***I BETÆNKNING. DA Forenet i mangfoldighed DA. Europa-Parlamentet A8-0313/

Transkript

1 Europa-Parlamentet Mødedokument A8-0313/ ***I BETÆNKNING om forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (COM(2017)0008 C8-0008/ /0002(COD)) Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender Ordfører: Cornelia Ernst RR\ docx PE v02-00 Forenet i mangfoldighed

2 PR_COD_1amCom Tegnforklaring * Høringsprocedure *** Godkendelsesprocedure ***I Almindelig lovgivningsprocedure (førstebehandling) ***II Almindelig lovgivningsprocedure (andenbehandling) ***III Almindelig lovgivningsprocedure (tredjebehandling) (Proceduren afhænger af, hvilket retsgrundlag der er valgt i udkastet til retsakt) til et udkast til retsakt fra Parlamentet opstillet i to kolonner Tekst, der udgår, er markeret med fede typer og kursiv i venstre kolonne. Tekst, der udskiftes, er markeret med fede typer og kursiv i begge kolonner. Ny tekst er markeret med fede typer og kursiv i højre kolonne. Den første og den anden linje i informationsblokken til hvert ændringsforslag angiver den relevante passage i det pågældende udkast til retsakt. Hvis et ændringsforslag angår en eksisterende retsakt, som udkastet til retsakt har til formål at ændre, indeholder overskriften til ændringsforslaget tillige en tredje og en fjerde linje, hvori det henholdsvis er anført, hvilken eksisterende retsakt og hvilken bestemmelse heri, som Parlamentet ønsker at ændre. fra Parlamentet i form af en konsolideret tekst Ny tekst er markeret med fede typer og kursiv. Tekst, som er bortfaldet, markeres med symbolet eller med overstregning. Ved udskiftninger markeres den nye tekst med fede typer og kursiv, og den udskiftede tekst slettes eller overstreges. Som en undtagelse bliver rent tekniske justeringer, der er foretaget af de berørte tjenestegrene med henblik på udarbejdelsen af den endelige tekst, ikke markeret. PE v /111 RR\ docx

3 INDHOLD Side FORSLAG TIL EUROPA-PARLAMENTETS LOVGIVNINGSMÆSSIGE BESLUTNING 5 BEGRUNDELSE UDTALELSE FRA RETSUDVALGET PROCEDURE I KORRESPONDERENDE UDVALG ENDELIG AFSTEMNING VED NAVNEOPRÅB I KORRESPONDERENDE UDVALG RR\ docx 3/111 PE v02-00

4 PE v /111 RR\ docx

5 FORSLAG TIL EUROPA-PARLAMENTETS LOVGIVNINGSMÆSSIGE BESLUTNING om forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (COM(2017)0008 C8-0008/ /0002(COD)) (Almindelig lovgivningsprocedure: førstebehandling) Europa-Parlamentet, der henviser til til Europa-Parlamentet og Rådet (COM(2017)0008), der henviser til artikel 294, stk. 2, og artikel 16, stk. 2, i traktaten om Den Europæiske Unions funktionsmåde, på grundlag af hvilke Kommissionen har forelagt forslaget for Parlamentet (C8-0008/2017), der henviser til artikel 294, stk. 3, i traktaten om Den Europæiske Unions funktionsmåde, der henviser til bidragene fra det tjekkiske deputeretkammer, det spanske parlament og det portugisiske parlament om udkastet til lovgivningsmæssig retsakt, der henviser til forretningsordenens artikel 59, der henviser til betænkning fra Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender og udtalelse fra Retsudvalget (A8-0313/2017), 1. vedtager nedenstående holdning ved førstebehandling; 2. anmoder om fornyet forelæggelse, hvis Kommissionen erstatter, i væsentlig grad ændrer eller agter i væsentlig grad at ændre sit forslag; 3. pålægger sin formand at sende Parlamentets holdning til Rådet og Kommissionen samt til de nationale parlamenter. 1 Betragtning 1 (1) Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende (1) Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende RR\ docx 5/111 PE v02-00

6 rettighed. I henhold til artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder ("chartret") og artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde (TEUF) har enhver ret til beskyttelse af personoplysninger, der vedrører den pågældende. rettighed. I henhold til artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder ("chartret") og artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde (TEUF) har enhver ret til beskyttelse af personoplysninger, der vedrører den pågældende. Denne ret sikres også i artikel 8 i den europæiske menneskerettighedskonvention. 2 Betragtning 5 (5) Af hensyn til en sammenhængende tilgang til beskyttelse af personoplysninger i hele Unionen og fri udveksling af personoplysninger i Unionen bør databeskyttelsesreglerne for Unionens institutioner, organer, kontorer og agenturer så vidt muligt tilpasses til de databeskyttelsesregler, der er vedtaget for medlemsstaterne. Når bestemmelserne i nærværende forordning bygger på det samme koncept som bestemmelserne i forordning (EU) 2016/679, bør disse to bestemmelser fortolkes ensartet, navnlig fordi ordningen i nærværende forordning skal betragtes som en pendant til ordningen i forordning (EU) 2016/679. (5) Af hensyn til en sammenhængende tilgang til beskyttelse af personoplysninger i hele Unionen og fri udveksling af personoplysninger i Unionen bør databeskyttelsesreglerne for Unionens institutioner, organer, kontorer og agenturer tilpasses til de databeskyttelsesregler, der er vedtaget for medlemsstaterne. Når bestemmelserne i nærværende forordning bygger på det samme koncept som bestemmelserne i forordning (EU) 2016/679, bør disse to bestemmelser i overensstemmelse med EU-Domstolens retspraksis 1a fortolkes ensartet, navnlig fordi ordningen i nærværende forordning skal betragtes som en pendant til ordningen i forordning (EU) 2016/679. 1a Jf. Domstolens dom af 9. marts 2010, Kommissionen mod Tyskland, C-518/07, ECLI:EU:C:2010:125, præmis 26 og Betragtning 7 a (ny) PE v /111 RR\ docx

