Persondataforordningens kapitel VII

Samarbejde og sammenhæng

KLIK FOR INDHOLDSFORTEGNELSE - KAPITEL VII:

Afdeling 1: Samarbejde

Artikel 60: Samarbejde mellem den ledende tilsynsmyndighed og de andre berørte tilsynsmyndigheder

Artikel 61: Gensidig bistand

Artikel 62: Tilsynsmyndigheders fælles aktiviteter

Afdeling 2: Sammenhæng

Artikel 63: Sammenhængsmekanisme

Artikel 64: Udtalelse fra Databeskyttelsesrådet

Artikel 65: Tvistbilæggelse ved Databeskyttelsesrådet

Artikel 66: Hasteprocedure

Artikel 67: Udveksling af oplysninger

Afdeling 3: Det Europæiske Databeskyttelsesråd

Artikel 68: Det Europæiske Databeskyttelsesråd

Artikel 69: Uafhængighed

Artikel 70: Databeskyttelsesrådets opgaver

Artikel 71: Rapporter

Artikel 72: Procedure

Artikel 73: Formand

Artikel 74: Formandens opgaver

Artikel 75: Sekretariat

Artikel 76: Fortrolighed

Afdeling 1: Samarbejde

Artikel 60

Samarbejde mellem den ledende tilsynsmyndighed og de andre berørte tilsynsmyndigheder

1. Den ledende tilsynsmyndighed samarbejder i henhold til denne artikel med de andre berørte tilsynsmyndigheder med henblik på at nå til enighed. Den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder udveksler alle relevante oplysninger med hinanden.

2. Den ledende tilsynsmyndighed kan til enhver tid anmode andre berørte tilsynsmyndigheder om at yde gensidig bistand i henhold til artikel 61 og kan gennemføre fælles aktiviteter i henhold til artikel 62, navnlig med henblik på at foretage undersøgelser eller overvåge gennemførelsen af en foranstaltning vedrørende en dataansvarlig eller en databehandler, der er etableret i en anden medlemsstat.

3. Den ledende tilsynsmyndighed underretter straks de andre berørte tilsynsmyndigheder om sagens relevante oplysninger. Den forelægger straks de andre berørte tilsynsmyndigheder et udkast til afgørelse med henblik på deres udtalelse og tager behørigt hensyn til deres synspunkter.

4. Hvis en af de andre berørte tilsynsmyndigheder inden for fire uger efter at være blevet hørt, jf. denne artikels stk. 3, fremkommer med en relevant og begrundet indsigelse mod udkastet til afgørelse, forelægger den ledende tilsynsmyndighed, hvis den ikke følger den relevante og begrundede indsigelse eller er af den opfattelse, at indsigelsen ikke er relevant eller begrundet, sagen for den sammenhængsmekanisme, der er omhandlet i artikel 63.

5. Agter den ledende tilsynsmyndighed at følge den relevante og begrundede indsigelse, forelægger den de andre berørte tilsynsmyndigheder et revideret udkast til afgørelse med henblik på deres udtalelse. Dette reviderede udkast til afgørelse er underlagt den i stk. 4 omhandlede procedure inden for en frist på to uger.

6. Har ingen af de andre berørte tilsynsmyndigheder gjort indsigelse mod udkastet til afgørelse, som den ledende tilsynsmyndighed har forelagt inden for den frist, der er omhandlet i stk. 4 og 5, anses den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder for at være enige i dette udkast til afgørelse og er bundet af det.

7. Den ledende tilsynsmyndighed vedtager og meddeler afgørelsen til den dataansvarliges eller databehandlerens hovedvirksomhed eller eneste etablering, alt efter omstændighederne, og underretter de andre berørte tilsynsmyndigheder og Databeskyttelsesrådet om den pågældende afgørelse, herunder et resumé af de relevante faktiske omstændigheder og begrundelser. Den tilsynsmyndighed, til hvilken der er indgivet klage, underretter klageren om afgørelsen.

8. Hvis en klage er blevet afslået eller afvist, vedtager den tilsynsmyndighed, til hvilken klagen er indgivet, uanset stk. 7, afgørelsen og meddeler denne til klageren og underretter den dataansvarlige herom.

9. Hvis den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder er enige om at afslå eller afvise dele af en klage og at behandle andre dele af klagen, vedtages der en særskilt afgørelse for hver af disse dele af sagen. Den ledende tilsynsmyndighed vedtager afgørelsen for den del, der vedrører foranstaltninger over for den dataansvarlige, meddeler dette til den dataansvarliges eller databehandlerens hovedvirksomhed eller eneste etablering på dens medlemsstats område og underretter klageren herom, mens tilsynsmyndigheden for klageren vedtager afgørelsen for den del, der vedrører afslag eller afvisning af klagen, og underretter klageren herom og meddeler dette til den dataansvarlige eller databehandleren.

