Keine Produkte
Preise sind inklusive Steuern
I
(Gesetz)
VORSCHRIFTEN
VERORDNUNG (EU) 2016/679 EUROPÄISCHE PARLAMENT UND DES RATES vom 27. April 2016
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in Bezug und die Richtlinie 95/46 / EG zur Aufhebung der (Verordnungen
Allgemeines über den Schutz von Daten)
(Text von Bedeutung für den EWR)
DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16, in Kenntnis der Europäischen Kommission, nach Übermittlung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, nach der Wirtschafts- und Sozialausschusses (1), nach Anhörung des Ausschusses der Regionen (2) Anhörung gemäß dem ordentlichen Gesetzgebungsverfahren (3), in Erwägung:
(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (nachstehend bezeichnet als „Charta“) und Artikel 16 Absatz 1 des Vertrages über die Arbeitsweise der Europäischen Union fest, dass all hat das Recht auf Schutz der personenbezogenen Daten über ihn.
(2) Die Grundsätze und Regeln für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten über sie sollten, unabhängig von der Staatsangehörigkeit oder des Wohnsitzes von solchen natürlichen Personen, deren Grundrechte und Freiheiten achten, in insbesondere ihr Recht auf persönliche Daten Schutz. Ziel dieser Verordnung ist zur Verwirklichung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zur wirtschaftlichen und sozialen Fortschritt, Konsolidierung und Konvergenz der Volkswirtschaften innerhalb des Binnenmarktes beizutragen, das wohl~~POS=TRUNC des Einzelnen.
(3) Die Richtlinie 95/46 / EG des Europäischen Parlaments und des Rates (4) sollte den Schutz der Grundrechte und Freiheiten des Einzelnen in Bezug auf die Verarbeitungstätigkeiten harmonisieren und den freien Fluss von Daten zu Charakter, um sicherzustellen, Personal zwischen den Mitgliedstaaten.
(1) OJ C 229, 31.7.2012, p. 90.
(2) OJ C 391, 2012.12.18, p. 127.
(3) Standpunkt des Europäischen Parlaments vom 12. März 2014 (noch nicht im Amtsblatt veröffentlicht) und Standpunkt des Rates in erster Lesung vom 8. April 2016 (noch nicht im Amtsblatt veröffentlicht). Standpunkt des Europäischen Parlaments vom 14. April 2016.
(4) Die Richtlinie 95/46 / EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl L 281, 23.11.1995, S.. 31).
(4) Die Verarbeitung personenbezogener Daten sollte die Menschheit dienen ausgelegt sein. Das Recht auf Schutz personenbezogener Daten ist kein absolutes Recht; es muss in Bezug auf ihre Funktion in der Gesellschaft angesehen werden und mit anderen Grundrechten abgewogen werden, in Übereinstimmung mit dem Grundsatz der Verhältnismäßigkeit. Diese Verordnung wahrt alle Grundrechte und wahrt die Freiheiten und der Charta in den Verträgen verankerten anerkannten Grundsätzen insbesondere, Achtung des Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation, Schutz personenbezogener Daten, Freiheit des Denkens, des Gewissens und der Religion, die Freiheit der Meinungsäußerung und Informationsfreiheit des Unternehmens, das Recht auf einen wirksamen Rechtsbehelf und auf ein faires Verfahren
(5) Die wirtschaftliche und soziale Integration aus dem Funktionieren des Binnenmarktes hat zu einem erheblichen Anstieg der grenzüberschreitenden Verkehr personenbezogener Daten. persönlicher Datenaustausch zwischen öffentlichen und privaten Akteuren, einschließlich Einzelpersonen, Verbände und Unternehmen in der gesamten Union verstärkt. Das Recht der Union rief die nationalen Behörden der Mitgliedstaaten personenbezogene Daten kooperieren und austauschen zu können, um ihre Aufgaben erfüllen oder erfüllen Aufgaben im Auftrag einer Behörde in einem ein anderer Mitgliedstaat.
(6) Die rasante Entwicklung der Technologie und die Globalisierung hat für den Schutz personenbezogener Daten vor neue Herausforderungen gestellt. Das Ausmaß der Erfassung und den Austausch personenbezogener Daten hat erheblich zugenommen. Die Technologien ermöglichen sowohl private Unternehmen und Behörden, bevor sie im Rahmen ihrer Tätigkeit die persönlichen Daten wie nie zu verwenden. Immer mehr Menschen machen Informationen über sie öffentlich zugänglich und auf globaler Ebene. Die Technologie hat sowohl die Wirtschaft und die sozialen Beziehungen verändert und sollte weiterhin den freien Verkehr personenbezogener Daten innerhalb der Union und deren Übermittlung an Drittstaaten und internationalen Organisationen erleichtern,
(7) Diese Änderungen erfordern starke Datenschutzrahmen und kohärent in der EU, zusammen mit einer konsequenten Umsetzung der Regeln, weil es wichtig ist, Vertrauen zu schaffen, dass die digitale Wirtschaft ermöglichen, in der Entwicklung im gesamten Binnenmarkt. Der Einzelne sollte sie über die Kontrolle über persönliche Daten. Sicherheit als Rechtspraxis, die für Privatpersonen, Wirtschaftsteilnehmer und Behörden gestärkt werden soll.
(8) Die in dieser Verordnung sieht vor, dass das Recht eines Mitgliedstaats können die Regeln oder Beschränkungen darin enthaltenen klären können die Mitgliedstaaten, soweit im Rahmen ihrer Rechte Elemente dieser Verordnung einzuarbeiten notwendig, um sicherzustellen, die Konsistenz und nationale Vorschriften verständlich zu den Personen, auf die sie sich beziehen.
(9) Wenn es zufriedenstellend hinsichtlich ihrer Ziele und Grundsätze der Richtlinie 95/46 / EG wurde zu vermeiden Fragmentierung der Umsetzung des Datenschutzes in der EU nicht in der Lage, ein Rechtsunsicherheit und das weit verbreitete Gefühl in der Öffentlichkeit, dass erhebliche Risiken für den Schutz von Personen bleiben, vor allem im Hinblick auf die Online-Umgebung. Die Unterschiede in der Höhe des Schutzes der Rechte und Freiheiten natürlicher Personen, insbesondere das Recht auf Schutz personenbezogener Daten im Hinblick auf die Verarbeitung personenbezogener Daten in den Mitgliedstaaten können den freien Fluss von diesen verhindern Daten in der gesamten Union. Diese Unterschiede können daher ein Hindernis zu Ausübung der Wirtschaftszweige in der Union, den Wettbewerb verfälschen und impede Behörden ihre Verpflichtungen aus dem EU-Recht zu erfüllen. Diese Unterschiede im Schutzniveau aus der Existenz von Unterschieden bei der Umsetzung und Anwendung der Richtlinie 95/46 / EG.
(10) Um eine konsistente und hohe Maß an Schutz von Personen zu gewährleisten und die Hindernisse für die personenbezogenen Daten zu entfernen Ströme innerhalb der EU, das Niveaus des Schutzes der Rechte und Freiheiten von Personen mit Hinblick auf die Verarbeitung dieser Daten in allen Mitgliedstaaten gleich. Es ist daher notwendig, eine kohärente und konsistente Anwendung der grundlegenden Regeln des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten in der gesamten Union zu gewährleisten. Im Hinblick auf die Behandlung der persönlichen Daten, die für die Erfüllung einer rechtlichen Verpflichtung, die Wahrnehmung einer Aufgabe, die von öffentlichem Interesse oder in Ausübung Behörde in der Steuerung übertragen, ist es notwendig, die Mitgliedstaaten beizubehalten oder einzuführen, die nationalen Bestimmungen, mit denen zur weiteren Klärung der Vorschriften dieser Verordnung zu ermöglichen. Zusammen mit den allgemeinen und horizontalen Rechtsvorschriften über den Datenschutz zur Durchführung der Richtlinie 95/46 / EG, gibt es in den Mitgliedstaaten mehr sektorspezifische Rechtsvorschriften in Bereichen, die detailliertere Bestimmungen erfordern. Diese Verordnung ermöglicht auch eine gewissen Spielraum Mitgliedstaaten ihre Regeln zu klären, in Bezug auf die Verarbeitung besonderer Kategorien personenbezogener Daten einschließlich (im Folgenden als „sensible Daten“). In dieser Hinsicht ist diese Verordnung nicht
(11) Ein wirksamer Schutz personenbezogener Daten in der gesamten Union erfordert die Stärkung und die Rechte der betroffenen Personen zu klären und die Pflichten diejenigen, die durch und bestimmen die Verarbeitung personenbezogener Daten sowie bieten in den Mitgliedstaaten gleichwertige Befugnisse der Überwachung und der Überwachung der Einhaltung der Vorschriften über den Schutz personenbezogener Daten und gleichwertige Sanktionen bei Verstößen.
(12) Artikel 16 Absatz 2 des Vertrags über die Arbeitsweise der Europäischen Union beauftragt, das Europäische Parlament und den Rat, die Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung von Daten Zeichen gesetzt Personal und Vorschriften über den freien Verkehr personenbezogener Daten.
eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der einzelnen Mitgliedstaaten. Für den Binnenmarkt ordnungsgemäß funktioniert, ist es notwendig, dass der freie Verkehr personenbezogener Daten innerhalb der Union nicht aus Gründen des Schutzes der Personen bei der Datenverarbeitung, eingeschränkt oder untersagt wird persönlich. Um die spezifische Situation von Kleinst-, kleinen und mittleren Unternehmen zu reflektieren, enthält diese Verordnung eine Ausnahmeregelung für Unternehmen mit weniger als 250 Mitarbeitern in Bezug auf Aufzeichnungen. Die Organe und Einrichtungen der Union und die Mitgliedstaaten und ihre Kontrollbehörden sind auch die spezifischen Bedürfnisse von Kleinst- zu betrachten ermutigt, kleine und mittlere Unternehmen im Rahmen der Anwendung dieser Verordnung. Um das Konzept der Kleinst-, kleine und mittlere Unternehmen zu definieren, sollte es aufgrund von Artikel 2 des Anhangs der Empfehlung 2003/361 / EG (1) werden.
(14) Der Schutz in der vorliegenden Verordnung sollte Personen unabhängig von ihrer Staatsangehörigkeit oder Wohnsitz in Bezug auf die Verarbeitung ihrer personenbezogenen Daten. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten in Bezug auf juristische Personen, insbesondere Gesellschaften mit eigener Rechtspersönlichkeit, einschließlich dem Namen, die Rechtsform und Anschrift des Unternehmens.
(15) Zur Vermeidung einer ernsten Gefahr einer Umgehung zu schaffen, sollte der Schutz natürlicher Personen technologisch neutral sein und hängen nicht von den verwendeten Techniken. Es soll Anwendung auf personenbezogene Daten verarbeiten automatisierte Prozesse unter Verwendung sowie manuelle Verarbeitung, wenn die personenbezogenen Daten in enthalten ist oder in einer Datei enthalten sein. Die Dateien oder Gruppen von Dateien sowie deren Abdeckungen, die strukturiert sind, nicht nach bestimmten Kriterien, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.
(16) Diese Verordnung gilt nicht für Fragen des Schutzes der Grundrechte und Freiheiten oder den freien Verkehr personenbezogener Daten für Tätigkeiten, die nicht in den Anwendungsbereich des EU-Rechts fallen, wie dass die nationale Sicherheit bezogenen Aktivitäten. Diese Verordnung geht nicht auf die Verarbeitung personenbezogener Daten durch die Mitgliedstaaten im Rahmen ihrer Tätigkeiten gilt für Außenpolitik und Sicherheitspolitik der Union.
(17) Die Verordnung (EG) Nr 45/2001 des Europäischen Parlaments und des Rates (2) gilt für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union. Verordnung (EG) Nr 45/2001 und anderen anwendbaren Rechtsakte der Union die Verarbeitung personenbezogener Daten sollte auf die Grundsätze und Regeln festgelegt in dieser Verordnung und Anwendung im Lichte dieser Verordnung angepasst werden. Um einen Rahmen zum Schutz von Daten fest und konsistent in der Union zu schaffen, sollte es nach der Annahme dieser Verordnung 45/2001, die notwendigen Anpassungen der Verordnung (EG) Nr zu machen, um -ci gilt gleichzeitig mit dieser Verordnung.
(18) Diese Verordnung gilt nicht für die Verarbeitung der persönlichen Daten in rein persönlichen oder Haushaltstätigkeiten durch eine natürliche Person durchgeführt, und daher in keinem Zusammenhang mit
(1) Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition des Kleinst, kleiner und mittlerer Unternehmen [C (2003) 1422] (ABl L 124 vom 20.5.2003, S.. 36).
(2) Die Verordnung (EG) Nr 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen und über die Freizügigkeit solche Daten (OJ L 8, 12.1.2001, Seite 1).
berufliche oder gewerbliche Tätigkeit. Die persönliche oder Haushaltstätigkeit könnte den Austausch von Korrespondenz umfassen und das Halten eines Adressbuchs oder der Nutzung von sozialen Netzwerken und Online-Aktivitäten, die stattfinden, im Rahmen dieser Aktivitäten. Allerdings gilt diese Verordnung für Controller oder an Subunternehmern, die die Möglichkeit bieten, persönliche Daten für solche persönlichen oder familiäre Tätigkeiten zu verarbeiten.
(19) Der Schutz von Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung und Aufdeckung von Verbrechen, Ermittlung und Verfolgung in der Sache oder die Ausführung von Strafen Verbrecher, einschließlich des Schutzes vor Gefahren für die öffentliche Sicherheit und die Verhinderung solcher Bedrohungen und den freien Verkehr dieser Daten unterliegt besonderen Rechtsakt der Union. Diese Verordnung sollte daher nicht für diese Zwecke an die Verarbeitungstätigkeiten. Doch durch die Behörden im Rahmen dieser Verordnung verarbeiteten personenbezogenen Daten sollten, wenn für diese Zwecke verwendet werden, durch einen Rechtsakt der Union geregelt werden präziser, nämlich die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (1). Die Mitgliedstaaten können die zuständigen Behörden im Sinne der Richtlinie (EU) 2016/680 Missionen beauftragen, die für die Zwecke der Verhütung und Aufdeckung von Verbrechen, Ermittlung und Verfolgung in der Sache nicht unbedingt gemacht werden oder Vollstreckung strafrechtlicher Sanktionen, einschließlich des Schutzes vor Gefahren für die öffentliche Sicherheit und die Verhinderung solcher Bedrohungen, so dass die Behandlung von persönlichen Daten für diese andere Zwecke, sofern sie in den Anwendungsbereich Anwendung des EU-Rechts in den Anwendungsbereich dieser Verordnung.
In Bezug auf die Behandlung personenbezogener Daten durch die zuständigen Behörden für Zwecke im Rahmen der Anwendung dieser Verordnung sollen die Mitgliedstaaten in der Lage sein, spezifischere Bestimmungen beizubehalten oder einzuführen, die Vorschriften dieser Verordnung anzupassen . Diese Bestimmungen können genauer auf die spezifischen Anforderungen der Verarbeitung personenbezogener Daten durch die zuständigen Behörden für diese anderen Zwecke bestimmen, unter Berücksichtigung der verfassungsrechtlichen Struktur, Organisation und Verwaltung von dem betreffenden Mitgliedstaat. Wenn die Verarbeitung personenbezogener Daten von privaten Einrichtungen in den Anwendungsbereich dieser Verordnung fällt, sollte es für die Mitgliedstaaten unter bestimmten Bedingungen möglich sein, Grenze gesetzlich bestimmte Pflichten und Rechte, wenn eine solche Beschränkung stellt eine notwendige und angemessene Maß in einer demokratischen Gesellschaft für wichtig, spezifische Interessen wie die öffentliche Sicherheit sowie die Verhütung und Aufdeckung von Straftaten, die Untersuchung und Verfolgung von Straftaten oder der Vollstreckung strafrechtlicher Sanktionen, einschließlich des Schutzes vor Gefahren für die öffentliche Sicherheit und die Verhinderung von solchen Bedrohungen. Dies ist relevant, beispielsweise als Teil des Kampfes gegen die Geldwäsche oder Aktivitäten für forensische Laboratorien.
(20) Während diese Verordnung gilt unter anderem die Aktivitäten von Gerichten und anderen Justizbehörden, die das Unionsrecht oder das Recht der Mitgliedstaaten, die Verarbeitungsvorgänge und Verfahren für die Behandlung geben könnte personenbezogener Daten durch die Gerichte und andere Justizbehörden. Die Zuständigkeit der Aufsichtsbehörden nicht auf die Verarbeitung personenbezogener Daten erstrecken sich von den Gerichten in der Ausübung ihrer richterlichen Funktion, um die Erhaltung der Unabhängigkeit der Justiz in der Ausübung seiner richterlichen Pflichten durchgeführt wird, einschließlich, wenn Entscheidungen zu treffen. Es sollte möglich sein, die Kontrolle über die Datenverarbeitungsvorgänge auf bestimmte Organe zu geben, in dem
(21) Diese Verordnung gilt unbeschadet die Anwendung der Richtlinie 2000/31 / EG des Europäischen Parlaments und des Rates (2), einschließlich der Vermittler der Haftung für die Artikel 12 bis 15. mit dieser Richtlinie soll das reibungslose Funktionieren des Binnenmarktes durch Gewährleistung des freien Verkehrs von Diensten der Informationsgesellschaft zwischen den Mitgliedstaaten zu gewährleisten.
(22) gehalten Jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Controllers oder ein Subunternehmer auf dem Gebiet der Europäischen Union gemäß dieser Verordnung sein sollte, die Behandlung selbst stattfindet oder nicht in der Union. Die Einrichtung setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch stabile Vorrichtung. Die Rechtsform einer solchen Vorrichtung, ob eine Niederlassung oder einer Tochtergesellschaft mit eigener Rechtspersönlichkeit, ist in dieser Hinsicht nicht entscheidend.
(1) Die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung und Aufdeckung Straftaten, Ermittlung und Verfolgung in der Sache oder die Vollstreckung strafrechtlicher Sanktionen und der freie Datenverkehr und zur Aufhebung des Rahmenbeschluss 2008/977 / JI (siehe Seite 89 dieses Amtsblatts ).
(2) Die Richtlinie 2000/31 / EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt ( ‚Richtlinie über den Handel e „) (ABl L 178 vom 17.7.2000, S.. 1).
(23) Um sicherzustellen, dass eine Person nicht aus dem Schutz, auf dem ausgeschlossen ist es im Rahmen dieser Verordnung berechtigt ist, die Verarbeitung personenbezogener Daten an die betreffenden Personen, die durch einen in der Union Controller oder ein Subunternehmer, die in der Union ist nicht Gegenstand dieser Verordnung sein sollte, wo die Verarbeitung von Aktivitäten auf die Lieferung von Waren oder Dienstleistungen für diese Menschen verwandt sind, ist eine Zahlung erforderlich oder nicht. Um festzustellen, ob eine solche Steuerung oder Subunternehmer Waren oder Dienstleistungen an Personen bietet betroffenen, die in der Union sind, sollte es festzustellen, ob es klar ist, dass die Steuerung oder Subunternehmer beabsichtigt, Erbringung von Dienstleistungen für die in einem oder mehreren Mitgliedstaaten der Europäischen Union betroffenen Menschen. Während die bloße Zugänglichkeit der Website-Manager der Behandlung, einen Subunternehmer oder einen Vermittler in der Union, eine E-Mail-Adresse oder andere Kontaktdaten oder die Verwendung einer Sprache allgemein verwendet in dem Drittland, in dem die Steuerung nicht ausreichend festgelegt wird, ist diese Absicht zu schaffen, Faktoren wie die Verwendung einer Sprache oder eine üblicherweise verwendeten Währung in einem oder mehreren Mitgliedstaaten, mit der Möglichkeit, um Waren und Dienstleistungen in dieser Sprache oder Referenzkunden oder Nutzer, die in der Union sind, können deutlich machen, dass die Datenverarbeitung Verantwortlichen beabsichtigt,
(24) Die Verarbeitung personenbezogener Daten der betroffenen Personen, die von einer Steuerung in der Union sind oder einen Subunternehmer, der nicht in der EU ansässig ist ebenfalls Gegenstand dieser Verordnung sein sollte, wenn die Behandlung, sagte auf die Überwachung des Verhaltens dieser Menschen in dem Maße, dass sie ihr Verhalten in der Union zusammenhängt. Um festzustellen, ob eine Verarbeitung betreffenden Tätigkeit einer Überwachung des Verhaltens der Personen in Betracht gezogen werden kann, ist es notwendig, um festzustellen, ob Personen im Internet verfolgt werden, einschließlich der künftigen Nutzung von Datenverarbeitungstechniken personenbezogenen Daten, die von einer Profilierung eines Individuums bestehen insbesondere darin, Entscheidungen zu treffen in Bezug auf oder
(25) Ist nach dem Recht eines Mitgliedstaates gemäß dem internationalen Recht gilt, sollte diese Verordnung gilt auch für einen Controller nicht in der Union, zum Beispiel, das ist von der diplomatischen oder Konsularvertretung eines Mitgliedsstaat.
(26) Es ist angebracht, die Grundsätze für den Datenschutz für alle Informationen über eine bestimmte oder bestimmbare natürliche Person anzuwenden. Die personenbezogenen Daten, die ein Individuum durch die Verwendung von zusätzlichen Informationen zurückzuführen waren eine Pseudonymisierung und das könnte sollen Informationen über eine identifizierbare Person betrachtet werden. Um zu bestimmen, ob ein Individuum identifiziert wird, soll es all Mittel betrachtet hinreichend wahrscheinlich durch den Controller oder von einer anderen Person verwendet werden, um die Person, die unmittelbar zu identifizieren oder indirekt, wie Targeting. Um festzustellen, ob die Mittel angemessen sind wahrscheinlich werden verwendet, um Personen zu identifizieren, sollte es alle objektiven Faktoren, wie Kosten für die Identifizierung und die Zeit für die es erforderlich ist, unter Berücksichtigung der Technologie, die zum Zeitpunkt der Behandlung zu berücksichtigen und Ändern sie. Es besteht daher keine Notwendigkeit, die Grundsätze für den Datenschutz anonyme Informationen, dh Informationen, die nicht über eine bestimmte oder bestimmbare natürliche Person anzuwenden, oder anonyme personenbezogenen Daten so gemacht, dass die betreffende Person nicht oder nicht mehr erkennbar. Diese Regelung gilt daher nicht solche anonyme Informationen zu behandeln, einschließlich statistischer und Forschungszwecke. es sollten alle objektiven Faktoren, wie Kosten für die Identifizierung berücksichtigen und die dafür benötigte Zeit, in verfügbare berücksichtigen, wenn Technologien und die Entwicklung dieser Verarbeitung. Es besteht daher keine Notwendigkeit, die Grundsätze für den Datenschutz anonyme Informationen, dh Informationen, die nicht über eine bestimmte oder bestimmbare natürliche Person anzuwenden, oder anonyme personenbezogenen Daten so gemacht, dass die betreffende Person nicht oder nicht mehr erkennbar. Diese Regelung gilt daher nicht solche anonyme Informationen zu behandeln, einschließlich statistischer und Forschungszwecke. es sollten alle objektiven Faktoren, wie Kosten für die Identifizierung berücksichtigen und die dafür benötigte Zeit, in verfügbare berücksichtigen, wenn Technologien und die Entwicklung dieser Verarbeitung. Es besteht daher keine Notwendigkeit, die Grundsätze für den Datenschutz anonyme Informationen, dh Informationen, die nicht über eine bestimmte oder bestimmbare natürliche Person anzuwenden, oder anonyme personenbezogenen Daten so gemacht, dass die betreffende Person nicht oder nicht mehr erkennbar. Diese Regelung gilt daher nicht solche anonyme Informationen zu behandeln, einschließlich statistischer und Forschungszwecke. wie es der Identifikation und die erforderliche Zeit, unter Berücksichtigung der verfügbaren bei der Verarbeitung von Technologien und die Entwicklung dieser Kosten. Es besteht daher keine Notwendigkeit, die Grundsätze für den Datenschutz anonyme Informationen, dh Informationen, die nicht über eine bestimmte oder bestimmbare natürliche Person anzuwenden, oder anonyme personenbezogenen Daten so gemacht, dass die betreffende Person nicht oder nicht mehr erkennbar. Diese Regelung gilt daher nicht solche anonyme Informationen zu behandeln, einschließlich statistischer und Forschungszwecke. wie es der Identifikation und die erforderliche Zeit, unter Berücksichtigung der verfügbaren bei der Verarbeitung von Technologien und die Entwicklung dieser Kosten. Es besteht daher keine Notwendigkeit, die Grundsätze für den Datenschutz anonyme Informationen, dh Informationen, die nicht über eine bestimmte oder bestimmbare natürliche Person anzuwenden, oder anonyme personenbezogenen Daten so gemacht, dass die betreffende Person nicht oder nicht mehr erkennbar. Diese Regelung gilt daher nicht solche anonyme Informationen zu behandeln, einschließlich statistischer und Forschungszwecke. Es besteht daher keine Notwendigkeit, die Grundsätze für den Datenschutz anonyme Informationen, dh Informationen, die nicht über eine bestimmte oder bestimmbare natürliche Person anzuwenden, oder anonyme personenbezogenen Daten so gemacht, dass die betreffende Person nicht oder nicht mehr erkennbar. Diese Regelung gilt daher nicht solche anonyme Informationen zu behandeln, einschließlich statistischer und Forschungszwecke. Es besteht daher keine Notwendigkeit, die Grundsätze für den Datenschutz anonyme Informationen, dh Informationen, die nicht über eine bestimmte oder bestimmbare natürliche Person anzuwenden, oder anonyme personenbezogenen Daten so gemacht, dass die betreffende Person nicht oder nicht mehr erkennbar. Diese Regelung gilt daher nicht solche anonyme Informationen zu behandeln, einschließlich statistischer und Forschungszwecke.
(27) Diese Verordnung gilt nicht für personenbezogene Daten des Verstorbenen. Die Mitgliedstaaten Vorschriften über die Behandlung der persönlichen Daten des Verstorbenen annehmen kann.
(28) Pseudonymisierung personenbezogener Daten können Risiken für die Menschen reduzieren betroffenen und Hilfe-Controller und Subunternehmer auf ihre Verpflichtungen in Bezug auf den Datenschutz zu erfüllen. Die Einführung expliziter Pseudonymisierung in dieser Verordnung keine andere Maßnahme des Datenschutzes ausschließen soll.
(29) Um Pseudonymisierung in der Verarbeitung personenbezogener Daten zu fördern, Pseudonymisierung Maßnahmen möglich sein sollten, in einem einzigen Controller, während eine allgemeine Analyse erlaubt, wenn es technische Maßnahmen getroffen hat, und organisatorische Maßnahmen, um sicherzustellen, für die Behandlung besorgt darüber, dass diese Verordnung umgesetzt wird, und dass die zusätzlichen Informationen personenbezogene Daten zu einer bestimmten Person zugeordnet werden separat betroffen sind gehalten. Die Daten-Controller, die personenbezogene Daten verarbeitet, sollten in einem gleichen Controller zeigen die auf diesen befugten Personen.
(30) Natürliche Personen in Verbindung gebracht werden können, die von den Geräten, Anwendungen, Tools und Protokolle, die sie, Online-Kennungen wie IP-Adressen und Cookies-Verbindung ( „Cookies“) oder andere Bezeichner verwenden, beispielsweise der Radiofrequenz-Identifikationsetiketten. Diese Kennungen können Spuren hinterlassen, vor allem, wenn in Kombination mit eindeutigen Kennungen und andere Informationen, die von den Servern empfangen werden, können verwendet werden Profile von Personen zu erstellen und sie zu identifizieren.
(31) öffentliche Einrichtungen, die die personenbezogenen Daten gemäß einer gesetzlichen Anforderung mitgeteilt werden für die Ausübung ihrer amtlichen Funktionen, wie Steuer- und Zollbehörden, Finanzermittlungen Zellen, unabhängige Verwaltungsbehörden oder Behörden Finanzmarktregulierungsbehörden und die Aufsicht über die Wertpapiermärkte sollten nicht als Empfänger angesehen werden, wenn sie personenbezogene Daten erhalten, die eine spezielle Untersuchung im öffentlichen Interesse zu führen, in Übereinstimmung mit dem Gesetz erforderlich sind, die Union oder nach dem Recht eines Mitgliedstaates. Die Kommunikationsanforderungen von Behörden sollten immer schriftlich, sein motiviert und sein gelegentlicher, und sie sollten nicht auf die Verknüpfung von Dateien auf eine ganze Datei oder Blei sein. Die Verarbeitung personenbezogener Daten durch Behörden in Frage sollte mit den geltenden Vorschriften über den Datenschutz auf der Grundlage der Zweck der Verarbeitung entsprechend durchgeführt werden.
(32) Die Zustimmung sollte eine klare positive Handlung gegeben werden, durch die die Person manifestiert sich in einem freien, spezifisch, informiert und eindeutig auf die Verarbeitung personenbezogener Daten stimmen über, zum Beispiel mittels einer schriftlichen Erklärung, einschließlich elektronische oder mündliche Erklärung. Dies könnte durch die Kontrolle einer Box insbesondere dann erfolgen, wenn eine Webseite betrachten, für die Dienste der Informationsgesellschaft für einige technische Parameter entscheiden oder durch eine andere Anweisung oder ein anderes Verhalten angibt, deutlich, in dem der Kontext die betreffende Person nimmt die vorgeschlagene Behandlung ihrer persönlichen Daten. Es kann daher nicht sein, jede Zustimmung im Fall der Stille, Boxen standardmäßig markiert oder Inaktivität. Die Erteilung der Genehmigung die sollte für alle Verarbeitungstätigkeiten oder die gleichen Zwecke anzuwenden. Wenn die Behandlung mehrere Zwecke hat, sollte Zustimmung für alle von ihnen gegeben. Wenn die Zustimmung der betroffenen Person gegeben wird auf Antrag elektronisch eingereicht, muss diese Anforderung klar und prägnant sein und soll nicht unnötig die Nutzung des Dienstes zu stören, für die sie gewährt wird.
(33) Oft ist es nicht möglich, vollständig für Zwecke der wissenschaftlichen Forschung zum Zeitpunkt der Datenerhebung, den Zweck der Verarbeitung personenbezogener Daten zu verstehen. Daher sollen Personen in der Lage sein, ihre Zustimmung in Bezug auf bestimmte Bereiche der wissenschaftlichen Forschung zu geben, während ethische anerkannten Standards der wissenschaftlichen Forschung zu respektieren. Die betroffenen Personen sollten in der Lage sein, ihre Zustimmung in Bezug auf bestimmte Bereiche der Forschung oder von Teilen von Forschungsprojekten nur zu geben, da der Zweck erlaubt vorgesehen.
(34) Die genetischen Daten sollten als persönliche Daten über vererbbare oder erworbenen Eigenschaften eines Individuums definiert werden, die sich aus der Analyse einer biologischen Probe aus dem Individuum in Frage, einschließlich einer Analyse von Chromosomen , Desoxyribonukleinsäure (DNA) oder Ribonukleinsäure (RNA) oder eine andere Element-Analyse gleichwertige Informationen zu erhalten.
(35) Die personenbezogenen Daten Gesundheit betreffen, sollten alle Daten enthalten, unterliegen in Bezug auf den Gesundheitszustand eines Daten, die Informationen über die physische oder psychische Gesundheit der Vergangenheit, Gegenwart oder Zukunft enthüllen die betreffende Person. Dazu gehören Informationen über die Person bei der Registrierung von dieser Person gesammelt zu Gesundheitsdiensten oder bei der Erbringung von Dienstleistungen im Sinne der Richtlinie 2011/24 / EU des Europäischen Parlaments zu erhalten und Rat (1) zum Nutzen des einzelnen; eine Zahl, ein Symbol oder ein an ein Individuum zugeordnet spezifisches Element eindeutig für Gesundheitszwecke zu identifizieren; Informationen während der Prüfung oder Untersuchung eines Körperteils erhalten oder eine Körpersubstanz, die aus genetischen Daten und von biologischen Proben, einschließlich; und Informationen über zum Beispiel Krankheit, Behinderung, Krankheit Risiko, Anamnese, klinische Behandlung oder physiologischen oder biomedizinischen Zustand der betroffenen Person, unabhängig von ihrer Quelle, ob es darum geht, mit gutem Beispiel ein Arzt oder anderes medizinisches Fachpersonal, ein Krankenhaus, ein medizinisches Gerät oder ein diagnostischer Test in vitro.
(36) Die Hauptniederlassung einer Steuerung in der Union sollte der Ort der zentralen Verwaltung in der Union sein, es sei denn, die Entscheidungen, die Zwecke und die Mittel der Verarbeitung persönlicher Daten getroffen werden, eine weitere Einrichtung der Steuerung in der Union, die
(1) Die Richtlinie 2011/24 / EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (ABl L 88, 4.4.2011, Seite 45).
Wenn die andere Einrichtung soll die Hauptniederlassung in Betracht gezogen werden. Die Hauptniederlassung einer Steuerung in der Union sollte nach objektiven bestimmt werden und sollten die Kriterien effektive und tatsächliche Ausübung von Management-Aktivitäten der Festlegung der wichtigsten Entscheidungen in Bezug auf die Zwecke und Mittel der Verarbeitung in nehmen innerhalb einer stabilen Vorrichtung. Dieses Kriterium sollte nicht davon abhängen, ob die Verarbeitung erfolgt dort. Das Vorhandensein und die Nutzung von technischen und personenbezogenen Daten Technologien Verarbeitungseinrichtung oder Aktivitäten der Verarbeitung nicht in sich selbst, eine Hauptniederlassung und werden daher keine Kriterien für eine Bestimmung Hauptniederlassung. die Sitz des Umgangs-in sollte der Ort der zentralen Verwaltung in der Union oder, wenn es keine zentrale Verwaltung in der Union hat, wo Ort, um den Großteil der Verarbeitungsaktivitäten nimmt in Union. Wenn die Steuereinheit und die Unterlieferanten sind beide betroffenen die Autorität des Mitgliedstaat Steuerung, bei der der Regler seine Hauptniederlassung hat, soll die zuständige Aufsichtsbehörde Anfang der Warteschlange bleiben, aber die Subunternehmer der Aufsichtsbehörde sollte durch diese Verordnung in dem Verfahren der Zusammenarbeit in Betracht gezogen werden eine Aufsichtsbehörde betroffen und die Aufsichtsbehörde vorgesehen teilnehmen. In jedem Fall die Aufsichtsbehörden der Mitgliedstaaten, in denen der Auftragnehmer in einem oder mehreren Betrieben hat, sollte nicht angesehen werden als betroffenen Aufsichtsbehörden, wenn der Entscheidungsentwurf nur an die Steuerung betrifft. Wenn die Behandlung von einer Gruppe von Unternehmen, der Sitz des Unternehmens durchgeführt wird, dass die Kontrollen sollte die Hauptniederlassung der Unternehmensgruppe in Betracht gezogen werden, es sei denn, die Zwecke und Mittel der Verarbeitung bestimmt von einem anderen Unternehmen.
(37) Eine Gruppe von Unternehmen sollte ein Unternehmen abdecken, die Kontrolle und die kontrollierten Unternehmen ausübt, um die erste sein, die einen beherrschenden Einfluss auf andere Unternehmen ausüben kann, weil zum Beispiel Besitz von Kapital, von finanzielle Beteiligung oder die Regeln, die sie oder die Behörde regeln die Vorschriften über den Schutz personenbezogener Daten zu erzwingen. Ein Unternehmen, dass die Kontrollen die Verarbeitung personenbezogener Daten in mit ihrem verbundenen Unternehmen sollten bilden mit ihnen eine Gruppe von Unternehmen in Betracht gezogen werden.
(38) Kinder verdienen besonderen Schutz im Hinblick auf ihre persönlichen Daten, weil sie weniger bewusst sind von Risiken, Folgen und entsprechenden Garantien und auf die Verarbeitung personenbezogener Daten im Zusammenhang Rechten. Dieser besondere Schutz sollte insbesondere gilt für Kinder auf die Verwendung personenbezogener Daten in Bezug auf Kinder Charakter Marketing oder zur Erstellung von Persönlichkeitsprofilen oder Benutzer und Sammlung von personenbezogenen Daten bei der Nutzung von Dienstleistungen direkt ein Kind angeboten. Die Zustimmung des Inhabers der elterlichen Verantwortung sollte direkt an ein Kind angeboten im Rahmen der Prävention oder Beratung nicht erforderlich.
(39) Die Verarbeitung personenbezogener Daten sollte fair und rechtmäßig sein. Die Tatsache, dass die personenbezogenen Daten über Personen gesammelt werden, verwendet wird, konsultiert oder in anderer Weise behandelt und das Ausmaß, in dem diese Daten oder verarbeitet werden sollten besorgt im Hinblick auf die Individuen transparent sein. Der Grundsatz der Transparenz erfordert, dass alle Informationen und die Kommunikation über die Verarbeitung dieser personenbezogenen Daten sind leicht zugänglich, leicht zu verstehen, und in klaren und einfachen Worten formuliert. Dies gilt insbesondere für die Information der betroffenen Personen auf dem bereitgestellten Identität des Controllers und die Zwecke der Verarbeitung und für andere Informationen Fairness und Transparenz in Bezug auf den betroffenen Personen und dessen Recht, eine Bestätigung und Übermittlung personenbezogener Daten zu gewährleisten, die über die der Gegenstand einer Behandlung. Der Einzelne sollte über die Risiken, Regeln, Garantien und Rechte an der Verarbeitung personenbezogener Daten informiert werden und wie sie ihre Rechte in Bezug auf diese Behandlung auszuüben. Insbesondere bei der Erhebung personenbezogener Daten eindeutige und rechtmäßige und bestimmt sein, die spezifischen Zwecke der Verarbeitung personenbezogener Daten sollten. Persönliche Daten sollten ausreichend sein, relevant und das beschränkt, was für die Zwecke erforderlich ist, für die sie verarbeitet werden. Dies setzt insbesondere voraus, um sicherzustellen, dass die Datenaufbewahrungszeit auf das absolute Minimum beschränkt werden. Personenbezogene Daten dürfen nur verarbeitet werden, wenn der Zweck der Verarbeitung nicht in angemessener Weise durch andere Mittel erreicht werden. Um sicherzustellen, dass die Daten nicht länger als nötig gehalten, sollten Fristen festgelegt werden durch den Controller zum Löschen oder für eine regelmäßige Überprüfung. Es sollte alle angemessenen Maßnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten, die ungenau sind, werden behoben oder gelöscht.
(40) nur dann rechtmäßig, die Verarbeitung personenbezogener Daten sollte auf der Zustimmung der betroffenen Person oder auf der Grundlage legitime gesetzlichen auf einer anderen Grundlage beruht oder in dieser Verordnung
oder in einer anderen Bestimmung des nationalen Rechts oder EU-Rechts, wie in dieser Verordnung vorgesehen ist, einschließlich der Notwendigkeit, die rechtliche Verpflichtung zu respektieren, zu dem die Steuerung unterliegt, oder die Notwendigkeit, einen Vertrag zu erfüllen die die betroffene Person eine Partei oder vorvertraglicher Maßnahmen, die auf Antrag der Person zu treffen besorgt.
(41) Ist in dieser Verordnung die Rechtsgrundlage bezieht, oder in der Gesetzgebung, bedeutet nicht zwangsläufig, dass die Annahme eines Rechtsakts durch das Parlament erforderlich ist, unbeschadet die Verpflichtungen aus der Bestellung Verfassung des betreffenden Mitgliedstaates. Doch diese Rechtsgrundlage oder die Gesetzgebung sollte klar und deutlich ist und ihre Anwendung sollte für diejenigen, die im Einklang mit der Rechtsprechung des Gerichtshofes der Europäischen Union (im Folgenden als „Gerichtshof“) und vorhersehbar sein der Europäische Gerichtshof für Menschenrechte.
(42) Wenn die Verarbeitung auf der Einwilligung der betroffenen Person beruht, sollte der Regler in der Lage sein zu beweisen, dass die Person, an die Verarbeitungsoperation zugestimmt hat. Insbesondere im Rahmen einer schriftliche Erklärung auf einer anderen Angelegenheit, sollten Schutzmaßnahmen, um sicherzustellen, bestehen, dass die Person von Zustimmung und Umfang bewusst ist. Gemäß der Richtlinie 93/13 / EWG (1), eine Erklärung vorherige Zustimmung sollte in verständlicher und leicht zugänglichen Form und formulierte in klaren und einfachen Worten, die von den Daten-Controller geschrieben werden und soll nicht enthalten keine missbräuchliche Klausel. Für Einwilligung informiert zu werden, sollte die Person zumindest wissen, die Identität des Controllers und die Zwecke der Verarbeitung, die für personenbezogene Daten sind. Die Zustimmung darf nicht frei gegeben angesehen werden können, wenn die betroffene Person keine wirkliche Wahlfreiheit hat oder nicht in der Lage Zustimmung ohne Leiden zu verweigern oder zurückziehen.
(43) Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu'il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d'espèce, ou si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.
(44) Die Behandlung sollte rechtmäßig gelten, soweit sie im Rahmen eines Vertrages oder Absicht Vertrag erforderlich ist.
(45) Wenn die Verarbeitung in Übereinstimmung mit einer rechtlichen Verpflichtung durchgeführt wird, zu dem die Steuerung unterliegt oder ist erforderlich für die Wahrnehmung einer Aufgabe von öffentlichem Interesse oder in Ausübung öffentlichen Gewalt , sollte die Behandlung eine Grundlage im EU-Recht oder das Recht eines Mitgliedstaates hat. Diese Verordnung erfordert keine besonderen gesetzlichen Bestimmungen für jede einzelne Behandlung. Eine gesetzliche Regelung kann genug sein, um mehrere Verarbeitungsoperationen auf der Grundlage eine gesetzliche Verpflichtung, zu dem die Steuerung unterliegt gefunden oder wo die Verarbeitung ist erforderlich für die Wahrnehmung einer Aufgabe, die von öffentlichem Interesse oder in Ausübung Behörde. Es soll auch auf das Unionsrecht oder das Recht eines Mitgliedstaates, die Zwecke der Verarbeitung zu bestimmen. Darüber hinaus könnte dieses Gesetz die Bedingungen dieser Verordnung gibt die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, Spezifikationen festgelegt, um die Steuerung zu bestimmen, die Art der personenbezogenen Datenverarbeitung unterzogen, die betroffene, die Stellen, die personenbezogene Daten den Zweck mitgeteilt, Beschränkungen werden, um die Haltbarkeit und andere Maßnahmen rechtmäßig und fair Verarbeitung zu gewährleisten. Es soll auch auf das Unionsrecht oder das Recht eines Mitgliedstaates gehört, um zu bestimmen, ob der Controller eine Mission durchführen
(46) Die Verarbeitung personenbezogener Daten rechtmäßig sein sollte in Betracht gezogen, wo es notwendig ist, ein wesentliches Interesse am Leben des Individuums oder einer anderen Person zu schützen
(1) Die Richtlinie 93/13 / EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen (ABl L 95 vom 21.4.1993, S.. 29).
Physik. Die Behandlung der persönlichen Daten auf der Grundlage der vitalen Interessen eines anderen Individuums grundsätzlich erfolgen sollte, wenn die Behandlung eindeutig nicht auf der Basis einer anderen Rechtsgrundlage werden kann. Einige Arten der Behandlung kann von beiden wichtigen Gründen des öffentlichen Interesses und die lebenswichtigen Interessen der betroffenen Person gerechtfertigt sein, wenn beispielsweise die Verarbeitung für humanitäre Zwecke notwendig, einschließlich Monitor Ausbrüche und zu verbreiten, oder bei humanitären Notsituationen, einschließlich Naturkatastrophen und von Menschen verursachten.
(47) Die berechtigten Interesse der Datensteuerung, einschließlich einer Steuerung, das die personenbezogenen Daten mitgeteilt werden können, oder ein Dritter bereitstellen kann eine Rechtsgrundlage für die Verarbeitung, es sei denn, Interesse oder die Grundrechte und Freiheiten der betroffenen Person mit dem Controller der angemessenen Bedürfnisse des Einzelnen durchsetzen, da auf der Grundlage ihre Beziehung. Ein solches berechtigtes Interesse kann zum Beispiel, wenn eine relevante und geeignete Beziehung zwischen den Daten und dem Verantwortlichen für die Behandlung in Situationen, wie sie dort existieren, wo die Person ist ein Client des Controllers oder seinen Dienst . In jedem Fall ist die Existenz ein berechtigtes Interesse sorgfältig, ob eine Person insbesondere ausgewertet, um zu bestimmen, soll vernünftigerweise besorgt über die Zeit und in Zusammenhang mit der Erhebung personenbezogener Daten zu erwarten, dass sie es tun Patienten auf eine Behandlung für einen bestimmten Zweck. Das Interesse und die Grundrechte der betroffenen Person kann sich insbesondere auf das Interesse der Datensteuerung verlassen, wenn personenbezogene Daten unter Umständen verarbeitet werden, wenn die betreffenden Personen nicht angemessen auf die weitere Verarbeitung erwarten. Da es für die Gesetzgeber durch das Gesetz die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden zur Verfügung zu stellen, sollte die Rechtsgrundlage nicht s' bei der Erfüllung ihrer Aufgaben auf die Behandlung durch die Behörden anzuwenden. Die Behandlung der persönlichen Daten unbedingt notwendig für die Zwecke der Betrugsprävention ist auch ein berechtigtes Interesse des Controllers betroffen. Die Behandlung der persönlichen Daten zu Marketingzwecken kann als aus als Reaktion auf ein berechtigtes Interesse betrachtet werden.
(48) Die Regler, der Teil einer Gruppe von Unternehmen oder Institutionen angeschlossen an einen zentralen Körper sind, können für interne Verwaltungszwecke bei der Übermittlung personenbezogener Daten innerhalb der Unternehmensgruppe ein berechtigtes Interesse haben einschließlich der Verarbeitung personenbezogener Daten zu Kunden oder Mitarbeitern beziehen. Die allgemeinen Grundsätze für die Übermittlung personenbezogener Daten innerhalb einer Gruppe von Unternehmen regeln, ein Unternehmen in einem Drittland nicht gefährdet werden.
Anbieter elektronischer Kommunikationsnetze und -dienste und Sicherheitstechnik und Service-Provider, ist ein legitimes Interesse der betroffenen Controller betroffen. Es könnte sein, zum Beispiel, nicht autorisierten Zugriff auf elektronische Kommunikationsnetze und bösartige Code Verteilung und Stoppen Angriffe „Denial of Service“ und Schaden zu beeinflussen Kommunikationssysteme zu verhindern Computer und Elektronik.
(50) Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die persönlichen Daten ursprünglich gesammelt sollte nur zulässig sein, wenn sie mit den Zielen kompatibel ist, für die personenbezogene Daten waren ursprünglich gesammelt. In diesem Fall wird keine gesonderte Rechtsgrundlage, die die Erhebung personenbezogener Daten erlaubt hat, ist nicht erforderlich. Wenn die Behandlung ist für die Wahrnehmung einer Aufgabe von öffentlichem Interesse oder in Ausübung öffentlichen Gewalt notwendig in der Steuerung übertragen, das Unionsrecht oder das Recht eines Mitgliedstaates kann bestimmen, und die Aufgaben und Zwecke, für die weitere Verarbeitung angeben sollte kompatibel und rechtmäßig angesehen werden. Die weitere Verarbeitung zu Archivierungszwecken im öffentlichen Interesse, der wissenschaftlichen oder historische Forschung oder für statistische Zwecke sollte kompatibel rechtmäßige Verarbeitung berücksichtigt werden. Die Rechtsgrundlage vorgesehen durch das Unionsrecht oder das Recht eines Mitgliedstaates im Hinblick auf die Verarbeitung personenbezogener Daten kann auch die Rechtsgrundlage für die weitere Verarbeitung sein. Um festzustellen, ob die Zwecke der weiteren Verarbeitung mit denen kompatibel sind, für die die persönlichen Daten ursprünglich erhoben wurden, die Steuerung, die alle Anforderungen an die Rechtmäßigkeit der Erstbehandlung soll berücksichtigt werden, im Zusammenhang getroffen zu haben umfassen: eine Verbindung zwischen diesen Zielen und den Zielen der geplanten Weiterverarbeitung; der Kontext, in dem die personenbezogenen Daten gesammelt, insbesondere die berechtigten Erwartungen der Betroffenen auf der Grundlage ihrer Beziehung mit dem Controller, auf die spätere Verwendung der Daten; die Art der Zeichendaten Mitarbeiter; die Folgen für die Menschen, die geplante Weiterverarbeitung betroffen; und die Existenz von angemessenen Garantien sowohl in der ersten Behandlung und die erwarteten weitere Verarbeitung. anschließende Verwendung der Daten; die Art der Zeichendaten Mitarbeiter; die Folgen für die Menschen, die geplante Weiterverarbeitung betroffen; und die Existenz von angemessenen Garantien sowohl in der ersten Behandlung und die erwarteten weitere Verarbeitung. anschließende Verwendung der Daten; die Art der Zeichendaten Mitarbeiter; die Folgen für die Menschen, die geplante Weiterverarbeitung betroffen; und die Existenz von angemessenen Garantien sowohl in der ersten Behandlung und die erwarteten weitere Verarbeitung.
Wenn das Thema gegeben hat, wird seine Zustimmung oder dass die Behandlung auf der Grundlage des EU-Rechts oder dem Recht eines Mitgliedstaats stellt eine notwendige und angemessene Maß in einer demokratischen Gesellschaft zu gewährleisten, insbesondere wichtige Ziele von allgemeinem öffentlichem Interesse, sollte die Steuerung weiterhin Verarbeitung personenbezogener Daten, unabhängig von der Kompatibilität ausführen darf. In jedem Fall wird die Anwendung der Grundsätze dieser Verordnung und insbesondere Angaben zu der betreffenden Person über diese andere Ziele und Rechte, einschließlich des Rechts auf Objekt der Verarbeitung, sollte sichergestellt werden. Die Tatsache, dass der Controller, zeigen die Existenz mögliche Straftaten oder Gefahren für die öffentliche Sicherheit und zur Übertragung an eine zuständige Behörde, um die personenbezogenen Daten im Einzelfall oder in mehreren Fällen die gleiche Straftat oder gleichen Gefahren für die öffentliche Sicherheit im Zusammenhang sollte berücksichtigt werden, im berechtigten Interesse des Controllers. Allerdings ist diese Übertragung im berechtigten Interesse des Controllers oder der weiteren Verarbeitung personenbezogener Daten sollte verboten werden, wenn die Behandlung nicht mit einer Verpflichtung zur Vertraulichkeit rechtlichen, beruflichen oder anderen Geheimhaltungspflicht verbindlich.
