller en organisasjon med færre enn 250 ansatte, med mindre behandlingen det/den utfører, sannsynligvis vil medføre en risiko for de registrertes rettigheter og friheter, behandlingen ikke skjer leilighetsvis eller omfatter særlige kategorier av opplysninger som nevnt i artikkel 9 nr. 1 eller personopplysninger om straffedommer og lovovertredelser nevnt i artikkel 10.
Artikkel 31.Samarbeid med tilsynsmyndigheten

Den behandlingsansvarlige og databehandleren og, dersom det er relevant, deres representanter skal på anmodning samarbeide med tilsynsmyndigheten i forbindelse med utførelsen av dens oppgaver.

Avsnitt 2 Personopplysningssikkerhet

Artikkel 32.Sikkerhet ved behandlingen
1. Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder blant annet, alt etter hva som er egnet,
a.pseudonymisering og kryptering av personopplysninger,
b.evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene,
c.evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse,
d.en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.
2. Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.
3. Overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 eller en godkjent sertifiseringsmekanisme som nevnt i artikkel 42 kan brukes som en faktor for å påvise at kravene i nr. 1 i denne artikkel er oppfylt.
4. Den behandlingsansvarlige og databehandleren skal treffe tiltak for å sikre at enhver fysisk person som handler for den behandlingsansvarlige eller databehandleren, og som har tilgang til personopplysninger, behandler nevnte opplysninger bare etter instruks fra den behandlingsansvarlige, med mindre unionsretten eller medlemsstatenes nasjonale rett krever at vedkommende gjør dette.
Artikkel 33.Melding til tilsynsmyndigheten om brudd på personopplysningssikkerheten
1. Ved brudd på personopplysningssikkerheten skal den behandlingsansvarlige uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet til vedkommende tilsynsmyndighet i samsvar med artikkel 55, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom bruddet ikke meldes til tilsynsmyndigheten innen 72 timer, skal årsakene til forsinkelsen oppgis.
2. Etter å ha fått kjennskap til et brudd på personopplysningssikkerheten skal databehandleren uten ugrunnet opphold underrette den behandlingsansvarlige.
3. Meldingen nevnt i nr. 1 skal minst
a.beskrive arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt,
b.inneholde navnet på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes,
c.beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,
d.beskrive de tiltak som den behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.
4. Dersom og i den grad det ikke er mulig å gi all informasjon samtidig, kan den gis trinnvis uten ytterligere ugrunnet opphold.
5. Den behandlingsansvarlige skal dokumentere ethvert brudd på personopplysningssikkerheten, herunder de faktiske forhold rundt nevnte brudd, virkningene av det og hvilke tiltak som er truffet for å utbedre det. Denne dokumentasjonen skal gjøre det mulig for tilsynsmyndigheten å kontrollere samsvar med denne artikkel.
Artikkel 34.Underretning av den registrerte om brudd på personopplysningssikkerheten
1. Dersom det er sannsynlig at bruddet på personopplysningssikkerheten vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige uten ugrunnet opphold underrette den registrerte om bruddet.
2. Underretningen til den registrerte nevnt i nr. 1 i denne artikkel skal inneholde en klar og tydelig beskrivelse av arten av bruddet på personopplysningssikkerheten og minst informasjonen og tiltakene nevnt i artikkel 33 nr. 3 bokstav b), c) og d).
3. Underretningen til den registrerte nevnt i nr. 1 er ikke påkrevd dersom noen av følgende vilkår er oppfylt:
a.den behandlingsansvarlige har gjennomført egnede tekniske og organisatoriske sikkerhetstiltak, og disse tiltakene er blitt anvendt på personopplysningene som er berørt av bruddet på personopplysningssikkerheten, særlig tiltak som gjør personopplysningene uleselige for enhver person som ikke har autorisert tilgang til dem, f.eks. kryptering,
b.den behandlingsansvarlige har truffet etterfølgende tiltak som sikrer at det ikke lenger er sannsynlig at den høye risikoen for de registrertes rettigheter og friheter nevnt i nr. 1 vil oppstå,
c.det vil innebære en uforholdsmessig stor innsats. Dersom dette er tilfellet, skal allmennheten isteden underrettes, eller det skal treffes et lignende tiltak som sikrer at de registrerte underrettes på en like effektiv måte.
4. Dersom den behandlingsansvarlige ikke allerede har underrettet den registrerte om bruddet på personopplysningssikkerheten, kan tilsynsmyndigheten, etter å ha vurdert sannsynligheten for at bruddet vil medføre en høy risiko, kreve at den behandlingsansvarlige gjør dette, eller beslutte at ett eller flere av vilkårene nevnt i nr. 3 er oppfylt.

Avsnitt 3 Vurdering av personvernkonsekvenser og forhåndsdrøftinger

Artikkel 35.Vurdering av personvernkonsekvenser
1. Dersom det er sannsynlig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet. En vurdering kan omfatte flere lignende behandlingsaktiviteter som innebærer tilsvarende høye risikoer.
2. Den behandlingsansvarlige skal rådføre seg med personvernombudet, dersom et personvernombud er utpekt, i forbindelse med utførelsen av en vurdering av personvernkonsekvenser.
3. En vurdering av personvernkonsekvenser som nevnt i nr. 1 skal særlig være nødvendig i følgende tilfeller:
a.en systematisk og omfattende vurdering av personlige aspekter ved fysiske personer som er basert på automatisert behandling, herunder profilering, og som danner grunnlag for avgjørelser som har rettsvirkning for den fysiske personen eller på lignende måte i betydelig grad påvirker den fysiske personen,
b.behandling i stor skala av særlige kategorier av opplysninger som nevnt i artikkel 9 nr. 1, eller av personopplysninger om straffedommer og lovovertredelser som nevnt i artikkel 10, eller
c.en systematisk overvåking i stor skala av et offentlig tilgjengelig område.
4. Tilsynsmyndigheten skal utarbeide og offentliggjøre en liste over hvilke typer behandlingsaktiviteter som omfattes av kravet om vurdering av personvernkonsekvenser i henhold til nr. 1. Tilsynsmyndigheten skal oversende nevnte lister til Personvernrådet nevnt i artikkel 68.
5. Tilsynsmyndigheten kan også utarbeide og offentliggjøre en liste over hvilke typer behandlingsaktiviteter det ikke kreves at det utføres en vurdering av personvernkonsekvenser for. Tilsynsmyndigheten skal oversende nevnte lister til Personvernrådet.
6. Før listene nevnt i nr. 4 og 5 godkjennes, skal vedkommende tilsynsmyndighet anvende konsistensmekanismen nevnt i artikkel 63 dersom slike lister omfatter behandlingsaktiviteter som gjelder tilbud av varer eller tjenester til registrerte eller monitorering av deres atferd i flere medlemsstater, eller som i betydelig grad kan påvirke den frie utveksling av personopplysninger i Unionen.
7. Vurderingen skal minst inneholde
a.en systematisk beskrivelse av de planlagte behandlingsaktivitetene og formålene med behandlingen, herunder, dersom det er relevant, den berettigede interessen som forfølges av den behandlingsansvarlige,
b.en vurdering av om behandlingsaktivitetene er nødvendige og står i et rimelig forhold til formålene,
c.en vurdering av risikoene for de registrertes rettigheter og friheter som nevnt i nr. 1, og
d.de planlagte tiltakene for å håndtere risikoene, herunder garantier, sikkerhetstiltak og mekanismer for å sikre vern av personopplysninger og for å påvise at denne forordning overholdes, idet det tas hensyn til de registrertes og andre berørte personers rettigheter og berettigede interesser.
8. Det skal tas behørig hensyn til de berørte behandlingsansvarliges eller databehandleres overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 ved vurderingen av konsekvensene av behandlingsaktivitetene som utføres av nevnte behandlingsansvarlige eller databehandlere, særlig med henblikk på en vurdering av personvernkonsekvenser.
9. Dersom det er relevant, skal den behandlingsansvarlige innhente synspunkter på den planlagte behandlingen fra de registrerte eller deres representanter uten at det berører vernet av kommersielle eller allmenne interesser eller sikkerheten ved behandlingsaktivitetene.
10. Dersom behandling i henhold til artikkel 6 nr. 1 bokstav c) eller e) har et rettslig grunnlag i unionsretten eller retten i medlemsstaten som den behandlingsansvarlige er underlagt, og nevnte rett regulerer den eller de aktuelle spesifikke behandlingsaktivitetene, og det allerede er utført en vurdering av personvernkonsekvenser som en del av en generell konsekvensvurdering i forbindelse med vedtakelse av nevnte rettslige grunnlag, får nr. 1-7 ikke anvendelse, med mindre medlemsstatene anser det nødvendig å utføre en slik vurdering før behandlingsaktivitetene.
11. Ved behov skal den behandlingsansvarlige foreta en gjennomgåelse for å vurdere om behandlingen utføres i samsvar med vurderingen av personvernkonsekvenser, i det minste dersom risikoen som behandlingen medfører, endres.
Artikkel 36.Forhåndsdrøftinger
1. Den behandlingsansvarlige skal rådføre seg med tilsynsmyndigheten før behandlingen dersom en vurdering av personvernkonsekvenser i henhold til artikkel 35 tilsier at behandlingen vil medføre en høy risiko dersom den behandlingsansvarlige ikke treffer tiltak for å redusere risikoen.
2. Dersom tilsynsmyndigheten mener at den planlagte behandlingen nevnt i nr. 1 vil være i strid med denne forordning, særlig dersom den behandlingsansvarlige ikke i tilstrekkelig grad har identifisert eller redusert risikoen, skal tilsynsmyndigheten innen en frist på opptil åtte uker fra mottak av anmodningen om drøftinger, gi den behandlingsansvarlige og, dersom det er relevant, databehandleren skriftlige råd, og kan i den forbindelse benytte den myndighet den har i henhold til artikkel 58. Denne fristen kan forlenges med seks uker, idet det tas hensyn til den planlagte behandlingens kompleksitet. Tilsynsmyndigheten skal underrette den behandlingsansvarlige og, dersom det er relevant, databehandleren om en eventuell forlengelse, sammen med årsakene til dette, senest én måned etter å ha mottatt anmodningen om drøftinger. Disse fristene kan utsettes midlertidig fram til tilsynsmyndigheten har innhentet informasjonen den har anmodet i forbindelse med drøftingene.
3. Ved drøftinger med tilsynsmyndigheten i henhold til nr. 1 skal den behandlingsansvarlige framlegge det følgende for tilsynsmyndigheten:
a.dersom det er relevant, ansvarsfordelingen mellom den behandlingsansvarlige, de felles behandlingsansvarlige og databehandlerne som er involvert i behandlingen, særlig ved behandling i et konsern,
b.formålene med og midlene for den planlagte behandlingen,
c.tiltakene og garantiene som er fastsatt for å verne de registrertes rettigheter og friheter i henhold til denne forordning,
d.dersom det er relevant, kontaktopplysningene til personvernombudet,
e.vurderingen av personvernkonsekvenser fastsatt i artikkel 35 og
f.all annen informasjon som tilsynsmyndigheten anmoder om.
4. Medlemsstatene skal rådføre seg med tilsynsmyndigheten ved utarbeiding av forslag til lovgivning som skal vedtas av et nasjonalt parlament, eller av et reguleringstiltak som er basert på slik lovgivning, og som er knyttet til behandling.
5. Uten hensyn til nr. 1 kan det i medlemsstatenes nasjonale rett kreves at de behandlingsansvarlige skal rådføre seg med og innhente forhåndsgodkjenning fra tilsynsmyndigheten i forbindelse med en oppgave som utføres av en behandlingsansvarlig i allmennhetens interesse, herunder knyttet til sosial trygghet og folkehelse.

Avsnitt 4 Personvernombud

Artikkel 37.Utpeking av et personvernombud
1. Den behandlingsansvarlige og databehandleren skal utpeke et personvernombud når
a.behandlingen utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som opptrer innenfor rammen av sin domsmyndighet,
b.den behandlingsansvarliges eller databehandlerens kjernevirksomhet består av behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller
c.den behandlingsansvarliges eller databehandlerens kjernevirksomhet består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9 eller personopplysninger om straffedommer og lovovertredelser som nevnt i artikkel 10.
2. Et konsern kan utnevne ett personvernombud, forutsatt at alle virksomhetene har enkel tilgang til vedkommende.
3. Dersom den behandlingsansvarlige eller databehandleren er en offentlig myndighet eller et offentlig organ, kan det utpekes ett personvernombud for flere av nevnte myndigheter eller organer, idet det tas hensyn til deres organisasjonsstruktur og størrelse.
4. I andre tilfeller enn dem nevnt i nr. 1 kan eller, dersom det kreves i unionsretten eller i medlemsstatenes nasjonale rett, skal den behandlingsansvarlige eller databehandleren eller sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, utpeke et personvernombud. Personvernombudet kan handle på vegne av nevnte sammenslutninger og andre organer som representerer behandlingsansvarlige eller databehandlere.
5. Personvernombudet skal utpekes på grunnlag av faglige kvalifikasjoner og særlig på grunnlag av dybdekunnskap om personvernlovgivning og praksis på området samt evne til å utføre oppgavene nevnt i artikkel 39.
6. Personvernombudet kan være en ansatt hos den behandlingsansvarlige eller databehandleren eller utføre oppgavene på grunnlag av en tjenesteavtale.
7. Den behandlingsansvarlige eller databehandleren skal offentliggjøre kontaktopplysningene til personvernombudet og meddele disse til tilsynsmyndigheten.
Artikkel 38.Personvernombudets stilling
1. Den behandlingsansvarlige og databehandleren skal sikre at personvernombudet på riktig måte og i rett tid involveres i alle spørsmål som gjelder vern av personopplysninger.
2. Den behandlingsansvarlige og databehandleren skal støtte personvernombudet i forbindelse med utførelsen av oppgavene nevnt i artikkel 39 ved å stille til rådighet de ressurser som er nødvendig for å utføre nevnte oppgaver, samt gi tilgang til personopplysninger og behandlingsaktiviteter og gjøre det mulig for vedkommende å opprettholde sin dybdekunnskap.
3. Den behandlingsansvarlige og databehandleren skal sikre at personvernombudet ikke mottar instrukser om utførelsen av nevnte oppgaver. Vedkommende skal ikke avsettes eller straffes av den behandlingsansvarlige eller databehandleren for å utføre sine oppgaver. Personvernombudet skal rapportere direkte til det høyeste ledelsesnivået hos den behandlingsansvarlige eller databehandleren.
4. De registrerte kan kontakte personvernombudet angående alle spørsmål om behandling av deres personopplysninger og om utøvelsen av de rettighetene de har i henhold til denne forordning.
5. Personvernombudet skal være bundet av taushetsplikt eller en plikt til konfidensiell behandling av opplysninger ved utførelse av sine oppgaver i samsvar med unionsretten eller medlemsstatenes nasjonale rett.
6. Personvernombudet kan utføre andre oppgaver og ha andre plikter. Den behandlingsansvarlige eller databehandleren skal sikre at nevnte oppgaver eller plikter ikke fører til en interessekonflikt.
Artikkel 39.Personvernombudets oppgaver
1. Personvernombudet skal minst ha følgende oppgaver:
a.informere og gi råd til den behandlingsansvarlige eller databehandleren og de ansatte som utfører behandlingen, om de forpliktelsene de har i henhold til denne forordning, og i henhold til andre av Unionens eller medlemsstatenes bestemmelser om vern av personopplysninger,
b.kontrollere overholdelsen av denne forordning, av andre av Unionens eller medlemsstatenes personvernregler og den behandlingsansvarliges eller databehandlerens personvernretningslinjer, herunder fordeling av ansvar, holdningsskapende tiltak og opplæring av personellet som er involvert i behandlingsaktivitetene, og tilhørende revisjoner,
c.på anmodning gi råd om vurderingen av personvernkonsekvenser og kontrollere gjennomføringen av den i henhold til artikkel 35,
d.samarbeide med tilsynsmyndigheten,
e.fungere som kontaktpunkt for tilsynsmyndigheten ved spørsmål om behandlingen, herunder forhåndsdrøftingene nevnt i artikkel 36, og ved behov rådføre seg med tilsynsmyndigheten om eventuelle andre spørsmål.
2. Personvernombudet skal ved utførelsen av sine oppgaver ta behørig hensyn til risikoene forbundet med behandlingsaktivitetene, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i.

