Fremsat den 5. oktober 2016 af justitsministeren (Søren Pind)

Forslag til folketingsbeslutning

om Danmarks tilslutning på mellemstatsligt grundlag til EU's direktiv om databeskyttelse på retshåndhævelsesområdet

Folketinget meddeler sit samtykke til, at regeringen på Danmarks vegne i henhold til artikel 4 i protokollen om Danmarks stilling på mellemstatsligt grundlag tilslutter sig Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetli?ge sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA.

Bemærkninger til forslaget

1. Formål og baggrund

1.1. Formålet med forslaget til folketingsbeslutning er at opnå Folketingets samtykke, jf. grundlovens § 19, stk. 1, til, at regeringen på Danmarks vegne i henhold til artikel 4 i protokollen om Danmarks stilling på mellemstatsligt grundlag tilslutter sig Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske perso?ner i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (retshåndhævelsesdirektivet).

1.2. I januar 2012 fremsatte Europa-Kommissionen et forslag til en databeskyttelsespakke, herunder et forslag til et direktiv vedrørende databeskyttelse i forbindelse med retshåndhævelse, som blev endeligt vedtaget den 27. april 2016.

Direktivforslaget har været forelagt for Folketingets Europaudvalg senest den 2. oktober 2015 forud for rådsmøde (retlige og indre anliggender) den 8.-9. oktober 2015.

Retshåndhævelsesdirektivet blev fremsat som forslag og er vedtaget under henvisning til artikel 16, stk. 2, i Traktaten om den Europæiske Unions Funktionsmåde (TEUF), og da det fastsætter regler vedrørende medlemsstaternes behandling af personoplysninger under udøvelse af aktiviteter, der er omfattet af det danske forbehold vedrørende retlige og indre anliggender, er direktivet ikke bindende for og finder ikke anvendelse i Danmark, jf. artikel 2 og 2 a i protokollen om Danmarks stilling.

Da direktivet udbygger Schengenreglerne, skal Danmark i henhold til artikel 4 i protokollen om Danmarks stilling senest inden 6 måneder efter Rådets vedtagelse træffe afgørelse om, hvorvidt Danmark vil gennemføre direktivet i dansk ret. Direktivet blev som nævnt vedtaget den 27. april 2016, hvorfor regeringen senest den 27. oktober 2016 skal meddele Rådet denne afgørelse.

Træffer Danmark afgørelse om, at direktivet skal gennemføres i dansk ret, skabes der en folkeretlig forpligtelse mellem Danmark og de øvrige medlemsstater, der er bundet af retshåndhævelsesdirektivet.

Hvis Danmark ikke tilslutter sig retshåndhævelsesdirektivet, skal de medlemsstater, der er bundet af direktivet, overveje, hvilke passende foranstaltninger der skal træffes. Dette kan ultimativt betyde ekskludering af Danmark fra Schengen-samarbejdet.

Blandt andet hensynet til samarbejdet med retshåndhævende myndigheder i andre medlemsstater, herunder Schengen-samarbejdet, taler efter regeringens opfattelse for, at Danmark gennemfører retshåndhævelsesdirektivet i dansk ret.

Gennemførelse af direktivet vil nødvendiggøre ændringer af dansk lovgivning, jf. pkt. 4 nedenfor. Danmarks tilslutning til direktivet forudsætter derfor Folketingets samtykke, jf. grundlovens § 19, stk. 1.

2. Retshåndhævelsesdirektivet

2.1. Indledning

Retshåndhævelsesdirektivet tager i en række henseender udgangspunkt i den regulering, der følger af det gældende databeskyttelsesdirektiv (direktiv 95/46/EF), som navnlig er gennemført i dansk ret ved lov om behandling af perso?no?plysninger (persondataloven).

Herudover tager retshåndhævelsesdirektivet udgangspunkt i den regulering, der følger af Rådets rammeafgørelse om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (rammeafgørelse 2008/977/RIA). Rammeafgørelsen er gennemført i dansk ret ved persondatalovens § 72 a og bekendtgørelse nr. 1287 af 25. november 2010 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager inden for Den Europæiske Union og Schengen-samarbejdet.

I det følgende vil der blive fokuseret på de væsentligste nyskabelser og ændringer, som direktivet indeholder, i forhold til de gældende regler i Danmark.

2.2. Generelle bestemmelser (direktivets kapitel I)

Retshåndhævelsesdirektivets kapitel I beskriver direktivets formål, ligesom det fastlægger dets materielle anvendelsesområde og indeholder definitioner af udvalgte begreber.

Direktivet fastsætter regler om beskyttelse af fysiske perso?ner i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod eller forebygge trusler mod den offentlige sikkerhed.

Direktivet udelukker ikke, at medlemsstaterne fastsætter højere sikkerhedsforanstaltninger i national lovgivning end dem, som fremgår af direktivet.

Det bemærkes, at der er tale om en udvidelse af anvendelsesområdet i forhold til den gældende regulering på EU-niveau. Det gældende databeskyttelsesdirektiv finder bl.a. ikke anvendelse på aktiviteter på det strafferetlige område, og rammeafgørelsen finder alene anvendelse på grænseoverskridende udveksling af personoplysninger inden for det politimæssige og strafferetlige område. Det bemærkes dog, at den danske persondatalov, som implementerer databeskyttelsesdirektivet fra 1995, i vidt omfang gælder på det politi- og strafferetlige område i Danmark, selv om dette område er undtaget fra direktivets anvendelsesområde. Dette indebærer, at de nye regler, som følger af det foreliggende retshåndhævelsesdirektiv, ikke vil medføre væsentlige ændringer i forhold til de regler, der allerede gælder i Danmark på det politi- og strafferetlige område. Det gælder bl.a. for de generelle behandlingsprincipper, behandlingsreglerne og reglerne om overførsel af personoplysninger til tredjelande.

Retshåndhævelsesdirektivet finder ikke anvendelse på behandling af personoplysninger, som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af EU-retten. Dette indebærer bl.a., at efterretningstjenesterne ikke er omfattet af direktivets anvendelsesområde.

2.3. Principper (direktivets kapitel II)

Retshåndhævelsesdirektivets kapitel II indeholder en række generelle behandlingsprincipper, der altid skal efterleves i forbindelse med behandling af personoplysninger, og derudover en række konkrete behandlingsregler.

De generelle behandlingsprincipper svarer i vidt omfang til de regler, som er fastsat i det gældende databeskyttelsesdirektiv fra 1995.

Med retshåndhævelsesdirektivet indføres dog et par yderligere principper om tidsfrister for opbevaring af personoplysninger og revision af behovet herfor, sondring mellem forskellige kategorier af registrerede samt sondring mellem personoplysninger og kontrol med kvaliteten af perso?no?plysninger.

Ligesom i gældende lovgivning sondres der i retshåndhævelsesdirektivet mellem almindelige personoplysninger og følsomme personoplysninger.

Medlemsstaterne skal fastsætte, at behandling af almindelige personoplysninger kun er lovlig, i det omfang behandlingen er nødvendig for den kompetente myndigheds udførelse af en opgave, som falder ind under direktivets anvendelsesområde, og som er baseret på Unions- eller medlemsstatslovgivning, hvilket er en begrænsning i forhold til gældende lovgivning.

Som noget nyt indføres endvidere regler om særlige vilkår for behandling af personoplysninger fra en videregivende myndighed til en modtagende myndighed.

Derudover skal medlemsstaterne fastsætte, at behandling af følsomme personoplysninger (personoplysninger, der viser racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning og fagforeningsmæssigt tilhørsforhold, og behandling af genetiske data, helbredsoplysninger og oplysninger om seksuelle forhold) alene skal være tilladt, når behandlingen er strengt nødvendig og underlagt tilstrækkelige sikkerhedsforanstaltninger for den registreredes rettigheder og frihedsrettigheder. Samtidig skal behandlingen enten være hjemlet i EU-retten eller medlemsstaternes nationale ret, ske for at beskytte den registreredes eller en anden persons vitale interesser eller vedrøre oplysninger, som tydeligvis er offentliggjort af den registrerede.

Bestemmelsen om behandling af følsomme oplysninger adskiller sig på visse punkter fra den gældende lovgivning, idet mulighederne for at behandle sådanne oplysninger ændres.

Når de kompetente myndigheder behandler personoplysninger til andre formål end dem, som er omfattet af retshåndhævelsesdirektivets anvendelsesområde, vil den generelle forordning (EU) 2016/679 om persondatabeskyttelse finde anvendelse.

2.4. Den registreredes rettigheder (direktivets kapitel III)

Retshåndhævelsesdirektivets kapitel III fastlægger den registreredes rettigheder i forhold til den dataansvarlige. Kapitlet indeholder nærmere bestemmelser om udøvelsen af den registreredes rettigheder, herunder retten til information, indsigt, berigtigelse og sletning.

Det bemærkes, at reglerne i retshåndhævelsesdirektivet om den registreredes rettigheder som udgangspunkt vil medføre en udvidelse af rettighederne i forhold til gældende ret om behandling af personoplysninger på det strafferetlige område. Dette skyldes, at de gældende regler i persondataloven om oplysningspligt over for den registrerede, den registreredes ret til indsigelse, berigtigelse, blokering og sletning af personoplysninger ikke finder anvendelse på behandlinger, der foretages for domstolene, politi og anklagemyndighed inden for det strafferetlige område. Herudover finder de gældende regler om den registreredes ret til indsigt ikke anvendelse på behandlinger, der foretages for domstolene inden for det strafferetlige område.

I forhold til personoplysninger, der udveksles eller stilles til rådighed mellem myndigheder fra to forskellige medlemsstater i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager inden for EU og Schengen-samarbejdet - og som i dag er omfattet af rammeafgørelsen - er det alene retshåndhævelsesdirektivets bestemmelse om oplysningspligt, som er en nyskabelse.

2.5. Den dataansvarlige og databehandlerens forpligtelser mv. (direktivets kapitel IV)

Retshåndhævelsesdirektivets kapitel IV omhandler den dataansvarlige og databehandleren. Kapitlet indeholder regler om generelle forpligtelser, datasikkerhed og udpegning af en databeskyttelsesrådgiver.

Det følger bl.a. af kapitel 4 som noget nyt, at medlemsstaterne skal sikre, at den dataansvarlige - under hensyntagen til det aktuelle tekniske niveau og omkostningerne ved gennemførelse samt med hensyntagen til behandlingens karakter, omfang og formål, samt risikoen for den registreredes rettigheder og frihedsrettigheder - gennemfører passende tekniske og organisatoriske foranstaltninger og procedurer designet med henblik på effektiv implementering af databeskyttelsesprincipper og med henblik på integrering af de fornødne garantier i behandlingen, som sikrer, at de bestemmelser, som gennemfører direktivet, overholdes.

Endvidere skal medlemsstaterne fastsætte bestemmelser om, at dataansvarlige forud for behandling af personoplysninger, der indebærer en høj risiko for fysiske personers rettigheder, skal foretage konsekvensanalyser.