7 7a) Den retlige ramme for databeskyttelse ved databehandling i forbindelse med EU-institutionernes og - organernes aktiviteter på områderne frihed, sikkerhed og retfærdighed og den fælles udenrigs- og sikkerhedspolitik, er stadig fragmenteret og skaber retlig usikkerhed. Denne forordning bør derfor fastsætte harmoniserede regler for beskyttelse og fri udveksling af personoplysninger, som behandles af EUinstitutioner og -organer, der udfører aktiviteter, som falder inden for rammerne af tredje del, afsnit V, kapitel 4 og 5, i TEUF og kapitel 2 i afsnit V i TEU. 4 Betragtning 8 (8) I erklæring nr. 21 om beskyttelse af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde, der er knyttet som bilag til slutakten fra den regeringskonference, der vedtog Lissabontraktaten, erkendte konferencen, at det kan blive nødvendigt med specifikke regler om beskyttelse af personoplysninger og om fri udveksling af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde baseret på artikel 16 i TEUF som følge af disse områders specifikke karakter. Denne forordning bør derfor kun finde anvendelse på EUagenturer, der udfører aktiviteter inden for retligt samarbejde i straffesager og politisamarbejde, i det omfang den EUret, der finder anvendelse på sådanne agenturer, ikke indeholder særlige regler om behandling af personoplysninger. (8) I erklæring nr. 21 om beskyttelse af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde, der er knyttet som bilag til slutakten fra den regeringskonference, der vedtog Lissabontraktaten, erkendte konferencen, at det kan blive nødvendigt med specifikke regler om beskyttelse af personoplysninger og om fri udveksling af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde baseret på artikel 16 i TEUF som følge af disse områders specifikke karakter. Den fælles udenrigsog sikkerhedspolitik har endvidere en særlig karakter og specifikke bestemmelser om beskyttelse af personoplysninger, og det kan vise sig at være nødvendigt at sikre fri udveksling af personoplysninger på dette område også. Det er derfor hensigtsmæssigt at regulere behandlingen af operationelle RR\ docx 7/111 PE v02-00

8 personoplysninger i EU-agenturer, der er oprettet på grundlag af tredje del, afsnit V, kapitel 4 og 5, i TEUF, og i forbindelse med missioner omhandlet i artikel 42, stk. 1, og artiklerne 43 og 44 i TEU, ved at fastsætte specifikke bestemmelser, der afviger fra en række generelle regler, der er fastsat i denne forordning. 5 Betragtning 14 (14) Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved denne accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der i denne forbindelse tydeligt tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til. (14) Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved denne accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der i denne forbindelse tydeligt tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til. Samtidig bør den registrerede til enhver tid kunne trække samtykket tilbage, uden at dette berører lovligheden af den behandling, der er baseret på samtykke inden PE v /111 RR\ docx

9 tilbagetrækning heraf. 6 Betragtning 15 (15) Enhver behandling af personoplysninger bør være lovlig og rimelig. Det bør være gennemsigtigt for de pågældende fysiske personer, at personoplysninger, der vedrører dem, indsamles, anvendes, tilgås eller på anden vis behandles, og i hvilket omfang personoplysningerne behandles eller vil blive behandlet. Princippet om gennemsigtighed tilsiger, at enhver information og kommunikation vedrørende behandling af disse personoplysninger er lettilgængelig og letforståelig, og at der benyttes et klart og enkelt sprog. Dette princip vedrører navnlig oplysningen til de registrerede om den dataansvarliges identitet og formålene med den pågældende behandling samt yderligere oplysninger for at sikre en rimelig og gennemsigtig behandling for de berørte fysiske personer og deres ret til at få bekræftelse og meddelelse om de personoplysninger vedrørende dem, der behandles. Fysiske personer bør gøres bekendt med risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger og med, hvordan de skal udøve deres rettigheder i forbindelse med en sådan behandling. Især bør de specifikke formål med behandlingen af personoplysninger være udtrykkelige og legitime og fastlagt, når personoplysningerne indsamles. Personoplysningerne bør være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålene med deres behandling. Dette kræver navnlig, at det sikres, at perioden for opbevaring af personoplysningerne (15) Enhver behandling af personoplysninger bør være lovlig og rimelig og have klare og veldefinerede formål. Det bør være gennemsigtigt for de pågældende fysiske personer, at personoplysninger, der vedrører dem, indsamles, anvendes, tilgås eller på anden vis behandles, og i hvilket omfang personoplysningerne behandles eller vil blive behandlet. Princippet om gennemsigtighed tilsiger, at enhver information og kommunikation vedrørende behandling af disse personoplysninger er lettilgængelig og letforståelig, og at der benyttes et klart og enkelt sprog. Dette princip vedrører navnlig oplysningen til de registrerede om den dataansvarliges identitet og formålene med den pågældende behandling samt yderligere oplysninger for at sikre en rimelig og gennemsigtig behandling for de berørte fysiske personer og deres ret til at få bekræftelse og meddelelse om de personoplysninger vedrørende dem, der behandles. Fysiske personer bør gøres bekendt med risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger og med, hvordan de skal udøve deres rettigheder i forbindelse med en sådan behandling. Især bør de specifikke formål med behandlingen af personoplysninger være udtrykkelige og legitime og fastlagt, når personoplysningerne indsamles. Personoplysningerne bør være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålene med deres behandling. Dette kræver navnlig, at det sikres, at perioden RR\ docx 9/111 PE v02-00

