EUROPAPARLAMENTET OG RÅDET FOR DEN EUROPEISKE UNION HAR —

under henvisning til traktaten om Den europeiske unions virkemåte, særlig artikkel 16,

under henvisning til forslag fra Europakommisjonen,

etter oversending av utkast til regelverksakt til de nasjonale parlamentene,

under henvisning til uttalelse fra Den europeiske økonomiske og sosiale komité1,

under henvisning til uttalelse fra Regionkomiteen2,

etter den ordinære regelverksprosessen3, og

ut fra følgende betraktninger:

1. Vern av fysiske personer i forbindelse med behandling av personopplysninger er en grunnleggende rettighet.  I artikkel 8 nr. 1 i Den europeiske unions pakt om grunnleggende rettigheter (heretter kalt «pakten») og i artikkel 16 nr. 1 i trak­taten om Den europeiske unions virkemåte (TEUV) er det fastsatt at enhver per­son har rett til vern av personopplysninger om vedkommende selv.
2. Prinsippene og reglene for vern av fysiske personer i forbindelse med behand­ling av personopplysninger som gjelder dem selv, bør, uavhengig av nevnte per­soners statsborgerskap eller bosted, respektere deres grunnleggende rettighe­ter og friheter, særlig retten til vern av personopplysninger.  Hensikten med denne forordning er å bidra til å skape et område med frihet, sikkerhet og rett­ferdighet samt en økonomisk union og å bidra til økonomisk og sosial framgang, til å oppnå en styrking og tilnærming av økonomiene i det indre marked og til fysiske personers velferd.
3. Europaparlaments- og rådsdirektiv 95/46/EF4 har som formål å harmonisere vernet av fysiske personers grunnleggende rettigheter og friheter i forbindelse med behandlingsaktiviteter samt å sikre fri flyt av personopplysninger mellom medlemsstatene.
4. Behandling av personopplysninger bør ha som formål å tjene menneskeheten. Retten til vern av personopplysninger er ikke en absolutt rettighet; den må ses i sammenheng med den funksjon den har i samfunnet, og veies mot andre grunnleggende rettigheter i samsvar med forholdsmessighetsprinsippet.  Denne forordning overholder alle grunnleggende rettigheter og de friheter og prinsipper som er anerkjent i pakten, slik de er nedfelt i traktatene, særlig med hensyn til privatliv og familieliv, hjem og kommunikasjon, vern av personopplysninger, tanke-, tros- og religionsfrihet, ytrings- og informasjonsfrihet, frihet til å drive næringsvirksomhet, retten til effektiv prøving og rettferdig rettergang samt kul­turelt, religiøst og språklig mangfold.
5. Den økonomiske og sosiale integrasjon som er oppnådd som følge av det indre markeds virkemåte, har ført til en betydelig økt flyt av personopplysninger over landegrensene.  Utvekslingen av personopplysninger mellom offentlige og pri­vate aktører, herunder fysiske personer, sammenslutninger og foretak, i Unionen har økt.  Nasjonale myndigheter i medlemsstatene oppfordres i unionsretten til å samarbeide og utveksle personopplysninger for å kunne utføre sitt arbeid eller utføre oppgaver på vegne av en myndighet i en annen medlemsstat.
6. Den raske teknologiske utviklingen samt globaliseringen har skapt nye utford­ringer med hensyn til vern av personopplysninger.  Omfanget av innsamlingen og utvekslingen av personopplysninger har økt betraktelig.  Teknologien gjør det mulig for både private selskaper og offentlige myndigheter å benytte seg av personopplysninger i sitt arbeid i et helt nytt omfang.  Fysiske personer gjør i stadig større grad personopplysninger offentlig tilgjengelig, også globalt.  Tekno­logien har endret både økonomien og det sosiale liv og bør ytterligere fremme den frie flyt av personopplysninger i Unionen og overføring av disse til tredje­stater og internasjonale organisasjoner, samtidig som det sikres et høyt nivå for vern av personopplysningene.
7. Denne utviklingen krever en sterk og mer sammenhengende ramme for vern av personopplysninger i Unionen støttet av en streng håndheving av reglene, etter­som det er viktig å skape den nødvendige tillit som vil gjøre at den digitale økonomien kan utvikle seg i det indre marked.  Fysiske personer bør ha kontroll over egne personopplysninger.  Rettssikkerheten og den praktiske sikkerheten for fysiske personer, markedsdeltakere og offentlige myndigheter bør styrkes.
8. Når det i denne forordning fastsettes at det kan innføres presiseringer eller be­grensninger av dens regler gjennom medlemsstatenes nasjonale rett, kan med­lemsstatene, i den grad det er nødvendig av hensyn til sammenhengen og for å gjøre nasjonale bestemmelser forståelige for de personer de får anvendelse på, innarbeide elementer fra denne forordning i sin nasjonale rett.
9. Målene og prinsippene i direktiv 95/46/EF er fremdeles gyldige, men det har ikke hindret en fragmentert gjennomføring av vernet av personopplysninger i Unionen, rettslig usikkerhet eller en utbredt allmenn oppfatning om at det frem­deles er betydelige risikoer forbundet med vernet av fysiske personer, særlig i forbindelse med aktiviteter på Internett.  Forskjeller i nivået for vern av fysiske personers rettigheter og friheter, særlig retten til vern av personopplysninger, i forbindelse med behandling av personopplysninger i medlemsstatene kan hindre den frie flyt av personopplysninger i Unionen.  Disse forskjellene kan derfor være til hinder for utøvelsen av økonomisk virksomhet på EU-plan, føre til kon­kurransevridning og hindre myndighetene i å ivareta sitt ansvar i henhold til unionsretten.  En slik forskjell i beskyttelsesnivå skyldes forskjellig gjennom­føring og anvendelse av direktiv 95/46/EF.
10. For å sikre et ensartet og høyt nivå for vern av fysiske personer og fjerne hind­ringene for flyten av personopplysninger i Unionen bør nivået for vern av fy­siske personers rettigheter og friheter i forbindelse med behandling av slike opplysninger være det samme i alle medlemsstater.  Det bør sikres at reglene for vern av fysiske personers grunnleggende rettigheter og friheter i forbindelse med behandling av personopplysninger anvendes på en ensartet og enhetlig måte i hele Unionen.  Når det gjelder behandling av personopplysninger for å oppfylle en rettslig forpliktelse, utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, bør medlemsstatene kunne opprettholde eller innføre nasjonale bestemmelser for nærmere å presisere anvendelsen av reglene i denne forordning.  Sammen med det alminnelige og tverrgående regelverket for vern av personopplysninger som gjennomfører direktiv 95/46/EF, har medlemsstatene flere sektorspesifikke lover på områder som krever mer spesifikke bestemmelser.  Denne forordning gir også medlemsstatene handlingsrom til å fastsette egne regler, herunder for be­handling av særlige kategorier av personopplysninger («sensitive opplysnin­ger»).  I denne forbindelse utelukker denne forordning ikke at det i medlems­statenes nasjonale rett fastsettes nærmere omstendigheter for spesifikke situa­sjoner der personopplysninger behandles, herunder mer nøyaktige vilkår for når behandling av personopplysninger er lovlig.
11. For å sikre et effektivt vern av personopplysninger i hele Unionen kreves det en styrking og en nærmere fastsettelse av rettighetene til de registrerte og pliktene til dem som behandler og treffer avgjørelser om behandling av personopplys­ninger, samt at det i medlemsstatene finnes den samme myndighet til å føre til­syn med og sikre overholdelse av reglene for vern av personopplysninger og de samme sanksjonene ved overtredelser.
12. Ved artikkel 16 nr. 2 i TEUV gis Europaparlamentet og Rådet fullmakt til å fast­sette regler om vern av fysiske personer i forbindelse med behandling av per­sonopplysninger samt regler om fri utveksling av personopplysninger.
13. For å sikre et ensartet nivå for vern av fysiske personer i hele Unionen og hin­dre at forskjeller hemmer den frie utvekslingen av personopplysninger i det indre marked er det behov for en forordning for å skape rettssikkerhet og åpen­het for markedsdeltakere, herunder svært små, små og mellomstore bedrifter, og som vil gi fysiske personer i alle medlemsstater det samme nivået av rettslig bindende rettigheter og plikter, og behandlingsansvarlige og databehandlere det samme ansvaret, for å sikre et ensartet tilsyn med behandlingen av personopp­lysninger og de samme sanksjonene i alle medlemsstater samt et effektivt sam­arbeid mellom tilsynsmyndighetene i forskjellige medlemsstater.  For å sikre et velfungerende indre marked kreves det at den frie utvekslingen av personopp­lysninger i Unionen ikke begrenses eller forbys av årsaker knyttet til vern av fysiske personer i forbindelse med behandling av personopplysninger.  For å ta høyde for den særlige situasjonen til svært små, små og mellomstore bedrifter inneholder denne forordning et unntak for organisasjoner med færre enn 250 ansatte med hensyn til føring av protokoller.  Videre oppfordres Unionens institu­sjoner og organer samt medlemsstatene og deres tilsynsmyndigheter til å ta høyde for de særlige behovene til svært små, små og mellomstore bedrifter ved anvendelsen av denne forordning.  Definisjonen av begrepene svært små, små og mellomstore bedrifter bør bygge på artikkel 2 i vedlegget til kommisjons­rekommandasjon 2003/361/EF5.
14. Det vern som denne forordning gir i forbindelse med behandling av personopp­lysninger, bør få anvendelse på fysiske personer, uavhengig av deres statsbor­gerskap eller bosted.  Denne forordning omfatter ikke behandling av personopp­lysninger som gjelder juridiske personer, og særlig foretak etablert som juri­diske personer, herunder den juridiske personens navn, form og kontaktopplys­ninger.
15. For å unngå at det oppstår en alvorlig risiko for at bestemmelsene omgås bør vernet av fysiske personer være teknologisk nøytralt og ikke avhenge av tek­nikkene som benyttes.  Vernet av fysiske personer bør få anvendelse på auto­matisert behandling av personopplysninger samt manuell behandling dersom personopplysningene inngår i eller skal inngå i et register.  Saksmapper eller samlinger av saksmapper samt deres forsider som ikke er strukturert etter bestemte kriterier, bør ikke omfattes av denne forordnings virkeområde.
16. Denne forordning får ikke anvendelse på spørsmål om vern av grunnleggende rettigheter og friheter eller fri flyt av personopplysninger knyttet til aktiviteter som ikke omfattes av unionsretten, f.eks. aktiviteter som gjelder nasjonal sik­kerhet.  Denne forordning får ikke anvendelse på medlemsstatenes behandling av personopplysninger når dette utføres i forbindelse med aktiviteter knyttet til Unionens felles utenriks- og sikkerhetspolitikk.
17. Europaparlaments- og rådsforordning (EF) nr. 45/20016 får anvendelse på be­handling av personopplysninger som utføres av Unionens institusjoner, organer, kontorer og byråer.  Forordning (EF) nr. 45/2001 og andre EU-rettsakter som får anvendelse på nevnte behandling av personopplysninger, bør tilpasses prinsip­pene og reglene fastsatt i denne forordning og anvendes i lys av denne forord­ning.  For å sikre en sterk og sammenhengende ramme for vern av personopp­lysninger i Unionen bør de nødvendige tilpasninger av forordning (EF) nr. 45/­2001 gjøres etter at denne forordning er vedtatt, slik at de får anvendelse sam­tidig som denne forordning.
18. Denne forordning får ikke anvendelse på behandling av personopplysninger som en fysisk person utfører i forbindelse med rent personlige eller familiemessige aktiviteter, og som derfor ikke er knyttet til en yrkes- eller forretningsvirksom­het.  Personlige eller familiemessige aktiviteter kan omfatte korrespondanse og føring av adresselister eller aktiviteter på sosiale nettverk samt aktiviteter på Internett i forbindelse med slike aktiviteter.  Denne forordning får imidlertid an­vendelse på behandlingsansvarlige eller databehandlere som stiller til rådighet midler til behandling av personopplysninger i forbindelse med slike personlige eller familiemessige aktiviteter.
19. Vern av fysiske personer i forbindelse med vedkommende myndigheters be­handling av personopplysninger med henblikk på å forebygge, etterforske, av­sløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sank­sjoner, herunder vern mot og forebygging av trusler mot den offentlige sikker­het samt fri utveksling av nevnte opplysninger, omfattes av en spesifikk EU- rettsakt.  Denne forordning bør derfor ikke få anvendelse på behandlingsaktivi­teter som utføres for nevnte formål.  Offentlige myndigheters behandling av personopplysninger i henhold til denne forordning bør, når behandlingen utføres for nevnte formål, imidlertid omfattes av en mer spesifikk EU-rettsakt, nærmere bestemt europaparlaments- og rådsdirektiv (EU) 2016/6807.  Medlemsstatene kan overlate oppgaver som ikke nødvendigvis utføres for å forebygge, etter­forske, avsløre eller straffeforfølge straffbare forhold eller iverksette straffe­rettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet, til vedkommende myndigheter som definert i direktiv (EU) 2016/680, slik at behandlingen av personopplysninger for slike andre formål, i den grad dette omfattes av unionsretten, omfattes av denne forordning.

    Med hensyn til nevnte vedkommende myndigheters behandling av person­opplysninger for formål som omfattes av denne forordning, bør medlemsstatene kunne opprettholde eller innføre mer spesifikke bestemmelser for å tilpasse anvendelsen av reglene i denne forordning.  I nevnte bestemmelser kan det fastsettes mer spesifikke krav til nevnte vedkommende myndigheters behand­ling av personopplysninger for slike andre formål, idet det tas hensyn til den enkelte medlemsstats forfatningsmessige, organisatoriske og administrative struktur.  Når behandling av personopplysninger utført av private organer omfat­tes av denne forordning, bør det i denne forordning fastsettes en mulighet for at medlemsstatene på særlige vilkår ved lov kan begrense visse forpliktelser og rettigheter dersom nevnte begrensning utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre særlige viktige interesser, herunder den offentlige sikkerhet samt forebygging, etterforskning, avsløring eller straffe­forfølging av straffbare forhold eller iverksetting av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet. Dette er f.eks. relevant i forbindelse med bekjempelse av hvitvasking av penger eller kriminaltekniske laboratoriers virksomhet.