En nyskabelse er, at medlemsstaterne - hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling - fastsætter bestemmelser om, at de skal være fælles dataansvarlige og krav om bl.a. gennemsigtig ansvarsfordeling.

Medlemsstaterne skal bl.a. sikre, at enhver dataansvarlig opbevarer fortegnelser over alle behandlingsaktiviterer, som de pågældende er ansvarlige for. Disse fortegnelser skal efter anmodning gøres tilgængelige for tilsynsmyndigheden.

Medlemsstaterne skal endvidere sikre, at følgende behandlinger i automatiske behandlingssystemer bliver logget: Indsamling, ændring, søgning, videregivelse, samkøring og sletning. Loggen skal anvendes til at kontrollere, om databehandlingen er lovlig, til egenkontrol og til at sikre dataintegriteten og datasikkerheden.

En anden nyskabelse er indførelsen af et krav om, at den dataansvarlige uden unødig forsinkelse - og om muligt inden for 72 timer - skal anmelde brud på persondatasikkerheden, som sandsynligvis vil medføre en risiko for fysiske perso?ners rettigheder og frihedsrettigheder, til tilsynsmyndigheden.

Hvis sikkerhedsbruddet sandsynligvis vil medføre en høj risiko for den registreredes rettigheder og frihedsrettigheder, skal den dataansvarlige også uden unødig forsinkelse underrette den registrerede om sikkerhedsbruddet.

Det er dog i visse tilfælde ikke nødvendigt at underrette tilsynsmyndigheden eller den registrerede om et brud på persondatasikkerheden. Det gælder bl.a., hvis den dataansvarlige har gennemført passende teknologiske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de data, som sikkerhedsbruddet vedrørte.

Desuden skal medlemsstaterne fastsætte regler om, at tilsynsmyndigheden skal høres forud for en behandling af personoplysninger i nogle nærmere opregnede tilfælde, som adskiller sig på en række punkter fra forpligtelserne efter den gældende lovgivning.

Efter retshåndhævelsesdirektivet skal medlemsstaterne fastsætte regler om, at retshåndhævende myndigheder, der ikke er uafhængige judicielle myndigheder, skal udpege en databeskyttelsesrådgiver.

2.6. Overførsel af personoplysninger til tredjelande eller internationale organisationer (direktivets kapitel V)

Retshåndhævelsesdirektivets kapitel V fastlægger betingelserne for, hvornår de kompetente myndigheder kan videregive personoplysninger til tredjelande eller internationale organisationer.

Medlemsstaterne skal sikre, at overførsel fra en kompetent myndighed til et tredjeland eller til en international organisation, herunder også videreoverførsel til et andet tredjeland eller international organisation, alene kan finde sted ved opfyldelse af særlige betingelser. Overførslen skal være nødvendig for at opfylde et af de formål, som er omfattet af direktivets anvendelsesområde, og den dataansvarlige i tredjelandet mv. skal være en kompetent myndighed i henhold til disse formål. Hvis personoplysningerne er videregivet eller stillet til rådighed af en anden medlemsstat, skal denne medlemsstat give forudgående tilladelse til overførslen i henhold til dens nationale lovgivning. Oplysninger kan undtagelsesvis overføres uden forudgående tilladelse, hvis det er nødvendigt for at forebygge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed eller mod en medlemsstats væsentlige interesser, og den forudgående tilladelse ikke kan indhentes i tide. Den ansvarlige myndighed for den forudgående tilladelse underettes straks. Endelig skal Kommissionen have truffet en afgørelse om, at tredjelandet mv. sikrer et tilstrækkeligt beskyttelsesniveau, eller der skal være indført eller eksistere fornødne garantier.

I de tilfælde, hvor Kommissionen ikke har truffet en afgørelse om, at tredjelandet mv. sikrer et tilstrækkeligt beskyttelsesniveau, eller der ikke er indført eller eksisterer fornødne garantier, skal medlemsstaterne i national lovgivning fastsætte, at overførsel af personoplysninger til et tredjeland mv., kun kan ske i en række konkrete tilfælde, herunder hvis overførslen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser, eller, hvis overførslen er nødvendig i enkeltsager med henblik på at forfølge de formål, som er omfattet af direktivets anvendelsesområde.

I individuelle og konkrete sager kan medlemsstaterne endvidere tillade, at der under iagttagelse af en række betingelser overføres personoplysninger til private i tredjelande mv.

2.7. Uafhængige tilsynsmyndigheder (direktivets kapitel VI)

Retshåndhævelsesdirektivets kapitel VI indeholder regler om de nationale tilsynsmyndigheders uafhængige status, opgaver og beføjelser. Reglerne minder i høj grad om gældende ret.

2.8. Samarbejde (direktivets kapitel VII)

Retshåndhævelsesdirektivets kapitel VII indeholder bestemmelser om gensidig bistand og om Det Europæiske Databeskyttelsesråds opgaver.

Det fremgår bl.a., at medlemsstaterne skal drage omsorg for, at tilsynsmyndighederne yder hinanden gensidig bistand med henblik på at gennemføre og anvende de bestemmelser, der vedtages i medfør af direktivet, på en ensartet måde og træffe foranstaltninger med henblik på et effektivt samarbejde med hinanden.

Det Europæiske Databeskyttelsesråd, som oprettes ved den generelle databeskyttelsesforordning, skal inden for direktivets anvendelsesområde bl.a. rådgive Kommissionen om ethvert spørgsmål vedrørende persondatabeskyttelse i Unionen og af egen drift eller efter anmodning undersøge ethvert spørgsmål vedrørende anvendelse af bestemmelser, som gennemfører direktivet.

2.9. Klageadgang, ansvar og sanktioner (direktivets kapitel VIII)

Retshåndhævelsesdirektivets kapitel VIII indeholder bestemmelser om retten til at indgive klage til en tilsynsmyndighed, om retsmidler (dvs. adgang til domstolsprøvelse) over for tilsynsmyndigheden og over for den dataansvarlige eller databehandleren, om ret til at lade sig repræsentere af en organisation eller lignende, om erstatningsansvar og om ret til erstatning samt sanktioner.

2.10. Gennemførelsesforanstaltninger og afsluttende bestemmelser (direktivets kapitel IX og X)

Retshåndhævelsesdirektivets kapitel IX indeholder en bestemmelse om udvalgsproceduren, som skal finde anvendelse i forbindelse med udstedelsen af gennemførelsesretsakter.

I kapitel X indeholder direktivet en række afsluttende bestemmelser, hvor der bl.a. lægges op til at ophæve den gældende rammeafgørelse 2008/ 977/RIA.

3. Gældende dansk ret

3.1. Indledning

Retshåndhævelsesdirektivet finder anvendelse på de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner samt sikring mod og forebyggelse af trusler mod den offentlige sikkerhed.

Direktivet indebærer som nævnt i den forbindelse en væsentlig udvidelse af anvendelsesområdet for den EU-retlige regulering af behandling af personoplysninger på det politimæssige og strafferetlige område. Direktivet skal således f.eks. også omfatte politiets behandlinger af oplysninger, som er rent interne i den enkelte medlemsstat, og som således hverken er eller påtænkes udvekslet med en anden medlemsstat, jf. anvendelsesområdet for den gældende rammeafgørelse.

Hertil kommer, at gennemførelse af direktivet vil medføre mindre ændringer i retshåndhævende myndigheders muligheder for at behandle personoplysninger, ligesom reglerne i direktivets kapitel III indebærer en udvidelse af den registreredes rettigheder i forhold til de gældende EU-regler på det politimæssige og strafferetlige område, jf. nærmere pkt. 2.4.

I en dansk sammenhæng vil gennemførelse af direktivet derfor kunne få betydning for behandling af personoplysninger i alle faser af en straffesag og således, fra f.eks. det tidspunkt politiet modtager en anmeldelse om et strafbart forhold, til kriminalforsorgen løslader den domfældte efter endt afsoning.

Det bemærkes imidlertid, at persondataloven i vidt omfang gælder på det politi- og strafferetlige område i Danmark.

En fuldstændig redegørelse for gældende dansk ret vil derfor omfatte en omtale af al lovgivning mv., der regulerer behandling af personoplysninger, herunder den registreredes eventuelle rettigheder til indsigt mv., som gælder for politiet, anklagemyndigheden, domstolene og Kriminalforsorgen. I det følgende redegøres imidlertid alene for de mest centrale regler.

3.2. Persondataloven

I lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (persondataloven) er der fastsat generelle regler om behandling af personoplysninger for offentlige myndigheder, herunder retshåndhævende myndigheder, med undtagelse af PET og FE og den private sektor. Persondataloven er først og fremmest baseret på det gældende databeskyttelsesdirektiv fra 1995.

Persondataloven indeholder bl.a. regler om, hvornår behandling af personoplysninger i almindelighed må finde sted, ligesom loven indeholder regler vedrørende behandling af særlige typer oplysninger (f.eks. regler om personnumre).

Efter persondataloven kan retshåndhævende myndigheder, herunder politiet og anklagemyndigheden, bl.a. behandle almindelige personoplysninger, hvis den registrerede har givet udtrykkeligt samtykke hertil, eller hvis det er nødvendigt for myndighedsudøvelse eller udførelse af en opgave i samfundets interesse, samt hvis det er nødvendigt for at forfølge en berettiget interesse, og den registreredes interesse ikke overstiger denne interesse.

Der må som udgangspunkt ikke behandles særligt følsomme oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Dette gælder imidlertid ikke, hvis den registrerede har givet sit udtrykkelige samtykke til behandlingen, hvis det er nødvendigt for at beskytte den registreredes eller en anden persons vitale interesser, hvis oplysningerne er blevet offentliggjort af den registrerede, hvis det er nødvendigt for at et retskrav kan fastlægges, gøres gældende eller forsvares, eller hvis behandlingen er nødvendig af hensyn til en offentlig myndigheds varetagelse af sine opgaver på det strafferetlige område.

Følsomme oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold må som udgangspunkt heller ikke behandles, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver. Endvidere må sådanne oplysninger ikke videregives. Det gælder dog ikke, hvis den registrerede har givet sit udtrykkelige samtykke hertil, hvis det sker til varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den oplysningerne angår, hvis det er nødvendigt for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe, eller hvis det er nødvendigt for udførelsen af en persons eller virksomheds opgaver for det offentlige. Sådanne oplysninger vil desuden kunne behandles, herunder videregives, efter de samme undtagelsesmuligheder, som gælder for de særligt følsomme oplysninger, jf. afsnittet ovenfor.

Persondataloven indeholder desuden en række bestemmelser om rettigheder for de personer, der behandles oplysninger om. Det gælder f.eks. regler om den registreredes ret til information, indsigelse, indsigt, berigtigelse og sletning af personoplysninger.