Avsnitt 5 Atferdsnormer og sertifisering

Artikkel 40.Atferdsnormer
1. Medlemsstatene, tilsynsmyndighetene, Personvernrådet og Kommisjonen skal oppmuntre til at det utarbeides atferdsnormer som skal bidra til riktig anvendelse av denne forordning, idet det tas hensyn til de særlige forholdene i de forskjellige behandlingssektorene og de særlige behovene til svært små, små og mellomstore bedrifter.
2. Sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, kan utarbeide atferdsnormer, eller endre eller utvide omfanget av slike regler, for å angi anvendelsen av denne forordning nærmere, f.eks. med hensyn til
a.rettferdig og åpen behandling,
b.de berettigede interessene som forfølges av behandlingsansvarlige i bestemte sammenhenger,
c.innsamling av personopplysninger,
d.pseudonymisering av personopplysninger,
e.informasjonen som gis allmennheten og de registrerte,
f.utøvelsen av registrertes rettigheter,
g.informasjonen som gis til barn, og vern av barn, samt måten samtykke fra de personer som har foreldreansvar for barn, innhentes på,
h.tiltakene og framgangsmåtene nevnt i artikkel 24 og 25 og tiltakene for å ivareta sikkerheten ved behandlingen nevnt i artikkel 32,
i.melding av brudd på personopplysningssikkerheten til tilsynsmyndigheter og underretning av registrerte om nevnte brudd,
j.overføring av personopplysninger til tredjestater eller internasjonale organisasjoner eller
k.utenrettslige prosesser og andre mekanismer for tvisteløsning mellom behandlingsansvarlige og registrerte med hensyn til behandling, uten at det berører de registrertes rettigheter i henhold til artikkel 77 og 79.
3. Atferdsnormer som er godkjent i henhold til nr. 5 i denne artikkel, og som har allmenn gyldighet i henhold til nr. 9 i denne artikkel, kan, i tillegg til at behandlingsansvarlige eller databehandlere som omfattes av denne forordning, overholder dem, også overholdes av behandlingsansvarlige eller databehandlere som ikke omfattes av denne forordning i henhold til artikkel 3, med henblikk på å gi nødvendige garantier i forbindelse med overføring av personopplysninger til tredjestater eller internasjonale organisasjoner i henhold til vilkårene nevnt i artikkel 46 nr. 2 bokstav e). Nevnte behandlingsansvarlige eller databehandlere skal, gjennom avtaler eller andre rettslig bindende virkemidler, inngå bindende og håndhevbare forpliktelser om å anvende slike nødvendige garantier, herunder med hensyn til de registrertes rettigheter.
4. Atferdsnormene nevnt i nr. 2 i denne artikkel skal inneholde mekanismer som gjør det mulig for organet nevnt i artikkel 41 nr. 1 å utføre det obligatoriske tilsynet med at behandlingsansvarlige eller databehandlere som forplikter seg til å anvende atferdsnormene, overholder dem, uten at det berører oppgavene og myndigheten til tilsynsmyndighetene som har kompetanse i henhold til artikkel 55 eller 56.
5. Sammenslutninger og andre organer nevnt i nr. 2 i denne artikkel som har til hensikt å utarbeide atferdsnormer eller endre eller utvide eksisterende atferdsnormer, skal framlegge utkastet til, endringen eller utvidelsen av atferdsnormene for tilsynsmyndigheten som har kompetanse i henhold til artikkel 55. Tilsynsmyndigheten skal avgi uttalelse om hvorvidt utkastet til, endringen eller utvidelsen av atferdsnormene oppfyller kravene i denne forordning, og skal godkjenne nevnte utkast til, endring eller utvidelse av atferdsnormene dersom den finner at de inneholder tilstrekkelige og nødvendige garantier.
6. Dersom utkastet til, endringen eller utvidelsen av atferdsnormene godkjennes i samsvar med nr. 5, og dersom de berørte atferdsnormene ikke gjelder behandlingsaktiviteter i flere medlemsstater, skal tilsynsmyndigheten registrere og offentliggjøre atferdsnormene.
7. Dersom et utkast til atferdsnormer gjelder behandlingsaktiviteter i flere medlemsstater, skal tilsynsmyndigheten som har kompetanse i henhold til artikkel 55, før utkastet til, endringen eller utvidelsen av atferdsnormene godkjennes, oversende dem i henhold til framgangsmåten nevnt i artikkel 63 til Personvernrådet, som skal avgi uttalelse om hvorvidt utkastet til, endringen eller utvidelsen av atferdsnormene oppfyller kravene i denne forordning eller, i tilfellet nevnt i nr. 3 i denne artikkel, inneholder nødvendige garantier.
8. Dersom uttalelsen nevnt i nr. 7 bekrefter at utkastet til, endringen eller utvidelsen av atferdsnormene er i samsvar med denne forordning eller, i tilfellet nevnt i nr. 3, inneholder nødvendige garantier, skal Personvernrådet framlegge sin uttalelse for Kommisjonen.
9. Kommisjonen kan ved hjelp av gjennomføringsrettsakter beslutte at de godkjente atferdsnormene, endringen eller utvidelsen av dem som den har mottatt i henhold til nr. 8 i denne artikkel, har allmenn gyldighet i Unionen. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren fastsatt i artikkel 93 nr. 2.
10. Kommisjonen skal sørge for at de godkjente atferdsnormene som det er besluttet har allmenn gyldighet i samsvar med nr. 9, offentliggjøres på egnet måte.
11. Personvernrådet skal samle alle godkjente atferdsnormer, endringer og utvidelser av dem i et register, og skal gjøre dem offentlig tilgjengelig på egnet måte.
Artikkel 41.Kontroll av godkjente atferdsnormer
1. Uten at det berører vedkommende tilsynsmyndighets oppgaver og myndighet i henhold til artikkel 57 og 58, kan tilsynet med at atferdsnormene overholdes i henhold til artikkel 40 utføres av et organ med et egnet nivå av dybdekunnskap om temaet for atferdsnormene og som er akkreditert for dette formål av vedkommende tilsynsmyndighet.
2. Et organ som nevnt i nr. 1 kan akkrediteres til å føre tilsyn med overholdelsen av atferdsnormer dersom nevnte organ har
a.vist at det er uavhengig og har dybdekunnskap om temaet for atferdsnormene på en måte som oppfyller vedkommende tilsynsmyndighets krav,
b.fastsatt framgangsmåter som gjør det mulig å vurdere om berørte behandlingsansvarlige og databehandlere oppfyller vilkårene for anvendelse av atferdsnormene, føre tilsyn med at de overholdes og foreta regelmessige gjennomgåelser av atferdsnormenes virkemåte,
c.fastsatt framgangsmåter og rutiner for behandling av klager på overtredelser av atferdsnormene eller måten de er blitt eller blir gjennomført på av den behandlingsansvarlige eller databehandleren, og gjøre nevnte framgangsmåter og rutiner åpne for de registrerte og allmennheten, og
d.vist, på en måte som oppfyller vedkommende tilsynsmyndighets krav, at oppgavene eller pliktene ikke fører til en interessekonflikt.
3. Vedkommende tilsynsmyndighet skal legge fram et utkast til kravene for akkreditering av et organ som nevnt i nr. 1 i denne artikkel for Personvernrådet i henhold til konsistensmekanismen nevnt i artikkel 63.
4. Uten at det berører vedkommende tilsynsmyndighets oppgaver og myndighet og bestemmelsene i kapittel VIII, skal et organ som nevnt i nr. 1 i denne artikkel, under forutsetning av nødvendige garantier, treffe egnede tiltak i tilfelle en behandlingsansvarlig eller databehandler ikke overholder atferdsnormene, herunder suspendere eller utelukke den berørte behandlingsansvarlige eller databehandleren fra atferdsnormene. Det skal underrette vedkommende tilsynsmyndighet om nevnte tiltak og årsakene til at de er truffet.
5. Vedkommende tilsynsmyndighet skal tilbakekalle akkrediteringen av et organ som nevnt i nr. 1 dersom kravene for akkreditering ikke eller ikke lenger oppfylles, eller dersom tiltak som er truffet av organet, er i strid med bestemmelsene i denne forordning.
6. Denne artikkel får ikke anvendelse på behandling utført av offentlige myndigheter og organer.
Artikkel 42.Sertifisering
1. Medlemsstatene, tilsynsmyndighetene, Personvernrådet og Kommisjonen skal, særlig på unionsplan, oppmuntre til at det opprettes mekanismer for personvernsertifisering samt personvernsegl og -merker med det som mål å påvise at de behandlingsansvarliges og databehandlernes behandlingsaktiviteter oppfyller kravene i denne forordning. Det skal tas hensyn til de særlige behovene til svært små, små og mellomstore bedrifter.
2. Mekanismer for personvernsertifisering, personvernsegl eller -merker som er godkjent i henhold til nr. 5 i denne artikkel, kan, i tillegg til at de overholdes av behandlingsansvarlige eller databehandlere som omfattes av denne forordning, fastsettes med det formål å påvise at det foreligger nødvendige garantier gitt av behandlingsansvarlige eller databehandlere som ikke omfattes av denne forordning i henhold til artikkel 3, i forbindelse med overføring av personopplysninger til tredjestater eller internasjonale organisasjoner på vilkårene nevnt i artikkel 46 nr. 2 bokstav f). Nevnte behandlingsansvarlige eller databehandlere skal, gjennom avtaler eller andre rettslig bindende virkemidler, inngå bindende og håndhevbare forpliktelser om å anvende nevnte nødvendige garantier, herunder for å ivareta de registrertes rettigheter.
3. Sertifiseringen skal være frivillig og tilgjengelig gjennom en åpen prosess.
4. En sertifisering i henhold til denne artikkel begrenser ikke den behandlingsansvarliges eller databehandlerens ansvar for å oppfylle kravene i denne forordning, og berører ikke oppgavene og myndigheten til tilsynsmyndighetene som har kompetanse i henhold til artikkel 55 eller 56.
5. En sertifisering i henhold til denne artikkel skal utstedes av sertifiseringsorganene nevnt i artikkel 43 eller av vedkommende tilsynsmyndighet på grunnlag av kriterier som er godkjent av nevnte vedkommende myndighet i henhold til artikkel 58 nr. 3, eller av Personvernrådet i henhold til artikkel 63. Dersom kriteriene er godkjent av Personvernrådet, kan dette føre til en felles sertifisering – det europeiske personvernsegl.
6. Den behandlingsansvarlige eller databehandleren som forelegger sin behandling for sertifiseringsmekanismen, skal gi sertifiseringsorganet nevnt i artikkel 43 eller, dersom det er relevant, vedkommende tilsynsmyndighet all informasjon samt tilgang til de behandlingsaktivitetene som er nødvendig for å gjennomføre sertifiseringen.
7. Sertifiseringen skal utstedes til en behandlingsansvarlig eller databehandler for en periode på høyst tre år og kan fornyes på samme vilkår, forutsatt at relevante kriterier fortsatt er oppfylt. Sertifiseringen skal tilbakekalles av sertifiseringsorganene nevnt i artikkel 43 eller av vedkommende tilsynsmyndighet, etter hva som er relevant, dersom kriteriene for sertifisering ikke lenger er oppfylt.
8. Personvernrådet skal samle alle sertifiseringsmekanismer og personvernsegl og -merker i et register, og skal gjøre dem offentlig tilgjengelig på egnet måte.
Artikkel 43.Sertifiseringsorganer
1. Uten at det berører vedkommende tilsynsmyndigheters oppgaver og myndighet i henhold til artikkel 57 og 58, skal sertifiseringsorganer som har et egnet nivå av dybdekunnskap om vern av personopplysninger, etter å ha underrettet tilsynsmyndigheten slik at den kan utøve sin myndighet i henhold til artikkel 58 nr. 2 bokstav h) når det er nødvendig, utstede og fornye sertifiseringen. Medlemsstatene skal sikre at nevnte sertifiseringsorganer akkrediteres av en eller begge av følgende:
a.tilsynsmyndigheten som har kompetanse i henhold til artikkel 55 eller 56,
b.det nasjonale akkrediteringsorganet som er utpekt i samsvar med europaparlaments- og rådsforordning (EF) nr. 765/2008​1 i samsvar med EN-ISO/IEC 17065/2012, og med tilleggskravene fastsatt av tilsynsmyndigheten som har kompetanse i henhold til artikkel 55 eller 56.
2. Sertifiseringsorganer nevnt i nr. 1 skal akkrediteres i samsvar med nevnte nummer bare dersom de har
a.vist at de er uavhengige og har dybdekunnskap om sertifiseringens innhold på en måte som oppfyller vedkommende tilsynsmyndighets krav,
b.forpliktet seg til å overholde kriteriene nevnt i artikkel 42 nr. 5 og som er godkjent av tilsynsmyndigheten som har kompetanse i henhold til artikkel 55 eller 56, eller av Personvernrådet i henhold til artikkel 63,
c.fastsatt framgangsmåter for utstedelse, regelmessig gjennomgåelse og tilbakekalling av en personvernsertifisering og personvernsegl og -merker,
d.fastsatt framgangsmåter og rutiner for behandling av klager på overtredelser av sertifiseringen eller måten sertifiseringen er blitt eller blir gjennomført på av den behandlingsansvarlige eller databehandleren, og gjøre nevnte framgangsmåter og rutiner åpne for de registrerte og allmennheten, og
e.vist, på en måte som oppfyller vedkommende tilsynsmyndighets krav, at deres oppgaver og plikter ikke fører til en interessekonflikt.
3. Akkrediteringen av sertifiseringsorganer som nevnt i nr. 1 og 2 i denne artikkel skal skje på grunnlag av krav som er godkjent av tilsynsmyndigheten som har kompetanse i henhold til artikkel 55 eller 56, eller av Personvernrådet i henhold til artikkel 63. Ved akkreditering i henhold til nr. 1 bokstav b) i denne artikkel skal nevnte krav utfylle kravene fastsatt i forordning (EF) nr. 765/2008 og de tekniske reglene som beskriver sertifiseringsorganenes metoder og framgangsmåter.
4. Sertifiseringsorganene nevnt i nr. 1 skal ha ansvar for å utføre en egnet vurdering som fører til sertifisering eller tilbakekalling av nevnte sertifisering, uten at det berører den behandlingsansvarliges eller databehandlerens ansvar for å overholde kravene i denne forordning. Akkrediteringen skal utstedes for en periode på høyst fem år og kan fornyes på samme vilkår, forutsatt at sertifiseringsorganet oppfyller kravene i denne artikkel.
5. Sertifiseringsorganene nevnt i nr. 1 skal underrette vedkommende tilsynsmyndighet om årsakene til at sertifiseringen det er anmodet om, er utstedt eller tilbakekalt.
6. Kravene nevnt i nr. 3 i denne artikkel og kriteriene nevnt i artikkel 42 nr. 5 skal offentliggjøres av tilsynsmyndigheten i et lett tilgjengelig format. Tilsynsmyndighetene skal også oversende nevnte krav og kriterier til Personvernrådet.
7. Uten at det berører kapittel VIII, skal vedkommende tilsynsmyndighet eller det nasjonale akkrediteringsorganet trekke tilbake en akkreditering av et sertifiseringsorgan i henhold til nr. 1 i denne artikkel dersom vilkårene for akkrediteringen ikke eller ikke lenger overholdes, eller dersom tiltak truffet av sertifiseringsorganet er i strid med denne forordning.
8. Kommisjonen skal gis myndighet til å vedta delegerte rettsakter i samsvar med artikkel 92 for å fastsette de krav som skal tas i betraktning med henblikk på mekanismene for personvernsertifisering nevnt i artikkel 42 nr. 1.
9. Kommisjonen kan vedta gjennomføringsrettsakter der det fastsettes tekniske standarder for sertifiseringsmekanismer og personvernsegl og -merker, og mekanismer for å fremme og anerkjenne nevnte sertifiseringsmekanismer, segl og merker. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.
1Europaparlaments- og rådsforordning (EF) nr. 765/2008 av 9. juli 2008 om fastsettelse av kravene til akkreditering og markedstilsyn for markedsføring av produkter, og om oppheving av forordning (EØF) nr. 339/93 (EUT L 218 av 13.8.2008, s. 30).