20. Selv om denne forordning blant annet får anvendelse på domstolers og andre rettshåndhevende myndigheters virksomhet, kan det i unionsretten eller med­lemsstatenes nasjonale rett angis hvilke prosesser og framgangsmåter for be­handling som får anvendelse på behandling av personopplysninger som utføres av domstoler og andre rettshåndhevende myndigheter.  Tilsynsmyndighetenes kompetanse bør ikke omfatte domstolers behandling av personopplysninger når dette utføres innenfor rammen av domstolenes domsmyndighet, for å sikre domstolenes uavhengighet når de utfører sine juridiske oppgaver, herunder når de treffer avgjørelser.  Det bør være mulig å overlate tilsynet med slike data­behandlingsaktiviteter til særskilte organer innenfor medlemsstatens rettssys­tem som særlig bør sikre at reglene i denne forordning overholdes, øke bevisst­heten til medlemmene av domstolsvesenet om de forpliktelser de har i henhold til denne forordning, og håndtere klager i forbindelse med nevnte databehand­lingsaktiviteter.
21. Denne forordning berører ikke anvendelsen av europaparlaments- og rådsdirek­tiv 2000/31/EF8, særlig reglene for tjenesteytende mellommenns ansvar i artikkel 12–15 i nevnte direktiv.  Formålet med nevnte direktiv er å bidra til at det indre marked fungerer på en tilfredsstillende måte ved å sikre fri bevege­lighet for informasjonssamfunnstjenester mellom medlemsstatene.
22. Enhver behandling av personopplysninger som utføres i forbindelse med aktivi­tetene i en virksomhet tilhørende en behandlingsansvarlig eller databehandler i Unionen, bør utføres i samsvar med denne forordning, uavhengig av om be­handlingen finner sted i Unionen eller ikke.  En virksomhet innebærer en effektiv og faktisk utøvelse av aktivitet gjennom en stabil struktur.  En slik strukturs rettslige form, enten det dreier seg om en filial eller et datterforetak med status som juridisk person, er ikke av avgjørende betydning i denne forbindelse.
23. For å sikre at fysiske personer ikke fratas det vern de har rett til i henhold til denne forordning, bør behandling av personopplysninger om registrerte som be­finner seg i Unionen, og som utføres av en behandlingsansvarlig eller en data­behandler som ikke er etablert i Unionen, omfattes av denne forordning dersom behandlingsaktivitetene er knyttet til tilbud av varer eller tjenester til nevnte registrerte, uansett om det kreves betaling eller ikke.  For å avgjøre om nevnte behandlingsansvarlig eller databehandler tilbyr varer eller tjenester til regi­strerte som befinner seg i Unionen, bør det bringes på det rene om det er åpen­bart at den behandlingsansvarlige eller databehandleren har til hensikt å tilby tjenester til registrerte i én eller flere medlemsstater i Unionen.  Selv om tilgang til den behandlingsansvarliges, databehandlerens eller en mellommanns nettsted i Unionen, til en e-postadresse eller til andre kontaktopplysninger, eller bruk av et språk som vanligvis benyttes i tredjestaten der den behandlingsansvarlige er etablert, ikke er tilstrekkelig til å fastslå en slik hensikt, kan faktorer som bruk av et språk eller en valuta som vanligvis benyttes i én eller flere medlemsstater, sammen med en mulighet til å bestille varer og tjenester på nevnte andre språk, eller omtale av kunder eller brukere som befinner seg i Unionen, gjøre det åpenbart at den behandlingsansvarlige har til hensikt å tilby varer eller tje­nester til registrerte i Unionen.
24. Behandling av personopplysninger om registrerte som befinner seg i Unionen, og som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i Unionen, bør også omfattes av denne forordning dersom behandlingen er knyttet til monitorering av de registrertes atferd, så langt atferden finner sted i Unionen.  For å fastslå om en behandlingsaktivitet kan anses som monitorering av de registrertes atferd bør det bringes på det rene om det skjer sporing av fysiske personer på Internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe avgjørelser om vedkommende eller ana­lysere eller forutsi vedkommendes personlige preferanser, atferd eller holdnin­ger.
25. Dersom medlemsstatens nasjonale rett får anvendelse i kraft av folkeretten, bør denne forordning også få anvendelse på en behandlingsansvarlig som ikke er etablert i Unionen, f.eks. ved en medlemsstats diplomatiske stasjoner eller kon­sulater.
26. Prinsippene om vern av personopplysninger bør få anvendelse på enhver opp­lysning om en identifisert eller identifiserbar fysisk person.  Personopplysninger som er blitt pseudonymisert, og som kan knyttes til en fysisk person ved hjelp av tilleggsopplysninger, bør anses som opplysninger om en identifiserbar fysisk person.  Når det skal fastslås om en fysisk person er identifiserbar, bør det tas hensyn til alle midler som det med rimelighet kan tenkes at den behandlings­ansvarlige eller en annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte, f.eks. utpeking.  For å fastslå om midler med rimelighet kan tenkes å bli tatt bruk for å identifisere den fysiske personen bør det tas hensyn til alle objektive faktorer, f.eks. kostnadene for og tiden som er nødven­dig for å foreta identifikasjonen, idet det tas hensyn til teknologien som er til­gjengelig på behandlingstidspunktet, samt den teknologiske utvikling.  Prinsip­pene om vern av personopplysninger bør derfor ikke få anvendelse på anonyme opplysninger, nærmere bestemt opplysninger som ikke kan knyttes til en identi­fisert eller identifiserbar fysisk person, eller personopplysninger som er blitt anonymisert på en slik måte at den registrerte ikke lenger kan identifiseres. Denne forordning gjelder derfor ikke behandling av slike anonyme opplysninger, herunder for statistiske formål eller forskningsformål.
27. Denne forordning får ikke anvendelse på personopplysninger om avdøde perso­ner.  Medlemsstatene kan fastsette regler om behandling av personopplysninger om avdøde personer.
28. Pseudonymisering av personopplysninger kan redusere risikoene for de berørte registrerte og bidra til at behandlingsansvarlige og databehandlere kan oppfylle sine forpliktelser med hensyn til vern av personopplysninger.  Hensikten med den uttrykkelige innføringen av «pseudonymisering» i denne forordning er ikke å utelukke andre tiltak for vern av personopplysninger.
29. For å skape insitamenter til bruk av pseudonymisering i forbindelse med be­handling av personopplysninger bør pseudonymiseringstiltak som samtidig tilla­ter en generell analyse, være mulig hos den samme behandlingsansvarlige når denne har truffet de tekniske og organisatoriske tiltak som er nødvendige for å sikre at denne forordning gjennomføres med tanke på den berørte behandlin­gen, og at tilleggsopplysninger som gjør det mulig å knytte personopplysningene til en bestemt registrert, lagres atskilt.  Den behandlingsansvarlige som behand­ler personopplysningene, bør angi de autoriserte personene hos den samme behandlingsansvarlige.
30. Fysiske personer kan knyttes til nettidentifikatorer via utstyr, programmer, verk­tøy og protokoller, f.eks. IP-adresser, informasjonskapsler eller andre identifika­torer, f.eks. radiofrekvensidentifikasjonsmerker.  Dette kan etterlate spor som særlig i kombinasjon med entydige identifikatorer og andre opplysninger som serverne mottar, kan brukes til å opprette profiler for fysiske personer og identi­fisere dem.
31. Offentlige myndigheter som får utlevert personopplysninger i samsvar med en rettslig forpliktelse i forbindelse med utøvelse av sitt offentlige oppdrag, f.eks. skatte- og tollmyndigheter, enheter som driver økonomisk etterforskning, uav­hengige forvaltningsmyndigheter eller finansmarkedsmyndigheter med ansvar for regulering av og tilsyn med verdipapirmarkeder, bør ikke anses som mot­takere dersom de mottar personopplysninger som er nødvendige for å utføre en bestemt granskning av allmenn interesse i samsvar med unionsretten eller med­lemsstatenes nasjonale rett.  Offentlige myndigheters anmodninger om utlever­ing av informasjon bør alltid være skriftlige, begrunnede og leilighetsvise og bør ikke gjelde et helt register eller føre til sammenkopling av registre.  Nevnte offentlige myndigheters behandling av personopplysninger bør overholde gjel­dende regler om vern av personopplysninger i samsvar med formålet med be­handlingen.
32. Samtykke bør gis i form av en tydelig bekreftelse der den registrerte på en fri­villig, spesifikk, informert og utvetydig måte gir sitt samtykke til behandling av vedkommendes personopplysninger, f.eks. i form av en skriftlig, herunder elek­tronisk, eller en muntlig erklæring.  Dette kan innebære å krysse av i en boks under et besøk på et nettsted, velge tekniske innstillinger for informasjonssam­funnstjenester eller en annen erklæring eller handling som i denne forbindelse tydelig viser at den registrerte godtar den foreslåtte behandlingen av vedkom­mendes personopplysninger.  Taushet, forhåndsavkryssede bokser eller inaktivi­tet bør derfor ikke utgjøre et samtykke.  Et samtykke bør omfatte alle behand­lingsaktiviteter som utføres med henblikk på samme formål.  Dersom det er flere formål med behandlingen, bør det gis samtykke til alle.  Dersom den registrertes samtykke skal gis etter en elektronisk anmodning, må anmodningen være tydelig, kortfattet og ikke unødig forstyrre bruken av den tjenesten sam­tykket gjelder.
33. For formål knyttet til vitenskapelig forskning er det ofte ikke mulig fullt ut å identifisere formålet med behandlingen av personopplysninger på tidspunktet for innsamlingen av opplysningene.  De registrerte bør derfor kunne gi sitt sam­tykke til visse områder innen vitenskapelig forskning når dette er i samsvar med anerkjente etiske standarder for vitenskapelig forskning.  De registrerte bør ha mulighet til å gi sitt samtykke bare til visse forskningsområder eller deler av forskningsprosjekter i det omfang det tilsiktede formålet tillater det.
34. Genetiske opplysninger bør defineres som personopplysninger om en fysisk per­sons nedarvede eller ervervede genetiske egenskaper som foreligger etter ana­lysering av en biologisk prøve fra nevnte fysiske person, særlig en kromosom­analyse eller en DNA- eller RNA-analyse, eller analysering av andre elementer som gjør det mulig å innhente tilsvarende opplysninger.
35. Personopplysninger om helse bør omfatte alle opplysninger om den registrertes helsetilstand som avdekker den registrertes tidligere, nåværende eller fremtid­ige fysiske eller psykiske helsetilstand.  Dette omfatter opplysninger om den fysiske personen innsamlet under registrering av vedkommende med henblikk på eller under yting av helsetjenester, som nevnt i europaparlaments- og råds­direktiv 2011/24/EU9, til den aktuelle fysiske personen; et tall, symbol eller kjennetegn som tildeles en fysisk person for på en entydig måte å identifisere vedkommende for helseformål; opplysninger som stammer fra tester eller undersøkelser av en kroppsdel eller en kroppssubstans, herunder fra genetiske opplysninger og biologiske prøver; og enhver opplysning om den registrerte med hensyn til f.eks. sykdom, funksjonshemning, sykdomsrisiko, sykehistorie, klinisk behandling eller fysiologisk eller biomedisinsk tilstand uavhengig av hvor dette stammer fra, f.eks. fra en lege eller annet helsepersonell, et sykehus, medisinsk utstyr eller in vitrodiagnostikk.
36. En behandlingsansvarligs hovedvirksomhet i Unionen bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, med mindre det treffes beslutninger om formål og midler i forbindelse med behandlingen av personopp­lysninger i en annen av den behandlingsansvarliges virksomheter i Unionen; da skal nevnte andre virksomhet anses for å være hovedvirksomheten.  En be­handlingsansvarligs hovedvirksomhet i Unionen bør fastslås ut fra objektive kri­terier og bør innebære en effektiv og faktisk utøvelse av ledelsesaktiviteter som munner ut i de viktigste avgjørelsene med hensyn til formålet med og midlene for behandlingen gjennom en stabil struktur.  Dette kriteriet bør ikke avhenge av om behandlingen av personopplysninger utføres på nevnte sted.  Det forhold at det finnes og benyttes tekniske midler og teknologier i forbindelse med behand­ling av personopplysninger eller behandlingsaktiviteter, utgjør i seg selv ikke en hovedvirksomhet, og er derfor ikke avgjørende for kriteriet om hovedvirksom­het.  Databehandlerens hovedvirksomhet bør være det sted der vedkommende har sin hovedadministrasjon i Unionen, eller dersom vedkommende ikke har en hovedadministrasjon i Unionen, det sted der de fleste behandlingsaktivitetene finner sted i Unionen.  I tilfeller som omfatter både den behandlingsansvarlige og databehandleren, bør vedkommende ledende tilsynsmyndighet fortsatt være tilsynsmyndigheten i medlemsstaten der den behandlingsansvarlige har sin hovedvirksomhet, mens databehandlerens tilsynsmyndighet bør anses for å være en berørt tilsynsmyndighet, og denne tilsynsmyndighet bør delta i fram­gangsmåten for samarbeid fastsatt i denne forordning.  Under alle omstendighe­ter bør tilsynsmyndighetene i medlemsstaten eller medlemsstatene der databe­handleren har én eller flere virksomheter, ikke anses for å være berørte tilsyns­myndigheter dersom utkastet til avgjørelse bare gjelder den behandlingsansvar­lige.  Dersom behandlingen utføres av et konsern, bør hovedvirksomheten til det foretaket som utøver kontroll, anses som konsernets hovedvirksomhet, bortsett fra når formålet med behandlingen og midlene som skal brukes, fast­settes av et annet foretak.
37. Et konsern bør omfatte et foretak som utøver kontroll, og dets kontrollerte fore­tak, der foretaket som utøver kontroll, bør være det foretak som kan utøve en dominerende innflytelse på de andre foretakene, f.eks. i kraft av eiendomsrett, økonomisk deltaking eller reglene det er underlagt, eller myndigheten til å få gjennomført regler om vern av personopplysninger.  Et foretak som kontrollerer behandlingen av personopplysninger i tilknyttede foretak, bør sammen med disse foretak anses som et konsern.
38. Barns personopplysninger fortjener et særlig vern, ettersom barn kan være mindre bevisste på aktuelle risikoer, konsekvenser og garantier samt på de ret­tigheter de har når det gjelder behandling av personopplysninger.  Et slikt særlig vern bør især få anvendelse på bruk av barns personopplysninger for markeds­føringsformål eller for å opprette personlighets- eller brukerprofiler samt på innsamling av personopplysninger om barn når de bruker tjenester som tilbys direkte til barn.  Samtykke fra den som har foreldreansvaret, bør ikke være nødvendig i forbindelse med forebyggings- eller rådgivningstjenester som tilbys direkte til barn.
39. Enhver behandling av personopplysninger bør være lovlig og rettferdig.  For fysiske personer bør det framgå klart og tydelig at personopplysninger om dem samles inn, benyttes, konsulteres eller på annen måte behandles, og i hvilket omfang de behandles eller vil bli behandlet.  Prinsippet om åpenhet krever at all informasjon og kommunikasjon i forbindelse med behandling av nevnte person­opplysninger er lett tilgjengelig og lettfattelig, og at språket som brukes, er klart og enkelt.  Prinsippet gjelder særlig informasjon til de registrerte om identiteten til den behandlingsansvarlige og formålene med behandlingen samt ytterligere informasjon for å sikre en rettferdig og åpen behandling for de berørte fysiske personer samt deres rett til å få bekreftelse på og bli underrettet om de person­opplysninger som gjelder dem, som behandles.  Fysiske personer bør gjøres oppmerksomme på risikoer, regler, garantier og rettigheter i forbindelse med behandling av personopplysninger, og på hvilken måte de kan utøve sine rettig­heter i forbindelse med nevnte behandling.  De særlige formålene med behand­lingen av personopplysningene bør især være berettigede, uttrykkelig angitt og fastsatt når personopplysningene samles inn.  Personopplysningene bør være adekvate, relevante og begrenset til det som er nødvendig for formålene de be­handles for.  Dette krever særlig at det sikres at personopplysningene ikke lag­res lenger enn det som er strengt nødvendig.  Personopplysninger bør behand­les bare dersom formålet med behandlingen ikke med rimelighet kan oppfylles på annen måte.  For å sikre at personopplysningene ikke lagres lenger enn nødvendig bør den behandlingsansvarlige fastsette frister for sletting eller for regelmessig gjennomgåelse.  Ethvert rimelig tiltak bør treffes for å sikre at uriktige personopplysninger rettes eller slettes.  Personopplysninger bør be­handles på en måte som gir tilstrekkelig sikkerhet og konfidensialitet, herunder for å hindre ulovlig tilgang til eller bruk av personopplysninger og utstyret som brukes i forbindelse med behandlingen.
40. For at behandlingen skal kunne anses som lovlig bør personopplysninger be­handles på grunnlag av den berørte registrertes samtykke eller et annet beret­tiget grunnlag som er fastsatt ved lov, enten i denne forordning eller i en annen bestemmelse i unionsretten eller medlemsstatenes nasjonale rett som nevnt i denne forordning, herunder behovet for å oppfylle den rettslige forpliktelsen som påhviler den behandlingsansvarlige, eller behovet for å oppfylle en avtale som den registrerte er part i, eller for å treffe tiltak på anmodning fra den regi­strerte før en avtaleinngåelse.
41. Når det i denne forordning vises til et rettslig grunnlag eller et lovgivningsmessig tiltak, krever dette ikke nødvendigvis en regelverksakt vedtatt av et parlament, med forbehold for kravene fastsatt i henhold til forfatningsordningen i den be­rørte medlemsstat.  Nevnte rettslige grunnlag eller lovgivningsmessige tiltak bør imidlertid være tydelig og presist, og anvendelsen av det bør være forutsigbar for personer som omfattes av det, i samsvar med rettspraksisen til Den euro­peiske unions domstol («Domstolen») og Den europeiske menneskerettighets­domstol.
42. Dersom behandlingen er basert på den registrertes samtykke, bør den behand­lingsansvarlige kunne påvise at den registrerte har samtykket til behandlingen. Særlig i forbindelse med skriftlige erklæringer om andre forhold bør det fore­ligge garantier for å sikre at den registrerte er kjent med at samtykke er gitt, og omfanget av det.  I samsvar med rådsdirektiv 93/13/EØF10 bør det foreligge en samtykkeerklæring som den behandlingsansvarlige på forhånd har utarbeidet i en forståelig og lett tilgjengelig form og formulert på et klart og enkelt språk, og som ikke bør inneholde urimelige vilkår.  For å sikre at samtykket er informert bør den registrerte minst kjenne den behandlingsansvarliges identitet og formål­ene med behandlingen som personopplysningene skal brukes til.  Samtykket skal ikke anses som frivillig dersom den registrerte ikke har en reell valgfrihet, eller ikke er i stand til å nekte å gi eller trekke tilbake et samtykke uten at det er til skade for vedkommende.
43. For å sikre at et samtykke gis frivillig bør det ikke utgjøre et gyldig rettslig grunnlag for behandling av personopplysninger i et bestemt tilfelle dersom det er en klar skjevhet mellom den registrerte og den behandlingsansvarlige, særlig dersom den behandlingsansvarlige er en offentlig myndighet og det derfor er usannsynlig at samtykket er gitt frivillig med hensyn til alle omstendigheter som kjennetegner den bestemte situasjonen.  Samtykket antas å ikke være gitt fri­villig dersom det ikke er mulig å gi separat samtykke for forskjellige behand­lingsaktiviteter, selv om det er hensiktsmessig i det enkelte tilfellet, eller dersom oppfyllelsen av en avtale, herunder yting av en tjeneste, avhenger av samtyk­ket, til tross for at et slikt samtykke ikke er nødvendig for å oppfylle avtalen.
44. Behandlingen bør anses som lovlig når den er nødvendig i forbindelse med en avtale, eller når det foreligger en hensikt om å inngå en avtale.
45. Dersom behandlingen utføres i samsvar med en rettslig forpliktelse som påhvi­ler den behandlingsansvarlige, eller dersom behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet, bør behandlingen ha rettslig grunnlag i unionsretten eller medlemsstatenes nasjo­nale rett.  Ved denne forordning kreves det ikke en særlig lovbestemmelse for hver enkelt behandling.  En lov kan være tilstrekkelig som grunnlag for flere behandlingsaktiviteter som bygger på en rettslig forpliktelse som påhviler den behandlingsansvarlige, eller dersom behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet.  Formålet med behandlingen bør også fastsettes i unionsretten eller i medlemsstatenes nasjonale rett.  Videre kan nevnte rettslige grunnlag presisere denne forord­nings allmenne vilkår for lovlig behandling av personopplysninger, fastsette spesifikasjoner for å fastslå hvem den behandlingsansvarlige er, hvilken type personopplysninger som skal behandles, de berørte registrerte, hvilke enheter personopplysningene kan utleveres til, formålsbegrensninger, hvor lenge opplys­ningene kan lagres og andre tiltak for å sikre lovlig og rettferdig behandling.  I unionsretten eller medlemsstatenes nasjonale rett bør det også fastsettes om den behandlingsansvarlige som utfører en oppgave i allmennhetens interesse eller utøver offentlig myndighet, bør være en offentlig myndighet eller en annen fysisk eller juridisk person underlagt offentlig rett eller, dersom det er i allmenn­hetens interesse, herunder for helseformål som folkehelse og sosial trygghet og forvaltning av helsetjenester, privatrett, f.eks. en yrkessammenslutning.
46. Behandlingen av personopplysninger bør også anses som lovlig dersom den er nødvendig for å verne en interesse som er av avgjørende betydning for den registrertes eller en annen fysisk persons liv.  Behandling av personopplysninger som er basert på en annen fysisk persons vitale interesser, bør i prinsippet bare finne sted dersom det er åpenbart at behandlingen ikke kan baseres på et annet rettslig grunnlag.  Noen typer behandling kan tjene både viktige allmenne inte­resser og den registrertes vitale interesser, f.eks. når behandlingen er nødven­dig av humanitære årsaker, herunder for å overvåke epidemier og spredning av dem, eller i humanitære nødssituasjoner, særlig i forbindelse med naturkatastro­fer og menneskeskapte katastrofer.
47. De berettigede interessene til en behandlingsansvarlig, herunder de berettigede interessene til en behandlingsansvarlig som personopplysninger kan utleveres til, eller til en tredjepart, kan utgjøre et rettslig grunnlag for behandlingen, forut­satt at den registrertes interesser eller grunnleggende rettigheter og friheter ikke går foran, idet det tas hensyn til de registrertes rimelige forventninger på grunnlag av forholdet mellom dem og den behandlingsansvarlige.  Det kan f.eks. foreligge en slik berettiget interesse når det er et relevant og passende forhold mellom den registrerte og den behandlingsansvarlige, f.eks. dersom den registrerte er kunde av den behandlingsansvarlige eller i vedkommendes tje­neste.  En berettiget interesse krever i alle tilfeller en nøye vurdering, herunder av om en registrert på tidspunktet for og i forbindelse med innsamling av per­sonopplysninger med rimelighet kan forvente at disse behandles for nevnte for­mål.  Den registrertes interesser og grunnleggende rettigheter kan særlig gå foran den behandlingsansvarliges interesser dersom personopplysningene behandles under omstendigheter der de registrerte med rimelighet forventer at opplysningene ikke viderebehandles.  Ettersom det er opp til lovgiveren ved lov å fastsette det rettslige grunnlaget for offentlige myndigheters behandling av personopplysninger, bør nevnte rettslige grunnlag ikke gjelde for behandling som offentlige myndigheter utfører i forbindelse med utførelse av de oppgavene de er tillagt.  Behandling av personopplysninger som er strengt nødvendig for å forebygge bedrageri, utgjør også en berettiget interesse for den berørte behandlingsansvarlige.  Behandling av personopplysninger i forbindelse med direkte markedsføring kan anses for å være en berettiget interesse.
48. Behandlingsansvarlige som er en del av et konsern, eller institusjoner som er tilknyttet et sentralt organ, kan ha en berettiget interesse av å overføre person­opplysninger internt i konsernet med henblikk på interne administrative formål, herunder behandling av kunders eller arbeidstakeres personopplysninger.  De allmenne prinsippene for overføring av personopplysninger i et konsern til et foretak i en tredjestat påvirkes ikke.
49. Behandling av personopplysninger i det omfang som er strengt nødvendig og forholdsmessig for å sikre nett- og informasjonssikkerheten, det vil si et netts eller informasjonssystems evne til, på et bestemt sikkerhetsnivå, å stå imot util­siktede hendelser eller ulovlige eller skadelige handlinger som svekker tilgjen­geligheten, autentisiteten, integriteten og konfidensialiteten til lagrede eller overførte personopplysninger, samt sikkerheten i beslektede tjenester som til­bys av eller er gjort tilgjengelige via nevnte nett og systemer, av offentlige myn­digheter, enheter for IT-beredskap (CERT), enheter for IT-sikkerhetshendelser (CSIRT), leverandører av elektroniske kommunikasjonsnett og -tjenester og leverandører av sikkerhetsteknologier og -tjenester, utgjør en berettiget inte­resse for den berørte behandlingsansvarlige.  Dette kan f.eks. omfatte å hindre ulovlig tilgang til elektroniske kommunikasjonsnett og spredning av skadelige koder og å stoppe «tjenestenektangrep» og skade på datasystemer og elektro­niske kommunikasjonssystemer.
50. Behandling av personopplysninger for andre formål enn de formål personopp­lysningene opprinnelig ble samlet inn for, bør bare være tillatt dersom behand­lingen er forenlig med formålene som personopplysningene opprinnelig ble sam­let inn for.  I et slikt tilfelle kreves det ikke et annet rettslig grunnlag enn det som ligger til grunn for innsamlingen av personopplysninger.  Dersom behandlin­gen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, kan det i unions­retten eller medlemsstatenes nasjonale rett fastsettes og angis nærmere hvilke oppgaver og formål viderebehandling bør anses som forenlig og lovlig for. Viderebehandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål bør anses som forenlige og lovlige behandlingsaktiviteter.  Det rettslige grunnlaget for behand­ling av personopplysninger som er fastsatt i unionsretten eller medlemsstatenes nasjonale rett, kan også utgjøre et rettslig grunnlag for viderebehandling.  For å fastslå om formålet med viderebehandlingen er forenlig med formålet som per­sonopplysningene opprinnelig ble samlet inn for, bør den behandlingsansvarlige, etter å ha oppfylt alle krav for å sikre at den opprinnelige behandlingen er lov­lig, blant annet ta hensyn til enhver forbindelse mellom disse formålene og for­målene med den tiltenkte viderebehandlingen, i hvilken sammenheng person­opplysningene er blitt samlet inn, særlig de registrertes rimelige forventninger på grunnlag av forholdet de har til den behandlingsansvarlige med hensyn til viderebruk av opplysningene, personopplysningenes art, konsekvensene av den tiltenkte viderebehandlingen for de registrerte, og om både de opprinnelige behandlingsaktivitetene og de tiltenkte viderebehandlingsaktivitetene omfattes av nødvendige garantier.