Persondataloven gælder generelt for politiets, anklagemyndighedens og domstolenes behandling af personoplysninger. Lovens bestemmelser om oplysningspligt over for den registrerede, den registreredes ret til indsigelse, berigtigelse, blokering og sletning af personoplysninger finder dog ikke anvendelse på behandlinger, der foretages for domstolene, politiet og anklagemyndighed, inden for det strafferetlige område. Der henvises i øvrigt til pkt. 2.4 ovenfor. Herudover finder lovens regler om den registreredes ret til indsigt ikke anvendelse på behandlinger, der foretages for domstolene inden for det strafferetlige område.

Persondataloven fastsætter endvidere regler om datasikkerhed i forbindelse med behandling af personoplysninger, hvorefter den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger bl.a. ikke kommer til uvedkommendes kendskab. Disse regler suppleres for offentlige myndigheders vedkommende af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af perso?no?plysninger, som behandles for den offentlige forvaltning. Efter denne bekendtgørelse skal offentlige myndigheder bl.a. logge anvendelse af fortrolige personoplysninger.

Persondataloven indeholder også bestemmelser om offentlige myndigheders anmeldelse af behandlinger af fortrolige personoplysninger til Datatilsynet forud for iværksættelse af behandlingen og forudgående høring af tilsynet bl.a. forud for behandling af følsomme personoplysninger.

Endelig indeholder persondataloven regler om Datatilsynets tilsyn med bl.a. offentlige myndigheders behandling af personoplysninger, herunder om klageadgang og tilsynets adgang til at undersøge sager af egen drift, og regler om tilsynets beføjelser. Det bemærkes, at Datatilsynet efter persondatalovens regler kun i begrænset omfang har beføjelser til at træffe afgørelser, herunder udstede påbud og forbud, over for offentlige myndigheder.

3.3. Bekendtgørelse om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager inden for EU og Schengen-samarbejdet

Justitsministeren har i medfør af persondatalovens § 72 a fastsat nærmere regler ved bekendtgørelse nr. 1287 af 25. november 2010 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager inden for Den Europæiske Union og Schengen-samarbejdet. Bekendtgørelsen gennemfører Rådets rammeafgørelse 2008/ 977/RIA i dansk ret.

Formålet med bekendtgørelsen er at sikre beskyttelsen af personoplysninger, der behandles inden for rammerne af det politimæssige og strafferetlige samarbejde inden for EU.

Bekendtgørelsen finder anvendelse i forhold til personoplysninger, der udveksles eller stilles til rådighed mellem en dansk og en udenlandsk myndighed i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager inden for Den Europæiske Union og Schengen-samarbejdet.

Bekendtgørelsen tager således sigte på den grænseoverskridende informationsudveksling i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager. Den finder inden for dette område anvendelse på behandling af perso?no?plysninger, der helt eller delvis foretages elektronisk, og i forhold til ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Bekendtgørelsen henviser bl.a. til en række af de grundlæggende regler for behandling af personoplysninger i persondataloven. Den indeholder herudover regler om datakvalitet og behandlingssikkerhed. Bekendtgørelsen indeholder desuden regler for specifikke former for databehandling, herunder regler om viderebehandling af personoplysninger modtaget fra andre medlemsstater og om videregivelse af sådanne oplysninger til private og tredjelande samt internationale organer. Herudover udvider bekendtgørelsen den registreredes rettigheder med hensyn til bl.a. underretning og berigtigelse af urigtige oplysninger i forhold til persondataloven.

3.4. Retsplejeloven

Retsplejeloven (lovbekendtgørelse nr. 1255 af 16. november 2015 med senere ændringer) indeholder de grundlæggende regler i dansk ret vedrørende bl.a. efterforskning og retsforfølgning af strafbare forhold.

Retsplejelovens kapitel 67-75 b fastsætter således regler om politiets efterforskning af strafbare forhold og om gennemførelsen af tvangsindgreb, herunder reglerne for anholdelse, varetægtsfængsling, indgreb i meddelelseshemmeligheden, legemsindgreb, ransagning, beslaglæggelse, edition og personundersøgelser. Disse kapitler indeholder ligeledes grundlæggende straffeprocessuelle regler.

Retsplejeloven indeholder endvidere regler om aktindsigt i domme, kendelser og andre dokumenter, der vedrører en straffesag. Udgangspunktet er, at enhver har ret til aktindsigt i domme og kendelser mv., ligesom den, der har en individuel, væsentlig interesse i et konkret retsspørgsmål, som udgangspunkt kan forlange at blive gjort bekendt med dokumenter, der vedrører en straffesag, herunder indførsler i retsbøgerne, i det omfang dokumenterne har betydning for vurderingen af det pågældende retsspørgsmål.

Herudover regulerer retsplejelovens § 115 bl.a., hvornår politiet kan udveksle oplysninger om enkeltpersoners rent private forhold til andre myndigheder som led i det kriminalitetsforebyggende samarbejde (SSP-samarbejdet).

3.5. Straffuldbyrdelsesloven

Straffuldbyrdelsesloven (lovbekendtgørelsen nr. 1242 af 11. november 2015 med senere ændringer) regulerer fuldbyrdelsen af fængselsstraffe, bødestraffe, betingede domme, domme med vilkår om samfundstjeneste og forvaring.

Straffuldbyrdelsesloven indeholder i en række tilfælde mulighed for, at myndighederne kan behandle personoplysninger om en dømt person for at varetage sine opgaver efter loven. Det er f.eks. tilfældet, hvor kriminalforsorgen træffer afgørelse om valg af afsoningsinstitution, om anbringelse i åbent eller lukket fængsel, om overførsel fra åbent til lukket fængsel og om udgang i forbindelse med afsoning af fængselsstraf.

4. Lovgivningsmæssige konsekvenser

Gennemførelse af retshåndhævelsesdirektivet i dansk ret vil indebære, at der skal ske ændringer af gældende dansk lovgivning.

Der vil således skulle ske en tilpasning af reglerne, som i dag følger af persondataloven, til direktivets regler, herunder særligt direktivets behandlingsregler og regulering for den registreredes rettigheder.

Det er endvidere Justitsministeriets umiddelbare vurdering, at en gennemførelse kan medføre, at det bliver nødvendigt at revidere nogle af de gældende regler i retsplejeloven og straffuldbyrdelsesloven, der regulerer behandling af perso?noplysninger.

5. Økonomiske og administrative konsekvenser

Det må forventes, at en gennemførelse af retshåndhævelsesdirektivet vil indebære administrative konsekvenser for statens retshåndhævende myndigheder i forbindelse med omstillingen til at skulle anvende de nye regler.

Retshåndhævelsesdirektivet medfører som nævnt ovenfor under pkt. 2.2, at retshåndhævende myndigheder i visse situationer skal forpligtes til at give borgerne en række oplysninger i forbindelse med, at de indsamler personoplysninger. Oplysningspligten må antages i et vist omfang at kunne opfyldes samtidig med andre sagsbehandlingsskridt. Dertil kommer, at der efter direktivet kan fastsættes regler om undtagelse fra oplysningspligten af hensyn til en række nærmere angivne offentlige interesser. Omfanget af oplysningspligten vil således afhænge af, hvilke undtagelser der fastsættes i dansk ret. På nuværende tidspunkt er det derfor behæftet med stor usikkerhed at skønne over udgifterne hertil. I nogle situationer vil det dog formentlig isoleret set medføre øget administration for de retshåndhævende myndigheder. Som nævnt medfører direktivet endvidere, at den registrerede skal have ret til berigtigelse, sletning og begrænsning af urigtige oplysninger. Disse forpligtelser skønnes ikke i sig selv at have administrative konsekvenser af betydning, idet myndighederne efter gældende ret er forpligtet til af egen drift eller efter en klage at slette eller berigtige urigtige eller vildledende oplysninger. Retshåndhævelsesdirektivet medfører imidlertid den yderligere forpligtelse, at myndighederne af egen drift fremadrettet skal meddele modtagerne af oplysningerne, at disse er blevet berigtiget, slettet eller begrænset.

Herudover medfører direktivet yderligere krav til databehandlere og dataansvarlige, herunder i forhold til sikkerheden, som imidlertid bl.a. på baggrund af Datatilsynets praksis må anses at være krav, der i vidt omfang allerede gælder på området efter reglerne i dag. Dog medfører direktivet, at retshåndhævende myndigheder efter direktivet skal udpege en databeskyttelsesrådgiver, hvilket skønnes at ville indebære visse mindre udgifter.

De dataansvarlige skal som noget nyt opbevare fortegnelser om eksempelvis dataansvarliges navn, formål med behandlingen af personoplysninger, beskrivelse af kategorier af registrerede, overførsel af personoplysninger til tredjelande, hvornår personoplysninger skal slettes og sikkerhedsforanstaltninger. Til gengæld indeholder retshåndhævelsesdirektivet intet krav om anmeldelse af behandlinger, hvor det i dag er et krav, at offentlige, herunder retshåndhævende myndigheder, foretager anmeldelse til Datatilsynet af deres behandlinger af fortrolige personoplysninger. En høringsforpligtelse opretholdes dog i tilfælde af, at personoplysninger skal behandles i et register, hvis en konsekvensanalyse har vist sandsynlighed for en høj risiko for den registreredes rettigheder og frihedsrettigheder ved den påtænkte behandling eller typen af behandling er forbundet med en høj risiko for de registreredes rettigheder. Samlet set er vurderingen dog, at der selv med indførelsen af et krav om at opbevare fortegnelser samt den begrænsede høringsforpligtelse ikke vil være tale om en stigning i udgifterne, men formentlig en mindre lempelse i forhold til anmeldelsespligten, som følger af gældende ret.

Anmeldelse af sikkerhedsbrud til tilsynsmyndigheden gøres til en eksplicit forpligtelse. Dette er en ny forpligtelse, som vil medføre visse meromkostninger for retshåndhævende myndigheder. Det skal dog bemærkes, at der i en del situati?oner allerede i dag sker underretning af Datatilsynet ved sikkerhedsbrud. Den registrerede skal efter retshåndhævelsesdirektivet oplyses om sikkerhedsbruddet. Dette følger efter Datatilsynets praksis allerede i dag også af kravet om god databehandlingsskik i persondatalovens § 5, stk. 1, men meddelelsen skal indeholde flere oplysninger end i dag (mange af de samme oplysninger som til tilsynsmyndigheden).

Endelig vil Datatilsynet skulle varetage en række nye opgaver navnlig på det internationale område, som vil medføre et øget ressourceforbrug hos tilsynet. Dette skal dog ses i sammenhæng med, at tilsynet får samme opgaver i forbindelse med den generelle databeskyttelsesforordning, som får direkte virkning for Danmark den 25. maj 2018, hvorfor denne del for direktivets vedkommende må anses for at have en mindre betydning.

Samlet set må det antages, at retshåndhævende myndigheder med retshåndhævelsesdirektivet vil få en række nye forpligtelser, som vil indebære visse merudgifter.