(51) Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l'origine raciale ou ethnique, étant entendu que l'utilisation de l'expression «origine raciale» dans le présent règlement n'implique pas que l'Union adhère à des théories tendant à établir l'existence de races humaines distinctes. Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu'elles sont traitées selon un mode technique spécifique permettant l'identification ou l'authentification unique d'une personne physique. De telles données à caractère personnel ne devraient pas faire l'objet d'un traitement, à moins que celui-ci ne soit autorisé dans des cas spécifiques prévus par le présent règlement, compte tenu du fait que le droit d'un État membre peut prévoir des dispositions spécifiques relatives à la protection des données visant à adapter l'application des règles du présent règlement en vue de respecter une obligation légale ou pour l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Outre les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent règlement devraient s'appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l'interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d'activités légitimes de certaines associations ou fondations ayant pour objet de permettre l'exercice des libertés fondamentales.
(52) Ausnahmen vom Verbot der Verarbeitung besondere Kategorien personenbezogener Daten sollten auch erlaubt sein, wenn das Unionsrecht oder das Recht eines Mitgliedstaates vorsieht, und vorbehaltlich einer angemessene Absicherung, so zum Schutz personenbezogener Daten und anderer Grundrechte, wenn das öffentliche Interesse die Verarbeitung personenbezogener Daten im Bereich des Arbeitsrechts und des rechts auf Sozialschutz, einschließlich der Renten zu schließen, und die Sicherheit, Überwachung und Gesundheitswarnung, Prävention und Kontrolle übertragbarer Krankheiten und andere schwerwiegende Gesundheitsbedrohungen. Diese Ausnahmen sind möglich für gesundheitliche Zwecke, einschließlich der öffentlichen Gesundheit und das Management von Gesundheitsleistungen, vor allem die Qualität und Effizienz der Verfahren zu gewährleisten, für die Ansprüche von Leistungen in der Krankenversicherung Abrechnung oder für Archivierung im öffentlichen Interesse, zum Zweck der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke. Eine Ausnahme soll ferner der Verarbeitung dieser personenbezogenen Daten ermöglichen, wenn dies für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen, entweder als Teil Gerichts-, Verwaltungs- oder Gericht. oder für Archivierungszwecke im öffentlichen Interesse, zum Zweck der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke. Eine Ausnahme soll ferner der Verarbeitung dieser personenbezogenen Daten ermöglichen, wenn dies für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen, entweder als Teil Gerichts-, Verwaltungs- oder Gericht. oder für Archivierungszwecke im öffentlichen Interesse, zum Zweck der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke. Eine Ausnahme soll ferner der Verarbeitung dieser personenbezogenen Daten ermöglichen, wenn dies für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen, entweder als Teil Gerichts-, Verwaltungs- oder Gericht.
(53) Die besonderen Arten personenbezogener Daten, die einen besseren Schutz verdienen sollte für gesundheitsbezogenen Zwecken verarbeitet werden, wenn dies erforderlich ist, um diese Ziele zum Wohle der Menschen und der Gesellschaft zu erreichen, als ganze, vor allem im Zusammenhang mit der Verwaltung von Dienstleistungen und die Gesundheitssystemen und Sozialschutz, von der nationalen Verwaltung und Gesundheit zentralen Regierungsbehörden, diese Daten für die einschließlich der Behandlung Qualitätskontrolle, Informationsmanager und allgemeine Aufsicht auf nationaler und lokaler Ebene, das Gesundheitssystem oder den sozialen Schutz und umdie Kontinuität der Gesundheitsversorgung oder Sozialschutzes und schreitenden Gesundheitsversorgung oder Sicherheitszwecke, Überwachung und Gesundheits-Alarms, oder für Archivierungszwecke im öffentlichen Interesse, zu wissenschaftlichen Forschungszwecken oder historische oder statistische Zwecke auf der Grundlage des Unionsrechts oder das Recht der Mitgliedstaaten, die müssen ein Ziel von öffentlichem Interesse treffen und für
Studien im öffentlichen Interesse im Bereich der öffentlichen Gesundheit durchgeführt. Diese Verordnung sollte für harmonisierter Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Daten bietet daher im Gesundheitswesen, zu erfüllen spezifischen Bedürfnisse, vor allem, wenn die Verarbeitung dieser Daten ist für bestimmte gesundheitsbezogenen Zwecke durchgeführt von Personen unterliegen einer gesetzlichen Geheimhaltungspflicht. Das Unionsrecht oder das Recht der Mitgliedstaaten sollte für bestimmte schaffen und geeignete Maßnahmen der Grundrechte und persönliche Daten von Personen zu schützen. Die Mitgliedstaaten sollen zusätzliche Bedingungen halten dürfen oder einführen, einschließlich Einschränkungen, in Bezug auf die Verarbeitung genetischer Daten, biometrische Daten oder Gesundheitsdaten. Dies sollte aber nicht den freien Verkehr personenbezogener Daten innerhalb der EU behindern, wenn diese Bedingungen gelten, solche Daten zu grenzübergreifende Verarbeitung.
(54) Die Verarbeitung besonderer Kategorien personenbezogener Daten kann aus Gründen des öffentlichen Interesses in den Bereichen öffentliche Gesundheit, ohne Zustimmung der betroffenen Person erforderlich sein. Eine solche Behandlung sollte geeignete und spezifische Maßnahmen, um die Rechte und Freiheiten natürlicher Personen zu schützen. In diesem Zusammenhang sollte der Begriff ‚öffentliche Gesundheit‘ interpretiert werden, wie in der Verordnung (EG) Nr 1338/2008 des Europäischen Parlaments und des Rates (1) definiert sind, nämlich alle gesundheitsbezogenen Elemente, nämlich den Gesundheitszustand, Morbidität und Behinderung enthalten, die Determinanten wirken sich auf diesen Gesundheitszustand, Gesundheitsversorgung Bedürfnisse haben, auf Ressourcen im Gesundheitswesen, die Gesundheitsversorgung, universeller Zugang zur Gesundheitsversorgung, Gesundheitsausgaben und Finanzierung, und die Ursachen des Todes. Solche Daten Kuranwendungen aus Gründen des öffentlichen Interesses im Bereich sollte nicht dazu führen, dass personenbezogene Daten von Dritten für andere Zwecke verarbeitet werden, wie Arbeitgeber oder Versicherungen und Banken.
(55) Darüber hinaus ist die Behandlung der persönlichen Daten durch Behörden, um die Ziele zu erreichen, unter Verfassungsrecht oder internationales öffentliches Recht, religiöse Vereinigungen offiziell anerkannt wird aus Gründen getan von öffentliches Interesse ist.
(56) Wird im Rahmen der Aktivitäten zu den Wahlen im Zusammenhang, das Funktionieren des demokratischen Systems in einem Mitgliedstaat verlangt, dass die politischen Parteien personenbezogene Daten zur politischen Ansichten der Menschen zu kompilieren, die Verarbeitung solcher Daten sein können erlaubt aus Gründen des öffentlichen Interesses, sofern angemessene Garantien vorgesehen sind.
(57) Wenn die Mitarbeiter, dass behandeln die Daten nicht erlauben ihm eine Person zu identifizieren, die Steuerung sollte nicht erforderlich sein, um zusätzliche Informationen zu erhalten, die Person für den alleinigen Zweck zu Respekt zu identifizieren eine Bestimmung dieser Verordnung. Allerdings verweigert die Steuerung soll nicht die zusätzliche Informationen von der Person bereitgestellt ging es um die Ausübung seiner Rechte zu erleichtern. Die Identifizierung soll die Identifizierungsnummer einer betroffene Person umfasst, beispielsweise durch einen Authentifizierungsmechanismus, wie etwa die gleichen Kennungen von der Person verwendet, um den Online-Dienst von der Steuerung zur Verfügung gestellt zu verbinden.
(58) Der Grundsatz der Transparenz verlangt, dass alle Informationen an die Öffentlichkeit gerichtet oder die Person ist übersichtlich, leicht zugänglich und leicht zu verstehen, und formulierten in klaren und einfachen Worten und zusätzlich gegebenenfalls dargestellt mit Visuals. Solche Informationen könnten in elektronischer Form zur Verfügung gestellt werden, zum Beispiel über eine Website, wenn an die Öffentlichkeit gerichtet. Dies gilt insbesondere in Situationen, in denen die Vermehrung der Akteure und die Komplexität der Technologien verwendeten es für die einzelne schwer zu kennen und zu verstehen, ob personenbezogene Daten über gesammelt werden, von wem und für welcher Zweck, wie im Fall von Online-Werbung. Kinder verdienen besonderen Schutz,
(59) Die Modalitäten sollten die Übung von der Person, die durch diese Verordnung übertragenen Rechte betroffen zu erleichtern bereitgestellt werden, einschließlich, wie man Wunsch und bei Bedarf frei zu bekommen, vor allem der Zugang zu personenbezogenen Daten und Berichtigung oder Löschung, und die Ausübung eines rechts auf Objekt. Die Steuerung sollte auch die Mittel bereitstellen, um Anwendungen elektronisch einreichen, insbesondere dann, wenn personenbezogene Daten elektronisch verarbeitet werden. Der Regler sollte so bald wie möglich, spätestens jedoch innerhalb eines Monats und zu motivieren, seine Antwort, wenn al 'betreffenden Anfragen von der Person zu reagieren erforderlich
(1) Die Verordnung (EG) Nr 1338/2008 des Europäischen Parlaments und des Rates vom 16. Dezember 2008 über die Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz (ABl L 354 vom 31.12.2008, S.. 70).
(60) Der Grundsatz der fairen und transparenten Verarbeitung erfordern, dass die betroffene Person von der Existenz der Verarbeitung und ihre Zwecke informiert wird. Die Steuerung sollte die Person sowie alle sonstigen Informationen betroffenen notwendig faire Behandlung und transparent zu gewährleisten, unter Berücksichtigung der besonderen Umstände und Kontext, in denen personenbezogene Daten verarbeitet werden. Darüber hinaus sollte die betroffene Person über die Existenz der Profilierung und die Folgen davon zu informieren. Wenn personenbezogene Daten bei der betroffenen Person erhoben werden, ist es wichtig, dass sie weiß auch, dass es diese persönlichen Daten zu liefern, ist verpflichtet, und die Folgen informiert werden, die es s' ausgesetzt, wenn sie nicht zur Verfügung stellt. Diese Informationen können mit standardisierten Symbolen versehen zusammen sein, um einen guten Überblick zu geben, gut sichtbar, verständlich und gut lesbar, die vorgesehenen Behandlung. Wenn die Symbole auf elektronischen Weg eingereicht werden, sollten sie maschinenlesbar sein.
(61) Die Informationen über die Verarbeitung personenbezogener Daten an die betreffende Person soll die Daten zu dem Zeitpunkt geliefert werden, von ihm gesammelt oder, wenn personenbezogene Daten von einer anderen Quelle erhalten, in eine angemessene Zeit in Abhängigkeit von den Umständen des Einzelfalls. Dürfen personenbezogene Daten rechtmäßig an einen anderen Empfänger bekannt gegeben werden, ist es angebracht, dass die Person darüber informiert werden, wenn eine solche betreffenden personenbezogenen Daten werden zum ersten Mal offenbart den Empfänger. Wenn es beabsichtigt, personenbezogene Daten für andere Zwecke als die zu verarbeiten, für die sie erhoben wurden, die Steuerung sollte vor der weiteren Verarbeitung, bieten den Betroffenen Informationen über die anderen Zweck und alle anderen notwendigen Informationen. Wo die Herkunft der personenbezogenen Daten nicht an die Person übermittelt werden könnten betroffen, da mehrere Quellen verwendet wurden, sollten allgemeine Informationen zur Verfügung gestellt werden.
(62) Es ist jedoch nicht erforderlich, die Verpflichtung aufzuerlegen, um Informationen bereitzustellen, wenn die betroffene Person bereits diese Informationen hat, wenn die Aufzeichnung und Veröffentlichung personenbezogener Daten ausdrücklich gesetzlich vorgesehen ist oder wenn die Übermittlung von Informationen an die betroffenen Person nicht als unmöglich erweist oder würde einen unverhältnismäßig hohen Aufwand erfordern. Dies könnte insbesondere der Fall sein, wenn es zu Archivierungszwecken im öffentlichen Interesse, zum Zweck der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke zur Behandlung kommt. In dieser Hinsicht sollte die Anzahl der beteiligten Personen in Betracht gezogen werden, das Alter der Daten und die einschlägigen Sicherheitsmaßnahmen angenommen.
(63) Eine betroffene Person sollte das Recht auf Zugang zu dem personenbezogenen Daten, die über ihn gesammelt hat und dieses Recht leicht zu trainieren und in angemessenen Abständen, um sich bewusst seine Behandlung und Kontrolle Rechtmäßigkeit. Dazu gehört das Recht der Zugang zu den Daten betroffenen Personen ihre Gesundheit betreffend, zum Beispiel der Daten in ihren medizinischen Aufzeichnungen Informationen wie Diagnose enthalten, Untersuchungsergebnisse, Bewertungen durch Behandlung verabreicht Ärzte und Behandlungen oder sonstigen Maßnahmen. Folglich betrifft jede Person sollte das Recht haben, zu wissen, und insbesondere darüber informiert, werden die Zwecke der Verarbeitung personenbezogener Daten, wenn möglich, die Dauer der Behandlung dieser personenbezogenen Daten, die Identität des Empfängers dieser personenbezogenen Daten können die Logik hinter ihrer möglichen automatisierten Verarbeitung und die Folgen, dass diese Behandlung, zumindest im Fall der Profilierung. Wo es möglich ist, sollte der Regler in der Lage sein, Remote-Zugriff auf ein sicheres System zu geben, dass das Individuum ermöglicht, direkt auf die persönlichen Daten zugreifen, die sie betreffen. Dieses Recht sollte nicht die Rechte oder Freiheiten anderer Personen beeinträchtigt, einschließlich Geschäftsgeheimnisse oder geistiges Eigentum, einschließlich des Urheberrechts der Software zu schützen. Allerdings sollten diese Überlegungen keine Übermittlung von Informationen an die betreffende Person zu verweigern, führen.
(64) Die Steuerung sollte alle angemessenen Schritte unternehmen, um die Identität einer betroffene Person zu überprüfen, die den Zugriff auf Daten anfordert, insbesondere im Rahmen von Dienstleistungen und Online-Kennungen. Ein Controller sollten keine personenbezogenen Daten für den alleinigen Zweck behalten von reagieren auf alle Anfragen zu können.
(65) Die betroffenen Personen sollten das Recht haben, die sie betreffenden personenbezogenen Daten zu berichtigen, und haben ein „Recht auf Vergessen“, wenn die Beibehaltung solcher Daten ist ein Verstoß gegen diese Verordnung oder das Recht der Union oder nach dem Recht eines Mitgliedstaates, der die Steuerung unterliegt. Insbesondere sollten die Menschen haben das Recht, ihre persönlichen Daten zu haben, wird gelöscht und nicht mehr bearbeitet, in denen diese personenbezogenen Daten nicht mehr notwendig ist, um den Zweck, für den sie erhoben oder verarbeitet zu eine andere Art und Weise, wenn Personen ihre Zustimmung zur Behandlung zurückgezogen haben oder wenn s' Widerspruch gegen die Verarbeitung von sie betreffenden personenbezogenen Daten oder wenn die Verarbeitung ihrer personenbezogenen Daten entspricht nicht anders in dieser Verordnung. Dieses Gesetz ist relevant, vor allem, wenn das Subjekt seine Zustimmung gegeben hat, als sie noch ein Kind war und war nicht voll bewusst, die Risiken, die mit der Behandlung, und sie möchte anschließend diese Daten löschen Personal, vor allem im Internet. Das Thema sollte in der Lage sein, dieses Recht auszuüben, ungeachtet dessen, dass es nicht mehr ein Kind ist. Allerdings sollte die anschließende Speicherung personenbezogener Daten zulässig, wenn sie für die Ausübung des Rechts auf freie Meinungsäußerung und Information notwendig ist,
(66) das ‚Stärkung Recht auf Vergessen„digital zu werden, sollte das Recht auf Löschung auch so erweitert werden, dass die Steuerung der öffentlichen personenbezogenen Daten gemacht hat, ist erforderlich, das zu informieren, Controller, die die persönlichen Daten verarbeiten, die keine Links zu diesen Daten oder eine Kopie oder Reproduktion davon löschen sollten. Dabei sollte diese Controller angemessene Schritte unternehmen, da die verfügbaren Technologien und Ressourcen zur Verfügung, um es, einschließlich der technischen Maßnahmen die Datenverarbeitung Verantwortlichen zu informieren, die personenbezogene Daten der Anforderung verarbeiten gemacht durch die betreffende Person.
(67) Die Methoden der Verarbeitung personenbezogener Daten zu begrenzen könnten, zählen unter anderem, um vorübergehend die ausgewählten Daten zu einem anderen Verarbeitungssystem zu bewegen, die ausgewählten persönlichen Daten für Benutzer nicht zugänglich zu machen, oder um vorübergehend zurückziehen veröffentlichte Daten von einer Website. In automatisierten Dateien, die Begrenzung der Verarbeitung sollte grundsätzlich durch technische Mittel sichergestellt werden, so dass die personenbezogenen Daten unterliegen nicht der nachfolgende Behandlungsvorgänge werden und kann nicht geändert werden kann. Die Tatsache, dass die Verarbeitung personenbezogener Daten beschränkt ist, sollte klar in der Datei angegeben werden.
(68) zur weiteren Stärkung der Kontrolle, die sie ihre eigenen Daten ausüben über Einzelpersonen auch das Recht haben sollten, in denen personenbezogene Daten automatisch verarbeitet werden, erhalten Sie persönliche Daten, die die für, sofern sie in einem strukturierten Format, allgemein maschinenlesbaren verwendet, interoperabel und zu übertragen, um es zu einer anderen Steuerung an den Controller. Es sollte Controller ermutigen, interoperablen Formaten zu entwickeln Datenportabilität zu ermöglichen. Dieses Recht sollte gelten, wenn die betroffene Person die persönlichen Daten auf der Grundlage der Zustimmung zur Verfügung gestellt hat oder wo die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist. Es sollte keine Anwendung, wenn die Verarbeitung aus rechtlichen Gründen andere als Zustimmung oder zur Erfüllung eines Vertrages beruht. Mit seiner Art, soll dieses Recht nicht gegen die Steuerungen ausgeübt werden, die bei der Ausübung ihrer öffentlichen Aufgaben personenbezogene Daten verarbeiten. Es sollte daher nicht zur Anwendung, wenn die Verarbeitung von Daten persönlichen Charakters für die Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der die Steuerung unterliegen oder Leistung einer Mission von öffentlichem Interesse ist oder in die Ausübung öffentlicher Gewalt in den Controller übertragen. Das Recht der Person zu übertragen betroffenen oder erhalten ihn betreffenden personenbezogenen Daten nicht schaffen sollten, für Controller, zu übernehmen Verpflichtung oder Behandlungssysteme aufrechtzuerhalten, die technisch kompatibel sind. Wenn er in einer Reihe von persönlichen Daten, sind viele Menschen besorgt, das Recht auf persönliche Daten erhalten sollten mit dieser Verordnung in Übereinstimmung betroffenen Rechte und Freiheiten anderer Personen unberührt. Außerdem soll dieses Recht nicht das Recht der Person, die die Löschung von personenbezogenen Daten oder Einschränkungen dieses Rechts betroffen beeinträchtigt wie in dieser Verordnung vorgesehenen zu erhalten und sollte nicht, insbesondere auf die Führung Löschung von personenbezogenen Daten betreffend die Person, die für die Ausführung eines Auftrags durch vorgesehen ist, soweit und solange diese personenbezogenen Daten für die Erfüllung dieses Vertrags erforderlich sind. Falls technisch möglich, sollte die betroffene Person das Recht haben, die Daten zu erhalten, direkt zu einem anderen zu einer Steuerung übertragen werden.
(69) Werden personenbezogene Daten so rechtlich verarbeitet werden können, weil die Verarbeitung für die Wahrnehmung einer Aufgabe, die von öffentlichem Interesse oder in Ausübung öffentlichen Gewalt notwendig ist, in der Steuerung übertragen Behandlung oder wegen der berechtigten Interessen des Controllers oder eines dritten, sollte das Recht auf Objekt auf die Verarbeitung von personenbezogenen Daten über den betroffenen nach wie vor an ihre besondere Situation in Bezug haben. Es sollte an die Steuerung bis zu beweisen, dass seine zwingenden berechtigten Interessen Vorrang vor den Interessen oder die Grundrechte und Freiheiten der betroffenen Person.
(70) Werden personenbezogene Daten zu Marketingzwecken verarbeitet werden, sollte die Person das Recht hat, jederzeit und ohne Ladung, zu Objekt zu dieser Behandlung, einschließlich der Profilierung, da es im Zusammenhang mit solchen Exploration, seine Behandlung es eine Erst- oder Folge. Dieses Recht soll ausdrücklich auf die Aufmerksamkeit der Person gebracht wird besorgt und klar und getrennt von anderen Informationen.
(71) Die betroffene Person sollte das Recht haben, nicht um eine Entscheidung zu sein, die eine Maßnahme, die die Bewertung bestimmter persönlicher Aspekte umfassen kann sich darauf beziehen, die allein auf der Grundlage für die Behandlung genommen wird automatisierte und Rechtswirkungen in Bezug auf ihn oder auf ähnliche Weise, die wesentlich beeinflussen, wie die automatische Ablehnung eines Online-Kreditantrag oder Online-Rekrutierungspraktiken ohne menschliches Zutun. Diese Art der Behandlung umfasst „Profilierung“, die von jeder Form der Behandlung automatisierten personenbezogenen Daten besteht auf eine natürliche Person beziehen, persönliche Aspekte zu bewerten, einschließlich der Aspekte der Arbeitsleistung der Person zu analysieren oder vorhersagen betroffen . ökonomischer Status, Gesundheit, Vorlieben oder persönliche Bereiche von Interesse, Zuverlässigkeit oder Verhalten oder Standort und Bewegungen, da sie rechtliche Folgen für die betreffende Person oder, dass es produziert beeinflusst in ähnlicher Weise deutlich. Entscheidungsfindung auf eine solche Behandlung jedoch basieren, einschließlich der Profilierung, sollte, wenn ausdrücklich durch das Unionsrecht oder dem Recht eines Mitgliedstaats, die ermächtigt erlaubt sein die Steuerung unterliegt, da einschließlich zum Zweck der Kontrolle und Verhinderung von Betrug und Steuerhinterziehung in Übereinstimmung mit den Regeln, Normen und Empfehlungen der EU-Institutionen und die nationalen Aufsichtsbehörden und sorgen für die Sicherheit und Zuverlässigkeit des ein Service von der Steuerung zur Verfügung gestellt, oder für den Abschluss oder zur Erfüllung eines Vertrages zwischen der betroffenen Person und der Steuerung, oder wenn die betroffene Person hat seine ausdrückliche Zustimmung gegeben hat. In jedem Fall sollte die Behandlung dieser Art durch geeignete Sicherungsmaßnahmen begleitet werden, die spezifischen Informationen über die Person enthalten soll und das Recht menschliches Eingreifen zu erhalten, seinen Standpunkt zum Ausdruck bringen, zu erhalten eine Erläuterung der Entscheidung am Ende dieser Art der Auswertung genommen und die Entscheidung anfechten. Diese Maßnahme soll kein Kind betreffen. oder wenn die betroffene Person hat seine ausdrückliche Zustimmung gegeben hat. In jedem Fall sollte die Behandlung dieser Art durch geeignete Sicherungsmaßnahmen begleitet werden, die spezifischen Informationen über die Person enthalten soll und das Recht menschliches Eingreifen zu erhalten, seinen Standpunkt zum Ausdruck bringen, zu erhalten eine Erläuterung der Entscheidung am Ende dieser Art der Auswertung genommen und die Entscheidung anfechten. Diese Maßnahme soll kein Kind betreffen. oder wenn die betroffene Person hat seine ausdrückliche Zustimmung gegeben hat. In jedem Fall sollte die Behandlung dieser Art durch geeignete Sicherungsmaßnahmen begleitet werden, die spezifischen Informationen über die Person enthalten soll und das Recht menschliches Eingreifen zu erhalten, seinen Standpunkt zum Ausdruck bringen, zu erhalten eine Erläuterung der Entscheidung am Ende dieser Art der Auswertung genommen und die Entscheidung anfechten. Diese Maßnahme soll kein Kind betreffen. eine Erklärung, die Entscheidung am Ende dieser Art der Auswertung genommen in Bezug auf und die Entscheidung in Frage zu stellen. Diese Maßnahme soll kein Kind betreffen. eine Erklärung, die Entscheidung am Ende dieser Art der Auswertung genommen in Bezug auf und die Entscheidung in Frage zu stellen. Diese Maßnahme soll kein Kind betreffen.
gegen Individuen der Rasse oder ethnische Herkunft, politische Meinungen, Religion oder Weltanschauung, Mitgliedschaft in einer Gewerkschaft, genetischen Status oder den Gesundheitszustand oder die sexuellen Ausrichtung oder dieses Ergebnis basierend auf in Maßnahmen Herstellung solcher Effekt. Entscheidungsfindung und automatisierten Profilierungs basierend auf bestimmten Kategorien personenbezogener Daten sollten nur unter bestimmten Bedingungen zulässig.
(72), Profilieren, unterliegt den Vorschriften dieser Verordnung über die Verarbeitung personenbezogener Daten, zum Beispiel die Rechtsgrundlage für die Behandlung oder die Grundsätze des Datenschutzes. Das Europäische Komitee für den Schutz Daten dieser Verordnung festgelegten (im Folgenden als „Ausschuss“ genannt) sollten in diesem Zusammenhang auf die Behörde Leitlinien können.
einschließlich des Sozialschutzes, der öffentlichen Gesundheit und humanitäre Zwecke. Es muss sein, dass diese Beschränkungen die Anforderungen in der Charta und in der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten zu erfüllen.
(74) Es ist notwendig, die Haftung des Controllers für jede Verarbeitung personenbezogener Daten, die er macht sich selbst oder etabliert, in seinem Namen zu etablieren. Es ist wichtig, insbesondere, dass die Datenverarbeitung Verantwortlichen geeignete und wirksame Maßnahmen zur Umsetzung verpflichtet und in der Lage, die Übereinstimmung der Verarbeitungsvorgänge mit dieser Regelung nachzuweisen, einschließlich der Wirksamkeit der Maßnahmen. Diese Maßnahmen sollten berücksichtigen die Art, Umfang, Kontext und Zweck der Verarbeitung und das Risiko, dass es um die Rechte und Freiheiten des Einzelnen darstellt.
(75) Die Risiken für die Rechte und Freiheiten natürlicher Personen, einschließlich der Wahrscheinlichkeit und Schwere variiert, können sich aus der personenbezogenen Daten, die wahrscheinlich körperlichen Schaden verursachen ist, materielle oder ideelle Schäden in vor allem: wenn die Behandlung in Diskriminierung, Diebstahl oder Identitätsbetrug, zu finanziellen Verlusten, ein Verlust von Ruf, den Verlust vertraulicher Daten geschützt durch das Berufsgeheimnis zu einer Umkehr führen unbefugter Pseudonymisierung des Prozess oder anderer wirtschaftlicher Schaden oder erhebliche sozialer; wenn Menschen ihrer Rechte beraubt und Freiheiten werden könnten oder verhindert die Kontrolle über ihre Daten in Zeichen Personal ausüben; Wenn die Verarbeitung betrifft persönliche Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, und genetische Daten, Gesundheitsdaten oder Daten über die Sexualleben oder Daten zu strafrechtlichen Verurteilungen und Verletzungen im Zusammenhang verwendeten oder ähnliche Sicherheitsmaßnahmen; wenn persönliche Aspekte ausgewertet werden, insbesondere im Zusammenhang mit der Analyse oder Vorhersage von Artikeln über die Arbeitsleistung, die Wirtschaft, Gesundheit, Vorlieben oder persönliche Bereiche von Interesse, Zuverlässigkeit oder Verhalten, die Lage oder Bewegung zu erzeugen oder einzelne Profile zu verwenden; wenn die Verarbeitung bezieht sich auf personenbezogene Daten zu gefährdeten Personen betreffen, vor allem Kinder; oder wenn die Behandlung beinhaltet eine große Menge an persönlichen Daten und wirkt sich eine beträchtliche Anzahl von beteiligten Personen.
(76) Es ist notwendig, die Wahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der Daten über Art, Umfang, Kontext und Zweck der Verarbeitung zu bestimmen. Risiko sollte eine objektive Beurteilung sein, ob die Datenverarbeitungsvorgänge betreffen Risiko oder hohe Risiko.
(77) Leitlinien für die Umsetzung geeigneter Maßnahmen und Demonstration durch die Steuerung oder die Einhaltung der Subunternehmer mit dieser Verordnung, insbesondere im Hinblick auf die Identifizierung von Behandlungsrisiken, deren Bewertung in Bezug auf der Herkunft, Art, Wahrscheinlichkeit und die Schwere und die Identifikation von best Practices der Minimierung von Risiken, könnte unter anderem durch die gegebenen genehmigte die genehmigten Zertifizierungen und Richtlinien durch Verhaltenskodizes zur Verfügung gestellt werden Ausschuss oder Richtungen von einem Delegierten des Datenschutzes gegeben. Der Ausschuss kann auch Leitlinien über Operationen der Verarbeitung unwahrscheinlich angesehen
(78) Der Schutz der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten erfordert die Annahme von geeigneten technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die Anforderungen dieser Verordnung erfüllt sind. Um der Lage sein, die Einhaltung dieser Verordnung zu demonstrieren, sollte der Controller interne Richtlinien erlassen und Maßnahmen umzusetzen, dass die Achtung vor allem die Grundsätze des Datenschutzes durch Design und Schutz Standarddaten. Solche Maßnahmen könnten unter anderem gehört, die Verarbeitung personenbezogener Daten, zu pseudonymiser personenbezogenen Daten so schnell wie möglich zu minimieren, Transparenz in Bezug auf die Funktionen und die Verarbeitung von personenbezogenen Daten zu gewährleisten, der Person zu ermöglichen, die Verarbeitung der Daten zu steuern, so dass die Steuerung Sicherheitsfunktionen zu implementieren oder verbessern . Während der Entwicklung, Konstruktion, Auswahl und Nutzung von Anwendungen, Dienstleistungen und Produkten basierend auf der Verarbeitung personenbezogener Daten oder die Verarbeitung personenbezogener Daten, um ihre Funktionen zu erfüllen, sollte die Produkthersteller, Dienstanbieter und Anwendungshersteller das Recht auf Datenschutz berücksichtigen bei der Entwicklung und solche Produkte, Dienstleistungen und Anwendungen fördern die Gestaltung, unter gebührender Berücksichtigung der Stand des Wissens, um sicherzustellen, dass die Datenverarbeitung Verantwortlichen und Zulieferer in der Lage sind, ihre Verpflichtungen in Bezug auf den Datenschutz zu erfüllen. Die Grundsätze des Datenschutzes durch Design und Standard Schutz der Daten sollten auch im Zusammenhang mit der Vergabe öffentlicher Aufträge berücksichtigt werden.
(79) Der Schutz der Rechte und Freiheiten der betroffenen Personen sowie die Verantwortung der Datenverarbeitung Verantwortlichen und Subunternehmer, auch im Rahmen der Überwachung durch die Aufsichtsbehörden und Maßnahmen, die sie ergreifen durchgeführt erfordert eine klare Aufgabenteilung nach dieser Regelung, einschließlich, wenn der Regler im Auftrag wird die Zwecke und Mittel der Verarbeitung gemeinsam mit anderen Controllern oder in denen eine Verarbeitungsoperation durchgeführt wird bestimmt von eine Datensteuerung.
verursachen eine Gefahr für die Rechte und Freiheiten natürlicher Personen, unter Berücksichtigung der Natur, Rahmen, Umfang und Zweck der Verarbeitung, oder wenn der Controller eine Behörde oder öffentliche Einrichtung ist. Der Vertreter sollte im Namen des Reglers wirken oder den Zulieferer und kann von einer Aufsichtsbehörde in Kontakt gebracht werden. Der Vertreter sollte durch einen schriftlichen Auftrag von der Steuerung oder dem behandelnde-als zu handeln, in seinem Namen in Bezug auf die Verpflichtungen im Rahmen dieser Verordnung ausdrücklich benannt werden. Die Ernennung des Vertreters nicht die Aufgaben der Steuerung beeinträchtigen oder den Subunternehmer im Rahmen dieser Verordnung. Dieser Vertreter sollte ihre Aufgaben im Rahmen des Mandats von der Steuerung oder dem Subunternehmer, einschließlich der Zusammenarbeit mit den zuständigen Aufsichtsbehörden in Bezug auf alle Maßnahmen ergriffen, um die Einhaltung dieser Verordnung erhalten erfüllen. Der designierte Vertreter sollte von der Steuerung oder dem Subunternehmer mit dieser Verordnung unterliegt Vollstreckungsverfahren bei Nichteinhaltung sein.
(81) Damit die Anforderungen dieser Verordnung werden im Rahmen eines Verarbeitungs befolgt wurde von einem Auftragnehmer im Namen des Controllers, wenn es die Verarbeitung Aktivitäten an einen Subunternehmer vergibt, der Leiter des Behandlung sollte mit ausreichenden Garantien an Subunternehmern anspricht, vor allem in Bezug auf Know-how, Zuverlässigkeit und Ressourcen für die Durchführung von technischen und organisatorischen Maßnahmen, um die Anforderungen dieser Verordnung zu erfüllen, einschließlich Sicherheit der Behandlung. Die Anwendung von einem Subunternehmer eines Verhaltenskodex kann genehmigt oder vertrauenswürdigen Zertifizierungsmechanismus verwendet werden, die Einhaltung des Controllers mit den Verpflichtungen zu demonstrieren. Die Realisierung Behandlung mit einem Subunternehmer sollte von einem Vertrag oder einem anderen Rechtsakt nach dem Unionsrecht oder das Recht eines Mitgliedstaates, das Bindemittel Subunternehmer auf die Daten, die das Objekt geregelt und die Dauer der Behandlung, der Art und der Zweck der Verarbeitung, die Art der personenbezogenen Daten und Datenkategorien kategorien~~POS=HEADCOMP, unter Berücksichtigung der spezifischen Aufgaben und Verantwortlichkeiten des Subunternehmers als Teil der Verarbeitung durchgeführt und das Risiko werden für die Rechte und Freiheiten der betroffenen Person. Die Steuerung und die Behandlungs-under können wählen, einen bestimmten Auftrag oder Vertragsklauseln verwenden, die entweder von der Kommission oder von einer Aufsichtsbehörde in Übereinstimmung mit der Konsistenz Mechanismus angenommen werden, dann durch die Kommission. Nach Abschluss der Verarbeitung im Namen des Controllers, rufen Untertitel sollen, nach Wahl des Controllers, senden oder die persönlichen Daten löschen, es sei denn, das Unionsrecht oder das Recht auf ein Mitgliedstaat, der der Subunternehmer unterliegt erfordert die Erhaltung der persönlichen Daten.
(82) Um die Einhaltung dieser Regelung nachzuweisen, die Steuerung oder die behandelnden Untertitel sollten Aufzeichnungen für Tätigkeiten unter ihrer Verantwortung zu verarbeiten. Jeder Controller und Subunternehmer sollen bei der Aufsichtsbehörde zur Zusammenarbeit erforderlich und die Datensätze zu Verfügung stellen, auf Anfrage, sie dienen zur Steuerung der Verarbeitungsvorgänge.
(83) Zur Gewährleistung der Sicherheit und eine Behandlung unter Verstoß gegen diese Verordnung zu verhindern, ist es wichtig, dass der Controller oder der Prozessor der inhärenten Risiken der Behandlung bewertet und Umsetzung von Maßnahmen so zu mildern als Verschlüsselung. Diese Maßnahmen sollten ein angemessenes Maß an Sicherheit, einschließlich Vertraulichkeit, angesichts dem Stand des Wissens und die Kosten für die Umsetzung auf die Risiken und die Art des Schutzes personenbezogener Daten gewährleisten. Im Rahmen der Sicherheit der Risikobewertung Daten sollten sie berücksichtigen die Risiken der Behandlung von persönlichen Daten, wie zum Beispiel der Zerstörung, den Verlust oder Veränderung, das unbefugt persönliche Daten übertragen werden,
(84) Um besser die Anwendung dieser Verordnung zu gewährleisten, wo die Verarbeitungsvorgänge geeignet sind, ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zu erzeugen, die Steuerung sollte die Verantwortung übernehmen, eine Folgenabschätzung durchzuführen zum Schutz von Daten insbesondere zu bewerten, der Ursprung, die Natur, die Besonderheit und der Schwere des Risikos. Es sollte die Ergebnisse dieser Analyse berücksichtigen, die entsprechenden Maßnahmen zu bestimmen, die die Verarbeitung personenbezogener Daten halten diese Bestimmungen zu zeigen, dass. Bei der Analyse der
(85) Eine Verletzung des persönlichen Charakters Daten gefährdet, wenn wir intervenieren nicht rechtzeitig und richtig, so dass die Betroffenen körperliche Schäden, materielle oder ideelle Schäden wie Verlust der Kontrolle über ihre persönlichen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Diebstahl oder Identitätsdiebstahl, finanzieller Verlust, unbefugtes Umkehr Pseudonymisierung Verfahren, ein Reputationsverlust, Verlust der Vertraulichkeit der Daten personenbezogener Daten durch Geschäftsgeheimnisse oder andere wirtschaftliche Schäden oder erheblichen sozialen geschützt. Folglich, sobald die Steuerung erfährt, dass eine Verletzung der persönlichen Daten aufgetreten ist, sollte es die benachrichtigen Aufsichtsbehörde so bald wie möglich und, wenn möglich, 72 Stunden spätestens nach dem Lesen, es sei denn, er, nach dem Grundsatz der Rechenschaftspflicht nachweisen kann, ist es unwahrscheinlich, dass die Verletzung in Frage schafft eine Gefahr für die Rechte und Freiheiten des Einzelnen. Wenn diese Mitteilung nicht innerhalb dieser Frist von 72 Stunden dauern kann, sollte die Meldung durch Gründe für die Verzögerung begleitet werden und die Informationen können in Raten ohne weitere unnötige Verzögerung zur Verfügung gestellt werden. es ist unwahrscheinlich, dass die Verletzung in Frage ein Risiko für die Rechte und Freiheiten des Einzelnen schafft. Wenn diese Mitteilung nicht innerhalb dieser Frist von 72 Stunden dauern kann, sollte die Meldung durch Gründe für die Verzögerung begleitet werden und die Informationen können in Raten ohne weitere unnötige Verzögerung zur Verfügung gestellt werden. es ist unwahrscheinlich, dass die Verletzung in Frage ein Risiko für die Rechte und Freiheiten des Einzelnen schafft. Wenn diese Mitteilung nicht innerhalb dieser Frist von 72 Stunden dauern kann, sollte die Meldung durch Gründe für die Verzögerung begleitet werden und die Informationen können in Raten ohne weitere unnötige Verzögerung zur Verfügung gestellt werden.
(86) Die Steuerung sollte eine Verletzung personenbezogener Daten an der Person so schnell besorgt berichten als die Verletzung, die ein hohes Risiko für die Rechte und Freiheiten des Einzelnen so zu erzeugen, dass es nehmen die Vorsichtsmaßnahmen. Die Kommunikation sollte die Art der Verletzung personenbezogener Daten und Empfehlungen für die einzelnen betroffenen beschreibt mögliche schädliche Auswirkungen zu mildern. Es ist angebracht, dass diese Mitteilungen an die Betroffenen so schnell wie vernünftigerweise möglich durchgeführt und in enger Zusammenarbeit mit der Aufsichtsbehörde, in Übereinstimmung mit den von ihm angegebenen Richtungen oder von anderen zuständigen Behörden, wie Strafverfolgungsbehörden. Zum Beispiel könnte die Notwendigkeit, eine unmittelbare Gefahr eines Schadens zu mildern rechtfertigen Adresse schnell eine Mitteilung an die Betroffenen, während die Notwendigkeit, geeignete Maßnahmen zu implementieren, um die fortgesetzte Verletzung personenbezogener Daten oder das Auftreten zu verhindern ähnliche Verletzungen können mehr Zeit für die Kommunikation rechtfertigen.
(87) sollte überprüft werden, wenn alle entsprechenden organisatorischen und technischen Schutzmaßnahmen umgesetzt wurden sofort festzustellen, ob eine Verletzung der persönlichen Daten aufgetreten ist und schnell die Aufsichtsbehörde zu informieren und die betreffende Person . Es soll festgestellt, dass die Benachrichtigung hat in angemessener Zeit gemacht worden, vor allem im Hinblick auf die Art und die Schwere der Verletzung der persönlichen Daten und ihre Folgen und negativer Auswirkungen für die betroffene Person. Diese Mitteilung kann eine Aufsichtsbehörde bringt im Einklang mit ihren Aufgaben und Befugnissen dieser Verordnung festgelegten zu intervenieren.
(88) in der detaillierten Regeln Einstellung über die Form und die Verfahren für die Verletzung personenbezogener Daten der Berichterstattung, sollte es unter Berücksichtigung der Umstände der Verletzung übernehmen, einschließlich der Tatsache, dass personenbezogene Daten oder wurden nicht durch geeignete technische Schutzmaßnahmen geschützt, die die Wahrscheinlichkeit des Identitätsbetrugs oder anderer Formen des Missbrauchs zu begrenzen. Darüber hinaus sollten diese Regeln und Verfahren berücksichtigen die berechtigten Interessen der Strafverfolgungsbehörden, wo frühe Offenlegung unnötig die Untersuchung der Umstände der Verletzung der persönlichen Daten behindern könnte.
(89) In der Richtlinie 95/46 / EG zur Verfügung gestellt für eine allgemeine Verpflichtung Daten mitzuteilen, die Verarbeitung personenbezogener Daten an die Aufsichtsbehörden. Diese Verpflichtung schafft eine administrative und finanzielle Belastung, ohne systematisch geholfen zu haben, den Schutz personenbezogener Daten zu verbessern. Diese allgemeinen Verpflichtungen unabhängig Anmeldung sollte daher abgeschafft und durch wirksame Verfahren und Mechanismen eher ersetzt werden, um die Arten von Verarbeitungsvorgängen Targeting, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben können, die aufgrund ihrer Natur, ihr Umfang, ihr Kontext und ihre Zwecke. Diese Arten von Verarbeitungsoperationen können diejenigen umfassen, die einschließen,
(90) Dans de tels cas, une analyse d'impact relative à la protection des données devrait être effectuée par le responsable du traitement, préalablement au traitement, en vue d'évaluer la probabilité et la gravité particulières du risque élevé, compte tenu de la nature, de la portée, du contexte et des finalités du traitement et des sources du risque. Cette analyse d'impact devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du présent règlement.
(91) Dies sollte gelten insbesondere für Großverarbeitungsoperationen, die eine beträchtliche Menge an persönlichen Daten auf regionaler, nationaler oder überstaatlichen Adresse Ziel, die betroffenen eine große Anzahl von Personen beeinträchtigen können und werden wahrscheinlich ein hohes Risiko, beispielsweise wegen ihrer Sensibilität, wenn, in Übereinstimmung mit dem Stand des technischen Wissens, eine neue Technik in großem Maßstab angewandt wird, und andere Verarbeitungsvorgänge zu erzeugen, die zu erzeugen ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen, vor allem, wenn aufgrund dieser Operationen,
es ist schwieriger für sie, ihre Rechte auszuüben. Eine Folgenabschätzung für den Datenschutz sollte auch ausgeführt werden, wenn personenbezogene Daten verarbeitet werden Entscheidungen auf bestimmte Personen als Ergebnis einer systematischen und gründlichen Bewertung der eigenen persönlichen Aspekte im Zusammenhang zu machen Einzelpersonen auf der Grundlage solcher Daten bzw. als Ergebnis der Verarbeitung besonderer Kategorien personenbezogener Daten, biometrische Daten oder Daten von Profilierungs zu strafrechtlichen Verurteilungen und Verletzungen im Zusammenhang verwendeten oder ähnlichen Sicherheitsmaßnahmen . Eine Folgenabschätzung für den Datenschutz ist für die groß angelegte Überwachung von öffentlich zugänglichen Bereichen nach wie vor erforderlich, insbesondere, wenn optoelektronischen Bauelementen verwendet werden, oder eine andere Transaktion, für die die Aufsichtsbehörde der Auffassung, dass die Behandlung, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zu erzeugen, vor allem, weil " sie verhindern, dass diese Menschen ein Recht oder profitiert von einer Dienstleistung oder einem Vertrag ausüben, oder weil sie systematisch in großem Maßstab durchgeführt. Die Behandlung der persönlichen Daten sollte nicht in großem Maßstab in Betracht gezogen werden, wenn die Verarbeitung betrifft personenbezogene Daten von Patienten oder Klienten von einem Arzt, ein andere medizinische Fachkraft oder ein Anwalt einzeln zu üben. In solchen Fällen eine Analyse der
(92) Es gibt Fälle, in denen es sinnvoll und wirtschaftlich sein kann, den Umfang der Folgenabschätzung für den Schutz von Daten über ein einzelnes Projekt, wie Behörden oder Agenturen zu erweitern Regierung beabsichtigt, eine gemeinsame Anwendung oder Verarbeitungsplattform einzuführen oder wo mehrere Controller planen, eine Anwendung oder gemeinsam genutzte Verarbeitungsumgebung zu einer ganzen Branche oder Beruf Segment oder eine weit verbreiteten Quer Aktivität zu erstellen.
(93) Zum Zeitpunkt der Verabschiedung des Gesetzes eines Mitgliedstaates, den die Aufgaben der Behörde oder öffentlichen Einrichtung stellt besorgt und regelt den Betrieb oder eine Reihe von Verarbeitungsoperationen spezifische, können die Mitgliedstaaten vertreten die Auffassung, dass eine solche Analyse notwendig ist, vor der Aktivitäten der Verarbeitung.
(94) Wenn das Ergebnis einer Folgenabschätzung in Bezug auf den Datenschutz, dass bei Fehlen von Schutzmaßnahmen, Sicherheitsmaßnahmen und Mechanismen, um die Risiken zu minimieren, würde die Behandlung ein hohes Risiko für die menschliche und Freiheiten natürlicher Personen und dass die Steuerung der Auffassung, dass das Risiko mit zumutbaren Mitteln gelindert werden kann anhand der verfügbaren technischen und Kosten der Implementierung nehmen, sollten sie die Aufsichtsbehörde konsultieren vor Beginn der Verarbeitungsvorgänge. Einige Arten der Behandlung und das Ausmaß und die Häufigkeit der Behandlungen sind wahrscheinlich ein so hohes Risiko zu erzeugen und kann auch zu Schäden oder beeinträchtigen die Rechte und Freiheiten des Individuums. die Aufsichtsbehörde sollte den Antrag auf Konsultation innerhalb einer bestimmten Frist antworten. die fehlende Reaktion der Aufsichtsbehörde innerhalb der Frist sollte unbeschadet etwaigen Maßnahmen ihrerseits im Rahmen ihrer Aufgaben und Befugnisse im Rahmen dieser Verordnung durchgeführt werden, jedoch einschließlich der Macht verboten Verarbeitung. Im Rahmen dieses Konsultationsprozesses erzielten Ergebnisse einer Folgenabschätzung in Bezug auf den Datenschutz in Bezug auf die betreffende Behandlung der Aufsichtsbehörde vorgelegt werden können, einschließlich Maßnahmen, mit denen die mildern Risiken für die Rechte und Freiheiten natürlicher Personen. Aufsichtsbehörde innerhalb der Frist, unbeschadet etwaiger ihr Zutun im Rahmen ihrer Aufgaben und Befugnisse im Rahmen dieser Verordnung, einschließlich der Leistung durchgeführt sein sollte, die Verarbeitungsvorgänge zu verbieten. Im Rahmen dieses Konsultationsprozesses erzielten Ergebnisse einer Folgenabschätzung in Bezug auf den Datenschutz in Bezug auf die betreffende Behandlung der Aufsichtsbehörde vorgelegt werden können, einschließlich Maßnahmen, mit denen die mildern Risiken für die Rechte und Freiheiten natürlicher Personen. Aufsichtsbehörde innerhalb der Frist, unbeschadet etwaiger ihr Zutun im Rahmen ihrer Aufgaben und Befugnisse im Rahmen dieser Verordnung, einschließlich der Leistung durchgeführt sein sollte, die Verarbeitungsvorgänge zu verbieten. Im Rahmen dieses Konsultationsprozesses erzielten Ergebnisse einer Folgenabschätzung in Bezug auf den Datenschutz in Bezug auf die betreffende Behandlung der Aufsichtsbehörde vorgelegt werden können, einschließlich Maßnahmen, mit denen die mildern Risiken für die Rechte und Freiheiten natürlicher Personen.
(95) Die Subunternehmer sollten die Steuerung unterstützen, falls erforderlich, und auf Anfrage, die Einhaltung der Verpflichtungen aus dem Verhalten des Aufpralls entstehen, um sicherzustellen, Analysen des Datenschutz und die vorherige Konsultation der Behörde Kontrolle.