    Når den registrerte har samtykket eller behandlingen er basert på unionsret­ten eller medlemsstatenes nasjonale rett som utgjør et nødvendig og forholds­messig tiltak i et demokratisk samfunn for særlig å verne viktige samfunnsmes­sige mål, bør den behandlingsansvarlige kunne viderebehandle personopplys­ningene uavhengig av om formålene er forenlige.  I alle tilfeller bør det sikres at prinsippene fastsatt i denne forordning, og særlig informasjonen til de regi­strerte om nevnte andre formål og om vedkommendes rettigheter, herunder retten til å protestere, anvendes.  Dersom den behandlingsansvarlige avdekker mulige straffbare handlinger eller trusler mot den offentlige sikkerhet og over­fører relevante personopplysninger i enkeltstående eller flere tilfeller som gjel­der samme straffbare handling eller trusler mot den offentlige sikkerhet, til en vedkommende myndighet, bør dette anses for å være i den behandlingsansvar­liges berettigede interesse.  En slik overføring i den behandlingsansvarliges berettigede interesse eller viderebehandling av personopplysninger bør være forbudt dersom behandlingen ikke er forenlig med en rettslig, yrkesmessig eller annen bindende taushetsplikt.

51. Personopplysninger som av natur er særlig sensitive med hensyn til grunnleg­gende rettigheter og friheter, fortjener et særskilt vern, ettersom sammenhen­gen de behandles i, kan skape betydelige risikoer for de grunnleggende rettig­heter og friheter.  Slike personopplysninger bør omfatte personopplysninger som avdekker rasemessig eller etnisk opprinnelse, idet bruken av begrepet «rase­messig opprinnelse» i denne forordning ikke innebærer at Unionen godtar teo­rier som søker å fastslå at det finnes forskjellige menneskeraser.  Behandling av fotografier bør ikke systematisk anses som behandling av særlige kategorier av personopplysninger, ettersom fotografier omfattes av definisjonen av biomet­riske opplysninger bare når de behandles ved hjelp av et særskilt teknisk mid­del som gjør det mulig entydig å identifisere eller autentisere en fysisk person. Slike personopplysninger bør ikke behandles, med mindre behandlingen er tillatt i særlige tilfeller fastsatt i denne forordning, idet det tas hensyn til at det i med­lemsstatenes nasjonale rett kan fastsettes særlige bestemmelser om vern av personopplysninger med henblikk på å tilpasse anvendelsen av reglene i denne forordning for å oppfylle en rettslig forpliktelse eller utføre en oppgave i all­mennhetens interesse eller utøve offentlig myndighet som den behandlings­ansvarlige er pålagt.  I tillegg til de særlige kravene til slik behandling bør de allmenne prinsippene og de andre reglene i denne forordning få anvendelse, særlig når det gjelder vilkårene for lovlig behandling.  Unntak fra det allmenne forbudet mot å behandle nevnte særlige kategorier av personopplysninger bør fastsettes uttrykkelig, blant annet dersom den registrerte gir sitt uttrykkelige samtykke, eller for å oppfylle særlige behov, særlig når behandlingen utføres i forbindelse med visse sammenslutningers eller stiftelsers rettmessige virksom­het hvis formål er å gjøre det mulig å utøve grunnleggende friheter.
52. Unntak fra forbudet mot å behandle særlige kategorier av personopplysninger bør også tillates når dette er fastsatt i unionsretten eller medlemsstatenes nas­jonale rett, og det omfattes av nødvendige garantier som sikrer vern av person­opplysninger og andre grunnleggende rettigheter når dette er i allmennhetens interesse, særlig behandling av personopplysninger på området arbeidsrett, sosialrett, herunder pensjoner, og med henblikk på helsesikkerhet, -overvåking og -varsling, forebygging av eller kontroll med smittsomme sykdommer og andre alvorlige helsetrusler.  Et slikt unntak kan gis for helseformål, herunder på området folkehelse og helsetjenesteforvaltning, særlig for å sikre kvalitet og kostnadseffektivitet i framgangsmåtene som brukes ved behandling av krav om ytelser og tjenester i sykeforsikringssystemet, eller for arkivformål i allmenn­hetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål.  Et unntak bør også tillate behandling av slike personopp­lysninger dersom dette er nødvendig for å fastsette, gjøre gjeldende eller for­svare rettskrav, uansett om det skjer innenfor rammen av en rettergang eller en administrativ eller utenrettslig prosedyre.
53. Særlige kategorier av personopplysninger som fortjener et sterkere vern, bør bare behandles for helserelaterte formål når det er nødvendig for å oppfylle nevnte formål til fordel for fysiske personer og samfunnet som helhet, særlig i forbindelse med forvaltning av helse- eller sosialtjenester og -systemer, herun­der forvaltningens og sentrale nasjonale helsemyndigheters behandling av slike opplysninger med henblikk på kvalitetskontroll, forvaltningsinformasjon og den allmenne nasjonale og lokale overvåking av helse- og sosialsystemet, og for å sikre kontinuitet innen helse- og sosialtjenester og helsetjenester over lande­grensene eller i forbindelse med helsesikkerhet, -overvåking og -varsling eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som må oppfylle et mål i allmennhetens interesse, samt for studier på området folkehelse som utføres i allmennhetens interesse.  Ved denne forordning bør det derfor fastsettes harmoniserte vilkår for behandling av særlige kategorier av personopplysninger om helse for å opp­fylle særlige behov, især når behandlingen av nevnte opplysninger utføres for visse helserelaterte formål av personer som er underlagt lovfestet taushetsplikt. I unionsretten eller medlemsstatenes nasjonale rett bør det fastsettes særlige og egnede tiltak for vern av fysiske personers grunnleggende rettigheter og personopplysninger.  Medlemsstatene bør kunne opprettholde eller innføre ytter­ligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger.  Dette bør imid­lertid ikke hindre den frie flyten av personopplysninger i Unionen når nevnte vil­kår får anvendelse på grenseoverskridende behandling av nevnte opplysninger.
54. Allmenne folkehelsehensyn gjør at det kan være nødvendig å behandle særlige kategorier av personopplysninger uten den registrertes samtykke.  En slik be­handling bør være underlagt egnede og særlige tiltak som sikrer vern av fysiske personers rettigheter og friheter.  I denne forbindelse bør «folkehelse» tolkes i henhold til europaparlaments- og rådsforordning (EF) nr. 1338/200811, nær­mere bestemt alle faktorer knyttet til helse, nærmere bestemt helsestatus, her­under sykelighet og funksjonshemning, faktorer som har innvirkning på denne helsestatusen, behov for helsetjenester, ressurser avsatt til helsetjenester, yting av og allmenn tilgang til helsetjenester, utgifter til og finansiering av helsetjenes­ter samt dødsårsaker.  En slik behandling av helseopplysninger i allmennhetens interesse bør ikke føre til at personopplysninger behandles for andre formål av tredjeparter, f.eks. arbeidsgivere, forsikringsselskaper eller banker.
55. Offentlige myndigheters behandling av personopplysninger med henblikk på å nå målene til offisielt anerkjente religiøse sammenslutninger som er fastsatt ved forfatningsretten eller ved folkeretten, utføres også i allmennhetens interesse.
56. Dersom det i forbindelse med valgaktiviteter i en medlemsstat, for å sikre at det demokratiske systemet fungerer, kreves at politiske partier samler inn person­opplysninger om fysiske personers politiske oppfatninger, kan behandling av slike opplysninger være tillatt av hensyn til allmennhetens interesse, forutsatt at det foreligger nødvendige garantier.
57. Dersom personopplysningene som behandles av en behandlingsansvarlig, ikke gjør det mulig for den behandlingsansvarlige å identifisere en fysisk person, bør den behandlingsansvarlige ikke ha plikt til å innhente ytterligere opplysninger for å identifisere den registrerte utelukkende med det formål å overholde be­stemmelsene i denne forordning.  Den behandlingsansvarlige bør imidlertid ikke nekte å ta imot flere opplysninger som den registrerte gir med henblikk på å utøve sine rettigheter.  Identifikasjon bør omfatte digital identifikasjon av den registrerte, f.eks. ved hjelp av en autentiseringsmekanisme, f.eks. de samme legitimasjonsopplysninger som den registrerte bruker for å logge seg inn på den nettbaserte tjenesten som tilbys av den behandlingsansvarlige.
58. Prinsippet om åpenhet krever at all informasjon som er rettet mot allmennheten eller den registrerte, skal være kortfattet, lett tilgjengelig og enkel å forstå, at det skal benyttes et klart og enkelt språk og ved behov visualisering.  Slik infor­masjon kan, når den er rettet mot allmennheten, gis elektronisk, f.eks. på et nettsted.  Dette er særlig relevant i situasjoner der det økende antallet aktører samt de komplekse teknologiene som brukes, gjør det vanskelig for den regi­strerte å vite og forstå om, av hvem og for hvilket formål vedkommendes per­sonopplysninger samles inn, f.eks. i forbindelse med nettreklame.  Ettersom barn fortjener et særlig vern, bør all informasjon og kommunikasjon, dersom behandlingen gjelder barn, være formulert på et klart og enkelt språk som bar­net lett kan forstå.
59. Det bør fastsettes nærmere regler for å sikre at den registrerte på en enkel måte kan utøve sine rettigheter i henhold til denne forordning, herunder meka­nismer for å anmode om og, dersom det er relevant, kostnadsfritt få innsyn i personopplysninger og få rettet eller slettet disse, samt utøve retten til å prote­stere.  Den behandlingsansvarlige bør også gjøre det mulig å inngi anmodninger elektronisk, særlig dersom personopplysninger behandles elektronisk.  Den be­handlingsansvarlige bør ha plikt til å svare på anmodninger fra den registrerte uten ugrunnet opphold, og senest innen én måned, samt å begrunne sitt svar dersom den behandlingsansvarlige ikke akter å imøtekomme nevnte anmodnin­ger.
60. Prinsippene om rettferdig og åpen behandling krever at den registrerte informe­res om at behandlingen skjer samt om formålet med den.  Den behandlingsan­svarlige bør gi den registrerte eventuell ytterligere informasjon som er nødven­dig for å sikre en rettferdig og åpen behandling, idet det tas hensyn til de sær­lige omstendighetene rundt behandlingen av personopplysningene og sammen­hengen den skjer i.  Den registrerte bør dessuten informeres om forekomsten av profilering og konsekvensene av dette.  Dersom personopplysningene sam­les inn fra den registrerte, bør den registrerte også informeres om hvorvidt ved­kommende har plikt til å gi personopplysningene, og om konsekvensene dersom de ikke gis.  Nevnte informasjon kan gis sammen med standardiserte ikoner, slik at det gis en oversikt over den tiltenkte behandlingen på en lett synlig, forståelig og lettlest måte.  Dersom ikonene presenteres elektronisk, bør de være maskinlesbare.
61. Informasjonen i forbindelse med behandlingen av personopplysninger bør gis den registrerte på tidspunktet for innsamlingen av personopplysninger fra ved­kommende eller, dersom personopplysningene innhentes fra en annen kilde, in­nen en rimelig frist, avhengig av de aktuelle omstendighetene.  Dersom person­opplysninger rettmessig kan utleveres til en annen mottaker, bør den registrerte informeres første gang personopplysningene utleveres til nevnte mottaker.  Der­som den behandlingsansvarlige akter å behandle personopplysningene for et annet formål enn det de ble samlet inn for, bør den behandlingsansvarlige før nevnte viderebehandling gi den registrerte informasjon om nevnte andre formål og annen nødvendig informasjon.  Dersom det ikke er mulig å informere en registrerte om personopplysningenes opprinnelse fordi det er brukt forskjellige kilder, bør det gis generell informasjon.
62. Det er imidlertid ikke nødvendig å pålegge en plikt til å informere dersom den registrerte allerede har informasjonen, dersom registrering eller utlevering av personopplysninger er uttrykkelig fastsatt ved lov, eller dersom det viser seg å være umulig eller vil kreve en uforholdsmessig stor innsats å informere den registrerte.  Det sistnevnte kan særlig være tilfellet dersom behandlingen utfø­res for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål.  I denne forbindelse bør det tas hensyn til antall registrerte, hvor gamle opplysningene er, og eventuelle garantier som er vedtatt.
63. En registrert bør ha rett til å få innsyn i personopplysninger som er samlet inn om vedkommende, og til på en enkel måte og med rimelige intervaller å utøve denne retten for å forvisse seg om og kontrollere at behandlingen er lovlig. Dette omfatter de registrertes rett til å få innsyn i egne helseopplysninger, f.eks. opplysninger i egen pasientjournal om diagnoser, undersøkelsesresultater, be­handlende leges vurderinger og enhver behandling som er gitt, eller enhver intervensjon som er utført.  Alle registrerte bør derfor ha rett til å kjenne til og bli informert om formålene med behandlingen av personopplysninger, om mulig om perioden som personopplysningene behandles i, hvem mottakerne av per­sonopplysningene er, logikken som ligger bak en eventuell automatisk behand­ling av personopplysningene, og konsekvensene av nevnte behandling, i det minste dersom den er basert på profilering.  Dersom det er mulig, bør den be­handlingsansvarlige kunne gi fjerntilgang til et sikkert system der den regi­strerte kan få direkte tilgang til egne personopplysninger.  Denne retten bør ikke ha negativ innvirkning på andres rettigheter eller friheter, herunder forretnings­hemmeligheter eller immaterialretten, særlig opphavsretten som programvaren er beskyttet av.  Disse hensynene bør imidlertid ikke føre til at den registrerte nektes innsyn i alle opplysninger.  Dersom den behandlingsansvarlige behandler en stor mengde opplysninger om den registrerte, bør den behandlingsansvarlige før informasjonen gis, kunne anmode om at den registrerte presiserer hvilke opplysninger eller behandlingsaktiviteter anmodningen gjelder.
64. Den behandlingsansvarlige bør treffe alle rimelige tiltak for å kontrollere identi­teten til en registrert som anmoder om innsyn, særlig i forbindelse med nettje­nester og nettidentifikatorer.  En behandlingsansvarlig bør ikke lagre personopp­lysninger utelukkende for å kunne svare på mulige anmodninger.
65. En registrert bør ha rett til å få rettet sine personopplysninger samt ha «rett til å bli glemt» dersom lagring av nevnte opplysninger er i strid med denne forord­ning, unionsretten eller medlemsstatenes nasjonale rett som den behandlings­ansvarlige er underlagt.  En registrert bør særlig ha rett til å få sine personopp­lysninger slettet og ikke lenger behandlet dersom personopplysningene ikke lenger er nødvendige for de formål de er blitt samlet inn eller behandlet for, dersom en registrert har trukket tilbake sitt samtykke eller motsetter seg behandling av vedkommendes personopplysninger, eller dersom behandlingen av vedkommendes personopplysninger på annen måte ikke er i samsvar med denne forordning.  Denne retten er særlig relevant når den registrerte har gitt sitt samtykke som barn og ikke har fullstendig kjennskap til risikoene forbundet med behandlingen, og senere ønsker å fjerne slike personopplysninger, særlig på Internett.  Den registrerte bør kunne utøve denne retten selv om vedkom­mende ikke lenger er et barn.  Ytterligere lagring av personopplysninger bør imidlertid være lovlig dersom det er nødvendig for å utøve retten til ytrings- og informasjonsfrihet, for å oppfylle en rettslig forpliktelse, utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlings­ansvarlige er pålagt, av allmenne folkehelsehensyn, for arkivformål i allmenn­hetens interesse, for formål knyttet til vitenskapelig eller historisk forskning, for statistiske formål eller for å fastsette, gjøre gjeldende eller forsvare rettskrav.
66. For å styrke retten til å bli glemt på Internett bør retten til sletting også utvides, slik at en behandlingsansvarlig som har offentliggjort personopplysningene, har plikt til å underrette de behandlingsansvarlige som behandler nevnte personopp­lysninger, om at alle lenker til eller kopier eller reproduksjoner av nevnte per­sonopplysninger skal slettes.  I den forbindelse bør nevnte behandlingsansvarlig treffe rimelige tiltak, idet det tas hensyn til tilgjengelig teknologi og de midler den behandlingsansvarlige har til rådighet, herunder tekniske tiltak, for å under­rette de behandlingsansvarlige som behandler personopplysningene, om den registrertes anmodning.
67. Metodene for å begrense behandlingen av personopplysninger kan blant annet innebære at utvalgte opplysninger flyttes midlertidig til et annet behandlings­system, at utvalgte personopplysninger gjøres utilgjengelig for brukere, eller at offentliggjorte opplysninger fjernes midlertidig fra et nettsted.  I automatiserte registre bør behandlingen i prinsippet begrenses ved hjelp av tekniske midler som sikrer at personopplysningene ikke kan viderebehandles og endres.  Det faktum at behandlingen av personopplysninger er begrenset, bør være tydelig angitt i systemet.
68. For å gi den registrerte økt kontroll over egne personopplysninger bør den regi­strerte, ved automatisert behandling av personopplysningene, også ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en be­handlingsansvarlig i et strukturert, alminnelig anvendt, maskinlesbart og kompa­tibelt format, og til å overføre dem til en annen behandlingsansvarlig.  Behand­lingsansvarlige bør oppmuntres til å utvikle kompatible formater som muliggjør dataportabilitet.  Denne retten bør få anvendelse dersom den registrerte har gitt personopplysninger på grunnlag av et samtykke, eller dersom behandlingen er nødvendig for å oppfylle en avtale.  Den bør ikke få anvendelse dersom be­handlingen er basert på et annet rettslig grunnlag enn et samtykke eller en avtale.  Denne retten er av en slik art at den ikke bør utøves overfor behand­lingsansvarlige som behandler personopplysninger som et ledd i utøvelsen av sine offentlige oppgaver.  Den bør derfor ikke få anvendelse dersom behand­lingen av personopplysninger er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige, eller for å utføre en oppgave i all­mennhetens interesse eller utøve offentlig myndighet som den behandlings­ansvarlige er pålagt.  Den registrertes rett til å overføre eller motta personopp­lysninger om seg selv bør ikke innebære at de behandlingsansvarlige har plikt til å innføre eller opprettholde teknisk kompatible behandlingssystemer.  Dersom et bestemt sett med personopplysninger berører mer enn én registrert, bør retten til å motta personopplysningene ikke berøre andre registrertes rettigheter og fri­heter i samsvar med denne forordning.  Denne retten bør videre ikke berøre den registrertes rett til å få slettet personopplysninger samt begrensningene av denne retten som fastsatt i denne forordning, og bør særlig ikke innebære slet­ting av personopplysninger om den registrerte som vedkommende har gitt med henblikk på å oppfylle en avtale, i den grad og så lenge personopplysningene er nødvendige for å oppfylle nevnte avtale.  Dersom det er teknisk mulig, bør den registrerte ha rett til å få personopplysningene overført direkte fra én behand­lingsansvarlig til en annen.
69. Dersom personopplysningene kan behandles på lovlig vis fordi behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offent­lig myndighet som den behandlingsansvarlige er pålagt, eller av hensyn til en behandlingsansvarligs eller en tredjeparts berettigede interesser, bør en regi­strert imidlertid ha rett til å protestere mot enhver behandling av personopplys­ninger som gjelder vedkommendes særlige situasjon.  Det bør være opp til be­handlingsansvarlige å påvise at vedkommendes tvingende berettigede interesse går foran den registrertes interesser eller grunnleggende rettigheter og friheter.
70. Dersom personopplysninger behandles med henblikk på direkte markedsføring, bør den registrerte, uansett om det dreier seg om innledende behandling eller viderebehandling, ha rett til når som helst og gratis å protestere mot nevnte behandling, herunder profilering så lenge dette er knyttet til direkte markeds­føring.  Den registrerte bør uttrykkelig gjøres oppmerksom på denne retten, og informasjonen bør presenteres på en tydelig måte og atskilt fra all annen infor­masjon.
71. Den registrerte bør ha rett til ikke å bli gjort til gjenstand for en avgjørelse, f.eks. et tiltak, som kan omfatte en vurdering av personlige aspekter ved ved­kommende som fullt ut bygger på automatisert behandling, og som har retts­virkning for vedkommende eller på lignende måte i betydelig grad påvirker ved­kommende, f.eks. et automatisk avslag på en søknad om kreditt på Internett eller e-rekruttering uten menneskelig inngripen.  En slik behandling omfatter «profilering», som består av enhver form for automatisert behandling av per­son­opplysninger der målet er å vurdere personlige aspekter ved en fysisk person, særlig for å analysere eller forutsi aspekter knyttet til den registrertes arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, når dette har rettsvirkning for eller på lignende måte i betydelig grad påvirker vedkommende. Avgjørelser som treffes på grunnlag av slik behandling, herunder profilering, bør imidlertid være tillatt når unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, uttrykkelig tillater dette, herunder med henblikk på overvåking og forebygging av bedrageri og skatteunndragelse som utføres i samsvar med forordningene, standardene og anbefalingene fra Unio­nens institusjoner eller nasjonale tilsynsorganer, og for å sikre at en tjeneste som leveres av den behandlingsansvarlige, er sikker eller pålitelig, eller som er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte og en behandlingsansvarlig, eller dersom den registrerte har gitt sitt uttrykkelige sam­tykke.  Under alle omstendigheter bør en slik behandling ledsages av nødvend­ige garantier som bør omfatte spesifikk informasjon til den registrerte og rett til menneskelig inngripen, til å uttrykke sine synspunkter, til å få en forklaring på avgjørelsen som er truffet etter en slik vurdering, og til å protestere mot avgjø­relsen.  Nevnte tiltak bør ikke gjelde barn.