Bilag 1

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV (EU) 2016/680

af 27. april 2016

om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR -

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16, stk. 2,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Regionsudvalget (1),

efter den almindelige lovgivningsprocedure (2), og

ud fra følgende betragtninger:

VEDTAGET DETTE DIREKTIV:

KAPITEL I

Generelle bestemmelser

Artikel 1

Genstand og formål

1. I dette direktiv fastsættes regler om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod eller forebygge trusler mod den offentlige sikkerhed.

2. Medlemsstaterne sikrer i overensstemmelse med dette direktiv:

3. Dette direktiv forhindrer ikke medlemsstaterne i at fastsætte højere standarder end dem, der er fastsat i dette direktiv, for beskyttelse af den registreredes rettigheder og frihedsrettigheder med hensyn til kompetente myndigheders behandling af personoplysninger.

Artikel 2

Anvendelsesområde

1. Dette direktiv finder anvendelse på kompetente myndigheders behandling af personoplysninger med henblik på artikel 1, stk. 1.

2. Dette direktiv finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

3. Dette direktiv gælder ikke for behandling af personoplysninger:

Artikel 3

Definitioner

I dette direktiv forstås ved:

1) »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

2) »behandling«: enhver aktivitet eller række af aktiviteter - med eller uden brug af automatisk behandling - som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

3) »begrænsning af behandling«: mærkning af opbevarede personoplysninger med den hensigt at begrænse fremtidig behandling af disse oplysninger

4) »profilering«: enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk position eller bevægelser

5) »pseudonymisering«: behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person

6) »register«: enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på funktionsbestemt eller geografisk grundlag

7) »kompetent myndighed«:

8) »dataansvarlig«: den kompetente myndighed, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret

9) »databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne

10) »modtager«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej. Offentlige myndigheder, som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel i henhold til medlemsstaternes nationale ret, anses dog ikke for modtagere; de offentlige myndigheders behandling af disse oplysninger skal overholde de gældende databeskyttelsesregler afhængigt af formålet med behandlingen

11) »brud på persondatasikkerheden«: et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet

12) »genetiske data«: personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske karakteristika, som giver entydig information om den fysiske persons fysiologi eller helbred, og som navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person

13) »biometriske data«: personoplysninger, der som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger

14) »helbredsoplysninger«: personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand

15) »tilsynsmyndighed«: en uafhængig offentlig myndighed, der er etableret i en medlemsstat i henhold til artikel 41

16) »international organisation«: en folkeretlig organisation og organer, der er underordnet den, samt ethvert andet organ, der er oprettet ved eller med hjemmel i en aftale mellem to eller flere lande.

KAPITEL II

Principper

Artikel 4

Principper for behandling af personoplysninger

1. Medlemsstaterne fastsætter bestemmelser om, at personoplysninger skal:

2. Behandling, der foretages af den samme eller en anden dataansvarlig til et andet formål omfattet af artikel 1, stk. 1, end det, hvortil personoplysningerne er indsamlet, er tilladt i det omfang:

3. Behandling, der foretages af den samme eller en anden dataansvarlig, kan omfatte behandling til arkivformål i samfundets interesse eller til videnskabelig, statistisk eller historisk brug med henblik på artikel 1, stk. 1, forudsat at behandlingen er omfattet af de fornødne garantier for den registreredes rettigheder og frihedsrettigheder.

4. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1, 2 og 3 overholdes.

Artikel 5

Tidsfrister for opbevaring og revision

Medlemsstaterne fastsætter bestemmelser om, at der skal fastsættes hensigtsmæssige tidsfrister for sletning af personoplysninger eller for regelmæssig revision af behovet for opbevaring af personoplysninger. Det sikres ved proceduremæssige foranstaltninger, at disse tidsfrister overholdes.

Artikel 6

Sondring mellem forskellige kategorier af registrerede

Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige, hvor det er relevant og så vidt muligt, klart sondrer mellem personoplysninger om forskellige kategorier af registrerede såsom:

Artikel 7

Sondring mellem personoplysninger og kontrol med kvaliteten af personoplysninger

1. Medlemsstaterne fastsætter bestemmelser om, at der så vidt muligt skal sondres mellem personoplysninger, der bygger på faktiske omstændigheder, og personoplysninger, der bygger på personlige vurderinger.

2. Medlemsstaterne fastsætter bestemmelser om, at de kompetente myndigheder iværksætter alle rimelige tiltag for at sikre, at personoplysninger, som er urigtige, ufuldstændige eller ikke ajourførte, ikke videregives eller stilles til rådighed. Med henblik herpå kontrollerer hver kompetent myndighed, så vidt det er praktisk muligt, kvaliteten af personoplysninger, før disse videregives eller stilles til rådighed. I forbindelse med al videregivelse af personoplysninger skal nødvendige oplysninger, der gør det muligt for den modtagende kompetente myndighed at vurdere, i hvor høj grad personoplysningerne er rigtige, fuldstændige og pålidelige, og i hvilket omfang de er ajourførte, så vidt muligt tilføjes.

3. Hvis det konstateres, at der er videregivet urigtige personoplysninger, eller at personoplysninger er videregivet ulovligt, skal dette straks meddeles modtageren. I så fald skal personoplysningerne berigtiges eller slettes, eller behandling skal begrænses i overensstemmelse med artikel 16.

Artikel 8

Lovlig behandling

1. Medlemsstaterne fastsætter bestemmelser om, at behandling kun er lovlig, hvis og i det omfang denne behandling er nødvendig, for at en kompetent myndighed kan udføre en opgave med henblik på artikel 1, stk. 1, og at den sker på grundlag af EU-retten eller medlemsstaternes nationale ret.

2. Medlemsstaternes nationale ret, der regulerer behandling inden for dette direktivs anvendelsesområde, skal som minimum angive målene med behandling, de personoplysninger, der skal behandles, og formålene med behandlingen.

Artikel 9

Særlige betingelser for behandling

1. Personoplysninger indsamlet af kompetente myndigheder med henblik på artikel 1, stk. 1, må ikke behandles til andre formål end med henblik på artikel 1, stk. 1, medmindre en sådan behandling er hjemlet i EU-retten eller medlemsstaternes nationale ret. Hvis personoplysninger behandles til disse andre formål, finder forordning (EU) 2016/679 anvendelse, medmindre behandlingen udføres i forbindelse med en aktivitet, der falder uden for EU-rettens anvendelsesområde.

2. Hvis kompetente myndigheder i henhold til medlemsstaternes nationale ret har fået overdraget andre opgaver end dem, der udføres med henblik på artikel 1, stk. 1, finder forordning (EU) 2016/679 anvendelse på behandling til disse formål, herunder til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål, medmindre behandlingen udføres i forbindelse med en aktivitet, der falder uden for EU-rettens anvendelsesområde.

3. Medlemsstaterne fastsætter bestemmelser om, at den videregivende kompetente myndighed, hvis EU-retten eller medlemsstaternes nationale ret, der finder anvendelse på den videregivende kompetente myndighed, fastsætter særlige vilkår for behandling, underretter modtageren af sådanne personoplysninger om disse vilkår og kravet om at overholde dem.

4. Medlemsstaterne fastsætter bestemmelser om, at den videregivende kompetente myndighed ikke anvender andre vilkår, jf. stk. 3, på modtagere i andre medlemsstater eller på agenturer, kontorer og organer, der er oprettet i henhold til afsnit V, kapitel 4 og 5, i TEUF, end de vilkår, der gælder for lignende videregivelser af oplysninger inden for den medlemsstat, hvor den videregivende kompetente myndighed er beliggende.

Artikel 10

Behandling af særlige kategorier af personoplysninger

Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering må kun tillades, når det er strengt nødvendigt, forudsat at behandlingen er omfattet af de fornødne garantier for den registreredes rettigheder og frihedsrettigheder, og kun:

Artikel 11

Automatiske individuelle afgørelser

1. Medlemsstaterne fastsætter bestemmelser om, at en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har negativ retsvirkning for den registrerede eller betydeligt påvirker den pågældende, er forbudt, medmindre den er hjemlet i EU-retten eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, og som fastsætter de fornødne garantier for den registreredes rettigheder og frihedsrettigheder, i det mindste den registreredes ret til menneskelig indgriben fra den dataansvarliges side.

2. De afgørelser, der er omhandlet i nærværende artikels stk. 1, må ikke baseres på særlige kategorier af personoplysninger, jf. artikel 10, medmindre der er indført passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser.

3. Profilering, der fører til forskelsbehandling af fysiske personer på grundlag af særlige kategorier af personoplysninger, jf. artikel 10, er forbudt i henhold til EU-retten.

KAPITEL III

Den registreredes rettigheder

Artikel 12

Meddelelser og nærmere regler for udøvelse af den registreredes rettigheder

1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal iværksætte rimelige tiltag for at give enhver oplysning som omhandlet i artikel 13 og enhver meddelelse som omhandlet i artikel 11, 14-18 og 31 om behandling til den registrerede i en kortfattet, letforståelig og lettilgængelig form og i et klart og enkelt sprog. Oplysningerne gives på enhver hensigtsmæssig måde, herunder ved hjælp af elektroniske midler. Som hovedregel skal den dataansvarlige give oplysningerne i samme form som anmodningen.

2. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal lette udøvelsen af den registreredes rettigheder i medfør af artikel 11 og 14-18.

3. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal give den registrerede skriftlig meddelelse om opfølgningen på dennes anmodning uden unødig forsinkelse.

4. Medlemsstaterne fastsætter bestemmelser om, at de oplysninger, der gives i medfør af artikel 13, og enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 11, 14-18 og 31, er gratis. Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige enten:

Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven, påhviler den dataansvarlige.

5. Den dataansvarlige kan, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der fremsætter en anmodning som omhandlet i artikel 14 eller 16, anmode om de yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.

Artikel 13

Oplysninger, der skal stilles til rådighed for eller gives til den registrerede

1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige som minimum stiller følgende oplysninger til rådighed for den registrerede:

2. Ud over de oplysninger, der er omhandlet i stk. 1, fastsætter medlemsstaterne ved lov bestemmelser om, at den dataansvarlige i særlige tilfælde skal give den registrerede følgende yderligere oplysninger, for at vedkommende kan udøve sine rettigheder:

3. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger, der udsætter, begrænser eller afskærer meddelelse af oplysninger til de registrerede, jf. stk. 2, i det omfang og så længe en sådan foranstaltning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

4. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger for at fastsætte de kategorier af behandling, som helt eller delvis er omfattet af ethvert af de litraer, der er anført i stk. 3.

Artikel 14

Den registreredes indsigtsret

Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information, jf. dog artikel 15:

Artikel 15

Begrænsninger af indsigtsretten

1. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser den registreredes ret til indsigt, i det omfang og så længe en sådan delvis eller fuldstændig begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

2. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger for at fastsætte de kategorier af behandling, som helt eller delvis er omfattet af stk. 1, litra a)-e).