(96) Die Aufsichtsbehörde sollte auch in der Phase der Vorbereitung eines Gesetzes oder einer Verordnung zu Rate gezogen werden, die für die Behandlung von persönlichen Daten zur Verfügung stellt, um sicherzustellen, dass die geplante Behandlung Anforderungen dieser Verordnung und insbesondere das Risiko, bringt für die betroffene Person, die es zu mildern.
eine Person mit Fachwissen von Rechtsvorschriften und Praktiken im Bereich Datenschutz sollte den Controller oder den Prozessor unterstützt die Einhaltung zu überprüfen, intern, diese Verordnung. Im privaten Sektor, die Kernaktivitäten des Reglers auf sein Kerngeschäft im Zusammenhang und nicht nur um die Verarbeitung personenbezogener Daten als Hilfstätigkeit. Das erforderliche Maß an Know-how sollte insbesondere nach bestimmt werden eine Steuerung, die das Kerngeschäft im Zusammenhang und betrifft nicht nur die Verarbeitung personenbezogener Daten als Hilfstätigkeit. Das erforderliche Maß an Know-how sollte insbesondere nach bestimmt werden eine Steuerung, die das Kerngeschäft im Zusammenhang und betrifft nicht nur die Verarbeitung personenbezogener Daten als Hilfstätigkeit. Das erforderliche Maß an Know-how sollte insbesondere nach bestimmt werden
die Daten durchgeführten Operationen und den erforderlichen Schutz für persönliche Daten verarbeitet durch die Steuerung oder den Prozessor verarbeitet wird. Solche Delegierten für den Datenschutz, ob Angestellte des Controllers, sollten ihre Pflichten und Aufgaben der Lage sein, selbständig auszuführen.
(98) Es ist notwendig, Vereinigungen oder sonstige Einrichtungen zu fördern Kategorien von Steuerungen oder Subunternehmern darstellen Verhaltenskodizes zu entwickeln, im Rahmen dieser Verordnung, um eine wirksame Umsetzung zu erleichtern, die spezifischen Behandlungen in einigen Sektoren und die spezifischen Bedürfnisse von Kleinst-, kleinen und mittleren Unternehmen gegeben ausgeführt. Diese Verhaltenskodizes könnten, insbesondere, definieren die Verpflichtungen von Controllern und Subunternehmer, angesichts der Gefahr, dass die Behandlung für die Rechte und Freiheiten von Personen führen kann.
(99) Bei der Verhaltenskodex zu entwickeln, oder in seiner Änderung oder Erweiterung, Verbänden und anderen Einrichtungen Kategorien von Steuerungen oder Subunternehmer darstellen sollten die Betroffenen konsultieren, einschließlich derjenigen, wenn möglich die betroffenen, und prüfen die eingereichten Beiträge und die in Reaktion geäußerten Ansichten zu diesen Konsultationen.
(100) Um die Transparenz und die Einhaltung dieser Verordnung zu fördern, die Einrichtung von Zertifizierungsmechanismen, Labels und Marken in Bezug auf Datenschutz sollte die Menschen gefördert werden, damit schnell das Niveau beurteilen Datenschutz durch die Produkte und Dienstleistungen in Frage angeboten.
(101) Die Übermittlung personenbezogener Daten in und aus Ländern außerhalb der EU und internationalen Organisationen sind, die für die Entwicklung des internationalen Handels und der internationalen Zusammenarbeit. Der Anstieg in diesem Strom hat neue Probleme geschaffen und neue Bedenken in Bezug auf den Schutz personenbezogener Daten. Allerdings ist es wichtig, dass, wenn personenbezogene Daten werden von der Union an Steuerungen, Subunternehmer oder anderen Empfänger in Drittländer oder internationale Organisationen, das Schutzniveau der Individuen übertragen garantiert in Union durch diese Verordnung nicht beeinträchtigt wird, im Falle der späteren Übermittlung personenbezogener Daten, einschließlich aus dem Drittland oder einer internationalen Organisation zu Datenverarbeitung Verantwortlichen oder Subunternehmer in demselben Drittland oder ein Drittland unterschiedlich, oder einer anderen internationalen Organisation . In jedem Fall Übermittlungen in Drittländer und internationale Organisationen nur unter voller Wahrung dieser Verordnung in Anspruch nehmen. Ein Transfer stattfinden könnte, wenn vorbehaltlich der übrigen Bestimmungen dieser Verordnung gelten die Bestimmungen dieser Verordnung in Bezug auf die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, die von der Steuerung oder Unter erfüllt sind -traitant. internationale Organisation der Datenverarbeitung Verantwortlichen oder Subunternehmer in demselben Drittland oder ein Drittland unterschiedliche oder eine andere internationale Organisation. In jedem Fall Übermittlungen in Drittländer und internationale Organisationen nur unter voller Wahrung dieser Verordnung in Anspruch nehmen. Ein Transfer stattfinden könnte, wenn vorbehaltlich der übrigen Bestimmungen dieser Verordnung gelten die Bestimmungen dieser Verordnung in Bezug auf die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, die von der Steuerung oder Unter erfüllt sind -traitant. internationale Organisation der Datenverarbeitung Verantwortlichen oder Subunternehmer in demselben Drittland oder ein Drittland unterschiedliche oder eine andere internationale Organisation. In jedem Fall Übermittlungen in Drittländer und internationale Organisationen nur unter voller Wahrung dieser Verordnung in Anspruch nehmen. Ein Transfer stattfinden könnte, wenn vorbehaltlich der übrigen Bestimmungen dieser Verordnung gelten die Bestimmungen dieser Verordnung in Bezug auf die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, die von der Steuerung oder Unter erfüllt sind -traitant. Übermittlungen in Drittländer und internationale Organisationen können nicht in voller Achtung dieser Verordnung erfolgen. Ein Transfer stattfinden könnte, wenn vorbehaltlich der übrigen Bestimmungen dieser Verordnung gelten die Bestimmungen dieser Verordnung in Bezug auf die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, die von der Steuerung oder Unter erfüllt sind -traitant. Übermittlungen in Drittländer und internationale Organisationen können nicht in voller Achtung dieser Verordnung erfolgen. Ein Transfer stattfinden könnte, wenn vorbehaltlich der übrigen Bestimmungen dieser Verordnung gelten die Bestimmungen dieser Verordnung in Bezug auf die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, die von der Steuerung oder Unter erfüllt sind -traitant.
(102) Diese Verordnung gilt unbeschadet der internationalen Abkommen zwischen der Union und Drittländern die Übertragung von personenbezogenen Daten einschließlich angemessene Garantien zugunsten von Beteiligten zu regeln. Die Mitgliedstaaten internationale Abkommen schließen, kann die Übermittlung personenbezogener Daten an Drittstaaten oder internationalen Organisationen, soweit diese Verträge über Bestimmungen dieser Verordnung nicht berührt oder eine andere Bestimmung des EU-Rechts und zur Verfügung stellen ein angemessenes Niveau des Schutzes der Grundrechte der betroffenen Personen.
(103) Die Kommission mit Wirkung in der gesamten Union beschließen kann, ein Drittland, Gebiet oder in einem Drittland oder eine internationale Organisation bietet ein angemessenes Maß an Datenschutz, Gewährleistung und die Rechtssicherheit und Einheitlichkeit in der gesamten Union in Bezug auf dem Drittland oder ein internationale Organisation, die angenommen wird dieses Maß an Schutz bieten. In diesem Fall können die Übermittlung personenbezogener Daten in dieses Drittland oder eine internationale Organisation stattfinden, ohne dass eine weitere Genehmigung zu erhalten. Die Kommission kann auch beschließen, nach dem Drittland oder eine internationale Organisation Meldung und eine vollständige Begründung versehen ist, die Entscheidung zu widerrufen.
(104) Im Hinblick auf die Grundwerte, auf denen die Union beruht, insbesondere den Schutz der Menschenrechte, sollte die Kommission bei der Beurteilung eines Drittland, einem Gebiet oder in einem bestimmten Sektor in einem Drittland, in Betracht ziehen, wie ein Drittland Hinsicht Rechtsstaatlichkeit gegeben, den Zugang zum Recht gewährleistet, und beobachtet die internationalen Regeln und Normen im Bereich der Menschenrechte und seine Rechtsvorschriften allgemeine und sektorale, auf die öffentliche Sicherheit, Verteidigung und nationale Sicherheit und die öffentliche Ordnung und Strafrecht einschließlich der Rechtsvorschriften. Bei der Annahme, in Bezug auf ein Gebiet oder einen bestimmten Sektor in einem Drittland, eine Entscheidung über die Angemessenheit, notwendig zu berücksichtigen, klare und objektive Kriterien, wie spezifische Verarbeitungstätigkeiten und den Umfang der geltenden gesetzlichen Normen und Gesetze in Kraft im Drittland. Das Drittland sollten Garantien bieten, um im wesentlichen ein ein angemessenes Schutzniveau gleichwertig zu gewährleisten, die in der Union gewährleistet ist, insbesondere
wenn personenbezogene Daten in einem oder mehreren bestimmten Bereichen verarbeitet. Insbesondere sollte das dritte Land, wirksame und unabhängige Überwachung des Datenschutz gewährleisten und sorgt für Mechanismen der Zusammenarbeit mit den Datenschutzbehörden der Mitgliedstaaten und die betroffenen Personen sollten wirksame und durchsetzbare Rechte und die gewährt werden, wirksame Möglichkeiten zur Verwaltung und Justiz Rechtsschutz.
(105) Zusätzlich zu den internationalen Verpflichtungen der Drittstaat oder eine internationale Organisation sollte die Kommission berücksichtigen, die von der Teilnahme entstehenden Verpflichtungen im Drittland oder einer internationalen Organisation zu multilateralen oder regionalen Systeme, insbesondere im Hinblick auf der Schutz personenbezogener Daten, sowie die Umsetzung dieser Verpflichtungen. Es sollte insbesondere berücksichtigt den Beitritt von Drittländern zum Übereinkommen des Europarats vom 28. Januar 1981 zum Schutz natürlicher Personen bei der automatischen Verarbeitung personenbezogener Daten und sein Protokoll. Bei der Beurteilung des Schutzniveaus von Drittländern oder internationalen Organisationen zur Verfügung gestellt, sollte die Kommission den Ausschuss konsultieren.
(106) Die Kommission sollte die Anwendung der Entscheidungen auf der Ebene des Schutzes Überwachung von einem Drittland, Gebiet oder in einem Drittland oder eine internationale Organisation bestimmt gewährt, und überwacht den Betrieb der auf dieser Grundlage erlassenen Entscheidungen Artikel 25 Absatz 6 oder Artikel 26 Absatz 4 der Richtlinie 95/46 / EG. In ihren Entscheidungen der Angemessenheit sollte die Kommission für eine regelmäßige Überprüfung ihres Betriebsmechanismus bereitzustellen. Diese periodische Überprüfung sollte mit dem Drittland oder einer internationalen Organisation in Frage und prüfen alle Entwicklungen von Interesse in den Drittländern oder in der internationalen Organisation in Absprache durchgeführt werden. Für die Zwecke der Überwachung und Durchführung von regelmäßigen Überprüfungen, sollte die Kommission in Erwägung ziehen, die Beobachtungen und Schlussfolgerungen des Europäischen Parlaments und des Rates und anderen relevanten Stellen und Quellen. Die Kommission sollte die Anwendung beurteilen kann, ob die genannten Entscheidungen innerhalb eines angemessenen Zeitraums und bietet alle relevanten Schlussfolgerungen den Ausschuß im Sinne der Verordnung (EU) Nr 182/2011 des Europäischen Parlaments und des Rates (1) gemäß dieser Verordnung festgelegt, das Europäischen Parlament und der Rat.
(107) kann die Kommission feststellen, dass ein Drittland, Gebiet oder in einem Drittland oder eine internationale Organisation ist ein angemessenes Datenschutzniveau nicht gewährleisten. Folglich sollte die Übermittlung personenbezogener Daten in dieses Drittland oder eine internationale Organisation verboten werden, es sei denn, die Anforderungen dieser Verordnung auf Übertragungen unterliegen Garantien zu veranschlagen, unternehmensinternen Vorschriften einschließlich der Bindung und Ausnahmen für bestimmte Situationen erfüllt sind. In diesem Fall wäre es angebracht, für Konsultationen zwischen der Kommission und dem Drittland oder den betreffenden internationalen Organisation zur Verfügung zu stellen. Die Kommission sollte in der Zeit das Drittland informieren oder
(108) In Ermangelung einer Angemessenheitsentscheidung, die Steuerung oder der Subunternehmer sollten Maßnahmen ergreifen, um den Mangel an Datenschutz in Drittländern durch angemessene Garantien für den Einzelnen zu kompensieren . Diese Garantien können auf verbindliche unternehmensinterne Regeln, Standardklauseln für den Datenschutz von der Kommission angenommenen Standardklauseln für den Datenschutz angenommen von einer Aufsichtsbehörde oder Vertragsklauseln autorisiert durch eine Aufsichtsbehörde umfassen. Diese Garantien sollten die Einhaltung der Anforderungen des Datenschutzes gewährleisten und die Rechte der betroffenen Personen in angemessener Weise auf die Behandlung innerhalb der EU, einschließlich Bestehen durchsetzbare Rechte der einzelnen und wirksamen Rechtsmitteln, einschließlich des Rechts auf effektiven Verwaltungs- oder Gerichtsverfahrens und Einführung einer Schadensersatzklage in der Union oder in einem Drittland. Diese Garantien sollten insbesondere über die allgemeinen Grundsätze konzentrieren, um die Verarbeitung personenbezogener Daten und die Grundsätze des Datenschutzes durch Design und den Datenschutz in der Standardeinstellung. Transfers können auch von Behörden oder öffentlichen Einrichtungen mit Behörden oder öffentlichen Einrichtungen in Drittländer oder internationalen Organisationen mit entsprechenden Aufgaben oder Funktionen durchgeführt werden, auch auf der Grundlage der Bestimmungen in den Verwaltungsvereinbarungen aufgenommen werden, wie eine Absichtserklärung für die Bindung und effektive Rechte für die betroffenen Personen bereitstellt. Die Genehmigung der zuständigen Aufsichtsbehörde sollte erreicht werden, wenn diese Garantien in den Verwaltungsvereinbarungen vorgesehen sind, die rechtlich nicht bindend sind.
(109) Die Fähigkeit von Controllern und Subunternehmern Standardklauseln zu verwenden, für die von der Kommission oder von einer Aufsichtsbehörde angenommen Datenschutz sollte nicht verhindern
(1) Die Verordnung (EU) Nr 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze für die Kontrolle durch die Mitgliedstaaten für die Ausübung der der Kommission (ABl L 55, 28.2.2011, Seite 13).
umfasst diese Klauseln in einem weiteren Vertrag, wie ein Vertrag zwischen dem Subunternehmer und anderen Subunternehmern, noch andere Klauseln oder zusätzliche Sicherheiten, sofern hinzufügen, dass diese nicht im Widerspruch nicht direkt oder indirekt beeinflussen die Standardvertragsklauseln von der Kommission oder von einer Aufsichtsbehörde angenommen und nicht die Grundrechte und Freiheiten der betroffenen Personen. Die Regler und Subunternehmer sollten zusätzliche Garantien durch vertragliche Verpflichtungen zu schaffen, dazu ermutigt werden, dass die Klauseln Schutz ergänzen würde.
(110) Eine Gruppe von Unternehmen oder Unternehmensgruppe in einer gemeinsamen wirtschaftlichen Tätigkeit ausüben wahrscheinlich verbindlichen unternehmensinterne Regeln für die internationalen Transfers von der Union in die Unternehmen der gleichen Gruppe von Unternehmen genehmigt greifen, oder die gleiche Gruppe von Unternehmen in einer gemeinsamen wirtschaftlichen Tätigkeit nachgehen, sofern die Regeln des Geschäfts umfassen alle die wesentliche Grundsätze und durchsetzbare Rechte angemessene Garantien für Transfers oder Kategorien von Datenübertragungen personenbezogenen Daten zu gewährleisten.
(111) Es sollte möglich Transfer unter bestimmten Umständen, in denen die betroffenen Person ausdrücklich eingewilligt hat, die Übertragung erfolgt gelegentlich und notwendig als Teil eines Vertrages oder rechtlicher Schritte, dass ob ein Gerichts-, Verwaltungs- oder Gericht, einschließlich Verfahren vor Aufsichtsbehörden. Es sollte auch die Möglichkeit des Transfers, wenn wichtige Gründe des öffentlichen Interesses festgelegt durch das Unionsrecht oder das Recht eines Mitgliedstaates durchgeführt werden, oder wenn die Übertragung aus einem Register ermitt durch Gesetz und zur Einsichtnahme durch die Öffentlichkeit oder Personen bestimmt, die ein berechtigtes Interesse. Im letzteren Fall,
(112) Solche Ausnahmen insbesondere für Datenübertragungen erforderlich und notwendig aus wichtigen Gründen des öffentlichen Interesses, zB in Fällen von internationalem Datenaustausch zwischen den Wettbewerbsbehörden, Steuerbehörden oder Zoll zwischen Behörden gelten Finanzaufsicht zwischen Diensten verantwortlich für die soziale Sicherheit oder für die öffentliche Gesundheit, beispielsweise zum Zweck der Ermittlung von Kontaktpersonen von Menschen mit ansteckenden Krankheiten oder zu reduzieren und / oder Doping im Sport zu eliminieren . Die Übermittlung personenbezogener Daten sollte auch rechtmäßig gelten, soweit es erforderlich ist, ein wesentliches Interesse zum Schutz der vitalen Interessen zu schützen, einschließlich dem physischen oder Leben Integrität, der Person oder eine andere Person, ist, wenn die Person einwilligungs nicht in der Lage. In Ermangelung einer Entscheidung über die Angemessenheit, das Unionsrecht oder das Recht eines Mitgliedstaates kann aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Grenzen für die Übertragung der besonderen Datenkategorien auf a Drittland oder eine internationale Organisation. Die Mitgliedstaaten sollten diese Vorschriften der Kommission mitteilen. Jede Übertragung zu einer internationalen humanitären Organisation von persönlichen Daten von einer betroffenen Person, die physischen oder rechtlichen Gründen nicht in der Lage zu geben seine Zustimmung, um zu
(113) Transfers können als nicht-wiederkehrende beschrieben werden und wirken sich nur auf eine begrenzte Anzahl von Menschen betroffen für die Zwecke der berechtigten Interessen von der Steuerung verfolgt genehmigt werden könnten, wenn diese Interessen die Interessen Vorrang vor oder Grundrechte und Freiheiten der betroffenen Person und der Steuerung, wenn alle Umstände der Datenübertragung überprüft. Die Steuerung sollte ein besonderes Augenmerk auf die Art der persönlichen Daten zahlen, Zweck und Dauer der Behandlung oder geplanten Operationen und die Situation in dem Land, das Drittland das Endbestimmungsland, und sollten angemessene Garantien bieten, um die Grundrechte und Freiheiten der Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen. Solche Übertragungen sollten nur in Rest Fällen, in denen keine anderen Übertragungsmuster anwendbar sind möglich. Für die Zwecke der historischen oder wissenschaftlichen Forschung oder für statistische Zwecke ist es notwendig, die berechtigten Erwartungen der Gesellschaft zur Förderung des Wissens zu berücksichtigen. Die Steuerung sollte die betroffene Aufsichtsbehörde und die Übertragung Person informieren. Solche Übertragungen sollten nur in Rest Fällen, in denen keine anderen Übertragungsmuster anwendbar sind möglich. Für die Zwecke der historischen oder wissenschaftlichen Forschung oder für statistische Zwecke ist es notwendig, die berechtigten Erwartungen der Gesellschaft zur Förderung des Wissens zu berücksichtigen. Die Steuerung sollte die betroffene Aufsichtsbehörde und die Übertragung Person informieren. Solche Übertragungen sollten nur in Rest Fällen, in denen keine anderen Übertragungsmuster anwendbar sind möglich. Für die Zwecke der historischen oder wissenschaftlichen Forschung oder für statistische Zwecke ist es notwendig, die berechtigten Erwartungen der Gesellschaft zur Förderung des Wissens zu berücksichtigen. Die Steuerung sollte die betroffene Aufsichtsbehörde und die Übertragung Person informieren.
(114) In jedem Fall, wenn die Kommission nicht in einem Drittland über die Angemessenheit des Datenschutzniveaus hat Regel, die Steuerung oder der Subunternehmer soll Lösungen annehmen, dass Garantie für Personen betroffene durchsetzbar und effektive Rechte in Bezug auf die Verarbeitung ihrer Daten in der EU einmal diese Daten übertragen worden sind, so dass diese Personen weiterhin die Grundrechte und Garantien profitieren.
(115) Einige Drittstaaten erlassen Gesetze, Verordnungen und andere Rechtsakte, die die Verarbeitungstätigkeiten der natürlichen und juristischen Personen direkt zu regeln versuchen, die in die Zuständigkeit der Mitgliedstaaten sind. Es kann Entscheidungen von Gerichten oder Verwaltungsbehörden von Drittländern sein, die einen Controller oder einen Prozessor erfordern, dass Transfers oder offenbart personenbezogene Daten, die nicht beruhen zu einem internationalen Abkommen, wie ein Rechtshilfeabkommen in Kraft zwischen dem Antragsteller und den Drittländern der Union oder einem Mitgliedstaat. Die exterritoriale Anwendung dieser Gesetze, Verordnungen und andere Rechtsakte können durch diese Verordnung im Widerspruch zu internationalem Recht und ein Hindernis für den Schutz von Personen in der Union gewährleistet sein. Die Übertragungen sollten nur dann zugelassen werden, wenn die Bedingungen dieser Verordnung auf Übertragungen auf Drittländer erfüllt werden. Dies kann der Fall sein, unter anderem, in denen die Offenlegung aus wichtigen Gründen des öffentlichen Interesses anerkannt durch das Recht der Union oder ein Mitgliedstaates, die notwendig ist, die Steuerung unterliegt.
(116) Werden personenbezogene Daten, die die Außengrenzen der Union überschreiten, kann es das Risiko erhöhen, dass Einzelpersonen können ihre Rechte auf Datenschutz ausüben, einschließlich des Schutzes aus der Nutzung oder ungesetzliche Offenlegung dieser Informationen. In ähnlicher Weise werden die Aufsichtsbehörden mit der Unmöglichkeit, die Prüfung von Beschwerden oder untersuchen die Aktivitäten außerhalb ihrer Grenzen konfrontiert. Ihre Bemühungen, zusammen zu arbeiten grenzüberschreitenden Kontext auch durch unzureichende Befugnisse zur Verfügung zur Verhinderung oder Abhilfe zu schaffen, die Heterogenität der rechtlichen Regelungen und praktischer Hindernisse wie Mangel an Ressourcen behindert werden können. Als Ergebnis es notwendig ist, eine engere Zusammenarbeit zwischen den Aufsichtsbehörden des Datenschutzes zu fördern, so dass sie Informationen austauschen und mit ihren internationalen Partnern Untersuchungen durchführen zu helfen. Um die internationale Zusammenarbeit Mechanismen zu entwickeln, die internationale Rechtshilfe zu erleichtern und die Entwicklung der Rechtsvorschriften über den Schutz personenbezogener Daten, die Kommission und die Aufsichtsbehörden implementieren sollten Informationen austauschen und zusammenarbeiten als Tätigkeiten, die Teil in Drittländern auf der Grundlage der Gegenseitigkeit mit den zuständigen Behörden auf die Ausübung ihrer Befugnisse im Zusammenhang und in Übereinstimmung mit dieser Verordnung. sie tauschen Informationen und führen Untersuchungen mit ihren internationalen Kollegen zu Hilfe. Um die internationale Zusammenarbeit Mechanismen zu entwickeln, die internationale Rechtshilfe zu erleichtern und die Entwicklung der Rechtsvorschriften über den Schutz personenbezogener Daten, die Kommission und die Aufsichtsbehörden implementieren sollten Informationen austauschen und zusammenarbeiten als Tätigkeiten, die Teil in Drittländern auf der Grundlage der Gegenseitigkeit mit den zuständigen Behörden auf die Ausübung ihrer Befugnisse im Zusammenhang und in Übereinstimmung mit dieser Verordnung. sie tauschen Informationen und führen Untersuchungen mit ihren internationalen Kollegen zu Hilfe. Um die internationale Zusammenarbeit Mechanismen zu entwickeln, die internationale Rechtshilfe zu erleichtern und die Entwicklung der Rechtsvorschriften über den Schutz personenbezogener Daten, die Kommission und die Aufsichtsbehörden implementieren sollten Informationen austauschen und zusammenarbeiten als Tätigkeiten, die Teil in Drittländern auf der Grundlage der Gegenseitigkeit mit den zuständigen Behörden auf die Ausübung ihrer Befugnisse im Zusammenhang und in Übereinstimmung mit dieser Verordnung.
(117) Die Einrichtung von Aufsichtsbehörden in den Mitgliedstaaten ermächtigt, die Aufgaben und Befugnisse in völliger Unabhängigkeit durchzuführen, ist ein wesentlicher Bestandteil des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten . Die Mitgliedstaaten sollten mehrere Kontrollbehörden einzurichten entsprechend ihrer Verfassungsstruktur, organisatorische und administrative können.
(118) Die Unabhängigkeit der Aufsichtsbehörde sollte nicht bedeuten, dass sie unterliegen Kontrollmechanismen sein können oder die Überwachung ihrer Finanzverwaltung noch der gerichtlichen Überprüfung.
(119) Ist ein Mitgliedstaat mehrere Aufsichtsbehörden festgelegt, sollte es gesetzlich Mechanismen für die wirksame Beteiligung dieser Behörden in den Steuermechanismus der Kohärenz zu gewährleisten. Es sollte die Aufsichtsbehörde, die als einzige Kontaktstelle dient, ermöglicht eine wirksame Beteiligung dieser Behörden in den Mechanismus insbesondere designierte schnelle und einfache Zusammenarbeit mit anderen Aufsichtsbehörden zu gewährleisten, den Ausschuss und der Kommission.
(120) Es ist angebracht, dass jede Kontrollbehörde die finanziellen und personellen Ressourcen, sowie Räumlichkeiten und Infrastruktur für die ordnungsgemäße Erfüllung seiner Aufgaben, einschließlich in Bezug auf die gegenseitige Unterstützung und Zusammenarbeit mit andere Aufsichtsbehörden in der gesamten Union. Jede Behörde sollte ihre eigenen jährlichen öffentlichen Haushalt haben, die Teil des gesamten Staatshaushalt oder eine föderale Einheit sein kann.
(121) Die allgemeinen Bedingungen für die (x) Mitglied (er) der Aufsichtsbehörde sollte durch das Gesetz in den einzelnen Mitgliedstaaten festgelegt werden und sollten insbesondere vorsehen, dass diese Elemente in einem transparenten Verfahren vom Parlament ernannt werden, die Regierung oder der Kopf eines Mitgliedstaates des Staates, zu dem Vorschlag der Regierung oder einem Mitglied der Regierung oder des Parlaments oder Haus des Parlaments, oder von einer unabhängigen Stelle, die nach dem Gesetz aufgeladen wurde eines Mitgliedstaates. Um die Unabhängigkeit der Aufsichtsbehörde zu gewährleisten, ist es angebracht, dass der oder die Mitglieder dieses Gesetzes mit Integrität, um sich jeder Handlung mit ihren Aufgaben unvereinbar und Bewegung für die Dauer ihres Mandats unvereinbar Beruf, gegen Entgelt oder unentgeltlich.
(122) Jede Aufsichtsbehörde sollte im Gebiet des Mitgliedstaates zuständig, zu denen sie die Aufgaben und Befugnisse, die sie mit dieser Verordnung nach verliehenen durchzuführen gehören. Dies insbesondere die Behandlung im Rahmen der Tätigkeiten einer Niederlassung des Controllers oder der Subunternehmer auf den Mitgliedstaat Gebiet abdecken sollte dem es gehört, erfolgt die Verarbeitung personenbezogener Daten aus durch Behörden öffentliche oder private Organisationen im öffentlichen Interesse zu handeln, um die Behandlung der Territorium des Staates auf dem betreffende Mitglied Personen betreffen, zu dem es gehört, oder die Verarbeitung ausgeführt durch eine Steuerung oder ein Subunternehmer, der nicht in den etablierten Union, wo die Behandlung betrifft Personen im Gebiet des Mitgliedstaats wohnt, in dem er gehört. Dies sollte von den Betroffenen, die Durchführung von Untersuchungen über die Anwendung dieser Verordnung und die Öffentlichkeit über die Risiken, Regeln, Garantien und Rechte an die Verarbeitung personenbezogener Daten, insbesondere die Bearbeitung von Anträgen enthalten.
(123) Es ist angebracht, dass die Aufsichtsbehörden die Umsetzung der Bestimmungen im Rahmen dieser Verordnung zu überwachen und dazu beitragen, was diese Anwendung konsistent in der gesamten EU zu schützen, um Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten und den freien Datenfluss im Binnenmarkt zu erleichtern. Zu diesem Zweck sollten die Aufsichtsbehörden miteinander kooperieren und mit der Kommission keine Einigung sollte zwischen den Mitgliedstaaten auf die Bereitstellung gegenseitige Unterstützung oder auf eine solche Zusammenarbeit abgeschlossen werden.
Es sollte mit anderen betroffenen Behörden zusammenarbeiten, wenn der Controller oder der Subunternehmer eine Niederlassung in dem Gebiet des Mitgliedstaats, der sie angehören, falls die betroffenen Personen in dem Gebiet ansässig sind, dem sie angehören erheblich betroffen sind oder wenn ein Anspruch auf sie gemacht wird. Wenn darüber hinaus eine Person nicht in diesem Mitgliedstaat eine Beschwerde bei der Aufsichtsbehörde von denen die letztere eingeführt wird, sollte besorgt gestellt hat eine Aufsichtsbehörde. Im Rahmen seiner Aufgaben auf die Veröffentlichung von Leitlinien zu allen Fragen im Zusammenhang bezüglich der Anwendung dieser Verordnung sollte der Ausschuß der Lage sein, Leitlinien insbesondere in Bezug auf veröffentlichen
(125) Die Leitungsbehörde sollte befugt sein, verbindliche Entscheidungen über die Maßnahmen zu ergreifen, um die Befugnisse, die sie im Rahmen dieser Verordnung übertragen umzusetzen. Als einer der führenden Behörde sollte die Aufsichtsbehörde eng Aufsichtsbehörden bei der Entscheidungsfindung beteiligt einzubeziehen und eine enge Abstimmung in diesem Rahmen gewährleisten. Wenn entschieden wird, ablehnen, ganz oder teilweise die von der betreffenden Person Beschwerde, sollte diese Entscheidung von der Aufsichtsbehörde erlassen wurde, an dem die Forderung eingereicht wurde.
(126) Die Entscheidung sollte von der Lead Supervisor und die Aufsichtsbehörden gemeinsam genommen werden, um die Haupt- oder einzige Einrichtung von der Steuerung oder dem Zulieferer geschickt werden und verbindlich auf dem Kopf Verarbeitung und Outsourcing. Die Steuerung oder der Prozessor sollte Maßnahmen für die Einhaltung dieser Verordnung zu gewährleisten und die Umsetzung der von der Lead Supervisor mitgeteilte Entscheidung am Sitz des Controllers oder Unter -traitant in Bezug auf die Verarbeitung Aktivitäten in der EU.
(127) Jede Aufsichtsbehörde, die nicht als Lead-Aufsichtsbehörde nicht dazu dienen sollte zuständig sein mit lokalen Bereich Fälle zu behandeln, wenn die Steuerung oder der behandelnde-wie in mehreren Mitgliedstaaten ansässig ist aber, dass die Gegenstand spezifischer Behandlung bezieht sich Staat, in einem einzigen Element zu einer Verarbeitungs nur und bezieht sich nur auf die betroffenen Personen, dass ein Mitgliedstaat, wenn es beispielsweise mit persönlichen Daten in Bezug auf den Umgang kommt Mitarbeiter im Zusammenhang mit der eigenen Arbeitsbeziehungen ein Mitgliedstaat. In diesen Fällen sollte die Aufsichtsbehörde unverzüglich die Lead Supervisor der Frage informieren. Nach Unterrichtung der Aufsichtsbehörde führen sollte entscheiden, ob den Fall unter der Bestimmung über die Zusammenarbeit zwischen der Lead Supervisor und den anderen betroffenen Aufsichtsbehörden zu behandeln (im Folgenden als „One-Stop-Mechanismus“) oder wenn der Betreuer, der den Fall vor Ort behandeln informiert sollte. Bei der Entscheidung darüber, ob behandeln sollte der Fall, führen die Aufsichtsbehörde prüfen, ob es eine Einrichtung des Controllers oder der behandelnde-wie in dem Mitgliedstaat, der Aufsichtsbehörde, dass die informiert, die wirksame Vollstreckung einer Entscheidung in Bezug auf die Steuerung oder den Zulieferer zu gewährleisten. Wenn die Führung Aufsichtsbehörde entscheidet Lead Supervisor und die anderen betroffenen Aufsichtsbehörden (im Folgenden als „One-Stop-Mechanismus“), oder wenn der Supervisor, der informiert sollte den Fall vor Ort zu behandeln. Bei der Entscheidung darüber, ob behandeln sollte der Fall, führen die Aufsichtsbehörde prüfen, ob es eine Einrichtung des Controllers oder der behandelnde-wie in dem Mitgliedstaat, der Aufsichtsbehörde, dass die informiert, die wirksame Vollstreckung einer Entscheidung in Bezug auf die Steuerung oder den Zulieferer zu gewährleisten. Wenn die Führung Aufsichtsbehörde entscheidet Lead Supervisor und die anderen betroffenen Aufsichtsbehörden (im Folgenden als „One-Stop-Mechanismus“), oder wenn der Supervisor, der informiert sollte den Fall vor Ort zu behandeln. Bei der Entscheidung darüber, ob behandeln sollte der Fall, führen die Aufsichtsbehörde prüfen, ob es eine Einrichtung des Controllers oder der behandelnde-wie in dem Mitgliedstaat, der Aufsichtsbehörde, dass die informiert, die wirksame Vollstreckung einer Entscheidung in Bezug auf die Steuerung oder den Zulieferer zu gewährleisten. Wenn die Führung Aufsichtsbehörde entscheidet sie entscheidet, ob sie prüfen wird behandeln soll den Fall, führt die Aufsichtsbehörde, wenn es eine Einrichtung des Controllers oder die behandelnde-wie in dem Mitgliedstaat, der Aufsichtsbehörde ist, die informiert die wirksame Vollstreckung einer Entscheidung in Bezug auf die Steuerung oder den Zulieferer zu gewährleisten. Wenn die Führung Aufsichtsbehörde entscheidet sie entscheidet, ob sie prüfen wird behandeln soll den Fall, führt die Aufsichtsbehörde, wenn es eine Einrichtung des Controllers oder die behandelnde-wie in dem Mitgliedstaat, der Aufsichtsbehörde ist, die informiert die wirksame Vollstreckung einer Entscheidung in Bezug auf die Steuerung oder den Zulieferer zu gewährleisten. Wenn die Führung Aufsichtsbehörde entscheidet
behandeln den Fall, der Supervisor, der die Möglichkeit haben, informiert sollte einen Entscheidungsentwurf, einschließlich der Führung Aufsichtsbehörde einreichen sollten in vollem Umfang Rechnung tragen, wenn sein Entwurf einer Entscheidung der Formulierung in unter diesem ein-Anschlagmechanismus.
(128) Die Regeln für den Lead Supervisor und der One-Stop-Mechanismus sollte keine Anwendung, wenn die Verarbeitung von Behörden oder privaten Organisationen im öffentlichen Interesse durchgeführt wird. In diesem Fall ist die einzige zuständige Kontrollbehörde die Befugnisse, die ihr im Rahmen dieser Verordnung übertragen ausüben sollte der Mitgliedstaat der Aufsichtsbehörde in denen öffentliche oder private Organisation Behörde eingerichtet werden.
(129) Um die Durchführung dieser Verordnung zu gewährleisten und ihre Anwendung kontrolliert konsequent in der gesamten Union, die Aufsichtsbehörden sollten in jedem Mitgliedstaat, die gleiche Mission und die gleichen wirksamen Kräfte haben, einschließlich Ermittlungsbefugnisse, die Stromkorrekturmaßnahmen zu ergreifen und Sanktionen zu verhängen und zu genehmigen und von Einzelpersonen, Gutachten, vor allem im Fall der Beschwerde zu erteilen und unbeschadet die Befugnisse der Strafverfolgungsbehörden nach dem Recht eines Mitgliedstaat der Macht zu Verletzungen dieser Verordnung, um die Aufmerksamkeit der Justizbehörden und Gerichtsverfahren bringen. Diese Befugnisse sollten auch die von eine vorübergehende Einschränkung oder endgültige Behandlung zu verhängen, ein Verbot einschließlich. Die Mitgliedstaaten andere Aufgaben angeben können auf den Schutz personenbezogener Daten in Anwendung dieser Verordnung erlassen. Die Befugnisse der Aufsichtsbehörden sollten durch das Recht der Union und das Recht des Mitgliedstaates, in unparteiischen und fair und innerhalb einer angemessenen Frist zur Verfügung gestellt und nach den entsprechenden Verfahrensgarantien ausgeübt werden. Alle Maßnahmen sollten insbesondere angemessen, erforderlich und angemessen, um die Einhaltung dieser Verordnung, die Umstände des Falles, respektiert das Recht eines jeden, gehört zu werden, bevor eine individuelle Entscheidung, es schaden dürfte und unnötig Kosten und übermäßige Unannehmlichkeiten vermeiden für die Betroffene. Die Ermittlungsbefugnisse in Bezug auf den Zugang zu Einrichtungen sollten in Einklang mit den besonderen Anforderungen des Verfahrensrechts der Mitgliedstaaten, wie die Verpflichtung, ausgeübt werden vorherige richterliche Genehmigung zu erhalten. Jede rechtlich bindende Maßnahme durch die Aufsichtsbehörde sollte schriftlich, sei klar und eindeutig angeben, welche Aufsichtsbehörde die Maßnahmen ergriffen und das Datum, die vom Leiter oder ein Mitglied unterzeichnet werden dass die Aufsichtsbehörde genehmigt erläutert die Gründe für die Maßnahme und gibt das Recht auf einen wirksamen Rechtsbehelf zugrunde liegen. Dies sollte nicht ausschließen, zusätzliche Anforderungen nach dem Verfahrensrecht der Mitgliedstaaten. Wenn eine rechtlich bindende Entscheidung getroffen wird, kann es zu gerichtlicher Kontrolle in dem Mitgliedstaat, der Aufsichtsbehörde führen, die es angenommen.
(130) Wenn die Aufsichtsbehörde, mit der die Beschwerde eingereicht wurde nicht der Lead Supervisor ist, sollte die Führung Aufsichtsbehörde eng mit der Aufsichtsbehörde zusammenarbeiten, aus denen der Antrag wurde gemäß den Bestimmungen über die Zusammenarbeit und Konsistenz dieser Verordnung vorgesehenen vorgelegt. In solchen Fällen sollte der Lead Supervisor, wenn Maßnahmen zu ergreifen, Rechtswirkungen zu erzeugen, einschließlich Maßnahmen Bußgelder zu verhängen, um die weitestgehende Berücksichtigung der Stellungnahme nehmen von Aufsichtsbehörde, mit der die Beschwerde eingereicht wurde, die zuständig bleiben sollten auf dem Gebiet der eine Untersuchung durchzuführen
sonst solche Situationen sollen eine Einigung mit dem Controller und, wenn nicht erfolgreich ausüben, alle ihre Kräfte suchen. Dies sollte folgendes beinhalten: spezifische Behandlungen, die auf dem Gebiet des Mitgliedstaates, der Aufsichtsbehörde durchgeführt werden oder die im Hoheitsgebiet des betreffenden Mitgliedstaates für die betroffenen Personen betreffen; Behandlungen im Rahmen einer Lieferung von Gegenständen oder erbrachten Dienstleistungen speziell die Beteiligten, die auf dem Hoheitsgebiet eines Mitgliedstaates, der die Aufsichtsbehörde ausgerichtet ist; oder Behandlungen, die im Lichte der einschlägigen rechtlichen Verpflichtungen nach dem Recht eines Mitgliedstaates bewertet werden sollten.
(132) Awareness-Aktivitäten von ihnen organisierten für öffentliche Kontrollbehörden sollten spezifische Maßnahmen an Steuerungen und Subunternehmern enthalten, einschließlich Kleinst-, kleine und mittlere Unternehmen, sowie Menschen, körperliche, vor allem in der Bildungseinrichtung.
(133) Die Aufsichtsbehörden sollten sich gegenseitig bei der Erfüllung ihrer Aufgaben unterstützen und sich gegenseitig unterstützen, um diese Regelung zu erzwingen und ihre Anwendung zu kontrollieren konsequent auf dem heimischen Markt. Ein Vorgesetzter, der die gegenseitige Unterstützung verwendet, kann eine einstweilige Anordnung erlassen, wenn es keine Antwort auf seine Anfrage für die gegenseitige Unterstützung innerhalb eines Monats nach Eingang des Antrags auf gegenseitige Unterstützung erhält die andere Aufsichtsbehörde.
(134), die jeweils Aufsichtsbehörde sollte, falls erforderlich, in der gemeinsamen Betrieb mit Vorgesetzten teilnehmen. Die ersuchte Aufsichtsbehörde sollte auf Antrag innerhalb einer bestimmten Frist zu reagieren erforderlich.
(135) Um die einheitliche Anwendung dieser Verordnung in der gesamten Union zu gewährleisten, ist es notwendig, einen Kohärenz Kontrollmechanismus für die Zusammenarbeit zwischen den Aufsichtsbehörden zu schaffen. Dieser Mechanismus sollte insbesondere zur Anwendung, wenn eine Aufsichtsbehörde beabsichtigt, Rechtswirkungen gegenüber, um eine Maßnahme zu ergreifen beabsichtigten Zwecke zu verarbeiten, die deutlich eine beträchtliche Anzahl von Probanden in mehreren Mitgliedstaaten zu beeinträchtigen. Es sollte auch eine Aufsichtsbehörde betroffen oder beantragt die Kommission beantragen, dass die Angelegenheit wäre im Rahmen des Kohärenzverfahrens gerichtet. Dieser Mechanismus sollte unbeschadet etwaige Maßnahmen wird die Kommission in dem in Anspruch nehmen
(136) Im Rahmen der Anwendung des Kohärenzverfahrens sollte der Ausschuß eine Stellungnahme innerhalb einer bestimmten Frist erteilen, wenn die Mehrheit seiner Mitglieder beschließt oder wenn es eine Anforderung Richtung durch eine Aufsichtsbehörde betroffen oder die Kommission. Der Ausschuß sollte auch rechtlich verbindliche Entscheidungen in Streitigkeiten zwischen den Aufsichtsbehörden ermächtigt werden. Zu diesem Zweck sollte es grundsätzlich mit einer Mehrheit von zwei Dritteln seiner Mitglieder, rechtlich Entscheidungen in den Fällen klar definiert ist, bei unterschiedlichen Auffassungen zwischen den Aufsichtsbehörden verbindlich, unter anderem durch den Mechanismus der Zusammenarbeit zwischen der Lead Supervisor und den Aufsichtsbehörden, die Substanz der
(137) Es kann notwendig sein, dringend zu intervenieren, um die Rechte und Freiheiten der betroffenen Personen zu schützen, insbesondere, wenn die Gefahr besteht, dass die Ausübung des Rechts eines Betroffenen erheblich behindert werden könnte. Daher soll eine Aufsichtsbehörde in der Lage sein, in seinem Hoheitsgebiet zu erlassen, ordnungsgemäß begründete vorläufige Maßnahmen und eine bestimmte Gültigkeitsdauer, die drei Monate nicht überschreiten sollte.
(138) Die Anwendung solchen Mechanismus sollte die Rechtmäßigkeit einer Maßnahme konditionieren Rechtswirkung von einer Aufsichtsbehörde in Fällen genommen zu produzieren, wo dies vorgeschrieben ist. In anderen Fällen mit einer grenzüberschreitenden Dimension, der Mechanismus für die Zusammenarbeit zwischen dem Lead Supervisor und den Aufsichtsbehörden sollte zwischen angewandten und den gegenseitigen Unterstützung und gemeinsamen Operationen wird umgesetzt werden könnten betroffenen Aufsichtsbehörden auf bilateraler oder multilateraler Ebene, ohne das Spiel der Konsistenz Mechanismus.
(139) Um die einheitliche Anwendung dieser Verordnung zu fördern, sollte der Ausschuß als unabhängiges Organ der EU festgelegt werden. Um seine Ziele zu erreichen, sollte der Ausschuß mit eigener Rechtspersönlichkeit ausgestattet werden. Es sollte durch seinen Präsidenten vertreten sein. Es sollte die Schutzgruppe von Personen bei der Verarbeitung personenbezogener Daten gemäß der Richtlinie 95/46 / EG ersetzen. Es sollte aus dem Kopf einer Aufsichtsbehörde der einzelnen Mitgliedstaaten und dem Europäischen Datenschutzbeauftragten oder ihre jeweiligen Vertreter. Die Kommission sollte im Ausschuß ohne Stimmrecht teil und die Europäische Datenschutzbeauftragte sollte besonderes Stimmrecht. Der Ausschuss sollte die beitragen einheitliche Anwendung dieser Verordnung in der gesamten Union, einschließlich der Beratung der Kommission, insbesondere in Bezug auf das Schutzniveaus in Drittländer oder internationale Organisationen und die Zusammenarbeit der Aufsichtsbehörden zu fördern in gesamte Union. Der Ausschuss sollte unabhängig ihre Aufgaben auszuführen.
(140) Der Ausschuß sollte vom Europäischen Datenschutzbeauftragten zur Verfügung gestellt von einem Sekretariat unterstützt. Um seine Aufgaben zu erfüllen, die Mitarbeiter des Europäischen Datenschutzbeauftragten zuständig für die Missionen, dass diese Verordnung der Ausschuss beauftragt Anweisungen als Vorsitzender des Ausschusses erhalten sollte und unter der Aufsicht des celui- platziert werden es.
(141) soll Jedes Individuum hat das Recht, eine Beschwerde bei einer einzigen Aufsichtsbehörde einzureichen, insbesondere in dem Mitgliedstaat, in dem sie ihren gewöhnlichen Aufenthalt hat, und hat das Recht auf effektiven gerichtlichen Rechtsschutz nach Artikel 47 der Charta, wenn sie der Auffassung ist, dass die Rechte im Rahmen dieser Verordnung verletzt wird oder wenn der Vorgesetzte nicht auf seine Beschwerde reagiert, verweigert oder lehnt sie ab, ganz oder teilweise nicht oder wenn es ist nicht dann, dass Maßnahmen notwendig sind, die Rechte des einzelnen zu schützen. Die Untersuchung eine Beschwerde soll nach dem Fall erforderlich unter gerichtlicher Kontrolle in den entsprechenden Maßnahmen durchgeführt werden. Die Aufsichtsbehörde sollte die betroffene Person über informieren Verlauf und die Ergebnisse der Forderung innerhalb einer angemessenen Frist. Wenn der Fall weitere Untersuchungen oder Koordinierung mit anderer Aufsichtsbehörde verlangt, Zwischen Informationen sollten den Betreffenden zur Verfügung gestellt werden. Um die Einführung der Ansprüche, wobei jede Kontrollstelle zu erleichtern sollten Maßnahmen wie die Bereitstellung eines Anspruchs Form annehmen, die elektronisch durchgeführt werden kann, ohne dass andere Kommunikationsmittel sind ausgeschlossen.
(142) Wenn eine betroffene Person der Auffassung, dass die in dieser Verordnung eingeräumten Rechte verletzt werden, sollte es das Recht hat, eine Agentur, eine Organisation oder Non-Profit-Vereinigung zu ernennen nach dem Recht eines Mitgliedstaates gegründet deren gesetzliche Ziele von öffentlichem Interesse ist und die im Bereich des Schutzes personenbezogener Daten aktiv ist, denn es ist eine Beschwerde in seinem Namen mit einer Aufsichtsbehörde führt, hat das Recht auf Berufung im Namen der Personen, Justiz betroffenen oder nach dem Recht eines Mitgliedstaats, wenn vorgesehen ist, hat das Recht, Entschädigung für die betroffenen zu erhalten. Ein Mitgliedstaat kann diese Organisation zur Verfügung stellt, dass Organisation oder Vereinigung hat das Recht, eine Beschwerde in diesem Mitgliedstaat, unabhängig von einer betroffenen Person erteilte Mandat, und hat das Recht auf effektiven gerichtlichen Rechtsschutz, wenn sie Grund, dass die Rechte einer Person betroffen, weil verletzt wurden Behandlung zu der Annahme haben, personenbezogener Daten in Verletzung dieser Verordnung gehalten. Diese Organisation, die Organisation oder Vereinigung nicht auf Schadenersatz im Namen einer betroffene Person erlaubt sein, das Mandat von der betreffenden Person gegeben. eine relevante Person verletzt worden, da die Verarbeitung personenbezogener diese Verordnung in Verletzung gehaltene Daten. Diese Organisation, die Organisation oder Vereinigung nicht auf Schadenersatz im Namen einer betroffene Person erlaubt sein, das Mandat von der betreffenden Person gegeben. eine relevante Person verletzt worden, da die Verarbeitung personenbezogener diese Verordnung in Verletzung gehaltene Daten. Diese Organisation, die Organisation oder Vereinigung nicht auf Schadenersatz im Namen einer betroffene Person erlaubt sein, das Mandat von der betreffenden Person gegeben.