    For å sikre en rettferdig og åpen behandling med hensyn til den registrerte, idet det tas hensyn til de særlige omstendighetene og sammenhengen person­opplysningene behandles i, bør den behandlingsansvarlige bruke egnede mate­matiske eller statistiske framgangsmåter i forbindelse med profileringen, gjen­nomføre egnede tekniske og organisatoriske tiltak for særlig å sikre at faktorer som fører til uriktige personopplysninger, rettes opp og at risikoen for feil mini­meres, sikre personopplysningene på en måte som tar hensyn til den registrer­tes interesser og rettigheter, og som blant annet hindrer forskjellsbehandling av fysiske personer på grunn av rasemessig eller etnisk opprinnelse, politisk opp­fatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, gene­tisk status, helsetilstand eller seksuell orientering, eller som fører til tiltak som har en slik virkning.  Automatiserte avgjørelser og profilering basert på særlige kategorier av personopplysninger bør bare være tillatt på særlige vilkår.

72. Profilering omfattes av reglene for behandling av personopplysninger i denne forordning, f.eks. det rettslige grunnlaget for behandlingen eller prinsippene for vern av personopplysninger.  Det europeiske personvernråd (heretter kalt «Per­sonvernrådet») som opprettes ved denne forordning, bør kunne gi veiledning om dette.
73. Særlige prinsipper og retten til informasjon, innsyn i og retting eller sletting av personopplysninger, retten til dataportabilitet, retten til å protestere, avgjørelser basert på profilering samt underretning av en registrert om brudd på person­opplysningssikkerheten og visse tilhørende forpliktelser som påhviler de be­handlingsansvarlige, kan begrenses av unionsretten eller medlemsstatenes nas­jonale rett i den grad det i et demokratisk samfunn er nødvendig og forholds­messig av hensyn til den offentlige sikkerhet, herunder vern av menneskeliv, særlig som følge av naturkatastrofer eller menneskeskapte katastrofer, forebyg­ging, etterforskning og straffeforfølging av straffbare forhold eller iverksetting av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet, eller brudd på yrkesetiske regler i lovregulerte yrker, andre viktige mål i allmennhetens interesse i Unionen eller en medlemsstat, særlig en viktig økonomisk eller finansiell interesse for Unionen eller en med­lemsstat, føring av offentlige registre i allmennhetens interesse, viderebehand­ling av arkiverte personopplysninger for å framlegge særlig informasjon om politisk atferd under tidligere totalitære regimer eller vern av den registrerte eller andres rettigheter og friheter, herunder sosial trygghet, folkehelse og humanitære formål.  Nevnte begrensninger bør være i samsvar med kravene fastsatt i pakten og i Den europeiske konvensjon om beskyttelse av menneske­rettighetene og de grunnleggende friheter.
74. Den behandlingsansvarliges ansvar og erstatningsansvar for enhver behandling av personopplysninger som utføres av eller på vegne av vedkommende, bør fastsettes.  Den behandlingsansvarlige bør særlig ha plikt til å gjennomføre egnede og effektive tiltak og påvise at behandlingsaktivitetene oppfyller krav­ene i denne forordning, herunder at tiltakene er effektive.  Nevnte tiltak bør ta høyde for behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene for fysiske personers rettigheter og friheter.
75. Behandling av personopplysninger kan føre til at det oppstår risikoer av varie­rende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter som kan medføre fysisk, materiell eller ikke-materiell skade, særlig når behandlingen kan føre til forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger, uautorisert oppheving av pseudonymisering eller andre betydelige økonomiske eller sosiale ulemper, når de registrerte kan bli fratatt sine rettigheter og friheter eller bli hindret i å utøve kontroll over egne person­opplysninger, når behandlingen gjelder personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, og behandling av genetiske opplysninger, helseopp­lysninger, seksuelle forhold eller straffedommer og lovovertredelser eller til­knyttede sikkerhetstiltak, når personlige aspekter vurderes, særlig for å analy­sere eller forutsi aspekter som gjelder arbeidsprestasjoner, økonomisk situa­sjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plas­sering eller bevegelser, for å opprette eller bruke personlige profiler, når sårbare fysiske personers, særlig barns, personopplysninger behandles, eller når be­handlingen omfatter en stor mengde personopplysninger og berører et stort antall registrerte.
76. Hvor sannsynlig og alvorlig risikoen for den registrertes rettigheter og friheter er, bør fastslås ut fra behandlingens art, omfang, formål og sammenhengen den utføres i.  Risikoen bør vurderes ut fra en objektiv vurdering der det fastslås om behandlingen av personopplysningene innebærer en risiko eller en høy risiko.
77. Veiledning om gjennomføring av egnede tiltak og tiltak for å påvise at den be­handlingsansvarlige eller databehandleren overholder denne forordning, særlig med hensyn til kartlegging av risikoen forbundet med behandlingen og en vur­dering av risikoens opprinnelse, art, sannsynlighet og alvorlighetsgrad, samt kartlegging av beste praksis for å redusere risikoen, kan særlig gis ved hjelp av godkjente atferdsnormer, godkjente sertifiseringer, retningslinjer fra Person­vernrådet eller anvisninger fra et personvernombud.  Personvernrådet kan også utstede retningslinjer for behandlingsaktiviteter som sannsynligvis ikke vil inne­bære en høy risiko for fysiske personers rettigheter og friheter, samt angi hvilke tiltak som i slike tilfeller kan være tilstrekkelig for å håndtere nevnte risiko.
78. Vern av fysiske personers rettigheter og friheter i forbindelse med behandling av personopplysninger krever at det treffes egnede tekniske og organisatoriske tiltak for å sikre at kravene i denne forordning oppfylles.  For å påvise at denne forordning overholdes bør den behandlingsansvarlige vedta interne retningslin­jer og gjennomføre tiltak som særlig overholder prinsippene om innebygd per­sonvern og personvern som standardinnstilling.  Nevnte tiltak kan blant annet omfatte å minimere behandlingen av personopplysninger, pseudonymisere per­sonopplysninger så raskt som mulig, sikre at behandlingen og formålene med den er åpen, gjøre det mulig for den registrerte å kontrollere behandlingen samt gjøre det mulig for den behandlingsansvarlige å iverksette sikkerhetsfunksjoner og å forbedre dem.  Ved utvikling, utforming, valg og bruk av programmer, tjenester og produkter som er basert på behandling av personopplysninger, eller når personopplysninger behandles for å oppfylle disses funksjon, bør produsen­ter av nevnte produkter, tjenester og programmer oppmuntres til å ta hensyn til retten til vern av personopplysninger ved utvikling og utforming av nevnte pro­dukter, tjenester og programmer og, idet det tas behørig hensyn til den tekniske utviklingen, sikre at behandlingsansvarlige og databehandlere kan oppfylle sine forpliktelser med hensyn til vern av personopplysninger.  Det bør også tas hen­syn til prinsippene om innebygd personvern og personvern som standardinn­stilling i forbindelse med offentlige anbud.
79. Vern av de registrertes rettigheter og friheter samt de behandlingsansvarliges og databehandleres ansvar, herunder i forbindelse med tilsynsmyndighetenes tilsyn og tiltak, krever en tydelig fordeling av ansvar i henhold til denne for­ordning, herunder når den behandlingsansvarlige fastsetter formålene med og midlene for behandlingen sammen med andre behandlingsansvarlige, eller når en behandlingsaktivitet utføres på vegne av en behandlingsansvarlig.
80. Dersom en behandlingsansvarlig eller en databehandler som ikke er etablert i Unionen, behandler personopplysninger om registrerte som befinner seg i Unio­nen, og behandlingsaktivitetene gjelder tilbud av varer og tjenester til nevnte registrerte i Unionen, uavhengig av om det kreves betaling fra disse eller ikke, eller monitorering av deres atferd, dersom atferden finner sted i Unionen, bør den behandlingsansvarlige eller databehandleren utpeke en representant, med mindre behandlingen skjer leilighetsvis, ikke omfatter behandling i stor skala av særlige kategorier av personopplysninger eller behandling av personopplysnin­ger om straffedommer og lovovertredelser, og at behandlingen sannsynligvis ikke vil innebære en risiko for fysiske personers rettigheter og friheter, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, eller om den behandlingsansvarlige er en offentlig myndighet eller et offentlig organ.  Representanten bør opptre på vegne av den behandlingsansvarlige eller databehandleren og bør kunne kontaktes av alle tilsynsmyndigheter.  Represen­tanten bør utpekes eksplisitt gjennom en skriftlig fullmakt fra den behandlings­ansvarlige eller databehandleren til å opptre på deres vegne med hensyn til deres forpliktelser i henhold til denne forordning.  Utpekingen av nevnte repre­sentant berører ikke den behandlingsansvarliges eller databehandlerens ansvar eller erstatningsansvar i henhold til denne forordning.  Nevnte representant bør utføre sine oppgaver i henhold til fullmakten fra den behandlingsansvarlige eller databehandleren, herunder samarbeide med vedkommende tilsynsmyndigheter om eventuelle tiltak som treffes for å sikre at denne forordning overholdes. Den utpekte representanten bør være underlagt håndhevingstiltak i tilfelle manglende overholdelse fra den behandlingsansvarliges eller databehandlerens side.
81. For å sikre overholdelse av kravene i denne forordning med hensyn til behand­ling som skal utføres av databehandleren på vegne av den behandlingsansvar­lige, når behandlingsaktiviteter overlates til en databehandler, bør den behand­lingsansvarlige bare benytte databehandlere som gir tilstrekkelige garantier, særlig med tanke på dybdekunnskap, pålitelighet og ressurser, for at de vil gjennomføre tekniske og organisatoriske tiltak som vil oppfylle kravene i denne forordning, herunder kravene til sikker behandling.  Databehandlerens over­holdelse av godkjente atferdsnormer eller bruk av en godkjent sertifiserings­mekanisme kan brukes som en faktor for å påvise at den behandlingsansvar­liges forpliktelser overholdes.  Behandling som utføres av en databehandler, bør være underlagt en avtale eller et annet rettslig dokument i henhold til unions­retten eller medlemsstatenes nasjonale rett som binder databehandleren til den behandlingsansvarlige, og som fastsetter gjenstanden for og varigheten av be­handlingen, behandlingens art og formål, typen personopplysninger og katego­rier av registrerte, idet det tas hensyn til databehandlerens særlige oppgaver og ansvar i forbindelse med behandlingen som skal utføres, samt risikoen for den registrertes rettigheter og friheter.  Den behandlingsansvarlige og databehand­leren kan velge å bruke en individuell avtale eller standardavtalevilkår som enten er vedtatt direkte av Kommisjonen eller av en tilsynsmyndighet i samsvar med konsistensmekanismen, og deretter vedtatt av Kommisjonen.  Når behand­lingen på vegne av den behandlingsansvarlige er fullført, bør databehandleren tilbakelevere eller slette personopplysningene, avhengig av hva den behand­lingsansvarlige velger, med mindre unionsretten eller medlemsstatenes nasjo­nale rett som databehandleren er underlagt, inneholder krav om lagring av per­sonopplysningene.
82. For å påvise samsvar med denne forordning bør den behandlingsansvarlige eller databehandleren føre protokoll over de behandlingsaktiviteter som de har ansvar for.  Hver behandlingsansvarlig og hver databehandler bør ha plikt til å samarbeide med tilsynsmyndigheten og på anmodning gjøre disse protokollene tilgjengelig for den, slik at de kan benyttes til tilsyn med nevnte behandlings­aktiviteter.
83. For å opprettholde sikkerheten og hindre at behandlingen er i strid med denne forordning bør den behandlingsansvarlige eller databehandleren vurdere de ibo­ende risikoene forbundet med behandlingen og gjennomføre tiltak for å be­grense disse, f.eks. kryptering.  Nevnte tiltak bør sørge for et egnet sikkerhets­nivå, herunder et egnet nivå av konfidensialitet, idet det tas hensyn til den tekniske utviklingen og gjennomføringskostnadene i forbindelse med risikoene samt arten av personopplysningene som skal vernes.  Når risikoen for datasik­kerheten vurderes, bør det tas hensyn til risikoene forbundet med behandling av personopplysninger, f.eks. utilsiktet eller ulovlig tilintetgjøring, tap, endring, ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet, som særlig kan føre til fysisk, materiell eller ikke-materiell skade.
84. For å bedre overholdelsen av denne forordning i tilfeller der det er sannsynlig at behandlingsaktiviteter vil medføre en høy risiko for fysiske personers rettigheter og friheter, bør den behandlingsansvarlige ha ansvar for å foreta en vurdering av personvernkonsekvenser for særlig å vurdere risikoens opprinnelse, art, særegenhet og alvorlighetsgrad.  Det bør tas hensyn til utfallet av vurderingen ved fastsettelse av egnede tiltak som skal treffes for å påvise at behandlingen av personopplysningene oppfyller kravene i denne forordning.  Dersom det framgår av nevnte konsekvensvurdering at behandlingsaktivitetene innebærer en høy risiko som den behandlingsansvarlige ikke kan begrense ved å treffe egnede tiltak, idet det tas hensyn til tilgjengelig teknologi og gjennomførings­kostnadene, bør tilsynsmyndigheten rådspørres før behandlingen finner sted.
85. Et brudd på personopplysningssikkerheten kan, dersom det ikke håndteres på egnet måte og i rett tid, påføre fysiske personer fysisk, materiell eller ikke-ma­teriell skade, f.eks. tap av kontroll over egne personopplysninger eller begrens­ning av egne rettigheter, forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, uautorisert oppheving av pseudonymisering, skade på om­dømme, tap av konfidensialitet for taushetsbelagte personopplysninger eller andre betydelige økonomiske eller sosiale ulemper for den berørte fysiske per­sonen.  Så snart den behandlingsansvarlige får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten, bør vedkommende melde nevnte brudd til tilsynsmyndigheten uten ugrunnet opphold og om mulig senest 72 timer etter å ha fått kjennskap til det, med mindre vedkommende i samsvar med ansvarlighetsprinsippet kan påvise at nevnte brudd på personopplysnings­sikkerheten sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter.  Dersom nevnte melding ikke kan gis innen 72 timer, bør årsaken til forsinkelsen oppgis i meldingen, og informasjonen kan gis trinnvis uten videre ugrunnet opphold.
86. Den behandlingsansvarlige bør uten ugrunnet opphold underrette den registrerte om et brudd på personopplysningssikkerheten dersom det er sannsynlig at nevnte brudd kan medføre en høy risiko for den fysiske personens rettigheter og friheter, slik at vedkommende får mulighet til å treffe de nødvendige for­holdsregler.  Underretningen bør beskrive arten av bruddet på personopplys­ningssikkerheten og inneholde anbefalinger som den berørte fysiske personen kan følge for å begrense mulige skadevirkninger.  De registrerte bør underrettes så snart det med rimelighet er mulig, og i nært samarbeid med tilsynsmyn­digheten og i samsvar med retningslinjer utstedt av den eller av andre relevante myndigheter, f.eks. myndigheter med ansvar for håndheving av loven.  Behovet for å redusere en umiddelbar risiko for skade kan f.eks. kreve at de registrerte underrettes omgående, mens behovet for å gjennomføre egnede tiltak mot fortsatte eller lignende brudd på personopplysningssikkerheten kan berettige en lengre frist for underretning.
87. Det bør undersøkes om alle egnede teknologiske sikkerhetstiltak og organisato­riske tiltak er blitt gjennomført for omgående å kunne fastslå om det har funnet sted et brudd på personopplysningssikkerheten, og for omgående å underrette tilsynsmyndigheten og den registrerte.  Det bør fastslås om meldingen ble gitt uten ugrunnet opphold, idet det tas særlig hensyn til arten og alvorlighetsgraden av bruddet på personopplysningssikkerheten og konsekvensene og skadevirk­ningene det har for den registrerte.  En slik melding kan føre til inngripen fra tilsynsmyndigheten i samsvar med dens oppgaver og myndighet fastsatt i denne forordning.
88. Ved fastsettelse av nærmere regler om formatet og framgangsmåtene som får anvendelse på melding av brudd på personopplysningssikkerheten, bør det tas behørig hensyn til omstendighetene rundt nevnte brudd, herunder om person­opplysningene var omfattet av hensiktsmessige tekniske sikkerhetstiltak som på en effektiv måte begrenser sannsynligheten for identitetsbedrageri eller andre former for misbruk.  Nevnte regler og framgangsmåter bør videre ta hensyn til de berettigede interessene til myndighetene med ansvar for håndheving av loven dersom en tidlig offentliggjøring i unødig grad vil kunne hindre etterforsk­ning av omstendighetene rundt et brudd på personopplysningssikkerheten.
89. Ved direktiv 95/46/EF ble det fastsatt en generell plikt til å melde behandlingen av personopplysningene til tilsynsmyndighetene.  Denne plikten har medført en administrativ og økonomisk byrde, men har ikke alltid bidratt til å bedre vernet av personopplysninger.  En slik vilkårlig og generell meldingsplikt bør derfor avskaffes og erstattes av effektive framgangsmåter og mekanismer, der det isteden fokuseres på den typen behandlingsaktiviteter som kan medføre en høy risiko for fysiske personers rettigheter og friheter i kraft av aktivitetenes art, omfang, formål og sammenhengen de utføres i.  Denne typen behandlingsakti­viteter kan være aktiviteter som især innebærer bruk av ny teknologi, eller som er av en ny type, og der den behandlingsansvarlige ikke tidligere har gjennom­ført en vurdering av personvernkonsekvenser, eller dersom de blir nødvendige på grunn av tiden som har gått siden den opprinnelige behandlingen.
90. I slike tilfeller bør den behandlingsansvarlige før behandlingen gjennomføre en vurdering av personvernkonsekvenser for å vurdere sannsynligheten for at det vil oppstå en høy risiko, samt alvorlighetsgraden av denne, idet det tas hensyn til behandlingens art, omfang, formål, sammenhengen den utføres i, og kildene til risikoen.  Nevnte konsekvensvurdering bør særlig omfatte planlagte tiltak, garantier og mekanismer for å begrense risikoen, sikre vern av personopplys­ningene og påvise at denne forordning overholdes.
91. Dette bør særlig få anvendelse på behandlingsaktiviteter i stor skala der formå­let er å behandle en betydelig mengde personopplysninger på regionalt, nasjo­nalt eller overnasjonalt plan, og som kan påvirke et stort antall registrerte og innebære en høy risiko, f.eks. fordi opplysningene er sensitive, dersom, i sam­svar med det oppnådde nivået av teknisk kunnskap, en ny teknologi anvendes i stor skala samt i forbindelse med andre behandlingsaktiviteter som innebærer en høy risiko for de registrertes rettigheter og friheter, særlig dersom nevnte aktiviteter gjør det vanskeligere for de registrerte å utøve sine rettigheter.  Det bør også utføres en vurdering av personvernkonsekvenser dersom personopp­lysninger behandles med det formål å treffe avgjørelser om særskilte fysiske personer etter en systematisk og omfattende vurdering av personlige aspekter vedrørende fysiske personer basert på profilering av nevnte opplysninger, eller etter behandling av særlige kategorier av personopplysninger, biometriske opp­lysninger eller opplysninger om straffedommer og lovovertredelser eller tilknyt­tede sikkerhetstiltak.  Det kreves også en vurdering av personvernkonsekven­ser ved overvåking i stor skala av offentlig tilgjengelige steder, særlig ved bruk av optoelektronisk utstyr, eller ved andre aktiviteter der vedkommende tilsyns­myndighet vurderer at behandlingen kan føre til en høy risiko for de registrertes rettigheter og friheter, særlig fordi de hindrer de registrerte i å utøve en rettig­het eller gjøre bruk av en tjeneste eller en avtale, eller fordi de utføres syste­matisk i stor skala.  Behandling av personopplysninger bør ikke anses for å være i stor skala dersom det er snakk om en leges, annet helsepersonells eller en advokats behandling av personopplysninger tilhørende pasienter eller klien­ter.  I slike tilfeller bør en vurdering av personvernkonsekvenser ikke være obli­gatorisk.
92. I noen tilfeller kan det være rimelig og økonomisk å utvide vurderingen av per­sonvernkonsekvenser til å omfatte mer enn ett prosjekt, f.eks. dersom offent­lige myndigheter eller organer har planer om å innføre en felles applikasjon eller behandlingsplattform, eller dersom flere behandlingsansvarlige planlegger å innføre en felles applikasjon eller et felles behandlingsmiljø på tvers av en industrisektor eller -segment eller for en horisontal aktivitet som er i utstrakt bruk.
93. I forbindelse med vedtakelse av medlemsstatenes nasjonale rett som utgjør grunnlaget for en offentlig myndighets eller et offentlig organs utførelse av opp­gaver, og som regulerer den eller de aktuelle spesifikke behandlingsaktivitetene, kan medlemsstatene anse det nødvendig å foreta nevnte vurdering før behand­lingsaktivitetene.
