Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15

Europaudvalget 2014-15 (1. samling)
Rådsmøde 3396 - RIA Bilag 1
Offentligt

Politi- og Strafferetsafdelingen

Dato:

Kontor:

Straffuldbyrdelseskonto-

ret

Sagsbeh: Sofie Skou Sandager

Sagsnr.: 2015-3051/01-0030

Dok.:

1625737

Supplerende samlenotat vedrørende de sager inden for Justitsministe-

riets ansvarsområder, der forventes behandlet på rådsmødet (retlige

og indre anliggender) og mødet i Det Blandede Udvalg den 15.-16. juni

2015

Side:

2-105

Dagsordenspunkt 1

Forslag til Europa-Parlamentets og Rå-

dets forordning om beskyttelse af fysiske

personer i forbindelse med behandling af

personoplysninger og om fri udveksling

af sådanne oplysninger (generel forord-

ning om databeskyttelse)

-generel indstilling

KOM (2012) 0011

Slotsholmsgade 10

1216 København K.

Telefon 7226 8400

Telefax 3393 3510

www.justitsministeriet.dk

[email protected]

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Dagsordenspunkt 1: Forslag til Europa-Parlamentets og Rådets for-

ordning om beskyttelse af fysiske personer i forbindelse med behand-

ling af personoplysninger og den fri udveksling af sådanne oplysnin-

ger (generel forordning om databeskyttelse)

Revideret notat. Ændringerne er markeret med kursiv.

Sagen er ikke omfattet af retsforbeholdet.

KOM(2012) 11 endelig

Resumé

Forslaget til en generel forordning om databeskyttelse er ikke omfattet af

retsforbeholdet. På rådsmødet den 15. og 16. juni 2015 er det forventnin-

gen, at der skal opnås enighed om hele forordningsforslaget på rådsni-

veau, således at der kan indledes trilog-forhandlinger med Europa-

Parlamentet. Forordningsforslaget er på en række punkter en videreførel-

se af reguleringen i det gældende databeskyttelsesdirektiv, men forslaget

indeholder samtidig en række væsentlige ændringer og nyskabelser. Det er

regeringens vurdering, at forslaget er i overensstemmelse med nærheds-

princippet. Forslaget vurderes at have lovgivningsmæssige konsekvenser.

Forslaget vurderes at have statsfinansielle konsekvenser. Kommissionens

forslag vurderes at medføre såvel administrative lettelser som administra-

tive byrder for danske virksomheder. Fra dansk side finder man, at der er

anledning til at modernisere de gældende EU-regler om persondatabeskyt-

telse. Forordningsforslaget har været forhandlet gennem længere tid. Efter

en samlet vurdering af forslaget, som det ser ud på nuværende tidspunkt,

vurderes det, at Danmark kan tilslutte sig den foreslåede enighed.

Baggrund

Den 4. november 2010 afgav Kommissionen en meddelelse med titlen:

”En global metode til beskyttelse af personoplysninger i Den Europæiske

Union” (KOM(2010) 609 endelig). Denne meddelelse beskriver hovedte-

maerne for den reform af EU’s databeskyttelsesregler, som Kommissionen

nu tilsigter at gennemføre bl.a. ved det foreliggende forordningsforslag.

I forbindelse med fremsættelse af det foreliggende forordningsforslag af-

gav Kommissionen endvidere en meddelelse med titlen: ”Beskyttelse af

privatlivets fred i en forbundet verden: En europæisk databeskyttelses-

ramme til det 21. århundrede” (KOM(2012) 9 endelig). I meddelelsen be-

skrives de overvejelser, der ligger til grund for Kommissionens forslag.

Det anføres i den forbindelse, at Kommissionen finder, at der er brug for

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

moderne, sammenhængende databeskyttelsesregler for hele EU, så oplys-

ninger kan flyde frit mellem medlemsstaterne. Virksomhederne har samti-

dig brug for klare og ensartede regler, der giver retssikkerhed og minime-

rer den administrative byrde. Dette er efter Kommissionens opfattelse vig-

tigt for at sikre, at det indre marked er velfungerende og i stand til at skabe

økonomisk vækst, nye job og innovation.

Herudover anfører Kommissionen bl.a., at artikel 16 i Traktaten om den

Europæiske Unions Funktionsmåde (TEUF) har skabt et nyt retsgrundlag,

der muliggør en moderniseret og global tilgang til databeskyttelse og fri

udveksling af personoplysninger, som også omfatter politimæssigt og ret-

ligt samarbejde i straffesager.

Kommissionen har afholdt flere offentlige høringer om databeskyttelse og

ført en tæt dialog med de relevante interessenter i de seneste år. På bag-

grund af de oplysninger, som Kommissionen har indsamlet i den forbin-

delse, konkluderes det i meddelelsen, at både borgere og virksomheder øn-

sker, at der gennemføres en altomfattende reform af EU's databeskyttelses-

regler.

Kommissionen ønsker derfor, at der skabes ”en stærk og konsekvent retlig

ramme” på området på tværs af EU's politikker. Denne ramme skal bl.a.

styrke fysiske personers rettigheder og bekæmpe bureaukrati for erhvervs-

livet.

Kommissionen foreslår, at denne nye retlige ramme skal bestå af

en databeskyttelsesforordning, der skal erstatte det gældende direk-

tiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med

behandling af personoplysninger og om fri udveksling af sådanne

oplysninger (databeskyttelsesdirektivet), og

et direktiv, der skal erstatte den gældende rammeafgørelse

2008/977/RIA om beskyttelse af personoplysninger i forbindelse

med politisamarbejde og retligt samarbejde i kriminalsager.

Det lettiske formandskab har sat forslaget til databeskyttelsesforordning

på dagsordenen for rådsmødet (retlige og indre anliggender) den 15. og

16. jun 2015. Det er forventningen, at formandskabet vil lægge op til gene-

rel enighed om hele forordningsforslaget.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Indhold

2.1. Indledning

Forslaget til Europa-Parlamentets og Rådets forordning om beskyttelse af

fysiske personer i forbindelse med behandling af personoplysninger og den

fri udveksling af sådanne oplysninger (databeskyttelsesforordningen) er

fremsat efter artikel 16, stk. 2, i TEUF, hvorefter der kan fastsættes regler

for beskyttelse af fysiske personer i forbindelse med behandling af person-

oplysninger, der foretages af bl.a. medlemsstaterne under udøvelse af akti-

viteter, der er omfattet af EU-retten.

Forslaget er endvidere fremsat under henvisning til EUF-traktatens artikel

114, stk. 1, hvorefter der, med henblik på virkeliggørelsen af de i artikel 26

fastsatte mål (oprettelsen af det indre marked), efter den almindelige lov-

givningsprocedure kan vedtages foranstaltninger med henblik på indbyrdes

tilnærmelse af medlemsstaternes love og administrative bestemmelser, der

vedrører det indre markeds oprettelse og funktion.

Det bemærkes, at forslaget i en række henseender tager udgangspunkt i

den regulering, der følger af det gældende databeskyttelsesdirektiv (direk-

tiv 95/46/EF), som navnlig er gennemført i dansk ret ved lov om behand-

ling af personoplysninger (persondataloven).

Siden forordningsforslaget blev fremsat under dansk formandskab i januar

2012, har forslaget været genstand for intensive forhandlinger på teknisk

niveau i Rådet. På baggrund heraf har teksten undergået væsentlige æn-

dringer i forhold til Kommissionens forslag.

Forordningsforslaget blev drøftet på Det Europæiske Råds møde den 24.

og 25. oktober 2013. I den forbindelse er der anført følgende i konklusio-

nerne fra Det Europæiske Råd: ”Det er vigtigt at fremme borgernes og

virksomhedernes tillid til den digitale økonomi. Rettidig vedtagelse af nog-

le stærke generelle EU-bestemmelser for databeskyttelse [og direktivet om

cybersikkerhed] er afgørende for gennemførelsen af det digitale indre

marked senest i 2015.”

På baggrund heraf fandt Justitsministeriet, at der – i forbindelse med fore-

læggelse af sagen for Folketingets Europaudvalg med henblik på forhand-

lingsoplæg i december 2013 – burde udarbejdes en detaljeret gennemgang

af forslaget, som det så ud på daværende tidspunkt. Det bemærkes, at gen-

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

nemgangen nedenfor løbende er blevet opdateret siden december 2013 i

forbindelse med, at forslaget har været drøftet på de efterfølgende rådsmø-

der, og at teksten nedenfor tager

udgangspunkt i kompromisteksten i Rådet

pr. maj 2015.

Forslaget – og derved gennemgangen nedenfor – indeholder en række væ-

sentlige ændringer i forhold til Kommissionens oprindelige forslag.

Det

bemærkes, at der på nuværende tidspunkt i Rådet er opnået enighed om

dele af teksten, herunder om artikel 1, stk. 2a, artikel 6, stk. 3, kapitel 2, 4,

5, 6, 7 samt 9.

2.2. Generelle bestemmelser (forordningens kapitel I)

I kapitel I fastsættes regler om forordningens genstand og formål og dens

materielle og territorielle anvendelsesområder. Endvidere indeholder ka-

pitlet en række definitioner.

Det fremgår af artikel 1, stk. 1, at forordningen fastsætter regler om be-

skyttelse af fysiske personer i forbindelse med behandling af personoplys-

ninger og regler om fri udveksling af personoplysninger.

Det fremgår endvidere af artikel 1, stk. 2, at forordningen beskytter fysiske

personers grundlæggende rettigheder og frihedsrettigheder, herunder især

retten til beskyttelse af personoplysninger.

Ifølge forslagets artikel 1, stk. 2a, kan medlemsstaterne fastholde eller ved-

tage nationale bestemmelser, der nærmere specificerer anvendelsen af reg-

lerne i forordningen for så vidt angår overholdelsen af en retlig forpligtel-

se, udførelsen af en opgave i samfundets interesse eller en opgave henhø-

rende under offentlig myndighedsudøvelse eller for andre særlige behand-

lingssituationer, som er reguleret i artikel 6, stk. 1, litra c og e. Dette skal

ifølge forslaget ske ved, at medlemsstaterne tydeligere præciserer i natio-

nale regler hvilke specifikke krav, der skal være opfyldt for at sikre lovlig

og rimelig behandling af personoplysninger, herunder for de behandlings-

situationer, som er omtalt i kapitel 9.

Det følger af forslagets artikel 1, stk. 3, at den frie udveksling af personop-

lysninger i EU ikke skal indskrænkes eller forbydes af grunde, der vedrø-

rer beskyttelse af fysiske personer i forbindelse med behandling af person-

oplysninger.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Forordningen vil ifølge forslagets artikel 2 finde anvendelse på behandling

af personoplysninger, der helt eller delvis foretages automatisk, og på an-

den behandling end automatisk behandling af personoplysninger, som er

eller vil blive indeholdt i et register.

De følgende behandlinger af personoplysninger er efter artikel 2, stk. 2,

undtaget fra forordningsforslagets anvendelsesområde:

Behandlinger, som iværksættes med henblik på udøvelse af aktivi-

teter, der ikke er omfattet af EU-retten. I den tilhørende præambel-

betragtning henvises der til, at dette bl.a. betyder, at national sik-

kerhed falder uden for forordningens anvendelsesområde (betragt-

ning nr. 14)

(litra a).

Behandlinger, som foretages af EU-institutioner, -organer, -

kontorer og -agenturer (litra b).

Behandlinger, som foretages af medlemsstaterne ved udførelse af

aktiviteter, der falder inden for rammerne af kapitel 2, afsnit 5, i

traktaten om Den Europæiske Union (fælles udenrigs- og sikker-

hedspolitik)

(litra c).

Behandlinger, som foretages af en fysisk person som led i person-

lige aktiviteter eller husholdningsaktiviteter (litra

d).

Behandlinger, som foretages af kompetente offentlige myndigheder

med henblik på forebyggelse, efterforskning, opdagelse eller rets-

forfølgning af straffelovsovertrædelser, opretholdelsen af den of-

fentlige orden, når dette sker med de nævnte formål, eller fuldbyr-

delse af strafferetlige sanktioner

(litra e).

Det bemærkes, at artikel 2, stk. 2, litra e, i forordningsforslaget, skal af-

spejle anvendelsesområdet for det direktivforslag om persondatabeskyttel-

se, som er den anden del af den samlede databeskyttelsespakke. Spørgsmå-

let om direktivets anvendelsesområde er endnu ikke afklaret.

Efter artikel 3, stk. 1, i forslaget finder forordningen anvendelse på be-

handling af personoplysninger i forbindelse med aktiviteter, der gennemfø-

res af en dataansvarliges eller databehandlers virksomhed i EU.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Herudover vil forordningen efter artikel 3, stk. 2, finde anvendelse på be-

handling af personoplysninger om registrerede, der er bosiddende i EU,

som foretages af en dataansvarlig, der ikke er etableret i EU, hvis behand-

lingsaktiviteterne vedrører dels udbud af varer eller tjenester til sådanne

registrerede i EU, uanset om den registrerede skal betale herfor eller ikke,

dels overvågning af sådanne registreredes adfærd for så vidt denne adfærd

finder sted i EU.

Endelig vil forordningen efter artikel 3, stk. 3, finde anvendelse på behand-

ling af personoplysninger, som foretages af en dataansvarlig, der ikke er

etableret i Unionen, men et sted, hvor en medlemsstats nationale lovgiv-

ning gælder i henhold til folkeretten.

I artikel 4 defineres en række centrale begreber. Visse af disse begreber er

nyskabelser eller ændrede i forhold til, hvad der følger af det gældende da-

tabeskyttelsesdirektiv. Følgende definitioner kan fremhæves:



”Begrænsning af behandling”, som betyder markering af opbevare-

de oplysninger med den hensigt at begrænse den fremtidige be-

handling af disse oplysninger (nr. 3a).

”Pseudonymisering”, som betyder behandling af personoplysnin-

ger på en sådan måde, at oplysningerne ikke længere kan henføres

til en bestemt registreret person uden brug af yderligere informati-

on, så længe denne yderligere information opbevares separat og er

underlagt tekniske og organisatoriske foranstaltninger, som sikrer,

at de personoplysninger, som behandles, ikke kan henføres til en

registreret (nr. 3b).

”Den registreredes samtykke”, som betyder enhver frivillig, speci-

fik og informeret viljestilkendegivelse baseret på en erklæring eller

klar bekræftelse fra den registrerede, hvorved den registrerede ind-

villiger i, at personoplysninger om vedkommende gøres til gen-

stand for behandling (nr. 8).

”Brud på persondatasikkerheden”, som betyder brud på sikkerhe-

den, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring,

ubeføjet udbredelse af eller indsigt i personoplysninger, der er vi-

deregivet, lagret eller på anden måde behandlet (nr. 9).



Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1



”Genetiske data”, som betyder alle personoplysninger vedrørende

de genetiske karakteristika ved en person, som er arvet eller pådra-

get,

som giver unik information om den pågældendes fysiologi eller

helbred,

og som er resultatet af en analyse af en biologisk prøve fra

den pågældende person (nr. 10).

”Biometriske data”, som betyder alle personoplysninger, som er re-

sultatet af en specifik teknisk behandling, som relaterer sig til en

persons fysiske, fysiologiske eller adfærdsmæssige karakteristika,

som muliggør eller bekræfter den unikke identifikation af denne

person, så som ansigtsbilleder eller fingeraftryk (nr. 11).

”Helbredsoplysninger”, som betyder oplysninger, der relaterer sig

til en persons fysiske eller mentale helbred, og som afslører infor-

mation om dennes helbredsmæssige status (nr. 12).

”Profilering”, som betyder enhver form for automatisk behandling

af personoplysninger, hvis formål er at

bruge disse oplysninger til

skabe eller bruge en profil

til

at evaluere personlige aspekter, der

relaterer sig til en fysisk person, herunder især analyse og forudsi-

gelse af forhold vedrørende erhvervsevne, økonomisk situation,

helbred, personlige præferencer eller interesser, pålidelighed eller

opførsel, placering eller bevægelser (nr. 12a).

”Hovedvirksomhed” (”main establishment”), som betyder – for så

vidt angår den dataansvarlige, som er etableret i flere end én med-

lemsstat – stedet for den centrale administration i EU, medmindre

beslutninger om formål med og midler for behandling af personop-

lysninger træffes et andet sted i EU, og denne sidstnævnte virk-

somhed har den fornødne beføjelse til at gennemføre sådanne afgø-

relser. I dette tilfælde skal den virksomhed, hvor beslutninger træf-

fes, betragtes som hovedvirksomhed.

For så vidt angår databehandlere,

som er etableret i flere end én

medlemsstat,

er hovedvirksomheden stedet for den centrale admini-

stration i EU og – hvis databehandleren ikke har en central admini-

stration i EU – er hovedvirksomheden den virksomhed, hvor ho-

vedbehandlingen af oplysningerne finder sted i forbindelse med ak-

tiviteter, der gennemføres af en databehandlers virksomhed i EU,

det omfang databehandleren er underlagt særlige forpligtelser i

forordningen

(nr. 13).



Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

I forhold til definitionen af ”hovedvirksomhed” bemærkes det, at

dette begreb anvendes til at fastlægge, hvilken national tilsyns-

myndighed der skal agere som "lead authority" i forhold til den så-

kaldte one-stop-shop mekanisme. Se nedenfor om kapitel 6 og 7.



”Bindende virksomhedsregler”, som betyder regler om beskyttelse

af personoplysninger, som en dataansvarlig eller databehandler, der

er etableret i en EU-medlemsstat, overholder i forbindelse med en

videregivelse eller en serie af videregivelser af personoplysninger

til en dataansvarlig eller databehandler i et eller flere tredjelande

inden for en koncern

eller inden for en gruppe af virksomheder i en

fælles økonomisk aktivitet

(nr. 17).

”En

berørt tilsynsmyndighed”, som betyder en tilsynsmyndighed,

der er berørt af behandlingen af personoplysninger, fordi:

(a) den dataansvarlige eller databehandleren er etableret i den

pågældende tilsynsmyndigheds medlemsstat eller

(b) registrerede, som er bosiddende i denne medlemsstat, i væsent-

ligt grad er påvirket eller sandsynligvis vil kunne blive påvir-

ket i væsentlig grad af behandlingen eller

synsmyndighed (nr. 19a).



”Grænseoverskridende behandling af personoplysninger”, som be-

tyder enten:

(a) behandling, som foretages som led i en virksomheds aktiviteter

inden for EU, og hvor den dataansvarlige er etableret i flere

end en medlemsstat, eller

(b) behandling, som foretages som led i en enkelt virksomheds ak-

tiviteter inden for EU, men hvor behandlingen i væsentligt

grad påvirker eller sandsynligvis vil kunne påvirke registrerede

i flere end en medlemsstat væsentligt (nr. 19b).

”Relevante og begrundede indsigelser”, som betyder indsigelser,

som angår spørgsmålet om, hvorvidt der er sket en overtrædelse af

forordningen eller ej, eller om en påtænkt reaktion over for den da-

taansvarlige

eller databehandleren

er i overensstemmelse med for-

ordningen. Indsigelsen skal

klart påvise betydningen af de risici,

som en påtænkt afgørelse vil have for den registreres grundlæg-



Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

gende rettigheder og frihedsrettigheder

og – hvor det er relevant –

i forhold til den frie udveksling af personoplysninger (nr. 19c).



“International organisation”, som betyder en organisation og dens

underordnede organer, som er reguleret ved offentligretlig interna-

tional lovgivning eller ethvert andet organ, som er oprettet ved eller

på baggrund af en aftale mellem to eller flere lande (nr. 21).

2.3. Principper (forordningens kapitel II)

Forordningsforslagets kapitel II indeholder en række generelle behand-

lingsprincipper, der altid skal efterleves i forbindelse med behandling af

personoplysninger, og dernæst en række specifikke regler for, hvornår op-

lysninger må behandles, såkaldte behandlingsregler. Forslaget følger i

denne henseende i vidt omfang strukturen i det gældende databeskyttelses-

direktiv.

Det følger af artikel 5, stk. 1, litra a, at personoplysninger skal behandles

lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.

Dertil skal oplysninger efter artikel 5, stk. 1, litra b, indsamles til udtrykke-

ligt angivne og legitime formål og må ikke senere gøres til genstand for

behandling, som er uforenelig med disse formål (det såkaldte finalité-

princip). Det følger endvidere af stk. 1, litra b, at videre behandling af per-

sonoplysninger med henblik på arkivformål i det offentliges interesse samt

statistiske, videnskabelige eller historiske formål i overensstemmelse med

artikel 83, ikke skal anses for at være uforenelige med de formål, hvortil

oplysningerne oprindeligt blev indsamlet.

Endvidere fremgår det af artikel 5, stk. 1, litra c, at personoplysninger skal

være tilstrækkelige og relevante, og at de ikke må omfatte mere end det,

der kræves for at opfylde det formål, hvortil de behandles. Endvidere gæl-

der, at der efter artikel 5, stk. 1, litra d, et krav om, at oplysninger skal væ-

re korrekte og – om nødvendigt – ajourførte, og at der skal tages ethvert

rimeligt skridt til at sikre, at personoplysninger, der er urigtige i forhold til

de formål, hvortil de behandles, omgående slettes eller berigtiges.

Efter artikel 5, stk. 1, litra e, skal personoplysninger opbevares på en sådan

måde, at det ikke er muligt at identificere de registrerede i et længere tids-

rum end det, der er nødvendigt af hensyn til de formål, hvortil personop-

lysningerne behandles. Det følger dog videre af forslagets litra e, at per-

sonoplysninger kan opbevares i længere perioder, hvis det alene sker med

henblik på behandling til arkivformål i det offentliges interesse samt stati-

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

stiske, videnskabelige og historiske formål i overensstemmelse med artikel

83, hvis behandlingen er underlagt gennemførelsen af de tekniske og orga-

nisatoriske foranstaltninger, som følger af forordningen for at sikre den re-

gistreredes rettigheder og frihedsrettigheder.

Endelig skal behandling efter artikel 5, stk. 1, litra ee, ske på en måde, der

sikrer den tilstrækkelige sikkerhed. Det er ifølge artikel 5, stk. 2, den data-

ansvarlige, der har ansvaret for efterlevelse af disse generelle behandlings-

principper.

Derudover indeholder forslaget en række behandlingsregler. Disse regler

regulerer, hvornår der må behandles oplysninger. Behandlingsreglernes

indhold varierer alt efter, hvor følsomme oplysninger der er tale om.

Efter artikel 6, stk. 1, kan behandlingen af almindelige personoplysninger

finde sted, hvis den registrerede har givet et entydigt samtykke til behand-

lingen af deres personoplysninger til et eller flere specifikke formål (litra

a), hvis behandlingen er nødvendig af hensyn til opfyldelsen af en kon-

trakt, som den registrerede er part i, eller af hensyn til gennemførelsen af

foranstaltninger, der træffes af den registrerede forud for indgåelse af en

sådan kontrakt (litra b), eller hvis behandlingen er nødvendig for overhol-

delse af en retlig forpligtelse, som gælder for den dataansvarlige (litra c).

Behandling kan endvidere finde sted hvis, den er nødvendig af hensyn til

beskyttelsen af den registreredes

eller en anden persons

vitale interesser

(litra d), eller den er nødvendig for udførelsen af en opgave i samfundets

interesse eller henhørende under offentlig myndighedsudøvelse, som den

dataansvarlige har fået pålagt (litra e). Endvidere kan behandling finde

sted, hvis den er nødvendig, for at den dataansvarlige eller en tredjepart

kan forfølge en legitim interesse, medmindre den registreredes interesser

eller grundlæggende rettigheder og frihedsrettigheder,

som kræver beskyt-

telse af personoplysninger,

går forud herfor, navnlig hvis den registrerede

er et barn (litra f).

Ifølge artikel 6, stk. 2,

behandling af personoplysninger, som er nød-

vendig med henblik på arkivformål i det offentliges interesse samt statisti-

ske, videnskabelige eller historiske formål,

lovlig, hvis den også er

under-

lagt de krav og sikkerhedsforanstaltninger, der følger af artikel 83.

Det er i artikel 6, stk. 3, anført, at grundlaget for den behandling, som fin-

der sted efter stk. 1, litra c og e (om overholdelse af en retlig forpligtelse,

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

og behandling, som er nødvendig for udførelsen af en opgave i samfundets

interesse eller henhørende under offentlig myndighedsudøvelse) skal fin-

des i EU-lovgivning eller national lovgivning, som den dataansvarlige er

underlagt. Det fremgår endvidere af bestemmelsen, at formålet med be-

handlingen skal fastslås i dette lovgrundlag eller for så vidt angår behand-

ling efter stk. 1, litra e, være nødvendig for udførelsen af en opgave i sam-

fundets interesse eller i forbindelse med offentlig myndighedsudøvelse,

som den dataansvarlige har fået pålagt. Lovgrundlaget kan endvidere yder-

ligere indeholde specifikke bestemmelser, som skal tilpasse anvendelsen af

forordningens bestemmelser, herunder bl.a. betingelserne for behandlin-

gens lovlighed, den dataansvarlige, typen af oplysninger, som behandles,

de registrerede, til hvem oplysningerne skal videregives og til hvilket for-

mål, til hvilke formål oplysningerne kan behandles, lagringsperioder, be-

handlingsoperationer og -procedurer, herunder foranstaltninger, som kan

sikre en lovlig og rimelig behandling, og herunder for de behandlingssitua-

tioner, som er omtalt i kapitel 9.

Det følger af artikel 6, stk. 3a, at den dataansvarlige i forbindelse med vur-

deringen af, om en senere behandling af personoplysninger er forenelig

med de formål, hvortil oplysningerne oprindeligt blev indsamlet – med-

mindre den registrerede har givet sit samtykke – skal inddrage enhver for-

bindelse mellem formålene, hvortil oplysningerne blev indsamlet og for-

målene med den senere behandling (litra a). Dertil skal den dataansvarlige

inddrage den sammenhæng oplysningerne blev indsamlet i (litra b), per-

sonoplysningernes karakter, herunder især om der behandles særlige kate-

gorier af personoplysninger, jf. artikel 9 (litra c), mulige konsekvenser, den

senere behandling vil have for den registrerede (litra d) og tilstedeværelse

af tilstrækkelige garantier (litra e).

Stk. 3a er ikke udtømmende.

Når formålet med den senere behandling er uforeneligt med formålet,

hvortil personoplysningerne blev indsamlet af den samme dataansvarlige,

skal den senere behandling have et behandlingsgrundlag i mindst én af be-

stemmelserne i artikel 6, stk. 1, litra a til e. Den samme dataansvarliges

senere behandling på baggrund af den dataansvarliges eller en tredjeparts

legitime interesser til formål, som er uforenelige med den oprindelige be-

handling, vil være lovlig, hvis disse interesser overstiger den registreredes

interesser (artikel 6, stk. 4).

I artikel 7 indeholder forslaget regler om betingelserne for samtykket, som

den registrerede kan afgive for at tillade behandling af oplysninger. Det

følger af forslagets stk. 1, at samtykke til behandling af almindelige oplys-

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

ninger skal være entydigt. Samtykke til behandling af en række særlige ka-

tegorier af oplysninger (følsomme oplysninger) skal være udtrykkeligt, jf.

stk. 1a.

Det følger af artikel 7, stk. 2, at hvis den registreredes samtykke gives ved

en skriftlig erklæring, som også vedrører andre forhold, skal anmodningen

om samtykke præsenteres på en sådan måde, at den klart skelner samtyk-

ket fra andre forhold

samt i en forståelig og let tilgængelig form, hvor der

bliver anvendt et klart og tydeligt sprog.

Efter artikel 7, stk. 3, har den registrerede til enhver tid ret til at trække sit

samtykke tilbage. Tilbagetrækning af samtykke vil ikke påvirke lovlighe-

den af den behandling, som ligger forud for det tidspunkt, hvor samtykket

blev trukket tilbage.

Forud for afgivelse af samtykke skal den registrerede

orienteres herom.

For at sikre, at et samtykke er afgivet frivilligt, jf. definitionen af samtykke

i artikel 4, nr. 8, fremgår det af forslagets præambelbetragtninger, at et

samtykke ikke kan anses for at være afgivet frivilligt, hvis den registrerede

ikke har et reelt og frit valg og ikke kan afvise eller tilbagetrække sit sam-

tykke, uden at det er til skade for den pågældende. Dertil fremgår, at et

samtykke ikke kan danne grundlag for en behandling i et konkret tilfælde,

hvis der er en klar skævhed mellem den registrerede og den dataansvarlige,

og denne skævhed gør det usandsynligt, at samtykket er givet frivilligt i al-

le forhold i den specifikke situation (betragtning nr. 32 og 34).

Det følger af artikel 8, stk. 1, at når artikel 6, stk. 2, litra a (om samtykke,

som behandlingshjemmel) finder anvendelse i forhold til udbud af infor-

mationssamfundstjenester direkte til børn, vil behandlingen af personop-

lysninger om børn alene være lovlig, hvis og i det omfang et sådant sam-

tykke er givet eller godkendt af forældremyndighedsindehaveren, eller

hvor samtykket er givet af barnet selv under forhold, hvor det anses for at

være gyldigt efter EU- eller medlemsstatslovgivning.

Efter artikel 8, stk. 1a, skal den dataansvarlige tage rimelige skridt, under

hensyntagen til tilgængelig teknologi, til at verificere, at samtykket er givet

eller godkendt af forældremyndighedsindehaveren.

Det følger af artikel 8, stk. 2, at artikel 8 stk. 1, ikke påvirker medlemssta-

ternes generelle regler om aftaleindgåelse, herunder regler om aftalers gyl-

dighed og form.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Kapitel II indeholder herudover yderligere

bestemmelser,

der fastsætter de

betingelser, som behandlingen af særlige kategorier af personoplysninger

skal efterleve.

Forslaget indeholder således i artikel 9 særlige behandlingsregler for en

række særlige kategorier af personoplysninger (følsomme oplysninger).

Ud over en behandlingshjemmel i artikel 6, skal behandling af særlige ka-

tegorier af personoplysninger ligeledes have en hjemmel i artikel 9. Op-

regningen i bestemmelsen af de oplysninger, som skal anses for at være

følsomme, er udtømmende.

Efter artikel 9, stk. 1, er behandling af oplysninger, der viser race og etnisk

oprindelse, politisk, religiøs eller filosofisk overbevisning og fagfore-

ningsmæssigt tilhørsforhold, genetiske data, helbredsoplysninger og op-

lysninger om seksuelle forhold forbudt.

Efter artikel 9, stk. 2, kan behandling af de nævnte oplysninger dog ske af

en række grunde.

Det følger således af stk. 2, litra a, at behandling kan finde sted, hvis den

registrerede har givet sit udtrykkelige samtykke til en sådan behandling,

medmindre det i EU-lovgivning eller medlemsstatslovgivning er fastsat, at

forbuddet mod behandling ikke kan hæves af den registrerede. Behandling

kan endvidere finde sted, hvis den er nødvendig for overholdelse af den

dataansvarliges eller den registreredes forpligtelser og specifikke rettighe-

der på det arbejdsretlige område og pensionsområdet, for så vidt behand-

lingen er hjemlet i EU-lovgivning eller medlemsstatslovgivning, herunder

i en kollektiv aftale i overensstemmelse med medlemsstatslovgivning, som

fastsætter de fornødne garantier (litra b). Behandling kan ligeledes finde

sted, hvis den er nødvendig for at beskytte den registreredes eller en anden

persons vitale interesser i tilfælde, hvor den pågældende ikke fysisk eller

juridisk er i stand til at give sit samtykke (litra c). Dertil kan behandling

finde sted, hvis den foretages af en stiftelse, en sammenslutning eller et

andet almennyttigt organ, hvis sigte er af politisk, filosofisk, religiøs eller

faglig art, som led i organets legitime aktiviteter og med de fornødne ga-

rantier, på betingelse af, at behandlingen alene vedrører organets med-

lemmer, tidligere medlemmer eller personer, der på grund af organets for-

mål er i regelmæssig kontakt hermed, og at oplysningerne ikke videregives

uden for organet uden den registreredes samtykke (litra d).

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Ifølge artikel 9, stk. 2, litra e og f, kan behandling af følsomme oplysnin-

ger finde sted, hvis behandlingen vedrører personoplysninger, som tyde-

ligvis er offentliggjort af den registrerede, eller hvis behandlingen er nød-

vendig for, at et retskrav kan fastslås, gøres gældende eller forsvares

eller

når domstole handler i deres retslige egenskab.