(143) Jede natürliche oder juristische Person ist berechtigt, auf Aufhebung der Beschlüsse des Ausschusses vor dem Gerichtshof gemäß Artikel 263 des Vertrages über die Arbeitsweise der Europäischen Union ansprechen. Sobald sie solche Entscheidungen zu erhalten, müssen die Aufsichtsbehörden Herausforderung wollen innerhalb von zwei Monaten tun, so mitteilungs ihnen wurde in Übereinstimmung mit Artikel 263 des Vertrags über die gemacht funktionieren der Europäischen Union. Wenn die Entscheidungen beziehen sich des Ausschusses unmittelbar und individuell ein Controller, ein Subunternehmer oder der Autor der Beschwerde, sie können über die Arbeitsweise der Europäischen Union Artikel 263 des Vertrages in Übereinstimmung innerhalb von zwei Monaten nach ihrer Veröffentlichung auf der Website des Ausschusses, eine Klage auf Aufhebung dieser Entscheidungen zu bringen. Ungeachtet dem Recht nach Artikel 263 des Vertrages über die Arbeitsweise der Europäischen Union, eine natürliche oder juristische Person soll einen wirksamen Rechtsbehelf vor dem zuständigen nationalen Gericht gegen eine Entscheidung einer Behörde hat Kontrolle, die über ihn rechtliche Folgen. Eine solche Entscheidung betrifft insbesondere die Ausübung der Aufsichtsbehörde, Untersuchungsbefugnisse, die Annahme von Abhilfemaßnahmen und die Genehmigung oder Ablehnung oder Ablehnung der Ansprüche. Allerdings das Recht auf effektiven gerichtlichen Rechtsschutz erstreckt sich nicht auf die von den Aufsichtsbehörden getroffenen Maßnahmen, die von einer Aufsichtsbehörde rechtlich nicht verbindlich, wie emittiert Stellungnahme oder Empfehlung vorgesehen sind. Verfahren gegen eine Aufsichtsbehörde sollten vor den Gerichten des Mitgliedstaats, in dessen Hoheitsgebiet die Aufsichtsbehörde eingerichtet wird gebracht werden und in Übereinstimmung mit Verfahrensrecht dieses Mitgliedstaats durchgeführt werden. Diese Gerichte sollten die volle Zuständigkeit haben, einschließlich der Prüfung aller Fragen in tatsächlichen und rechtlichen relevant für die Frage vor ihnen. so dass die abgegebene Stellungnahme oder Empfehlung durch eine Aufsichtsbehörde zur Verfügung gestellt. Verfahren gegen eine Aufsichtsbehörde sollten vor den Gerichten des Mitgliedstaats, in dessen Hoheitsgebiet die Aufsichtsbehörde eingerichtet wird gebracht werden und in Übereinstimmung mit Verfahrensrecht dieses Mitgliedstaats durchgeführt werden. Diese Gerichte sollten die volle Zuständigkeit haben, einschließlich der Prüfung aller Fragen in tatsächlichen und rechtlichen relevant für die Frage vor ihnen. so dass die abgegebene Stellungnahme oder Empfehlung durch eine Aufsichtsbehörde zur Verfügung gestellt. Verfahren gegen eine Aufsichtsbehörde sollten vor den Gerichten des Mitgliedstaats, in dessen Hoheitsgebiet die Aufsichtsbehörde eingerichtet wird gebracht werden und in Übereinstimmung mit Verfahrensrecht dieses Mitgliedstaats durchgeführt werden. Diese Gerichte sollten die volle Zuständigkeit haben, einschließlich der Prüfung aller Fragen in tatsächlichen und rechtlichen relevant für die Frage vor ihnen.
Wenn ein Anspruch wurde von einer Aufsichtsbehörde, der Autor der zurückgewiesen oder verweigert werden, eine Klage vor den Gerichten dieses Mitgliedstaates bringen. Im Rahmen der Rechtsbehelfe auf die Anwendung dieser Verordnung beziehen, sollten die nationalen Gerichte, dass eine Entscheidung über die Angelegenheit notwendig ist, damit sie ihre Entscheidung geben oder kann im Fall nach Artikel 267 des Vertrages über die Funktionsweise der Europäischen Union sollte den Gerichtshof bitten, eine Vorabentscheidung über die Auslegung des EU-Rechts zu geben, diese Verordnung einschließlich. Wenn ferner eine Entscheidung zu eine Aufsichtsbehörde der Entscheidung des Ausschusses der Umsetzung vor einem nationalen Gericht und die Gültigkeit der Entscheidung des Ausschusses betrifft, so hat das vorlegende Gericht keine Macht in Frage gestellt wird, um die Entscheidung des Ausschusses und soll in all ungültig wenn sie die Auffassung, dass eine Entscheidung ungültig ist, beziehen sich die Frage nach der Gültigkeit des Gerichtshof gemäß Artikel 267 des Vertrages über die Arbeitsweise weise~~POS=HEADCOMP der Europäischen Union, wie sie vom Gerichtshof ausgelegt wurden von Gerechtigkeit. Es kann jedoch nicht eine Frage nach der Gültigkeit einer Entscheidung des Ausschusses auf Antrag einer natürlichen oder juristischen Person ein nationales Gericht verweisen, der die Gelegenheit hatte, eine Klage auf Nichtigerklärung dieser Entscheidung zu bringen,
(144) Wenn ein Gericht eine Klage gegen eine Entscheidung der Aufsichtsbehörde zu hören Grund zu der Annahme, dass die Maßnahmen die gleiche Behandlung in Bezug auf beispielsweise auf dem gleiche Objekt, hergestellt von dem gleichen Controller oder die gleiche Subunternehmer oder die gleiche Ursache, vor einem zuständigen Gericht eines anderen Mitgliedstaat erhoben werden, sollten sie das andere Gericht wenden die Existenz eines solchen Konnexität zu bestätigen. Wenn im Zusammenhang stehende Verfahren anhängig sind, vor einem Gericht
ein anderer Mitgliedstaat, jedes Gericht anders als das, was zuerst ergriffen wurde zuerst sein Verfahren oder kann auf Antrag der Parteien, für unzuständig erklärt zugunsten des Gerichts bleiben, wenn es Zuständigkeit der betreffenden Maßnahme zu unterhalten und das Gesetz erlaubt es Ihnen, diese Erscheinungen im Zusammenhang stehenden Verfahren regeln. Galt im Zusammenhang, Aktionen, die so eng Punkt zusammen, dass es sinnvoll ist, um die gleiche Zeit, um zu verhindern zu hören und zu beurteilen, sich widersprechende Entscheidungen gemacht wird, dass in getrennten Verfahren.
(145) In Bezug auf die Maßnahmen gegen einen Controller oder einen Prozessor, sollten die Kläger die Wahl haben, die Klage zu erheben vor den Gerichten der Mitgliedstaaten, in denen der Controller oder Subunternehmer hat eine Einrichtung oder in dem Mitgliedstaat, in dem die Person wohnt, es sei denn, der Controller ist eine öffentliche Behörde eines Mitgliedstaates bei der Ausübung hoheitlicher Befugnisse.
(146) Die Steuerung oder unter Behandlung soll, um Schäden reparieren eine Person aufgrund der Behandlung dieser Verordnung unter Verletzung leiden. Der Controller oder Subunternehmer soll von der Haftung befreit, wenn er nachweist, dass der Schaden nicht zuzuschreiben ist. Der Begriff des Schadens soll im Großen und Ganzen im Lichte der Rechtsprechung des Gerichtshofes in eine Weise ausgelegt werden, die volle Berücksichtigung der Ziele dieser Verordnung erfolgt. Dies gilt unbeschadet etwaiger Maßnahmen für Schäden, die auf einen Verstoß gegen andere Vorschriften des Unionsrechts oder dem Recht eines Mitgliedstaats. Die Behandlung unter Verstoß gegen diese Verordnung auch die Behandlung in Verletzung von delegierten Rechtsakten umfasst und Durchführung erlassenen gemäß dieser Verordnung und das Recht eines Mitgliedstaates, die Regeln dieser Verordnung angeben. Die betroffenen Personen sollten die volle und wirksame Entschädigung für den erlittenen Schaden erhalten. Wenn Controller oder Subunternehmer in demselben Prozess beteiligt sind, sollte jeder Controller oder jeder Subunternehmer verantwortlich für alle Schäden gehalten werden. Wenn jedoch Controller und Subunternehmer im selben Gerichtsverfahren nach dem Recht eines Mitgliedstaates beteiligt sind, kann die Reparatur nach dem Anteil an der Verantwortung eines jeden Controller verteilt werden oder jeder Unter - Auftragnehmer in den Schäden, die durch die Behandlung, vorausgesetzt, dass der von der Person erlittenen Schaden betroffen ist vollständig und wirksam repariert. Jeder Controller oder einen Subunternehmer, der den Schaden vollständig gegen andere Controller ansprechen können anschließend repariert und Subunternehmer, die in der gleichen Behandlung beteiligt.
(147) Die in dieser Verordnung für bestimmte Zuständigkeitsregeln vorsieht, insbesondere in Bezug auf Verfahren für Rechtsbehelfe, einschließlich dem Ziel, Abhilfe gegen einen Controller zu erhalten oder einen Prozessor, die Zuständigkeitsregeln jene Begriffe wie in der Verordnung (EU) Nr 1215/2012 des Europäischen Parlaments und des Rates (1) vorgesehen, sollte die Anwendung solcher besonderen Zuständigkeitsregeln unberührt.
(148) Um die Durchsetzung dieser Verordnung Sanktionen einschließlich Geldbußen zu verstärken sollte für jede Verletzung dieser Verordnung verhängt werden, zusätzlich zu oder an Stelle geeignete Maßnahmen von der Aufsichtsbehörde verhängten unter diese Verordnung. Bei geringfügigen Verletzung oder die Strafe, die für einen einzelnen eine unverhältnismäßige Belastung ist, eine Verwarnung adressiert anstatt eine Geldstrafe werden kann verhängt werden können. Es sollte jedoch gebührend berücksichtigt die Art, Schwere und Dauer des Verstoßes, die vorsätzliche Verletzung Charakter und Maßnahmen ergriffen, um den Schaden zu mildern erlitten, den Grad der Störung oder eine entsprechende zuvor begangenen Verstoß, wie die Supervisor wurde der Verletzung bewusst, die Maßnahmen gegen den Controller oder dem Subunternehmer auf die Umsetzung eines Verhaltenskodex bestellt respektieren und jede andere erschwerende oder mildernde Umstände. Die Anwendung von Sanktionen, einschließlich Geldbußen sollten unter geeigneten Verfahrensgarantien in Übereinstimmung mit den allgemeinen Grundsätzen des EU-Rechts und der Charta, einschließlich des Rechts auf effektiven gerichtlichen Rechtsschutz und ein faires Verfahren sein.
(149) Die Mitgliedstaaten sollen die Bestimmungen über Sanktionen für Verstöße gegen diese Verordnung bestimmen können, einschließlich Verstößen gegen die nationalen Vorschriften zur Umsetzung und im Rahmen dieser Verordnung. Diese Strafen können damit auch den Eintritt der Gewinne unter Verstoß gegen diese Verordnung. Allerdings sollte die Anwendung strafrechtlicher Sanktionen für die Verletzung dieser nationalen Vorschriften und die Anwendung von verwaltungsrechtlichen Sanktionen nicht in der Verletzung der ne Folge bis in idem von der Auslegung des Gerichtshofes als.
(150) Um administrative Sanktionen für Verstöße gegen diese Verordnung zu stärken und zu harmonisieren, jede Aufsichtsbehörde sollte die Befugnis hat, Bußgelder zu verhängen. diese
(1) Die Verordnung (EU) Nr 1215/2012 des Europäischen Parlaments und des Rates vom 12. Dezember 2012 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen (ABl L 351 vom 20.12.2012, S.. 1).
Verordnung sollten die Verstöße festgelegt werden, die maximale und Bußgeld Festsetzung Kriterien, die sie unterliegen, die von der zuständigen Aufsichtsbehörde jeweils festgelegt werden sollte, unter Berücksichtigung alle Merkmale jeder Fall und unter Berücksichtigung, insbesondere die Art, Schwere und Dauer des Verstoßes und seine Folgen sowie Maßnahmen zur Einhaltung von Verpflichtungen aus der Verordnung zu gewährleisten und die Folgen des zu verhindern oder zu mildern Verletzung. Wo Bußgeld auf einem Unternehmen auferlegt werden, dieser Begriff ist, zu diesem Zweck als Unternehmen gemäß den Artikeln 101 und 102 des Vertrages über die Arbeitsweise der Europäischen Union zu verstehen. Werden verwaltungsrechtliche Sanktionen werden gegen Personen, die kein Unternehmen sind, sollten die Aufsichtsbehörde zu berücksichtigen, wenn man bedenkt, was die angemessene Höhe der Geldbuße wäre, das allgemeine Niveau der Einkommen in dem Mitgliedstaat und dass die wirtschaftliche Lage der betroffenen Person. Es kann auch auf die Konsistenz Mechanismus zurückgegriffen werden, die einheitliche Anwendung von Bußgeldern zu fördern. Es sollte für die Mitgliedstaaten sein, um festzustellen, ob und in welchem Umfang die Behörden unterliegen Bußgeld sein sollten. Die Anwendung eines Bußgeld oder die Tatsache, eine Warnung zu geben, hat keinen Einfluss auf die Ausübung anderer Befugnisse der Aufsichtsbehörden oder die Anwendung von
(151) Die Rechtssysteme von Dänemark und Estland scheitern Bußgelder zu verhängen, wie sie in dieser Verordnung vorgesehen. Die Regeln zu Bußgeldern im Zusammenhang können, so dass angewandt werden, in Dänemark, die gut von den zuständigen nationalen Gerichten als strafrechtliche Sanktion und Estland verhängt wird die Fein von der Aufsichtsbehörde auferlegten als Teil eines Vergehen Verfahren, sofern diese Anwendung der Vorschriften in diesen Mitgliedstaaten von den Aufsichtsbehörden auferlegt gleiche Wirkung Bußgeld hat. Aus diesem Grund ist die zuständigen nationalen Gerichte Berücksichtigung der Empfehlung der Aufsichtsbehörde übernehmen sollte, die für die Fein verantwortlich ist.
(152) Die in dieser Verordnung nicht harmonieren administrative Sanktionen oder, falls erforderlich unter anderen Umständen, beispielsweise im Falle von schweren Verstößen gegen diese Verordnung sollten die Mitgliedstaaten ein System implementieren, die Vorgesehen sind wirksame, verhältnismäßig und abschreckend sein. Die Art dieser Strafen, Straf- oder Verwaltungs, sollte durch das Recht der Mitgliedstaaten festgelegt werden.
(153) Das Recht der Mitgliedstaaten sollten die Regeln für die freie Meinungsäußerung und Information, einschließlich der journalistischen Ausdruck, akademisch, künstlerisch oder literarisch, und das Recht auf Schutz personenbezogener Daten balancieren unter diese Verordnung. Bei der Behandlung von persönlichen Daten allein zu journalistischen Zwecken oder zu Zwecken der wissenschaftlichen Ausdruck, künstlerischen oder literarischen, die für Ausnahmen oder Ausnahmen von Bestimmungen dieser Verordnung zu sorgen, wenn notwendig, versöhnen das Recht auf den Schutz personenbezogener Daten und dem Recht auf freie Meinungsäußerung und Informations verankert in Artikel 11 der Charta. Dies sollte der Fall der Behandlung personenbezogener Daten im audiovisuellen Bereich und in Nachrichtenarchiven Dokumenten und Bibliotheken der Presse sein. Dementsprechend sollten die Mitgliedstaaten Rechtsvorschriften erlassen, die die Ausnahmen und Einschränkungen, die für die Gewährleistung einer Balance zwischen diesen Grundrechte. Die Mitgliedstaaten sollen solche Ausnahmen und Einschränkungen in Bezug auf die allgemeinen Grundsätze annehmen, die Rechte der betroffenen Person, die Steuerung und der Prozessor, der die Übermittlung personenbezogener Daten an Drittländer oder Organisationen internationale, unabhängige Aufsichtsbehörden, die Zusammenarbeit und Konsistenz sowie Sondersituationen der Datenverarbeitung. Wenn diese Befreiungen oder Ausnahmen von einem Mitgliedstaat zum anderen unterscheiden, sollte das Recht des Mitgliedstaats, dessen Manager Berichte auf die Behandlung an. Um die Bedeutung des Rechts auf Meinungsfreiheit in einer demokratischen Gesellschaft widerspiegelt, ist es notwendig, eine weite Auslegung der Begriffe zu behalten dieser Freiheit, wie Journalismus betreffen.
(154) Diese Verordnung ermöglicht unter Berücksichtigung des Prinzips der Öffentlichkeit auf Zugang zu amtlichen Dokumenten anzuwenden. Der Zugang der Öffentlichkeit zu amtlichen Dokumenten kann als im öffentlichen Interesse angesehen werden. Die persönlichen Daten in Dokumenten, die von einer Behörde oder einem öffentlichen Körperschaft gehalten enthalten ist, sollten von dieser Behörde oder dieser Stelle öffentlich gemacht werden, wenn dies durch das Unionsrecht oder das Recht des Mitgliedstaates vorgesehen ist, verweist auf die öffentlichen Behörden oder öffentliche Einrichtungen. Diese gesetzlichen Bestimmungen sollten den Zugang der Öffentlichkeit zu amtlichen Dokumenten und die Wiederverwendung von Informationen des öffentlichen Sektors, auf der einen Seite und das Recht auf Schutz personenbezogener Daten, auf der anderen Seite balancieren, und kann daher die notwendige Versöhnung mit dem Recht auf Schutz personenbezogener Daten im Rahmen dieser Verordnung zur Verfügung stellen. In diesem Zusammenhang ist es von „Behörden und öffentlichen Einrichtungen“ gemeint allen Behörden oder andere nach dem Recht eines Mitgliedstaates galten Einrichtungen des Zugang zu Dokumenten. Richtlinie 2003/98 / EG des Europäischen Parlaments und der
Rat (1) Blätter intakt und beeinträchtigt in keiner Weise das Niveau des Schutzes natürlicher Personen bei der Verarbeitung
(1) Die Richtlinie 2003/98 / EG des Europäischen Parlaments und des Rates vom 17. November 2003 über die Weiterverwendung von Informationen des öffentlichen Sektors (ABl L 345 vom 31.12.2003, S.. 90).
personenbezogener Daten gemäß den Bestimmungen des Unionsrechts und das Recht der Mitgliedstaaten und lässt insbesondere nicht die Rechte und Pflichten im Rahmen dieser Verordnung. Insbesondere sollte die Richtlinie gilt nicht für Dokumente, zu denen Zugang ausgeschlossen oder Zugangsrichtliniendurchsetzung beschränkt aus Gründen des Schutzes personenbezogener Daten und den Parteien der Dokumente im Rahmen der genannten Regeln enthalten persönliche Daten, bei denen die Wiederverwendung gesetzlich vorgeschrieben ist mit der Gesetzgebung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten nicht vereinbar.
(155) Le droit des États membres ou des conventions collectives, y compris des «accords d'entreprise» peuvent prévoir des règles spécifiques relatives au traitement des données à caractère personnel des employés dans le cadre des relations de travail, notamment les conditions dans lesquelles les données à caractère personnel dans le cadre des relations de travail peuvent être traitées sur la base du consentement de l'employé, aux fins du recrutement, de l'exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l'organisation du travail, de l'égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, et aux fins de l'exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail.
(156) Die Verarbeitung personenbezogener Daten zu Archivierungszwecken im öffentlichen Interesse, zum Zweck der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke sollte für die Rechte und Freiheiten der betroffenen Person vorbehaltlich angemessene Garantien sein, im Rahmen dieser Verordnung. Diese Garantien sollten die Umsetzung von technischen und organisatorischen Maßnahmen ermöglichen, vor allem das Prinzip der Datenminimierung. Die weitere Verarbeitung personenbezogener Daten zu Archivierungszwecken im öffentlichen Interesse, zum Zweck der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke durchgeführt werden soll, wenn die Steuerung die Machbarkeit bewertet hat erreichen diese Ziele durch eine Datenverarbeitung, die erlaubt oder mehr nicht über die betroffenen Personen zu identifizieren, sofern angemessene Garantien existieren (zB Pseudonymisierung Daten). Die Mitgliedstaaten sollten für die Zwecke der wissenschaftlichen oder historischen Forschung oder statistischer Zwecke für die Verarbeitung personenbezogener Daten zu Archivierungszwecken im öffentlichen Interesse, angemessene Garantien bieten. Die Mitgliedstaaten sollten für die betroffenen Menschen, Sondervorschriften und Ausnahmen in Bezug auf die Anforderungen an Informationen und Rechte auf Berichtigung, Löschung zu schaffen, unter bestimmten Bedingungen und mit geeigneten Schutzmaßnahmen genehmigt werden, zu Vergesslichkeit, Begrenzung der Behandlung, auf Datenportabilität und das Recht der Opposition, wenn personenbezogene Daten zu Archivierungszwecken im öffentlichen Interesse verarbeitet werden, zum Zweck der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke. Die Bedingungen und Garantien in Frage können spezifische Verfahren umfassen für die Betroffenen diese Rechte auszuüben gegebenenfalls im Hinblick auf die Zwecke der spezifischen Behandlung betrifft, sowie technische und organisatorische Maßnahmen die Datenverarbeitung zu minimieren personenbezogenen Daten in Übereinstimmung mit den Grundsätzen der Verhältnismäßigkeit und Notwendigkeit. Die Behandlung der persönlichen Daten für wissenschaftliche Zwecke sollten auch andere einschlägige Rechtsvorschriften respektieren,
(157), um die Informationen aus den Aufzeichnungen kombinieren, können die Forscher neue Erkenntnisse von großen Interesse im Hinblick auf den weit verbreitete medizinischen Probleme gewinnen, wie Herz-Kreislauf-Erkrankungen, Krebs und Depressionen. Basierend auf den Aufzeichnungen, Forschungsergebnisse verbessert werden können, während sie auf einer größeren Stichprobe basieren. Im Rahmen der Sozialwissenschaften, Forschung über die Registrierung ermöglicht es die Forschern zu erwerben grundlegenden Wissen über die langfristigen Korrelationen zwischen einer Reihe von sozialen Bedingungen wie Arbeitslosigkeit und Bildung und anderen Bedingungen des Lebens. Die Forschungsergebnisse in die erhaltene Register liefern zuverlässige Kenntnisse und hohe Qualität mit, die die Grundlage für die Entwicklung und Umsetzung einer Politik auf Wissen basiert sein kann, um die Lebensqualität einer Reihe von Menschen zu verbessern und stärken, Wirksamkeit der sozialen Dienste. Zur Erleichterung der wissenschaftliche Forschung, werden personenbezogene Daten für Zwecke der wissenschaftlichen Forschung unter geeigneten Bedingungen und Garantien für die im EU-Recht oder das Recht der Mitgliedstaaten verarbeitet.
(158) Werden personenbezogene Daten zu Archivierungszwecken verarbeitet werden, sollte diese Verordnung auf diese Behandlung anwenden, mit dem Verständnis, dass es nicht für tote Menschen gelten sollte. Die Behörden oder öffentliche oder private Organisationen, die Archive im öffentlichen Interesse halten sollen Dienste, der unter EU-Recht oder das Recht eines Mitgliedstaates, eine rechtliche Verpflichtung zu sammeln, halten, bewerten, organisieren, beschreiben, zu kommunizieren, entwickeln, zu verbreiten Datensätze, die dauerhaft im allgemeinen öffentlichen Interesse zu halten sind und Zugang.
(159) Werden personenbezogene Daten für wissenschaftliche Forschungszwecke verarbeitet, sollte diese Verordnung auf diese Behandlung anwenden. Im Sinne dieser Verordnung sollte die Verarbeitung personenbezogener Daten für wissenschaftliche Forschungszwecke im Großen und Ganzen zu Abdeckung interpretiert werden, beispielsweise die Entwicklung und Demonstration von Technologien, die Grundlagenforschung, angewandte Forschung und Forschung finanziert durch den privaten Sektor. Es sollte auch berücksichtigen, das Ziel der Union in Artikel 179 Absatz 1 des Vertrages über die Arbeitsweise der Europäischen Union einen Europäischen Forschungsraum zu erreichen. Mit „wissenschaftliche Forschung“, sollte es hören auch die Studien in der öffentliches Interesse im Bereich der öffentlichen Gesundheit. Um die spezifischen persönlichen Daten erfüllen die Verarbeitung zu wissenschaftlichen Forschungszwecken sollte gelten besondere Bedingungen, insbesondere in Bezug auf die Veröffentlichung oder Offenlegung anderweitig personenbezogener Daten in der unter Zwecke der wissenschaftlichen Forschung. Wenn das Ergebnis der wissenschaftlichen Forschung, insbesondere im Bereich der Gesundheit, für die weitere Vorgehen im Interesse der betroffenen Person, so gelten die allgemeinen Bestimmungen dieser Verordnung in Bezug auf diesen Maßnahmen anzuwenden. insbesondere in Bezug auf die Veröffentlichung oder Offenlegung Nichtvorhandensein von persönlichen Daten im Rahmen der Ziele der wissenschaftlichen Forschung. Wenn das Ergebnis der wissenschaftlichen Forschung, insbesondere im Bereich der Gesundheit, für die weitere Vorgehen im Interesse der betroffenen Person, so gelten die allgemeinen Bestimmungen dieser Verordnung in Bezug auf diesen Maßnahmen anzuwenden. insbesondere in Bezug auf die Veröffentlichung oder Offenlegung Nichtvorhandensein von persönlichen Daten im Rahmen der Ziele der wissenschaftlichen Forschung. Wenn das Ergebnis der wissenschaftlichen Forschung, insbesondere im Bereich der Gesundheit, für die weitere Vorgehen im Interesse der betroffenen Person, so gelten die allgemeinen Bestimmungen dieser Verordnung in Bezug auf diesen Maßnahmen anzuwenden.
(160) Werden personenbezogene Daten für die historische Forschung verarbeitet, sollte diese Verordnung auf diese Behandlung anwenden. Dies sollte auch die historische Forschung und Forschung für die genealogischen Zwecke zur Verfügung gestellt, dass diese Verordnung nicht für verstorbene Personen gilt.
(161) Für die Zwecke der Teilnahme Zustimmung für die wissenschaftliche Forschung in den klinischen Studien, die einschlägigen Bestimmungen der Verordnung (EU) Nr 536/2014 des Europäischen Parlaments und des Rates (1) Anwendung finden.
(162) Werden personenbezogene Daten für statistische Zwecke verarbeitet werden, sollte diese Verordnung auf diese Behandlung anwenden. Das Unionsrecht oder das Recht der Mitgliedstaaten sollte im Rahmen dieser Verordnung, bestimmt den statistischen Inhalt, für den Datenzugriff Überprüfung und Verabschiedung von Sonderbestimmungen für die Behandlung von persönlichen Daten statistische Zwecke und geeignete Schritte, um die Rechte und Freiheiten des einzelnen zu schützen und statistische Geheimhaltung aufrecht zu erhalten. Mit „statistischen Zwecken“ jede Transaktion Sammlung und Verarbeitung von personenbezogenen Daten, die für statistische Erhebungen oder Erstellung statistischer Ergebnisse. Diese statistischen Ergebnisse können auch für andere Zwecke verwendet werden, einschließlich der wissenschaftlichen Forschung. Die Statistiken bedeuten, dass Zweck das Ergebnis für statistische Zwecke der Verarbeitung keine personenbezogenen Daten dar, sondern aggregierte Daten, und das sind diese oder diese personenbezogenen Daten nicht zur Unterstützung von Maßnahmen oder Entscheidungen verwendet ein Individuum im besonderen.
(163) Die vertraulichen Informationen, die die statistischen Behörden der EU und die Mitgliedstaaten sammeln europäische und nationale amtliche Statistiken zu entwickeln, sollen geschützt werden. Europäische Statistiken sollten in Übereinstimmung mit den statistischen Grundsätzen, die in Artikel 338 Absatz 2 des Vertrages über die Arbeitsweise der Europäischen Union und nationalen Statistiken sollten auch respektieren das Recht der Mitgliedstaaten entwickelt, erstellt und verbreitet werden. Verordnung (EG) Nr 223/2009 des Europäischen Parlaments und des Rates (2) enthält weitere Sondervorschriften für die europäischen Statistiken von Geheimnis fallen beziehen.
(164) Wie die Befugnisse der Aufsichtsbehörden hinsichtlich der von der Steuerung oder der Subunternehmer Zugang zu personenbezogenen Daten und Zugang zu ihren Räumlichkeiten zu erhalten, können die Mitgliedstaaten bei der Verabschiedung das Gesetz im Rahmen dieser Verordnung spezifische Vorschriften über die Geheimhaltungspflicht oder andere gleichwertiger Geheimhaltungspflichten, soweit, um sicherzustellen, dass dies notwendig ist, das Recht auf den Schutz personenbezogener Daten in Einklang zu bringen und die Geheimhaltungspflicht. Dies gilt unbeschadet der Verpflichtungen der Mitgliedstaaten bei der Verabschiedung von Regeln über das Berufsgeheimnis besteht, wenn das EU-Recht erfordert.
(165) Diese Verordnung wahrt, und beeinträchtigt nicht den Status genossen, unter Verfassungsrecht, Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten anerkannt, wie durch Artikel 17 der Vertrag über die Arbeitsweise der Europäischen Union.
(166) Um die Ziele dieser Verordnung zu erfüllen, nämlich die Grundrechte und Freiheiten natürlicher Personen zu schützen, und insbesondere ihr Recht auf Schutz personenbezogener Daten und stellen sicher,
(1) Die Verordnung (EU) Nr 536/2014 des Europäischen Parlaments und den Rates vom 16. April 2014 bis zur klinischen Prüfung von Arzneimitteln für Humanarzneimittel und zur Aufhebung der Richtlinie 2001/20 / EG (ABl L 158 vom 2014.05.27, S.. 1).
(2) Die Verordnung (EG) Nr 223/2009 des Europäischen Parlaments und des Rates vom 11. März 2009 über europäische Statistiken und zur Aufhebung der Verordnung (EG, Euratom) Nr 1101/2008 des Europäischen Parlaments und des Rates über die Übermittlung an den statistische Amt der Europäischen Gemeinschaften statistischer Daten durch das Berufsgeheimnis fallen, die Verordnung (EG) Nr 322/97 des Rates über die Gemeinschaftsstatistiken und Beschluss des Rates 89/382 / EWG, Euratom ein statistisches Programmausschuss zur Gründung Europäische Gemeinschaften (ABl L 87 vom 31.3.2009, S.. 164).
freien Datenverkehr innerhalb der Union sollte die Befugnis der Kommission übertragen werden, zu erlassen Rechtsakte gemäß Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union. Insbesondere sollten delegierte Rechtsakte in Bezug auf die Kriterien und Anforderungen für die Zertifizierung Mechanismen, Informationen in Form von Standard-Icons und die Verfahren erlassen werden, um die Bereitstellung dieser Symbole regeln. Es ist besonders wichtig, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf Expertenebene. Es sollte bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte,
(167) Um einheitliche Bedingungen für die Durchführung dieser Verordnung zu gewährleisten, sollte es Durchführungsbefugnisse der Kommission übertragen, wo diese Verordnung vorsieht. Diese Befugnisse sollten gemäß der Verordnung (EU) Nr 182/2011 ausgeübt werden. In diesem Zusammenhang sollte die Kommission spezifische Maßnahmen für Kleinst-, kleine und mittlere Unternehmen in Betracht ziehen.
(168) In Anbetracht der allgemeine Art der betreffenden Handlungen, ist es angebracht, das Prüfungsverfahren für den Erlass von Durchführungsrechtsakte in Bezug auf die Vertragsklauseln zwischen Steuerungen zu verwenden, und Subunternehmer und zwischen Zulieferern; Verhaltenskodizes; technische Standards und Zertifizierungssysteme; angemessenes Schutzniveau von einem Drittland, Gebiet oder Sektor in der betreffenden Drittland oder eine internationale Organisation gewährt; die Bestimmungen des Schutzes; Formate und Verfahren für den Austausch von Informationen auf elektronischen Weg zwischen Steuerungen, Auftragnehmer und Aufsichtsbehörden im Hinblick auf den verbindlichen unternehmensinternen Regeln; die gegenseitige Unterstützung;
(169) Die Kommission sollte sofort geltende Durchführungsrechtsakte erlassen, in dem die verfügbaren Beweise zeigt, dass ein Drittland, einem Gebiet oder Sektor in dem betreffenden Drittland oder eine internationale Organisation keinen Schutzniveau bieten angemessene und zwingende Dringlichkeit dies erfordern.
(170) Da das Ziel dieser Verordnung, nämlich einen gleichwertigen Schutz von Personen und den freien Verkehr personenbezogener Daten in der gesamten Union zu gewährleisten, kann nicht ausreichend erreicht werden von den Mitgliedstaaten, sondern kann wegen ihres Umfangs oder ihrer Wirkungen besser auf Unionsebene erreicht werden können, dass sie Maßnahmen im Einklang mit dem Subsidiaritätsprinzip verankert in Artikel 5 des in Anspruch nehmen Vertrag über die Europäische Union. Gemäß dem Grundsatz der Verhältnismäßigkeit in diesem Artikel genannten geht diese Verordnung nicht über das hinaus, was notwendig ist, um diese Ziele zu erreichen.
(171) In der Richtlinie 95/46 / EG sollte durch diese Verordnung aufgehoben werden. Die Behandlungen bereits im Gang, die zum Zeitpunkt der Anwendung dieser Verordnung sollten es innerhalb von zwei Jahren nach ihrem Inkrafttreten in Einklang gebracht werden. Wenn die Behandlung auf einer Genehmigung gemäß der Richtlinie 95/46 / EG beruht, ist es nicht erforderlich, dass die Person wieder seine Zustimmung gibt, wenn die Art und Weise, in der Zustimmung gegeben wurde, um die festgelegten Bedingungen erfüllt in diese Verordnung, so dass die Steuerung kann die Behandlung nach dem Zeitpunkt der Anwendung dieser Verordnung fortzusetzen.
(172) Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr konsultiert 45/2001 und eine Stellungnahme am 7. März 2012 (1).
(173) Diese Verordnung sollte auf alle Aspekte des Schutzes der Grundrechte und Freiheiten in Bezug auf die Verarbeitung personenbezogener Daten, die nicht unter bestimmten Verpflichtungen mit dem gleichen Ziel gemäß der Richtlinie 2002/58 / EG des Europäischen Parlaments und des Rates (2), Verpflichtungen des Controllers und die Rechte des Einzelnen darunter. Zur Klärung der Beziehung zwischen dieser Verordnung und der Richtlinie 2002/58 / EG, die Richtlinie sollte entsprechend geändert werden. Nach der Annahme dieser Verordnung, sollte es die Richtlinie 2002/58 / EG, insbesondere überprüft die Übereinstimmung mit dieser Verordnung zu gewährleisten
(1) OJ C 192, 30.6.2012, p. 7.
(2) Die Richtlinie 2002/58 / EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl L 201 vom 31.7.2002, Seite 37).
HAVE FOLGENDE VERORDNUNG:
KAPITEL I
Allgemeine Bestimmungen
Artikel
Zweck und Ziele
Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und Vorschriften über den freien Datenverkehr.
Diese Verordnung schützt die Grundrechte und -freiheiten natürlicher Personen, insbesondere ihr Recht auf Schutz personenbezogener Daten.
Der freie Verkehr personenbezogener Daten innerhalb der Union ist weder beschränkt noch aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten verboten.
Artikel 2
Sachlicher Anwendungsbereich
Diese Verordnung gilt für die Verarbeitung personenbezogener Daten, automatisiert in ganz oder teilweise, sowie nicht automatisierte Verarbeitung personenbezogener Daten enthalten sind, oder in einer Datei eingegeben werden.
Diese Verordnung gilt nicht für die Datenverarbeitung persönlicher Natur:
a) als Teil einer Aktivität, die nicht in den Geltungsbereich der EU-Gesetz fällt;
b) von den Mitgliedstaaten im Rahmen der Aktivitäten im Rahmen von Kapitel 2 des Titels V des Vertrags über die Europäische Union fallen;
c) durch eine Person im Rahmen einer streng persönlichen oder Haushalt Aktivität;
d) von den zuständigen Behörden zum Zwecke der Verhütung und Aufdeckung von Verbrechen, Ermittlung und Verfolgung in der Sache oder der Vollstreckung strafrechtlicher Sanktionen, einschließlich des Schutzes vor Gefahren für die öffentliche Sicherheit und die Verhütung von solche Bedrohungen.
Verordnung (EG) Nr 45/2001 gilt für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union. Verordnung (EG) Nr 45/2001 und anderen Rechtsakten des Unionsrechts die Behandlung personenbezogener Daten an die Grundsätze angepasst und Vorschriften dieser Verordnung gemäß Artikel 98.
Diese Verordnung gilt unbeschadet der Richtlinie 2000/31 / EG, insbesondere auf Artikel 12 bis 15 in Bezug auf die Haftung von Vermittlern gelten.
Artikel 3
Räumlicher Geltungsbereich
Diese Verordnung gilt für die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung einer Steuerung oder einen Subunternehmer im Gebiet der Union, dass die Behandlung stattfindet oder nicht in der EU.
Diese Regelung gilt für die Verarbeitung personenbezogener Daten an Personen beziehen, die durch eine Steuerung auf dem Gebiet der Union sind oder ein Subunternehmer, der nicht in der Union niedergelassen ist, wenn Verarbeitung von Aktivitäten beziehen:
a) die Lieferung von Waren oder Dienstleistungen zu solchen betroffenen Personen in der Union wird eine Zahlung oder nicht solche Personen erforderlich ist; oder
b) Überwachung des Verhaltens dieser Menschen, da es ein Verhalten, das innerhalb der Union stattfindet.
3. Diese Verordnung gilt für die Verarbeitung personenbezogener Daten durch einen Controller nicht in der EU ansässig ist, sondern in einem Ort, an dem das Recht eines Mitgliedstaates gemäß dem internationalen Rechts gilt Öffentlichkeit.
Artikel 4 Begriffsbestimmungen
Für die Zwecke dieser Verordnung durch:
1) „persönliche Daten“ alle Informationen über eine bestimmte oder bestimmbare natürliche Person (im folgenden als „Datengegenstand“); gilt als ein „identifizierbare Person“ ein Individuum sein, die direkt oder indirekt, insbesondere durch Bezugnahme auf eine Kennung, wie beispielsweise einen Namen, eine Identifikationsnummer, Ortsdaten, Online-Kennung identifiziert werden können, oder zu einem oder mehreren spezifischen Elementen, die physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen;
2) „Behandlung“ bedeutet jede Operation oder eine Reihe von Operationen durchgeführt wird oder nicht automatisierte Prozesse unter Verwendung von und auf Daten oder Gruppen von persönlichen Daten, wie Sammlung, Speicherung, Organisation , Strukturierung, die Lagerung, die Anpassung oder Modifikation, das Abfragen, die Verwendung, die Übertragung durch Kommunikation, die Verteilung oder auf andere Weise die Bereitstellung, die bzw. Zusammenschaltung Einschränkung , Löschung oder Vernichtung;
3) „Begrenzung der Behandlung“ gehalten, um die persönlichen Daten Kennzeichnung für ihre Verarbeitung in Zukunft zu begrenzen;
4) ‚Profilierung‘, alle Behandlung automatisierten personenbezogenen Daten dieser personenbezogenen Daten unter Verwendung von bestimmten persönlichen Aspekte zu bewerten, um eine natürliche Person, einschließlich der Elemente über die Arbeitsleistung zu analysieren oder vorhersagen, die Situation Wirtschaft, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, die Lage oder Bewegung eines solchen Individuums;
5) „Pseudonyme“ Behandlung von persönlichen Daten in einer Weise, dass sie nicht mehr ohne die Notwendigkeit für zusätzliche Informationen, sofern diese zusätzlichen Informationen getrennt und übermittelten gehalten werden betroffen zu einer bestimmten Person zugeordnet werden technische und organisatorische Maßnahmen, um sicherzustellen, dass personenbezogene Daten zu einer bestimmten oder bestimmbaren natürlichen Person nicht zugeschrieben;
6) „Datei“ jede strukturierte Sammlung von Daten zugänglich nach bestimmten Kriterien, ob zentralisiert, dezentralisiert oder funktionell oder geographisch;
7) „Controller“, die natürliche oder juristische Person, Behörde, Einrichtung oder ein andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung; Ist die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht eines Mitgliedstaates bestimmt werden, kann die Steuerung kann beschrieben oder durch das Gesetz von der die spezifischen Kriterien für seine Benennung zur Verfügung gestellt werden Union oder nach dem Recht eines Mitgliedstaates;
8) „Subunternehmer“ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die verarbeitet;
9) ‚Empfänger‘, die natürliche oder juristische Person, Behörde, Einrichtung oder ein andere Organisation, die Übermittlung personenbezogener Daten, ob oder ob nicht ein Drittel erhält. Allerdings Behörden
, die voraussichtlich im Rahmen einer Mission der Sonderuntersuchung gemäß dem Unionsrecht oder dem Recht eines Mitgliedstaates personenbezogene Daten-Kommunikation empfangen sind, jedoch nicht als Empfänger; Die Verarbeitung solcher Daten durch Behörden in Einklang steht mit den geltenden Vorschriften über den Datenschutz auf der Grundlage des Zweck der Verarbeitung;
10) „Dritter“ eine natürliche oder juristische Person, Behörde, eine Dienstleistung oder andere Stelle als die betroffenen Person, die Steuerung, der Prozessor und die Personen, die unter der direkten Aufsicht der Controller oder der Prozessor, ist berechtigt, personenbezogene Daten zu verarbeiten;
11) „Zustimmung“ der betroffenen Person, jede Äußerung des Willens, frei für den konkreten Fall, informiert und eindeutig in dem die betreffende Person, durch eine Erklärung oder durch eine klare bejahende Handlung einverstanden ist, dass personenbezogene Daten, die ihnen im Zusammenhang der das verarbeitet wird;
12) „Verletzung der persönlichen Daten“, eine Verletzung der Sicherheit, um ein versehentliches oder ungesetzliche Art und Weise führt, Zerstörung, Verlust, Veränderung, unbefugter Weitergabe persönlicher Daten übertragen, gespeichert oder verarbeitet Alternativ oder unberechtigter Zugriff auf solche Daten;
13) „genetische Daten“, personenbezogene Daten zu vererbte genetischen oder erworbenen Eigenschaften eines Individuums, die insbesondere einzigartige Informationen über die Physiologie und den Gesundheitszustand des Einzelnen und die daraus resultierenden gibt aus eine Analyse einer biologischen Probe aus dem Individuum in Frage;
14) „biometrische Daten“, personenbezogene Daten aus spezifischen technischen Verarbeitung führt zu den physikalischen, physiologischen oder verhaltens eine natürliche Person betreffen, mit denen oder bestätigen seine eindeutige Identifikation, wie Gesichtsbilder oder Daten Fingerabdruck;
15) „Gesundheitsdaten“, personenbezogene Daten an die körperliche oder geistige Gesundheit einer Person, einschließlich der Bereitstellung von Gesundheitsleistungen, die Informationen über den Gesundheitszustand dieser offenbaren Person;
16) "principal establishment"
a) in Bezug auf einen Controller in mehreren Mitgliedstaaten ansässig sind der Standort der Zentrale in der Union, es sei denn, die Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten in ein anderes genommen Einrichtung der Steuerung in der Union, und dass die Institution hat die Macht, diese Entscheidungen zu erzwingen, wobei in diesem Fall die Institution, die die Haupteinrichtung betrachtet wird, solche Entscheidungen getroffen hat;
b) in Bezug auf einem Subunternehmer mit Sitz in mehreren Mitgliedstaaten, der Ort der zentralen Verwaltung in der Union oder, wenn der Subunternehmer nicht über eine zentrale Verwaltung in der Union, die Einrichtung Subunternehmer in der Union, die die meisten der Verarbeitung durchgeführten Tätigkeiten im Rahmen der Aktivitäten innerhalb eines Subunternehmers läuft, da die Auftragnehmer-in unterliegen unter diesem bestimmten Verpflichtungen Verordnung;
17) „Vertreter“ eine natürliche oder juristische Person mit Sitz in der von der Steuerung oder dem Prozessor schriftlich bezeichnet Union festgelegt, gemäß Artikel 27, die ihre jeweiligen Verpflichtungen stehen in Bezug auf im Rahmen dieser Verordnung;
18) „Unternehmen“, eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit, unabhängig von ihrer Rechtsform, einschließlich Partnerschaften oder Vereinigungen, die regelmäßig engagiert in wirtschaftlichen Tätigkeiten ausüben;
19) „Unternehmensgruppe“, ein Unternehmen, dass die Kontrollen und von ihrer beherrschten Gesellschaften;
20) „Binding Corporate Rules“, die internen Regeln für den Schutz personenbezogener Daten angewandt durch einen Controller oder einen Unterprozessor in das Gebiet eines Mitgliedstaat niedergelassenen für die Übertragung oder für einen Satz Übertragung von Daten an einem persönlichen Charakter-Controller oder einen Prozessor in einem Drittland oder Ländern innerhalb einer Gruppe von Unternehmen oder Unternehmensgruppe in einer gemeinsamen wirtschaftlichen Tätigkeit nachgehen etabliert;
21) „Aufsichtsbehörde“, eine unabhängige Behörde, die unter dem von einem Mitgliedstaat ansässig ist,
Abschnitt 51;
22) „Aufsichtsbehörde besorgt“, eine Aufsichtsbehörde, die mit der Behandlung personenbezogener Daten betreffen, weil:
a) die Daten-Controller oder unter Behandlung in dem Gebiet des Mitgliedstaates dieser Aufsichtsbehörde über eingerichtet ist;
b) der entsprechenden Personen mit Wohnsitz in dieser Mitgliedstaat Kontrollbehörde wird erheblich durch Behandlung betroffen sein oder kann; oder
c) eine Forderung wurde an den Supervisor vorgelegt;
23) „grenzüberschreitende Behandlung“
a) Verarbeitung personenbezogener Daten, die in der Union im Rahmen der Tätigkeiten von Einrichtungen in mehreren Mitgliedstaaten von einer Steuerung oder einem Subunternehmer übernimmt, wenn die Steuerung oder die Unter Prozessor wird in mehreren Mitgliedstaaten ansässig sind; oder
b) Verarbeitung personenbezogener Daten, die in der Union im Rahmen der Aktivitäten einer einzelnen Einrichtung einer Steuerung oder einen Subunternehmer übernimmt, die aber erheblich beeinträchtigt oder beeinträchtigen im wesentlichen der betroffenen in mehreren Mitgliedstaaten;
24) „relevante Einwände und motiviert“, ein Einspruch gegen den Entwurf einer Entscheidung darüber, ob ein Verstoß gegen diese Verordnung ist oder wenn die vorgeschlagene Maßnahme zur Steuerung oder der Subunternehmer erfüllt für die Grundrechte und Freiheiten der Personen, diese Verordnung, die deutlich die Bedeutung der Risiken des Entscheidungsentwurfes zeigt, besorgt und, falls erforderlich, der freie Verkehr personenbezogener Daten innerhalb der Union;
25) „Dienst der Informationsgesellschaft“, eine Dienstleistung im Sinne von Artikel 1 Absatz 1 b) der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates (1);
26) „internationale Organisation“, eine internationale Organisation und Einrichtungen des internationalen öffentlichen Rechts darin enthaltenen, oder jede andere Stelle, die durch eine Vereinbarung zwischen zwei oder mehr Ländern oder im Rahmen einer solchen Vereinbarung erstellt wird.
KAPITEL II
Grundsätze
Artikel 5
Grundsätze für die Behandlung von persönlichen Daten
Personenbezogene Daten müssen:
a) rechtmäßig verarbeitet, fair und transparent in Bezug auf die betreffende Person (Rechtmäßigkeit, Fairness, Transparenz);
b) für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer Weise weiter mit diesen Zwecken unvereinbar verarbeitet werden; Weiterverarbeitung zu Archivierungszwecken im öffentlichen Interesse, zum Zweck der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke nicht berücksichtigt wird, gemäß Artikel 89 Absatz 1 als unvereinbar mit dem ursprünglichen Zweck (Restriction die Zwecke);
c) angemessen, relevant und das beschränkt, was für die Zwecke erforderlich ist, für die sie (Datenminimierung verarbeitet werden);
d) genau und, soweit erforderlich, auf dem neuesten Stand; alle zumutbaren Schritte müssen sicherstellen, dass personenbezogene Daten zu gewährleisten, die ungenau sind, für welche Zwecke sie verarbeitet werden, gelöscht oder berichtigt werden, ohne Verzögerung (Genauigkeit) in Kenntnis;
(1) Die Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, die (ABl L 241, 2015.09.17, p. 1).
e) in einer Form gespeichert werden, die als für die Zwecke notwendig, dass mehr für die keine Identifikation der betroffenen Personen ermöglicht, für die sie verarbeitet werden; die personenbezogenen Daten für einen längeren Zeitraum in dem Umfang zurückgehalten werden, dass sie zu Archivierungszwecken im öffentlichen Interesse ausschließlich verarbeitet wird, zum Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke gemäß Artikel 89 Absatz 1 zur Verfügung gestellt, die geeignete technische und organisatorische Maßnahmen, die nach dieser Verordnung durchgeführt werden, um die Rechte und Freiheiten der betroffenen Person (Erhaltung Einschränkung) zu gewährleisten;
f) behandelt ausreichende Sicherheit personenbezogener Daten zu gewährleisten, einschließlich Schutz gegen unbefugte oder rechtswidrige Verarbeitung und gegen Verlust, Zerstörung oder Beschädigung durch Unfälle, durch technische Maßnahmen oder entsprechende organisatorische (Integrität und Vertraulichkeit);
2. Die Steuerung ist verantwortlich für die Einhaltung von Absatz 1 und ist in der Lage zu zeigen, dass diese eingehalten werden (Verantwortung).
Artikel 6
Rechtmäßigkeit der Verarbeitung
Die Behandlung wird nur erlaubt, wenn und soweit, dass zumindest eine der folgenden Bedingungen erfüllt ist:
a) die Daten unterliegen der Verarbeitung seiner personenbezogenen Daten eingewilligt für eine oder mehrere bestimmte Zwecke;
b) die Verarbeitung ist notwendig für die Durchführung eines Vertrages zu dem die betroffene Person auf Antrag des letzteren zu nehmen Schritte Partei oder Leistung ist;
c) die Verarbeitung ist erforderlich für die Einhaltung der gesetzlich verpflichtet, zu dem die Steuerung unterliegt;
d) die Verarbeitung ist notwendig, um die vitalen Interessen der betroffenen Person oder einer anderen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe von öffentlichem Interesse oder in Ausübung öffentlichen Gewalt notwendig in der Steuerung übertragen;
f) die Verarbeitung ist erforderlich für die Zwecke der berechtigten Interessen durch die Steuerung verfolgt oder einem Dritten, es sei denn, durch die Interessen außer Kraft gesetzt oder die Rechte und Freiheiten von grundlegender Bedeutung für die Person, die dem Schutz personenbezogener Daten, einschließlich wenn die Person ein Kind.
