Lov om behandling av personopplysninger (personopplysningsloven)

EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]

KAPITTEL VII Samarbeid og ensartet anvendelse

Avsnitt 1 Samarbeid

Artikkel 60.Samarbeid mellom ledende tilsynsmyndighet og andre berørte tilsynsmyndigheter
1. Den ledende tilsynsmyndigheten skal samarbeide med de andre berørte tilsynsmyndighetene i samsvar med denne artikkel og bestrebe seg på å oppnå enighet. Den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene skal utveksle all relevant informasjon seg imellom.
2. Den ledende tilsynsmyndigheten kan til enhver tid anmode andre berørte tilsynsmyndigheter om gjensidig bistand i henhold til artikkel 61 og gjennomføre felles aktiviteter i henhold til artikkel 62, særlig for å foreta undersøkelser eller føre tilsyn med gjennomføringen av et tiltak som gjelder en behandlingsansvarlig eller databehandler som er etablert i en annen medlemsstat.
3. Den ledende tilsynsmyndigheten skal uten opphold oversende relevant informasjon om saken til de andre berørte tilsynsmyndighetene. Den skal uten opphold legge fram et utkast til avgjørelse for de andre berørte tilsynsmyndighetene, slik at de kan avgi uttalelse, og skal ta behørig hensyn til deres synspunkter.
4. Dersom en av de andre berørte tilsynsmyndighetene innen fire uker etter å ha blitt konsultert i samsvar med nr. 3 i denne artikkel, uttrykker en relevant og begrunnet innsigelse mot utkastet til avgjørelse, skal den ledende tilsynsmyndigheten, dersom den ikke etterkommer den relevante og begrunnede innsigelsen eller mener at innsigelsen ikke er relevant eller begrunnet, framlegge forholdet for konsistensmekanismen nevnt i artikkel 63.
5. Dersom den ledende tilsynsmyndigheten har til hensikt å etterkomme den relevante og begrunnede innsigelsen, skal den framlegge et revidert utkast til avgjørelse til de andre berørte tilsynsmyndighetene og be om deres uttalelse. Det reviderte utkastet til avgjørelse skal behandles i samsvar med framgangsmåten nevnt i nr. 4 innen en frist på to uker.
6. Dersom ingen av de andre berørte tilsynsmyndighetene innen fristen nevnt i nr. 4 og 5 har gjort innsigelse mot utkastet til avgjørelse framlagt av den ledende tilsynsmyndigheten, skal den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene anses for å samtykke i nevnte utkast til avgjørelse og være bundet av det.
7. Den ledende tilsynsmyndigheten skal treffe avgjørelsen og meddele den til den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet, etter hva som er relevant, og underrette de andre berørte tilsynsmyndighetene og Personvernrådet om den aktuelle avgjørelsen, herunder gi et sammendrag av de relevante faktiske forhold og begrunnelser. Tilsynsmyndigheten som det er klaget til, skal underrette klageren om avgjørelsen.
8. Dersom en klage avvises eller avslås, skal tilsynsmyndigheten som klagen ble inngitt til, som unntak fra nr. 7, treffe avgjørelsen og meddele den til klageren og underrette den behandlingsansvarlige om den.
9. Dersom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene er enige om å avvise eller avslå deler av en klage og å behandle andre deler av klagen, skal det treffes en særskilt avgjørelse for hver av disse delene. Den ledende tilsynsmyndigheten skal treffe avgjørelse om den del som gjelder tiltak knyttet til den behandlingsansvarlige, meddele dette til den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet på territoriet til medlemsstaten den er underlagt, og underrette klageren om dette, mens klagerens tilsynsmyndighet skal treffe avgjørelse om den del som gjelder avvisning av eller avslag på klagen, og meddele den til klageren og underrette den behandlingsansvarlige eller databehandleren om dette.
10. Etter å ha blitt underrettet om den ledende tilsynsmyndighetens avgjørelse i henhold til nr. 7 og 9 skal den behandlingsansvarlige eller databehandleren treffe de nødvendige tiltak for å sikre overholdelse av denne avgjørelse med hensyn til behandlingsaktiviteter som utføres i forbindelse med alle vedkommendes virksomheter i Unionen. Den behandlingsansvarlige eller databehandleren skal underrette den ledende tilsynsmyndigheten, som skal underrette de andre berørte tilsynsmyndighetene om tiltakene som er truffet for å sikre overholdelse av avgjørelsen.