KAPITTEL V Overføring av personopplysninger til tredjestater eller internasjonale organisasjoner

Artikkel 44.Generelt prinsipp for overføring

Enhver overføring av personopplysninger som behandles eller skal behandles etter overføring til en tredjestat eller til en internasjonal organisasjon, skal finne sted bare dersom den behandlingsansvarlige og databehandleren, med forbehold for de andre bestemmelsene i denne forordning, oppfyller vilkårene i dette kapittel, herunder for videreoverføring av personopplysninger fra tredjestaten eller en internasjonal organisasjon til en annen tredjestat eller en annen internasjonal organisasjon. Alle bestemmelser i dette kapittel skal få anvendelse for å sikre at det nivået for vern av fysiske personer som garanteres i denne forordning, ikke undergraves.

Artikkel 45.Overføringer på grunnlag av en beslutning om tilstrekkelig beskyttelsesnivå

1. Personopplysninger kan overføres til en tredjestat eller en internasjonal organisasjon når Kommisjonen har fastslått at tredjestaten, et territorium eller en eller flere angitte sektorer i nevnte tredjestat eller den aktuelle internasjonale organisasjonen sikrer et tilstrekkelig beskyttelsesnivå. En slik overføring skal ikke kreve en særlig godkjenning.
2. Ved vurderingen av om beskyttelsesnivå er tilstrekkelig skal Kommisjonen særlig ta hensyn til det følgende:
a.prinsippet om rettsstaten, respekt for menneskerettighetene og grunnleggende friheter, relevant lovgivning, både generell og sektorbestemt, herunder om offentlig sikkerhet, forsvar, nasjonal sikkerhet og strafferett og offentlige myndigheters tilgang til personopplysninger samt gjennomføring av nevnte lovgivning, regler om vern av personopplysninger, regler om yrkesutøvelse og sikkerhetstiltak, herunder regler om videreoverføring av personopplysninger til en annen tredjestat eller internasjonal organisasjon som gjelder i nevnte stat eller internasjonale organisasjon, rettspraksis samt effektive og håndhevbare rettigheter for de registrerte og rett til effektiv administrativ og rettslig prøving for de registrerte hvis personopplysninger overføres,
b.om det finnes en eller flere velfungerende, uavhengige tilsynsmyndigheter i tredjestaten eller som en internasjonal organisasjon er underlagt, med ansvar for å sikre og håndheve at reglene for vern av personopplysninger overholdes, herunder tilstrekkelig håndhevingsmyndighet, for å bistå og gi råd til de registrerte når de utøver sine rettigheter, og for samarbeid med tilsynsmyndighetene i medlemsstatene, og
c.de internasjonale forpliktelsene som den berørte tredjestaten eller den internasjonale organisasjonen har påtatt seg, eller andre forpliktelser som følger av rettslig bindende konvensjoner eller instrumenter og av tredjestatens eller organisasjonens deltaking i multilaterale eller regionale systemer, særlig i forbindelse med vern av personopplysninger.
3. Etter å ha vurdert om beskyttelsesnivået er tilstrekkelig, kan Kommisjonen ved hjelp av gjennomføringsrettsakter beslutte at en tredjestat, et territorium eller en eller flere angitte sektorer i en tredjestat eller en internasjonal organisasjon sikrer et tilstrekkelig beskyttelsesnivå i henhold til nr. 2 i denne artikkel. I gjennomføringsrettsaktene skal det fastsettes en mekanisme for regelmessig gjennomgåelse, som skal foretas minst hvert fjerde år, der det skal tas hensyn til all relevant utvikling i tredjestaten eller den internasjonale organisasjonen. I gjennomføringsrettsakten skal dens geografiske og sektorvise virkeområde angis samt, dersom det er relevant, den eller de tilsynsmyndigheter som er nevnt i nr. 2 bokstav b) i denne artikkel. Gjennomføringsrettsakten skal vedtas i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.
4. Kommisjonen skal fortløpende overvåke utviklingen i tredjestater og internasjonale organisasjoner som kan påvirke virkemåten til beslutninger truffet i henhold til nr. 3 i denne artikkel samt beslutninger truffet på grunnlag av artikkel 25 nr. 6 i direktiv 95/46/EF.
5. Når tilgjengelig informasjon, særlig etter gjennomgåelsen nevnt i nr. 3 i denne artikkel, viser at en tredjestat, et territorium eller en eller flere angitte sektorer i en tredjestat eller en internasjonal organisasjon ikke lenger sikrer et tilstrekkelig beskyttelsesnivå i henhold til nr. 2 i denne artikkel, skal Kommisjonen i det omfang som er nødvendig, oppheve, endre eller midlertidig oppheve beslutningen nevnt i nr. 3 i denne artikkel ved hjelp av gjennomføringsrettsakter uten tilbakevirkende kraft. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.

I behørig begrunnede, tvingende hastetilfeller skal Kommisjonen vedta gjennomføringsrettsakter med umiddelbar virkning i samsvar med prosedyren nevnt i artikkel 93 nr. 3.

6. Kommisjonen skal innlede samråd med tredjestaten eller den internasjonale organisasjonen med henblikk på å avhjelpe situasjonen som har gitt opphav til beslutningen truffet i henhold til nr. 5.
7. En beslutning i henhold til nr. 5 i denne artikkel berører ikke overføringer av personopplysninger til tredjestaten, et territorium eller en eller flere angitte sektorer i nevnte tredjestat eller den aktuelle internasjonale organisasjonen som utføres i henhold til artikkel 46-49.
8. Kommisjonen skal i Den europeiske unions tidende og på sitt nettsted offentliggjøre en liste over tredjestatene, territoriene og de angitte sektorene i en tredjestat samt internasjonale organisasjoner som den har fastslått ikke eller ikke lenger sikrer et tilstrekkelig beskyttelsesnivå.
9. Beslutninger truffet av Kommisjonen på grunnlag av artikkel 25 nr. 6 i direktiv 95/46/EF skal fortsette å gjelde fram til de endres, erstattes eller oppheves ved en kommisjonsbeslutning truffet i samsvar med nr. 3 eller 5 i denne artikkel.

Artikkel 46.Overføringer som omfattes av nødvendige garantier

1. Dersom det ikke foreligger en beslutning i henhold til artikkel 45 nr. 3, kan en behandlingsansvarlig eller databehandler overføre personopplysninger til en tredjestat eller en internasjonal organisasjon bare dersom den behandlingsansvarlige eller databehandleren har gitt nødvendige garantier, og under forutsetning av at de registrerte har håndhevbare rettigheter og effektive rettsmidler.
2. De nødvendige garantiene nevnt i nr. 1 kan uten krav om særlig godkjenning fra en tilsynsmyndighet sikres ved hjelp av
a.et rettslig bindende og håndhevbart instrument mellom offentlige myndigheter eller organer,
b.bindende virksomhetsregler i samsvar med artikkel 47,
c.standard personvernbestemmelser vedtatt av Kommisjonen i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2,
d.standard personvernbestemmelser vedtatt av en tilsynsmyndighet og godkjent av Kommisjonen i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2,
e.godkjente atferdsnormer i henhold til artikkel 40 sammen med bindende og håndhevbare forpliktelser for den behandlingsansvarlige eller databehandleren i tredjestaten om å anvende nødvendige garantier, herunder med hensyn til de registrertes rettigheter, eller
f.en godkjent sertifiseringsmekanisme i henhold til artikkel 42 sammen med bindende og håndhevbare forpliktelser for den behandlingsansvarlige eller databehandleren i tredjestaten om å anvende nødvendige garantier, herunder med hensyn til de registrertes rettigheter.
3. Forutsatt godkjenning fra vedkommende tilsynsmyndighet kan de nødvendige garantiene nevnt i nr. 1 også sikres, særlig ved hjelp av
a.avtalevilkår mellom den behandlingsansvarlige eller databehandleren og den behandlingsansvarlige, databehandleren eller mottakeren av personopplysninger i tredjestaten eller den internasjonale organisasjonen, eller
b.bestemmelser som skal innføres i administrative ordninger mellom offentlige myndigheter eller organer, og som omfatter håndhevbare og effektive rettigheter for de registrerte.
4. Tilsynsmyndigheten skal anvende konsistensmekanismen nevnt i artikkel 63 i tilfellene nevnt i nr. 3 i denne artikkel.
5. Godkjenninger gitt av en medlemsstat eller tilsynsmyndighet på grunnlag av artikkel 26 nr. 2 i direktiv 95/46/EF skal fortsette å gjelde fram til de ved behov endres, erstattes eller oppheves av nevnte tilsynsmyndighet. Beslutninger truffet av Kommisjonen på grunnlag av artikkel 26 nr. 4 i direktiv 95/46/EF skal fortsette å gjelde fram til de ved behov endres, erstattes eller oppheves ved en kommisjonsbeslutning truffet i samsvar med nr. 2 i denne artikkel.

Artikkel 47.Bindende virksomhetsregler

1. Vedkommende tilsynsmyndighet skal godkjenne bindende virksomhetsregler i samsvar med konsistensmekanismen fastsatt i artikkel 63, forutsatt at de
a.er rettslig bindende og får anvendelse på og håndheves av hvert berørte foretak i konsernet eller gruppen av foretak som utøver en felles økonomisk virksomhet, herunder deres ansatte,
b.uttrykkelig gir de registrerte håndhevbare rettigheter med hensyn til behandling av deres personopplysninger og
c.oppfyller kravene fastsatt i nr. 2.
2. De bindende virksomhetsreglene nevnt i nr. 1 skal minst angi
a.strukturen og kontaktopplysninger til konsernet eller gruppen av foretak som utøver en felles økonomisk virksomhet, og hvert av dets/dens medlemmer,
b.overføringene eller rekken av overføringer av opplysninger, herunder kategorier av personopplysninger, behandlingstype og -formål, typen av berørte registrerte samt angivelse av den aktuelle tredjestaten eller de aktuelle tredjestatene,
c.reglenes rettslig bindende art, både internt og eksternt,
d.anvendelsen av de allmenne prinsippene for vern av personopplysninger, særlig formålsbegrensning, dataminimering, begrenset lagringstid, datakvalitet, innebygd personvern og personvern som standardinnstilling, rettslig grunnlag for behandlingen, behandling av særlige kategorier av personopplysninger, tiltak for å ivareta datasikkerheten og krav med hensyn til videreoverføring til organer som ikke er bundet av de bindende virksomhetsreglene,
e.rettighetene til registrerte i forbindelse med behandlingen samt midler for å utøve nevnte rettigheter, herunder retten til ikke å være gjenstand for avgjørelser som utelukkende er truffet på grunnlag av automatisert behandling, herunder profilering i samsvar med artikkel 22, retten til å klage til vedkommende tilsynsmyndighet og til vedkommende domstoler i medlemsstatene i samsvar med artikkel 79 samt til å motta erstatning og, dersom det er relevant, godtgjøring for brudd på de bindende virksomhetsreglene,
f.at den behandlingsansvarlige eller databehandleren som er etablert på territoriet til en medlemsstat, påtar seg ansvaret dersom et berørt foretak som ikke er etablert i Unionen, bryter de bindende virksomhetsreglene; den behandlingsansvarlige eller databehandleren skal fritas for nevnte ansvar, helt eller delvis, bare dersom vedkommende beviser at nevnte foretak ikke er ansvarlig for hendelsen som forvoldte skaden,
g.hvordan informasjonen om de bindende virksomhetsreglene, særlig om bestemmelsene nevnt i bokstav d), e) og f) i dette nummer, gis til de registrerte i tillegg til informasjonen nevnt i artikkel 13 og 14,
h.oppgavene til et personvernombud som er utpekt i samsvar med artikkel 37, eller enhver annen person eller enhet med ansvar for å kontrollere at de bindende virksomhetsreglene overholdes i konsernet eller gruppen av foretak som utøver en felles økonomisk virksomhet, samt oppfølging av opplæring og håndtering av klager,
i.framgangsmåtene for å inngi klage,
j.mekanismene i konsernet eller gruppen av foretak som utøver en felles økonomisk virksomhet, for å kontrollere at de bindende virksomhetsreglene overholdes. Nevnte mekanismer skal omfatte personvernrevisjoner og metoder for å sikre korrigerende tiltak for å verne de registrertes rettigheter. Resultatene av en slik kontroll bør meddeles personen eller enheten nevnt i bokstav h) og styret i foretaket som utøver kontroll i et konsern, eller i gruppen av foretak som utøver en felles økonomisk virksomhet, og bør på anmodning være tilgjengelig for vedkommende tilsynsmyndighet,
k.mekanismene for rapportering og registrering av endringer i reglene og for rapportering av nevnte endringer til tilsynsmyndigheten,
l.mekanismene for samarbeid med tilsynsmyndigheten for å sikre at alle foretak i konsernet eller gruppen av foretak som utøver en felles økonomisk virksomhet, overholder reglene, særlig ved å gjøre resultatene av kontrollen av tiltakene nevnt i bokstav j) tilgjengelig for tilsynsmyndigheten,
m.mekanismene for rapportering til vedkommende tilsynsmyndighet av eventuelle lovfestede krav som et foretak i konsernet eller gruppen av foretak som utøver en felles økonomisk virksomhet, er underlagt i en tredjestat, og som sannsynligvis vil ha en betydelig negativ virkning på garantiene fastsatt i de bindende virksomhetsreglene, og
n.egnet opplæring om personvern for personell som har permanent eller regelmessig tilgang til personopplysninger.
3. Kommisjonen kan fastsette formatet og framgangsmåtene for utveksling av informasjon mellom behandlingsansvarlige, databehandlere og tilsynsmyndigheter om bindende virksomhetsregler som omhandlet i denne artikkel. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren fastsatt i artikkel 93 nr. 2.

Artikkel 48.Overføring eller utlevering som ikke er tillatt i henhold til unionsretten

Enhver dom avsagt av en domstol eller rett og ethvert vedtak gjort av en forvaltningsmyndighet i en tredjestat som krever at en behandlingsansvarlig eller databehandler skal overføre eller utlevere personopplysninger, kan bare anerkjennes eller håndheves dersom den/det bygger på en internasjonal avtale, f.eks. en traktat om gjensidig juridisk bistand mellom den anmodende tredjestat og Unionen eller en medlemsstat, uten at det berører andre grunner til overføring i henhold til dette kapittel.

Artikkel 49.Unntak for særlige situasjoner

1. Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå i henhold til artikkel 45 nr. 3 eller nødvendige garantier i henhold til artikkel 46, herunder bindende virksomhetsregler, skal en overføring eller en rekke av overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon bare finne sted på et av følgende vilkår:
a.den registrerte uttrykkelig har samtykket til den foreslåtte overføringen etter å ha blitt informert om de mulige risikoene nevnte overføringer kan innebære for vedkommende når det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå og nødvendige garantier,
b.overføringen er nødvendig for å oppfylle en avtale mellom den registrerte og den behandlingsansvarlige eller for å gjennomføre tiltak som treffes før avtaleinngåelse på den registrertes anmodning,
c.overføringen er nødvendig for å inngå eller oppfylle en avtale inngått i den registrertes interesse mellom den behandlingsansvarlige og en annen fysisk eller juridisk person,
d.overføringen er nødvendig av hensyn til viktige allmenne interesser,
e.overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav,
f.overføringen er nødvendig for å verne den registrertes eller andre personers vitale interesser i tilfeller der den registrerte fysisk eller juridisk ikke er i stand til å gi samtykke,
g.overføringen finner sted fra et register som i henhold til unionsretten eller medlemsstatenes nasjonale rett er beregnet på å gi informasjon til allmennheten, og som er tilgjengelig for allmennheten eller for enhver person som kan gjøre gjeldende en berettiget interesse, men bare i den utstrekning vilkårene for offentlig tilgjengelighet fastsatt i unionsretten eller medlemsstatenes nasjonale rett er oppfylt i det særskilte tilfellet.

Dersom en overføring ikke kan baseres på en bestemmelse i artikkel 45 eller 46, herunder bestemmelsene om bindende virksomhetsregler, og ingen av unntakene for særlige situasjoner nevnt i første ledd i dette nummer får anvendelse, kan en overføring til en tredjestat eller en internasjonal organisasjon finne sted bare dersom overføringen ikke er gjentakende, bare gjelder et begrenset antall registrerte, er nødvendig av hensyn til de tvingende berettigede interessene som forfølges av den behandlingsansvarlige, og den registrertes interesser eller rettigheter og friheter ikke går foran, og den behandlingsansvarlige har vurdert alle omstendigheter i forbindelse med overføringen og på grunnlag av nevnte vurdering har gitt nødvendige garantier med hensyn til vern av personopplysninger. Den behandlingsansvarlige skal underrette tilsynsmyndigheten om overføringen. I tillegg til informasjonen nevnt i artikkel 13 og 14 skal den behandlingsansvarlige underrette den registrerte om overføringen og om de tvingende berettigede interessene som forfølges.