Punkt f) des ersten Absatzes wird die Behandlung durch die Behörden bei der Durchführung ihrer Aufgaben keine Anwendung.
Die Mitgliedstaaten können spezifischere Bestimmungen beizubehalten oder einzuführen, die Vorschriften dieser Verordnung in Bezug auf die Behandlung, um mit Absatz 1, c) und e), die Bestimmung genauer auf die spezifischen Anforderungen zu erfüllen anzupassen für die Behandlung und andere Maßnahmen rechtmäßig und eine angemessene Verarbeitung sicherzustellen, in anderen besonderen Situationen Behandlung einschließlich wie in Kapitel IX vorgesehen.
Die Grundlage der Behandlung gemäß Absatz 1, c) und e) ist wie folgt definiert: a) das Recht der Union; oder
b) das Recht des Mitgliedstaates, zu dem die Steuerung unterliegt.
Die Ziele der Behandlung sind in der Rechtsgrundlage definiert oder, im Hinblick auf die in Absatz 1 genannten e-Behandlung) für die Wahrnehmung einer Aufgabe, die von öffentlichem Interesse erforderlich sind, oder bei der Ausübung Behörde in der Steuerung übertragen. Diese Rechtsgrundlage können spezifische Bestimmungen enthalten die Vorschriften dieser Verordnung anzupassen, unter anderem: die allgemeinen Bedingungen für die Rechtmäßigkeit der Verarbeitung durch die Steuerung regeln; die Arten von Daten, die Gegenstand der Behandlung sind; die betroffenen Personen; Organisationen, auf die personenbezogenen Daten übermittelt werden können und die Zwecke, für die sie auch sein mögen; Zweckbindung; Retentionszeiten; und Operationen und Verfahren für die Behandlung, einschließlich der Maßnahmen zur rechtmäßigen und fairen Verarbeitung zu gewährleisten, wie sie in anderen besonderen Situationen Behandlung vorgesehen, wie nach Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten hat ein Ziel von öffentlichem Interesse ist und in angemessenem Verhältnis zu dem verfolgten berechtigten Zweck.
4. Wenn die Behandlung für einen anderen Zweck als die, für die die Daten gesammelt werden nicht auf die Zustimmung der Person betroffen oder dem Unionsrecht oder dem Recht eines Mitgliedstaats, der ein Maß ist erforderlich und angemessen in einer demokratischen Gesellschaft für die in Artikel 23 Absatz 1 genannten Ziele, um zu bestimmen, die Steuerung, wenn die Behandlung für einen anderen Zweck mit dem Ziel vereinbar ist, für die die persönlichen Daten waren ursprünglich gesammelt, Rechnung trägt, unter anderem:
a) die mögliche Existenz einer Verbindung zwischen den Zwecken, für die personenbezogenen Daten erhoben wurden und im Sinne der nachfolgenden vorgeschlagenen Behandlung;
b) der Kontext, in dem die personenbezogenen Daten gesammelt werden, insbesondere in Bezug auf die Beziehung zwischen den beteiligten Personen und der Steuerung;
c) die Art der personenbezogenen Daten, vor allem, wenn die Behandlung mit besonderen Arten personenbezogener Daten gemäß Artikel 9 oder ob persönliche Daten über strafrechtliche Verurteilungen und Straftaten werden mit nach Artikel 10 behandelt;
d) die möglichen Folgen eines weiteren Behandlung ins Auge gefasst für die Betroffenen;
e) das Vorhandensein geeigneter Garantien, die Verschlüsselung oder Pseudonyme enthalten kann.
Artikel 7
Bedingungen für die Zustimmung
In Fällen, in denen die Verarbeitung auf Zustimmung basieren, ist der Controller, dass die Person nachweisen, besorgt seine Einwilligung in die Verarbeitung personenbezogener Daten gegeben hat, über ihn.
Wenn die Zustimmung der betroffenen Person im Rahmen einer schriftliche Erklärung gegeben, die auch andere Fragen betreffen, gilt die Zustimmung in einer Form vorgelegt wird, dass eindeutig diese Fragen in verständlicher Form unterscheidet und leicht zugänglich und in klaren und einfachen Worten formuliert. Kein Teil dieser Aussage ist ein Verstoß gegen diese Regelung ist bindend.
Die betroffene Person hat das Recht, diese Einwilligung jederzeit zu widerrufen. Der Rücktritt berührt nicht die Rechtmäßigkeit der Verarbeitung basierend auf Zustimmung vor dem Rückzug gemacht. Die betreffende Person hat vor Erteilung der Zustimmung informiert. Es ist so einfach, wie Zustimmung zu entfernen.
Bei der Entscheidung, ob eine Zustimmung frei gegeben ist, ist es notwendig, die weitestgehende Berücksichtigung der Frage zu nehmen, unter anderem, wenn die Erfüllung eines Vertrag, einschließlich der Bereitstellung eines Dienstes, unterliegt Einwilligung zur Verarbeitung personenbezogener Daten ist für die Ausführung des Auftrags nicht erforderlich.
Artikel 8
Bedingungen für die Zustimmung von Kindern in Bezug auf die Dienste der Informationsgesellschaft
Bei Anwendung von Artikel 6 Absatz 1 a), für Kinder in Bezug auf den direkten Dienst der Informationsgesellschaft gilt, ist die Verarbeitung personenbezogener Daten in Bezug auf Kinder rechtmäßig wenn das Kind mindestens 16 Jahre. Wenn das Kind unter 16 Jahren ist, wird diese Behandlung nur, wenn und soweit zulässig, dass die Zustimmung durch den Inhaber der elterlichen Verantwortung für das Kind gegeben oder autorisiert.
Mitgliedstaaten gesetzlich ein niedrigeres Alter für diese Zwecke können vorsehen, dass früher das Alter nicht unter 13 Jahren.
Die Steuerung zumutbare Anstrengungen, um zu überprüfen, in solchen Fällen ist die Zustimmung erteilt oder vom Inhaber der elterlichen Verantwortung für das Kind, die technischen Mittel zur Verfügung gegeben zugelassen.
Absatz 1 gilt nicht den allgemeinen Vertragsrecht der Mitgliedstaaten, einschließlich der Bestimmungen über die Wirksamkeit, die Bildung oder Wirkung eines Vertrages in Bezug auf ein Kind.
Artikel 9
Verarbeitung besonderer Kategorien personenbezogener Daten
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische oder Mitgliedschaft in einer Gewerkschaft und die Verarbeitung genetischer Daten, biometrische Daten, um eine Person zu identifizieren einzigartig, sind Daten über Gesundheit oder Daten in Bezug auf das Sexualleben oder der sexuellen Ausrichtung einer Person verboten.
Absatz 1 gilt nicht, wenn eine der folgenden Bedingungen erfüllt ist:
a) hat die betroffene Person ausdrücklich in die Verarbeitung dieser personenbezogenen Daten für einen oder mehr bestimmten Zwecke gegeben, es sei denn, das Unionsrecht oder das Recht des jeweiligen Mitgliedstaates vor, dass das Verbot nach Absatz 1 kann nicht von der betroffenen Person aufgehoben werden;
b) die Verarbeitung ist erforderlich für die Erfüllung von Verpflichtungen und ihre eigenen Rechte ausüben auf die Daten oder die Daten auf dem Arbeitsrecht, soziale Sicherheit und sozialer Schutz in da diese Behandlung wird durch die EU-Recht zulässig ist, durch das Recht eines Mitgliedstaates oder durch einen Tarifvertrag nach dem Recht eines Mitgliedstaates, die geeigneten Garantien für die Grundrechte und Interessen bietet die betreffende Person;
c) die Verarbeitung ist erforderlich, um die vitalen Interessen der betroffenen Person oder eine andere Person zu schützen, wenn die Person Zustimmung in der physischen oder rechtlichen Gründen nicht in der Lage zu geben ist;
d) die Verarbeitung erfolgt im Rahmen ihrer legitimen Aktivitäten mit entsprechenden Garantien von einer Stiftung, Vereinigung oder jeder anderen Non-Profit-Organisation durchgeführt und mit einer politischen, philosophischen, religiösen oder Handel, vorausgesetzt, dass die Verarbeitung bezieht sich ausschließlich auf Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen mit einem regelmäßigen Kontakten im Zusammenhang mit ihrem Zweck und dass die personenbezogenen Daten dürfen nicht außerhalb der Agentur ohne die Zustimmung der Personen offen gelegt werden betroffen ;
e) bezieht sich die Verarbeitung zu den persönlichen Daten, die durch die betroffene Person offenkundig öffentlich gemacht werden;
f) Verarbeitung ist erforderlich für die Einrichtung, die Ausübung oder den Schutz der Rechtsansprüche oder immer dann, wenn die in ihrer Funktion gerichtlichen wirkenden Gerichte;
g) die Verarbeitung ist erforderlich aus Gründen eines wichtigen öffentlichen Interesses auf der Grundlage des Unionsrechts oder dem Recht eines Mitgliedstaats, die verfolgten einem angemessenen Verhältnis zu dem Ziel sein muss, das Wesen des Rechts auf Achtung zu Datenschutz und sorgen für eine angemessene und spezifische Maßnahmen die Grundrechte und Interessen der betroffenen Person zu schützen;
h) die Verarbeitung ist erforderlich für die Präventivmedizin oder Arbeitsmedizin, Anerkennung der Fähigkeit der Arbeiter für die Arbeit, medizinische Diagnostik, Entscheidung in Gesundheits- oder Sozialwesen, oder Managementsysteme und die medizinische Versorgung und Sozialschutz auf der Grundlage des EU-Rechts, das Recht eines Mitgliedstaates oder im Rahmen eines Vertrags mit einer Gesundheitsversorgung genannten professionellen und unterliegen den Bedingungen und Garantien in Absatz 3;
i) die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie zum Beispiel des Schutzes vor schweren grenzüberschreitender Gesundheitsgefahren notwendig ist, oder um zu garantieren ein hohes Maß an Qualität und Sicherheit der Versorgung Gesundheit und Medizin oder medizinische Geräte, basierend auf dem Recht des Mitgliedstaats oder das Recht der Union, die Maßnahmen eine angemessene und spezielle bietet die Rechte und Freiheiten der betroffenen Person, die die Vertraulichkeit zu wahren ;
j) die Verarbeitung ist erforderlich für Archivierungszwecke im öffentlichen Interesse, zum Zweck der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke, gemäß Artikel 89 Absatz 1 auf der Grundlage des EU-Rechts oder das Recht eines Mitgliedstaates muss im Verhältnis zu dem verfolgten Ziel, sein, das Wesen des rechts auf Datenschutz zu achten und für eine angemessene und spezifische Maßnahmen bieten die Grundrechte und Interessen der betroffenen Person zu schützen.
Die persönliche gemäß Absatz 1 Daten können für die Zwecke des Absatzes 2 Buchstabe h) behandelt werden, wenn diese Daten von einer medizinischen Fachkraft unterliegen der Geheimhaltungspflicht nach dem Gesetz verarbeitet werden Union, das Recht eines Mitgliedstaates oder die erlassenen Vorschriften von den zuständigen nationalen Stellen oder Kontrolle oder durch eine andere Person auch unterliegt eine Geheimhaltungspflicht nach dem Recht der Union oder rechts ein Mitgliedstaat oder die von den zuständigen nationalen Stellen erlassenen Vorschriften.
Die Mitgliedstaaten können zusätzliche Bedingungen beibehalten oder einführen können, einschließlich Einschränkungen in Bezug auf die Verarbeitung genetischer Daten, biometrische Daten oder Gesundheitsdaten.
Artikel 10
Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten
Die Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten oder damit verbundenen Sicherheitsmaßnahmen nach Artikel 6 Absatz 1 darf nur unter der Kontrolle der Behörde durchgeführt werden, oder wenn die Behandlung erlaubt durch das Unionsrecht oder das Recht eines Mitgliedstaates, die für die Rechte und Freiheiten der betroffenen Personen angemessene Garantien bietet. Jedes vollständiges Register der strafrechtlichen Verurteilungen darf nur unter der Kontrolle der öffentlichen Gewalt gehalten werden.
Artikel 11
Die Behandlung erfordert keine Identifizierungs
Wenn die Zwecke, für die personenbezogene Daten verarbeitet werden verhängen oder nicht verhängen mehr an die Steuerung eine betroffene Person zu identifizieren, ist es nicht zu halten erforderlich ist, zu erhalten oder zu verarbeiten zusätzliche Informationen, die Person für den alleinigen Zweck der Einhaltung dieser Verordnung zu identifizieren.
Wenn in den Fällen nach Absatz 1 dieses Artikels wird der Regler in der Lage ist, zu zeigen, dass es nicht in der Lage ist, die betroffene Person zu identifizieren, so hat er die betreffende Person zu informieren, falls möglich. In solchen Fällen 15 Artikel bis 20 gelten nicht, es sei denn, die Person sieht, um die Rechte aus diesen Positionen, zusätzliche Informationen zu üben, die sie identifizieren können.
KAPITEL III
Rechte der betroffenen Person
Abschnitt 1
Transparenz und Bedingungen
Artikel 12
Transparenz der Informations- und Kommunikationsverfahren für die Ausübung der Rechte des Individuums
Die Steuerung treffen geeignete Maßnahmen, Informationen unter 13, Artikel bereitzustellen und 14 und alle Kommunikationen unter Artikel 15 bis 22 und Artikel 34 in Bezug auf die Verarbeitung zu verarbeiten, um die Daten von ein kurzer, transparente, umfassende und leicht zugänglich in klaren und einfachen Worten, vor allem für Informationen, die speziell für ein Kind. Die Informationen werden schriftlich oder durch andere Mittel bereitgestellt, die aufweist, geeignet, wenn, elektronisch. Wenn Antrag der betreffenden Person betrifft, kann die Information mündlich erteilt werden, sofern die Identität der betreffenden Person mit anderen Mitteln nachgewiesen wird.
Die Steuerung erleichtert die Ausübung der an die Person gewährten Rechte nach Artikel 15 betroffen
bei 22. In den Fällen nach Artikel 11 Absatz 2 genannten, ist die Steuerung nicht zu reagieren auf Antrag der Person, die die Rechte nach den §§ 15 bis 22 betroffenen verweigern auszuüben, es sei denn, die Steuerung zeigt, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.
Die Steuerung liefert die betroffene Person von Informationen über in Reaktion auf eine Anfrage getroffenen Maßnahmen nach den Artikeln 15 bis 22, so schnell wie möglich und auf jedem Fall innerhalb einer Frist von einem Monat der Eingang des Antrags. Bei Bedarf kann diese Frist um zwei Monate verlängert werden, um die Komplexität und die Anzahl der Anwendungen gegeben. besorgt über die Erweiterung und Verschiebung von Gründen innerhalb eines Monats nach Eingang des Antrags Der Regler wird die Person informieren. Wenn die betreffende Person seine Anwendung in elektronischer Form hat, werden die Informationen zur Verfügung gestellt elektronisch, wenn möglich, es sei denn, die betreffende Person Anfragen es anders.
Wenn die Steuerung auf die Anfrage reagiert nicht von der betreffenden Person, informiert er sich unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags der Gründe für seine Untätigkeit die Möglichkeit, eine Beschwerde bei einer Aufsichtsbehörde und Gerichtsverfahren einzulegen.
Keine Zahlung erforderlich Informationen gemäß den Artikeln 13 und 14 zur Verfügung zu stellen und die gesamte Kommunikation und alle Maßnahmen nach den Artikeln 15 bis 22 und Artikel 34 durchzuführen, wenn die Anforderungen eines Daten unterliegen offensichtlich unbegründet oder übertrieben, vor allem wegen ihrer repetitiven Charakter, der Controller kann:
a) verlangen die Zahlung von angemessenen Gebühren, die die Verwaltungskosten für die Bereitstellung der Informationen widerspiegeln, die Aussagen machen oder die Maßnahmen ergreifen, die ersucht wird; oder
b) sich weigern, mit diesen Forderungen nachzukommen.
Es ist an der Steuerung eindeutig unbegründet Natur oder Überforderung zu demonstrieren.
Unbeschadet des Artikels 11, wenn der Controller begründete Zweifel an der Identität des Individuums machen hat die Anforderung gemäß den Artikeln 15 bis 21, so kann er verlangen, dass er zusätzliche Informationen zur Bestätigung benötigt zur Verfügung gestellt werden die Identität der betreffenden Person.
Die Informationen zu den gemäß den Artikeln betroffenen Personen mitgeteilt werden 13 und 14 können mit standardisierten Symbolen versehen werden zusammen einen guten Überblick zu geben, gut sichtbar, verständlich und gut lesbar, die vorgesehene Behandlung. Wenn die Symbole auf elektronischem Wege eingereicht werden, sie sind maschinenlesbar.
Die Kommission wird ermächtigt, delegierte Rechtsakte gemäß Artikel 92 zu erlassen, um die Informationen in Form von Symbolen und die Verfahren für die Erbringung von standardisierten Symbolen zu bestimmen.
Abschnitt 2
Informationen und Zugang zu personenbezogenen Daten
Artikel 13
Angaben, wenn personenbezogene Daten aus den einzelnen gesammelt werden
1. Werden personenbezogene Daten an eine betroffene Person beziehen, werden von dieser Person gesammelt, die Steuerung bietet es, wenn die betreffenden Daten erhalten werden, die folgenden Informationen:
a) die Identität und Kontaktangaben des Controllers und gegebenenfalls der Vertreter der Controller
b) gegebenenfalls die Delegierten des Datenschutzes koordinieren;
c) die Zwecke der Verarbeitung, die für die persönlichen Daten und die Rechtsgrundlage für die Verarbeitung ist;
d) wenn die Verarbeitung stützt sich auf Artikel 6 Absatz 1 lit. f) die berechtigten Interessen durch die Steuerung verfolgt oder durch einen Dritten;
e) der Empfänger oder Kategorien von Empfängern personenbezogener Daten, wenn überhaupt; und
f) gegebenenfalls die Tatsache, dass die Datenverarbeitung Verantwortlichen eine Übermittlung personenbezogener Daten in ein Drittland oder eine internationale Organisation, und das Vorhandensein oder Fehlen einer Entscheidung zu treffen beabsichtigt, Angemessenheit von der Kommission oder im Fall von Übertragungen gemäß Artikel 46 oder 47 oder Artikel 49 Absatz 1, zweiter Absatz, der Verweis auf die entsprechenden oder angemessene Garantien und wie man erhalten kopieren oder wo sie sind zur Verfügung gestellt;
2. Zusätzlich zu den in Absatz 1 genannten Informationen liefert die Steuerung die betroffene Person, die zum Zeitpunkt der persönlichen Daten erhalten werden, die folgenden zusätzlichen Informationen sind notwendig, faire Behandlung und transparent zu gewährleisten:
a) die Aufbewahrungsfrist von persönlichen Daten oder, wenn dies nicht möglich ist, die Kriterien diese Zeit zu bestimmen;
b) die Existenz des Rechts auf die Controller Zugriff auf persönliche Daten, Berichtigung oder Löschung von diesen zu fragen, oder eine Begrenzung der Behandlung auf die Person oder das Recht zu s' Gegenstand der Verarbeitung und das Recht auf Datenportabilität;
c) die Verarbeitung stützt sich auf Artikel 6 Absatz 1 a) oder Artikel 9 Absatz 2 a), das Vorhandensein der richtigen Einwilligung jederzeit zu widerrufen, unbeschadet die Rechtmäßigkeit der Verarbeitung basierend auf Zustimmung vor dem Rückzug der letzteren gemacht;
d) das Recht, eine Beschwerde bei einer Aufsichtsbehörde zu erheben;
e) Informationen darüber, ob das Erfordernis der Bereitstellung persönlicher Daten betrifft eine gesetzliche oder vertragliche oder Bedingungen den Abschluss eines Vertrages und wenn die Person personenbezogene Daten zur Verfügung zu stellen ist erforderlich sowie die möglichen Folgen nicht solche Daten;
f) das Vorhandensein einer automatisierte Entscheidungsfindung, einschließlich einem Profil, gemäß Artikel 22 Absatz 1 und 4, und zumindest in solchen Fällen nützliche Informationen über die zugrunde liegende Logik und die Bedeutung und die erwarteten Folgen dieser Behandlung für die betroffene Person.
Wenn es beabsichtigt, zu einem Zweck Weiterverarbeitung personenbezogener Daten zu führen, dass andere als zu dem die personenbezogenen Daten erhoben wurden, stellt der Controller die Voraussetzung für die Information betreffende Person über Ein weiterer Zweck dieser und andere relevante Informationen gemäß Absatz 2.
Die Absätze 1, 2 und 3 gelten nicht, wenn und soweit, dass die betroffene Person bereits diese Informationen hat.
Artikel 14
Angaben, wenn die personenbezogenen Daten wurden nicht von der Person gesammelt besorgt
1. Werden personenbezogene Daten nicht bei der betroffenen Person erhoben wurden, stellt die Steuerung es die folgenden Informationen:
a) die Identität und die Kontaktdaten des Reglers und gegebenenfalls die repräsentativ für die Steuerung;
b) gegebenenfalls die Delegierten des Datenschutzes koordinieren;
c) die Zwecke der Verarbeitung, die für die persönlichen Daten und die Rechtsgrundlage für die Verarbeitung ist;
d) die Kategorien von personenbezogenen Daten;
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
f) gegebenenfalls die Tatsache, dass die Datenverarbeitung Verantwortlichen eine Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder eine internationale Organisation, und das Vorhandensein oder Fehlen eines machen wollen Angemessenheit Entscheidung durch den Vorstand oder, bezeichnet im Fall von Übertragungen in Artikel 46 oder 47 oder Artikel 49, Absatz 1, zweiter Absatz, der Verweis auf das entsprechende oder angemessene Garantien und Wege zu eine Kopie oder wo sie zur Verfügung gestellt wurden;
2. Zusätzlich zu den Angaben gemäß Absatz 1 stellt der Controller die betroffene Person mit den folgenden Informationen erforderlich faire Behandlung und transparent in Bezug auf die betreffenden Person zu gewährleisten:
a) der Zeitraum, für den die personenbezogenen Daten gehalten werden oder, falls dies nicht möglich ist, die Kriterien dieser Zeit zu bestimmen;
b) wenn die Behandlung stützt sich auf Artikel 6 Absatz 1 lit. f) die berechtigten Interessen durch die Steuerung verfolgt oder durch einen Dritten;
c) die Existenz des Rechts auf die Controller Zugriff auf persönliche Daten, Berichtigung oder Löschung von diesen oder eine Begrenzung der Behandlung auf die Person und das Recht von s fragen ‚Widerspruch gegen die Verarbeitung und das Recht auf Datenübertragbarkeit;
d) wenn die Verarbeitung stützt sich auf Artikel 6 Absatz 1 a) oder Artikel 9 Absatz 2 a), das Vorhandensein der richtigen Einwilligung jederzeit zu widerrufen, unbeschadet die Rechtmäßigkeit der Verarbeitung basierend auf Zustimmung vor dem Rückzug der letzteren gemacht;
e) das Recht, eine Beschwerde bei einer Aufsichtsbehörde zu erheben;
f) die Quelle, aus der persönlichen Daten kommen und gegebenenfalls ein Hinweis darauf, dass sie kommen oder nicht öffentlich zugängliche Quellen;
g) das Vorhandensein einer automatisierte Entscheidungsfindung, ein Profil aufweist, gemäß Artikel 22 Absatz 1 und 4, und zumindest in solchen Fällen nützliche Informationen über die zugrunde liegende Logik und die Bedeutung und die erwarteten Folgen dieser Behandlung für die betroffene Person.
Der Controller stellt die Informationen in den Absätzen 1 und 2:
a) innerhalb eines angemessenen Zeitraums nach der persönlichen Daten zu empfangen, aber höchstens einem Monat, angesichts der besonderen Umstände, unter denen personenbezogene Daten verarbeitet werden;
b) die personenbezogenen Daten werden für die Kommunikation mit der Person verwendet, betreffen, spätestens zum Zeitpunkt des ersten Anrufs zu dieser Person; oder
c) es ist beabsichtigt, die Informationen an eine andere Person zu kommunizieren, spätestens dann, wenn die personenbezogenen Daten werden zum ersten Mal offenbart.
Wenn es beabsichtigt, zu einem Zweck Weiterverarbeitung personenbezogener Daten zu führen, dass andere als zu dem die personenbezogenen Daten erhalten wurde, liefert der Controller die Voraussetzung für die Betroffenen Informationen über Ein weiterer Zweck dieser und andere relevante Informationen gemäß Absatz 2.
Die Absätze 1 bis 4 gelten nicht, wenn und soweit, dass:
a) die betroffene Person hat diese Informationen bereits;
b) die Bereitstellung solcher Informationen als unmöglich erweist oder würde einen unverhältnismäßig hohen Aufwand erfordern, insbesondere für die Behandlung zu Archivierungszwecken im öffentlichen Interesse, zum Zweck der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke unter den Bedingungen und Garantien im Sinne von Artikel 89 Absatz 1 oder in dem Maße, dass die Verpflichtung nach Absatz 1 dieses Artikels wahrscheinlich unmöglich machen oder ernsthaft die Ziele der Behandlung gefährden. In diesem Fall wird die Steuerung geeignete Maßnahmen ergreifen, um die Rechte und Freiheiten und legitime Interessen der betroffenen Person ist, einschließlich der öffentlich zugängliche Informationen zu schützen;
c) zu erhalten oder Informationen in Verbindung steht, ausdrücklich vorgesehen durch das Unionsrecht oder das Recht des Mitgliedstaates, der die Steuerung unterliegt und sieht geeignete Maßnahmen berechtigte Interessen der Person zu schützen besorgt; oder
d) Personenbezogene Daten müssen unter einer Geheimhaltungspflicht geregelt durch die EU-Recht oder das Recht der Mitgliedstaaten, einschließlich einer rechtlichen Verpflichtung von Berufsgeheimnis vertraulich bleiben.
Artikel 15
Recht auf Zugang zu der betreffenden Person
1. Die betroffene Person hat das Recht, von der Steuerung eine Bestätigung zu erhalten, wie ist oder ihn betreffenden personenbezogenen Daten verarbeitet werden und, wenn sie Zugang zu diesen persönlichen Daten sowie folgende Informationen:
a) der Zweck der Verarbeitung;
b) die Kategorien von personenbezogenen Daten;
c) der Empfänger oder Kategorien von Empfängern, an den persönlichen Daten wurden oder werden zur Verfügung gestellt werden, insbesondere die Empfänger, die in Drittländer oder internationale Organisationen aufgestellt werden;
d) soweit möglich, die Haltbarkeitsdaten als persönlichen Charakter oder, wenn dies nicht möglich ist, die Kriterien dieser Zeit zu bestimmen;
e) die Existenz des Rechts auf die Steuerung Berichtigung oder Löschung von persönlichen Daten zu fragen, oder der Beschränkung personenbezogene Daten zur Verarbeitung an der betreffenden Person oder für das Recht auf Objekt Behandlung;
f) das Recht, eine Beschwerde bei einer Aufsichtsbehörde zu erheben;
g), wo die persönlichen Daten werden nicht von der Person gesammelt besorgt, alle verfügbaren Informationen über die Herkunft;
h) das Vorhandensein einer automatisierte Entscheidungsfindung, einschließlich einem Profil, gemäß Artikel 22 Absatz 1 und 4, und zumindest in solchen Fällen nützliche Informationen über die zugrunde liegende Logik und die Bedeutung und die erwarteten Folgen dieser Behandlung für die betroffene Person.
Werden personenbezogene Daten in ein Drittland oder einer internationalen Organisation übertragen werden, hat die Person das Recht auf angemessene Garantien informiert zu werden, gemäß Artikel 46 in Bezug auf die Übertragung.
Der Controller stellt eine Kopie der personenbezogenen Daten, die auf die Behandlung. Die Steuerung kann die Zahlung von angemessenen Gebühren verlangt auf der Grundlage der Verwaltungskosten für zusätzliche Kopien von der Person beantragt betroffen. Wenn die Person elektronisch einen Antrag einreicht, wird die Informationen in einem elektronischen Format im allgemeinen Gebrauch zur Verfügung gestellt, es sei denn, die Person, die sie betreffende Anfragen aus anderen Gründen.
Das Recht, eine Kopie zu erhalten gemäß Absatz 3 gilt nicht für die Rechte und Freiheiten anderer Personen beeinflussen.
Abschnitt 3
Rectif ication und Löschung
Artikel 16
Recht auf Berichtigung
Die betroffene Person hat das Recht, von der Steuerung zu erhalten, ohne Verzögerung, die Berichtigung der personenbezogenen Daten, die ungenau ist. In Anbetracht der Zwecke der Verarbeitung, hat die betroffene Person das Recht, unvollständige personenbezogene Daten zu haben, sind abgeschlossen, darunter eine zusätzliche Erklärung bereitstellt.
Artikel 17
Recht auf Löschen ( „Recht auf Vergessen“)
1. Die betroffene Person hat das Recht, vom Verantwortlichen die Löschung unverzüglich zu erhalten, von persönlichen Daten über ihn und die Steuerung ist verpflichtet, personenbezogene Daten zu löschen in bald, gilt, wenn eine der folgenden Gründe:
a) personenbezogene Daten sind nicht mehr notwendig für den Zweck, für die sie auf andere Weise erhoben oder verarbeitet;
b) die betroffene Person zieht sich zurück Zustimmung auf dem die Behandlung beruht, die gemäß Artikel 6, Absatz 1 a) oder Artikel 9, Absatz 2 a), und es ist nicht vorhanden andere Rechtsgrundlage auf die Behandlung;
c) die betroffene Person-Objekte auf die Behandlung gemäß Artikel 21 Absatz 1, und es gibt keinen legitimen zwingenden Grund für die Behandlung oder die betroffene Person-Objekte auf die Behandlung gemäß Artikeln 21, Absatz 2;
d) die personenbezogenen Daten wurden rechtswidrig verarbeitet werden;
e) Personenbezogene Daten müssen mit einer gesetzlichen Verpflichtung nachzukommen gestrichen werden, die nach dem Unionsrecht oder dem Recht des Mitgliedstaates vorgesehen ist, die Steuerung unterliegt;
f) persönliche Daten gesammelt wurden im Rahmen des Angebots von Diensten der Informationsgesellschaft im Sinne von Artikel 8 Absatz 1.
Wenn die persönlichen Daten freigegeben und ist erforderlich, um Lösch nach Absatz 1, die Steuerung, nimmt die verfügbare Technologie und die Kosten für die Umsetzung gegeben, angemessene Maßnahmen, einschließlich der technischen, informieren Controller, die die persönlichen Daten verarbeiten, dass die Daten, die von den verantwortlichen für die Verarbeitung eines Links zu solchen persönlichen Daten, oder einer Kopie oder Reproduktion angefordert Löschen sie.
Die Absätze 1 und 2 gelten nicht, soweit dies erforderlich ist:
a) die Ausübung des Rechts auf freie Meinungsäußerung und Information;
b) mit einer gesetzlichen Verpflichtung nachzukommen, die Behandlung nach dem Recht der Union oder nach dem Recht des Mitgliedstaates, der erfordert die Steuerung unterliegt, oder eine Aufgabe von öffentlichem Interesse zu erfüllen oder in der Ausübung von in der Steuerung übertragen Behörde;
c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 h) und i) und Artikel 9 Absatz 3;
d) für Archivierungszwecke im öffentlichen Interesse, zum Zweck der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke gemäß Artikel 89, Absatz 1, soweit, dass das Recht nach Absatz 1 ist wahrscheinlich, was es unmöglich machen oder ernsthaft die Ziele der Behandlung gefährden; oder
e) für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen.
Artikel 18
Recht auf eine Begrenzung der Verarbeitungs
1. Die betreffende Person hat das Recht, vom Controller Begrenzungsverarbeitung zu erhalten, wenn einer der folgenden Fälle zutrifft:
a) die Genauigkeit der personenbezogenen Daten werden von der betroffenen Person bestritten, für einen Zeitraum ermöglicht die Steuerung der Genauigkeit der Daten zu Zeichenpersonal zu überprüfen;
b) die Verarbeitung rechtswidrig ist und die betroffene Person gegenüberliegt, ihre Löschung und Anforderungen anstatt ihre Verwendung begrenzen;
c) die Steuerung braucht nicht mehr die persönlichen Daten für die Verarbeitung, aber sie sind immer noch notwendig für die Person, für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen;
d) die Person, auf die Behandlung gemäß Artikel 21 beanstandete Absatz 1 bei der Prüfung der Frage, ob die berechtigten Gründe von der Steuerung verfolgten vorherrschen betroffenen die des Individuums über.
Wenn die Behandlung nach Absatz 1, diese personenbezogenen Daten beschränkt war nicht, mit Ausnahme der Erhaltung, mit Zustimmung der Person behandelt werden, betreffen, oder für die Feststellung, Ausübung oder Rechte der Rechtsverteidigung oder die Rechte einer anderen Person oder Körperschaft oder aus wichtigen Gründen des öffentlichen Interesses der Union oder eines Mitgliedstaates zu schützen.
Eine betroffene Person, die die Begrenzung der Behandlung gemäß Absatz 1 erhielt, wird von der Steuerung informiert werden, bevor die Begrenzung der Behandlung angehoben wird.
Artikel 19
Meldepflicht in Bezug auf die Berichtigung oder Löschung personenbezogener Daten oder die Beschränkung der Verarbeitung
Die Steuerung meldet jeden Empfänger, die die personenbezogenen Daten haben jede Berichtigung oder Löschung von personenbezogenen Daten oder Einschränkungen der Verarbeitung durchgeführt gemäß Artikel 16, Artikel 17 Absatz 1, offenbart worden ist und in Artikel 18, es sei denn, dies als unmöglich erweist oder erfordert einen unverhältnismäßig hohen Aufwand. Die Steuerung liefert die betroffene Person Informationen über diesen Empfänger, wenn es so verlangt.
Artikel 20
Recht auf Datenportabilität
1. Die betroffenen Personen das Recht haben, den Stab an diesen Daten zu empfangen, an die Controller bereitgestellt wurden, in einem strukturierten Format, häufig verwendete maschinenlesbare, und hat das Recht, die Daten an einen zu übermitteln eine andere Steuerung ohne Controller zu dem die personenbezogenen Daten mitgeteilt wurden, sind ein Hindernis, wenn:
a) wird die Verarbeitung auf Zustimmung gemäß Artikel 6 Absatz 1 a) oder Artikel 9 Absatz 2 a) basiert, oder auf einen Vertrag gemäß Artikel 6 Absatz 1 b); und
b) die Behandlung durchgeführt wird unter Verwendung von automatisierten Prozessen.
Wenn der Betroffene sein Recht auf Übertragbarkeit von Daten Anwendung von Absatz 1 Gebrauch macht, hat er das Recht, die persönlichen Daten zu erhalten, werden direkt von einem Controller zu einem anderen übertragen, sofern dies technisch möglich ist.
Die Ausübung des Rechts nach Absatz 1 dieses Artikels unbeschadet des Artikels sein wird 17. Dieses Gesetz nicht für die Erfüllung einer Mission von öffentlichem Interesse für die Verarbeitung notwendig gilt oder ‚Ausübung öffentlicher Gewalt in den Controller übertragen.
Das Recht nach Absatz 1 gilt nicht für die Rechte und Freiheiten anderer Personen beeinflussen.
Abschnitt 4
Einspruchsrecht und individuelle Entscheidung automatisierte Herstellung von
Artikel 21
Einspruchsrecht
Die betroffene Person hat das Recht auf Objekt jederzeit, aus Gründen, die sich aus ihrer besonderen Situation der Verarbeitung personenbezogener Daten nach Artikel 6 Absatz 1 Buchstabe e) oder f) einschließlich Profilierung auf der Grundlage dieser Bestimmungen. Der Controller nicht verarbeitet mehr die persönlichen Daten, es sei denn, es zeigt, dass es legitim und zwingende Gründe für eine Behandlung, die über die Interessen und Rechte und Freiheiten der betroffenen Person oder für die vorherrschen Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen.
Wenn persönliche Daten zu Marketingzwecken verarbeitet werden, hat die betroffene Person das Recht auf Objekt jederzeit auf die Verarbeitung von persönlichen Zwecken Daten in Bezug auf solche Erkundungen, einschließlich insofern Profilierungs wo es auf eine solche Exploration verknüpft.
Wenn die betroffene Person zu Marketingzwecken an die Verarbeitungsobjekte werden personenbezogene Daten nicht für diese Zwecke verarbeitet.
Spätestens zum Zeitpunkt der ersten Kommunikation mit der Person, bezeichnet das Recht auf die in den Absätzen 1 und 2 wird ausdrücklich auf die Aufmerksamkeit der Person gebracht besorgt und ist klar und getrennt von anderen Informationen.
Im Rahmen der Nutzung der Dienste der Informationsgesellschaft, und ungeachtet der Richtlinie 2002/58 / EG, die betreffende Person sein Recht auf Objekt ausüben kann mit technischen Daten automatisierte Prozesse zu verwenden.
Wenn personenbezogene Daten verarbeitet werden für wissenschaftliche oder historische Forschung oder für statistische Zwecke gemäß Artikel 89 Absatz 1 der Betroffene hat das Recht, sich aus Gründen seiner Situation insbesondere in Bezug auf die Verarbeitung personenbezogener Daten über ihn, es sei denn, die Behandlung für die Ausübung eines öffentlichen Interesses Mission notwendig ist.
Artikel 22
Automatisierte Einzelentscheidung, einschließlich Profilierung
Die betroffene Person hat das Recht, nicht Gegenstand eine Entscheidung über die automatisierte Verarbeitung allein basieren, einschließlich Profilierung Rechtswirkungen über ihn oder in ähnlicher Weise erheblich beeinträchtigt.
Absatz 1 gilt nicht, wenn die Entscheidung:
a) ist notwendig für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Controller;
b) wird nach dem Unionsrecht oder das Recht des Mitgliedstaates, der die Steuerung unterliegt autorisiert und das sieht auch geeignete Maßnahmen, um die Rechte und Freiheiten und legitime Interessen der betroffenen Person zu schützen; oder
c), basierend auf ausdrückliche Zustimmung der betroffenen Person.
In den in Absatz 2 genannten Fällen a) und c) wird die Steuerung geeignete Maßnahmen die Rechte und Freiheiten und legitimen Interessen der betroffenen Person zu schützen, zumindest das Recht der betroffenen Person erhält menschliche Intervention seitens des Controllers, seine Meinung zu äußern und die Entscheidung in Frage zu stellen.
Die Entscheidungen gemäß Absatz 2 kann auf bestimmte Kategorien von personenbezogenen Daten basieren gemäß Artikel 9 Absatz 1, es sei denn, Artikel 9 Absatz 2 a) oder g), hat s' gilt und dass geeignete Maßnahmen, um die Rechte und Freiheiten und legitime Interessen der betroffenen Person sind an Ort und Stelle zu sichern.
Abschnitt 5
Begrenztheit
Artikel 23
Begrenztheit
1. Unionsrecht oder das Recht des Mitgliedstaats, in dem der Controller oder Subunternehmer unterliegen kann, ist durch gesetzliche Maßnahmen, den Umfang der Rechte und Pflichten gemäß den Artikeln 12 bis Begrenzung 22 und Artikel 34, und in Artikel 5, soweit die Vorschriften des Gesetzes in Frage entsprechen den für bis 22 in den Artikeln 12 vorgesehen Rechte und Verpflichtungen, wenn eine solche Beschränkung Hinsicht das Wesen der Freiheiten und Grundrechte und stellt eine notwendige und angemessene Maß in einer demokratischen Gesellschaft für a) die nationale Sicherheit;
b) die Landesverteidigung;
c) die öffentliche Sicherheit;
d) Verhinderung und Aufdeckung von Verbrechen und die Ermittlung und Strafverfolgung in der Sache oder der Vollstreckung strafrechtlicher Sanktionen, einschließlich des Schutzes vor Gefahren für die öffentliche Sicherheit und die Verhinderung solcher Bedrohungen;
e) andere wichtige Ziele der Union von allgemeinem öffentlichen Interesse oder eines Mitgliedstaats, insbesondere eine wichtige wirtschaftliche oder finanzielle Interessen der Union oder eines Mitgliedstaats, einschließlich Währungs-, Haushalts- und besteuern, die öffentliche Gesundheit und soziale Sicherheit;
f) Schutz der Unabhängigkeit der Justiz und des Gerichtsverfahrens;
g) verhindert und Verletzungen der Ethik geregelt Berufe, sowie die Ermittlung und Verfolgung in dem Subjekt zu detektieren;
h) eine Kontrollmission verbunden Inspektion oder Regelung, wenn auch nur gelegentlich, mit der Ausübung öffentlichen Gewalt für die unter den Buchstaben a) bis e) und g);
i) Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;
j) die Ausführung von Anforderungen für Zivilrecht.
2. Insbesondere bezeichnet jede gesetzliche Maßnahme in Absatz 1 spezifische Bestimmungen enthält, zumindest, sofern zutreffend:
a) die Zwecke der Verarbeitung oder Behandlung von Kategorien;
b) die Kategorien von personenbezogenen Daten;
c) das Ausmaß der eingeführten Einschränkungen;
d) Schutzmaßnahmen Missbrauch oder unberechtigten Zugang oder die Übertragung zu verhindern;
e) die Bestimmung der Daten oder Gruppen von Daten-Controller;
f) Aufbewahrungsfristen und den geltenden Garantien, unter Berücksichtigung der Art, Umfang und Zweck der Verarbeitung oder Behandlungskategorien;
g) das Risiko für die Rechte und Freiheiten der betroffenen Personen; und
h) das Recht der Betroffenen der Beschränkung informiert werden, es sei denn, es mit dem Zweck der Begrenzung stören würde.
Viertes Kapitel
Die Steuerung und subcontractor
Abschnitt 1
Allgemeine Pflichten
Artikel 24
Verantwortung des Controllers
Angesichts der Art, Umfang, Kontext und Zweck der Verarbeitung und Risiken, einschließlich der Wahrscheinlichkeit und Schwere variiert, für die Rechte und Freiheiten natürlicher Personen wird der Controller Maßnahmen umsetzen geeignete technische und organisatorische, um sicherzustellen, und in der Lage zu zeigen, dass die Behandlung gemäß dieser Verordnung durchgeführt wird. Diese Maßnahmen werden überprüft und gegebenenfalls aktualisiert.
Wo angemessen in Bezug auf die Verarbeitungstätigkeiten genannte Maßnahmen in Absatz 1 umfassen die Durchführung geeigneter Maßnahmen für den Schutz von Daten, die durch die Steuerung.
Die Anwendung eines Verhaltenskodex für die vorgesehenen genehmigten in Artikel 40 oder Zertifizierungssysteme genehmigt wie in Artikel 42 kann als ein Element dient der Einhaltung der Verpflichtungen des Controllers zu demonstrieren.
Artikel 25
Datenschutz durch Design und Datenschutz durch Standard
In Anbetracht der Stand des Wissens, die Kosten der Implementierung und der Art, Umfang, Kontext und Zweck der Verarbeitung und Risiken, einschließlich der Wahrscheinlichkeit und Schwere variiert, da diese Behandlung für die Rechte und Freiheiten natürlicher Personen, die Steuerung implementiert zur Zeit sowohl die Mittel der Behandlung zum Zeitpunkt der Behandlung selbst, technischer Maßnahmen und entsprechenden organisatorischen, wie Pseudonyme Bestimmung, die sollen die Grundsätze des Datenschutzes, wie Datenminimierung umzusetzen, effektiv und die Behandlung von Garantien erforderlich entsprechen den Anforderungen dieser Verordnung zu erfüllen und die Rechte des einzelnen zu schützen .
Die Steuerung setzt technische und organisatorische Maßnahmen aneignen, um zu gewährleisten, wird standardmäßig nur die persönlichen Daten, die in jedem spezifischen Zweck der Verarbeitung notwendig sind, verarbeitet werden. Dies gilt für die Menge der gesammelten persönlichen Daten, soweit ihrer Verarbeitung, Haltbarkeit und Zugänglichkeit. Insbesondere sorgen diese Maßnahmen, dass standardmäßig werden die personenbezogenen Daten an eine unbestimmte Anzahl von Personen ohne die Intervention des Betroffenen nicht zugänglich gemacht werden.
Ein Zertifizierungssystem gemäß § 42 genehmigt kann als Element dient der Einhaltung der Anforderungen der Absätze 1 und 2 dieses Artikels zu demonstrieren.
Artikel 26
Joint-Controller
Wenn zwei oder mehr Controllern gemeinsam die Zwecke und die Mittel der Verarbeitung bestimmen, sind sie verantwortlich gemeinsame Behandlung. Beamte gemeinsame Bearbeitung transparent ihre jeweiligen Verantwortlichkeit, um mit den Anforderungen dieser Verordnung zu gewährleisten definieren Compliance, insbesondere in Bezug auf die Rechte des Einzelnen und ihre jeweiligen Verpflichtungen in Bezug auf die Übermittlung von Informationen gemäß den Artikeln 13 und 14, durch eine Vereinbarung zwischen ihnen, es sei denn, und soweit wo ihre Aufgaben durch das Unionsrecht oder das Recht des Mitgliedstaats, in dem Controller unterzogen werden. Ein Ansprechpartner für die betroffenen Menschen in der Vereinbarung festgelegt werden.
Die Vereinbarung gemäß Absatz 1 spiegelt richtig die Rollen des Manager gemeinsamen Behandlung und ihre Beziehungen gegenüber den betroffenen Personen. Der Umriss des Abkommens ist an die betreffenden Person zur Verfügung.
Unabhängig von den Bedingungen der Vereinbarung gemäß Absatz 1 wird die betreffende Person ausüben kann, die Rechte im Rahmen dieser Verordnung in Bezug auf und gegen jede der Steuerungen.
Artikel 27
Vertreter von Controllern oder Subunternehmern, die nicht in der Union
Bei Anwendung von Artikel 3 Absatz 2 gilt, ist der Controller oder der Prozessor bezeichnet einen Vertreter in der Union schriftlich mitteilen.
Die Verpflichtung nach Absatz 1 dieses Artikels gilt nicht für:
a) eine Behandlung, die lässig ist, ist die Verarbeitung besonderer Kategorien von Daten keine große einzubeziehen gemäß Artikel 9 Absatz 1 oder ein Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten im Sinne des Artikels 10, und das ist wahrscheinlich nicht eine Gefahr für die Rechte und Freiheiten natürlicher Personen zu verursachen, unter Berücksichtigung die Natur, Rahmen, Umfang und Zweck der Verarbeitung; oder
b) eine Behörde oder eine öffentliche Einrichtung;
Der Vertreter wird in einem Mitgliedstaat, in dem es Personen, deren personenbezogene Daten unterliegen einer Behandlung auf die Lieferung von Waren oder Dienstleistungen oder deren Verhalten Gegenstand überwacht.
Der Vertreter wird von der Steuerung oder dem Prozessor bestellt die Person zu sein, denen, insbesondere Aufsichtsbehörden und den betroffenen Personen müssen angegangen werden, zusätzlich oder anstelle des Controllers oder der Sub- in Zusammenhang mit der Behandlung in allen Angelegenheiten teilnehmen, um die Einhaltung dieser Verordnung zu gewährleisten.
Die Benennung eines Vertreters durch den Controller oder Subunternehmer ist unbeschadet eines Vorgehens gegen den Controller oder den Prozessor selbst initiiert werden konnte.
Artikel 28
Subunternehmer
Wenn die Behandlung im Namen der Steuerung vorgenommen werden muß, verwendet er nur Subunternehmer, die ausreichenden Garantien haben geeignete technische und organisatorische Maßnahmen zu implementieren, so dass Behandlung erfüllt die Anforderungen dieser Verordnung und den Schutz der Rechte der betroffenen Person gewährleisten.
Der Subunternehmer rekrutiert keine anderen Subunternehmer ohne die vorherige schriftliche Zustimmung, spezifisch oder allgemein des Controllers. Im Fall einer allgemeinen schriftliche Zustimmung, teilt den Subunternehmer verantwortlich für die Verarbeitung aller geplanten Änderungen betreffend den Zusatz oder Ersatz anderer Subunternehmer, was den Controller der Möglichkeit, Objekt gegen diese Änderungen.
Die Behandlung mit einem Subunternehmer wird von einem Vertrag oder einem anderen Rechtsakt nach dem Unionsrecht oder dem Recht eines Mitgliedstaats unterliegt, die der Auftragnehmer in Bezug auf die Steuerung definiert bindet den Zweck und die Dauer der Behandlung, der Art und der Zweck der Verarbeitung die Art der personenbezogenen Daten, und die Kategorien der betroffenen Personen und die Pflichten und Rechte des Controllers. Dieser Vertrag oder einem anderen Rechtsakt sieht unter anderem vor, dass der Subunternehmer:
a) verarbeitet persönliche Daten nur auf dokumentierte Anweisung von der Steuerung, im Hinblick auf die Übermittlung personenbezogener Daten in ein Drittland oder einer internationalen Organisation, einschließlich, es sei denn, es erforderlich ist, ‚y geht nach dem Recht des Mitgliedstaates oder das Unionsrechts, die der Subunternehmer unterliegt; in diesem Fall, hat den Subunternehmer verantwortlich für die Verarbeitung dieser gesetzliche Anforderung vor der Behandlung, es sei denn, das betreffende Gesetz solche Informationen aus wichtigen Gründen von öffentlichem Interesse ist untersagt;
b) sicherzustellen, dass Personen personenbezogene Daten verpflichten zu respektieren die Vertraulichkeit oder unterliegt zu verarbeiten ermächtigten rechtliche Verpflichtung zur Vertraulichkeit aneignen;
c) alle Maßnahmen gemäß Artikel 32;
d) erfüllt die genannten Voraussetzungen in den Absätzen 2 und 4 eine weitere subcontractor einzustellen;
e) berücksichtigt die Art der Behandlung, die Steuerung verwendet wird, durch technische und organisatorische Maßnahmen, soweit möglich, ihre Verpflichtung verstoßen, mit Anfragen einschließlich der in der Erfassung beteiligt erfüllen zu üben ihre Rechte im Rahmen von Kapitel III;
f) mit dem Controller, um die Einhaltung der Verpflichtungen aus den Artikeln 32 bis 36, angesichts der Art der Behandlung und die zur Verfügung stehenden Informationen an den Auftragnehmer;
g) nach der Wahl des Controllers, alle persönlichen Daten zu löschen oder zu den Daten nach der Bereitstellung von Dienstleistungen für die Behandlung beziehen sie beziehen, und vorhandene Kopien vernichten, es sei denn, das Recht der Union oder das Recht des Mitgliedstaat erfordert nicht die Speicherung von Daten in Zeichen Personal;
und
h) stellt die Steuerung mit allen notwendigen Informationen zum Nachweis der Einhaltung der Verpflichtungen aus diesem Abschnitt und Prüfungen zu ermöglichen, einschließlich Inspektionen durch den Controller oder einen anderen Prüfer beauftragt, und diese Prüfungen helfen.