10 ikke er længere end strengt nødvendigt. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde. For at sikre, at personoplysninger ikke opbevares i længere tid end nødvendigt, bør den dataansvarlige indføre tidsfrister for sletning eller periodisk gennemgang. Der bør træffes enhver rimelig foranstaltning for at sikre, at personoplysninger, som er urigtige, berigtiges eller slettes. Personoplysninger bør behandles på en måde, der garanterer tilstrækkelig sikkerhed og fortrolighed, herunder for at hindre uautoriseret adgang til eller anvendelse af personoplysninger eller af det udstyr, der anvendes til behandlingen. for opbevaring af personoplysningerne ikke er længere end strengt nødvendigt. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde. For at sikre, at personoplysninger ikke opbevares i længere tid end nødvendigt, bør den dataansvarlige indføre tidsfrister for sletning eller periodisk gennemgang. Der bør træffes enhver rimelig foranstaltning for at sikre, at personoplysninger, som er urigtige, berigtiges eller slettes. Personoplysninger bør behandles på en måde, der garanterer tilstrækkelig sikkerhed og fortrolighed, herunder for at hindre uautoriseret adgang til, offentliggørelse under fremsendelsen af eller anvendelse af personoplysninger eller af det udstyr, der anvendes til behandlingen. 7 Betragtning 18 (18) EU-retten, herunder de interne regler som omhandlet i denne forordning, bør være klar og præcis, og dens anvendelse bør være forudsigelig for personer, der er omfattet af den, jf. Den Europæiske Unions Domstols og Den Europæiske Menneskerettighedsdomstols retspraksis. (18) EU-retten som omhandlet i denne forordning, bør være klar og præcis, og dens anvendelse bør være forudsigelig for personer, der er omfattet af den, jf. kravene i chartret og i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder. 8 Betragtning 20 (20) Hvis behandling er baseret på den registreredes samtykke, bør den dataansvarlige kunne påvise, at den (20) Hvis behandling er baseret på den registreredes samtykke, bør den dataansvarlige kunne påvise, at den PE v /111 RR\ docx

11 registrerede har givet samtykke til behandlingen. Navnlig i forbindelse med skriftlige erklæringer om andre forhold bør garantier sikre, at den registrerede er bekendt med, at og i hvilket omfang der er givet samtykke. I overensstemmelse med Rådets direktiv 93/13/EØF 14 bør der stilles en samtykkeerklæring, som er udformet af den dataansvarlige, til rådighed i en letforståelig og lettilgængelig form og i et klart og enkelt sprog, og den bør ikke indeholde urimelige vilkår. For at sikre, at samtykket er informeret, bør den registrerede som minimum være bekendt med den dataansvarliges identitet og formålene med den behandling, som personoplysningerne skal bruges til. Samtykke bør ikke anses for at være givet frivilligt, hvis den registrerede ikke har et reelt eller frit valg eller ikke kan afvise eller trække sit samtykke tilbage, uden at det er til skade for den pågældende. 14 Rådets direktiv 93/13/EØF af 5. april 1993 om urimelige kontraktvilkår i forbrugeraftaler (EFT L 95 af , s. 29). registrerede har givet samtykke til behandlingen. Navnlig i forbindelse med skriftlige erklæringer om andre forhold bør garantier sikre, at den registrerede er bekendt med, at og i hvilket omfang der er givet samtykke. I overensstemmelse med Rådets direktiv 93/13/EØF 14 bør der stilles en samtykkeerklæring, som er udformet af den dataansvarlige, til rådighed i en letforståelig og lettilgængelig form og i et klart og enkelt sprog, og den bør ikke indeholde urimelige vilkår. For at sikre, at samtykket er informeret, bør den registrerede som minimum være bekendt med den dataansvarliges identitet, formålene med den behandling, som personoplysningerne skal bruges til, og kategorierne af modtagere af oplysningerne og være informeret om retten til adgang og intervention for så vidt angår oplysningerne. Samtykke bør ikke anses for at være givet frivilligt, hvis den registrerede ikke har et reelt eller frit valg eller ikke kan afvise eller trække sit samtykke tilbage, uden at det er til skade for den pågældende. 14 Rådets direktiv 93/13/EØF af 5. april 1993 om urimelige kontraktvilkår i forbrugeraftaler (EFT L 95 af , s. 29). 9 Betragtning 22 (22) Når modtagere, der er etableret i Unionen og underlagt forordning (EU) 2016/679 eller direktiv (EU) 2016/680, ønsker at få fremsendt personoplysninger til dem fra Unionens institutioner og organer, bør disse modtagere påvise, at fremsendelsen er nødvendig for at nå deres mål, står i rimeligt forhold til og ikke går (22) Når modtagere, der er etableret i Unionen og underlagt forordning (EU) 2016/679 eller direktiv (EU) 2016/680, ønsker at få fremsendt personoplysninger til dem fra Unionens institutioner og organer, bør disse modtagere forelægge en velbegrundet fremsendelsesforespørgsel for den dataansvarlige, der bør danne RR\ docx 11/111 PE v02-00

12 ud over, hvad der er nødvendigt for at nå dette mål. Unionens institutioner og organer bør i overensstemmelse med princippet om gennemsigtighed godtgøre, at dette er nødvendigt, når de selv indleder fremsendelsen. grundlag for den dataansvarliges bedømmelse af, om fremsendelsen er nødvendig for at nå deres mål, står i rimeligt forhold til og ikke går ud over, hvad der er nødvendigt for at nå dette mål. Unionens institutioner og organer bør i overensstemmelse med princippet om gennemsigtighed godtgøre, at dette er nødvendigt, når de selv indleder fremsendelsen. 10 Betragtning 23 (23) Personoplysninger, der i kraft af deres karakter er særligt følsomme i forhold til grundlæggende rettigheder og frihedsrettigheder, bør nyde specifik beskyttelse, da den sammenhæng, som behandlingen af dem indgår i, kunne indebære betydelige risici for grundlæggende rettigheder og frihedsrettigheder. Disse personoplysninger bør omfatte personoplysninger om race eller etnisk oprindelse, idet anvendelsen af udtrykket "race" i denne forordning ikke betyder, at Unionen accepterer teorier, der søger at fastslå, at der findes forskellige menneskeracer. Behandling af fotografier bør ikke systematisk anses for at være behandling af særlige kategorier af personoplysninger, eftersom de kun vil være omfattet af definitionen af biometriske data, når de behandles ved en specifik teknisk fremgangsmåde, der muliggør entydig identifikation eller autentifikation af en fysisk person. Foruden de specifikke krav til behandling af følsomme oplysninger bør de generelle principper og andre regler i denne forordning finde anvendelse, navnlig for så vidt angår betingelserne for lovlig behandling. Der bør udtrykkeligt gives mulighed for undtagelser fra det generelle (23) Personoplysninger, der i kraft af deres karakter er særligt følsomme i forhold til grundlæggende rettigheder og frihedsrettigheder, bør nyde specifik beskyttelse, da den sammenhæng, som behandlingen af dem indgår i, kunne indebære betydelige risici for grundlæggende rettigheder og frihedsrettigheder. Sådanne personoplysninger bør ikke behandles, medmindre behandling af dem er tilladt i særlige tilfælde fastsat i denne forordning. Disse personoplysninger bør omfatte personoplysninger om race eller etnisk oprindelse, idet anvendelsen af udtrykket "race" i denne forordning ikke betyder, at Unionen accepterer teorier, der søger at fastslå, at der findes forskellige menneskeracer. Behandling af fotografier bør ikke systematisk anses for at være behandling af særlige kategorier af personoplysninger, eftersom de kun vil være omfattet af definitionen af biometriske data, når de behandles ved en specifik teknisk fremgangsmåde, der muliggør entydig identifikation eller autentifikation af en fysisk person. Foruden de specifikke krav til behandling af følsomme oplysninger bør de generelle principper og andre regler i denne PE v /111 RR\ docx