2. En overføring i henhold til nr. 1 første ledd bokstav g) skal ikke omfatte alle personopplysningene eller hele kategorier av personopplysninger i registeret. Når registeret er ment å være tilgjengelig for personer som har en berettiget interesse i det, skal overføring bare skje på anmodning fra nevnte personer, eller dersom de selv skal være mottakere.
3. Nr. 1 første ledd bokstav a), b) og c) og nr. 1 annet ledd får ikke anvendelse på aktiviteter som utføres av offentlige myndigheter når de utøver offentlig myndighet.
4. De viktige allmenne interessene nevnt i nr. 1 første ledd bokstav d) skal anerkjennes i unionsretten eller nasjonal rett i medlemsstaten som den behandlingsansvarlige er underlagt.
5. Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, kan det i unionsretten eller medlemsstatenes nasjonale rett av hensyn til viktige allmenne interesser uttrykkelig fastsettes grenser for overføring av spesifikke kategorier av personopplysninger til en tredjestat eller en internasjonal organisasjon. Medlemsstatene skal underrette Kommisjonen om nevnte bestemmelser.
6. Den behandlingsansvarlige eller databehandleren skal dokumentere vurderingen og de nødvendige garantiene nevnt i nr. 1 annet ledd i denne artikkel i protokollene nevnt i artikkel 30.

Artikkel 50.Internasjonalt samarbeid om vern av personopplysninger

I forbindelse med tredjestater og internasjonale organisasjoner skal Kommisjonen og tilsynsmyndighetene treffe nødvendige tiltak for å

a.utvikle mekanismer for internasjonalt samarbeid for å fremme en effektiv håndheving av regelverket for vern av personopplysninger,
b.yte internasjonal gjensidig bistand ved håndheving av regelverket for vern av personopplysninger, herunder ved underretning, oversending av klager, etterforskningsbistand og informasjonsutveksling, tatt i betraktning nødvendige garantier for vern av personopplysninger og andre grunnleggende rettigheter og friheter,
c.trekke inn relevante berørte parter i drøftinger og aktiviteter som har som mål å fremme internasjonalt samarbeid om håndheving av regelverket for vern av personopplysninger,
d.fremme utveksling av og dokumentasjon på regelverket for vern av personopplysninger og praksis på området, herunder om kompetansekonflikter med tredjestater.

KAPITTEL VI Uavhengige tilsynsmyndigheter

Avsnitt 1 Uavhengig stilling

Artikkel 51.Tilsynsmyndighet
1. Hver medlemsstat skal sikre at en eller flere uavhengige offentlige myndigheter har ansvar for å føre tilsyn med anvendelsen av denne forordning for å verne fysiske personers grunnleggende rettigheter og friheter i forbindelse med behandling, og for å fremme den frie flyten av personopplysninger i Unionen («tilsynsmyndighet»).
2. Hver tilsynsmyndighet skal bidra til en ensartet anvendelse av denne forordning i hele Unionen. For dette formål skal tilsynsmyndighetene samarbeide med hverandre og med Kommisjonen i samsvar med kapittel VII.
3. Dersom mer enn én tilsynsmyndighet er etablert i en medlemsstat, skal nevnte medlemsstat utpeke en tilsynsmyndighet som skal representere disse myndighetene i Personvernrådet, og fastsette en mekanisme for å sikre at de andre myndighetene overholder reglene for konsistensmekanismen nevnt i artikkel 63.
4. Medlemsstatene skal senest 25. mai 2018 underrette Kommisjonen om de lovbestemmelser de vedtar i henhold til dette kapittel, og uten opphold om eventuelle senere endringer som påvirker dem.
Artikkel 52.Uavhengighet
1. Hver tilsynsmyndighet skal utføre sine oppgaver og utøve sin myndighet etter denne forordning i full uavhengighet.
2. Når medlemmet/medlemmene av hver tilsynsmyndighet utfører sine oppgaver og utøver sin myndighet i samsvar med denne forordning, skal de ikke utsettes for påvirkninger utenfra, verken direkte eller indirekte, og skal ikke anmode om eller motta instrukser fra noen.
3. Medlemmet/medlemmene av hver tilsynsmyndighet skal avstå fra enhver handling som ikke er forenlig med vedkommendes oppgaver, og skal så lenge utnevnelsesperioden varer, ikke utøve en uforenlig yrkesvirksomhet, verken lønnet eller ulønnet.
4. Hver medlemsstat skal sikre at hver tilsynsmyndighet har de menneskelige, tekniske og økonomiske ressurser og lokaler samt infrastruktur som er nødvendig for å kunne utføre sine oppgaver og utøve sin myndighet på en effektiv måte, herunder i forbindelse med gjensidig bistand, samarbeid og deltaking i Personvernrådet.
5. Hver medlemsstat skal sikre at hver tilsynsmyndighet velger og har sitt eget personell som utelukkende skal stå under ledelse av medlemmet/medlemmene av den berørte tilsynsmyndighet.
6. Hver medlemsstat skal sikre at hver tilsynsmyndighet er underlagt finansiell kontroll som ikke påvirker dens uavhengighet, og at den har separate, offentlige årsbudsjetter som kan være en del av det samlede statsbudsjettet eller nasjonalbudsjettet.
Artikkel 53.Generelle vilkår for medlemmer av tilsynsmyndigheten
1. Medlemsstatene skal ved hjelp av en åpen framgangsmåte sikre at hvert medlem av deres tilsynsmyndigheter utnevnes av
deres parlament,
deres regjering,
deres statsoverhode
eller et uavhengig organ som har fått ansvar for utnevnelsen i henhold til medlemsstatens nasjonale rett.
2. Hvert medlem skal ha de kvalifikasjoner, den erfaring og den kompetanse, særlig på området vern av personopplysninger, som er nødvendig for å utføre sine oppgaver og utøve sin myndighet.
3. Et medlems oppgaver opphører ved utløpet av utnevnelsesperioden, ved avgang eller ved avsettelse i samsvar med nasjonal rett i den berørte medlemsstat.
4. Et medlem kan bare avskjediges ved alvorlig forsømmelse eller dersom medlemmet ikke lenger oppfyller vilkårene for å utføre oppgavene.
Artikkel 54.Regler om opprettelse av tilsynsmyndigheten
1. Hver medlemsstat skal ved lov fastsette følgende:
a.opprettelse av hver tilsynsmyndighet,
b.de nødvendige kvalifikasjonene og utvelgelseskriteriene for å kunne bli utnevnt som medlem av en tilsynsmyndighet,
c.reglene om og framgangsmåtene for utnevnelse av medlemmet/medlemmene av hver tilsynsmyndighet,
d.varigheten av mandatet til medlemmet/medlemmene av hver tilsynsmyndighet, som skal være minst fire år, bortsett fra den første utnevnelsen etter 24. mai 2016, som kan ha kortere varighet dersom det er nødvendig for å sikre tilsynsmyndighetens uavhengighet ved hjelp av en trinnvis utnevnelsesprosess,
e.om mandatet til medlemmet/medlemmene av hver tilsynsmyndighet kan fornyes, og eventuelt hvor mange ganger,
f.de vilkår som gjelder for forpliktelsene til medlemmet/medlemmene av og personellet hos hver tilsynsmyndighet, forbud mot aktiviteter, yrkesvirksomhet og fordeler som er uforenlige med disse i og etter utnevnelsesperioden, samt regler om avslutning av arbeidsforholdet.
2. Medlemmet/medlemmene og personellet hos hver tilsynsmyndighet skal, i samsvar med unionsretten eller medlemsstatenes nasjonale rett, både i og etter utnevnelsesperioden være bundet av taushetsplikt med hensyn til eventuell konfidensiell informasjon de får kjennskap til under utførelsen av sine oppgaver eller utøvelsen av sin myndighet. I utnevnelsesperioden skal taushetsplikten særlig omfatte fysiske personers varsling om overtredelser av denne forordning.

Avsnitt 2 Kompetanse, oppgaver og myndighet

Artikkel 55.Kompetanse
1. Hver tilsynsmyndighet skal ha kompetanse til å utføre de oppgaver og utøve den myndighet den gis i samsvar med denne forordning, på sin medlemsstats territorium.
2. Dersom behandlingen utføres av offentlige myndigheter eller private organer som handler på grunnlag av artikkel 6 nr. 1 bokstav c) eller e), er det tilsynsmyndighetene i den berørte medlemsstaten som skal ha kompetanse. I slike tilfeller får artikkel 56 ikke anvendelse.
3. Tilsynsmyndigheter skal ikke ha kompetanse til å føre tilsyn med domstolers behandlingsaktiviteter når disse handler innenfor rammen av sin domsmyndighet.
Artikkel 56.Den ledende tilsynsmyndighets kompetanse
1. Uten at det berører artikkel 55, skal tilsynsmyndigheten for den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet ha kompetanse til å fungere som ledende tilsynsmyndighet i forbindelse med grenseoverskridende behandling som utføres av nevnte behandlingsansvarlig eller databehandler i samsvar med framgangsmåten fastsatt i artikkel 60.
2. Som unntak fra nr. 1 skal hver tilsynsmyndighet ha kompetanse til å behandle en mottatt klage eller en mulig overtredelse av denne forordning dersom klagens gjenstand bare gjelder en virksomhet i dens medlemsstat eller i vesentlig grad påvirker registrerte bare i dens medlemsstat.
3. I tilfellene nevnt i nr. 2 i denne artikkel skal tilsynsmyndigheten uten opphold underrette den ledende tilsynsmyndigheten om forholdet. Innen en frist på tre uker etter å ha mottatt underretning skal den ledende tilsynsmyndigheten beslutte om den skal behandle saken eller ikke i samsvar med framgangsmåten fastsatt i artikkel 60, idet det tas hensyn til hvorvidt den behandlingsansvarlige eller databehandleren har en virksomhet eller ikke i medlemsstaten til tilsynsmyndigheten som har gitt underretningen.
4. Dersom den ledende tilsynsmyndigheten beslutter å behandle saken, får framgangsmåten fastsatt i artikkel 60 anvendelse. Tilsynsmyndigheten som underrettet den ledende tilsynsmyndigheten, kan legge fram et utkast til avgjørelse for den ledende tilsynsmyndigheten. Den ledende tilsynsmyndigheten skal i størst mulig grad ta hensyn til nevnte utkast ved utarbeiding av utkastet til avgjørelse nevnt i artikkel 60 nr. 3.
5. Dersom den ledende tilsynsmyndigheten beslutter å ikke behandle saken, skal tilsynsmyndigheten som underrettet den ledende tilsynsmyndigheten, behandle saken i henhold til artikkel 61 og 62.
6. Den ledende tilsynsmyndigheten skal være den behandlingsansvarliges eller databehandlerens eneste kontaktpunkt i forbindelse med den grenseoverskridende behandlingen som utføres av nevnte behandlingsansvarlig eller databehandler.
Artikkel 57.Oppgaver
1. Uten at det berører andre oppgaver fastsatt i denne forordning, skal hver tilsynsmyndighet på sitt territorium
a.føre tilsyn med og håndheve anvendelsen av denne forordning,
b.fremme allmennhetens kjennskap til og forståelse for risikoer, regler, garantier og rettigheter i forbindelse med behandling. Aktiviteter rettet spesielt mot barn skal vies særlig oppmerksomhet,
c.rådgi, i samsvar med medlemsstatenes nasjonale rett, det nasjonale parlament, regjeringen og andre institusjoner og organer om lovgivning og administrative tiltak knyttet til vern av fysiske personers rettigheter og friheter ved behandling,
d.fremme de behandlingsansvarliges og databehandlernes kjennskap til de forpliktelsene de har i henhold til denne forordning,
e.på anmodning informere registrerte om utøvelse av de rettighetene de har i henhold til denne forordning og, dersom det er relevant, samarbeide med tilsynsmyndighetene i andre medlemsstater om dette,
f.behandle klager som er inngitt av en registrert eller et organ, en organisasjon eller en sammenslutning i samsvar med artikkel 80, og undersøke, i den grad det er hensiktsmessig, klagens gjenstand og underrette klageren om forløpet og utfallet av undersøkelsen innen en rimelig frist, særlig dersom det er behov for videre undersøkelse eller samordning med en annen tilsynsmyndighet,
g.samarbeide med andre tilsynsmyndigheter, herunder ved å utveksle informasjon og yte gjensidig bistand, for å sikre ensartet anvendelse og håndheving av denne forordning,
h.gjennomføre undersøkelser om anvendelsen av denne forordning, herunder på grunnlag av informasjon mottatt fra en annen tilsynsmyndighet eller en annen offentlig myndighet,
i.følge relevant utvikling, i den grad den har innvirkning på personvern, særlig utviklingen innen informasjons- og kommunikasjonsteknologi og handelspraksis,
j.vedta standardavtalevilkår som nevnt i artikkel 28 nr. 8 og artikkel 46 nr. 2 bokstav d),
k.opprette og vedlikeholde en liste i forbindelse med kravene til vurderingen av personvernkonsekvenser i henhold til artikkel 35 nr. 4,
l.gi råd om behandlingsaktivitetene nevnt i artikkel 36 nr. 2,
m.oppmuntre til utarbeiding av atferdsnormer i henhold til artikkel 40 nr. 1 og avgi uttalelse om og godkjenne slike atferdsnormer som gir tilstrekkelige garantier, i henhold til artikkel 40 nr. 5,
n.oppmuntre til innføring av mekanismer for personvernsertifisering samt personvernsegl og -merker i henhold til artikkel 42 nr. 1, og å godkjenne kriteriene for sertifisering i henhold til artikkel 42 nr. 5,
o.dersom det er relevant, foreta en regelmessig gjennomgåelse av sertifiseringene utstedt i samsvar med artikkel 42 nr. 7,
p.utarbeide et utkast til og offentliggjøre kravene for akkreditering av et organ med ansvar for tilsyn med atferdsnormer i henhold til artikkel 41 og et sertifiseringsorgan i henhold til artikkel 43,
q.foreta akkreditering av et organ med ansvar for overvåking av atferdsnormer i henhold til artikkel 41 og et sertifiseringsorgan i henhold til artikkel 43,
r.godkjenne avtalevilkår og bestemmelser som nevnt i artikkel 46 nr. 3,
s.godkjenne bindende virksomhetsregler i henhold til artikkel 47,
t.bidra i Personvernrådets arbeid,
u.føre interne registre over overtredelser av denne forordning og over tiltak som er truffet i samsvar med artikkel 58 nr. 2, og
v.utføre enhver annen oppgave knyttet til vern av personopplysninger.
2. Hver tilsynsmyndighet skal legge til rette for inngivelse av klager som nevnt i nr. 1 bokstav f) ved hjelp av tiltak som f.eks. et klageskjema som også kan fylles ut elektronisk, uten å utelukke andre kommunikasjonsmidler.
3. Oppgavene som hver tilsynsmyndighet utfører, skal være gratis for den registrerte og, dersom det er relevant, for personvernombudet.
4. Dersom anmodninger er åpenbart grunnløse eller overdrevne, især fordi de gjentas, kan tilsynsmyndigheten kreve et rimelig gebyr basert på administrasjonskostnadene, eller nekte å etterkomme anmodningen. Tilsynsmyndigheten skal bære bevisbyrden for at en anmodning er åpenbart grunnløs eller overdreven.
Artikkel 58.Myndighet
1. Hver tilsynsmyndighet skal ha følgende undersøkelsesmyndighet:
a.pålegge den behandlingsansvarlige og databehandleren og, dersom det er relevant, disses representant, å framlegge all informasjon den trenger for å kunne utføre sine oppgaver,
b.utføre undersøkelser i form av personvernrevisjoner,
c.foreta en gjennomgåelse av sertifiseringer utstedt i henhold til artikkel 42 nr. 7,
d.underrette den behandlingsansvarlige eller databehandleren om en påstått overtredelse av denne forordning,
e.få tilgang, fra den behandlingsansvarlige og databehandleren, til alle personopplysninger og all informasjon som er nødvendig for å kunne utføre oppgavene den er gitt,
f.få adgang til alle lokaler hos den behandlingsansvarlige eller databehandleren, herunder til alt databehandlingsutstyr og -midler, i samsvar med unionsretten eller medlemsstatenes prosessrett.
2. Hver tilsynsmyndighet skal ha myndighet til å beslutte følgende korrigerende tiltak:
a.utstede advarsler til en behandlingsansvarlig eller databehandler om at de planlagte behandlingsaktivitetene sannsynligvis er i strid med bestemmelsene i denne forordning,
b.utstede irettesettelser til en behandlingsansvarlig eller databehandler dersom behandlingsaktivitetene er i strid med bestemmelsene i denne forordning,
c.pålegge den behandlingsansvarlige eller databehandleren å imøtekomme den registrertes anmodninger om å utøve sine rettigheter i henhold til denne forordning,
d.pålegge den behandlingsansvarlige eller databehandleren å sørge for at behandlingsaktivitetene skjer i samsvar med bestemmelsene i denne forordning og, dersom det er relevant, på en bestemt måte og innen en bestemt frist,
e.pålegge den behandlingsansvarlige å underrette den registrerte om brudd på personopplysningssikkerheten,
f.innføre en midlertidig eller varig begrensning av, herunder et forbud mot, behandling,
g.pålegge retting eller sletting av personopplysninger eller begrensning av behandlingen i henhold til artikkel 16, 17 og 18 og underretning av mottakere som personopplysningene er utlevert til i henhold til artikkel 17 nr. 2 og artikkel 19, om nevnte tiltak,
h.trekke tilbake en sertifisering eller pålegge sertifiseringsorganet å trekke tilbake en sertifisering utstedt i henhold til artikkel 42 og 43, eller pålegge sertifiseringsorganet å ikke utstede sertifisering dersom kravene til sertifisering ikke lenger er oppfylt,
i.ilegge overtredelsesgebyrer i henhold til artikkel 83 i tillegg til, eller i stedet for, tiltak som det vises til i dette nummer, avhengig av omstendighetene i hvert enkelt tilfelle,
j.gi påbud om et midlertidig opphold i datastrømmene til en mottaker i en tredjestat eller til en internasjonal organisasjon.
3. Hver tilsynsmyndighet skal ha følgende myndighet til å godkjenne og gi råd:
a.rådgi den behandlingsansvarlige i samsvar med framgangsmåten for forhåndsdrøftinger nevnt i artikkel 36,
b.avgi uttalelse, på eget initiativ eller på anmodning, til det nasjonale parlamentet, medlemsstatens regjering eller, i samsvar med medlemsstatenes nasjonale rett, til andre institusjoner og organer samt allmennheten om eventuelle spørsmål knyttet til vern av personopplysninger,
c.godkjenne behandlingen nevnt i artikkel 36 nr. 5 dersom det i medlemsstatens nasjonale rett kreves slik forhåndsgodkjenning,
d.avgi uttalelse om og godkjenne utkast til atferdsnormer i henhold til artikkel 40 nr. 5,
e.akkreditere sertifiseringsorganer i henhold til artikkel 43,
f.utstede sertifiseringer og godkjenne kriterier for sertifisering i samsvar med artikkel 42 nr. 5,
g.vedta standard personvernbestemmelser nevnt i artikkel 28 nr. 8 og i artikkel 46 nr. 2 bokstav d),
h.godkjenne avtalevilkår som nevnt i artikkel 46 nr. 3 bokstav a),
i.godkjenne administrative ordninger som nevnt i artikkel 46 nr. 3 bokstav b),
j.godkjenne bindende virksomhetsregler i henhold til artikkel 47.
4. Utøvelse av den myndighet som tilsynsmyndigheten gis i henhold til denne artikkel, skal være underlagt nødvendige garantier, herunder effektive rettsmidler og rettferdig rettergang, fastsatt i unionsretten og medlemsstatenes nasjonale rett i samsvar med pakten.
5. Hver medlemsstat skal ved lov fastsette at dens tilsynsmyndighet skal ha myndighet til å opplyse rettshåndhevende myndigheter om overtredelser av denne forordning og, der det er relevant, til å innlede eller på annen måte opptre i rettssaker med det som mål å håndheve bestemmelsene i denne forordning.
6. Hver medlemsstat kan ved lov fastsette at dens tilsynsmyndighet skal ha mer omfattende myndighet enn det som angis i nr. 1, 2 og 3. Utøvelsen av nevnte myndighet skal ikke hindre en effektiv anvendelse av kapittel VII.
Artikkel 59.Årsrapporter