10. Den dataansvarlige eller databehandleren træffer efter at være blevet underrettet om den ledende tilsynsmyndigheds afgørelse i henhold til stk. 7 og 9 de nødvendige foranstaltninger til at sikre overholdelse af afgørelsen for så vidt angår behandlingsaktiviteter i forbindelse med alle vedkommendes etableringer i Unionen. Den dataansvarlige eller databehandleren underretter den ledende tilsynsmyndighed, der underretter de andre berørte tilsynsmyndigheder, om de foranstaltninger, der er truffet for at overholde afgørelsen.

11. Hvis en berørt tilsynsmyndighed under ekstraordinære omstændigheder har grund til at mene, at det er nødvendigt at handle omgående for at beskytte registreredes interesser, finder den i artikel 66 omhandlede hasteprocedure anvendelse.

12. Den ledende tilsynsmyndighed og de andre berørte tilsynsmyndigheder udveksler elektronisk de i denne artikel omhandlede oplysninger med hinanden i et standardformat.

Artikel 61

Gensidig bistand

1. Tilsynsmyndighederne udveksler relevante oplysninger og yder hinanden gensidig bistand med henblik på at gennemføre og anvende denne forordning på en ensartet måde og træffer foranstaltninger med henblik på et effektivt samarbejde med hinanden. Gensidig bistand omfatter navnlig anmodninger om oplysninger og tilsynsforanstaltninger, som f.eks. anmodninger om gennemførelse af forudgående godkendelser og høringer, inspektioner og undersøgelser.

2. Hver tilsynsmyndighed træffer alle passende foranstaltninger, som er nødvendige for at besvare en anmodning fra en anden tilsynsmyndighed uden unødig forsinkelse og senest en måned efter modtagelsen af anmodningen. Sådanne foranstaltninger kan bl.a. omfatte videregivelse af relevante oplysninger om gennemførelsen af en undersøgelse.

3. Anmodninger om bistand skal indeholde alle nødvendige oplysninger, herunder formålet med og grunden til anmodningen. Udvekslede oplysninger må kun anvendes til det formål, som er angivet i anmodningen.

4. Den anmodede tilsynsmyndighed må ikke afvise at imødekomme anmodningen, medmindre:

a) den ikke har kompetence med hensyn til genstanden for anmodningen eller de foranstaltninger, som den anmodes om at iværksætte, eller

b) imødekommelse af anmodningen ville udgøre en overtrædelse af denne forordning eller af EU-ret eller medlemsstaternes nationale ret, som den tilsynsmyndighed, der modtager anmodningen, er underlagt.

5. Den anmodede tilsynsmyndighed underretter den anmodende tilsynsmyndighed om resultaterne eller efter omstændighederne om fremskridtene med de foranstaltninger, der er truffet for at imødekomme anmodningen. Den anmodede tilsynsmyndighed begrunder enhver afvisning af at imødekomme en anmodning i henhold til stk. 4.

6. Anmodede tilsynsmyndigheder fremsender som hovedregel de oplysninger, som andre tilsynsmyndigheder anmoder om, elektronisk i et standardformat.

7. Anmodede tilsynsmyndigheder må ikke opkræve gebyr for foranstaltninger, der træffes af dem på grundlag af en anmodning om gensidig bistand. Tilsynsmyndighederne kan vedtage regler om at godtgøre hinanden for specifikke udgifter, der opstår under ekstraordinære omstændigheder, når der ydes gensidig bistand.

8. Hvis en tilsynsmyndighed ikke giver de oplysninger, der er omhandlet i denne artikels stk. 5, inden for en måned efter modtagelsen af en anmodning fra en anden tilsynsmyndighed, kan den anmodende tilsynsmyndighed vedtage en foreløbig foranstaltning på sin medlemsstats område i henhold til artikel 55, stk. 1. I dette tilfælde antages kravet om behovet for at handle omgående, jf. artikel 66, stk. 1, at være opfyldt, og at kræve en hurtig bindende afgørelse fra Databeskyttelsesrådet, jf. artikel 66, stk. 2.

9. Kommissionen kan ved gennemførelsesretsakter fastlægge format og procedurer for gensidig bistand som omhandlet i denne artikel og ordninger for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder og mellem tilsynsmyndigheder og Databeskyttelsesrådet, navnlig standardformatet omhandlet i denne artikels stk. 6. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 93, stk. 2.