Stk. 2, litra g, indebærer,

at følsomme oplysninger kan behandles, hvis behandlingen er nødvendig

af hensyn en opgave af samfundsinteresse på grundlag af EU-lovgivning

eller medlemsstatslovgivning, som fastsætter tilstrækkelige og specifikke

foranstaltninger til beskyttelse af den registreredes legitime interesser.

Behandling af følsomme oplysninger kan endvidere finde sted, jf. stk. 2,

litra h, hvis behandlingen er nødvendig i forbindelse med forebyggende

medicin, arbejdsmedicin, for at vurdere en ansats arbejdsevne, medicinsk

diagnose, sygepleje eller patientbehandling, styring af sundhedsvæsen og

sundhedsydelser, når behandlingen sker på grundlag af EU- eller med-

lemsstatslovgivning eller i henhold i en kontrakt

med en sundhedsfaglig

person,

og er underlagt de betingelser og sikkerhedsforanstaltninger, som

følger af artikel 9, stk. 4.

I medfør af stk. 2, litra hb, kan behandling af de i stk. 1 nævnte oplysnin-

ger endvidere ske, hvis behandlingen er nødvendig af hensyn til den of-

fentlige interesse på folkesundhedsområdet, herunder f.eks. for beskyttelse

mod alvorlige sundhedsrisici på tværs af grænserne eller sikring af høje

kvalitets- eller sikkerhedsstandarder for bl.a. lægemidler og lægeudstyr,

når behandlingen fortages på baggrund af EU- eller medlemsstatslovgiv-

ning, som sikrer de tilstrækkelige sikkerhedsforanstaltninger for den regi-

streredes rettigheder og frihedsrettigheder.

I henhold til stk. 2, litra i, kan behandling endvidere ske hvis den er nød-

vendig til arkivformål i det offentliges interesse samt til historiske, statisti-

ske eller videnskabelige formål og underlagt de betingelser og sikkerheds-

foranstaltninger, der følger af artikel 83.

Artikel 9. stk. 4, indeholder en række betingelser, der skal være opfyldt for

at behandling af personoplysninger kan ske i medfør af artikel 9, stk. 2, lit-

ra h. Heraf følger, at behandling af personoplysninger, som nævnt i artikel

9, stk. 1, kan ske på baggrund af EU- eller medlemsstatslovgivning, be-

handles til de formål, som fremgår af artikel 9, stk. 2, litra h, hvis behand-

lingen foretages af erhvervsudøvende – eller under dennes ansvar – der er

underlagt særlige forpligtelser om tavshedspligt i EU- eller medlemsstats-

lovgivning eller regler, der er fastsat af kompetente nationale organer, eller

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

af andre personer, som er underlagt tilsvarende regler om tavshedspligt i

henhold til medlemsstatslovgivning eller regler, der er fastsat af kompeten-

te nationale organer.

Det fremgår af artikel 9, stk. 5, at medlemsstaterne kan opretholde eller

vedtage nye regler om genetiske oplysninger og helbredsoplysninger. Det-

te omfatter muligheden for medlemsstaterne for at fastsætte yderligere be-

tingelser for behandlingen af disse oplysninger.

Det følger dertil af artikel 9a, at behandling af oplysninger om straffe-

domme, lovovertrædelser og tilknyttede sikkerhedsforanstaltninger i hen-

hold til artikel 6, stk. 1, alene kan finde sted, hvis det sker enten under

kontrol af en offentlig myndighed, eller hvis denne behandling er autorise-

ret i EU-lovgivning eller i national lovgivning, som sikrer fornødne garan-

tier for den registreredes rettigheder og frihedsrettigheder. Et fuldstændigt

myndighed.

Hvis de formål, hvortil en dataansvarlig behandler personoplysninger, ik-

ke kræver eller ikke længere kræver, at den dataansvarlige kender den re-

gistreredes identitet, skal den dataansvarlige ikke være forpligtet til at op-

bevare eller anskaffe yderligere personoplysninger – eller foretage yderli-

gere behandling – for at identificere den registrerede alene med det formål

at overholde denne forordning (artikel 10, stk. 1).

Det følger endvidere af artikel 10, stk. 2, at i de situationer, hvor den data-

ansvarlige ikke har mulighed for at identificere den registrerede, finder ar-

tikel 15, 16, 17, 17a, 17b og 18 ikke anvendelse, medmindre den registre-

rede – for at udøve de rettigheder som følger af disse artikler – leverer

yderligere information, der muliggør identifikation.

2.4. Den registreredes rettigheder (forordningens kapitel III)

Forordningens kapitel III indeholder bl.a. regler om gennemsigtighed, den

registreredes ret til information og adgang til oplysninger, berigtigelse og

sletning samt om den registreredes ret til at gøre indsigelse.

Af forslagets artikel 12, stk. 1, følger en overordnet forpligtelse for den da-

taansvarlige til at foretage tilstrækkelige foranstaltninger, således at oplys-

ninger vedrørende behandling af personoplysninger, som meddeles den re-

gistrerede i forbindelse med dennes rettigheder i henhold til forordningen,

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

meddeles i en forståelig og let tilgængelig form, hvor der bliver anvendt et

klart og tydeligt sprog.

Hvis den registrerede fremsætter anmodningen

elektronisk, kan informationen som udgangspunkt meddeles elektronisk,

medmindre den registrerede har anmodet om udlevering på anden vis. Når

den registrerede anmoder herom, kan informationen meddeles mundtligt,

hvis den registreredes identitet er fastslået.

Efter artikel 12, stk. 1a, skal den dataansvarlige lette udøvelsen af de regi-

streredes rettigheder efter artikel 15 til 19. I de tilfælde, som er nævnt i ar-

tikel 10, stk. 2, kan den registrerede ikke nægte at agere på en anmodning

fra en registreret, som udøver sine rettigheder efter artikel 15 til 19, med-

mindre den dataansvarlige demonstrerer ikke at være i stand til at identifi-

cere den registrerede.

Artikel 12, stk. 2 og 3, indeholder tidsfrister mv. for meddelelse af oplys-

ninger til den registrerede om, hvad der er foretaget i anledning af udøvel-

sen af en række af den registreredes rettigheder.

Al information, som meddeles den registrerede skal efter bestemmelsens

stk. 4, bortset fra i tilfælde af indsigt, meddeles den registrerede uden om-

kostninger. I de tilfælde, hvor anmodninger fra den registrerede er åben-

bart grundløse eller overdrevne, kan den dataansvarlige nægte at handle. I

så fald er det den dataansvarlige, der har bevisbyrden i forhold til at de-

monstrere, at henvendelsen er åbenbart grundløs eller overdreven.

Forslagets artikel 14 og 14a indeholder (ligesom det gældende direktiv) en

forpligtelse for den dataansvarlige til at meddele de personer, der behand-

les oplysninger om, en række oplysninger om behandlingen, herunder

formålet med denne. Forslaget sondrer i den forbindelse imellem de tilfæl-

de, hvor oplysningerne indhentes hos den registrerede (artikel 14), og hvor

oplysningerne indhentes hos andre (artikel 14a).

Det følger af artikel 14, stk. 1, at den dataansvarlige i forbindelse med ind-

hentelse af oplysninger hos den registrerede, på det tidspunkt oplysninger

indhentes, altid skal meddele den pågældende identitet og kontaktoplys-

ninger for den dataansvarlige samt dennes eventuelle repræsentant og da-

tabeskyttelsesansvarlige (litra a), ligesom den dataansvarlige altid skal

meddele den registrerede formålet med den behandling, som personoplys-

ningerne skal bruges til,

samt grundlaget for behandlingen

(litra b).

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Den dataansvarlige skal derudover – hvor yderligere information er nød-

vendig for at sikre en rimelig og gennemsigtig behandling i forhold til den

registrerede med hensyntagen til de konkrete omstændigheder og sam-

menhængen, hvori oplysningerne bliver behandlet – meddele den registre-

rede de legitime interesser, som den dataansvarlige forfølger, hvis behand-

lingen baseres på artikel 6, stk. 1, litra f (litra b), modtagerne eller katego-

rierne af modtagere af oplysningerne (litra c), hvis det er relevant, at op-

lysningerne forventes at blive videregivet til en modtager i et tredjeland el-

ler international organisation (litra d), retten til at anmode den dataansvar-

lige om indsigt i, berigtigelse, begrænsning eller sletning af personoplys-

ninger vedrørende den registrerede eller gøre indsigelse mod behandlingen

af sådanne personoplysninger

samt retten til dataportabilitet

(litra e),

hvis

behandlingen er baseret på samtykke, om retten til at trække et samtykke

tilbage, uden at det påvirker behandlingens lovlighed forud for tilbage-

trækning af samtykket (litra ea),

retten til at indgive en klage (litra f), om

den registreredes meddelelse af personoplysninger er et krav, som følger af

lovgivning eller kontrakt eller om indgivelse af personoplysningerne er

nødvendig for at indgå en kontrakt, og i den forbindelse også mulige kon-

sekvenser, hvis den registrerede ikke indgiver personoplysningerne (litra

g),

og tilstedeværelsen af automatisk beslutningstagen, herunder profile-

ring, som omhandlet i artikel 20, stk. 1 og 3, oplysninger om logikken heri,

samt betydningen og de forventede konsekvenser af behandlingen for den

registrerede

(litra h).

Efter artikel 14, stk. 1b, skal en dataansvarlig, som agter at behandle per-

sonoplysninger til andre formål end de formål, hvortil personoplysninger-

ne oprindeligt blev indsamlet, forud for denne behandling, oplyse den re-

gistrerede om formålet med den senere behandling samt enhver anden re-

levant information, som anført i artikel 14, stk. 1a.

Ifølge artikel 14, stk. 5, gælder bestemmelserne om meddelelse af informa-

tion til den registrerede i artikel 14, stk. 1, stk. 1a og stk. 1b ikke, hvis den

registrerede allerede har oplysningerne.

I lighed med artikel 14 er artikel 14a, som vedrører oplysninger, der skal

meddeles den registrerede i forbindelse med indsamling af oplysninger hos

andre end den registrerede, opdelt i oplysninger, som altid skal meddeles,

og oplysninger, som skal meddeles den registrerede,

hvis det er nødvendigt

for at sikre en rimelig og gennemsigtig behandling i forhold til den regi-

strerede med hensyntagen til de konkrete omstændigheder og sammen-

hængen, hvori oplysningerne bliver behandlet.

De oplysninger, som skal

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

meddeles, svarer i vidt omfang til oplysningerne, som skal meddeles efter

artikel 14.

Efter artikel 14a, stk. 3, skal den dataansvarlige meddele den registrerede

oplysningerne i artikel 14a, stk. 1 og 2, inden for en rimelig periode eller

senest inden for en måned efter indsamlingen under hensyntagen til særli-

ge omstændigheder, som gør sig gældende eller – hvis oplysningerne er

bestemt til videregivelse til en anden modtager – senest når videregivelsen

af oplysningerne finder sted.

Efter artikel 14a, stk. 3a, skal en dataansvarlig, som agter at behandle

personoplysninger til andre formål end de formål, hvortil personoplysnin-

gerne oprindeligt blev indsamlet, forud for denne behandling, oplyse den

registrerede om formålet med den senere behandling samt enhver anden

relevant information, som anført i artikel 14a, stk. 2.

Artikel 14a, stk. 4, indeholder dertil en opregning af tilfælde, hvor medde-

lelse af oplysninger til den registrerede ikke skal finde sted.

Det gør sig

gældende,

hvis den registrerede allerede er i besiddelse af oplysningerne

(litra a),

hvis meddelelsen af de pågældende oplysninger er umulig eller

uforholdsmæssig vanskelig (i disse tilfælde skal den dataansvarlige tage

tilstrækkelige foranstaltninger til at beskytte den registreredes rettigheder

og frihedsrettigheder samt legitime interesser) (litra b), hvis indsamling el-

ler videregivelse udtrykkeligt er fastlagt i EU- eller medlemsstats lovgiv-

ning, som den dataansvarlige er underlagt, og som sikrer tilstrækkelige

foranstaltninger til beskyttelse af den registreredes legitime interesser (lit-

ra c) eller hvis oplysningerne skal forblive fortrolige i overensstemmelse

med EU- eller medlemsstats lovgivning (litra e).

Ligesom det gældende direktiv indeholder forslaget en bestemmelse om

den registreredes ret til indsigt (artikel 15).

Det følger heraf, at den

regi-

strerede har ret til med jævne mellemrum og uden omkostninger at få en

bekræftelse af, om der behandles oplysninger om den pågældende eller,

der ikke gør. I de tilfælde, hvor der behandles oplysninger om den pågæl-

dende, har den registrerede ret til at få indsigt i disse oplysninger.

Herud-

over har den registrerede ret til at

få oplysninger om formålet med be-

handlingen (stk. 1, litra a), om modtagere som oplysningerne er eller vil

blive videregivet til, herunder især modtagere i tredjelande

og internatio-

nale organisationer

(stk. 1, litra c), hvis det er muligt det forventede tids-

rum, hvori oplysningerne vil blive opbevaret (stk. 1, litra d), om retten til

at anmode den dataansvarlige om berigtigelse, sletning

eller begrænsning

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

af oplysninger om den registrerede

samt om retten til at

gøre indsigelse

mod behandlingen af sådanne oplysninger (stk. 1, litra e), om retten til at

indgive en klage til en tilsynsmyndighed (stk. 1, litra f), enhver tilgængelig

oplysning om, hvor oplysningerne stammer fra, hvis oplysningerne ikke er

indsamlet hos den registrerede (stk. 1, litra g),

og i de tilfælde, hvor der

træffes afgørelser, som omhandlet i artikel 20, stk. 1 og 3, oplysninger om

logikken heri, samt betydningen og de forventede konsekvenser af en så-

dan behandling

(stk. 1, litra h).

Efter artikel 15, stk. 1b, skal den dataansvarlige efter anmodning fra den

registrerede og uden større udgifter for denne give den registrerede en ko-

pi af de oplysninger, der behandles om den pågældende. Af artikel 15, stk.

2a, følger, at denne ret til at modtage en kopi ikke gælder, når en sådan

kopi ikke kan udleveres uden at videregive personoplysninger om andre

registrerede eller den dataansvarliges fortrolige oplysninger. Retten gæl-

der endvidere ikke, hvis videregivelsen indebærer en overtrædelse af im-

materielle rettigheder i forhold til behandlingen af de pågældende person-

oplysninger.

Efter forslagets artikel 16 har den registrerede ret til rettelse af oplysninger

om den pågældende, som er urigtige, ligesom den registrerede har ret til at

fuldstændiggørelse af ufuldstændige personoplysninger.

Kapitlet indeholder også i artikel 17

en ret til sletning og ”til at blive

glemt”.

Retten indebærer efter forslaget, at den registrerede i visse tilfælde

har en ret til at opnå sletning af personoplysninger vedrørende den regi-

strerede, ligesom der i disse tilfælde foreligger en forpligtelse for den data-

ansvarlige til at slette oplysningerne. Sletning skal efter artikel 17, stk. 1,

finde sted, hvis personoplysningerne ikke længere er nødvendige til opfyl-

delse af de formål, hvortil de blev indsamlet

eller på anden vis behandlet

(litra a),

hvis den registrerede tilbagekalder et samtykke, der er grundlaget

for behandlingen, og der ikke foreligger et andet grundlag, som behandlin-

gen kan baseres på

(litra b), hvis den registrerede fremkommer med indsi-

gelser mod behandlingen, jf. artikel 19, stk. 1, og der ikke foreligger legi-

time grunde til behandlinger, som overstiger disse indsigelser eller hvis

den registrerede fremkommer med indsigelser efter artikel 19, stk. 2 (litra

c), hvis oplysningerne har været behandlet ulovligt (litra d), eller hvis per-

sonoplysningerne skal slettes for at overholde en retlig forpligtelse, som

den dataansvarlige er underlagt (litra e).

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Efter artikel 17, stk. 1a, har den registrerede endvidere ret til uden unødig

forsinkelse at opnå sletning af personoplysninger om den pågældende selv,

hvis personoplysningerne er indsamlet i forbindelse med udbud af infor-

mationssamfundstjenester i henhold til artikel 8, stk. 1.

I de tilfælde, hvor den dataansvarlige har offentliggjort personoplysnin-

gerne, og i henhold til retten til

sletning

skal slette oplysningerne om den

registrerede, skal den dataansvarlige

– under hensyntagen til tilgængelig

teknologi og omkostninger ved gennemførelse –

tage rimelige skridt, her-

under tekniske foranstaltninger, til at informere andre dataansvarlige, som

behandler oplysningerne, om, at den registrerede anmoder om, at alle link

til, kopier eller gengivelser af oplysningerne bliver slettet (artikel 17, stk.

2a).

Retten til

sletning og ”til at blive glemt”

er underlagt en række undtagel-

ser, jf. artikel 17, stk. 3. Retten gælder således ikke, jf. artikel 17, stk. 3,

hvis behandling af oplysninger er nødvendig med henblik på at udøve ret-

ten til ytringsfrihed

og information

(litra a), hvor behandling af oplysnin-

ger er nødvendig for at

overholdelse af

en retlig forpligtelse i henhold til

EU-lovgivning eller medlemsstats lovgivning,

som kræver behandling af

personoplysninger

eller for udøvelse af en opgave i samfundets interesse

eller som led i myndighedsudøvelse (litra b). Retten gælder heller ikke i de

tilfælde, hvor behandling af oplysninger er nødvendig af hensyn til sam-

fundsinteresser på folkesundhedsområdet (litra c),

hvis behandlingen er

nødvendig til arkivformål i det offentliges interesse samt statistiske, viden-

skabelige eller historiske formål i overensstemmelse med artikel 83 (litra

eller hvis behandlingen er nødvendig for, at et retskrav kan fastslås, gø-

res gældende eller forsvares (litra g).

Herudover indeholder forslaget i artikel 17a en ret til begrænsning af be-

handling af personoplysninger i de tilfælde, hvor den registrerede anfægter

oplysningernes rigtighed

i en periode, hvor den dataansvarlige verificerer

oplysningernes rigtighed (stk. 1, litra a),

hvor den dataansvarlige ikke

længere har brug for oplysningerne, men de er nødvendige for den regi-

strerede i forhold til at et retskrav kan fastslås, gøres gældende eller for-

svares

(stk. 1, litra b) eller – hvis en registreret er fremkommet med en

indsigelse, jf. artikel 19, stk. 1 – i den periode, hvor det verificeres om den

dataansvarliges legitime interesser til at behandle personoplysningerne

overstiger den registreredes legitime interesser (stk. 1, litra c).

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Hvis behandlingen af personoplysninger er begrænset, jf. artikel 17a, stk.

1, kan disse oplysninger alene behandles med den registreredes samtykke,

hvis et retskrav skal fastslås, gøres gældende eller forsvares, for at beskyt-

te en anden fysisk eller juridisk persons rettigheder eller af hensyn til væ-

sentlige samfundsinteresser (stk. 3). Efter artikel 17a, stk. 4, skal en regi-

streret informeres, hvis en begrænsning af behandling af personoplysnin-

ger løftes.

Den dataansvarlige skal ifølge forslagets artikel 17b kommunikere alle ret-

telser, sletninger eller begrænsninger til samtlige modtagere af oplysnin-

gerne, medmindre dette viser sig at være umuligt eller uforholdsmæssigt

vanskeligt.

Som en nyskabelse indeholder forslaget i artikel 18 en ret til såkaldt data-

portabilitet. Forslaget indebærer i

artikel 18, stk. 2,

at den registrerede

har

ret til at modtage personoplysninger om den pågældende selv, som han el-

ler hun har givet en dataansvarlig, i et struktureret og almindeligt anvendt

og maskinlæsbart format, og har en ret til at overføre disse oplysninger til

en anden dataansvarlig uden forhindringer fra den dataansvarlige, som

først fik oplysningerne. Retten gælder i de tilfælde, hvor behandlingen er

baseret på samtykke eller kontrakt, og behandlingen sker ved automatiske

midler.

Det fremgår af artikel 18, stk. 2a og 2aa, at bestemmelsen ikke finder an-

vendelse, hvis behandlingen er nødvendig for udførelsen af en opgave i

samfundets interesse eller henhørende under offentlig myndighedsudøvel-

se, som den dataansvarlige har fået pålagt eller hvis videregivelse af op-

lysningerne ville medføre et brug på immaterielle rettigheder.

Efter artikel 19, stk. 1, har den registrerede til enhver tid ret til af grunde,

der vedrører den pågældendes særlige situation, at gøre indsigelse mod en

behandling af personoplysninger vedrørende den pågældende, der

finder

sted på baggrund af artikel 6, stk. 1, litra e og f. Behandlingen skal stand-

ses, medmindre den dataansvarlige kan påvise vægtige legitime grunde til

behandlingen, der overstiger den registreredes interesser eller rettigheder

eller frihedsrettigheder, eller hvis et retskrav skal fastslås, gøres gældende

eller forsvares.

Artikel 19, stk. 2 og 2a, indeholder særlige regler om

indsigelse i forbin-

delse med

behandling af personoplysninger i forbindelse med direkte mar-

kedsføring.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Efter artikel 19, stk. 2aa, har den registrerede ret til at fremkomme med

indsigelser mod behandling af personoplysninger til statistiske, videnska-

belige eller historiske formål. Behandlingen skal standses, medmindre be-

handlingen er nødvendig for udførelse af en opgave i offentlighedens inte-

resse eller for overholdelse af en retlig forpligtelse, som den dataansvarli-

ge er underlagt.

Forslaget indeholder derudover i artikel 20 en ret for enhver registreret til

ikke at være underlagt en afgørelse, som er baseret udelukkende på auto-

matisk behandling, herunder profilering, hvis afgørelsen har retsvirknin-

ger, eller alvorligt påvirker den pågældende.

Ifølge artikel 20, stk. 1a, gælder stk. 1 ikke, hvis behandlingen sker som led

i indgåelsen eller opfyldelsen af en aftale mellem den registrerede og den

dataansvarlige (litra a), hvis behandlingen er autoriseret i EU-lovgivning

eller medlemsstatslovgivning, som den dataansvarlige er underlagt, og

som foreskriver passende foranstaltninger, som sikrer den registreredes

rettigheder og frihedsrettigheder samt legitime interesser (litra b), eller

hvis behandlingen er baseret på den registreredes udtrykkelige samtykke

(litra c).

Ifølge artikel 20, stk. 3, må

afgørelserne i artikel 20, stk. 1a,

ikke være ba-

seret på de særlige oplysninger, som er nævnt i artikel 9, stk. 1, medmindre

artikel 9, stk. 2,

litra a eller g,

finder anvendelse, og passende foranstalt-

ninger for at sikre den registreredes legitime interesser er til stede.

Det følger af artikel 21, stk. 1, at EU- eller medlemsstats lovgivning, som

den dataansvarlige eller databehandleren er underlagt, ved lovgivnings-

mæssige foranstaltninger kan begrænse rækkevidden af de rettigheder og

forpligtelser, som følger af artikel 12-20 samt artikel 32

– og artikel 5 i det

omfang bestemmelserne heri svarer til rettigheder og forpligtelser i artikel

12-20 –

når en sådan begrænsning udgør en nødvendig og proportional

foranstaltning i et demokratisk samfund.

Begrænsningen

af rettighedernes rækkevidde

kan ske for at beskytte natio-

nal sikkerhed (litra aa), forsvar (litra ab), offentlig sikkerhed (litra a), fore-

byggelse, efterforskning, opdagelse og retsforfølgning i straffesager og op-

retholdelsen af den offentlige orden, når dette sker med de nævnte formål,

og fuldbyrdelsen af straffedomme (litra b). Begrænsning kan endvidere ske

for at beskytte Unionens eller en medlemsstats andre vigtige samfundsinte-

resser, navnlig væsentlige økonomiske eller finansielle interesser, herunder

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

valuta-, budget-, og skatteanliggender, folkesundhed og social sikkerhed

samt beskyttelsen af markedets stabilitet og integritet (litra c). Hertil

kommer, at begrænsning kan finde sted af hensyn til beskyttelsen af dom-

stolenes uafhængighed og retslige procedurer (litra ca)

Begrænsningen

af rettighedernes rækkevidde

kan ligeledes anvendes hvis

dette sker til forebyggelse, efterforskning, opdagelse og retsforfølgning i

forbindelse med brud på etiske regler for lovregulerede erhverv (litra d),

og kontrol-, tilsyns-, eller reguleringsfunktioner, selv af midlertidig karak-

ter, der er et led i den offentlige myndighedsudøvelse i de tilfælde, der er

nævnt i litra a, b, c og d (litra e). Endvidere kan begrænsning ske, hvis det-

te sker med henblik på beskyttelse af den registrerede eller andres ret-

tigheder og frihedsrettigheder (litra f). Endelig kan begrænsning ske af

hensyn til beskyttelse af håndhævelsen af civilretlige krav (litra g).

De omhandlede

lovgivningsmæssige tiltag

skal efter artikel 21, stk. 2, i det

mindste

– og når det er relevant –

indeholde bestemmelser om formålet

med behandlingen eller kategorierne af behandlinger, kategorierne af per-

sonoplysninger, anvendelsesområdet for begrænsningerne, specificering af

den dataansvarlige eller kategorier af dataansvarlige, lagringsperioden

samt de gældende sikkerhedsregler under hensyntagen til karakteren, om-

fanget og formålet med behandlingen og risikoen for den registreredes ret-

tigheder og frihedsrettigheder.

2.5. Dataansvarlig og databehandler (forordningens kapitel IV)

Forordningens kapitel IV indeholder bl.a. regler om den dataansvarliges og

databehandlerens generelle forpligtelser, regler om datasikkerhed og regler

om udarbejdelse af en konsekvensanalyse om databeskyttelse. Endvidere

fastsættes regler om udpegning af en databeskyttelsesansvarlig og regler

om adfærdskodekser og certificering.

Generelt bemærkes det, at dette kapitel indeholder en række forpligtelser

for den dataansvarlige og databehandleren, der ikke følger af det gældende

databeskyttelsesdirektiv.

Det følger af forslagets artikel 22, stk. 1, at den dataansvarlige under hen-

syntagen til behandlingens karakter, sammenhæng, omfang og formål samt

sandsynligheden for og graden af de risici, der er for den registreredes ret-

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

tigheder og frihedsrettigheder, skal gennemføre passende foranstaltninger

og kunne demonstrere, at behandlingen af personoplysninger er i overens-

stemmelse med forordningen.

Hvis det er proportionalt i forhold til den behandling af personoplysninger,

som finder sted, skal de foranstaltninger, som iværksættes, jf. artikel 22,

stk. 1, omfatte den dataansvarliges implementering af passende databe-

skyttelsespolitikker (artikel 22, stk. 2a). Det følger endvidere af artikel 22,

stk. 2b, at den dataansvarliges overholdelse af dennes forpligtelser, kan

demonstreres ved iagttagelse af adfærdskodekser, jf. artikel 38, eller certi-

ficeringsordninger, jf. artikel 39.

Som noget nyt er der endvidere indført et krav om såkaldt ”indbygget da-

tabeskyttelse”. Efter artikel 23, stk. 1, skal den dataansvarlige således un-

der hensyntagen til den teknologi, som er tilgængelig, og omkostningerne

ved gennemførelse samt med hensyntagen til risikoen for den registreredes

rettigheder og frihedsrettigheder som følge af behandlingens karakter, om-

fang og formål, gennemføre tekniske og organisatoriske foranstaltninger,

som er passende til behandlingsaktiviteten og dens formål, herunder ved at

pseudonymisere data, således at behandlingen vil opfylde kravene, som

fastlægges i forordningen, og beskytte den registreredes rettigheder.

Den dataansvarlige skal endvidere efter artikel 23, stk. 2, gennemføre pas-

sende foranstaltninger gennem indstillinger (”by default”) for at sikre, at

det alene er personoplysninger, som er nødvendige for hver behandling,

der bliver behandlet. Dette gælder både for så vidt angår mængden af per-

sonoplysninger, som bliver indsamlet, perioden, oplysningerne opbevares,

og tilgængeligheden af oplysningerne. I de tilfælde, hvor det ikke er for-

målet med behandlingen, at oplysningerne gøres offentligt tilgængelige,

skal der være indstillinger, som sikrer, at disse oplysninger ikke bliver

gjort tilgængelige for et ubestemt antal person, uden at dette sker ved

menneskelig indgriben.

Efter artikel 23, stk. 2a, kan den dataansvarlige demonstrere overholdelse

af kravene i stk. 1 og 2, ved en certificering som omtalt i artikel 39.

Af forordningsforslagets artikel 24, stk. 1, fremgår, at i det tilfælde, at der

er flere dataansvarlige, skal disse fælles dataansvarlige på gennemsigtig

vis fastsætte deres respektive ansvar for overholdelse af forpligtelserne,

der følger af forordningen, medmindre ansvaret er fordelt i henhold til EU-

eller medlemsstats lovgivning, som de dataansvarlige er underlagt. Kravet

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

om at fastsætte deres respektive ansvar gælder især for så vidt angår den

registreredes udøvelse af rettigheder og de dataansvarliges forpligtelser til

at meddele information, jf. forordningens artikel 14 og 14a. Ordningen

skal fastsætte, hvilken af de fælles dataansvarlige der skal fungere som

kontaktpunkt i forhold til den registrerede, når denne skal udøve sine ret-

tigheder i henhold til forordningen.

Efter artikel 24, stk. 2, har denne fordeling af ansvar mellem de dataan-

svarlige ingen indflydelse på den registreredes mulighed for at gøre sine

rettigheder i henhold til forordningen gældende.

Det følger af artikel 24, stk. 3, at fordelingen af ansvaret skal afspejle de

fælles dataansvarliges respektive roller i forhold til den registrerede, og

hovedindholdet i ansvarsfordelingen skal gøres tilgængelig for den regi-

strerede. Stk. 2 gælder ikke, hvis den registrerede er blevet orienteret på

en gennemsigtig og utvetydig måde om, hvilken af de fælles dataansvarlige

der er ansvarlig, medmindre en sådan fordeling – som ikke er fastlagt i

EU- eller medlemsstatslovgivning – er urimelig i forhold til den registre-

redes rettigheder.

Af forslagets artikel 25, stk. 1, fremgår, at i de tilfælde, hvor den dataan-

svarlige ikke er etableret i EU, men forordningen alligevel finder anven-

delse på grund af dens territoriale anvendelsesområde, jf. artikel 3, stk. 2,

skal den dataansvarlige skriftligt udpege en repræsentant i EU. Efter arti-

kel 25, stk. 2,

gælder det dog ikke lejlighedsvis behandling, hvor det er

usandsynligt, at behandlingen medfører en

risiko for den registreredes ret-

tigheder og frihedsrettigheder under hensyntagen til behandlingens karak-

ter, sammenhæng, omfang og formål (litra b) eller for offentlige myndig-

heder og organer (litra c).

Efter artikel 25, stk. 3, skal repræsentanten etableres i én af de medlems-

stater, hvor den registrerede, hvis personoplysninger behandles i forbindel-

se med udbuddet af varer eller tjenesteydelser eller hvis adfærd overvåges,

er bosiddende.

I henhold til artikel 25, stk. 3a, skal især tilsynsmyndigheden og den regi-

strerede kunne rette henvendelse til repræsentanten – foruden eller i stedet

for den dataansvarlige – i alle sager vedrørende behandling af personop-

lysninger med henblik på at sikre overholdelse af forordningens bestem-

melser.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Den dataansvarliges udpegning af en repræsentant berører ikke eventuelle

retslige skridt mod den dataansvarlige selv, jf. artikel 25, stk. 4.

Forslagets artikel 26 indeholder regler om databehandleren. Det følger så-

ledes af

artikel 26, stk. 1,

at den dataansvarlige alene skal anvende databe-

handlere, som kan give de tilstrækkelige garantier for gennemførelsen af

passende tekniske og organisatoriske foranstaltninger, således at behand-

lingen opfylder kravene i forordningen.

Det følger af artikel 26, stk. 1a, at databehandleren ikke skal hverve en

anden databehandler uden forudgående specifikt eller generelt skriftligt

samtykke fra den dataansvarlige. Hvis den dataansvarlige har givet et ge-

nerelt samtykke hertil, skal databehandleren altid informere den dataan-

svarlige om påtænkte ændringer i forhold til tilføjelse eller udskiftning af

andre databehandlere, således at det er muligt for den dataansvarlige at

modsætte sig disse ændringer.

Databehandlerens behandling af personoplysninger skal efter artikel 26,

stk. 2, ske i henhold til en kontrakt – eller en anden retsakt under EU- eller

medlemsstatslovgivning, som binder databehandleren til den dataansvarli-

ge – som fastsætter genstanden for og varighed af behandlingen, karakte-

ren og formålene med behandlingen, typen af personoplysninger, kategori-

en af registrerede

og den dataansvarliges rettigheder.