13 forbud mod behandling af sådanne særlige kategorier af personoplysninger, bl.a. hvis den registrerede giver sit udtrykkelige samtykke eller for så vidt angår specifikke behov, navnlig hvis behandling foretages i forbindelse med visse sammenslutningers eller stiftelsers legitime aktiviteter, hvis formål er at muliggøre udøvelse af grundlæggende frihedsrettigheder. forordning finde anvendelse, navnlig for så vidt angår betingelserne for lovlig behandling. Der bør udtrykkeligt gives mulighed for undtagelser fra det generelle forbud mod behandling af sådanne særlige kategorier af personoplysninger, bl.a. hvis den registrerede giver sit udtrykkelige samtykke eller for så vidt angår specifikke behov, navnlig hvis behandling foretages i forbindelse med visse sammenslutningers eller stiftelsers legitime aktiviteter, hvis formål er at muliggøre udøvelse af grundlæggende frihedsrettigheder. 11 Betragtning 23 a (ny) 23a) Særlige kategorier af personoplysninger, som bør nyde højere beskyttelse, bør kun behandles til sundhedsmæssige formål, når det er nødvendigt for at opfylde disse formål til gavn for fysiske personer og samfundet som helhed, navnlig i forbindelse med forvaltning af sundheds- eller socialydelser og -systemer. Denne forordning bør derfor fastsætte harmoniserede betingelser for behandling af særlige kategorier af personoplysninger om helbredsforhold for så vidt angår specifikke behov, navnlig hvis behandlingen af sådanne oplysninger foretages til visse sundhedsmæssige formål af personer, der er underlagt tavshedspligt. EU-retten bør omfatte specifikke og passende foranstaltninger til at beskytte fysiske personers grundlæggende rettigheder og personoplysninger. RR\ docx 13/111 PE v02-00

14 12 Betragtning 24 (24) Behandling af særlige kategorier af personoplysninger kan være nødvendig af hensyn til samfundsinteresser hvad angår folkesundhed uden den registreredes samtykke. En sådan behandling bør være underlagt passende og specifikke foranstaltninger med henblik på at beskytte fysiske personers rettigheder og frihedsrettigheder. I denne sammenhæng fortolkes "folkesundhed" som defineret i Europa-Parlamentets og Rådets forordning (EF) nr. 1338/ , dvs. alle elementer vedrørende sundhed, nemlig helbredstilstand, herunder sygelighed og invaliditet, determinanter med en indvirkning på helbredstilstanden, behov for sundhedspleje, ressourcer tildelt sundhedsplejen, ydelse af og almen adgang til sundhedspleje, udgifter til og finansiering af sundhedspleje samt dødsårsager. Sådan behandling af helbredsoplysninger af hensyn til samfundsinteresser bør ikke medføre, at tredjemænd behandler personoplysninger til andre formål. 15 Europa-Parlamentets og Rådets forordning (EF) nr. 1338/2008 af 16. december 2008 om fællesskabsstatistikker over folkesundhed og arbejdsmiljø (EUT L 354 af , s. 70). (24) Behandling af særlige kategorier af personoplysninger kan være nødvendig af hensyn til samfundsinteresser hvad angår folkesundhed uden den registreredes samtykke. En sådan behandling bør være underlagt passende og specifikke foranstaltninger med henblik på at beskytte fysiske personers rettigheder og frihedsrettigheder. I denne sammenhæng fortolkes "folkesundhed" som defineret i Europa-Parlamentets og Rådets forordning (EF) nr. 1338/ , dvs. alle elementer vedrørende sundhed, nemlig helbredstilstand, herunder sygelighed og invaliditet, determinanter med en indvirkning på helbredstilstanden, behov for sundhedspleje, ressourcer tildelt sundhedsplejen, ydelse af og almen adgang til sundhedspleje, udgifter til og finansiering af sundhedspleje samt dødsårsager. Sådan behandling af helbredsoplysninger af hensyn til samfundsinteresser bør ikke medføre, at personoplysninger behandles til andre formål. 15 Europa-Parlamentets og Rådets forordning (EF) nr. 1338/2008 af 16. december 2008 om fællesskabsstatistikker over folkesundhed og arbejdsmiljø (EUT L 354 af , s. 70). 13 Betragtning 37 stk. 1 Retsakter vedtaget på grundlag af Retsakter vedtaget på grundlag af PE v /111 RR\ docx