94. Dersom en vurdering av personvernkonsekvenser viser at behandlingen, i fra­vær av garantier, sikkerhetstiltak og mekanismer for å redusere risikoen, vil innebære en høy risiko for fysiske personers rettigheter og friheter, og den be­handlingsansvarlige mener at risikoen ikke kan reduseres ved hjelp av rimelige midler, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnader, bør tilsynsmyndigheten rådspørres før oppstart av behandlingsaktivitetene. Visse typer behandling og omfanget og hyppigheten av behandlingen kan med­føre nevnte høye risiko, som også kan føre til skade for eller inngrep i fysiske personers rettigheter og friheter.  Tilsynsmyndigheten bør svare på anmodnin­gen om drøftinger innen en fastsatt frist.  En manglende reaksjon fra tilsyns­myndigheten innen nevnte frist bør imidlertid ikke berøre tilsynsmyndighetens mulighet til å gripe inn i samsvar med dens oppgaver og myndighet fastsatt i denne forordning, herunder myndighet til å forby behandlingsaktiviteter.  Som en del av nevnte drøftinger kan utfallet av en vurdering av personvernkonse­kvenser som utføres med henblikk på den aktuelle behandlingen, framlegges for tilsynsmyndigheten, særlig de planlagte tiltakene for å redusere risikoene for fysiske personers rettigheter og friheter.
95. Databehandleren bør ved behov og på anmodning bistå den behandlingsansvar­lige med å overholde pliktene som er forbundet med utførelsen av vurderingen av personvernkonsekvenser, og med forhåndsdrøftinger med tilsynsmyndighe­ten.
96. Tilsynsmyndigheten bør også rådspørres i det forberedende arbeidet med et lovgivningsmessig tiltak eller et reguleringstiltak som gjelder behandling av per­sonopplysninger, for å sikre at den tiltenkte behandlingen oppfyller kravene i denne forordning, og særlig for å redusere risikoen den medfører for den regi­strerte.
97. Dersom behandlingen utføres av en offentlig myndighet, bortsett fra domstoler eller uavhengige rettshåndhevende myndigheter når de opptrer innenfor ram­men av sin domsmyndighet, dersom behandlingen i privat sektor utføres av en behandlingsansvarlig hvis kjernevirksomhet består av behandlingsaktiviteter som krever regelmessig og systematisk monitorering i stor skala av de regi­strerte, eller dersom den behandlingsansvarliges eller databehandlerens kjerne­virksomhet består av behandling i stor skala av særlige kategorier av person­opplysninger og opplysninger om straffedommer og lovovertredelser, bør en person med dybdekunnskap om personvernlovgivning og -praksis bistå den be­handlingsansvarlige eller databehandleren for å føre tilsyn med den interne overholdelsen av denne forordning.  I privat sektor omfatter en behandlingsan­svarligs kjernevirksomhet vedkommendes primære virksomhet og ikke behand­ling av personopplysninger som bivirksomhet.  Det nødvendige nivået av dybde­kunnskap bør fastsettes i henhold til de behandlingsaktivitetene som utføres, og det vernet som er nødvendig for personopplysningene som behandles av den behandlingsansvarlige eller databehandleren.  Slike personvernombud, enten de er ansatt hos den behandlingsansvarlige eller ikke, bør kunne utføre sine funk­sjoner og oppgaver på en uavhengig måte.
98. Sammenslutninger eller andre organer som representerer kategorier av be­handlingsansvarlige eller databehandlere, bør oppmuntres til å utarbeide at­ferdsnormer innenfor rammen av denne forordning for å fremme en effektiv anvendelse av denne forordning, idet det tas hensyn til de særlige kjenne­tegnene ved behandling som utføres i visse sektorer, og de særlige behovene til svært små, små og mellomstore bedrifter.  I slike atferdsnormer bør de behand­lingsansvarliges og databehandlernes plikter defineres, idet det tas hensyn til risikoen for fysiske personers rettigheter og friheter som behandlingen kan medføre.
99. Ved utarbeiding av atferdsnormer, eller ved endring eller utvidelse av atferds­normer, bør sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, rådføre seg med relevante be­rørte parter, herunder registrerte når det er mulig, og ta hensyn til bemerknin­ger og synspunkter framsatt i forbindelse med slik rådføring.
100. For å øke åpenheten og overholdelsen av denne forordning bør det oppmuntres til opprettelse av sertifiseringsmekanismer og personvernsegl og -merker, slik at de registrerte raskt kan vurdere nivået for vern av personopplysninger som relevante produkter og tjenester omfattes av.
101. Strømmen av personopplysninger til og fra stater utenfor Unionen og internasjo­nale organisasjoner er nødvendig for å kunne utvide internasjonal handel og internasjonalt samarbeid.  Denne strømmen har økt, og dette har skapt nye utfordringer og bekymringer med tanke på vern av personopplysninger.  Når personopplysninger overføres fra Unionen til behandlingsansvarlige, databe­handlere eller andre mottakere i tredjestater eller til internasjonale organisasjo­ner, bør det beskyttelsesnivået som fysiske personer ved denne forordning sikres i Unionen, imidlertid ikke undergraves, herunder i tilfeller der personopp­lysninger videreoverføres fra tredjestaten eller den internasjonale organisasjo­nen til behandlingsansvarlige eller databehandlere i den samme eller en annen tredjestat eller internasjonal organisasjon.  Overføring til tredjestater og inter­nasjonale organisasjoner må under alle omstendigheter bare skje i fullt samsvar med denne forordning.  Med forbehold for de andre bestemmelsene i denne forordning kan en overføring bare finne sted dersom den behandlingsansvarlige eller databehandleren overholder vilkårene fastsatt i bestemmelsene i denne forordning om overføring av personopplysninger til tredjestater eller internasjo­nale organisasjoner.
102. Denne forordning berører ikke internasjonale avtaler inngått mellom Unionen og tredjestater om overføring av personopplysninger, herunder nødvendige garan­tier for de registrerte.  Medlemsstatene kan inngå internasjonale avtaler som omfatter overføring av personopplysninger til tredjestater eller internasjonale organisasjoner, så lenge nevnte avtaler ikke berører denne forordning eller andre bestemmelser i unionsretten og gir et egnet nivå for vern av de regi­strertes grunnleggende rettigheter.
103. Kommisjonen kan med virkning for hele Unionen beslutte at en tredjestat, et territorium eller en bestemt sektor i en tredjestat eller en internasjonal organi­sasjon har et tilstrekkelig nivå for vern av personopplysninger, og på den måten skape rettssikkerhet og ensartethet i hele Unionen med hensyn til tredjestaten eller de internasjonale organisasjonene som anses for å ha et slikt nivå for vern av personopplysninger.  I slike tilfeller kan personopplysninger overføres til nevnte tredjestat eller internasjonale organisasjon uten at det er nødvendig å innhente ytterligere godkjenning.  Kommisjonen kan også beslutte å tilbakekalle en slik beslutning etter å ha underrettet tredjestaten eller den internasjonale organisasjonen og gitt en fullstendig begrunnelse for dette.
104. I samsvar med de grunnleggende verdiene som Unionen bygger på, særlig be­skyttelse av menneskerettighetene, bør Kommisjonen i sin vurdering av tredje­staten, eller av et territorium eller en bestemt sektor i en tredjestat, ta hensyn til hvordan en bestemt tredjestat overholder rettsstatsprinsippet, sikrer klagead­gang og domstolsprøving og overholder internasjonale menneskerettighetsstan­darder samt sin allmenne og sektorbestemte lovgivning, herunder lovgivning om offentlig sikkerhet, forsvar, nasjonal sikkerhet, offentlig orden samt strafferett. Når det treffes en beslutning om tilstrekkelig beskyttelsesnivå som gjelder et territorium eller en bestemt sektor i en tredjestat, bør det tas hensyn til tydelige og objektive kriterier, f.eks. spesifikke behandlingsaktiviteter og omfanget av gjeldende rettsregler og lovgivning i tredjestaten.  Tredjestaten bør gi garantier som sikrer et tilstrekkelig beskyttelsesnivå, og som i hovedtrekk tilsvarer det som sikres i Unionen, særlig når personopplysninger behandles i en eller flere spesifikke sektorer.  Tredjestaten bør særlig sikre et effektivt og uavhengig per­sonverntilsyn og bør opprette mekanismer for samarbeid med medlemsstatenes personvernmyndigheter, og de registrerte bør ha effektive og håndhevbare rettigheter og mulighet til effektiv administrativ og rettslig prøving.
105. I tillegg til de internasjonale forpliktelsene som tredjestaten eller den internasjo­nale organisasjonen har inngått, bør Kommisjonen ta hensyn til forpliktelsene som følger av tredjestatens eller den internasjonale organisasjonens deltaking i multilaterale eller regionale systemer, særlig i forbindelse med vern av person­opplysninger, samt gjennomføringen av nevnte forpliktelser.  Det bør særlig tas hensyn til tredjestatens tiltredelse til Europarådets konvensjon av 28. januar 1981 om personvern i forbindelse med elektronisk databehandling av person­opplysninger samt dens tilleggsprotokoll.  Kommisjonen bør rådspørre Person­vernrådet når den vurderer beskyttelsesnivå i tredjestater eller internasjonale organisasjoner.
106. Kommisjonen bør overvåke virkningen av beslutninger om beskyttelsesnivået i en tredjestat, på et territorium eller i en bestemt sektor i en tredjestat eller en internasjonal organisasjon og overvåke virkningen av beslutninger truffet på grunnlag av artikkel 25 nr. 6 eller artikkel 26 nr. 4 i direktiv 95/46/EF.  I sine beslutninger om tilstrekkelig beskyttelsesnivå bør Kommisjonen fastsette en mekanisme for regelmessig gjennomgåelse av beslutningenes virkning.  Nevnte regelmessige gjennomgåelse bør utføres i samråd med den aktuelle tredjestat eller internasjonale organisasjon, idet det tas hensyn til all relevant utvikling i tredjestaten eller den internasjonale organisasjonen.  I forbindelse med over­våking og de regelmessige gjennomgåelsene bør Kommisjonen ta hensyn til synspunkter og konklusjoner fra Europaparlamentet og Rådet samt fra andre relevante organer og kilder.  Kommisjonen bør innen en rimelig frist vurdere virkningen av sistnevnte beslutninger og rapportere eventuelle relevante kon­klusjoner til komiteen omhandlet i europaparlaments- og rådsforordning (EU) nr. 182/201112 som nedsettes ved denne forordning, og til Europaparlamentet og Rådet.
107. Kommisjonen kan fastslå at en tredjestat, et territorium eller en bestemt sektor i en tredjestat eller en internasjonal organisasjon ikke lenger sikrer et tilstrek­kelig nivå for vern av personopplysninger.  Overføringen av personopplysninger til nevnte tredjestat eller internasjonale organisasjon bør da forbys, med mindre kravene i denne forordning som gjelder overføringer som omfattes av nødvend­ige garantier, herunder bindende virksomhetsregler, og unntak for særlige situa­sjoner, er oppfylt.  I slike tilfeller bør det fastsettes at det skal gjennomføres samråd mellom Kommisjonen og nevnte tredjestater eller internasjonale organi­sasjoner.  Kommisjonen bør i rett tid underrette tredjestaten eller den internas­jonale organisasjonen om årsakene og innlede samråd med den for å avhjelpe situasjonen.
108. Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, bør den behandlingsansvarlige eller databehandleren treffe tiltak for å kompensere for det manglende vernet av personopplysninger i en tredjestat i form av nød­vendige garantier for den registrerte.  Nødvendige garantier kan omfatte bruk av bindende virksomhetsregler, standard personvernbestemmelser vedtatt av Kommisjonen, standard personvernbestemmelser vedtatt av en tilsynsmyndig­het eller avtalevilkår godkjent av en tilsynsmyndighet.  Disse garantiene bør sikre samsvar med kravene til vern av personopplysninger og de registrertes rettigheter i forbindelse med behandling internt i Unionen, herunder om de regi­strerte har tilgang til håndhevbare rettigheter og effektive rettsmidler, herunder retten til effektiv administrativ eller rettslig prøving og til å kreve erstatning i Unionen eller i en tredjestat.  Garantiene bør særlig omfatte samsvar med de allmenne prinsippene om behandling av personopplysninger og prinsippene om innebygd personvern og personvern som standardinnstilling.  Offentlige myndig­heter eller organer kan også foreta overføringer til offentlige myndigheter eller organer i tredjestater eller til internasjonale organisasjoner med tilsvarende oppgaver eller funksjoner, herunder på grunnlag av bestemmelser som skal innlemmes i administrative ordninger, f.eks. en programerklæring, som gir de registrerte håndhevbare og effektive rettigheter.  Det bør innhentes godkjenning fra vedkommende tilsynsmyndighet når garantiene er fastsatt i administrative ordninger som ikke er rettslig bindende.
109. Den behandlingsansvarliges eller databehandlerens mulighet til å benytte stan­dardbestemmelser for vern av personopplysninger vedtatt av Kommisjonen eller av en tilsynsmyndighet bør ikke hindre de behandlingsansvarlige eller databehandlere i å innlemme standardbestemmelsene for vern av personopp­lysninger i en mer omfattende avtale, f.eks. en avtale mellom databehandleren og en annen databehandler, eller i å tilføye andre bestemmelser eller ytterligere garantier, forutsatt at de ikke direkte eller indirekte er i strid med standard­avtalevilkårene vedtatt av Kommisjonen eller av en tilsynsmyndighet eller berø­rer de registrertes grunnleggende rettigheter og friheter.  Behandlingsansvarlige og databehandlere bør oppmuntres til å fastsette ytterligere garantier gjennom avtalefestede forpliktelser som utfyller standard personvernbestemmelser.
110. Et konsern eller en gruppe av foretak som utøver en felles økonomisk virksom­het, bør kunne anvende godkjente bindende virksomhetsregler når de foretar internasjonale overføringer fra Unionen til organisasjoner i samme konsern, eller gruppe av foretak som utøver en felles økonomisk virksomhet, forutsatt at nevnte virksomhetsregler omfatter alle grunnleggende prinsipper og håndhev­bare rettigheter for å sikre nødvendige garantier for overføringer eller katego­rier av overføringer av personopplysninger.
111. Det bør fastsettes bestemmelser om at overføringer i visse tilfeller skal være mulig dersom den registrerte har gitt sitt uttrykkelige samtykke, og dersom overføringen skjer leilighetsvis og er nødvendig i forbindelse med en avtale eller et rettslig krav, uavhengig av om det skjer i forbindelse med en rettssak, for­valtningssak eller utenrettslig prosedyre, herunder prosedyrer ved regulerings­organer.  Det bør også fastsettes bestemmelser om muligheten for overføring dersom viktige allmenne interesser nedfelt i unionsretten eller medlemsstatenes nasjonale rett krever det, eller dersom overføringen skjer fra et register som er opprettet ved lov, og som allmennheten eller personer med en berettiget interesse kan konsultere.  I sistnevnte tilfelle bør en slik overføring ikke omfatte alle personopplysninger eller hele kategorier av opplysninger i registeret, og dersom nevnte register skal kunne konsulteres av personer med en berettiget interesse, bør overføringen skje bare på anmodning fra nevnte personer eller, dersom de selv er mottakere, ved å ta behørig hensyn til de registrertes inte­resser og grunnleggende rettigheter.
112. Disse unntakene bør særlig få anvendelse på overføring av opplysninger som er nødvendig av hensyn til viktige allmenne interesser, f.eks. ved internasjonal utveksling av opplysninger mellom konkurransemyndigheter, skatte- eller toll­myndigheter, mellom finanstilsynsmyndigheter, mellom kompetente trygdemyn­digheter eller folkehelsemyndigheter, f.eks. ved kontaktsporing i forbindelse med smittsomme sykdommer eller for å redusere og/eller avskaffe doping i idrett.  En overføring av personopplysninger bør også anses som lovlig dersom den er nødvendig for å verne en interesse av avgjørende betydning for den registrertes eller en annen persons vitale interesser, herunder fysisk integritet eller liv, dersom den registrerte ikke er i stand til å gi sitt samtykke.  Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, kan det, av hensyn til viktige allmenne interesser, i unionsretten eller medlemsstatenes nasjonale rett uttrykkelig fastsettes grenser for overføring av spesifikke kate­gorier av opplysninger til en tredjestat eller en internasjonal organisasjon.  Med­lemsstatene bør underrette Kommisjonen om nevnte bestemmelser.  Enhver overføring til en internasjonal humanitær organisasjon av personopplysninger om en registrert som fysisk eller juridisk ikke er i stand til å gi sitt samtykke, med det formål å utføre en oppgave i henhold til Genève-konvensjonene eller overholde internasjonalt humanitært regelverk som får anvendelse i væpnede konflikter, kan anses for å være nødvendig av hensyn til viktige allmenne inte­resser eller fordi det er av vital interesse for den registrerte.
113. Overføringer som kan klassifiseres som ikke-gjentakende, og som bare gjelder et begrenset antall registrerte, bør også være mulig av hensyn til de tvingende berettigede interessene som forfølges av den behandlingsansvarlige, dersom den registrertes interesser eller rettigheter og friheter ikke går foran nevnte interesser, og dersom den behandlingsansvarlige har foretatt en vurdering av alle omstendighetene rundt overføringen.  Den behandlingsansvarlige bør ta særlig hensyn til personopplysningenes art, formålet med og varigheten av den foreslåtte behandlingen samt situasjonen i opprinnelsesstaten, tredjestaten og den endelige bestemmelsesstaten, og bør fastsette nødvendige garantier for å verne fysiske personers grunnleggende rettigheter og friheter i forbindelse med behandling av deres personopplysninger.  Nevnte overføringer bør bare være mulig i visse tilfeller der ingen av de andre grunnene til overføring får anvendelse.  For formål knyttet til vitenskapelig eller historisk forskning eller statistisk formål bør det tas hensyn til samfunnets berettigede forventninger om økt kunnskap.  Den behandlingsansvarlige bør underrette tilsynsmyndigheten og den registrerte om overføringen.
114. Dersom Kommisjonen ikke har truffet en beslutning om hvorvidt nivået for vern av personopplysninger i en tredjestat er tilstrekkelig, bør den behandlingsan­svarlige eller databehandleren benytte løsninger som gir de registrerte hånd­hevbare og effektive rettigheter når det gjelder behandling av deres opplysnin­ger i Unionen så snart nevnte opplysninger er blitt overført, slik at de fortsatt kan nyte godt av grunnleggende rettigheter og garantier.
115. Visse tredjestater vedtar lover, forskrifter og andre rettsakter med det formål direkte å regulere behandlingsaktiviteter som utføres av fysiske og juridiske personer underlagt medlemsstatenes jurisdiksjon.  Dette kan omfatte rettsav­gjørelser fra domstoler eller avgjørelser fra administrative myndigheter i tredje­stater der det kreves at en behandlingsansvarlig eller databehandler skal over­føre eller utlevere personopplysninger, og som ikke bygger på en internasjonal avtale, f.eks. en traktat om gjensidig juridisk bistand, mellom den anmodende tredjestat og Unionen eller en medlemsstat.  En anvendelse av nevnte lover, forskrifter og andre rettsakter på andre staters territorium kan være i strid med folkeretten og hindre oppnåelsen av det vernet av fysiske personer som ved denne forordning sikres i Unionen.  Overføring bør bare være tillatt dersom vilkårene for overføring til tredjestater i denne forordning er oppfylt.  Dette kan blant annet være tilfellet dersom utlevering er nødvendig av hensyn til viktige allmenne interesser som er anerkjent i unionsretten eller medlemsstatenes nasjonale rett, og som den behandlingsansvarlige er underlagt.
116. Når personopplysninger krysser grenser utenfor Unionen, kan det øke risikoen for at fysiske personer ikke kan utøve sine rettigheter med hensyn til vern av personopplysninger, særlig for å beskytte seg mot ulovlig bruk eller utlevering av nevnte opplysninger.  Samtidig kan tilsynsmyndigheter i noen tilfeller innse at de ikke er i stand til å følge opp klager eller foreta undersøkelser av aktiviteter som finner sted utenfor deres grenser.  Samarbeidet på tvers av landegrensene kan også bli hindret av utilstrekkelig myndighet til å treffe forebyggende tiltak eller utbedringstiltak, av uensartede rettsordninger og praktiske hindringer, f.eks. ressursbegrensninger.  Det er derfor behov for å fremme et tettere sam­arbeid mellom tilsynsmyndigheter for personvern, slik at de lettere kan utveksle informasjon og foreta undersøkelser sammen med sine internasjonale kolleger. For å utvikle mekanismer for internasjonalt samarbeid med sikte på å fremme og yte internasjonal gjensidig bistand med hensyn til håndheving av regelverket for vern av personopplysninger bør Kommisjonen og tilsynsmyndighetene ut­veksle informasjon og samarbeide om aktiviteter som er knyttet til utøvelse av deres myndighet, med vedkommende myndigheter i tredjestater på grunnlag av gjensidighet og i samsvar med denne forordning.
117. Opprettelse av tilsynsmyndigheter i medlemsstater som gis myndighet til å ut­føre sine oppgaver og utøve sin myndighet i full uavhengighet, har avgjørende betydning for vernet av fysiske personer i forbindelse med behandling av deres personopplysninger.  Medlemsstatene bør kunne opprette mer enn én tilsyns­myndighet for å gjenspeile medlemsstatens forfatningsmessige, organisatoriske og administrative struktur.