Kontrakten mv. skal

endvidere foreskrive, at databehandleren alene skal behandle personoplys-

ninger efter instruks fra den dataansvarlige, medmindre databehandleren er

forpligtet til at behandle personoplysningerne i henhold til EU- eller med-

lemsstatslovgivning. I sådanne tilfælde, skal databehandleren oplyse den

dataansvarlige om, at der er en lovfastsat forpligtelse til at behandle per-

sonoplysningerne, medmindre loven forbyder en sådan information på

grund af vigtige samfundsinteresser (litra a). Kontrakten mv. skal endvide-

re fastsætte, at databehandleren skal træffe alle foranstaltninger, som kræ-

ves efter artikel 30 (litra c), at databehandleren skal respektere betingelser-

ne for at hverve en anden databehandler, herunder krav om specifik forud-

gående tilladelse fra den dataansvarlige (litra d), at databehandleren for så

vidt det er muligt i betragtning af behandlingens karakter skal bistå den da-

taansvarlige i at besvare anmodninger fra registrerede, som udøver ret-

tigheder i henhold til forordningens kapitel 3 (litra e), at databehandleren

skal bistå den dataansvarlige i at sikre, at kravene i forordningens artikel

30-34 overholdes (litra f), at databehandleren efter den dataansvarliges øn-

ske skal tilbagelevere eller slette personoplysninger ved afslutningen af da-

tabehandlingsydelsen, som er uddybet i kontrakten mv., medmindre der er

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

et krav om at opbevare oplysningerne i henhold til EU- eller medlemsstats-

lovgivning, som databehandleren er underlagt (litra g), og at databehandle-

ren skal stille alle informationer, der er nødvendige for at vise overholdel-

sen af denne artikel til rådighed for den dataansvarlige

samt tillade og

medvirke til revisioner foretaget af den dataansvarlige

(litra h).

Databehandleren skal straks informere den dataansvarlige, hvis en in-

struktion fra denne ikke er i overensstemmelse med forordningen eller EU-

eller medlemsstaters databeskyttelsesbestemmelser.

I de tilfælde, hvor en databehandler hverver en anden databehandler gen-

nem en kontrakt eller en anden retsakt under EU- eller medlemsstatslov-

givning til at udføre en specifik databehandling for den dataansvarlige,

skal det være de samme databeskyttelsesforpligtelser, som er fastsat i kon-

trakten mv. mellem den dataansvarlige og databehandleren, som skal på-

lægges den anden databehandler. Det gælder især kravet om, at databe-

handleren skal give de tilstrækkelige garantier for gennemførelsen af pas-

sende tekniske og organisatoriske foranstaltninger, således at behandlingen

opfylder kravene i forordningen. I de tilfælde, hvor den anden databehand-

ler ikke formår at opfylde sine forpligtelser, skal den første databehandler

fortsat have det fulde ansvar over for den dataansvarlige i forhold til udfø-

relsen af den anden databehandlers forpligtelser (artikel 26, stk. 2a).

Efter artikel 26, stk. 2aa, kan

det indgå som et element i demonstrationen

de tilstrækkelige garantier, som databehandlerne skal gennemføre,

der

iagttages af en adfærdskodeks, jf. artikel 38, eller en certificeringord-

ning, jf. artikel 39.

Uden at det berører muligheden for en individuel kontrakt, kan kontrakten

mv. mellem den dataansvarlige og databehandleren og mellem databe-

handleren og en anden databehandler, helt eller delvist baseres på stan-

dardkontraktbestemmelser, som der henvises til i bestemmelsens stk. 2b og

2c, eller på standard kontraktbestemmelser, som er en del af en certifice-

ring, som er meddelt den dataansvarlige eller databehandleren efter artikel

39 og 39a (artikel 26, stk. 2ab).

I henhold til artikel 26, stk. 2b, kan Kommissionen fastlægge standard

kontraktbestemmelser til brug for ovennævnte aftaler mellem den dataan-

svarlige og databehandleren og mellem databehandleren og en anden data-

behandler i overensstemmelse med proceduren i artikel 87, stk. 2. Efter ar-

tikel 26, stk. 2c, kan en tilsynsmyndighed endvidere vedtage standard kon-

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

traktbestemmelser herom i overensstemmelse med sammenhængsmeka-

nismen i artikel 57.

Kontrakten mv., som skal indgås mellem den dataansvarlige og databe-

handleren og mellem databehandleren og en anden databehandler, skal væ-

re skriftlig, herunder i elektronisk form (artikel 26, stk. 3).

Som en nyskabelse stiller forslagets artikel 28, stk. 1, krav om, at den da-

taansvarlige og den dataansvarliges eventuelle repræsentant, skal opbevare

optegnelser over alle kategorier af behandlinger af personoplysninger, som

foregår under den pågældendes ansvar. Disse optegnelser skal indeholde

oplysning om navn og kontaktoplysninger for den dataansvarlige, enhver

fælles dataansvarlig, den dataansvarliges eventuelle repræsentant samt da-

tabeskyttelsesansvarlige, hvis en sådan er udpeget (litra a), formålet med

behandlingen, herunder de legitime interesser, der forfølges ved behand-

lingen, hvis den er baseret på artikel 6, stk. 1, litra f (litra c), en beskrivelse

af kategorien af registrerede og kategorien af oplysninger, som behandles

om dem (litra d), kategorien af modtagere, som oplysningerne er eller vil

bliver videregivet til, herunder især modtagere i tredjelande (litra e), hvor

det er relevant kategorien af videregivelser af personoplysninger til tredje-

lande eller internationale organisationer (litra f), hvis det er muligt de for-

ventede frister for sletning af de forskellige kategorier af personoplysnin-

ger (litra g),

og når det er muligt, en generel beskrivelse af de tekniske og

organisatoriske sikkerhedsforanstaltninger, som der er henvist til i artikel

30, stk. 1 (litra h).

Det følger af artikel 28, stk. 2a, at databehandleren skal opbevare opteg-

nelser over alle kategorier af behandlinger af personoplysninger, som fore-

går på vegne af den dataansvarlige. Optegnelserne skal indeholde oplys-

ning om navn og kontaktoplysninger for databehandleren eller databehand-

lerne samt alle dataansvarlige, som databehandleren behandler personop-

lysninger på vegne af samt den dataansvarliges eventuelle repræsentant

(litra a), navn og kontaktoplysninger på den databeskyttelsesansvarlige,

hvis en sådan er udpeget (litra b), kategorierne af behandling, som forestås

på vegne af de dataansvarlige (litra c), hvor det er relevant kategorien af

videregivelser af personoplysninger til tredjelande eller en internationale

organisationer (litra d),

og når det er muligt, en generel beskrivelse af de

tekniske og organisatoriske sikkerhedsforanstaltninger, som der er henvist

til i artikel 30, stk. 1 (litra e).

Optegnelserne skal være skriftlige, herunder i elektronisk eller anden ikke

læselig form, som kan konverteres til en læselig form (artikel 28. stk. 3a).

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Efter artikel 28, stk. 3, skal den dataansvarlige og databehandleren og den

dataansvarliges eventuelle repræsentant, efter anmodning stille optegnel-

serne til rådighed for tilsynsmyndigheden.

Efter artikel 28, stk. 4, gælder kravene til opbevaring af optegnelser ikke

for virksomheder eller organisationer, der beskæftiger under 250 personer,

medmindre behandlingen sandsynligvis vil medføre en høj grad af risiko

for den registreredes rettigheder og frihedsrettigheder – så som diskrimina-

tion, identitetstyveri eller -svindel, økonomisk tab, skade på omdømme,

tab af fortrolighed af data underlagt tavshedspligt eller enhver anden væ-

sentlig økonomisk eller social ulempe for den registrerede – under hensyn-

tagen til behandlingens karakter, sammenhæng, omfang og formål (litra b).

Forslagets artikel 30 indeholder regler om behandlingssikkerhed. Det føl-

ger af forslagets artikel 30, stk. 1, at den dataansvarlige og databehandle-

ren under hensyntagen til den teknologi, som er tilgængelig, og omkost-

ningerne ved gennemførelse samt med hensyntagen til risikoen for den re-

gistreredes rettigheder og frihedsrettigheder ved inddragelse af behandlin-

gens karakter, sammenhæng, omfang og formål, skal gennemføre tekniske

og organisatoriske foranstaltninger, herunder ved at pseudonymisere per-

sonoplysninger, for derved at sikre et sikkerhedsniveau, som er passende

til at imødegå disse risici.

Ved vurderingen af det passende sikkerhedsniveau skal der i sær tages

hensyn til de risici, som behandlingen vil indebære, som kan medføre fy-

sisk, materiel eller moralsk skade, herunder især ved hændelig eller ulovlig

tilintetgørelse, tab, ændring, ubeføjet videregivelse af personoplysninger

eller ubeføjet adgang til personoplysninger, som videregives, opbevares el-

ler behandles på anden vis (artikel 30, stk. 1a).

Det følger af artikel 30, stk. 2a,

at iagttagelse af en adfærdskodeks, jf. arti-

kel 38, eller en certificeringsordning, jf. artikel 39, kan udgøre et element i

den dataansvarliges eller databehandlerens demonstration af opfyldelse af

kravet i artikel 30, stk. 1.

Det følger endvidere af artikel 30, stk. 2b, at da-

taansvarlige og databehandlere skal tage skridt til at sikre, at enhver per-

son, som handler under de pågældendes bemyndigelse, og som har adgang

til personoplysninger, kun behandler disse efter instruktion fra den dataan-

svarlige, medmindre den pågældende i henhold til EU- eller medlemsstats-

lovgivning er forpligtet til at behandle oplysningerne.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Artikel 31 indeholder en yderligere nyskabelse med indførelsen af et krav

om, at den dataansvarlige skal anmelde brud på persondatasikkerheden til

tilsynsmyndigheden. Ifølge artikel 31, stk. 1, skal den dataansvarlige uden

unødig forsinkelse og – om muligt – senest 72 timer efter, at den dataan-

svarlige er blevet bekendt et brud på persondatasikkerheden, som sandsyn-

ligvis vil medføre en høj grad af risiko for den registreredes rettigheder el-

ler frihedsrettigheder – så som diskrimination, identitetstyveri eller -

svindel, økonomisk tab, skade på omdømme, tab af fortrolighed af data

underlagt tavshedspligt eller enhver anden væsentlig økonomisk eller soci-

al ulempe for den registrerede – anmelde bruddet til den kompetente til-

synsmyndighed. I det tilfælde, at anmeldelsen ikke er sket indenfor 72 ti-

mer, skal den dataansvarlige redegøre for baggrunden herfor samtidig

med, at anmeldelsen indgives.

Ifølge artikel 31, stk. 1a, gælder kravet om anmeldelse ikke i de tilfælde,

hvor den dataansvarlige har gennemført passende tekniske

og organisato-

riske

beskyttelsesforanstaltninger, og disse foranstaltninger er anvendt på

oplysninger, som var påvirket af bruddet, herunder især beskyttelsesforan-

staltninger, der har gjort oplysningerne uforståelige for alle, som ikke har

lovlig adgang til dem, eksempelvis ved kryptering. Kravet om anmeldelse

gælder heller ikke i de tilfælde, hvor den dataansvarlige efterfølgende har

taget skridt, som sikrer, at det ikke længere er sandsynligt, at

den høje risi-

ko for

den registreredes rettigheder og frihedsrettigheder vil

blive udløst.

Databehandleren skal efter artikel 31, stk. 2, uden unødig forsinkelse efter

at være blevet bekendt med et brud på persondatasikkerheden, varsle og

underrette den dataansvarlige.

Anmeldelsen til tilsynsmyndigheden skal efter artikel 31, stk. 3, i det

mindste beskrive karakteren af bruddet på persondatasikkerheden, herun-

der – hvis det er muligt og passende –

det omtrentlige antal

kategorier og

antal af berørte registrerede og kategorierne og det omtrentlige antal af be-

rørte optegnelser (litra a), kommunikere identiteten og kontaktoplysnin-

gerne til den databeskyttelsesansvarlige eller andre kontaktpunkter, hvor

yderligere information kan indhentes (litra b), beskrive de sandsynlige

konsekvenser af databeskyttelsesbruddet, som den dataansvarlige har iden-

tificeret (litra d), beskrive de foranstaltninger, som foreslås eller er iværk-

sat af den dataansvarlige for at afhjælpe bruddet (litra e), og hvor relevant

pege på foranstaltninger, som kan afbøde eventuelle negative virkninger af

bruddet på persondatasikkerheden (litra f).

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

I de tilfælde, hvor det ikke er muligt at meddele oplysningerne i artikel 31,

stk. 3, litra d, e og f, samtidig med oplysningerne, som skal meddeles til-

synsmyndigheden efter artikel 31, stk. 3, litra a og b, skal den dataansvar-

lige meddele denne information uden yderligere unødig forsinkelse (artikel

31, stk. 3a).

Den dataansvarlige skal efter artikel 31, stk. 4, dokumentere alle brud på

persondatasikkerheden, herunder oplysninger om bruddet, påvirkningen af

bruddet og oplysninger om, hvilke foranstaltninger er foretage for at af-

hjælpe bruddet. Dokumentationen skal give tilsynsmyndigheden mulighed

for at bekræfte overholdelsen af denne artikel.

Det følger af artikel 32, stk. 1, at når sikkerhedsbruddet kan forventes at

medføre en høj grad af risiko for den registreredes rettigheder og friheds-

rettigheder – så som diskrimination, identitetstyveri eller -svindel, økono-

misk tab, skade på omdømme, tab af fortrolighed af data underlagt tavs-

hedspligt eller enhver anden væsentlig økonomisk eller social ulempe for

den registrerede – skal den dataansvarlige ligeledes uden unødig forsinkel-

se underrette den registrerede om bruddet. Denne underretning skal efter

artikel 32, stk. 2, omfatte karakteren af bruddet på persondatasikkerheden

og indeholde de oplysninger og anbefalinger, der også skal afgives til til-

synsmyndigheden, jf. artikel 31, stk. 3, litra b, e og f.

Det er efter artikel 32, stk. 3, ikke nødvendigt at underrette den registrere-

de om et brud på persondatasikkerheden, hvis den dataansvarlige har gen-

nemført passende tekniske

og organisatoriske

beskyttelsesforanstaltninger,

og disse foranstaltninger er anvendt på oplysninger, som var påvirket af

bruddet, herunder især beskyttelsesforanstaltninger, der har gjort oplysnin-

gerne uforståelige for alle, som ikke har lovlig adgang til dem, eksempel-

vis ved kryptering (litra a), eller hvis den dataansvarlige efterfølgende har

taget skridt, som sikrer, at det ikke længere er sandsynligt, at

den høje risi-

ko for

den registreredes rettigheder og frihedsrettigheder vil

blive udløst

(litra b). Den registrerede skal heller ikke underrettes, hvis det vil indebære

en uforholdsmæssig indsats, herunder især med henvisning til antallet af

sager, som er påvirket. I sådanne tilfælde skal en offentlig meddelelse eller

lignende finde sted, således at de registrerede er informeret på en

tilsva-

rende

effektiv måde (litra c). Underretning skal endvidere ikke finde sted,

hvis det ville påvirke en væsentlig samfundsinteresse alvorligt (litra d).

Forslagets artikel 33, stk. 1, indeholder krav om, at den dataansvarlige i de

tilfælde, hvor behandlingen som følge af dens karakter, omfang og formål

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

sandsynligvis vil medføre en høj grad af risiko for den registreredes ret-

tigheder og frihedsrettigheder – så som diskrimination, identitetstyveri el-

ler -svindel, økonomisk tab, skade på omdømme, tab af fortrolighed af da-

ta underlagt tavshedspligt eller enhver anden væsentlig økonomisk eller

social ulempe for den registrerede – forud for behandlingen af oplysninger

skal gennemføre en analyse af konsekvenserne for beskyttelsen af person-

oplysninger af den planlagte behandling (en såkaldt konsekvensanalyse).

Efter artikel 33, stk. 1a, skal den dataansvarlige i forbindelse med udarbej-

delsen af en konsekvensanalyse søge råd hos den databeskyttelsesansvarli-

ge, hvis en sådan er udpeget.

Forslagets artikel 33, stk. 2, indeholder en liste over behandlinger, som ud-

løser kravet om en konsekvensanalyse. Det gælder behandlinger, hvor der

indgår en systematisk og omfattende evaluering af personlige aspekter

vedrørende en fysisk person, som er baseret på profilering og på baggrund

af hvilke afgørelser, som vil have retsvirkning for registrerede eller alvor-

ligt berøre disse, vil blive truffet (litra a). En konsekvensanalyse skal også

udarbejdes, hvis behandlingen omfatter særlige kategorier af oplysninger,

jf. artikel 9, stk. 1, biometriske data eller oplysninger om straffedomme el-

ler tilknyttede sikkerhedsforanstaltninger, hvor oplysningerne bliver be-

handlet for at træffe et stort antal afgørelser vedrørende specifikke perso-

ner (litra b). Konsekvensanalyser skal endvidere udarbejdes, hvis behand-

lingen vedrører omfattende overvågning af offentligt tilgængelige områ-

der, navnlig ved brug af optoelektronisk udstyr (videoovervågning) (litra

c).

Tilsynsmyndigheden skal udarbejde og offentliggøre en liste over de be-

handlinger, som udløser et krav om konsekvensanalyse. Tilsynsmyndighe-

den skal kommunikere denne liste til Det Europæiske Databeskyttelsesråd

(artikel 33, stk. 2a).

Efter artikel 33, stk. 2b, kan tilsynsmyndigheden også udarbejde en liste

overbehandlinger, som ikke kræver en konsekvensanalyse. Denne liste skal

kommunikeres til Det Europæiske Databeskyttelsesråd.

Forud for vedtagelse af en lister over behandlinger,

jf. artikel 33, stk. 2a og

2b,

skal den kompetente tilsynsmyndighed iværksætte sammenhængsme-

kanismen, hvis listen indeholder behandlingsaktiviteter, der vedrører ud-

bud af varer eller tjenesteydelser til registrerede, overvågning af registre-

redes adfærd i flere medlemsstater eller behandling, der væsentligt kan på-

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

virke den frie bevægelighed af personoplysninger i Unionen (artikel 33,

stk. 2c).

En konsekvensanalyse skal efter artikel 33, stk. 3, mindst indeholde en ge-

nerel beskrivelse af den planlagte behandling, en evaluering af de risici,

som

er angivet i stk. 1,

de foranstaltninger, der er nødvendige for at imø-

degå disse risici, herunder garantier, sikkerhedsforanstaltninger og meka-

nismer, som kan sikre beskyttelsen af personoplysninger og påvise

over-

holdelse af

forordningen under hensyntagen til de registreredes og andre

berørte personers rettigheder og legitime interesser.

Efter artikel 33, stk. 3a, skal iagttagelse af godkendte adfærdskodekser, jf.

forordningens artikel 38, af de relevante dataansvarlige og databehandlere,

inddrages i forbindelse med vurderingen af lovligheden og virkningen af

behandlinger, som foretages af disse dataansvarlige og databehandlere,

herunder især ved udarbejdelsen af en konsekvensanalyse.

Hvor behandling af personoplysninger i henhold til artikel 6, stk. 1, litra c

og e, har hjemmel i EU lovgivning eller

medlemsstatslovgivning,

som den

dataansvarlige er underlagt, og denne lov regulerer de pågældende speci-

fikke behandlinger eller rækker af behandlinger, finder artikel 33, stk. 1 til

3, ikke anvendelse, medmindre medlemsstaterne finder det nødvendigt at

udarbejde en konsekvensanalyse forud for behandlingen (artikel 33, stk.

5).

Efter artikel 34, stk. 2, skal den dataansvarlige i de tilfælde, hvor en kon-

sekvensanalyse påviser, at en behandling af personoplysninger sandsynlig-

vis vil medføre en meget høj grad af risici,

hvis den dataansvarlige ej

iværksætter foranstaltninger til at afbøde disse risici,

høre tilsynsmyndig-

heden, inden behandlingen iværksættes. Det følger af artikel 34, stk. 3, at i

de tilfælde, hvor tilsynsmyndigheden er af den opfattelse, at den planlagte

behandling ikke er i overensstemmelse med forordningen, herunder især

hvis risiciene ikke er tilstrækkeligt identificeret eller afhjulpet

af den data-

ansvarlige,

skal tilsynsmyndigheden inden 6 uger efter modtagelse af hø-

ringen

skriftligt

rådgive den dataansvarlige herom,

ligesom tilsynsmyndig-

heden kan gøre brug af de beføjelser, som fremgår af artikel 53.

Perioden

på 6 uger kan forlænges yderligere 6 uger under hensyntagen til komplek-

siteten af den planlagte behandling. I de tilfælde, hvor perioden forlænges,

skal den dataansvarlige og databehandleren inden for en måned fra modta-

gelse af anmodningen orienteres om grunden til forsinkelsen.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Når den dataansvarlige hører tilsynsmyndigheden i henhold til artikel 34,

stk. 2, skal tilsynsmyndigheden efter artikel 34, stk. 6, have oplysning om

ansvarsfordelingen mellem de dataansvarlige, fælles dataansvarlige og da-

tabehandlere, som er involveret i behandlingen, herunder især ved behand-

ling af personoplysninger inden for en koncern (litra a), formålet og mid-

lerne for den påtænkte behandling (litra b), foranstaltninger og garantier

som foreslås for at sikre den registreredes rettigheder og frihedsrettigheder

i henhold til forordningen (litra c), en eventuel databeskyttelsesansvarligs

kontaktoplysninger (litra d), konsekvensanalysen, som er udarbejdet i hen-

hold til artikel 33 (litra e) samt enhver anden information, som tilsyns-

myndigheden anmoder om (litra f).

Det følger af forslagets artikel 34, stk. 7, at medlemsstater i forbindelse

med forberedelse af lovforslag eller andre forskrifter skal høre tilsynsmyn-

digheden, hvis forslaget giver mulighed for behandling af personoplysnin-

ger.

Ud over forpligtelsen til forudgående høring kan det følge af en medlems-

stats lovgivning, at en dataansvarlig skal høre og indhente forudgående

godkendelse fra en tilsynsmyndighed i forbindelse med, at den dataansvar-

lige skal behandle oplysninger ved udførelse af en opgave i samfundets in-

teresse,

herunder behandling af oplysninger i forbindelse med social sik-

ring og folkesundhed

(artikel 34, stk. 7a).

Artikel 35 vedrører udpegning af såkaldte databeskyttelsesansvarlige. Det

følger, at artikel 35, stk. 1, at den dataansvarlige eller databehandleren kan

– eller skal, hvor dette er et krav i henhold til EU- eller medlemsstats lov-

givning – udpege en databeskyttelsesansvarlig.

Efter artikel 35, stk. 2, kan en koncern udpege én databeskyttelsesansvarlig

for hele koncernen. Er den dataansvarlige eller databehandleren en offent-

lig myndighed eller offentligt organ, kan den databeskyttelsesansvarlige

udpeges for flere enheder i overensstemmelse med den offentlige myndig-

heds eller det offentlige organs struktur og størrelse, jf. artikel 35, stk. 3.

Den databeskyttelsesansvarlige skal i henhold til artikel 35, stk. 5, udpeges

på baggrund af professionelle kvaliteter og især dennes ekspertviden om

databeskyttelseslovgivning og -praksis samt evne til at udføre de opgaver,

der er omhandlet i artikel 37,

herunder fraværet af interessekonflikter.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

I sin embedsperiode kan den databeskyttelsesansvarlige kun afskediges,

hvis denne ikke længere opfylder betingelserne for at varetage de opgaver,

som fremgår af artikel 37, dog bortset fra tilfælde, hvor afskedigelse af en

ansat eller en embedsmand i henhold til den pågældende medlemsstats

lovgivning kan ske på baggrund af alvorlige grunde (artikel 35, stk. 7).

Den databeskyttelsesansvarlige kan være ansat af den dataansvarlige eller

databehandleren eller udføre opgaverne på baggrund af en tjenesteydelses-

kontrakt (artikel 35, stk. 8).

Efter artikel 35, stk. 9, skal den dataansvarlige eller databehandleren of-

fentliggøre kontaktoplysningerne for den databeskyttelsesansvarlige samt

kommunikere oplysningerne til tilsynsmyndigheden.

Registrerede kan kontakte den databeskyttelsesansvarlige angående alle

spørgsmål om behandling af den registreredes personoplysninger og udø-

velse af rettigheder i henhold til forordningen (artikel 35, stk. 10).

Efter artikel 36, stk. 1, skal den dataansvarlige eller databehandleren sikre,

at den databeskyttelsesansvarlige inddrages tilstrækkeligt og rettidigt i alle

spørgsmål vedrørende beskyttelse af personoplysninger. Den dataansvarli-

ge eller databehandleren skal efter artikel 36, stk. 2, støtte den databeskyt-

telsesansvarlige i udførelsen af de opgaver, som fremgår af artikel 37 ved

at tilvejebringe ressourcer, som er nødvendige i forbindelse udførelsen af

disse opgaver, så vel som ved at give adgang til personoplysninger og da-

tabehandlinger.

Efter artikel 36, stk. 3, skal den dataansvarlige og databehandleren sikre, at

den databeskyttelsesansvarlige kan handle uafhængigt i forbindelse med

udførelsen af dennes opgaver, og at den databeskyttelsesansvarlige ikke

modtager instruktioner om udøvelsen af disse opgaver.

Den databeskyttel-

sesansvarlige skal ikke straffes af den dataansvarlige eller databehandle-

ren for at udføre sine opgaver.

Den databeskyttelsesansvarlige skal rappor-

tere direkte til den øverste ledelse hos den dataansvarlige eller databehand-

leren.

Den databeskyttelsesansvarlige kan i henhold til artikel 36, stk. 4, også ha-

ve andre opgaver og pligter. Den dataansvarlige og databehandleren skal

sikre, at disse andre opgaver og pligter ikke medfører en interessekonflikt

for den databeskyttelsesansvarlige.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Artikel 37 vedrører den databeskyttelsesansvarliges opgaver, og det følger

af bestemmelsens stk. 1, at den databeskyttelsesansvarlige skal oplyse og

rådgive den dataansvarlige eller databehandleren og de ansatte, som be-

handler personoplysninger, om deres forpligtelser i henhold til forordnin-

gen

samt andre EU- eller medlemsstatsdatabeskyttelsesbestemmelser

(litra

a), overvåge overholdelsen af forordningen,

andre EU- eller medlems-

statsdatabeskyttelsesbestemmelser

og den dataansvarliges og databehand-

lerens regler om persondatabeskyttelse, herunder fordelingen af ansvar,

bevidstgørelse og uddannelse af personale, der medvirker ved databehand-

lingen og de tilhørende kontroller (litra b), give råd angående konsekvens-

analyser, jf. artikel 33, samt overvåge deres effektivitet (litra f), kontrollere

besvarelsen af anmodninger fra tilsynsmyndigheden og inden for rammer-

ne af den databeskyttelsesansvarliges beføjelser samarbejde med tilsyns-

myndigheden på dennes anmodning eller på eget initiativ (litra g), og fun-

gere som tilsynsmyndighedens kontaktpunkt i spørgsmål om persondata-

beskyttelse, herunder i forbindelse med forudgående høring, jf. artikel 34,

og efter behov rådføre sig med tilsynsmyndigheden om ethvert andet

spørgsmål (litra h).

Efter artikel 37, stk. 2a, skal den databeskyttelsesansvarlige udføre sine

opgaver efter forordningen under hensyntagen til den risiko, som behand-

lingen medfører med inddragelse af behandlingens formål, karakter og

sammenhæng.

Kapitel 4 indeholder endvidere i artikel 38, stk. 1, en bestemmelse om, at

medlemsstaterne, tilsynsmyndighederne, Det Europæiske Databeskyttel-

sesråd og Kommissionen skal tilskynde til udarbejdelsen af adfærdskodek-

ser, der – afhængigt af de særlige forhold i de forskellige behandlingssek-

torer og de specifikke behov, som små og mellemstore virksomheder har –

bidrager til en korrekt anvendelse af forordningen. Sådanne adfærdskodek-

ser kan efter artikel 38, stk. 1a, udarbejdes, ændres eller udvides af for-

eninger og andre organisationer, som repræsenterer kategorier af dataan-

svarlige eller databehandlere med henblik på at uddybe anvendelsen af

forordningens bestemmelser. Adfærdskodekserne kan vedrøre rimelig og

gennemsigtig behandling af personoplysninger (litra a), de legitime inte-

resser, som den dataansvarlige forfølger i særlige sammenhænge (litra aa),

indsamling af personoplysninger (litra b), pseudonymisering af personop-

lysninger (litra bb), information til offentligheden og til registrerede (litra

c), registreredes udøvelse af rettigheder (litra d), information og beskyttel-

se af børn og angivelse af hvordan en forælders og værges samtykke skal

indhentes (litra e), foranstaltninger og procedurer, som der henvises til i ar-

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

tikel 22 og 23, og foranstaltninger, som skal sikre sikkerhed ved behand-

ling af personoplysninger, jf. forordningens artikel 30 (litra ee), og anmel-

delse af brud på persondatasikkerheden til tilsynsmyndigheden og medde-

lelse heraf til den registrerede (litra ef)

Det følger af artikel 38, stk. 1ab, at godkendte adfærdskodekser også kan

overholdes af dataansvarlige, som ikke er omfattet af forordningen, i for-

hold til at sikre fornødne garantier, når personoplysninger skal overføres

til tredjelande eller internationale organisationer efter artikel 42, stk. 2,

litra d. I disse tilfælde gælder visse forpligtelser, som skal sikre, at over-

holdelsen af adfærdskodeksen kan håndhæves.

En adfærdskodeks skal indeholde mekanismer, som giver de organer, som

der henvises til i artikel 38a, stk. 1, mulighed for at overvåge dens over-

holdelse af de dataansvarlige eller databehandlere, der vælger at tilslutte

sig en sådan adfærdskodeks. Denne overvågning berører ikke den kompe-

tente tilsynsmyndigheds opgaver og beføjelser i henhold til artikel 51 og

51 (artikel 38, stk. 1b).

Den forening eller organisation, som ønsker at udarbejde mv. en adfærds-

kodeks, skal indsende et udkast hertil til den kompetente tilsynsmyndig-

hed. Tilsynsmyndigheden skal komme med en udtalelse om, hvorvidt den

foreslåede adfærdskodeks, ændring eller udvidelse heraf, er i overens-

stemmelse med forordningen,

og skal godkende udkast, ændringer eller

udvidelser, hvis tilsynsmyndigheden finder, at adfærdskodeksen opstiller

passende sikkerhedsforanstaltninger

(artikel 38, stk. 2).

I de tilfælde, hvor udtalelsen fra tilsynsmyndigheden bekræfter, at en ad-

færdskodeks, en ændring eller udvidelse heraf, er i overensstemmelse med

forordningen, og adfærdskodeksen ikke vedrører behandling af personop-

lysninger i flere medlemsstater, skal tilsynsmyndigheden registrere ad-

færdskodeksen og offentliggøre detaljerne heri (artikel 38, stk. 2a). I de til-

fælde, hvor en adfærdskodeks en ændring eller udvidelse heraf vedrører

behandling af personoplysninger i flere medlemsstater, skal tilsynsmyn-

digheden

inden godkendelse

iværksætte sammenhængsmekanismen med

henblik på, at Det Europæiske Databeskyttelsesråd kommer med en udta-

lelse om,

hvorvidt

udkastet til en adfærdskodeks

er i overensstemmelse

med forordningen eller om den opstiller passende sikkerhedsforanstaltnin-

ger

(artikel 38, stk. 2b).

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Hvis udtalelsen fra Det Europæiske Databeskyttelsesråd bekræfter, at ad-

færdskodeksen er i overensstemmelse med forordningen, skal Det Europæ-

iske Databeskyttelsesråd videresende sin udtalelse til Kommissionen (arti-

kel 38, stk. 3). Kommissionen kan herefter efter artikel 38, stk. 4, vedtage

en gennemførelsesretsakt, hvoraf fremgår, at adfærdskodeksen, en ændring

eller udvidelse heraf, skal have generel gyldighed i EU. Kommissionen

skal herefter sikre passende offentliggørelse af disse adfærdskodekser (ar-

tikel 38, stk. 5).

Forslaget indeholder endvidere en bestemmelse i artikel 38a om, at over-

vågningen af overholdelse af adfærdskodeksen kan udføres af et organ,

som har en tilstrækkelig grad af ekspertise i forhold til kodeksens gen-

stand, og som er akkrediteret til dette formål af den kompetente tilsyns-

myndighed.