3. I de i stk. 1 og 2 omhandlede tilfælde fastsætter medlemsstaterne bestemmelser om, at den dataansvarlige uden unødig forsinkelse skal give den registrerede skriftlig meddelelse om ethvert afslag på indsigt i personoplysninger eller begrænsning af indsigten og om begrundelsen for afslaget eller begrænsningen. En sådan meddelelse kan udelades, hvis sådanne oplysninger ville være til skade for et af formålene i stk. 1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal underrette den registrerede om muligheden for at indgive en klage til en tilsynsmyndighed eller adgangen til retsmidler.

4. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal dokumentere den faktiske eller retlige begrundelse, som afgørelsen hviler på. Disse oplysninger stilles til rådighed for tilsynsmyndighederne.

Artikel 16

Ret til berigtigelse, sletning og begrænsning af behandling

1. Medlemsstaterne fastsætter bestemmelser om, at den registrerede har ret til at få urigtige personoplysninger om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Medlemsstaterne fastsætter bestemmelser om, at den registrerede under hensyntagen til formålene med behandlingen skal have ret til at få fuldstændiggjort ufuldstændige personoplysninger, bl.a. ved at fremlægge en supplerende erklæring.

2. Medlemsstaterne kræver, at den dataansvarlige sletter personoplysninger uden unødig forsinkelse, og fastsætter bestemmelser om, at den registrerede skal have ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, hvis behandling overtræder de bestemmelser, der vedtages i henhold til artikel 4, 8 eller 10, eller hvis personoplysninger skal slettes for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt.

3. I stedet for sletning begrænser den dataansvarlige behandling, hvis:

Hvis behandling er begrænset i henhold til første afsnit, litra a), underretter den dataansvarlige den registrerede herom, inden begrænsningen af behandling ophæves.

4. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal give den registrerede skriftlig meddelelse om ethvert afslag på berigtigelse eller sletning af personoplysninger eller begrænsning af behandling og om begrundelsen for afslaget. Medlemsstaterne kan vedtage lovgivningsmæssige foranstaltninger, der helt eller delvis begrænser forpligtelsen til at give sådanne oplysninger, i det omfang en sådan begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund under behørigt hensyn til den berørte fysiske persons grundlæggende rettigheder og legitime interesser for at:

Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal underrette den registrerede om muligheden for at indgive klage til en tilsynsmyndighed eller adgangen til retsmidler.

5. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal meddele berigtigelse af urigtige personoplysninger til den kompetente myndighed, hvorfra de urigtige oplysninger stammer.

6. Medlemsstaterne fastsætter, hvis personoplysningerne er blevet berigtiget eller slettet eller behandlingen er blevet begrænset, jf. stk. 1, 2 og 3, bestemmelser om, at den dataansvarlige skal underrette modtagerne, og at modtagerne berigtiger eller sletter personoplysningerne eller begrænser behandling af perso?no?plysninger, som de har ansvaret for.

Artikel 17

Den registreredes udøvelse af rettigheder og tilsynsmyndighedens kontrol

1. I de tilfælde, der er omhandlet i artikel 13, stk. 3, artikel 15, stk. 3, og artikel 16, stk. 4, vedtager medlemsstaterne foranstaltninger, der fastsætter, at den registreredes rettigheder også kan udøves gennem den kompetente tilsynsmyndighed.

2. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal underrette den registrerede om dennes mulighed for at udøve sine rettigheder gennem tilsynsmyndigheden i henhold til stk. 1.

3. Hvis den i stk. 1 omhandlede ret udøves, underretter tilsynsmyndigheden som minimum den registrerede om, at tilsynsmyndigheden har foretaget den nødvendige kontrol eller undersøgelse. Tilsynsmyndigheden underretter også den registrerede om dennes adgang til retsmidler.

Artikel 18

Den registreredes rettigheder i forbindelse med strafferetlige efterforskninger og straffesager

Medlemsstaterne kan fastsætte bestemmelser om, at udøvelsen af de rettigheder, der er omhandlet i artikel 13, 14 og 16, skal gennemføres i henhold til medlemsstaternes nationale ret, når personoplysningerne er indeholdt i en retsafgørelse eller et register eller en sagsakt, der behandles i forbindelse med strafferetlige efterforskninger og straffesager.

KAPITEL IV

Dataansvarlig og databehandler

Afdeling 1

Generelle forpligtelser

Artikel 19

Den dataansvarliges forpligtelser

1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med dette direktiv. Disse foranstaltninger skal om nødvendigt revideres og ajourføres.

2. Hvis det står i rimeligt forhold til behandlingsaktiviteterne, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker.

Artikel 20

Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger

1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen skal gennemføre passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i dette direktiv og beskytte de registreredes rettigheder.

2. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun perso?no?plysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.

Artikel 21

Fælles dataansvarlige

1. Medlemsstaterne fastsætter, hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling, bestemmelser om, at de skal være fælles dataansvarlige. De fastsætter på en gennemsigtig måde deres respektive ansvar for overholdelse af dette direktiv, navnlig hvad angår udøvelsen af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13, ved hjælp af en ordning mellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-retten eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt. I ordningen udpeges kontaktpunktet for de registrerede. Medlemsstaterne kan udpege den af de fælles dataansvarlige, der kan fungere som fælles kontaktpunkt for de registrerede, når disse udøver deres rettigheder.

2. Uanset udformningen af den ordning, der er omhandlet i stk. 1, kan medlemsstaterne fastsætte bestemmelser om, at den registrerede kan udøve sine rettigheder i medfør af de bestemmelser, der vedtages i henhold til dette direktiv, med hensyn til og over for den enkelte dataansvarlige.

Artikel 22

Databehandler

1. Medlemsstaterne fastsætter, hvis en behandling foretages på vegne af en dataansvarlig, bestemmelser om, at den dataansvarlige udelukkende må benytte databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i dette direktiv og sikrer beskyttelse af den registreredes rettigheder.

2. Medlemsstaterne fastsætter bestemmelser om, at databehandleren ikke må gøre brug af en anden databehandler uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

3. Medlemsstaterne fastsætter bestemmelser om, at en databehandlers behandling skal være omfattet af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Denne kontrakt eller andet retlige dokument fastlægger navnlig, at databehandleren:

4. Kontrakten eller det andet retlige dokument, der er omhandlet i stk. 3, skal foreligge skriftligt, herunder elektronisk.

5. Hvis en databehandler i strid med dette direktiv fastlægger formålene med og hjælpemidlerne til behandling, anses denne databehandler for at være en dataansvarlig, for så vidt angår den pågældende behandling.

Artikel 23

Behandling, der udføres for den dataansvarlige eller databehandleren

Medlemsstaterne fastsætter bestemmelser om, at databehandleren og enhver, der udfører arbejde for den dataansvarlige eller databehandleren, og som har adgang til personoplysninger, kun må behandle disse oplysninger efter instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret.

Artikel 24

Fortegnelser over behandlingsaktiviteter

1. Medlemsstaterne fastsætter bestemmelser om, at de dataansvarlige fører fortegnelser over alle kategorier af behandlingsaktiviteter under deres ansvar. Disse fortegnelser skal omfatte alle af følgende oplysninger:

2. Medlemsstaterne fastsætter bestemmelser om, at hver databehandler skal føre fortegnelser over alle kategorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig, idet fortegnelsen skal indeholde:

3. De fortegnelser, der er omhandlet i stk. 1 og 2, skal foreligge skriftligt, herunder elektronisk.

Den dataansvarlige og databehandleren stiller efter anmodning disse fortegnelser til rådighed for tilsynsmyndigheden.

Artikel 25

Logning

1. Medlemsstaterne fastsætter bestemmelser om, at der som minimum skal foretages logning af følgende former for behandlingsaktiviteter i automatiske databehandlingssystemer: indsamling, ændring, søgning, videregivelse, herunder overførsel, samkøring og sletning. Logning af søgning og videregivelse skal gøre det muligt at fastlægge begrundelsen, datoen og tidspunktet for sådanne aktiviteter og i videst muligt omfang identifikation af den person, som har søgt eller videregivet personoplysninger, og identiteten på modtagerne af sådanne personoplysninger.

2. Loggene anvendes udelukkende til at kontrollere, om behandling er lovlig, til egenkontrol, til at sikre integriteten og sikkerheden af personoplysningerne og i forbindelse med straffesager.

3. Den dataansvarlige og databehandleren stiller efter anmodning loggene til rådighed for tilsynsmyndigheden.

Artikel 26

Samarbejde med tilsynsmyndigheden

Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige og databehandleren efter anmodning skal samarbejde med tilsynsmyndigheden i forbindelse med udførelsen af dens opgaver.

Artikel 27

Konsekvensanalyse vedrørende databeskyttelse

1. Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, fastsætter medlemsstaterne bestemmelser om, at den dataansvarlige forud for behandlingen foretager en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.

2. Den i stk. 1 omhandlede analyse skal mindst omfatte en generel beskrivelse af de planlagte behandlingsaktiviteter, en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder, de foranstaltninger, der påtænkes for at imødegå disse risici, garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af dette direktiv, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

Artikel 28

Forudgående høring af tilsynsmyndigheden

1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige eller databehandleren skal høre tilsynsmyndigheden inden behandling af personoplysninger, der vil indgå som en del af et nyt register, der skal oprettes, såfremt:

2. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden skal høres som led i udarbejdelsen af et forslag til lovgivningsmæssig foranstaltning, som skal vedtages af et nationalt parlament, eller af en regulerende foranstaltning, der har hjemmel i en sådan lovgivningsmæssig foranstaltning, og som vedrører behandling.

3. Medlemsstaterne fastsætter bestemmelser om, at tilsynsmyndigheden kan fastsætte en liste over de behandlingsaktiviteter, hvor der i henhold til stk. 1 skal foretages en forudgående høring.

4. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige forelægger tilsynsmyndigheden den i artikel 27 omhandlede konsekvensanalyse vedrørende databeskyttelse og efter anmodning andre oplysninger, der sætter tilsynsmyndigheden i stand til at vurdere behandlingens overensstemmelse, og navnlig risiciene for beskyttelsen af registreredes personoplysninger og tilknyttede garantier.

5. Medlemsstaterne fastsætter, hvis tilsynsmyndigheden finder, at den planlagte behandling omhandlet i nærværende artikels stk. 1, overtræder de bestemmelser, der vedtages i henhold til dette direktiv, navnlig hvis den dataansvarlige ikke tilstrækkeligt har identificeret eller begrænset risikoen, bestemmelser om, at tilsynsmyndigheden inden for en periode på op til seks uger efter modtagelse af anmodningen om høring skal give den dataansvarlige og, hvor det er relevant, databehandleren skriftlig rådgivning og i den forbindelse kan anvende enhver af sine beføjelser, jf. artikel 47. Denne periode kan forlænges med en måned under hensyntagen til den påtænkte behandlings kompleksitet. Tilsynsmyndigheden underretter den dataansvarlige og, hvor det er relevant, databehandleren om enhver sådan forlængelse senest en måned efter modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen.

Afdeling 2

Personoplysningssikkerhed

Artikel 29

Behandlingssikkerhed

1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige og databehandleren under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, navnlig for så vidt angår behandlingen af de særlige kategorier af personoplysninger, der er omhandlet i artikel 10.