Artikel 62

Tilsynsmyndigheders fælles aktiviteter

1. Hvis det er hensigtsmæssigt, gennemfører tilsynsmyndighederne fælles aktiviteter, herunder fælles undersøgelses- og håndhævelsesforanstaltninger, som medlemmer eller medarbejdere fra andre medlemsstaters tilsynsmyndigheder deltager i.

2. Hvis den dataansvarlige eller databehandleren har etableringer i flere medlemsstater, eller hvor et betydeligt antal registrerede i mere end én medlemsstat sandsynligvis påvirkes i væsentlig grad af behandlingsaktiviteter, har tilsynsmyndigheden i hver af disse medlemsstater ret til at deltage i fælles aktiviteter. Den tilsynsmyndighed, der er kompetent i henhold til artikel 56, stk. 1 eller 4, indbyder tilsynsmyndigheden i hver af disse medlemsstater til at deltage i de fælles aktiviteter og besvarer straks en tilsynsmyndigheds anmodning om deltagelse.

3. En tilsynsmyndighed kan i overensstemmelse med medlemsstatens nationale ret og med den udsendende tilsynsmyndigheds godkendelse delegere beføjelser, herunder undersøgelsesbeføjelser, til den udsendende tilsynsmyndigheds medlemmer eller medarbejdere, som deltager i fælles aktiviteter, eller, for så vidt national ret i værtstilsynsmyndighedens medlemsstat tillader det, tillade, at den udsendende tilsynsmyndigheds medlemmer eller medarbejdere udøver deres undersøgelsesbeføjelser i overensstemmelse med retten i den udsendende tilsynsmyndigheds medlemsstat. Sådanne undersøgelsesbeføjelser må kun udøves under vejledning og i tilstedeværelse af værtstilsynsmyndighedens medlemmer eller medarbejdere. Den udsendende tilsynsmyndigheds medlemmer eller medarbejdere er underlagt national ret i værtstilsynsmyndighedens medlemsstat.

4. Hvis en udsendende tilsynsmyndigheds medarbejdere i henhold til stk. 1 udfører aktiviteter i en anden medlemsstat, påtager værtstilsynsmyndighedens medlemsstat sig ansvaret for deres handlinger, herunder erstatningsansvar for enhver skade, som de måtte forvolde under udførelsen af deres aktiviteter, i overensstemmelse med retten i den medlemsstat, på hvis område de udfører aktiviteter.

5. Den medlemsstat, på hvis område skade forvoldes, erstatter den pågældende skade på samme betingelser som skader forvoldt af dens egne medarbejdere. Den udsendende tilsynsmyndigheds medlemsstat, hvis medarbejdere har forvoldt skade på personer på en anden medlemsstats område, skal fuldt ud godtgøre alle beløb, som denne anden medlemsstat har betalt i skadeserstatning til de berettigede personer på deres vegne.

6. Uden at det berører udøvelsen af rettigheder over for tredjemand og med undtagelse af det i stk. 5 omhandlede tilfælde, giver den enkelte medlemsstat i det tilfælde, der er omhandlet i stk. 1, afkald på at kræve godtgørelse fra en anden medlemsstat i forbindelse med skade som omhandlet i stk. 4.

7. Hvis der planlægges en fælles aktivitet, og en tilsynsmyndighed ikke opfylder forpligtelsen i stk. 2, andet punktum, inden for en måned, kan de andre tilsynsmyndigheder vedtage en foreløbig foranstaltning på deres medlemsstats område i overensstemmelse med artikel 55. I dette tilfælde antages kravet om behovet for at handle omgående, jf. artikel 66, stk. 1, at være opfyldt, og at kræve en hurtig bindende afgørelse fra Databeskyttelsesrådet, jf. artikel 66, stk. 2.

Afdeling 2: Sammenhæng

Artikel 63

Sammenhængsmekanisme

Med henblik på at bidrage til en ensartet anvendelse af denne forordning i hele Unionen samarbejder tilsynsmyndighederne med hinanden og, hvis det er relevant, med Kommissionen gennem den sammenhængsmekanisme, der er omhandlet i denne afdeling.