Dette særlige organs overvågning af behandlingen af person-

oplysninger, påvirker ikke tilsynsmyndighedernes opgaver og beføjelser

(artikel 38a, stk. 1). Forslaget indeholder i artikel 38a, stk. 2, en række

krav for at få denne akkreditering, herunder bl.a., at organet skal demon-

strere dets uafhængighed og ekspertise (litra a), og at organet har fastsat

procedurer og strukturer angående håndteringen af klager over overtrædel-

se af adfærdskodekser eller den måde adfærdskodekser er blevet gennem-

ført af dataansvarlige eller databehandlere på, og at disse procedurer og

strukturer er gennemsigtige for den registrerede og offentligheden (litra c).

Den kompetente tilsynsmyndighed skal iværksætte sammenhængsmeka-

nismen i forbindelse med akkrediteringen af disse organer (artikel 38a, stk.

3). Uden at det i øvrigt berører forordningens bestemmelser om sanktioner

mv. i kapitel 8, kan akkrediteringsorganet – under iagttagelse af passende

garantier – tage nødvendige skridt i forbindelse med overtrædelse af be-

stemmelser i en adfærdskodeks, herunder suspendering eller eksklusion af

en dataansvarlig eller databehandler fra en adfærdskodeks. Organet skal

orientere den kompetente tilsynsmyndighed om disse skridt (artikel 38a,

stk. 4).

Efter artikel 38a, stk. 5, kan den kompetente tilsynsmyndighed trække en

akkreditering tilbage, hvis organet, som er akkrediteret, ikke længere op-

fylder betingelserne herfor eller hvis organets handlinger ikke er i overens-

stemmelse med forordningen.

Artikel 38a gælder ikke for behandling af personoplysninger, som foreta-

ges af offentlige myndigheder og organer (artikel 38, stk. 6).

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Kapitlet indeholder endelig i artikel 39, stk. 1, en bestemmelse om, at med-

lemsstaterne, Det Europæiske Databeskyttelsesråd og Kommissionen skal

tilskynde – navnlig på europæisk plan – til fastlæggelsen af certificerings-

ordninger for databeskyttelse og databeskyttelsesmærkninger og -mærker

med det formål, at dataansvarlige og databehandlere kan demonstrere

overholdelse af forordningen. Det er anført, at de særlige behov, som små

og mellemstore virksomheder har, skal inddrages.

Det følger af artikel 39, stk. 1a, at godkendte certificeringsordninger for

databeskyttelse og databeskyttelsesmærkninger og -mærker også kan

overholdes af dataansvarlige, som ikke er omfattet af forordningen, i for-

hold til at sikre fornødne garantier, når personoplysninger skal overføres

til tredjelande eller internationale organisationer efter artikel 42, stk. 2,

litra e. I disse tilfælde gælder visse forpligtelser, som skal sikre, at over-

holdelsen af certificeringsordningen mv. kan håndhæves.

Det følger af artikel 39, stk. 2, at en certificering ikke formindsker den da-

taansvarliges eller databehandlerens ansvar for at overholde forordningen

og berører ikke de kompetente myndigheders opgaver og beføjelser i hen-

hold til forordningen.

En certificering kan udstedes af et dertil særligt akkrediteret organ eller af

den kompetente tilsynsmyndighed (artikel 39, stk. 2a). En dataansvarlig el-

ler databehandler, som indgiver sin behandling af personoplysninger til en

certificeringsordning, skal give det akkrediterede certificeringsorgan eller

den kompetente tilsynsmyndighed alle oplysninger og adgang til alle be-

handlinger, som er nødvendige for at foretage en certificeringsprocedure

(artikel 39, stk. 3).

Efter artikel 39 stk. 4, kan en certificering udstedes for maksimum 3 år,

men kan forlænges under de samme betingelser, hvis de relevante betin-

gelser fortsat er opfyldt. En certificering skal trækkes tilbage, hvis betin-

gelserne for certificering ikke længere er til stede.

I lighed med adfærdskodekser indeholder forordningen i artikel 39a en be-

stemmelse om, at certificering og periodisk gennemgang heraf kan udføres

af et organ, som har en tilstrækkelig grad af ekspertise i forhold til databe-

skyttelse, og som er akkrediteret til dette formål af den kompetente til-

synsmyndighed

eller af en anden national akkrediteringsmyndighed. Dette

særlige organs overvågning af behandlingen af personoplysninger, påvir-

ker ikke tilsynsmyndighedernes opgaver og beføjelser

(artikel 39a, stk. 1).

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Medlemsstaterne skal fastsætte, om det skal være den kompetente tilsyns-

myndighed eller en anden national akkrediteringsmyndighed, som akkredi-

terer certificeringsorganer.

Forslaget indeholder krav for at få denne ak-

kreditering, herunder bl.a., at organet skal demonstrere dets uafhængighed

og ekspertise (litra a), og at organet har fastsat procedurer og strukturer

angående håndteringen af klager over overtrædelse af certificeringer eller

den måde certificeringer er blevet gennemført af dataansvarlige eller data-

behandlere på, og at disse procedurer og strukturer er gennemsigtige for

den registrerede og offentligheden (litra c).

Efter artikel 39a, stk. 4, skal organet, som er akkrediteret til at certificere

mv., være ansvarlig for vurderingen af, om der kan ske certificering eller

om en certificering skal trækkes tilbage, uden at det dog berører den data-

ansvarliges eller databehandlerens forpligtelse til at overholde forpligtel-

ser, som følger af forordningen.

Akkrediteringsorganet skal meddele den kompetente tilsynsmyndighed

baggrunden for, at en certificering udstedes eller trækkes tilbage (artikel

39a, stk. 5). Kriterierne for at blive certificeret samt certificeringsdetaljer-

ne skal offentliggøres af tilsynsmyndigheden på en lettilgængelig måde

(artikel 39a, stk. 6).

Efter artikel 39a, stk. 6a, skal den kompetente tilsynsmyndighed

eller det

nationale akkrediteringsorgan

trække en akkreditering tilbage, hvis orga-

net, som er akkrediteret, ikke længere opfylder betingelserne herfor eller

hvis organets handlinger ikke er i overensstemmelse med forordningen.

Kommissionen skal have beføjelser til at vedtage delegerede retsakter, som

har til formål at uddybe kriterierne og betingelserne, som skal inddrages i

forbindelse med certificeringsordninger (artikel 39a, stk. 7). Det Europæi-

ske Databeskyttelsesråd skal efter artikel 39a, stk. 7a, afgive en udtalelse

til Kommissionen om disse kriterier og betingelser.

Efter artikel 39a, stk. 8, kan Kommissionen fastlægge tekniske standarder

for certificeringsordninger og databeskyttelsesmærkninger og -mærker

samt ordninger, der har til formål at fremme og anerkende certificerings-

ordninger og databeskyttelsesmærkninger og -mærker.

2.6. Videregivelse af personoplysninger til tredjelande eller internati-

onale organisationer (forordningens kapitel V)

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Forordningens kapitel V fastsætter reglerne for, hvornår der kan videregi-

ves personoplysninger til tredjelande eller internationale organisationer.

Overordnet set indeholder kapitlet fire forskellige videregivelsesgrundlag,

som efter omstændighederne kan anvendes, når der skal finde en videregi-

velse sted.

For det første kan en videregivelse af personoplysninger til modtagere i

tredjelande eller i en international organisation efter artikel 41, stk. 1, finde

sted, hvis Kommissionen har fastslået, at et tredjeland, et område eller en

eller flere

specifikke sektorer i tredjelandet eller en international organisa-

tion sikrer et tilstrækkeligt databeskyttelsesniveau (en såkaldt tilstrække-

lighedsafgørelse). En sådan videregivelse kræver ikke

specifik

godkendel-

se.

Ved vurderingen af beskyttelsesniveauet skal Kommissionen efter artikel

41, stk. 2, især tage hensyn til en række nærmere opregnede forhold i tred-

jelandet mv. Det gælder retsstatsprincippet (”rule of law”), respekten for

menneskerettigheder og grundlæggende rettigheder, både generel og sek-

torspecifik relevant gældende lovgivning, databeskyttelsesregler og sik-

kerhedsforanstaltninger, herunder reglerne om videreoverførsel af person-

oplysninger til et andet tredjeland eller international organisation, og som

efterleves i det pågældende tredjeland eller den pågældende internationale

organisation, om der er effektive rettigheder, der kan håndhæves,

samt om

der er effektive administrative og retslige prøvelsesmuligheder for

de regi-

strerede, hvis personoplysninger videregives (litra a). Kommissionen skal

ligeledes inddrage, om der i tredjelandet er en eller flere uafhængige til-

synsmyndigheder, som det pågældende tredjeland eller den pågældende in-

ternationale organisation er underlagt, og som er ansvarlige for og hånd-

hæver overholdelse af databeskyttelsesregler, herunder gennem passende

sanktionsbeføjelser, som assisterer og vejleder registrerede i forbindelse

med udøvelse af deres rettigheder, og som samarbejder med tilsynsmyn-

digheder i Unionen og medlemsstaterne (litra b). Endelig skal Kommissio-

nen inddrage, om der foreligger en international forpligtelse om beskyttel-

se af personoplysninger, som det pågældende tredjeland eller organisation

har tilsluttet sig, eller om der foreligger en anden forpligtelse som følge af

deltagelse i multilaterale eller regionale systemer, især med hensyn til be-

skyttelse af personoplysninger (litra c).

Det Europæiske Databeskyttelsesråd skal give Kommissionen en udtalelse

om beskyttelsesniveauet i et tredjeland eller international organisation i

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

forbindelse med Kommissionens vurdering af beskyttelsesniveauet, herun-

der også i forbindelse med vurderingen af, om beskyttelsesniveauet ikke

længere er tilstrækkeligt (artikel 41, stk. 2a).

Efter en vurdering af tilstrækkeligheden af beskyttelsesniveauet kan

Kommissionen træffe en afgørelse om, at et tredjeland, et område, en

eller

flere

specifikke sektorer i et tredjeland eller en international organisation

sikrer det tilstrækkelige beskyttelsesniveau. Den gennemførelsesretsakt,

som tilstrækkelighedsafgørelsen skal fremgå af, skal specificere territorialt

og sektorspecifikt anvendelsesområde samt angive eventuelle

uafhængige

tilsynsmyndigheder. Gennemførelsesretsakten skal vedtages i overens-

stemmelse med proceduren i artikel 87, stk. 2 (artikel 41, stk. 3).

Afgørelser om det tilstrækkelige beskyttelsesniveau, som er truffet af

Kommissionen i henhold til det gældende databeskyttelsesdirektiv, skal

fortsætte med at være gældende indtil de er ændret, erstattet eller trukket

tilbage af Kommissionen i overensstemmelse med proceduren i artikel 87,

stk. 2 (artikel 41, stk. 3a).

Kommissionen skal overvåge anvendelsen af afgørelserne, som er truffet

om tilstrækkeligt beskyttelsesniveau i henhold til ovennævnte bestemmel-

se i forordningen og i henhold til det gældende databeskyttelsesdirektiv

(artikel 41, stk. 4a).

Kommissionen kan endvidere træffe afgørelse om, at et tredjeland mv. ik-

ke længere sikrer et tilstrækkeligt beskyttelsesniveau og har mulighed for,

hvis dette er nødvendigt, at trække en tilstrækkelighedsafgørelse tilbage, at

ændre eller suspendere den, uden at dette har tilbagevirkende kraft. Gen-

nemførelsesretsakten skal vedtages i overensstemmelse med proceduren i

artikel 87, stk. 2, men kan i ekstremt hastende tilfælde vedtages efter pro-

ceduren i artikel 87, stk. 3 (artikel 41, stk. 5).

Kommissionen skal indlede drøftelser med tredjelandet eller den internati-

onal organisation med henblik på at udbedre situationen, som har givet an-

ledning til en afgørelse efter artikel 41, stk. 5 (artikel 41, stk. 5a).

Uanset om der er truffet en afgørelse efter artikel 41, stk. 5, om at beskyt-

telsesniveauet ikke længere er tilstrækkeligt i tredjelandet mv., kan videre-

givelse ske efter bestemmelserne i artikel 42-44, hvis betingelserne herfor

er opfyldt (artikel 41, stk. 6).

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Kommissionen skal offentliggøre en liste over de tredjelande mv., som har

modtaget en afgørelse efter artikel 41, stk. 3 og 5 (artikel 41, stk. 7).

Efter artikel 42 kan en videregivelse til et tredjeland mv. – i tilfælde, hvor

Kommissionen ikke har truffet en afgørelse efter artikel 41, stk. 3 – endvi-

dere finde sted, hvis

den dataansvarlige eller databehandleren har truffet

de fornødne garantier,

som også gælder for videreoverførsel

(artikel 42,

stk. 1).

Ifølge artikel 42, stk. 2, kan de fornødne garantier –

uden nogen yderligere

godkendelse fra tilsynsmyndigheder –

sikres

gennem instrumenter mellem

offentlige myndigheder og organer, som er retligt bindende og kan hånd-

hæves (litra oa),

gennem såkaldte bindende virksomhedsregler, der er

nærmere omtalt i artikel 43 (litra a), gennem standardbestemmelser om da-

tabeskyttelse vedtaget af Kommissionen efter proceduren i artikel 87, stk.

2 (litra b) eller gennem standardbestemmelser om databeskyttelse vedtaget

af en tilsynsmyndighed, og som er vedtaget af Kommissionen efter proce-

duren i artikel 87, stk. 2 (litra c).

En videregivelse kan endvidere baseres

på en godkendt adfærdskodeks sammen med bindende forpligtelser – som

skal kunne håndhæves – for den dataansvarlige eller databehandleren i

tredjelandet til at anvende fornødne garantier, herunder i forhold til den

registreredes rettigheder (litra d), eller på en godkendt certificeringsme-

kanisme sammen med bindende forpligtelser – som skal kunne håndhæves

– for den dataansvarlige eller databehandleren i tredjelandet til at anven-

de fornødne garantier, herunder i forhold til den registreredes rettigheder

(litra e).

Under forudsætning af godkendelse fra den kompetente tilsynsmyndighed,

kan de fornødne garantier herudover især sikres gennem kontraktbestem-

melser mellem den dataansvarlige eller databehandleren og modtageren af

personoplysningerne

i et tredjeland eller international organisation

(stk.

2a, litra a), eller gennem bestemmelser i administrative ordninger mellem

offentlige myndigheder eller organer (stk. 2a, litra d).

Tilsynsmyndigheden skal anvende sammenhængsmekanismen

i de tilfæl-

de, som er nævnt i artikel 57, stk. 2, litra ca, d, e, og f

(artikel 42, stk. 5a).

Godkendelser fra medlemsstater eller tilsynsmyndigheder på baggrund af

det gældende databeskyttelsesdirektiv vil fortsætte med at være gældende

indtil de er ændret, erstattet eller trukket tilbage af den pågældende til-

synsmyndighed. Afgørelser vedtaget af Kommissionen i henhold til det

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

gældende databeskyttelsesdirektiv vil fortsætte med at være gældende ind-

til de er ændret, erstattet eller trukket tilbage af Kommissionen i overens-

stemmelse med proceduren i artikel 87, stk. 2 (artikel 42, stk. 5b).

Som anført ovenfor kan videregivelse efter artikel 42 finde sted, hvis der

foreligger såkaldte bindende virksomhedsregler. Ifølge artikel 43, stk. 1,

skal den kompetente tilsynsmyndighed godkende bindende virksomheds-

regler i overensstemmelse med sammenhængsmekanismen, hvis de er ret-

ligt bindende, gælder for og håndhæves af alle omfattede medlemmer af en

koncern eller alle medlemmer af en gruppe af virksomheder, som udøver

fælles økonomiske aktiviteter (litra a), hvis reglerne udtrykkeligt tillægger

den registrerede rettigheder, der kan håndhæves retligt i forbindelse med

behandlingen af deres personoplysninger (litra b), og de udførlige krav til

de bindende virksomhedsregler, som opregnes i artikel 43, stk. 2, er op-

fyldt (litra c).

Af artikel 43, stk. 2, følger, at de bindende virksomhedsregler, som mini-

mum skal specificere bl.a. strukturen og kontaktoplysninger til berørte

grupper og medlemmerne heraf (litra a), videregivelserne eller kategorien

af videregivelser, herunder typen af personoplysninger, behandlinger og

formål, hvilke registrerede berøres heraf samt angivelse af tredjelandet el-

ler -landene, som videregivelse skal ske til (litra b) instrumentets bindende

karakter, både internt og eksternt (litra c), de registreredes rettigheder

forbindelse med behandling af personoplysninger

(litra e), klageprocedurer

(litra hh) og den passende databeskyttelsesuddannelse, som ansatte med

permanent eller lejlighedsvis adgang til personoplysninger modtager (litra

m).

Endvidere indeholder forslaget i artikel 44, stk. 1, adgang til, at der – uden

for de tilfælde, der er nævnt ovenfor – kan ske videregivelse i en række

konkrete tilfælde. Videregivelse kan således ske, hvis den registrerede har

givet sit udtrykkelige samtykke hertil efter at være blevet gjort opmærk-

som på, at der kan være risici for den registrerede i forbindelse med vide-

regivelsen, idet der ikke foreligger en tilstrækkelighedsafgørelse eller for-

nødne garantier (litra a), videregivelsen er nødvendig af hensyn til opfyl-

delsen af en kontrakt mellem den registrerede og den dataansvarlige eller

af hensyn til gennemførelsen af foranstaltninger, der træffes på den regi-

streredes anmodning forud for indgåelsen af en sådan kontrakt (litra b), el-

ler hvis videregivelsen er nødvendig af hensyn til indgåelsen eller opfyl-

delsen af en kontrakt, der i den registreredes interesse er indgået mellem

den dataansvarlige og en anden fysisk eller juridisk person (litra c). Vide-

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

regivelse kan endvidere finde sted, hvis den er nødvendig af hensyn til vig-

tige samfundsinteresser (litra d), videregivelsen er nødvendig for, at et

retskrav kan fastslås, gøres gældende eller forsvares (litra e) eller videregi-

velsen er nødvendig for at beskytte den registreredes eller en anden per-

sons vitale interesser, hvor den registrerede ikke er fysisk eller juridisk i

stand til at give sit samtykke (litra f). Endelig kan videregivelse ske, hvis

den finder sted fra et register, der ifølge EU-lovgivning eller medlems-

statslovgivning er beregnet til at informere offentligheden, og som er til-

gængeligt for offentligheden generelt eller for personer, der kan godtgøre

at have en legitim interesse heri, men alene i det omfang de ved lov fast-

satte betingelser for offentlig tilgængelighed er opfyldt i det specifikke til-

fælde (litra g) eller videregivelsen, som ikke er omfattende eller hyppig, er

nødvendig af hensyn til den dataansvarliges eller databehandlerens legiti-

me interesser

– og den registreredes interesser, rettigheder eller friheds-

rettigheder ikke overstiger denne interesse –

og den dataansvarlige eller

databehandleren har vurderet samtlige de forhold, der har indflydelse på en

videregivelse eller en serie af videregivelser af oplysninger, og på grund-

lag af denne vurdering yder de fornødne garantier for beskyttelsen af per-

sonoplysninger (litra h).

En videregivelse efter artikel 44, stk. 1, litra g, skal ikke omfatte alle per-

sonoplysninger eller hele kategorier af personoplysninger i registeret. Når

et register er beregnet til at blive konsulteret af personer, der har en legitim

interesse heri, sker videregivelse kun på anmodning af disse personer, eller

hvis de selv er modtageren (artikel 44, stk. 2).

Artikel 44, stk. 1, litra a-c samt litra h skal ikke finde anvendelse på aktivi-

teter, der gennemføres af offentlige myndigheder, som led i deres myndig-

hedsudøvelse (artikel 44, stk. 4).

Den offentlige interesse, som der henvises til i artikel 44, stk. 1, litra d,

skal være anerkendt i EU- eller national lovgivning i den medlemsstat,

som den dataansvarlige er underlagt (artikel 44, stk. 5).

I de tilfælde, hvor der ikke foreligger en tilstrækkelighedsafgørelse eller de

fornødne garantier, kan EU- eller medlemsstatslovgivning – af hensyn til

vigtige samfundsinteresser – udtrykkeligt forbyde en dataansvarlig eller

databehandler at overføre oplysninger til et tredjeland eller international

organisation.

Medlemsstaterne skal notificere Kommissionen om sådanne

bestemmelser

(artikel 44, stk. 5a).

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Den dataansvarlige eller databehandleren skal dokumentere såvel vurde-

ringen som de fornødne garantier, der henvises til i artikel 44, stk. 1, litra

h, i de optegnelser, som skal opbevares, jf. artikel 28 (artikel 44, stk. 6).

Kommissionen og tilsynsmyndighederne skal efter artikel 45 tage passen-

de skridt til at udvikle internationale samarbejdsmekanismer, som letter

den effektive håndhævelse af persondatalovgivning (litra a), yde internati-

onal gensidig bistand i forbindelse med håndhævelse af persondatalovgiv-

ning gennem ved at videresende klager, yde undersøgelsesassistance og

udveksle oplysninger, under hensyntagen til passende garantier for beskyt-

telse af personoplysninger og andre grundlæggende rettigheder og friheds-

rettigheder (litra b), inddrage relevante høringsparter i diskussioner og ak-

tiviteter, som skal fremme internationalt samarbejde om håndhævelse af

databeskyttelseslovgivning (litra c) samt fremme udveksling og dokumen-

tation af persondatalovgivning og -praksis (litra d).

2.7. Uafhængige tilsynsmyndigheder (forordningens kapitel VI)

Forordningens kapitel VI indeholder bl.a. regler om de nationale tilsyns-

myndigheders uafhængige status og deres opgaver og beføjelser.

Efter artikel 46 skal medlemsstaterne vedtage bestemmelser om, at en eller

flere uafhængige offentlige myndigheder er ansvarlige for at overvåge an-

vendelsen af forordningen (stk. 1). Enhver tilsynsmyndighed skal bidrage

til en ensartet anvendelse af forordningen i hele Unionen, og tilsynsmyn-

dighederne skal i den forbindelse samarbejde med hinanden og Kommissi-

onen i overensstemmelse med reglerne i kapitel 7 (stk. 1a).

Efter artikel 46, stk. 2, skal en medlemsstat, hvis der i en medlemsstat er

flere end en tilsynsmyndighed, udpege den tilsynsmyndighed, der skal re-

præsentere disse myndigheder i Det Europæiske Databeskyttelsesråd, og

fastsætter endvidere bestemmelser, som skal sikre, at de andre myndighe-

der overholder reglerne vedrørende sammenhængsmekanismen i artikel

57.

Hver medlemsstat meddeler Kommissionen de bestemmelser, den vedtager

i henhold til dette kapitel, senest den dato, der er fastsat i artikel 91, stk. 2,

og underretter den straks om eventuelle ændringer af disse (artikel 46, stk.

3).

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

I forhold til de tilsvarende regler i det gældende databeskyttelsesdirektiv

opstiller kapitlet en række nye og uddybede krav til de nationale tilsyns-

myndigheders organisering og uafhængighed.

Det følger således udtrykkeligt af artikel 47, stk. 1, at enhver tilsynsmyn-

dighed ved udøvelsen af opgaver og beføjelser tildelt i henhold til forord-

ningen, skal handle i fuldstændig uafhængighed. Det følger af stk. 2, at

medlemmer af tilsynsmyndigheden ved udøvelsen af deres opgaver og be-

føjelser i henhold til forordningen, ikke skal være underlagt ekstern på-

virkning, hverken direkte eller indirekte, og at de hverken må søge eller

modtage instrukser fra nogen. Der stilles endvidere krav om, at hver med-

lemsstat skal sikre, at tilsynsmyndigheden råder over tilstrækkelige men-

neskelige, tekniske og økonomiske ressourcer samt lokaler og infrastruktu-

rer til effektivt at udføre sine opgaver og udøve sine beføjelser, herunder

opgaver og beføjelser vedrørende gensidig bistand samt samarbejde med

og deltagelse i Det Europæiske Databeskyttelsesråd (artikel 47, stk. 5)

Medlemsstaterne skal i henhold til artikel 47, stk. 6, sikre, at tilsynsmyn-

digheden har sit eget personale, som skal være underlagt retningen, som

udstikkes af medlemmerne af tilsynsmyndigheden. Medlemsstaterne skal

endvidere efter artikel 47, stk. 7, sikre, at enhver tilsynsmyndighed er un-

derlagt finansiel kontrol, som ikke påvirker dens uafhængighed, ligesom

medlemsstaterne skal sikre, at tilsynsmyndigheden fører særskilt årsregn-

skab, som skal offentliggøres, og som kan være en del af det årlige stats-

budget.

Ifølge forslagets artikel 48 skal medlemsstaterne vedtage bestemmelser

om, at medlemmer af enhver tilsynsmyndighed udpeges af parlamentet,

regeringen eller statsoverhovedet i den pågældende medlemsstat eller af et

uafhængigt organ, som er overladt denne opgave i henhold til medlems-

statens lovgivning, som skal sikre en gennemsigtig procedure (stk 1).

Medlemmerne af tilsynsmyndigheden skal have tilstrækkelige

kvalifikationer, erfaringer og kompetence til at varetage deres opgaver og

udøve deres beføjelser (stk. 2).

Medlemmernes opgaver ophører i tilfælde af udpegelsesperiodens udløb,

fratræden eller obligatorisk pensionering i overensstemmelse med

medlemstatens lovgivning herom (artikle 48, stk. 3).

I forhold til tilsynsmyndighedernes organisering følger det af forslagets

artikel 49, stk. 1, at hver medlemsstat ved lov skal fastsætte regler bl.a. om

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

tilsynsmyndighedernes oprettelse (litra a), de kvalifikationer, der er

nødvendige for at udøve hvervet som medlem af tilsynsmyndigheden (litra

b), samt reglerne og procedurerne for udnævnelsen af medlemmerne af

tilsynsmyndigheden (litra c).

Efter artikel 49, stk. 2, har tilsynsmyndighedens medlemmer og personale

såvel under embeds- og ansættelsesperioden som efter dens ophør

tavshedspligt i overensstemmelse med EU-lovgivning eller medlemsstats-

lovgivning, for så vidt angår alle fortrolige oplysninger, der er kommet til

deres kendskab under udøvelsen af deres opgaver og beføjelser.

Efter artikel 51, stk. 1, er en tilsynsmyndighed kompetent til at udøve de

opgaver og beføjelser, som den har fået tillagt efter forordningen, inden for

dens egne medlemsstats område.

Artikel 51, stk. 1, fastslår således, at det er den ”lokale” tilsynsmyndighed,

som er kompetent til at udøve opgaver og beføjelser inden for dens egen

medlemsstats område. Forordningens bestemmelser om den såkaldte one-

stop-shop mekanisme, som følger nedenfor i artikel 51a samt kapitel 7, fo-

reskriver, at der i visse tilfælde er en ledende tilsynsmyndighed (herefter

”lead auhority”), som er kompetent til at agere i en konkret sag. I disse til-

fælde er den ”lokale” tilsynsmyndighed ikke kompetent til at handle på

egen hånd.

Af artikel 51, stk. 2, følger, at hvor behandlingen af personoplysninger er

foretaget af offentlige myndigheder eller private aktører i henhold til arti-

kel 6, stk. 1, litra c og e, skal tilsynsmyndigheden i den pågældende med-

lemsstat have eksklusiv kompetence.

Tilsynsmyndigheder har efter artikel 51, stk. 3, ikke kompetence til at føre

tilsyn med behandlinger af personoplysninger, som domstole foretager

som led i deres retspleje.

Det følger af artikel 51a, stk. 1, at det – uden at det berører artikel 51 – er

tilsynsmyndigheden ved den dataansvarliges hovedvirksomhed eller ved

den dataansvarliges eneste virksomhed i EU, som skal være kompetent til

at handle som ”lead authority” i tilfælde af grænseoverskridende behand-

ling af personoplysninger efter proceduren i artikel 54a.

Som en undtagelse hertil skal enhver tilsynsmyndighed være kompetent til

at behandle en klage, som bliver indgivet til tilsynsmyndigheden eller til at

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

håndtere en mulig overtrædelse af forordningens bestemmelser, hvis sa-

gens genstand alene vedrører dataansvarlige/databehandlere, som er

etableret i den pågældende medlemsstat, eller alene vedrører registrerede

i den pågældende medlemsstat væsentligt (stk. 2a).

I tilfælde, som er nævnt i stk. 2a, skal tilsynsmyndigheden informere ”lead

autority” uden forsinkelse. Inden for 3 uger efter at være blevet informe-

ret, skal ”lead authority” beslutte om den vil håndtere sagen i overens-

stemmelse med proceduren i artikel 54a under hensyntagen til, om der er

en dataansvarlig eller databehandler etableret i den medlemsstat, hvor

den tilsynsmyndighed, som har informeret ”lead authority”, er beliggende

(stk. 2b).

Beslutter ”lead authority” at håndtere sagen, skal proceduren i artikel

54a følges. Tilsynsmyndigheden, som har informeret ”lead authority” kan

udarbejde et udkast til afgørelse i sagen. ”Lead authority” skal i givet fald

tage størst mulig hensyn til dette udkast, når den udarbejder det udkast til

afgørelse, som der er henvist til i artikel 54a, stk. 2 (stk. 2c).

Beslutter ”lead authority” ikke at håndtere sagen, skal tilsynsmyndighe-

den, som har informeret ”lead authority” håndtere sagen i overensstem-

melse med artikel 55 og 56 (stk. 2d).

Efter artikel 51a, stk. 3, skal ”lead authority” være den dataansvarliges

eller databehandlerens eneste samtalepartner i forhold til den grænse-

overskridende behandling.

Efter forslagets artikel 52 tillægges tilsynsmyndigheden en række opgaver,

som skal udøves på tilsynsmyndighedens eget territorium. Det følger såle-

des bl.a. af artikel 52, stk. 1, at tilsynsmyndighederne – uden at det berører

andre opgaver, som følger af forordningen – skal kontrollere og håndhæve

anvendelsen af forordningen (litra a), fremme kendskabet til

og forståelsen

risici, regler, garantier og rettigheder i forbindelse med behandling af

personoplysninger (litra b), i overensstemmelse med national lovgivning

oplyse parlamentet, regeringen og andre institutioner og organer om lov-

givningsmæssige og administrative forhold, som relaterer sig til beskyttel-

se af registreredes rettigheder og frihedsrettigheder med hensyn til person-

databeskyttelse (litra ab), samt fremme dataansvarliges og databehandleres

kendskab til deres forpligtelser i henhold til forordningen (litra ac).

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Efter artikel 52, stk. 4, skal enhver tilsynsmyndighed lette indgivelse af

klager, som der henvises til i stk. 1, litra b, ved bl.a. at stille en klagefor-

mular til rådighed, som også kan udfyldes elektronisk, uden at dette dog

udelukker andre former for kommunikation

Efter artikel 52, stk. 5, skal tilsynsmyndighedens udøvelse af opgaver være

uden omkostninger for den registrerede og eventuelle databeskyttelsesan-

svarlige.

Endelig følger det af artikel 52, stk. 6, at hvor anmodninger til tilsynsmyn-

digheden er åbenbart ubegrundede eller overdrevne, særligt som følge af

deres gentagelse, kan tilsynsmyndigheden afvise at efterkomme anmod-

ningen. Tilsynsmyndigheden har i disse tilfælde bevisbyrden for at an-

modningen er åbenbart ubegrundet og overdreven.

Herudover indeholder forslaget i artikel 53 en bestemmelse om, at med-

lemsstaterne ved lov skal tildele tilsynsmyndigheden en række beføjelser.

Udgangspunktet er, at disse beføjelser skal udøves af en tilsynsmyndighed

på dens eget territorium, jf. ovenfor om artikel 51, stk. 1.

Tilsynsmyndighedernes beføjelser er beskrevet i artikel 53, stk. 1, stk. 1b

og stk. 1c, hvor der sondres mellem undersøgelsesbeføjelser, korrigerende

beføjelser samt autorisations- og rådgivningsbeføjelser.

Undersøgelsesbeføjelserne er beskrevet i artikel 53, stk. 1, hvor det frem-

går, at medlemsstaterne ved lov bl.a. skal give tilsynsmyndighederne mu-

lighed for at kunne underrette den dataansvarlige eller databehandleren om

en påstået overtrædelse af forordningen (litra d), at kunne få adgang fra

den dataansvarlige og databehandleren til alle personoplysninger og al in-

formation i øvrigt, som er nødvendig for at udøve dens opgaver (litra da),

og at kunne få adgang til alle den dataansvarliges eller databehandlerens

lokaler, herunder databehandlingsudstyr og -midler, i overensstemmelse

med EU- eller medlemsstatens processuelle regler (litra db).