11. Dersom en berørt tilsynsmyndighet i særlige tilfeller har grunn til å tro at det er et akutt behov for å treffe tiltak for å verne de registrertes interesser, får framgangsmåten for behandling av hastesaker nevnt i artikkel 66 anvendelse.
12. Den ledende tilsynsmyndigheten og de andre berørte tilsynsmyndighetene skal utveksle den informasjonen som kreves i henhold til denne artikkel, elektronisk og ved bruk av et standardisert format.
Artikkel 61.Gjensidig bistand
1. Tilsynsmyndighetene skal utveksle relevant informasjon og yte gjensidig bistand for å oppnå en ensartet gjennomføring og anvendelse av denne forordning samt treffe tiltak for å sikre et effektivt samarbeid seg imellom. Gjensidig bistand skal særlig omfatte anmodninger om informasjon samt tilsynstiltak, f.eks. anmodninger om forhåndsgodkjenninger og gjennomføring av forhåndsdrøftinger, inspeksjoner og undersøkelser.
2. Hver tilsynsmyndighet skal treffe alle egnede tiltak som er nødvendig for å kunne svare på en anmodning fra en annen tilsynsmyndighet, uten ugrunnet opphold og senest én måned etter mottak av anmodningen. Nevnte tiltak kan særlig omfatte overføring av relevant informasjon om gjennomføringen av en undersøkelse.
3. Anmodninger om bistand skal inneholde all nødvendig informasjon, herunder informasjon om formålet med og årsakene til anmodningen. Informasjon som utveksles, skal bare benyttes til de formål som omfattes av anmodningen.
4. Den anmodede tilsynsmyndighet skal ikke nekte å etterkomme anmodningen, med mindre
a.den ikke har kompetanse med hensyn til det anmodningen gjelder, eller de tiltak den anmodes om å iverksette, eller
b.etterkommelse av anmodningen vil være i strid med denne forordning, unionsretten eller medlemsstatenes nasjonale rett som tilsynsmyndigheten som mottar anmodningen, er underlagt.
5. Den anmodede tilsynsmyndigheten skal underrette den anmodende tilsynsmyndigheten om resultatene eller, alt etter hva som er relevant, om framskrittene med tiltakene som er truffet for å svare på anmodningen. Den anmodede tilsynsmyndigheten skal begrunne ethvert avslag på å etterkomme en anmodning i henhold til nr. 4.
6. Anmodede tilsynsmyndigheter skal som hovedregel oversende informasjonen som en annen tilsynsmyndighet har anmodet om, elektronisk og ved bruk av et standardisert format.
7. Anmodede tilsynsmyndigheter skal ikke kreve et gebyr for tiltak de treffer på grunnlag av en anmodning om gjensidig bistand. Tilsynsmyndighetene kan vedta regler for å godtgjøre hverandre for spesifikke utgifter som oppstår ved yting av gjensidig bistand i særlige tilfeller.
8. Dersom en tilsynsmyndighet ikke framlegger informasjonen nevnt i nr. 5 i denne artikkel innen én måned etter å ha mottatt en anmodning fra en annen tilsynsmyndighet, kan den anmodende tilsynsmyndigheten treffe et midlertidig tiltak på sin medlemsstats territorium i samsvar med artikkel 55 nr. 1. I dette tilfellet skal det akutte behovet for å treffe tiltak i henhold til artikkel 66 nr. 1 anses for å være oppfylt og skal kreve en bindende hastebeslutning fra Personvernrådet i henhold til artikkel 66 nr. 2.
9. Kommisjonen kan ved hjelp av gjennomføringsrettsakter fastsette formatene og framgangsmåtene for gjensidig bistand nevnt i denne artikkel og ordningene for elektronisk utveksling av informasjon mellom tilsynsmyndighetene, og mellom tilsynsmyndighetene og Personvernrådet, særlig det standardiserte formatet nevnt i nr. 6 i denne artikkel. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.
Artikkel 62.Tilsynsmyndighetenes felles aktiviteter
1. Dersom det er relevant, skal tilsynsmyndighetene gjennomføre felles aktiviteter, herunder felles undersøkelser og felles håndhevingstiltak som medlemmer av eller personell fra andre medlemsstaters tilsynsmyndigheter skal delta i.