Artikel 64

Udtalelse fra Databeskyttelsesrådet

1. Databeskyttelsesrådet afgiver en udtalelse, når en kompetent tilsynsmyndighed har til hensigt at vedtage en af nedenstående foranstaltninger. Med henblik herpå sender den kompetente tilsynsmyndighed et udkast til afgørelse til Databeskyttelsesrådet, når den:

a) har til hensigt at vedtage en liste over typer af behandlingsaktiviteter, som er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 35, stk. 4

b) behandler et spørgsmål i henhold til artikel 40, stk. 7, om, hvorvidt et udkast til adfærdskodeks eller en ændring eller udvidelse af en adfærdskodeks overholder denne forordning

c) har til hensigt at godkende kriterierne for akkreditering af et organ i henhold til artikel 41, stk. 3, eller et certificeringsorgan i henhold til artikel 43, stk. 3

d) har til hensigt at vedtage standardbestemmelser om databeskyttelse som omhandlet i artikel 46, stk. 2, litra d), og i artikel 28, stk. 8

e) har til hensigt at godkende kontraktbestemmelser som omhandlet i artikel 46, stk. 3, litra a), eller

f) har til hensigt at godkende bindende virksomhedsregler som omhandlet i artikel 47.

2. En tilsynsmyndighed, formanden for Databeskyttelsesrådet eller Kommissionen kan kræve, at ethvert almengyldigt spørgsmål eller ethvert spørgsmål, der har virkninger i mere end én medlemsstat, drøftes af Databeskyttelsesrådet med henblik på en udtalelse, navnlig hvis en kompetent tilsynsmyndighed ikke opfylder forpligtelserne vedrørende gensidig bistand, jf. artikel 61, eller vedrørende fælles aktiviteter, jf. artikel 62.

3. I de tilfælde, der er omhandlet i stk. 1 og 2, afgiver Databeskyttelsesrådet udtalelse om det spørgsmål, som det har fået forelagt, forudsat at det ikke allerede har afgivet en udtalelse om samme spørgsmål. Denne udtalelse vedtages inden for otte uger med simpelt flertal blandt medlemmerne af Databeskyttelsesrådet. Denne frist kan forlænges med yderligere seks uger under hensyntagen til spørgsmålets kompleksitet. Med hensyn til det i stk. 1 omhandlede udkast til afgørelse, der i henhold til stk. 5 udsendes til medlemmerne af Databeskyttelsesrådet, anses et medlem, som ikke har gjort indsigelse inden for en rimelig frist, der angives af formanden, for at være enigt i udkastet til afgørelse.

4. Tilsynsmyndigheder og Kommissionen sender uden unødig forsinkelse elektronisk og i et standardformat Databeskyttelsesrådet alle relevante oplysninger, herunder et resumé af de faktiske omstændigheder, den foreslåede afgørelse, begrundelsen for vedtagelse af en sådan foranstaltning og andre berørte tilsynsmyndigheders synspunkter.

5. Formanden for Databeskyttelsesrådet underretter uden unødig forsinkelse elektronisk:

a) medlemmerne af Databeskyttelsesrådet og Kommissionen om alle relevante oplysninger, som vedkommende har modtaget, i et standardformat. Sekretariatet for Databeskyttelsesrådet sørger efter behov for oversættelse af de relevante oplysninger, og

b) den tilsynsmyndighed, der er omhandlet i stk. 1 og 2, og Kommissionen om den pågældende udtalelse og offentliggør den.

6. Den kompetente tilsynsmyndighed vedtager ikke sit udkast til afgørelse omhandlet i stk. 1 i den periode, der er omhandlet i stk. 3.

7. Den tilsynsmyndighed, der er omhandlet i stk. 1, tager videst muligt hensyn til Databeskyttelsesrådets udtalelse og giver senest to uger efter modtagelsen af udtalelsen formanden for Databeskyttelsesrådet elektronisk meddelelse om, hvorvidt den agter at fastholde eller ændre sit udkast til afgørelse, og forelægger i givet fald det ændrede udkast til afgørelse i et standardformat.

8. Hvis den berørte tilsynsmyndighed inden for den frist, der er omhandlet i denne artikels stk. 7, underretter formanden for Databeskyttelsesrådet om, at den helt eller delvist ikke agter at følge udtalelsen fra Databeskyttelsesrådet, og den giver en relevant begrundelse herfor, finder artikel 65, stk. 1, anvendelse.