15 traktaterne eller interne regler i Unionens institutioner og organer kan pålægge restriktioner vedrørende specifikke principper og retten til oplysninger, indsigt i og berigtigelse eller sletning af personoplysninger, retten til dataportabilitet, fortroligheden af elektronisk kommunikation samt underretning om et brud på persondatasikkerheden til en registreret og visse tilknyttede forpligtelser for de dataansvarlige, for så vidt det er nødvendigt og forholdsmæssigt i et demokratisk samfund af hensyn til den offentlige sikkerhed, forebyggelse, efterforskning og retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed, herunder beskyttelse af menneskeliv, især som reaktion på naturkatastrofer eller menneskeskabte katastrofer, den interne sikkerhed i Unionens institutioner og organer, andre af Unionens eller en medlemsstats samfundsinteresser, navnlig Unionens eller en medlemsstats vigtige økonomiske eller finansielle interesser, føring af offentlige registre i offentlighedens interesse eller beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder, herunder social sikring, folkesundhed og humanitære formål. traktaterne kan pålægge restriktioner vedrørende specifikke principper og retten til oplysninger, indsigt i og berigtigelse eller sletning af personoplysninger, retten til dataportabilitet, fortroligheden af elektronisk kommunikation samt underretning om et brud på persondatasikkerheden til en registreret og visse tilknyttede forpligtelser for de dataansvarlige, for så vidt det er nødvendigt og forholdsmæssigt i et demokratisk samfund af hensyn til den offentlige sikkerhed, forebyggelse, efterforskning og retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed, herunder beskyttelse af menneskeliv, især som reaktion på naturkatastrofer eller menneskeskabte katastrofer, den interne sikkerhed i Unionens institutioner og organer, andre af Unionens eller en medlemsstats samfundsinteresser, navnlig Unionens eller en medlemsstats vigtige økonomiske eller finansielle interesser, føring af offentlige registre i offentlighedens interesse eller beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder, herunder social sikring, folkesundhed og humanitære formål. 14 Betragtning 37 stk. 2 Når en sådan begrænsning ikke er fastsat i retsakter, der er vedtaget på grundlag af traktaterne eller deres interne regler, kan Unionens institutioner og organer i et konkret tilfælde pålægge en ad hocbegrænsning af den registreredes udgår RR\ docx 15/111 PE v02-00

16 specifikke principper og rettigheder, hvis en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder, og hvis den i relation til en specifik behandlingsaktivitet er nødvendig og forholdsmæssig i et demokratisk samfund af hensyn til et eller flere af de mål, som er nævnt i punkt 1. Begrænsningen bør ikke meddeles databeskyttelsesrådgiveren. Alle begrænsninger bør være i overensstemmelse med kravene i chartret og i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder. 15 Betragtning 39 a (ny) (39a) Forordning (EU) 2016/679 giver dataansvarlige mulighed for at påvise overholdelse ved at tilslutte sig godkendte certificeringsordninger. Tilsvarende bør Unionens institutioner og organer kunne påvise overholdelse af denne forordning ved at opnå certificering i henhold til artikel 42 i forordning (EU) 2016/ Betragtning 42 (42) For at påvise overholdelse af denne forordning bør de dataansvarlige føre fortegnelser over behandlingsaktiviteter, der henhører under deres ansvar, og databehandlerne bør føre fortegnelser over de kategorier af behandlingsaktiviteter, der henhører under deres ansvar. Unionens institutioner og organer bør have pligt til at (42) For at påvise overholdelse af denne forordning bør de dataansvarlige føre fortegnelser over behandlingsaktiviteter, der henhører under deres ansvar, og databehandlerne bør føre fortegnelser over de kategorier af behandlingsaktiviteter, der henhører under deres ansvar. Unionens institutioner og organer bør have pligt til at PE v /111 RR\ docx

17 samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse og efter anmodning stille disse fortegnelser til rådighed for denne, så de kan bruges til at føre tilsyn med sådanne behandlingsaktiviteter. Unionens institutioner og organer bør kunne oprette en central fortegnelse over deres behandlingsaktiviteter. Af hensyn til gennemsigtigheden bør de også kunne offentliggøre en sådan fortegnelse. samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse og efter anmodning stille disse fortegnelser til rådighed for denne, så de kan bruges til at føre tilsyn med sådanne behandlingsaktiviteter. Unionens institutioner og organer bør oprette en central fortegnelse over deres behandlingsaktiviteter. Af hensyn til gennemsigtigheden bør de offentliggøre en sådan fortegnelse. 17 Betragtning 47 (47) Forordning (EF) nr. 45/2001 pålægger den dataansvarlige en generel forpligtelse til at anmelde behandlingen af personoplysninger til databeskyttelsesrådgiveren, der til gengæld fører en fortegnelse over anmeldte behandlingsaktiviteter. Denne forpligtelse medførte en administrativ og finansiel byrde, men den bidrog ikke i alle tilfælde til at forbedre beskyttelsen af personoplysninger. En sådan vilkårlig og generel anmeldelsespligt bør derfor afskaffes og erstattes med effektive procedurer og mekanismer, som i stedet fokuserer på de typer behandlingsaktiviteter, der sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder som følge af deres karakter, omfang, sammenhæng og formål. Sådanne typer behandlingsaktiviteter kunne være aktiviteter, der navnlig indebærer brug af ny teknologi, eller en ny form for aktiviteter, hvor den dataansvarlige endnu ikke har foretaget en konsekvensanalyse vedrørende databeskyttelse, eller som er blevet nødvendige på grund af den tid, der er gået siden den oprindelige behandling. I sådanne tilfælde bør den dataansvarlige (47) Forordning (EF) nr. 45/2001 pålægger den dataansvarlige en generel forpligtelse til at anmelde behandlingen af personoplysninger til databeskyttelsesrådgiveren, der til gengæld fører en fortegnelse over anmeldte behandlingsaktiviteter. Ud over denne generelle forpligtelse bør der opstilles effektive procedurer og mekanismer til at overvåge behandlingsaktiviteter, der sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder som følge af deres karakter, omfang, sammenhæng og formål. Der bør navnlig også etableres sådanne procedurer, når typerne af behandlingsaktiviteter indebærer brug af ny teknologi, eller en ny form for aktiviteter, hvor den dataansvarlige endnu ikke har foretaget en konsekvensanalyse vedrørende databeskyttelse, eller som er blevet nødvendige på grund af den tid, der er gået siden den oprindelige behandling. I sådanne tilfælde bør den dataansvarlige inden behandlingen foretage en konsekvensanalyse vedrørende databeskyttelse med henblik på at vurdere den høje risikos specifikke sandsynlighed og alvor under hensyntagen til RR\ docx 17/111 PE v02-00