In Bezug auf Punkt h) des ersten Absatzes wird der Auftragnehmer die Steuerung unverzüglich informieren, wenn er eine Anweisung glaubt, einen Verstoß gegen diese Verordnung oder andere Bestimmungen des Unionsrechts oder das Gesetz setzt Mitgliedstaaten zum Datenschutz.
Wenn ein Subunternehmer eines anderen Subunternehmer vermietet spezifische Verarbeitungstätigkeiten im Namen der Steuerung durchzuführen, im Vertrag oder ein anderen Rechtsakt zwischen dem Kopf der gleichen Verpflichtungen zum Datenschutz wie die Vorschriften Behandlung und der Auftragnehmer gemäß Absatz 3, auf dem anderen Subunternehmer vertraglich oder durch andere Rechtshandlung nach dem Unionsrecht oder das Recht eines Mitgliedstaates gestellt, insbesondere im Hinblick auf die ausreichende Garantien für die Durchführung der geeigneten technischen und organisatorischen Maßnahmen, so dass die Behandlung erfüllt die Anforderungen dieser Verordnung. Wenn das andere Auftragnehmer nicht erfüllt seine Verpflichtungen des Datenschutzes,
Die Anwendung von einem Subunternehmer, ein Verhaltenskodex für die vorgesehenen genehmigten in Artikel 40 oder einen zugelassenen Zertifizierungsmechanismus, wie er in Artikel 42 vorgesehen, kann als Element dienen, die Existenz zu demonstrieren angemessene Schutzmaßnahmen gemäß den Absätzen 1 und 4 dieses Artikels.
Unbeschadet einen bestimmten Vertrag zwischen dem Controller und dem Auftragnehmer, der Vertrag oder einem anderen Rechtsakt im Sinne der Absätze 3 und 4 dieses Artikels basieren, ganz oder teilweise auf Vertragsklauseln nach den Absätzen 7 und 8 dieses Artikels, auch wenn ein Teil einer Zertifizierung an die Steuerung oder den Subunternehmer nach den Artikeln 42 und 43 ausgegeben.
Die Kommission kann Vertragsklauseln schaffen für die Fragen nach den Absätzen 3 und 4 dieses Artikels und in Übereinstimmung mit dem Prüfungsverfahren gemäß Artikel 93 Absatz 2.
Eine Aufsichtsbehörde Vertragsklauseln für die Fragen erlassen kann gemäß den Absätzen 3 und 4 dieses Artikels und in Übereinstimmung mit den Kohärenzverfahren gemäß Artikel 63.
Der Vertrag oder ein anderer Rechtsakt im Sinne der Absätze 3 und 4 ist in Textform, in elektronischer Form enthält.
Unbeschadet der Artikel 82, 83 und 84, wenn eine Verletzung dieser Regel bestimmt ein Auftragnehmer die Zwecke und die Mittel der Verarbeitung wird als Steuerung hinsichtlich Behandlung in Betracht gezogen.
Artikel 29
Behandlung durchgeführt unter der Leitung der Steuerung oder dem Subunternehmer
Der Auftragnehmer und jede Person unter der Aufsicht des Controllers wirkt oder dass der Subunternehmer, die Zugang zu personenbezogenen Daten hat, können diese Daten nur auf Anweisung von der Behandlung verarbeiten, mit Ausnahme des durch das Unionsrecht oder das Recht eines Mitgliedstaates erforderlich.
Artikel 30
Register der Verarbeitungen
1. Jeder Regler und gegebenenfalls die repräsentativ für die Steuerung, Aufzeichnungen über Verarbeitungsaktivitäten durchgeführt unter ihrer Verantwortung. Dieses Register enthält die folgenden Informationen:
a) Name und Kontaktdetails des Reglers und gegebenenfalls der Leiter gemeinsame Behandlung, repräsentativ für die Daten und Datenschutz delegiert; b) den Zweck der Verarbeitung;
c) eine Beschreibung der Kategorien der betroffenen Personen und die Kategorien personenbezogener Daten;
d) die Kategorien von Empfängern, die personenbezogene Daten wurden oder werden zur Verfügung gestellt werden, einschließlich den Empfänger in Drittländer oder internationale Organisationen;
e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées;
f) dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données;
g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.
2. Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement, comprenant:
a) den Namen und die Kontaktdaten der Subunternehmer und jeder Controller in deren Auftrag die Subunternehmer und gegebenenfalls die Namen und Kontaktinformationen des Vertreters des Controllers oder der Sub- Verarbeitung und die des Delegierten Datenschutz;
b) Verarbeitung im Auftrag von jeder Steuerung vorgenommen Kategorien;
c) wenn überhaupt, Übermittlung personenbezogener Daten in ein Drittland oder einer internationalen Organisation, einschließlich der Identifizierung des betreffenden Drittland oder eine internationale Organisation und, im Fall von Transfers im Sinne von Artikel 49 Absatz 1 Unterabsatz der Dokumente über die Existenz von geeigneten Schutzmaßnahmen belegt;
d) soweit möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen im Sinne von Artikel 32 Absatz 1.
Die Aufzeichnungen gemäß den Absätzen 1 und 2 werden in schriftlicher Form, einschließlich elektronischer Form dargestellt.
Die Steuerung oder der Prozessor und gegebenenfalls ihre Vertreter zur Verfügung der Aufsichtsbehörde auf Anfrage das Register gestellt.
Die Verpflichtungen nach den Absätzen 1 und 2 gelten nicht für ein Unternehmen oder eine Organisation auf eine Stelle bewerben weniger als 250 Mitarbeiter, es sei denn, die Behandlung, die sie durchführen wahrscheinlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen stellen ist, wenn es ist nicht zufällig, oder wenn es Informationen über spezielle Datenkategorien kategorien~~POS=HEADCOMP gemäß Artikel 9 Absatz 1 oder personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten nach umfassen soll Artikel 10.
Artikel 31
Die Zusammenarbeit mit der Aufsichtsbehörde
Der Controller und der Prozessor und gegebenenfalls ihre Vertreter bei der Aufsichtsbehörde auf Antrag des letzteren bei der Wahrnehmung ihrer Aufgaben zusammenarbeiten.
Abschnitt 2
Sicherheit personenbezogener Daten à.caractère
Artikel 32
Sicherheit der Verarbeitung
1. den Wissensstand, Kosten der Implementierung und der Art, Umfang, Kontext und Zweck der Verarbeitung und Risiken, einschließlich der Wahrscheinlichkeit und Schwere variieren, Rechte und Freiheiten natürlicher Personen, die Steuerung und die Subunternehmer sind geeignete technische und organisatorische Maßnahmen ein Sicherheitsniveau entsprechend das Risiko, unter anderem zu gewährleisten, je nach Bedarf:
a) Pseudonymisierung und Verschlüsselung der persönlichen Daten;
b) Mittel, um die Vertraulichkeit, Integrität, Verfügbarkeit und konstante Widerstandsfähigkeit der Systeme und Verarbeitungsleistungen zu gewährleisten;
c) eine Einrichtung zur Wiederherstellung der Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen in angemessener Zeit bei körperlichen oder technischen Versagens;
d) ein Verfahren zur Prüfung, zu analysieren und zu bewerten regelmäßig die Wirksamkeit der technischen und organisatorischen Maßnahmen, um die Sicherheit der Behandlung zu gewährleisten.
In den entsprechenden Sicherheitsstufe der Beurteilung ist es vor allem die Risiken der Behandlung gegeben, die sich insbesondere aus Zerstörung, Verlust, Veränderung, unbefugter Weitergabe personenbezogener Daten übermittelt und gespeichert oder in einer anderen Art und Weise bearbeitet oder unberechtigten Zugriff auf solche Daten, versehentlich oder unerlaubte.
Die Anwendung eines Verhaltenskodex für die vorgesehenen genehmigten in Artikel 40 oder einen zugelassenen Zertifizierungsmechanismus, wie er in Artikel 42 vorgesehen, kann als Element dient der Einhaltung der Anforderungen in Absatz 1 diesen Artikels genannten demonstrieren .
Der Controller und der Prozessor werden Schritte unternommen, um sicherzustellen, dass jede handelnde Person unter der Aufsicht des Controllers oder in der den Subunternehmers, den Zugang zu personenbezogenen Daten hat, nicht behandeln nur auf Anweisung von der Steuerung, es sei denn durch die EU-Recht oder das Recht eines Mitgliedstaates verpflichtet zu sein.
Artikel 33
Mitteilung an die Aufsichtsbehörde einer Verletzung personenbezogener Daten
Im Falle der Verletzung der persönlichen Daten wird die Datenverarbeitung Verantwortlichen die Verletzung in Frage an die zuständige Aufsichtsbehörde gemäß Artikel 55, so schnell wie möglich und, wenn möglich mit, 72 Stunden spätestens nach in gelesen zu haben, es sei denn, die Verletzung in Frage nicht wahrscheinlich ist, eine Gefahr für die Rechte und Freiheiten des Einzelnen verursachen. Wenn die Aufsichtsbehörde Benachrichtigung erfolgt nicht innerhalb von 72 Stunden, wird es durch Gründe für die Verzögerung begleitet.
Der Auftragnehmer hat die Steuerung eine Verletzung personenbezogener Daten so schnell wie möglich mit nach Erkenntnis.
Die Mitteilung gemäß Absatz 1 sind, auf ein Minimum:
a) beschreiben die Art der Verletzung Daten einschließlich der persönlichen Charakter, wenn möglich, die Kategorien und die ungefähre Anzahl der Menschen, die von der Verletzung und die Kategorien und die ungefähre Anzahl der Datensätze mit persönlichen Charakter betroffenen betroffen;
b) kommunizieren, um den Namen und die Koordinaten des Teilnehmers auf den Schutz von Daten oder anderen Kontaktpunkt, aus denen zusätzliche Informationen erhalten werden;
c) beschreiben die wahrscheinlichen Folgen der Verletzung der persönlichen Daten;
d) beschreiben die Maßnahmen oder die Datenverarbeitung Verantwortlichen zu ergreifen gedenkt die Verletzung der persönlichen Daten zu beseitigen, gegebenenfalls Maßnahmen die möglichen negativen Folgen zu mildern.
Wenn und soweit, dass es nicht möglich ist, alle Informationen zusammen zu schaffen, können die Informationen in Raten ohne weitere unnötige Verzögerung mitgeteilt.
Das Controller Dokument im Fall einer Verletzung der persönlichen Daten unter Angabe der Tatsachen der Verletzung der persönlichen Daten, ihre Auswirkungen und die getroffenen Maßnahmen sich zu lösen. Die Dokumentation so gebildeten ermöglicht die Aufsichtsbehörde die Einhaltung dieser Abschnitt zu überprüfen.
Artikel 34
Mitteilung an die Person, die eine Verletzung der persönlichen Daten erfolgt
Bei Verstößen gegen die persönlichen Daten, die ein hohes Risiko für die Rechte und Freiheiten eines Individuums zu erzeugen, kommuniziert der Manager Behandlung Verletzung der persönlichen Daten an die Person unverzüglich betroffen.
Die Mitteilung an der Person im Sinne von Absatz 1 dieser Artikel in klaren und einfachen Worten beschreibt die Art der Verletzung personenbezogener Daten und zumindest die Informationen und Maßnahmen gemäß Artikel 33, Absatz 3, b), c) und d).
Die Mitteilung an der Person im Sinne von Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
a) hat die Steuerung geeignete technische und organisatorische Schutzmaßnahmen und die Maßnahmen umgesetzt wurden, um die persönlichen Daten von der Verletzung betroffenen angewendet, insbesondere Maßnahmen, die personenbezogene Daten unverständlich jede Person, die ist nicht für den Zugriff auf sie, wie Verschlüsselung zugelassen sind;
b) hat die Datenverarbeitung Verantwortlichen weitere Maßnahmen ergriffen, um sicherzustellen, dass die Risiken für die Rechte und Freiheiten des nach Absatz 1 ist eher zu materialisieren;
c) es würde einen unverhältnismäßig hohen Aufwand erfordern. In diesem Fall ist es eher eine öffentliche Kommunikation oder eine ähnliche Maßnahme für die betroffenen Personen als effektiv informiert werden gemacht.
4. Wenn der Controller an der Person nicht bereits mitgeteilt hat, die Verletzung der betreffenden personenbezogenen Daten über ihn, so kann die Aufsichtsbehörde nach, ob die Verletzung der persönlichen Daten unter Berücksichtigung wahrscheinlich zu generieren hohe Risiko, erfordert die Datenverarbeitung Verantwortlichen, dass führt diese Kommunikation oder entscheidet, dass eine der Voraussetzungen nach Absatz 3 erfüllt ist.
Abschnitt 3
Analyse der Auswirkungen auf den Schutz gegeben und vorherige Konsultation
Artikel 35
Analyse der Auswirkungen auf den Datenschutz
Wenn eine Art der Behandlung, insbesondere die Verwendung neuer Technologien und unter Berücksichtigung der Art, Umfang, Kontext und Zweck der Verarbeitung, ist wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten erzeugen Individuen, führt die Steuerung, vor der Behandlung, ins Auge gefasst eine Analyse der Auswirkungen von Verarbeitungsoperationen an dem Schutz von personenbezogenen Daten. Eine einzelne Analyse kann einen Satz von ähnlichen Verarbeitungsvorgänge enthalten, dass vorliegende hohe Risiken ähnlich.
Bei der Durchführung einer Folgenabschätzung für den Schutz der Daten aus, fragt der Controller-Platine den Delegierten zu Datenschutz, wenn solch ein Vertreter bestellt worden ist.
Die Folgenabschätzung für den Schutz der Daten nach Absatz 1 ist insbesondere in den folgenden Fällen erforderlich:
a) die systematische und umfassende Bewertung der persönlichen Aspekte von Personen, die auf eine automatisierte Verarbeitung, einschließlich der Profilierung basiert, und auf deren Grundlage die Entscheidungen getroffen werden, Rechtswirkungen in Bezug auf eine Einzelperson oder erheblich beeinträchtigt ähnlich;
b) Behandlung von großflächigen besonderen Datenkategorie gemäß Artikel 9 Absatz 1 oder persönliche Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Artikel 10; oder
c) die groß angelegte systematische Überwachung einen öffentlichen Bereichs.
Die etablierte Kontrollbehörde und veröffentlicht eine Liste der Arten von Verarbeitungsvorgängen, für die eine Folgenabschätzung in Bezug auf den Datenschutz in Übereinstimmung erforderlich Absatz 1. Die Behörde hat diese Listen an den Ausschuss Kontrolle bezeichnet Abschnitt 68.
Die Aufsichtsbehörde kann auch eine Liste der Arten von Verarbeitungsvorgängen, für die keine Folgenabschätzung in Bezug auf den Datenschutz und veröffentlichen erforderlich. Der Vorgesetzte legt sie dem Ausschuss vor.
Bevor die Listen in den Absätzen 4 und 5 genannte Annahme gilt zuständige Aufsichtsbehörde des Kohärenzverfahrens in Artikel 63 bezeichnete, wenn diese Listen auf die Lieferung von Waren im Zusammenhang Verarbeitungsaktivitäten umfassen oder Dienstleistungen für die betroffenen Personen oder die Überwachung ihres Verhaltens in mehreren Mitgliedstaaten oder deutlich den freien Verkehr personenbezogener Daten innerhalb der EU auswirken können.
Die Analyse enthält mindestens:
a) eine systematische Beschreibung der geplanten Operationen und Zwecke der Verarbeitung, Verarbeitung, einschließlich gegebenenfalls die berechtigten Interesse durch die Steuerung verfolgt werden;
b) eine Beurteilung der Notwendigkeit und die Proportionalität von Verarbeitungsoperationen zum Zweck;
c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1; und
d) die vorgesehenen Maßnahmen, um Adressrisiken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten zu gewährleisten und die Einhaltung dieser Verordnung zu demonstrieren, unter Berücksichtigung der Rechte zu nehmen und berechtigter Interesse die betroffenen Personen und andere Personen betroffen.
Die Einhaltung von Datenverarbeitung Verantwortlichen oder Subunternehmern betroffen genehmigten Verhaltenskodizes im Sinne von Artikel 40 wird angemessen berücksichtigt bei der Beurteilung der Auswirkungen der Verarbeitungsvorgänge von den Verantwortlichen für die Verarbeitung durchgeführt oder insbesondere Subunternehmer, für die Zwecke der Folgenabschätzung in Bezug auf den Datenschutz.
Falls erforderlich, wird der Regler die Meinung der Betroffenen einholen oder ihre Vertreter über die geplante Behandlung, unbeschadet des Schutzes der allgemeinen oder kommerziellen Interessen oder die Sicherheit der Verarbeitungsvorgänge.
Wenn die Behandlung durchgeführt wird gemäß Artikel 6 Absatz 1 Buchstaben c) oder e), hat eine Rechtsgrundlage in EU-Recht oder das Recht des Mitgliedstaates, der die Steuerung unterliegt, , das regelt die richtige spezifische Verarbeitungsoperation oder alle der Verarbeitungsvorgänge in Frage, und dass eine Analyse der Auswirkungen auf den Datenschutz bereits als Teil einer allgemeinen Wirkungsanalyse durchgeführt wurde durchgeführt, im Zusammenhang mit der Annahme der Rechtsgrundlage in Frage, Absätze 1 bis 7 gelten nicht, es sei denn, die Mitgliedstaaten es für notwendig erachten, bevor die Verarbeitung Aktivitäten eine solche Analyse durchzuführen .
Falls erforderlich, führt die Steuerung einen Beitrag zu beurteilen, ob die Behandlung in Übereinstimmung mit der Folgenabschätzung für den Schutz der Daten durchgeführt wird, zumindest wenn es eine Änderung des Risikos von Operationen Behandlung.
Artikel 36
vorherige Absprache
Die Steuerung berät vorher Supervisor, wenn die Behandlung Folgenabschätzung für den Schutz von Daten gemäß Artikel 35 zeigt durchgeführt, dass die Behandlung ein hohes Risiko darstellen würde, wenn der Controller nicht braucht Maßnahmen, um die Risiken zu minimieren.
Wenn der Supervisor der Ansicht, dass die vorgeschlagene Behandlung nach Absatz 1 wäre ein Verstoß gegen diese Verordnung, vor allem, wenn die Steuerung nicht ausreichend identifiziert oder gemildert Risiko hat, stellt die Supervisor schriftlich innerhalb einer Frist von höchstens acht Wochen nach Eingang des Konsultations Antrag eine schriftliche Mitteilung an die Datensteuerung und bei Bedarf an die Subunternehmer und kann von den Befugnissen gemäß Artikel machen 58. Diese Frist kann um sechs Wochen verlängert werden, abhängig von der Komplexität der vorgeschlagenen Behandlung. Der Supervisor informiert die Steuerung und, falls erforderlich, den Auftragnehmer von der Verlängerung der Zeit und die Gründe für die Verzögerung in einem Zeitraum von eines Monats nach Eingang des Konsultations Anfrage. Diese Zeiten können ausgesetzt werden, bis die Aufsichtsbehörde die Informationen für die Zwecke der Beratung angefordert erhalten hat.
Wenn die Steuerung der Anwendung Kontrollbehörde von Absatz 1 konsultiert, es kommuniziert:
a) gegebenenfalls die Aufgaben der Steuerung, Mitgeschäftsführer und Subunternehmer bei der Verarbeitung beteiligt ist, insbesondere für die Behandlung innerhalb einer Gruppe von Unternehmen; b) den Zweck und die Möglichkeiten der Behandlung ins Auge gefasst;
c) die Maßnahmen und die Schutzmaßnahmen, die Rechte und Freiheiten der betroffenen Personen im Rahmen dieser Verordnung zu schützen;
d) gegebenenfalls der Beauftragte des Datenschutzes koordinieren;
e) Analyse der Auswirkungen auf den Datenschutz gemäß § 35; und
f) alle anderen Informationen, die der Anwendungssteuerbehörde.
Die Mitgliedstaaten stellen die Aufsichtsbehörde im Rahmen der Entwicklung eines Gesetzgebung Vorschlag konsultieren von einem nationalen Parlament oder ordnungspolitische Maßnahmen auf der Grundlage solcher Rechtsvorschriften erlassen werden, die auf die Behandlung betrifft.
Unbeschadet des Absatzes 1 kann das Recht der Mitgliedstaaten, dass die Datenverarbeitung Verantwortlichen verlangen die Aufsichtsbehörde wenden und eine vorherige Genehmigung in Bezug auf die durch einen Controller als Teil einer Mission von Interesse durchgeführt Verarbeitung erhalten Öffentlichkeit ausgeübt durch, einschließlich der Behandlung im Rahmen des Sozialschutzes und der öffentlichen Gesundheit.
Abschnitt 4
Delegieren für den Datenschutz
Artikel 37
Delegieren Bezeichnung Datenschutz
1. Die Steuerung und der Unterauftragnehmer ist in jedem Fall ein Vertreter der Datenschutz, wenn:
a) wird die Verarbeitung von einer Behörde oder einer öffentlichen Einrichtung, mit der Ausnahme der Gerichte, die in ihrer Justizkapazität durchgeführt wird;
b) die Kernaktivitäten des Controllers oder der behandelnde-sous bestehen aus Verarbeitungsvorgänge, die aufgrund ihrer Natur, ihrer Tragweite und / oder deren Zwecke, erfordern eine regelmäßige und systematische Überwachung von großen Menschen besorgt; oder
c) die Kernaktivitäten des Controllers oder der Subunternehmer bestehen aus einer groß angelegten Verarbeitung besonderer Datenkategorien gemäß Artikel 9 und persönliche Daten über strafrechtliche Verurteilungen und die Straftaten nach Artikel 10.
Eine Gruppe von Unternehmen ernennen kann einen Delegierten zum Datenschutz vorgesehen, dass ein Vertreter der Datenschutz von jedem Ort der Unternehmen leicht erreichbar ist.
Wenn die Steuerung oder die behandelnde-als eine Behörde oder öffentliche Einrichtung ist, kann nur ein Vertreter der Datenschutz an mehreren Behörden oder Einrichtungen dieser Art, ihre Organisationsstruktur und Größe gegeben bezeichnet werden.
In den Fällen, andere als die in Absatz 1 genannten, der Controller oder der Prozessor oder Verbänden und anderen Einrichtungen Kategorien von Steuerungen oder Subunternehmer darstellt bezeichnen kann oder, wenn das Recht der Union oder das Recht eines Mitgliedstaat erforderlich ist, ist verpflichtet, einen Beauftragten für den Datenschutz zu bestellen. Der Beauftragte für den Datenschutz kann auf diese Vereinigungen handeln und andere Einrichtungen der Datenverarbeitung Verantwortlichen oder Subunternehmer darstellen.
Der Delegierte für den Schutz der Daten auf der Grundlage der fachlichen Qualitäten bezeichnet und insbesondere sein Fachwissen des Gesetzes und der Praxis in den Datenschutz und die Fähigkeit, die Aufgaben gemäß Artikel auszuführen 39.
Der Beauftragte für den Datenschutz kann ein Mitarbeiter des Controllers oder der Subunternehmer oder nimmt seine Aufgaben auf der Grundlage eines Dienstleistungsvertrages.
Die Steuerung oder der Prozessor Delegaten Details zum Datenschutz veröffentlichen und die Aufsichtsbehörde informieren.
Artikel 38
Executive-Funktion in der Datenschutz
Der Controller und der Prozessor stellen sicher, dass der Beauftragte für den Datenschutz verbunden ist, in einer Art und Weise angemessen und rechtzeitig zu allen Fragen rund um den Schutz von personenbezogenen Daten.
Der Controller und der Prozessor hilft den Delegaten Schutz Daten die Aufgaben in Artikel 39 genannten zuführen, indem die erforderlichen Mittel bereitstellt, diese Aufgaben zu erfüllen, sowie den Zugriff auf persönliche Daten und Operationen Verarbeitung und ermöglicht es ihr Know-how zu erhalten.
Der Controller und der Prozessor stellt sicher, dass der Beauftragte für den Datenschutz keine Anweisungen erhält die Missionen in Bezug auf. Der Beauftragte für den Datenschutz kann nicht aus dem Amt oder bestraft durch den Controller oder den Subunternehmer für die Erfüllung seiner Aufgaben entfernt werden. Der Chief Data Protection berichtet direkt an der höchsten Ebene der Verwaltung des Controllers oder der Subunternehmer.
Einzelpersonen können die Delegierten für den Datenschutz in allen Angelegenheiten, die Verarbeitung ihrer personenbezogenen Daten und die Ausübung ihrer Rechte im Rahmen dieser Verordnung in Verbindung.
Der Beauftragte für den Datenschutz unterliegt dem Berufsgeheimnis oder Geheimhaltungspflicht in Bezug auf die Wahrnehmung seiner Aufgaben im Einklang mit dem Unionsrecht oder dem Recht der Mitgliedstaaten.
Der Chief Data Protection können andere Missionen und Aufgaben ausführen. Die Steuerung oder der Prozessor sorgt dafür, dass diese Missionen und Aufgaben in keinen Interessenkonflikt zur Folge hat.
Artikel 39
Delegieren Sie Aufgaben zum Datenschutz
Die Delegiertenzuweisungen für den Datenschutz sind mindestens folgende Angaben:
a) zu informieren und den Controller oder die Subunternehmer und Mitarbeiter zu beraten, die im Rahmen dieser Verordnung und anderer Bestimmungen des Unionsrechts oder das Recht der Mitgliedstaaten auf, ihren Verpflichtungen verarbeiten für den Datenschutz;
b) überwachen die Einhaltung dieser Verordnung, andere Bestimmungen des Unionsrechts oder Recht der Mitgliedstaaten über den Datenschutz und die internen Regeln des Controllers oder der behandelnde-in für den Datenschutz personenbezogenen Daten, auch im Hinblick auf die Aufteilung der Verantwortung, Sensibilisierung und Schulung des Personals bei der Verarbeitung von Operationen beteiligt und Prüfungen hierzu;
c) Beratung, die auf Anfrage in Bezug auf die Bewertung der Auswirkungen auf den Schutz von Daten und überprüfen Sie die Ausführung nach Artikel 35;
d) mit der Aufsichtsbehörde;
e) fungieren als Kontaktstelle für die Aufsichtsbehörde zu Fragen der Behandlung in Zusammenhang stehen, bezeichnet eine vorherige Konsultation mit dem in Artikel 36 und wird beraten, gegebenenfalls auf einem anderen Thema.
2. Der Chief Data Protection gebührend berücksichtigt, bei der Erfüllung ihrer Aufgaben, die Risiken im Zusammenhang mit Operationen im Hinblick auf Art, Umfang, Kontext und Zweck der Verarbeitung der Verarbeitung.
Abschnitt 5
Verhaltenskodizes und certif ication
Artikel 40
Verhaltenskodizes
Die Mitgliedstaaten, den Aufsichtsbehörden, den Ausschuss und die Kommission die Entwicklung von Verhaltenskodizes fördern soll sich auf die ordnungsgemäße Anwendung dieser Verordnung angesichts der Spezifität der verschiedenen Behandlungsbereiche und spezifischen Bedürfnisse von Kleinst- beitragen, kleine und mittlere Unternehmen.
Verbände und andere Einrichtungen Kategorien von Steuerungen oder Subunternehmern darstellen, kann Verhaltenskodizes entwickeln, ändern oder zu erweitern, zum Zweck der Festlegung der Modalitäten zur Durchführung dieser Verordnung, wie zum Beispiel:
a) eine Verarbeitung und transparent;
b) die berechtigten Interesse von den Prüfern in spezifischen Kontexten verfolgt; c) Erfassung von persönlichen Daten;
d) Pseudonymisierungsverfahren der persönlichen Daten;
e) die Informationen für die Öffentlichkeit und die betroffenen Personen;
f) die Rechte der betroffenen Personen;
g) die Angaben zu den Kindern und der Schutz, die Kinder und wie die Zustimmung der Inhaber der elterlichen Verantwortung für das Kind zu erhalten;
h) genannten Maßnahmen und Verfahren in den Artikeln 24 und 25 und Maßnahmen zur Gewährleistung der Sicherheit der in Artikel 32 genannten Verarbeitung;
i) Mitteilung an die Aufsichtsbehörden über die Verletzungen von personenbezogenen Daten und Offenlegung solcher Verletzungen der betroffenen Personen;
j) die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen; oder
k) Verfahren und andere außergerichtliche Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen den Controllern und den betroffenen Personen in Bezug auf die Behandlung, unbeschadet die Rechte der betroffenen Personen gemäß den Artikeln 77 und 79.
Zusätzlich zu ihrer Anwendung durch den Controller oder Subunternehmer unterliegen diesen Vorschriften, Verhaltenskodizes, die nach Absatz 5 dieses Artikels genehmigt sind und die sind für die allgemeine Anwendung nach Absatz 9 dieses Artikels kann auch durch die Datenverarbeitung Verantwortlichen oder Subunternehmer durchgeführt werden, die nicht Gegenstand dieser Verordnung gemäß Artikel 3 sind angemessene Garantien im Zusammenhang mit der Übermittlung personenbezogener Daten in Drittländer zur Verfügung stellen oder eine internationale Organisation unter den Bedingungen gemäß Artikel 46 Absatz 2 e). Diese Controller oder Subunternehmer verbindlich sind Engagement und mit durch vertragliche Instrumente verbindlich oder
Der Verhaltenskodex im Sinne von Absatz 2 dieses Artikels enthält Mechanismen, um die Agentur nach Artikel 41 Absatz 1 genannten, zwangsweise zur Überwachung der Einhaltung ihrer Bestimmungen von Controllern oder Subunternehmer verpflichten sich unbeschadet der Aufgaben und Befugnisse der Aufsichtsbehörde, die Zuständigkeit nach Artikel 55 oder 56 hat anzuwenden.
Verbände und andere Einrichtungen gemäß der in Absatz 2 dieses Artikels, die einen Verhaltenskodex entwickeln wollen oder zu ändern oder einen bestehenden Verhaltenskodex vorlegen den Entwurf des Codes, um die Änderungen oder Erweiterung der Behörde erstrecken Kontrolle, die Zuständigkeit nach Artikel 55 der Aufsichtsbehörde hat eine Stellungnahme ab, ob der Entwurf eines Kodexes, Änderung oder Erweiterung Hinsicht dieser Vorschriften und genehmigt den Entwurf des Code, Änderung geben oder diese Erweiterung, wenn sie der Auffassung ist, dass es ausreichend geeignete Garantien hat.
Wenn der Entwurf eines Kodexes, Änderung oder Erweiterung ist gemäß Absatz 5 genehmigt, und wenn der Verhaltenskodex in Frage ist nicht, über die Aktivitäten der Verarbeitung in mehreren Mitgliedstaaten, Aufzeichnungen Kontrollbehörde und Code veröffentlicht zuführen.
Wenn der Verhaltenskodex Projekt umfasst die Verarbeitung in mehreren Mitgliedstaaten, der Aufsichtsbehörde, die 55 Zuständigkeit nach Art hat stellt den Entwurf des Code, Änderung oder Verlängerung der vorherigen Zustimmung vorzulegen, nach Verfahren Ausschuss in Artikel 63 bezeichnet, die sich auf, ob der Entwurf Code eine Stellungnahme abgibt, Änderung oder Erweiterung entsprechen dieser Verordnung oder in der Situation gemäß Absatz 3 dieses Artikels, s' es bietet angemessene Garantien.
Wenn die Mitteilung gemäß Absatz 7 bestätigt, dass der Entwurf Code, Änderung oder Erweiterung dieser Verordnung entsprechen, oder, in der Lage zu 3 geeignete Garantien vorsieht Absatz legt der Ausschuss seine Stellungnahme an die Kommission.
Die Kommission kann mittels Durchführungsrechtsakte, der Verhaltenskodex genehmigte die Änderung oder Erweiterung haben nach Absatz 8 dieses Artikels vorgelegt sind für die allgemeine Anwendung in der Union . Diese Handlungen werden nach dem Prüfverfahren angenommen werden gemäß Artikel 93 Absatz 2.
Die Kommission wird eine angemessene Publizität sorgen für die Codes genehmigt sie beschlossen, sie sind für die allgemeine Anwendung im Einklang mit Ziffer 9.
Der Ausschuß ein Verzeichnis aller Verhaltenskodizes, Änderungen und Erweiterungen genehmigt und macht sie mit allen geeigneten Mitteln für die Öffentlichkeit zugänglich.
Artikel 41
Tracking-Codes genehmigt
Unbeschadet die Aufgaben und Befugnisse der Aufsichtsbehörde gemäß den Artikeln 57 und 58, die Überwachung der Einhaltung des Verhaltenskodex nach Artikel 40 kann von einer Organisation durchgeführt werden, die eine Ebene hat entsprechende Fachkenntnisse im Lichte des Objektcodes und wird zu diesem Zweck von der zuständigen Aufsichtsbehörde genehmigt.
Eine Organisation nach Absatz 1 kann die Einhaltung eines Verhaltenskodex zu überwachen zugelassen werden, wenn diese Organisation:
zur Zufriedenheit der zuständigen Behörde für die Kontrolle, die Unabhängigkeit und Know-how in Bezug auf den Objektcode a) zeigen;
b) festgelegte Verfahren, die es ermöglichen zu beurteilen, ob die Controller und betroffenen Subunternehmer die Bedingungen erfüllen, um den Code zu überwachen die Einhaltung ihrer Bestimmungen Anwendung und in regelmäßigen Abständen seinen Betrieb überprüfen;
c) festgelegte Verfahren und Strukturen mit Beschwerden über Verletzungen des Codes zu behandeln oder die Art und Weise des Code oder wird von einer Steuerung oder einem Prozessor angewandt, und diese transparenten Verfahren und Strukturen zu machen, Achtung der betroffenen Personen und die Öffentlichkeit; und
d) gezeigt, zur Zufriedenheit der zuständigen Aufsichtsbehörde, ihre Aufgaben und Missionen beinhalten keinen Interessenkonflikt.
Die zuständige Aufsichtsbehörde den Entwurf eines Organismus Akkreditierungskriterien vorlegen in Absatz 1 dieses Artikels die Durchsetzung Ausschuss des Kohärenzverfahrens gemäß Artikel 63 bezeichnet.
Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde und den Bestimmungen von Kapitel VIII, bezeichnet einen Körper in Absatz 1 dieses Artikels wird vorbehaltlich von einem verantwortlichen Garantien, geeignete Maßnahmen im Falle der Verletzung des Codes aneignen Behandlung oder ein Subunternehmer, und kann insbesondere auszusetzen oder den Controller oder den Auftragnehmer ausgeschlossen für die Anwendung des Codes betroffen. Sie unterrichtet die zuständige Aufsichtsbehörde über diese Maßnahmen und die Gründe, warum sie aufgenommen wurden.
Die zuständige Aufsichtsbehörde die Zertifizierung einer Organisation widerruft gemäß Absatz 1, wenn die Voraussetzungen für die Zulassung nicht oder nicht mehr erfüllt ist oder wenn die vom Körper ergriffenen Maßnahmen sind ein Verstoß gegen diese Verordnung.
Dieser Abschnitt gilt nicht für die Behandlung von Behörden und öffentlichen Einrichtungen.
Artikel 42
Bescheinigung
Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuß und die Kommission insbesondere ermutigen, auf EU-Ebene, die Einrichtung von Zertifizierungsmechanismen des Datenschutz sowie Etiketten und Marken in dieser Angelegenheit, um zu zeigen, dass die Verarbeitungsoperationen durch die Datenverarbeitung Verantwortlichen und Subunternehmer mit dieser Verordnung entsprechen. Die spezifischen Bedürfnisse von Kleinst-, kleinen und mittleren Unternehmen berücksichtigt werden.
Neben der Anwendung durch den Controller oder Subunternehmer dieser Verordnung unterliegen, Zertifizierungsmechanismen, Etiketten oder zum Datenschutz ähnliche Marken nach Absatz genehmigt 5 dieses Artikels kann festgelegt werden zeigen, dass die Datenverarbeitung Verantwortlichen oder Subunternehmern, die bieten nicht Gegenstand dieser Verordnung gemäß Artikel 3 sind angemessene Schutzmaßnahmen im Zusammenhang mit der Übermittlung personenbezogener Daten in ein Drittland oder einer internationalen Organisation die Bedingungen gemäß Artikel 46 Absatz 2 Buchstabe f). Diese Controller oder Subunternehmer nehmen Sie die verbindliche und durchsetzbare Verpflichtung durch vertragliche Instrumente oder andere rechtlich bindende Instrumente,
Die Zertifizierung ist freiwillig und zugänglich durch einen transparenten Prozess.
Ein Zertifikat nach diesem Abschnitt verringert die Verantwortung des Controllers oder der Subunternehmer in Bezug auf die Einhaltung dieser Verordnung und unbeschadet der Aufgaben und Befugnisse der Aufsichtsbehörden, die Zuständigkeit nach Artikel 55 haben oder 56.
Zertifizierung nach diesem Artikel wird von den Zertifizierungsstellen im Sinne des Artikels 43 oder von der zuständigen Aufsichtsbehörde auf der Grundlage von Kriterien, die von der zuständigen Aufsichtsbehörde gemäß Artikel 58 Absatz 3 genehmigt ausgestellt oder von dem Ausschuß nach Artikel 63 Wenn die Kriterien vom Ausschuß genehmigt werden, kann es zu einer gemeinsamen Zertifizierung, das europäischen Datenschutz Etikett führen.
Die Steuerung oder der Auftragnehmer, der seine Behandlung Zertifizierungsmechanismus trägt stellt die Zertifizierungsstelle im Sinne von Artikel 43 oder gegebenenfalls die zuständige Aufsichtsbehörde alle Informationen sowie Zugriff auf seine Verarbeitungsaktivitäten, die notwendig sind, um den Zertifizierungsprozess abzuschließen.
Die Zertifizierung wird an eine Steuerung ausgegeben oder Subunternehmer für maximal drei Jahre und kann unter den gleichen Bedingungen verlängert werden, wie geltende Anforderungen weiterhin erfüllt werden. Die Zertifizierung wird entfernt, falls erforderlich, durch die Zertifizierungsstellen im Sinne des Artikels 43 oder von der zuständigen Aufsichtsbehörde, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt ist.
Der Ausschuß ein Register aller Zertifizierungssysteme und Etiketten oder zum Datenschutz im Zusammenhang Marken und macht sie mit allen geeigneten Mitteln für die Öffentlichkeit zugänglich.
Artikel 43
Zertifizierungsstellen
1. Unbeschadet der Aufgaben und Befugnisse der Aufsichtsbehörde gemäß den Artikeln 57 und 58, Zertifizierungsstellen mit einem angemessenen Maß an Know-how in Frage Datenschutz und erneuern Zertifizierung nach die Aufsichtsbehörde davon in Kenntnis gesetzt, damit sie die notwendigen Befugnisse, die sie nach Artikel übertragenen Befugnisse 58 Absatz 2 h). Die Mitgliedstaaten stellen sicher, dass diese Zertifizierungsstellen durch eine der folgenden oder beide akkreditiert sind:
a) die Aufsichtsbehörde, den Artikel Zuständigkeit nach 55 oder 56 hat;
b) die nationale Akkreditierungsstelle ernannt gemäß der Verordnung (EG) Nr 765/2008 des Europäischen Parlaments und des Rates (1) gemäß EN-ISO / IEC 17065/2012 und die zusätzlichen Anforderungen durch die etablierten Aufsichtsbehörde, die Zuständigkeit nach Artikel 55 oder 56 hat.
2. Die Zertifizierungsstellen in Absatz 1 genannten sind unter diesem Absatz ermächtigt, bis sie haben:
zur Zufriedenheit der zuständigen Behörde für die Kontrolle, Unabhängigkeit und Kompetenz in Bezug auf die Bescheinigung a) zeigen;
(1) Die Verordnung (EG) Nr 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung für die Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr 339 / 93 (ABl L 218 vom 13.8.2008, Seite 30).
b) verpflichtet, die Kriterien gemäß Artikel 42 Absatz 5 und genehmigt durch die Aufsichtsbehörde der Zuständigkeit nach Artikel 55 oder 56 oder dem Ausschuß, unter der hat zu respektieren Abschnitt 63;
c) eingesetzte Verfahren für die Erteilung der regelmäßigen Inspektion und die Rücknahme einer Zulassungsetikett und Markierungen für den Datenschutz;
d) festgelegte Verfahren und Strukturen mit Beschwerden über die Verletzung der Zertifizierung umgehen oder wie Zertifizierung wurde oder wird von einer Steuerung oder einem Prozessor angewandt und auf diese Verfahren und transparente Strukturen zu machen die betroffenen und die Öffentlichkeit; und
e) gezeigt, zur Zufriedenheit der zuständigen Aufsichtsbehörde, dass ihre Aufgaben und Missionen keinen Interessenkonflikt beinhalten.
L'agrément des organismes de certification visés aux paragraphes 1 et 2 du présent article se fait sur la base de critères approuvés par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56 ou, par le comité en vertu de l'article 63. En cas d'agrément en application du paragraphe 1, point b), du présent article, ces exigences complètent celles prévues dans le règlement (CE) no 765/2008 et les règles techniques qui décrivent les méthodes et procédures des organismes de certification.
Die Zertifizierungsstellen nach Absatz 1 sind dafür verantwortlich, die entsprechende Beurteilung zur Gewährung der Zertifizierung oder den Entzug der Zertifizierung, unbeschadet der Verantwortung des Controllers oder der behandelnde-wie in Bezug auf die machen die Einhaltung dieser Verordnung. Die Genehmigung wird für höchstens fünf Jahre ausgestellt und kann zu den gleichen Bedingungen verlängert werden, wie die Zertifizierungsstelle der Anforderungen in diesem Artikel enthaltenen.
Die Zertifizierungsstellen nach Absatz 1 hindert die zuständigen Aufsichtsbehörden, die Gründe für die Erteilung oder den Widerruf der angeforderten Zertifikation.
Die Vorschriften des Absatzes 3 dieses Artikels und die Kriterien gemäß Artikel 42 Absatz 5 werden von den Aufsichtsbehörden in leicht zugänglicher Form veröffentlicht. Supervisors überträgt auch diese Anforderungen und Kriterien an den Ausschuß. Der Ausschuss stellte einen Rekord in allen Zertifizierungsmechanismen und Datenschutz verwandten Etiketten und macht sie mit allen geeigneten Mitteln für die Öffentlichkeit zugänglich.
Unbeschadet Kapitel VIII, der zuständigen Behörde oder die Kontrolle der nationalen Akkreditierungsstelle muss die Genehmigung eines Zertifizierungsstelle Anwendung von Absatz 1 dieses Artikels widerrufen, wenn die Voraussetzungen für die Zulassung nicht oder nicht sind erfüllt oder wenn die von der Zertifizierungsstelle getroffenen Maßnahmen ist ein Verstoß gegen diese Verordnung.
Die Kommission wird ermächtigt, delegierte Rechtsakte gemäß Artikel 92 zu erlassen, um die Anforderungen zu spezifizieren, um in Bezug auf den Datenschutz in Betracht gezogen werden Angelegenheiten Mechanismen Zertifizierung nach Artikel 42, Absatz 1 .
Die Kommission kann Handlungen festzulegen, technische Standards für die Zertifizierung Mechanismen, Labels und Marken für den Datenschutz und die Mechanismen für die Förderung und Anerkennung dieser Mechanismen der Umsetzung Zertifizierung, Labels und Marken. Diese Handlungen werden nach dem Prüfverfahren angenommen werden gemäß Artikel 93 Absatz 2.
KAPITEL V
Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen
Artikel 44
Allgemeiner Grundsatz für Transfers
Eine Übertragung in ein Drittland oder einer internationalen Organisation von personenbezogenen Daten, die sind oder dazu gedacht, nach einer solchen Übertragung unterliegen Behandlung sein kann stattfinden, wenn vorbehaltlich der übrigen Bestimmungen dieser Verordnung die in diesem Kapitel definierten Bedingungen werden von der Steuerung und dem Prozessor erfüllt, einschließlich der für den Weiter Übermittlung personenbezogener Daten aus dem Drittland oder eine internationale Organisation zu einem anderen Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind, so dass das Niveau des Schutzes der Personen, die von dieser Verordnung garantiert angewendet wird nicht beeinträchtigt.
Artikel 45
Transfers basierend auf der Angemessenheit
Eine Übermittlung personenbezogener Daten in einem Drittland oder eine internationale Organisation stattfinden kann, wenn die Kommission durch die Entscheidung, dass die dritte Land, Gebiet, oder einem oder mehr Bereiche in diesem Drittland oder Organisation identifiziert gefunden international in Frage sorgt für einen angemessenen Schutz. Eine solche Übertragung erfordert keine spezielle Genehmigung.
Bei der Beurteilung der Angemessenheit des Schutzniveaus hält die Kommission insbesondere die folgenden:
a) die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die einschlägigen Rechtsvorschriften, sowohl allgemeine als auch sektorale, einschließlich betreffend die öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht und den Zugang von Behörden zu personenbezogenen Daten, sowie die Umsetzung dieser Rechtsvorschriften, die Vorschriften über den Datenschutz, Standesregeln und Sicherheitsmaßnahmen, einschließlich der Bestimmungen über die Übertragung Zukunft von personenbezogenen Daten an ein anderes Drittland oder in einer anderen internationalen Organisation im Drittland oder die betreffenden internationale Organisation beobachtet, Jurisprudenz,und die wirksame und durchsetzbare Rechte genossen von den betroffenen Personen und den Verwaltungs- und Rechtsmitteln, die die Probanden, deren personenbezogene Daten effektiv einführen können übertragen werden;
b) die Existenz und die effektive Funktionieren einer oder mehrere unabhängigen Aufsichtsbehörden im Drittland oder an die eine internationale Organisation unterliegt, verantwortlich für die Einhaltung der Datenschutzbestimmungen und haben sie gelten, durch entsprechende Anwendung dieser Vorschriften Befugnisse einschließlich zu unterstützen und beraten die beteiligten bei der Ausübung ihrer Rechte und mit den Aufsichtsbehörden der Mitgliedstaaten zusammenzuarbeiten; und
c) die internationalen Verpflichtungen des Drittstaat oder die betreffenden internationale Organisation oder sonstige Verpflichtungen von Vereinbarungen oder Instrumente sowie ihre Teilnahme an multilateralen oder regionalen Systemen rechtlich bindend, insbesondere in Bezug auf der Schutz personenbezogener Daten.
Die Kommission kann nach der Angemessenheit des Schutzniveaus der Beurteilung kann durch Handlungen der Umsetzung, ein Drittland, Gebiet oder eine oder mehrere bestimmte Sektoren in einem Drittland oder einer internationalen Organisation, sorgt für ein angemessenes Schutzniveau im Sinne des Absatzes 2 dieses Artikels. Das Ausführungsgesetz sieht eine regelmäßige Überprüfung alle vier Jahre zumindest unter Berücksichtigung aller relevanten Entwicklungen in Drittländer oder in der internationalen Organisation. Der Durchführungsrechtsakt legt seinen territorialen Anwendungsbereich und Sektor und gegebenenfalls die Namen oder Kontrollbehörden gemäß Absatz 2 Buchstabe b) dieses Artikels. Der Durchführungsrechtsakt wird nach dem Verfahren des
Die Kommission ist fest, Entwicklungen in Drittländern und in internationalen Organisationen, die 25 das Funktionieren der Entscheidungen, die nach Absatz 3 dieses Artikels und die getroffenen Entscheidungen auf der Grundlage von Artikel beeinträchtigen könnten Absatz 6 der Richtlinie 95/46 / EG.
Wenn die verfügbaren Informationen zeigen, vor allem am Ende der in Absatz Bewertung 3 diesen Artikels, dass ein Drittland, Gebiet oder einem oder mehr bestimmten Sektoren in einem Drittland oder eine internationale Organisation gewährleistet eine angemessenes Schutzniveau im Sinne von Absatz 2 dieses Artikels, die Kommission, falls erforderlich, Aufhebung, Änderung oder die Entscheidung in Absatz 3 dieses Artikels mittels Durchführungsrechtsakte, ohne rück~~POS=TRUNC bezeichnet suspendieren. Diese Handlungen werden nach dem Prüfverfahren angenommen werden gemäß Artikel 93 Absatz 2.
Auf hinreichend begründeten Fällen äußerster Dringlichkeit erlässt die Kommission sofort geltende Rechtsakte nach der Umsetzung mit dem Verfahren gemäß Artikel 93 Absatz 3 genannten.
Die Kommission wird mit dem Drittland oder einem internationalen Organisation konsultiert, um die Situation, die zu der Entscheidung nach Absatz 5 zu beheben.
Eine Entscheidung nach Absatz 5 dieses Artikels gilt unbeschadet der Übermittlung personenbezogener Daten in Drittländer, Gebiete oder einen oder mehrere Bereiche in diesem Drittland oder die betreffende internationale Organisation identifiziert, durchgeführt in Die Abschnitte 46 bis 49 angewendet wird.
Die Kommission wird im Amtsblatt der Europäischen Union und auf ihrer Website eine Liste der Drittländer, Gebiete und Gebiete in Drittländer und internationalen Organisationen identifiziert veröffentlichen, für die sie in einer Entscheidung eine Ebene gefunden wurden ein angemessener Schutz ist oder nicht gewährleistet ist.
Die Entscheidungen der Kommission auf der Grundlage von Artikel 25 Absatz 6 der Richtlinie 95/46 / EG in Kraft bleiben, bis sie durch eine Entscheidung der Kommission geändert, ersetzt oder aufgehoben, der gemäßen Absatz 3 oder 5 dieses Artikels.