2. For så vidt angår automatisk behandling, fastsætter medlemsstaterne bestemmelser om, at den dataansvarlige eller databehandleren på grundlag af en risikovurdering gennemfører foranstaltninger til at sikre, at:

Artikel 30

Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden

1. Medlemsstaterne fastsætter ved brud på persondatasikkerheden bestemmelser om, at den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, skal anmelde bruddet på persondatasikkerheden til tilsynsmyndigheden, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.

2. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.

3. Den i stk. 1 omhandlede anmeldelse skal mindst:

4. Når og for så vidt som det ikke er muligt at forelægge oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.

5. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal dokumentere alle brud på persondatasikkerheden som omhandlet i stk. 1, herunder de faktiske omstændigheder vedrørende bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel er overholdt.

6. Medlemsstaterne fastsætter, hvis bruddet på persondatasikkerheden omfatter personoplysninger, der er transmitteret af eller til den dataansvarlige i en anden medlemsstat, bestemmelser om, at de i stk. 3 omhandlede oplysninger uden unødig forsinkelse skal meddeles til den dataansvarlige i denne medlemsstat.

Artikel 31

Underretning om brud på persondatasikkerheden til den registrerede

1. Medlemsstaterne fastsætter, når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, bestemmelser om, at den dataansvarlige uden unødig forsinkelse skal underrette den registrerede om bruddet på persondatasikkerheden.

2. Underretningen af den registrerede i henhold til denne artikels stk. 1 skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 30, stk. 3, litra b), c) og d).

3. Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis en af følgende betingelser er opfyldt:

4. Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.

5. Den i nærværende artikels stk. 1 omhandlede underretning af den registrerede kan udsættes, begrænses eller afskæres på de betingelser og af de årsager, der er omhandlet i artikel 13, stk. 3.

Afdeling 3

Databeskyttelsesrådgiver

Artikel 32

Udpegelse af databeskyttelsesrådgiveren

1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal udpege en databeskyttelsesrådgiver. Medlemsstaterne kan fritage domstole og andre uafhængige judicielle myndigheder, når de udfører deres judicielle opgaver, for denne forpligtelse.

2. Databeskyttelsesrådgiveren udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre de opgaver, der er omhandlet i artikel 34.

3. En fælles databeskyttelsesansvarlig kan udpeges for flere kompetente myndigheder under hensyntagen til deres organisatoriske struktur og størrelse.

4. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal offentliggøre kontaktoplysningerne for databeskyttelsesrådgiveren og meddele disse til tilsynsmyndigheden.

Artikel 33

Databeskyttelsesrådgiverens stilling

1. Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige skal sikre, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger.

2. Den dataansvarlige støtter databeskyttelsesrådgiveren i forbindelse med udførelsen af de i artikel 34 omhandlede opgaver ved at tilvejebringe de ressourcer, der er nødvendige for at udføre disse opgaver og opretholde databeskyttelsesrådgiverens ekspertise, samt adgang til personoplysninger og behandlingsaktiviteter.

Artikel 34

Databeskyttelsesrådgiverens opgaver

Medlemsstaterne fastsætter bestemmelser om, at den dataansvarlige som minimum skal overdrage følgende opgaver til databeskyttelsesrådgiveren:

KAPITEL V

Overførsler af personoplysninger til tredjelande eller internationale organisationer

Artikel 35

Generelle principper for overførsler af personoplysninger

1. Medlemsstaterne fastsætter bestemmelser om, at enhver overførsel af personoplysninger, der foretages af kompetente myndigheder, og som underkastes behandling eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, herunder videreoverførsel til et andet tredjeland eller en anden international organisation, kun må finde sted, hvis de nationale bestemmelser, der vedtages i henhold til dette direktiv, er overholdt, og hvis betingelserne i dette kapitel er opfyldt, navnlig at:

2. Medlemsstaterne fastsætter bestemmelser om, at overførsel uden forudgående godkendelse fra en anden medlemsstat i overensstemmelse med stk. 1, litra c), kun må tillades, hvis overførslen af perso?no?ply?sningerne er nødvendig for at forebygge en umiddelbar og alvorlig trussel mod en medlemsstats eller et tredjelands offentlige sikkerhed eller mod en medlemsstats væsentlige interesser, og den forudgående godkendelse ikke kan indhentes i tide. Den myndighed, der er ansvarlig for at give den forudgående godkendelse, underrettes straks.

3. Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau for fysiske perso?ner, som sikres i dette direktiv, ikke undermineres.

Artikel 36

Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet

1. Medlemsstaterne fastsætter bestemmelser om, at overførsel af personoplysninger til et tredjeland eller en international organisation kan finde sted, hvis Kommissionen har fastslået, at tredjelandet, et område eller en eller flere specifikke sektorer i dette tredjeland, eller den pågældende internationale organisation har et tilstrækkeligt beskyttelsesniveau. En sådan overførsel af oplysninger kræver ikke specifik godkendelse.

2. Ved vurdering af beskyttelsesniveauets tilstrækkelighed tager Kommissionen navnlig følgende elementer i betragtning:

3. Kommissionen kan efter vurdering af beskyttelsesniveauets tilstrækkelighed ved hjælp af gennemførelsesretsakter fastslå, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2. I den pågældende gennemførelsesretsakt fastsættes en mekanisme for regelmæssig revision, som foretages mindst hvert fjerde år, og som inddrager enhver relevant udvikling i tredjelandet eller den internationale organisation. I gennemførelsesretsakten angives dennes territoriale og sektorbestemte anvendelsesområde og i påkommende tilfælde den eller de tilsynsmyndigheder, jf. denne artikels stk. 2, litra b). Gennemførelsesretsakten vedtages efter undersøgelsesproceduren i artikel 58, stk. 2.

4. Kommissionen overvåger løbende udviklinger i tredjelande og internationale organisationer, der kan påvirke virkningen af de afgørelser, der er vedtaget i henhold til stk. 3.

5. Kommissionen ophæver, ændrer eller suspenderer i det omfang, det er nødvendigt, uden tilbagevirkende kraft afgørelsen omhandlet i denne artikels stk. 3, hvis tilgængelige oplysninger, navnlig efter den i denne artikels stk. 3 omhandlede revision, viser, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation ikke længere sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 58, stk. 2.

I behørigt begrundede særligt hastende tilfælde vedtager Kommissionen efter proceduren i artikel 58, stk. 3, gennemførelsesretsakter, der finder anvendelse straks.

6. Kommissionen fører konsultationer med tredjelandet eller den internationale organisation med henblik på at afhjælpe den situation, der giver anledning til en afgørelse vedtaget i henhold til stk. 5.

7. Medlemsstaterne fastsætter bestemmelser om, at en afgørelse som angivet i stk. 5 ikke berører overførsel af personoplysninger til det pågældende tredjeland, det pågældende område eller en eller flere specifikke sektorer i dette tredjeland, eller den pågældende internationale organisation i medfør af artikel 37 og 38.

8. Kommissionen offentliggør i Den Europæiske Unions Tidende og på sit websted en liste over de tredjelande, områder og specifikke sektorer i tredjelande samt internationale organisationer, som den har fastslået sikrer eller ikke længere sikrer et tilstrækkeligt beskyttelsesniveau.

Artikel 37

Overførsler omfattet af fornødne garantier

1. Hvis der ikke er vedtaget en afgørelse i henhold til artikel 36, stk. 3, fastsætter medlemsstaterne bestemmelser om, at en overførsel af personoplysninger til et tredjeland eller en international organisation kan finde sted, hvis:

2. Den dataansvarlige underretter tilsynsmyndigheden om kategorier af overførsler i medfør af stk. 1, litra b).

3. En overførsel, der er hjemlet i stk. 1, litra b), dokumenteres, og dokumentationen stilles til rådighed for tilsynsmyndigheden efter anmodning, herunder dato og tidspunkt for overførslen, oplysninger om den modtagende kompetente myndighed, begrundelsen for overførslen og de overførte personoplysninger.

Artikel 38

Undtagelser i særlige situationer

1. I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 36 eller fornødne garantier i henhold til artikel 37 fastsætter medlemsstaterne bestemmelser om, at en overførsel eller en kategori af overførsler af personoplysninger til et tredjeland eller en international organisation kun må finde sted, såfremt overførslen er nødvendig:

2. Personoplysninger må ikke overføres, hvis den overførende kompetente myndighed fastslår, at den pågældende registreredes grundlæggende rettigheder og frihedsrettigheder går forud for samfundets interesse i overførslen, jf. stk. 1, litra d) og e).

3. En overførsel, der er hjemlet i stk. 1, skal dokumenteres, og dokumentationen stilles til rådighed for tilsynsmyndigheden efter anmodning og skal omfatte dato og tidspunkt for overførslen, oplysninger om den modtagende kompetente myndighed, begrundelsen for overførslen og angivelse af de overførte perso?no?plysninger.

Artikel 39

Overførsler af personoplysninger til modtagere i tredjelande

1. Uanset artikel 35, stk. 1, litra b), og uden at det berører en eventuel international aftale, jf. nærværende artikels stk. 2, kan EU-retten eller medlemsstaternes nationale ret fastsætte bestemmelser om, at de kompetente myndigheder omhandlet i artikel 3, nr. 7), litra a), i enkeltstående og specifikke tilfælde skal overføre personoply?sninger direkte til modtagere i tredjelande, men kun hvis de øvrige bestemmelser i dette direktiv overholdes, og alle af følgende betingelser er opfyldt:

2. En international aftale, jf. stk. 1, skal være en bilateral eller multilateral international aftale, der er indgået mellem medlemsstater og tredjelande om retligt samarbejde i straffesager og politisamarbejde.

3. Den overførende kompetente myndighed underretter tilsynsmyndigheden om overførsler i medfør af denne artikel.

4. Hvis en overførsel er hjemlet i stk. 1, skal denne overførsel dokumenteres.

Artikel 40

Internationalt samarbejde om beskyttelse af personoplysninger

Kommissionen og tilsynsmyndighederne træffer i forhold til tredjelande og internationale organisationer de nødvendige foranstaltninger til at:

KAPITEL VI

Uafhængige tilsynsmyndigheder

Afdeling 1

Uafhængig status

Artikel 41

Tilsynsmyndighed

1. Hver medlemsstat fastsætter bestemmelser om, at en eller flere uafhængige offentlige myndigheder skal være ansvarlige for at føre tilsyn med anvendelsen af dette direktiv, for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveksling af personoplysninger i Unionen (»tilsynsmyndighed«).

2. Hver enkelt tilsynsmyndighed bidrager til den ensartede anvendelse af dette direktiv i hele Unionen. Til dette formål samarbejder tilsynsmyndighederne med hinanden og med Kommissionen i henhold til kapitel VII.

3. Medlemsstaterne kan fastsætte bestemmelser om, at en tilsynsmyndighed, der er oprettet ved forordning (EU) 2016/679, skal være den tilsynsmyndighed, der er omhandlet i dette direktiv, og skal overdrages ansvaret for de opgaver, som skal udføres af den tilsynsmyndighed, der skal oprettes i medfør af denne artikels stk. 1.

4. Hvis der er mere end én tilsynsmyndighed i en medlemsstat, udpeger den pågældende medlemsstat en tilsynsmyndighed, der skal repræsentere disse myndigheder i det i artikel 51 omhandlede databeskyttelsesråd.

Artikel 42

Uafhængighed

1. Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed skal udføre sine opgaver og udøve sine beføjelser i henhold til dette direktiv i fuld uafhængighed.

2. Medlemsstaterne fastsætter bestemmelser om, at medlemmet eller medlemmerne af deres tilsynsmyndigheder i forbindelse med udførelsen af deres opgaver og udøvelsen af deres beføjelser i henhold til dette direktiv skal være frie for udefrakommende indflydelse, det være sig direkte eller indirekte, og at de hverken søger eller modtager instrukser fra andre.

3. Medlemmer af medlemsstaternes tilsynsmyndigheder skal afholde sig fra enhver handling, der er uforenelig med deres hverv, og må ikke, så længe deres embedsperiode varer, udøve uforenelig lønnet eller ulønnet virksomhed.

4. Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed råder over de nødvendige menneskelige, tekniske og finansielle ressourcer samt lokaler og infrastruktur til effektivt at kunne udføre sine opgaver og udøve sine beføjelser, herunder opgaver og beføjelser vedrørende gensidig bistand samt samarbejde med og deltagelse i Databeskyttelsesrådet.

5. Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed vælger og råder over sit eget personale, der alene er under ledelse af medlemmet eller medlemmerne af den pågældende tilsynsmyndighed.

6. Hver medlemsstat sikrer, at den enkelte tilsynsmyndighed er underlagt finansiel kontrol, som ikke påvirker dens uafhængighed, og at den fører særskilte, offentlige årsbudgetter, der kan være en del af det samlede statsbudget eller nationale budget.

Artikel 43

Generelle betingelser for medlemmer af en tilsynsmyndighed

1. Medlemsstaterne fastsætter bestemmelser om, at hvert medlem af deres tilsynsmyndigheder skal udnævnes efter en gennemsigtig procedure af:

2. Hvert medlem skal have de kvalifikationer, den erfaring og den kompetence, navnlig på området beskyttelse af personoplysninger, der er nødvendig for at varetage dets hverv og udøve dets beføjelser.

3. Et medlems hverv ophører ved udløbet af embedsperioden, ved frivillig fratrædelse eller ved obligatorisk fratrædelse i henhold til den pågældende medlemsstats nationale ret.

4. Et medlem må kun afskediges i tilfælde af alvorligt embedsmisbrug, eller hvis medlemmet ikke længere opfylder betingelserne for at varetage sit hverv.

Artikel 44

Regler om oprettelse af en tilsynsmyndighed

1. Hver medlemsstat fastsætter ved lov bestemmelse om alle af følgende:

2. Den enkelte tilsynsmyndigheds medlem eller medlemmer og personale har i overensstemmelse med EU-retten eller medlemsstaternes nationale ret såvel under som efter deres embedsperiode tavshedspligt for så vidt angår alle fortrolige oplysninger, der er kommet til deres kendskab under udførelsen af deres opgaver eller udøvelsen af deres beføjelser. I deres embedsperiode gælder denne tavshedspligt især indberetninger fra fysiske personer af overtrædelser af dette direktiv.

Afdeling 2

Kompetence, opgaver og beføjelser

Artikel 45

Kompetence

1. Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed skal have kompetence til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med dette direktiv, på dens egen medlemsstats område.

2. Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed ikke skal have kompetence til at føre tilsyn med domstolenes behandlingsaktiviteter, når de handler i deres egenskab af domstol. Medlemsstaterne kan fastsætte bestemmelser om, at deres tilsynsmyndighed ikke skal have kompetence til at føre tilsyn med andre uafhængige judicielle myndigheders behandlingsaktiviteter, når de udfører deres judicielle opgaver.

Artikel 46

Opgaver

1. Hver medlemsstat fastsætter for sit område bestemmelser om, at den enkelte tilsynsmyndighed skal:

2. Hver tilsynsmyndighed letter indgivelsen af klager, jf. stk. 1, litra f), gennem foranstaltninger som f.eks. en klageformular, der også kan udfyldes elektronisk, uden at udelukke andre kommunikationsmidler.

3. Hver tilsynsmyndighed varetager sine opgaver uden udgifter for den registrerede og for databeskyttelsesrådgiveren.

4. Hvis en anmodning er åbenbart grundløs eller uforholdsmæssig, især fordi den gentages, kan tilsynsmyndigheden opkræve et rimeligt gebyr baseret på dens administrative omkostninger eller afvise at efterkomme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller uforholdsmæssig, påhviler tilsynsmyndigheden.

Artikel 47

Beføjelser

1. Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have effektive undersøgelsesbeføjelser. Disse beføjelser skal som minimum indeholde beføjelse til af den dataansvarlige eller databehandleren at få indsigt i alle de personoplysninger, der er under behandling, og alle oplysninger, der kræves til udførelse af myndighedens opgaver.

2. Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have effektive korrigerende beføjelser såsom f.eks.:

3. Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have effektive rådgivningsbeføjelser til at rådgive den dataansvarlige efter den procedure for forudgående høring, der er omhandlet i artikel 28, og på eget initiativ eller efter anmodning at afgive udtalelser til dens nationale parlament og dens regering eller i henhold til sin nationale ret til andre institutioner og organer samt offentligheden om ethvert spørgsmål om beskyttelse af personoplysninger.

4. Udøvelsen af de beføjelser, der tillægges tilsynsmyndigheden i medfør af denne artikel, er underlagt de fornødne garantier, herunder effektive retsmidler og retfærdig procedure, som fastsat i EU-retten og medlemsstaternes nationale ret i overensstemmelse med chartret.

5. Hver medlemsstat fastsætter ved lov bestemmelser om, at den enkelte tilsynsmyndighed skal have beføjelse til at indbringe overtrædelser af de bestemmelser, der vedtages i henhold til dette direktiv, for de judicielle myndigheder og om nødvendigt at indlede eller på anden måde deltage i retssager med henblik på at håndhæve de bestemmelser, der vedtages i henhold til dette direktiv.

Artikel 48

Indberetning af overtrædelser

Medlemsstaterne fastsætter bestemmelser om, at de kompetente myndigheder skal indføre effektive mekanismer, som tilskynder til fortrolig indberetning af overtrædelser af dette direktiv.

Artikel 49

Aktivitetsrapport

Hver tilsynsmyndighed udarbejder en årlig rapport om sin virksomhed, eventuelt med en liste over, hvilke typer overtrædelser der er blevet anmeldt, og hvilke typer sanktioner der er blevet pålagt. Disse rapporter fremsendes til det nationale parlament, regeringen og andre myndigheder, der er udpeget i henhold til medlemsstaternes nationale ret. De gøres tilgængelige for offentligheden, Kommissionen og Databeskyttelsesrådet.

KAPITEL VII

Samarbejde

Artikel 50

Gensidig bistand

1. Hver medlemsstat fastsætter bestemmelser om, at deres tilsynsmyndigheder skal udveksle relevante oplysninger og yde hinanden gensidig bistand med henblik på at gennemføre og anvende dette direktiv på en ensartet måde, og træffe foranstaltninger med henblik på et effektivt samarbejde med hinanden. Gensidig bistand omfatter navnlig anmodninger om oplysninger og tilsynsforanstaltninger som f.eks. anmodninger om gennemførelse af høringer, inspektioner og undersøgelser.

2. Hver medlemsstat fastsætter bestemmelser om, at den enkelte tilsynsmyndighed skal træffe alle passende foranstaltninger, som er nødvendige for at besvare en anmodning fra en anden tilsynsmyndighed uden unødig forsinkelse og senest en måned efter modtagelsen af anmodningen. Sådanne foranstaltninger kan bl.a. omfatte videregivelse af relevante oplysninger om gennemførelsen af en undersøgelse.

3. Anmodninger om bistand skal indeholde alle nødvendige oplysninger, herunder formålet med og grunden til anmodningen. Udvekslede oplysninger må kun anvendes til det formål, som er angivet i anmodningen.

4. Den anmodede tilsynsmyndighed må ikke afvise at imødekomme anmodningen, medmindre:

5. Den anmodede tilsynsmyndighed underretter den anmodende tilsynsmyndighed om resultaterne eller efter omstændighederne om fremskridtene med de foranstaltninger, der er truffet for at imødekomme anmodningen. Den anmodede tilsynsmyndighed begrunder enhver afvisning af at imødekomme en anmodning i henhold til stk. 4.

6. Anmodede tilsynsmyndigheder fremsender som hovedregel de oplysninger, som andre tilsynsmyndigheder anmoder om, elektronisk i et standardformat.

7. Anmodede tilsynsmyndigheder må ikke opkræve gebyr for foranstaltninger, der træffes af dem på grundlag af en anmodning om gensidig bistand. Tilsynsmyndighederne kan vedtage regler om at godtgøre hinanden for specifikke udgifter, der opstår under ekstraordinære omstændigheder, når der ydes gensidig bistand.

8. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge format og procedurer for gensidig bistand som omhandlet i denne artikel og ordninger for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder og mellem tilsynsmyndigheder og Databeskyttelsesrådet. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 58, stk. 2.

Artikel 51

Databeskyttelsesrådets opgaver

1. Databeskyttelsesrådet, der er oprettet ved forordning (EU) 2016/679, udøver alle af følgende opgaver i forbindelse med behandling af personoplysninger inden for dette direktivs anvendelsesområde:

For så vidt angår første afsnit, litra g), forelægger Kommissionen Databeskyttelsesrådet al nødvendig dokumentation for, herunder korrespondance med regeringen i tredjelandet, med området eller den specifikke sektor i tredjelandet, eller med den internationale organisation.

2. Hvis Kommissionen anmoder Databeskyttelsesrådet om rådgivning, kan den fastsætte en frist under hensyntagen til, hvor meget den pågældende sag haster.

3. Databeskyttelsesrådet fremsender sine udtalelser, retningslinjer, henstillinger og bedste praksis til Kommissionen og det udvalg, der er omhandlet i artikel 58, stk. 1, og offentliggør dem.

4. Kommissionen underretter Databeskyttelsesrådet om sin opfølgning på udtalelser, retningslinjer, henstillinger og bedste praksis udarbejdet af Databeskyttelsesrådet.

KAPITEL VIII

Retsmidler, ansvar og sanktioner

Artikel 52

Ret til at indgive klage til en tilsynsmyndighed

1. Uden at det berører andre administrative klageadgange eller adgang til retsmidler, fastsætter medlemsstaterne bestemmelser om, at enhver registreret skal have ret til at indgive klage til en enkelt tilsynsmyndighed, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder de bestemmelser, der vedtages i henhold til dette direktiv.