18 inden behandlingen foretage en konsekvensanalyse vedrørende databeskyttelse med henblik på at vurdere den høje risikos specifikke sandsynlighed og alvor under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risikokilderne. Konsekvensanalysen bør navnlig omfatte de foranstaltninger, garantier og mekanismer, der er planlagt til begrænsning af denne risiko, til sikring af beskyttelsen af personoplysninger og påvisning af overholdelse af denne forordning. behandlingens karakter, omfang, sammenhæng og formål samt risikokilderne. Konsekvensanalysen bør navnlig omfatte de foranstaltninger, garantier og mekanismer, der er planlagt til begrænsning af denne risiko, til sikring af beskyttelsen af personoplysninger og påvisning af overholdelse af denne forordning. 18 Betragtning 50 (50) Med forordning (EU) 2016/679 blev Det Europæiske Databeskyttelsesråd oprettet som et uafhængigt EU-organ med status som juridisk person. Databeskyttelsesrådet bør bidrage til en konsekvent anvendelse af forordning (EU) 2016/679 og direktiv 2016/680 i hele Unionen, herunder ved at rådgive Kommissionen. Samtidig bør Den Europæiske Tilsynsførende for Databeskyttelse fortsat udføre sine tilsynsog rådgivningsfunktioner over for alle Unionens institutioner og organer, herunder på eget initiativ eller efter anmodning. Med henblik på at sikre sammenhæng mellem databeskyttelsesreglerne i hele Unionen bør det være obligatorisk at høre Kommissionen efter vedtagelsen af lovgivningsmæssige retsakter eller under udarbejdelsen af delegerede retsakter og gennemførelsesretsakter som omhandlet i artikel 289, 290 og 291 i TEUF og efter vedtagelsen af henstillinger og forslag vedrørende aftaler med tredjelande og internationale organisationer som (50) Med forordning (EU) 2016/679 blev Det Europæiske Databeskyttelsesråd oprettet som et uafhængigt EU-organ med status som juridisk person. Databeskyttelsesrådet bør bidrage til en konsekvent anvendelse af forordning (EU) 2016/679 og direktiv 2016/680 i hele Unionen, herunder ved at rådgive Kommissionen. Samtidig bør Den Europæiske Tilsynsførende for Databeskyttelse fortsat udføre sine tilsynsog rådgivningsfunktioner over for alle Unionens institutioner og organer, herunder på eget initiativ eller efter anmodning. Med henblik på at sikre sammenhæng mellem databeskyttelsesreglerne i hele Unionen bør det være obligatorisk at høre Kommissionen, når der vedtages forslag om en lovgivningsmæssig retsakt, eller under udarbejdelsen af delegerede retsakter og gennemførelsesretsakter som omhandlet i artikel 289, 290 og 291 i TEUF, og når der vedtages henstillinger og forslag vedrørende aftaler med tredjelande og internationale organisationer som PE v /111 RR\ docx

19 omhandlet i artikel 218 i TEUF, der har konsekvenser for retten til beskyttelse af personoplysninger. I sådanne tilfælde bør Kommissionen have pligt til at høre Den Europæiske Tilsynsførende for Databeskyttelse, undtagen når forordning (EU) 2016/679 foreskriver obligatorisk høring af Det Europæiske Databeskyttelsesråd, f.eks. om afgørelser om tilstrækkeligt beskyttelsesniveau eller delegerede retsakter om standardiserede ikoner og krav til certificeringsmekanismer. Når den pågældende retsakt har særlig betydning for beskyttelsen af fysiske personers rettigheder og frihedsrettigheder med hensyn til behandlingen af personoplysninger, bør Kommissionen derudover have mulighed for at høre Det Europæiske Databeskyttelsesråd. I disse tilfælde bør Den Europæiske Tilsynsførende for Databeskyttelse som medlem af Det Europæiske Databeskyttelsesråd koordinere sit arbejde med sidstnævnte med henblik på at afgive en fælles udtalelse. Den Europæiske Tilsynsførende for Databeskyttelse og, hvor det er hensigtsmæssigt, Det Europæiske Databeskyttelsesråd bør yde sin skriftlige rådgivning inden seks uger. Denne tidsramme bør være kortere i hastende tilfælde, eller når det på anden vis er hensigtsmæssigt, f.eks. når Kommissionen udarbejder delegerede retsakter og gennemførelsesretsakter. omhandlet i artikel 218 i TEUF, der har konsekvenser for retten til beskyttelse af personoplysninger. I sådanne tilfælde bør Kommissionen have pligt til at høre Den Europæiske Tilsynsførende for Databeskyttelse, undtagen når forordning (EU) 2016/679 foreskriver obligatorisk høring af Det Europæiske Databeskyttelsesråd, f.eks. om afgørelser om tilstrækkeligt beskyttelsesniveau eller delegerede retsakter om standardiserede ikoner og krav til certificeringsmekanismer. Når den pågældende retsakt har særlig betydning for beskyttelsen af fysiske personers rettigheder og frihedsrettigheder med hensyn til behandlingen af personoplysninger, bør Kommissionen derudover have mulighed for at høre Det Europæiske Databeskyttelsesråd. I disse tilfælde bør Den Europæiske Tilsynsførende for Databeskyttelse som medlem af Det Europæiske Databeskyttelsesråd koordinere sit arbejde med sidstnævnte med henblik på at afgive en fælles udtalelse. Den Europæiske Tilsynsførende for Databeskyttelse og, hvor det er hensigtsmæssigt, Det Europæiske Databeskyttelsesråd bør yde sin skriftlige rådgivning inden seks uger. Denne tidsramme bør være kortere i hastende tilfælde, eller når det på anden vis er hensigtsmæssigt, f.eks. når Kommissionen udarbejder delegerede retsakter og gennemførelsesretsakter. 19 Betragtning 50 a (ny) 50a) I henhold til artikel 75 i forordning (EU) 2016/679 varetager Den Europæiske Tilsynsførende for Databeskyttelse sekretariatet for Det RR\ docx 19/111 PE v02-00