Hver tilsynsmyndighet skal utarbeide en årlig rapport om sin virksomhet som kan inneholde en liste over hvilke typer overtredelser som er meldt, og hvilke typer tiltak som er truffet i samsvar med artikkel 58 nr. 2. Nevnte rapporter skal oversendes til det nasjonale parlamentet, regjeringen og andre myndigheter som er utpekt i henhold til medlemsstatens nasjonale rett. De skal gjøres tilgjengelig for allmennheten, Kommisjonen og Personvernrådet.

KAPITTEL VII Samarbeid og ensartet anvendelse

Avsnitt 1 Samarbeid

Artikkel 60.Samarbeid mellom ledende tilsynsmyndighet og andre berørte tilsynsmyndigheter
1. Den ledende tilsynsmyndigheten skal samarbeide med de andre berørte tilsynsmyndighetene i samsvar med denne artikkel og bestrebe seg på å oppnå enighet. Den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene skal utveksle all relevant informasjon seg imellom.
2. Den ledende tilsynsmyndigheten kan til enhver tid anmode andre berørte tilsynsmyndigheter om gjensidig bistand i henhold til artikkel 61 og gjennomføre felles aktiviteter i henhold til artikkel 62, særlig for å foreta undersøkelser eller føre tilsyn med gjennomføringen av et tiltak som gjelder en behandlingsansvarlig eller databehandler som er etablert i en annen medlemsstat.
3. Den ledende tilsynsmyndigheten skal uten opphold oversende relevant informasjon om saken til de andre berørte tilsynsmyndighetene. Den skal uten opphold legge fram et utkast til avgjørelse for de andre berørte tilsynsmyndighetene, slik at de kan avgi uttalelse, og skal ta behørig hensyn til deres synspunkter.
4. Dersom en av de andre berørte tilsynsmyndighetene innen fire uker etter å ha blitt konsultert i samsvar med nr. 3 i denne artikkel, uttrykker en relevant og begrunnet innsigelse mot utkastet til avgjørelse, skal den ledende tilsynsmyndigheten, dersom den ikke etterkommer den relevante og begrunnede innsigelsen eller mener at innsigelsen ikke er relevant eller begrunnet, framlegge forholdet for konsistensmekanismen nevnt i artikkel 63.
5. Dersom den ledende tilsynsmyndigheten har til hensikt å etterkomme den relevante og begrunnede innsigelsen, skal den framlegge et revidert utkast til avgjørelse til de andre berørte tilsynsmyndighetene og be om deres uttalelse. Det reviderte utkastet til avgjørelse skal behandles i samsvar med framgangsmåten nevnt i nr. 4 innen en frist på to uker.
6. Dersom ingen av de andre berørte tilsynsmyndighetene innen fristen nevnt i nr. 4 og 5 har gjort innsigelse mot utkastet til avgjørelse framlagt av den ledende tilsynsmyndigheten, skal den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene anses for å samtykke i nevnte utkast til avgjørelse og være bundet av det.
7. Den ledende tilsynsmyndigheten skal treffe avgjørelsen og meddele den til den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet, etter hva som er relevant, og underrette de andre berørte tilsynsmyndighetene og Personvernrådet om den aktuelle avgjørelsen, herunder gi et sammendrag av de relevante faktiske forhold og begrunnelser. Tilsynsmyndigheten som det er klaget til, skal underrette klageren om avgjørelsen.
8. Dersom en klage avvises eller avslås, skal tilsynsmyndigheten som klagen ble inngitt til, som unntak fra nr. 7, treffe avgjørelsen og meddele den til klageren og underrette den behandlingsansvarlige om den.
9. Dersom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene er enige om å avvise eller avslå deler av en klage og å behandle andre deler av klagen, skal det treffes en særskilt avgjørelse for hver av disse delene. Den ledende tilsynsmyndigheten skal treffe avgjørelse om den del som gjelder tiltak knyttet til den behandlingsansvarlige, meddele dette til den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet på territoriet til medlemsstaten den er underlagt, og underrette klageren om dette, mens klagerens tilsynsmyndighet skal treffe avgjørelse om den del som gjelder avvisning av eller avslag på klagen, og meddele den til klageren og underrette den behandlingsansvarlige eller databehandleren om dette.
10. Etter å ha blitt underrettet om den ledende tilsynsmyndighetens avgjørelse i henhold til nr. 7 og 9 skal den behandlingsansvarlige eller databehandleren treffe de nødvendige tiltak for å sikre overholdelse av denne avgjørelse med hensyn til behandlingsaktiviteter som utføres i forbindelse med alle vedkommendes virksomheter i Unionen. Den behandlingsansvarlige eller databehandleren skal underrette den ledende tilsynsmyndigheten, som skal underrette de andre berørte tilsynsmyndighetene om tiltakene som er truffet for å sikre overholdelse av avgjørelsen.
11. Dersom en berørt tilsynsmyndighet i særlige tilfeller har grunn til å tro at det er et akutt behov for å treffe tiltak for å verne de registrertes interesser, får framgangsmåten for behandling av hastesaker nevnt i artikkel 66 anvendelse.
12. Den ledende tilsynsmyndigheten og de andre berørte tilsynsmyndighetene skal utveksle den informasjonen som kreves i henhold til denne artikkel, elektronisk og ved bruk av et standardisert format.
Artikkel 61.Gjensidig bistand
1. Tilsynsmyndighetene skal utveksle relevant informasjon og yte gjensidig bistand for å oppnå en ensartet gjennomføring og anvendelse av denne forordning samt treffe tiltak for å sikre et effektivt samarbeid seg imellom. Gjensidig bistand skal særlig omfatte anmodninger om informasjon samt tilsynstiltak, f.eks. anmodninger om forhåndsgodkjenninger og gjennomføring av forhåndsdrøftinger, inspeksjoner og undersøkelser.
2. Hver tilsynsmyndighet skal treffe alle egnede tiltak som er nødvendig for å kunne svare på en anmodning fra en annen tilsynsmyndighet, uten ugrunnet opphold og senest én måned etter mottak av anmodningen. Nevnte tiltak kan særlig omfatte overføring av relevant informasjon om gjennomføringen av en undersøkelse.
3. Anmodninger om bistand skal inneholde all nødvendig informasjon, herunder informasjon om formålet med og årsakene til anmodningen. Informasjon som utveksles, skal bare benyttes til de formål som omfattes av anmodningen.
4. Den anmodede tilsynsmyndighet skal ikke nekte å etterkomme anmodningen, med mindre
a.den ikke har kompetanse med hensyn til det anmodningen gjelder, eller de tiltak den anmodes om å iverksette, eller
b.etterkommelse av anmodningen vil være i strid med denne forordning, unionsretten eller medlemsstatenes nasjonale rett som tilsynsmyndigheten som mottar anmodningen, er underlagt.
5. Den anmodede tilsynsmyndigheten skal underrette den anmodende tilsynsmyndigheten om resultatene eller, alt etter hva som er relevant, om framskrittene med tiltakene som er truffet for å svare på anmodningen. Den anmodede tilsynsmyndigheten skal begrunne ethvert avslag på å etterkomme en anmodning i henhold til nr. 4.
6. Anmodede tilsynsmyndigheter skal som hovedregel oversende informasjonen som en annen tilsynsmyndighet har anmodet om, elektronisk og ved bruk av et standardisert format.
7. Anmodede tilsynsmyndigheter skal ikke kreve et gebyr for tiltak de treffer på grunnlag av en anmodning om gjensidig bistand. Tilsynsmyndighetene kan vedta regler for å godtgjøre hverandre for spesifikke utgifter som oppstår ved yting av gjensidig bistand i særlige tilfeller.
8. Dersom en tilsynsmyndighet ikke framlegger informasjonen nevnt i nr. 5 i denne artikkel innen én måned etter å ha mottatt en anmodning fra en annen tilsynsmyndighet, kan den anmodende tilsynsmyndigheten treffe et midlertidig tiltak på sin medlemsstats territorium i samsvar med artikkel 55 nr. 1. I dette tilfellet skal det akutte behovet for å treffe tiltak i henhold til artikkel 66 nr. 1 anses for å være oppfylt og skal kreve en bindende hastebeslutning fra Personvernrådet i henhold til artikkel 66 nr. 2.
9. Kommisjonen kan ved hjelp av gjennomføringsrettsakter fastsette formatene og framgangsmåtene for gjensidig bistand nevnt i denne artikkel og ordningene for elektronisk utveksling av informasjon mellom tilsynsmyndighetene, og mellom tilsynsmyndighetene og Personvernrådet, særlig det standardiserte formatet nevnt i nr. 6 i denne artikkel. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.
Artikkel 62.Tilsynsmyndighetenes felles aktiviteter
1. Dersom det er relevant, skal tilsynsmyndighetene gjennomføre felles aktiviteter, herunder felles undersøkelser og felles håndhevingstiltak som medlemmer av eller personell fra andre medlemsstaters tilsynsmyndigheter skal delta i.
2. Dersom den behandlingsansvarlige eller databehandleren har virksomheter i flere medlemsstater, eller dersom det er sannsynlig at et betydelig antall registrerte i mer enn én medlemsstat i vesentlig grad vil bli påvirket av behandlingsaktiviteter, skal en tilsynsmyndighet i hver av disse medlemsstatene ha rett til å delta i felles aktiviteter. Tilsynsmyndigheten som har kompetanse i henhold til artikkel 56 nr. 1 eller 4, skal invitere tilsynsmyndigheten i hver av disse medlemsstatene til å delta i de felles aktivitetene og skal uten opphold svare på en tilsynsmyndighets anmodning om å delta.
3. En tilsynsmyndighet kan, i samsvar med medlemsstatens nasjonale rett og med tillatelse fra avgiverstatens tilsynsmyndighet, gi myndighet, herunder undersøkelsesmyndighet, til medlemmene eller personellet i avgiverstatens tilsynsmyndighet som deltar i felles aktiviteter, eller, dersom nasjonal rett i medlemsstaten til vertsstatens tilsynsmyndighet tillater det, tillate at medlemmene eller personellet i avgiverstatens tilsynsmyndighet utøver sin undersøkelsesmyndighet i samsvar med nasjonal rett i medlemsstaten til avgiverstatens tilsynsmyndighet. Nevnte undersøkelsesmyndighet kan bare utøves under veiledning og ved tilstedeværelse av medlemmer eller personell fra vertsstatens tilsynsmyndighet. Medlemmene eller personellet i avgiverstatens tilsynsmyndighet skal være underlagt nasjonal rett i medlemsstaten til vertsstatens tilsynsmyndighet.
4. Dersom personellet i avgiverstatens tilsynsmyndighet i samsvar med nr. 1 utfører aktiviteter i en annen medlemsstat, skal vertsstaten ha ansvar for deres handlinger, herunder erstatningsansvar, for enhver skade de forårsaker i forbindelse med aktivitetene i samsvar med nasjonal rett i medlemsstaten på hvis territorium de utfører aktiviteter.
5. Den medlemsstat på hvis territorium skaden ble forårsaket, skal erstatte skaden i samsvar med reglene som får anvendelse på skader forårsaket av dens eget personell. Avgiverstaten hvis personell har forårsaket skade på en person på territoriet til en annen medlemsstat, skal refundere alle beløp den andre medlemsstaten har betalt til berettigede personer på deres vegne.
6. Uten at det berører utøvelsen av rettigheter overfor tredjeparter og med unntak av nr. 5, skal hver medlemsstat i tilfellet nevnt i nr. 1 avstå fra å anmode om erstatning fra en annen medlemsstat for skader nevnt i nr. 4.
7. Dersom det planlegges en felles aktivitet og en tilsynsmyndighet innen en måned ikke oppfyller forpliktelsen fastsatt i nr. 2 annet punktum i denne artikkel, kan den andre tilsynsmyndigheten treffe et midlertidig tiltak på sin medlemsstats territorium i samsvar med artikkel 55. I dette tilfellet skal det akutte behovet for å treffe tiltak i henhold til artikkel 66 nr. 1 anses for å være oppfylt og skal forutsette en uttalelse eller kreve en bindende hastebeslutning fra Personvernrådet i henhold til artikkel 66 nr. 2.