118. Tilsynsmyndighetenes uavhengighet bør ikke bety at de ikke kan være gjen­stand for mekanismer for kontroll eller tilsyn med egen økonomistyring eller underkastes domstolskontroll.
119. Dersom en medlemsstat oppretter flere tilsynsmyndigheter, bør den ved lov opprette mekanismer for å sikre at disse tilsynsmyndighetene deltar effektivt i konsistensmekanismen.  Nevnte medlemsstat bør særlig utpeke en tilsynsmyn­dighet som skal fungere som et felles kontaktpunkt for disse myndighetenes effektive deltaking i mekanismen, for å sikre et raskt og smidig samarbeid med andre tilsynsmyndigheter, Personvernrådet og Kommisjonen.
120. Hver tilsynsmyndighet bør ha de nødvendige økonomiske og menneskelige res­surser, lokaler og infrastruktur for å kunne utføre sine oppgaver på en effektiv måte, herunder oppgaver knyttet til gjensidig bistand og samarbeid med andre tilsynsmyndigheter i Unionen.  Hver tilsynsmyndighet bør ha et separat og offentlig årlig budsjett som kan inngå i det overordnede statsbudsjettet eller nasjonale budsjettet.
121. De allmenne vilkårene for medlemmet/medlemmene av tilsynsmyndigheten bør fastsettes ved lov i hver medlemsstat, og det bør særlig fastsettes at nevnte medlemmer skal utnevnes ved hjelp av en åpen prosess, enten av parlamentet, regjeringen eller statsoverhodet i medlemsstaten på grunnlag et forslag fra regjeringen, et medlem av regjeringen, parlamentet eller et kammer i parla­mentet, eller av et uavhengig organ med myndighet til dette i henhold til med­lemsstatens nasjonale rett.  For å sikre tilsynsmyndighetens uavhengighet bør medlemmet/medlemmene opptre med integritet, avstå fra enhver handling som ikke er forenlig med deres oppgaver, og så lenge utnevnelsesperioden varer, ikke utøve en uforenlig yrkesvirksomhet, enten den er lønnet eller ikke.  Til­synsmyndigheten bør ha sitt eget personell som er utvalgt av tilsynsmyndighe­ten eller av et uavhengig organ opprettet i henhold til medlemsstatens nasjonale rett, som utelukkende bør stå under ledelse av tilsynsmyndighetens medlem/­medlemmer.
122. Hver tilsynsmyndighet bør på territoriet til sin egen medlemsstat ha kompetanse til å utøve den myndighet og utføre de oppgaver den gis i henhold til denne for­ordning.  Dette bør særlig omfatte behandling i forbindelse med aktivitetene ved den behandlingsansvarliges eller databehandlerens virksomhet på egen med­lemsstats territorium, behandling av personopplysninger utført av offentlige myndigheter eller private organer i allmennhetens interesse, behandling som berører registrerte på medlemsstatens territorium, eller behandling som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i Unionen, når den er rettet mot registrerte som er bosatt på dens territorium.  Dette bør omfatte behandling av klager inngitt av en registrert, gjennomføring av under­søkelser om anvendelsen av denne forordning og å fremme allmennhetens bevissthet om risikoene, reglene, garantiene og rettighetene i forbindelse med behandling av personopplysninger.
123. Tilsynsmyndighetene bør føre tilsyn med anvendelsen av bestemmelsene i denne forordning samt bidra til en ensartet anvendelse av forordningen i hele Unionen for å sikre vern av fysiske personer i forbindelse med behandling av deres personopplysninger og fremme den frie flyten av personopplysninger i det indre marked.  For dette formål bør tilsynsmyndighetene samarbeide med hverandre og med Kommisjonen uten at det er behov for en avtale om yting av gjensidig bistand eller slikt samarbeid mellom medlemsstatene.
124. Dersom behandlingen av personopplysninger utføres i forbindelse med aktivite­tene ved virksomheten til en behandlingsansvarlig eller databehandler i Unio­nen, og den behandlingsansvarlige eller databehandleren er etablert i mer enn én medlemsstat, eller dersom behandlingen som utføres i forbindelse med akti­vitetene ved den eneste virksomheten til en behandlingsansvarlig eller databe­handler i Unionen, i vesentlig grad påvirker eller sannsynligvis vil påvirke regi­strerte i mer enn én medlemsstat, bør tilsynsmyndigheten for den behandlings­ansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet fungere som ledende tilsynsmyndighet.  Den bør samarbeide med de andre berørte myndighetene dersom den behandlingsansvarlige eller databehandleren har en virksomhet på territoriet til deres medlemsstat, dersom registrerte bosatt på deres territorium i vesentlig grad berøres, eller dersom det er inngitt klage til dem.  Også dersom en registrert som ikke er bosatt i nevnte medlemsstat, har inngitt klage, bør tilsynsmyndigheten som klagen er inngitt til, også være en berørt tilsynsmyndighet.  Personvernrådet bør innenfor rammen av sine oppga­ver med å utstede retningslinjer for eventuelle spørsmål som omfatter anven­delsen av denne forordning, særlig kunne utstede retningslinjer for kriteriene som skal tas i betraktning for å vurdere om den aktuelle behandlingen i vesentlig grad berører registrerte i mer enn én medlemsstat, og for hva som utgjør en relevant og begrunnet innsigelse.
125. Den ledende myndigheten bør ha kompetanse til å treffe bindende avgjørelser om tiltak innenfor rammen av den myndighet den gis i samsvar med denne forordning.  I egenskap av å være ledende myndighet bør tilsynsmyndigheten sørge for at de berørte tilsynsmyndighetene involveres tett og samordnes i av­gjørelsesprosessen.  Dersom det besluttes helt eller delvis å avslå den registrer­tes klage, bør avgjørelsen treffes av tilsynsmyndigheten som klagen er inngitt til.
126. Avgjørelsen bør treffes i fellesskap av den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene og bør rettes til den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet, og den bør være bindende for den behandlingsansvarlige og databehandleren.  Den behandlings­ansvarlige eller databehandleren bør treffe de nødvendige tiltak for å sikre sam­svar med denne forordning samt gjennomføring av avgjørelsen som den ledende tilsynsmyndigheten har meddelt den behandlingsansvarliges eller data­behandlerens hovedvirksomhet med hensyn til behandlingsaktiviteter i Unionen.
127. Hver tilsynsmyndighet som ikke fungerer som ledende tilsynsmyndighet, bør ha kompetanse til å håndtere lokale saker dersom den behandlingsansvarlige eller databehandleren er etablert i flere enn én medlemsstat, men gjenstanden for den spesifikke behandlingen bare gjelder behandling utført i én medlemsstat, og bare omfatter registrerte i nevnte ene medlemsstat, f.eks. dersom det gjelder behandling av arbeidstakeres personopplysninger i forbindelse med spesifikke ansettelsesforhold i en medlemsstat.  I slike tilfeller bør tilsynsmyndigheten uten opphold underrette den ledende tilsynsmyndigheten om forholdet.  Etter å ha blitt underrettet bør den ledende tilsynsmyndigheten beslutte om den skal be­handle saken i henhold til bestemmelsen om samarbeid mellom den ledende til­synsmyndigheten og andre berørte tilsynsmyndigheter («ettstedsmekanismen»), eller om tilsynsmyndigheten som underrettet den, bør behandle saken på lokalt plan.  Når den ledende tilsynsmyndigheten skal beslutte om den skal behandle saken, bør den ta hensyn til om den behandlingsansvarlige eller databehand­leren har en virksomhet i medlemsstaten til tilsynsmyndigheten som underrettet den, for å sikre en effektiv gjennomføring av en avgjørelse overfor den behandlingsansvarlige eller databehandleren.  Dersom den ledende tilsynsmyn­digheten beslutter å behandle saken, bør tilsynsmyndigheten som underrettet den, ha mulighet til å legge fram et forslag til avgjørelse som den ledende tilsynsmyndigheten bør ta størst mulig hensyn til ved utarbeiding av sitt utkast til avgjørelse i nevnte ettstedsmekanisme.
128. Reglene for den ledende tilsynsmyndigheten og ettstedsmekanismen bør ikke få anvendelse dersom behandlingen utføres av offentlige myndigheter eller private organer i allmennhetens interesse.  I slike tilfeller bør bare tilsynsmyndigheten i medlemsstaten der den offentlige myndigheten eller det private organet er etablert, ha kompetanse til å utøve myndigheten den er gitt i henhold til denne forordning.
129. For å sikre ensartet tilsyn med og anvendelse av denne forordning i hele Unio­nen bør tilsynsmyndighetene i hver medlemsstat ha de samme oppgaver og den samme effektive myndighet, herunder myndighet til å foreta undersøkelser, myndighet til å beslutte korrigerende tiltak og ilegge sanksjoner samt myndighet til å godkjenne og utstede rådgivende uttalelser, særlig ved klager fra fysiske personer, og, uten at det berører den myndighet straffeforfølgende myndigheter har i henhold til medlemsstatenes nasjonale rett, myndighet til å bringe over­tredelser av denne forordning inn for rettshåndhevende myndigheter og til å opptre som part i rettssaker.  En slik myndighet bør også omfatte myndigheten til å fastsette en midlertidig eller endelig begrensning av, herunder et forbud mot, behandling.  Medlemsstatene kan fastsette andre oppgaver knyttet til vern av personopplysninger i henhold til denne forordning.  Tilsynsmyndighetenes myndighet bør utøves i samsvar med nødvendige prosessuelle garantier som er fastsatt i unionsretten og medlemsstatenes nasjonale rett, på en upartisk og rettferdig måte og innen rimelig tid.  For å sikre samsvar med denne forordning bør hvert tiltak være egnet, nødvendig og forholdsmessig, idet det tas hensyn til omstendighetene i hvert enkelt tilfelle, samt respektere enhver persons rett til å bli hørt før det treffes individuelle tiltak som kan påvirke vedkommende nega­tivt, og være utformet slik at overflødige kostnader og for store ulemper for de berørte personene unngås.  Når det gjelder adgang til lokaler, bør undersøkel­sesmyndigheten utøves i samsvar med særlige krav i medlemsstatenes pro­sessrett, f.eks. kravet om at det skal innhentes en rettslig forhåndsgodkjenning. Hvert rettslig bindende tiltak som treffes av tilsynsmyndigheten, bør være skrift­lig, tydelig og utvetydig, angi hvilken tilsynsmyndighet som har truffet tiltaket, og på hvilken dato, være undertegnet av lederen for eller et medlem av tilsyns­myndigheten som er godkjent av vedkommende, angi begrunnelsen for tiltaket og inneholde en henvisning til retten til effektivt rettsmiddel.  Dette bør ikke utelukke ytterligere krav i henhold til medlemsstatenes prosessrett.  Dersom det treffes en rettslig bindende avgjørelse, kan den underlegges domstolskontroll i medlemsstaten til tilsynsmyndigheten som har truffet avgjørelsen.
130. Dersom tilsynsmyndigheten som klagen er inngitt til, ikke er den ledende til­synsmyndigheten, bør den ledende tilsynsmyndigheten samarbeide tett med til­synsmyndigheten som klagen er inngitt til, i samsvar med bestemmelsene om samarbeid og ensartet anvendelse fastsatt i denne forordning.  I slike tilfeller bør den ledende tilsynsmyndigheten, når den treffer tiltak som skal ha rettsvirk­ning, herunder ilegging av overtredelsesgebyr, ta størst mulig hensyn til syns­punktene til tilsynsmyndigheten som klagen er inngitt til, og som fortsatt skal ha kompetanse til å foreta undersøkelser på sin egen medlemsstats territorium sammen med vedkommende tilsynsmyndighet.
131. Dersom en annen tilsynsmyndighet bør fungere som ledende tilsynsmyndighet for den behandlingsansvarliges eller databehandlerens behandlingsaktiviteter, men det konkrete innholdet i en klage eller den mulige overtredelsen bare gjel­der behandlingsaktiviteter som utføres av den behandlingsansvarlige eller data­behandleren i medlemsstaten der klagen er inngitt eller den mulige overtredel­sen er oppdaget, og forholdet ikke i vesentlig grad berører eller sannsynligvis ikke i vesentlig grad vil berøre registrerte i andre medlemsstater, bør tilsyns­myndigheten som mottar en klage eller oppdager eller på annen måte blir underrettet om situasjoner som innebærer mulige overtredelser av denne for­ordning, søke å komme fram til en minnelig løsning sammen med den behand­lingsansvarlige og dersom dette ikke lykkes, utøve sin myndighet fullt ut.  Dette bør omfatte spesifikk behandling som utføres på territoriet til tilsynsmyndighe­tens medlemsstat, eller når det gjelder registrerte, på territoriet til nevnte med­lemsstat, behandling som utføres i forbindelse med tilbud av varer eller tjenes­ter som er særlig rettet mot registrerte på territoriet til tilsynsmyndighetens medlemsstat, eller behandling som skal vurderes i henhold til relevante rettslige forpliktelser i medlemsstatenes nasjonale rett.
132. Tilsynsmyndighetenes holdningskampanjer rettet mot allmennheten bør omfatte særlige tiltak rettet mot behandlingsansvarlige og databehandlere, herunder svært små, små og mellomstore bedrifter samt fysiske personer, særlig i utdan­ningssammenheng.
133. Tilsynsmyndighetene bør bistå hverandre i forbindelse med utførelsen av sine oppgaver og yte gjensidig bistand for å sikre ensartet anvendelse og håndhev­ing av denne forordning i det indre marked.  En tilsynsmyndighet som anmoder om gjensidig bistand, kan treffe et midlertidig tiltak dersom den ikke mottar svar på nevnte anmodning innen en måned etter at den andre tilsynsmyndig­heten har mottatt anmodningen.
134. Dersom det er relevant, bør hver tilsynsmyndighet delta i felles aktiviteter sam­men med andre tilsynsmyndigheter.  Den anmodede tilsynsmyndighet bør ha plikt til å svare på anmodningen innen en fastsatt frist.
135. For å sikre ensartet anvendelse av denne forordning i hele Unionen bør det opp­rettes en konsistensmekanisme for samarbeid mellom tilsynsmyndighetene. Nevnte mekanisme bør særlig få anvendelse dersom en tilsynsmyndighet akter å treffe et tiltak som skal ha rettsvirkning, når det gjelder behandlingsaktiviteter som i vesentlig grad berører et betydelig antall registrerte i flere medlems­stater.  Den bør også få anvendelse dersom en berørt tilsynsmyndighet eller Kommisjonen anmoder om at et slikt forhold behandles innenfor rammen av konsistensmekanismen.  Nevnte mekanisme bør ikke berøre eventuelle tiltak som Kommisjonen kan treffe som ledd i utøvelsen av sin myndighet i henhold til traktatene.
136. Ved anvendelse av konsistensmekanismen bør Personvernrådet innen en fast­satt frist avgi uttalelse dersom et flertall av dets medlemmer beslutter det, eller dersom en berørt tilsynsmyndighet eller Kommisjonen anmoder om det.  Per­sonvernrådet bør også gis myndighet til å treffe rettslig bindende beslutninger dersom det oppstår tvister mellom tilsynsmyndighetene.  For dette formål bør det, i prinsippet med to tredels flertall blant dets medlemmene, treffe rettslig bindende beslutninger i tydelig angitte tilfeller der det foreligger motstridende synspunkter blant tilsynsmyndighetene, særlig i mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene om en saks fakta, særlig om hvorvidt det foreligger en overtredelse av denne for­ordning.
137. Det kan være nødvendig å treffe tiltak omgående for å verne registrertes rettig­heter og friheter, særlig dersom det foreligger en fare for at en registrerts utøvelse av en rettighet kan bli betydelig hemmet.  En tilsynsmyndighet bør der­for kunne treffe behørig begrunnede midlertidige tiltak på sitt territorium med en fastsatt gyldighetsperiode som ikke bør være lenger enn tre måneder.
138. Anvendelsen av en slik mekanisme bør være et vilkår for lovligheten av et tiltak som er truffet av en tilsynsmyndighet, og som er ment å ha rettsvirkning, i til­feller der anvendelsen av den er obligatorisk.  I andre tilfeller som har en grenseoverskridende dimensjon, bør mekanismen for samarbeid mellom den ledende tilsynsmyndigheten og de berørte tilsynsmyndighetene anvendes, og gjensidig bistand kan ytes og felles aktiviteter kan gjennomføres mellom de berørte tilsynsmyndighetene på et bilateralt eller multilateralt grunnlag uten at det utløser konsistensmekanismen.
139. For å fremme en ensartet anvendelse av denne forordning bør Personvernrådet opprettes som et uavhengig EU-organ.  For å kunne oppfylle sine mål bør Per­sonvernrådet ha status som juridisk person.  Personvernrådet bør representeres av sin leder.  Det bør erstatte arbeidsgruppen for personvern i forbindelse med behandling av personopplysninger nedsatt ved direktiv 95/46/EF.  Det bør bestå av lederen for en tilsynsmyndighet i hver medlemsstat samt EUs datatilsyn eller de respektive representantene for dette.  Kommisjonen bør delta i Personvern­rådets aktiviteter uten stemmerett, og EUs datatilsyn bør ha særlig stemmerett. Personvernrådet bør bidra til en ensartet anvendelse av denne forordning i hele Unionen, herunder ved å rådgi Kommisjonen, særlig om beskyttelsesnivået i tredjestater eller internasjonale organisasjoner, samt fremme samarbeid mellom tilsynsmyndighetene i hele Unionen.  Personvernrådet bør utføre sine oppgaver i full uavhengighet.
140. Personvernrådet bør bistås av et sekretariat som stilles til rådighet av EUs data­tilsyn.  Personellet ved EUs datatilsyn som deltar i utførelsen av oppgavene som Personvernrådet gis ved denne forordning, bør utføre sine oppgaver uteluk­kende under ledelse av lederen for Personvernrådet og rapportere til vedkom­mende.
141. Enhver registrert bør ha rett til å klage til én enkelt tilsynsmyndighet, særlig i medlemsstaten der vedkommende til vanlig er bosatt, samt ha rett til effektivt rettsmiddel i samsvar med artikkel 47 i pakten dersom vedkommende anser sine rettigheter i henhold til denne forordning for krenket, eller dersom tilsyns­myndigheten ikke reagerer på en klage, helt eller delvis avslår eller avviser en klage eller ikke griper inn når det er nødvendig for å verne den registrertes rettigheter.  Undersøkelsen av en klage bør, med forbehold for domstolskontroll, foretas i den utstrekning som er egnet i det enkelte tilfellet.  Tilsynsmyndigheten bør innen en rimelig frist underrette den registrerte om klagebehandlingsforløpet og om utfallet av klagen.  Dersom saken krever ytterligere undersøkelse eller samordning med en annen tilsynsmyndighet, bør den registrerte underrettes om dette underveis.  For å forenkle inngivelsen av klager bør hver tilsynsmyndighet treffe tiltak som f.eks. å utarbeide et klageskjema som også kan fylles ut elek­tronisk, uten at andre kommunikasjonsmidler utelukkes.
142. Dersom en registrert mener at vedkommendes rettigheter i henhold til denne forordning er krenket, bør vedkommende ha rett til å gi et ideelt organ eller en ideell organisasjon eller sammenslutning som er opprettet i samsvar med en medlemsstats nasjonale rett, som har vedtektsfestede mål som er i allmennhe­tens interesse, og som er aktiv på området vern av personopplysninger, full­makt til å klage til en tilsynsmyndighet på vedkommendes vegne, utøve retten til rettslig prøving på vegne av de registrerte eller, dersom det er fastsatt i medlemsstatenes nasjonale rett, utøve retten til å motta erstatning på vegne av de registrerte.  En medlemsstat kan fastsette at nevnte organ, organisasjon eller sammenslutning, uavhengig av fullmakten fra en registrert, skal ha rett til å inngi klage i den aktuelle medlemsstaten samt ha rett til effektivt rettsmiddel dersom den har grunn til å tro at en registrerts rettigheter er blitt krenket som følge av en behandling av personopplysninger som er i strid med bestemmel­sene i denne forordning.  Nevnte organ, organisasjon eller sammenslutning kan ikke kreve erstatning på vegne av en registrert uavhengig av den registrertes fullmakt.
143. Enhver fysisk eller juridisk person har rett til å bringe en sak om oppheving av Personvernrådets beslutninger inn for Domstolen på vilkårene fastsatt i artikkel 263 i TEUV.  De berørte tilsynsmyndighetene som slike beslutninger er rettet til, må, dersom de ønsker å bestride dem, reise sak innen to måneder etter at beslutningene er meddelt dem, i samsvar med 263 i TEUV.  Dersom en behand­lingsansvarlig, databehandler eller klager er direkte og individuelt berørt av Per­sonvernrådets beslutninger, kan disse, i samsvar med artikkel 263 i TEUV, reise sak om oppheving av nevnte beslutninger innen to måneder etter at beslut­ningene er offentliggjort på Personvernrådets nettsted.  Uten at det berører denne rett i henhold til artikkel 263 i TEUV, bør enhver fysisk eller juridisk person ha rett til effektiv rettslig prøving ved vedkommende nasjonale domstol av en beslutning som er truffet av en tilsynsmyndighet, og som har rettsvirkning for vedkommende.  En slik beslutning gjelder særlig tilsynsmyndighetens myn­dighet til å foreta undersøkelser, til å vedta korrigerende tiltak og til å godkjenne eller avslå eller avvise klager.  Retten til effektiv rettslig prøving omfatter imid­lertid ikke tiltak truffet av tilsynsmyndighetene som ikke er rettslig bindende, f.eks. uttalelser eller råd fra tilsynsmyndigheten.  Saker som reises mot en til­synsmyndighet, bør bringes inn for domstolene i medlemsstaten der tilsynsmyn­digheten er etablert, og bør føres i samsvar med prosessretten i nevnte med­lemsstat.  Nevnte domstoler bør ha full domsmyndighet, som bør omfatte myn­dighet til å undersøke alle faktiske og rettslige forhold som gjelder tvisten de har fått seg forelagt.