20 Europæiske Databeskyttelsesråd. 20 Betragtning 52 (52) Når personoplysninger overføres fra Unionens institutioner og organer til dataansvarlige, databehandlere eller andre modtagere i tredjelande eller til internationale organisationer, må det beskyttelsesniveau, som fysiske personer sikres i Unionen i medfør af denne forordning, dog ikke undermineres, herunder i tilfælde af videreoverførsel af personoplysninger fra et tredjeland eller en international organisation til dataansvarlige, databehandlere i det samme eller et andet tredjeland eller en anden international organisation. Overførsel til tredjelande og internationale organisationer må under alle omstændigheder kun finde sted under fuld overholdelse af denne forordning. En overførsel vil kun kunne finde sted, hvis den dataansvarlige eller databehandleren opfylder betingelserne i denne forordning vedrørende overførsel af personoplysninger til tredjelande eller internationale organisationer, jf. dog de øvrige bestemmelser i denne forordning. (52) Når personoplysninger overføres fra Unionens institutioner og organer til dataansvarlige, databehandlere eller andre modtagere i tredjelande eller til internationale organisationer, må det beskyttelsesniveau, som fysiske personer sikres i Unionen i medfør af denne forordning, garanteres, herunder i tilfælde af videreoverførsel af personoplysninger fra et tredjeland eller en international organisation til dataansvarlige, databehandlere i det samme eller et andet tredjeland eller en anden international organisation. Overførsel til tredjelande og internationale organisationer må under alle omstændigheder kun finde sted under fuld overholdelse af denne forordning, forordning (EU) 2016/679 og de grundlæggende rettigheder og frihedsrettigheder, der er fastsat i chartret. En overførsel vil kun kunne finde sted, hvis den dataansvarlige eller databehandleren opfylder betingelserne i denne forordning vedrørende overførsel af personoplysninger til tredjelande eller internationale organisationer, jf. dog de øvrige bestemmelser i denne forordning. 21 Betragtning 53 (53) Kommissionen kan i henhold til artikel 45 i forordning (EU) 2016/679 beslutte, at et tredjeland, et område eller en (53) Kommissionen kan i henhold til artikel 45 i forordning (EU) 2016/679 eller artikel 36 i direktiv (EU) 2016/680 PE v /111 RR\ docx

21 specifik sektor i et tredjeland, eller en international organisation sikrer et tilstrækkeligt databeskyttelsesniveau. I sådanne tilfælde kan personoplysninger overføres til det pågældende tredjeland eller den pågældende internationale organisation af en EU-institution eller et EU-organ uden yderligere godkendelse. beslutte, at et tredjeland, et område eller en specifik sektor i et tredjeland, eller en international organisation sikrer et tilstrækkeligt databeskyttelsesniveau. I sådanne tilfælde kan personoplysninger overføres til det pågældende tredjeland eller den pågældende internationale organisation af en EU-institution eller et EU-organ uden yderligere godkendelse. 22 Betragtning 64 a (ny) (64a) Kommissionen har foreslået at ændre Europa-Parlamentets og Rådets forordning (EU) nr. 1024/2012 af 25. oktober 2012 om administrativt samarbejde via informationssystemet for det indre marked og om ophævelse af Kommissionens beslutning 2008/49/EF ("IMI-forordningen") for at åbne mulighed for, at IMI-systemet ikke kun anvendes af de kompetente myndigheder i medlemsstaterne og Kommissionen, men også af Unionens organer, kontorer og agenturer 1a. I afventning af denne revision bør Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Databeskyttelsesråd kunne anvende informationssystemet for det indre marked i forbindelse med administrativt samarbejde og udveksling af oplysninger som fastsat i den generelle forordning om databeskyttelse i lyset af dens ikrafttræden den 25. maj a Jf. artikel 36 i forslaget til Europa- Parlamentets og Rådets forordning om oprettelse af en fælles digital portal til levering af oplysninger, procedurer, bistand og problemløsningstjenester og om ændring af forordning (EU) nr. 1024/2012, COM(2017) 256 final, RR\ docx 21/111 PE v02-00

22 2017/0086 (COD). 23 Betragtning 65 (65) Under visse omstændigheder omfatter EU-retten en model for koordineret tilsyn mellem Den Europæiske Tilsynsførende for Databeskyttelse og de nationale tilsynsmyndigheder. Den Europæiske Tilsynsførende for Databeskyttelse er endvidere tilsynsmyndighed for Europol, og der udarbejdes en særlig model for samarbejde med de nationale tilsynsmyndigheder gennem et samarbejdsråd med rådgivende funktion. For at forbedre det effektive tilsyn med og den effektive håndhævelse af væsentlige databeskyttelsesregler bør der indføres en fælles, sammenhængende model for koordineret tilsyn i Unionen. Kommissionen bør derfor, hvor det er hensigtsmæssigt, fremsætte lovgivningsforslag med henblik på at ændre de EU-retsakter, der indeholder en model for koordineret tilsyn, for at tilpasse dem til den koordinerede tilsynsmodel i denne forordning. Det Europæiske Databeskyttelsesråd bør fungere som et fælles forum for sikring af det effektive koordinerede tilsyn over en bred front. (65) Under visse omstændigheder omfatter EU-retten en model for koordineret tilsyn mellem Den Europæiske Tilsynsførende for Databeskyttelse og de nationale tilsynsmyndigheder. Den Europæiske Tilsynsførende for Databeskyttelse er endvidere tilsynsmyndighed for Europol, og der udarbejdes en særlig model for samarbejde med de nationale tilsynsmyndigheder gennem et samarbejdsråd med rådgivende funktion. For at forbedre det effektive tilsyn med og den effektive håndhævelse af væsentlige databeskyttelsesregler bør denne forordning indføre en fælles, sammenhængende model for koordineret tilsyn. Det Europæiske Databeskyttelsesråd bør fungere som et fælles forum for sikring af det effektive koordinerede tilsyn over en bred front. 24 Artikel 1 stk Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til 2. Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, der er fastsat i chartret, PE v /111 RR\ docx