Avsnitt 2 Ensartet anvendelse1

Artikkel 63.Konsistensmekanisme

For å bidra til en ensartet anvendelse av denne forordning i hele Unionen skal tilsynsmyndighetene samarbeide med hverandre og, dersom det er relevant, med Kommisjonen gjennom konsistensmekanismen som fastsatt i dette avsnitt.

Artikkel 64.Uttalelse fra Personvernrådet
1. Personvernrådet skal avgi uttalelse når en vedkommende tilsynsmyndighet akter å treffe noen av tiltakene nevnt nedenfor. I denne forbindelse skal vedkommende tilsynsmyndighet oversende utkastet til avgjørelse til Personvernrådet når
a.formålet er å vedta en liste over de behandlingsaktiviteter som er underlagt kravet om en vurdering av personvernkonsekvenser i henhold til artikkel 35 nr. 4,
b.det gjelder et forhold i henhold til artikkel 40 nr. 7 om hvorvidt et utkast til atferdsnormer eller en endring eller utvidelse av atferdsnormer oppfyller kravene i denne forordning,
c.formålet er å godkjenne kravene for akkreditering av et organ i henhold til artikkel 41 nr. 3 eller av et sertifiseringsorgan i henhold til artikkel 43 nr. 3 eller kriteriene for sertifisering som nevnt i artikkel 42 nr. 5,
d.formålet er å fastsette standard personvernbestemmelser som nevnt i artikkel 46 nr. 2 bokstav d) og artikkel 28 nr. 8,
e.formålet er å godkjenne avtalevilkår som nevnt i artikkel 46 nr. 3 bokstav a) eller
f.formålet er å godkjenne bindende virksomhetsregler i henhold til artikkel 47.
2. Enhver tilsynsmyndighet, lederen for Personvernrådet eller Kommisjonen kan kreve at ethvert forhold med allmenn rekkevidde eller som har virkning i flere enn én medlemsstat, undersøkes av Personvernrådet med det som mål å innhente en uttalelse, særlig dersom en vedkommende tilsynsmyndighet ikke oppfyller plikten til å yte gjensidig bistand i samsvar med artikkel 61 eller med hensyn til felles aktiviteter i samsvar med artikkel 62.
3. I tilfellene nevnt i nr. 1 og 2 skal Personvernrådet avgi uttalelse om forholdet det har fått seg forelagt, forutsatt at det ikke allerede har avgitt uttalelse om samme forhold. Uttalelsen skal vedtas innen åtte uker ved simpelt flertall blant Personvernrådets medlemmer. Denne fristen kan forlenges med ytterligere seks uker, idet det tas hensyn til forholdets kompleksitet. Med hensyn til utkastet til avgjørelse nevnt i nr. 1, oversendt til medlemmene av Personvernrådet i samsvar med nr. 5, skal et medlem som ikke har gjort innsigelse innen en rimelig frist angitt av lederen, anses for å samtykke i utkastet til avgjørelse.
4. Tilsynsmyndigheter og Kommisjonen skal uten ugrunnet opphold oversende Personvernrådet, elektronisk og ved bruk av et standardisert format, all relevant informasjon, herunder, alt etter hva som er relevant, et sammendrag av de faktiske forhold, utkastet til avgjørelse, årsaken til hvorfor nevnte tiltak må treffes og synspunkter fra andre berørte tilsynsmyndigheter.
5. Lederen for Personvernrådet skal uten ugrunnet opphold gi elektronisk underretning til
a.medlemmene av Personvernrådet og Kommisjonen om all relevant informasjon som det har mottatt, ved bruk av et standardisert format. Personvernrådets sekretariat skal ved behov sørge for oversettelse av relevant informasjon, og
b.tilsynsmyndigheten nevnt i nr. 1 og 2 og Kommisjonen om uttalelsen og offentliggjøre den.
6. Vedkommende tilsynsmyndighet nevnt i nr. 1 skal ikke vedta sitt utkast til avgjørelse nevnt i nr. 1 i løpet av perioden nevnt i nr. 3.
7. Vedkommende tilsynsmyndighet nevnt i nr. 1 skal i størst mulig grad ta hensyn til Personvernrådets uttalelse og skal senest to uker etter å ha mottatt uttalelsen underrette lederen for Personvernrådet elektronisk om hvorvidt den akter å opprettholde eller endre sitt utkast til avgjørelse, og eventuelt oversende det endrede utkastet til avgjørelse ved bruk av et standardisert format.
8. Dersom vedkommende tilsynsmyndighet nevnt i nr. 1 innen fristen nevnt i nr. 7 i denne artikkel underretter Personvernrådets leder om at den ikke akter å følge Personvernrådets uttalelse, helt eller delvis, og gir en relevant begrunnelse for dette, får artikkel 65 nr. 1 anvendelse.
Artikkel 65.Tvisteløsning gjennom Personvernrådet
1. For å sikre riktig og ensartet anvendelse av denne forordning i hvert enkelt tilfelle skal Personvernrådet treffe en bindende beslutning i følgende tilfeller:
a.dersom en berørt tilsynsmyndighet i et tilfelle nevnt i artikkel 60 nr. 4 har gjort relevant og begrunnet innsigelse mot et utkast til avgjørelse fra den ledende tilsynsmyndigheten, og den ledende tilsynsmyndigheten ikke har fulgt innsigelsen eller har avvist nevnte innsigelse med den begrunnelse at den ikke er relevant eller begrunnet. Den bindende beslutningen skal gjelde alle forhold som omfattes av den relevante og begrunnede innsigelsen, særlig om hvorvidt det foreligger en overtredelse av denne forordning,
b.dersom det er uenighet om hvilken av de berørte tilsynsmyndighetene som har kompetanse med hensyn til hovedvirksomheten,
c.dersom en vedkommende tilsynsmyndighet ikke anmoder om uttalelse fra Personvernrådet i tilfellene nevnt i artikkel 64 nr. 1, eller ikke følger Personvernrådets uttalelse avgitt i henhold til artikkel 64. Dersom dette er tilfellet, kan enhver berørt tilsynsmyndighet eller Kommisjonen framlegge forholdet for Personvernrådet.
2. Beslutningen nevnt i nr. 1 skal treffes med to tredels flertall blant Personvernrådets medlemmer senest én måned etter at forholdet er framlagt. Denne fristen kan forlenges med ytterligere én måned, idet det tas hensyn til forholdets kompleksitet. Beslutningen nevnt i nr. 1 skal være begrunnet og rettet til den ledende tilsynsmyndigheten og alle de berørte tilsynsmyndighetene og skal være bindende for dem.
3. Dersom Personvernrådet ikke har vært i stand til å treffe en beslutning innen fristene nevnt i nr. 2, skal det treffe sin beslutning innen to uker etter utløpet av den andre måneden nevnt i nr. 2 ved simpelt flertall blant dets medlemmer. Ved stemmelikhet blant medlemmene i Personvernrådet er lederens stemme utslagsgivende.
4. De berørte tilsynsmyndighetene skal ikke treffe beslutning om forholdet som er framlagt for Personvernrådet i henhold til nr. 1, i periodene nevnt i nr. 2 og 3.
5. Lederen for Personvernrådet skal uten ugrunnet opphold meddele beslutningen nevnt i nr. 1 til de berørte tilsynsmyndighetene. Vedkommende skal underrette Kommisjonen om dette. Beslutningen skal offentliggjøres på Personvernrådets nettsted uten opphold etter at tilsynsmyndigheten har meddelt den endelige beslutningen nevnt i nr. 6.
6. Den ledende tilsynsmyndigheten eller eventuelt tilsynsmyndigheten som en klage er inngitt til, skal treffe sin endelige beslutning på grunnlag av beslutningen nevnt i nr. 1 i denne artikkel, uten ugrunnet opphold og senest én måned etter at Personvernrådet har meddelt sin beslutning. Den ledende tilsynsmyndigheten eller eventuelt tilsynsmyndigheten som klagen er inngitt til, skal underrette Personvernrådet om datoen for meddelelse av den endelige beslutningen til henholdsvis den behandlingsansvarlige eller databehandleren og til den registrerte. De berørte tilsynsmyndighetenes endelige beslutning skal treffes i henhold til vilkårene i artikkel 60 nr. 7, 8 og 9. Den endelige beslutningen skal vise til beslutningen nevnt i nr. 1 i denne artikkel, og det skal angis at beslutningen som det vises til i nevnte nummer, vil bli offentliggjort på Personvernrådets nettsted i samsvar med nr. 5 i denne artikkel. Beslutningen nevnt i nr. 1 i denne artikkel skal vedlegges den endelige beslutningen.
Artikkel 66.Framgangsmåte for behandling av hastesaker
1. Dersom en berørt tilsynsmyndighet i særlige tilfeller anser at det er et akutt behov for å treffe tiltak for å verne registrertes rettigheter og friheter, kan den som unntak fra konsistensmekanismen nevnt i artikkel 63, 64 og 65 eller framgangsmåten nevnt i artikkel 60 omgående treffe midlertidige tiltak som skal ha rettsvirkning på eget territorium, med en fastsatt gyldighetsperiode på høyst tre måneder. Tilsynsmyndigheten skal uten opphold underrette de andre berørte tilsynsmyndighetene, Personvernrådet og Kommisjonen om nevnte tiltak og årsakene til at de er truffet.
2. Dersom en tilsynsmyndighet har truffet et tiltak i henhold til nr. 1 og anser at det omgående må treffes endelige tiltak, kan den anmode om en hasteuttalelse eller en bindende hastebeslutning fra Personvernrådet; anmodningen om nevnte uttalelse eller beslutning skal være begrunnet.
3. Enhver tilsynsmyndighet kan anmode om en hasteuttalelse eller eventuelt om en bindende hastebeslutning fra Personvernrådet dersom en vedkommende tilsynsmyndighet ikke har truffet et egnet tiltak i en situasjon der det er et akutt behov for å treffe tiltak for å verne registrertes rettigheter og friheter; anmodningen om nevnte uttalelse eller beslutning, herunder det akutte behovet for å treffe tiltak, skal være begrunnet.
4. Som unntak fra artikkel 64 nr. 3 og artikkel 65 nr. 2 skal en hasteuttalelse eller en bindende hastebeslutning som nevnt i nr. 2 og 3 i denne artikkel vedtas innen to uker ved simpelt flertall blant Personvernrådets medlemmer.
Artikkel 67.Utveksling av informasjon

Kommisjonen kan vedta gjennomføringsrettsakter av generell karakter for å presisere ordningene for elektronisk utveksling av informasjon mellom tilsynsmyndighetene og mellom tilsynsmyndighetene og Personvernrådet, særlig i det standardiserte formatet nevnt i artikkel 64.

Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.