Efter artikel 53, stk. 1b, skal medlemsstaterne endvidere ved lov give til-

synsmyndighederne en række korrigerende beføjelser. Tilsynsmyndighe-

derne skal således bl.a. kunne udstede en advarsel til en dataansvarlig eller

en databehandler om, at en påtænkt behandling formentlig vil overtræde

bestemmelser i forordningen (litra a), kunne pålægge den dataansvarlige

eller databehandleren at efterkomme en registrerets anmodning om udø-

velse af rettigheder i henhold til forordningen (litra ca), kunne påbyde den

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

dataansvarlige eller databehandleren at bringe en ulovlig behandling i

overensstemmelse med forordningen (litra d), samt kunne udstede en ad-

ministrativ bøde i overensstemmelse med artikel 79 og 79a i tillæg til eller

i stedet for en foranstaltning efter denne artikel, afhængig af omstændig-

hederne i den konkrete sag (litra g).

Autorisations- og rådgivningsbeføjelser er beskrevet i artikel 53, stk. 1c.

Det fremgår heraf, at medlemsstaterne ved lov bl.a. skal give tilsynsmyn-

dighederne mulighed for at kunne rådgive den dataansvarlige i overens-

stemmelse med den forudgående høringsprocedure i artikel 34 (litra a), og

– af egen drift eller efter anmodning – at kunne udstede udtalelser til par-

lamentet, til regeringen eller til andre institutioner eller organer i overens-

stemmelse med national lovgivning samt til offentligheden om ethvert em-

ne relateret til persondatabeskyttelse (litra aa).

Af forslagets artikel 53, stk. 2, følger, at udøvelsen af de beføjelser, som

tilsynsmyndigheden tildeles i overensstemmelse med artikel 53, skal være

underlagt passende sikkerhedsforanstaltninger, herunder adgang til effek-

tive retsmidler og adgang til retfærdig rettergang, som det følger af EU- og

medlemsstaternes lovgivning i overensstemmelse med EU’s charter om

grundlæggende rettigheder.

Endelig følger det af artikel 53, stk. 3, at hver medlemsstat ved lov skal

sikre, at tilsynsmyndigheden har beføjelser til at indbringe overtrædelser af

forordningen for de relevante myndigheder, og hvor det er nødvendigt, at

påbegynde eller på anden måde deltage i en retssag med henblik på hånd-

hævelse af reglerne i forordningen.

Artikel 54 vedrører tilsynsmyndighedens årlige aktivitetsrapport.

Det føl-

ger af

bestemmelsen, at hver tilsynsmyndighed årligt skal udarbejde en

rapport om sin virksomhed. Rapporten skal sendes til det nationale parla-

ment, regering samt andre myndigheder, som er udpeget i national lovgiv-

ning. Rapporten skal endvidere stilles til rådighed for offentligheden,

Kommissionen og Det Europæiske Databeskyttelsesråd.

2.8. Samarbejde og sammenhæng (forordningens kapitel VII)

Forordningens kapitel VII indeholder regler om samarbejde mellem til-

synsmyndighederne i EU. Reglerne foreskriver forskellige former for sam-

arbejde, herunder regler om fælles beslutningstagen i visse sager, gensidig

bistand og fælles operationer, ligesom kapitlet indeholder regler om en så-

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

kaldt ”sammenhængsmekanisme”, som skal sikre en ensartet anvendelse af

forordningen, og som betyder, at Det Europæiske Databeskyttelsesråd i

visse tilfælde skal udstede vejledende udtalelser samt i visse tilfælde træffe

afgørelser, som er bindende for tilsynsmyndighederne.

Som den væsentligste nyskabelse i forhold til de gældende regler om til-

synsmyndighedernes kompetence foreslås der i kapitel 7 særlige regler om

en såkaldt one-stop-shop mekanisme, som indebærer, at én tilsynsmyndig-

hed ("lead authority") i visse grænseoverskridende sager vil være enekom-

petent til at træffe afgørelse i konkrete sager.

"Lead authority", der som udgangspunkt er tilsynsmyndigheden ved den

dataansvarliges hovedvirksomhed, bliver enekompetent i tilfælde af græn-

seoverskridende behandling af personoplysninger. Afgørelsen, som træffes

af ”lead authority” efter forudgående samarbejde med andre berørte til-

synsmyndigheder, jf. artikel 4, nr. 19a, skal meddeles af ”lead authority”

til hovedvirksomheden for behandlingen, jf. artikel 4, nr. 13, som herefter

skal implementere afgørelsen i samtlige af dens virksomheder i EU.

Det følger af artikel 54a, stk. 1, at ”lead authority” skal samarbejde med de

andre berørte tilsynsmyndigheder i overensstemmelse med denne artikel i

bestræbelsen på at opnå enighed. ”Lead authority” og de andre berørte til-

synsmyndigheder skal udveksle al relevant information med hinanden.

Af artikel 54a, stk. 1a, følger at ”lead authority” på ethvert tidspunkt kan

anmode om, at de andre berørte tilsynsmyndigheder yder gensidig bistand

i overensstemmelse med artikel 55 og gennemfører fælles operationer i

overensstemmelse med artikel 56, herunder især i forbindelse med under-

søgelser eller overvågning af gennemførelsen af foranstaltninger, der ved-

rører en dataansvarlig, der er etableret i en anden medlemsstat.

Det følger af artikel 54a, stk. 2, at hvis ”lead authority” beslutter at under-

søge en sag yderligere, skal ”lead authority” uden unødigt ophold meddele

relevante oplysninger om sagen til de andre berørte tilsynsmyndigheder.

”Lead authority” skal også fremsende et udkast til afgørelse i sagen og skal

i den forbindelse tage højde for de berørte tilsynsmyndigheders holdninger

og tage behørigt hensyn til deres synspunkter.

Dernæst følger det af artikel 54a, stk. 3, at hvis en berørt tilsynsmyndighed

inden for fire uger efter at have modtaget et udkast til afgørelse fra ”lead

authority” i overensstemmelse med stk. 2, udtrykker en relevant og be-

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

grundet indsigelse, skal ”lead authority”, hvis den ikke følger indsigelsen

eller hvis den mener, at indsigelsen ikke er relevant eller begrundet,

iværksætte sammenhængsmekanismen i artikel 57.

Hvis ”lead authority” har til hensigt at følge indsigelserne, følger det af ar-

tikel 54a, stk. 3a, at ”lead authority” skal fremsende et revideret udkast til

afgørelse til de berørte tilsynsmyndigheder. Det reviderede udkast skal væ-

re underlagt proceduren i stk. 3, inden for to uger.

Hvis ingen af de berørte tilsynsmyndigheder har fremsat indsigelser imod

udkastet til afgørelse fra ”lead authority” inden for den periode, der frem-

går af stk. 3 og stk. 3a, skal ”lead authority” og de berørte tilsynsmyndig-

heder efter artikel 54a, stk. 4, anses for at være enige i det foreliggende

udkast til afgørelse

og skal være bundet af afgørelsen.

Dernæst følger det af artikel 54a, stk. 4a, at ”lead authority” skal vedtage

afgørelsen og meddele den over for den dataansvarliges hovedvirksomhed

eller eneste virksomhed i EU, samt informere de berørte tilsynsmyndighe-

der og Det Europæiske Databeskyttelsesråd om afgørelsen, herunder ved at

give et resumé af relevant fakta og begrundelsen for afgørelsen. Tilsyns-

myndigheden, som en klage er indgivet til, skal informere klageren om af-

gørelsen.

Som en undtagelse til artikel 54a, stk. 4a, følger det af artikel 54a, stk. 4b,

at i de tilfælde, hvor en klage ikke bliver imødekommet eller i det hele af-

vises, skal den tilsynsmyndighed, hvortil klagen er indgivet, vedtage afgø-

relsen og meddele klageren herom, ligesom denne tilsynsmyndighed skal

informere den dataansvarlige om afgørelsen.

Det følger af artikel 54a, stk. 4bb, at i de tilfælde, hvor ”lead authority” og

de berørte tilsynsmyndigheder er enige om alene delvist at imødekomme

en klage eller alene delvist at afvise en klage, skal der vedtages separate

afgørelser for hver af disse dele af klagen. ”Lead authority” vedtager afgø-

relsen for den del, som vedrører foranstaltninger i forhold til den dataan-

svarlige og meddeler den dataansvarliges eller databehandlerens hoved-

virksomhed eller eneste virksomhed inden for medlemsstatens territorium

herom, mens tilsynsmyndigheden, der modtog klagen, skal vedtage den del

af afgørelsen, der vedrører de dele af klagen, der ikke imødekommes eller

afvises og meddele klageren dette.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Af artikel 54a, stk. 4c, følger, at den dataansvarlige eller databehandleren

efter at være meddelt afgørelsen i stk. 4a eller 4bb af ”lead authority”, skal

fortage de nødvendige foranstaltninger for at sikre, at behandlingen af per-

sonoplysninger i alle dens virksomheder i EU efterfølgende sker i overens-

stemmelse med afgørelsen. Den dataansvarlige eller databehandleren skal

oplyse ”lead authority” om de foranstaltninger, der er foretaget for at ef-

terkomme afgørelsen. ”Lead authority” skal herefter informere de berørte

tilsynsmyndigheder herom.

Dernæst følger det af artikel 54a, stk. 4d, at hvis en berørt tilsynsmyndig-

hed i ekstraordinære situationer vurderer, at der et hastende behov for

handling for at beskytte de registreredes interesser, finder hasteproceduren

i artikel 61 anvendelse.

Ud over det samarbejde, som tilsynsmyndigheder har i henhold til artikel

54a, indeholder forslagets artikel 55 regler om gensidig bistand. Det følger

således af forslaget, at tilsynsmyndighederne udveksler oplysninger og

yder hinanden gensidig bistand med henblik på at gennemføre og anvende

forordningen på en ensartet måde og træffe foranstaltninger med henblik

på et effektivt samarbejde med hinanden. Det gensidige samarbejde skal

bl.a. omfatte anmodning om oplysninger og tilsynsforanstaltninger, som

f.eks. anmodning om gennemførelse af forudgående godkendelse, høring

og inspektioner (artikel 55, stk. 1).

Det følger endvidere af forslaget, at hver tilsynsmyndighed skal træffe alle

foranstaltninger, som er nødvendige for at besvare anmodninger fra en an-

den tilsynsmyndighed uden forsinkelse og senest en måned efter modta-

gelsen af anmodningen. Efter forslaget kan sådanne foranstaltninger bl.a.

omfatte videregivelse af relevante oplysninger om en undersøgelse (artikel

55, stk. 2).

Det følger af artikel 55, stk. 4, at en tilsynsmyndighed, som har modtaget

en anmodning om gensidig bistand ikke kan nægte at yde denne bistand,

medmindre den ikke er kompetent i forhold til anmodningens genstand el-

ler i forhold til at udøve de foranstaltninger, som der anmodes om (litra a)

eller overholdelse af anmodningen ikke vil være i overensstemmelse med

forordningens bestemmelser eller EU- eller medlemsstatslovgivning, som

den modtagende tilsynsmyndighed er underlagt (litra b).

Det følger af artikel 55, stk. 5, at den tilsynsmyndighed, som har modtaget

en anmodning om gensidig bistand, skal informere den anmodende til-

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

synsmyndighed om resultaterne eller fremskridtene i sagen. Hvis gensidig

bistand nægtes, skal tilsynsmyndigheden angive grundene herfor.

Det følger endvidere af artikel 55, stk. 8, at i de tilfælde, hvor en tilsyns-

myndighed ikke inden for en måned efter modtagelse af en anmodning om

bistand yder den information, som den er forpligtet til efter bestemmelsens

stk. 5, kan den tilsynsmyndighed, som har anmodet om bistand, træffe af-

gørelse om en foreløbig foranstaltning, som skal gælde på dens eget terri-

torium i overensstemmelse med artikel 51, stk. 1.

Dernæst følger det af artikel 55, stk. 9, at tilsynsmyndigheden angiver gyl-

dighedsperioden for en sådan foreløbig foranstaltning. Denne periode må

dog højest udgøre tre måneder.

Som en yderligere nyskabelse indeholder forslaget i artikel 56 udtrykkeli-

ge regler om, at tilsynsmyndigheder, hvor det er hensigtsmæssigt, kan ud-

føre fælles aktiviteter, der bl.a. kan omfatte fælles undersøgelsesopgaver

og fælles håndhævelsesforanstaltninger, hvor medlemmer af tilsynsmyn-

digheder eller tilsynsmyndighedens medarbejdere fra andre lande deltager

(artikel 56, stk. 1).

Ifølge artikel 56, stk. 3, kan den såkaldte værtstilsynsmyndighed bl.a. i

overensstemmelse med sin nationale lovgivning og med den udsendende

tilsynsmyndigheds godkendelse delegere beføjelser til den udsendende til-

synsmyndigheds medlemmer eller medarbejdere. For så vidt værtstilsyns-

myndighedens lovgivning giver mulighed herfor, kan værtsmyndigheden

endvidere tillade, at den udsendende tilsynsmyndigheds medlemmer eller

medarbejdere udøver deres forvaltningsbeføjelser i overensstemmelse med

den udsendende tilsynsmyndigheds lovgivning.

Forslagets artikel 56, stk. 3a-3c indeholder regler om ansvarsfordeling og

lovvalg i forbindelse med erstatning for eventuelle skader som opstår i

forbindelse med udførelse af de fælles aktiviteter.

Som en anden væsentlig nyskabelse indeholder kapitlet regler om den

nævnte ”sammenhængsmekanisme”. Denne mekanisme har til formål at

sikre, at tilsynsmyndighederne anvender forordningens regler på en ensar-

tet og sammenhængende måde. Samlet set fremstår mekanismen som en

væsentlig udbygning af det gældende databeskyttelsesdirektivs regler om

samarbejde mellem tilsynsmyndighederne.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Mekanismen er forankret i Det Europæiske Databeskyttelsesråd, der er et

nyt organ, der efter forslaget skal oprettes til formålet. Det Europæiske Da-

tabeskyttelsesråd, som sammensættes af medlemsstaternes tilsynsmyndig-

heder, skal erstatte den eksisterende Artikel 29-gruppe, som er oprettet i

henhold til det gældende databeskyttelsesdirektiv fra 1995. Der lægges op

til, at konkrete sager forelægges Det Europæiske Databeskyttelsesråd med

henblik på, at Rådet kommer med en vejledende udtalelse (artikel 57, stk.

2) eller en bindende afgørelse (artikel 57, stk. 3). I de tilfælde, hvor Det

Europæiske Databeskyttelsesråd træffer bindende afgørelser, skal disse ret-

tes mod de nationale tilsynsmyndigheder, som herefter er forpligtet til at

træffe en national afgørelse i overensstemmelse med afgørelsen fra Det

Europæiske Databeskyttelsesråd.

Det følger af

forslagets artikel 57, stk. 1, at tilsynsmyndigheder skal sam-

arbejde med hinanden gennem sammenhængsmekanismen, der fastsættes i

denne afdeling, for at opnå de formål, som er fastsat i artikel 46, stk. 1.

Efter forslagets artikel 57, stk. 2, skal Det Europæiske Databeskyttelsesråd

udstede en vejledende udtalelse, når en tilsynsmyndighed har til hensigt at

vedtage en foranstaltning, som er angivet i bestemmelsen. Den kompetente

tilsynsmyndighed skal således eksempelvis sende et udkast til afgørelse til

Det Europæiske Databeskyttelsesråd, når afgørelsen har til formål at ved-

tage en liste over behandlinger, som er underlagt kravet i artikel 33, stk.

2b, om konsekvensanalyse (litra c), når afgørelsen har til formål af fast-

lægge standard databeskyttelsesklausuler, jf. artikel 42, stk. 2, litra c (litra

d), og når afgørelsen skal godkende bindende virksomhedsregler, jf. artikel

43 (litra f).

Det følger dernæst af artikel 57, stk. 3, at det Europæiske Databeskyttel-

sesråd skal kunne træffe bindende afgørelser i en række tilfælde. Det gæl-

der de tilfælde, som er refereret i artikel 54a, stk. 3, og hvor en berørt til-

synsmyndighed er fremkommet med en

relevant

og begrundet indsigelse

imod et udkast til afgørelse, som er udarbejdet af ”lead authority”

eller

hvor ”lead authority” har afvist en klage, idet den ikke anses for relevant

og/eller begrundet.

Afgørelsen

fra Det Europæiske Databeskyttelsesråd

skal vedrøre alle emner, der er omfattet af den relevante og begrundede

indsigelse (litra a).

Det Europæiske Databeskyttelsesråd kan endvidere træffe bindende afgø-

relser i sager, hvor der uenighed om hvilken af de berørte tilsynsmyndig-

heder, der er kompetent overfor hovedvirksomheden (litra b). Endeligt føl-

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

ger det af artikel 57, stk. 3, litra d, at Det Europæiske Databeskyttelsesråd

kan træffe en bindende afgørelse, hvis en tilsynsmyndighed ikke anmoder

Det Europæiske Databeskyttelsesråd om en udtalelse i de tilfælde, som er

nævnt i artikel 57, stk. 2, eller ikke følger en udtalelse, som er afgivet af

Det Europæiske Databeskyttelsesråd i henhold til artikel 58.

Det følger af artikel 57, stk.

at enhver tilsynsmyndighed, formanden for

Det Europæiske Databeskyttelsesråd samt Kommissionen kan anmode om

at ethvert almengyldigt spørgsmål eller ethvert spørgsmål, der har virkning

i flere end en medlemsstat, kan indbringes for Det Europæiske Databeskyt-

telsesråd med henblik på Rådets udtalelse herom,

herunder især når en

kompetent tilsynsmyndighed ikke overholder kravene om gensidig bistand,

jf. artikel 55, eller fælles operationer, jf. artikel 56.

Artikel 58 vedrører bl.a. vedtagelse af vejledende udtalelser fra Det Euro-

pæiske Databeskyttelsesråd, jf. artikel 57, stk. 2 og 4.

Det Europæiske Databeskyttelsesråd skal efter artikel 58, stk. 7, komme

med en udtalelse om sagens genstand i de tilfælde, hvor en sag er omfattet

af artikel 57, stk. 2 og 4, medmindre Rådet allerede har udstedt en udtalel-

se i en tilsvarende sag. Udtalelsen skal udstedes inden for en måned og

skal vedtages ved simpelt flertal af medlemmerne af Rådet. Perioden på en

måned kan forlænges med yderligere en måned under hensyntagen til sa-

gens kompleksitet. Såfremt et medlem af Rådet ikke inden for den angivne

periode er kommet med indsigelser overfor den udtalelse, som er rund-

sendt, jf. artikel 57, stk. 6, skal myndigheden anses for at være enig i udka-

stet til udtalelse.

Inden udløbet af den periode, som er angivet i artikel 58, stk. 7, kan den

kompetente tilsynsmyndighed ikke træffe den afgørelse, som er forelagt

Rådet, jf. artikel 57, stk. 2 (artikel 58, stk. 7a).

Den tilsynsmyndighed, som der er henvist til i artikel 57, stk. 2, skal tage

størst muligt hensyn til udtalelsen fra Det Europæiske Databeskyttelsesråd

og skal inden for to uger efter modtagelse af udtalelsen elektronisk medde-

le formanden for Det Europæiske Databeskyttelsesråd om hvorvidt udka-

stet til afgørelse fastholdes eller vil blive ændret, og i givet fald meddele

ændringerne (artikel 58, stk. 8). I de tilfælde, hvor den berørte tilsynsmyn-

dighed meddeler, at den ikke agter at følge en udtalelse fra Det Europæi-

ske Databeskyttelsesråd helt eller delvist, skal den inden for fristen, som er

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

angivet i stk. 8, meddele formanden for Rådet begrundelsen for, at udtalel-

sen ikke følges (artikel 58, stk. 9).

Artikel 58a vedrører bl.a. vedtagelse af bindende afgørelser fra Det Euro-

pæiske Databeskyttelsesråd, jf. artikel 57, stk. 3.

Det følger således af artikel 58a, stk. 1, at i de tilfælde, som er nævnt i ar-

tikel 57, stk. 3, skal Det Europæiske Databeskyttelsesråd træffe en afgørel-

se om sagens genstand for at sikre korrekt og konsekvent anvendelse af

forordningen i konkrete sager. Afgørelsen skal være begrundet og skal væ-

re rettet mod ”lead authority” samt alle berørte tilsynsmyndigheder og skal

være bindende for dem.

Afgørelsen fra Det Europæiske Databeskyttelsesråd skal være vedtaget in-

den for en måned efter, at sagen er henvist til Rådet, af et to-tredjedels fler-

tal af medlemmerne af Rådet. Denne periode kan forlængelse yderligere en

måned på baggrund af sagens kompleksitet (artikel 58a, stk. 2).

Såfremt Det Europæiske Databeskyttelsesråd ikke er i stand til at vedtage

en afgørelse inden for fristen i stk. 2, skal den ved et simpelt flertal af

medlemmerne vedtage en afgørelse inden for 2 uger efter udløbet af den 2.

måned, som der henvises til i stk. 2. I tilfælde af stemmelighed, skal afgø-

relsen vedtages ved Rådets formands stemme (artikel 58a, stk. 3).

De berørte tilsynsmyndigheder skal ikke – inden for fristen, som er nævnt i

artikel 58a, stk. 2 og 3 – træffe en afgørelse om sagens genstand, såfremt

sagen er forelagt Det Europæiske Databeskyttelsesråd,

jf. bestemmelsens

stk. 1

(artikel 58a, stk. 4).

I henhold til artikel 58a, stk. 6, skal formanden for Det Europæiske Data-

beskyttelsesråd uden unødig forsinkelse meddele de berørte tilsynsmyn-

digheder samt efter omstændighederne den dataansvarlige og klageren om

afgørelsen, som er truffet efter stk. 1. Formanden skal endvidere informere

Kommissionen.

Afgørelsen skal offentliggøres på Det Europæiske Databe-

skyttelsesråds hjemmeside uden forsinkelse efter at tilsynsmyndigheden

har meddelt den endelige afgørelse, jf. artikel 58a, stk. 7.

”Lead authority” eller den tilsynsmyndighed, som har modtaget en klage,

skal – uden unødig forsinkelse og senest inden for en måned efter, at Det

Europæiske Databeskyttelsesråd har meddelt Rådets afgørelse – vedtage

deres endelige afgørelse på baggrund af afgørelsen fra Rådet.

”Lead aut-

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

hority” eller den tilsynsmyndighed, som har modtaget en klage, skal in-

formere Det Europæiske Databeskyttelsesråd om datoen, hvor den endeli-

ge afgørelse er meddelt den dataansvarlige eller databehandleren og den

registrerede.

Den endelige afgørelse fra de berørte tilsynsmyndigheder

skal vedtages i overensstemmelse med artikel 54a, stk. 4a, 4b og 4bb.

Den

endelige afgørelse skal henvise til afgørelsen fra Det Europæiske Databe-

skyttelsesråd, og skal henvise til, at afgørelsen fra Det Europæiske Data-

beskyttelsesråd vil blive offentliggjort, jf. stk. 6. Afgørelsen fra Det Euro-

pæiske Databeskyttelsesråd skal vedlægges den endelige afgørelse (artikel

58a, stk. 7).

Som en undtagelse til sammenhængsmekanismen og one-stop-shop meka-

nismen, jf. ovenfor, kan en tilsynsmyndighed efter artikel 61 i hastende til-

fælde træffe en foreløbig foranstaltning med en specifik gyldighedsperio-

de, som skal have retsvirkning i tilsynsmyndighedens egen medlemsstat,

uden at forelægge dette for Det Europæiske Databeskyttelsesråd gennem

sammenhængsmekanismen eller ved anvendelse af proceduren i artikel

54a, hvis vedtagelse er nødvendig for at beskytte den registreredes ret-

tigheder og frihedsrettigheder. Tilsynsmyndigheden skal i disse tilfælde

uden forsinkelse underrette

de andre berørte tilsynsmyndigheder,

Det Eu-

ropæiske Databeskyttelsesråd og Kommissionen herom, samt begrundel-

sen for vedtagelse (artikel 61, stk. 1). Når en tilsynsmyndighed har truffet

afgørelse om en foreløbig foranstaltning, jf. stk. 1, og tilsynsmyndigheden

vurderer, at det haster at vedtage en endelig afgørelse, kan tilsynsmyndig-

heden fremkomme med en begrundet anmodning om, at Det Europæiske

Databeskyttelsesråd kommer med en hastende udtalelse eller en hastende

bindende afgørelse (artikel 61, stk. 2).

Enhver tilsynsmyndighed kan anmode om en hastende udtalelse eller ha-

stende bindende afgørelse fra Det Europæiske Databeskyttelsesråd i de til-

fælde, hvor en kompetent tilsynsmyndighed ikke har truffet de fornødne

foranstaltninger i tilfælde, hvor der er et hastende behov for at handle for

at sikre den registreredes rettigheder og frihedsrettigheder. Tilsynsyndig-

heden skal i disse tilfælde begrunde anmodningen om en udtalelse eller af-

gørelse, herunder fremkomme med en begrundelse for sagens hastende ka-

rakter (artikel 61, stk. 3).

Som en undtagelse til artikel 58, stk. 7, samt artikel 58a, stk. 2, skal en ha-

stende udtalelse eller hastende afgørelse, som omhandlet i artikel 61, stk. 2

og 3, vedtages inden for to uger ved et simpelt flertal af medlemmerne af

Det Europæiske Databeskyttelsesråd.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Efter artikel 62, stk. 1, kan Kommissionen vedtage gennemførelsesretsak-

ter med et generelt anvendelsesområde for at angive ordningerne for elek-

tronisk udveksling af oplysninger mellem tilsynsmyndighederne og mel-

lem tilsynsmyndighederne og Det Europæiske Databeskyttelsesråd, navn-

lig det standardformat, der er nævnt i artikel 57, stk. 5 og 6, samt artikel

58, stk. 8.

Afdeling 3 i kapitel 7 vedrører de nærmere regler om bl.a. oprettelse af Det

Europæiske Databeskyttelsesråd. Da Rådet skal have beføjelse til at træffe

bindende afgørelser, er det en forudsætning, at det oprettes som et selv-

stændigt EU-organ med juridisk personlighed.

Det følger derfor af artikel 64, stk. 1a, at Det Europæiske Databeskyttel-

sesråd oprettes som et EU-organ, og at det skal have juridisk personlighed.

Det følger endvidere af bestemmelsens stk. 1b, at Rådet skal repræsenteres

ved dets formand. Efter forslagets artikel 64, stk. 2, skal Databeskyttelses-

rådet sammensættes af direktøren for tilsynsmyndigheden i hver medlems-

stat eller dennes repræsentant og Den Europæiske Tilsynsførende for Da-

tabeskyttelse.

Ifølge artikel 64, stk. 4, har Kommissionen ret til at deltage i Det Europæi-

ske Databeskyttelsesråds aktiviteter og møder og skal udpege en repræsen-

tant, som ikke har stemmeret.

Det Europæiske Databeskyttelsesråd skal efter artikel 65, stk. 1, udøve si-

ne opgaver og beføjelser i henhold til artikel 66 og 67 uafhængigt. Uden at

det berører anmodninger fra Kommissionen i overensstemmelse med arti-

kel 66, stk. 1 og 2, skal Det Europæiske Databeskyttelsesråd i forbindelse

med udøvelse af opgaver og beføjelser ikke søge eller modtage instruktio-

ner fra nogen (artikel 65, stk. 2).

Det Europæiske Databeskyttelsesråds opgaver fremgår af forslagets artikel

66. Det følger heraf, at Rådet skal fremme en ensartet anvendelse af for-

ordningen. I den forbindelse skal Det Europæiske Databeskyttelsesråd bl.a.

af egen drift eller efter anmodning fra Kommissionen overvåge og sikre en

korrekt anvendelse af forordningen i de sager, som der henvises til i artikel

57, stk. 3 (litra aa), rådgive Kommissionen om ethvert spørgsmål vedrø-

rende beskyttelse af personoplysninger i EU, herunder om ethvert forslag

til ændring af forordningen (litra a), samt udarbejde retningslinjer til til-

synsmyndighederne angående anvendelse af de foranstaltninger, som der

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

henvises til i artikel 53, stk. 1, 1b og 1c samt fastlæggelsen af administrati-

ve bøder efter artikel 79 og 79a (litra ba).

Efter artikel 67, stk. 2, skal Rådet udarbejde en årlig rapport som spørgs-

mål om beskyttelse af fysiske personer i forbindelse med behandling af

personoplysninger i Den Europæiske Union, samt – såfremt det er relevant

– i tredjelande og internationale organisationer. Rapporten skal offentlig-

gøres og fremsendes til Europa-Parlamentet, Rådet og Kommissionen.

Den årlige rapport skal bl.a. indeholde en gennemgang af den praktiske

anvendelse af EDPB’s retningslinjer og anbefalinger

(artikel 67, stk. 3).

Det Europæiske Databeskyttelsesråd skal efter artikel 68, stk. 1, vedtage

bindende afgørelser, som nævnt i artikel 57, stk. 3, ved to-tredjedels flertal

af dets medlemmer. Vedtagelse af beslutninger, der er relateret til opga-

verne i artikel 66, skal ske ved simpelt flertal.

Rådet vedtager sin egen forretningsorden ved to-tredjedels flertal af dets

medlemmer og skal tilrettelægge sin egen drift (artikel 68, stk. 2).

Efter artikel 69, stk. 1, skal Det Europæiske Databeskyttelsesråd

ved sim-

pelt flertal

vælge en formand og to næstformænd blandt sine medlemmer.

Efter bestemmelsens stk. 2 er embedsperiode for formanden og de to næst-

formænd fem år og kan forlænges én gang.

Efter artikel 70, stk. 1, skal formanden indkalde til møder og forberede

dagsordenen (litra a), meddele de afgørelser, som er truffet af Rådet, jf. ar-

tikel 58a, til ”lead authority” og de berørte tilsynsmyndigheder (litra aa)

samt sikre Rådets rettidige opgavevaretagelse, herunder især i forhold til

sammenhængsmekanismen i artikel 57 (litra b).

Efter artikel 71, stk. 1, skal Det Europæiske Databeskyttelsesråd have et

sekretariat.

Sekretariatet for

Den Europæiske Tilsynsførende for Databe-

skyttelse skal stille et sekretariat til rådighed.

Efter artikel 71, stk. 1a, skal

sekretariatet udføre sine opgaver alene på baggrund af instrukser fra for-

manden for Det Europæiske Databeskyttelsesråd. Efter artikel 71, stk. 1b,

skal medarbejdere ved Den Europæiske Tilsynsførende for Databeskyttel-

se, som udfører opgaver for Det Europæiske Databeskyttelsesråd, bl.a. or-

ganisatorisk være adskilt fra medarbejdere, som udfører opgaver for Den

Europæiske Tilsynsførende for Databeskyttelse.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Sekretariatet skal efter artikel 71, stk. 2, yde analytisk, administrativ og lo-

gistisk støtte til Rådet.

Det fremgår af artikel 71, stk. 3, at sekretariatet bl.a. skal være ansvarlig

for Rådets daglige arbejde (litra a), samt kommunikationen mellem med-

lemmerne af Det Europæiske Databeskyttelsesråd, dets formand og Kom-

missionen og for kommunikationen med andre institutioner og offentlig-

heden (litra b).

Efter artikel 72, stk. 1, er drøftelser i Det Europæiske Databeskyttelsesråd

fortrolige.

2.9. Klageadgang, ansvar og sanktioner (forordningens kapitel VIII)

Forslagets artikel 73, stk. 1, indeholder en bestemmelse om, at den regi-

strerede har ret til at indgive klage til

en enkelt

tilsynsmyndighed,

herun-

der især tilsynsmyndigheden

i den medlemsstat, hvor den pågældende bor,

arbejder, eller hvor den påståede overtrædelse har fundet sted,

hvis den

registrerede finder, at behandlingen af den pågældendes personoplysninger

ikke er i overensstemmelse med bestemmelserne i forordningen.

Den tilsynsmyndighed, som har modtaget en klage, skal efter artikel 73,

stk. 5, orientere klageren om sagens behandling, afgørelsen i sagen samt

muligheden for domstolsprøvelse efter artikel 74.