2. Medlemsstaterne fastsætter bestemmelser om, at den tilsynsmyndighed, som klagen er indgivet til, uden unødig forsinkelse skal videresende den til den kompetente tilsynsmyndighed, hvis klagen ikke er indgivet til den tilsynsmyndighed, der er kompetent i henhold til artikel 45, stk. 1. Den registrerede underrettes om videresendelsen.

3. Medlemsstaterne fastsætter bestemmelser om, at den tilsynsmyndighed, som klagen er indgivet til, skal yde supplerende bistand efter den registreredes anmodning.

4. Den kompetente tilsynsmyndighed underretter den registrerede om forløbet og resultatet af klagen, herunder om muligheden for anvendelse af retsmidler, jf. artikel 53.

Artikel 53

Adgang til effektive retsmidler over for en tilsynsmyndighed

1. Uden at det berører andre administrative eller udenretslige klageadgange, fastsætter medlemsstaterne bestemmelser om, at enhver fysisk eller juridisk person har ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende.

2. Uden at det berører andre administrative eller udenretslige klageadgange, har den enkelte registrerede adgang til effektive retsmidler, hvis den tilsynsmyndighed, der er kompetent i henhold til artikel 45, stk. 1, ikke behandler en klage eller undlader at underrette den registrerede om forløbet eller resultatet af en klage, der er indgivet i henhold til artikel 52, inden for tre måneder.

3. Medlemsstaterne fastsætter bestemmelser om, at en sag mod en tilsynsmyndighed skal anlægges ved en domstol i den medlemsstat, hvor tilsynsmyndigheden er etableret.

Artikel 54

Adgang til et effektivt retsmiddel over for en dataansvarlig eller databehandler

Uden at det berører andre tilgængelige administrative eller udenretslige klageadgange, herunder retten til at indgive klage til en tilsynsmyndighed i henhold til artikel 52, fastsætter medlemsstaterne bestemmelser om, at en registreret skal have adgang til effektive retsmidler, hvis vedkommende finder, at vedkommendes rettigheder fastsat i bestemmelser, der er vedtaget i henhold til dette direktiv, er blevet krænket som følge af behandling af vedkommendes personoplysninger i strid med dette direktiv.

Artikel 55

Repræsentation af registrerede

Medlemsstaterne fastsætter i overensstemmelse med medlemsstaternes nationale retsplejeregler bestemmelser om, at den registrerede skal have ret til at bemyndige et organ, en organisation eller en sammenslutning, der er etableret i overensstemmelse med medlemsstaternes nationale ret, som ikke arbejder med gevinst for øje, hvis vedtægtsmæssige formål er af almen interesse, og som er aktiv på området for beskyttelse af registreredes rettigheder og frihedsrettigheder med hensyn til beskyttelse af deres perso?no?ply?sninger, til at indgive en klage på sine vegne og til at udøve de rettigheder, der er omhandlet i artikel 52, 53 og 54, på sine vegne.

Artikel 56

Ret til erstatning

Medlemsstaterne fastsætter bestemmelser om, at enhver person, som har lidt materiel eller immateriel skade som følge af en ulovlig behandlingsaktivitet eller enhver anden handling, der overtræder de nationale bestemmelser, der vedtages i henhold til dette direktiv, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller en anden myndighed, der er kompetent i henhold til medlemsstaternes nationale ret.

Artikel 57

Sanktioner

Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de bestemmelser, der vedtages i henhold til dette direktiv, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

KAPITEL IX

Gennemførelsesretsakter

Artikel 58

Udvalgsprocedure

1. Kommissionen bistås af udvalget nedsat ved artikel 93 i forordning (EU) 2016/679. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2. Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.

3. Når der henvises til dette stykke, finder artikel 8 i forordning (EU) nr. 182/2011 sammenholdt med dennes artikel 5 anvendelse.

KAPITEL X

Afsluttende bestemmelser

Artikel 59

Ophævelse af rammeafgørelse 2008/977/RIA

1. Rammeafgørelse 2008/977/RIA ophæves med virkning fra den 6. maj 2018.

2. Henvisninger til den ophævede afgørelse, jf. stk. 1, gælder som henvisninger til dette direktiv.

Artikel 60

EU-retsakter, der allerede er i kraft

De særlige bestemmelser til beskyttelse af personoplysninger i EU-retsakter, der den eller inden den 6. maj 2016 er trådt i kraft på området for retligt samarbejde i straffesager og politisamarbejde, og som regulerer behandling mellem medlemsstaterne og medlemsstaternes udpegede myndigheders adgang til informationssystemer, der er oprettet i henhold til traktaterne inden for dette direktivs anvendelsesområde, berøres ikke.

Artikel 61

Forhold til tidligere indgåede internationale aftaler på området for retligt samarbejde i straffesager og politisamarbejde

Internationale aftaler, der omfatter overførsel af personoplysninger til tredjelande eller internationale organisationer, som er indgået af medlemsstaterne inden den 6. maj 2016, og som overholder den EU-ret, der finder anvendelse inden denne dato, forbliver i kraft, indtil de ændres, erstattes eller ophæves.

Artikel 62

Kommissionsrapporter

1. Senest den 6. maj 2022 og hvert fjerde år derefter forelægger Kommissionen Europa-Parlamentet og Rådet en rapport om evaluering og revision af dette direktiv. Rapporterne skal offentliggøres.

2. I forbindelse med de i stk. 1 omhandlede evalueringer og revisioner undersøger Kommissionen navnlig, hvordan kapitel V om overførsel af personoplysninger til tredjelande eller internationale organisationer anvendes og fungerer, særlig med hensyn til afgørelser vedtaget i henhold til artikel 36, stk. 3, og artikel 39.

3. Kommissionen kan med henblik på stk. 1 og 2 anmode om oplysninger fra medlemsstaterne og tilsynsmyndighederne.

4. Når Kommissionen foretager evaluering og revision, jf. stk. 1 og 2, tager den hensyn til holdninger og resultater fra Europa-Parlamentet, fra Rådet og fra andre relevante organer eller kilder.

5. Kommissionen forelægger om nødvendigt relevante forslag med henblik på ændring af dette direktiv, navnlig under hensyntagen til udviklingen inden for informationsteknologi og i lyset af fremskridtene i informationssamfundet.

6. Senest den 6. maj 2019 gennemgår Kommissionen andre vedtagne EU-retsakter, som regulerer de kompetente myndigheders behandling med henblik på artikel 1, stk. 1, herunder dem, der er omhandlet i artikel 60, for at vurdere behovet for at tilpasse dem til dette direktiv og, hvis det er hensigtsmæssigt, at fremsætte de forslag til ændring af disse retsakter, der måtte være nødvendige for at sikre en konsekvent tilgang til beskyttelse af personoplysninger inden for dette direktivs anvendelsesområde.

Artikel 63

Gennemførelse

1. Medlemsstaterne vedtager og offentliggør senest den 6. maj 2018 de love og administrative bestemmelser, der er nødvendige for at efterkomme dette direktiv. De meddeler straks Kommissionen teksten til disse love og bestemmelser. De anvender disse love og bestemmelser fra den 6. maj 2018.

Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. Medlemsstaterne fastsætter de nærmere regler for henvisningen.

2. Uanset stk. 1 kan en medlemsstat i ekstraordinære tilfælde, og hvis det er uforholdsmæssigt vanskeligt, fastsætte bestemmelser om, at automatiske behandlingssystemer, der er indført før den 6. maj 2016, skal bringes i overensstemmelse med artikel 25, stk. 1, senest den 6. maj 2023.

3. Uanset denne artikels stk. 1 og 2 kan en medlemsstat under ekstraordinære omstændigheder bringe et automatisk behandlingssystem som omhandlet i denne artikels stk. 2 i overensstemmelse med artikel 25, stk. 1, inden for en nærmere angivet periode efter den periode, der er omhandlet i nærværende artikels stk. 2, hvis det i modsat fald ville forårsage alvorlige vanskeligheder for driften af det pågældende automatiske behandlingssystem. Den pågældende medlemsstat meddeler Kommissionen årsagerne til disse alvorlige vanskeligheder og årsagerne til den angivne periode, inden for hvilken den bringer det pågældende automatiske behandlingssystem i overensstemmelse med artikel 25, stk. 1. Den angivne periode må under ingen omstændigheder være senere end den 6. maj 2026.

4. Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.

Artikel 64

Ikrafttræden

Dette direktiv træder i kraft dagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Artikel 65

Adressater

Dette direktiv er rettet til medlemsstaterne.

Udfærdiget i Bruxelles, den 27. april 2016.

På Europa-Parlamentets vegne

M. SCHULZ

Formand

På Rådets vegne

J. A. HENNIS-PLASSCHAERT

Formand

(1) EUT C 391 af 18.12.2012, s. 127.

(2) Europa-Parlamentets holdning af 12.3.2014 (endnu ikke offentliggjort i EUT) og Rådets førstebehandlingsholdning af 8.4.2016 (endnu ikke offentliggjort i EUT). Europa-Parlamentets holdning af 14.4.2016.

(3) Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31).

(4) Rådets rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (EUT L 350 af 30.12.2008, s. 60).

(5) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (se side 1 i denne EUT).

(6) Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).

(7) Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).

(8) Rådets fælles holdning 2005/69/RIA af 24. januar 2005 om udveksling af bestemte oplysninger med Interpol (EUT L 27 af 29.1.2005, s. 61).

(9) Rådets afgørelse 2007/533/RIA af 12. juni 2007 om oprettelse, drift og brug af anden generation af Schengen-informationssystemet (SIS II) (EUT L 205 af 7.8.2007, s. 63).

(10) Rådets direktiv 77/249/EØF af 22. marts 1977 om lettelser med henblik på den faktiske gennemførelse af advokaters fri udveksling af tjenesteydelser (EFT L 78 af 26.3.1977, s. 17).

(11) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

(12) Rådets afgørelse 2008/615/RIA af 23. juni 2008 om intensivering af det grænseoverskridende samarbejde, navnlig om bekæmpelse af terrorisme og grænseoverskridende kriminalitet (EUT L 210 af 6.8.2008, s. 1).

(13) Rådets retsakt af 29. maj 2000 om udarbejdelse i henhold til artikel 34 i traktaten om Den Europæiske Union af konventionen om gensidig retshjælp i straffesager mellem Den Europæiske Unions medlemsstater (EFT C 197 af 12.7.2000, s. 1).

(14) Europa-Parlamentets og Rådets direktiv 2011/93/EU af 13. december 2011 om bekæmpelse af seksuelt misbrug og seksuel udnyttelse af børn og børnepornografi og om erstatning af Rådets rammeafgørelse 2004/68/RIA (EUT L 335 af 17.12.2011, s. 1).

(15) EFT L 176 af 10.7.1999, s. 36.

(16) EUT L 53 af 27.2.2008, s. 52.

(17) EUT L 160 af 18.6.2011, s. 21.

(18) EUT C 192 af 30.6.2012, s. 7.