Avsnitt 3 Det europeiske personvernråd

Artikkel 68.Det europeiske personvernråd
1. Det europeiske personvernråd («Personvernrådet») opprettes med dette som et EU-organ med status som juridisk person.
2. Personvernrådet skal representeres av sin leder.
3. Personvernrådet skal bestå av lederen for en tilsynsmyndighet i hver av medlemsstatene samt av EUs datatilsyn, eller deres respektive representanter.
4. Dersom en medlemsstat har mer enn én tilsynsmyndighet med ansvar for å føre tilsyn med anvendelsen av bestemmelsene i denne forordning, skal det utnevnes en felles representant i samsvar med nasjonal rett i nevnte medlemsstat.
5. Kommisjonen skal ha rett til å delta i Personvernrådets aktiviteter og møter uten stemmerett. Kommisjonen skal utpeke en representant. Lederen for Personvernrådet skal underrette Kommisjonen om Personvernrådets aktiviteter.
6. I tilfellene nevnt i artikkel 65 skal EUs datatilsyn ha stemmerett bare i forbindelse med beslutninger som gjelder prinsipper og regler som får anvendelse på Unionens institusjoner, organer, kontorer og byråer, og som i hovedsak tilsvarer dem i denne forordning.
Artikkel 69.Uavhengighet
1. Personvernrådet skal opptre uavhengig når det utfører sine oppgaver eller utøver sin myndighet i henhold til artikkel 70 og 71.
2. Uten at det berører Kommisjonens anmodninger nevnt i artikkel 70 nr. 1 og 2, skal Personvernrådet i forbindelse med utførelsen av sine oppgaver eller utøvelsen av sin myndighet ikke anmode om eller motta instrukser fra andre.
Artikkel 70.Personvernrådets oppgaver
1. Personvernrådet skal sikre ensartet anvendelse av denne forordning. For dette formål skal Personvernrådet på eget initiativ eller, dersom det er relevant, på anmodning fra Kommisjonen særlig
a.overvåke og sikre riktig anvendelse av denne forordning i tilfellene nevnt i artikkel 64 og 65, uten at det berører nasjonale tilsynsmyndigheters oppgaver,
b.rådgi Kommisjonen i alle spørsmål knyttet til vern av personopplysninger i Unionen, herunder om eventuelle forslag til endring av denne forordning,
c.rådgi Kommisjonen om formatet og framgangsmåtene for utveksling av informasjon mellom behandlingsansvarlige, databehandlere og tilsynsmyndigheter med hensyn til bindende virksomhetsregler,
d.utstede anbefalinger om, retningslinjer og beste praksis for framgangsmåter for å slette lenker, kopier eller reproduksjoner av personopplysninger fra offentlig tilgjengelige kommunikasjonstjenester som nevnt i artikkel 17 nr. 2,
e.på eget initiativ, på anmodning fra ett av dets medlemmer eller fra Kommisjonen granske alle spørsmål som gjelder anvendelse av denne forordning, og utstede retningslinjer, anbefalinger og beste praksis for å fremme en ensartet anvendelse av denne forordning,
f.utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav e) i dette nummer for å presisere kriteriene og vilkårene for avgjørelser basert på profilering i henhold til artikkel 22 nr. 2,
g.utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav e) i dette nummer for å fastslå brudd på personopplysningssikkerheten og fastsette det ugrunnede oppholdet som nevnt i artikkel 33 nr. 1 og 2 samt for de særlige tilfellene der en behandlingsansvarlig eller en databehandler har plikt til å melde brudd på personopplysningssikkerheten,
h.utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav e) i dette nummer for omstendighetene der et brudd på personopplysningssikkerheten sannsynligvis vil føre til en høy risiko for rettighetene og frihetene til de fysiske personene nevnt i artikkel 34 nr. 1.
i.utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav e) i dette nummer for å presisere kriteriene for og kravene til overføring av personopplysninger basert på bindende virksomhetsregler som behandlingsansvarlige overholder, og bindende virksomhetsregler som databehandlere overholder, samt ytterligere nødvendige krav for å sikre vern av personopplysninger for de berørte registrerte nevnt i artikkel 47,
j.utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav e) i dette nummer for å presisere kriteriene for og kravene til overføring av personopplysninger på grunnlag av artikkel 49 nr. 1,
k.utarbeide retningslinjer for tilsynsmyndigheter med tanke på anvendelse av tiltakene nevnt i artikkel 58 nr. 1, 2 og 3 og fastsettelse av overtredelsesgebyr i henhold til artikkel 83,
l.gjennomgå den praktiske anvendelsen av retningslinjene, anbefalingene og beste praksis,
m.utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav e) i dette nummer for å fastsette felles framgangsmåter for fysiske personers rapportering av overtredelser av denne forordning i henhold til artikkel 54 nr. 2,
n.oppmuntre til utarbeiding av atferdsnormer og innføring av mekanismer for personvernsertifisering samt personvernsegl og -merker i henhold til artikkel 40 og 42,
o.godkjenne kriteriene for sertifisering i henhold til artikkel 42 nr. 5 og føre et offentlig register over sertifiseringsmekanismer og personvernsegl og -merker i henhold til artikkel 42 nr. 8 og over sertifiserte behandlingsansvarlige eller databehandlere etablert i tredjestater i henhold til artikkel 42 nr. 7,
p.godkjenne kravene nevnt i artikkel 43 nr. 3 med henblikk på akkreditering av sertifiseringsorganer nevnt i artikkel 43,
q.avgi uttalelse til Kommisjonen om sertifiseringskravene nevnt i artikkel 43 nr. 8,
r.avgi uttalelse til Kommisjonen om ikonene nevnt i artikkel 12 nr. 7,
s.avgi uttalelse til Kommisjonen om vurderingen av om beskyttelsesnivået i en tredjestat eller internasjonal organisasjon er tilstrekkelig, herunder vurderingen av om en tredjestat, et territorium eller en eller flere angitte sektorer i nevnte tredjestat eller en internasjonal organisasjon ikke lenger sikrer et tilstrekkelig beskyttelsesnivå. For dette formål skal Kommisjonen framlegge for Personvernrådet all nødvendig dokumentasjon, herunder korrespondanse med regjeringen i tredjestaten, med hensyn til nevnte tredjestat, territorium eller spesifikke sektor, eller med den internasjonale organisasjonen,
t.avgi uttalelser om tilsynsmyndighetenes utkast til beslutninger i henhold til konsistensmekanismen nevnt i artikkel 64 nr. 1 i forhold som er framlagt i henhold til artikkel 64 nr. 2, og treffe bindende beslutninger i henhold til artikkel 65, herunder i tilfellene nevnt i artikkel 66,
u.fremme samarbeidet og en effektiv bi- og multilateral utveksling av informasjon og beste praksis mellom tilsynsmyndighetene,
v.fremme felles opplæringsprogrammer og utveksling av personell mellom tilsynsmyndighetene og, dersom det er relevant, med tilsynsmyndigheter i tredjestater eller internasjonale organisasjoner,
w.fremme utveksling av kunnskap og dokumentasjon om personvernlovgivning og praksis på området med datatilsynsmyndigheter over hele verden,
x.avgi uttalelser om atferdsnormer som utarbeides på EU-plan i henhold til artikkel 40 nr. 9, og
y.føre et offentlig tilgjengelig elektronisk register over beslutninger truffet av tilsynsmyndigheter og domstoler i saker som er blitt behandlet i konsistensmekanismen.
2. Dersom Kommisjonen ber Personvernrådet om råd, kan den oppgi en tidsfrist, idet det tas hensyn til hvor mye saken haster.
3. Personvernrådet skal videresende sine uttalelser, retningslinjer, anbefalinger og beste praksis til Kommisjonen og til komiteen nevnt i artikkel 93 samt offentliggjøre dem.
4. Dersom det er relevant, skal Personvernrådet rådføre seg med berørte parter og gi dem mulighet til å framlegge kommentarer innen en rimelig frist. Uten at det berører artikkel 76, skal Personvernrådet offentliggjøre resultatene av samrådsprosedyren.
Artikkel 71.Rapporter
1. Personvernrådet skal utarbeide en årlig rapport om vern av fysiske personer i forbindelse med behandling i Unionen og, dersom det er relevant, i tredjestater og internasjonale organisasjoner. Rapporten skal offentliggjøres og oversendes til Europaparlamentet, Rådet og Kommisjonen.
2. Den årlige rapporten skal inneholde en gjennomgåelse av den praktiske anvendelsen av retningslinjene, anbefalingene og beste praksis nevnt i artikkel 70 nr. 1 bokstav l) samt av de bindende beslutningene nevnt i artikkel 65.
Artikkel 72.Framgangsmåte
1. Personvernrådet skal treffe beslutninger ved simpelt flertall blant rådets medlemmer, med mindre annet er fastsatt i denne forordning.
2. Personvernrådet skal vedta sin egen forretningsorden med to tredels flertall blant medlemmene og fastsette sine egne driftsrutiner.
Artikkel 73.Leder
1. Personvernrådet skal ved simpelt flertall velge en leder og to nestledere blant sine medlemmer.
2. Utnevnelsesperioden for lederen og nestlederne skal være fire år og kan fornyes én gang.
Artikkel 74.Lederens oppgaver
1. Lederen skal ha følgende oppgaver:
a.innkalle til møter i Personvernrådet og utarbeide dagsordenen for møtene,
b.underrette den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene om beslutninger truffet av Personvernrådet i henhold til artikkel 65,
c.sikre at Personvernrådets oppgaver utføres i rett tid, særlig i forbindelse med konsistensmekanismen nevnt i artikkel 63.
2. Personvernrådet skal fastsette fordelingen av oppgavene mellom lederen og nestlederne i sin forretningsorden.
Artikkel 75.Sekretariat
1. Personvernrådet skal ha et sekretariat, som skal stilles til rådighet av EUs datatilsyn.
2. Sekretariatet skal utføre sine oppgaver utelukkende under ledelse av Personvernrådets leder.
3. Personellet ved EUs datatilsyn som deltar i utførelsen av oppgavene som ved denne forordning gis Personvernrådet, skal ha andre rapporteringsveier enn personellet som deltar i utførelsen av oppgavene som EUs datatilsyn er gitt.
4. Dersom det er relevant, skal Personvernrådet og EUs datatilsyn utarbeide og offentliggjøre en programerklæring med henblikk på gjennomføring av denne artikkel med fastsettelse av vilkårene for deres samarbeid som får anvendelse på personellet hos EUs datatilsyn som deltar i utførelsen av oppgavene som ved denne forordning gis Personvernrådet.
5. Sekretariatet skal yte analytisk, administrativ og logistisk støtte til Personvernrådet.
6. Sekretariatet skal særlig ha ansvar for
a.Personvernrådets daglige virksomhet,
b.kommunikasjon mellom Personvernrådets medlemmer, dets leder og Kommisjonen,
c.kommunikasjon med andre institusjoner og med allmennheten,
d.bruken av elektroniske midler i forbindelse med intern og ekstern kommunikasjon,
e.oversettelse av relevant informasjon,
f.forberedelse og oppfølging av Personvernrådets møter,
g.forberedelse, utarbeiding av utkast til og offentliggjøring av uttalelser, beslutninger om løsning av tvister mellom tilsynsmyndigheter samt andre tekster som vedtas av Personvernrådet.
Artikkel 76.Konfidensialitet
1. Personvernrådets drøftinger skal være konfidensielle når Personvernrådet anser det nødvendig, som fastsatt i dets forretningsorden.
2. Tilgangen til dokumenter som sendes til Personvernrådets medlemmer, sakkyndige og representanter for tredjeparter, omfattes av europaparlaments- og rådsforordning (EF) nr. 1049/2001.​1
1Europaparlaments- og rådsforordning (EF) nr. 1049/2001 av 30. mai 2001 om offentlig tilgang til Europaparlamentets, Rådets og Kommisjonens dokumenter (EFT L 145 av 31.5.2001, s. 43).

KAPITTEL VIII Rettsmidler, ansvar og sanksjoner

Artikkel 77.Rett til å klage til en tilsynsmyndighet

1. Uten at det berører annen administrativ eller rettslig prøving, skal enhver registrert ha rett til å klage til en tilsynsmyndighet, særlig i den medlemsstat der vedkommende har sitt vanlige bosted, har sitt arbeidssted eller der den påståtte overtredelsen har funnet sted, dersom den registrerte anser at behandlingen av personopplysninger som gjelder vedkommende, er i strid med denne forordning.
2. Tilsynsmyndigheten som klagen er inngitt til, skal underrette klageren om klagebehandlingsforløpet og utfallet av klagen, herunder muligheten for rettslig prøving i henhold til artikkel 78.

Artikkel 78.Rett til et effektivt rettsmiddel overfor en tilsynsmyndighet

1. Uten at det berører annen administrativ eller ikke-rettslig prøving, skal enhver fysisk eller juridisk person ha rett til et effektivt rettsmiddel overfor en rettslig bindende avgjørelse som gjelder dem, og som er truffet av en tilsynsmyndighet.
2. Uten at det berører annen administrativ eller ikke-rettslig prøving, skal enhver registrert ha rett til et effektivt rettsmiddel dersom tilsynsmyndigheten som har kompetanse i henhold til artikkel 55 og 56, ikke behandler en klage eller ikke underretter den registrerte innen tre måneder om klagebehandlingsforløpet eller utfallet av klagen som er inngitt i henhold til artikkel 77.
3. En sak mot en tilsynsmyndighet skal bringes inn for domstolene i medlemsstaten der tilsynsmyndigheten er etablert.
4. Dersom det anlegges sak mot en tilsynsmyndighets avgjørelse som ble truffet etter en uttalelse eller en avgjørelse fra Personvernrådet innenfor rammen av konsistensmekanismen, skal tilsynsmyndigheten framlegge nevnte uttalelse eller avgjørelse for domstolen.

Artikkel 79.Rett til et effektivt rettsmiddel overfor en behandlingsansvarlig eller databehandler

1. Uten at det berører annen tilgjengelig administrativ eller ikke-rettslig prøving, herunder retten til å klage til en tilsynsmyndighet i henhold til artikkel 77, skal enhver registrert ha rett til et effektivt rettsmiddel dersom vedkommende anser at vedkommendes rettigheter i henhold til denne forordning er krenket som følge av at vedkommendes personopplysninger er blitt behandlet på en måte som ikke er i samsvar med denne forordning.
2. En sak mot en behandlingsansvarlig eller databehandler skal bringes inn for domstolene i medlemsstaten der den behandlingsansvarlige eller databehandleren er etablert. Alternativt kan en slik sak bringes inn for domstolene i medlemsstaten der den registrerte til vanlig er bosatt, med mindre den behandlingsansvarlige eller databehandleren er en offentlig myndighet som handler innenfor rammen av sin offentlige myndighet.

Artikkel 80.Representasjon av registrerte

1. Den registrerte skal ha rett til å gi et ideelt organ eller en ideell organisasjon eller sammenslutning som er opprettet i samsvar med nasjonal rett i en medlemsstat, som har vedtektsfestede formål som er i allmennhetens interesse, og som er aktiv på området vern av registrertes rettigheter og friheter med hensyn til vern av deres personopplysninger, fullmakt til å klage på vedkommendes vegne, utøve rettighetene nevnt i artikkel 77, 78 og 79 på vedkommendes vegne og utøve retten til å motta erstatning nevnt i artikkel 82 på vedkommendes vegne dersom det er fastsatt i medlemsstatenes nasjonale rett.
2. Medlemsstatene kan fastsette at ethvert organ eller enhver organisasjon eller sammenslutning nevnt i nr. 1 i denne artikkel, uavhengig av en registrerts fullmakt, i nevnte medlemsstat har rett til å klage til tilsynsmyndigheten som har kompetanse i henhold til artikkel 77, og til å utøve rettighetene nevnt i artikkel 78 og 79 dersom den/det anser at den registrertes rettigheter i henhold til denne forordning er blitt krenket som følge av behandlingen.

Artikkel 81.Utsettelse av en sak

1. Dersom vedkommende domstol i en medlemsstat har informasjon om at det verserer en sak om samme saksgjenstand med hensyn til behandling foretatt av den samme behandlingsansvarlige eller databehandler ved en domstol i en annen medlemsstat, skal den kontakte nevnte domstol i den andre medlemsstaten for å få bekreftet at foreligger en slik sak.
2. Dersom det verserer en sak om samme saksgjenstand med hensyn til behandling foretatt av samme behandlingsansvarlige eller databehandler ved en domstol i en annen medlemsstat, kan enhver annen vedkommende domstol enn den som saken først ble brakt inn for, utsette saken.
3. Dersom nevnte sak verserer ved første instans, kan enhver annen domstol enn den som saken først ble brakt inn for, på anmodning fra en av partene også erklære at den ikke er domsmyndig dersom domstolen som saken først ble brakt inn for, har domsmyndighet til å behandle de aktuelle sakene, og dens lovgivning tillater forening av dette.

Artikkel 82.Rett til erstatning og erstatningsansvar

1. Enhver person som har lidd materiell eller ikke-materiell skade som følge av en overtredelse av denne forordning, skal ha rett til å motta erstatning fra den behandlingsansvarlige eller databehandleren for den forvoldte skaden.
2. Enhver behandlingsansvarlig som vært involvert i behandlingen, skal være ansvarlig for skaden forårsaket av behandling som er i strid med denne forordning. En databehandler skal være ansvarlig for en skade forårsaket av behandling bare dersom vedkommende ikke har oppfylt forpliktelsene i denne forordning som særlig er rettet mot databehandlere, eller dersom vedkommende har opptrådt utenfor eller i strid med databehandlerens lovlige instrukser.
3. En behandlingsansvarlig eller databehandler skal fritas for erstatningsansvar i henhold til nr. 2 dersom vedkommende godtgjør at vedkommende på ingen måte er ansvarlig for hendelsen som førte til skaden.
4. Dersom flere enn én behandlingsansvarlig eller databehandler eller både en behandlingsansvarlig og en databehandler er involvert i samme behandling, og dersom de i henhold til nr. 2 og 3 er ansvarlige for eventuelle skader som forårsakes av behandlingen, skal hver behandlingsansvarlig eller databehandler holdes ansvarlig for hele skaden for å sikre at den registrerte mottar effektiv erstatning.
5. Dersom en behandlingsansvarlig eller databehandler i samsvar med nr. 4 har betalt full erstatning for den forvoldte skaden, skal nevnte behandlingsansvarlig eller databehandler fra de andre behandlingsansvarlige eller databehandlere som har vært involvert i samme behandling, ha rett til å kreve tilbake den delen av erstatningen som svarer til deres del av ansvaret for skaden, i samsvar med vilkårene fastsatt i nr. 2.
6. Retterganger med henblikk på utøvelse av retten til å motta erstatning, skal bringes inn for domstolene som har kompetanse i henhold til nasjonal rett i medlemsstaten nevnt i artikkel 79 nr. 2.

Artikkel 83.Generelle vilkår for ilegging av overtredelsesgebyr

1. Hver tilsynsmyndighet skal sikre at ilegging av overtredelsesgebyr i henhold til denne artikkel for overtredelser av denne forordning nevnt i nr. 4, 5 og 6 i hvert enkelt tilfelle er virkningsfull, står i et rimelig forhold til overtredelsen og virker avskrekkende.
2. Avhengig av omstendighetene i hvert enkelt tilfelle skal overtredelsesgebyr ilegges i tillegg til eller istedenfor tiltakene nevnt i artikkel 58 nr. 2 bokstav a)-h) og j). Når det treffes avgjørelse om hvorvidt det skal ilegges overtredelsesgebyr samt om overtredelsesgebyrets størrelse, skal det i hvert enkelt tilfelle tas behørig hensyn til følgende:
a.karakteren, alvorlighetsgraden og varigheten av overtredelsen, idet det tas hensyn til den berørte behandlingens art, omfang eller formål samt antall registrerte som er berørt, og omfanget av den skade de har lidd,
b.hvorvidt overtredelsen ble begått forsettlig eller uaktsomt,
c.eventuelle tiltak truffet av den behandlingsansvarlige eller databehandleren for å begrense skaden som de registrerte har lidd,
d.den behandlingsansvarliges eller databehandlerens grad av ansvar, idet det tas hensyn til de tekniske og organisatoriske tiltak de har gjennomført i henhold til artikkel 25 og 32,
e.eventuelle relevante tidligere overtredelser begått av den behandlingsansvarlige eller databehandleren,
f.graden av samarbeid med tilsynsmyndigheten for å bøte på overtredelsen og redusere de mulige negative virkningene av den,
g.kategoriene av personopplysninger som er berørt av overtredelsen,
h.på hvilken måte tilsynsmyndigheten fikk kjennskap til overtredelsen, særlig om og eventuelt i hvilken grad den behandlingsansvarlige eller databehandleren har underrettet om overtredelsen,
i.dersom tiltak nevnt i artikkel 58 nr. 2 tidligere er blitt truffet overfor den berørte behandlingsansvarlige eller databehandler med hensyn til samme saksgjenstand, at nevnte tiltak overholdes,
j.overholdelse av godkjente atferdsnormer i henhold til artikkel 40 eller godkjente sertifiseringsmekanismer i henhold til artikkel 42 og
k.enhver annen skjerpende eller formildende faktor ved saken, f.eks. økonomiske fordeler som er oppnådd, eller tap som er unngått, direkte eller indirekte, som følge av overtredelsen.
3. Dersom en behandlingsansvarlig eller databehandler i forbindelse med samme eller tilknyttede behandlingsaktiviteter forsettlig eller uaktsomt overtrer flere av bestemmelsene i denne forordning, skal overtredelsesgebyrets samlede beløp ikke være høyere enn beløpet angitt for den alvorligste overtredelsen.
4. Ved overtredelser av følgende bestemmelser skal det i samsvar med nr. 2 ilegges overtredelsesgebyr på opptil 10 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 2% av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes:
a.den behandlingsansvarliges og databehandlerens forpliktelser i henhold til artikkel 8, 11, 25-39 samt 42 og 43,
b.sertifiseringsorganets forpliktelser i henhold til artikkel 42 og 43,
c.kontrollorganets forpliktelser i henhold til artikkel 41 nr. 4.
5. Ved overtredelser av følgende bestemmelser skal det i samsvar med nr. 2 ilegges overtredelsesgebyr på opptil 20 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 4% av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes:
a.de grunnleggende prinsippene for behandling, herunder vilkår for samtykke, i henhold til artikkel 5, 6, 7 og 9,
b.de registrertes rettigheter i henhold til artikkel 12-22,
c.overføring av personopplysninger til en mottaker i en tredjestat eller en internasjonal organisasjon i henhold til artikkel 44-49,
d.eventuelle forpliktelser i henhold til medlemsstatenes nasjonale rett vedtatt i henhold til kapittel IX,
e.manglende overholdelse av et pålegg om eller en midlertidig eller definitiv begrensning av behandling eller en avgjørelse om midlertidige opphold i datastrømmen truffet av tilsynsmyndigheten i henhold til artikkel 58 nr. 2 eller dersom det ikke gis tilgang i strid med artikkel 58 nr. 1.
6. Ved manglende overholdelse av et pålegg fra tilsynsmyndigheten som nevnt i artikkel 58 nr. 2 skal det i samsvar med nr. 2 i denne artikkel ilegges overtredelsesgebyr på opptil 20 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 4% av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes.
7. Uten at det berører tilsynsmyndighetenes myndighet til å beslutte korrigerende tiltak i henhold til artikkel 58 nr. 2, kan hver medlemsstat fastsette regler om når og i hvilken grad offentlige myndigheter og organer som er etablert i nevnte medlemsstat, kan ilegges overtredelsesgebyr.
8. Tilsynsmyndighetens utøvelse av myndighet i henhold til denne artikkel skal være omfattet av nødvendige prosessuelle garantier i samsvar med unionsretten og medlemsstatenes nasjonale rett, herunder effektive rettsmidler og rettferdig rettergang.
9. Dersom medlemsstatens rettsorden ikke gir mulighet til å ilegge overtredelsesgebyr, kan denne artikkel anvendes på en slik måte at gebyret initieres av vedkommende tilsynsmyndighet og ilegges av vedkommende nasjonale domstoler, idet det sikres at nevnte beføyelser er effektive og har samme virkning som overtredelsesgebyrene som ilegges av tilsynsmyndigheter. I alle tilfeller skal gebyrene som ilegges, være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Medlemsstatene skal senest 25. mai 2018 underrette Kommisjonen om de lovbestemmelser de vedtar i henhold til dette nummer, og uten opphold om eventuelle senere endringslover eller endringer som påvirker dem.