Det følger af artikel 74, stk. 1, at enhver fysisk eller juridisk person har ret

til domstolsprøvelse af afgørelser, der er truffet af en tilsynsmyndighed

vedrørende den pågældende. Dertil følger det af artikel 74, stk. 2, at den

registrerede skal have ret til et retsmiddel i de tilfælde, hvor en tilsyns-

myndighed vælger ikke at behandle en klage, afviser en klage helt eller

delvist, eller ikke inden for tre måneder – eller en kortere periode, som er

fastsat i national lovgivning – underretter den registrerede om forløbet el-

ler resultatet af en klage,

som er indgivet efter artikel 73.

En sag mod en tilsynsmyndigheds afgørelse skal efter artikel 74, stk. 3, an-

lægges ved domstolen i den medlemsstat, hvor tilsynsmyndigheden er

etableret.

Hvis en sag indledes mod en afgørelse, som en tilsynsmyndighed har truf-

fet på baggrund af en udtalelse eller afgørelse fra Det Europæiske Data-

beskyttelsesråd, skal tilsynsmyndigheden fremsende denne afgørelse til

domstolen (artikel 74, stk. 3a).

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Herudover følger det af artikel 75, stk. 1, at registrerede skal have mulig-

hed for domstolsprøvelse, hvis de finder, at deres rettigheder i henhold til

forordningen er blevet krænket som følge af behandlingen af personoplys-

ninger i strid med forordningen. En sag mod en dataansvarlig eller en da-

tabehandler skal ifølge artikel 75, stk. 2, anlægges ved domstolen i den

medlemsstat, hvor den dataansvarlige eller databehandleren er etableret.

Alternativt kan en sådan sag også anlægges ved domstolen i den medlems-

stat, hvor den registrerede har sit sædvanlige opholdssted, medmindre den

dataansvarlige er en offentlig myndighed, der udøver offentligretlige befø-

jelser.

Artikel 76, stk. 1, indeholder en bestemmelse om, at den registrerede skal

have ret til at overlade retten til på den registreredes vegne at indgive en

klage, at indbringe en afgørelse fra en tilsynsmyndighed for domstolene

samt at føre en sag mod en dataansvarlig eller en databehandler til et or-

gan, en organisation eller sammenslutning, som er

korrekt

oprettet i hen-

hold til lovgivningen i den pågældende medlemsstat, og hvis formål bl.a.

er at beskytte registreredes rettigheder og frihedsrettigheder i forbindelse

med beskyttelse af personoplysninger

Det følger af artikel 76, stk. 2, at medlemsstater kan give de samme orga-

nisationer mv., som er nævnt i stk. 1, ret til – uafhængigt af den registrere-

des mandat – i den pågældende medlemsstat at indgive klage til en til-

synsmyndighed efter artikel 73, ret til domstolsprøvelse af en afgørelse fra

en tilsynsmyndighed efter artikel 74 samt ret til at anlægge en sag mod en

dataansvarlig eller databehandler efter artikel 75, hvis den finder, at de

registreredes rettigheder er overtrådt som følge af manglende overholdel-

se af forordningen.

I de tilfælde, hvor en domstol i forbindelse med en domstolsprøvelse har

oplysninger om,

at en sag vedrørende den

samme genstand for så vidt an-

går den samme dataansvarlige eller databehandler, verserer

ved en dom-

stol i en anden medlemsstat, skal den efter artikel 76a, stk. 1, kontakte

domstolen i den anden medlemsstat for at få dette bekræftet.

Når en sag vedrørende den samme genstand for så vidt angår den samme

dataansvarlige eller databehandler, verserer ved en domstol i en anden

medlemsstat, kan enhver kompetent domstol – bortset fra den domstol, som

først indledte en sag – suspendere behandlingen af sagen (artikel 76a, stk.

2).

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Efter artikel 76a, stk. 2a, kan enhver kompetent domstol – bortset fra den

domstol, som først indledte en sag – når en sag verserer i første instans,

erklære sig inkompetent på baggrund af en ansøgning fra en af parterne,

hvis den domstol, som først indledte en sag, er kompetent i forhold til sa-

gerne og dens lovgivning tillader, at sagerne behandles samlet.

Forslaget indeholder i artikel 77, stk. 1, en bestemmelse om, at enhver,

som har lidt

legemlig eller anden

skade som følge af, at en behandling, der

ikke er i overensstemmelse med forordningen, har ret til erstatning for den

forvoldte skade fra den dataansvarlige eller databehandleren.

Ifølge artikel

77, stk. 2, skal enhver dataansvarlig, som er involveret i en behandling,

være ansvarlig for skade forvoldt af dennes behandling, som ikke er i

overensstemmelse med forordningen. En databehandler skal alene være

ansvarlig for overtrædelser af forordningen, hvis den pågældende ikke har

overholdt forpligtelser, som er efter forordningen er pålagt databehandle-

re, eller hvis den pågældende har handlet imod lovlige instrukser fra den

dataansvarlige.

Efter artikel 77, stk. 3, kan en dataansvarlig eller databehandler fritages for

erstatningsansvar, hvis den dataansvarlig eller databehandleren kan bevise,

at de ikke

i det hele

er skyld i den begivenhed, som har medført skaden.

Når flere dataansvarlige eller databehandlere eller en dataansvarlig og en

databehandler er involveret i den samme databehandling og ansvarlige for

skade forvoldt af behandlingen i overensstemmelse med betingelserne i ar-

tikel 77, stk. 2 og 3, skal enhver dataansvarlig eller databehandler hæfte

for hele skaden (artikel 77, stk. 4).

Når en dataansvarlig eller databehandler i overensstemmelse med stk. 4

har betalt fuld erstatning for en skade, skal den pågældende dataansvarli-

ge eller databehandler være berettiget til at kræve den del af erstatningen

tilbage fra andre dataansvarlige eller databehandlere, som har været in-

volveret i den samme databehandling, og som svarer til de pågældendes

del af skylden for skaden i overensstemmelse med betingelserne i stk. 2

(artikel 77, stk. 5).

Sager om erstatning skal indbringes for de domstole, som er kompetente i

henhold til medlemsstatens lovgivning, og som der henvises til i artikel 75,

stk. 2 (artikel 77, stk. 6).

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Som en væsentlig nyskabelse indeholder kapitel VIII udførlige regler om,

at de nationale tilsynsmyndigheder har beføjelse til at anvende administra-

tive bøder.

Det følger af artikel 79, stk. 1, at enhver tilsynsmyndighed skal

sikre at på-

læggelse af administrative bøder for de overtrædelser af forordningen,

som der er henvist til i artikel 79a, i hvert enkelt tilfælde er effektive, pro-

portionale og afskrækkende.

Efter artikel 79, stk. 2a, skal de

administrative bøder – afhængig af de

konkrete omstændigheder – udstedes i tillæg til eller i stedet for en foran-

staltning, som er nævnt i artikel 53, stk. 1b, litra a til f.

Ifølge artikel 79,

stk. 2a, skal der ved vurderingen af, om en administrativ bøde skal udste-

des samt ved vurderingen af bødens størrelse, i hvert enkelt tilfælde ind-

drages en række hensyn, som er angivet i en ikke-udtømmende liste i be-

stemmelsen.

Tilsynsmyndigheden skal

bl.a.

inddrage overtrædelses karak-

ter, grovhed og varighed under hensyntagen til behandlingens karakter,

omfang og formål,

samt antallet af registrerede, som er påvirket og gra-

den af den skade, som de registrerede har lidt

(litra a), overtrædelsens for-

sætlige eller uagtsomme karakter (litra b), hvilke foranstaltninger den da-

taansvarlige eller databehandleren har taget for at afhjælpe den skade, som

den registrerede har lidt (litra d), graden af den dataansvarliges og databe-

handlerens ansvar under hensyntagen til tekniske og organisatoriske foran-

staltninger, som er gennemført, jf. artikel 23 og 30 (om behandlingssikker-

hed) (litra e) og om den dataansvarlige eller databehandleren tidligere har

overtrådt forordningen (litra f). Herudover skal

det inddrages, hvordan

overtrædelsen kom til tilsynsmyndigheds kendskab, herunder især om – og

i hvilket omfang – den dataansvarlige eller databehandleren har anmeldt

bruddet (litra h), overholdelse af foranstaltninger, som er nævnt i artikel

53, stk. 1, litra b og c og stk. 1b, litra a, d, e og f (om tilsynsmyndighed be-

føjelser, herunder muligheden for at give påbud og forbud) (litra i) og

overholdelse af godkendte adfærdskodekser, jf. artikel 38, eller certifice-

ringsmærkninger, jf. artikel 39 (litra j). Tilsynsmyndigheden skal herud-

over inddrage alle andre skærpende eller formildende forhold i den kon-

krete sag (litra m).

Enhver medlemsstat kan efter artikel 79, stk. 3b, fastsætte regler om, hvor-

vidt offentlige myndigheder kan idømmes administrative bøder, og i hvil-

ket omfang dette i givet fald kan ske.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Tilsynsmyndighedens udøvelse af beføjelsen til at udstede administrative

bøder efter artikel 79, skal efter artikel 79, stk. 4, være underlagt passende

proceduremæssige garantier i overensstemmelse med EU-lovgivning og

medlemsstatslovgivning, herunder effektiv klageadgang og en retfærdig

rettergang.

Det følger af artikel 79, stk. 5, at en medlemsstat kan afholde sig fra at

fastsætte regler om administrative bøder, som anført i artikel 79a, stk. 1, 2

og 3, hvis deres retssystem ikke giver mulighed for udstedelse af admini-

strative bøder, og overtrædelserne, som er nævnt i artikel 79a, stk. 1, 2 og

3, den dato, der er fastsat i artikel 91, stk. 2, er underlagt strafferetlige

sanktioner i den pågældende medlemsstats nationale lovgivning. De straf-

feretlige sanktioner skal være effektive, proportionale og afskrækkende

under hensyntagen til bødeniveauet, som er angivet i forordningen.

En medlemsstat skal i disse tilfælde meddele Kommissionen om de rele-

vante dele af deres straffelovgivning.

Ifølge artikel 79a skal administrative bøder pålægges ud fra en niveau-

mæssig graduering fastsat efter karakteren af de overtrædelser, der er be-

gået. Det er i artikel 79a udtømmende opregnet bestemmelser, hvor en

overtrædelse kan medføre en administrativ bøde.

Der er lagt op til, at der på hvert niveau skal henvises til et maksimumbe-

løb, og at der for så vidt angår koncerner skal henvises til en procentsats af

virksomhedens totale årlige globale omsætning baseret på det forudgående

regnskabsår, jf. artikel 79a, stk. 1, 2 og 3.

Efter artikel 79a, stk. 1, kan en tilsynsmyndighed pålægge en bøde på op

til 250.000 euro, eller, hvis det drejer sig om en virksomhed op til 0,5 % af

dens årlige globale omsætning,

i de tilfælde, hvor en dataansvarlig forsæt-

ligt eller uagtsomt ikke besvarer en henvendelse fra en registreret inden for

den frist, som fremgår af artikel 12, stk. 2 (litra a) eller i strid med artikel

12, stk. 4, opkræver et gebyr for meddelelse af information til den registre-

rede (litra b).

Efter artikel 79a, stk. 2, kan en tilsynsmyndighed pålægge en bøde på op

til 500.000 euro, eller hvis det drejer sig om en virksomhed op til 1 % af

dens årlige globale omsætning, hvis en

dataansvarlig eller

databehand-

ler forsætligt eller uagtsomt undlader at meddele den registrerede oplys-

ninger – eller meddeler ufuldstændige oplysninger – eller ikke meddeler

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

oplysninger rettidigt eller i en tilstrækkelig gennemsigtig form for den re-

gistrerede, jf. artikel 12, stk. 3, artikel 14 og artikel 14a (litra a), hvis en

dataansvarlig eller databehandler ikke giver den registrerede adgang til

indsigt, jf. artikel 15,

eller

ikke berigtiger oplysninger, jf. artikel 16

(litra

b), ikke sletter oplysninger i overensstemmelse med artikel 17, stk. 1, litra

a, artikel 17, stk. 1, litra b, artikel 17, stk. 1, litra d eller artikel 17, stk. 1,

litra e (litra c), behandler personoplysninger i strid med retten til be-

grænsning af behandling i artikel 17a eller ikke informerer den registrere-

de, jf. artikel 17a, stk. 4, inden en begrænsning af behandling af personop-

lysninger bliver løftet (litra da), ikke kommunikerer enhver berigtigelse,

sletning eller begrænsning af behandling til de modtagere, som den data-

ansvarlige har videregivet personoplysningerne til (litra db), ikke udleve-

rer personoplysninger til den registrerede om den pågældende selv i strid

med artikel 18 (litra dc), behandler personoplysninger efter at have mod-

taget en indsigelse, jf. artikel 19, stk. 1, og ikke demonstrerer vægtige legi-

time grunde til behandlingen, som overstiger den registreredes interesser,

rettigheder og frihedsrettigheder eller for at et retskrav kan fastslås, gøres

gældende eller forsvares (litra dd), ikke oplyser den registrerede om retten

til at gøre indsigelse mod behandling til direkte markedsføringsformål i

overensstemmelse med artikel 19, stk. 2, eller fortsætter med at behandle

personoplysninger til direkte markedsføringsformål efter en indsigelse fra

en registreret i strid med artikel 19, stk. 2a (litra de),

hvis de dataansvarli-

ge ikke – eller ikke i tilstrækkelig grad – fordeler ansvaret i overensstem-

melse med artikel 24 (litra e), eller den dataansvarlige eller databehandle-

ren ikke opfylder kravene om opbevaring af dokumentation, jf. artikel 28

og artikel 31, stk. 4 (litra f).

Efter artikel 79a, stk. 3, kan en tilsynsmyndighed pålægge en dataansvar-

lig eller databehandler en bøde på op til 1.000.000 euro, eller, hvis det

drejer sig om en virksomhed op til 2 % af dens årlige globale omsætning

de tilfælde, hvor den dataansvarlige eller databehandleren forsætligt eller

uagtsomt behandler personoplysninger uden at have et lovligt behand-

lingsgrundlag eller ikke overholder betingelserne om samtykke i artikel 6,

7, 8 og 9 (litra a), ikke overholder betingelserne i forhold til profilering i

artikel 20 (litra d), ikke gennemfører tilstrækkelige foranstaltninger eller

ikke er i stand til at demonstrere overholdelse af artikel 22 og 30 (litra e),

ikke udpeger en repræsentant, jf. artikel 25 (litra db) eller behandler eller

giver instrukser om behandling i strid med artikel 26 (litra dc). Dertil kan

tilsynsmyndigheden pålægge en bøde, hvis en dataansvarlig eller databe-

handler forsætligt eller uagtsomt ikke meddeler et brud på datasikkerheden

til tilsynsmyndigheden, eller hvis de pågældende ikke rettidigt eller fuld-

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

stændigt anmelder et brud til tilsynsmyndigheden eller underretter den re-

gistrerede i overensstemmelse med artikel 31 og 32 (litra dd), eller hvis

den dataansvarlige eller databehandleren ikke udarbejder en konsekvens-

analyse, når dette er påkrævet, jf. artikel 33, eller behandler oplysninger

uden forudgående høring af tilsynsmyndigheden i strid med artikel 34, stk.

1 (litra de). Desuden kan en dataansvarlig eller databehandler pålægges en

bøde, hvis den pågældende forsætligt eller uagtsomt misbruger en databe-

skyttelsesmærkning, jf. artikel 39, eller ikke opfylder betingelserne og pro-

cedurerne, der er fastsat i artikel 38a og 39a (litra f). Endelig kan en data-

ansvarlig eller databehandler pålægges en bøde, såfremt den pågældende

forsætligt eller uagtsomt overfører oplysninger til et tredjeland i strid med

reglerne i artikel 40 til 44 (litra g), eller hvis den pågældende ikke over-

holder et påbud, et midlertidigt eller definitivt forbud om behandling eller

en suspendering af en videregivelse, som er givet efter artikel 53, stk. 1, el-

ler ikke giver tilsynsmyndigheden adgang til lokaler mv. i strid med artikel

53, stk. 2 (litra h).

Det følger af artikel 79a, stk. 3a, at i tilfælde, hvor en dataansvarlig eller

databehandler, som forsætligt eller uagtsomt overtræder flere bestemmel-

ser, som er angivet i artikel 79a, stk. 1, 2 og 3, skal den samlede bøde ikke

overskride det beløb, som er fastsat for den groveste overtrædelse.

Medlemsstater skal efter artikel 79b, stk. 1, i den nationale lovgivning fast-

lægge regler om straffe for overtrædelse af bestemmelser i forordningen,

herunder især overtrædelser,

som ikke kan medføre en administrativ bøde,

ligesom det skal sikres at disse gennemføres. Disse straffe skal være effek-

tive, proportionale og afskrækkende.

Det følger af 79b, stk. 3, at hver medlemsstat skal meddele Kommissionen

om de regler, den vedtager i henhold til stk. 1 senest den dato, der er fast-

sat i artikel 91, stk. 2, samt underrette Kommissionen straks om eventuelle

senere ændringer af disse.

2.10. Bestemmelser vedrørende specifikke databehandlingssituationer

(forordningens kapitel IX)

Kapitlet indeholder en række bestemmelser om behandling af personop-

lysninger i særlige situationer, herunder i ansættelsesforhold og til brug for

historiske, statistiske eller forskningsformål.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

I artikel 80, stk. 1, fastslås, at medlemsstatslovgivning skal forene retten til

databeskyttelse, som følger af denne forordning, med retten til ytringsfri-

hed og information, herunder behandlingen af personoplysninger til jour-

nalistiske,

akademiske og

kunstneriske formål

samt

litterær virksomhed.

Det følger dernæst af artikel 80, stk. 2, at medlemsstaterne for de formål,

som følger af stk. 1,

skal

fastsætte fritagelser og undtagelser i forhold til

bestemmelserne i forordningens kapitel II (principper), kapitel III (den re-

gistreredes rettigheder), kapitel IV (den dataansvarlige og databehandle-

ren), kapitel V (overførsel af personoplysninger til tredjeland og internati-

onale organisationer),

kapitel VI (om uafhængige tilsynsmyndigheder),

ka-

pitel VII (samarbejde og sammenhæng), såfremt det er nødvendigt for at

kunne forene retten til beskyttelse er personoplysninger med retten til yt-

ringsfrihed og information.

Det følger af artikel 80a, at personoplysninger i officielle dokumenter, som

en offentlig myndighed eller offentligt organ har i sin besiddelse, kan vide-

regives i overensstemmelse med EU-lovgivning eller medlemsstatslovgiv-

ning, som myndigheden eller organet er underlagt, for at forene retten til

offentlig adgang til disse dokumenter med retten til beskyttelse af person-

oplysninger, som følger af forordningen. Det følger af den tilhørende præ-

ambelbetragtning

121a,

at offentlige myndigheder eller organer i denne

sammenhæng skal omfatte samtlige organer, som er underlagt nationale

regler om aktindsigt.

Efter artikel 80b kan medlemsstaterne bestemme på hvilke betingelser et

nationalt identifikationsnummer eller andre almene midler til identifikation

kan gøres til genstand for behandling. Nationale identifikationsnumre eller

andre almene midler til identifikation skal kun anvendes under de fornødne

garantier for den registreredes rettigheder og frihedsrettigheder,

som følger

af denne forordning.

I medfør af artikel 82. stk. 1, kan medlemsstaterne

ved lovgivning eller ved

kollektiv overenskomst fastsætte mere specifikke regler

at sikre beskyttelse

af rettigheder og frihedsrettigheder i forbindelse med behandlingen af ar-

bejdstageres personoplysninger i ansættelsesforhold, særligt i forbindelse

med ansættelse, ansættelseskontrakter, herunder godtgørelse for forpligtel-

ser fastsat ved lov eller kollektive overenskomster, arbejdets ledelse, plan-

lægning og tilrettelæggelse, lighed og mangfoldighed på arbejdspladsen,

sundhed og sikkerhed på arbejdet, beskyttelsen af de ansattes og kunders

ejendom. Derudover kan specificering ske i forbindelse med individuel og

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

kollektiv udøvelse og brug af rettigheder og fordele i forbindelse med an-

sættelse og i forbindelse med ophør af ansættelsesforhold.

Det følger herefter af artikel 82, stk. 2, at hver medlemsstat skal meddele

Kommissionen om de regler, den vedtager i henhold til stk. 1 senest den

dato, der er fastsat i artikel 91, stk. 2, samt underrette Kommissionen

straks om eventuelle senere ændringer af disse.

Det følger af artikel 82, stk. 3, at medlemsstater kan fastsætte under hvilke

betingelser personoplysninger kan behandles i en ansættelsesretlig sam-

menhæng på baggrund af et samtykke fra den ansatte.

Kapitel IX indeholder endvidere bestemmelser om behandling af person-

oplysninger til arkivformål samt til historiske, statistiske og videnskabelige

formål.

Det følger af artikel 83, stk. 1, at såfremt personoplysninger behandles

til

historiske, statistiske og videnskabelige formål, kan EU- eller medlemssta-

ternes lovgivning, som sikrer fornødne sikkerhedsforanstaltninger for den

registreredes rettigheder og frihedsrettigheder, fastsætte undtagelser fra be-

stemmelserne i artikel 14a, stk. 1 og 2, samt artikel 15, 16, 17, 17a,

17b,

og 19, for så vidt disse undtagelser er nødvendige for opfyldelsen af

det

specifikke formål.

Det følger af artikel 83, stk. 1a, at såfremt personoplysninger behandles til

arkivformål i det offentliges interesse, kan EU- eller medlemsstaternes

lovgivning, som sikrer fornødne sikkerhedsforanstaltninger for den regi-

streredes rettigheder og frihedsrettigheder, fastsætte undtagelser fra be-

stemmelserne i artikel 14a, stk. 1 og 2, samt artikel 15, 16, 17, 17a, 17b,

18, 19, 23, 32, 33 og 53, stk. 1b, litra d og e, for så vidt disse undtagelser

er nødvendige for opfyldelsen af det specifikke formål.

Det følger af artikel 83, stk. 1b, at i det tilfælde, at behandling til de for-

mål, som er anført i bestemmelsens stk. 1 og 1a, samtidig tjener et andet

formål end det, som er angivet i de pågældende bestemmelser, skal undta-

gelserne alene finde anvendelse for behandlingen til de nævnte formål.

Det følger af artikel 83, stk. 2, at de fornødne sikkerhedsforanstaltninger,

som

der henvises til i stk. 1 og 1a,

skal

fremgå af EU- eller medlemsstats-

lovgivning, som

sikrer, at teknologiske og/eller organisatoriske beskyttel-

sesforanstaltninger i

henhold til denne forordning

er anvendt i forhold til

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

personoplysningerne

for at minimere behandlingen af oplysningerne i

overensstemmelse med proportionalitets- og nødvendighedsprincipperne,

så som pseudonymisering af oplysningerne, medmindre disse foranstalt-

ninger forhindrer, at formålet med behandlingen kan opnås og et sådant

formål ikke kan opfyldes på anden rimelig vis.

Det følger af artikel 84, stk. 1, at medlemsstaterne kan vedtage specifikke

regler om tilsynsmyndighedernes undersøgelsesbeføjelser i henhold til ar-

tikel 53, stk. 1, litra da og db, i forhold til dataansvarlige og databehandle-

re, der i henhold til national lovgivning eller regler fastlagt af nationale

kompetente organer, er underlagt faglig eller anden tilsvarende tavsheds-

pligt eller underlagt et kodeks om faglig etik, som efterses og håndhæves

af faglige organer, for så vidt dette er nødvendigt og proportionalt med

henblik på at forene retten til beskyttelse af personoplysninger med tavs-

hedspligt. Disse regler gælder kun for personoplysninger, som den dataan-

svarlige eller databehandleren har modtaget eller indhentet under en aktivi-

tet, der er underlagt denne tavshedspligt.

Det følger dernæst af artikel 84, stk. 2, at hver medlemsstat skal meddele

Kommissionen om de regler, den vedtager i henhold til stk. 1 senest den

dato, der er fastsat i artikel 91, stk. 2, samt underrette Kommissionen

straks om eventuelle senere ændringer af disse.

Efter artikel 85 kan kirker og andre religiøse sammenslutninger mv., som

ved forordningens ikrafttræden, allerede anvender omfattende regler om

beskyttelse af registrerede med hensyn til behandling af personoplysnin-

ger, fastholde sådanne regler, såfremt de bringes i overensstemmelse med

forordningen.

2.11. Delegerede retsakter og gennemførelsesforanstaltninger (forord-

ningens kapitel X)

Artikel 86 indeholder en regulering af proceduren, når Kommissionen ved-

tager delegerede retsakter. Det bemærkes, at Kommissionen alene kan

vedtage delegerede retsakter i henhold til artikel 39a, stk. 7.

Artikel 87 indeholder bestemmelser om den udvalgsprocedure, der skal

finde anvendelse i forbindelse med Kommissionens vedtagelse af gennem-

førelsesretsakter. Der henvises i den forbindelse til forordning 182/2011

om de generelle regler og principper for, hvordan medlemsstaterne skal

kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

2.12. Afsluttende bestemmelser (forordningens kapitel XI)

Forslagets artikel 88 indeholder en række afsluttende bestemmelser, hvor

der bl.a. lægges op til at ophæve det gældende databeskyttelsesdirektiv

95/46/EF.

Derudover fremgår det af artikel 89, at forordningen ikke indfører yderli-

gere forpligtelser for fysiske eller juridiske personer, for så vidt angår be-

handling af personoplysninger i forbindelse med levering af offentligt til-

gængelige elektroniske kommunikationstjenester i offentlige kommunika-

tionsnet i Unionen, i forhold, hvor de er underlagt specifikke forpligtelser

med samme mål som fastsat i direktiv 2002/58/EF (e-privacy direktivet).

Efter artikel 89a skal internationale aftaler, som bl.a. vedrører overførsel

af personoplysninger til tredjelande eller internationale organisationer, og

som er indgået af medlemsstaterne forud for forordningens ikrafttræden,

og som er i overensstemmelse med databeskyttelsesdirektivet fra 1995, væ-

re gældende indtil de er ændret, erstattet eller trukket tilbage.

Efter artikel 90 skal Kommissionen med jævne mellemrum evaluere for-

ordningen. Senest 4 år efter ikrafttræden skal Kommissionen indgive den

første evaluering til EU-parlamentet og Rådet.

Endelig følger det af forslagets artikel 91, at det træder i kraft på tyvende-

dagen efter offentliggørelse i Den Europæiske Unions Tidende, og at det

finder anvendelse 2 år fra denne dato. Forordningen vil være bindende i al-

le enkeltheder og gælder umiddelbart i hver medlemsstat.

Gældende dansk ret

3.1. Indledning

Henset til, at forordningsforslaget berører forhold, der har relevans for en

række retsområder, er det alene et udvalg af de berørte love, der omtales i

dette afsnit.

3.2. Persondataloven

I lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med se-

nere ændringer (persondataloven) er der fastsat generelle regler om be-

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

handling af personoplysninger for offentlige myndigheder og den private

sektor.

Persondataloven indeholder således bl.a. regler om, hvornår behandling af

personoplysninger i almindelighed må finde sted, ligesom loven indehol-

der regler vedrørende behandling af særlige typer oplysninger (f.eks. regler

om personnumre) og vedrørende behandling af personoplysninger på sær-

lige områder (f.eks. regler om kreditoplysningsbureauer).

Loven indeholder desuden en række bestemmelser om rettigheder for de

personer, der behandles oplysninger om, f.eks. regler om den registreredes

ret til information, indsigelse, indsigt, berigtigelse og sletning af personop-

lysninger. Endvidere er fastsat regler om datasikkerhed i forbindelse med

behandling af personoplysninger.

Persondataloven indeholder også bestemmelser om Datatilsynets kontrol

med behandling af personoplysninger, der foretages for offentlige myn-

digheder og den private sektor, ligesom der i loven er fastsat regler om

pligt til at foretage anmeldelse til Datatilsynet i forbindelse med bestemte

typer behandling af personoplysninger.

Persondataloven er først og fremmest baseret på databeskyttelsesdirektivet.

3.3. Forvaltningsloven

I lov nr. 571 af 19. december 1985 med senere ændringer (forvaltningslo-

ven) fastsættes regler om en række forhold vedrørende den offentlige for-

valtning, herunder om udveksling af oplysninger mellem forvaltningsmyn-

digheder.

Det følger af lovens § 27, stk. 1, at reglerne i persondatalovens § 5, stk. 1-

3, §§ 6-8, § 10, § 11, stk. 1, § 38 og § 40 gælder for videregivelse af op-

lysninger om enkeltpersoner (personoplysninger) til en anden forvalt-

ningsmyndighed.

3.4. Sundhedslovgivningen

Den endelige vurdering af, i hvilket omfang forordningsforslaget vil berøre

reglerne på sundhedsområdet, er endnu ikke foretaget. Dog forventes for-

ordningsforslaget, herunder navnlig den foreslåede artikel 9, stk. 2, litra h,

samt artikel 81 (om behandling af helbredsoplysninger), generelt at berøre

de gældende regler på sundhedsområdet.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Det bemærkes i den forbindelse, at lovbekendtgørelse nr. 913 af 13. juli

2010 med senere ændringer (sundhedsloven) bl.a. indeholder bestemmel-

ser, der regulerer sundhedspersoners tavshedspligt, videregivelse og ind-

hentning af helbredsoplysninger, herunder medicin- og vaccinationsoplys-

ninger, oplysninger om øvrige rent private forhold og andre fortrolige op-

lysninger, jf. lovens kapitel 9, herunder § 42 a, samt §§ 157 og 157 a. Dis-

se regler må forventes at blive berørt af forordningsforslagets regler.

Endvidere må forordningsforslagets artikel 83c om behandling af person-

oplysninger til videnskabelige formål forventes at have betydning for

forskningsarbejde på det sundhedsmæssige område.

3.5. Andre love mv.

En række andre love og retsakter indeholder bestemmelser om behandling

af personoplysninger. Dette gælder f.eks. lovgivningen om behandling af

personoplysninger til forskningsformål, om tv-overvågning, om behand-

ling af personoplysninger i CPR-systemet samt i forbindelse med udøvel-

sen af offentlig og privat virksomhed inden for en række konkrete områ-

der.

Lovgivningsmæssige og statsfinansielle konsekvenser

4.1.

Det følger af EUF-traktatens artikel 288, at en forordning er almen-

gyldig, samt at den binder i alle enkeltheder og gælder umiddelbart i hver

medlemsstat. Hertil kommer, at forordningsforslaget efter sit indhold bl.a.

har til formål at ophæve og erstatte det gældende databeskyttelsesdirektiv

(direktiv 95/46/EF). En konsekvens af forslaget vil derfor bl.a. være, at

den regulering, der følger af lov nr. 429 af 31. maj 2000 om behandling af

personoplysninger (persondataloven) – samt andre love, bekendtgørelser

mv., der vedrører behandling af personoplysninger – efter omstændighe-

derne vil skulle ophæves eller ændres i overensstemmelse med ordlyden af

den endelige forordning.

Det bemærkes, at forordningsforslaget indeholder en række bestemmelser,

hvorved medlemsstaterne på konkrete områder overlades beføjelse til – in-

den for rammerne af forordningen – at fastsætte nærmere regler om be-

handling af personoplysninger, jf. bl.a. under pkt. 2.10 ovenfor.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Den endelige fastlæggelse af, hvilke love der vil være behov for at ophæve

eller ændre, vil finde sted i samarbejde med de berørte ressortministerier.

Forslaget vil indebære, at bestemmelserne i den gældende persondatalov i

al væsentlighed vil skulle erstattes af forordningens regulering, der som

nævnt vil gælde umiddelbart i hver medlemsstat. De behandlingsregler,

rettigheder for den registrerede, datasikkerhedsregler mv., der i dag følger

af persondataloven, vil – efter forslagets vedtagelse – således alene være at

finde i forordningen.

Det følger endvidere af forslaget, at forordningens regulering skal supple-

res af national lovgivning bl.a. om oprettelse af en national tilsynsmyndig-

hed.

4.2.

Reformpakken om databeskyttelse (forordning og direktiv) vurderes

på baggrund af foreløbige skøn, samlet set at kunne have væsentlige stats-

finansielle og erhvervsøkonomiske konsekvenser.

Vurderingen af de økonomiske konsekvenser skal navnlig ses i lyset af, at

alle myndigheder, virksomheder mv. i Danmark, som behandler personop-

lysninger, som hovedregel vil være underlagt alle de krav, som følger af

forordningen, ligesom enhver registreret person vil kunne påberåbe sig de

rettigheder, som forordningen giver.

For den offentlige sektor betyder dette, at en vedtagelse af forordningen vil

have konsekvenser for alle dele af den offentlige forvaltning. Det bemær-

kes, at forordningen ud over at indeholde generelle regler, som gælder på

tværs af den offentlige og private sektor, endvidere indeholder mere speci-

fikke regler om tilsynsmyndighederne. Det er i dag Datatilsynet og Dom-

stolsstyrelsen, der er tilsynsmyndighed efter reglerne.

For så vidt angår de erhvervsøkonomiske konsekvenser, vurderes forslaget

at medføre såvel administrative lettelser som byrder for erhvervslivet.

Det nærmere omfang af de økonomiske konsekvenser afhænger bl.a. af,

hvilke administrative eller systemmæssige ændringer det er nødvendigt at

foretage for at opfylde de krav og rettigheder, som følger af forordningen.

Justitsministeriet vil på baggrund af kompromisforslaget, der forventes at

være enighed om på rådsmødet i juni 2015 foretage en nærmere vurdering

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

af forslagets økonomiske og administrative konsekvenser under inddragel-

se af relevante myndigheder mv.

Høring

Forslaget har været i høring hos nedenstående myndigheder og organisati-

oner mv. med en høringsfrist den 1. juli 2012. Det bemærkes, at det såle-

des er Kommissionens oprindelige forslag, der har været i høring.

Præsidenten for Vestre Landsret, Præsidenten for Østre Landsret, Præsi-

denten for Sø- og Handelsretten, Præsidenterne for byretterne, Advokatrå-

det og Advokatsamfundet, Advokatsamfundet, Akademikernes Centralor-

ganisation, Amnesty International, Arbejderbevægelsens Erhvervsråd, Ar-

bejdsmarkedsstyrelsen, Arbejdstilsynet, BAT-Kartellet (Bygge- Anlægs-

og Trækartellet), BFID (Brancheforeningen af Farmaceutiske Industrivirk-

somheder i Danmark), Boligselskabernes Landsforening, Brancheforenin-

gen for Sæbe, Parfume og Teknisk/kemiske artikler, Bryggeriforeningen,

Børnerådet, Danmarks Apotekerforening, Danmarks Rederiforening,

Danmarks Statistik, Dansk Arbejdsgiverforening, Dansk Byggeri, Dansk

Ejendomsmæglerforening, Dansk Eksportforening, Dansk Erhverv, Dansk

Industri, Dansk InkassoBrancheforening, Dansk Metal, Dansk Metalarbej-

derforbund, Dansk Rejsebureau Forening, Dansk Retspolitisk Forening,

Dansk Selskab for Akutmedicin, Dansk Selskab for Retsmedicin, Dansk

Standard, Dansk Sygeplejeråd, Dansk Told og Skatteforbund, Dansk Vare-

fakta Nævn, Danske Advokater, Danske Arkitektvirksomheder, Danske

Dagblades Forening, Danske Maritime (skibsværtforening), Danske Regi-

oner, Danske Reklamebureauers Branceforening, Danske Speditører, De

Danske Patentagenters Forening, De Videnskabsetiske Komiteer for Regi-

on Hovedstaden, De Videnskabsetiske Komiteer for Region Midtjylland,

De Videnskabsetiske Komitéer for Region Sjælland, Den Centrale Viden-

skabsetiske Komité, Den Videnskabsetiske Komité for Region Nordjyl-

land, Den Videnskabsetiske Komité for Region Syddanmark, Det Etiske

Råd, Det Frie Forskningsråd, Det Nordiske Cochrane Center, Det Strategi-

ske Forskningsråd, DI-Organisation for erhvervslivet, DJØF, Dommerfor-

eningen, Dommerfuldmægtigforeningen, Domstolenes Tjenestemandsfor-

ening, Domstolsstyrelsen, DPU - Danmarks Pædagogiske Universitetssko-

le, DSI – Dansk Sundhedsinstitut, Elektricitetsrådet, Fagligt Fælles For-

bund, FDB, Finans og Leasing, Finansrådet, Forbrugerombudsmanden,

Forbrugerrådet, Forebyggelses- og Patientrådet, Foreningen af Advokater

og Advokatfuldmægtige, Foreningen af Danske Interaktive Medier, For-

eningen af Offentlige Anklagere, Foreningen af Registrerede Revisorer,

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Foreningen af Rådgivende Ingeniører, Foreningen af Statsautoriserede Re-

visorer, Foreningen Danske Inkassoadvokater, Forsikring & Pension, Fre-

deriksberg Kommune, FTF-Funktionærernes og Tjenestemændenes Fæl-

lesråd, Grundejernes Landsorganisation, Grønlands Hjemmestyre, Han-

dels- og Kontorfunktionærernes Forbund, Handelshøjskolen i København

(Juridisk Institut), Handelshøjskolen i Århus (Juridisk Institut), HK Lands-

klubben Danmarks Domstole, Horesta, Håndværksrådet, IDA (Ingeniør-

foreningen), Institut for Menneskerettigheder, IT-Brancheforeningen,

ITEK, Jordemoderforeningen, Kommunernes Landsforening, Kooperatio-

nen, Kræftens Bekæmpelse, Københavns Kommune, Københavns Univer-

sitet, Københavns Universitetshospital, Landbrug og Fødevarer, Landsfor-

eningen af Beskikkede Advokater, Landsforeningen af Forsvarsadvokater,

Ledernes Hovedorganisation, Lejernes Landsorganisation, Liberale Er-

hvervs Råd, LIF – Lægemiddelindustriforeningen, LO, Lægeforeningen,

Lægemiddelindustriforeningen – LIF, MCI – Danmark, Medicoindustrien,

Microsoft Danmark, Motorola, NFA - Det Nationale Forskningscenter for

Arbejdsmiljø, Offentligt Ansattes Organisationer, Organisationen af Læ-

gevidenskabelige Selskaber, Parellelimportørforeningen af Lægemidler,

Patientforsikringen, Patientombuddet, Politiforbundet i Danmark, Praktise-

rende Lægers Organisation, Procesbevillingsnævnet, Professionshøjskolen

Metropol, Professionshøjskolen UCC, Professionshøjskolen University

College Nordjylland, Realkreditrådet og Realkreditforeningen, Retspoli-

tisk Forening, Retssikkerhedsfonden, RUC, Sammenslutningen af Danske

Småøer, SFI (Det Nationale Forskningscenter for Velfærd), Skibsværfts-

foreningen, Sonofon, Statens Seruminstitut, Syddansk Universitet, Syd-

dansk Universitet (Juridisk Institut), Tele2 A/S, Telekommunikationsindu-

strien, Telia, University College Lillebælt, University College Sjælland,

University College Syddanmark, VIA University College, Yngre Læger,

Aalborg Universitet, Aarhus Universitet, Datatilsynet, Digitaliseringssty-

relsen, Direktoratet for Kriminalforsorgen, Erhvervsstyrelsen, Finanstilsy-

net, Forsknings- og Innovationsstyrelsen, Konkurrence- og Forbrugersty-

relsen, Lægemiddelstyrelsen, Miljøstyrelsen, Naturstyrelsen, Patent- og

Varemærkestyrelsen, Rigsadvokaten, Rigspolitiet, Sikkerhedsstyrelsen,

Styrelsen for Slotte og Kulturejendomme, Søfartsstyrelsen og Trafikstyrel-

sen.

Høringssvar

5.1. Generelle bemærkninger

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Østre Landsret, Vestre Landsret, Procesbevillingsnævnet, Rigspolitiet,

Dommerfuldmægtigforeningen, Foreningen for Offentlige Anklagere,

Roskilde Universitet, Syddansk Universitet, Danske Revisorer og Den

Videnskabsetiske Komité

Dansk Rejsebureau Forening

har ingen

bemærkninger til forslaget.

5.1.1. Valg af retsakt

Dansk Erhverv, Mastercard, Danske Reklame- og Relationsbureauers

Brancheforening, Nets

DI ITEK

finder, at der er behov for øget

harmonisering af reglerne og bifalder derfor, at Kommissionen har fremsat

et forordningsforslag frem for et direktivforslag.

Danske Regioner, Finansrådet

Tandlægeforeningen

finder, at det er

hensigtsmæssigt, at der arbejdes for at etablere et ensartet retsgrundlag i

EU.

Institut for Menneskerettigheder

finder, at en forordning til regulering af

området er et fornuftigt valg, men også at det bør sikres, at forordningen

ikke på enkelte områder udvander Danmarks i forvejen høje databeskyttel-

sesniveau.

Dansk Arbejdsgiverforening (DA)

kan ikke støtte, at reguleringen af dele

af arbejdsmarkedet sker ved en forordning, idet dette rejser principielle be-

tænkeligheder i forhold til den danske arbejdsmarkedsmodel. DA finder, at

der skal arbejdes for en regulering, der harmoniserer databeskyttelsen, men

på et lavere niveau.

finder, at ændringen af det retlige instrument giver anledning til bety-

delig bekymring i relation til mulighederne for at opretholde de hidtidige

særregler og de regler, der er særegne for det danske arbejdsmarked.

FTF

Finanssektorens Arbejdsgiverforening (FA)

har ligeledes be-

tænkeligheder ved, at regulering af arbejdsmarkedsretlige forhold sker ved

en forordning, idet dette ikke er i overensstemmelse med artikel 153 i

Traktaten om den Europæiske Unions Fællesskab.

Generelt finder

Datatilsynet,

at det kan vise sig meget vanskeligt at sikre

en ensartet databeskyttelsesregulering af mange forskellige sektorer i 27

EU-lande ved en generel forordning.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Danske Medier

er skeptiske i forhold til valget af forordning frem for et

direktiv.

har anført, at forordningen rammer uhensigtsmæssigt i forhold til of-

fentlige myndigheder og det ansættelsesretlige område, hvor hovedparten

af persondatabehandlingerne er rent nationale. KL foreslår, at privates be-

handling af persondata reguleres i en forordning, mens offentlige myndig-

heders behandling af persondata og det ansættelsesretlige område undtages

herfra og fortsat reguleres i et direktiv. KL finder ikke, at det foreliggende

forordningsudkast opfylder nærhedsprincippet.

Danske Regioner

finder, at der i forhold til private og kommercielle virk-

somheder vil være en samfundsmæssig interesse i at sikre, at der foretages

en streng kontrol af behandlingen af personoplysninger, men finder, at der

er behov for en mere bred og friere behandling af personoplysninger i den

offentlige sektor.

5.1.2. Kommissionens mulighed for udstedelse af delegerede retsakter

Advokatrådet

Advokatsamfundet

er skeptiske over for, at Kommis-

sionen, som ikke kan sidestilles med en uafhængig databeskyttelsesmyn-

dighed, kan udstede delegerede retsakter. Kommissionens muligheder for

at udstede delegerede retsakter og gennemførelsesretsakter indebærer en

risiko for, at udfyldningen af de retlige standarder i nogle tilfælde ikke vil

forekomme naturlige, rimelige og tilstrækkelig fleksible i forhold til gæl-

dende nationale normer og traditioner.

Kræftens Bekæmpelse

er betænkelig i forhold til den foreslåede regule-

ringsteknik især med hensyn til den usikkerhed, den indebærer bl.a. i for-

hold til registerforskningens fremtidige vilkår. Kommissionens mulighed

for at udstede delegerede retsakter bidrager således til en alvorlig og for-

uroligende uklarhed og uigennemsigtighed vedrørende det persondataretli-

ge grundlag for fremtidig forskning i den danske såvel som i den europæi-

ske folkesundhed.

Institut for Menneskerettigheder

finder, at delegationen til Kommissio-

nen bør begrænses til mere specifikke områder, og at forordningens tekst

bør være mere klar og præcis, således som også Den Europæiske Menne-

skerettighedsdomstol har fastlagt.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Kommissionens mulighed for at udstede delegerede retsakter medfører

ifølge

KL,

at der er en høj grad af usikkerhed om gældende ret. KL fryg-

ter, at Kommissionen vil vedtage regler, som ikke i nødvendigt omfang ta-

ger højde for særlige forhold i den offentlige sektor og på ansættelsesom-

rådet.

kan ikke støtte delegation af kompetence til udstedelse af delegerede

retsakter til Kommissionen, idet det ansættelsesretlige område ikke hen-

sigtsmæssigt kan reguleres på den måde, som Kommissionen foreslår.

Finansrådet

finder, at det høje antal hjemler til at udstede delegerede rets-

akter medfører, at forordningsforslaget er uigennemskueligt.

Da de delegerede retsakter vil få stor betydning for den endelige forståelse

af regelsættet, er

Realkreditrådet, Realkreditforeningen, FA, Danske

Reklame- og Relationsbureauers Brancheforening, DI, DI ITEK

Lægemiddel Industri Foreningen

af den opfattelse, at det er afgørende,

at Kommissionen foretager relevante høringer forud for udstedelse af de-

legeret retsakter.

Danske Reklame- og Relationsbureauers Brancheforening

finder end-

videre, at Kommissionens hjemler til at udstede delegerede retsakter bør

overvejes nøje, idet indholdet kan få vidtrækkende betydning for forord-

ningens indhold.

Rettighedsalliancen, Landbrug og Fødevarer, DI

DI ITEK

har an-

ført, at Kommissionens vedvarende mulighed for at vedtage delegerede

retsakter medfører en væsentlig grad af retlig uforudsigelighed og usikker-

hed.

Datatilsynet

peger på, at databeskyttelsesområdet er indrettet med kompe-

tence hos en række uafhængige datatilsyn, hvorved området adskiller sig

væsentligt fra andre områder, hvor der er tillagt Kommissionen centrale

kompetencer. Kommissionen er ikke en uafhængig databeskyttelsesmyn-

dighed, hvorfor det for hvert punkt, hvor Kommissionen tillægges kompe-

tence, bør overvejes, om dette er hensigtsmæssigt. Desuden er Kommissi-

onen med forslaget tillagt kompetence til at udstede delegerede retsakter

på områder, der på ingen måde kan anses for at være ikke-væsentlige, jf.

artikel 290 i traktaten om Den Europæiske Unions Funktionsmåde.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Forsikring & Pension

finder, at det er vanskeligt at tage stilling til de en-

kelte bestemmelser uden at kende indholdet af den supplerende regulering

og opfordrer derfor til, at der arbejdes på at begrænse denne regulering, at

der dertil indføres et krav om inddragelse af interessenter i udarbejdelsen

af de supplerende regler, og at der indføres et obligatorisk krav om evalue-

ring af anvendelsen af de delegerede retsakter efter få år.

Med henvisning til mængden af hjemler til at udstede delegerede retsakter

forventer

Danske Regioner,

at der vil følge en ikke ubetydelig lovregule-

ring i kølvandet på en eventuel vedtagelse af forordningen, hvorfor man

kan frygte, at detailreguleringen sker i et tempo, der medfører usikre rets-

tilstande.

Videnscentret for Landbrug, Økonomi og Virksomhedsledelse

opfor-

drer til, at gennemførelsesretsakter udarbejdes hurtigst muligt, og at de ik-

ke bliver for omfattende eller mere vanskelige at håndtere end højst nød-

vendigt.

5.1.3. Administrative byrder

Danske Reklame- og Relationsbureauers Brancheforening

peger på, at

forordningsforslaget fører til nye, unødigt vidtgående administrative byr-

der, som vil medføre betydelige meromkostninger, der ikke i alle tilfælde

er forholdsmæssige.

Danske Medier

peger på, at balancen mellem hensynet til den registrerede

og hensynet til virksomhederne ikke er opnået. De øgede dokumentations-

krav og de omfattende krav om implementering af procedurer og behand-

lingspolitik er klare eksempler herpå.

Danske Regioner

er af den opfattelse, at der hos myndighederne skal ind-

føres en meget højere grad af egenkontrol, øgede dokumentationskrav i

forhold til behandling af data og større krav om implementering af proce-

durer og politikker mv. Der bliver endvidere krav om konsekvensanalyser

og kontrol samt større krav til information, uddannelse og træning af med-

arbejdere i persondatabeskyttelse, hvilket vil medføre et ikke ubetydeligt

administrativt og organisatorisk merarbejde.

Realkreditrådet

Realkreditforeningen

er bekymrede for, om forsla-

get er for omfattende og unødigt bureaukratisk, ligesom de administrative

byrder ikke synes at blive modsvaret af tilstrækkelige positive effekter.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Finansrådet

finder, at der er forbundet betydelige omkostninger og

administrative byrder til forslaget, som på ingen måde er proportionale

med den merværdi, som forslaget indeholder. KL finder endvidere, at ad-

ministrative byrder helt eller delvist bør fjernes i forhold til kommunerne.

Advokatrådet

Advokatsamfundet

har anført, at det bør overvejes, om

det er hensigtsmæssigt i den nuværende økonomiske situation at belaste

virksomheder med regler, som kræver et øget ressourceforbrug.

Rigsarkivet

finder, at forslaget stiller krav vil opbevaring af personoplys-

ninger, som vil pålægge de offentlige arkiver meget store ekstraomkost-

ninger, og som vil medføre alvorlige risici for arkivaliernes integritet og

autenticitet.

5.2. Forslagets enkelte elementer

5.2.1. Kapitel 1: Generelle bestemmelser

5.2.1.1. Anvendelsesområde

Institut for Menneskerettigheder

har bl.a. anført, at begrebet national

sikkerhed, jf. artikel 2, stk. 2, litra a, bør præciseres nærmere. Instituttet fo-

reslår desuden, at det i artikel 2, stk. 2, litra d, tilføjes, at undtagelsen ikke

gælder, hvis data bliver gjort tilgængelige for en bredere kreds.

Datatilsynet, Institut for Menneskerettigheder, DA, DI

DI ITEK

finder, at det er uhensigtsmæssigt, at forordningen ikke skal gælde for EU-

institutioner, jf. artikel 2, stk. 2, litra b.

Rigsadvokaten

er af den opfattelse, at det er uklart, om den formulering,

som fremgår af artikel 2, stk. 2, litra e, indebærer, at dele af behandlingen

af personoplysninger inden for det politimæssige og strafferetlige område

er omfattet af forordningen.

Advokatrådet

Advokatsamfundet

finder, at artikel 3, hvorefter for-

ordningen i visse tilfælde finder anvendelse, når den dataansvarlige ikke er

etableret i EU, er meget bred.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Datatilsynet

Danske Medier

har anført, at der er behov for, at forord-

ningen ligeledes regulerer, hvorledes bestemmelserne skal håndhæves over

for virksomheder i tredjelande.

5.2.1.2. Definitioner

DI, DI ITEK

IT-Branchen

finder, at definitionen i forslagets artikel 4,

nr. 1, er for bred.

Institut for Menneskerettigheder

finder, at sammenhængen mel-

lem betragtning 24 i præamblen og definitionen i artikel 4, nr. 1, er uklar.

Institut for Menneskerettigheder har desuden anført, at begrebet ”offent-

lighedens interesse” bør afklares nærmere.

ønsker afklaret, hvad en ”automatiseret behandling” i artikel 4, nr. 3,

dækker over.

Advokatrådet

Advokatsamfundet

har anført, at definitionen af et re-

gister i artikel 4, nr. 4, vil medføre en forringelse af persondatabeskyttel-

sen, idet reglerne i persondatalovens § 1, stk. 2, ikke videreføres.

Foreningen for Dansk Internet Handel

finder, at det er et grundlæggen-

de problem, at det er uklart, hvad et ”udtrykkeligt samtykke” er, jf. artikel

4, nr. 8.

Danske Medier

Forsikring & Pension

er enige og finder lige-

ledes, at der er uklart, hvornår et udtrykkeligt samtykke er indhentet.

Forbrugerombudsmanden

finder, at det bør præciseres, at et samtykke

skal være særskilt for at være frivilligt.

Datatilsynet

er af den opfattelse, at definitionerne af genetiske og biome-

triske data i artikel 4, nr. 10 og 11, bør analyseres nærmere.

Lægemiddel Industri Foreningen

har anført, at den foreslåede definition

af genetiske data er for bred.

finder det vigtigt, at muligheden for at sende borgere en almindelig

sms eller e-mail med en aftalepåmindelse bør kunne opretholdes uanset de-

finitionen af helbredsoplysninger i artikel 4, nr. 12.

5.2.2. Kapitel 2: Principper

5.2.2.1. Principper for behandling og lovlig behandling

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Institut for Menneskerettigheder

Kræftens Bekæmpelse

finder det

vigtigt, at ”uforenelig med disse formål” i artikel 5, litra b, nærmere defi-

neres.

Experian

har anført, at artikel 5 vil medføre en begrænsning for kreditop-

lysningsbureauers virke.

Videnscentret for Landbrug, Økonomi og Virksomhedsledelse

finder,

at det er uklart, om behandling af personoplysninger i forbindelse med kli-

entforhold skal behandles efter artikel 6, stk. 1, litra a eller b.

DI ITEK

finder det utilfredsstillende, at artikel 6, stk. 1, litra d,

sammenholdt med artikel 6, stk. 3 og 4, indeholder en vid adgang til ved-

tagelse af national lovgivning, som vil medføre, at harmoniseringen, som

er tiltænkt med forordningen, ikke opnås.

Datatilsynet

finder det problematisk i forhold til gældende dansk praksis,

at offentlige myndigheder ikke kan anvende interesseafvejningsreglen i ar-

tikel 6, stk. 1, litra f.

Anti Doping Danmark

gør opmærksom på, at det er afgørende for, at de-

res fortsatte virke, at databehandling kan ske i overensstemmelse med arti-

kel 6, stk. 1, litra c.

Danmarks Idrætsforbund

gør ligeledes opmærksom

på, at artikel 6, stk. 1, litra f, ikke medfører en begrænsning i adgangen til

at behandle persondata i forhold til den gældende bestemmelse i personda-

talovens § 6, stk. 1, nr. 7.

5.2.2.2. Betingelser for samtykke

Instituttet for Menneskerettigheder

finder, at der bør fokuseres på, om

samtykket er meningsfuldt, og at betingelserne for et samtykke bør præci-

seres nærmere.

Danske Regioner

har anført, at hjemlen for indhentelse af samtykke og

brugen heraf bør tilstræbes at være smidig og operationel og påpeger end-

videre, at kravene til anvendelsen af samtykke, som fremgår af artikel 7,

forudsætter lovændringer på en række områder.

Danske Medier

finder, at samtykkekravet ikke bør være unødigt restrik-

tivt, ligesom

Realkreditrådet

Realkreditforeningen

er efterladt med

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

det indtryk, at Kommissionen med forslaget vil gøre reglerne om samtykke

mindre fleksible.

Forsikring & Pension

finder det afgørende, at der er proportionalitet mel-

lem kravene til samtykke og formålet med behandlingen af oplysningerne,

og at reglerne får indbygget tilstrækkelig fleksibilitet.

Kræftens Bekæmpelse

understreger, at det er yderst centralt, at register-

forskningen undtages fra kravet om informeret samtykke.

Det Nationale

Forskningscenter for Velfærd

lægger i den forbindelse til grund, at arti-

kel 6, stk. 2, skal fortolkes således, at behandling af registerdata kan ske

uden samtykke fra de registrerede personer.

RettighedsAlliancen

peger på, at de øgede krav til afgivelse af gyldigt

samtykke vil medføre mere bureaukrati for dataansvarlige og databehand-

lere.

Dansk Sygeplejeråd

finder det positivt, at der indføres skærpede krav til

samtykke som behandlingsgrundlag. Rådet finder det dog uklart, hvilke

konkrete situationer i relation til ansættelsesforhold bestemmelsen er tænkt

anvendt på, og på hvilket grundlag behandlingen af personoplysninger i

ansættelsesforhold i så fald kan ske.

Dansk Reklame- og Relationsbureauers Brancheforening

mener det

bør tydeliggøres, at erhvervslivet bør indrømmes en rimelig reaktionstid,

hvis et samtykke tilbagetrækkes.

Anti Doping Danmark

Danmarks Idrætsforbund

gør opmærksom

på, at det er afgørende, at dopingkontrol og sanktionering kan ske uden

begrænsning af en eventuel tilbagekaldelse af samtykke.

Forbrugerrådet

støtter forslaget i forhold til bevisbyrde og tilbagekaldel-

se af samtykke og finder det vigtigt med en regel, der fastsætter, at et sam-

tykke ikke generelt er tilstrækkeligt til, at virksomheder kan tilsidesætte

enhver databeskyttelse. Forbrugerrådet kan derimod ikke støtte, at virk-

somheder ikke kan indhente samtykke til flere formål på én gang.

Dansk Erhverv

er af den opfattelse, at artikel 7, stk. 4, ikke finder anven-

delse i forholdet mellem erhvervsdrivende og forbrugere i forbindelse med

indgåelse af aftaler om levering af varer eller tjenesteydelser, men ser ger-

ne, at dette bliver udtrykkeligt nævnt i præamblen.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Finansrådet

Nets

finder, at artikel 7, stk. 4, bør præciseres.

Datatilsynet

gør opmærksom på, at den gældende praksis efter personda-

taloven ikke er forenelig med artikel 7, stk. 4, og mener, at rækkevidden af

bestemmelsen sammenholdt med betragtning 34 i præamblen bør afklares.

DI ITEK

foreslår, at kravet om, at der ingen skævhed skal være

mellem den registrerede og den dataansvarlige, og betragtning 34 i præ-

amblen slettes, idet bestemmelsen giver anledning til betydelig fortolk-

ningstvivl og vil være vanskelig anvendelig i praksis.

ATP

ser intet behov for en nærmere præcisering af samtykkekravet og

lægger til grund, at skævheden, som der henvises til i artikel 7, ikke omfat-

ter tilfælde, hvor en borger får behandlet en sag i den offentlige forvaltning

med henblik på at få udbetalt en ydelse.

Realkreditrådet

Realkreditforeningen

mener, at det er problematisk,

at den almindelige aftalefrihed underlægges specifikke gyldigheds- eller

ugyldighedsbetingelser, som der lægges op til med forslaget.

finder det problematisk, at der skabes usikkerhed om, hvorvidt en ar-

bejdsgiver kan behandle oplysninger på grundlag af et samtykke fra den

ansatte. KL finder det desuden uhensigtsmæssigt, at der skabes uklarhed

og tvivl om offentlige myndigheders mulighed for at behandle oplysninger

på grundlag af samtykke fra borgeren.

er af den opfattelse, at det arbejds- og ansættelsesretlige område bør

undtages fra anvendelsesområdet for artikel 7. DA peger i den forbindelse

på, at der ved den foreslåede regulering ikke længere vil være muligt at

fortsætte opfølgningsindsatsen på sygefravær eller tilbyde hjælp i krisesi-

tuationer, der overvejende kan henføres til privatsfæren, men som har ind-

flydelse på arbejdsevnen og trivslen.

er af den opfattelse, at artikel 7, stk. 4, vil udhule enhver mulighed for

i ansættelsesforhold at persondatabehandle på grundlag af et samtykke,

hvilket er klart uacceptabelt. FA peger i den forbindelse på, at der er et re-

elt behov for, at arbejdsgivere behandler oplysninger i forbindelse med et

ansættelsesforhold, herunder ved behandling af helbredsoplysninger og

indhentelse af straffeattester.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Ophævelsen af arbejdsgiverens adgang til at benytte samtykke som be-

handlingsgrundlag finder

Advokatrådet

Advokatsamfundet

vil med-

føre en væsentlig administrativ byrde for arbejdsgiveren. Der er tale om en

indgribende ændring i retstilstanden for arbejdsgiveren, og hensynet til at

undgå, at medarbejdere giver samtykke af frygt for konsekvenserne for

forholdet til arbejdsgiveren, kunne varetages med mindre vidtgående for-

anstaltninger.

5.2.2.3. Børn

Advokatrådet, Advokatsamfundet

Prosa

er overordnet set positiv

over for styrkelsen af børns retsstilling.

Børnerådet

finder, at forordningsforslaget udgør en klar styrkelse af børns

rettigheder, idet der på tværs af landegrænser etableres en høj og ensartet

beskyttelse af børn, når der behandles personoplysninger.

Institut for Menneskerettigheder

peger på, at et barns modenhed er indi-

viduelt bestemt, og undrer sig over, hvorfor aldersgrænsen i artikel 8 er 13

år.

5.2.2.4. Behandling af særlige kategorier af personoplysninger

Det Nationale Forskningscenter for Velfærd

fortolker artikel 9 således,

at behandling af de i stk. 1 omhandlede oplysninger kan finde sted til vi-

denskabelige formål med henvisning til stk. 2, litra i.

DI ITEK

finder, at forslagets artikel 9, stk. 1, bør afspejle personda-

talovens §§ 7 og 8. Endvidere finder DI og DI ITEK, at kollektive over-

enskomster og kollektive aftaler på arbejdsmarkedet skal sidestilles med

lov i artikel 9, stk. 1, litra b.

mener ikke, at undtagelserne i artikel 9 er tilstrækkelige, idet det skal

sikres, at der kan behandles oplysninger om fagforeningsmæssige tilhørs-

forhold, helbredsoplysninger og straffedomme, da sådanne oplysninger

kan være af stor og væsentlig betydning i et ansættelsesforhold.

Dansk Sygeplejeråd

finder, at det er uklart, om opregningen i artikel 9,

stk. 1, er udtømmende, og om der kan sluttes modsætningsvist, således at

de oplysninger, der ikke er nævnt i bestemmelsen, skal anses som ikke-

følsomme oplysninger efter artikel 6.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Institut for Menneskerettigheder

har anført, at også oplysninger om væ-

sentlige sociale eller økonomiske forhold bør omfattes af forslagets artikel

9, og at bestemmelsen bør formuleres således, at også andre rent private

forhold kan kategoriseres som følsomme oplysninger.

5.2.3. Kapitel 3: Den registreredes rettigheder

5.2.3.1. Information til den registrerede

Danmarks Statistik

finder, at der bør være en klar undtagelse i artikel 14,

stk. 5, for de tilfælde, hvor oplysninger behandles til statistisk brug og er

indsamlet gennem et register, jf. artikel 11, stk. 2, i det gældende direktiv.

ATP

gør opmærksom på, at oplysningspligten udvides, og at dette vil

medføre en udvidelse af ATP’s forpligtelser med deraf følgende admini-

strative omkostninger.

Institut for Menneskerettigheder

mener, at forslagets artikel 14, stk. 5,

litra b, bør præciseres nærmere.

5.2.3.2. Den registreredes ret til indsigt

Realkreditrådet

Realkreditforeningen

finder, at bestemmelsen i arti-

kel 15, stk. 1, hvorefter den registrerede til enhver tid har ret til indsigt, bør

suppleres af en bestemmelse som i den gældende persondatalovs § 33.

Finansrådet

finder, at anvendelsesområdet for artikel 15 bør præciseres.

Kræftens Bekæmpelse

finder, at artikel 13, stk. 2, i det gældende direktiv,

hvorefter retten til indsigt kan begrænses, hvis oplysningerne udelukkende

behandles til videnskabelig forskning eller kun opbevares i det tidsrum,

som kræves for at udarbejde statistikker, bør videreføres i forordningen.

Danmarks Statistik

peger på vigtigheden af, at der indføjes en undtagelse

til brug for behandling af oplysninger til statistiske formål, idet ret til ind-

sigt i disse oplysninger vil medføre store administrative byrder.

5.2.3.3. Ret til at blive glemt og ret til sletning

Landbrug og Fødevarer, Forbrugerrådet, Advokatrådet

Advokat-

samfundet

bifalder bestemmelsen.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Lægeforeningen

finder, at retten til at blive glemt ikke bør gælde for hel-

bredsoplysninger, der bør kunne fremfindes i en periode på mindst 10 år.

Det Nationale Forskningscenter for Velfærd

Kræftens Bekæmpelse

finder det afgørende for fremtidig registerforskning, at retten til at blive

glemt ikke omfatter administrative registre og lignende.

Institut for Menneskerettigheder

har anført, at det i artikel 17, stk. 2 og

3, bør præciseres nærmere, hvorledes retten til at blive glemt skal afbalan-

ceres over for hensynene til ytringsfriheden.

Statsbiblioteket

peger på, at retten til at bliver glemt ikke umiddelbart er

forenelig med ABM Institutionernes formål, som er at bevare oplysninger.

Med henvisning til præamblens betragtning 53 er Statsbiblioteket dog af

den opfattelse, at opbevaring af dokumenter, der indeholder personoplys-

ninger, vil være muligt, hvis dette bl.a. sker i forbindelse med historiske,

statistiske eller videnskabelige forskningsformål.