Artikel 46
Transfers unterliegen angemessene Garantien
In Ermangelung einer Entscheidung nach Artikel 45 Absatz 3 der Controller oder der Prozessor kann personenbezogene Daten in einem Drittland oder eine internationale Organisation übertragen, wenn es geplant hat, geeignete Schutzmaßnahmen und unter der Voraussetzung, dass die betreffenden Personen durchsetzbare Rechte und wirksame Mittel haben.
Die angemessene Garantien im Sinne von Absatz 1 kann zur Verfügung gestellt werden, ohne dass es eine besondere Genehmigung eines Vorgesetzten erfordert, durch:
a) ein Instrument rechtlich bindend und durchsetzbar zwischen öffentlichen Behörden oder Einrichtungen;
b) verbindliche Unternehmensregelungen gemäß Artikel 47;
c) Klauseln Datenschutz von der Kommission nach dem Prüfverfahren erlassen gemäß Artikel 93 Absatz 2;
d) Klauseln Datenschutz durch eine Aufsichtsbehörde angenommen und von der Kommission nach dem Prüfverfahren genehmigt gemäß Artikel 93 Absatz 2;
e) ein Verhaltenskodex gemäß Artikel 40 genehmigt, durch eine verbindliche Zusage begleitet und durch die Steuerung oder den Prozessor in dem Drittland verbindlich geeignete Schutzmaßnahmen zu treffen, auch im Hinblick die Rechte der betroffenen Personen; oder
f) eine zugelassene Zertifizierungsregelung gemäß Artikel 42 durch eine verbindliche Zusage begleitet und durch die Steuerung oder den Prozessor in dem Drittland verbindlich geeignete Schutzmaßnahmen zu treffen, auch im Hinblick die Rechte der betroffenen Personen.
Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde, bezeichnet geeignete Garantien in Absatz 1 insbesondere auch vorgesehen werden kann durch:
a) Vertragsklauseln zwischen dem Controller oder dem Prozessor und dem Controller, dem Auftragnehmer oder Empfänger von personenbezogenen Daten im Drittland oder einer internationalen Organisation; oder
b) Vereinbarungen Verwaltungsvereinbarungen zwischen den Behörden oder öffentlichen Einrichtungen zu übernehmen, die für die Betroffenen wirksame und durchsetzbare Rechte bieten.
Die Aufsichtsbehörde gilt für die Kohärenzverfahren nach Artikel 63 bezeichnet in den Fällen nach Absatz 3 dieses Artikels.
Die Genehmigungen von einem Mitgliedstaat oder einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46 / EG gilt bis geändert, ersetzt oder aufgehoben, falls erforderlich, die Steuerbehörde. Die Entscheidungen der Kommission auf der Grundlage von Artikel 26 angenommen, Absatz 4 der Richtlinie 95/46 / EG in Kraft bleiben, bis geändert, ersetzt oder aufgehoben, falls erforderlich, durch eine Entscheidung der Kommission die gemäß Absatz 2 dieses Artikels.
Artikel 47
Binding Corporate Rules
1. Die zuständige Aufsichtsbehörde genehmigt verbindliche unternehmensinterne Regeln in Übereinstimmung mit der Konsistenz Mechanismus der in Artikel 63 bezeichnet werden, sofern:
a) diese Regeln rechtlich verbindlich sind, und werden durch die ganze Gruppe von Unternehmen oder Unternehmensgruppe in einer gemeinsamen wirtschaftliche Tätigkeit ausübende betroffenen umgesetzt, einschließlich ihrer Mitarbeiter;
b) sie geben ausdrücklich die Personen durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer Daten in Zeichen beschäftigten Mitarbeiter; und
c) sie erfüllen die Anforderungen gemäß Absatz 2.
Die Binding Corporate Rules in Absatz 1 genannten zumindest angeben:
a) die Struktur und Einzelheiten der Unternehmensgruppe oder eine Gruppe von in einer gemeinsamen Wirtschaftstätigkeit und jeder ihrer Einheiten beschäftigt Unternehmen;
b) Überweisungen oder alle Datenübertragungen, einschließlich der Kategorien personenbezogener Daten, die Art der Verarbeitung und seine Zwecke, die Art der betroffenen Personen und den Namen des betreffenden Drittland;
c) ihre rechtlich bindenden, nach innen und außen;
d) die Anwendung der allgemeinen Grundsätze des Datenschutzes, einschließlich der Zweckbindung, Datenminimierung, Datenaufbewahrungszeiträume zu begrenzen, Datenqualität, Datensicherung von dem Design und Schutz von Standarddaten, die Rechtsgrundlage für die Verarbeitung, die Verarbeitung besonderer Kategorien personenbezogener Daten, Maßnahmen der Datensicherheit zu gewährleisten, sowie nachfolgende Übertragungen Anforderungen an Organisationen, die nicht im Zusammenhang durch verbindliche unternehmensinterne Regeln;
e) die Rechte der im Hinblick auf die Behandlung betroffenen Personen und die Mittel, um diese Rechte auszuüben, einschließlich des Rechts auf Entscheidungen nicht zu unterliegen, basiert ausschließlich auf eine automatisierte Verarbeitung, einschließlich der Profilierung gemäß Artikel 22 das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde und vor den zuständigen Gerichten der Mitgliedstaaten gemäß Artikel 79 zu erheben und Wiedergutmachung zu erhalten und, wenn nötig, Entschädigung für die Verletzung der Regeln Binding Corporate;
f) Annahme durch den Controller oder Prozessor auf dem Gebiet eines Mitgliedstaates der Verpflichtung der Verantwortung für die Verletzung der verbindlichen Unternehmensregeln von jedem Unternehmen nicht in dem niedergelassenen Union; der Controller oder der Prozessor kann ganz oder teilweise von dieser Haftung nicht befreien, wenn sie der Schaden des Generators beweist, dass die nicht auf die Einheit ist;
g), wie die Informationen über die verbindlichen Unternehmensregeln, insbesondere in Bezug auf die in d genannten Elemente), e) und f) dieses Absatzes der betroffenen Personen vorgesehen sind, zusätzlich zu den Informationen gemäß den Artikeln 13 und 14;
h) Aufgaben von jedem Delegierten für den Datenschutz, bei der gemäß Artikel 37 oder einer anderen Person oder Organisation, die für die Überwachung der Einhaltung der verbindlichen unternehmensinternen Regeln innerhalb der Unternehmensgruppe oder Unternehmensgruppe in einer gemeinsamen wirtschaftlichen Tätigkeit nachgehen, und die Überwachung der Ausbildung und Ansprüchen der Verarbeitung;
i) claim Verfahren;
j) die Mechanismen innerhalb der Gruppe von Unternehmen oder Unternehmensgruppe in einer gemeinsamen wirtschaftlichen Tätigkeit ausüben, um sicherzustellen, dass die mit BCR der Einhaltung zu überwachen. Diese Mechanismen umfassen Prüfungen zum Datenschutz und Verfahren, um sicherzustellen, dass Korrekturmaßnahmen werden die Rechte des Einzelnen zu schützen genommen werden. Die Ergebnisse dieser Überwachung sollte in Punkt h bezeichnet die natürliche oder juristische Person mitgeteilt werden) und die Verwaltung der Gesellschaft Vorstand, dass die Kontrollen der Gruppe von Unternehmen oder Unternehmensgruppe in ein Eingriff gemeinsame wirtschaftliche Tätigkeit und soll bei der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden;
k) Mechanismen zu kommunizieren und die Änderungen an den Regeln aufzunehmen und diese Änderungen an die Aufsichtsbehörde in Verbindung steht;
l) der Mechanismus der Zusammenarbeit mit der Aufsichtsbehörde festgelegt, um die Einhaltung zu gewährleisten, die von allen Unternehmen der Gruppe von Unternehmen oder Unternehmensgruppe in einer gemeinsamen wirtschaftlichen Tätigkeit nachgehen, einschließlich Zurverfügungstellung die Kontrollbehörde über die Ergebnisse von Maßnahmen, Kontrollen in Punkt j bezeichnet);
m) Mechanismen bei der zuständigen Aufsichtsbehörde all rechtlichen Verpflichtungen zu kommunizieren, dass ein Unternehmen der Unternehmensgruppe oder eine Gruppe von Unternehmen in einer gemeinsamen wirtschaftlichen Tätigkeit nachgehen, unterliegt ein Drittland, die wahrscheinlich hat einen erheblichen negativen Einfluss auf den von den verbindlichen unternehmensinternen Regeln Garantien; und
n) die entsprechende Ausbildung in der Datenschutz für Mitarbeiter mit einem permanenten oder regelmäßigem Zugang zu personenbezogenen Daten.
3. Die Kommission kann für verbindliche Unternehmensregelungen im Sinne dieses Abschnitts gibt die Form des Informationsaustausches zwischen Steuerungen, Auftragnehmer und Aufsichtsbehörden, sowie Verfahren dazu. Diese Handlungen werden nach dem Prüfverfahren angenommen werden gemäß Artikel 93 Absatz 2.
Artikel 48
Transfers oder unbefugte Offenlegung von EU-Recht
Jede Entscheidung eines Gerichts oder einer Behörde eines Drittlandes erfordert einen Controller oder einen Prozessor, dass Transfers oder offenbart persönliche Daten nicht erkannt oder erzwungen werden in jede Weise nur, wenn es zu einem internationalen Abkommen, wie ein Rechtshilfeabkommen in Kraft zwischen den Drittländern, und der Union oder einem Mitgliedstaat beruht, unbeschadet andere Übertragungsmuster im Rahmen dieses Kapitels.
Artikel 49
Ausnahmen für bestimmte Situationen
Wenn keine Angemessenheitsentscheidung gemäß Artikel 45 Absatz 3 oder geeigneter Schutzmaßnahmen gemäß Artikel 46, einschließlich Binding Corporate Rules, eine Übertragung oder einen Satz von Datenübertragungen personenbezogene Daten in ein Drittland oder eine internationale Organisation kann nicht statt bei einer der folgenden Bedingungen:
a) hat die betroffene Person ausdrücklich in der vorgeschlagene Übertragung gegeben, nach den Risiken informiert wird, dass dieser Transfer für sie wegen der fehlenden Angemessenheitsentscheidung und angemessener Garantien haben könnte;
b) die Übertragung ist notwendig für die Durchführung eines Vertrages zwischen der betroffenen Person und dem Controller oder den Umsetzungsschritten auf Antrag der betroffenen Person zu tragen;
c) die Übermittlung für den Abschluss oder die Erfüllung eines Vertrages im Interesse der betroffenen Person zwischen dem Controller und anderen natürlichen oder juristischen Person geschlossen werden;
d) die Übertragung notwendig ist, aus wichtigen Gründen des öffentlichen Interesses;
e) ist die Übertragung, die für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen;
f) die Übertragung ist notwendig, um die vitalen Interessen der betroffenen Person oder anderer Personen zu schützen, wenn die Person in der physischen oder rechtlichen Gründen nicht in der Lage einwilligungs;
g) wird die Übertragung von einem Register erfolgt, das nach Unionsrecht oder das Recht eines Mitgliedstaates, sollte die Information die Öffentlichkeit zur Verfügung zu stellen und ist offen für öffentliche Konsultation im Allgemeinen oder jede Person mit einem berechtigten Interesse, aber nur in dem Maße, dass die Bedingungen für die Konsultation in dem Unionsrecht oder das Recht des Mitgliedstaates sind im vorliegenden Fall erfüllt.
angemessene Garantien zum Schutz personenbezogener Daten. Der Regler wird die Übertragung der Aufsichtsbehörde informieren. Neben der Bereitstellung der Informationen in den Artikeln 13 und 14 bezeichnet, ist der Controller die Daten Gegenstand der Übertragung zu informieren und die berechtigten mit ihr verfolgten Interessen.
Eine Übertragung nach Absatz 1, der erste Absatz g), deckt nicht alle oder persönliche Daten auf ganze Kategorien personenbezogener Daten in dem Register enthalten ist. Wenn das Register für die Beratung von Personen mit einem berechtigten Interesse bestimmt ist, wird die Übertragung auf Antrag dieser Personen erfolgt oder wenn sie angesprochen werden.
Punkte a), b) und c) der ersten Unterabsatz von Absatz 1 und Absatz Absatz 1 gelten nicht für die Tätigkeiten der öffentlichen Behörden bei der Ausübung hoheitlicher Befugnisse anzuwenden.
Das öffentliche Interesse im Sinne von Absatz 1 Unterabsatz d), wird durch das Unionsrecht oder das Recht des Mitgliedstaates anerkannt, zu dem die Steuerung unterliegt.
Wenn keine Angemessenheitsentscheidung, das Unionsrecht oder das Recht eines Mitgliedstaates kann aus wichtigen Gründen der öffentlichen Interesse ausdrücklich festgelegter Grenzen auf der Übertragung von bestimmten Kategorien von personenbezogenen Daten ein Drittland oder eine internationale Organisation. Die Mitgliedstaaten teilen diese Bestimmungen der Kommission mitteilen.
Die Steuerung oder der Subunternehmer in den Aufzeichnungen dokumentiert gemäß Artikel 30, die Bewertung und die entsprechenden Schutzmaßnahmen nach Absatz 1, zweiter Absatz dieses Artikels.
Artikel 50
Internationale Zusammenarbeit auf dem Gebiet des Schutzes personenbezogener Daten
Die Kommission und die Aufsichtsbehörden haben, gegenüber Drittländer und internationale Organisationen, geeignete Maßnahmen:
a) Entwicklung von Mechanismen für die internationale Zusammenarbeit für die wirksame Durchführung der Rechtsvorschriften über den Schutz personenbezogener Daten zu erleichtern;
b) unterstützen sich gegenseitig international bei der Umsetzung der Rechtsvorschriften über den Schutz personenbezogener Daten, einschließlich der Meldung, die Übertragung von Ansprüchen, der investigative Unterstützung und den Austausch von Informationen, vorbehaltlich geeignete Garantien für den Schutz von personenbezogenen Daten und anderen Grundrechten und Freiheiten;
c) die Einbindung der betroffenen Akteure in der Diskussion und Aktivitäten zur Entwicklung der internationale Zusammenarbeit auf dem Gebiet der Anwendung der Rechtsvorschriften über den Datenschutz zu persönlichem Charakter;
d) Förderung des Austauschs und der Dokumentation der Rechtsvorschriften und Praktiken in den Schutz personenbezogener Daten, auch im Hinblick auf Kompetenzstreitigkeiten mit Drittländern.
KAPITEL VI
unabhängige Aufsichtsbehörden
Abschnitt 1
Unabhängigkeit
Artikel 51
Kontrollbehörde
Jeder Mitgliedstaat sieht vor, dass eine oder mehr unabhängige öffentliche Behörden sind verantwortlich für die Durchführung dieser Verordnung der Überwachung der Grundrechte und Freiheiten von Personen bei der Verarbeitung und erleichtert den freien Fluss von Daten zum Charakter zu schützen Personal innerhalb der Union (im Folgenden als „Aufsichtsbehörde“ genannt).
Jede Behörde trägt die konsequente Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck werden die Aufsichtsbehörden mit der Kommission nach Kapitel VII zusammenarbeiten.
Hat ein Mitgliedstaat mehrere Aufsichtsbehörden festgelegt, bedeutet dies, dass diese Behörden im Ausschuss vertreten und den Mechanismus der Einhaltung von den anderen Behörden, um sicherzustellen, definiert, bezeichnet die Regeln in Bezug auf die Konsistenz Mechanismus in Artikel 63.
Jeder Mitgliedstaat der Kommission die gesetzlichen Bestimmungen im Rahmen dieses Kapitels erlassen hat, spätestens am 25. Mai 2018 und unverzüglich jede spätere Änderung dieser Bestimmungen.
Artikel 52
Unabhängigkeit
Jede Behörde übt unabhängig die Aufgaben und ihm nach übertragenen Befugnisse mit dieser Verordnung.
Bei der Wahrnehmung ihrer Aufgaben und Befugnisse im Rahmen dieser Verordnung oder die Mitglieder der einzelnen Kontrollbehörde bleibt frei von jedem äußeren Einfluss, ob direkt oder indirekt, und weder anfordern noch entgegennehmen jemand.
Das oder die Mitglieder der einzelnen Aufsichtsbehörde mit ihren Aufgaben jeder Handlung unvereinbar verzichten und während ihrer Amtszeit, greifen in keinem unvereinbar Beruf, gegen Entgelt oder unentgeltlich.
Jeder Mitgliedstaat stellt sicher, dass jeder Vorgesetzte den Menschen hat, technischen und finanziellen sowie lokalen und Infrastruktur für die wirksame Erfüllung ihrer Aufgaben und Befugnisse, einschließlich, wenn sie handeln müssen im Rahmen der gegenseitigen Unterstützung, die Zusammenarbeit und die Teilnahme an Ausschuß.
Jeder Mitgliedstaat stellt sicher, dass jeder Betreuer wählt und hat seine eigenen Mittel, die betreffenden unter den exklusiven Ordnungen des Mitglieds der Aufsichtsbehörde sind.
Jeder Mitgliedstaat stellt sicher, dass jeder Aufsichtsbehörde unterliegt der Finanzkontrolle, die ihre Unabhängigkeit nicht gefährdet und es hat seinen eigenen jährlichen öffentlichen Haushalt, welcher Teil des Gesamtbudgets national sein kann oder eine föderale Einheit .
Artikel 53
Rahmenbedingungen für die Mitglieder der Aufsichtsbehörde
Die Mitgliedstaaten sorgen dafür, dass jedes Mitglied ihrer Aufsichtsbehörden in einem transparenten Verfahren ernannt durch: - ihr Parlament;
- ihre Regierung;
- ihr Staatsoberhaupt; oder
- eine unabhängige Einrichtung, die Ernennung nach dem Recht des Mitgliedstaates zu machen
Jedes Mitglied hat die Qualifikation, Erfahrung und Fähigkeiten, insbesondere im Bereich des Schutzes personenbezogener Daten, ihre Aufgaben und Befugnisse auszuüben.
Die Pflichten eines Mitglieds wird nach Ablauf seiner Amtszeit beenden, bei Rücktritt oder machen Amtsenthebung nach dem Recht des betreffenden Mitgliedstaats.
Ein Mitglied kann nur aus dem Amt entfernt werden, nur dann, wenn er begangen schwere Verfehlung hat oder wenn er nicht mehr erfüllt die für die Erfüllung seiner Aufgaben erforderlichen Voraussetzungen.
Artikel 54
Die Regeln für die Errichtung der Aufsichtsbehörde
Jeder Mitgliedstaat nach dem Gesetz alle der folgenden:
a) die Schaffung eines jeden Kontrollbehörde;
b) die Qualifikation und Voraussetzungen für ein Mitglied jeder Kontrollbehörde ernannt wird;
c) die Regeln und Verfahren für die Ernennung der Mitglieder der einzelnen Kontrollbehörde;
d) die Amtszeit der Mitglieder jeder Kontrollbehörde, die nicht weniger als vier Jahre sein kann, mit Ausnahme des ersten Mandats nach 24. Mai 2016, ein Teil davon kann von kürzerer Dauer sein, wo notwendig, um die Unabhängigkeit der Aufsichtsbehörde mittels einer gestaffelten Berufungsverfahren zu schützen;
e) erneuerbare oder nicht Ämter der Mitglieder der einzelnen Vorgesetzten und ggf. die Anzahl der Begriffe;
f) Bedingungen und Pflichten der Mitglieder und leitende Angestellte von jeder Kontrollbehörde, Verbote von Tätigkeiten unvereinbar Arbeitsplätze und Vorteile, die mit ihnen, auch nach dem Ende ihres Mandats und Regeln der Beendigung des Arbeitsverhältnisses regeln.
2. Das oder die Mitglieder und Vertreter von jeder Aufsichtsbehörde unterliegen, im Einklang mit dem Unionsrecht oder dem Recht der Mitgliedstaaten, das Berufsgeheimnis in Bezug auf vertrauliche Informationen, die sie bei der Erfüllung ihrer Aufgaben erhalten oder ihre Kräfte, auch nach dem Ende ihres Mandats. Während der Dauer ihres Mandats gilt Vertraulichkeit insbesondere die Berichterstattung von Einzelpersonen für Verstöße gegen diese Verordnung.
Abschnitt 2
Kompetenz, Aufgaben und Befugnisse
Artikel 55
Kompetenz
Jede Aufsichtsbehörde zuständig ist, die Aufgaben und Befugnisse in ihr im Rahmen dieser Verordnung im Gebiet des Mitgliedstaates, zu dem es gehört auszuführen.
Wenn die Behandlung durchgeführt wird von öffentlichen oder privaten Organisationen Behörden die auf der Grundlage von Artikel handeln 6 Absatz 1 Buchstabe c) oder e) der betreffende Mitgliedstaat der Aufsichtsbehörde zuständig ist. In diesem Fall Artikel 56 nicht anwendbar.
Die Aufsichtsbehörden sind nicht dafür zuständig, die Verarbeitungsoperationen von den Gerichten in der Ausübung ihrer gerichtlichen auszuführende Funktion zu steuern.
Artikel 56
Zuständigkeit des lead supervisor
Unbeschadet des Artikels 55, der Hauptniederlassung Kontrolle der Behörde oder der einzigartigen Eigenschaft des Controllers oder der behandelnde-als kompetenter ist als Lead-Aufsichtsbehörde zu handeln in Bezug auf die Behandlung Grenze gemacht durch die Steuerung oder Subunternehmer, in Übereinstimmung mit dem Verfahren für die in Artikel 60.
Ungeachtet des Absatzes 1 ist jeder Aufsichtsbehörde zuständig ist, eine Beschwerde bei ihr oder einer Verletzung dieser Verordnung gestellt zu handhaben, wenn sein Objekt nur in eine Niederlassung in dem Mitgliedstaat bezieht, auf die sie gehört oder beeinflussen erheblich die betroffenen Personen in diesem Mitgliedstaat nur.
In den in den Fällen des Absatzes 2 dieses Artikels, die Kontrollbehörde unverzüglich die lead supervisor der Frage. Innerhalb von drei Wochen, wenn er informiert wurde, entscheidet der Lead Supervisor, ob zu behandeln oder nicht der Fall gemäß dem Verfahren des Artikel 60 festgelegt ist, zu prüfen, ob oder nicht eine Einrichtung der Steuerung oder der Zulieferer in der Kontrollbehörde des Mitgliedstaates, mitgeteilt hat.
Wenn die Führung Aufsichtsbehörde, den Fall zu behandeln entscheidet, vorausgesetzt, das Verfahren nach Artikel 60 gilt. Der Vorgesetzte, der die Führung Aufsichtsbehörde informiert kann ihm einen Entscheidungsentwurf vorzulegen. Der Lead Supervisor wird in vollem Umfang berücksichtigt dies, wenn das Projekt der Entscheidungsentwurf entwickelt gemäß Artikel 60 Absatz 3.
Wenn die Führung Aufsichtsbehörde entscheidet nicht den Fall zu behandeln, die Vorgesetzten, die nach den §§ 61 und 62 informiert.
Der lead supervisor ist der einzige Vertreter der Steuerung oder der Zulieferer für den grenzüberschreitenden Verarbeitung durch den Controller oder Subunternehmer ausgeführt.
Artikel 57
Missionen
1. Unbeschadet der anderen Missionen im Rahmen dieser Verordnung geplant, jede Aufsichtsbehörde in ihrem Gebiet:
a) überwacht die Durchführung dieser Verordnung und die Einhaltung damit;
b) fördern das öffentliche Bewusstsein und das Verständnis der Risiken, Regeln, Garantien und Rechte auf die Behandlung. Die Aktivitäten speziell für Kinder sind Gegenstand besonderer Aufmerksamkeit;
c) berät, die nach dem Recht des Mitgliedstaates, das nationalen Parlaments, die Regierung und anderen Agenturen und Einrichtungen auf rechtliche und administrativen Maßnahmen zum Schutz der Rechte und Freiheiten von Personen bei der Verarbeitung ;
d) fördern das Bewusstsein für die Datenverarbeitung Verantwortlichen und Subunternehmer in Bezug auf ihre Verpflichtungen im Rahmen dieser Verordnung;
e) liefert auf Wunsch zu jeder betroffenen Person Informationen über die Ausübung der Rechte im Rahmen dieser Verordnung und, falls erforderlich, zu diesem Zweck zusammen mit den anderen Aufsichtsbehörden die Mitgliedstaaten;
f) befasst sich mit Beschwerden von einer betroffenen Person eingelegt oder von einer Agentur, Organisation oder Vereinigung gemäß Artikel 80 bespricht der Gegenstand des Anspruchs, soweit erforderlich, und benachrichtigen Sie den Autor des Anspruchs der Verlauf und die Ergebnisse der Untersuchung innerhalb einer angemessenen Zeit, insbesondere, wenn weitere Untersuchungen oder Koordination mit einer anderen Aufsichtsbehörde notwendig ist;
g) mit anderen Aufsichtsbehörden zusammenarbeiten, durch gemeinsame Nutzung von Informationen im und in diesem Rahmen der gegenseitige Unterstützung stellt die Einhaltung gewährleisten einheitliche Anwendung dieser Verordnung und die Maßnahmen zu gewährleisten;
h) führt Erhebungen über die Anwendung dieser Verordnung, auch auf der Grundlage von Informationen von einem anderen Vorgesetzten oder einer anderen Behörde eingegangen;
i) im Anschluss an den relevanten Entwicklungen, soweit sie den Schutz personenbezogener Daten, insbesondere im Bereich der Informationstechnologie und Kommunikation und Geschäftspraktiken betreffen;
j) Vorschriften erlassen Standard-Vertrag in Artikel 28 genannten Absatz 8 und Artikel 46 Absatz 2 d);
k) erstellt und führt eine Liste im Zusammenhang mit der Verpflichtung, eine Folgenabschätzung für den Datenschutz gemäß Artikel 35 zu führen, Absatz 4;
l) gibt Hinweise auf die Verarbeitungsvorgänge im Sinne des Artikels 36, Absatz 2;
m) fördert die Entwicklung von Verhaltenskodizes gemäß Artikel 40 Absatz 1 eine Stellungnahme abgeben und billigen Verhaltenskodizes, die eine angemessene Absicherung, gemäß Artikel 40 Absatz 5;
n) den Aufbau von Zertifizierungsmechanismen, Labels und Marken für den Datenschutz gemäß Artikel 42 Absatz 1 und genehmigt die Anwendung Zertifizierungskriterien von Artikel 42 Absatz 5;
o) wird gegebenenfalls die regelmäßige Überprüfung der Bescheinigungen gemäß Artikel 42 Absatz 7;
p) vorbereiten und eine Organisation, die Zulassungskriterien für das Follow-up von Verhaltenskodizes gemäß Artikel 41 veröffentlichen und eine Anwendung Zertifizierungsstelle Abschnitt 43;
q) setzt sich aus einem Körper genehmigen Überwachung Codes gemäß § 41 und einem Anwendungszertifizierungsstelle Abschnitt 43;
r) erlaubt Vertragsklauseln und Bestimmungen gemäß Artikel 46 Absatz 3;
s) genehmigt verbindliche Unternehmensregelungen gemäß Artikel 47;
t) dazu beitragen, die Tätigkeit des Ausschusses;
u) hält interne Aufzeichnungen von Verletzungen dieser Verordnung und den getroffenen Maßnahmen gemäß Artikel 58, Absatz 2; und
v) sonstige Aufgabe zum Schutz personenbezogener Daten betreffen.
Jede Behörde erleichtert die Einführung der genannten Beschwerden in Absatz 1 f) durch Maßnahmen, wie beispielsweise die Bereitstellung eines Antragsformulars, das elektronisch aufgefüllt werden kann, ohne dass andere Kommunikationsmittel sind ausgeschlossen.
Die Erfüllung der Aufgaben der jeweiligen Aufsichtsbehörde ist an die Person frei besorgt und gegebenenfalls für die Delegierten des Datenschutzes.
Werden die Anträge offensichtlich unbegründet oder zu hoch sind, insbesondere wegen ihrer repetitiven Charakter, kann die Aufsichtsbehörde die Zahlung einer angemessenen Gebühr verlangen basierend auf Verwaltungskosten oder sich weigern, mit der Aufforderung nachzukommen. Es ist an den Supervisor bis zu offensichtlich unbegründet Natur oder Überforderung zu demonstrieren.
Artikel 58
Befugnisse
Jede Behörde hat alle folgenden Untersuchungsbefugnisse:
a) Um den Regler und den Subunternehmer, und gegebenenfalls die repräsentativ für die Steuerung oder die Zulieferer es keine Informationen zu schaffen, muss seine Aufgaben erfüllen;
b) Durchführung von Untersuchungen als Audits über den Datenschutz;
c) Durchführung einer Überprüfung von Bescheinigungen, die gemäß Artikel 42 Absatz 7;
d) teilen die Steuerung oder den Subunternehmer eine angebliche Verletzung dieser Verordnung;
e) erhalten von der Steuerung und der Subunternehmer Zugang zu allen personenbezogenen Daten und alle notwendigen Informationen zur Durchführung ihrer Aufgaben;
f) erhält Zugang zu allen Räumen der Steuerung und der Subunternehmer, einschließlich der Installation und alle Verarbeitungsmittel in Übereinstimmung mit dem Unionsrecht und Verfahrensrecht der Mitgliedstaaten.
Jede Behörde hat die Macht, alle folgenden Korrekturmaßnahmen zu ergreifen:
a) teilt einen Controller oder einen Subunternehmer der Tatsache, dass die vorgeschlagenen Verarbeitungsvorgänge, die Bestimmungen dieser Verordnung wahrscheinlich zu verletzen sind;
b) rufen einen Controller oder einen Prozessor, um zu bestellen bei der Verarbeitung von Operationen in einem Verstoß gegen die Bestimmungen dieser Verordnung geführt haben;
c) den Controller oder den Subunternehmer die Anforderungen zu erfüllen, indem sie die betreffenden Person ihre Rechte nach dieser Verordnung auszuüben;
d) um die Steuerung oder den Subunternehmer der Verarbeitungsvorgänge in Übereinstimmung mit den Bestimmungen dieser Verordnung, falls vorhanden, und zwar innerhalb eines bestimmten Zeitraums;
e) leiten die Steuerung an die Person eine Datenschutzverletzung in der Natur beschäftigten Mitarbeiter zu kommunizieren;
f) aufzuzwingen eine temporäre oder permanente Einschränkungen, darunter ein Verbot der Behandlung;
g) die Berichtigung oder Löschung von personenbezogenen Daten oder der Beschränkung der Behandlung gemäß den Artikeln 16, 17 und 18 und der Meldung solcher Maßnahmen an die Empfänger, die die personenbezogenen Daten haben unter dem offenbart worden Artikel 17 Absatz 2 und Artikel 19;
h) zurückzuziehen Zertifizierung oder bestellen, die Zertifizierungsstelle eine Zertifizierung in den Kapiteln ausgegeben zurückzuziehen 42 und 43 oder die Zertifizierungsstelle, um nicht die Zertifizierung zu erteilen, wenn die Anforderungen für die Zertifizierung sind nicht oder mehr erfüllt sind;
i) ein Bußgeld gemäß Artikel 83, zusätzlich zu oder anstelle der Maßnahmen verhängen in diesem Absatz genannten, basierend auf den Eigenschaften des jeweiligen Falles;
j) bestellt die Aussetzung der Daten an einen Empfänger in einem Drittland oder eine internationale Organisation lag gesendet Ströme.
3. Jede Behörde hat alle Befugnisse der Genehmigung und alle nachfolgenden Beratungsbefugnisse:
a) raten den Controller nach dem Stand der Konsultation gemäß Artikel 36;
b) Ausgabe, auf eigener Initiative oder auf Verlangen einer Beratung, um die Aufmerksamkeit des nationalen Parlaments, die Regierung des Mitgliedstaates oder nach dem Recht des Mitgliedstaates, anderen Institutionen und Organisationen und die Öffentlichkeit zu allen Fragen des Schutzes personenbezogener Daten;
c) ermächtigen, die Behandlung gemäß Artikel 36, Absatz 5, wenn das Recht des Mitgliedstaats eine solche vorherige Genehmigung erforderlich ist;
d) eine Stellungnahme zu Verhaltenskodizes Projekten und genehmigt es gemäß Artikel 40 Absatz 5;
e) akkreditieren Zertifizierungsstellen die Anwendung von Artikel 43;
f) die Ausstellung Zertifizierungen und genehmigen Zertifizierungsanforderungen gemäß Artikel 42 Absatz 5;
nehmen g) Klauseln Datenschutz gemäß Artikel 28 Absatz 8 und Artikel 46, Absatz 2, Punkt d);
h) die Vertragsklauseln zu ermächtigen, gemäß Artikel 46 Absatz 3 a);
i) ermächtigen, die Verwaltungsvereinbarungen im Sinne von Artikel 46 Absatz 3, b);
j) Genehmigung verbindlicher unternehmensinterner Vorschriften des Artikels 47 gemäß §.
Die Ausübung der Befugnisse in der Anwendung dieses Artikels Aufsichtsbehörde unterliegt angemessene Garantien, einschließlich des Rechts auf effektiven gerichtlichen Rechtsschutz und ein faires Verfahren nach dem Recht der Union und das Recht Mitgliedstaaten im Rahmen der Charta.
Jeder Mitgliedstaat, durch das Gesetz, dass sein Vorgesetzter die Macht zu bringen, Verstöße gegen diese Verordnung hat die Aufmerksamkeit der Justizbehörden und gegebenenfalls rechtliche Schritte in dem einem oder eine andere, die Bestimmungen dieser Verordnung durchzusetzen.
Jeder Mitgliedstaat kann nach dem Gesetz, dass sein Vorgesetzter zusätzliche Befugnisse, die die in den Absätzen hat 1, 2 und 3. Die Ausübung dieser Befugnisse nicht behindert den Betrieb des Kapitel VII.
Artikel 59
Tätigkeitsberichte
Jede Behörde erstellt jährlich einen Bericht über ihre Tätigkeit vorzubereiten, die eine Liste der Arten von Verletzungen schließen können gemeldet und die Art der in Maßnahmen gemäß Artikel 58 Absatz 2. Diese Berichte an das nationale Parlament zugeleitet werden, die Regierung und andere Behörden durch das Recht des Mitgliedstaates bezeichnet. Sie sind der Öffentlichkeit zugänglich gemacht, die Kommission und den Ausschuss.
KAPITEL VII
Zusammenarbeit und Konsistenz
Abschnitt 1
Zusammenarbeit
Artikel 60
Die Zusammenarbeit zwischen der Lead Supervisor und den anderen betroffenen Aufsichtsbehörden
Der Lead Supervisor arbeitet mit anderen Aufsichtsbehörden zusammenarbeiten gemäß diesem Abschnitt betroffen, indem Sie versuchen, einen Konsens zu erreichen. Der Lead Supervisor und die zuständigen Aufsichtsbehörden alle relevanten Informationen auszutauschen.
Der Lead Supervisor kann jederzeit von anderen betroffenen Aufsichtsbehörden 61 die Amtshilfe nach Artikel zur Verfügung zu stellen und den gemeinsamen Betrieb gemäß Artikel 62, insbesondere zu machen leiten können Untersuchungen oder eine Maßnahme auf einem Controller oder einen Unterprozessor in einem anderen Mitgliedstaat zusetzen.
Der Lead Supervisor unverzüglich, die Informationen zu diesem Thema zu anderen betroffenen Aufsichtsbehörden. Es wird unverzüglich einen Entwurf einer Entscheidung zu den anderen Aufsichtsbehörden einreichen betroffenen ihre Ansichten zu erhalten und unter Berücksichtigung ihrer Aussicht.
Wenn andere relevante Formel Aufsichtsbehörden innerhalb von vier Wochen nach Absatz 3 dieses Artikels, ein relevantes Einwand und motiviert in Bezug auf den Entscheidungsentwurf, der Kopf Kontrollbehörde gemäß konsultiert worden Datei, wenn sie den entsprechenden Einwand folgt nicht und motiviert oder wenn sie glaubt, dass diese Einwand irrelevant oder motiviert ist, die Angelegenheit an den Steuermechanismus der Kohärenz im Sinne des Artikels 63.
Wenn die Behörde Führung Kontrolle relevant und motivierte Einwände formuliert folgen will, legt sie zu den anderen Aufsichtsbehörden eine überarbeiteten Entwurf einer Entscheidung, um betroffenen ihre Meinung zu erhalten. Diese überarbeitete Entwurf einer Entscheidung ist nach dem Verfahren nach Absatz 4 innerhalb von zwei Wochen.
Wenn keine andere betroffenen Aufsichtsbehörden im Hinblick auf den Entwurf einer Entscheidung durch den Lead Supervisor innerhalb der Frist vorgelegt widersprochen haben nach den Absätzen 4 und 5, die Haupt Supervisor führend und zuständige Aufsichtsbehörden gelten als den Entwurf der Entscheidung zu genehmigen und sind daran gebunden.
Der Lead Supervisor trifft die Entscheidung, die Auftraggeber ist die Institution oder die einzigartige Eigenschaft des Controllers oder der Subunternehmer, gegebenenfalls mitteilen, und unterrichtet die anderen betroffenen Aufsichtsbehörden und der Ausschuss der Entscheidung, unter anderem durch eine Zusammenfassung der relevanten Tatsachen und von Gründen. Die Aufsichtsbehörde, bei der eine Beschwerde informiert der Autor der Beschwerde die Entscheidung vorgelegt.
Ungeachtet der Nummer 7, wenn ein Anspruch verweigert oder abgelehnt wird, mit dem die Aufsichtsbehörde die Beschwerde eingereicht wurde, wird die Entscheidung erlassen, nehmen die Verfasser der Beschwerde in Kenntnis und informieren Sie den Controller.
Wenn der Lead Supervisor und die Aufsichtsbehörden zustimmen zu verweigern oder ablehnen Teile eines Anspruchs und wirken auf andere Teile dieses Anspruchs wird eine separate Entscheidung für jede der Parteien angenommen . Der Lead Supervisor trifft die Entscheidung für die Aktien, die an der Steuerung in Bezug Teil, die Auftraggeber sind die Institution oder die einzigartige Eigenschaft des Controllers oder den Subunternehmer auf dem Gebiet der benachrichtigen Mitgliedstaat, zu dem er gehört, und der Autor der Beschwerde informieren, während die Vorgesetzten Autor der Beschwerde ist die Entscheidung für den Teil über die Verweigerung oder Ablehnung dieses Antrags zu erlassen,
Nach der Entscheidung der Leitung Aufsichtsbehörde gemäß den Absätzen informiert 7 und 9, nimmt der Controller oder der Prozessor die erforderlichen Maßnahmen, die Einhaltung der Entscheidung in Bezug auf die Aktivitäten, um sicherzustellen, Behandlung durchgeführt im Rahmen aller Institutionen in der Union. Die Steuerung oder benachrichtigen Subunternehmer Maßnahmen die Einhaltung der Entscheidung in der Lead Supervisor zu gewährleisten, die die anderen betroffenen Aufsichtsbehörden informiert.
Wenn unter außergewöhnlichen Umständen die betroffenen Aufsichtsbehörden Grund ist es dringend zu prüfen, muss eingreifen, um die Interessen der Betroffenen zu schützen, bezeichnet das Dringlichkeitsverfahren nach Artikel 66 gilt.
Der Lead Supervisor und die anderen betroffenen Aufsichtsbehörden elektronisch kommunizieren, ein Standardformular verwendet wird, benötigt die Informationen gemäß diesem Artikel.
Artikel 61
die gegenseitige Unterstützung
Die Aufsichtsbehörden sind entsprechende Informationen zur Verfügung und treffen sich, um diese Regelungen konsequent umzusetzen helfen und Durchsetzung und Umsetzung von Maßnahmen effektiv zusammenzuarbeiten. Gegenseitige Unterstützung in Bezug auf solche Auskunftsersuchen und Kontrollmaßnahmen, wie Anträge auf Genehmigung und vorherige Konsultation, Kontrollen und Untersuchungen.
Jede Behörde treffen alle geeigneten Maßnahmen zu reagieren auf eine Anfrage eines anderen Aufsichtsbehörde so bald wie möglich und spätestens einen Monat nach Eingang des Antrags. insbesondere Solche Maßnahmen können die Übertragung von nützlichen Informationen über die Durchführung einer Untersuchung umfassen.
Anträge auf Unterstützung enthält alle notwendigen Informationen, einschließlich der Zweck und die Gründe für den Antrag. Die ausgetauschten Informationen werden für die Zwecke verwendet werden, für die sie angefordert wurden.
Eine erforderliche Aufsichtsbehörde kann sich nicht weigern, mit der Bitte um Unterstützung zu erfüllen, es sei denn:
a) es ist nicht kompetent mit dem Gegenstand des Antrags zu behandeln oder Maßnahmen zu ergreifen, um es auszuführen erforderlich ist; oder
b) erfüllen die Forderung wäre ein Verstoß gegen diese Verordnung oder das Recht der Union oder die Mitgliedstaaten Rechts sein, auf denen die Aufsichtsbehörde, die den Antrag erhalten wird vorgelegt.
Die ersuchte Aufsichtsbehörde unterrichtet Antragsteller Aufsichtsbehörde über die Ergebnisse oder, soweit anwendbar, des Fortschritts der in Antwort auf die Anfrage getroffenen Maßnahmen. Die ersuchte Aufsichtsbehörde der Gründe zu erklären, für jede Verweigerung mit einem Antrag nach Absatz 4 nachzukommen.
Im Allgemeinen kommunizieren die erforderlichen Kontrollbehörden elektronisch, ein Standardformular verwenden, die Informationen, die von anderen Aufsichtsbehörden gefordert.
Supervisors nicht erhalten keine Kosten für alle erforderlichen Maßnahmen sie für die gegenseitige Unterstützung in Antwort auf eine Anfrage nehmen. Die Aufsichtsbehörden können für die Gewährung der Entschädigung, um sie für bestimmte Aufwendungen, die sich aus der Bereitstellung der gegenseitigen Unterstützung in Ausnahmefällen Regeln zustimmen.
Wo ein Supervisor bietet keine Informationen gemäß Absatz 5 dieses Artikels innerhalb eines Monats nach Eingang des Antrags einer anderen Aufsichtsbehörde Kontrollbehörde anfordert kann ein adoptieren vorläufige Maßnahme auf dem Gebiet des Mitgliedstaats, dem sie mit Artikel 55 Absatz 1 in diesem Fall in Übereinstimmung bezieht sich die Umstände für die dringende Notwendigkeit, gemäß Artikel 66 Absatz eingreifen unter Berücksichtigung 1 eine verbindliche Entscheidung des Notfallausschusses gemäß Artikel 66 Absatz 2 bestehen und verlangen gelten.
Die Kommission kann mittels Durchführungsrechtsakte, geben Sie das Format und die Verfahren für die gegenseitige Unterstützung im Rahmen dieses Abschnitts, und die Bedingungen des Informationsaustausches auf elektronischen Weg zwischen den Aufsichtsbehörden und zwischen Aufsichtsbehörden und der Ausschuss, insbesondere in Bezug auf die genannte Form in Absatz 6 dieses Artikels. Diese Handlungen werden nach dem Prüfverfahren angenommen werden gemäß Artikel 93 Absatz 2.
Artikel 62
Gemeinsame Aktionen der Aufsichtsbehörden
Lead Supervisor, falls erforderlich, gemeinsame Aktionen, unter anderem durch gemeinsame Durchführung von Untersuchungen und gemeinsame repressive Maßnahmen zu ergreifen, an denen Mitglieder oder andere Kontrollbehörden Agenten Mitgliedstaaten.
Wenn die Steuerung oder Subunternehmer in mehreren Mitgliedstaaten oder eine beträchtliche Anzahl von Menschen in mehreren Mitgliedstaaten wahrscheinlich erheblich von Verarbeitungsoperationen, jede Aufsichtsbehörde dieser Staaten betroffen sein betroffen sind ansässig ist Mitglieder haben das Recht, an gemeinsamen Operationen zu beteiligen. Die Aufsichtsbehörde, die Zuständigkeit nach Artikel 56 hat, Absatz 1 oder 4, lädt jede Aufsichtsbehörde der Teil in gemeinsamen Aktionen und reagieren betroffene Mitgliedstaaten auf jede Anfrage umgehend zu ergreifen, um eine Aufsichtsbehörde, die teilnehmen möchten.
Eine Aufsichtsbehörde nach dem Recht eines Mitgliedstaates, und mit der Erlaubnis der ursprünglichen Kontrollbehörde, confer Befugnisse, einschließlich den Ermittlungsbefugnisse, die Mitglieder oder Vertretern der Behörde Original-Steuerung an gemeinsamen Operationen teilnehmen oder annehmen, sofern das Recht des Mitgliedstaates, der die Genehmigungen nach Hause Aufsichtsbehörde, dass Mitglieder oder Vertreter der Aufsichtsbehörde ursprünglich ihre Ermittlungsbefugnisse nach dem Recht des Mitgliedstaates der ursprünglichen Kontrollbehörde auszuüben. Diese Kräfte Umfrage kann nur unter der Aufsicht und in Anwesenheit von Mitgliedern oder Agenten der Host-Aufsichtsbehörde ausgeübt werden. Die Mitglieder oder Vertreter der
Lorsque, conformément au paragraphe 1, les agents de l'autorité de contrôle d'origine opèrent dans un autre État membre, l'État membre dont relève l'autorité de contrôle d'accueil assume la responsabilité de leurs actions, y compris la responsabilité des dommages qu'ils causent au cours des opérations dont ils sont chargés, conformément au droit de l'État membre sur le territoire duquel ils opèrent.
Der Mitgliedstaat, in dessen Hoheitsgebiet der Schaden verursacht seine eigenen Beamten Reparatur dieser Schäden unter den Bedingungen, die für Schäden. Der Mitgliedstaat der ursprünglichen Kontrollbehörde, deren Beamte haben Schäden an Personen, die auf dem Gebiet eines anderen Mitgliedstaat verursacht werden, die Beträge an die Begünstigten gezahlt dem anderen Mitgliedstaat erstatten .
Unbeschadet der Ausübung seiner Rechte gegenüber Dritten und vorbehaltlich des Absatzes 5, jeder Mitgliedstaat im Fall verzichten in Absatz 1 vorgesehen, um einen anderen Mitgliedstaat zu stellen, um Schäden Erstattungsanspruch im Zusammenhang gedeckt in Absatz 4.
Wenn eine gemeinsame Operation in Betracht gezogen wird und eine Aufsichtsbehörde entspricht nicht innerhalb eines Monats, mit der angegebenen Verpflichtung nach Absatz 2 Satz dieses Artikel können andere Aufsichtsbehörden erlassen eine vorläufige Maßnahme auf dem Gebiet des Staates, in dem Mitglied, dass er merkt nach Artikel 55 in diesem Fall sind die Umstände für die dringende Notwendigkeit, gemäß Artikel 66 Absatz eingreifen unter Berücksichtigung 1 eine Stellungnahme zu erfüllen und erfordern oder eine bindende Entscheidung des Notfallausschusses gemäß Artikel 66 Absatz 2 sind, vermutet wird.
Abschnitt 2
Konsistenz
Artikel 63
Mechanismus zur Steuerung der Konsistenz
Um einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union gelten die Aufsichtsbehörden zusammenarbeiten und gegebenenfalls mit der Kommission im Rahmen des Kohärenzverfahrens in diesem etablierten Abschnitt.
Artikel 64
Stellungnahme des Ausschusses
1. Der Ausschuss wird eine Stellungnahme abgeben, wenn eine zuständige Aufsichtsbehörde eine der folgenden Maßnahmen zu ergreifen beabsichtigt. Zu diesem Zweck hat die zuständige Aufsichtsbehörde den Entwurf einen Beschluss den Ausschuß mitteilen, wenn dieses Projekt:
a) eine Liste der Verarbeitungsvorgänge zu übernehmen, für die eine Folgenabschätzung in Bezug auf den Datenschutz mitzuführen 35 gemäß Artikel aus Absatz 4;
b) Bedenken, ob nach Artikel 40 Absatz 7, wenn ein Verhaltenskodex Projekt oder einer Änderung oder Erweiterung eines Verhaltenskodex entspricht diese Vorschriften;
c) Ziele eine Organisation Zulassungskriterien gemäß Artikel 41 Absatz 3 oder einer Zertifizierungsstelle gemäß Artikel 43 Absatz 3 zu genehmigen;
d) Zielsetzungen zu Satz Klauseln für den Datenschutz nach Artikel 46, Absatz 2 d) und Artikel 28, Absatz 8;
e) Ziele Vertragsklauseln im Sinne von Artikel 46 Absatz 3 a) zu genehmigen; oder
f) zielt darauf ab, verbindlichen Unternehmensregelungen im Sinne von Artikel 47 zu genehmigen.
Jede Aufsichtsbehörde, der Ausschussvorsitzende oder die Kommission kann verlangen, dass jede Frage der allgemeinen Anwendung oder Erzeugung Auswirkungen in mehreren Mitgliedstaaten durch den Ausschuß in Betracht gezogen werden, um eine Stellungnahme zu erhalten, insbesondere dann, wenn eine Aufsichtsbehörde Stand entspricht nicht mit den Verpflichtungen der gegenseitigen Amtshilfe gemäß Artikel 61 in Bezug oder den zu gemeinsamen Aktionen gemäß Zusammenhang Verpflichtungen mit Artikel 62.
In den in den Absätzen genannten Fällen 1 und 2, die Ausschuss Fragen eine Stellungnahme zu der Frage, die er vorgelegt, sofern es nicht bereits eine Stellungnahme zum gleichen Thema erteilt hat. Diese Stellungnahme wurde innerhalb von acht Wochen nach einer einfachen Mehrheit der Ausschussmitglieder angenommen. Diese Frist kann um sechs Wochen verlängert werden, je nach Komplexität des Problems. den Entwurf einer Entscheidung in Bezug auf die in Absatz 1 an den Ausschuss gemäß Absatz 5 übermittelt, ein Mitglied, das vom Präsidenten innerhalb einer angemessenen gesetzten Frist keine Einwände angenommen wird der Entwurf der Entscheidung zu genehmigen.