Artikel 65

Tvistbilæggelse ved Databeskyttelsesrådet

1. Med henblik på at sikre korrekt og konsekvent anvendelse af denne forordning i hvert enkelt tilfælde vedtager Databeskyttelsesrådet en bindende afgørelse i følgende tilfælde:

a) hvis en berørt tilsynsmyndighed i et tilfælde som omhandlet i artikel 60, stk. 4, er fremkommet med en relevant og begrundet indsigelse mod et udkast til afgørelse udarbejdet af den ledende myndighed, eller den ledende myndighed har afvist en sådan indsigelse som værende uden relevans eller ubegrundet. Den bindende afgørelse skal vedrøre alle spørgsmål, der er genstand for den relevante og begrundede indsigelse, navnlig hvorvidt denne forordning er overtrådt

b) hvis der er uenighed om, hvilken af de berørte tilsynsmyndigheder der er kompetent med hensyn til hovedvirksomheden

c) hvis en kompetent tilsynsmyndighed ikke anmoder om udtalelse fra Databeskyttelsesrådet i de tilfælde, der er omhandlet i artikel 64, stk. 1, eller ikke følger Databeskyttelsesrådets udtalelse udstedt i henhold til artikel 64. I så fald kan enhver berørt tilsynsmyndighed eller Kommissionen indbringe spørgsmålet for Databeskyttelsesrådet.

2. Den afgørelse, der er omhandlet i stk. 1, vedtages inden for en måned fra forelæggelsen af spørgsmålet med et flertal på to tredjedele blandt medlemmerne af Databeskyttelsesrådet. Denne frist kan forlænges med yderligere en måned på grund af spørgsmålets kompleksitet. Afgørelsen i stk. 1 skal være begrundet og rettet til den ledende tilsynsmyndighed og alle de berørte tilsynsmyndigheder og have bindende virkning for dem.

3. Hvis Databeskyttelsesrådet ikke har været i stand til at træffe en afgørelse inden for de i stk. 2 omhandlede frister, vedtager det sin afgørelse senest to uger efter udløbet af den anden måned som omhandlet i stk. 2 med simpelt flertal blandt Databeskyttelsesrådets medlemmer. I tilfælde af stemmelighed blandt medlemmerne af Databeskyttelsesrådet er formandens stemme udslagsgivende.

4. De berørte tilsynsmyndigheder må ikke vedtage en afgørelse om et spørgsmål, der er forelagt for Databeskyttelsesrådet i henhold til stk. 1, i løbet af de i stk. 2 og 3 omhandlede perioder.

5. Formanden for Databeskyttelsesrådet meddeler uden unødig forsinkelse den i stk. 1 omhandlede afgørelse til de berørte tilsynsmyndigheder. Formanden underretter Kommissionen herom. Afgørelsen offentliggøres straks på Databeskyttelsesrådets websted, når tilsynsmyndigheden har meddelt den endelige afgørelse, jf. stk. 6.

6. Den ledende tilsynsmyndighed eller efter omstændighederne den tilsynsmyndighed, til hvem en klage er indgivet, vedtager sin endelige afgørelse på grundlag af den i denne artikels stk. 1 omhandlede afgørelse uden unødig forsinkelse og senest en måned efter, at Databeskyttelsesrådet har meddelt sin afgørelse. Den ledende tilsynsmyndighed eller efter omstændighederne den tilsynsmyndighed, til hvem klagen er indgivet, underretter Databeskyttelsesrådet om datoen for meddelelse af sin endelige afgørelse til henholdsvis den dataansvarlige eller databehandleren og den registrerede. Den berørte tilsynsmyndigheds endelige afgørelse vedtages i henhold til artikel 60, stk. 7, 8 og 9. Den endelige afgørelse skal indeholde en henvisning til den afgørelse, der er omhandlet i nærværende artikels stk. 1, og angive, at den i nævnte stykke omhandlede afgørelse vil blive offentliggjort på Databeskyttelsesrådets websted i overensstemmelse med nærværende artikels stk. 5. Den i nærværende artikels stk. 1 omhandlede afgørelse vedlægges den endelige afgørelse.

Artikel 66

Hasteprocedure

1. Når en berørt tilsynsmyndighed under ekstraordinære omstændigheder mener, at det er nødvendigt at handle omgående for at beskytte registreredes rettigheder og frihedsrettigheder, kan den uanset den i artikel 63, 64 og 65 omhandlede sammenhængsmekanisme eller den i artikel 60 omhandlede procedure omgående træffe foreløbige foranstaltninger, der skal have retsvirkning på dens eget område med en angivet gyldighedsperiode, som ikke må overstige tre måneder. Tilsynsmyndigheden meddeler straks de andre berørte tilsynsmyndigheder, Databeskyttelsesrådet og Kommissionen disse foranstaltninger og en begrundelse for vedtagelsen heraf.

2. Hvis en tilsynsmyndighed har vedtaget en foranstaltning i henhold til stk. 1 og mener, at der omgående skal vedtages endelige foranstaltninger, kan den anmode om en hasteudtalelse eller en hurtig bindende afgørelse fra Databeskyttelsesrådet, idet tilsynsmyndigheden begrunder anmodningen om en sådan udtalelse eller afgørelse.