2. Dersom den behandlingsansvarlige eller databehandleren har virksomheter i flere medlemsstater, eller dersom det er sannsynlig at et betydelig antall registrerte i mer enn én medlemsstat i vesentlig grad vil bli påvirket av behandlingsaktiviteter, skal en tilsynsmyndighet i hver av disse medlemsstatene ha rett til å delta i felles aktiviteter. Tilsynsmyndigheten som har kompetanse i henhold til artikkel 56 nr. 1 eller 4, skal invitere tilsynsmyndigheten i hver av disse medlemsstatene til å delta i de felles aktivitetene og skal uten opphold svare på en tilsynsmyndighets anmodning om å delta.
3. En tilsynsmyndighet kan, i samsvar med medlemsstatens nasjonale rett og med tillatelse fra avgiverstatens tilsynsmyndighet, gi myndighet, herunder undersøkelsesmyndighet, til medlemmene eller personellet i avgiverstatens tilsynsmyndighet som deltar i felles aktiviteter, eller, dersom nasjonal rett i medlemsstaten til vertsstatens tilsynsmyndighet tillater det, tillate at medlemmene eller personellet i avgiverstatens tilsynsmyndighet utøver sin undersøkelsesmyndighet i samsvar med nasjonal rett i medlemsstaten til avgiverstatens tilsynsmyndighet. Nevnte undersøkelsesmyndighet kan bare utøves under veiledning og ved tilstedeværelse av medlemmer eller personell fra vertsstatens tilsynsmyndighet. Medlemmene eller personellet i avgiverstatens tilsynsmyndighet skal være underlagt nasjonal rett i medlemsstaten til vertsstatens tilsynsmyndighet.
4. Dersom personellet i avgiverstatens tilsynsmyndighet i samsvar med nr. 1 utfører aktiviteter i en annen medlemsstat, skal vertsstaten ha ansvar for deres handlinger, herunder erstatningsansvar, for enhver skade de forårsaker i forbindelse med aktivitetene i samsvar med nasjonal rett i medlemsstaten på hvis territorium de utfører aktiviteter.
5. Den medlemsstat på hvis territorium skaden ble forårsaket, skal erstatte skaden i samsvar med reglene som får anvendelse på skader forårsaket av dens eget personell. Avgiverstaten hvis personell har forårsaket skade på en person på territoriet til en annen medlemsstat, skal refundere alle beløp den andre medlemsstaten har betalt til berettigede personer på deres vegne.
6. Uten at det berører utøvelsen av rettigheter overfor tredjeparter og med unntak av nr. 5, skal hver medlemsstat i tilfellet nevnt i nr. 1 avstå fra å anmode om erstatning fra en annen medlemsstat for skader nevnt i nr. 4.
7. Dersom det planlegges en felles aktivitet og en tilsynsmyndighet innen en måned ikke oppfyller forpliktelsen fastsatt i nr. 2 annet punktum i denne artikkel, kan den andre tilsynsmyndigheten treffe et midlertidig tiltak på sin medlemsstats territorium i samsvar med artikkel 55. I dette tilfellet skal det akutte behovet for å treffe tiltak i henhold til artikkel 66 nr. 1 anses for å være oppfylt og skal forutsette en uttalelse eller kreve en bindende hastebeslutning fra Personvernrådet i henhold til artikkel 66 nr. 2.

Avsnitt 2 Ensartet anvendelse1

Artikkel 63.Konsistensmekanisme

For å bidra til en ensartet anvendelse av denne forordning i hele Unionen skal tilsynsmyndighetene samarbeide med hverandre og, dersom det er relevant, med Kommisjonen gjennom konsistensmekanismen som fastsatt i dette avsnitt.

Artikkel 64.Uttalelse fra Personvernrådet
1. Personvernrådet skal avgi uttalelse når en vedkommende tilsynsmyndighet akter å treffe noen av tiltakene nevnt nedenfor. I denne forbindelse skal vedkommende tilsynsmyndighet oversende utkastet til avgjørelse til Personvernrådet når
a.formålet er å vedta en liste over de behandlingsaktiviteter som er underlagt kravet om en vurdering av personvernkonsekvenser i henhold til artikkel 35 nr. 4,
b.det gjelder et forhold i henhold til artikkel 40 nr. 7 om hvorvidt et utkast til atferdsnormer eller en endring eller utvidelse av atferdsnormer oppfyller kravene i denne forordning,
c.formålet er å godkjenne kravene for akkreditering av et organ i henhold til artikkel 41 nr. 3 eller av et sertifiseringsorgan i henhold til artikkel 43 nr. 3 eller kriteriene for sertifisering som nevnt i artikkel 42 nr. 5,
d.formålet er å fastsette standard personvernbestemmelser som nevnt i artikkel 46 nr. 2 bokstav d) og artikkel 28 nr. 8,
e.formålet er å godkjenne avtalevilkår som nevnt i artikkel 46 nr. 3 bokstav a) eller
f.formålet er å godkjenne bindende virksomhetsregler i henhold til artikkel 47.
2. Enhver tilsynsmyndighet, lederen for Personvernrådet eller Kommisjonen kan kreve at ethvert forhold med allmenn rekkevidde eller som har virkning i flere enn én medlemsstat, undersøkes av Personvernrådet med det som mål å innhente en uttalelse, særlig dersom en vedkommende tilsynsmyndighet ikke oppfyller plikten til å yte gjensidig bistand i samsvar med artikkel 61 eller med hensyn til felles aktiviteter i samsvar med artikkel 62.
3. I tilfellene nevnt i nr. 1 og 2 skal Personvernrådet avgi uttalelse om forholdet det har fått seg forelagt, forutsatt at det ikke allerede har avgitt uttalelse om samme forhold. Uttalelsen skal vedtas innen åtte uker ved simpelt flertall blant Personvernrådets medlemmer. Denne fristen kan forlenges med ytterligere seks uker, idet det tas hensyn til forholdets kompleksitet. Med hensyn til utkastet til avgjørelse nevnt i nr. 1, oversendt til medlemmene av Personvernrådet i samsvar med nr. 5, skal et medlem som ikke har gjort innsigelse innen en rimelig frist angitt av lederen, anses for å samtykke i utkastet til avgjørelse.
4. Tilsynsmyndigheter og Kommisjonen skal uten ugrunnet opphold oversende Personvernrådet, elektronisk og ved bruk av et standardisert format, all relevant informasjon, herunder, alt etter hva som er relevant, et sammendrag av de faktiske forhold, utkastet til avgjørelse, årsaken til hvorfor nevnte tiltak må treffes og synspunkter fra andre berørte tilsynsmyndigheter.
5. Lederen for Personvernrådet skal uten ugrunnet opphold gi elektronisk underretning til
a.medlemmene av Personvernrådet og Kommisjonen om all relevant informasjon som det har mottatt, ved bruk av et standardisert format. Personvernrådets sekretariat skal ved behov sørge for oversettelse av relevant informasjon, og
b.tilsynsmyndigheten nevnt i nr. 1 og 2 og Kommisjonen om uttalelsen og offentliggjøre den.
6. Vedkommende tilsynsmyndighet nevnt i nr. 1 skal ikke vedta sitt utkast til avgjørelse nevnt i nr. 1 i løpet av perioden nevnt i nr. 3.
7. Vedkommende tilsynsmyndighet nevnt i nr. 1 skal i størst mulig grad ta hensyn til Personvernrådets uttalelse og skal senest to uker etter å ha mottatt uttalelsen underrette lederen for Personvernrådet elektronisk om hvorvidt den akter å opprettholde eller endre sitt utkast til avgjørelse, og eventuelt oversende det endrede utkastet til avgjørelse ved bruk av et standardisert format.
8. Dersom vedkommende tilsynsmyndighet nevnt i nr. 1 innen fristen nevnt i nr. 7 i denne artikkel underretter Personvernrådets leder om at den ikke akter å følge Personvernrådets uttalelse, helt eller delvis, og gir en relevant begrunnelse for dette, får artikkel 65 nr. 1 anvendelse.
Artikkel 65.Tvisteløsning gjennom Personvernrådet
1. For å sikre riktig og ensartet anvendelse av denne forordning i hvert enkelt tilfelle skal Personvernrådet treffe en bindende beslutning i følgende tilfeller:
a.dersom en berørt tilsynsmyndighet i et tilfelle nevnt i artikkel 60 nr. 4 har gjort relevant og begrunnet innsigelse mot et utkast til avgjørelse fra den ledende tilsynsmyndigheten, og den ledende tilsynsmyndigheten ikke har fulgt innsigelsen eller har avvist nevnte innsigelse med den begrunnelse at den ikke er relevant eller begrunnet. Den bindende beslutningen skal gjelde alle forhold som omfattes av den relevante og begrunnede innsigelsen, særlig om hvorvidt det foreligger en overtredelse av denne forordning,
b.dersom det er uenighet om hvilken av de berørte tilsynsmyndighetene som har kompetanse med hensyn til hovedvirksomheten,
c.dersom en vedkommende tilsynsmyndighet ikke anmoder om uttalelse fra Personvernrådet i tilfellene nevnt i artikkel 64 nr. 1, eller ikke følger Personvernrådets uttalelse avgitt i henhold til artikkel 64. Dersom dette er tilfellet, kan enhver berørt tilsynsmyndighet eller Kommisjonen framlegge forholdet for Personvernrådet.
2. Beslutningen nevnt i nr. 1 skal treffes med to tredels flertall blant Personvernrådets medlemmer senest én måned etter at forholdet er framlagt. Denne fristen kan forlenges med ytterligere én måned, idet det tas hensyn til forholdets kompleksitet. Beslutningen nevnt i nr. 1 skal være begrunnet og rettet til den ledende tilsynsmyndigheten og alle de berørte tilsynsmyndighetene og skal være bindende for dem.
3. Dersom Personvernrådet ikke har vært i stand til å treffe en beslutning innen fristene nevnt i nr. 2, skal det treffe sin beslutning innen to uker etter utløpet av den andre måneden nevnt i nr. 2 ved simpelt flertall blant dets medlemmer. Ved stemmelikhet blant medlemmene i Personvernrådet er lederens stemme utslagsgivende.
4. De berørte tilsynsmyndighetene skal ikke treffe beslutning om forholdet som er framlagt for Personvernrådet i henhold til nr. 1, i periodene nevnt i nr. 2 og 3.
5. Lederen for Personvernrådet skal uten ugrunnet opphold meddele beslutningen nevnt i nr. 1 til de berørte tilsynsmyndighetene. Vedkommende skal underrette Kommisjonen om dette. Beslutningen skal offentliggjøres på Personvernrådets nettsted uten opphold etter at tilsynsmyndigheten har meddelt den endelige beslutningen nevnt i nr. 6.
6. Den ledende tilsynsmyndigheten eller eventuelt tilsynsmyndigheten som en klage er inngitt til, skal treffe sin endelige beslutning på grunnlag av beslutningen nevnt i nr. 1 i denne artikkel, uten ugrunnet opphold og senest én måned etter at Personvernrådet har meddelt sin beslutning. Den ledende tilsynsmyndigheten eller eventuelt tilsynsmyndigheten som klagen er inngitt til, skal underrette Personvernrådet om datoen for meddelelse av den endelige beslutningen til henholdsvis den behandlingsansvarlige eller databehandleren og til den registrerte. De berørte tilsynsmyndighetenes endelige beslutning skal treffes i henhold til vilkårene i artikkel 60 nr. 7, 8 og 9. Den endelige beslutningen skal vise til beslutningen nevnt i nr. 1 i denne artikkel, og det skal angis at beslutningen som det vises til i nevnte nummer, vil bli offentliggjort på Personvernrådets nettsted i samsvar med nr. 5 i denne artikkel. Beslutningen nevnt i nr. 1 i denne artikkel skal vedlegges den endelige beslutningen.
Artikkel 66.Framgangsmåte for behandling av hastesaker
1. Dersom en berørt tilsynsmyndighet i særlige tilfeller anser at det er et akutt behov for å treffe tiltak for å verne registrertes rettigheter og friheter, kan den som unntak fra konsistensmekanismen nevnt i artikkel 63, 64 og 65 eller framgangsmåten nevnt i artikkel 60 omgående treffe midlertidige tiltak som skal ha rettsvirkning på eget territorium, med en fastsatt gyldighetsperiode på høyst tre måneder. Tilsynsmyndigheten skal uten opphold underrette de andre berørte tilsynsmyndighetene, Personvernrådet og Kommisjonen om nevnte tiltak og årsakene til at de er truffet.
2. Dersom en tilsynsmyndighet har truffet et tiltak i henhold til nr. 1 og anser at det omgående må treffes endelige tiltak, kan den anmode om en hasteuttalelse eller en bindende hastebeslutning fra Personvernrådet; anmodningen om nevnte uttalelse eller beslutning skal være begrunnet.