Artikkel 84.Sanksjoner

1. Medlemsstatene skal fastsette regler om andre sanksjoner for overtredelser av denne forordning, særlig for overtredelser som ikke omfattes av overtredelsesgebyrer i henhold til artikkel 83, og skal treffe alle nødvendige tiltak for å sikre at de gjennomføres. Sanksjonene skal være virkningsfulle, stå i rimelig forhold til overtredelsen og virke avskrekkende.
2. Medlemsstatene skal senest 25. mai 2018 underrette Kommisjonen om de lovbestemmelser de vedtar i henhold til nr. 1, og uten opphold om eventuelle senere endringer som påvirker dem.

KAPITTEL IX Bestemmelser om særlige behandlingssituasjoner

Artikkel 85.Behandling og ytrings- og informasjonsfrihet

1. Medlemsstatene skal ved lov bringe retten til vern av personopplysninger i henhold til denne forordning i samsvar med retten til ytrings- og informasjonsfrihet, herunder behandling som finner sted i journalistisk øyemed eller med henblikk på akademiske, kunstneriske eller litterære ytringer.
2. Ved behandling som finner sted i journalistisk øyemed eller med henblikk på akademiske, kunstneriske eller litterære ytringer, skal medlemsstatene fastsette fritak eller unntak fra kapittel II (prinsipper), kapittel III (den registrertes rettigheter), kapittel IV (behandlingsansvarlig og databehandler), kapittel V (overføring av personopplysninger til tredjestater eller internasjonale organisasjoner), kapittel VI (uavhengige tilsynsmyndigheter), kapittel VII (samarbeid og ensartet anvendelse) og kapittel IX (særlige behandlingssituasjoner) dersom det er nødvendig for å bringe retten til vern av personopplysninger i samsvar med retten til ytrings- og informasjonsfrihet.
3. Medlemsstatene skal underrette Kommisjonen om de lovbestemmelser de har vedtatt i henhold til nr. 2, og uten opphold om eventuelle senere endringslover eller endringer som påvirker dem.

Artikkel 86.Behandling og allmennhetens innsyn i offentlige dokumenter

Personopplysninger i offentlige dokumenter som en offentlig myndighet eller et offentlig eller privat organ er i besittelse av for å utføre en oppgave i allmennhetens interesse, kan utleveres av myndigheten eller organet i samsvar med unionsretten eller medlemsstatenes nasjonale rett som den offentlige myndigheten eller organet er underlagt, for å bringe allmennhetens rett til innsyn i offentlige dokumenter i samsvar med retten til vern av personopplysninger i henhold til denne forordning.

Artikkel 87.Behandling av nasjonalt identifikasjonsnummer

Medlemsstatene kan fastsette nærmere særlige vilkår for behandling av et nasjonalt identifikasjonsnummer eller andre generelle identifikatorer. Dersom dette er tilfellet, skal det nasjonale identifikasjonsnummeret eller enhver annen generell identifikator bare brukes sammen med nødvendige garantier for den registrertes rettigheter og friheter i henhold til denne forordning.

Artikkel 88.Behandling i forbindelse med ansettelsesforhold

1. Medlemsstatene kan, ved lov eller tariffavtaler, fastsette nærmere regler for å sikre vern av rettigheter og friheter ved behandling av arbeidstakeres personopplysninger i forbindelse med ansettelsesforhold, særlig med henblikk på rekruttering, oppfyllelse av arbeidsavtaler, herunder oppfyllelse av forpliktelser fastsatt ved lov eller tariffavtaler, ledelse, planlegging og organisering av arbeidet, likestilling og mangfold samt helse og sikkerhet på arbeidsplassen, vern av arbeidsgiverens eller kundens eiendom, individuell eller kollektiv utøvelse av eller rett til å nyte godt av rettighetene og fordelene knyttet til ansettelsen samt for å avslutte ansettelsesforholdet.
2. Nevnte regler skal omfatte egnede og særlige tiltak for å verne den registrertes menneskeverd, berettigede interesser og grunnleggende rettigheter, særlig med hensyn til behandlingens åpenhet, overføring av personopplysninger internt i et konsern eller en gruppe av foretak som utøver en felles økonomisk virksomhet, og overvåkingssystemer på arbeidsplassen.
3. Medlemsstatene skal senest 25. mai 2018 underrette Kommisjonen om de lovbestemmelser de vedtar i henhold til nr. 1, og uten opphold om eventuelle senere endringer som påvirker dem.

Artikkel 89.Garantier og unntak ved behandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål

1. Behandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal omfattes av nødvendige garantier i samsvar med denne forordning for å sikre den registrertes rettigheter og friheter. Nevnte garantier skal sikre at det er innført tekniske og organisatoriske tiltak for særlig å sikre at prinsippet om dataminimering overholdes. Nevnte tiltak kan omfatte pseudonymisering, forutsatt at nevnte formål kan oppfylles på denne måten. Dersom nevnte formål kan oppfylles ved viderebehandling som ikke gjør det mulig eller ikke lenger gjør det mulig å identifisere de registrerte, skal formålene oppfylles på denne måten.
2. Når personopplysninger behandles for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, kan det i unionsretten eller medlemsstatenes nasjonale rett fastsettes unntak fra rettighetene nevnt i artikkel 15, 16, 18 og 21, med forbehold for vilkårene og garantiene nevnt i nr. 1 i denne artikkel, i den grad det er sannsynlig at slike rettigheter vil gjøre det umulig eller i alvorlig grad vil hindre oppfyllelsen av de spesifikke formålene, og slike unntak er nødvendig for å oppfylle nevnte formål.
3. Når personopplysninger behandles for arkivformål i allmennhetens interesse, kan det i unionsretten eller medlemsstatenes nasjonale rett fastsettes unntak fra rettighetene nevnt i artikkel 15, 16, 18, 19, 20 og 21, med forbehold for vilkårene og garantiene nevnt i nr. 1 i denne artikkel, i den grad det er sannsynlig at slike rettigheter vil gjøre det umulig eller i alvorlig grad vil hindre oppfyllelsen av de spesifikke formålene, og slike unntak er nødvendig for å oppfylle nevnte formål.
4. Når en behandling nevnt i nr. 2 og 3 samtidig har andre formål, får unntakene anvendelse bare på behandling for formålene nevnt i disse numre.

Artikkel 90.Taushetsplikt

1. Medlemsstatene kan vedta særlige regler for å fastsette tilsynsmyndighetenes myndighet omhandlet i artikkel 58 nr. 1 bokstav e) og f) i forbindelse med behandlingsansvarlige eller databehandlere som i henhold til unionsretten eller medlemsstatenes nasjonale rett eller regler fastsatt av nasjonale vedkommende organer omfattes av yrkesmessig taushetsplikt eller annen tilsvarende taushetsplikt, dersom det er nødvendig og står i et rimelig forhold til behovet for å bringe retten til vern av personopplysninger i samsvar med nevnte taushetsplikt. Nevnte regler får bare anvendelse på personopplysninger som den behandlingsansvarlige eller databehandleren har mottatt som følge av, eller har innhentet i forbindelse med, en aktivitet som omfattes av nevnte taushetsplikt.
2. Medlemsstatene skal senest 25. mai 2018 underrette Kommisjonen om de regler de vedtar i henhold til nr. 1, og uten opphold om eventuelle senere endringer som påvirker dem.

Artikkel 91.Eksisterende regler om vern av personopplysninger for kirker og religiøse sammenslutninger

1. Dersom kirker og religiøse sammenslutninger eller samfunn i en medlemsstat på tidspunktet for ikrafttredelsen av denne forordning anvender omfattende regler om vern av fysiske personer med hensyn til behandling, kan nevnte regler fortsatt anvendes, forutsatt at de bringes i samsvar med denne forordning.
2. Kirker og religiøse sammenslutninger som anvender omfattende regler i samsvar med nr. 1 i denne artikkel, skal være underlagt tilsyn av en uavhengig tilsynsmyndighet, som kan være spesifikk, forutsatt at den oppfyller vilkårene fastsatt i kapittel VI i denne forordning.

KAPITTEL X Delegerte rettsakter og gjennomføringsrettsakter

Artikkel 92.Utøvelse av delegert myndighet

1. Myndigheten til å vedta delegerte rettsakter gis Kommisjonen med forbehold for vilkårene fastsatt i denne artikkel.
2. Den delegerte myndigheten nevnt i artikkel 12 nr. 8 og artikkel 43 nr. 8 gis Kommisjonen på ubestemt tid fra 24. mai 2016.
3. Den delegerte myndigheten nevnt i artikkel 12 nr. 8 og artikkel 43 nr. 8 kan når som helst tilbakekalles av Europaparlamentet eller Rådet. En beslutning om tilbakekalling innebærer at den delegerte myndigheten som angis i beslutningen, opphører å gjelde. Den får anvendelse dagen etter at den er kunngjort i Den europeiske unions tidende eller på et senere tidspunkt angitt i beslutningen. Den berører ikke gyldigheten av delegerte rettsakter som allerede er i trådt i kraft.
4. Så snart Kommisjonen vedtar en delegert rettsakt, skal den underrette Europaparlamentet og Rådet samtidig om dette.
5. En delegert rettsakt vedtatt i henhold til artikkel 12 nr. 8 og artikkel 43 nr. 8 skal tre i kraft bare dersom verken Europaparlamentet eller Rådet har gjort innsigelse mot rettsakten innen en frist på tre måneder etter at Europaparlamentet og Rådet ble underrettet om rettsakten, eller dersom både Europaparlamentet og Rådet innen utløpet av denne fristen har underrettet Kommisjonen om at de ikke kommer til å gjøre innsigelse. Fristen forlenges med tre måneder på Europaparlamentets eller Rådets initiativ.

Artikkel 93.Komitéprosedyre

1. Kommisjonen skal bistås av en komité. Nevnte komité skal være en komité i henhold til forordning (EU) nr. 182/2011.
2. Når det vises til dette nummer, får artikkel 5 i forordning (EU) nr. 182/2011 anvendelse.
3. Når det vises til dette nummer, får artikkel 8 sammenholdt med artikkel 5 i forordning (EU) nr. 182/2011 anvendelse.

KAPITTEL XI Sluttbestemmelser

Artikkel 94.Oppheving av direktiv 95/46/EF

1. Direktiv 95/46/EF oppheves med virkning fra 25. mai 2018.
2. Henvisninger til det opphevede direktiv skal forstås som henvisninger til denne forordning. Henvisninger til arbeidsgruppen for personvern i forbindelse med behandling av personopplysninger nedsatt ved artikkel 29 i direktiv 95/46/EF skal forstås som henvisninger til Det europeiske personvernråd nedsatt ved denne forordning.

Artikkel 95.Forhold til direktiv 2002/58/EF

Ved denne forordning skal det ikke innføres ytterligere forpliktelser for fysiske eller juridiske personer når det gjelder behandling i forbindelse med levering av offentlig tilgjengelige elektroniske kommunikasjonstjenester i offentlige kommunikasjonsnett i Unionen med hensyn til aspekter der de er underlagt særlige forpliktelser med samme formål som det som er fastsatt i direktiv 2002/58/EF.

Artikkel 96.Forhold til tidligere inngåtte avtaler

Internasjonale avtaler som omfatter overføring av personopplysninger til tredjestater eller internasjonale organisasjoner, som medlemsstatene har inngått før 24. mai 2016, og som er i samsvar med unionsretten som gjaldt før nevnte dato, får fortsatt anvendelse fram til de endres, erstattes eller oppheves.

Artikkel 97.Kommisjonens rapporter

1. Kommisjonen skal senest 25. mai 2020 og deretter hvert fjerde år framlegge en rapport om vurderingen og gjennomgåelsen av denne forordning for Europaparlamentet og Rådet. Rapportene skal offentliggjøres.
2. I forbindelse med vurderingene og gjennomgåelsene nevnt i nr. 1 skal Kommisjonen særlig undersøke hvordan det følgende anvendes og fungerer:
a.kapittel V om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner, særlig med hensyn til beslutninger som er truffet i henhold til artikkel 45 nr. 3 i denne forordning, og beslutninger som er truffet på grunnlag av artikkel 25 nr. 6 i direktiv 95/46/EF,
b.kapittel VII om samarbeid og ensartet anvendelse.
3. Med hensyn til nr. 1 kan Kommisjonen anmode om informasjon fra medlemsstater og tilsynsmyndigheter.
4. Når Kommisjonen foretar vurderingene og gjennomgåelsene nevnt i nr. 1 og 2, skal den ta hensyn til holdningene og konklusjonene fra Europaparlamentet, Rådet og andre relevante organer eller kilder.
5. Kommisjonen skal ved behov framlegge egnede forslag til endring av denne forordning, idet det tas særlig hensyn til utviklingen innen informasjonsteknologi og de framskrittene som har funnet sted i informasjonssamfunnet.

Artikkel 98.Gjennomgåelse av andre EU-rettsakter om vern av personopplysninger

Dersom det er relevant, skal Kommisjonen framlegge forslag til regelverk med henblikk på endring av andre EU-rettsakter om vern av personopplysninger for å sikre et enhetlig og ensartet vern av fysiske personer i forbindelse med behandling. Dette skal særlig gjelde reglene for vern av fysiske personer i forbindelse med behandling som utføres av EUs institusjoner, organer, kontorer og byråer, og for fri utveksling av slike opplysninger.

Artikkel 99.Ikrafttredelse og anvendelse

1. Denne forordning trer i kraft den 20. dag etter at den er kunngjort i Den europeiske unions tidende.
2. Den får anvendelse fra 25. mai 2018.

Denne forordning er bindende i alle deler og kommer direkte til anvendelse i alle medlemsstater.

Utferdiget i Brussel 27. april 2016.

For EuropaparlamentetFor Rådet
M. SCHULZJ.A. HENNIS-PLASSCHAERT
FormannPresident