Supervisors und die Kommission, sobald der Ausschuss elektronisch, ein Standardformular, alle relevanten Informationen, einschließlich, falls zutreffend, eine Zusammenfassung der Fakten mit der Entscheidungsentwurf , die Gründe für die Annahme dieser Maßnahme und die Ansichten der anderen betroffenen Aufsichtsbehörden erforderlich macht.
Der Vorsitzende des Ausschusses übermittelt unverzüglich elektronisch:
a) alle relevanten Informationen aus, um es den Mitgliedern zur Verfügung und der Kommission, ein Standardformular. Der Ausschuss-Sekretariat wird gegebenenfalls einschlägige Informationen Übersetzungen; und
b) bezeichnete die Mitteilung an die Aufsichtsbehörde, die gegebenenfalls in den Absätzen 1 und 2, und die Kommission und veröffentlicht.
Die zuständige Aufsichtsbehörde nicht den Entscheidungsentwurf Erlass des in Absatz 1, wenn die Frist auf 3 kurz im Sinne des Absatzes.
Der Absatz 1 unter Kontrollbehörde weitestgehende Berücksichtigung der Stellungnahme des Ausschusses übernehmen und den Präsidenten des Ausschusses informierte elektronisch ein Standardformular, innerhalb von zwei Wochen nach Erhalt der Verwendung von wenn es Meinung halten wird oder wenn es den Entscheidungsentwurf und gegebenenfalls ihren geänderten Entscheidungsentwurf ändern.
Wenn die betroffene Aufsichtsbehörde des Präsidenten des Ausschusses innerhalb der Frist informiert gemäß Absatz 7 dieses Artikels, dass sie nicht beabsichtigt, ganz zu folgen oder teilweise mit der Stellungnahme des Ausschusses, die Bereitstellung von relevanten Gründen Artikel 65 Absatz 1 gilt.
Artikel 65
Streitschlichtung durch den Ausschuss
1. Um eine korrekte und einheitliche Anwendung dieser Verordnung in dem Fall zu gewährleisten, ist der Ausschuss eine verbindliche Entscheidung in den folgenden Fällen erlassen:
a) wenn im Fall gemäß Artikel 60 Absatz 4 eine Aufsichtsbehörde betraf einen entsprechenden Einwand und motiviert in Bezug auf den Entwurf einer Entscheidung des Führers oder Vorgesetzten gemacht hat der lead supervisor wies den Einspruch mit der Begründung, dass es nicht relevant oder begründet ist. Die verbindliche Entscheidung über alle Angelegenheiten, die Gegenstand der relevanten Einwände sind und so motiviert wie, ob es einen Verstoß gegen diese Verordnung;
b) wenn es unterschiedliche Auffassungen hinsichtlich der zuständigen Aufsichtsbehörde zuständig für die Haupteinrichtung;
c) eine Aufsichtsbehörde nicht erfordert der Stellungnahme des Ausschusses in den Fällen gemäß Artikel 64 Absatz 1 oder folgt nicht der Stellungnahme des Ausschusses gemäß Artikel 64 erteilt in diesem Fall. kann jeder der Aufsichtsbehörde oder die Kommission die Angelegenheit an den Ausschuss verweisen.
Die Entscheidung gemäß Absatz 1 wird von einer Zweidrittelmehrheit der Mitglieder des Ausschusses innerhalb eines Monats nach der Übermittlung der Frage angenommen. Diese Frist kann um einen Monat abhängig von der Komplexität des Themas erweitert werden. Die Entscheidung gemäß Absatz 1 wird die Hauptaufsichtsbehörde begründet und gesendet wird und an alle betroffenen Aufsichtsbehörden und auf sie ist verbindlich.
Wenn der Ausschuß nicht in der Lage war, eine Entscheidung innerhalb der Frist zu erlassen, das in Absatz 2 genannten, so trifft sie eine Entscheidung, mit der einfachen Mehrheit seiner Mitglieder innerhalb von zwei Wochen nach Ablauf von zwei Monaten Erlass in Absatz 2 im Fall einer Stimmengleichheit im Ausschuß wird die Stimme des Präsidenten dominiert.
Die betroffenen Aufsichtsbehörden nicht, eine Entscheidung über die Angelegenheit vor dem Ausschuß nach Absatz 1 erlassen, wenn die Fristen in den Absätzen 2 und 3 laufen.
Der Vorsitzende des Ausschusses wird, sobald die Entscheidung zu 1 an die zuständigen Aufsichtsbehörden im Sinne des Absatzes. Er hat die Kommission informieren. Die Entscheidung wird auf der Website des Ausschusses veröffentlicht, unmittelbar nachdem die Aufsichtsbehörde die endgültige Entscheidung gemäß Absatz 6 mitgeteilt hat.
Der Lead Supervisor oder gegebenenfalls die Aufsichtsbehörde, von dem die Beschwerde ihre endgültige Entscheidung auf der Grundlage der Entscheidung im Sinne des Absatzes eingereicht nimmt 1 dieses Artikels, so schnell wie möglich und spätestens einen Monat nach dem Ausschuss seine Entscheidung mitgeteilt hat. Der Lead Supervisor oder gegebenenfalls die Aufsichtsbehörde, mit der die Beschwerde informiert das Datum des Ausschusses vorgelegt wurde, an dem die endgültige Entscheidung mitgeteilt wird jeweils an den Controller oder Unter -traitant und die betreffende Person. Die endgültige Entscheidung der zuständigen Aufsichtsbehörden auf die Bedingungen von Artikel 60 vereinbart, Ziffern 7, 8 und 9. Die endgültige Entscheidung bezieht sich auf die Entscheidung nach Absatz 1 dieses Artikels und sagte, dass es auf dem Absatz 5 dieses Artikels gemäß Website des Ausschusses veröffentlicht werden. Die Entscheidung gemäß Absatz 1 dieses Artikels wird auf die endgültige Entscheidung angebracht.
Artikel 66
Eilverfahren
In Ausnahmefällen, in denen eine betroffene Aufsichtsbehörde es dringend zu intervenieren, hält die Rechte und Freiheiten der Daten zu schützen, kann es trotz des Kontrollmechanismus der Kohärenz gemäß den Artikeln 63, 64 und 65 oder mit dem Verfahren gemäß Artikel 60 bezeichnet, sofort vorläufige Maßnahmen ergreifen, um rechtliche Auswirkungen auf seinem eigenen Territorium und mit einer festgelegten Gültigkeitsdauer von höchstens drei Monate zu produzieren. Die Aufsichtsbehörde kommuniziert unverzüglich diese Maßnahmen und die Gründe für ihre Annahme zu anderen betroffenen Aufsichtsbehörden, den Ausschuß und die Kommission.
Eine Aufsichtsbehörde Maßnahmen nach Absatz 1 getroffen hat, und ist der Ansicht, dass die endgültigen Maßnahmen dringend getroffen werden, kann es eine dringende Stellungnahme oder eine verbindliche Entscheidung des Notfallausschusses, motivierende ihren Antrag anfordern Meinung oder Entscheidung.
Jede Aufsichtsbehörde ein begründetes Ersuchen um eine Stellungnahme oder Entscheidung und insbesondere die Dringlichkeit zu intervenieren, fragt den Ausschuß eine Mitteilung von Notfall oder eine verbindliche Entscheidung eines Notfalls, wie anwendbar, wenn Behörde nicht geeignete Maßnahmen in einer Situation geführt, wo es dringend notwendig ist, zu intervenieren, um die Rechte und Freiheiten der betroffenen Personen zu schützen zuständige Kontroll hat.
Abweichend von Artikel 64 Absatz 3 und Artikel 65 Absatz 2 der Not-Mitteilung oder die verbindliche Entscheidung der Dringlichkeit in den Absätzen 2 und 3 dieses Artikels ist innerhalb von zwei erlassen Wochen durch eine einfache Mehrheit der Ausschussmitglieder.
Artikel 67
Der Austausch von Informationen
Die Kommission kann im Allgemeinen annimmt bindende Rechtsakte zur Umsetzung der Bedingungen des Austauschs von elektronischen Informationen zwischen den Aufsichtsbehörden und zwischen diesen Behörden und dem Ausschuß zu definieren, einschließlich der Standard-Form gemäß Artikeln 64.
Diese Handlungen werden nach dem Prüfverfahren angenommen werden gemäß Artikel 93 Absatz 2.
Abschnitt 3
Europäisches Komitee für den Datenschutz
Artikel 68
Europäisches Komitee für den Datenschutz
Das Europäische Komitee für Datenschutz (im Folgenden als „Ausschuß“ genannt) als eine Einrichtung der Union gegründet und hat Rechtspersönlichkeit.
Der Ausschuss wird von seinem Präsidenten vertreten.
Der Ausschuss besteht aus dem Leiter der einzelnen Mitgliedstaaten Aufsichtsbehörde und dem Europäischen Datenschutzbeauftragten oder ihre jeweiligen Vertreter.
Wo in einem Mitgliedstaat mehr Aufsichtsbehörden zur Überwachung der Anwendung dieser Verordnung zuständig sind, ein gemeinsamer Vertreter wird in Übereinstimmung mit dem Recht dieses Mitgliedstaates ernannt.
Die Kommission hat das Recht, in Aktivitäten und Ausschusssitzungen ohne Stimmrecht teilnehmen. Die Kommission wird einen Vertreter benennen. Der Vorsitzende des Ausschusses unterrichtet die Kommission über die Tätigkeit des Ausschusses informieren.
In den genannten Fällen in Artikel 65 hat die Europäische Datenschutzbeauftragte keine Stimmrechte in Bezug auf Entscheidungen, die Grundsätze und Regeln für die Organe und Einrichtungen der Union, deren Höhe im Wesentlichen auf die in dieser Verordnung diejenigen aus.
Artikel 69
Unabhängigkeit
Der Ausschuß nimmt die Aufgaben wahr haben und ihm übertragenen Befugnisse gemäß den Artikeln 70 und 71 unabhängig.
Unbeschadet der Anträge der Kommission gemäß Artikel 70 Absatz 1 b) und Artikel 70, Absatz 2 wird der Ausschuss weder suchen noch Weisungen von niemandem in der Ausübung seines Aufgaben und Befugnisse.
Artikel 70
Missions Ausschuss
1. Der Ausschuss wird die einheitliche Anwendung dieser Verordnung gewährleisten. Zu diesem Zweck hat der Ausschuss, auf eigene Initiative oder gegebenenfalls auf Antrag der Kommission hat die folgenden Missionen:
a) zu überwachen und die ordnungsgemäße Anwendung dieser Verordnung zu gewährleisten, wie in Artikel 64 und 65, unbeschadet den nationalen Aufsichtsbehörden Missionen zur Verfügung gestellt;
b) die Kommission zu allen Fragen zum Schutz personenbezogener Daten in der Union betreffen, einschließlich über eine vorgeschlagene Änderung dieser Verordnung;
c) die Kommission im Hinblick auf die verbindlichen Unternehmensregeln in Form von Informationsaustausch zwischen Steuerungen, Auftragnehmer und Aufsichtsbehörden, sowie die Verfahren, dass s in Bezug darauf;
d) zur Ausgabe Leitlinien, Empfehlungen und Best Practices für die Verfahren für Links zu den personenbezogenen Daten, Kopien oder Reproduktionen von ihnen Beseitigung bestehender in den Kommunikationsdiensten für die Öffentlichkeit und die nach Artikel 17 Absatz 2;
e) prüfen, auf eigene Initiative, auf Antrag eines seiner Mitglieder oder auf Antrag der die Anwendung dieser Verordnung und die Behörde Leitlinien in Bezug auf alle Fragen der Kommission, Empfehlungen und bewährte Verfahren die einheitliche Anwendung dieser Verordnung zu fördern;
f) zur Ausgabe Leitlinien, Empfehlungen und Best Practices gemäß Punkt e) dieses Absatzes, um weiter die Kriterien und Bedingungen für Entscheidungen angeben, basierend auf Profilierungs gemäß Artikel 22 Absatz 2;
g) Ausgabe Leitlinien, Empfehlungen und Best Practices gemäß Punkt e) dieses Absatzes Verletzungen personenbezogener Daten zu schaffen, 33 die beste Zeit im Sinne des Artikels zu bestimmen, die Absätze 1 und 2, und gibt besondere Umstände, in denen ein Controller oder ein Subunternehmer erforderlich ist, die Datenschutzverletzung der Natur Personal zu benachrichtigen;
h) Ausgabe Leitlinien, Empfehlungen und Best Practices gemäß Punkt e) dieses Absatzes über die Umstände, unter denen eine Verletzung der persönlichen Daten ist wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zu erzeugen, wie in Artikel 34 vorgesehen, Absatz 1;
i) Ausgabe Leitlinien, Empfehlungen und Best Practices gemäß Punkt e) dieses Absatzes, um weiter die Kriterien und Anforderungen für die Übermittlung personenbezogener Daten angeben, basierend auf Unternehmensregeln verbindlich angewandt durch Controller und Corporate Regeln für verbindlich angewandt durch Subunternehmer und für andere Anforderungen, die den Datenschutz im persönlichen Charakter der Personen, die unter Artikel 47 betroffen zu gewährleisten;
j) Ausgabe Leitlinien, Empfehlungen und Best Practices gemäß Punkt e) dieses Absatzes, genauere Angaben zu den Kriterien und Anforderungen für die Übermittlung personenbezogener Daten auf der Grundlage von Artikel 49 Absatz 1;
k) zu entwickeln, zum Nutzen der Aufsichtsbehörden, Leitlinien für die Anwendung von Maßnahmen gemäß Artikel 58 Absätze 1, 2 und 3 sowie die Einstellung Bußgeld unter der Abschnitt 83;
l) zu nehmen eine Bestandsaufnahme der praktischen Anwendung von Richtlinien, Empfehlungen und besten genannten Praktiken in den Buchstaben e) und f);
m) zum Thema Leitlinien, Empfehlungen und Best Practices gemäß Punkt e) dieses Absatzes auf gemeinsame Verfahren fest für 54 Personen für Verstöße gegen diese Verordnung gemäß Artikel Berichterstattung Absatz 2;
n) die Förderung von Verhaltenskodizes und die Einrichtung von Zertifizierungssystemen und Etikett und Marken für den Datenschutz nach den Artikeln 40 und 42;
o) zur Durchführung Akkreditierung von Zertifizierungsstellen und die regelmäßige Überprüfung dieser Genehmigung nach Abschnitt 43 und ein öffentliches Register der zugelassenen Einrichtungen nach Artikel 43 zu halten, Absatz 6 und Datenverarbeitung Verantwortlichen oder Subunternehmer autorisierte in Drittländern gemäß Artikel 42 Absatz 7 festgelegt;
p) definieren die Anforderungen gemäß Artikel 43 Absatz 3 für die Zwecke der Akkreditierung von Zertifizierungsstellen nach Artikel 42;
q) der Kommission eine Stellungnahme über die Zertifizierungsanforderungen gemäß Artikel 43 zu geben, Absatz 8;
r), um die Kommission eine Stellungnahme zu den in Artikel Symbolen 12 Absatz 7;
e) die Kommission eine Stellungnahme zur Bewertung der Angemessenheit des Schutzniveaus durch ein Drittland oder eine internationale Organisation, einschließlich der Beurteilung, ob ein Drittland, Gebiet Gebrauch zu machen oder einen oder mehrere Bereiche in diesem Drittland oder einer internationalen Organisation nicht mehr bieten ausreichenden Schutz Ebene identifiziert. Zu diesem Zweck stellt die Kommission den Ausschuss mit allen notwendigen Unterlagen einschließlich der Korrespondenz mit der Regierung von Drittländern, die im Rahmen dieses Drittland oder sektorspezifischen Gebiet oder einer internationalen Organisation;
t) Stellungnahmen zu den Aufsichtsbehörden der Entscheidungsentwürfe in Übereinstimmung mit der Konsistenz Mechanismus gemäß Artikel 64 Absatz 1, auf Fragen eines nach Artikel 64 Absatz 2 und zu Frage verbindlicher Entscheidungen nach Artikel 65, auch in den Fällen gemäß Artikel 66;
u) die Förderung der Zusammenarbeit und der effektiven bilateralen und multilateralen Austausch von Informationen und bewährten Verfahren zwischen den Aufsichtsbehörden;
v) die Entwicklung gemeinsamer Ausbildungsprogramme und erleichtert den Austausch von Personal zwischen den Aufsichtsbehörden und gegebenenfalls mit Drittstaat Aufsichtsbehörden und internationalen Organisationen;
w) zur Förderung des Austausches mit Schutzaufsichtsbehörden von Daten aus allen Ländern, das Wissen und Dokumentation über Rechtsvorschriften und Praxis über den Datenschutz;
x) zur Ausgabe von Meinungen zu Verhaltenskodizes auf EU-Ebene gemäß Artikel 40 Absatz 9 erstellt; und
y) eines elektronischen Registers, öffentlich zugängliche Entscheidungen der Aufsichtsbehörden und Gerichte den Angelegenheiten behandelt im Rahmen des Kohärenzverfahrens.
Wenn die Kommission Beratung an den Ausschuss fordert, kann es eine Zeit erwähnt werden, unter Berücksichtigung der Dringlichkeit der Angelegenheit.
Der Ausschuß gibt seine Stellungnahmen, Richtlinien, Empfehlungen und Best Practices an die Kommission und der Ausschuß nach Artikel 93 und veröffentlicht mitteln.
Der Ausschuss gibt, gegebenenfalls die Betroffenen konsultieren und es ihnen ermöglichen, Kommentar innerhalb einer angemessenen Frist. Es stellt die Ergebnisse des Konsultationsverfahrens öffentlich zugänglich, unbeschadet des Artikels 76.
Artikel 71
Verhältnis
Der Ausschuss erstellt jährlich einen Bericht über den Schutz natürlicher Personen bei der Verarbeitung in der EU und gegebenenfalls in Drittländern und internationalen Organisationen. Der Bericht wird veröffentlicht und das Europäische Parlament, der Rat und die Kommission mitgeteilt.
Der vorliegende Jahresbericht einschließlich der Beurteilung der praktischen Anwendung von Richtlinien, Empfehlungen und Best Practices gemäß Artikel 70 Absatz 1 Buchstabe l) und verbindliche Entscheidungen im Sinne von Artikel 65.
Artikel 72
Verfahren
Der Ausschuss trifft seine Entscheidungen mit einfacher Mehrheit seiner Mitglieder, sofern nichts anderes in dieser Verordnung vorgesehenen.
Der Ausschuss gibt sich eine Geschäftsordnung mit einer Mehrheit von zwei Dritteln seiner Mitglieder und bestimmt seine Betriebsverfahren erlassen.
Artikel 73
Präsident
Der Ausschuß wählt seinen Vorsitzenden und zwei Vizepräsidenten unter seinen Mitgliedern mit einfacher Mehrheit gewählt.
Der Präsident und die Vizepräsidenten werden für eine Dauer von fünf Jahren einmal verlängert werden gewählt.
Der Präsident ist verantwortlich für:
Artikel 74 Aufgaben des Vorsitzenden
a) Sitzungen des Ausschusses einzuberufen und die Tagesordnung gesetzt;
b) unterrichten die vom Ausschuß nach Artikel 65 erlassenen Entscheidungen auf der Lead Supervisor und den betroffenen Aufsichtsbehörden;
c) die Erfüllung, termingerecht, der Aufgaben des Ausschusses, insbesondere in Bezug auf die Konsistenz Mechanismus gemäß Artikel 63.
Der Ausschuss hat die Aufteilung der Aufgaben zwischen dem Präsidenten und der Vizepräsidenten in ihren Regeln.
Artikel 75
Sekretariat
Der Ausschuß verfügt über ein Sekretariat, das von den Europäischen Datenschutzbeauftragten zur Verfügung gestellt wird.
Das Sekretariat nimmt ihre Aufgaben unter der alleinigen Autorität des Stuhls führen.
Das Personal des Europäischen Datenschutzbeauftragten, die in den Missionen beteiligt, dass diese Verordnung den Ausschuß beauftragt unterliegt eine separate hierarchische Struktur von den in der Ausübung die den Europäischen Datenschutzbeauftragten beteiligten Mitarbeitern übertragenen Aufgaben Datenschutz.
Falls erforderlich, wird der Ausschuss und dem Europäischen Datenschutzbeauftragten einzurichten und den Entwurf eines Abkommens veröffentlichen diesem Artikel, zur Festlegung der Modalitäten ihrer Zusammenarbeit fest und die Anwendung an den Europäischen Datenschutzbeauftragten Schutz Personaldaten beteiligt, die Aufgaben bei der Durchführung der Bestimmungen dieser Verordnung an den Ausschuss beauftragt.
Das Sekretariat stellt analytische, administrative und logistische Unterstützung für den Ausschuß.
Sekretariat ist insbesondere verantwortlich für:
a) die aktuelle Verwaltungsausschuss;
b) die Kommunikation zwischen Ausschussmitglieder, seinem Vorsitzenden und der Kommission;
c) die Kommunikation mit anderen Institutionen und der Öffentlichkeit;
d) die Verwendung von elektronischen Mitteln für die interne und externe Kommunikation;
e) die Übersetzung der relevanten Informationen;
f) Vorbereitung und Begleitung Ausschusssitzungen;
g) die Vorbereitung, Erstellung und Veröffentlichung von Stellungnahmen, Entscheidungen über die Beilegung von Streitigkeiten zwischen den Aufsichtsbehörden und anderen Texten vom Ausschuß angenommen.
Artikel 76
Vertraulichkeit
Bei Bedarf vom Ausschuß erachtet wird, sind seine Beratungen vertraulich, wie seine internen Vorschriften zur Verfügung gestellt.
Der Zugang zu Dokumenten vorgelegt dem Ausschuß, Experten und Vertreter Dritter ist durch die Verordnung (EG) Nr 1049/2001 des Europäischen Parlaments und des Rates (1) geregelt.
KAPITEL VIII
Rechtsbehelfe, Haftung und Sanktionen
Artikel 77
Recht, eine Beschwerde bei einer Aufsichtsbehörde einreichen
Unbeschadet eine andere Verwaltungs- oder Gericht Abhilfe zu schaffen, hat jede betroffene Person das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen, insbesondere in dem Mitgliedstaat, in der gewöhnlichen Aufenthalt, Arbeitsplatz oder wo der Verstoß begangen wurde, wenn sie der Auffassung ist, dass die Verarbeitung personenbezogener Daten einen Verstoß gegen diese Verordnung.
Die Aufsichtsbehörde, aus dem der Antrag gestellt wurde, setzt den Verfasser des Antrags über den Fortschritt und die Ergebnisse der Forderung, einschließlich der Möglichkeit einer gerichtlichen Rechtsschutz informiert unter Artikel 78.
Artikel 78
Recht auf effektiven gerichtlichen Rechtsschutz gegen eine Aufsichtsbehörde
Unbeschadet ein anderes Verwaltungs- oder Gericht, jede natürliche oder juristische Person hat das Recht wirksamen gerichtlichen Rechtsbehelf gegen eine rechtlich bindende Entscheidung einer Aufsichtsbehörde zu suchen betroffen ist.
Unbeschadet ein anderes Verwaltungs- oder Gericht, hat jede Person das Recht, einen wirksamen Rechtsbehelf zu bilden, wenn die Aufsichtsbehörde, die Zuständigkeit nach den Artikeln 55 und 56 hat nicht verarbeitet keinen Anspruch oder informiert nicht die Person betreffen, innerhalb von drei Monaten nach dem Status oder das Ergebnis ihrer Beschwerde nach Artikel 77.
Jede Maßnahme gegen eine Aufsichtsbehörde in den Gerichten des Mitgliedstaats, gebracht, in dessen Gebiet die Aufsichtsbehörde eingerichtet wird.
Im Fall einer Klage gegen eine Entscheidung einer Aufsichtsbehörde, das durch eine Stellungnahme oder Entscheidung des Ausschusses als Teil des Konsistenzmechanismus, die Supervisor trägt voraus in Frage Meinung oder Entscheidung der betreffenden Jurisdiktion.
Artikel 79
Recht auf effektiven gerichtlichen Rechtsschutz gegen einen Controller oder einen Subunternehmer
Unbeschadet aller behördlichen oder gerichtlichen Mittel zur Verfügung, um es, einschließlich des Rechts, eine Beschwerde bei einer Aufsichtsbehörde unter Artikel 77 zu erheben, hat jede Person das Recht auf einen wirksamen Rechtsbehelf, wenn sie der Auffassung ist dass die mit dieser Verordnung übertragenen Rechte wurden durch eine Behandlung seiner persönlichen Daten unter Verstoß gegen diese Verordnung verstoßen.
Jede Aktion gegen einen Controller oder einen Subunternehmer gebracht wird vor den Gerichten des Mitgliedstaates, in dem die Steuerung oder Subunternehmer eine Niederlassung hat. Eine solche Aktion auch in den Gerichten des Mitgliedstaats, in dem die betreffende Person ihren gewöhnlichen Aufenthalt hat, es sei denn, der Steuerung oder der behandelnde-wie ein Mitgliedstaat der Behörde in Ausübung gebracht werden können, ihre hoheitlichen Befugnisse.
(1) Die Verordnung (EG) Nr 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Europäischem Parlament, den Rat und die Kommission (ABl L 145 vom 31.5.2001, S. . 43).
Artikel 80
Darstellung der betroffenen Menschen
Die betroffene Person hat das Recht, eine Agentur, eine Organisation oder Non-Profit-Vereinigung zu ernennen, die von öffentlichem Interesse ist, deren gesetzlichen Ziele nach dem Recht eines Mitgliedstaates gegründet wirksam wurden, und ist aktiv auf dem Gebiet den Schutz der Rechte und Freiheiten der betroffenen Personen unter dem Schutz der sie betreffenden personenbezogenen Daten, denn es ist im Namen der Rechte in den Artikeln 77 bezeichnet eine Beschwerde in seinem Namen ausgeübt einführt, 78 und 79 und verpflichtet sich für das Recht Wiedergutmachung zu erhalten, gemäß Artikel 82, wo das Recht eines Mitgliedstaats vorsieht.
Die Mitgliedstaaten können, dass jede Einrichtung, Organisation oder Vereinigung im Sinne des Absatz 1 dieses Artikels, unabhängig von einem Mandat von einer betroffenen Person hat das Recht, in dem betreffenden Mitgliedstaat, eine Beschwerde an das zu bringen, Aufsichtsbehörde, die Zuständigkeit nach Art hat 77 und die Rechte nach den Artikeln 78 und 79 ausüben, wenn sie der Auffassung ist, dass die Rechte einer Person in dieser Verordnung vorgesehenen betroffenen durch die verletzt Behandlung.
Artikel 81
Die Aussetzung der Aktion
Wenn ein zuständiges Gericht eines Mitgliedstaates Informationen vor, dass eine Aktion, die denselben Gegenstand hat in Bezug auf einer Verarbeitung, die von dem gleichen Controller und dem gleichen Subunternehmer und anhängig ist vor Gericht gestellt worden, einem anderen Mitgliedstaat, sie berührt das Gericht in dem anderen Mitgliedstaat die Existenz einer solchen Aktion zu bestätigen.
Wenn eine Aktion, die denselben Gegenstand wurde von dem gleichen Controller und dem gleichen Subunternehmer ausgeführt in Bezug auf einer Verarbeitung gebracht und anhängig ist, vor einem Gericht eines anderen Mitgliedstaates, andere Gerichtsbarkeit als das Gericht zunächst seine Wirkung gestellt wird, kann bleiben.
Wenn diese Aktion wird vor den Gerichten ersten Instanz anhängig ist, jedes Gericht anders als das Gericht ersten unzuständig kann auch angerufen, auf Antrag einer Partei zur Verfügung gestellt, dass das Gericht ersten zuständig ist zu hören angerufen die Maßnahmen in Frage, und dass das Gesetz erlaubt die Konsolidierung.
Artikel 82
Recht auf Entschädigung und Haftung
Jeder, der litt materielle oder ideelle Schäden aufgrund einer Verletzung dieser Vorschriften hat das Recht zu erhalten, von der Steuerung oder dem Subunternehmer Behebung der Schäden erlitten hat.
Jeder Controller, die in der Behandlung beteiligt haftet für durch eine Behandlung unter Verstoß gegen diese Verordnung verursacht wird. Ein Vertragspartner haftet für die durch die Behandlung verursacht Schaden, wenn er die Verpflichtungen aus dieser Verordnung nicht erfüllt hat fallen auf Subunternehmer oder er handelte außerhalb Anweisungen licit des Controllers oder ihnen entgegen.
Ein Controller oder ein Subunternehmer ist von der Haftung befreit nach Absatz 2, wenn er nachweist, dass das Ereignis, das den Schaden verursacht hat ist es nicht zuzurechnen.
Wenn mehrere Controller oder Subunternehmer oder wenn auf einmal ein Controller und ein Subunternehmer in der Behandlung beteiligt und selbst wenn, nach den Absätzen 2 und 3, sie sind verantwortlich für Schäden, verursacht durch Behandlung, jede der Steuerungen oder Subunternehmer müssen für den Schaden in vollem Umfang haftet die betreffende Person eine wirksame Abhilfe zu gewährleisten.
Wenn ein Controller oder ein Subunternehmer, die gemäß Absatz 4, völlig den Schaden repariert wird Anspruch von den anderen Steuerungen oder Subunternehmer von der Reparatur der gleichen Behandlung beteiligt berechtigt entsprechend ihren Anteil an der Verantwortung für den Schaden, in Übereinstimmung mit den Anforderungen des Absatzes 2.
Die rechtlichen Schritte unternommen, um das Recht Gebrauch machen, auf rechtlichen Weg sind vor den zuständigen Gerichten nach dem Recht des Mitgliedstaates nach Artikel 79 gebracht, Absatz 2.
Artikel 83
Bedingungen für die imposante Bußgeld
Jede Uhr Supervisor, dass die Bußgelder nach diesem Abschnitt für den Verstoß gegen diese Verordnung verhängt gemäß den Absätzen 4, 5 und 6 sind jeweils wirksam, verhältnismäßig und abschreckend sein.
Nach fallspezifische Merkmale, Bußgelder werden zusätzlich zu oder anstelle der Maßnahmen gemäß Artikel 58 Absatz 2 a) bis h) und j) auferlegt. Bei der Entscheidung, ob es sollte ein Bußgeld zu verhängen und die Höhe der Bußgeld entscheiden soll gebührend Rechnung trägt in jedem Fall folgende:
a) die Art, Schwere und Dauer des Verstoßes, Art, Umfang und Zweck der betreffenden Verarbeitung gegeben und die Zahl der betroffenen Personen betroffen und die Höhe der Schäden, die sie erlitten haben;
b) die Tatsache, dass der Verstoß vorsätzlich oder fahrlässig begangen;
c) die Maßnahmen der Steuerung oder den Prozessor getroffen, um die Schäden zu mildern durch diejenigen erlitten betroffen;
d) der Grad der Verantwortung des Controllers oder der Subunternehmer, da die technischen und organisatorischen Maßnahmen, die sie nach den Artikeln umgesetzt haben, 25 und 32;
e) jeder relevanter Verstoß begangen zuvor durch die Steuerung oder den Prozessor;
f) der Grad der Zusammenarbeit mit der Aufsichtsbehörde gegründet, um die Verletzung zu beseitigen und etwaige negative Auswirkungen zu mildern;
g) die Kategorien von personenbezogenen Daten durch die Verletzung beeinträchtigt;
h) die Art und Weise, in der die Vorgesetzte Kenntnis von der Verletzung ist auch, ob und in welchem Umfang die Steuerung oder der Prozessor den Verstoß gemeldet hat;
i) in denen die Maßnahmen gemäß Artikel 58 Absatz 2 wurden vorher bestellt gegen den Controller oder den Auftragnehmer für den gleichen Zweck betrifft, respektiert diese Maßnahmen;
j) Codes genehmigt gemäß Artikel 40 oder Zertifizierungsmechanismen genehmigt gemäß Artikel 42 der Anwendung; und
k) andere erschwerende oder mildernde Umstände für die Umstände des Falles, wie die finanziellen Vorteile erhalten oder Verluste vermieden, die direkt oder indirekt wegen der Verletzung.
Wenn ein Controller oder vorsätzlich Subunternehmer verletzt oder fahrlässig mehrere Bestimmungen dieser Verordnung als Teil der gleichen Transaktionsverarbeitung oder ähnliche Verarbeitungsvorgänge, kann die Gesamtmenge des Bußgeld nicht überschreiten der Betrag für die schwersten Verletzungen festgelegt.
Verstöße gegen die folgenden Bestimmungen gemäß Absatz 2 der Bußgeld von bis zu 10 Mio. Euro oder im Fall eines Unternehmens bis zu 2% des Umsatzes werden jährlichen Gesamt im vergangenen Jahr weltweit, der höchste Betrag zurückgehalten:
a) die Verpflichtungen der Steuerung und die Unterlieferanten in den Kapiteln 8, 11, 25 bis 39, 42 und 43;
b) die Verpflichtungen der Zertifizierungsstelle unter Artikel 42 und 43;
c) die Verpflichtungen des Körpers verantwortlich für Verhaltenskodizes gemäß Artikel 41 Absatz 4 zu überwachen.
5. Verstöße gegen die folgenden Bestimmungen Absatz 2 Bußgelder von bis zu 20 Mio. EUR oder, im Falle eines Unternehmens, bis zu 4% des Umsatzes entsprechen gesamten weltweiten Jahresumsatz im vergangenen Jahr, der höchste Betrag zurückgehalten:
a) die Grundprinzipien der Behandlung, einschließlich der Bedingungen für die Zustimmung gemäß Artikel 5, 6, 7 und 9;
b) die Rechte, die die Personen haben in den Kapiteln betroffenen 12 bis 22
c) Übermittlung personenbezogener Daten an einen Empfänger befindet sich in einem Drittland oder einer internationalen Organisation nach den Artikeln 44 bis 49;
d) alle Verpflichtungen aus dem Recht der Mitgliedstaaten gemäß Kapitel IX angenommen;
e) die Nichteinhaltung eine Anordnung, vorübergehende oder dauerhafte Einschränkung der Verarbeitung oder bestellt die Suspension von Daten, die von der Aufsichtsbehörde gemäß fließt Artikel 58 Absatz 2, oder die Tatsache kein Zugang in Verletzung von Artikel 58 Absatz 1 zur Verfügung gestellt zu gewähren.
Nichtbefolgung einer Anordnung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 erteilt, das Thema, die gemäß Absatz 2 dieses Artikels wird ein Bußgeld von bis zu 20 Millionen Euro oder, im Fall eines Unternehmens, behalten bis zu 4% des gesamten weltweiten Jahresumsatzes im vergangenen Jahr, die höchste Betrag Wesen.
Unbeschadet der Befugnisse der Aufsichtsbehörden bei der Annahme von Abhilfemaßnahmen nach Artikel haben 58 Absatz 2 kann jeder Mitgliedstaat schaffen Regeln zu bestimmen, ob und in welchem Umfang Bußgelder auferlegt werden können, Behörden und öffentliche Einrichtungen auf ihrem Gebiet.
Die Ausübung der Aufsichtsbehörde ihrer Befugnisse gemäß diesem Artikel unterliegt angemessene Verfahrensgarantien im Einklang mit dem Unionsrecht und das Recht der Mitgliedstaaten, einschließlich dem effektiven gerichtlichen Rechtsschutz und ein faires Verfahren .
Wenn das Rechtssystem eines Mitgliedstaates nicht für administrative Sanktionen vorsieht, kann dieser Artikel angewandt wird, so dass die Geldbuße von der zuständigen Aufsichtsbehörde und verhängte die von den zuständigen innerstaatlichen Gerichten bestimmt wird, während sichergestellt dass diese Mittel von den Aufsichtsbehörden auferlegt gleiche Wirkung auf die Bußgeld wirksam und haben sein. In jedem Fall sind die Geldbußen, die wirksam, verhältnismäßig und abschreckend sein. Die betreffenden Mitgliedstaaten teilen der Kommission die rechtlichen Vorschriften, die sie im Rahmen dieses Abschnitts betreffen sie bis zum 25. Mai 2018 und unverzüglich jede Rechtsvorschrift oder nachträgliche Änderung einer späteren Änderung annehmen benachrichtigen.
Artikel 84
Sanktionen
Die Mitgliedstaaten stellen andere Sanktionen bei Verstößen gegen diese Verordnung anzuwenden sind, insbesondere für Verletzungen, die nicht Gegenstand von Verwaltungsstrafen gemäß Artikel 83 sind, und treffen alle erforderlichen Maßnahmen, um ihre Umsetzung zu gewährleisten umgesetzt. Diese Sanktionen wirksam, verhältnismäßig und abschreckend sein.
Jeder Mitgliedstaat der Kommission die gesetzlichen Bestimmungen gemäß Absatz erlassen hat 1 bis spätestens 25. Mai 2018 und unverzüglich jede spätere Änderung dieser Bestimmungen.
KAPITEL IX
Arrangements für besondere Situationen Behandlung
Artikel 85
Die Verarbeitung und die Freiheit der Meinungsäußerung und Informations
Mitgliedstaaten in Einklang zu bringen, durch das Gesetz, unter dem Recht auf Schutz personenbezogener Daten diese Verordnung und das Recht auf freie Meinungsäußerung und Information, einschließlich der Verarbeitung für journalistische Zwecke und für Zwecke akademischer Ausdruck, künstlerisch oder literarisch.
Dans le cadre du traitement réalisé à des fins journalistiques ou à des fins d'expression universitaire, artistique ou littéraire, les États membres prévoient des exemptions ou des dérogations au chapitre II (principes), au chapitre III (droits de la personne concernée), au chapitre IV (responsable du traitement et sous-traitant), au chapitre V (transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales), au chapitre VI (autorités de contrôle indépendantes), au chapitre VII (coopération et cohérence) et au chapitre IX (situations particulières de traitement) si celles-ci sont nécessaires pour concilier le droit à la protection des données à caractère personnel et la liberté d'expression et d'information.
Jeder Mitgliedstaat trifft die Kommission die Rechtsvorschriften informieren sie gemäß Absatz angenommen haben 2 und unverzüglich gesetzliche Vorschriften oder jede spätere Änderung Änderungen dieser.
Artikel 86
Die Behandlung und den Zugang der Öffentlichkeit zu amtlichen Dokumenten
Die personenbezogenen Daten in den offiziellen Dokumenten, die von einer Behörde oder einer öffentlichen Einrichtung oder einer privaten Einrichtung für die Durchführung eines öffentlichen Zweck gehalten enthalten ist, kann von dieser Behörde oder dass nach dem Recht des mitgeteilt Union oder das Recht des Mitgliedstaats, die Gegenstand der öffentlichen Behörde oder öffentliche Einrichtung, um das Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten und das Recht auf Schutz personenbezogener Daten in Einklang zu bringen unter diese Verordnung.
Artikel 87
Behandlung von nationaler Identifizierungsnummer
Mitgliedstaaten die spezifischen Bedingungen der Behandlung einer nationalen Identifikationsnummer oder andere Kennzeichen allgemeiner angeben. In diesem Fall wird die nationale Identifikationsnummer oder andere Kennzeichen allgemeiner nur unter geeigneten Schutzmaßnahmen für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung angenommen verwendet.
Artikel 88
Datenverarbeitung im Rahmen der Arbeitsbeziehungen
Die Mitgliedstaaten kann gesetzlich oder durch Tarifverträge, spezifischere Vorschriften für den Schutz der Rechte und Freiheiten in Bezug auf die Verarbeitung personenbezogener Daten der Arbeitnehmer im Rahmen der Arbeitsbeziehungen, Zwecke, einschließlich, Rekrutierung, Durchführung des Arbeitsvertrags, einschließlich der Einhaltung der gesetzlich festgelegten Verpflichtungen oder durch Tarifverträge, Management, Planung und Organisation der Arbeit, die Gleichheit und Vielfalt am Arbeitsplatz, Gesundheit und Sicherheit, Schutz des Eigentums an den Arbeitgeber oder Auftraggeber für die Zwecke der Ausübung und Wahrnehmung von Rechten und Vorteilen gehört, in Bezug auf Beschäftigung, einzeln oder gemeinsam, und dassfür die Beendigung des Arbeitsverhältnisses.
Diese Regeln beinhalten geeignete und konkrete Maßnahmen zum Schutz der Menschenwürde, die legitimen Interessen und Grundrechte der betroffenen Personen, insbesondere auf die Transparenz des Prozesses, die Übermittlung personenbezogener Daten innerhalb einer Gruppe zu bezahlen ‚Unternehmen oder eine Gruppe von Unternehmen, die in einer gemeinsamen Wirtschaftstätigkeit und Kontrollsystemen am Arbeitsplatz.
Jeder Mitgliedstaat der Kommission die gesetzlichen Bestimmungen gemäß Absatz erlassen hat 1 bis spätestens 25. Mai 2018 und unverzüglich jede spätere Änderung dieser Bestimmungen.
Artikel 89
Garantien und Ausnahmen für die Behandlung zu Archivierungszwecken im öffentlichen Interesse, zum Zweck der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke
Die Behandlung für Archivierungszwecke im öffentlichen Interesse, zum Zweck der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke gemäß dieser Verordnung vorgelegt wird, geeignete Garantien für die Rechte und Freiheiten der betroffenen Person. Diese Garantien gewährleisten die Durchführung von technischen und organisatorischen Maßnahmen, insbesondere den Grundsatz der Datenminimierung zu gewährleisten. Diese Maßnahmen können Pseudonymisierung, da diese Ziele auf diese Weise erreicht werden. Wann immer können diese Ziele durch die weitere Verarbeitung erreicht werden, nicht mehr oder Identifizierung der Personen ermöglichen betroffenen, sollte es auf diese Weise vorgehen.
Werden personenbezogene Daten für Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke verarbeitet werden, liefert das Unionsrecht oder das Recht eines Mitgliedstaates kann Ausnahmen Rechte gemäß den Artikeln 15, 16, 18 und 21, vorbehaltlich der Bedingungen und Garantien im Sinne von Absatz 1 dieses Artikels, soweit, dass diese Rechte unmöglich machen könnte oder ernsthaft die Erreichung bestimmter Zwecke behindern und dass solche Ausnahmen sind notwendig, um diese Ziele zu erreichen.
Wenn personenbezogene Daten zu Archivierungszwecken im öffentlichen Interesse verarbeitet werden, 15 das Unionsrecht oder das Recht eines Mitgliedstaates kann vorsehen, Ausnahmen Rechte gemäß den Artikeln 16, 18, 19, 20 und 21, vorbehaltlich der Bedingungen und Garantien im Sinne von Absatz 1 dieses Artikels, soweit, dass diese Rechte unmöglich machen könnte oder ernsthaft die Erreichung bestimmter Zwecke behindern und dass solche Ausnahmen sind notwendig, um diese Ziele zu erreichen.
Wenn die Behandlung nach den Absätzen 2 und 3 ist zugleich ein weiterer Zweck sollen Ausnahmen gelten nur für die Verarbeitung für die Zwecke durchgeführt genannten in diesen Absätzen.
Artikel 90
Geheimhaltungspflichten
Mitgliedstaaten besondere Vorschriften erlassen kann, die Befugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 1, e) und f) in Bezug auf die Datenverarbeitung Verantwortlichen oder Subunternehmer abgegeben zu definieren, nach dem Unionsrecht oder das Recht eines Mitgliedstaates oder der Vorschriften von den zuständigen nationalen Stellen angenommen, mit einer Geheimhaltungspflicht oder anderen gleichwertiger Geheimhaltungspflichten, soweit notwendig und verhältnismäßig in Einklang zu bringen das Recht auf Schutz personenbezogener Daten und die Geheimhaltungspflicht. Diese Regeln gelten nur in Bezug auf personenbezogene Daten, dass die Steuerung oder Subunternehmer erhalten hat oder den im Verlauf von
Jeder Mitgliedstaat der Kommission die Vorschriften nach Absatz 1 erlassen hat, spätestens 25. Mai 2018, und unverzüglich alle Änderungen dieser.
Artikel 91
bestehenden Regeln von Kirchen und religiöse Vereinigungen im Bereich des Datenschutzes
Wo in einem Mitgliedstaat, Kirchen und religiöse Vereinigungen oder Gemeinschaften gelten, an dem Datum des Inkrafttretens dieser Verordnung einen umfassenden Satz von Regeln zum Schutz natürlicher Personen bei der Behandlung, können sie weiterhin diese Regeln vorgesehen anzuwenden, dass diese Maßnahmen mit dieser Verordnung entsprechen.
Kirchen und religiöse Vereinigungen, die mit Absatz 1 dieses Artikels unterliegen der Kontrolle einer unabhängigen Aufsichtsbehörde umfassende Vorschriften entsprechend anzuwenden, die spezifisch sein können, sofern sie die Anforderungen des Kapitels VI dieser trifft Regulierung.
KAPITEL X
delegierte Rechtsakte und Durchführungsrechtsakte
Artikel 92
Die Ausübung der Delegation
Die Befugnis zum Erlass der Kommission unter den Bedingungen in diesem Artikel enthaltenen verliehen.
Die Befugnisübertragung gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 wird die Kommission auf unbestimmte Zeit vom 24. Mai 2016 verliehen.
Die Befugnisübertragung gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 kann jederzeit vom Europäischen Parlament oder dem Rat widerrufen werden. Der Widerruf Entscheidung beendet die Übertragung von Befugnissen darin angegeben. Es wird am Tag nach der Veröffentlichung der Entscheidung im Amtsblatt der Europäischen Union oder zu einem späteren Zeitpunkt festgelegt Wirkung des Tages. Es hat keinen Einfluss auf die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft.
Sobald es einen delegierten Rechtsakt erlässt, gleichzeitig das Europäische Parlament und den Rat unterrichtet die Kommission.
Ein delegierter Rechtsakt, der gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8, in Kraft tritt, wenn das Europäische Parlament oder der Rat keine Einwände geäußert innerhalb drei Monaten nach Bekanntgabe dieser Handlung an das Europäische Parlament und den Rat oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission ihre Absicht, keine Einwände zu erheben informiert. Dieser Zeitraum wird um drei Monate auf Initiative des Europäischen Parlaments oder des Rates verlängert.
Artikel 93
Ausschuss
Die Kommission wird von einem Ausschuß unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr 182/2011.
Wo auf diesen Absatz Bezug genommen, gilt Artikel 5 der Verordnung (EU) Nr 182/2011 gilt.
Bei Bezugnahme auf diesen Absatz gilt Artikel 8 der Verordnung (EU) Nr 182/2011 in Verbindung mit Artikel 5 gilt.
KAPITEL XI
Schlussbestimmungen
Artikel 94
Aufhebung der Richtlinie 95/46 / EG
Richtlinie 95/46 / EG wird mit Wirkung vom 25. Mai 2018 aufgehoben.
Bezugnahmen auf die Richtlinie gelten als Bezugnahmen auf die vorliegende Verordnung. Verweise auf persönliche Schutzgruppe im Hinblick auf die Verarbeitung personenbezogener Daten durch Artikel 29 der Richtlinie 95/46 / EG gelten als Bezugnahmen auf dem Europäischen Komitee für den Datenschutz durch die festgestellt werden ausgelegt diese Verordnung.
Artikel 95
Beziehung mit der Richtlinie 2002/58 / EG
Diese Verordnung stellt keine zusätzlichen Verpflichtungen für natürliche oder juristische Personen, die auf die Behandlung im Rahmen der Bereitstellung elektronischer Kommunikationsdienste für die Öffentlichkeit in öffentlichen Kommunikationsnetzen in der Union im Hinblick auf die Aspekte wo sie unterliegen besondere Verpflichtungen mit dem gleichen Ziel gemäß der Richtlinie 2002/58 / EG.
Artikel 96
Beziehung mit den zuvor geschlossenen Abkommen
Internationale Abkommen die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen teilnehmen, die von den Mitgliedstaaten vor dem 24. Mai 2016 und die Achtung der EU-Recht anwendbar geschlossen wurden vor, dass Datum in Kraft bleiben, bis geändert, ersetzt oder aufgehoben wird.
Artikel 97
Berichte über die
Spätestens bis zum 25. Mai 2020 und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Verordnung. Diese Berichte werden veröffentlicht.
In den Auswertungen und nach Absatz 1 Bewertungen, die Kommission, insbesondere der Umsetzung und dem Betrieb von:
a) Kapitel V auf die Übermittlung personenbezogener Daten an Drittstaaten oder internationalen Organisationen, insbesondere im Hinblick auf die Entscheidungen im Rahmen von Artikel 45 Absatz 3 dieser Verordnung, und Entscheidungen über die Grundlage von Artikel 25 Absatz 6 der Richtlinie 95/46 / EG;
b) Kapitel VII über die Zusammenarbeit und Konsistenz.
Für die Zwecke des Absatzes 1 kann die Kommission auffordern, Informationen aus den Mitgliedstaaten und die Aufsichtsbehörden.
Wenn die Beurteilungen und Bewertungen machen in den Absätzen 1 und 2 ist die Kommission unter Berücksichtigung der Standpunkte und Schlussfolgerungen des Europäischen Parlaments, des Rates und anderen relevanten Agenturen oder Quellen.
Die Kommission wird gegebenenfalls geeignete Vorschläge zur Änderung dieser Verordnung, insbesondere unter Berücksichtigung der Entwicklung der Informationstechnologie und im Lichte der Fortschritte der Informationsgesellschaft Status.
Artikel 98
Überprüfen Sie andere Rechtsakte der Union zum Datenschutz
Die Kommission werden gegebenenfalls Legislativvorschläge andere Rechtsakte der Union auf den Schutz personenbezogener Daten zu ändern, einen einheitlichen und konsequenten Schutz von Personen bei der, um sicherzustellen, Behandlung. Dies betrifft insbesondere die Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung durch die Organe, Einrichtungen und sonstigen Stellen der Union und zum freien Datenverkehr.
Artikel 99
Inkrafttreten und Anwendung
nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union Diese Verordnung tritt am zwanzigsten Tag.
Sie gilt ab 25. Mai 2018.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Brüssel, den 27. April 2016.
Für das Europäische Parlament
der Präsident
Herr SCHULZ
Im Namen des Rates
der Präsident
JA Hennis-Plasschaert
Keine Produkte
Preise sind inklusive Steuern