3. Enhver tilsynsmyndighet kan anmode om en hasteuttalelse eller eventuelt om en bindende hastebeslutning fra Personvernrådet dersom en vedkommende tilsynsmyndighet ikke har truffet et egnet tiltak i en situasjon der det er et akutt behov for å treffe tiltak for å verne registrertes rettigheter og friheter; anmodningen om nevnte uttalelse eller beslutning, herunder det akutte behovet for å treffe tiltak, skal være begrunnet.
4. Som unntak fra artikkel 64 nr. 3 og artikkel 65 nr. 2 skal en hasteuttalelse eller en bindende hastebeslutning som nevnt i nr. 2 og 3 i denne artikkel vedtas innen to uker ved simpelt flertall blant Personvernrådets medlemmer.
Artikkel 67.Utveksling av informasjon

Kommisjonen kan vedta gjennomføringsrettsakter av generell karakter for å presisere ordningene for elektronisk utveksling av informasjon mellom tilsynsmyndighetene og mellom tilsynsmyndighetene og Personvernrådet, særlig i det standardiserte formatet nevnt i artikkel 64.

Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.

Avsnitt 3 Det europeiske personvernråd

Artikkel 68.Det europeiske personvernråd
1. Det europeiske personvernråd («Personvernrådet») opprettes med dette som et EU-organ med status som juridisk person.
2. Personvernrådet skal representeres av sin leder.
3. Personvernrådet skal bestå av lederen for en tilsynsmyndighet i hver av medlemsstatene samt av EUs datatilsyn, eller deres respektive representanter.
4. Dersom en medlemsstat har mer enn én tilsynsmyndighet med ansvar for å føre tilsyn med anvendelsen av bestemmelsene i denne forordning, skal det utnevnes en felles representant i samsvar med nasjonal rett i nevnte medlemsstat.
5. Kommisjonen skal ha rett til å delta i Personvernrådets aktiviteter og møter uten stemmerett. Kommisjonen skal utpeke en representant. Lederen for Personvernrådet skal underrette Kommisjonen om Personvernrådets aktiviteter.
6. I tilfellene nevnt i artikkel 65 skal EUs datatilsyn ha stemmerett bare i forbindelse med beslutninger som gjelder prinsipper og regler som får anvendelse på Unionens institusjoner, organer, kontorer og byråer, og som i hovedsak tilsvarer dem i denne forordning.
Artikkel 69.Uavhengighet
1. Personvernrådet skal opptre uavhengig når det utfører sine oppgaver eller utøver sin myndighet i henhold til artikkel 70 og 71.
2. Uten at det berører Kommisjonens anmodninger nevnt i artikkel 70 nr. 1 og 2, skal Personvernrådet i forbindelse med utførelsen av sine oppgaver eller utøvelsen av sin myndighet ikke anmode om eller motta instrukser fra andre.
Artikkel 70.Personvernrådets oppgaver
1. Personvernrådet skal sikre ensartet anvendelse av denne forordning. For dette formål skal Personvernrådet på eget initiativ eller, dersom det er relevant, på anmodning fra Kommisjonen særlig
a.overvåke og sikre riktig anvendelse av denne forordning i tilfellene nevnt i artikkel 64 og 65, uten at det berører nasjonale tilsynsmyndigheters oppgaver,
b.rådgi Kommisjonen i alle spørsmål knyttet til vern av personopplysninger i Unionen, herunder om eventuelle forslag til endring av denne forordning,
c.rådgi Kommisjonen om formatet og framgangsmåtene for utveksling av informasjon mellom behandlingsansvarlige, databehandlere og tilsynsmyndigheter med hensyn til bindende virksomhetsregler,
d.utstede anbefalinger om, retningslinjer og beste praksis for framgangsmåter for å slette lenker, kopier eller reproduksjoner av personopplysninger fra offentlig tilgjengelige kommunikasjonstjenester som nevnt i artikkel 17 nr. 2,
e.på eget initiativ, på anmodning fra ett av dets medlemmer eller fra Kommisjonen granske alle spørsmål som gjelder anvendelse av denne forordning, og utstede retningslinjer, anbefalinger og beste praksis for å fremme en ensartet anvendelse av denne forordning,
f.utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav e) i dette nummer for å presisere kriteriene og vilkårene for avgjørelser basert på profilering i henhold til artikkel 22 nr. 2,
g.utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav e) i dette nummer for å fastslå brudd på personopplysningssikkerheten og fastsette det ugrunnede oppholdet som nevnt i artikkel 33 nr. 1 og 2 samt for de særlige tilfellene der en behandlingsansvarlig eller en databehandler har plikt til å melde brudd på personopplysningssikkerheten,
h.utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav e) i dette nummer for omstendighetene der et brudd på personopplysningssikkerheten sannsynligvis vil føre til en høy risiko for rettighetene og frihetene til de fysiske personene nevnt i artikkel 34 nr. 1.
i.utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav e) i dette nummer for å presisere kriteriene for og kravene til overføring av personopplysninger basert på bindende virksomhetsregler som behandlingsansvarlige overholder, og bindende virksomhetsregler som databehandlere overholder, samt ytterligere nødvendige krav for å sikre vern av personopplysninger for de berørte registrerte nevnt i artikkel 47,
j.utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav e) i dette nummer for å presisere kriteriene for og kravene til overføring av personopplysninger på grunnlag av artikkel 49 nr. 1,
k.utarbeide retningslinjer for tilsynsmyndigheter med tanke på anvendelse av tiltakene nevnt i artikkel 58 nr. 1, 2 og 3 og fastsettelse av overtredelsesgebyr i henhold til artikkel 83,
l.gjennomgå den praktiske anvendelsen av retningslinjene, anbefalingene og beste praksis,
m.utstede retningslinjer, anbefalinger og beste praksis i samsvar med bokstav e) i dette nummer for å fastsette felles framgangsmåter for fysiske personers rapportering av overtredelser av denne forordning i henhold til artikkel 54 nr. 2,
n.oppmuntre til utarbeiding av atferdsnormer og innføring av mekanismer for personvernsertifisering samt personvernsegl og -merker i henhold til artikkel 40 og 42,
o.godkjenne kriteriene for sertifisering i henhold til artikkel 42 nr. 5 og føre et offentlig register over sertifiseringsmekanismer og personvernsegl og -merker i henhold til artikkel 42 nr. 8 og over sertifiserte behandlingsansvarlige eller databehandlere etablert i tredjestater i henhold til artikkel 42 nr. 7,
p.godkjenne kravene nevnt i artikkel 43 nr. 3 med henblikk på akkreditering av sertifiseringsorganer nevnt i artikkel 43,
q.avgi uttalelse til Kommisjonen om sertifiseringskravene nevnt i artikkel 43 nr. 8,
r.avgi uttalelse til Kommisjonen om ikonene nevnt i artikkel 12 nr. 7,
s.avgi uttalelse til Kommisjonen om vurderingen av om beskyttelsesnivået i en tredjestat eller internasjonal organisasjon er tilstrekkelig, herunder vurderingen av om en tredjestat, et territorium eller en eller flere angitte sektorer i nevnte tredjestat eller en internasjonal organisasjon ikke lenger sikrer et tilstrekkelig beskyttelsesnivå. For dette formål skal Kommisjonen framlegge for Personvernrådet all nødvendig dokumentasjon, herunder korrespondanse med regjeringen i tredjestaten, med hensyn til nevnte tredjestat, territorium eller spesifikke sektor, eller med den internasjonale organisasjonen,
t.avgi uttalelser om tilsynsmyndighetenes utkast til beslutninger i henhold til konsistensmekanismen nevnt i artikkel 64 nr. 1 i forhold som er framlagt i henhold til artikkel 64 nr. 2, og treffe bindende beslutninger i henhold til artikkel 65, herunder i tilfellene nevnt i artikkel 66,
u.fremme samarbeidet og en effektiv bi- og multilateral utveksling av informasjon og beste praksis mellom tilsynsmyndighetene,
v.fremme felles opplæringsprogrammer og utveksling av personell mellom tilsynsmyndighetene og, dersom det er relevant, med tilsynsmyndigheter i tredjestater eller internasjonale organisasjoner,
w.fremme utveksling av kunnskap og dokumentasjon om personvernlovgivning og praksis på området med datatilsynsmyndigheter over hele verden,
x.avgi uttalelser om atferdsnormer som utarbeides på EU-plan i henhold til artikkel 40 nr. 9, og
y.føre et offentlig tilgjengelig elektronisk register over beslutninger truffet av tilsynsmyndigheter og domstoler i saker som er blitt behandlet i konsistensmekanismen.
2. Dersom Kommisjonen ber Personvernrådet om råd, kan den oppgi en tidsfrist, idet det tas hensyn til hvor mye saken haster.
3. Personvernrådet skal videresende sine uttalelser, retningslinjer, anbefalinger og beste praksis til Kommisjonen og til komiteen nevnt i artikkel 93 samt offentliggjøre dem.