3. Enhver tilsynsmyndighed kan anmode om en hasteudtalelse eller efter omstændighederne en hurtig bindende afgørelse, fra Databeskyttelsesrådet, hvis en kompetent tilsynsmyndighed ikke har truffet de fornødne foranstaltninger i en situation, hvor det er nødvendigt at handle omgående for at beskytte registreredes rettigheder og frihedsrettigheder, idet tilsynsmyndigheden begrunder anmodningen om en sådan udtalelse eller afgørelse, herunder behovet for at handle omgående.

4. Uanset artikel 64, stk. 3, og artikel 65, stk. 2, vedtages en hasteudtalelse eller en hurtig bindende afgørelse som omhandlet i nærværende artikels stk. 2 og 3 inden for to uger med simpelt flertal blandt medlemmerne af Databeskyttelsesrådet.

Artikel 67

Udveksling af oplysninger

Kommissionen kan vedtage gennemførelsesretsakter af generel karakter med henblik på nærmere at angive ordningerne for elektronisk udveksling af oplysninger mellem tilsynsmyndigheder og mellem tilsynsmyndigheder og Databeskyttelsesrådet, navnlig det standardformat, der er omhandlet i artikel 64.

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 93, stk. 2.

Afdeling 3: Det Europæiske Databeskyttelsesråd

Artikel 68

Det Europæiske Databeskyttelsesråd

1. Det Europæiske Databeskyttelsesråd (»Databeskyttelsesrådet«) oprettes herved som et EU-organ med status som juridisk person.

2. Databeskyttelsesrådet repræsenteres af sin formand.

3. Databeskyttelsesrådet sammensættes af chefen for en tilsynsmyndighed i hver medlemsstat og af Den Europæiske Tilsynsførende for Databeskyttelse eller deres respektive repræsentanter.

4. Hvis mere end én tilsynsmyndighed i en medlemsstat er ansvarlig for at føre tilsyn med af anvendelsen af bestemmelserne i denne forordning, udnævnes en fælles repræsentant i henhold til den pågældende medlemsstats nationale ret.

5. Kommissionen har ret til at deltage i Databeskyttelsesrådets aktiviteter og møder uden stemmeret. Kommissionen udpeger en repræsentant. Formanden for Databeskyttelsesrådet underretter Kommissionen om aktiviteterne i Databeskyttelsesrådet.

6. I de i artikel 65 omhandlede tilfælde har Den Europæiske Tilsynsførende for Databeskyttelse kun stemmeret i forbindelse med afgørelser, der vedrører principper og bestemmelser, som gælder for Unionens institutioner, organer, kontorer og agenturer, og som indholdsmæssigt er i overensstemmelse med denne forordnings principper og bestemmelser.

Artikel 69

Uafhængighed

1. Databeskyttelsesrådet handler uafhængigt, når det udfører sine opgaver eller udøver sine beføjelser i henhold til artikel 70 og 71.

2. Uden at det berører anmodninger fra Kommissionen som omhandlet i artikel 70, stk. 1, litra b), og stk. 2, må Databeskyttelsesrådet ikke søge eller modtage instrukser fra andre i forbindelse med udførelsen af sine opgaver eller udøvelsen af sine beføjelser.

Artikel 70

Databeskyttelsesrådets opgaver

1. Databeskyttelsesrådet sikrer ensartet anvendelse af denne forordning. Med henblik herpå skal Databeskyttelsesrådet på eget initiativ eller, når det er relevant, efter anmodning fra Kommissionen navnlig:

a) føre tilsyn med og sikre korrekt anvendelse af denne forordning i de tilfælde, der er omhandlet i artikel 64 og 65, uden at dette berører de nationale tilsynsmyndigheders opgaver

b) rådgive Kommissionen om ethvert spørgsmål vedrørende beskyttelse af personoplysninger i Unionen, herunder om ethvert forslag til ændring af denne forordning

c) rådgive Kommissionen om format og procedurer for videregivelse af oplysninger mellem dataansvarlige, databehandlere og tilsynsmyndigheder vedrørende bindende virksomhedsregler

d) udstede retningslinjer, henstillinger og bedste praksis vedrørende procedurer for sletning af link til og kopier eller gengivelser af personoplysninger fra offentligt tilgængelige kommunikationstjenester som omhandlet i artikel 17, stk. 2

e) på eget initiativ, efter anmodning fra et af sine medlemmer eller efter anmodning fra Kommissionen undersøge ethvert spørgsmål vedrørende anvendelsen af denne forordning og udstede retningslinjer, henstillinger og bedste praksis for at fremme ensartet anvendelse af denne forordning

f) udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på nærmere at angive kriterierne og betingelserne for afgørelser baseret på profilering i henhold til artikel 22, stk. 2

g) udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på fastlæggelse af brud på persondatasikkerheden og den unødige forsinkelse omhandlet i artikel 33, stk. 1 og 2, og vedrørende de særlige omstændigheder, hvor en dataansvarlig eller en databehandler har pligt til at anmelde brud på persondatasikkerheden

h) udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) vedrørende de omstændigheder, hvor brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder som omhandlet i artikel 34, stk. 1

i) udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på nærmere at angive kriterierne for og kravene til overførsel af personoplysninger baseret på bindende virksomhedsregler, som dataansvarlige overholder, og bindende virksomhedsregler, som databehandlere overholder, og vedrørende yderligere krav til at sikre beskyttelse af de berørte registreredes personoplysninger som omhandlet i artikel 47

j) udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på nærmere at angive kriterierne for og kravene til overførsel af personoplysninger på grundlag af artikel 49, stk. 1

k) udarbejde retningslinjer for tilsynsmyndighederne vedrørende anvendelse af foranstaltninger, jf. artikel 58, stk. 1, 2 og 3, og fastsættelse af administrative bøder i henhold til artikel 83

l) gennemgå den praktiske anvendelse af de retningslinjer og henstillinger og den bedste praksis, der er omhandlet i litra e) og f)

m) udstede retningslinjer, henstillinger og bedste praksis i overensstemmelse med dette stykkes litra e) med henblik på fastlæggelse af fælles procedurer for fysiske personers indberetning af overtrædelser af denne forordning, jf. artikel 54, stk. 2,

n) tilskynde til udarbejdelse af adfærdskodekser og fastlæggelse af certificeringsmekanismer for databeskyttelse og databeskyttelsesmærkninger og -mærker i henhold til artikel 40 og 42

o) foretage akkreditering af certificeringsorganer og regelmæssig revision heraf i henhold til artikel 43 og føre et offentligt register over akkrediterede organer i henhold til artikel 43, stk. 6, og over de akkrediterede dataansvarlige eller databehandlere i tredjelande i henhold til artikel 42, stk. 7

p) angive de krav, der er omhandlet i artikel 43, stk. 3, med henblik på akkreditering af certificeringsorganer i henhold til artikel 42

q) afgive udtalelse til Kommissionen om de certificeringskrav, der er omhandlet i artikel 43, stk. 8

r) afgive udtalelse til Kommissionen om de ikoner, der er omhandlet i artikel 12, stk. 7

s) afgive udtalelse til Kommissionen med henblik på vurdering af tilstrækkeligheden af beskyttelsesniveauet i et tredjeland eller en international organisation, herunder vurdering af, om et tredjeland, et område eller en eller flere specifikke sektorer i det pågældende tredjeland, eller en international organisation ikke længere sikrer et tilstrækkeligt beskyttelsesniveau. Til dette formål forelægger Kommissionen Databeskyttelsesrådet al nødvendig dokumentation vedrørende tredjelandet, området eller den specifikke sektor, eller den internationale organisation, herunder korrespondance med regeringen i tredjelandet,

t) afgive udtalelser om tilsynsmyndigheders udkast til afgørelse i overensstemmelse med den sammenhængsmekanisme, der er omhandlet i artikel 64, stk. 1, og om sager, der er forelagt i henhold til artikel 64, stk. 2, og udstede bindende afgørelser i henhold til artikel 65, herunder i de tilfælde, der er omhandlet i artikel 66

u) fremme samarbejdet og effektiv bilateral og multilateral udveksling af oplysninger og bedste praksis mellem tilsynsmyndighederne

v) fremme fælles uddannelsesprogrammer og udveksling af personale mellem tilsynsmyndighederne og i relevante tilfælde med tilsynsmyndighederne i tredjelande eller med internationale organisationer

w) fremme udveksling af viden og dokumentation vedrørende databeskyttelseslovgivning og -praksis med datatilsynsmyndigheder over hele verden

x) afgive udtalelser om adfærdskodekser, der udarbejdes på EU-plan, jf. artikel 40, stk. 9, og

y) føre et offentligt tilgængeligt elektronisk register over afgørelser truffet af tilsynsmyndigheder og domstole om spørgsmål, der er blevet behandlet i sammenhængsmekanismen.

2. Hvis Kommissionen anmoder Databeskyttelsesrådet om rådgivning, kan den fastsætte en frist under hensyntagen til, hvor meget den pågældende sag haster.