23 beskyttelse af personoplysninger. og navnlig deres ret til beskyttelse af personoplysninger. 25 Artikel 2 stk Denne forordning finder anvendelse på behandling af personoplysninger i alle Unionens institutioner og organer, i det omfang denne behandling udføres som led i udførelsen af aktiviteter, der helt eller delvis henhører under EU-rettens anvendelsesområde. 1. Denne forordning finder anvendelse på behandling af personoplysninger i alle Unionens institutioner og organer. 26 Artikel 2 stk. 2 a (ny) 2a. Denne forordning skal også være gældende for EU-agenturer, der udfører aktiviteter henhørende under tredje del, afsnit V, kapitel 4 og 5, i TEUF, herunder i de tilfælde hvor retsakterne om de pågældende EU-agenturers oprettelse omfatter en separat databeskyttelsesordning for behandling af operationelle personoplysninger. Bestemmelser vedrørende specifik behandling af operationelle personoplysninger, der er indeholdt i retsakterne om oprettelse af disse agenturer, kan præcisere og supplere anvendelsen af denne forordning. 27 Artikel 3 stk. 1 litra a RR\ docx 23/111 PE v02-00

24 a) definitionerne i forordning (EF) 2016/679 bortset fra definitionen af "dataansvarlig" i artikel 4, nr. 7), i denne forordning a) definitionerne i forordning (EU) 2016/679 bortset fra definitionen af "dataansvarlig" i nr. 7), "hovedvirksomhed" i nr. 16), "foretagende" i nr. 18), "koncern" i nr. 19) i artikel 4 i denne forordning definitionen af "elektronisk kommunikation" i artikel 4, stk. 2, litra a), i forordning (EU) XX/XXXX [edatabeskyttelsesforordningen]; 28 Artikel 3 stk. 2 litra d a (ny) da) "operationelle personoplysninger" er personoplysninger, der behandles af EU-agenturer, der er oprettet på grundlag af tredje del, afsnit V, kapitel 4 og 5, i TEUF, og i forbindelse med de missioner, der er omhandlet i artikel 42, stk. 1, og artiklerne 43 og 44 i TEU, med henblik på opfyldelse af de mål, der er fastsat i retsakterne om oprettelse af disse agenturer eller missioner. 29 Artikel 4 stk. 1 indledning 1. Personoplysninger skal: (Vedrører ikke den danske tekst) 30 Artikel 4 stk. 1 litra d PE v /111 RR\ docx

25 d) være korrekte og om nødvendigt ajourførte. Der skal tages ethvert rimeligt skridt til at sikre, at oplysninger, der er ukorrekte eller ufuldstændige i forhold til de formål, hvortil de indsamles, eller i forbindelse med hvilke de viderebehandles, slettes eller berigtiges omgående ("rigtighed") d) være korrekte og om nødvendigt ajourførte. Der skal tages ethvert rimeligt skridt til at sikre, at personoplysninger, der er ukorrekte i forhold til de formål, hvortil de behandles, slettes eller berigtiges omgående ("rigtighed"); 31 Artikel 5 stk De i stk. 1, litra a), omhandlede opgaver fastsættes i EU-retten. 2. De i stk. 1, litra a), omhandlede opgaver fastsættes i EU-retten. Grundlaget for behandlingen, der er omhandlet i stk. 1, litra b), fastsættes i EU-retten eller i den medlemsstats lovgivning, som den dataansvarlige er underlagt. 32 Artikel 8 overskrift Betingelser for et barns samtykke i forbindelse med informationssamfundstjenester (Vedrører ikke den danske tekst) 33 Artikel 8 a (ny) Artikel 8a RR\ docx 25/111 PE v02-00

26 Videregivelse af personoplysninger mellem Unionens institutioner og organer Medmindre andet er bestemt i artikel 4, 5, 6 og 10 gælder følgende: 1. Personoplysninger må kun videregives inden for eller til andre EU-institutioner eller -organer, hvis de er nødvendige af hensyn til den retmæssige udførelse af opgaver, der hører under modtagerens kompetenceområde. 2. Hvis videregivelse af personoplysninger finder sted efter anmodning fra modtagen, bærer både den dataansvarlige og modtageren ansvaret for lovligheden af videregivelsen. Den dataansvarlige har pligt til at kontrollere modtagerens kompetence og til at foretage en foreløbig vurdering af nødvendigheden af videregivelsen af personoplysningerne. Hvis der opstår tvivl om nødvendigheden, bør den dataansvarlige indhente yderligere oplysninger hos modtageren. Modtageren sikrer, at nødvendigheden af videregivelsen af personoplysningerne efterfølgende kan kontrolleres. 3. Modtageren må kun behandle personoplysningerne til de formål, hvortil de er videregivet.. 34 Artikel 9 stk. 1 indledning 1. Medmindre andet er er bestemt i artikel 4, 5, 6 og 10, fremsendes personoplysninger kun til modtagere, der er etableret i Unionen og underlagt forordning (EU) 2016/679 eller national lovgivning, som er vedtaget i medfør af 1. Medmindre andet er bestemt i artikel 4, 5, 6, 10, 14, artikel 15, stk. 3, og artikel 16, stk. 4, fremsendes personoplysninger kun til modtagere, der er etableret i Unionen og underlagt forordning (EU) 2016/679 eller national PE v /111 RR\ docx