4. Dersom det er relevant, skal Personvernrådet rådføre seg med berørte parter og gi dem mulighet til å framlegge kommentarer innen en rimelig frist. Uten at det berører artikkel 76, skal Personvernrådet offentliggjøre resultatene av samrådsprosedyren.
Artikkel 71.Rapporter
1. Personvernrådet skal utarbeide en årlig rapport om vern av fysiske personer i forbindelse med behandling i Unionen og, dersom det er relevant, i tredjestater og internasjonale organisasjoner. Rapporten skal offentliggjøres og oversendes til Europaparlamentet, Rådet og Kommisjonen.
2. Den årlige rapporten skal inneholde en gjennomgåelse av den praktiske anvendelsen av retningslinjene, anbefalingene og beste praksis nevnt i artikkel 70 nr. 1 bokstav l) samt av de bindende beslutningene nevnt i artikkel 65.
Artikkel 72.Framgangsmåte
1. Personvernrådet skal treffe beslutninger ved simpelt flertall blant rådets medlemmer, med mindre annet er fastsatt i denne forordning.
2. Personvernrådet skal vedta sin egen forretningsorden med to tredels flertall blant medlemmene og fastsette sine egne driftsrutiner.
Artikkel 73.Leder
1. Personvernrådet skal ved simpelt flertall velge en leder og to nestledere blant sine medlemmer.
2. Utnevnelsesperioden for lederen og nestlederne skal være fire år og kan fornyes én gang.
Artikkel 74.Lederens oppgaver
1. Lederen skal ha følgende oppgaver:
a.innkalle til møter i Personvernrådet og utarbeide dagsordenen for møtene,
b.underrette den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene om beslutninger truffet av Personvernrådet i henhold til artikkel 65,
c.sikre at Personvernrådets oppgaver utføres i rett tid, særlig i forbindelse med konsistensmekanismen nevnt i artikkel 63.
2. Personvernrådet skal fastsette fordelingen av oppgavene mellom lederen og nestlederne i sin forretningsorden.
Artikkel 75.Sekretariat
1. Personvernrådet skal ha et sekretariat, som skal stilles til rådighet av EUs datatilsyn.
2. Sekretariatet skal utføre sine oppgaver utelukkende under ledelse av Personvernrådets leder.
3. Personellet ved EUs datatilsyn som deltar i utførelsen av oppgavene som ved denne forordning gis Personvernrådet, skal ha andre rapporteringsveier enn personellet som deltar i utførelsen av oppgavene som EUs datatilsyn er gitt.
4. Dersom det er relevant, skal Personvernrådet og EUs datatilsyn utarbeide og offentliggjøre en programerklæring med henblikk på gjennomføring av denne artikkel med fastsettelse av vilkårene for deres samarbeid som får anvendelse på personellet hos EUs datatilsyn som deltar i utførelsen av oppgavene som ved denne forordning gis Personvernrådet.
5. Sekretariatet skal yte analytisk, administrativ og logistisk støtte til Personvernrådet.
6. Sekretariatet skal særlig ha ansvar for
a.Personvernrådets daglige virksomhet,
b.kommunikasjon mellom Personvernrådets medlemmer, dets leder og Kommisjonen,
c.kommunikasjon med andre institusjoner og med allmennheten,
d.bruken av elektroniske midler i forbindelse med intern og ekstern kommunikasjon,
e.oversettelse av relevant informasjon,
f.forberedelse og oppfølging av Personvernrådets møter,
g.forberedelse, utarbeiding av utkast til og offentliggjøring av uttalelser, beslutninger om løsning av tvister mellom tilsynsmyndigheter samt andre tekster som vedtas av Personvernrådet.
Artikkel 76.Konfidensialitet
1. Personvernrådets drøftinger skal være konfidensielle når Personvernrådet anser det nødvendig, som fastsatt i dets forretningsorden.
2. Tilgangen til dokumenter som sendes til Personvernrådets medlemmer, sakkyndige og representanter for tredjeparter, omfattes av europaparlaments- og rådsforordning (EF) nr. 1049/2001.​1
1Europaparlaments- og rådsforordning (EF) nr. 1049/2001 av 30. mai 2001 om offentlig tilgang til Europaparlamentets, Rådets og Kommisjonens dokumenter (EFT L 145 av 31.5.2001, s. 43).