3. Databeskyttelsesrådet fremsender sine udtalelser, retningslinjer, henstillinger og bedste praksis til Kommissionen og det udvalg, der er omhandlet i artikel 93, og offentliggør dem.

4. Databeskyttelsesrådet hører efter omstændighederne berørte parter og giver dem mulighed for at fremsætte bemærkninger inden for en rimelig frist. Databeskyttelsesrådet offentliggør med forbehold af artikel 76 resultaterne af høringsproceduren.

Artikel 71

Rapporter

1. Databeskyttelsesrådet udarbejder en årlig rapport om beskyttelse af fysiske personer i forbindelse med behandling i Unionen og, hvis det er relevant, i tredjelande og internationale organisationer. Rapporten offentliggøres og forelægges Europa-Parlamentet, Rådet og Kommissionen.

2. Den årlige rapport skal omfatte en gennemgang af den praktiske anvendelse af de retningslinjer og henstillinger og den bedste praksis, der er omhandlet i artikel 70, stk. 1, litra l), og de bindende afgørelser, der er omhandlet i artikel 65.

Artikel 72

Procedure

1. Databeskyttelsesrådet træffer afgørelse med simpelt flertal blandt sine medlemmer, medmindre andet er fastsat i denne forordning.

2. Databeskyttelsesrådet vedtager sin forretningsorden med et flertal på to tredjedele blandt sine medlemmer og tilrettelægger sin drift.

Artikel 73

Formand

1. Databeskyttelsesrådet vælger med simpelt flertal en formand og to næstformænd blandt sine medlemmer.

2. Embedsperioden for formanden og de to næstformænd er fem år med mulighed for forlængelse én gang.

Artikel 74

Formandens opgaver

1. Formanden har følgende opgaver:

a) at indkalde til møder i Databeskyttelsesrådet og udarbejde dagsordenen herfor

b) at underrette den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder om de afgørelser, der vedtages af Databeskyttelsesrådet i henhold til artikel 65

c) at sikre, at Databeskyttelsesrådets opgaver udføres rettidigt, navnlig i forbindelse med den sammenhængsmekanisme, der er omhandlet i artikel 63.

2. Databeskyttelsesrådet fastlægger fordelingen af opgaver mellem formanden og næstformændene i sin forretningsorden.

Artikel 75

Sekretariat

1. Databeskyttelsesrådet har et sekretariat, som stilles til rådighed af Den Europæiske Tilsynsførende for Databeskyttelse.

2. Sekretariatet udfører udelukkende sine opgaver efter instruks fra formanden for Databeskyttelsesrådet.

3. Det personale ved Den Europæiske Tilsynsførende for Databeskyttelse, der deltager i udførelsen af Databeskyttelsesrådets opgaver i henhold til denne forordning, skal have særskilte rapporteringsveje i forhold til det personale, der deltager i udførelsen af opgaver, som Den Europæiske Tilsynsførende for Databeskyttelse har fået tildelt.

4. Databeskyttelsesrådet og Den Europæiske Tilsynsførende for Databeskyttelse udarbejder og offentliggør om nødvendigt et aftalememorandum til gennemførelse af denne artikel, som fastsætter vilkårene for deres samarbejde, og som gælder for det personale ved Den Europæiske Tilsynsførende for Databeskyttelse, der deltager i udførelsen af Databeskyttelsesrådets opgaver i henhold til denne forordning.

5. Sekretariatet yder analytisk, administrativ og logistisk støtte til Databeskyttelsesrådet.

6. Sekretariatet er navnlig ansvarligt for:

a) Databeskyttelsesrådets daglige arbejde

b) kommunikation mellem medlemmerne af Databeskyttelsesrådet, dets formand og Kommissionen

c) kommunikation med andre institutioner og offentligheden

d) brug af elektroniske midler til intern og ekstern kommunikation

e) oversættelse af relevante oplysninger

f) forberedelse og opfølgning af Databeskyttelsesrådets møder

g) forberedelse, udarbejdelse og offentliggørelse af udtalelser, afgørelser om bilæggelse af tvister mellem tilsynsmyndigheder og andre dokumenter, der vedtages af Databeskyttelsesrådet.

Artikel 76

Fortrolighed

1. Databeskyttelsesrådets drøftelser er fortrolige, hvis Databeskyttelsesrådet vurderer, at det er nødvendigt, jf. dets forretningsorden.

2. Aktindsigt i dokumenter, der forelægges medlemmer af Databeskyttelsesrådet, eksperter og repræsentanter for tredjemand, er omfattet af Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 (21) .

Officielle noter

(21) Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30. maj 2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter (EFT L 145 af 31.5.2001, s. 43).

Advokat Jørgen U. Grønborg