     Dersom en tilsynsmyndighet har avslått eller avvist en klage, kan klageren bringe saken inn for domstolene i samme medlemsstat.  Når det gjelder rettslig prøving i forbindelse med anvendelsen av denne forordning, kan, eller i tilfellet fastsatt i artikkel 267 i TEUV, skal nasjonale domstoler som anser en avgjørelse om spørsmålet som nødvendig for å avsi dom, anmode Domstolen om en for­håndsavgjørelse om fortolkningen av unionsretten, herunder denne forordning. Dersom en avgjørelse truffet av en tilsynsmyndighet som gjennomfører en beslutning truffet av Personvernrådet, bestrides ved en nasjonal domstol, og det er uenighet om gyldigheten av Personvernrådets beslutning, har nevnte nasjo­nale domstol ikke myndighet til å erklære Personvernrådets beslutning for ugyldig, men skal, dersom den anser at beslutningen er ugyldig, henvise spørs­målet om gyldighet til Domstolen i samsvar med artikkel 267 i TEUV som fortol­ket av Domstolen.  En nasjonal domstol kan imidlertid ikke henvise et spørsmål om gyldigheten av en beslutning truffet av Personvernrådet på anmodning fra en fysisk eller juridisk person som har hatt mulighet til reise sak om oppheving av nevnte beslutning, særlig dersom vedkommende var direkte eller personlig berørt av nevnte beslutning, men ikke har gjort dette innen fristen fastsatt i artikkel 263 i TEUV.