Det Frie Forskningsråd

finder principielt, at oplysninger, som ikke kan

henføres til fysiske personer, ikke bør kunne kræves slettet, da det vil kun-

ne påvirke forskningssituationen særdeles negativt.

Dansk Erhverv

Foreningen for Dansk Internet Handel

finder, at ar-

tikel 17 giver anledning til uklarheder.

Finansrådet

finder, at artikel 17 indeholder store udfordringer, da den da-

taansvarlige skal sondre mellem, hvilke oplysninger der er pligt til at op-

bevare, også selv om den registrerede ikke ønsker det, og øvrige oplysnin-

ger.

Det er

Datatilsynets

opfattelse, at artikel 17 bør underkastes en nøje ana-

lyse, og at rækkevidden af bestemmelsens stk. 8 bør overvejes.

ATP

Nets

finder, at det er problematisk, hvis en registreret opnår en ret

til at kræve individuel sletning uafhængigt af automatiserede og økono-

misk samt administrativt hensigtsmæssige sletteprocedurer, som finder

sted med jævne mellemrum.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Dansk Reklame- og Relationsbureauers Brancheforening

har anført, at

det bør præciseres, at retten til at blive glemt alene omfatter data, som den

dataansvarlige er ansvarlig for og har den operationelle kontrol over.

Danske Medier

mener, at artikel 17 kan være ganske byrdefuld for den

enkelte virksomhed. Dertil kan det vise sig svært for en virksomhed at

identificere den pågældende bruger og/eller de oplysninger, som den på-

gældende har afgivet om sig selv.

finder det vigtigt, at en kommunes registreringer af personoplysninger

som udgangspunkt ikke kan kræves slettet.

Experian

har den opfattelse, at artikel 17 ikke bør finde anvendelse i for-

hold til kreditinformationsvirksomhed.

DI ITEK

foreslår, at det alene er data, som er umiddelbart tilgænge-

lig, der skal være omfattet af retten til at blive glemt. Således bør anony-

miserede data eller data på backup ikke omfattes.

Microsoft

finder ikke, at artikel 17 i tilstrækkelig grad tager højde for den

måde, data deles på på internettet, og finder det vigtigt, at bestemmelsen

ikke forpligter den dataansvarlige til at foretage noget, der er umuligt.

5.2.3.4. Ret til dataportabilitet

Videnscentret for Landbrug, Økonomi og Virksomhedsledelse, Real-

kreditrådet, Realkreditforeningen, Finansrådet, Advokatrådet

Ad-

vokatsamfundet

finder, at artikel 18 er uklar og bør præciseres.

Dansk Erhverv

Nets

finder, at det er uklart, om den registrerede har

ret til at modtage den ”værditilvækst”, som den databehandlende virksom-

hed har tilført oplysningerne.

IT-Branchen

finder, at en bestemmelse om dataportabilitet er positiv og

gavnlig for konkurrencen, men at det vil være omkostningsfuldt at realise-

re.

Landbrug og Fødevarer

ATP

er bekymrede for, at artikel 18 kan bli-

ve byrdefuld for virksomheder, og finder, at der bør tages højde for dette i

den endelige forordning.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Forsikring & Pension

gør opmærksom på, at bestemmelsen kan medføre

visse konkurrenceforvridende situationer, og finder, at bestemmelsen bør

tage højde herfor.

Experian

finder, at forslagets artikel 18 ikke bør finde anvendelse i for-

hold til kreditinformationsvirksomhed.

Microsoft

støtter forslaget, der giver den registrerede ret til at råde over

egne oplysninger, men peger på, at artikel 18, som den er affattet i det fo-

religgende udkast, vil være vanskelig at efterleve, idet data fra ét system

ikke umiddelbart kan finde anvendelse i et andet system.

5.2.3.5. Profilering

Forbrugerrådet

støtter forslaget om forbud mod profilering.

Institut for Menneskerettigheder

Mastercard

finder, at det bør præ-

ciseres yderligere i artikel 20, i hvilke tilfælde profilering ikke er tilladt.

ATP

finder det uhensigtsmæssigt, at der ikke er hjemmel til, at den

offentlige, herunder kommunale, forvaltning kan foretage profilering af

personer som led i myndighedsudøvelse.

Danske Medier, DI

DI ITEK

finder, at anvendelsesområdet for artikel

20 er uklart.

Forsikring & Pension

peger på, at det er nødvendigt at profilere for at

kunne tilbyde forsikringer, og finder at det er væsentligt, at forordningen

ikke medfører begrænsninger i muligheden for at udbyde disse ydelser.

Experian

har anført, at der allerede i dansk ret findes restriktioner på for-

anstaltninger baseret på profilering, hvorfor artikel 20 ikke er nødvendig.

Microsoft

mener, at artikel 20 bør have fokus på, hvad profileringen bliver

brugt til, og finder, at profilering i nogle tilfælde bør tillades.

5.2.4. Kapitel 4: Dataansvarlig og databehandler

5.2.4.1. Dokumentation

anser det beklageligt og uhensigtsmæssigt, at der indføres krav om do-

kumentation for enhver databehandling, og bemærker dertil, at der ikke

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

skal stilles unødvendige og bureaukratiske krav. KL ønsker, at kommuner

undtages fra kravet om dokumentation.

Dansk Erhverv

har anført, at undtagelsen i artikel 28, stk. 4, litra a, er

vigtig, idet mindre og mellemstore virksomheder vil have svært ved at op-

fylde betingelsen, da kravet vil medføre en uoverskuelig administrativ og

økonomisk byrde.

Videnscentret for Landbrug, Økonomi og Virksomhedsledelse, Dansk

Sygeplejeråd, Nets, DA

Landbrug og Fødevarer

finder, at forpligtel-

sen efter artikel 28 vil være omfattende, og at opfyldelsen vil medføre et

stort ressourceforbrug.

Det Nationale Forskningscenter for Velfærd

mener, at det er af væsent-

lig betydning, at dokumentationskravet holdes på et omkostningsbevidst

niveau.

Danmarks Idrætsforbund

finder det ikke helt oplagt, at undtagelsen

knytter sig til antal ansatte og ikke til organisationens formål eller lignen-

de.

5.2.4.2. Anmeldelse af brud på persondatasikkerheden

Datatilsynet, Advokatrådet

Advokatsamfundet, Realkreditrådet,

Realkreditforeningen, Finansrådet, Microsoft

Dansk Reklame- og

Relationsbureauers Brancheforening

finder, at anmeldelse af brud til til-

synsmyndigheden kun bør ske ved alvorligere sikkerhedsbrist. En række af

disse høringsparter peger desuden på, at der bør ske en afklaring i forhold

til forbuddet mod selvinkriminering, og at fokus bør rettes fra anmeldel-

sespligt mod at hindre (yderligere) sikkerhedsbrist.

KL, DI

DI ITEK

er skeptiske i forhold til artikel 31 og finder, at det er

urealistisk og fagligt uforsvarligt, at der skal ske en anmeldelse, hvis ind-

hold er ret omfattende, inden for 24 timer. Det anbefales, at bestemmelsen

udgår.

Forsikring og Pension, Dansk Erhverv, Nets, Videnscentret for Land-

brug, Økonomi og Virksomhedsledelse, IT-Branchen

Landbrug og

Fødevarer

finder, at det ikke er hensigtsmæssigt med en tidsfrist på 24 ti-

mer, og at denne derfor bør fjernes eller forlænges.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Institut for Menneskerettigheder

har anført, at det er uklart, hvad der

skal forstås ved ”sikkerhedsbrud”, og anbefaler at dette præciseres nærme-

re i artikel 31.

Lægemiddel Industri Foreningen

finder, at kravet i artikel 31 ikke bør

gælde i forhold til nøglekodede data, idet disse data ikke er identificerbare,

medmindre nøglen brydes samtidigt.

5.2.4.3. Konsekvensanalyse og forudgående godkendelse og høring

Advokatrådet, Advokatsamfundet

Datatilsynet

er positive over for

artikel 33 og 34, men finder det vigtigt, at der ikke kommer til at gælde en

generel godkendelses- og anmeldelsesordning.

Prosa, DI

DI ITEK

støtter umiddelbart kravet om konsekvensanalyse.

Prosa finder, at forpligtelsen bør udvides til at gælde i alle tilfælde, hvor

behandlingen er omfattende eller omfatter følsomme oplysninger.

KL, Kræftens Bekæmpelse

Lægemiddel Industri Foreningen

finder,

at kravet om konsekvensanalyse medfører en unødvendig administrativ

byrde. KL anbefaler, at udarbejdelse af konsekvensanalyser bliver frivillig.

Institut for Menneskerettigheder

mener, at undtagelsen i artikel 33, stk.

5, om offentlige myndigheder bør slettes.

Realkreditrådet

Realkreditforeningen, DA

Mastercard

har an-

ført, at udarbejdelsen af konsekvensanalyser vil medføre øgede administra-

tive udgifter, og finder reglernes nuværende udformning uklar.

Danmarks Idrætsforbund

finder det vigtigt, at undtagelserne i

persondatalovens § 49 videreføres i artikel 34.

5.2.4.4. Databeskyttelsesansvarlig

finder forslagets særlige beskyttelsesregler for den databeskyttelsesan-

svarlige uacceptable, idet de ikke er i overensstemmelse med den danske

arbejdsretlige model. Ledelsesretten fratages arbejdsgiveren bl.a. ved, at

den databeskyttelsesansvarlige ikke kan afskediges.

kan ikke acceptere, at arbejdsgiverens ledelsesret begrænses, og finder

i den forbindelse, at artikel 35 til 37 er en alt for detaljeret regulering af

den databeskyttelsesansvarliges stilling og hverv.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

finder det ansættelsesretligt urimeligt, at arbejdsgiveren ikke kan af-

skedige den databeskyttelsesansvarlige.

Danske Regioner

mener, at det er afgørende, at forordningen i alle hense-

ender overholder principperne om arbejdsmarkedsparternes rolle som de-

fineret i artikel 153 i traktaten om det Europæiske Unions Funktionsmåde.

Realkreditrådet, Realkreditforeningen

Finansrådet

har anført, at det

er uhensigtsmæssigt, at der skal oprettes en ny funktion uden en nærmere

analyse af de administrative omkostninger herved.

Finansrådet

Land-

brug og Fødevarer

finder, at det er unødigt byrdefuldt at pålægge større

virksomheder at udpege en databeskyttelsesansvarlig.

DI ITEK

er generelt tilhænger af, at der skal udpeges et kontakt-

punkt for databeskyttelse, men finder det urimeligt, at en ledelse pålægges

at ansætte en person, som ledelsen ikke har nogen ledelsesret over for.

Institut for Menneskerettigheder

finder det uhensigtsmæssigt, at

det afgørende for udpegning af en databeskyttelsesansvarlig er antallet af

ansatte og ikke andre konkrete og individuelle forhold.

Datatilsynet, Advokatrådet

Advokatsamfundet

ser positivt på den

foreslåede ordning, idet der henvises til positive erfaringer fra Tyskland,

Norge og Sverige.

Dansk Sygeplejeråd, Prosa

FTF

er ligeledes posi-

tive. Advokatrådet, Advokatsamfundet og Danske Advokater finder det

imidlertid ikke rimeligt, at det ikke er muligt at afskedige den databeskyt-

telsesansvarlige ved væsentlig misligholdelse. Det bør afklares, hvilke

strafferetlige og civilretlige sanktioner overtrædelse heraf medfører.

Dansk Erhverv

er af den opfattelse, at forslaget om en databeskyttelses-

ansvarlig er fornuftigt, men finder at bestemmelserne ikke er klare nok.

Videnscentret for Landbrug, Økonomi og Virksomhedsledelse

finder,

at der er uklarheder i bestemmelserne om den databeskyttelsesansvarlige

og præamblerne herom, som skal præciseres.

5.2.5. Kapitel 5: Videregivelse af personoplysninger til tredjelande eller in-

ternationale organisationer

Dansk Erhverv

finder det positivt, at der foreslås ens spilleregler i EU på

dette område.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

DI ITEK

er endvidere positive over for de forbedrede muligheder

for at videreføre data til tredjelande.

Institut for Menneskerettigheder

finder, at Det Europæiske Databeskyt-

telsesråd skal inddrages ved afgørelser efter artikel 41. Endvidere finder

instituttet, at anvendelsesområdet for artikel 42, stk. 5, og 44 bør begræn-

ses.

Danmarks Idrætsforbund

gør opmærksom på, at artikel 40 til 45 vil van-

skeliggøre, og i visse tilfælde umuliggøre, forbundets arbejde væsentligt,

herunder ved udveksling af oplysninger med WADA.

Anti Doping Danmark

finder det afgørende, at der etableres hjemmel til

deres udveksling af oplysninger med internationale parter i og uden for

EU.

5.2.6. Kapitel 6: Uafhængige tilsynsmyndigheder

Datatilsynet

peger på, at forslaget indeholder adskillige bestemmelser, der

berører tilsynets opgavevaretagelse, som vil nødvendiggøre ændringer i

tilsynets organisering. Tilsynet bemærker, at selv om den gældende an-

meldelsespligt afskaffes, indeholder forslaget en række bestemmelser, som

forudsætter forudgående høring eller forudgående godkendelse fra til-

synsmyndigheden. Tilsynet anbefaler, at man arbejder for at indføre prin-

cippet om ”accountability” for derved ikke at bebyrde virksomheder og

myndigheder unødvendigt ved eksempelvis at kræve forelæggelse af sager

for tilsynsmyndigheden.

5.2.7. Kapitel 7: Samarbejde og sammenhæng

Datatilsynet

har anført, at det bør overvejes, hvilke sagstyper og spørgs-

mål der skal være omfattet af sammenhængsmekanismen, og herunder og-

så hvilken rolle Kommissionen skal have. Tilsynet finder det vidtgående,

at Kommissionen får beføjelse til at suspendere et nationalt tilsyns foreslå-

ede foranstaltning.

Mastercard

støtter forslaget om en sammenhængsmekanisme, men finder

at der bør fastsættes tidsfrister, da det ellers vil være vanskeligt for virk-

somhederne.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Advokatrådet

Advokatsamfundet

finder, at der skal arbejdes for, at

afgørelseskompetencen i videst muligt omfang ligger hos de nationale til-

synsmyndigheder. Det foreslåede system forekommer unødigt ressource-

krævende og til skade for nærhedsprincippet, og det må befrygtes, at sy-

stemet vil medføre længerevarende sagsbehandlingstider.

5.2.8. Kapitel 8: Klageadgang, ansvar og sanktioner

5.2.8.1. Klageadgang

Datatilsynet

finder det ikke hensigtsmæssigt, at registrerede og organer

mv. kan indgive klage i enhver medlemsstat, og finder derfor, at det bør

præciseres i forordningen, hvilken tilsynsmyndighed en klage skal indgi-

ves til.

kan ikke støtte særlige påtalerettigheder for udenforstående i ansættel-

sesforhold.

Videnscentret for Landbrug, Økonomi og Virksomhedsledelse

Danmarks Idrætsforbund

finder, at det er meget vidtgående, at organer,

organisationer mv. får en selvstændig ret til at indgive klage uafhængig af

en klage fra den registrerede.

Danske Regioner

ønsker en præcisering af, hvilke organer, organisationer

mv., der har ret til at indgive en klage på vegne af den registrerede.

5.2.8.2. Sanktioner

Danske Regioner, Realkreditrådet, Realkreditforeningen, Forsikring

og Pension, DI, DI ITEK, Landbrug og Fødevarer, Finansrådet,

Dansk Sygeplejeråd, FA, Dansk Reklame- og Relationsbureauers

Brancheforening, IT-Brancen, ATP, Danske Medier, Tandlægefor-

eningen

Dansk Erhverv

finder det betænkeligt, at der kan pålægges

administrative bøder i den angivne størrelsesorden og finder dertil, at bø-

destørrelserne ikke er i overensstemmelse med proportionalitetsprincippet.

Videnscentret for Landbrug, Økonomi og Virksomhedsledelse

finder

det principielt betænkeligt, at tilsynsmyndigheder får muligheden for at

udstede bøder i den angivne størrelsesorden, idet dette bør henhøre under

domstolene.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Advokatrådet, Advokatsamfundet, Danske Advokater

Institut for

Menneskerettigheder

finder, at det bør overvejes nøje, om bødestørrel-

serne er i overensstemmelse med proportionalitetsprincippet. Danske Ad-

vokater finder det betænkeligt med en retstilstand, hvor der knyttes betyde-

lige bøder til overtrædelser af formel karakter, som ikke har betydning for

den enkelte person.

Region Sjælland

finder, at det er væsentligt, at der er en adgang til anke

ved pålæggelse af store bøder.

Danmarks Idrætsforbund

finder det ikke hensigtsmæssigt, at Datatilsy-

net får adgang til at udstede udenretlige bøder i den angivne størrelsesor-

den.

5.2.9. Kapitel 9: Bestemmelser vedrørende specifikke databehandlingssi-

tuationer (historiske, statistiske eller videnskabelige forskningsformål)

Danske Regioner

er bekymret for, at forordningen vil fjerne muligheden

for at anvende patienters data til kvalitetsudvikling, og finder det uklart,

om det fortsat vil være muligt at anvende data uden borgernes individuelle

samtykke.

Lægemiddel Industri Foreningen

er tilfreds med, at forslaget anerken-

der, at der er behov for særlige regler for indsamling og brug af personlige

data til medicinsk forskning.

Kræftens Bekæmpelse

Organisationen af Lægevidenskabelige Sel-

skaber

er bekymrede for, at en harmonisering vil medføre, at de eneståen-

de muligheder, der er i Danmark for registerbaseret sundhedsforskning, vil

begrænses og udhules. Kræftens Bekæmpelse finder det positivt, at der er

indført en bestemmelse herom i artikel 83, men opfordrer til, at der sikres

rammer for, at registerbaseret sundhedsforskning fortsat kan gennemføres

fremover.

Det Nationale Forskningscenter for Velfærd, Københavns Universitet

Det Frie Forskningsråd

finder det afgørende, at der fortsat er mulig-

hed for at anvende samfundsvidenskabelige og helbredsoplysninger til sta-

tistisk og forskningsmæssigt brug i et omfang, der svarer til den gældende

regulering i persondataloven.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Medico Instustrien

finder, at hensynet til beskyttelse af fysiske personers

oplysninger skal afbalanceres i forhold til medicinalbranchens behov for at

forske og udvikle nye, innovative produkter.

Statsbiblioteket

anerkender, at det sikres, at personer ikke udstilles unø-

digt, ved at følsomme oplysninger bliver offentliggjort, men finder det for

vidtgående, hvis hensynet til den registrerede kategorisk går forud for hen-

synet til muligheden for at fremlægge forskningsresultater.

Nærhedsprincippet

Kommissionen har om nærhedsprincippet bl.a. anført, at retten til beskyt-

telse af personoplysninger, som er udtrykkeligt anerkendt i artikel 8 i Den

Europæiske Unions Charter om Grundlæggende Rettigheder, kræver sam-

me databeskyttelsesniveau i hele EU. Hvis der ikke indføres fælles EU-

regler, opstår der ifølge Kommissionen risiko for forskellige databeskyttel-

sesniveauer i medlemsstaterne og begrænsninger for strømmen af person-

oplysninger på tværs af landegrænserne mellem medlemsstater med for-

skellige standarder.

Herudover har Kommissionen peget på, at personoplysninger videregives

stadig hurtigere på tværs af nationale grænser, og at der er en række prakti-

ske udfordringer i forbindelse med håndhævelsen af lovgivningen om da-

tabeskyttelse og et behov for samarbejde mellem medlemsstaterne og de-

res myndigheder, som bør organiseres på EU-plan for at sikre en ensartet

anvendelse af EU-retten. Kommissionen anser desuden EU som mest vel-

egnet til effektivt og ensartet at sikre det samme beskyttelsesniveau for fy-

siske personer, når deres personoplysninger videregives til tredjelande.

Kommissionen anfører også, at der er et specifikt behov for at skabe en

harmoniseret og sammenhængende ramme, som muliggør nem udveksling

af personoplysninger på tværs af EU's grænser, samtidig med at alle fysi-

ske personer i EU sikres en effektiv beskyttelse. Kommissionen mener ik-

ke, at medlemsstaterne selv kan mindske de aktuelle problemer, navnlig

ikke problemerne vedrørende de nationale lovgivningers fragmentering.

Kommissionen anfører herudover, at den foreslåede EU-lovgivning vil væ-

re mere effektiv end tilsvarende lovgivning på medlemsstatsniveau på

grund af problemernes karakter og omfang, som ikke kun gør sig gældende

for en eller flere medlemsstater.

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Forslagets mål kan derfor ifølge Kommissionen bedre gennemføres på

EU-niveau.

Regeringen er umiddelbart enig med Kommissionen i, at en manglende

ensartet udformning og anvendelse af databeskyttelsesregler på tværs af

medlemsstaterne skaber visse vanskeligheder navnlig for private virksom-

heder, der driver virksomhed i flere medlemsstater. Det er på den bag-

grund regeringens vurdering, at forslaget er i overensstemmelse med nær-

hedsprincippet. Det bemærkes i den forbindelse, at det gældende databe-

skyttelsesdirektiv bl.a. har til formål at sikre en indbyrdes tilnærmelse af

medlemsstaternes lovgivninger med henblik på at fjerne hindringer for ud-

veksling af personoplysninger.

Andre landes kendte holdninger

Der ses ikke at foreligge offentlige tilkendegivelser om de øvrige med-

lemsstaters holdning til forslaget.

8. Generel dansk holdning

Fra dansk side finder man, at der er anledning til at modernisere de gæl-

dende EU-regler om persondatabeskyttelse, som går tilbage til 1995.

Det foreliggende forslag er meget ambitiøst og meget omfattende,

og for-

handlingerne herom i rådet har været langvarige og vanskelige.

Fra regeringens side

har man fundet, at

Kommissionens oprindelige for-

slag indeholdt en række bestemmelser, som ville medføre, at de admini-

strative omkostninger for myndigheder og virksomheder blev øget, uden at

dette medførte, at den registrerede blev sikret en bedre retsstilling. Rege-

ringens vurdering har derfor været, at Kommissionens forslag ikke skabte

den rette balance mellem merværdi og omkostninger, herunder i form af

administrative konsekvenser.

Regeringen har indtaget den holdning, at det er væsentligt, at de enkelte

bestemmelser overvejes nøje med henblik på at sikre, at de administrative

omkostninger reduceres. Regeringen har i den forbindelse deltaget aktivt i

arbejdet med at indarbejde en såkaldt risikobaseret tilgang i forordningen,

herunder især i kapitel 4 om den dataansvarlige og databehandleren. Rege-

ringen finder, at man med denne tilgang

generelt

har fundet en bedre ba-

lance mellem merværdi og omkostninger.

100

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

Herudover finder regeringen, at Kommissionens oprindelige forslag inde-

holdt for mange muligheder for, at Kommissionen kan udstede delegerede

retsakter. Dette medfører, at forordningens i forvejen meget brede og de-

taljerede regulering bliver endnu mere vidtfavnende med den konsekvens,

at gældende ret vil kunne blive uforudsigelig og svært gennemskuelig. Re-

geringen

har

arbejdet for, at antallet af de delegerede retsakter nedbringes.

Endelig

har

man fra dansk side

fundet,

at Kommissionens oprindelige for-

slag indeholdt en række væsentlige elementer, hvis rækkevidde skulle sø-

ges nærmere afklaret under forhandlingerne. Det drejede sig bl.a. om be-

stemmelserne om rammerne for den nationale særregulering, spørgsmålet

om den såkaldte one-stop-shop mekanisme og bestemmelsen om behand-

ling af oplysninger til videnskabelige formål. Fra dansk side finder man

det endvidere afgørende, at de nationale tilsynsmyndigheder ikke skal

kunne udstede administrative bøder, som i en dansk sammenhæng ligele-

des vil rejse principielle spørgsmål.

De danske bekymringer og synspunkter

i forhold til Kommissionens op-

rindelige forslag blev delt

af en række af de øvrige medlemsstater.

Sagen blev forelagt for Folketingets Europaudvalg forud for rådsmødet i

december 2013 med henblik på forhandlingsoplæg. Der var opbakning til

regeringens linje.

I overensstemmelse med forhandlingsoplægget har Danmarks generelle

linje i forhandlingerne således været følgende:

Danmark har lagt meget stor vægt på og har prioriteret meget højt, at der

skabes den fornødne fleksibilitet for medlemsstaterne til i den nationale

lovgivning at fastsætte regler om behandling af personoplysninger på sær-

områder. I dansk lovgivning er der således fastsat en lang række særreg-

ler, som fraviger/præciserer/specificerer den generelle regulering, der føl-

ger af persondataloven (som gennemfører det nugældende EU-direktiv).

Danmark har arbejdet for en generel adgang til, at medlemslandene kan

fastsætte, hvad der skal gælde inden for bestemte områder, ligesom Dan-

mark har bakket op om, at der – udover en sådan generel adgang – også

gennem særregler skabes udtrykkelig adgang for medlemsstaterne til på

bestemte områder at lave særregulering.

Danmark har lagt vægt på, at det skulle være muligt at opretholde det be-

skyttelsesniveau, som kendes i den danske persondatalov med hensyn til

101

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

beskyttelse af følsomme oplysninger, jf. persondatalovens. §§ 7-8, herun-

der for så vidt angår strafbare forhold.

Danmark har lagt vægt på, at behandlingsreglerne bedre afspejler den af-

vejning, som skal ske mellem hensynet til beskyttelse af den registrerede og

hensynet til, at behandling af personoplysninger er nødvendig for stort set

en hvilken som helst aktivitet (alle samfundsforhold). Danmark har lagt

vægt på, at offentlige myndigheder, og ikke kun private virksomheder mv.,

ligesom i dag får mulighed for at anvende interesseafvejningsreglen i arti-

kel 6, stk. 1, litra f.

Danmark har desuden lagt vægt på, at kravene til et samtykke ikke bliver

for restriktive, herunder bl.a. på arbejdsmarkedsområdet.

Det er vigtigt, at beskyttelsesniveauet, der følger af det gældende direktiv,

ikke sænkes for de registrerede. Danmark har dog også arbejdet for, at der

ikke pålægges virksomheder mv. for store byrder i forhold til den nytte-

værdi, som vil komme ud af at tillægge registrerede personer en række nye

rettigheder. Danmark har endvidere lagt vægt på, at der ikke lægges nye

byrder på de dataansvarlige, som ikke står mål med nytteværdien.

Danmark har arbejdet for et fortsat højt beskyttelsesniveau, når det gælder

videregivelse af personoplysninger til tredjelande og internationale orga-

nisationer. Samtidig har Danmark lagt vægt på, at det i velbegrundede si-

tuationer skal være muligt at videregive oplysninger til tredjelande og in-

ternationale organisationer, også i de tilfælde, hvor der ikke foreligger et

tilstrækkeligt beskyttelsesniveau.

Danmark har arbejdet for, at der ikke opstilles for ressourcekrævende

krav til tilsynsmyndigheden, herunder med hensyn til forudgående høring

eller forudgående godkendelse.

I forhold til one-stop-shop mekanismen har det været afgørende for Dan-

mark, at der findes løsninger inden for grundlovens rammer. Dette bety-

der, at andre landes tilsynsmyndigheder ikke skal kunne træffe afgørelser

med direkte virkning for borgere, virksomheder mv. i Danmark. Danmark

har desuden lagt betydelig vægt på, at løsningerne er afbalancerede.

Danmark har også arbejdet for, at der ikke opstilles et administrativt tungt

system, hvor mange konkrete sager og afgørelser skal gå igennem et EU-

organ. Kontrollen med overholdelsen af persondatabehandlingen bør

grundlæggende ligge hos de nationale tilsynsmyndigheder, og koordine-

ring på EU-niveau bør begrænses til overordnede spørgsmål.

102

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

I forhold til retsmidler har det været vigtigt for Danmark, at der er tale om

klare og entydige regler. Klageadgangen i det Kommissionens forslag var

for bred, og Danmark har derfor arbejdet for en mere fokuseret klagead-

gang, især i forhold til organisationer.

Danmark har endvidere lagt afgørende vægt på, at der ikke bliver tale om

en pligt til at indføre administrative bøder, da dette ville indebære grund-

lovsmæssige betænkeligheder for Danmark.

Danmark har endelig arbejdet for, at der kun bliver en begrænset adgang

for Kommissionen til at udstede delegerede retsakter.

Der var bred opbakning i Folketingets Europaudvalg til regeringens over-

ordnede linje i forhandlingerne.

I forbindelse med forelæggelsen for Folketingets Europaudvalg forud for

rådsmødet i december 2013 tilkendegav regeringen, at regeringen ville fo-

retrække, at de nye generelle regler om behandling af personoplysninger,

blev fastsat i et direktiv i stedet for en forordning. Spørgsmålet om valg af

retsakt var imidlertid ikke en del af mandatet, der blev givet i Folketingets

Europaudvalg.

På rådsmødet i juni 2014 blev den første delvise generelle enighed opnået.

Enigheden vedrørte forslagets kapitel 5 om videregivelse af personoplys-

ninger til tredjelande mv.

På rådsmødet i oktober 2014 blev der opnået enighed om forslagets kapi-

tel 4. Kapitel 4 indeholder bl.a. bestemmelser om den dataansvarliges og

databehandlerens generelle forpligtelser, regler om datasikkerhed og reg-

ler om udarbejdelse af en konsekvensanalyse om databeskyttelse. Endvide-

re fastsættes regler om udpegning af en databeskyttelsesansvarlig og reg-

ler om adfærdskodekser og certificering.

På rådsmødet i december 2014 blev der opnået enighed om de dele af af

forordningen, der vedrører spørgsmålet om fleksibilitet for medlemsstater-

ne til at opretholde og vedtage nye nationale regler om persondatabeskyt-

telse ved siden af forordningen.

På rådsmødet i marts 2015 blev der opnået enighed om forslagets kapitel

2 (om generelle principper for behandling af personoplysninger) samt de

dele af forslaget, der vedrører tilsynsmyndighederne, herunder tilsyns-

myndighedernes samarbejde og den såkaldte one-stop-shop mekanisme

(kapitel 6 og 7).

103

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

På rådsmødet i juni 2015 er det forventningen, at det lettiske formandskab

vil lægge op til en generel enighed om hele forslaget, herunder valget af

forordning som retsakt, med særlig fokus på de dele af forslaget, som der

endnu ikke er opnået enighed om. De væsentligste dele af forslaget, som

der endnu ikke er opnået enighed om, er kapitel 3 om de registreredes ret-

tigheder samt kapitel 8 om klageadgang, ansvar og sanktioner.

I forhold til Kommissionens oprindelige tekst er man fra dansk side helt

overordnet tilfreds med det foreliggende kompromisforslag, som på en

række punkter er ændret i en retning, som Danmark har arbejdet for og

har kunnet støtte. Det gælder især ændringer, som har sikret, at forord-

ningen ikke længere giver anledning til grundlovsmæssige betænkelighe-

der. Det gælder både i forhold til one-stop-shop mekanismen og i forhold

til spørgsmålet om administrative bøder. Endvidere er de administrative

byrder i forslaget nedbragt i forhold til Kommissionens oprindelige for-

slag. Dette er bl.a. sket ved, at der er indarbejdet en risikobaseret tilgang i

kapitel 4. Endvidere fremgår det nu meget klart af forordningsforslaget, at

medlemsstaterne inden for visse rammer kan opretholde og vedtage ny na-

tional lovgivning om behandling af personoplysninger.

9. Europa-Parlamentet

Forslaget til forordning behandles efter den almindelige lovgivningsproce-

dure (TEUF artikel 294), der indebærer, at forslaget skal vedtages af Euro-

pa-Parlamentet. Europa-Parlamentets Libe-udvalg nåede den 21. oktober

2013 til enighed om et kompromisforslag.

Kompromisforslaget blev vedtaget i Europa-Parlamentets plenarforsam-

ling den 12. marts 2014.

10. Specialudvalget for politimæssigt og retligt samarbejde

Sagen har senest været drøftet i Specialudvalget for politimæssigt og ret-

ligt samarbejde den

2. juni 2015.

104

Rådsmøde nr. 3396 (retlige og indre anliggender) den 15.-16. juni 2015 - Bilag 1: Samlenotat vedr. rådsmøde RIA 15-16/6-15 - pkt. 1

11. Tidligere forelæggelse for Folketingets Europaudvalg

Sagen har senest været forelagt for Folketingets Europaudvalg

med henblik

på forhandlingsoplæg

forud for rådsmødet (retlige og indre anliggender

den 12. og 13. marts 2014).

105