144. Dersom en domstol for hvilken det er anlagt sak mot en avgjørelse truffet av en tilsynsmyndighet, har grunn til å tro at en sak som gjelder samme behandling, f.eks. med samme saksgjenstand og utført av samme behandlingsansvarlig eller databehandler, eller som har samme saksgrunnlag, er brakt inn for en vedkom­mende domstol i en annen medlemsstat, bør den kontakte nevnte domstol for å få bekreftet at det foreligger slike relaterte saker.  Dersom det verserer rela­terte saker for en domstol i en annen medlemsstat, kan enhver annen domstol enn den som saken først ble brakt inn for, utsette saken eller, på anmodning fra en av partene, erklære seg ikke domsmyndig til fordel for domstolen som saken først ble brakt inn for, forutsatt at nevnte domstol har domsmyndighet i den aktuelle saken, og at konsolidering av slike relaterte saker er tillatt i henhold til medlemsstatens nasjonale rett.  Saker anses for å være relaterte når de er så tett forbundet at det er hensiktsmessig å behandle og avgjøre dem sammen, for å unngå risikoen for uforenlige rettsavgjørelser som følge av at de behandles hver for seg.
145. Når det gjelder saker mot en behandlingsansvarlig eller databehandler, bør sak­søkeren ha valget mellom å bringe saken inn for domstolene i medlemsstatene der den behandlingsansvarlige eller databehandleren har en virksomhet, eller der den registrerte er bosatt, med mindre den behandlingsansvarlige er en offentlig myndighet i en medlemsstat som handler innenfor rammen av sin offentlige myndighet.
146. Den behandlingsansvarlige eller databehandleren bør yte erstatning for enhver skade som en person kan bli påført som følge av behandling som er i strid med bestemmelsene i denne forordning.  Den behandlingsansvarlige eller databe­handleren bør fritas for erstatningsansvar dersom vedkommende kan bevise at vedkommende på ingen måte er ansvarlig for skaden.  Begrepet «skade» bør tolkes vidt på bakgrunn av Domstolens rettspraksis og på en måte som fullt ut gjenspeiler målene i denne forordning.  Dette berører ikke eventuelle krav om skadeserstatning som følge av overtredelse av andre bestemmelser i unions­retten eller medlemsstatenes nasjonale rett.  Behandling som er i strid med bestemmelsene i denne forordning, omfatter også behandling som er i strid med bestemmelser i delegerte rettsakter og gjennomføringsrettsakter vedtatt i sam­svar med denne forordning og medlemsstatenes nasjonale rett som presiserer bestemmelsene i denne forordning.  De registrerte bør få full og effektiv erstat­ning for den skade de har lidd.  Dersom behandlingsansvarlige eller databe­handlere er involvert i den samme behandlingen, bør den enkelte behandlings­ansvarlige eller databehandler holdes ansvarlig for hele skaden.  Dersom de er involvert i samme rettergang i samsvar med medlemsstatenes nasjonale rett, kan erstatningen imidlertid fordeles i henhold til den enkelte behandlingsansvar­liges eller databehandlers ansvar for skaden som behandlingen har forvoldt, forutsatt at den registrerte som har lidd skaden, er sikret full og effektiv erstat­ning.  Enhver behandlingsansvarlig eller databehandler som har betalt full er­statning, kan deretter gjøre regress gjeldende mot andre behandlingsansvarlige eller databehandlere som har vært involvert i samme behandling.
147. Når denne forordning inneholder særlige bestemmelser om domsmyndighet, særlig når det gjelder saker om adgang til rettsmidler, herunder for å oppnå er­statning, mot en behandlingsansvarlig eller databehandler, bør allmenne be­stemmelser om domsmyndighet, f.eks. bestemmelsene i europaparlaments- og rådsforordning (EU) nr. 1215/201213, ikke berøre anvendelsen av nevnte sær­lige bestemmelser.
148. For å styrke håndhevingen av bestemmelsene i denne forordning bør det ved overtredelse av denne forordning ilegges sanksjoner, herunder overtredelses­gebyr, i tillegg til eller i stedet for egnede tiltak som tilsynsmyndigheten pålegger i henhold til denne forordning.  Ved mindre overtredelser eller dersom overtre­delsesgebyret som kan bli ilagt, vil utgjøre en uforholdsmessig stor byrde for en fysisk person, kan det gis en irettesettelse i stedet for et overtredelsesgebyr. Det bør imidlertid tas behørig hensyn til overtredelsens art, alvorlighetsgrad og varighet, om den er gjort forsettlig, tiltak som er truffet for å redusere den for­voldte skade, graden av ansvar eller eventuelle relevante tidligere overtredel­ser, måten tilsynsmyndigheten fikk kjennskap til overtredelsen på, overholdelse av tiltak truffet overfor den behandlingsansvarlige eller databehandleren, over­holdelse av atferdsnormer samt andre skjerpende eller formildende faktorer. Ilegging av sanksjoner, herunder overtredelsesgebyr, bør være omfattet av nød­vendige prosessuelle garantier i samsvar med de allmenne prinsippene i unions­retten og i pakten, herunder et effektivt rettslig vern og en rettferdig rettergang.
149. Medlemsstatene bør også kunne fastsette regler om strafferettslige sanksjoner ved overtredelse av denne forordning, herunder ved overtredelse av nasjonale regler vedtatt i henhold til og innenfor rammen av denne forordning.  Disse strafferettslige sanksjonene kan også omfatte muligheten til å inndra en eventu­ell fortjeneste som er oppnådd som følge av overtredelse av denne forordning. Ilegging av strafferettslige sanksjoner for overtredelse av nevnte nasjonale regler samt av administrative sanksjoner bør imidlertid ikke føre til et brudd på ne bis in idem-prinsippet slik det tolkes av Domstolen.
150. For å styrke og harmonisere de administrative sanksjonene for overtredelse av denne forordning bør hver tilsynsmyndighet ha myndighet til å ilegge overtre­delsesgebyr.  Denne forordning bør definere overtredelser og den øvre grensen og kriteriene for fastsettelse av de tilhørende overtredelsesgebyrene, som bør bestemmes av vedkommende tilsynsmyndighet i hvert enkelt tilfelle, idet det tas hensyn til alle forhold som er relevante for den bestemte situasjonen, og idet det tas behørig hensyn særlig til overtredelsens art, alvorlighetsgrad, varighet og konsekvenser samt tiltakene som er truffet for å sikre samsvar med forplikt­elsene i denne forordning, og for å forebygge eller redusere konsekvensene av overtredelsen.  Dersom et foretak ilegges overtredelsesgebyr, bør et foretak for disse formål forstås som et foretak i henhold til artikkel 101 og 102 i TEUV. Dersom personer som ikke er foretak, ilegges overtredelsesgebyr, bør tilsyns­myndigheten ved fastsettelse av en egnet størrelse på overtredelsesgebyret ta hensyn til det generelle inntektsnivået i medlemsstaten samt til personens øko­nomiske situasjon.  Konsistensmekanismen kan også brukes for å fremme en ensartet anvendelse av overtredelsesgebyrer.  Det bør være opp til medlems­statene å bestemme om og i hvilken grad offentlige myndigheter bør kunne ilegges overtredelsesgebyr.  Ilegging av et overtredelsesgebyr eller utstedelse av en advarsel berører ikke anvendelsen av tilsynsmyndighetenes øvrige myn­dighet eller andre sanksjoner i henhold til denne forordning.
151. Rettsordenen i Danmark og Estland tillater ikke overtredelsesgebyr som fastsatt i denne forordning.  Bestemmelsene om overtredelsesgebyr kan i Danmark anvendes ved at gebyr ilegges av vedkommende nasjonale domstoler som en strafferettslig sanksjon, og i Estland ved at gebyr ilegges av tilsynsmyndigheten innenfor rammen av en forseelsesprosedyre, forutsatt at en slik anvendelse av bestemmelsene i disse medlemsstatene har en virkning som tilsvarer virkningen av overtredelsesgebyrer ilagt av tilsynsmyndigheter.  Vedkommende nasjonale domstoler bør derfor ta hensyn til anbefalingen fra tilsynsmyndigheten som har initiert gebyret.  I alle tilfeller bør gebyrene som ilegges, være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende.
152. Når denne forordning ikke harmoniserer administrative sanksjoner eller dersom det er nødvendig i andre tilfeller, f.eks. ved alvorlige overtredelser av denne forordning, bør medlemsstatene innføre et system som gjør det mulig å ilegge effektive, forholdsmessige og avskrekkende sanksjoner.  Sanksjonenes art, dvs. om de er strafferettslige eller administrative, bør fastsettes i medlemsstatenes nasjonale rett.
153. I medlemsstatenes nasjonale rett bør reglene for ytrings- og informasjonsfrihet, herunder med henblikk på journalistiske, akademiske, kunstneriske og/eller litterære ytringer, bringes i samsvar med retten til vern av personopplysninger i henhold til denne forordning.  Det bør fastsettes unntak eller fritak fra visse be­stemmelser i denne forordning for behandling av personopplysninger som ute­lukkende finner sted i journalistisk øyemed eller med henblikk på akademiske, kunstneriske eller litterære ytringer, dersom dette er nødvendig for å bringe ret­ten til vern av personopplysninger i samsvar med retten til ytrings- og informa­sjonsfrihet som nedfelt i artikkel 11 i pakten.  Dette bør særlig gjelde behandling av personopplysninger på det audiovisuelle området og i nyhetsarkiver og pressebiblioteker.  Medlemsstatene bør derfor treffe lovgivningsmessige tiltak som fastsetter de fritak og unntak som er nødvendige for å oppnå en balanse mellom disse grunnleggende rettighetene.  Medlemsstatene bør vedta nevnte fritak og unntak med hensyn til allmenne prinsipper, den registrertes rettigheter, den behandlingsansvarlige og databehandleren, overføring av personopplysnin­ger til tredjestater eller internasjonale organisasjoner, de uavhengige tilsyns­myndighetene, samarbeid og ensartethet samt særlige databehandlingssituasjo­ner.  Dersom slike fritak eller unntak varierer fra en medlemsstat til en annen, bør retten i medlemsstaten som den behandlingsansvarlige er underlagt, få anvendelse.  For å ta høyde for viktigheten av retten til ytringsfrihet i ethvert demokratisk samfunn må begreper som er knyttet til denne friheten, f.eks. journalistikk, tolkes bredt.
154. Denne forordning gir mulighet for at det ved anvendelse av denne forordning kan tas hensyn til prinsippet om allmennhetens rett til innsyn i offentlige doku­menter.  Innsyn i offentlige dokumenter kan anses for å være i allmennhetens interesse.  Personopplysninger i dokumenter som oppbevares av en offentlig myndighet eller et offentlig organ, bør kunne offentliggjøres av nevnte myndig­het eller organ dersom dette er fastsatt i unionsretten eller medlemsstatenes nasjonale rett som den offentlige myndigheten eller det offentlige organet er underlagt.  Nevnte lovbestemmelser bør bringe allmennhetens rett til innsyn i offentlige dokumenter og viderebruk av informasjon fra offentlig sektor i sam­svar med retten til vern av personopplysninger, og kan derfor inneholde be­stemmelser om det nødvendige samsvaret med retten til vern av personopplys­ninger i henhold til denne forordning.  Offentlige myndigheter og organer bør i denne forbindelse omfatte alle myndigheter eller andre organer som omfattes av medlemsstatenes nasjonale rett om dokumentinnsyn.  Europaparlaments- og rådsdirektiv 2003/98/EF14 opprettholder og berører på ingen måte beskyttel­sesnivået for fysiske personer ved behandling av personopplysninger i henhold til bestemmelsene i unionsretten og medlemsstatenes nasjonale rett, og det endrer især ikke forpliktelsene og rettighetene fastsatt i denne forordning. Nevnte direktiv bør særlig ikke få anvendelse på dokumenter som det i henhold til innsynsordningene ikke er eller er begrenset innsyn i av hensyn til vern av personopplysninger, og deler av dokumenter som er tilgjengelig i henhold til disse ordningene, men som inneholder personopplysninger hvis viderebruk ved lov er fastsatt som uforenlig med lovgivningen om vern av fysiske personer ved behandling av personopplysninger.
155. I medlemsstatenes nasjonale rett eller tariffavtaler, herunder «arbeidsavtaler», kan det fastsettes særlige regler om behandling av arbeidstakernes personopp­lysninger i ansettelsesforhold, særlig når det gjelder vilkårene for behandling av personopplysninger i ansettelsesforhold på grunnlag av et samtykke fra den ansatte, formålet med ansettelsen, gjennomføring av ansettelsesavtalen, herun­der overholdelse av pliktene fastsatt ved lov eller i tariffavtaler, ledelse, planleg­ging og organisering av arbeidet, likestilling og mangfold samt helse og sikker­het på arbeidsplassen, individuell eller kollektiv utøvelse og rett til å nyte godt av rettighetene og fordelene knyttet til ansettelsen samt for å avslutte ansettel­sesforholdet.
156. Behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål bør være omfattet av nødvendige garantier som sikrer den registrertes rettig­heter og friheter i henhold til denne forordning.  Disse garantiene bør sikre at det er innført tekniske og organisatoriske tiltak for særlig å sikre overholdelse av prinsippet om dataminimering.  Viderebehandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal utføres etter at den behand­lingsansvarlige har foretatt en vurdering av om det er mulig å oppfylle nevnte formål ved å behandle opplysninger som ikke eller ikke lenger gjør det mulig å identifisere de registrerte, forutsatt at det foreligger nødvendige garantier (f.eks. pseudonymisering av opplysningene).  Medlemsstatene bør fastsette nødvendige garantier for behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål.  Medlemsstatene bør på særlige vilkår og med forbehold for nødvendige garantier for de registrerte ha rett til å fastsette spesifikasjoner og unntak med hensyn til informasjonskravene og retten til retting, sletting, til å bli glemt, til begrensning av behandling, til dataportabilitet og til å protestere i for­bindelse med behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål.  De aktuelle vilkårene og garantiene kan omfatte særlige framgangsmåter som gjør det mulig for registrerte å utøve nevnte rettigheter dersom dette er egnet med henblikk på formålene med den spesifikke behand­lingen, samt tekniske og organisatoriske tiltak som tar sikte på å minimere be­handlingen av personopplysninger i henhold til forholdsmessighets- og nødven­dighetsprinsippet.  Behandling av personopplysninger for vitenskapelige formål bør også utføres i samsvar med annet relevant regelverk, f.eks. om kliniske utprøvinger.
157. Ved å koble sammen opplysninger fra forskjellige registre kan forskere oppnå ny og svært verdifull kunnskap om utbredte sykdomstilstander som hjerte- og karsykdommer, kreft og depresjon.  På grunnlag av registre kan forsknings­resultater forbedres, ettersom registrene omfatter større befolkningsgrupper. Innen samfunnsvitenskap gjør registerforskning det mulig for forskere å få vik­tig kunnskap om den langsiktige sammenhengen mellom en rekke sosiale for­hold, f.eks. arbeidsløshet og utdanning, og andre livsvilkår.  Forskningsresultater oppnådd gjennom registerforskning gir omfattende kunnskap av høy kvalitet som kan danne grunnlaget for utformingen og gjennomføringen av en kunn­skapsbasert politikk, forbedre livskvaliteten til en rekke mennesker og gjøre sosialtjenester mer effektive.  For å fremme vitenskapelig forskning kan person­opplysninger behandles for formål knyttet til vitenskapelig forskning, med for­behold for nødvendige vilkår og garantier fastsatt i unionsretten eller i medlems­statenes nasjonale rett.
158. Dersom personopplysninger behandles for arkivformål, bør denne forordning også få anvendelse på slik behandling, men ikke på avdøde personer.  Offentlige myndigheter eller offentlige eller private organer som oppbevarer fortegnelser av allmenn interesse, bør være tjenester som i henhold til unionsretten eller medlemsstatenes nasjonale rett har en rettslig forpliktelse til å innhente, be­vare, vurdere, organisere, beskrive, kommunisere, fremme, spre og gi tilgang til fortegnelser av varig verdi i allmennhetens interesse.  Medlemsstatene bør også ha rett til å fastsette at personopplysninger kan viderebehandles for arkiv­formål, f.eks. for å framlegge spesifikk informasjon om politisk atferd under tidligere totalitære regimer, folkemord, forbrytelser mot menneskeheten, særlig holocaust, eller krigsforbrytelser.
159. Når personopplysninger behandles i forbindelse med formål knyttet til vitenska­pelig forskning, bør denne forordning også få anvendelse på slik behandling.  I denne forordning bør behandling av personopplysninger i forbindelse med for­mål knyttet til vitenskapelig forskning tolkes vidt og f.eks. omfatte teknologisk utvikling og demonstrasjon, grunnleggende forskning, anvendt forskning og pri­vatfinansiert forskning.  I tillegg bør den ta hensyn til Unionens mål om å skape et europeisk forskningsområde i henhold til artikkel 179 nr. 1 i TEUV.  Formål knyttet til vitenskapelig forskning bør også omfatte studier som utføres i all­mennhetens interesse på området folkehelse.  For å ta hensyn til de særlige forholdene som gjelder ved behandling av personopplysninger i forbindelse med vitenskapelig forskning, bør særlige vilkår få anvendelse, særlig med hensyn til publisering eller annen utlevering av personopplysninger i forbindelse med nevnte formål.  Dersom resultatet av den vitenskapelige forskningen, særlig på området helse, berettiger ytterligere tiltak i den registrertes interesse, bør de allmenne bestemmelsene i denne forordning få anvendelse med henblikk på nevnte tiltak.
160. Når personopplysninger behandles i forbindelse med formål knyttet til historisk forskning, bør denne forordning også få anvendelse på slik behandling.  Dette bør også omfatte historisk forskning og genealogisk forskning, idet det tas hensyn til at denne forordning ikke bør få anvendelse på avdøde personer.
161. Når det gjelder samtykke til å delta i vitenskapelige forskningsaktiviteter i for­bindelse med kliniske utprøvinger, bør de relevante bestemmelsene i europa­parlaments- og rådsforordning (EU) nr. 536/201415 få anvendelse.
162. Når personopplysninger behandles for statistiske formål, bør denne forordning få anvendelse på slik behandling.  I unionsretten eller medlemsstatenes nasjo­nale rett bør det innenfor rammene av denne forordning fastsettes statistisk inn­hold, tilgangskontroll, spesifikasjoner for behandling av personopplysninger for statistiske formål og egnede tiltak for å sikre den registrertes rettigheter og fri­heter samt for å sikre konfidensiell behandling av statistiske opplysninger.  Med statistiske formål menes enhver innsamling og behandling av personopplysnin­ger som er nødvendig i forbindelse med statistiske undersøkelser eller for å framskaffe statistiske resultater.  Nevnte statistiske resultater kan deretter bru­kes til forskjellige formål, herunder til vitenskapelig forskning.  Det statistiske formålet innebærer at resultatet av behandlingen for statistiske formål ikke er personopplysninger, men aggregerte data, og at dette resultatet eller person­opplysningene ikke brukes som støtte for tiltak eller avgjørelser som gjelder en bestemt fysisk person.
163. De konfidensielle opplysningene som Unionens og nasjonale statistikkmyndighe­ter samler inn for å utarbeide offisiell EU-statistikk og offisiell nasjonal statistikk, bør vernes.  EU-statistikk bør utvikles, utarbeides og formidles i samsvar med de statistiske prinsippene fastsatt i artikkel 338 nr. 2 i TEUV, mens nasjonal stati­stikk også bør være i samsvar med medlemsstatenes nasjonale rett.  Ved europaparlaments- og rådsforordning (EF) nr. 223/200916 er det fastsatt ytter­ligere spesifikasjoner for konfidensiell behandling av statistiske opplysninger i Europa.
164. Når det gjelder tilsynsmyndighetenes myndighet til å få tilgang til personopplys­ninger fra den behandlingsansvarlige eller databehandleren og adgang til deres lokaler, kan medlemsstatene innenfor rammene av denne forordning ved lov vedta særlige regler for å sikre yrkesmessig eller annen tilsvarende taushets­plikt, i den grad det er nødvendig for å bringe retten til vern av personopplys­ning i samsvar med yrkesmessig taushetsplikt.  Dette berører ikke medlems­statenes eksisterende forpliktelser til å vedta regler om taushetsplikt dersom det kreves i unionsretten.
165. Denne forordning respekterer og berører ikke den status kirker og religiøse sammenslutninger eller samfunn har i henhold til eksisterende forfatningsrett i medlemsstatene, som anerkjent i artikkel 17 i TEUV.
166. For å oppfylle målene i denne forordning, som er å verne fysiske personers grunnleggende rettigheter og friheter og særlig deres rett til vern av personopp­lysninger, og for å sikre fri utveksling av personopplysninger i Unionen, bør myndigheten til å vedta rettsakter i samsvar med artikkel 290 i TEUV delegeres til Kommisjonen.  Det bør særlig vedtas delegerte rettsakter om kriteriene for og kravene til sertifiseringsmekanismer, informasjon som skal gis ved hjelp av standardiserte ikoner, og framgangsmåter for å tilveiebringe nevnte ikoner.  Det er særlig viktig at Kommisjonen holder hensiktsmessige samråd under sitt for­beredende arbeid, herunder på ekspertnivå.  Kommisjonen bør ved forbere­delse og utarbeiding av delegerte rettsakter sikre at relevante dokumenter oversendes Europaparlamentet og Rådet samtidig, til rett tid og på en egnet måte.
167. For å sikre ensartede vilkår for gjennomføring av denne forordning bør Kommi­sjonen gis gjennomføringsmyndighet når dette er fastsatt i denne forordning. Nevnte myndighet bør utøves i samsvar med forordning (EU) nr. 182/2011.  I denne forbindelse bør Kommisjonen vurdere særlige tiltak for svært små, små og mellomstore bedrifter.
168. Undersøkelsesprosedyren bør brukes når det vedtas gjennomføringsrettsakter om standardavtalevilkår mellom behandlingsansvarlige og databehandlere og mellom databehandlere; atferdsnormer; tekniske standarder og sertifiserings­mekanismer; det tilstrekkelige beskyttelsesnivået som sikres av en tredjestat, et territorium eller en angitt sektor i nevnte tredjestat eller en internasjonal organisasjon; standard personvernbestemmelser; formater og framgangsmåter for elektronisk utveksling av informasjon mellom behandlingsansvarlige, data­behandlere og tilsynsmyndigheter med tanke på bindende virksomhetsregler; gjensidig bistand samt ordninger for elektronisk utveksling av informasjon mel­lom tilsynsmyndigheter og mellom tilsynsmyndigheter og Personvernrådet.
169. Kommisjonen bør vedta gjennomføringsrettsakter med umiddelbar virkning når tilgjengelig dokumentasjon viser at en tredjestat, et territorium eller en angitt sektor i nevnte tredjestat eller en internasjonal organisasjon ikke sikrer et til­strekkelig beskyttelsesnivå, og tvingende og presserende hensyn krever det.
170. Ettersom målet for denne forordning, som er å sikre et ensartet nivå for vern av fysiske personer og fri flyt av personopplysninger i hele Unionen, ikke kan nås i tilstrekkelig grad av medlemsstatene og derfor på grunn av tiltakets omfang og virkninger bedre kan nås på unionsplan, kan Unionen treffe tiltak i samsvar med nærhetsprinsippet som fastsatt i artikkel 5 i traktaten om Den europeiske union (TEU).  I samsvar med forholdsmessighetsprinsippet fastsatt i nevnte artikkel går denne forordning ikke lenger enn det som er nødvendig for å nå dette målet.
171. Direktiv 95/46/EF bør oppheves ved denne forordning.  Behandling som allerede pågår på anvendelsesdatoen for denne forordning, bør bringes i samsvar med denne forordning senest to år etter at denne forordning har trådt i kraft.  Når behandlingen bygger på et samtykke i henhold til direktiv 95/46/EF, trenger den registrerte ikke å gi sitt samtykke på nytt for at den behandlingsansvarlige skal kunne fortsette nevnte behandling etter anvendelsesdatoen for denne forord­ning, dersom samtykket ble gitt i samsvar med vilkårene i denne forordning. Beslutninger truffet av Kommisjonen og godkjenninger gitt av tilsynsmyndighe­ter på grunnlag av direktiv 95/46/EF skal fortsette å gjelde fram til de endres, erstattes eller oppheves.
172. EUs datatilsyn er blitt rådspurt i samsvar med artikkel 28 nr. 2 i forordning (EF) nr. 45/2001 og avga uttalelse 7. mars 201217.
173. Denne forordning bør få anvendelse på alle forhold som gjelder vern av grunn­leggende rettigheter og friheter i forbindelse med behandling av personopplys­ninger, som ikke er underlagt særlige forpliktelser med samme formål som fast­satt i europaparlaments- og rådsdirektiv 2002/58/EF18, herunder den behand­lingsansvarliges forpliktelser og fysiske personers rettigheter.  For å avklare for­holdet mellom denne forordning og direktiv 2002/58/EF bør nevnte direktiv der­for endres.  Når denne forordning er vedtatt, bør det foretas en ny gjennom­gåelse av direktiv 2002/58/EF, særlig for å sikre samsvar med denne forordning —

VEDTATT DENNE FORORDNING: