VORSCHRIFTEN

VERORDNUNG (EU) 2016/679 DAS EUROPÄISCHE PARLAMENT UND DES RATES

vom 27. April 2016

zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in Bezug und zur Aufhebung der Richtlinie 95/46 / EG (Allgemeine Verordnung für Datenschutz)

(Text von Bedeutung für den EWR)

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION,
Gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, und insbesondere auf Artikel 16, Gestützt auf den Vorschlag der Kommission,
Nach Übermittlung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,
Gestützt auf die Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (1),
Gestützt auf die Stellungnahme des Ausschusses (2),
In Übereinstimmung mit dem ordentlichen Gesetzgebungsverfahren (3),
während:

1. (1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Artikel 8 Absatz 1 die Charta der Grundrechte (‚Karte‘) und Artikel 16 Absatz 1 der Vertrag über die Arbeitsweise der Europäischen Union (AEUV) heißt es, dass jeder das Recht auf Schutz personenbezogener Daten hat über ihn.
2. (2) Die Grundsätze und Regeln zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten, unabhängig von der Nationalität oder des Wohnsitzes, Achtung der Grundrechte und Freiheiten, insbesondere ihr Recht auf Schutz personenbezogener Daten. Ziel dieser Verordnung ist die Verwirklichung der Freiheit beizutragen, Sicherheit und das Recht und eine Wirtschaftsunion, wirtschaftlicher und sozialer Fortschritt, die Stärkung und die Konvergenz der Volkswirtschaften innerhalb des Binnenmarktes und der Wohlstand des Einzelnen.
3. (3) Richtlinie 95/46 / EG des Europäischen Parlaments und des Rates (4) Es soll den Schutz der Grundrechte und -freiheiten natürlicher Personen bei der Verarbeitung Aktivitäten zu harmonisieren und den freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten zu gewährleisten,.

1. (1) EEC229tis31.7.2012, S.90.
2. (2) EEC391tis18.12.2012, S.127.
3. (3) Standpunkt des Europäischen Parlaments vom 12. März 2014 (noch nicht im Amtsblatt veröffentlicht) und Standpunkt des Rates

   in erster Lesung vom 8. April 2016 (noch nicht im Amtsblatt veröffentlicht). Standpunkt des Europäischen Parlaments

   14April 2016.

4. (4) Richtlinie 95/46 / EK des Europäischen Parlaments und des Rates, 24. Oktober 1995, zum Schutz natürlicher Personen

   gegen personenbezogener Daten und zum freien Datenverkehr (ABl L 281 von 23.11.1995, p. 31).

Amtsblatt der Europäischen Union 4.5.2016

Die Verarbeitung personenbezogener Daten sollten Menschen dienen ausgelegt sein. Das Recht auf Schutz personenbezogener Daten ist kein absolutes Recht, sondern muss an seiner Funktion in der Gesellschaft gemessen und gegen andere Grundrechte abgewogen werden, Gemäß dem Grundsatz der Verhältnismäßigkeit. Diese Verordnung steht im Einklang alle Grundrechte und -freiheiten und die in der Charta anerkannten Grundsätzen wie in den Verträgen verankert, insbesondere Achtung des Privat- und Familienlebens, Gehäuse und Kommunikations, Schutz personenbezogener Daten, Freiheit des Denkens, Gewissens- und Religions, Recht auf freie Meinungsäußerung und Information, unternehmerische Freiheit, das Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und die kulturellen, religiöse und sprachliche Vielfalt.

Die wirtschaftliche und soziale Integration, die resultiert aus dem Betrieb des Binnenmarktes, führen zu einem signifikanten Anstieg der grenzüberschreitenden Verkehr personenbezogener Daten Zeichen. H Austausch personenbezogener Daten zwischen öffentlichen und privaten Akteuren, einschließlich natürlicher Personen, Verbände und Unternehmen in der gesamten Union, hat zugenommen. Die nationalen Behörden der Mitgliedstaaten werden durch EU-Recht erforderlich ist, um die Zusammenarbeit und persönliche Daten austauschen, damit sie ihre Aufgaben wahrnehmen können oder durchführen Aufgaben im Auftrag einer anderen Mitgliedstaat Behörde.

Der rasche technologische Entwicklungen und die Globalisierung haben für den Schutz personenbezogener Daten vor neue Herausforderungen gestellt. Der Umfang der Sammlung und den Austausch personenbezogener Daten hat deutlich zugenommen. Technologie ermöglichen sowohl private Unternehmen und Behörden Nutzung personenbezogener Daten in nie gekanntem Ausmaß in der Ausübung ihrer Tätigkeit zu machen. Einzelpersonen zunehmend persönliche Informationen offen legen und es weltweit zur Verfügung stellen. Die Technologie hat sich sowohl die Wirtschaft und das soziale Leben verändert und sollte weiter freien Verkehr personenbezogener Daten innerhalb der Union und die Übermittlung an Drittstaaten und internationalen Organisationen erleichtern, und gleichzeitig ein hohes Maß an Schutz personenbezogener Daten.

Diese Entwicklungen erfordern ein starkes und kohärentes Datenschutzrahmens in der Union, SUPPORT tiated durch strenge Anwendung des Gesetzes, da es wichtig ist, das notwendige Vertrauen zu schaffen, das die digitale Wirtschaft ermöglichen, im gesamten Binnenmarkt wachsen. Der Einzelne sollte die Kontrolle über ihre persönlichen Daten ganz eigenen Charakter haben. Wird die Rechtssicherheit sollte für den Einzelnen gestärkt und praktische Sicherheit werden, Wirtschaftsbeteiligten und Behörden.

Soweit in dieser Verordnung Spezifikationen oder Einschränkungen für die Bestimmungen des Rechts der Mitgliedstaaten, Die Mitgliedstaaten können Elemente dieser Verordnung in ihrem nationalen Recht übernehmen, in dem Maße zu gewährleisten notwendig, um Konsistenz und von den nationalen Bestimmungen für die Personen zu verstehen, die sie gelten,.

Während die Ziele und Grundsätze der Richtlinie 95/46 / EG bleiben stark, Richtlinie versäumt, die Fragmentierung der Anwendung der Datenschutz in der gesamten Union zu verhindern, Rechtsunsicherheit und eine breite öffentliche Wahrnehmung, dass es erhebliche Risiken für den Schutz natürlicher Personen, insbesondere hinsichtlich Online-Aktivitäten. Unterschiede in der Höhe des Schutzes der Rechte und Freiheiten des Einzelnen, insbesondere das Recht auf Schutz personenbezogener Daten, über die Verarbeitung personenbezogener Daten in den Mitgliedstaaten, den freien Verkehr personenbezogener Daten in der gesamten Union kann behindern. deshalb, Diese Unterschiede können ein Hindernis sein, um das Geschäft in der Union, verzerren den Wettbewerb und behindern Behörden bei der Erfüllung ihrer Aufgaben, wie aus dem Unionsrecht diejenigen, die sie. Dieser Unterschied in dem Schutzniveau ist auf Abweichungen bei der Umsetzung und Anwendung der Richtlinie 95/46 / EG.

Um eine konsistente und hohe Maß an Schutz von Personen und die Beseitigung von Hindernissen für den Verkehr personenbezogener Daten innerhalb der Union sicherzustellen,, das Niveau des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig. Es sollte eine kohärente und einheitliche Anwendung der Vorschriften über den Schutz der Grundrechte und Freiheiten der Personen bei der Verarbeitung personenbezogener Daten in der gesamten Union sicherzustellen,. In Bezug auf die Verarbeitung personenbezogener Daten mit einer gesetzlichen Verpflichtung nachzukommen, eine Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlichen Gewalt zu erfüllen in der Steuerung übertragen, Die Mitgliedstaaten sollten die Anwendung der Vorschriften dieser Verordnung einzelstaatliche Bestimmungen beizubehalten oder einzuführen dürfen weiter definieren. In Verbindung mit den allgemeinen und horizontalen Datenschutzgesetzen zur Umsetzung Ziel der Richtlinie 95/46 / EG, Mitgliedstaaten gelten unterschiedliche sektorale Gesetze in Bereichen, die besonderen Bestimmungen erfordern. Diese Verordnung sieht auch Handlungsspielraum für die Mitgliedstaaten, um die Regeln anzupassen, diejenigen, die sich auf die Verarbeitung besonderer Kategorien personenbezogener Daten einschließlich („Sensible Daten“). In diesem Grad, geht diese Verordnung nicht die Mitgliedstaaten Rechts entgegen, die Umstände der besonderen Verarbeitungsbedingungen zu bestimmen,, inter alia, genauer gesagt, die Bedingungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig zu definieren.

Amtsblatt der Europäischen Union L 119/3

11. (11) Ein wirksamer Schutz personenbezogener Daten in der gesamten Union erfordert Stärkung und detaillierte Definition der Rechte der betroffenen Personen, sowie diejenigen Verbindlichkeiten Vorarb Verstärker betrieben und die Verarbeitung der Daten bestimmen,, und ihre jeweiligen Zuständigkeiten für die Überwachung und Sicherstellung der Einhaltung der Standards für den Schutz personenbezogener Daten und die entsprechenden Strafen für Verstöße in den Mitgliedstaaten.
12. (12) Artikel 16 Absatz 2 AEUV überträgt das Europäische Parlament und den Rat die Regeln für den Schutz natürlichen Personen bei der Verarbeitung personenbezogener Daten und Vorschriften über den freien Verkehr personenbezogener Daten festlegen.
13. (13) Um ein einheitliches Schutzniveau für den Einzelnen in der gesamten Union zu gewährleisten und zu vermeiden, Lücken, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern, Regelung erforderlich, die Rechtssicherheit und Transparenz für die Wirtschaftssubjekte wahren, einschließlich Mikro, kleine und mittlere Unternehmen, und bietet für Personen in allen Mitgliedstaaten das gleiche Maß an einklagbaren Rechten und Pflichten, und Verantwortlichkeiten für die Steuerungen und Prozessoren, konsequente Überwachung der Verarbeitung personenbezogener Daten, um sicherzustellen,, und gleichwertige Sanktionen in allen Mitgliedstaaten und die effektive Zusammenarbeit zwischen den Aufsichtsbehörden der Mitgliedstaaten. Das reibungslose Funktionieren des Binnenmarktes, der freie Verkehr personenbezogener Daten innerhalb der Union soll nicht beschränkt werden, noch verboten aus Gründen im Zusammenhang mit dem Schutz von Personen bei der Verarbeitung personenbezogener Daten. Zur Berücksichtigung der besonderen Situation von Mikro, kleine und mittlere Unternehmen, Diese Verordnung enthält für Organisationen eine Ausnahme unter Verwendung weniger als 250 Personen bei Aufzeichnungen. zusätzlich, die Organe und Einrichtungen der Union, sowie Mitgliedstaaten und ihre Aufsichtsbehörden, die spezifischen Bedürfnisse von Kleinst- zu berücksichtigen ermutigt, kleine und mittlere Unternehmen bei der Umsetzung dieser Verordnung. Das Konzept des Mikro, kleine und mittlere Unternehmen sollten stützt sich auf Artikel 2 der Anhang der Empfehlung 2003/361 / EG (1).
14. (14) Der Schutz in der vorliegenden Verordnung sollte auf natürliche Personen gilt, unabhängig von Nationalität und Aufenthalt, in Bezug auf die Verarbeitung personenbezogener Daten Zeichen. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten in Bezug auf juristische Personen und insbesondere Unternehmen als juristische Personen gegründet, einschließlich des Namens, Art und Kontaktinformationen des Unternehmens.
15. (15) Um eine ernsthafte Gefahr einer Umgehung zu verhindern, Der Schutz natürlicher Personen sollte technologieneutral sein und nicht auf die Techniken abhängen verwendet. Der Schutz natürlicher Personen sollte sowohl für die Verarbeitung personenbezogener Daten durch automatisierte Mittel anwenden, und in der manuellen Verarbeitung, wenn personenbezogene Daten enthalten sind, oder sollen in einem Ablagesystem aufgenommen werden. Dateien oder Gruppen von Dateien, sowie die Abdeckungen, die nicht strukturiert nach bestimmten Kriterien sollten nicht in den Geltungsbereich dieser Verordnung fallen.
16. (16) Diese Verordnung gilt nicht für den Schutz der Grundrechte und Freiheiten oder den freien Verkehr personenbezogener Daten an Tätigkeiten nicht in der Anwendung von Feldunionsrecht erfassten, als Aktivitäten für die nationale Sicherheit im Zusammenhang. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten durch die Mitgliedstaaten gelten, wenn sie Tätigkeiten auf die Gemeinsame Außen- und Sicherheitspolitik durchführen der Union.
17. (17) Verordnung (EG) keine. 45/2001 Europäisches Parlament und Rat (2) die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen angewandt, Agenturen und Union Dienste. Verordnung (EG) keine. 45/2001 und andere Rechtsakte der Union, die personenbezogenen Daten ist für eine solche Zeichenverarbeitung sollte auf die Grundsätze und Regeln festgelegt in dieser Verordnung und Anwendung im Lichte dieser Verordnung angepasst werden. Um ein starkes und kohärentes Datenschutzrahmens in der Union zu gewährleisten, nach der Annahme dieser Verordnung sollten die erforderlichen Anpassungen der Verordnung folgen (EG) keine. 45/2001, der Anwendung gleichzeitig mit dieser Verordnung zu ermöglichen,.
18. (18) Diese Verordnung galt nicht von einer natürlichen Person im Laufe einer rein persönlichen oder Haushaltstätigkeit und daher keine Verbindung mit jedem professionellen der Verarbeitung personenbezogener Daten oder

1. (1) Die Empfehlung der Kommission, 6. Mai 2003, betreffend die Definition des Kleinst, kleine und mittlere Unternehmen [C(2003) 1422] (ABl L 124 von 20.5.2003, p. 36).
2. (2) Regulierung(EG)arith.45 / 2001touEfropaikouKoinovoulioukaitouSymvouliou,tis18isDekemvriou2000, schetikametinprostasiaton Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl L 8 von 12.1.2001, p. 1).

Amtsblatt der Europäischen Union 4.5.2016

(19)

Handelstätigkeit. Persönliche oder Haushaltstätigkeiten könnten Korrespondenz und die Adresse Aufzeichnungen oder soziale Netzwerke und Online-Aktivitäten in solche Aktivitäten verwickelt sind. jedoch, es soll Controller oder Prozessoren gelten, die die Verarbeitung personenbezogener Daten innerhalb Charakter für solche persönlichen oder häuslichen Tätigkeiten zur Verfügung stellen.

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Untersuchung, Feststellung oder Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen, einschließlich gegen Gefahren für die öffentliche Sicherheit zu gewährleisten und deren Prävention und den freien Datenverkehr, vorbehaltlich einen spezifischen EU-Rechtsakt. Diese Verordnung sollte daher nicht für diese Zwecke an die Verarbeitungstätigkeiten gelten. jedoch, personenbezogenen Daten durch öffentliche Stellen im Rahmen dieser Verordnung verarbeitet sollten, wenn sie für diese Zwecke verwendet, durch spezifischen EU-Rechtsakt geregelt werden, nämlich die Richtlinie (EU) 2016/680 Europäisches Parlament und Rat (1). Die Mitgliedstaaten können die zuständigen Behörden im Sinne der Richtlinie verleihen (EU) 2016/680 Aufgaben, die nicht unbedingt für die Zwecke der Vorbeugung ausgeübt, Untersuchung, Feststellung oder Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen, einschließlich gegen Bedrohungen der öffentlichen Sicherheit und der Verhütung zu gewährleisten, so dass die Verarbeitung personenbezogener Daten für diese Zwecke, wenn er fällt in den Anwendungsbereich des Unionsrechts, seine im Rahmen dieser Verordnung.

Im Hinblick auf die Verarbeitung personenbezogener Daten von diesen Behörden für Zwecke im Rahmen dieser Verordnung, Die Mitgliedstaaten sollten spezifische Bestimmungen aufrechterhalten können oder einzuführen, um die Anwendung der Bestimmungen dieser Verordnung anzupassen. Diese Regelungen können genauer spezifiziert werden die spezifischen Anforderungen für die Verarbeitung personenbezogener Daten, die von diesen Behörden für diese Zwecke, wobei in den Verfassungs Konto, Organisations- und Verwaltungsstruktur der jeweiligen Mitgliedstaaten. Wenn die Verarbeitung personenbezogener Daten von privaten Einrichtungen im Rahmen dieser Verordnung fallen, sollte diese Verordnung die Möglichkeit vorsehen, dass die Mitgliedstaaten gesetzlich zu beschränken, unter besonderen Bedingungen, bestimmte Rechte und Pflichten, wenn eine solche Beschränkung eine notwendige und angemessene Maßnahme in einer demokratischen Gesellschaft stellt wichtige Interessen zu wahren besonders, einschließlich der öffentlichen Sicherheit und Prävention, Exploration, Feststellung und Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen, einschließlich gegen Bedrohungen der öffentlichen Sicherheit und der Verhütung zu gewährleisten. diese Angelegenheit, zum Beispiel, im Kampf gegen die Geldwäsche oder die Aktivitäten der forensischen Laboratorien.

Während diese Verordnung gilt,, einschließlich, die Aktivitäten von Gerichten und anderen Justizbehörden, Das Recht der Union oder die Mitgliedstaaten könnte die Operationen und Verarbeitungsverfahren in Bezug auf die Verarbeitung personenbezogener Daten durch Gerichte und andere Justizbehörden angeben. Die Zuständigkeit der Aufsichtsbehörden sollte nicht die Verarbeitung personenbezogener Daten decken, wenn die Gerichte in ihrer gerichtlichen Eigenschaft, die Unabhängigkeit der Justiz in der Ausübung ihrer richterlichen Aufgaben zu gewährleisten,, einschließlich der Entscheidungsfindung. Die Überwachung der Datenverarbeitungsvorgänge der Lage sein sollte, um bestimmte Stellen im Justizsystem des Mitgliedstaates zugewiesen werden, die mit den Vorschriften dieser Verordnung insbesondere die Einhaltung sollte, Mitglieder der Justiz im Hinblick auf ihre Verpflichtungen im Rahmen dieser Verordnung zu sensibilisieren und mit Beschwerden in Bezug auf die genannten Datenverarbeitungsverfahren zu behandeln.

Diese Verordnung gilt unbeschadet der Richtlinie 2000/31 / EG des Europäischen Parlaments und des Rates (2), insbesondere die Vorschriften über die Haftung von Vermittlern fest in den Artikeln 12 bis 15 der genannten Richtlinie. Diese Richtlinie zielt darauf ab, das reibungslose Funktionieren des Binnenmarktes beizutragen, den freien Verkehr von Diensten der Informationsgesellschaft zwischen den Mitgliedstaaten zu gewährleisten.

Die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten der Einrichtung Controller oder Prozessors in der Union sollte in Einklang mit dieser Verordnung durchgeführt werden, unabhängig davon, ob die gleiche Verarbeitung in Union durchgeführt wird,. Die Installation erfordert die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung. In dieser Hinsicht, die Rechtsform einer solchen Regelung, ob Anhang oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit, Es ist nicht entscheidend.

(1) Unterricht (EU) 2016/680 Europäisches Parlament und Rat, vom 27. April 2016, zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Untersuchung, Feststellung oder Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen und zum freien Datenverkehr und Rahmenbeschluss des Rates zur Aufhebung der 2008/977 / JI (siehe Seite 89 dieses Amtsblatts).

1. (2) Richtlinie 2000/31 / EG des Europäischen Parlaments und des Rates, 8. Juni 2000, über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere den elektronischen Geschäftsverkehr, im Binnenmarkt („Für E-Commerce-Richtlinie") (ABl L 178 von 17.7.2000, p. 1).

Amtsblatt der Europäischen Union L 119/5

23. (23) Um sicherzustellen, dass Personen, die nicht der Schutz entzogen sie gemäß dieser Verordnung berechtigt sind,, die Verarbeitung personenbezogener Daten Themen in der Union durch einen Controller oder Prozessor nicht in der Union sollte in dieser Verordnung geregelt werden, wo die Verarbeitungsaktivitäten sind auf die Bereitstellung von Waren oder Dienstleistungen an solche Datensubjekte, ob die Zahlung im Zusammenhang. Um zu bestimmen, ob ein solcher Controller oder Prozessor bietet Waren oder Dienstleistungen, für die betroffenen Personen in der Union, es muss festgestellt werden, wenn der Controller oder der Prozessor deutlich in einem oder mehreren EU-Mitgliedstaaten für die betroffenen Personen bieten Dienstleistungen gedacht. Während die einfache Zugänglichkeit der Website des Controllers, ein Prozessor oder ein Vermittler in der Union oder die E-Mail-Adresse und anderem Kontakt oder Elementen in der Regel in dem Drittland verwendet Verwendung Sprache, wo der Controller eingerichtet ist, ist nicht ausreichend, diese Absicht zu untermauern, Faktoren wie die Verwendung von Sprache oder Währung im Allgemeinen in einem oder mehreren Mitgliedstaaten verwendet, mit der Möglichkeit von Produkten und Dienstleistungen auf dieser anderen Sprache Bestellung, oder Referenzkunden oder in der Union lag Benutzer können deutlich machen, dass die Datenverarbeitung Verantwortlichen beabsichtigt Waren oder Dienstleistungen, für die betroffenen Personen in der Union zu bieten.
24. (24) Die persönlichen Daten von Personen, die in der Union durch einen Controller oder Prozessor sind nicht in der Union sollten ebenfalls unter diese Verordnung fallen,, wenn die Überwachung des Verhaltens solcher betroffenen Personen in dem Maße, dass ihr Verhalten stattfindet, innerhalb der Union. Um festzustellen, ob sich eine Verarbeitungsaktivität betrachtet werden, um das Verhalten der betroffenen Person zu überwachen, es sollte, ob Personen ermittelt werden, über das Internet verfolgt werden, einschließlich der möglichen späteren Verwendung der Verarbeitung personenbezogener Daten technischer Art, die bei der Gestaltung der „Profil“ einer natürlichen Person besteht, insbesondere, um Entscheidungen zu treffen, ihn über oder zu analysieren oder persönliche Vorlieben vorhersagen, Verhaltensweisen und Einstellungen.
25. (25) Wenn das Recht eines Mitgliedstaates gilt aufgrund des Völkerrechts, Diese Verordnung sollte auch an eine Steuerung gilt nicht in der Union, wie, Beispiel, für die diplomatische Mission oder konsularische Vertretung eines Mitgliedstaates.
26. (26) Die Grundsätze des Datenschutzes sollten für alle Informationen über eine bestimmte oder bestimmbare natürliche Person gelten. Persönliche Daten, die psefdonymopoiisi gewesen, die mit einem Einzel durch die Verwendung von Zusatzinformationen zurückgeführt werden könnten, Sie sollten Informationen über bestimmbare natürliche Person in Betracht gezogen werden. Um festzustellen, ob eine Person identifizierbar ist, Sie sollten alle Mittel ergriffen werden, die voraussichtlich verwendet werden soll, beispielsweise die Trennung von, entweder durch die Steuerung oder durch eine dritte Partei für direkte oder indirekte Identifikation der individuellen Identität. Um zu sehen, ob irgendwelche Mittel vernünftigerweise eingesetzt werden, um die Identität der natürlichen Person zu überprüfen, sollten alle objektiven Faktoren berücksichtigen, da die Kosten und Zeitaufwand zu identifizieren, unter Berücksichtigung der Technologie zum Zeitpunkt der Verarbeitung und Technologieentwicklungen zur Verfügung. Die Grundsätze des Datenschutzes sollte daher gelten nicht für anonyme Informationen, dh Informationen, die eine bestimmte oder bestimmbare natürliche Person oder persönliche Daten, die sich nicht haben, anonymisiert werden, so dass die Identität der betroffenen Person nicht oder nicht mehr festgestellt werden kann. Diese Verordnung ist daher die Behandlung solcher anonymen Informationen, nicht einschließlich für Zwecke statistischer oder Forschungs.
27. (27) Diese Verordnung gilt nicht für personenbezogene Daten verstorben. Die Mitgliedstaaten verstorben Regeln für die Verarbeitung von personenbezogenen Daten zur Verfügung stellen können.
28. (28) Mit psefdonymopoiisis zu personenbezogenen Daten können die Risiken für die betroffenen Personen verringern und erleichtern die Steuerungen und Prozessoren, die einschlägigen Anforderungen der Datenschutz gerecht zu werden. Die explizite Einführung von „psefdonymopoiisis“ dieser Regelung ist keine andere Datenschutzmaßnahme auszuschließen beabsichtigt.
29. (29) Um Anreize für psefdonymopoiisi zu schaffen bei der Verarbeitung persönlicher Daten, Es sollte möglich sein, Maßnahmen zu ergreifen, psefdonymopoiisis, während eine allgemeine Analyse erlaubt, im selben Controller, wenn die Steuerung hat die technischen und organisatorischen Maßnahmen, die getroffen, um sicherzustellen,, für die entsprechende Datenverarbeitung, die Anwendung dieser Verordnung und weitere Informationen über die Leistung von personenbezogenen Daten an die betroffenen Person getrennt gehalten. Die Daten-Controller, die personenbezogene Daten verarbeitet, sollten Personen im selben Controller autorisieren designierte.

Amtsblatt der Europäischen Union 4.5.2016

Einzelpersonen können mit Online-Kennungen Elementen zugeordnet werden, die von den Geräten vorgesehen sind,, Anwendungen, Werkzeuge und Protokolle, wie Internet-Protokoll-Adressen, IDs Cookies oder andere Identifikatoren, wie beispielsweise Radiofrequenzidentifizierungsetiketten. Diese können Spuren hinterlassen, die, besonders wenn sie mit eindeutigen Kennungen und weitere Informationen erhalten von den Servern kombiniert, Sie können verwendet werden Profile von Personen zu erstellen und erkennen, ihre Identität.

Die Behörden, die die personenbezogenen Daten gemäß einer gesetzlichen Verpflichtung offenbarten ihre beruflichen Pflichten zu erfüllen, wie Steuer- und Zollbehörden, Wirtschaftsforschungseinheiten, unabhängige Verwaltungsbehörden oder die Finanzmärkte zuständigen Stellen für die Regulierung und Überwachung der Wertpapiermärkte sollten jedoch nicht als Empfänger werden, wenn sie personenbezogene Daten erhalten notwendig, eine spezielle Untersuchung im öffentlichen Interesse durchzuführen, nach dem Recht der Union oder einem Mitgliedstaat. Die Offenlegungsanforderungen von Behörden geschickt, immer geschrieben werden, unter den gegebenen Umständen gerechtfertigt und sollte nicht die Gesamtheit eines Ablagesystems beinhalten oder die Verknüpfung von Ablagesysteme führen. Die Verarbeitung personenbezogener Daten durch diese Behörden sollte mit dem geltenden Datenschutzbestimmungen je nach Zweck der Verarbeitung entspricht.

Die Zustimmung sollte klar positive Energie zur Verfügung gestellt werden, die frei bilden, spezifisch, ausdrücklich und in Kenntnis der Zustimmung der betroffenen Person für die Verarbeitung von Daten über ihn, beispielsweise durch schriftliche Erklärung, einschließlich elektronisch, oder mündliche Erklärung. Dies könnte den Abschluss einer Box enthalten, wenn eine Web-Seite besuchen, wählen Sie die gewünschten technischen Modalitäten für die Dienste der Informationsgesellschaft oder eine Erklärung oder ein Verhalten, das deutlich zeigt,, in diesem Zusammenhang, dass die betroffene Person akzeptiert den Vorschlag Verarbeitung ihrer personenbezogenen Daten. deshalb, Schweigen, die bereits angekreuzte Kästchen oder Untätigkeit sollte nicht als Zustimmung ausgelegt werden. Die Zustimmung sollte alle Verarbeitungsaktivitäten decken für den gleichen Zweck oder für die gleichen Zwecke durchgeführt. Wenn die Verarbeitung mehrere Zwecke, Zustimmung sollte für alle diese Zwecke gegeben werden. Wenn die Zustimmung der betroffenen Person wird auf Anfrage gegeben wird elektronisch, der Antrag muss klar sein,, umfassend und nicht stören unangemessen die Nutzung des Dienstes, der vorgesehen ist.

oft, Es kann nicht vollständig den Zweck zum Zeitpunkt der Datenerhebung der Verarbeitung personenbezogener Daten für die wissenschaftliche Forschung bestimmt werden. deshalb, Betroffene der Lage sein sollten, ihre Zustimmung zu bestimmten Bereichen der wissenschaftlichen Forschung zu geben, wenn die anerkannten ethischen Normen sind für die wissenschaftliche Forschung gefolgt. Die betroffenen Personen sollten ihre Zustimmung nur in bestimmten Bereichen Forschung oder nur Teile von Forschungsprogrammen zu geben, werden erlaubt, in dem Maße durch den vorgesehenen Zweck zulässig.

Als genetische Daten sollten aus der biologischen Probe mit persönlichen Daten verknüpft geerbt oder apokektimena genetischen Merkmalen einer Person definiert werden Analyse der natürlichen Person resultierenden, insbesondere aus chromosomaler Desoxyribonukleinsäure Analyse (DNA) oder Ribonukleinsäure (RNA) oder über ein anderes Element, das gleichwertige Informationen zu erhalten, ermöglicht.

Persönliche Daten über die Gesundheit sollten alle Daten enthalten, um den Gesundheitszustand der betroffenen Person und der Informationen über die Vergangenheit enthüllen, aktuelle oder zukünftige Zustand der körperlichen oder geistigen Gesundheit der betroffenen Person. Dazu gehören Informationen über die bei der Registrierung gesammelt einzelnen für das Gesundheitswesen und die Bestimmung davon, wie in der Richtlinie 2011/24 / EU des Europäischen Parlaments und des Rates definiert (1) an die betreffende natürliche Person; eine Zahl, ein Symbol oder Erkennungsmerkmal, das einer natürlichen Person zum Zwecke der vollständigen Identifizierung der natürlichen Person für gesundheitliche Zwecke zugeordnet ist; Informationen, die sich aus Untersuchungen oder Analysen eines Körperteils oder einer Substanz ergeben, unter anderem durch genetische Daten und biologische Proben und alle Informationen,, z.B., auf Krankheit, Behinderung, Krankheitsrisiko, Krankengeschichte, klinische Behandlung oder der physiologische oder biomedizinischen Zustand der betroffenen Person, unabhängig von ihrer Quelle, z.B., von einem Arzt oder anderen medizinischen Fach, Krankenhaus, Medizinische Vorrichtung oder Diagnosetest in vitro.

H Haupt Installation des Controllers Union sollte der Ort der zentralen Verwaltung in der Union, es sei denn, die Entscheidungen über die Zwecke und Mittel der Verarbeitung in einem anderen Betrieb erhalten personenbezogene Daten der Steuerung in der Union, so dass eine weitere Anlage wird als Haupt Installation betrachtet werden. Die Hauptniederlassung einer Steuerung in der Union soll nach objektiven Kriterien festgelegt werden und soll die effektive und tatsächliche Ausübung der Verwaltungstätigkeit dar, wobei die wichtigsten Entscheidungen über die Zwecke und Mittel der Verarbeitung mittels einem festen Einrichtung bestimmen. Dieses Kriterium sollte nicht davon abhängen, ob die Verarbeitung

(1) Richtlinie 2011/24 / EU des Europäischen Parlaments und des Rates, 9. März 2011, auf die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (ABl L 88 von 4.4.2011, p. 45).

Amtsblatt der Europäischen Union

Persönliche Daten können in diesem Ort sein. Die Existenz und die Verwendung technischer Mittel und Technologien für die Verarbeitung von personenbezogenen Daten oder Verarbeitungstätigkeiten selbst nicht bilden’ se Hauptinstallations, deshalb, stellen keine entscheidenden Kriterien für die Hauptinstallation. Die Hauptniederlassung des Prozessors soll der Ort der zentralen Verwaltung in der Union sein oder, wenn er keinen Sitz in der Union, der Ort, wo sich die wichtigsten Verarbeitungsaktivitäten in der Union. In Fällen, in denen sowohl die Steuerung und der Prozessor, verantwortlich Chef Aufsichtsbehörde sollte die Aufsichtsbehörde des Mitgliedstaates verbleibt, wo die Hauptniederlassung des Reglers, aber der Vorgesetzte des Prozessors sollte als betroffener Supervisor angesehen werden und dass Aufsichtsbehörde sollte in dem Verfahren der Zusammenarbeit gemäß dieser Verordnung teilnehmen. Jedenfalls, die Aufsichtsbehörden des Mitgliedstaates oder Staaten, in denen der Prozessor einen oder mehr Betriebe hat, sollen nicht angesehen werden als betroffene Aufsichtsbehörden, wenn der Entscheidungsentwurf nur an die Steuerung bezieht. Wenn die Verarbeitung von Unternehmensgruppe durchgeführt, als Sitz Unternehmen kontrollieren soll die Hauptgeschäftsgruppe in Betracht gezogen werden, es sei denn, der Zweck und Mittel der Verarbeitung durch ein anderes Unternehmen bestimmt.

37. (37) Die Gruppe der Unternehmen sollten die Obergesellschaft und Unternehmen decken sie kontrolliert, wo das herrschende Unternehmen soll das Unternehmen sein, die unter einem beherrschenden Einfluss auf den anderen Unternehmen ausüben können,, zum Beispiel, Eigentum, finanzielle Beteiligung oder die Regeln, die Macht ihrer Anwendung oder die persönlichen Datenschutzbestimmungen regeln. Unternehmen auszuüben Kontrolle über die Verarbeitung personenbezogener Daten an verbundene Unternehmen sollte berücksichtigt werden,, zusammen mit diesen Unternehmen, Unternehmensgruppe.
38. (38) Kinder bedürfen eines besonderen Schutzes für ihre persönlichen Daten, als Kinder der Risiken bewusst sein, weniger können, Folgen und Schutzmaßnahmen und ihre Rechte in Bezug auf die Verarbeitung personenbezogener Daten. Dieser besondere Schutz wird vor allem bei der Verwendung von personenbezogenen Daten für Marketing oder das Erstellen von Persönlichkeitsprofilen oder Benutzerprofile wahr sein und personenbezogene Daten von Kindern sammeln, wenn sie Dienstleistungen direkt angeboten, um ein Kind mit. Die Zustimmung des Erziehungsberechtigten sollte nicht notwendig sein, im Zusammenhang mit Prävention Beratung oder Dienstleistungen direkt ein Kind.
39. (39) Die Verarbeitung personenbezogener Daten müssen rechtmäßig und fair. Es sollte klar sein, dass Einzelpersonen sie betreffenden personenbezogenen Daten erhoben werden, gebraucht, betrachtet oder vorgelegt von’ anderweitig verarbeitet, und in welchem ​​Umfang personenbezogene Daten oder verarbeitet werden. Dieser Grundsatz verlangt, dass jede Information und Kommunikation über die Verarbeitung ihrer personenbezogenen Daten leicht zugänglich und verständlich sein, und verwenden Sie klare und einfache Sprache. Dieses Prinzip bezieht sich insbesondere auf die betroffenen Personen über die Identität des Controllers und die Zwecke der Verarbeitung und weitere Informationen zu informieren, um einen fairen und transparenten Prozess in Bezug auf diese Personen und ihr Recht, um sicherzustellen, Bestätigung zu erhalten, und zu erreichen Mitteilung im Zusammenhang mit diesen persönlichen Daten verarbeitet werden,. Sie sollten auf natürliche Personen Risiko Wesen zur Verfügung, Regeln, Garantien und Rechte in Bezug auf die Verarbeitung personenbezogener Daten und wie sie ihre Rechte in Bezug auf eine solche Verarbeitung trainieren. insbesondere, die personenbezogenen Daten bestimmte Zwecke der Verarbeitung sollte klar sein,, rechtlich und bestimmt, wenn die Erhebung personenbezogener Daten. Persönliche Daten sollten angemessen, relevant und begrenzt werden, was für die Zwecke ihrer Verarbeitung erforderlich ist. Dies erfordert, insbesondere um sicherzustellen, dass die Speicherung personenbezogener Daten ist auf das Minimum begrenzt. Personenbezogene Daten sollten nur dann, wenn der Zweck der Verarbeitung verarbeitet werden kann, nicht durch andere Mittel erreicht werden,. Um sicherzustellen, dass personenbezogene Daten nicht länger als nötig aufbewahrt, die Steuerung sollte Fristen für deren Beseitigung oder für ihre regelmäßige Überprüfung festgelegt. Es sollten alle angemessenen Maßnahmen ergreifen,, dass personenbezogene Daten zu gewährleisten, die sind ungenau korrigiert oder gelöscht werden. Persönliche Daten sollten in einer Weise verarbeitet werden, einen angemessenen Schutz und Vertraulichkeit personenbezogener Daten zu gewährleisten,, Unter anderem alle nicht autorisierten Zugriff auf diese personenbezogenen Daten zu verhindern und um Geräte zu verarbeiten oder zu verwenden und persönliche Daten solcher Geräte verwendete.
40. (40) Werden fair behandelt, Personenbezogene Daten müssen durch die Einwilligung der betroffenen Person oder einer anderen Basis verarbeitet werden, gesetzlich, oder in dieser Verordnung oder in anderen Rechtsvorschriften der Union oder einem Mitgliedstaat in diesem erwähnt

Amtsblatt der Europäischen Union 4.5.2016

Verordnung, einschließlich der Notwendigkeit, mit der gesetzlichen Verpflichtung nachzukommen, zu dem die Steuerung unterliegt, oder die Notwendigkeit, einen Vertrag zu erfüllen, zu der die betroffenen Person oder Partei, um Maßnahmen, die auf Antrag der betroffenen Person vor zu nehmen kontrahieren.

Jedes Mal, wenn diese Regelung bezieht sich auf die Rechtsgrundlage oder legislative Maßnahme, Dies bedeutet nicht unbedingt Gesetzgebung von einem Parlament genehmigt erfordern, vorbehaltlich der Bestimmungen in Übereinstimmung mit der Verfassungsordnung der Mitgliedstaaten. jedoch, Diese Rechtsgrundlage oder legislative Maßnahme sollte klar und eindeutig und ihre Anwendung ist absehbar, für Personen unter diesen formuliert wird, nach der Rechtsprechung des Europäischen Gerichtshofs (das „Gericht“) und der Europäische Gerichtshof für Menschenrechte.

Wenn die Verarbeitung auf Zustimmung der betroffenen Person beruhen, der Controller in der Lage zu beweisen muss, dass die Daten unter dem Verarbeitungsvorgang zugestimmt hat. speziell, unter einer schriftlichen Erklärung auf einer anderen Angelegenheit, Sie sollten Garantien, um sicherzustellen, dass die betroffene Person ist sich dieser Tatsache bewusst und in welchem ​​Umfang zugestimmt hat. Gemäß der Richtlinie 93/13 / EWG (1), Sie sollten Einwilligungsformular zur Verfügung gestellt werden, im Voraus durch den Controller in verständlicher und leicht zugänglicher Form abgefasst, klare und einfache Formulierung, ohne unlautere. Zu Einwilligungserklärung betrachtet, die betroffene Person sollte mindestens die Identität des Controllers und die Zwecke der Verarbeitung der beabsichtigten persönlichen Daten kennen. Die Zustimmung darf nicht als frei, wenn die betroffene Person keine wirkliche oder freie Wahl gegeben hat, in Betracht gezogen werden oder nicht in der Lage sein, Zustimmung zu verweigern oder zu entziehen ohne Beeinträchtigung.

Um sicherzustellen, dass die Erteilung der Genehmigung des frei, Zustimmung sollte keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten in einem bestimmten Fall zur Verfügung stellen, wenn es eine klare Ungleichgewicht zwischen der betroffenen Person und dem Controller, die Steuerung insbesondere dann, wenn eine Behörde und ist daher unwahrscheinlich, erteilte Einwilligung haben, frei zu allen den Umständen dieser besonderen Situation. Die Zustimmung gilt als nicht frei gegeben worden zu sein, wenn keine gesonderte Einwilligung zu verschiedenen Verarbeitungs persönlicher Daten Natur geben erlaubt, auch wenn es in diesem Fall angemessen, oder wenn die Ausführung eines Auftrags, Einschließlich Mathe- einen Dienst, die Zustimmung, selbst wenn eine solche Zustimmung ist nicht erforderlich, für eine solche Ausführung.

Die Behandlung sollte auch erlaubt, notwendig unter Vertrag oder Vertragsabsichts sein.

Wenn die Verarbeitung im Rahmen eine rechtliche Verpflichtung durchgeführt, die Steuerung unter oder bei Bedarf für die Wahrnehmung einer Aufgabe im öffentlichen Interesse durchgeführt oder in Ausübung öffentlichen Gewalt, Behandlung sollte auf das Recht der Union oder der Mitgliedstaaten beruhen,. Diese Verordnung erfordert kein spezielles Gesetz für jede einzelne Behandlung. ein einziges Gesetz kann für mehr als eine Verarbeitungsoperation auf der Grundlage eine gesetzliche Verpflichtung, zu dem die Steuerung unterliegt als Grundlage ausreichen wird oder wenn die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlichen Gewalt notwendig ist. auch, den Zweck der Verarbeitung der Bestimmung sollte dem Recht der Union oder einem Mitgliedstaat überlassen werden. zusätzlich, dieses Gesetz könnte die allgemeinen Bedingungen dieser Verordnung bestimmt die rechtmäßige Verarbeitung personenbezogener Daten und Spezifikationen für die Bestimmung der Steuerung zu übernehmen, die Art der Verarbeitung personenbezogener Daten, die jeweiligen Datensubjekte, die Einheiten können gountai personenbezogene Daten koinolo, die objektiven Zwänge, Lagerzeit und andere Maßnahmen rechtmäßig und eine Verarbeitung, um sicherzustellen,. auch, Es sollte das Unionsrecht oder das Recht der Mitgliedstaaten überlassen werden, ob der Controller eine Pflicht im öffentlichen Interesse liegt oder in Ausübung öffentlichen Gewalt ausgeführt erfüllen sollte eine Behörde oder eine andere natürliche oder juristische Person sein geregelt öffentliches Recht oder, wenn dies aus Gründen des Allgemeininteresses gerechtfertigt, einschließlich aus gesundheitlichen Gründen, wie öffentliche Gesundheit und Sozialschutz und Gesundheitsdienstleistungen Management, privatrechtlichen, als Berufsverband.

Die Verarbeitung personenbezogener Daten sollte auch rechtmäßig gelten, soweit es erforderlich ist, ein Interesse zu schützen, die für das Leben der betroffenen Person oder einer anderen Person erforderlich ist. Die Verarbeitung personenbezogener Daten durch die vitalen Interessen eines anderen Individuums sollte,’

(1) Richtlinie 93/13 / EOK des Rates, die 5. April 1993, über missbräuchliche Klauseln in Verbraucherverträgen (ABl L 95 von 21.4.1993, p. 29).

4.5.2016

Prinzip durchgeführt werden, nur wenn es offensichtlich ist, dass die Verarbeitung nicht eine andere Rechtsgrundlage haben können. Einige Arten der Behandlung können sowohl aus wichtigen Gründen des öffentlichen Interesses und der andere für die vitalen Interessen der betroffenen Person verwendet werden, wie, zum Beispiel, wenn die Verarbeitung ist für humanitäre Zwecke erforderlich, einschließlich Monitor Epidemien und deren Verbreitung, oder in Situationen dringender humanitärer Bedürfnisse, insbesondere in Fällen von natürlichen und von Menschen verursachten Katastrophen.

47. (47) Die berechtigten Interessen des Reglers, diejenigen, eine Steuerung enthält, die die persönlichen Daten übermittelt werden können oder dritten, kann für die Verarbeitung einer Rechtsgrundlage, sofern sie nicht außer Kraft, die Interessen oder die Grundrechte und Freiheiten der betroffenen Person, unter Berücksichtigung der berechtigten Erwartungen der betroffenen Personen auf der Grundlage ihrer Beziehung mit dem Controller. Ein solches Interesse könnte zum Beispiel auftreten, wenn keine relevante und geeignete Beziehung zwischen der betroffenen Person und dem Controller, als ob die betroffene Person ein Client des Reglers ist oder im Dienst. In jedem Fall müßte die Existenz berechtigten Interesse sorgfältige Prüfung, unter anderem, ob der betroffenen Person, zu der Zeit und im Rahmen der Erhebung personenbezogener Daten, es ist sinnvoll, dass zu erwarten, zu diesem Zweck verarbeitet werden kann,. speziell, die Interessen und die Grundrechte der betroffenen Person Vorrang vor den Interessen der Steuerung übernehmen könnte, wenn personenbezogene Daten in Fällen verarbeitet werden, wenn die betroffene Person erwartet Weiterverarbeitung der Daten nicht angemessen ist. Da es für die Gesetzgeber von der öffentlichen Hand für die Verarbeitung personenbezogener Daten, die die Rechtsgrundlage durch das Gesetz zu schaffen,, Diese Rechtsgrundlage soll nicht auf die Behandlung durch die Behörden bei der Erfüllung ihrer Aufgaben angewandt werden. H Verarbeitung persönlicher Daten, in dem Umfang zur Betrugsprävention unbedingt erforderlich, bildet auch ein berechtigtes Interesse der Datensteuerung. H Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung kann in Betracht gezogen werden, dass eine Instanz eines berechtigten Interesses.
48. (48) Die Controller, die Mitglieder der Gruppe von Unternehmen oder Institutionen, die mit zentralen Körper kann ein berechtigtes Interesse daran haben, zu den personenbezogenen Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke zu übertragen, einschließlich der Verarbeitung von persönlichen Kunden- oder Mitarbeiterdaten. Die allgemeinen Prinzipien der Übermittlung personenbezogener Daten, innerhalb einer Gruppe von Unternehmen, ein Unternehmen in einem Drittland ist nicht betroffen.
49. (49) Die Verarbeitung personenbezogener Daten, soweit dies unbedingt erforderlich und angemessen für die Zwecke der Sicherstellung der Netz- und Informationssicherheit, dh die Fähigkeit eines Netzes oder ein Informationssystem zu wieder, bei einem gegebenen Konfidenzniveau, Störungen und rechtswidrige oder böswillige Angriffe abzuwehren, dass ein Kompromiss der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von werbsfähigkeit persönlichen Daten gespeichert oder übertragen, und die Sicherheit der angebotenen Dienste von diesen Netzwerken und Systemen oder zugänglich über diese Netze und Systeme, oder von den Behörden angeboten, of Emergency Response Teams in IT (CERT), von Einsatzteams für Veranstaltungen für die Computersicherheit im Zusammenhang (CSIRT), von Netzwerk-Anbieter von elektronischen Kommunikationsdiensten und Anbieter von Technologien und Sicherheitsdienste, Es stellt ein berechtigtes Interesse der Datensteuerung. Dies könnte auch die, Beispiel, Verhindern eines nicht autorisierten Zugangs zu elektronischen Kommunikationsnetzen und bösartige Code Verteilung und „Denial-of-Service-Attacken“ und Schäden an Computersystemen und elektronische Kommunikation zu stoppen.
50. (50) Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die persönlichen Daten ursprünglich nur erhoben werden, sollte zugelassen werden, wenn die Verarbeitung mit den Zwecken vereinbar ist, für die die persönlichen Daten ursprünglich gesammelt. In diesem Fall, keine Trennung ist Rechtsgrundlage als die für die Erhebung personenbezogener Daten zulässig erforderlich. Wenn die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt in der Steuerung übertragen notwendig ist, Unionsrecht oder Mitgliedstaat kann bestimmen und definiert die Aufgaben und Zwecke, für die sie sollten kompatibel und rechtmäßige Weiterverarbeitung in Betracht gezogen werden. Die weitere Verarbeitung zur Archivierung Gründen des Allgemeininteresses, zum Zweck der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke sollten kompatibel rechtswidrige Verarbeitung in Betracht gezogen werden. Die Rechtsgrundlage zur Verfügung gestellt, die das Recht der Union oder einem Mitgliedstaat für die Verarbeitung von personenbezogenen Daten kann auch die Rechtsgrundlage für die weitere Verarbeitung bilden. Um festzustellen, ob der Zweck der Weiterverarbeitung ist kompatibel mit dem Zweck der ursprünglichen Sammlung von persönlichen Daten, der Controller, wenn es erfüllt alle Anforderungen für die Rechtmäßigkeit der ersten Verarbeitung, Sie sollten berücksichtigen,, einschließlich: eventuelle Verbindungen zwischen diesen Zwecken und den Zwecken der beabsichtigten Weiterverarbeitung, den Kontext, in dem die personenbezogenen Daten erhoben wurden, insbesondere die berechtigten Erwartungen der betroffenen Person aufgrund ihrer Beziehung zum Datenverantwortlichen hinsichtlich ihrer weiteren Verwendung, die Art der personenbezogenen Daten;

Amtsblatt der Europäischen Union 4.5.2016

(51)

Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen und das Bestehen geeigneter Garantien sowohl für die anfänglichen als auch für die beabsichtigten Weiterverarbeitungsvorgänge.

Wenn die betroffene Person ihre Einwilligung oder Verarbeitung zur Verfügung gestellt hat beruht auf dem Recht der Union oder einem Mitgliedstaat eine notwendige und angemessene Maßnahme in einer demokratischen Gesellschaft zu gewährleisten,, besondere, Hauptziele im Rahmen des allgemeinen öffentlichen Interesses, Es sollte der Regler erlaubt weiter auszuführen Verarbeitung personenbezogener Daten, unabhängig von der Kompatibilität der Ziele. Jedenfalls, Es sollte die Anwendung der Grundsätze gewährleistet in dieser Verordnung festgelegten und, insbesondere, die betroffene Person auf diesen anderen Zwecken informieren und über ihre Rechte, einschließlich des Rechts auf Objekt. Kennzeichnung möglich Verbrechen oder Gefahren für die öffentliche Sicherheit durch die Steuerung und die Übertragung von personenbezogenen Daten an eine zuständigen Behörde im Einzelfall oder an mehr Fällen die gleiche Straftat oder die gleichen Gefahren für die öffentliche Sicherheit beteiligt sollte als innerhalb der berechtigten Interessen berücksichtigt werden von der Steuerung verfolgt. jedoch, Die Übertragung erfolgt im berechtigten Interesse des Controllers oder der weiteren Verarbeitung personenbezogener Daten verboten werden sollte, wenn der Prozess ist nicht kompatibel mit Recht, berufliche oder andere bindende Verpflichtung zur Vertraulichkeit.

Personenbezogene Daten, die besonders empfindlich in der Natur sind in Bezug auf die Grundrechte und Freiheiten erfordern einen besonderen Schutz, weil der Kontext der Behandlung kann es zu ernsthaften Risiken für die Grundrechte und Freiheiten schaffen. Diese personenbezogenen Daten sollten persönliche Daten, aus denen die rassische und ethnische Herkunft sind, in denen die Verwendung des Begriffs ‚Rasse‘ in dieser Verordnung bedeutet nicht, dass die Union Theorien angenommen, dass die Existenz verschiedener menschlicher Rassen unterstützen. Fotobearbeitung sollte nicht systematisch die Verarbeitung besonderer Kategorien personenbezogener Daten betrachtet werden,, da diese nur durch die Definition der biometrischen Daten abgedeckt, wenn die Verarbeitung mittels spezieller technischer Mittel die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen,. Solche personenbezogenen Daten dürfen nicht verarbeitet werden, es sei denn, eine solche Behandlung ist in besonderen Fällen, die in dieser Verordnung erlaubt, während das Recht der Mitgliedstaaten können spezifische Bestimmungen zum Datenschutz festgelegt werden, die Anwendung der Bestimmungen dieser Verordnung anzupassen gesetzlichen Verpflichtungen oder erfüllen diese Aufgabe im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt in der Steuerung ausgeführt einzuhalten. Neben den spezifischen Anforderungen, die Gegenstand einer solchen Verarbeitung, die allgemeinen Grundsätze angewandt und die anderen Vorschriften dieser Verordnung werden, insbesondere in,In Bezug auf die Rechtsbehandlungsbedingungen. Ausnahmen von dem allgemeinen Verbot von personenbezogenen Daten Charakter innerhalb dieser spezifischen Kategorien fallen ausdrücklich sollten vorgesehen, einschließlich, im Fall der ausdrücklichen Zustimmung der betroffenen Person oder für Behinderte, insbesondere wenn die Verarbeitung unter aus legitimen Tätigkeiten bestimmter Vereinigungen oder Stiftungen getragen wird, dessen Zweck es ist, die Ausübung der Grundfreiheiten zu ermöglichen.

Die Ausnahme vom Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten sollte auch dann, wenn durch das Unionsrecht oder die Mitgliedstaaten und vorbehaltlich einer angemessene Absicherung zulässig, sofern, personenbezogenen Daten und andere Grundrechte zu schützen, sofern dies aus Gründen des Allgemeininteresses gerechtfertigt, die Verarbeitung personenbezogener Daten im Bereich des Arbeitsrechts insbesondere, das Sozialschutzrecht, einschließlich der Renten, und für die Gesundheit aus Sicherheitsgründen, Überwachung und Alarm zur Verhinderung oder übertragbare Krankheiten und andere schwerwiegende Gesundheitsbedrohungen zu steuern. Diese Ausnahme kann für gesundheitliche Zwecke hergestellt werden, einschließlich der öffentlichen Gesundheit und Gesundheitsmanagement, insbesondere, um die Qualität und Effizienz Kosten der verwendeten Verfahren zur Abrechnung von Leistungen in der Krankenversicherung, um sicherzustellen,, oder zu Archivierungszwecken im öffentlichen Interesse, Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke. Es sollte auch eine Ausnahme sein, die Verarbeitung dieser personenbezogenen Daten zu ermöglichen, wenn es notwendig ist, zu etablieren, Schulung oder Support Rechtsansprüche, entweder in einem Gerichtsverfahren oder einer administrativen oder außergerichtlichen Verfahren.

Die Verarbeitung besonderer Kategorien personenbezogener Daten, die höheren Schutz benötigen, sollte nur für Zwecke im Zusammenhang mit Gesundheit gemacht werden, wenn dies erforderlich ist, um diese Ziele zu erreichen,, zum Wohle der Menschen und der Gesellschaft als Ganzes, insbesondere im Rahmen von Service-Management-und Gesundheitssystemen und soziale Betreuung, einschließlich der Verarbeitung dieser Daten durch das Management und die zentralen nationalen Gesundheitsbehörden zum Zweck der Qualitätskontrolle, Informationsmanagement und die allgemeine nationale und lokale Aufsicht der Gesundheitsversorgung oder soziale Betreuung, und die Kontinuität der Gesundheitsversorgung oder Sozialarbeit und grenzüberschreitenden Gesundheitsversorgung oder Gesundheitssicherheit, zur Überwachung und Alarmzwecke oder für Zwecke im öffentlichen Interesse Archivierung, wissenschaftliche oder historische Forschung oder

4.5.2016

Amtsblatt der Europäischen Union

statistische Zwecke, durch das Recht der Union oder die Mitgliedstaaten im Hinblick auf das öffentliche Interesse dienen, sowie Studien im Bereich der öffentlichen Gesundheit im öffentlichen Interesse. folglich, sollte diese Verordnung für harmonisierter Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Daten der Gesundheit betreffend, mit Behinderungen im Vergleich, insbesondere wenn die Verarbeitung dieser Daten für bestimmte Zwecke in Bezug auf die Gesundheit von Personen durchgeführt, die im Rahmen einer gesetzlichen Geheimhaltungspflicht sind. Das Recht der Union oder die Mitgliedstaaten sollte spezifische und angemessene Maßnahmen für den Schutz der Grundrechte und die personenbezogenen Daten von Personen zur Verfügung stellen. Die Mitgliedstaaten sollten weitere Bedingungen aufrechterhalten können oder einführen, einschließlich der Beschränkungen, in Bezug auf die Verarbeitung genetischer Daten, biometrische Daten oder Daten über Gesundheit. jedoch, Dies sollte den freien Verkehr personenbezogener Daten innerhalb der Union nicht verhindern, wenn diese Bedingungen gelten für den grenzüberschreitenden Verarbeitung dieser Daten.

54. (54) Die Verarbeitung besonderer Kategorien personenbezogener Daten kann im öffentlichen Interesse in den Bereichen der öffentlichen Gesundheit erforderlich sein, ohne die Zustimmung der betroffenen Person. Eine solche Verarbeitung sollte vorbehaltlich einer angemessenen und spezifischen Maßnahmen, um die Rechte und Freiheiten des Einzelnen zu schützen. In diesem Zusammenhang, „Öffentliche Gesundheit“ sollte in der Verordnung definiert interpretiert werden (EG) keine. 1338/2008 Europäisches Parlament und Rat (1), dh alle mit Gesundheit assoziiert Elemente, nämlich Gesundheit, einschließlich Morbidität und Behinderung, die Determinanten, die die Gesundheit beeinflussen, Bedürfnisse im Gesundheitswesen, die verfügbaren Ressourcen für das Gesundheitswesen, die Bereitstellung von Gesundheitsversorgung und den Zugang zu ihm, und die Kosten und Finanzierung des Gesundheitswesens und die Ursachen der Sterblichkeit. Diese Verarbeitung von Daten über Gesundheit aus Gründen des öffentlichen Interesses im Bereich sollte bei der Verarbeitung personenbezogener Daten für andere Zwecke durch Dritte führen nicht, wie Arbeitgeber oder Versicherungen und Banken.
55. (55) zusätzlich, die Verarbeitung personenbezogener Daten durch staatliche Stellen für Ziele staatlich anerkannten Religionsgesellschaften zu erreichen, Staatsrechtler oder internationales öffentliches Recht festgelegt, Sache topoieitai öffentliches Interesse.
56. (56) ob, unter Wahl Aktivitäten, der Betrieb des demokratischen Systems in einem Mitgliedstaat der politischen Parteien personenbezogene Daten zu politischen Meinungen der Bürger in Bezug, die Verarbeitung dieser Daten kann aus Gründen des öffentlichen Interesses zugelassen werden, wenn ausreichende Garantien zur Verfügung gestellt.
57. (57) Werden personenbezogene Daten von einer Steuerung verarbeitet erlauben nicht den Controller eine natürliche Person zu identifizieren, die Datenverarbeitung Verantwortlichen sollten nicht verpflichtet werden, um zusätzliche Informationen zu erhalten, die betroffene Person für den alleinigen Zweck der Einhaltung einer Bestimmung dieser Verordnung zu identifizieren. jedoch, die Steuerung sollte nicht zusätzliche Informationen verweigert von der betroffenen Person vorgesehen, um zu erhalten, die Ausübung seiner Rechte zu unterstützen. Die Identifizierung sollte digitale Identifikation der betroffenen Person umfasst, beispielsweise durch den Authentifizierungsmechanismus, als die gleichen Identifikationsinformationen werden von der betroffenen Person beim Eintritt verwendet (Anmeldung) der Online-Dienst von der Steuerung zur Verfügung gestellt.
58. (58) Der Grundsatz der Transparenz verlangt, dass alle Informationen an die Öffentlichkeit oder an die betroffene Person sei kurz angesprochen, leicht zugänglich und leicht verständlich und klar und einfach Formulierung und, zusätzlich, gegebenenfalls, Darstellung. Solche Informationen könnten in elektronischer Form zur Verfügung gestellt werden, zum Beispiel, wenn für die Öffentlichkeit bestimmt, über die Website. Dies ist besonders wichtig in Fällen, in denen eine Vielzahl von Teilnehmern und die Komplexität von Technologien, die für die betroffene Person schwierig zu wissen und zu verstehen, wenn, von wem und zu welchem ​​Zweck der gesammelten personenbezogenen Daten,wie im Fall der Online-Werbung. Da brauchen Kinder besonderen Schutz, jedes Informations- und Kommunikations, wenn die Behandlung an Kindern, Es sollte in klaren und einfachen Sprache ausgedrückt werden, dass das Kind leicht verstehen können.
59. (59) Sie sollen Möglichkeiten bieten, die betroffene Person zur Ausübung seiner Rechte im Rahmen dieser Verordnung zu ermöglichen,, unter anderem Mechanismen, mit denen zu verlangen und, gegebenenfalls, erhalten werden kostenlos, insbesondere, Zugang zu personenbezogenen Daten und zu korrigieren oder löschen und das Recht auf Objekt auszuüben. Die Steuerung sollte auch die Mittel für die elektronische Übermittlung von Anfragen, insbesondere dann, wenn personenbezogene Daten verarbeitet elektronisch. Die Steuerung soll auf Anfragen der betroffenen Person unverzüglich, spätestens jedoch innerhalb eines Monats zu reagieren verpflichtet, und den Nachweis zu erbringen, wenn es nicht die Absicht, mit solchen Anfragen nachzukommen.

(1) Regulierung (EG) keine. 1338/2008 Europäisches Parlament und Rat, vom 16. Dezember 2008, zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz (ABl L 354 von 31.12.2008, p. 70).

Amtsblatt der Europäischen Union 4.5.2016

Die Prinzipien der fairen und transparenten Verarbeitung erfordern, dass die betroffene Person wird die Existenz der Verarbeitung und ihre Zwecke zu informieren. Die Steuerung sollte die betroffene Person keine weiteren Informationen zur Verfügung stellen, die notwendig ist, faire und transparente Behandlung zu gewährleisten,, unter Berücksichtigung der besonderen Umstände und Kontext, in dem sie die Verarbeitung personenbezogener Daten durchgeführt. weiter, die betroffene Person wird die Folgen sein und welches Profil muss aktualisiert werden, wenn festgestellt wird,. Werden personenbezogene Daten von der betroffenen Person zur Verfügung gestellt, die betroffene Person auch darüber informiert werden, ob personenbezogene Daten und für die Folgen zu liefern verpflichtet, wenn es bietet keine solche Daten. Diese Informationen können mit standardisierten Symbolen in Kombination zur Verfügung gestellt werden prominent platziert werden, verständlich und lesbar Art und Weise einen wesentlichen Überblick über die beabsichtigte Verarbeitung. Wenn die Symbole verfügbar sind elektronisch, Sie sollten maschinenlesbar sein.

Informationen in Bezug auf die Verarbeitung personenbezogener Daten an die betroffenen Person beziehen, sollen in der Sammlung der betroffenen Person zur Verfügung gestellt werden oder, wenn die persönlichen Daten von einer anderen Quelle empfangen, innerhalb einer angemessenen Frist, je nach den Umständen des Einzelfalls. Wenn personenbezogene Daten an einen anderen Empfänger offen gelegt werden, Die betroffene Person muss mitgeteilt werden,, wenn personenbezogene Daten werden zum ersten Mal des Empfänger. Wenn die Steuerung für einen bestimmten Zweck personenbezogene Daten verarbeiten will andere als die, für die sie gesammelt wurden, die Daten-Controller sollten die betroffene Person liefern, vor der genannten weiteren Verarbeitung, Informationen hierzu und andere notwendige Informationen. Wenn die Herkunft der personenbezogenen Daten nicht an die betroffene Person offen gelegt werden, da verschiedene Quellen verwendet wurden,, Sie sollten allgemeine Informationen gegeben werden.

jedoch, es ist nicht erforderlich, die Verpflichtung aufzuerlegen, um Informationen zur Verfügung zu stellen, wenn die betroffene Person bereits über die Information, wenn die Aufzeichnung und Veröffentlichung personenbezogener Daten ausdrücklich gesetzlich vorgeschrieben oder soweit die Bereitstellung von Informationen an die betroffenen Person nicht als unmöglich erweist oder erfordern würde einen unverhältnismäßig hohen Aufwand zur Verfügung gestellt. Letzteres könnte besonders, wenn die Behandlung ist für Archivierungszwecke im öffentlichen Interesse, zum Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke. Verbindung, Sie sollten die Anzahl der betroffenen Personen berücksichtigen, Das Alter der Daten und gegebenenfalls geeignete Sicherungsmaßnahmen eingeleitet.

Die betroffene Person hat das Recht auf Zugang personenbezogene Daten erhoben und Anliegen hat und dieses Recht leicht zu trainieren und in angemessenen Abständen, die Rechtmäßigkeit der Verarbeitung zu beachten und überprüfen. Dazu gehört das Recht der betroffenen Personen auf Zugang zu den Daten haben über ihre Gesundheit, beispielsweise die Daten in ihren medizinischen Unterlagen solche Informationen als Diagnose enthalten, Prüfungsergebnisse, Einschätzungen von behandelnden Ärzten und jede Behandlung oder Eingriffe gemacht. deshalb, jede betroffene Person soll das Recht hat, zu wissen, und das vor allem bekannt gegeben, zu welchem ​​Zweck ist die Verarbeitung personenbezogener Daten, wenn möglich, wie lange dauert die Verarbeitung personenbezogener Daten, Empfänger, die personenbezogenen Daten erhalten, Welche Logik ist in automatisierten Verarbeitung personenbezogener Daten gefolgt und was die Folgen einer solchen Verarbeitung sein könnte, zumindest dann, wenn basierend auf Profilierungs. Die Steuerung sollte Remote-Zugriff auf ein sicheres System zu schaffen, in der Lage, durch die die betroffene Person einen direkten Zugang zu den Daten erhält über ihn. Dieses Recht sollte nicht nachteilig auf die Rechte oder Freiheiten anderer beeinflussen, wie das geistige Eigentum Berufsgeheimnis oder das Recht und, besondere, Urheberrecht zum Schutz der Software. jedoch, Diese Faktoren sollten nicht in der Verweigerung von Informationen zu der betroffenen Person. Wenn der Controller verarbeitet große Mengen an Informationen über die betroffene Person, die Steuerung sollte das Thema fragen können,, gegeben Vorinformationen, geben Sie die Informationen oder Verarbeitungstätigkeiten der Anforderung zugeordnet.

Die Steuerung sollte alle zumutbaren Maßnahmen verwenden, um die Identität der betroffenen Person zu überprüfen, die den Zugriff anfordert, insbesondere im Rahmen von Online-Diensten und Online-Identifikatoren Identität. Die Steuerung sollte keine personenbezogenen Daten behalten für den alleinigen Zweck, um potenzielle Anfragen reagieren zu können,.

Die betroffene Person hat das Recht auf Anfrage Korrektur von personenbezogenen Daten, die ihn betreffen, und das „Recht auf Vergessen“, wenn die Beibehaltung dieser Daten verstößt gegen diese Verordnung oder das Recht der Union oder der Mitgliedstaat, in dem die Steuerung unterliegt. insbesondere, die betroffene Person das Recht haben sollte, das Löschen und die Beendigung der Verarbeitung personenbezogener Daten im Zusammenhang mit ihm zu verlangen, wenn die personenbezogenen Daten nicht mehr notwendig ist in Bezug auf die Zwecke, für die sie erhoben oder gemäß eingereicht’ anderweitig verarbeitet, wenn die betroffene Person Zustimmung zur Behandlung oder, wenn das Objekt auf die Verarbeitung personenbezogener Daten, die ihn betreffen, oder wenn die Verarbeitung personenbezogener Daten entzieht ihn beziehen, ist nicht in Übereinstimmung mit dieser Verordnung in’ andernfalls. Dieses Recht ist besonders wichtig, wenn die betroffene Person ihre Einwilligung als Kind zur Verfügung gestellt hat, wenn er nicht voll und ganz bewusst

4.5.2016

Amtsblatt der Europäischen Union

die Risiken der Behandlung, und später will bestimmte persönliche Daten löschen, vor allem aus dem Internet. Die betroffene Person sollte in der Lage sein, dieses Recht auch auszuüben, obwohl es nicht länger Kind. jedoch, weitere Erhaltung der persönlichen Daten sollte zulässig, wenn sie für die Ausübung des Rechts auf freie Meinungsäußerung und Information notwendig ist,, für die Erfüllung einer rechtlichen Verpflichtung, eine Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlichen Gewalt zu erfüllen in der Steuerung übertragen, öffentliches Interesse an dem öffentlichen Gesundheitssektor, für Archivierungszwecke im öffentlichen Interesse, zum Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke, oder zur Errichtung, Schulung oder Support Rechtsansprüche.

66. (66) Zur Stärkung des direkt in der Online-Umgebung vergessen zu werden, das Recht auf Löschung sollte auch so erweitert werden, dass die Steuerung, die personenbezogene Daten veröffentlicht ist verpflichtet, die Controller verarbeiten diese persönlichen Daten zu informieren, um alle Links oder kopieren oder die Replikation der Daten zu löschen persönlich. Wenn es tut so, Controller das müssen angemessene Schritte, unter Berücksichtigung der verfügbaren Technologie und die Mittel, die für die Datenverarbeitung, einschließlich der technischen Maßnahmen, zu informieren Controller, die personenbezogene Daten auf Antrag der betroffenen Person verarbeiten.
67. (67) Methoden verwendet, um die Verarbeitung personenbezogener Daten beschränken könnten, einschließlich, die temporäre Bewegung der ausgewählten Daten zu einem anderen Verarbeitungssystem, Entfernen der Zugänglichkeit von ausgewählten persönlichen Daten von Nutzern oder vorübergehende Entfernung der veröffentlichten Daten von der Website. In automatisierten Dateien Begrenzung Verarbeitung sollte in’ Prinzip durch technische Mittel sichergestellt werden, so dass persönliche Daten können nicht Gegenstand einer weiteren Verarbeitung und kann nicht geändert. Die Tatsache, dass die Verarbeitung personenbezogener Daten beschränkt ist, wird im System angezeigt werden.
68. (68) Um die Kontrolle über die persönlichen Daten zu stärken, wenn die Verarbeitung personenbezogener Daten erfolgt durch automatisierte Mittel aus, die betroffene Person sollte auch gestattet werden ihm personenbezogenen Daten zu erhalten, die im Zusammenhang eine Steuerung zur Verfügung gestellt hat, ein strukturierter, häufig verwendet und maschinenlesbares Format kompatibel, und leiten sie an einen anderen Controller. Die Datenverarbeitung Verantwortlichen sollten umfassen die Förderung nontai entwickeln interoperablen Formaten Datenportabilität ermöglichen. Dieses Recht sollte gelten, wenn die betroffene Person die persönlichen Daten mit Zustimmung zur Verfügung gestellt hat oder wo die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist,. Es sollte keine Anwendung, wenn die Verarbeitung basiert auf anderen Befugnisse als Zustimmung oder Vereinbarung. Von der Natur dieses Rechts sollte nicht von Controllern ausgeübt werden, die in der Ausübung ihrer öffentlichen Aufgaben personenbezogene Daten verarbeiten. Es sollte daher zur Anwendung, wenn die Verarbeitung personenbezogener Daten für die Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der die Steuerung unterliegt, oder eine Aufgabe im öffentlichen Interesse liegt oder in Ausübung öffentlichen Gewalt in der Steuerung übertragen durchgeführt erfüllen. Das Recht der betroffenen Person zu empfangen und senden oder persönliche Daten, die ihm im Zusammenhang sollte keine Verpflichtung schaffen für Controller Behandlungssysteme zu erlassen oder beizubehalten, die kompatibel sind technisch. wenn, ein bestimmte Satz von persönlichen Daten, betroffen mehr als eine zugrunde liegende Daten, das Recht vor, persönliche Daten erhalten sollte die Rechte und Freiheiten anderer betroffenen Personen im Rahmen dieser Verordnung betreffen. zusätzlich, Dieses Recht sollte nicht das Recht der Betroffenen beeinträchtigt die Löschung personenbezogener Daten oder Einschränkungen dieses Recht zu verlangen,, wie sollte Löschung von personenbezogenen Daten über die betroffene Person des persönlichen Charakters nicht führen in dieser Verordnung und insbesondere vorgesehen, und die von ihm im Rahmen eines Vertrags geliefert wurde,, das Ausmaß und wenn diese Daten für die Durchführung dieses Vertrages erforderlich ist. Wenn technisch möglich, die betroffene Person das Recht zu gewährleisten haben, dass personenbezogene Daten direkt von einem Controller zu einem anderen übertragen werden.
69. (69) Werden personenbezogene Daten rechtmäßig verarbeitet werden können, da die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, im öffentlichen Interesse liegt oder in Ausübung öffentlichen Gewalt in den Controller übertragen durchgeführt oder aus Gründen berechtigten Interessen des Controllers oder einem Dritten, jede betroffene Person sollte par berechtigt’ alle von ihnen auf die Verarbeitung von personenbezogenen Daten in Bezug auf die besondere Situation zu wieder. Es sollte für die Steuerung, dass die zwingenden berechtigten Interesse erweisen, die Interessen oder die Grundrechte und Freiheiten der betroffenen Person außer Kraft setzen.
70. (70) Werden personenbezogene Daten für Zwecke der Direktwerbung verarbeitet, die betroffene Person das Recht haben sollten, um eine solche Verarbeitung zu wider, einschließlich Ausbildungsprofil in dem Umfang, der mit diesem Direktmarketing zugeordnet ist,, ob anfängliche oder zur Weiterverarbeitung, jederzeit und ohne Gebühr. Dieses Recht muss speziell auf die Aufmerksamkeit des Betroffenen zur Kenntnis gebracht und deutlich getrennt von allen anderen Informationen angezeigt.

Amtsblatt der Europäischen Union 4.5.2016

Die betroffene Person sollte das Recht haben, nicht Gegenstand einer Entscheidung zu sein, die ein gewisses Maß enthalten kann, die bewerten persönliche Aspekte, die ihn betreffen, ausschließlich auf eine automatisierte Verarbeitung erhalten und die Rechtswirkungen für die betreffende Person oder erheblich beeinträchtigt entsprechend, wie die automatische Ablehnung Online-Kreditantrag oder elektronische Einstellungspraxis ohne menschlichen Eingriff. Diese Behandlung umfasst „Profilierung“, die jede Form von persönlichen automatisierten Daten bestehen die Verarbeitung personenbezogener Aspekte zu bewerten, um eine natürliche Person, insbesondere die Analyse oder Aspekte der Leistung bei der Arbeit der Vorhersage, die wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, die Position oder Bewegung des Betroffenen, soweit gesetzlich wirksam gegen eine solche Person oder erheblich beeinträchtigt analog. jedoch, eine Entscheidung über diese Behandlung auf der Grundlage, einschließlich Ausbildungsprofil, Es sollte, wenn ausdrücklich das Recht der Union oder einem Mitgliedstaat zugelassen werden, in denen der Controller Subjekt, einschließlich zum Zweck der Überwachung und Bekämpfung von Betrug und Steuerhinterziehung gemäß den Verordnungen, die Standards und Empfehlungen der Organe der Union und die nationalen Aufsichtsbehörden und die Sicherheit und Zuverlässigkeit des Dienstes durch den Controller zur Verfügung gestellt, um sicherzustellen,, oder, wenn es für den Abschluss oder die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Controller oder wenn die betroffene Person erforderlich ist, hat ihre ausdrückliche Zustimmung zur Verfügung gestellt. Jedenfalls, eine solche Verarbeitung sollte unter geeigneten Sicherheitsmaßnahmen werden, die sollte spezifische Informationen der betroffenen Person ist und die richtige Sicherung menschlichen Eingriffs, das Recht der Meinungsäußerung von, die richtigen Gründe für die Entscheidung im Rahmen dieser Prüfung und das Recht anfechten die Entscheidung getroffen zu erhalten. Diese Maßnahme soll kein Kind betreffen.

Um einen fairen und transparenten Prozess in Bezug auf die betroffenen Person, um sicherzustellen,, unter Berücksichtigung der besonderen Umstände und Kontext, in dem sie die Verarbeitung personenbezogener Daten durchgeführt, die Steuerung sollte für die Erstellung des Profils geeignete mathematische oder statistische Verfahren verwenden, technische und organisatorische Maßnahmen zur Umsetzung, die Faktoren zu korrigieren, die zu Ungenauigkeiten in der persönlichen Daten führen und das Risiko von Fehlern zu minimieren, eine gesicherte persönliche Daten in einer Weise, dass die potenziellen Risiken im Zusammenhang mit den Interessen und Rechten der betroffenen Person und in einer Weise, dass verhindert berücksichtigt, einschließlich, die diskriminierende Wirkung gegen Personen aufgrund ihrer Rasse oder ethnischer Herkunft, politische Meinung, Religion oder Weltanschauung, in Gewerkschaften Teilnahme, genetisch bedingte Erkrankung oder der Gesundheitszustand oder die sexuelle Ausrichtung, oder gleichwertige Maßnahmen. Automatisierte Entscheidungsfindung und Profilierung auf der Grundlage spezifischer Kategorien personenbezogener Daten sollte nur unter bestimmten Bedingungen erlaubt werden.

Die Profilierung unterliegt den Vorschriften dieser Verordnung über die Verarbeitung personenbezogener Daten, als Rechtsgrund für die Verarbeitung oder Datenschutzbehörden. In diesem Zusammenhang, die Europäische Datenschutzbehörde dieser Verordnung festgelegt ("Data Protection Board") Sie sollten in der Lage sein, Anweisungen zu geben.

Sie können durch das Unionsrecht oder Recht der Mitgliedstaaten Beschränkungen für bestimmte grundlegende Prinzipien und Rechte auf Informationen auferlegt werden, Auskunft und Berichtigung oder Löschung von personenbezogenen Daten, das Recht auf Datenportabilität, das Recht auf Objekt, die Entscheidungen auf der Grundlage Profilierungs, und die Verletzung der persönlichen Datenkommunikation an die betroffene Person und bestimmten damit verbundenen Verpflichtungen der Controller, in dem Maße, in einer demokratischen Gesellschaft zu schützen öffentliche Sicherheit erforderlich und angemessen ist, einschließlich dem Schutz des menschlichen Lebens, vor allem im Fall von natürlichen oder von Menschen verursachten Katastrophen, Vorbeugung, Untersuchung und Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen, einschließlich der Sicherstellung gegen Bedrohungen der öffentlichen Sicherheit und der Verhütung oder ethischen Verletzungen in reglementierten Berufen, andere wichtige Ziele von allgemeinem öffentlichen Interesse der Union oder einem Mitgliedstaat, insbesondere einen wichtigen wirtschaftlichen oder finanziellen Interessen der Union oder einem Mitgliedstaat, die Einhaltung der öffentlichen Aufzeichnungen aus Gründen der Daseinsvorsorge, Weiterverarbeitung personenbezogener Daten archiviert spezifische Informationen über das politische Verhalten in früheren autoritären Regimen oder den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer zu schaffen, einschließlich Sozialschutz, öffentliche Gesundheit und humanitäre Zwecke. Diese Einschränkungen sollten mit den Anforderungen in Einklang stehen in der Charta und der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten festgelegt.

Es sollte von der Steuerung oder im Namen des Controllers ausgeführt Verantwortung und Entschädigung der Steuerung für jede Verarbeitung personenbezogener Daten etabliert. speziell, die Steuerung sollte ordnungsgemäß umzusetzen verpflichtet und effektiv zu messen und die Übereinstimmung der Verarbeitungsvorgänge mit dieser Verordnung nachweisen kann,, einschließlich der Wirksamkeit der Maßnahmen. Diese Maßnahmen sollten berücksichtigen die Natur, Kontext, der Umfang und Zweck der Verarbeitung und die Risiken für die Rechte und Freiheiten des Einzelnen.

Amtsblatt der Europäischen Union

75. (75) Die Risiken für die Rechte und Freiheiten natürlicher Personen, Verändern Wahrscheinlichkeit und die Schwere, Sie können aus der Verarbeitung personenbezogener Daten erhalten werden, die zu physischen führen könnten, physischer oder nicht-physischer Schaden, vor allem, wenn die Behandlung zu Diskriminierung führen kann, Missbrauch oder Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, Verlust der persönlichen Geheimhaltungszeichendaten geschützt durch das Berufsgeheimnis, Entziehen von psefdonymopoiisis, oder andere erhebliche wirtschaftliche oder soziale Nachteile; wenn betroffene Personen ihrer Rechte und Freiheiten beraubt oder daran gehindert werden könnten, die Kontrolle über ihre personenbezogenen Daten auszuüben; wenn personenbezogene Daten verarbeitet werden, aus denen die rassische oder ethnische Herkunft hervorgeht, politische Überzeugung, Religion oder philosophische Überzeugungen oder die Teilnahme an Gewerkschaften und verarbeitet Gendaten, Daten über die Gesundheit oder Daten über das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit verbundene Sicherheitsmaßnahmen, wenn personenbezogene Aspekte bewertet werden, vor allem wenn man versucht, Aspekte der Leistung bei der Arbeit zu analysieren oder vorhersagen, die wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, die Position oder die Bewegungen, um personenbezogene Profile zu erstellen oder zu verwenden; bei der Verarbeitung personenbezogener Daten schutzbedürftiger natürlicher Personen, insbesondere Kinder, oder wenn die Verarbeitung eine große Menge personenbezogener Daten umfasst und eine große Anzahl betroffener Personen betrifft.
76. (76) Die Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollen unter Bezugnahme auf die Natur bestimmt werden, der Umfang, der Kontext und Zweck der Verarbeitung. Dieses Risiko sollte auf einer objektiven Beurteilung bewertet werden, zu erklären, ob Datenverarbeitungsvorgänge betreffen Risiko oder ein hohes Risiko.
77. (77) Anleitung für die Durchführung geeigneter Maßnahmen und die Einhaltung des Controllers zu demonstrieren und Prozessor, insbesondere in Bezug auf die Behandlung der Ermittlung der Risiken, ihre Beurteilung in Bezug auf die Herkunft, Natur, Wahrscheinlichkeit und die Schwere und identifizieren insbesondere bewährte Verfahren zur Risikominderung wird mit genehmigten Verhaltenskodizes werden, vorausgesetzt,, approved Zertifizierungen, Richtlinien vom Vorstand Datenschutz versehen oder die Anweisungen versehen DPO. Die Datenschutzbehörde kann auch Leitlinien im Hinblick auf Verarbeitungsvorgänge, die für die Rechte und Freiheiten von Personen gelten als unwahrscheinlich zu einem hohen Risiko führen, was anzeigen würde, welche Maßnahmen in diesem Fall ausreichend sein können, um das relative Risiko zu begegnen.
78. (78) Der Schutz der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten muß geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass die Anforderungen dieser Verordnung. Um der Lage sein, die Einhaltung dieser Verordnung zu demonstrieren, der Controller sollten interne Richtlinien erlassen und durch Design und durch Standardmaßnahmen darauf reagieren insbesondere auf die Grundsätze des Datenschutzes umzusetzen. Solche Maßnahmen könnten, einschließlich, Minimierung der Verarbeitung personenbezogener Daten, psefdonymopoiisi die personenbezogenen Daten so schnell wie möglich, Transparenz der Funktionen in Bezug auf und die Verarbeitung personenbezogener Daten, die betroffene Person zu ermöglichen, die Datenverarbeitung zu überwachen und in der Lage sein, die Steuerung erzeugt und verbessert die Sicherheitsfunktionen. bei der Entwicklung von, Design, Auswahl und Verwendung von Anwendungen, Dienstleistungen und Produkte auf der Verarbeitung personenbezogener Daten basieren oder sie für die Erfüllung ihrer Aufgaben von der Verarbeitung persönlicher Daten, die Hersteller, Dienste und Anwendungen sollten das Recht auf Datenschutz berücksichtigen gefördert werden, in der Entwicklung und Konstruktion solcher Produkte, Dienste und Anwendungen, dass, die neuesten Entwicklungen unter Berücksichtigung, sicherzustellen, dass Controller und Prozessoren der Lage wäre, ihre Verpflichtungen in Bezug auf den Datenschutz zu erfüllen. Die Grundsätze des Datenschutzes durch Design und standardmäßig sollte auch berücksichtigt bei der öffentlichen Auftragsvergabe getroffen werden.
79. (79) Der Schutz der Rechte und Freiheiten der betroffenen Personen, sowie die Verantwortung und Haftung für Schäden an Steuerungen und Durchführen einer Verarbeitung, im Zusammenhang mit den Aufsichtsbehörden und Aufsichtsmaßnahmen zur Überwachung, Es erfordert eine klare Zuordnung von Verantwortlichkeiten im Rahmen dieser Verordnung, einschließlich des Falls, in dem ein Controller die Zwecke und Mittel der Verarbeitung wird gemeinsam mit anderen Controllern oder in denen eine Verarbeitungsoperation im Namen einer Steuereinheit durchgeführt wird bestimmt,.
80. (80) Wenn ein Controller oder Prozessor in der Union nicht festgestellt wird, wird die Verarbeitung Themen personenbezogenen Daten, die in der Union sind und eine Verarbeitung Aktivitäten auf die Lieferung von Waren oder Dienstleistungen im Zusammenhang mit, oder die Zahlung von der Person oder nicht, in diesen Fächern in der Union oder die Überwachung ihres Verhaltens in dem Maße, dass ihr Verhalten in der Union nimmt, die Steuerung oder der Prozessor sollte einen Vertreter bezeichnen,, es sei denn, die Verarbeitung ist lässig, nicht Verarbeitung umfassen, Groß, personenbezogenen Daten oder die Verarbeitung persönliche Daten zu strafrechtlichen Verurteilungen und Straftaten und wird wahrscheinlich nicht in der Gefahr für die Rechte und Freiheiten natürlicher Personen führen, unter Berücksichtigung der Umfang, Kontext, die Art und den Zweck der Verarbeitung, oder wenn die Steuerung eine Behörde oder Körper. Der Vertreter sollte im Namen der Controller oder Prozessor handeln kann, und dass jede Supervisor adressiert werden. Der Vertreter sollte klar definiert sein

L 119/16

Amtsblatt der Europäischen Union 4.5.2016

(81)

schriftliche Genehmigung der Steuerung oder dem Prozessor zu handeln, in seinem Namen in Bezug auf ihre Verpflichtungen im Rahmen dieser Verordnung. Die Ernennung des Vertreters berührt nicht die Verantwortung oder Haftung der Steuerung oder den Prozessor im Rahmen dieser Verordnung. Dieser sollte ihre Aufgaben entsprechend dem Auftrag durch die Steuerung oder den Prozessor gegeben auszuführen, unter anderem mit den zuständigen Behörden über alle Maßnahmen die Einhaltung dieser Verordnung zu gewährleisten. Der bestellte Vertreter wird durch die Steuerung oder den Prozessor unter Vollstreckungsverfahren bei Nichteinhaltung sein.

Um die Einhaltung der Anforderungen dieser Verordnung im Hinblick auf die Durchführung der Verarbeitung durch den Prozessor zu gewährleisten, durch die Steuereinrichtung, wobei der Prozessor Verarbeitungsaktivitäten zugeordnet, die Steuerung sollte nur Prozessoren verwenden, die ausreichende Garantien bieten, insbesondere im Hinblick auf Know-how, Glaubwürdigkeit und Ressourcen, technische und organisatorische Maßnahmen zur Umsetzung der Anforderungen dieser Verordnung zu erfüllen, einschließlich derjenigen in Bezug auf die Sicherheit der Verarbeitung. Der Beitritt des Prozessors an einen zugelassenen Verhaltenskodex oder ein zugelassenen Zertifizierungsschema kann als Beweismittel verwendet werden, die Einhaltung zu beweisen, mit den Verpflichtungen des Controllers. Die Behandlung des Prozessors muss von einem Vertrag oder einem anderen Rechtsakt geregelt, basierend auf dem Unionsrecht oder das Recht der Mitgliedstaaten, Verbinden des Prozessors mit dem Controller, der definiert, den Umfang und die Dauer der Behandlung, die Art und Zweck der Verarbeitung, die Art von persönlichen Daten und Datenkategorien Themen, unter Berücksichtigung der spezifischen Aufgaben und Verantwortlichkeiten des Prozessors als Teil der Verarbeitung auf die Rechte und Freiheiten der betroffenen Personen durchgeführt und das Risiko zu. Der Controller und der Prozessor entscheiden können von der Kommission oder von einer Aufsichtsbehörde in Übereinstimmung mit der Konsistenz Mechanismus und anschließend von der Kommission genehmigte direkt einen individuellen Vertrag oder Standardvertragsklauseln oder genehmigt verwenden. Nach Abschluss der Verarbeitung im Auftrag des Controller, der Prozessor sollte, Je nach Wahl des Reglers, zurückzukehren oder die Löschung von personenbezogenen Daten, personenbezogenen Daten nach dem Unionsrecht zu speichern oder das Recht des Mitgliedstaates, es sei denn, in dem der Prozessor gehört.

Um der Lage sein, die Einhaltung dieser Verordnung zu demonstrieren, der Controller oder der Prozessor führt Aufzeichnungen von Verarbeitungsvorgängen in ihrer Verantwortung behalten. Jeder Controller und jeder Prozessor sollen verpflichtet werden, bei der Aufsichtsbehörde zur Zusammenarbeit und zur Verfügung die machen, auf Anfrage, solche Aufzeichnungen, so kann es zur Überwachung der spezifischen Verarbeitungsoperationen verwendet werden,.

Zur Aufrechterhaltung der Sicherheit und Verarbeitung unter Verstoß gegen diese Verordnung zu verhindern, der Controller oder Prozessor soll die Risiken bei der Verarbeitung bewerten und Maßnahmen zur Minderung dieser Risiken, wie durch Verschlüsselung. Diese Maßnahmen sollten ein angemessenes Maß an Sicherheit gewährleisten, das schließt die vertrauliche werbsfähigkeit, die neuesten Entwicklungen unter Berücksichtigung und die Kosten für die Implementierung in Bezug auf die Risiken und die Art der personenbezogenen Daten geschützt werden. Bei der Beurteilung der Gefahr für die Datensicherheit, die aus der Verarbeitung personenbezogener Daten entstehen Risiken gegeben werden, wie zufällige oder vorsätzliche Zerstörung, Verlust, Veränderung, unbefugt oder Zugriff auf persönliche Daten übertragen, gespeichert oder flach unterworfen’ anderweitig verarbeitet, die in physikalischen führen könnte, physischer oder nicht-physischer Schaden.

Um die Einhaltung dieser Verordnung zu verstärken bei der Verarbeitung von Operationen in einem hohen Risiko für die Rechte und Freiheiten von Personen führen können, die Steuerung für die Durchführung von Folgenabschätzung für den Datenschutz verantwortlich, zu beurteilen, insbesondere, Quelle, Natur, die Wahrscheinlichkeit und Schwere dieses Risikos. Das Ergebnis der Bewertung sollte berücksichtigt werden, wenn bestimmt wird, welche Maßnahmen sollten, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit dieser Regelung nachzuweisen genommen werden. Wenn die Bewertung der Auswirkungen auf den Datenschutz gibt an, dass Verarbeitungsvorgänge ein hohes Risiko, dass der Controller beinhalten kann nicht durch geeignete Maßnahmen im Hinblick auf die verfügbaren Technologien und Implementierungskosten verringert werden, Sie sollten von der Aufsichtsbehörde vor der Verarbeitung zu Rate gezogen werden.

Verletzung von personenbezogenen Daten, wenn adressierte nicht in einem angemessenen und rechtzeitigen, führen zu physikalischen, physischer oder nicht-physischer Schaden für Einzelpersonen, wie über ihre persönlichen Daten von Kontrollverlust oder Einschränkung ihrer Rechte, diskriminierend, Missbrauch oder Identitätsdiebstahl, finanzielle Verluste, Entziehen von psefdonymopoiisis, Rufschädigung, Verlust der Vertraulichkeit personenbezogener Daten durch das Berufsgeheimnis oder andere wichtige soziale oder wirtschaftliche Nachteile für die einzelnen Schutz betroffenen. folglich, sobald der Controller

Amtsblatt der Europäischen Union

wird von einer Verletzung personenbezogener Daten bewusst, sollte unverzüglich, wenn möglich, innerhalb 72 Stunden der erworbenen Kenntnisse der Veranstaltung, die Verletzung personenbezogener Daten an die zuständige Aufsichtsbehörde offen legen, es sei denn, o-Controller kann beweisen, nach dem Prinzip der Verantwortlichkeit, dass die Verletzung der persönlichen Daten ist nicht wahrscheinlich Ursache Gefahren für die Rechte und Freiheiten des Einzelnen. Wenn eine solche Meldung nicht innerhalb erreicht werden 72 Stunden, Die Anmeldung muss durch begründet werden unter Angabe der Gründe für die Verzögerung und die Informationen können nach und nach ohne unangemessene Verzögerung zu liefern.

86. (86) Die Steuerung muss unverzüglich unterrichtet die betroffene Person Verletzung personenbezogener Daten informieren, wenn die Verletzung der persönlichen Daten, die wahrscheinlich in einem hohen Risiko für die Rechte und Freiheiten des Einzelnen führen ist, um die notwendigen Vorkehrungen treffen zu dürfen,. Die Mitteilung sollte die Art der Verletzung personenbezogener Daten und Empfehlungen an den einzelnen betroffenen beschreibt mögliche schädliche Auswirkungen zu mildern. Dies sind die betroffenen Personen sollten so bald wie möglich gemacht werden,, in enger Zusammenarbeit mit der Aufsichtsbehörde, Achtung Führung durch sie selbst oder andere zuständige Behörden zur Verfügung gestellt, wie Strafverfolgungsbehörden. zum Beispiel, die Notwendigkeit, eine unmittelbar drohende Gefahr des Verlustes zu mildern würde sofortige Mitteilung an den betroffenen Personen verlangt, und die Notwendigkeit zur Umsetzung geeignete Maßnahmen gegen fort oder ähnliche Datenschutzverletzungen persönlicher Natur sind, können eine längere Mitteilung rechtfertigen.
87. (87) Es ist zu prüfen, ob sie alle geeigneten technische Schutzmaßnahmen und organisatorische Maßnahmen zur sofortigen Identifizierung von persönlichen Daten Verletzung und der unverzüglichen Unterrichtung der Aufsichtsbehörde und der betroffenen Person durchgeführt haben. Es sei darauf hingewiesen, dass die Offenlegung unverzüglich gemacht wurde, unter Berücksichtigung insbesondere die Art und Schwere der Verletzung personenbezogener Daten, und die Folgen und Nebenwirkungen für die betroffene Person. Die Benachrichtigung kann von der Aufsichtsbehörde zur Intervention führen, in Übereinstimmung mit den Aufgaben und in dieser Verordnung festgelegten Befugnissen.
88. (88) In detaillierten Regeln Einstellung des Formats und der Verfahren für die Meldung von Datenschutzverletzungen in Bezug auf, Sie sollten unter gebührender Berücksichtigung der Umstände eines solchen Verstoßes nehmen, einschließlich, ob personenbezogene Daten durch geeignete technische Schutzmaßnahmen geschützt, wirksam zu begrenzen die Wahrscheinlichkeit des Identitätsbetrugs oder anderer Formen des Missbrauchs. zusätzlich, diese Vorschriften und Verfahren sollten die legitimen Interessen der Strafverfolgungsbehörden berücksichtigen, wo frühe Offenlegung könnte die Untersuchung der Umstände der Verletzung der persönlichen Daten unnötig behindern.
89. (89) Richtlinie 95/46 / EG für eine allgemeine Verpflichtung, die personenbezogenen Daten an die Aufsichtsbehörden offen zu legen. Obwohl diese Verpflichtung bringt administrative und finanzielle Belastungen, Es hat nicht in allen Fällen zu helfen, den Schutz personenbezogener Daten zu verbessern. deshalb, allgemeine Verpflichtungen eine solche Offenlegung, undifferenziert, Sie sollten mit einem wirksamen Verfahren und Mechanismen abgeschafft und ersetzt werden, die auf dieser Art von Verarbeitungsoperationen konzentrieren, die in einem hohen Risiko für die Rechte und Freiheiten von Personen aufgrund der Natur führen, der Umfang, der Kontext und ihre Ziele. Diese Arten von Verarbeitungen können solche sein,, insbesondere, der Einsatz neuer Technologien oder neuen Typ, der ist, wenn zuvor nicht Beurteilung auswirken, den Datenschutz betreffend von der Steuerung oder wenn sie wegen der Zeit, die notwendig sind vergangen von der ersten Verarbeitung.
90. (90) In diesen Fällen, der Controller, vor der Behandlung, sollte eine Folgenabschätzung in Bezug auf den Datenschutz durchführen, die besondere Wahrscheinlichkeit und die Schwere von hohem Risiko zu beurteilen, unter Berücksichtigung der Natur, Ausmaß, Kontext und Zweck der Verarbeitung und Risikoquellen. Diese Folgenabschätzung sollte enthalten, insbesondere, die geplanten Maßnahmen, Garantien und Mechanismen, die dieses Risiko zu mindern, den Schutz personenbezogener Daten zu gewährleisten und Nachweis der Einhaltung dieser Verordnung.
91. (91) Dies gilt insbesondere für Operationen in großer Maßstab Verarbeitung bei der Verarbeitung eine erhebliche Menge an personenbezogenen Daten auf regionales Ziel, nationale oder supranationale Ebene, die eine große Anzahl von betroffenen Personen beeinflussen könnte und die sich in hohem Risiko führen, zum Beispiel wegen ihrer Empfindlichkeit, wenn nach dem bestehenden technologischen Wissensstand verwendet, um eine neue Technologie weit verbreitet, und andere Verarbeitungsvorgänge, die in einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führen, insbesondere dann, wenn solche Handlungen behindern die Ausübung der Rechte der betroffenen Personen. Es sollte auch darauf hin, eine Folgenabschätzung in Bezug auf den Datenschutz durchgeführt werden, wenn personenbezogene Daten in den kommenden Entscheidungen verarbeitet werden, in Bezug auf bestimmte Personen nach einer systematischen und umfassenden Evaluierung der persönlichen Aspekte in Bezug auf Einzelpersonen Based Training

Amtsblatt der Europäischen Union

Profile auf der Grundlage dieser Daten, oder nach der Verarbeitung besonderer Kategorien personenbezogener Daten, biometrische Daten oder Daten in Bezug auf Straftaten und strafrechtliche Verurteilungen oder Sicherheitsmaßnahmen im Zusammenhang. Folgenabschätzung für den Datenschutz ist auch für die Überwachung von öffentlich zugänglichen Bereichen in großem Maßstab erforderlich, vor allem, wenn für opto-elektronische Geräte oder andere Arbeiten, wenn die zuständige Behörde der Auffassung, dass die Verarbeitung kann zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen verwendet, insbesondere, weil es verhindert, dass Probanden Daten ein Recht auszuüben oder eine Dienstleistung oder einen Vertrag verwenden oder weil systematisch in großem Maßstab durchgeführt. Die Verarbeitung personenbezogener Daten sollte nicht als Haupt in Betracht gezogen werden, wenn die Verarbeitung bezieht sich auf personenbezogene Daten von Patienten und Ärzten als Privatkunden, andere professionelle Gesundheits oder Anwalt. In solchen Fällen, die Folgenabschätzung des Datenschutzes sollte nicht obligatorisch sein.

Es gibt Fälle, in denen es sinnvoll und wirtschaftlich Gegenstand einer Folgenabschätzung hinsichtlich des Datenschutzes sein kann, ein einzelnes Projekt von mehr als, zum Beispiel, wo die Behörden oder Einrichtungen beabsichtigen, eine gemeinsame Anwendung oder Verarbeitungsplattform herzustellen, oder wenn mehrere Controller planen eine gemeinsame Anwendung oder Verarbeitungsumgebung auf einen Industriesektor oder in der Industrie oder für eine weit verbreitete horizontale Aktivität einführen.

Unter der Version der Rechtsvorschriften eines Mitgliedstaats die Wahrnehmung der Aufgaben einer Behörde oder einer öffentlichen Körperschaft zugrunde liegen, die die Handlung oder eine Reihe von Verarbeitungsoperationen regelt, Die Mitgliedstaaten können es für notwendig erachten diese Einschätzung vor Tätigkeiten auszuführen Behandlung.

Wenn die Beurteilung Auswirkungen auf den Schutz der Daten im Zusammenhang legt nahe, dass die Behandlung, ohne Garantien, Sicherheitsmaßnahmen und Mechanismen, um die Risiken zu mindern, in einem hohen Risiko für die Rechte und Freiheiten des Einzelnen und der Steuerung führen würde, ist der Auffassung, dass das Risiko nicht durch zumutbare Maßnahmen hinsichtlich der verfügbaren Technologie und die Kosten der Implementierung abgemildert werden können, sollte durch die Aufsichtsbehörde vor Beginn der Verarbeitungsaktivitäten zu Rate gezogen werden. Solche hohen Risiko wahrscheinlich von bestimmten Verarbeitungs- und einem gewissen Maß an Verarbeitung und Frequenz aufzutreten, so auch Schaden oder Beeinträchtigung der Rechte und Freiheiten des Individuums. Die Aufsichtsbehörde sollte den Antrag auf Konsultation innerhalb einer bestimmten Frist antworten. jedoch, Die fehlende Reaktion der Aufsichtsbehörde in den Grenzen der Zeit sollte keine Intervention der Aufsichtsbehörde betreffen, in Übereinstimmung mit den Aufgaben und in dieser Verordnung festgelegten Befugnissen, einschließlich des Verbots der Verarbeitungsvorgänge der Leistungs. Im Rahmen dieses Konsultationsprozesses, kann in Verbindung mit der Ausgabe Verarbeitung durchgeführt um das Ergebnis der Bewertung der Auswirkungen auf den Datenschutz bei der Aufsichtsbehörde eingereicht werden, insbesondere sofern die Maßnahmen, um die Risiken für die Rechte und Freiheiten des Einzelnen zu mildern.

Der Prozessor sollte eine Unterstützung an den Controller zur Verfügung stellen, bei Bedarf und auf Anfrage, Einhaltung der Verpflichtungen, die sich aus der Durchführung von Folgenabschätzungen für den Schutz der Daten und der vorherigen Konsultation der Aufsichtsbehörde ergeben,.

Absprache mit der Aufsichtsbehörde sollte auch bei der Vorbereitung von Gesetzen oder Verordnungen Maßnahme, unter denen die Verarbeitung personenbezogener Daten durchgeführt werden,, um die Einhaltung der geplanten Verarbeitung mit dieser Verordnung und, insbesondere, Um die Risiken für die Betroffenen zu mildern.

Wenn die Verarbeitung von einer Behörde durchgeführt, ohne die Gerichte oder unabhängige Justizbehörden, wenn sie in Ausübung ihrer Rechtsprechungskompetenz handeln, vorausgesetzt, der private Sektor, die Verarbeitung ausgeführt durch die Steuerung, deren Hauptaktivitäten Verarbeitungsvorgänge betreffen, die in großem Umfang der betroffenen Personen regelmäßige und systematische Überwachung bedürfen, oder wenn die grundlegenden Aktivitäten des Controllers oder des Prozessors sind groß angelegte Verarbeitung besonderer Kategorien personenbezogener Daten und Daten über strafrechtliche Verurteilungen und Straftaten,

Amtsblatt der Europäischen Union

eine Person mit Erfahrung in Recht und Datenschutzpraktiken sollte den Controller oder den Prozessor bei der Überwachung der internen Einhaltung dieser Verordnung unterstützen. Im privaten Sektor, die Hauptsteuerung der Aktivitäten auf das Kerngeschäft im Zusammenhang und nicht die Verarbeitung personenbezogener Daten als Nebentätigkeit. Das notwendige Erfahrungsniveau sollte insbesondere nach bestimmt werden, um die Datenverarbeitung der diese personenbezogenen Daten durch die Steuerung oder den Prozessor verarbeitet erfordern durch den Schutz durchgeführt. Diese Datenschutzbeauftragten, unabhängig davon, ob sie Mitarbeiter des Controllers sind, Sie sollen ihre Pflichten und Aufgaben in unabhängiger Art und Weise durchführen können,.

98. (98) Die Verbindungen oder andere Einheiten, die Kategorien von Controllern oder Prozessoren darstellen sollten ziehen Codes gefördert werden, im Rahmen dieser Verordnung, wirksame Durchführung dieser Verordnung zu erleichtern, die spezifischen Eigenschaften der Verarbeitung unter Berücksichtigung durchgeführt in bestimmten Bereichen und die besonderen Bedürfnisse von Mikro, kleine und mittlere Unternehmen. speziell, diese Codes könnten die Verpflichtungen von Steuerungen und Prozessoren regulieren, unter Berücksichtigung der Gefahr, die von der Behandlung auf die Rechte und Freiheiten von Personen führen könnte.
99. (99) Bei der Erstellung eines Verhaltenskodex oder die Änderung oder Erweiterung solcher Code, Verbände und andere Einrichtungen Kategorien von Controllern oder Prozessoren darstellen, sollten die Betroffenen konsultieren, einschließlich von Datensubjekte, wo dies möglich ist, und berücksichtigen keine Stellungnahmen eingingen und diese Ansichten in diesen Konsultationen zum Ausdruck.
100. (100) Zur Verbesserung der Transparenz und die Einhaltung dieser Verordnung, Sie sollten Zertifizierungsmechanismen und Dichtungen und Datenschutzsignalen angeregt werden zu etablieren, betroffene Personen ermöglicht, schnell das Datenschutzniveau der relevanten Produkte und Dienstleistungen zu bewerten.
101. (101) Die personenbezogenen Daten, fließt in und aus Ländern außerhalb der EU und internationalen Organisationen für die Ausweitung des internationalen Handels und der internationalen Zusammenarbeit erforderlich sind,. Der Ausbau dieses Stromes hat neue Herausforderungen und Anliegen auf den Schutz personenbezogener Daten erstellt. jedoch, wenn personenbezogene Daten werden von der Union an die Steuerungen übertragen, Prozessoren oder andere Empfänger in Drittländern oder internationalen Organisationen, Ebene sollte nicht den Schutz des Einzelnen untergraben, die die Union mit dieser Verordnung gewährleistet, einschließlich, wo eine weitere Übermittlung personenbezogener Daten in ein Drittland oder eine internationale Organisation zu Steuerungen und Prozessoren in demselben oder einem anderen Drittland oder einer anderen internationalen Organisation. Jedenfalls, Übermittlungen in Drittländer und internationale Organisationen können nur in voller Übereinstimmung mit dieser Verordnung erfolgt mitzuteilen. Die Übertragung kann nur stattfinden, wenn, vorbehaltlich der übrigen Bestimmungen dieser Verordnung, der Controller oder der Prozessor ist mit den Bedingungen der Vorschriften dieser Verordnung in Bezug auf die Übermittlung personenbezogener Daten an Drittstaaten oder internationalen Organisationen entsprechen.
102. (102) Diese Verordnung gilt unbeschadet der internationalen Abkommen zwischen der Union und Drittländern die Übermittlung personenbezogener Daten und bieten ausreichende Garantien für die betroffenen Personen. Die Mitgliedstaaten können internationale Vereinbarungen treffen, die in Drittländern oder internationalen Organisationen für die Übertragung personenbezogener Daten, soweit diese Vereinbarungen keine Auswirkungen auf die Bestimmungen dieser Verordnung oder anderen Bestimmungen des Unionsrechts und verfügen über ein angemessenes Schutzniveau für die Grundrechte der betroffenen Personen.
103. (103) Die Kommission kann beschließen, mit Wirkung für die gesamte Union, dass ein Drittland, Boden oder bestimmten Sektor in einem Drittland oder einer internationalen Organisation, bieten ein angemessenes Maß an Datenschutz und damit Rechtssicherheit und Einheitlichkeit in der gesamten Union in Bezug auf die Drittland oder einer internationalen Organisation erhalten, die eine solche Schutzniveau zu schaffen, gilt. In solchen Fällen, die persönlichen Daten in diesem Drittland oder eine internationale Organisation kann, ohne gemacht werden, eine andere Lizenz zu beantragen. Die Kommission kann auch beschließen, diese Entscheidung zu widerrufen, nach vorheriger Ankündigung und Begründung Erklärung in das Drittland oder eine internationale Organisation.
104. (104) Nach den Grundprinzipien der Union, insbesondere der Schutz der Menschenrechte, sollte die Kommission, bei der Beurteilung der Drittland oder ein Gebiet oder einen bestimmten Sektor in einem Drittland, berücksichtigen, ob ein Drittland die Rechtsstaatlichkeit respektiert, Zugang zu Gerichten, und internationale Normen und Standards für Menschenrechte und die allgemeinen und sektoralen Gesetze, auf, einschließlich der Rechtsvorschriften über die öffentliche Sicherheit, Verteidigung und nationale Sicherheit, und die öffentliche Ordnung und Strafrecht. Version Angemessenheitsentscheidung für einen Boden oder ein Drittland Feld sollte sein

Amtsblatt der Europäischen Union

Konto klare und objektive Kriterien, als spezifische Verarbeitung von Aktivitäten und den Umfang der geltenden gesetzlichen Normen und Gesetze in Kraft im Drittland. Das Drittland muss Garantien bieten, die einen angemessenen Schutz gewährleisten, im wesentlichen äquivalent, daß sichergestellt in der Union, insbesondere wenn die Verarbeitung personenbezogener Daten in einem oder mehreren spezifischen Bereichen getan. speziell, das Drittland sollte die wirksame und unabhängige Aufsicht des Datenschutz und stellt Mechanismen für die Zusammenarbeit mit den Datenschutzbehörden in den Mitgliedstaaten sicherzustellen,, nicht die betroffenen Personen zur Verfügung sollten effektiv haben und einklagbares Recht, und die Möglichkeit einer effektiven Verwaltung und Justiz Wiedergutmachung.

Neben den internationalen Verpflichtungen der Drittstaat oder einer internationalen Organisation, die Kommission sollte in die Höhe Verpflichtungen aus seiner Beteiligung an dem Drittland oder einer internationalen Organisation in multilateralen oder regionalen Systeme entstehen, insbesondere in Bezug auf den Schutz personenbezogener Daten, wie die Anwendung dieser Verpflichtungen. Should, insbesondere, anlässlich des Beitritts des Drittlandes im Übereinkommen des Europarats vom 28. Januar 1981 zum Schutz natürlicher Personen bei der automatischen Verarbeitung personenbezogener Daten und dessen Zusatzprotokoll. Die Kommission sollte den Rat Datenschutz wenden, wenn das Schutzniveau in Drittländer oder internationale Organisationen beurteilen.

Die Kommission sollte die Anwendung der Entscheidungen auf der Ebene des Schutzes in einem Drittland überwachen, Boden oder bestimmten Gegend von einem Drittland oder eine internationale Organisation und den Betrieb der Entscheidungen, die gemäß Artikel zur Überwachung 25 Absatz 6 oder Artikel 26 Absatz 4 Richtlinie 95/46 / EG. Die Entscheidungen von Eignungs, Die Kommission sollte für regelmäßige Überprüfung des Betriebs bieten. Diese periodische Überprüfung sollte in Absprache mit dem Drittland oder eine internationale Organisation durchgeführt werden und unter Berücksichtigung aller relevanten Entwicklungen im Drittland oder einer internationalen Organisation übernehmen sollte. Für die Zwecke der Überwachung und Durchführung von regelmäßigen Überprüfungen, sollte die Kommission die Meinungen und Schlussfolgerungen des Europäischen Parlaments berücksichtigen und des Rates, und andere relevante Stellen und Quellen. Die Kommission sollte prüfen,, innerhalb einer angemessenen Frist, Betrieb der jüngsten Entscheidungen und über relevante Erkenntnisse an den Ausschuss im Sinne der Verordnung (EU) keine. 182/2011 Europäisches Parlament und Rat (1), im Sinne dieser Verordnung, das Europäische Parlament und der Rat.

IEpitropimporeinadiapistoseiotimiatritichora,edafosisygkekrimenostomeasmiastritischorasienasdiethnis Körper kein ausreichendes Datenschutzniveau gewährleisten. deshalb, Es sollte die Übermittlung personenbezogener Daten in diesem Drittland oder eine internationale Organisation verbieten, es sei denn, die Anforderungen dieser Verordnung Transfers unterliegen geeignete Garantien betreffend, einschließlich Binding Corporate Rules, und auf Ausnahmen für spezielle Situationen. In diesem Fall, Sie sollten Konsultation zwischen der Kommission einzubeziehen und diesen Drittländern oder internationalen Organisationen. Die Kommission sollte, rechtzeitig, informieren Sie das Drittland oder eine internationale Organisation auf dem Gelände und in Konsultationen einzutreten, die Situation zu adressieren.

Absence Angemessenheitsentscheidung, der Controller oder Prozessor sollte Maßnahmen ergreifen, um den Mangel an Datenschutz in einem Drittland durch geeignete Schutzmaßnahmen für die betroffene Person zu kompensieren. Eine solche geeignete Garantien kann die Verwendung von verbindlichen unternehmensinternen Regeln beinhalten, Standard-Datenschutzbestimmungen von der Kommission angenommen, Standard-Datenschutzbestimmungen von einer Aufsichtsbehörde oder Vertragsklauseln angenommen durch die Aufsichtsbehörde genehmigt. Diese Sicherungen sollten die Einhaltung der Datenschutzbestimmungen und die Rechte der betroffenen Personen gewährleisten, im Lichte der Verarbeitung innerhalb der Union, Inklusive Mathe- Verfügbarkeit rechtlich abgesicherte Rechte der betroffenen Personen und echte Heilmittel, wie das Recht auf einen wirksamen administrativen oder Gerichten und Schadenersatzanspruch einschließlich, in der Union oder in einem Drittland. Sie sollten insbesondere auf die Einhaltung betreffen die allgemeinen Grundsätze der Verarbeitung personenbezogener Daten und Datenschutzprinzipien nach Design regeln und durch Standard. Transfers können auch von Behörden oder Institutionen mit den öffentlichen Behörden oder Einrichtungen in Drittstaaten oder internationalen Organisationen, die ähnliche Aufgaben oder Verantwortlichkeiten haben, durchgeführt werden, gemäß den Bestimmungen einschließlich Verwaltungsvereinbarungen aufgenommen werden, als Memorandum, wo sie tatsächlich und rechtlich starke Rechte der betroffenen Personen zur Verfügung gestellt. Die Genehmigung der zuständigen Aufsichtsbehörde erhalten werden soll, wenn die Garantien in sofern rechtlich nicht bindenden Verwaltungseinstellungen.

Die Fähigkeit des Controllers oder der Prozessor Standard-Datenschutzbestimmungen von der Kommission oder der Prüfbehörde genehmigten verwenden sollte in einem weiteren Vertrag Standard-Datenschutzbestimmungen Controller oder Prozessoren integrieren nicht verhindern, als ein Vertrag zwischen dem Prozessor und anderen Ausführung

Amtsblatt der Europäischen Union

Verarbeitung, noch hinzuzufügen anderen Klauseln oder zusätzliche Garantien, wenn sie nicht im Widerspruch, direkt oder indirekt, der Genehmigung durch die Kommission oder durch eine Aufsichtsbehörde oder Vertragsklauseln verletzt die Grundrechte und Freiheiten der betroffenen Personen. Die Steuerungen und Prozessoren sollten bestehende Datenschutzbestimmungen ergänzen zusätzliche Garantien durch vertragliche Verpflichtungen zu schaffen, gefördert werden.

110. (110) Eine Gruppe von Unternehmen, sowie eine Gruppe von Unternehmen in gemeinsamer wirtschaftlicher Tätigkeit nachgehen, die Lage sein, sollte die Verwendung von zugelassenen verbindlichen unternehmensinternen Regeln für die internationalen Transfers von der Union in Organisationen innerhalb der gleichen Gruppe von Unternehmen oder eine Gruppe von Unternehmen, die in gemeinsamer Wirtschaftstätigkeit zu machen, wenn eine solche unternehmensinternen Vorschriften umfassen alle grundlegenden Prinzipien und Rechte Rechtsschutz erhalten, angemessene Garantien für Transfers oder Kategorien von personenbezogenen Datenübertragungen zu gewährleisten.
111. (111) Die Möglichkeit eines Transfers in einigen Fällen gemacht werden, wenn die betroffene Person hat ihre ausdrückliche Zustimmung zur Verfügung gestellt, wenn die Übertragung gelegentlich und notwendig in Verbindung mit einem Vertrag oder einem Rechtsanspruch, entweder in einem Gerichtsverfahren oder einer administrativen oder außergerichtlichen Verfahren, einschließlich in Verfahren vor Regulierungsbehörde. Die Möglichkeit des Transfers soll auch gemacht werden, wo wichtige Gründe des öffentlichen Interesses durch das Unionsrecht oder den Mitgliedstaaten festgelegten dies erfordern oder wenn die Übertragung von einem Register durch Gesetz festgelegt gemacht und sollen Informationen aus der Öffentlichkeit zur Extraktion oder Personen, die ein berechtigtes Interesse. Im letzteren Fall, diese Übertragung sollte die Gesamtheit der Daten oder ganze Kategorien personenbezogener Daten enthalten in der Registrierung nicht decken und, wenn das Register sollen Informationen von Personen erhalten, die ein berechtigtes Interesse daran hat,, die Übertragung sollte nur auf Antrag dieser Personen gemacht werden, oder, ob es diejenigen Empfänger Übertragung sein, unter voller Berücksichtigung der Interessen und Grundrechte der betroffenen Person.
112. (112) Diese Ausnahmen sollten insbesondere gelten für Datenübertragungen angefordert und notwendig aus wichtigen Gründen des öffentlichen Interesses, zum Beispiel in Fällen von internationalem Datenaustausch zwischen den Wettbewerbsbehörden, Behörden Steuer- oder Zoll, unter Finanzaufsicht, zwischen den Behörden, die für die soziale Sicherheit oder der öffentlichen Gesundheit, beispielsweise im Fall der Ermittlung von Kontaktinfektionskrankheiten zu detektieren, oder um zu reduzieren und / oder beseitigt Dotierung (Doping) Sport. Die Übermittlung personenbezogener Daten sollte auch rechtmäßig gelten, soweit es erforderlich ist, um das Interesse zu schützen, die für die lebenswichtigen Interessen der betroffenen Person oder einer anderen Person erforderlich ist, unter anderem für die körperliche Unversehrtheit oder die Lebensdauer, wenn die betroffene Person nicht in der Lage zu einwilligungs. Absence Angemessenheitsentscheidung, Unionsrecht oder nach dem Recht eines Mitgliedstaates kann, aus schwerwiegenden Gründen des öffentlichen Interesses, explizit sieht Beschränkungen für die Übertragung bestimmter Kategorien von Daten in ein Drittland oder eine internationale Organisation. Die Mitgliedstaaten teilen diese Vorschriften der Kommission über. Jede Weitergabe an internationalen humanitären Personals Datenorganisation Charakter eines Subjekts, die nicht die natürliche oder juristische Kapazität muss zustimmen, die ausgelegt ist, die Pflicht, nach den Genfer Konventionen zu erfüllen oder mit dem humanitären Völkerrecht in bewaffneten Konflikten einzuhalten, Es könnte das öffentliche Interesse für einen guten Zweck als notwendig angesehen werden, oder weil es beabsichtigt, lebenswichtige Interessen der betroffenen Person.
113. (113) Transfers, die erkennbar nicht-wiederkehrend sind und betreffen eine begrenzte Anzahl von betroffenen Personen auch durch die Steuerung verfolgt aufgrund überwiegende berechtigte Interessen erlaubt werden kann,, wenn die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überschreiben diese Interessen, wenn der Controller alle Umstände der Übertragung von Daten geprüft hat. Die Steuerung sollte insbesondere unter Berücksichtigung der Art der persönlichen Daten nehmen, der Zweck und die Dauer der geplanten Operation oder Verarbeitungen, und die Situation im Herkunftsland, das Drittland und das Endbestimmungsland, und bietet die Dienstleistungen erforderliche Garantien für den Schutz der Grundrechte und Freiheiten des Einzelnen im Hinblick auf den Schutz personenbezogener Daten. Diese Transfers sollen nur möglich sein, in Fällen, in denen keine der anderen Übertragungszwecke. Für die Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke, Sie sollten für eine Erhöhung des Wissens, die berechtigten Erwartungen der Gesellschaft berücksichtigen,. Die Steuerung sollte die Aufsichtsbehörde und die betroffene Person für die Übertragung informieren.
114. (114) Jedenfalls, wenn die Kommission keine Angemessenheitsentscheidung auf der Ebene des Datenschutzes in einem Drittland erhalten, der Controller oder der Prozessor hat, Lösungen zu finden, die betroffenen Personen tatsächlich und rechtlich starke Rechte in Bezug auf die Verarbeitung ihrer Daten in der Union nach der Übermittlung dieser Daten liefern, weiterhin die Grundrechte und Garantien profitieren.

L 119/22 (115)

Amtsblatt der Europäischen Union 4.5.2016

Einige Drittländer erlassen Gesetze, Vorschriften und andere Rechtsinstrumente, die vorgeben, um direkt die Verarbeitungsaktivitäten von natürlichen und juristischen Personen, die unter der Zuständigkeit der Mitgliedstaaten zu regeln. Dies kann Gerichtsentscheidungen oder Entscheidungen von Verwaltungsbehörden in Drittländern, die einen Controller oder Prozessor Übertragung benötigen oder offen legen personenbezogene Daten enthalten, die nicht auf internationale Übereinkommen beruhen, zB Übereinkommen über die Rechtshilfe in Kraft zwischen dem betreffenden Land und der Union oder einem Mitgliedstaat anfordert. Die exterritoriale Anwendung dieser Gesetze, Verordnungen und andere Rechtsakte können das Völkerrecht verstoßen und die Erreichung des Schutzes natürlicher Personen garantiert in der Union durch diese Verordnung verhindern. Transfers sollten nur dann, wenn die Bedingungen dieser Verordnung Transfer erlaubt werden in Drittländer. Dies kann passieren,, einschließlich, wenn die Offenlegung ist für einen wichtigen Grund des öffentlichen Interesses notwendig, die im Unionsrecht oder der Mitgliedstaat, in dem anerkannt wird, die Steuerung unterliegt.

Die grenzüberschreitender Verkehr personenbezogener Daten außerhalb der EU möglicherweise ein höheres Risiko setzen die Fähigkeit des Einzelnen zu Übungsdatenschutzrechte insbesondere tefontai gegen unbefugte Benutzung oder Offenlegung dieser Informationen zu schützen. gleichzeitig, können die Aufsichtsbehörden feststellen, dass sie auf Beschwerden oder zur Durchführung von Untersuchungen in Tätigkeiten außerhalb ihrer Grenzen agieren nicht in der Lage sind. Ihre Bemühungen zu arbeiten zusammen in einem grenzüberschreitenden Kontext können auch durch unzureichende Vermeidungs- oder Sanierungs Kräfte behindert werden, von widersprüchlichen Rechtsordnungen und von praktischen Hindernissen, wie Mangel an Ressourcen. deshalb, Es ist notwendig, eine engere Zusammenarbeit zwischen den Datenschutzbeauftragten zu fördern, zu erleichtern, um Informationen auszutauschen und Untersuchungen mit ihren internationalen Partnern durchführen. Zur Entwicklung von Mechanismen der internationalen Zusammenarbeit zu erleichtern und für die Umsetzung der Rechtsvorschriften für den Datenschutz internationale Amtshilfe, Die Kommission und die Aufsichtsbehörden sollten Information und Zusammenarbeit in Aktivitäten im Zusammenhang mit der Ausübung ihrer Befugnisse durch die zuständigen Behörden von Drittländern auszutauschen, auf der Grundlage des Gegenseitigkeitsprinzips und gemäß dieser Verordnung;

Die Einrichtung von Aufsichtsbehörden in den Mitgliedstaaten, berechtigt, ihre Aufgaben zu erfüllen und ihre Befugnisse in völliger Unabhängigkeit wahrnehmen, Es ist ein wesentlicher Bestandteil des Schutzes natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Die Mitgliedstaaten sollten mehr Aufsichtsbehörden etablieren können,, je nach Verfassungs, Organisations- und Verwaltungsstruktur.

Die Unabhängigkeit der Aufsichtsbehörden sollte nicht bedeuten, dass die Aufsichtsbehörden unterliegen nicht der Kontrolle sein kann oder Überwachungsmechanismen in Bezug auf ihre finanziellen Aufwendungen oder gerichtliche Überprüfung.

Ist ein Mitgliedstaat stellt mehr Vorgesetzte, sollte durch das Gesetz Mechanismen schaffen,, die wirksame Beteiligung dieser Aufsichtsbehörden in der Konsistenz Mechanismus, um sicherzustellen,. Der Mitgliedstaat benennen, insbesondere, die Aufsichtsbehörde, die die einzige Kontaktstelle für die wirksame Beteiligung dieser Behörden in dem Mechanismus ist, schnelle und reibungslose Zusammenarbeit mit anderen Aufsichtsbehörden zu gewährleisten, die Datenschutzrates und der Kommission.

In jedem Supervisor finanzielle und personelle Mittel sollten zur Verfügung gestellt werden, Einrichtungen und Infrastruktur, die für die wirksame Ausübung ihrer Aufgaben erforderlich sind, diejenigen in Bezug auf die gegenseitige Unterstützung und Zusammenarbeit, auch mit anderen Aufsichtsbehörden in der gesamten Union. Jeder Supervisor sollten getrennt haben, öffentliches Jahresbudget, was kann einen Teil des gesamten regionalen oder nationalen Budgets.

Die allgemeinen Bedingungen für die oder die Mitglieder der Aufsichtsbehörde sollte durch das Gesetz in den einzelnen Mitgliedstaaten festgelegt werden und sollte vorsehen,, insbesondere, dass die Mitglieder ernannt, Prozess transparent, entweder durch das Parlament, die Regierung oder der Führer des Staates des Mitgliedstaates auf Vorschlag der Regierung, Landesregierung, Parlament oder ein Teil des Parlaments, entweder von einer unabhängigen Stelle, die für diesen Zweck durch das Recht der Mitgliedstaaten. Um die Unabhängigkeit der Aufsichtsbehörden sicherzustellen,, Das oder die Mitglieder sollten mit Integrität handeln, jede Handlung mit ihren Aufgaben unvereinbar zu verzichten und, während ihrer Amtszeit, Sie sollten nicht eingreifen in jeden unvereinbar Beruf, rentabel oder nicht. Die Aufsichtsbehörde muss ihre eigenen Mitarbeiter haben, von der Aufsichtsbehörde oder von einer unabhängigen Stelle ausgewählt gesetzt nach dem Recht eines Mitgliedstaates nach oben, und wird in der ausschließlichen Richtung des Mitglieds oder Mitglieder der Aufsichtsbehörde.

Jeder Betreuer ist verantwortlich, in dem Mitgliedstaat, die Befugnisse auszuüben und die Funktionen gemäß dieser Verordnung zugewiesenen Aufgaben wahr. Dies sollte sich insbesondere auf die Behandlung bei der Tätigkeit eines Betriebs des Controllers oder der Prozessor im Hoheitsgebiet ihres eigenen Mitgliedstaat, die Verarbeitung personenbezogener Daten des von öffentlichen Stellen oder privaten Organisationen im öffentlichen Interesse handeln, Verarbeitung, dass die zugrunde liegenden Daten im Gebiet Affekte oder Verarbeitung durchgeführt durch

Amtsblatt der Europäischen Union

Controller oder Prozessor nicht in der Union, wenn die betroffenen Personen gezielt mit Wohnsitz in ihrem Hoheitsgebiet. Dies sollte Adressierung Beschwerden von der betroffenen Person vorgelegten umfassen, Untersuchungen zur Durchführung dieser Verordnung und die Förderung der Sensibilisierung der Öffentlichkeit für die Gefahren, die Regeln, Garantien und Rechte bei der Verarbeitung personenbezogener Daten.

123. (123) Die Aufsichtsbehörden sollten die Anwendung der Bestimmungen dieser Verordnung überwachen und auf eine einheitliche Anwendung in der gesamten Union beitragen, Zum Schutz der Personen bei der Verarbeitung ihrer personenbezogenen Daten und den freien Verkehr personenbezogener Daten im Binnenmarkt zu erleichtern. Zu diesem Zweck, Aufsichtsbehörden sollten miteinander und mit der Kommission zusammenarbeiten, ohne gegenseitige Unterstützung ein Abkommen zwischen den Mitgliedstaaten erforderlich ist oder für eine solche Zusammenarbeit.
124. (124) Wenn die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit einer Niederlassung eines für die Verarbeitung Verantwortlichen oder Verarbeiters in der Union erfolgt und der für die Verarbeitung Verantwortliche oder der für die Verarbeitung Verantwortliche in mehr als einem Mitgliedstaat ansässig ist oder wenn die Verarbeitung im Rahmen der alleinigen Tätigkeit erfolgt Der Betreiber oder Verarbeiter von Verarbeitungsanlagen in der Union hat erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat oder wird diese wahrscheinlich erheblich beeinträchtigen, als Kopfstelle fungiert als Supervisor für die Haupt-Einrichtung der Steuerung oder dem Prozessor oder dem einzigen Installation der Steuerung oder den Prozessor. Es sollte mit anderen Behörden zusammenarbeiten betroffenen, da der Controller oder Prozessor hat im Gebiet des Mitgliedstaates, eine Niederlassung, weil die betroffenen Personen in ihrem Gebiet erheblich beeinträchtigt oder weil die Beschwerde wurde eingereicht Wohnsitz. auch, wenn eine betroffene Person, die in diesem Mitgliedstaat wohnt nicht reicht eine Beschwerde, die Aufsichtsbehörde, der ein Antrag auch besorgt Supervisor sein sollte. Im Rahmen seiner Aufgaben Ausgabe Leitlinien zu allen Fragen der Durchführung dieser Verordnung erlassen, der Datenschutzrat sollte in der Lage sein, Richtlinien zu erlassen, substanziell auf die betroffenen Personen in mehreren Mitgliedstaaten, insbesondere werden die Kriterien berücksichtigt bei der Bestimmung, ob eine solche Behandlung beeinflusst und was als relevant und begründeten Einwände.
125. (125) Der Chef Behörde sollte die Aufgaben, die ihr im Rahmen dieser Verordnung übertragen umzusetzen zu nehmen verbindliche Entscheidungen über Maßnahmen ermächtigt werden,. In ihrer Eigenschaft als Lead Behörde, die Aufsichtsbehörde sollte die aktive Beteiligung und Koordinierung der betroffenen Parteien die Aufsichtsbehörden in den Entscheidungsprozess gewährleisten. Wenn die Entscheidung Spuck, ganz oder teilweise, die Beendigung des Datengegenstandes, Diese Entscheidung sollte der Antrag gestellt wurde, von der Aufsichtsbehörde, der genehmigt werden.
126. (126) Die Entscheidung sollte gemeinsam vom Chef Vorgesetzten vereinbart werden und die Aufsichtsbehörden und für den Inhaber oder alleinige Installation des Controllers oder dem Prozessor und verbindlich auf dem Controller und dem Prozessor adressiert werden. Der Controller oder Prozessor sollten die erforderlichen Maßnahmen, um die Einhaltung dieser Verordnung zu gewährleisten und die Umsetzung der vom Chef Supervisor in der Haupt Installation des Controllers oder der Prozessor in Bezug auf die Verarbeitung Aktivitäten mitgeteilte Entscheidung die Union.
127. (127) Jede Aufsichtsbehörde nicht als Lead Supervisor fungieren muss kompetent sein, mit lokalen Angelegenheiten zu behandeln, in denen der Controller oder Prozessor in mehr als einem Mitgliedstaat ansässig ist,, aber der Gegenstand der Behandlung nur die Verarbeitung, dass erfolgt in einem einzigen Mitgliedstaat und Daten zu diesem Mitgliedstaat zugrunde liegt nur, z.B., wenn der Gegenstand der Verarbeitung personenbezogener Daten von Arbeitnehmern insbesondere der Beschäftigung in einem Mitgliedstaat. In solchen Fällen, Die Aufsichtsbehörde muss unverzüglich davon in der Hauptaufsichtsbehörde unverzüglich. Nach der Aktualisierung, der Chef Supervisor sollte entscheiden, ob mit dem Fall, in Übereinstimmung mit der Anordnung über die Zusammenarbeit zwischen dem Chef Supervisor und den anderen Aufsichtsbehörden befassen („One-Stop-Mechanismus '), oder ob es mit dem Fall auf lokaler Ebene kann die Aufsichtsbehörde befassen sollte informiert. Bei der Entscheidung, ob der Fall hören, der Chef Supervisor berücksichtigen sollte, ob es eine Möglichkeit der Steuerung oder der Prozessor in dem Mitgliedstaat, der Aufsichtsbehörde ist informiert, effiziente Durchsetzung der Entscheidung gegen den Controller oder den Prozessor, um sicherzustellen,. wenn

Amtsblatt der Europäischen Union

Chefaufsichtsbehörde entscheidet, den Fall zu hören, die Aufsichtsbehörde informiert sollte einen Entscheidungsentwurf vorlegen können,, der sollte die Aufsichtsbehörde den Kopf weitestgehend Rechnung zu tragen, wenn der Entwurf der Entscheidung im Rahmen des Mechanismus aus einer Hand vorbereitet.

Die Regeln für die Chef Vorgesetzten und dem One-Stop-Mechanismus sollte nicht angewendet werden, wenn die Verarbeitung von Behörden oder privaten Einrichtungen im öffentlichen Interesse durchgeführt. In solchen Fällen, die einzige Aufsichtsbehörde zuständig ist, die Befugnisse im Rahmen dieser Verordnung übertragenen Befugnisse sollte die Aufsichtsbehörde des Mitgliedstaates, in dem es, dass eine Behörde oder private Einrichtung hergestellt wird.

Gewährleistung einer einheitlichen Überwachung und Durchsetzung dieser Verordnung in der gesamten Union, Aufsichtsbehörden sollten die gleichen Aufgaben in den einzelnen Mitgliedstaaten und die gleichen realen Kräfte, einschließlich Ermittlungsbefugnisse, Korrekturbefugnisse und Sanktionen, und Lizenz- und Beratungsbefugnisse, insbesondere in Fällen von Beschwerden von Einzelpersonen, und, unbeschadet der Befugnisse der Strafverfolgung nach dem Recht eines Mitgliedstaats, die Macht Verstöße gegen die Bestimmungen dieser Verordnung an die Justizbehörden zu verweisen und in Gerichtsverfahren engagieren. Diese Befugnisse sollten auch die Befugnis umfassen eine vorübergehende oder endgültige Beschränkungsverarbeitung zu verhängen, einschließlich dem Verbot der Einnahme. Die Mitgliedstaaten können insbesondere andere Aufgaben im Zusammenhang mit dem Schutz personenbezogener Daten gemäß dieser Verordnung bestimmen.. Die Befugnisse der Aufsichtsbehörden sollten in Übereinstimmung mit dem entsprechenden Verfahrensgarantien festgelegten EU-Recht und das Recht der Mitgliedstaaten ausgeübt werden,, unparteiisch, fair und innerhalb einer angemessenen Zeit. insbesondere, Jede Maßnahme sollte angemessen sein, notwendig und verhältnismäßig, um die Einhaltung dieser Verordnung zu gewährleisten, unter Berücksichtigung der Umstände des Einzelfalls, das Recht jeder Person zu respektieren, gehört zu werden, bevor eine individuelle Maßnahme gegen sie ergriffen wird, und den betroffenen Personen keine unnötigen Kosten und überhöhten Gebühren zu verursachen. Die Untersuchungsbefugnisse in Bezug auf den Zugang zu Einrichtungen sollten gemäß den spezifischen Anforderungen des Verfahrensrechts des Mitgliedstaats ausgeübt werden, wie das Erfordernis der vorherigen gerichtlichen Genehmigung. Jede rechtsverbindliche Maßnahme der Aufsichtsbehörde muss schriftlich eingereicht werden, klar und eindeutig sein, staatliche Aufsichtsbehörde, die ausgegeben, Datum der Ausstellung, durch den Kopf oder ein Mitglied der Aufsichtsbehörde durch die autorisierten unterzeichnet werden, Geben Sie die Gründe für die Maßnahme und das Rechtsmittelrecht an. Dies sollte die Möglichkeit zusätzlicher Anforderungen nach dem Verfahrensrecht des Mitgliedstaats nicht ausschließen.. Die Erteilung einer rechtsverbindlichen Entscheidung impliziert, dass dies möglich ist, möglicherweise, unterliegen der gerichtlichen Kontrolle in dem Mitgliedstaat, der Aufsichtsbehörde, die das Urteil ausgestellt.

Wenn die Aufsichtsbehörde, bei der die Beschwerde eingereicht wird, nicht die federführende Aufsichtsbehörde ist, Die oberste Aufsichtsbehörde arbeitet eng mit der Aufsichtsbehörde zusammen, bei der die Beschwerde gemäß den in dieser Verordnung festgelegten Bestimmungen über Zusammenarbeit und Kohärenz eingereicht wurde.. In solchen Fällen, Die Aufsichtsbehörde sollte, wenn es Maßnahmen ergreift, die rechtliche Konsequenzen haben sollen, wie die Verhängung von Geldbußen, insbesondere die Ansichten der Aufsichtsbehörde berücksichtigen, bei der die Beschwerde eingereicht wurde und die für die Durchführung von Untersuchungen im Hoheitsgebiet ihres Mitgliedstaats im Zusammenhang mit der zuständigen Aufsichtsbehörde zuständig bleiben sollte.

Wenn eine andere Aufsichtsbehörde als federführende Aufsichtsbehörde für die Verarbeitungsaktivitäten des für die Verarbeitung Verantwortlichen oder Verarbeiters fungieren soll, Der spezifische Gegenstand der Klage oder des Verstoßes bezieht sich jedoch nur auf die Verarbeitungstätigkeiten des für die Verarbeitung Verantwortlichen oder des Verarbeiters in dem Mitgliedstaat, in dem die Beschwerde eingereicht wurde oder in dem der Verstoß festgestellt wurde, und der Gegenstand hat keine wesentlichen Auswirkungen auf betroffene Personen oder ist wahrscheinlich davon betroffen in anderen Mitgliedstaaten, Die Aufsichtsbehörde, die eine Beschwerde erhält oder feststellt oder anderweitig über Situationen informiert wird, in denen Verstöße gegen diese Verordnung vorliegen, sollte eine gütliche Einigung mit dem für die Verarbeitung Verantwortlichen anstreben und, wenn dies nicht erfolgreich ist, die volle Bandbreite seiner Befugnisse auszuüben. Dies sollte beinhalten: die besondere Verarbeitung, die im Hoheitsgebiet des Mitgliedstaats der Aufsichtsbehörde oder in Bezug auf betroffene Personen im Hoheitsgebiet des genannten Mitgliedstaats durchgeführt wird, die Verarbeitung, die im Rahmen des adressierten Waren- oder Dienstleistungsangebots erfolgt insbesondere an betroffene Personen im Hoheitsgebiet des Mitgliedstaats der Aufsichtsbehörde oder der zu prüfenden Verarbeitung, unter Berücksichtigung der jeweiligen gesetzlichen Verpflichtungen im Rahmen der staatlichen Recht Mitglied.

Sensibilisierungsmaßnahmen durch Aufsichtsbehörden gerichtet an die Öffentlichkeit sollte sollen konkrete Maßnahmen für Steuerungen und Prozessoren, darunter sehr klein, Kleine und mittelständische Unternehmen, sowie Einzelpersonen, insbesondere im Kontext der Bildung.

Amtsblatt der Europäischen Union

133. (133) Die Aufsichtsbehörden sollten sich gegenseitig bei der Erfüllung ihrer Aufgaben unterstützen und sich gegenseitig unterstützen, um die konsequente Anwendung und Durchsetzung dieser Verordnung im Binnenmarkt zu gewährleisten. Eine Aufsichtsbehörde, die um gegenseitige Unterstützung ersucht, kann eine vorläufige Maßnahme ergreifen, wenn es nicht innerhalb eines Monats nach Eingang dieses Antrags bei der anderen Aufsichtsbehörde eine Antwort auf ein Ersuchen um gegenseitige Unterstützung erhält.
134. (134) Jede Aufsichtsbehörde sollte, gegebenenfalls, Beteiligung an Joint Ventures mit anderen Aufsichtsbehörden. Die Aufsichtsbehörde, an die der Antrag gestellt wird, sollte verpflichtet sein, innerhalb eines bestimmten Zeitraums auf den Antrag zu antworten.
135. (135) Gewährleistung einer einheitlichen Anwendung dieser Verordnung in der gesamten Union, Es sollte ein Kohärenzmechanismus für die Zusammenarbeit zwischen den Aufsichtsbehörden eingerichtet werden. Dieser Mechanismus sollte insbesondere dann gelten, wenn eine Aufsichtsbehörde beabsichtigt, eine Maßnahme zu ergreifen, die rechtliche Auswirkungen auf Verarbeitungsvorgänge haben soll, von denen eine erhebliche Anzahl betroffener Personen in mehr als einem Mitgliedstaat betroffen ist.. Sie sollte auch gelten, wenn eine interessierte Aufsichtsbehörde oder die Kommission die Behandlung des Falls im Rahmen des Kohärenzmechanismus beantragt. Dieser Mechanismus sollte alle Maßnahmen unberührt lassen, die die Kommission in Ausübung ihrer Befugnisse gemäß den Verträgen treffen kann.
136. (136) Bei Anwendung des Kohäsionsmechanismus, Der Datenschutzrat sollte eine Stellungnahme abgeben, innerhalb einer bestimmten Frist, wenn die Mehrheit seiner Mitglieder dies beschließt oder wenn es von einer interessierten Aufsichtsbehörde oder der Kommission verlangt wird. Der Datenschutzausschuss sollte auch befugt sein, bei Streitigkeiten zwischen Aufsichtsbehörden rechtsverbindliche Entscheidungen zu treffen. Zu diesem Zweck, ausgeben sollte, Katze’ grundsätzlich mit Zweidrittelmehrheit seiner Mitglieder, rechtsverbindliche Entscheidungen in klar definierten Fällen, in denen es widersprüchliche Ansichten zwischen Aufsichtsbehörden gibt, insbesondere im Rahmen des Kooperationsmechanismus zwischen der federführenden Aufsichtsbehörde und den betroffenen Aufsichtsbehörden je nach Sachlage, insbesondere ob ein Verstoß gegen diese Vorschrift vorliegt.
137. (137) Es kann ein dringender Bedarf bestehen, Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen zu ergreifen, insbesondere wenn die Gefahr besteht, dass die Ausübung eines Rechts einer betroffenen Person erheblich behindert wird. deshalb, Eine Aufsichtsbehörde sollte in ihrem Hoheitsgebiet ordnungsgemäß begründete vorübergehende Maßnahmen mit einer bestimmten Dauer, die drei Monate nicht überschreiten sollte, ergreifen können.
138. (138) Die Anwendung dieses Mechanismus sollte eine Bedingung für die Rechtmäßigkeit der Maßnahme sein, die von einer Aufsichtsbehörde ergriffen wird, um in den Fällen, in denen seine Anwendung obligatorisch ist, rechtliche Ergebnisse zu erzielen. In anderen Fällen von grenzüberschreitendem Interesse, der Kooperationsmechanismus zwischen der federführenden Behörde und den betroffenen Aufsichtsbehörden sollte umgesetzt werden, nicht die Aufsichtsbehörden auf die gegenseitige Unterstützung und Joint Ventures zurückgreifen könnten, bi- oder multilaterale, ohne Auslösen der Konsistenzmechanismus.
139. (139) Um eine konsequente Umsetzung dieser Verordnung zu fördern, die Datenschutzausschuss sollte als unabhängiges Organ der Union festgelegt werden. Zur Erfüllung der Ziele, der Datenschutzrat Rechtspersönlichkeit. Die Datenschutzbehörde sollte durch seinen Präsidenten vertreten. Sie müssen die Schutzgruppe von Personen, gegen die Verarbeitung personenbezogener Daten durch die Richtlinie 95/46 / EG festgelegt ersetzen. Es sollte der Leiter der Aufsichtsbehörde von den einzelnen Mitgliedstaaten und dem Europäischen Datenschutzbeauftragten oder deren Vertretern zusammengesetzt sein. Die Kommission sollte an den Aktivitäten des Data Protection Council ohne das Wahlrecht teilnehmen, und der europäische Datenschutzaufsichtsbehörde sollte spezifische Stimmrechte haben. Der Datenschutzrat sollte zur kohärenten Umsetzung dieser Verordnung in der gesamten Union beitragen, einschließlich der Beratung der Kommission, insbesondere für das Schutzniveau in Drittstaaten oder bei internationalen Organisationen, und Förderung der Zusammenarbeit der Aufsichtsbehörden in der gesamten Union. Der Datenschutzrat sollte bei der Erfüllung seiner Aufgaben unabhängig handeln.
140. (140) Der Datenschutzrat sollte von einem Sekretariat des Europäischen Datenschutzbeauftragten unterstützt werden. Die Mitarbeiter des europäischen Datenschutzvorgesetzten, der an der Ausübung der dem Data Protection Council gemäß dieser Verordnung zugewiesenen Aufgaben teilnimmt.
141. (141) Jede betroffene Person sollte das Recht haben, auf eine einzige Aufsichtsbehörde zu beschweren, vor allem in dem Mitgliedstaat des gewöhnlichen Aufenthalts, und das Recht auf effektiven gerichtlichen Rechtsschutz gemäß Artikel 47 Charta, wenn er der Auffassung ist verletzt seine Rechte nach dieser Verordnung oder in denen die Aufsichtsbehörde wirkt nicht auf eine Beschwerde, ganz oder teilweise ablehnen oder eine Beschwerde für unzulässig erklären oder

Amtsblatt der Europäischen Union

Es handelt nicht und muss handeln, um die Rechte der betroffenen Person zu schützen. Die Untersuchung durch Beschwerde sollte durchgeführt werden, mit dem Vorurteil gegen die Justizprüfung, Soweit es für den speziellen Fall angegeben ist. Die Aufsichtsbehörde muss die betroffene Person innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Beschwerde informieren. Wenn der Fall weitere Untersuchungen oder Koordination mit einer anderen Aufsichtsbehörde erfordert, Intensives Update sollte der betroffenen Person zur Verfügung gestellt werden. Um die Einreichung von Beschwerden zu erleichtern, Jede Aufsichtsbehörde sollte Maßnahmen wie die Bereitstellung eines Beschwerdeformulars ergreifen, die auch elektronisch ausgefüllt werden kann, ohne andere Kommunikationsmittel auszuschließen.

Wenn die betroffene Person der Ansicht ist, dass ihre Rechte aus dieser Verordnung verletzt wurden, sollte das Recht haben, an eine gemeinnützige Organisation auszulagern, Einrichtung oder Organisation, die nach dem Recht eines Mitgliedstaats gegründet wurde, hat gesetzliche Interessen im öffentlichen Interesse und ist im Bereich des Schutzes personenbezogener Daten tätig, in seinem Namen eine Beschwerde bei einer Aufsichtsbehörde einreichen, das Beschwerderecht im Namen der betroffenen Personen auszuüben oder, nach dem Recht eines Mitgliedstaats vorgesehen, das Recht auf Entschädigung für betroffene Personen. Ein Mitgliedstaat kann vorsehen, dass diese Stelle, Agentur oder Organisation hat das Recht auf diesen Staat Beschwerde zu beziehen, unabhängig von einer Belegung der betroffenen Person, und das Recht auf ein faires Verfahren, wenn es Grund zu der Annahme, dass die Rechte der betroffenen Person als Folge der Verarbeitung personenbezogener Daten unter Verstoß gegen diese Verordnung verstoßen. der Körper, Agentur oder Organisation kann das Recht hat, keine Entschädigung im Namen der betroffenen Person zu verlangen, unabhängig von einer Belegung der betroffenen Person.

Jede natürliche oder juristische Person ist berechtigt, eine Klage auf Aufhebung des Datenschutzrates die Entscheidung vor dem Gericht in Übereinstimmung mit den Bedingungen zu bringen, gemäß Artikel 263 AEUV. Als Empfänger dieser Entscheidungen, die Aufsichtsbehörden, dass Wunsch innerhalb von zwei Monaten nach ihrer Zustellung zu beleidigen ansprechen müssen, Nach dem Artikel 263 AEUV. Für den Fall, dass die Entscheidungen des Datenschutzrates direkt und individuell einen für die Verarbeitung Verantwortlichen betreffen, Verarbeiter oder Beschwerdeführer, Sie können gegen die Aufhebung dieser Entscheidungen innerhalb von zwei Monaten nach Veröffentlichung dieser Entscheidungen auf der Website des Datenschutzrates Berufung einlegen., Nach dem Artikel 263 AEUV. Unbeschadet dieses Rechts nach Artikel 263 AEUV, Eine natürliche oder juristische Person sollte das Recht auf tatsächliche Berufung vor dem zuständigen nationalen Gerichtshof gegen eine Aufsichtsbehörde haben, die rechtliche Auswirkungen auf diese betreffende Person hervorruft. Diese Entscheidungen betreffen insbesondere die Ausübung von Ermittlungs- und Korrektur- und Genehmigungsbefugnissen durch die Aufsichtsbehörde oder Fälle, in denen Beschwerden als unzulässig oder abgelehnt gelten.. jedoch, Das Recht auf tatsächliche Berufung deckt keine Maßnahmen der Aufsichtsbehörden ab, die nicht rechtsverbindlich sind, wie Meinungen oder Tipps, die von der Aufsichtsbehörde zur Verfügung gestellt wurden. Das Verfahren durch die Aufsichtsbehörde sollte vor den Gerichten des Mitgliedstaates wechseln, in dem die Aufsichtsbehörde gemäß dem Verfahrensrecht dieses Mitgliedstaates eingerichtet und durchgeführt wird.. Diese Gerichte sollten die volle Gerichtsbarkeit ausüben, Dies sollte die Zuständigkeit einschließen, alle sachlichen und rechtlichen Fragen im Zusammenhang mit dem vor ihnen anhängigen Streit zu prüfen.

Wenn eine Beschwerde von einer Aufsichtsbehörde abgelehnt oder als unzulässig eingestuft wurde, Der Beschwerdeführer kann bei Gerichten desselben Mitgliedstaats Klage erheben. Im Kontext von Rechtsstreitigkeiten im Zusammenhang mit der Anwendung dieser Verordnung, nationale Gerichte, die der Ansicht sind, dass eine Entscheidung in dieser Angelegenheit für die Verkündung ihres Urteils erforderlich ist, können oder können nicht, in dem in Artikel vorgesehenen Fall 267 AEUV, sind verpflichtet, das Gericht aufzufordern, eine vorläufige Entscheidung über die Auslegung des Gewerkschaftsgesetzes zu treffen, einschließlich dieser Regelung. zusätzlich, Wenn eine Entscheidung der Aufsichtsbehörde eine Entscheidung des Datenschutzrates umsetzte, Dieses nationale Gericht ist nicht zuständig, die Entscheidung des Datenschutzrates ungültig zu erklären, muss jedoch die Frage des Prestiges gemäß dem Artikel an das Gericht weiterleiten 267 TFEU, wie vom Gericht ausgelegt, Wenn er die Entscheidung für ungültig berücksichtigt. jedoch, ein nationales Gericht kann für eine Klage zu erheben Aufhebung dieser Entscheidung nicht bezieht sich die Frage nach der Gültigkeit der Entscheidung Datenschutzrat auf Antrag der natürlichen oder juristischen Person, die Lage war,, vor allem, wenn diese Entscheidung sie unmittelbar und individuell betreffen, hat aber nicht so innerhalb der Frist nach Artikel getan 263 AEUV.

Wenn ein Gericht ein Verfahren gegen eine Entscheidung einer Aufsichtsbehörde anhört und Grund zu der Annahme hat, dass ein Verfahren für dieselbe Verarbeitung eingeleitet wurde, Wie für dasselbe Objekt in Bezug auf die Verarbeitung durch denselben Controller oder ausführende oder aus derselben Ursache, vor dem zuständigen Gericht in einem anderen Mitgliedstaat, Sollte mit diesem Gericht kommunizieren, um die Existenz dieses verwandten Verfahrens zu bestätigen. Wenn das relevante Verfahren vor einem Gericht in einem anderen Mitgliedstaat anhängig ist, jede

Amtsblatt der Europäischen Union

Außer anderer Gerichtshof, der zuerst zugewiesen wurde, kann sein Verfahren aussetzen oder Mai, Auf Anfrage eine der Parteien, seine Zuständigkeit zugunsten des Berufungsgerichts zuerst abweisen, Wenn das fragliche Gericht die Zuständigkeit für das Verfahren und seine Messe ermöglicht, für diese relevanten Verfahren zusammengefasst zu werden.. Als notwendig erachteten Verfahren miteinander verbunden, so eng, dass es zweckmäßig sein, gemeinsam ausprobiert und beurteilt, die Gefahr widersprechender Entscheidungen zu vermeiden, als würde passieren, wenn in getrennten Verfahren.

145. (145) Für Verfahren im Controller oder Prozessor, sollte der Antragsteller zu bringen Verfahren vor den Gerichten des Mitgliedstaates, in dem der Controller oder der Prozessor eine Niederlassung hat oder in dem Wohnsitzmitgliedstaat der betroffenen Person wählen kann, es sei denn, der Controller ist eine öffentliche Behörde eines Mitgliedstaats bei der Ausübung hoheitlicher Befugnisse führt.
146. (146) Jede von einer Person entstandenen Schaden als Folge der Verarbeitung unter Verletzung dieser Verordnung sollte durch den Controller oder den Prozessor kompensiert werden. Die Steuerung oder der Prozessor sollte für Schäden, die aus der Haftung befreit, wenn sie nachweisen können, dass sie keine Haftung für Schäden tragen. Das Konzept des Schadens soll im Großen und Ganzen im Lichte des Falles interpretiert werden, um in vollem Umfang berücksichtigt die Ziele dieser Verordnung. Dies hat keine Auswirkungen auf Schadensersatzansprüche, Praktiker für andere Regeln des Unionsrechts oder Mitgliedstaaten zu verletzen. Verarbeitet in Verletzung dieser Verordnung ist auch eine Behandlung in Verletzung von flachen umfasst’ delegierte und Durchführung erlassenen Rechtsakte’ Durchführung dieser Verordnung und das Mitglied Gesetz Staaten, die die Vorschriften dieser Verordnung legt fest,. Die betroffenen Personen sollten für den Schaden vollständige und wirksame Entschädigung erlitten. Wenn Controller oder beteiligten Prozessoren im gleichen Prozess, jeder Daten Controller oder Prozessor sollte für den Gesamtverlust verantwortlich. jedoch, wenn sie von öffentlicher Gerechtigkeit bezeichnet, nach dem Recht der Mitgliedstaaten, Kompensation kann durch die Behandlung für die Schäden, die nach der Verantwortung der einzelnen Daten-Controller oder Prozessor aufgeteilt, vorausgesetzt, dass die betroffene Person die volle und wirksame Entschädigung zu gewährleisten, die den Schaden erlitten hat,. Jeder Prozessor oder Prozessor, der die volle Entschädigung gezahlt hat, kann dann andere Prozessoren oder Prozessoren verklagen, die an derselben Verarbeitung teilnehmen.
147. (147) Sollte diese Verordnung enthält spezifische Vorschriften über die gerichtliche Zuständigkeit, insbesondere hinsichtlich Verfahren Institut Gerichtsverfahren, einschließlich Schadensersatz, durch den Controller oder Prozessor, Die allgemeinen Regeln über die gerichtliche Zuständigkeit, wie sie in der Verordnung (EU) keine. 1215/2012 Europäisches Parlament und Rat (1) sollte die Anwendung dieser speziellen Regeln betreffen.
148. (148) Um die Durchsetzung dieser Verordnung zu stärken, Sanktionen, einschließlich Verwaltungsstrafen, sollte für jede Verletzung dieser Verordnung auferlegt werden, Zusätzlich oder anstelle von geeigneten Maßnahmen, die von der Aufsichtsbehörde gemäß dieser Verordnung vorliegt. Im Falle eines geringfügigen Verstoßes oder wenn die Geldbuße auferlegt werden kann, wäre eine unverhältnismäßige Belastung für eine natürliche Person, Anstelle einer Geldbuße könnte ein Verweis verhängt werden. Die Natur muss jedoch gebührend berücksichtigt werden, die Schwere und Dauer der Zuwiderhandlung, die vorsätzliche Natur der Zuwiderhandlung, die Maßnahmen zur Schadensminderung, den Grad der Haftung oder andere relevante frühere Verstöße, die Art und Weise, in der die Aufsichtsbehörde über die Zuwiderhandlung informiert wurde, Einhaltung der Maßnahmen gegen den Controller oder den Prozessor, Einhaltung des Verhaltenskodex und jede andere erschwerende oder mildernde Umstände. die Sanktionen, einschließlich Verwaltungsstrafen, sollte mit den allgemeinen Grundsätzen der EU-Rechts und der Charta vorbehaltlich angemessene Verfahrensgarantien im Einklang, symperilam CD des effektiven Rechtsschutzes und ein ordnungsgemäßes Verfahren.
149. (149) Die Mitgliedstaaten sollten die Bestimmungen über Sanktionen für Verstöße gegen diese Verordnung fest, einschließlich für Verstöße gegen die einzelstaatlichen Vorschriften in’ Anwendung und im Rahmen dieser Verordnung. Solche strafrechtlichen Sanktionen können auch darin bestehen, dass die Leistungen, die sich aus Verstößen gegen diese Verordnung ergeben, entzogen werden.. jedoch, Die Verhängung strafrechtlicher Sanktionen wegen Verstößen gegen solche nationalen Vorschriften und Verwaltungssanktionen sollte nicht zu einem Verstoß gegen das ne bis in idem-Prinzip führen, wie vom Gerichtshof ausgelegt.
150. (150) Stärkung und Harmonisierung der Verwaltungsstrafen für Verstöße gegen diese Verordnung, Jede Aufsichtsbehörde sollte befugt sein, Geldbußen zu verhängen. Diese Verordnung sollte auf Verstöße hinweisen, sowie die Obergrenze und die Kriterien für die Festlegung der entsprechenden Geldbußen, die von der zuständigen Aufsichtsbehörde im Einzelfall festgelegt werden sollte, unter Berücksichtigung aller relevanten Umstände der spezifischen Situation, unter gebührender Berücksichtigung der Natur, die Schwere und Dauer der Zuwiderhandlung sowie deren Folgen und die ergriffenen Maßnahmen

(1) Regulierung(EU)arith.1215 / 2012touEfropaikouKoinovoulioukaitouSymvouliou,tis12isDekemvriou2012, giatidiethnidikaiodosia, Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen (ABl L 351 von 20.12.2012, p. 1).

Amtsblatt der Europäischen Union

Gewährleistung der Einhaltung der Verpflichtungen aus dieser Verordnung und Verhinderung oder Minderung der Folgen des Verstoßes. Falls die Verwaltungsstrafen gegen ein Unternehmen verhängt werden, Ein Unternehmen sollte gemäß den Artikeln als Unternehmen verstanden werden 101 und 102 AEUV für diese Zwecke. Falls die Verwaltungsstrafen gegen Personen verhängt werden, die keine Unternehmen sind, Die Aufsichtsbehörde sollte das allgemeine Einkommensniveau im Mitgliedstaat berücksichtigen, sowie der finanzielle Status des Gesichts, Bei der Untersuchung der entsprechenden Menge der Geldbuße. Der Kohärenzmechanismus kann auch zur Förderung einer kohärenten Durchsetzung von Geldbußen verwendet werden. Es sollte den Mitgliedstaaten zu entscheiden, ob und in welchem ​​Umfang Geldbußen Behörden auferlegt werden können,. Die Auferlegung einer Geldbuße oder Warnung hat keinen Einfluss auf die Anwendung anderer Befugnisse der Aufsichtsbehörden oder andere Sanktionen im Rahmen dieser Verordnung.

In den Rechtsordnungen von Dänemark und Estland sind nicht für Geldbußen vorgesehen, wie in dieser Verordnung festgelegten. Die Regeln zu Bußgeldern im Zusammenhang können die Geldbuße von den zuständigen nationalen Gerichten als strafrechtliche Sanktion in Estland und der Geldbuße durch die Aufsichtsbehörde in einem Verfahren wegen Ordnungswidrigkeiten verhängt verhängt, um nach Dänemark angewandt werden, von den Aufsichtsbehörden, sofern diese Anwendung der Vorschriften in den Mitgliedstaaten verhängten Geldbußen gleiche Wirkung. deshalb, Die zuständigen nationalen Gerichte sollten die Zusammensetzung der Aufsichtsbehörde berücksichtigen, aus der die Geldbuße stammt. In jedem Fall, Bußgelder sollten wirksam sein, proportional und abschreckend.

Wenn diese Verordnung Verwaltungsstrafen nicht harmoniert oder in anderen Fällen bei Bedarf erforderlich ist, Rede dank Fällen schwerwiegender Verstöße gegen diese Verordnung, Die Mitgliedstaaten sollten ein effektives System anwenden, angemessene und abschreckende Strafen. Die Art dieser Strafen, kriminell oder administrativ, sollte durch das Gesetz der Mitgliedstaaten bestimmt werden.

Das Gesetz des Mitgliedstaaten sollte die Regeln für die Meinungsfreiheit und Informationsfreiheit in Einklang bringen, einschließlich der journalistischen, Universität, künstlerischer oder sogar literarischer Ausdruck, das Recht auf Schutz personenbezogener Daten im Rahmen dieser Verordnung. Persönliche Datenverarbeitung nur für journalistische Zwecke oder Universitätszwecke, Der künstlerische oder literarische Ausdruck sollte durch bestimmte Bestimmungen dieser Verordnung Ausnahmen oder Ausnahmen unterliegen, Falls erforderlich, um das Recht zum Schutz personenbezogener Daten mit dem Recht auf Freiheit der Meinungsfreiheit und Information in Einklang zu bringen, wie im Artikel verankert 11 Charta. Dies sollte insbesondere in Bezug auf die Verarbeitung personenbezogener Daten im audiovisuellen Bereich, in den Nachrichtendateien und den Typbibliotheken sein. deshalb, Die Mitgliedstaaten sollten gesetzgeberische Maßnahmen treffen, die die notwendigen Ausnahmen und Ausnahmeregelungen vorsehen, um diese Grundrechte auszugleichen. Die Mitgliedstaaten sollten solche Ausnahmen und Abweichungen zu allgemeinen Grundsätzen übernehmen, die Rechte der betroffenen Person, der Controller und der Prozessor, die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, unabhängige Aufsichtsbehörden, Kooperation und Kohärenz sowie Sonderfälle der Datenverarbeitung. Wenn solche Ausnahmen oder Ausnahmeregelungen von Mitgliedstaat zu Mitgliedstaat unterschiedlich sind, sollte das Gesetz des Mitgliedstaates anwenden, dem der Controller unterliegt. Um die Bedeutung des Rechts auf freie Meinungsäußerung in jeder demokratischen Gesellschaft widerspiegelt, Es ist notwendig, die mit dieser Freiheit verbundenen Konzepte im Detail zu interpretieren, wie Journalismus.

Diese Verordnung ermöglicht es, den Grundsatz des öffentlichen Zugangs zu amtlichen Dokumenten bei der Anwendung dieser Verordnung zu berücksichtigen. Der öffentliche Zugang zu offiziellen Dokumenten kann im öffentlichen Interesse betrachtet werden. Personenbezogene Daten in Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Einrichtung befinden, sollten von dieser Behörde oder Einrichtung öffentlich zugänglich gemacht werden können, wenn das Unionsrecht oder das Recht des Mitgliedstaats, dem die Behörde unterliegt, eine Offenlegung vorsieht. oder die öffentliche Einrichtung. Solche Gesetze müssen den Zugang der Öffentlichkeit zu amtlichen Dokumenten und die Weiterverwendung von Informationen des öffentlichen Sektors mit dem Recht auf Schutz personenbezogener Daten Einklang zu bringen und kann, deshalb, die notwendige Abstimmung mit dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung vorsehen. Hinweis auf Behörden und Körperschaften sollten in diesem Fall alle Grundsätze oder andere Stellen enthalten, die das Gesetz über den öffentlichen Zugang zu Dokumenten erfasst haben. Richtlinie 2003/98/EC des Europäischen Parlaments und des Rates (1) wirkt sich nicht aus und beeinflusst nicht

Amtsblatt der Europäischen Union

in irgendeiner Art und Weise in Bezug auf diese Verordnung auf die Verarbeitung personenbezogener Daten gemäß den Bestimmungen des EU-Rechts und dem Recht der Mitgliedstaaten und lässt insbesondere die Pflichten und Rechte festgelegten das Schutzniveau der Individuen. speziell, Diese Richtlinie sollte gelten nicht für Dokumente, zu denen Zugang beschränkt ist oder für den Schutz persönlicher Daten Charakter unter den Zugangsregelungen verboten, Noch in Abteilungen von Dokumenten, die nach diesen Regimen zugänglich sind und personenbezogene Daten enthalten, deren Einsatz gesetzlich vorgesehen ist, dass es mit dem Gesetz über den Schutz natürlicher Personen vor personenbezogenen Daten nicht kompatibel ist.

155. (155) Im Gesetz der Mitgliedstaaten oder in Kollektivvereinbarungen, einschließlich „Arbeitsabkommen“, Spezifische Regeln für die Verarbeitung personenbefragter Daten können festgelegt werden, Insbesondere für die Begriffe, unter denen personenbezogene Daten im Kontext der Beschäftigung auf der Grundlage der Zustimmung der Mitarbeiter bearbeitet werden können, für Rekrutierungszwecke, Erfüllung des Arbeitsvertrags, einschließlich der Erfüllung der Verpflichtungen aus dem Gesetz oder aus Tarifverträgen, Management, Planung und Organisation, Gleichheit und Vielfalt in der Arbeit, Gesundheit und Sicherheit bei der Arbeit, sowie zum Zwecke des Übens und Genießens, individuell oder kollektiv, Rechte und Leistungen in Bezug auf Beschäftigung und Zwecke der Beendigung des Arbeitsverhältnisses.
156. (156) Verarbeitung personenbezogener Daten für Archivierungszwecke für das öffentliche Interesse, Wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke sollten geeignete Garantien für die Rechte und Freiheiten der Daten gemäß dieser Verordnung unterliegen. Diese Garantien sollten sicherstellen, dass die garantierenden technischen und organisatorischen Maßnahmen, besondere, das Prinzip der Minimierung von Daten. Weitere personenbezogene Daten für Archivierungszwecke zum öffentlichen Interesse verarbeiten, historische oder wissenschaftliche Forschung oder für statistische Zwecke erfolgt, wenn die Steuerung beurteilt hat, ob es möglich, diese Ziele durch die Daten zu treffen ist, die Themen nicht mehr erlauben oder nicht erlaubt Identifizierung von Daten, vorausgesetzt, dass es ausreichende Garantien (wie, zum Beispiel, die psefdonymopoiisi Daten). Die Mitgliedstaaten sollten angemessene Sicherheitsgarantien für die Verarbeitung personenbezogener Daten für Archivierungszwecke für das öffentliche Interesse vorsehen, Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke. Sollte den Mitgliedstaaten erlauben, bereitzustellen, unter bestimmten Bedingungen und mit geeigneten Garantien für betroffene Personen, Spezifikationen und Ausnahmeregelungen in Bezug auf Informationsanforderungen sowie Korrektur- und Löschrechte, das Recht auf Vergessen, das Recht, die Verarbeitung einzuschränken,das Recht auf Datenübertragbarkeit und das Recht, der Verarbeitung personenbezogener Daten zu Archivierungszwecken im öffentlichen Interesse zu widersprechen, Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke. Diese Bedingungen und Garantien können bestimmte Verfahren beinhalten, so dass betroffene Personen diese Rechte ausüben können, gegebenenfalls für die Zwecke der jeweiligen Behandlung, parallel zu technischen und organisatorischen Maßnahmen zur Minimierung der Verarbeitung personenbezogener Daten nach den Grundsätzen der Verhältnismäßigkeit und Notwendigkeit. Die Verarbeitung personenbezogener Daten für Geldzwecke sollte auch anderen relevanten Gesetzen entsprechen, So für klinische Studien.
157. (157) Durch Kombination von Informationen aus Registern, Forscher können neue Kenntnisse über große Bedeutung in Bezug auf weit verbreitete pathologische Erkrankungen wie Herz -Kreislauf -Erkrankungen erwerben, Krebs und Depressionen. Basierend auf den Registern, Forschungsergebnisse können verbessert werden, da sie auf einer breiteren Bevölkerungsbasis basieren. In den Sozialwissenschaften, Registrierungsbasierte Forschung ermöglicht den Forschern, ein sinnvolles Wissen über die langfristige Korrelation bestimmter sozialer Situationen zu erlangen, wie Arbeitslosigkeit und Bildung mit anderen Lebensbedingungen. Die durch Registrien erworbenen Forschungsergebnisse bieten zuverlässiges und qualitativ, Verbesserung der Lebensqualität einiger Menschen und Verbesserung der Effizienz sozialer Dienste. Mit dem Ziel, die wissenschaftliche Forschung zu erleichtern, Personenbezogene Daten können für wissenschaftliche Forschungszwecke verarbeitet werden, unter den angemessenen Bedingungen und Garantien, die im Unionsrecht oder im Recht eines Mitgliedstaats festgelegt sind.
158. (158) Wenn personenbezogene Daten zu Archivierungszwecken verarbeitet werden, Diese Verordnung sollte auch für eine solche Verarbeitung gelten, unter Berücksichtigung der Tatsache, dass diese Verordnung nicht für Verstorbene gelten sollte. Behörden und öffentliche oder private Stellen, die Aufzeichnungen von öffentlichem Interesse führen, sollten Dienstleistungen sein, die, in Übereinstimmung mit dem Unionsrecht oder dem Recht eines Mitgliedstaats, eine gesetzliche Verpflichtung zum Erwerb gehalten, zu halten, zu bewerten, zum klassifizieren, beschreiben, zu kommunizieren,, Förderung, Verbreitung und Bereitstellung des Zugriffs auf Dateien mit festem Wert im allgemeinen öffentlichen Interesse. um eine weitere Verarbeitung personenbezogener Daten für Archivierungszwecke sollten die Mitgliedstaaten auch das Recht erhalten,, zum Beispiel mit dem Ziel, spezifische Informationen über politisches Verhalten in früheren autoritären Regimen bereitzustellen, Völkermord, Verbrechen gegen die Menschheit, vor allem der Holocaust, oder Kriegsverbrechen.

Amtsblatt der Europäischen Union

Wenn personenbezogene Daten für wissenschaftliche Forschungszwecke verarbeitet werden, Diese Verordnung sollte auch für eine solche Verarbeitung gelten. Für die Zwecke dieser Verordnung, Die Verarbeitung personenbezogener Daten zum Zwecke der wissenschaftlichen Forschung sollte weit ausgelegt werden, das heißt, zum Beispiel technologische Entwicklung und Demonstration, Grundlagenforschung, angewandte Forschung und privat finanzierte Forschung. zusätzlich, sollte das Ziel der Union gemäß Artikel berücksichtigen 179 Absatz 1 AEUV zur Erreichung eines europäischen Forschungsraums. Die wissenschaftliche Forschung sollte auch Studien umfassen, die im öffentlichen Interesse im Bereich der öffentlichen Gesundheit durchgeführt wurden. Berücksichtigung der Besonderheiten der Verarbeitung personenbezogener Daten für Zwecke der wissenschaftlichen Forschung, Es sollten besondere Bedingungen gelten, insbesondere für die Veröffentlichung oder anderweitige Offenlegung personenbezogener Daten zu Zwecken der wissenschaftlichen Forschung. Wenn das Ergebnis der wissenschaftlichen Forschung vor allem im Gesundheitssektor rechtfertigt weitere Maßnahmen im Interesse der betroffenen Person, die allgemeinen Bestimmungen dieser Verordnung anwendbar, da die Maßnahmen in Bezug auf.

Werden personenbezogene Daten für die historische Forschung Zwecken verarbeitet, Diese Verordnung sollte auch für eine solche Verarbeitung gelten. Fügen Sie hier die historische Forschung und Forschung für die genealogische Zwecke, unter Berücksichtigung der Tatsache, dass diese Verordnung nicht für Verstorbene gelten sollte.

Zum Zwecke der Zustimmung zur Teilnahme an wissenschaftlichen Forschungsaktivitäten in klinischen Studien, Es sollten die einschlägigen Bestimmungen der Verordnung gelten (EU) keine. 536/2014 Europäisches Parlament und Rat (1).

Wenn personenbezogene Daten zu statistischen Zwecken verarbeitet werden, Diese Verordnung sollte auch für eine solche Verarbeitung gelten. Das Unionsrecht oder das Recht der Mitgliedstaaten sollte, im Rahmen dieser Verordnung, den statistischen Inhalt zu bestimmen, Zugangskontrolle, die Standards für die Verarbeitung personenbezogener Daten zu statistischen Zwecken und geeignete Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person und zur Gewährleistung der statistischen Vertraulichkeit. Der Begriff "statistische Zwecke" bezeichnet jeden Vorgang der Erhebung und Verarbeitung personenbezogener Daten, der zur Durchführung statistischer Erhebungen oder zur Erstellung statistischer Ergebnisse erforderlich ist.. Dieser statistische Effekt kann für verschiedene Zwecke verwendet werden, einschließlich für Zwecke der wissenschaftlichen Forschung. Das statistische Ziel impliziert, dass das Ergebnis für statistische Zwecke der Verarbeitung keine personenbezogenen Daten, sondern Daten aggregiert und dass dieser Effekt oder dass persönliche Daten zur Unterstützung von Maßnahmen oder Entscheidungen gegenüber einzelne Betroffenen nicht verwendet.

Werden vertrauliche Informationen von der EU und den nationalen statistischen Ämtern erhoben werden, sollten für die Ausbildung der offiziellen EU und nationaler Statistiken geschützt werden. Europäische Statistiken müssen entwickelt werden, nach den in Artikel 1 festgelegten statistischen Grundsätzen zusammengestellt und verbreitet werden 338 Absatz 2 AEUV, Während nationale Statistiken auch das Gesetz der Mitgliedstaaten einhalten sollten. Verordnung (EG) keine. 223/2009 Europäisches Parlament und Rat (2) bietet weitere Erläuterungen zur statistischen Vertraulichkeit der europäischen Statistik.

In Bezug auf die Befugnisse der Aufsichtsbehörden, um den Prozessor oder die Verarbeitung der personenbezogenen Daten und der Zugriff auf ihre Einrichtungen sicherzustellen, Die Mitgliedstaaten können durch Gesetz errichten, im Rahmen dieser Verordnung, besondere Regelungen zur Wahrung der Berufsgeheimnispflichten oder anderer entsprechender Geheimhaltungspflichten, Soweit dies erforderlich ist, um das Recht auf personenbezogene Datenschutz mit der Verpflichtung der beruflichen Privatsphäre zu beeinträchtigen. Dies wirkt sich nicht auf die Verpflichtungen des anwendbaren Mitgliedstaates aus, Regeln für die berufliche Privatsphäre festzulegen, Wenn dies durch das Gesetz der Gewerkschaft verpflichtet ist.

Diese Verordnung respektiert und nicht den Status im Rahmen des derzeitigen Verfassungsrecht der Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten beeinträchtigen, wie sie in Artikel anerkannt 17 AEUV.

Um die Ziele dieser Verordnung zu erfüllen, nämlich der Schutz der Grundrechte und Freiheiten des Einzelnen und, insbesondere, das Recht auf Schutz personenbezogener Daten

1. (1) Regulierung (EU) keine. 536/2014 Europäisches Parlament und Rat, vom 16. April 2014, Für klinische Studien mit Medikamenten, die für den Menschen und für die Abschaffung der Richtlinie 2001/20/EC bestimmt sind (ABl L 158 von 27.5.2014, p. 1).
2. (2) Regulierung (EG) keine. 223/2009 Europäisches Parlament und Rat, vom 11. März 2009, über europäische Statistiken und die Aufhebung der Verordnung (EG, Euratom) keine. 1101/2008 des Europäischen Parlaments und des Rates über die Übertragung zum statistischen Dienst der europäischen Informationsgemeinschaften, die durch statistische Vertraulichkeit erfasst werden, der Verordnung (EG) keine. 322/97 Rat für Gemeinschaftsstatistik und Beschluss 89/382 / EWG, Euratom des Rates über die Einsetzung eines Ausschusses für das statistische Programm der Europäischen Gemeinschaften (ABl L 87 von 31.3.2009, p. 164).

Amtsblatt der Europäischen Union

sie betreffen sie, und Sicherung des kostenlosen Datenverkehrs für personenbezogene Daten in der Gewerkschaft, Die Kommission sollte der Befugnis der Erteilung von Handlungen gemäß dem Artikel zugewiesen werden 290 AEUV. speziell, sollte ausgestellt werden von’ Autorisierungsmaßnahmen zu Kriterien und Anforderungen für Zertifizierungsmechanismen, die mit Standardsymbolen dargestellten Informationen und die Verfahren zur Bereitstellung solcher Symbole. Es ist besonders wichtig, dass die Kommission während ihrer Vorbereitungsarbeiten angemessene Konsultationen durchführt, auch auf Expertenebene. Das Komitee, Bei der Vorbereitung und Einziehen’ delegierte Rechtsakte, sollte eine gleichzeitige, rechtzeitige und angemessene Übermittlung der einschlägigen Dokumente an das Europäische Parlament und den Rat.

167. (167) Um einheitliche Bedingungen für die Anwendung dieser Verordnung zu gewährleisten, sollten Durchführungsbefugnisse der Kommission übertragen werden, in dem in dieser Verordnung vorgesehenen. Diese Befugnisse sollten gemäß der Verordnung ausgeübt werden (EU) keine. 182/2011. In diesem Zusammenhang, die Kommission sollte Sondermaßnahmen für sehr kleine erwägen, kleine und mittlere Unternehmen.
168. (168) Das Prüfungsverfahren sollte auf die Genehmigung von Exekutivgesetzen für konventionelle Standardklauseln zwischen Prozessoren und Führungskräften der Verarbeitung angewendet werden, sowie zwischen der Verarbeitung; Ethische Codes; technische Standards und Zertifizierungsmechanismen; Das angemessene Schutzniveau durch ein Drittland, ein Gebiet oder einen bestimmten Sektor innerhalb dieses Drittlandes oder eine internationale Organisation; Standardschutzklauseln; Formate und Verfahren für den elektronischen Informationsaustausch zwischen für die Verarbeitung Verantwortlichen, Ausführung von Verarbeitungs- und Aufsichtsbehörden für verbindliche Unternehmensregeln; gegenseitige Abonnement- und Informationsaustauschvereinbarungen mit elektronischen Mitteln zwischen den Aufsichtsbehörden und zwischen den Aufsichtsbehörden und dem Datenrat.
169. (169) Die Kommission sollte sofort zutreffende Führungskräfte genehmigen, wenn verfügbare Daten den dritten Land ergeben, Hoheitsgebiet oder spezifischer Sektor in diesem Drittland oder dieser internationalen Organisation kein angemessenes Schutzniveau gewährleistet und zwingende Dringlichkeitsgründe dies erfordern.
170. (170) Seit dem Ziel dieser Regelung, das heißt, um ein gleichwertiges Schutzniveau für Einzelpersonen und den freien Verkehr personenbezogener Daten in der gesamten Union zu gewährleisten, kann von den Mitgliedstaaten nicht angemessen erreicht werden, Es kann jedoch sein, dass es dann sein kann, Aufgrund der Skala oder der Ergebnisse der beabsichtigten Aktion, am besten auf der Ebene der Gewerkschaft erreicht werden, Union kann Maßnahmen einführen, Nach dem Prinzip der Ergänzung, Wie im Artikel vorgesehen 5 des Vertrags über die Europäische Union (WAHR). Nach dem Prinzip der Verhältnismäßigkeit, in diesem Artikel, geht diese Verordnung nicht über das hinausgehen, was notwendig ist, um dieses Ziel zu erreichen,.
171. (171) Richtlinie 95/46 / EG sollte durch diese Verordnung aufgehoben werden. Die Verarbeitung bereits im Gang am Tag der Anwendung dieser Verordnung sollte mit dieser Verordnung innerhalb von zwei Jahren nach dem Inkrafttreten dieser Verordnung in Einklang gebracht werden. Wenn die Verarbeitung auf Zustimmung gemäß der Richtlinie basiert 95/46 / EG, es ist nicht notwendig, neue Zustimmung der betroffenen Person, wenn die Art und Weise, in der Zustimmung erhalten wurde, ist in Übereinstimmung mit den Bedingungen dieser Verordnung, Um den Regler Verarbeitung nach dem Zeitpunkt der Anwendung dieser Verordnung fortzusetzen. Die Entscheidungen der Kommission und Aufsichtsbehörden Genehmigungen gemäß der Richtlinie 95/46 / EG werden in Kraft, bis die Änderung bleiben, ersetzen oder entfernen sie.
172. (172) Konsultierte der Europäischen Datenschutzbeauftragten gemäß Artikel 28 Absatz 2 der Verordnung (EG) keine. 45/2001, die er geliefert auf 7 März 2012 (1).
173. (173) Diese Verordnung sollte für alle Fragen des Schutzes der Grundrechte und Freiheiten in Bezug auf die Verarbeitung personenbezogener Daten gelten und welche nicht unterliegen besonderen Verpflichtungen mit dem gleichen Ziel, wie in der Richtlinie 2002/58 / EG des Europäischen Parlaments und des Rates beschrieben (2), einschließlich der Verpflichtungen des Controllers und die Rechte des Einzelnen. Zur Klärung der Beziehung zwischen dieser Verordnung und der Richtlinie 2002/58 / EG, Die Richtlinie sollte entsprechend geändert werden. Sobald diese Verordnung angenommen, Sie sollten die Richtlinie 2002/58 / EG bewertet, insbesondere ihre Vereinbarkeit mit dieser Verordnung zu gewährleisten,,

HABEN FOLGENDE VERORDNUNG ERLASSEN:

Amtsblatt der Europäischen Union

KAPITEL I

allgemeine Bestimmungen

Artikel 1

Zweck und Ziele

4.5.2016

DAS

1. Diese Verordnung enthält Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und Vorschriften über den freien Verkehr personenbezogener Daten.

2. Diese Verordnung schützt die Grundrechte und -freiheiten natürlicher Personen, insbesondere ihr Recht auf Schutz personenbezogener Daten.

3. Der freie Verkehr personenbezogener Daten innerhalb der Union ist nicht beschränkt noch verboten für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verbunden Gründe.

Artikel 2

Sachlicher Geltungsbereich

1. Diese Verordnung gilt für, ganz oder teilweise, automatisierte Verarbeitung personenbezogener Daten, und die manuelle Verarbeitung solcher Daten enthalten sind oder in einem Ablagesystem einbezogen werden.

2. ein) b)

c) d)

Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten: Im Kontext einer Aktivität, die nicht in den Umfang des Gewerkschaftsgesetzes fällt,

durch die Mitgliedstaaten bei der Durchführung von Tätigkeiten, die in den Anwendungsbereich des Kapitels fallen 2 des Titels V der EWG,

von einer natürlichen Person im Kontext ausschließlich persönlicher oder häuslicher Aktivität,

von zuständigen Behörden zum Zwecke der Prävention, Untersuchung, Feststellung oder Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen, einschließlich Schutz und Vorbeugung gegen Gefahren, die die öffentliche Sicherheit bedrohen.

3.
Union, gilt die Verordnung (EG) keine. 45/2001. Verordnung (EG) keine. 45/2001 und andere Rechtsakte der Union, die auf eine solche Verarbeitung personenbezogener Daten anwendbar sind, werden gemäß Artikel an die Grundsätze und Regeln dieser Verordnung angepasst 98.

4. Diese Verordnung berührt nicht die Anwendung der Richtlinie 2000/31 / EG, insbesondere die Vorschriften über die Haftung von Vermittlern fest in den Artikeln 12 bis 15 der genannten Richtlinie.

Artikel 3

Territorialer Geltungsbereich

1. Diese Verordnung gilt für die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit einer Einrichtung eines für die Verarbeitung Verantwortlichen oder Verarbeiters in der Union., unabhängig davon, ob die Verarbeitung innerhalb der Union erfolgt.

Für die Verarbeitung personenbezogener Daten durch die Institutionen, Träger, seine Dienste und Organisationen

4.5.2016 Amtsblatt der Europäischen Union L 119/33

DAS

2. Diese Verordnung wird auf die Verarbeitung personenbezogener Betroffene in den Daten in der Gewerkschaft durch einen Controller angewendet oder die in der Gewerkschaft nicht installierte Verarbeitung durchgeführt, Wenn die Verarbeitung Aktivitäten im Zusammenhang mit:

ein) die Lieferung von Waren oder Dienstleistungen in diesen Fächern in der Union Datenbank, ob die Zahlung von betroffenen Personen erforderlich, oder

b) Überwachung ihres Verhaltens, in dem Maße, dass dieses Verhalten erfolgt innerhalb der Union.

3. Diese Verordnung gilt für die Verarbeitung personenbezogener Daten durch einen nicht in der Union ansässigen Verarbeiter., aber an einem Ort, an dem das Recht eines Mitgliedstaats nach internationalem öffentlichem Recht gilt.

Artikel 4

Definitionen

1. 1) "Persönliche Daten": alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen ("betroffene Person")· eine identifizierbare natürliche Person ist eine Person, deren Identität festgestellt werden kann, direkt oder indirekt, insbesondere durch Bezugnahme auf eine Kennung, wie Namen, in ID-Nummer, in Standortdaten, an eine Online-Kennung oder an einen oder mehrere physische Faktoren, normal, genetisch, psychologisch, wirtschaftlich, kulturelle oder soziale Identität der betreffenden natürlichen Person,
2. 2) "wird bearbeitet": jede Handlung oder Reihe von Handlungen, die mit oder ohne den Einsatz automatisierter Mittel durchgeführt werden, In personenbezogenen Daten oder personenbezogenen Datensätzen, wie die Sammlung, die Registrierung, die Organisation, die Struktur, der Speicher, die Einstellung oder Änderung, die Genesung, die Suche nach Informationen, die Verwendung, Offenlegung durch Übermittlung, Verbreitung oder jede andere Form der Verfügung, die Assoziation oder Kombination, die Beschränkung, Löschung oder Vernichtung,
3. 3) „Einschränkung der Verarbeitung“: die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken,
4. 4) "Profilerstellung": jede Form von persönlichen Daten der automatischen Verarbeitung, die für die Bewertung bestimmter persönlichen Aspekte eines Individuums die Nutzung personenbezogener Daten beinhaltet, insbesondere für Aspekte im Zusammenhang mit der Arbeitsleistung zu analysieren oder der Vorhersage, die wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, die Position oder die Bewegungen der natürlichen Person,
5. 5) "Psefdonymopoiisi": die Verarbeitung personenbezogener Daten, so dass die Daten nicht mehr ohne den Einsatz von Zusatzinformationen zu einer identifizierten betroffenen Person zugeschrieben werden, wenn sich diese zusätzlichen Informationen werden gesondert und vorbehaltlich der technischen und organisatorischen Maßnahmen beibehalten, um sicherzustellen, dass sie nicht zu einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden,
6. 6) "Filing-System": jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist, entweder zentral, dezentralisiert oder nach funktionalen oder geografischen Basis,
7. 7) "Controller": die natürliche oder juristische Person, Behörde, Agentur oder einer anderen Einheit, allein oder gemeinsam mit anderen, die Zwecke und die Art und Weise der Verarbeitung personenbezogener Daten bestimmen, wenn die Zwecke und die Art und Weise dieser Verarbeitung durch das Unionsrecht oder das Recht eines Mitgliedstaats bestimmt werden, die Steuerung bzw. die spezifischen Kriterien für seine Ernennung durch das Unionsrecht oder das Recht eines Mitgliedstaates,,
8. 8) „Prozessor“: die natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die im Namen des Controllers personenbezogene Daten verarbeitet,
9. 9) „Empfänger“: die natürliche oder juristische Person, Behörde, Agentur oder einer anderen Einheit, die offenbart die personenbezogenen Daten, ob oder ob nicht dritte. jedoch, die Behörden können nehmen

Im Sinne dieser Verordnung sind::

L 119/34

Amtsblatt der Europäischen Union 4.5.2016

10)

11)

12)

13)

14)

15)

16)

personenbezogene Daten im Rahmen einer bestimmten Untersuchung nach dem Recht der Union oder eines Mitgliedstaats gelten nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten öffentlichen Stellen erfolgt in Übereinstimmung mit den anwendbaren Datenschutzvorschriften je nach dem Zwecke der Verarbeitung,

‚Dritte‘: jede natürliche oder juristische Person, Behörde, Abteilung oder Agentur, mit Ausnahme der betroffenen Person, der Controller, der Prozessor und die Personen, die, unter der direkten Aufsicht des Controllers oder der Prozessor, Sie sind berechtigt, personenbezogene Daten zu verarbeiten,

„Zustimmung“ des Betroffenen: Alles spricht dafür, Absichts, kostenlos, spezifisch, explizit und informiert, von denen zum Ausdruck bringt die betroffene Person Vereinbarung, eine Erklärung oder eine klare positive Energie, personenbezogene Daten verarbeitet werden, beziehen,

„Persönliche Daten Verletzung“: eine Verletzung der Sicherheit, die zur zufälligen oder unrechtmäßigen Zerstörung, Verlust, Veränderung, Offenlegung oder unbefugter Zugriff auf personenbezogene Daten, die übertragen wurden, gespeichert oder flach unterworfen’ anderweitig verarbeitet,

„Genetische Daten“: personenbezogenen Daten an individuellen genetischen Merkmale erforderlich sind angeborene oder erworbene, wie sie erscheinen, insbesondere, von biologischer Probenanalyse des Individuums und dem bieten einzigartige Informationen über die Physiologie oder die Gesundheit der einzelnen,

"biometrische Daten": personenbezogene Daten, die durch eine besondere technische Verarbeitung im Zusammenhang mit physischen Daten entstehen, biologische oder Verhaltensmerkmale einer natürlichen Person sind und die eine eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder Fingerabdruckdaten,

„Daten zur Gesundheit“: personenbezogenen Daten an körperlichen oder geistigen Gesundheit einer Person im Zusammenhang, einschließlich Gesundheitsdienste, und die offenbaren Informationen über den Gesundheitszustand,

„Haupt establishment“:

1. ein) im Falle eines für die Verarbeitung Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat, der Ort der zentralen Verwaltung der Union, es sei denn, Entscheidungen in Bezug auf die Zwecke und Mittel der in einem anderen Betrieb der Steuerung in der Union und der Anlage gesammelt wurden, der Verarbeitung persönlicher Daten hat die Befugnis, solche Entscheidungen zu erzwingen, so wie die Haupt Installation wird die Installation berücksichtigt, die diese Entscheidungen getroffen haben,
2. b) wenn es darum geht, den Prozessor mit Standorten in mehr als einem Mitgliedstaat, der Ort der zentralen Verwaltung der Union oder, wenn der Prozessor hat keine zentrale Verwaltung in der Union, einen Prozessor in der Union der Installation, die die Hauptverarbeitungstätigkeit in der Anlage Aktivitäten des Prozessors durch, soweit der Prozessor unterliegt besonderen Anforderungen im Rahmen dieser Verordnung,

„Vertreter“: natürliche oder juristische Person mit Sitz in der Union niedergelassene, schriftlich durch den Controller oder den Prozessor gemäß Artikel definiert 27 und stellt die Steuerung oder den Prozessor als auf ihre jeweiligen Verpflichtungen dieser Verordnung,

"Business": natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich regelmäßig in wirtschaftlicher Tätigkeit ausübende Gesellschaften oder Vereinigungen,

‚Unternehmensgruppe‘: ein herrschendes Unternehmen und von ihr kontrollierten Unternehmen, die,

"Binding Corporate Rules": die Datenschutzrichtlinien des persönlichen Charakters, die für die Übertragung oder eine Reihe von Übermittlungen personenbezogener Daten an einen Controller oder Prozessor mit einem oder mehreren Drittländer innerhalb einer Gruppe von Unternehmen einem Datum-Controller oder Prozessor mit Sitz in einem Mitgliedstaat folgt, oder eine Gruppe von Unternehmen, die in gemeinsamer Wirtschaftstätigkeit,

17)

18)

19) 20)

21)

„Aufsichtsbehörde“: unabhängige öffentliche Stelle die von den Mitgliedstaaten gemäß Artikel oben 51,

DAS

4.5.2016 Amtsblatt der Europäischen Union L 119/35

22. 22) „Aufsichtsbehörde“: Aufsichtsbehörde die Verarbeitung personenbezogener Daten, da:
    1. ein) der Verantwortliche oder Auftragsverarbeiter ist im Hoheitsgebiet des Mitgliedstaats der genannten Aufsichtsbehörde niedergelassen,
    2. b) Betroffene Personen mit Wohnsitz in dem Mitgliedstaat dieser Aufsichtsbehörde sind von der Verarbeitung betroffen oder können erheblich betroffen sein, oder
    3. c) eine Beschwerde bei der zuständigen Aufsichtsbehörde eingelegt wurde,
23. 23) „grenzüberschreitende Verarbeitung“:
    1. ein) Verarbeitung personenbezogener Daten im Zusammenhang mit den Aktivitäten verschiedener Installationen in mehr als einem Mitgliedstaaten der Bearbeitung oder Bearbeitung der Verarbeitung in der Gewerkschaft, in der der Controller oder den Performer in mehr als einem Mitgliedstaaten festgelegt wird oder
    2. b) die Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten eines einzigen für die Verarbeitung Verantwortlichen oder einer Niederlassung eines einzelnen Auftragsverarbeiters in der Union erfolgt, die betroffene Personen jedoch in mehr als einem Mitgliedstaat beeinträchtigt oder erheblich beeinträchtigen kann,
24. 24) „sachdienlicher und begründeter Widerspruch“: Einspruch gegen einen Entscheidungsentwurf wegen des Vorliegens eines Verstoßes gegen diese Vorschrift, oder in Bezug auf die Einhaltung dieser Bestimmung der beabsichtigten Handlung in Bezug auf den Verantwortlichen oder den Auftragsverarbeiter, die die Bedeutung der von dem Entscheidungsentwurf ausgehenden Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen deutlich macht und, gegebenenfalls, der freie Verkehr personenbezogener Daten innerhalb der Union,
25. 25) „Service der Informationsgesellschaft“: Dienstleistung im Sinne von Artikel 1 Absatz 1 b) Direktive (EU) 2015/1535 Europäisches Parlament und Rat (1),
26. 26) ‚Internationale Organisation‘: Organisation und deren nachgeordnete, dass durch die von internationalen öffentlichen Rechts oder anderen Körper etabliert, oder auf der Grundlage einer Vereinbarung zwischen zwei oder mehr Ländern gelten Einrichtungen.

    KAPITEL II

    Prinzipien

    Artikel 5

    Grundsätze für die Verarbeitung personenbezogener Daten

1. persönliche Daten:

1. ein) zu fair und rechtmäßig in einer transparenten Art und Weise in Bezug auf Daten unterliegen unterworfen (‚Legalität, Objektivität und Transparenz "),
2. b) für bestimmte gesammelt, ausdrückliche und legitime Zwecke und werden nicht in einer Weise weiterverarbeitet, die mit diesen Zwecken unvereinbar ist; die Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche oder historische Forschungs- oder statistische Zwecke gilt nicht als unvereinbar mit den ursprünglichen Zwecken gemäß Art. 89 Absatz 1 („Zweckbindung“),
3. c) sind geeignet, relevant und beschränkt auf das, was für die Zwecke, für die sie verarbeitet werden, erforderlich ist ("Datenminimierung"),
4. d) ist genau und, wenn nötig, aktualisiert werden; es müssen alle angemessenen Schritte unternommen werden, um unrichtige personenbezogene Daten unverzüglich zu löschen oder zu korrigieren, in Bezug auf die Verarbeitung Zwecke (‚Genauigkeit‘),

(1) Unterricht (EU) 2015/1535 Europäisches Parlament und Rat, 9. September 2015, für die Bereitstellung von Informationen auf dem Gebiet der technischen Vorschriften und die Vorschriften für Dienste der Informationsgesellschaft (ABl L 241 von 17.9.2015, p. 1).

DAS

L 119/36 e)

f)

Amtsblatt der Europäischen Union 4.5.2016

werden in einer Form aufbewahrt, die eine Identifizierung der betroffenen Personen nur für den Zeitraum ermöglicht, der für die Zwecke der Verarbeitung der personenbezogenen Daten erforderlich ist; personenbezogene Daten können für längere Zeiträume gespeichert werden, wenn personenbezogene Daten werden nur für Archivierungszwecke im öffentlichen Interesse verarbeitet werden, zum Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke, Nach dem Artikel 89 Absatz 1 und gegebenenfalls angewandte technische und organisatorische Maßnahmen, die von dieser Verordnung erforderlich, um die Rechte und Freiheiten der betroffenen Person, um sicherzustellen, („Begrenzung der Lagerzeit '),

in einer Weise verarbeitet, die richtige Sicherheit personenbezogener Daten gewährleistet, einschließlich dessen Schutz gegen unbefugte oder rechtswidrige Verarbeitung und versehentlichen Verlust, Zerstörung oder Beschädigung, mit geeigneten technischen oder organisatorischen Maßnahmen („Integrität und Vertraulichkeit").

Der Controller ist verantwortlich und in der Lage der Einhaltung von Absatz zu demonstrieren 1

Artikel 6

Rechtmäßigkeit der Verarbeitung

2. („Verantwortlichkeit“).

DAS

1. Die Verarbeitung ist erlaubt nur, wenn und gegebenenfalls mindestens eine der folgenden Bedingungen:

1. ein) die betroffene Person in die Verarbeitung personenbezogener Daten für einen oder mehrere bestimmte Zwecke zugestimmt,
2. b) Die Verarbeitung ist für die Ausführung eines Vertrags erforderlich, dessen Betroffene Teil eines Teils ist oder Maßnahmen ergreifen’ Die Anwendung der betroffenen Person vor dem Vertrag wird abgeschlossen,
3. c) Bearbeiten sind für die Einhaltung einer gesetzlichen Verpflichtung der Verarbeitung erforderlich,
4. d) Bearbeiten sind für die Erhaltung von entscheidender Bedeutung für das Thema Daten oder andere natürliche Person erforderlich,
5. e) Die Bearbeitung ist notwendig, um eine im öffentliche Interesse erfüllte Pflicht oder in der Ausübung der dem Verarbeitungsbeauftragten zugewiesenen öffentliche Autorität zu erfüllen,

f) Bearbeiten ist für die Zwecke der vom Controller oder des Dritten verfolgten legitimen Interessen erforderlich, es sei denn, diese Interessen überwiegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, Vor allem, wenn die betroffene Person ein Kind ist.

Element f) des ersten Unterabsatzes wird nicht auf die Verarbeitung von Behörden bei der Ausübung ihrer Pflichten angewendet.

2. Die Mitgliedstaaten können spezifische Vorschriften für die Anwendung der Bestimmungen dieser Verordnung anzupassen über die Behandlung mit Absatz beizubehalten oder einzuführen nachzukommen 1 Daten C) und e), genauer auf die spezifischen Anforderungen für die Behandlung und andere Maßnahmen zur Festlegung rechtmäßig und eine angemessene Verarbeitung sicherzustellen, auch für andere spezielle Behandlungsfälle als nach Kapitel IX.

3. Die Grundlage für die Verarbeitung im Sinne des Absatzes 1 Daten C) und e) ist definiert gemäß: ein) Unionsrecht, oder
b) das Recht des Mitgliedstaates, in dem die Steuerung unterliegt.

Der Zweck der Verarbeitung wird in dieser Rechtsgrundlage definiert oder, In Bezug auf die Verarbeitung in Absatz genannt 1 Punkt e), Es ist die Notwendigkeit der Verarbeitung für die Wahrnehmung einer Aufgabe im öffentlichen Interesse liegt oder in Ausübung öffentlichen Gewalt in der Steuerung übertragen durchgeführt. Diese Rechtsgrundlage können besondere Bestimmungen zur Anwendung der Bestimmungen dieser Verordnung anzupassen, einschließlich: die allgemeinen Bedingungen für die rechtmäßige Verarbeitung durch den Controller; die Art von

4.5.2016 Amtsblatt der Europäischen Union L 119/37

DAS

Daten, die sich Prozesse unterziehen; die zugrunde liegenden Daten;, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßigen und legitimen Verarbeitung, B. für andere Sonderbearbeitungsfälle gemäß Kapitel IX. Gewerkschaftsrecht oder das Gesetz des Mitgliedstaats reagiert auf den Zweck eines öffentlichen Interesses und entspricht dem verfolgten Rechtszweck.

4. Wenn die Verarbeitung für einen anderen Zweck als derjenige, für den personenbezogene Daten erfasst wurden 23 Absatz 1, der Controller, Um festzustellen, ob die Verarbeitung für einen anderen Zweck mit dem Zweck kompatibel ist, für den ursprünglich personenbezogene Daten erfasst werden, berücksichtigt, einschließlich:

1. ein) eine Verbindung zwischen den Zwecken, für die die persönlichen Daten und die Ziele der beabsichtigten weiteren Verarbeitung gesammelt,
2. b) der Kontext, in denen personenbezogene Daten gesammelt, insbesondere im Hinblick auf die Beziehung zwischen der betroffenen Person und dem Controller,
3. c) die Art der personenbezogenen Daten, vor allem für besondere Arten personenbezogener Daten verarbeitet, Nach dem Artikel 9, oder ob persönliche Daten zu strafrechtlichen Verurteilungen und Straftaten verarbeitet, Nach dem Artikel 10,
4. d) Die möglichen Folgen einer weiteren Verarbeitung beabsichtigte Verarbeitung für die zugrunde liegenden Daten,
5. e) die Existenz geeigneter Garantien, die Verschlüsselung oder psefdonymopoiisi umfassen kann.

   Artikel 7

   Bedingungen für die Zulassung

1. Wenn die Verarbeitung auf Zustimmung basiert, der Controller ist in der Lage zu beweisen, dass die betroffene Person in die Verarbeitung personenbezogener Daten eingewilligt hat.

2. Wenn die Zustimmung der betroffenen Person wird in einer schriftlichen Erklärung vorgesehen, die auch andere Fragen betreffen, das Ersuchen um Zustimmung ist in einer Art und Weise vorgelegt werden, die von anderen Fächern deutlich unterscheidet, eine verstanden und leicht zugängliche Form, mit klarer und einfacher Formulierung. Jeder Teil dieser Erklärung, der gegen diese Verordnung verstößt, ist unverbindlich.

3. Die betroffene Person hat das Recht, seine Zustimmung jederzeit zu widerrufen. Der Rückruf der Einwilligung hat keinen Einfluss auf die Legitimität der Verarbeitung, die auf der Einwilligung vor ihrem Widerruf beruht. Vor der Einwilligung, die betroffene Person davon unterrichtet. Der Widerruf der Einwilligung ist so einfach wie die Bereitstellung der.

4. Bei der Beurteilung, ob die Erteilung der Genehmigung der frei, wird besonders berücksichtigt, ob, einschließlich, Einen Vertrag ausführen, einschließlich der Bereitstellung eines Dienstes, abhängig gemacht Einwilligung in die Verarbeitung personenbezogener Daten ist für die Durchführung dieses Vertrages nicht erforderlich.

Artikel 8

Bedingungen für die Zustimmung des Kindes im Vergleich zu den Dienstleistungen der Informationsgesellschaft

1. Wenn der Artikel angewendet wird 6 Absatz 1 Punkt a), In Bezug auf das Angebot der Dienstleistungen der Informationsgesellschaft direkt an ein Kind, Die personenbezogene Datenverarbeitung ist legal, wenn das Kind mindestens ist 16 Jahr alt. Wenn das Kind unter dem Alter von ist 16 Jahre, Diese Verarbeitung ist nur dann rechtmäßig, wenn und in dem Maße, in dem diese Einwilligung von der Person mit der elterlichen Verantwortung des Kindes erteilt oder genehmigt wird.

Die Mitgliedstaaten gesetzlich Mindestalter für solche Zwecke zur Verfügung stellen kann, vorausgesetzt, daß die frühere Alter nicht unter ist 13 Jahre.

L 119/38 Amtsblatt der Europäischen Union 4.5.2016

DAS

2. Die Steuerung zumutbare Anstrengungen, um diese Fälle zu überprüfen, ob die Zustimmung der Person zur Verfügung gestellt oder zugelassen, die das Sorgerecht für das Kind hat, unter Berücksichtigung der zur Verfügung stehende Technologie.

3. Absatz 1 Es hat keinen Einfluss auf das allgemeine Vertragsrecht der Mitgliedstaaten, wie die Regeln über den Eintritt, Ausbildung oder Folgen eines Vertrags in Bezug auf das Kind.

Artikel 9

Bearbeiten Sie besondere Kategorien personenbezogener Daten

1. Die Verarbeitung personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder Teilnahme an einer Gewerkschaftsorganisation, sowie verarbeiten genetische Daten, biometrische Daten zur eindeutigen Identifizierung Person, Daten über Gesundheit oder Daten zu individuellen Sexualleben in Bezug oder der sexuellen Ausrichtung.

2. Absatz 1 auf die folgenden nicht gelten:

1. ein) Die betroffene Person hat der Verarbeitung dieser personenbezogenen Daten für einen oder mehrere spezifische Zwecke ausdrücklich zustimmen, Es sei denn, das Gesetz der Union oder des Mitgliedstaates sieht vor, dass das in Absatz genannte Verbot 1 kann nicht von der betroffenen Person aufgehoben werden,
2. b) Die Verarbeitung ist für die Erfüllung der Verpflichtungen und die Ausübung spezifischer Rechte des für die Verarbeitung Verantwortlichen oder der betroffenen Person im Bereich des Arbeitsrechts sowie des Sozialversicherungs- und Sozialschutzrechts erforderlich, Wenn dies durch das Gesetz der Union oder des Mitgliedstaats oder durch eine Tarifvereinbarung gemäß dem nationalen Recht zulässig ist, indem sie angemessene Garantien für die Grundrechte und Interessen der betroffenen Person vorlegen,
3. c) die Verarbeitung ist erforderlich für den Schutz von vitalem Interesse der betroffenen Person oder einer anderen Person, wenn die betroffene Person aus physischen oder rechtlichen Gründen außerstande Zustimmung,
4. d) Verarbeitungen, sofern angemessene Schutzmaßnahmen, unter den Rechtsgrundaktivitäten, Organisation oder andere nicht -profitische Fluggesellschaften mit einem politischen, philosophisch, religiöses oder Gewerkschafts Ziel und unter der Bedingung, dass die Verarbeitung nur auf die Mitglieder oder ehemalige Mitglieder der Organisation oder Personen, die mit ihm mit ihrem Zweck und dass die personenbezogenen Daten nicht mit anderen geteilt außerhalb dieses Körpers, ohne die in Verbindung haben regelmäßigen Kontakt bezieht Einwilligung der betroffenen Personen,
5. e) die Verarbeitung bezieht sich auf personenbezogene Daten, die von der betroffenen Person offenkundig öffentlich gemacht,

f) die Verarbeitung ist erforderlich für die Gründung, Schulung oder Support Rechtsansprüche oder wenn die Gerichte in ihrer gerichtlichen Eigenschaft,

6. g) die Verarbeitung ist erforderlich aus Gründen eines wichtigen öffentlichen Interesses, durch das Recht der Union oder die Mitgliedstaaten, was einem angemessenen Verhältnis zu dem verfolgten Ziel, bewahrt den Inhalt des Rechts auf Datenschutz und sorgt für geeignete Maßnahmen, die Grundrechte und Interessen der betroffenen Person zu schützen,
7. die) Bearbeiten ist für vorbeugende oder berufliche Medizin erforderlich, Bewertung der Arbeitsfähigkeit des Mitarbeiters zur Arbeit, Medizinische Diagnose, Bereitstellung von Gesundheits- oder Sozialversorgung oder Behandlung oder Management von Gesundheit und sozialen Systemen und Dienstleistungen nach Gewerkschaftsrecht oder Mitglied des Mitgliedstaats oder im Rahmen eines Vertrags mit einem medizinischen Fachmann und ohne Vorurteile gegen die im Absatz genannten Bedingungen und Garantien. 3,
8. ich) die Verarbeitung ist erforderlich für das öffentliche Interesse im öffentlichen Gesundheitswesen, wie gegen schwere grenzüberschreitenden Gesundheitsbedrohungen zu schützen oder ein hohes Maß an Qualität und Sicherheit der Gesundheitsversorgung und Arzneimittel oder Medizinprodukte zu gewährleisten, nach dem Unionsrecht oder Recht der Mitgliedstaaten, die angemessene und spezifische Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person vorsieht, Insbesondere der beruflichen Privatsphäre, oder

4.5.2016 ich)

Amtsblatt der Europäischen Union L 119/39

Bearbeiten ist für Archivzwecke für das öffentliche Interesse erforderlich, Für die Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke gemäß dem Artikel 89 Absatz 1 Nach dem Gesetz einer Union oder eines Mitgliedstaates, die proportional zum beabsichtigten Ziel sind, Sie respektieren die Essenz des Rechts, Daten zu schützen und angemessene und spezifische Maßnahmen zu ermöglichen, um Grundrechte und Interessen der betroffenen Person zu gewährleisten.

DAS

3.
Zwecke des Absatzes 2 Punkt h), Wenn solche Daten von oder unter der Verantwortung eines beruflichen Vorgangs der Verpflichtung zur Einhaltung der beruflichen Vertraulichkeit nach dem Gesetz der Gewerkschaft oder des Mitgliedstaats oder auf der Grundlage von Regeln bearbeitet werden.

4. Die Mitgliedstaaten beibehalten oder einführen kann weitere Bedingungen, einschließlich der Beschränkungen, in Bezug auf die Verarbeitung genetischer Daten, biometrische Daten oder Daten über Gesundheit.

Artikel 10

Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten

Die Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten oder verwandten Sicherheitsmaßnahmen aufgrund von Artikeln 6 Absatz 1 nur unter der Kontrolle der Behörde durchgeführt wird, oder wenn der Prozess durch das Unionsrecht oder Recht der Mitgliedstaaten erlaubt, die für die Rechte und Freiheiten der betroffenen Personen angemessene Garantien bietet. Voll Vorstrafen gehalten nur unter amtlicher Kontrollbehörde.

Artikel 11

Die Behandlung, die nicht Identifizierung erfordert

1. Wenn die Zwecke, für die die Steuerung personenbezogene Daten verarbeitet werden nicht benötigt oder nicht mehr benötigen, die Identifizierung der betroffenen Person durch die Steuerung, der Regler ist nicht erforderlich, zu halten, zu erwerben und zusätzliche Informationen zur Überprüfung der betroffenen Person der Identität ausschließlich zum Zweck der Einhaltung dieser Verordnung zu verarbeiten.

2. wenn, in den Fällen nach Absatz 1 dieser Artikel, die Steuerung kann zeigen, dass er nicht in der Lage ist, die Identität der betroffenen Person zu überprüfen, die Steuerung wird die betroffene Person informieren, wenn möglich. In solchen Fällen, Artikel 15 als 20 nicht anwendbar, es sei denn, die betroffene Person, zum Zweck der Ausübung ihrer Rechte nach diesen Artikeln, ergänzende Informationen die Überprüfung der Identität.

KAPITEL III

Rechte der betroffenen Person

Abschnitt 1

Transparenz und Einstellungen

Artikel 12

transparente Informationen, Kommunikation und Regelungen für die betroffene Person Rechte ausüben,

1. Die Steuerung trifft geeignete Maßnahmen, um die betroffene Person mit allen Informationen, die in den Artikeln zu 13 und 14 und jede Kommunikation nach den Artikeln 15 bis 22 und Artikel 34 über die Verarbeitung in einer Zusammenfassung, transparent, verständliches und leicht zugängliches Format, mit klarer und einfacher Formulierung, Insbesondere wenn es um Informationen geht, die speziell an Kinder gerichtet sind. Die Informationen werden schriftlich oder auf andere Weise bereitgestellt, einschließlich, wenn angezeigt, elektronisch. Bei Anfrage von der betroffenen Person, Informationen können oral gegeben werden, vorausgesetzt, dass die Identität der betroffenen Person mit anderen Mitteln nachgewiesen wird,.

Personenbezogene Daten im Sinne von Absatz 1 können verarbeitet werden

L 119/40 Amtsblatt der Europäischen Union 4.5.2016

DAS

2. Der Controller ermöglicht die Ausübung der Rechte der betroffenen Personen in den Artikeln aus 15 bis 22. In den Fällen, in Artikel 11 Absatz 2, der Controller sich nicht weigert, auf Ersuchen der betroffenen Person zu handeln, seine Rechte gemäß den Artikeln auszuüben 15 bis 22, es sei denn, der Controller beweist, dass er nicht in der Lage ist, die Identität der betroffenen Person zu überprüfen.

3. Die Steuerung liefert die betroffene Person über die Aktion auf Anfrage nach den Artikeln ausgeführt 15 bis 22 unverzüglich und in jedem Fall innerhalb eines Monats nach Eingang des Antrags. Diese Frist kann um weitere zwei Monate verlängert werden, notfalls, unter Berücksichtigung der Komplexität des Antrags und die Anzahl der Anfragen. Die Steuerung soll die betroffene Person einer solchen Verlängerung innerhalb eines Monats nach Eingang des Antrags informieren, sowie Gründe für die Verzögerung. Wenn die betroffene Person die Anfrage elektronisch einreicht, Das Update wird bereitgestellt, wenn möglich, auf elektronischem Wege, sofern die betroffene Person nichts anderes verlangt.

4. Wenn der Controller nicht auf Anfrage der betroffenen Person handelt, Der Controller informiert die betroffene Person, unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags, die Gründe, warum es nicht gehandelt hat und die Möglichkeit der Beschwerde an einen Vorgesetzten und Ausübung gerichtlichen Kontrolle.

5. Die in Übereinstimmung mit den Artikeln bereitgestellten Informationen 13 und 14 und jede Ankündigung sowie alle Maßnahmen gemäß Artikeln 15 bis 22 und Artikel 34 werden kostenlos zur Verfügung gestellt. Wenn die Anfragen der betroffenen Personen offensichtlich unbegründet oder übermäßig sind, vor allem wegen ihres wiederholten Charakters, Der Controller kann entweder:

ein) die Zahlung einer angemessenen Gebühr zu verhängen, unter Berücksichtigung der Verwaltungskosten für die Bereitstellung von Informationen oder Kommunikation oder führen Sie die gewünschte Aktion, oder

b) weigern sich, die Anfrage zu verfolgen.

Der Controller hat die Last des offensichtlich unbegründet oder übermäßigen Charakter des Antrags beweisen.

6. Ungeachtet des Artikels 11, wenn der Controller hat begründete Zweifel über die Identität der Person, die die Anfrage nach den Artikeln machen 15 bis 21, Der Controller kann die Bereitstellung zusätzlicher Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

7. Die Informationen zu den Artikeln zu den betroffenen Personen gemäß zur Verfügung gestellt werden 13 und 14 Sie können in Verbindung mit standardisierten Symbolen versehen sein, prominent platziert werden, verständlich und gut lesbar Art und Weise einen wesentlichen Überblick über die beabsichtigte Verarbeitung. Wenn die Symbole verfügbar sind elektronisch, maschinenlesbar.

8. Die Kommission wird ermächtigt, delegierte zu erlassen’ delegierte Rechtsakte gemäß Artikel 92 Bestimmen der Informationen, die für die Bereitstellung von Standard-Icons mit Symbolen und Verfahren vorgestellt.

Abschnitt 2

Informationen und Zugang zu personenbezogenen Daten

Artikel 13

Information zur Verfügung gestellt, wenn die personenbezogenen Daten von der betroffenen Person erhoben

1. Werden personenbezogene Daten an eine betroffene Person beziehen, werden von der betroffenen Person erhoben, der Controller, beim Empfang von personenbezogenen Daten, liefern die Daten unterliegen der folgenden Informationen:

1. ein) die Identität und Kontaktangaben des Controllers und, gegebenenfalls, Der Vertreter der Steuerung,
2. b) Kontaktdaten des Datenschutzbeauftragten, gegebenenfalls,
3. c) Zwecke der Verarbeitung, für die sie personenbezogene Daten, und die Rechtsgrundlage für die Verarbeitung,

4.5.2016 d)

e) f)

Amtsblatt der Europäischen Union L 119/41

wo die Verarbeitung beruht auf Artikel 6 Absatz 1 f), die berechtigten Interessen durch die Steuerung verfolgt oder von einem dritten,

die Empfänger oder Kategorien von Empfängern personenbezogener Daten, wenn sie existieren,

gegebenenfalls, Die Absicht des Prozessors, personenbezogene Daten an eine Drittland oder eine internationale Organisation und das Bestehen oder das Fehlen der Angemessenheit eines Ausschusses zu übertragen oder, Wenn es um die im Artikel genannten Übertragungen geht 46 oder 47 oder im Artikel 49 Absatz 1 Zweiter Unterabsatz, Angabe der angemessenen oder angemessenen Garantien und Mittel zur Erlangung einer Kopie oder wo.

DAS

2.
persönliche Daten, Bietet der betroffenen Betroffenen die folgenden zusätzlichen Informationen, die erforderlich sind, um eine legitime und transparente Verarbeitung sicherzustellen:

Zusätzlich zu den im Absatz aufgeführten Informationen 1, der Controller, Beim Empfangen

1. ein) die Zeit, für die persönliche Daten gespeichert werden oder, Wenn dies unmöglich ist, die Kriterien, die den Zeitraum bestimmen,
2. b) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην επεξεργασία, und das Recht auf Datenportabilität,
3. c) wo die Verarbeitung beruht auf Artikel 6 Absatz 1 Punkt a) oder im Artikel 9 Absatz 2 Punkt a), das Bestehen des Rechts Einwilligung jederzeit zu widerrufen, ohne die Legitimität der Verarbeitung zu untergraben basierend auf Zustimmung vor seinem Rückzug,
4. d) das Recht auf einen Vorgesetzten zu beschweren,
5. e) ob die Bereitstellung von persönlichen Daten ist eine gesetzliche oder vertragliche Verpflichtung oder Voraussetzung für die Auftragsvergabe, und ob die betroffene Person ist verpflichtet, personenbezogene Daten zur Verfügung zu stellen und welche möglichen Folgen wäre das Scheitern sein, solche Daten zu liefern,,

f) das Vorhandensein einer automatisierten Entscheidungsfindung, einschließlich Ausbildungsprofil, gemäß Artikel 22 Absätze 1 und 4 und, zumindest in den Fällen,, wichtige Informationen über die Logik gefolgt, und die Bedeutung und absehbaren Folgen einer solchen Verarbeitung für die betroffene Person.

3. Wenn der Controller die personenbezogenen Daten für andere Zwecke als die, für die die persönlichen Daten zu verarbeiten beabsichtigt gesammelt, der Controller stellt die Daten unterliegen, vor der genannten weiteren Verarbeitung, Informationen zu diesem Zweck und alle anderen notwendigen Informationen, wie in Absatz 2.

4. Absätze 1, 2 und 3 nicht anwendbar, wann und wo die betroffene Person bereits über die Information,

Artikel 14

Information zur Verfügung gestellt, wenn die personenbezogenen Daten nicht von der betroffenen Person erhoben

1. Werden personenbezogene Daten nicht von der betroffenen Person erhoben, der Controller stellt die betroffene Person mit den folgenden Informationen:

1. ein) die Identität und Kontaktangaben des Controllers und, gegebenenfalls, Der Vertreter der Steuerung,
2. b) Kontaktdaten des Datenschutzbeauftragten, gegebenenfalls,
3. c) Zwecke der Verarbeitung, für die sie personenbezogene Daten, und die Rechtsgrundlage für die Verarbeitung,
4. d) die Kategorien personenbezogener Daten,
5. e) die Empfänger oder Kategorien von Empfängern personenbezogener Daten, möglicherweise,

L 119/42 Amtsblatt der Europäischen Union 4.5.2016

DAS

f) gegebenenfalls, dass die Steuerung beabsichtigt in einem Drittland oder einer internationalen Organisation und die Existenz oder das Fehlen einer Entscheidung der Kommission über die Angemessenheit oder persönliche Daten an einen Empfänger senden, Wenn es um die im Artikel genannten Übertragungen geht 46 oder 47 oder im Artikel 49 Absatz 1 Zweiter Unterabsatz, Angabe der angemessenen oder angemessenen Garantien und Mittel zur Erlangung einer Kopie oder wo.

2. Zusätzlich zu den im Absatz aufgeführten Informationen 1, Der Controller stellt der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um eine faire und transparente Verarbeitung in Bezug:

1. ein) die Zeit, für die persönliche Daten gespeichert werden oder, Wenn dies unmöglich ist, die Kriterien, die den Zeitraum bestimmen,
2. b) wo die Verarbeitung beruht auf Artikel 6 Absatz 1 f), die berechtigten Interessen durch die Steuerung verfolgt oder von einem dritten,
3. c) die Berechtigungsanforderung an den Controller für den Zugriff auf und die Korrektur oder Löschung von Daten bzw. Beschränkung der Verarbeitung der betroffenen Person und über das Recht auf die Verarbeitung zu wider, und das Recht auf Datenportabilität,
4. d) wo die Verarbeitung beruht auf Artikel 6 Absatz 1 Punkt a) oder im Artikel 9 Absatz 2 Punkt a), das Bestehen des Rechts Einwilligung jederzeit zu widerrufen, ohne die Legitimität der Verarbeitung zu untergraben basierend auf Zustimmung vor seinem Rückzug,
5. e) das Recht auf einen Vorgesetzten zu beschweren,

f) die Quelle, aus der die persönlichen Daten und, angemessen, wenn die Daten kommen aus verfügbaren Quellen für die Öffentlichkeit,

g) das Vorhandensein einer automatisierten Entscheidungsfindung, einschließlich Ausbildungsprofil, in Artikel 22 Absätze 1 und 4 und, zumindest in den Fällen,, wichtige Informationen über die Logik gefolgt, und die Bedeutung und absehbaren Folgen einer solchen Verarbeitung für die betroffene Person.

3. Der Controller stellt die Informationen gemäß den Absätzen 1 und 2:

1. ein) innerhalb einer angemessenen Frist nach der Erhebung personenbezogener Daten, aber nicht später als ein Monat, unter Berücksichtigung der besonderen Umstände, unter denen personenbezogene Daten verarbeitet werden,,
2. b) wenn personenbezogenen Daten werden für die Kommunikation mit der betroffenen Person verwendet werden, später nicht als der erste Kontakt mit der betroffenen Person, oder
3. c) falls erforderlich Offenlegung an einen anderen Empfänger, spätestens dann, wenn die persönlichen Daten zum ersten Mal offenbart.

4. Wenn der Controller beabsichtigt, personenbezogene Daten für einen anderen Zweck als einen, für den persönliche Daten gesammelt wurden, weiter zu verarbeiten, die Daten-Controller sollten die betroffene Person liefern, vor der genannten weiteren Verarbeitung, Informationen zu diesem Zweck und alle anderen notwendigen Informationen, wie in Absatz 2.

5. Absätze 1 bis 4 werden nicht angewendet, wenn und wann:

1. ein) Die betroffene Person hat bereits die Informationen,
2. b) Die Bereitstellung solcher Informationen ist unmöglich oder würde unverhältnismäßige Anstrengungen implizieren, insbesondere für die Verarbeitung für Archivzwecke für das öffentliche Interesse, zum Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke, unter den im Artikel genannten Bedingungen und Garantien 89 Absatz 1 oder wenn die in Absatz genannte Verpflichtung genannt wird 1 Von diesem Artikel wird es wahrscheinlich unmöglich, die Erreichung der Zwecke dieser Verarbeitung unmöglich zu machen oder stark zu schädigen. In solchen Fällen, die Steuerung treffen geeignete Maßnahmen ergreifen, um die Rechte und Freiheiten und legitimen Interessen der betroffenen Person zu schützen, einschließlich der Herstellung der Informationen für die Öffentlichkeit zugänglich,
3. c) Erwerb oder Veröffentlichung ist ausdrücklich in der durch das Gesetz der Union oder des Mitgliedstaates, sofern die Steuerung unterliegt und bietet geeignete Maßnahmen berechtigte Interessen der betroffenen Person zu schützen oder
4. d) wenn personenbezogene Daten vertraulich unter dem Berufsgeheimnis verpflichtet bleiben wird durch das Recht der Union oder einen Mitgliedstaat, einschließlich von der Verpflichtung zur Vertraulichkeit Recht.

4.5.2016 Amtsblatt der Europäischen Union L 119/43

DAS

Artikel 15

Recht auf Zugang der betroffenen Person

1. Die betroffene Person hat das Recht, von der Kontrollstation der Bestätigung, ob personenbezogene Daten über ihn verarbeitet und, Wenn dies der Fall ist, das Recht, auf personenbezogene Daten und die folgenden Informationen zuzugreifen:

1. ein) die Zwecke der Verarbeitung,
2. b) die Kategorien personenbezogener Daten,
3. c) die Empfänger oder Kategorien von Empfängern offenbart, an den oder persönliche Daten offengelegt werden, Insbesondere die Empfänger in Drittländern oder internationalen Organisationen,
4. d) wenn möglich, die Zeit, für die persönliche Daten gespeichert werden oder, Wenn dies unmöglich ist, die Kriterien, die den Zeitraum bestimmen,
5. e) Das Vorhandensein eines Anspruchsrechts auf den Controller zur Korrektur oder Löschen personenbezogener Daten oder Einschränkung der personenbezogenen Datenverarbeitung in Bezug auf die betroffene Person oder Opposition gegen diese Verarbeitung,

f) das Recht auf einen Vorgesetzten zu beschweren,

6. g) Wenn personenbezogene Daten nicht von der betroffenen Person erfasst werden, Alle verfügbaren Informationen über ihre Herkunft,
7. die) das Vorhandensein einer automatisierten Entscheidungsfindung, einschließlich Ausbildungsprofil, in Artikel 22 Absätze 1 und 4 und, zumindest in den Fällen,, wichtige Informationen über die Logik gefolgt, und die Bedeutung und absehbaren Folgen einer solchen Verarbeitung für die betroffene Person.

2. Werden personenbezogene Daten in ein Drittland oder eine internationale Organisation übertragen, Die betroffene Person hat das Recht, über geeignete Garantien gemäß dem Artikel informiert zu werden 46 über die Übertragung.

3. Der Controller ist eine Kopie der persönlichen Daten zu, verarbeitet. Weitere Exemplare können bei der betroffenen Person erhalten werden, die Steuerung kann die Zahlung einer angemessenen Gebühr für Verwaltungskosten verlangen. Wenn die betroffene Person, der die Anfrage elektronisch und es sei denn, die betroffene Person etwas anderes wünscht, Update wird üblicherweise in elektronischer Form verwendet.

4. Das Recht, eine Kopie zu erhalten gemäß Absatz 3 nicht eine Beeinträchtigung der Rechte und Freiheiten anderer Personen beeinflussen.

Abschnitt 3

Berichtigung und Löschung

Artikel 16

Recht auf Berichtigung

Die betroffene Person hat das Recht, von der Steuerung unverzüglich zu verlangen falsche personenbezogene Daten berichtigen über ihn. Im Hinblick auf die Zwecke der Verarbeitung, Die betroffene Person hat das Recht, den Abschluss der unvollständigen personenbezogenen Daten zu verlangen,, auch durch ergänzende Erklärung.

Artikel 17

Recht des Löschens („Recht auf Vergessen“)

1. Die betroffene Person hat das Recht, die Datenverarbeitung Verantwortlichen die Löschung von personenbezogenen Daten zu verlangen, ihn oder sie unverzüglich über und die Steuerung ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, ggf. eine der folgenden Gründe:

ein) personenbezogenen Daten ist nicht mehr notwendig, in Bezug auf die Zwecke, für die sie erhoben oder erhalten durch’ anderweitig verarbeitet,

L 119/44 b)

c)

d) e)

f)

Amtsblatt der Europäischen Union 4.5.2016

die betroffene Person zieht sich zurück Zustimmung, auf dem die Verarbeitung beruht gemäß Artikel 6 Absatz 1 Punkt a) oder Artikel 9 Absatz 2 Punkt a) und es gibt keine Rechtsgrundlage für die Verarbeitung,

Die betroffene Person ist gegen die Verarbeitung gemäß dem Artikel abgelehnt 21 Absatz 1 und es gibt keine überzeugenden und rechtlichen Gründe für die Verarbeitung oder das Thema Daten sind der Verarbeitung gemäß dem Artikel abgelehnt 21 Absatz 2,

Persönliche Naturdaten illegal verarbeitet,

Persönliche Daten müssen gelöscht werden, Um eine gesetzliche Verpflichtung nach dem Gewerkschaftsgesetz oder einem Mitglied des Mitgliedstaates einzuhalten,, wem der Controller unterliegt,

personenbezogenen Daten im Zusammenhang mit der Erbringung von Dienstleistungen der Informationsgesellschaft gesammelt als im Sinne des Artikel 8 Absatz 1.

DAS

2.
Abschnitt 1 Personal Daten löschen, der Controller, Angesichts der verfügbaren Technologie- und Anwendungskosten, ergriffen angemessene Maßnahmen, einschließlich technischer Maßnahmen, Um die Prozessoren zu aktualisieren, die personenbezogene Daten verarbeiten, dass die betroffene Person beantragt Löschung dieser Controller alle Links mit diesen Daten oder Kopien oder Reproduktionen dieser personenbezogenen Daten.

3. ein) b)

c) d)

e)

Absätze 1 und 2 nicht in dem Maße Anwendung, dass die Verarbeitung erforderlich ist:

für das Recht auf freie Meinungsäußerung Gebrauch gemacht und Recht auf Information,

für die Erfüllung einer rechtlichen Verpflichtung durch die Behandlung aus dem Unionsrecht oder Recht der Mitgliedstaaten auferlegt, zu dem die Steuerung unterliegt, oder um eine Aufgabe zu erfüllen, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt in der Steuerung durchgeführt,

öffentliches Interesse an dem öffentlichen Gesundheitssektor gemäß Artikel 9 Absatz 2 die Elemente) und i), und Artikel 9 Absatz 3,

für Archivierungszwecke im öffentlichen Interesse, Für die Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke gemäß dem Artikel 89 Absatz 1, wenn das Recht im Sinne von Absatz 1 Es ist wahrscheinlich unmöglich oder stark behindern den beabsichtigten Zweck der Verarbeitung machen, oder

für die Stiftung, Schulung oder Support Rechtsansprüche.

Artikel 18

Rechts Beschränkungsverarbeitung

Wenn der Regler auf persönliche Daten offen legen und gebunden ist, durch

1.
Verarbeitung, wenn eines der folgenden:

Die betroffene Person ist berechtigt, von der Steuerung der Begrenzung zu erhalten,

1. ein) die Richtigkeit der persönlichen Daten wird von der betroffenen Person bestritten, Für einen bestimmten Zeitraum, sodass der Controller die Genauigkeit personenbezogener Daten überprüfen kann,
2. b) die Verarbeitung rechtswidrig ist und die betroffene Person Einspruch gegen die Löschung von personenbezogenen Daten und Anrufen, stattdessen’ diese, Begrenzung ihrer Verwendung,
3. c) die Steuerung braucht nicht mehr die persönlichen Daten für Zwecke der Verarbeitung, aber die Daten von der betroffenen Person für die Gründung erforderlich, ausüben oder Rechtsansprüche unterstützen,
4. d) die betroffene Person-Objekte auf die Verarbeitung gemäß Artikel 21 Absatz 1, Warten auf seine Überprüfung, ob die rechtlichen Gründe des Verarbeitungsbeauftragten über die Gründe der betroffenen Person herrschen.

2. Wenn die Verarbeitung in Übereinstimmung mit Absatz begrenzt 1, diese personenbezogenen Daten, außerhalb des Speichers, werden nur mit Zustimmung der betroffenen Person oder für die Stiftung verarbeitet, Ausübung oder Unterstützung von Rechtsansprüchen oder um die Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen des erheblichen öffentlichen Interesses an der Union oder dem Mitgliedstaat zu schützen.

4.5.2016 Amtsblatt der Europäischen Union L 119/45

DAS

3. Die betroffene Person, die sichergestellt hat, die Verarbeitung gemäß dem Absatz einzuschränken 1 vom Controller informiert, bevor die Verarbeitungsbeschränkung aufgehoben wird.

Artikel 19

Verpflichtung zur Benachrichtigung der Korrektur oder Löschung personenbezogener Daten oder Beschränkung der Verarbeitung

Die Steuerung ist jede Berichtigung oder Löschung von personenbezogenen Daten oder der Beschränkung der Verarbeitung von Daten kommuniziert gemäß Artikel durchgeführt 16, Artikel 17 Absatz 1 und Artikel 18 an jeden Empfänger persönliche Daten, die offenbart,, es sei denn, dies als unmöglich erweist oder würde einen unverhältnismäßig hohen Aufwand verbunden. Die Steuerung soll die betroffene Person an die Empfänger informieren, auf Anfrage von der betroffenen Person.

Artikel 20

Recht auf Datenportabilität

1. Die betroffene Person hat das Recht, die persönlichen Daten über ihn, und was er einem Controller zur Verfügung gestellt hat, ein strukturierter, häufig verwendet und lesbares Format Maschinen, sowie das Recht, diese Daten an einen anderen Prozessor zu übertragen, ohne dass der Controller, dem die personenbezogenen Daten bereitgestellt wurden, wann:

ein) Die Verarbeitung erfolgt nach Zustimmung des Artikels 6 Absatz 1 Punkt a) oder Artikel 9 Absatz 2 Punkt a) oder in einem Vertrag gemäß Artikel 6 Absatz 1 b) und

b) Die Verarbeitung erfolgt automatisiert.

2. Bei Ausübung des Rechts auf Datenübertragbarkeit gemäß Absatz 1, Die betroffene Person hat das Recht, die direkte Übertragung personenbezogener Daten von einem Controller auf einen anderen anzufordern, wenn dies technisch machbar.

3. Das Recht nach Absatz 1 dieses Artikels werden vorbehaltlich des Artikels ausgeübt werden 17. Dieses Recht gilt nicht für die Verarbeitung für die Erfüllung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlichen Gewalt in der Steuerung.

4. Das Recht nach Absatz 1 nicht eine Beeinträchtigung der Rechte und Freiheiten anderer Personen beeinflussen. Abschnitt 4

Rechtsopposition und automatisierte Einzelentscheidungen

Artikel 21

Einspruchsrecht

1. Die betroffene Person wird auf dem Titel-Objekt, Zu jeder Zeit und aus Gründen im Zusammenhang mit seinem jeweiligen Zustand, Bei der Verarbeitung personenbezogener Daten betrifft, das basiert auf dem Artikel 6 Absatz 1 Punkt e) oder f), Einbeziehung von Profilschulungen gemäß diesen Bestimmungen. Der Controller gibt keine personenbezogenen Daten mehr zur Verarbeitung ein, Es sei denn, der Controller zeigt zwingende und legitime Gründe für die Verarbeitung, die die Interessen der Überwälle verarbeiten, der Rechte und Freiheiten der betroffenen Person oder für die Stiftung, Schulung oder Support Rechtsansprüche.

2. Wenn personenbezogene Daten zum Zwecke des Direktmarketings verarbeitet werden, Die betroffene Person ist berechtigt, der Verarbeitung personenbezogener Daten für ein solches Marketing jederzeit zu widersprechen, einschließlich Profilerstellung, wenn es mit diesem Direktmarketing zusammenhängt.

3. Wenn betroffene Personen der Verarbeitung zum Zwecke des Direktmarketings widersprechen, personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

L 119/46 Amtsblatt der Europäischen Union 4.5.2016

DAS

4. Die neueste auf dem ersten Kontakt mit der betroffenen Person, das in den Absätzen Recht auf 1 und 2 eindeutig auf die betroffene Person angegeben und ist deutlich und getrennt von allen anderen Informationen beschrieben.

5. Im Rahmen der Dienstnutzer der Informationsgesellschaft, und unbeschadet der Richtlinie 2002/58 / EG, die betroffene Person, sein Recht auf automatisierte Instrumente zum Objekt, die Spezifikationen verwenden.

6. Wenn personenbezogene Daten für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke während des Artikels verarbeitet werden 89 Absatz 1, Die betroffene Person ist berechtigt, sich zu widersetzen, Aus Gründen im Zusammenhang mit seinem jeweiligen Staat, Bei der Verarbeitung personenbezogener Daten, die sich darauf beziehen, Es sei denn.

Artikel 22

Automatisierte individuelle Entscheidung -Wiederholen, einschließlich Profilerstellung

1. Die betroffene Person hat das Recht, einer Entscheidung, die ausschließlich aufgrund der automatischen verarbeiteten Verarbeitung getroffen wurde, einschließlich Ausbildungsprofil, Dies führt zu rechtlichen Auswirkungen, die es in ähnlicher Weise betreffen oder beeinflussen.

2. ein)

b)

c)

Absatz 1 gilt nicht bei der Entscheidung:

ist erforderlich, um einen Vertrag zwischen der betroffenen und dem Datenprozessor abzuschließen oder auszuführen,

erlaubt durch das Gesetz des Gewerkschaftsgesetzes oder des Mitgliedstaat, die Freiheiten und berechtigten Interessen der betroffenen Person oder

aufgrund der ausdrücklichen Zustimmung der betroffenen Person.

3.
geeignete Maßnahmen zum Schutz der Rechte, Freiheiten und der berechtigten Interessen der betroffenen Person, zumindest das Recht des Kontrolleurs auf menschliches Eingreifen, eine Meinung äußern und die Entscheidung anfechten.

4. Die Entscheidungen gemäß Absatz 2 auf bestimmten Kategorien von personenbezogenen Daten im Sinne des Artikel nicht auf der Grundlage 9 Absatz 1, es sei denn, Artikel bezieht 9 Absatz 2 Punkt a) oder g) und ob geeignete Maßnahmen zum Schutz der Rechte bestehen, Freiheiten und der berechtigten Interessen der betroffenen Person.

Abschnitt 5

Beschränkungen

Artikel 23

Beschränkungen

1. Das Gesetz der Gewerkschaft oder des Mitgliedstaates, dem der Prozessor unterliegt oder die Verarbeitung der Daten durch die gesetzgeberische Maßnahme den Umfang der Verpflichtungen und Rechte in den Artikeln einschränken kann 12 bis 22 und im Artikel 34, sowie im Artikel 5, Wenn seine Bestimmungen den in den Artikeln vorgesehenen Rechten und Verpflichtungen entsprechen 12 bis 22, wenn eine solche Beschränkung des Inhalts der Grundrechte und Freiheiten bewahrt und ist eine notwendige und angemessene Maßnahme in einer demokratischen Gesellschaft zu gewährleisten,:

1. ein) die Sicherheit des Staates,
2. b) Verteidigung,
3. c) die öffentliche Sicherheit,

In den Fällen nach Absatz 2 Beweise ein) und c), die Daten-Controller

4.5.2016 Amtsblatt der Europäischen Union L 119/47

DAS

4. d) Vorbeugung, Untersuchung, Feststellung oder Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen, einschließlich Schutz vor Bedrohungen gegen die öffentliche Sicherheit und deren Prävention,
5. e) Andere wichtige Ziele des öffentlichen Interesses der Union oder des Mitgliedstaates, insbesondere einen wichtigen wirtschaftlichen oder finanziellen Interessen der Union oder einem Mitgliedstaat, einschließlich monetär, Öffentliches Recht und Steuerfragen, der öffentlichen Gesundheit und sozialer Sicherheit,

f) den Schutz der Unabhängigkeit der Justiz und der Gerichtsverfahren,

6. g) Vorbeugung, Untersuchung, Aufdeckung und Verfolgung von Verstößen gegen die Ethik in reglementierten Berufen,
7. die) Überwachung, der inspektionen oder regulatorischen Operation verknüpft, Zumindest gelegentlich, durch Ausübung der öffentlichen Autorität in Fällen, die in den Elementen a genannt werden) bis zu e) und G),
8. ich) den Schutz der betroffenen Person oder die Rechte und Freiheiten Dritter,
9. ich) die Durchsetzung von Zivilklagen.

2. speziell, jede in Absatz 1 genannte gesetzgeberische Maßnahme 1 enthält zumindest spezifische Bestimmungen, angemessen, über:

1. ein) die Zwecke der Verarbeitung oder die Verarbeitungskategorien,
2. b) die Kategorien personenbezogener Daten,
3. c) Der Umfang der auferlegten Beschränkungen,
4. d) garantiert, um Missbrauch oder illegalen Zugang oder Übertragung zu verhindern,
5. e) Spezifikation des Controllers oder die Kategorien von Steuerungen,

f) Lagerzeiten und geltende Garantien, unter Berücksichtigung der Natur, Umfang und Zwecke der Verarbeitungs- oder Verarbeitungskategorien,

6. g) die Risiken für die Rechte und Freiheiten der betroffenen Personen und
7. die) Das Recht der betroffenen Probanden, über die Einschränkung zu informieren, Es sei denn, dies kann die Zwecke der Einschränkung beeinträchtigen.

   Kapitel IV

   Prozessor und Bearbeitung bearbeiten

   Abschnitt 1

   Allgemeine Verpflichtungen

   Artikel 24

   Verantwortung des Redaktionsbeamten

1. Im Hinblick auf die Natur, der Umfang, der Kontext und Zweck der Verarbeitung, sowie die Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen, die Steuerung trifft geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, und in der Lage sein zu beweisen, dass die Behandlung gemäß dieser Verordnung durchgeführt. Diese Maßnahmen werden überprüft und epikai AYS bei Bedarf.

2. Wenn in Bezug auf Verarbeitungsvorgänge gerechtfertigt, die in Absatz genannten Maßnahmen 1 Dazu gehören die Umsetzung geeigneter Maßnahmen für den Schutz der Daten von der Steuerung.

3. Einhaltung genehmigter Verhaltenskodizes gemäß Artikel 40 oder ein genehmigter Zertifizierungsmechanismus gemäß Artikel 42 kann als Nachweis für die Einhaltung der Verpflichtungen des für die Verarbeitung Verantwortlichen verwendet werden.

L 119/48 Amtsblatt der Europäischen Union 4.5.2016

Artikel 25

Datenschutz bereits standardmäßig und standardmäßig

1. Unter Berücksichtigung der jüngsten Entwicklungen, Implementierungskosten und Natur, der Umfang, der Kontext und Zweck der Verarbeitung, sowie die Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen, Der Controller implementiert effektiv, sowohl zum Zeitpunkt des Einstellens des Verarbeitungsmediums als auch zum Zeitpunkt der Verarbeitung, geeignete technische und organisatorische Maßnahmen, wie Pseudonymisierung, entwickelt, um Datenschutzgrundsätze anzuwenden, wie Datenminimierung, und die erforderlichen Garantien in die Verarbeitung so einzubeziehen, dass die Anforderungen dieser Verordnung erfüllt und die Rechte der betroffenen Personen geschützt werden.

2. Der Controller führt geeignete technische und organisatorische Maßnahmen durch, um dies sicherzustellen, per Definition, Nur die für den Zweck der Verarbeitung erforderlichen personenbezogenen Daten werden nur verarbeitet. Diese Anforderung gilt für den Umfang der erhobenen personenbezogenen Daten, der Grad der Verarbeitung, die Dauer der Lagerung und Zugänglichkeit. speziell, Diese Maßnahmen gewährleisten, dass, per Definition, personenbezogenen Daten ohne Eingreifen eines Individuums auf eine unbestimmte Anzahl von Personen nicht mehr zugegriffen werden.

3. Anerkannte Zertifizierungsmechanismus gemäß Artikel 42 Es kann in den Absätzen mit den festgelegten Anforderungen als Nachweis der Einhaltung verwendet werden 1 und 2 dieser Artikel.

Artikel 26

Gemeinsam

1. Wenn zwei oder mehrere Controller bestimmen zusammen die Zwecke und Mittel der Verarbeitung, Controller sind gemeinsame. Sie definieren in transparenter Weise ihre jeweilige Verantwortung für die Einhaltung der Verpflichtungen aus dieser Verordnung ergebenden, Insbesondere in Bezug auf die Ausübung der Rechte der betroffenen Person und deren entsprechenden Aufgaben, um die in den Artikeln aufgeführten Informationen bereitzustellen 13 und 14, durch Vereinbarung zwischen ihnen, Es sei denn und in dem Maße, dass die entsprechenden Verantwortlichkeiten der Prozessoren durch das Gesetz der Union oder das Gesetz des Mitgliedstaats bestimmt werden, dem die Verarbeitungsbeamten unterliegen. Die Vereinbarung kann einen Kontaktpunkt für die betroffenen Probanden angeben.

2. Die in Absatz genannte Vereinbarung 1 richtig reflektiert ihre jeweiligen Rollen und Beziehungen von Joint-Controller über die betroffenen Personen. Das Wesen der Vereinbarung ist die betroffene Person verfügbar.

3. Unabhängig von den Bedingungen der Vereinbarung gemäß Absatz zu 1, Die betroffene Person kann ihre Rechte aus dieser Verordnung gegen und gegen einen der für die Verarbeitung Verantwortlichen ausüben.

Artikel 27

Vertreter der Bearbeitung oder Ausführung der in der Gewerkschaft nicht installierten Verarbeitung

1. In Fällen, in denen der Artikel angewendet wird 3 Absatz 2, die Steuerung oder der Prozessor ist schriftlich einen Vertreter in der Union bezeichnen.

2. ein)

Die Verpflichtung des Absatzes 1 Dieser Artikel gilt nicht:

Bearbeiten, was gelegentlich ist, schließt nicht ein, weitgehend, Bearbeiten Sie spezielle Datenkategorien im Artikel 9 Absatz 1 oder verarbeiten personenbezogene Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten, die im Artikel genannt werden 10 und wahrscheinlich nicht dazu führen, Gefahren für die Rechte und Freiheiten des Einzelnen, unter Berücksichtigung der Natur, Kontext, Der Umfang und Zweck der Verarbeitung, oder

b)

Behörde oder Stelle.

DAS

4.5.2016 Amtsblatt der Europäischen Union L 119/49

DAS

3. Der Vertreter wird in einem der Mitgliedstaaten installiert, in denen sich die betroffenen Personen befinden, deren personenbezogene Daten in Bezug auf das Angebot von Waren oder Dienstleistungen für diejenigen verarbeitet werden oder deren Verhalten überwacht wird.

4. Der Vertreter erhält Anweisung von der Steuerung oder dem Prozessor zu ihm Supervisoren und betroffenen Personen zu drehen, Zusätzlich oder anstelle der Verarbeitung der Verarbeitung oder des Darstellers der Verarbeitung, Für alle Probleme im Zusammenhang mit der Verarbeitung, Um die Einhaltung dieser Verordnung zu gewährleisten.

5. Die Definition eines Vertreters des Controllers oder des Henkers der Verarbeitung wirkt sich nicht auf die Berufungen aus, die gegen die Verarbeitungsperson oder den Darsteller der Verarbeitung ausgeübt werden können.

Artikel 28

Durchdacht

1. Bei der Verarbeitung soll im Namen einer Verarbeitungsweise durchgeführt werden, Der Controller verwendet nur Verarbeitung, In einer Weise, dass die Verarbeitung den Anforderungen dieser Verordnung entspricht und den Schutz der Rechte des betroffenen Personen sicherstellt.

2. Bearbeiten der Verarbeitung rekrutiert keine sonstige Verarbeitung ohne vorherige besondere oder allgemeine schriftliche Genehmigung des Prozessors. Im Fall der schriftlichen Genehmigung, Die Bearbeitung der Verarbeitung informiert den Controller über objektive Änderungen im Zusammenhang mit der Hinzufügung oder dem Austausch anderer Führungskräfte zur Verarbeitung, So geben Sie die Fähigkeit des Controllers auf diese Weise, sich diesen Änderungen zu widersetzen.

3. Herausgegeben von der Exekutivverarbeitung unterliegt einem Vertrag oder einem anderen Rechtsgesetz, das dem Gesetz der Union oder des Mitgliedstaates vorliegt, Binden des Prozessors in Bezug auf die Steuerung und bestimmt den Gegenstand und die Dauer der Behandlung, die Art und Zweck der Verarbeitung, Die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen sowie die Verpflichtungen und Rechte des Prozessors. Dieser Vertrag oder ein anderer Rechtsakt sieht insbesondere vor, dass der Prozessor:

1. ein) verarbeiten personenbezogene Daten nur auf dem aufgezeichneten Signal des Reglers, auch in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder eine internationale Organisation, Es sei denn, es ist verpflichtet, dies nach dem Gesetz der Union oder des Gesetzes des Mitgliedstaates zu tun, dem der Prozess unterliegt; in diesem Fall, der Prozessor wird die Datenverarbeitung Verantwortlichen für diese gesetzliche Anforderung vor der Behandlung informieren, Es sei denn, dieses Gesetz verbietet diese Art von Informationen aus ernsthaften Gründen des öffentlichen Interesses,
2. b) stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, der Vertraulichkeit verpflichtet wurden oder der zuverlässigen Verpflichtung zur Vertraulichkeit zuverlässig sind.,
3. c) ergriffen alle erforderlichen Maßnahmen im Rahmen des Artikels 32,
4. d) Beobachtet die in Absätzen genannten Begriffe 2 und 4 Um eine andere Darstellerverarbeitung einzustellen,
5. e) die Art der Behandlung zu berücksichtigen und unterstützen die Steuerung geeignete technische und organisatorische Maßnahmen zur Umsetzung, das Ausmaß möglich, die Verpflichtung des Controllers reagieren auf Anfragen zu erfüllen, für die Ausübung, die nicht in Kapitel III Rechte der betroffenen Person,

f) unterstützen den Controller in die Einhaltung der Verpflichtungen aus den Artikeln Ableiten 32 bis 36, unter Berücksichtigung der Art der Verarbeitung und die verfügbaren Informationen an den Prozessor,

6. g) Katze’ Auswahl des Reglers, Löscht oder gibt alle personenbezogenen Daten nach Abschluss der Verarbeitungsdienste an den Controller zurück und löscht vorhandene Kopien, Es sei denn, das Gesetz der Gewerkschaft oder des Mitgliedstaates erfordert die Speicherung personenbezogener Daten,
7. die) Es stellt dem Verarbeitungsbeauftragten die erforderlichen Informationen zur Nachweis der Einhaltung der in diesem Artikel festgelegten Verpflichtungen zur Verfügung und erlaubt und erleichtert die Schecks, einschließlich Inspektionen, vom Controller oder einem anderen vom Controller autorisierten Auditor durchgeführt.

L 119/50 Amtsblatt der Europäischen Union 4.5.2016

DAS

Soweit der erste Unterabsatz betrifft oder), der Prozessor unverzüglich die Datencontroller informieren, ob, seiner Ansicht nach, ein Befehl gegen diese Verordnung oder andere Union oder nationale Datenschutzbestimmungen.

4. Wenn nimmt der Prozessor weitere Daten an bestimmte Verarbeitungstätigkeiten im Namen des Controller ausführen, die gleichen Verpflichtungen in Bezug auf den Datenschutz gelegt im Vertrag oder ein anderes Rechtsinstrument zwischen dem Controller und Prozessor nach unten, wie in Absatz vorgesehen 3, werden dem anderen durch einen Vertrag oder ein anderes Rechtsgesetz gemäß dem Gesetz der Union oder des Mitgliedstaates auferlegt, insbesondere um ausreichende Sicherheiten für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu bieten, damit die Verarbeitung den Anforderungen dieser Verordnung entspricht. Wenn die andere ausgeführte Verarbeitung nicht auf die Datenschutzverpflichtungen reagieren kann, Die ursprünglichen Darsteller bleiben an die Steuerung für die Durchführung der Verpflichtungen des anderen Prozessors voll verantwortlich.

5. Einhaltung der Exekutive der Verarbeitung eines zugelassenen Verhaltenskodex, wie im Artikel erwähnt 40 oder ein genehmigter Zertifizierungsmechanismus gemäß Artikel 42 kann als Element verwendet werden, um nachzuweisen, dass sie nach Absätzen angemessene Zusicherungen ermöglicht 1 und 4 dieser Artikel.

6. Vorbehaltlich der individuellen Vereinbarung zwischen dem Controller und dem Prozessor, solcher Vertrag oder anderes Rechtsinstrument im Sinne der Absätze 3 und 4 dieses Artikels werden kann auf der Grundlage, ganz oder teilweise, auf Standardvertragsklauseln in den Absätzen 7 und 8 dieser Artikel, auch wenn sie einen Teil der Zertifizierung erteilt an den Controller oder den Prozessor gemäß den Artikeln sind 42 und 43.

7. Die Kommission kann Standardvertragsklauseln für die in den Absätzen genannten Angelegenheiten erlassen 3 und 4 dieses Artikels und gemäß dem Prüfungsverfahren, auf das im Artikel verwiesen wird 93 Absatz 2.

8. Eine Aufsichtsbehörde kann Standardvertragsklauseln für die Probleme schaffen in den Absätzen 3 und 4 dieses Artikels und in Übereinstimmung mit der Kohärenzverfahren gemäß Artikel 63.

9. Dieser Vertrag oder ein anderes Rechtsinstrument im Sinne der Absätze 3 und 4 Schreiben ist, unter anderem in elektronischer Form.

10. Vorbehaltlich der Artikel 82, 83 und 84, wenn der Verarbeiter unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung feststellt, Bearbeitung der Verarbeitung wird als Controller für die angegebene Verarbeitung angesehen.

Artikel 29

Bearbeiten Sie unter der Aufsicht des Editors oder des Darstellers zu verarbeiten

Der Verarbeiter und jede Person, die unter der Aufsicht des für die Verarbeitung Verantwortlichen oder des Verarbeiters handelt, das hat Zugriff auf personenbezogene Daten, verarbeitet nur die fraglichen Daten’ Kommandant des Herausgebers, sofern dies nicht durch das Recht der Union oder den Mitgliedstaat zu tun.

Artikel 30

Aufzeichnungen von Verarbeitungstätigkeiten

1. Jeder Controller und, gegebenenfalls, sein Vertreter, führt eine Datei von Verarbeitungsaktivitäten bei, für die sie verantwortlich ist. Diese Datei enthält alle folgenden Informationen:

1. ein) den Namen und die Kontaktdaten des Controllers und, gegebenenfalls, der gemeinsamen Steuerung, der Vertreter des für die Verarbeitung Verantwortlichen und der Datenschutzbeauftragte,
2. b) die Zwecke der Verarbeitung,
3. c) Beschreibung der Kategorien betroffener Personen und Kategorien personenbezogener Daten,

4.5.2016 d)

e)

f) g)

Amtsblatt der Europäischen Union L 119/51

Die Kategorien von Akzeptierungen, denen die personenbezogenen Daten offengelegt oder offengelegt werden sollen, Einbeziehung von Empfängern in Drittländern oder internationalen Organisationen,

wo es einen Fall gibt, Personaldaten überträgt in ein Drittland oder eine internationale Organisation, einschließlich mit der Identifizierung des betreffenden Drittland oder eine internationale Organisation, bei Übertragungen gemäß Artikel 49 Absatz 1 Zweiter Unterabsatz, Dokumentation von geeigneten Schutzmaßnahmen,

wo möglich, die Fristen verschiedene Arten von Daten zu löschen,

wo möglich, allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen im Sinne des Artikels 32 Absatz 1.

DAS

2.
von
folgendes:

ein)

b) c)

d)

3.

Name und Kontaktdaten des Prozessors oder der Prozessoren und Prozessoren, in deren Auftrag der Prozessor arbeitet, gegebenenfalls, des Repräsentanten des Herausgebers -Intiefs oder des Darstellers der Verarbeitung, sowie der Datenschutzbeauftragte,

Die Kategorien von Redakteuren, die jeweils jedes Prozessor durchgeführt haben,

wo es einen Fall gibt, Personaldaten überträgt in ein Drittland oder eine internationale Organisation, einschließlich mit der Identifizierung des betreffenden Drittland oder eine internationale Organisation, bei Übertragungen gemäß Artikel 49 Absatz 1 Zweiter Unterabsatz, Dokumentation von geeigneten Schutzmaßnahmen,

wo möglich, allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen im Sinne des Artikels 32 Absatz 1.

Die in den Absätzen genannten Dateien 1 und 2 sind schriftlich, unter anderem in elektronischer Form.

Jeweils durchgeführte Verarbeitung und, gegebenenfalls, Der Vertreter der Exekutive behält alle Kategorien von Verarbeitungsaktivitäten auf, die vom Redaktionsbeauftragten durchgeführt werden, welches beinhaltet

4.
oder die Exekutive, die die Verarbeitungsdatei auf Anfrage zur Verfügung der Aufsichtsbehörde festgelegt hat.

Der Controller oder der Henker die Verarbeitung und, gegebenenfalls, Der Vertreter des Herausgebers -in -Schiefes

5. Die in Absätzen genannten Verpflichtungen 1 und 2 Bewerben Sie sich nicht für ein Unternehmen oder eine Organisation, die weniger als 250 Menschen, Es sei denn, die verarbeitete Verarbeitung kann ein Risiko für die Rechte und Freiheiten der betroffenen Person verursachen, Die Verarbeitung erfolgt nicht gelegentlich oder die Verarbeitung umfasst spezielle Datenkategorien gemäß Artikel 9 Absatz 1 oder verarbeiten personenbezogene Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten, die im Artikel genannt werden 10.

Artikel 31

Zusammenarbeit mit der Aufsichtsbehörde

Der Controller und der Henker die Verarbeitung und, gegebenenfalls, Ihre Vertreter arbeiten zusammen, auf Wunsch, mit der Aufsichtsbehörde für die Ausübung ihrer Pflichten.

Abschnitt 2

Sicherheitspersonensicherheit

Artikel 32

Sicherheit verarbeiten

1. Unter Berücksichtigung der jüngsten Entwicklungen, Implementierungskosten und Natur, der Umfang, der Kontext und Zweck der Verarbeitung, sowie die Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen, Der Controller und der Henker wenden geeigneten technischen und organisatorischen Maßnahmen an, um das angemessene Sicherheitsniveau gegen die Gefahren zu gewährleisten, einschließlich, einschließlich, gegebenenfalls:

ein) Pseudonymisierung und Verschlüsselung personenbezogener Daten,

L 119/52 b)

c)

d)

Amtsblatt der Europäischen Union 4.5.2016

die Möglichkeit der Gewährleistung der Vertraulichkeit, der Integrität, die Verfügbarkeit und Zuverlässigkeit von Verarbeitungssystemen und -diensten auf kontinuierlicher Basis,

von der Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Ereignisses wiederherzustellen,

Verfahren für regelmäßige Tests, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Verarbeitungssicherheit.

2.
wird bearbeitet, insbesondere durch zufällige oder illegale Zerstörung, Verlust, Änderung, unbefugt oder Zugriff auf persönliche Daten übertragen, gespeichert oder flach unterworfen’ anderweitig verarbeitet.

3. ein)

b)

c) d)

Die in Absatz genannte Benachrichtigung 1 Katze’ Minimum:

beschreibt die Art des Verstoßes gegen personenbezogene Daten, einschließlich, wo möglich, von Kategorien und ungefähre Anzahl der betroffenen Daten, sowie die Kategorien und die ungefähre Anzahl beeinflusster personenbezogener Datendateien,

Kündigt den Namen und die Kontaktdaten des Datenschutzbeauftragten oder eines anderen Kommunikationspunkts an, aus dem weitere Informationen erhalten werden können,

beschreibt die möglichen Folgen von Verstößen gegen personenbezogene Daten,

beschreibt die erhaltenen oder die vorgeschlagenen Maßnahmen, die vom Controller ergriffen werden sollen, sowie, gegebenenfalls, Maßnahmen zur Minderung seiner möglichen nachteiligen Auswirkungen.

DAS

Bei der Beurteilung des angemessenen Sicherheitsniveaus sind insbesondere die Risiken zu berücksichtigen, die sich aus dem

3. Einhaltung eines zugelassenen Verhaltenskodex, wie im Artikel angegeben 40 oder ein genehmigter Zertifizierungsmechanismus gemäß Artikel 42 kann als Element für die Nachweis der Anforderungen des Absatzes verwendet werden 1 dieser Artikel.

4. Der für die Verarbeitung Verantwortliche und der Verarbeiter treffen Maßnahmen, um sicherzustellen, dass jede natürliche Person, die unter der Aufsicht des für die Verarbeitung Verantwortlichen oder Verarbeiters handelt und Zugang zu personenbezogenen Daten hat, nur von verarbeitet wird’ Kommandant des Herausgebers, sofern dies nicht durch das Recht der Union oder den Mitgliedstaat zu tun.

Artikel 33

Benachrichtigung von Verstößen für personenbezogene Daten zur Aufsichtsbehörde

1. Bei personenbezogenen Datenverletzungen, Der Controller gibt offen und entlassen und, Wenn möglich, innerhalb 72 Stunden, da es Kenntnisse über die Tatsache erlangt, dass personenbezogene Daten in der Aufsichtsbehörde verantwortlich ist, die für den Artikel verantwortlich ist 55, Es sei denn, die Verstöße gegen personenbezogene Daten darf die Rechte und Freiheiten natürlicher Personen nicht gefährden. Wenn die Aufsichtsbehörde Benachrichtigung erfolgt nicht innerhalb 72 Stunden, eine Begründung für die Verzögerung begleitet.

2. Die Bearbeitung der Verarbeitungsbearbeitung aktualisiert den Controller ohne Verzögerung, Sobald er einen Verstoß gegen personenbezogene Daten wahrnimmt.

4.
allmählich ohne ungerechtfertigte Verzögerung.

In Fall und wenn es nicht möglich ist, gleichzeitig Informationen bereitzustellen, kann bereitgestellt werden

5. Prozessor dokumentiert alle Verstoß gegen personenbezogene Daten, bestehend aus den Tatsachen der Verletzung personenbezogener Daten, die Folgen und die Abhilfemaßnahmen. Diese Dokumentation kann die Aufsichtsbehörde die Einhaltung dieses Artikels überprüfen.

Artikel 34

Übermittlung personenbezogener Daten Verletzung der betroffenen Person

1. Wenn ein Verstößen gegen personenbezogene Daten ein hohes Risiko aussetzen kann, die Rechte und Freiheiten natürlicher Personen, Der Controller kündigt den Verstoß gegen personenbezogene Daten ohne köstlich in der betroffenen Person an.

4.5.2016 Amtsblatt der Europäischen Union L 119/53

DAS

2. In der Mitteilung an die betroffene Person gemäß Absatz 1 klar dieses Artikels beschrieben die Art der Verletzung personenbezogener Daten und enthält mindestens die Informationen und Maßnahmen im Sinne des Artikels 33 Absatz 3 Daten b), c) und d).

3. Die Mitteilung an die betroffene Person gemäß Absatz 1 nicht erforderlich, wenn Sie eine der folgenden Bedingungen erfüllt:

1. ein) die Steuerung treffen geeignete technische und organisatorische Maßnahmen, und diese Maßnahmen wurden auf den betroffenen durch die Verletzung personenbezogener Daten angewandt, so dass nicht verständlich persönliche Daten zu denen insbesondere Maßnahmen, die die Erlaubnis, sie haben Zugriff nicht, wie Verschlüsselung,
2. b) die Steuerung nahm dann die Schritte, um sicherzustellen, dass es nicht mehr wahrscheinlich in Absatz als referenzierte auftritt 1 ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen,
3. c) einen unverhältnismäßigen Aufwand bedeutet. In diesem Fall, wird anstelle’ diese öffentliche Bekanntmachung oder gibt es eine ähnliche Maßnahme, mit der die betroffenen Personen informiert werden gleichermaßen effektiv.

4. Wenn der Controller bereits die Verletzung der persönlichen Daten der betroffenen Person angekündigt, Die Aufsichtsbehörde kann, unter Berücksichtigung der Möglichkeit eines hohen Risikos eines Verstoßes gegen personenbezogene Daten, Bitten Sie ihn, dies zu tun, sonst kann er entscheiden, dass eine der im Absatz genannten Bedingungen erfüllt ist 3.

Abschnitt 3

Folgenbewertung zum Datenschutz und frühere Konsultation

Artikel 35

Inspektionsbewertung zum Datenschutz

1. Wenn eine Art Verarbeitung, Insbesondere verwenden neue Technologien und berücksichtigen die Natur, der Umfang, der Kontext und Zweck der Verarbeitung, Kann ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen haben, Die Steuerung führt durch, vor der Behandlung, Bewertung der Auswirkungen der geplanten Verarbeitungsvorgänge auf den Schutz personenbezogener Daten. Eine Schätzung kann eine Reihe ähnlicher Verarbeitungsvorgänge berücksichtigen, die ähnliche hohe Risiken bilden.

2. Der Controller fragt nach der Meinung des Datenschutzbeauftragten, Wenn es eingestellt ist, Bei der Durchführung einer Folgenabschätzung zum Datenschutz.

3. Der in Absatz genannte 1 Insbesondere in diesem Fall ist eine Datenschutz-Folgenabschätzung erforderlich:

1. ein) systematische und umfassende Bewertung persönlicher Aspekte über natürliche Personen, Dies basiert auf der automatischen spitzen Verarbeitung, einschließlich Profilerstellung, und in der die Entscheidungen aus, dass Rechtswirkungen der einzelnen über oder ebenfalls deutlich die einzelnen beeinflussen,
2. b) Große Verarbeitung spezieller Datenkategorien, die im Artikel aufgeführt sind 9 Absatz 1 oder personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten, die im Artikel erwähnt wurden 10 oder
3. c) Systematische Überwachung des öffentlich zugänglichen Raums in großem Maßstab.

4. Die Aufsichtsbehörde erstellt und veröffentlicht eine Liste der Arten von Verarbeitungsvorgängen, für die eine datenschutzrechtliche Folgenabschätzung gemäß Absatz erforderlich ist 1. Die Aufsichtsbehörde teilt diese Liste dem in Artikel 1 genannten Datenschutzrat mit 68.

5. Die Aufsichtsbehörde kann auch ein Verzeichnis mit den Arten von Verarbeitungsvorgängen erstellen und veröffentlichen. Die Aufsichtsbehörde diese Liste der Datenschutzbehörde kommunizieren.

6. Vor der Erteilung der genannten Verzeichnisse in den Absätzen 4 und 5, Die zuständige Aufsichtsbehörde wendet den im Artikel genannten Kohärenzmechanismus an 63, Wenn diese Listen die Verarbeitungsaktivitäten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen für die betroffenen Personen enthalten oder ihr Verhalten in mehr als einem Mitgliedstaaten verboten oder die freie Verbreitung personenbezogener Daten in der Gewerkschaft erheblich beeinflussen können.

L 119/54

Amtsblatt der Europäischen Union 4.5.2016

DAS

7. ein)

b) c)

d)

Schätzung enthält mindestens:

Systematische Beschreibung der projizierten Handlungen und der Zwecke der Verarbeitung, einschließlich, gegebenenfalls, des vom für die Verarbeitung Verantwortlichen verfolgten Rechtsinteresses,

Einschätzung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf die Zwecke,

Bewertung von Risiken für Rechte und Freiheiten der betroffenen Personen, die in Absatz erwähnt wurden 1 und

Die projizierten Maßnahmen zur Bewältigung von Risiken, einschließlich Garantien, von Sicherheitsmaßnahmen und Mechanismen, um den Schutz personenbezogener Daten zu gewährleisten und die Einhaltung dieser Verordnung nachzuweisen, unter Berücksichtigung der Rechte und legitime Interessen der betroffenen Personen und andere betroffenen Personen.

8.
Verarbeitung oder Darsteller werden bei der Bewertung der Auswirkungen von Verarbeitungsvorgängen ordnungsgemäß berücksichtigt, die von den Verantwortlichen oder der Verarbeitung durchgeführt werden, Insbesondere für die Auswirkungen der Aufprallbewertung zum Datenschutz.

9. Gegebenenfalls, Der Controller fordert die Meinung der Themen der Daten oder ihrer Vertreter für die geplante Verarbeitung an, Vorbehaltlich des Schutzes von gewerblichen oder öffentlichen Interessen oder der Sicherheit der Verarbeitungsbetriebe.

10. Bei der Verarbeitung unter dem Artikel 6 Absatz 1 Element c) oder e) hat eine rechtliche Grundlage im Gesetz der Gewerkschaft oder im Gesetz des Mitgliedstaats, dem der Controller unterliegt, Dieses Gesetz regelt den spezifischen Verarbeitungsvorgang oder die Reihe von Vorgängen, und eine Folgenabschätzung zum Datenschutz wurde bereits im Rahmen einer allgemeinen Folgenabschätzung im Rahmen der Genehmigung dieser Rechtsgrundlage durchgeführt., die Absätze 1 bis 7 nicht anwendbar, es sei denn, die Mitgliedstaaten halten es für erforderlich, eine solche Bewertung vor der Verarbeitung durchzuführen.

11. Wo erforderlich, Der Controller überprüft, ob die Verarbeitung personenbezogener Daten gemäß der Folgenabschätzung des Datenschutzes zumindest wenn das Risiko der Verarbeitungsgesetze geändert wird, durchgeführt wird.

Artikel 36

vorherige Absprache

1. Der Regler wird die Aufsichtsbehörde vor der Verarbeitung konsultieren, wenn nach Artikel 35 Folgenabschätzung für den Datenschutz gibt an, dass die Behandlung ein hohes Risiko der Abwesenheit von Maßnahmen zur Risikobegrenzung durch die Steuerung verursachen würde.

2. Wenn die Aufsichtsbehörde der Ansicht ist, dass die geplante Verarbeitung im Absatz genannt wird 1 verstößt gegen diese Verordnung, Insbesondere wenn der Controller das Risiko nicht ausreichend identifiziert oder gemindert hat, Die Aufsichtsbehörde bietet den Prozessor innerhalb von acht Wochen nach Erhalt der Konsultationsanfrage Tipps zum Prozessor an, und, bei Bedarf, In der durchgeführten Verarbeitung, Während es eine seiner im Artikel genannten Befugnisse verwenden kann 58. Diese Frist kann um sechs Wochen verlängert werden, Aufgrund der Komplexität, die die geplante Verarbeitung charakterisiert. Die Aufsichtsbehörde informiert den Controller und, bei Bedarf, Die durchgeführte Verarbeitung für eine solche Verlängerung innerhalb eines Monats nach Erhalt der Konsultationsanfrage, sowie Gründe für die Verzögerung. Diese Grenzen können gehemmt werden, bis der Supervisor die angeforderten Informationen für die Zwecke der Beratung erhalten hat.

3. In Absprache mit der Aufsichtsbehörde unter Absatz 1, Der für die Verarbeitung Verantwortliche stellt der Aufsichtsbehörde zur Verfügung:

1. ein) gegebenenfalls, die jeweiligen Verantwortlichkeiten des Controllers, der Verarbeitungsmanager und der Führungskräfte der Verarbeitung, die an den Aufgaben beteiligt sind, Insbesondere in Bezug auf die Verarbeitung innerhalb einer Gruppe von Unternehmen,
2. b) die Zwecke und Mittel der vorgeschlagenen Behandlung,
3. c) Maßnahmen und Vorkehrungen, die Rechte und Freiheiten der betroffenen Personen im Rahmen dieser Verordnung zu schützen,

Die Einhaltung der vereinbarten Verhaltenskodizes gemäß Artikel 40 von den zuständigen Beamten

d) gegebenenfalls, Kontaktdaten des Datenschutzbeauftragten,

4.5.2016 Amtsblatt der Europäischen Union L 119/55

DAS

e) die Folgenabschätzung für den Datenschutz gemäß Artikel 35, und

f) andere Informationen, die von den Vorgesetzten gebeten.

4. Die Mitgliedstaaten suchen nach der Meinung der Aufsichtsbehörde bei der Erstellung von Gesetzgebungsvorschlägen zur Verabschiedung von nationalen Parlamenten oder regulatorischen Maßnahmen auf der Grundlage dieser gesetzgeberischen Maßnahmen, die sich auf die Verarbeitung beziehen.

5. Durch Ausnahme des Absatzes 1, das Recht der Mitgliedstaaten können Steuerungen erfordert eine vorherige Genehmigung der Aufsichtsbehörde in Bezug auf die Verarbeitung der Steuerung für die Durchführung der Aufgaben, die von diesem Manager im öffentlichen Interesse ausgeübt zu beraten und erhalten, einschließlich der Behandlung in Bezug auf Sozialschutz und öffentliche Gesundheit.

Abschnitt 4

Datenschutzbeauftragter

Artikel 37

Stellen Sie die Datenschutzbeauftragten

1. Der Controller und der Prozessor wird ein Datenschutzbeauftragten in jedem Fall bezeichnen, wobei:

1. ein) erfolgt die Verarbeitung durch eine Behörde oder Körper aus, Neben Gerichten, die im Kontext ihrer Gerichtsbarkeit wirken,
2. b) Die grundlegenden Aktivitäten des Prozessors oder des Darstellers der Verarbeitung bilden Verarbeitungsgesetze, die, Wegen der Natur, des Gebiets der Anwendung und/oder deren Zwecke, Sie erfordern eine regelmäßige und systematische Ohnmacht der betroffenen Personen in großem Maßstab, oder
3. c) Die grundlegenden Aktivitäten des Prozessors oder des Verarbeitungskünstlers bilden eine große Verarbeitung spezieller Kategorien personenbezogener Daten im Artikel im Artikel 9 und Daten zu strafrechtlichen Verurteilungen und Straftaten, die im Artikel erwähnt wurden 10.

2. Business Group kann einen einzelnen Datenschutzbeauftragten ernennen, vorausgesetzt, jede Einrichtung hat einen einfachen Zugriff auf den Datenschutzbeauftragten.

3. Wenn der Controller oder der Führungsverfahren eine öffentliche oder öffentliche Einrichtung ist, Ein einzelner Datenschutzbeauftragter kann für viele solcher Prinzipien oder viele solche Stellen definiert werden, Berücksichtigung ihrer Organisationsstruktur und Größe.

4. In anderen als den in Absatz 1 genannten Fällen 1, Der Controller oder der Henker von Verarbeitung oder Verbänden und anderen Stellen, die Kategorien darstellen, Wenn dies gesetzlich der Union oder des Mitgliedstaates erforderlich ist, Datenschutzbeauftragte definieren. Der Datenschutzbeauftragte kann für diese Verbände und andere Stellen handeln, die Prozessoren vertreten oder die Verarbeitung ausführen.

5. Die DPO basierte auf berufliche Qualifikation ernannt, insbesondere auf der Grundlage der zur Verfügung stehenden Know-how im Bereich der Gesetze und Praktiken zum Datenschutz, sowie basierend auf der Fähigkeit, die im Artikel genannten Aufgaben zu erfüllen 39.

6. Der Datenschutzbeauftragte kann Mitarbeiter des für die Verarbeitung Verantwortlichen oder des Verarbeiters sein oder seine Aufgaben im Rahmen eines Servicevertrags erfüllen..

7. Der Controller oder der Henker veröffentlicht die Kontaktdaten des Datenschutzes und geben sie der Aufsichtsbehörde an.

Artikel 38

Datenschutzbeauftragte

1. Der Controller und der Executive -Prozess stellen sicher, dass der Datenschutzbeauftragte teilnimmt, ordnungsgemäß und rechtzeitig, Zu allen Fragen im Zusammenhang mit personenbezogenen Datenschutz.

L 119/56 Amtsblatt der Europäischen Union 4.5.2016

DAS

2. Der Controller und der Executive -Prozess unterstützen den Datenschutzbeauftragten bei der Ausübung der im Artikel aufgeführten Aufgaben 39 Bereitstellung der erforderlichen Ressourcen für die Ausübung dieser Aufgaben und Zugriff auf personenbezogene Daten und Verarbeitungsvorgänge, sowie Ressourcen, die zur Aufrechterhaltung seines Fachwissens erforderlich sind.

3. Der Controller und der Führungsprozess stellen sicher, dass der Datenschutzbeauftragte keine Bestellungen erhält, um die betreffenden Aufgaben auszuüben. Weder werden vom Controller entlassen, noch sanktion. Der Datenschutzbeauftragte berichtet direkt an die höchste Verwaltungsebene des für die Verarbeitung Verantwortlichen oder Verarbeiters.

4. Die betroffenen Personen können sich an den Datenschutzbeauftragten in jedem Problem im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte nach dieser Verordnung wenden.

5. Der Datenschutzbeauftragte ist an die Vertraulichkeit oder Vertraulichkeit der Erfüllung seiner Pflichten gebunden, Nach dem Gesetz der Union oder des Mitgliedstaates.

6. Der Datenschutzbeauftragte kann andere Aufgaben und Verpflichtungen erfüllen. Die Steuerung oder der Prozessor sorgt dafür, dass diese Aufgaben und Pflichten beinhalten keinen Interessenkonflikt.

1. ein)

b)

c)

d) e)

Artikel 39

Aufgaben des Datenschutzbeauftragten

Der Datenschutzbeauftragte hat mindestens die folgenden Aufgaben:

den für die Verarbeitung Verantwortlichen oder Verarbeiter und die Beamten, die ihren Verpflichtungen aus dieser Verordnung und anderen Bestimmungen der Union oder des Mitgliedstaats in Bezug auf den Datenschutz nachkommen, informieren und beraten,

überwacht die Einhaltung dieser Verordnung, mit anderen Bestimmungen der Union oder nationalen Rechtsvorschriften über den Datenschutz und die Politik des Controller oder Prozessors in Bezug auf den Schutz personenbezogener Daten, einschließlich der Zuweisung von Verantwortlichkeiten, die sensible Poesie und die Ausbildung des Personals in Verarbeitungsoperationen beteiligt, und die damit verbundene Kontrollen,

bietet Beratung, wenn die angeforderte, im Hinblick auf die Bewertung der Auswirkungen auf den Datenschutz und die Überwachung ihrer Umsetzung gemäß Artikel 35,

kooperiert mit der Aufsichtsbehörde,

fungiert als Kontaktstelle für die Aufsichtsbehörde in Fragen der Verarbeitung, einschließlich vorherige Konsultation gemäß Artikel 36, und konsultieren, angemessen, andere Sache.

2.
die Verarbeitungsvorgänge verbunden, unter Berücksichtigung der Natur, der Umfang, der Kontext und Zweck der Verarbeitung.

Bei der Erfüllung seiner Pflichten, Der Datenschutzbeauftragte trägt dem Risiko angemessen Rechnung

Abschnitt 5

Verhaltenskodizes und Zertifizierung

Artikel 40

Verhaltenskodizes

1. Die Mitgliedstaaten, Vorgesetzte, die Datenschutzbehörde und die Kommission fördern die Entwicklung von Verhaltenskodizes sollte die ordnungsgemäße Durchführung dieser Verordnung beitragen, unter Berücksichtigung der besonderen Merkmale der verschiedenen Verarbeitungsbereiche und die spezifischen Bedürfnisse von Kleinst-, kleine und mittlere Unternehmen.

2. Assoziationen und andere Körperschaften, die Kategorien von Redakteuren oder Darstellern darstellen, Um die Anwendung dieser Verordnung zu bestimmen, Wie für:

ein) die legitimen und transparent verarbeitet,

4.5.2016 Amtsblatt der Europäischen Union

L 119/57

DAS

2. b) die berechtigten Interessen von den Prüfern in spezifischen Kontexten verfolgt,
3. c) die Erhebung personenbezogener Daten,
4. d) psefdonymopoiisi die personenbezogenen Daten,
5. e) Unterrichtung der Öffentlichkeit und die betroffenen Personen,

f) die Ausübung der Rechte der betroffenen Personen,

6. g) Kinder informieren und schützen und wie die Zustimmung des Arztes über die elterliche Verantwortung des Kindes eingeholt werden kann,
7. die) Die in den Artikeln genannten Maßnahmen und Verfahren 24 und 25 und Maßnahmen, um die Sicherheit der im Artikel genannten Verarbeitung sicherzustellen 32,
8. ich) Die Offenlegung von Verstößen gegen personenbezogene Daten gegenüber den Aufsichtsbehörden und die Ankündigung dieser Verstöße gegen die personenbezogenen Daten gegenüber den betroffenen Personen,
9. ich) die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, oder

Ia) OF -Court -Verfahren und andere Streitbeilegungsverfahren zur Auflösung von Streitigkeiten zwischen Prozessoren und betroffenen Personen in Bezug auf die Verarbeitung, Vorbehaltlich der Rechte der betroffenen Personen im Rahmen der Artikel 77 und 79.

3. Zusätzlich zu ihrer Einhaltung der Verarbeitungsbeauftragten oder der Ausführung der Verarbeitungsfächer in dieser Verordnung, Die nach Absatz genehmigten Ethikkodizes 5 dieser Artikel und für die allgemeine Anwendung nach Absatz 9 dieser Artikel auch von Controllern oder Prozessoren sind von dieser Verordnung gemäß Artikel bedeckt gefolgt werden kann, 3, Um geeignete Garantien im Zusammenhang mit personenbezogenen Daten zu gewähren, unter den Bedingungen, die in Artikel 46 Absatz 2 Punkt e). Diese Controller oder Prozessoren verpflichten verbindliche und durchsetzbare Verpflichtungen durch Vertrag oder eine andere rechtlich bindende Instrumente, diese angemessene Garantien zu implementieren, auch in Bezug auf die Rechte der betroffenen Personen.

4. Der Verhaltenskodex im Sinne von Absatz 2 dieses Artikels enthält Mechanismen, die es der im Artikel genannten Person ermöglichen 41 Absatz 1 Betreiber, um die obligatorische Überwachung der Einhaltung der Bestimmungen der Controller oder Prozessoren auszuführen, die für die Anwendung der verantwortlich sind, Vorbehaltlich der Pflichten und Verantwortlichkeiten der Aufsichtsbehörden, die gemäß dem Artikel verantwortlich sind 55 oder 56.

5. Assoziationen und andere im Absatz erwähnte Körperschaften 2 von diesem Artikel und beabsichtigt, einen Verhaltenskodex zu entwickeln oder vorhandene Code zu ändern oder zu erweitern 55. Die Aufsichtsbehörde gibt eine Stellungnahme zur Einhaltung des Kodexentwurfs ab, Änderung oder Erweiterung dieser Verordnung und Genehmigung dieses Kodexentwurfs, Änderung oder Erweiterung, Wenn es berücksichtigt, angemessene geeignete Garantien zu gewährleisten.

6. Wenn der Codeplan oder die Änderung oder eine Verlängerung gemäß Absatz genehmigt wird 5 und wenn der entsprechende Verhaltenskodex nichts mit Verarbeitungsaktivitäten in mehr als einem Mitgliedstaaten zu tun hat, Die Aufsichtsbehörde registriert und veröffentlicht den Code.

7. Falls sich ein Verhaltenskodex auf die Verarbeitungsaktivitäten in verschiedenen Mitgliedstaaten bezieht, Die für den Artikel verantwortliche Aufsichtsbehörde 55 Senden Sie es, vor der Genehmigung des Codeentwurfs, der Änderung oder Erweiterung, in dem in Artikel vorgesehenen Verfahren 63 an den Datenschutzrat, die gemäß dem Code Code unterdrückt, Änderung oder Erweiterung dieser Regulierung dieser Verordnung oder, Im Fall in Absatz genannt 3 dieser Artikel, hinsichtlich der Bereitstellung angemessener Garantien durch ihn.

8. Für den Fall, dass die in Absatz 1 genannte Stellungnahme 7 bestätigt den Code, Die Änderung oder Verlängerung entspricht dieser Verordnung oder, Im Fall in Absatz genannt 3, angemessene Garantien bieten, Der Data Protection Council übermittelt seine Stellungnahme an die Kommission.

9. Die Kommission kann, durch Exekutivakte, beschließen, dass die genehmigten Verhaltenskodizes und die ihr gemäß Absatz vorgelegten Änderungen oder Erweiterungen 8 dieses Artikels haben eine allgemeine Gültigkeit innerhalb der Gewerkschaft. Diese Exekutivgesetze werden gemäß dem im Artikel angegebenen Prüfungsverfahren ausgestellt 93 Absatz 2.

L 119/58 Amtsblatt der Europäischen Union 4.5.2016

DAS

10. Die Kommission sorgt für die ordnungsgemäße Werbung für die genehmigten Codes, für die sie sich für allgemeine Wirkung gemäß dem Absatz entschieden hat 9.

11. Der Data Protection Council vereint alle zugelassenen Ethikkodizes, Die Änderungen und Erweiterungen an ein Register und stellen sie der Öffentlichkeit auf angemessene Weise zur Verfügung.

Artikel 41

Überwachung genehmigter Ethikkodizes

1. Vorbehaltlich der Pflichten und Verantwortlichkeiten der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58, Die Überwachung der Einhaltung eines Verhaltenskodex im Rahmen des Artikels 40 Es kann von einem Spediteur mit dem angemessenen Fachwissen in Bezug auf das Thema des Kodex durchgeführt werden und ist für diesen Zweck von der zuständigen Aufsichtsbehörde akkreditiert.

2. mit

ein) b)

c)

d)

Der Träger, wie im Absatz angegeben 1 kann akkreditiert werden, um den Codecode zu überwachen, Solange dieser fragliche Körper beteiligt ist:

hat nach Ermessen der zuständigen Aufsichtsbehörde seine Unabhängigkeit und Sachkenntnis in Bezug auf den Gegenstand des Kodex nachgewiesen,

Es hat Verfahren festgelegt, dass die Beurteilung der Förderfähigkeit der Steuerungen und Prozessoren ermöglichen, den Code zu implementieren, Überwachung ihrer Einhaltung der Bestimmungen und der regelmäßigen Überprüfung des Betriebs,

hat Verfahren und Strukturen für den Umgang mit Beschwerden über Verstöße gegen den Kodex oder darüber, wie der Kodex von einem für die Verarbeitung Verantwortlichen oder Verarbeiter durchgesetzt wurde oder wird, festgelegt, und diese Prozesse und Strukturen für betroffene Personen und die breite Öffentlichkeit transparent zu machen, und

beweist, nach Ermessen der zuständigen Aufsichtsbehörde, dass seine Pflichten und Pflichten keinen Interessenkonflikt beinhalten.

3.
dieses Artikels an den Datenschutzrat gemäß dem in Artikel genannten Kohärenzmechanismus 63.

Die zuständige Aufsichtsbehörde legt die in Absatz angegebenen Zertifizierungskriterienpläne vor 1

4. Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde und den Bestimmungen von Kapitel VIII, das Unternehmen gemäß Absatz 1 Dieser Artikel setzt voraus, wobei die entsprechenden Sicherungen, geeignete Maßnahmen im Fall der Verletzung des Codes von der Steuerung oder dem Prozessor, Einschließlich der Aufhängung von Aufgaben oder Befreiung des Verarbeitungsprozesses oder der Verarbeitung von Performer nach dem Code. Sie informiert die zuständige Aufsichtsbehörde über diese Maßnahmen und die Gründe für ihre Verpflichtung.

5. Die zuständige Aufsichtsbehörde widerruft die in Absatz 1 genannte Stellenbescheinigung 1, wenn die Zertifizierungsanforderungen nicht oder nicht mehr erfüllt sind oder die von der Stelle ergriffenen Maßnahmen gegen diese Verordnung verstoßen.

6. Dieser Artikel gilt nicht für die Verarbeitung von Behörden und öffentlichen Stellen.

Artikel 42

Zertifizierung

1. Die Mitgliedstaaten, Vorgesetzte, Der Datenschutzrat und der Ausschuss drängen, Besonders auf Gewerkschaftsebene, Die Festlegung von Datenschutz und Briefmarken und Datenschutzsignalmechanismen, um die Einhaltung dieser Verordnung von Verarbeitungsvorgängen durch die Datenverarbeitung Verantwortlichen und Prozessoren zu demonstrieren. Berücksichtigen Sie dabei die spezifischen Bedürfnisse von Kleinst-, kleine und mittlere Unternehmen.

4.5.2016 Amtsblatt der Europäischen Union L 119/59

DAS

2. Zusätzlich zu ihrer Anwendung, die von Controllern oder Prozessoren dieser Verordnung unterliegen, Zertifizierungsmechanismen und Datenschutzdichtungen und Datenschutzsignale gemäß Absatz autorisierten 5 dieser Artikel für die Zwecke kann beweisen, der angenommen wird, dass geeignete Garantien von Controllern oder Prozessoren zur Verfügung gestellt werden, die nicht unter dieser Verordnung, Nach dem Artikel 3, im Zusammenhang mit der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, unter den Bedingungen, die in Artikel 46 Absatz 2 f). Diese Controller oder Prozessoren verpflichten verbindliche und durchsetzbare Verpflichtungen durch Vertrag oder eine andere rechtlich bindende Instrumente, diese angemessene Garantien zu implementieren, auch in Bezug auf die Rechte der betroffenen Personen.

3. Die Zertifizierung ist freiwillig und verfügbar durch ein transparentes Verfahren.
4. Die Zertifizierung gemäß diesem Artikel beschränkt nicht die Verantwortung des Herausgebers oder des Geschäftsführer

Die Verarbeitung für die Einhaltung dieser Verordnung und die Aufgaben und Verantwortlichkeiten der Aufsichtsbehörden, die für den Artikel gemäß dem Artikel verantwortlich sind 55 oder 56.

5. Die Zertifizierung nach diesem Artikel werden gemäß Artikel durch die Zertifizierungsstellen erteilt werden 43 oder von der zuständigen Aufsichtsbehörde, Kriterien, die von dieser zuständigen Behörde zugelassen gemäß Artikel 58 Absatz 3 oder die Datenschutzausschuss gemäß Artikel 63. Wenn die Kriterien werden von der Datenschutzbehörde genehmigt, Dies kann zu einer gemeinsamen Zertifizierung führen, Europäische Datenschutzsiegel.

6 Die Steuerung oder der Prozessor die Verarbeitung des Authentifizierungsmechanismus Herstellung bietet die Zertifizierungsstelle nach Artikel 43 oder, angemessen, die zuständige Aufsichtsbehörde alle Informationen und Zugang zu Behandlung Aktivitäten erforderlich, um den Zertifizierungsprozess durchzuführen.

7. Die Zertifizierung wird einem Controller oder Verarbeiter für einen Zeitraum von maximal drei Jahren ausgestellt und kann unter den gleichen Bedingungen erneuert werden, vorausgesetzt, dass die relevanten Anforderungen noch erfüllt sind. Die Zertifizierung wird zurückgerufen, angemessen, durch die im Artikel vorgesehenen Zertifizierungsstellen 43 oder von der zuständigen Aufsichtsbehörde, wenn die Zertifizierungsanforderungen nicht oder nicht mehr erfüllt sind.

8. Die Datenschutzbehörde sammelt alle Authentifizierungsmechanismen und Dichtungen und Datenschutzsignale in einem Register und verfügbar mit allen geeigneten Mitteln für die Öffentlichkeit gehalten.

Artikel 43

Zertifizierungsstellen

1. Vorbehaltlich der Pflichten und Verantwortlichkeiten der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58, Zertifizierungsstellen, die über das entsprechende Fachwissen in Bezug auf den Datenschutz verfügen, Nachdem Sie die Aufsichtsbehörde informiert haben, um ihre Verantwortlichkeiten im Rahmen des Artikels auszuüben 58 Absatz 2 Punkt h) bei Bedarf, Zertifizierungen gewähren und erneuern. Der Mitgliedstaat stellt sicher, dass die Akkreditierung dieser Zertifizierungsstellen von einer oder beiden der folgenden Stellen durchgeführt wird:

ein) b)

ein) haben nach Ermessen der zuständigen Aufsichtsbehörde ihre Unabhängigkeit und Sachkenntnis in Bezug auf den Gegenstand der Zertifizierung nachgewiesen,

(1) Verordnung (EG) keine. 765/2008 Europäisches Parlament und Rat, vom 9. Juli 2008, Festlegung der Anforderungen für die Akkreditierung und Marktüberwachung von Produkten und Aufhebung der (EWG) keine. 339/93 des Rates (ABl L 218 von 13.8.2008, p. 30).

die nach den Artikeln zuständige Aufsichtsbehörde 55 oder 56,

Die nationale Akkreditierungsorganisation in Übereinstimmung mit der Verordnung definiert (EG) keine. 765/2008 Europäisches Parlament und Rat (1), Gemäß dem EN-ISO/IEC-Standard 17065/2012 und gemäß den komplexen Anforderungen, die von der Aufsichtsbehörde festgelegt wurden, die im Artikel verantwortlich ist 55 oder 56.

Die im Absatz aufgeführten Zertifizierungsstellen 1 sind gemäß diesem Absatz akkreditiert,

2.
nur wenn:

L 119/60 b)

c) d)

e)

Amtsblatt der Europäischen Union 4.5.2016

verpflichten sich, die in Artikel 1 festgelegten Kriterien einzuhalten 42 Absatz 5 und von der Aufsichtsbehörde zuständigen nach Artikel genehmigt 55 oder 56 oder vom Datenschutz Rat gemäß Artikel 63,

Sie haben Verfahren für die Erteilung, regelmäßige Überprüfung und Sperrung von Zertifikaten, Stempel und Datenschutzsignale,

Sie haben Verfahren und Strukturen für die Verwaltung von Beschwerden über Verstöße gegen die Zertifizierung oder auf dem Weg in die die Zertifizierung angewendet wird oder durchgeführt von der Steuerung oder dem Prozessor, und diese Prozesse und Strukturen für betroffene Personen und die breite Öffentlichkeit transparent zu machen, und

Show, nach Ermessen der zuständigen Aufsichtsbehörde, dass ihre Pflichten und Verpflichtungen keinen Interessenkonflikt beinhalten.

DAS

3.
Es wird auf der Grundlage von Kriterien angegeben, die von der auf dem Artikel verantwortlichen Aufsichtsbehörde verantwortlich sind 55 oder 56, oder vom Datenschutz Rat gemäß Artikel 63. Im Falle einer Akkreditierung nach Punkt B) Absatz 1 dieser Artikel, Diese Anforderungen ergänzen die in der Verordnung festgelegten Anforderungen (EG) keine. 765/2008 und die technischen Regeln, die die Methoden und Verfahren der Zertifizierungsstellen beschreiben.

4. Die im Absatz aufgeführten Zertifizierungsstellen 1 ist verantwortlich für die ordnungsgemäße Bewertung, die zu einer Zertifizierung oder dem Widerruf der Zertifizierung führt, Ohne Vorurteile der Verantwortung des Verantwortlichen oder des Henker. Die Akkreditierung wird für einen Zeitraum von maximal fünf Jahren erteilt und kann zu denselben Bedingungen verlängert werden, vorausgesetzt, die Zertifizierungsstelle erfüllt die Anforderungen dieses Artikels.

5. Die im Absatz aufgeführten Zertifizierungsstellen 1 Sie stellen die zuständigen Behörden, die Gründe für die Erteilung oder den Widerruf der Zulassung angestrebt.

6. Die Vorschriften des Absatzes 3 dieses Artikels und die Kriterien in Artikel genannten 42 Abschnitt 5 in leicht zugänglichem Format von der Aufsichtsbehörde veröffentlicht. Die Aufsichtsbehörden sind auch diese Anforderungen und Kriterien an die Datenschutzbehörde weiterleiten. Der Data Protection Council vereint alle Zertifizierungsmechanismen und Datenschutzdichtungen und stellt sie der Öffentlichkeit mit geeigneten Mitteln zur Verfügung.

7. Unbeschadet Kapitel VIII, die zuständige Aufsichtsbehörde oder nationale Akkreditierungsstelle der Akkreditierung einer Zertifizierungsstelle gemäß Absatz zurückziehen 1 dieser Artikel, wenn die Zertifizierungsanforderungen nicht erfüllt sind oder nicht mehr erfüllt werden oder wenn die Maßnahmen der Zertifizierungsstelle gegen diese Verordnung verstoßen.

8. Die Kommission wird ermächtigt, delegierte zu erlassen’ delegierte Rechtsakte gemäß Artikel 92, um die Anforderungen zu bestimmen, die für die in Artikel genannten Datenschutzzertifizierungsmechanismen zu berücksichtigen sind 42 Absatz 1.

9. Die Kommission kann Durchführungsrechtsakte zur Festlegung der technischen Standards für die Zertifizierung Mechanismen, Dichtungen und Datenschutzsignale, sowie Mechanismen zur Förderung und Anerkennung solcher Zertifizierungsmechanismen, Briefmarken und Marken. Diese Exekutivgesetze werden gemäß dem im Artikel angegebenen Prüfungsverfahren ausgestellt 93 Absatz 2.

KAPITEL V.

Übertragung personenbezogener Daten auf Drittländer oder internationale Organisationen

Artikel 44

Allgemeine Grundsätze für Übertragungen

Jede Übertragung von personenbezogenen Daten, die Verarbeitung durchlaufen oder sollen verarbeitet werden, nachdem sie in ein Drittland oder eine internationale Organisation gesendet werden, ist nur möglich, wenn, Vorbehaltlich der anderen Bestimmungen dieser Verordnung, Die in diesem Kapitel festgelegten Bedingungen werden vom Controller und dem Verarbeitungsmanager aufbewahrt, Unter anderem für weitere Übertragungen personenbezogener Daten aus der Drittland oder der internationalen Organisation in einen anderen Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels gelten, um sicherzustellen, dass das durch diese Verordnung garantierte Schutzniveau natürlicher Personen nicht untergraben wird..

Die Akkreditierung von Zertifizierungsstellen gemäß den Absätzen 1 und 2 dieses Artikels

4.5.2016 Amtsblatt der Europäischen Union L 119/61

DAS

Artikel 45

Übertragungen aufgrund einer Angemessenheitsentscheidung

1. Die Übermittlung personenbezogener Daten in ein Drittland oder eine internationale Organisation kann dann erfolgen, wenn die Kommission entscheidet, dass ein angemessenes Schutzniveau des betreffenden Drittlandes gewährleisten, vom Boden oder von einem oder mehreren bestimmten Sektoren im Drittland oder von dieser internationalen Organisation. Für eine solche Übertragung nicht eine Sondergenehmigung erforderlich.

2. ein)

b)

c)

Bei der Schätzung der Angemessenheit des Schutzniveaus, Der Ausschuss berücksichtigt, insbesondere, die folgenden Elemente:

Rechtsstaatlichkeit, Respekt vor Menschenrechten und Grundfreiheiten, Die relevante Gesetzgebung, sowohl allgemein als auch sektoral, Unter anderem in Bezug auf die öffentliche Sicherheit, die Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten, sowie die Umsetzung dieser Gesetzgebung, Regeln zum Datenschutz, Berufsregeln und Sicherheitsmaßnahmen, einschließlich der Regeln für die weitere Übermittlung personenbezogener Daten an ein anderes Land oder eine andere internationale Organisation in diesem Drittland oder dieser internationalen Organisation, Rechtsprechung, sowie materielle und durchsetzbare Rechte der betroffenen Personen und wirksame administrative und gerichtliche Rechtsbehelfe für betroffene Personen, deren personenbezogene Daten übermittelt werden,

Die Existenz und der effektive Betrieb einer oder mehrerer unabhängiger Aufsichtsbehörden in diesem Drittland oder zu dem eine internationale Organisation unterliegt, verantwortlich, um die Einhaltung von Datenschutzregeln zu gewährleisten und aufzuerlegen, einschließlich angemessener Durchsetzungsbefugnisse, Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und mit den Aufsichtsbehörden der Mitgliedstaaten zusammenzuarbeiten, und

internationale Verpflichtungen, die von diesem Drittland oder dieser internationalen Organisation eingegangen werden, oder andere Verpflichtungen, die sich aus rechtsverbindlichen Übereinkommen oder Handlungen und deren Teilnahme an multilateralen oder regionalen Systemen ergeben, insbesondere in Bezug auf den Schutz des personenbezogenen Daten.

3.
Ein angemessenes Schutzniveau wird im Sinne des Absatzes gewährleistet 2 dieses Artikels aus einem Drittland oder Gebiet oder eine oder mehrere bestimmte Bereiche eines dritten Landes oder einer internationalen Organisation. Das Executive Act bietet einen regelmäßigen Überprüfungsmechanismus, mindestens alle vier Jahre, in denen alle relevanten Entwicklungen im dritten Land oder in der internationalen Organisation berücksichtigt werden. Der Durchführungsrechtsakt wird angeben, die territoriale und sektorale Umsetzung, sowie, wo es einen Fall gibt, die Aufsichtsbehörde im Sinne von b) Absatz 2 dieser Artikel. Der Durchführungsrechtsakt nach dem Prüfverfahren erlassen gemäß Artikel 93 Absatz 2.

4. Die Kommission überwacht kontinuierlich die Entwicklungen in Drittländern und internationalen Organisationen, die die Funktionsweise der gemäß Absatz 1 getroffenen Entscheidungen beeinträchtigen könnten 3 dieses Artikels und Entscheidungen, die im Artikel veröffentlicht wurden 25 Absatz 6 Richtlinie 95/46 / EG.

5. Das Komitee, Wenn vorhandene Informationen enthüllen, Hauptsächlich nach der Überprüfung im Absatz 3 dieser Artikel, Das ein Drittland, Territorium oder ein bestimmter Sektor in einer Drittland oder in einer internationalen Organisation sorgt nicht mehr für ein ausreichendes Schutzniveau im Sinne des Absatzes 2 dieser Artikel, abschaffen, modifiziert oder hemmt, In dem Maße, dass es notwendig ist, Die Entscheidung des Absatzes 3 dieses Artikels durch Executive Acts ohne rückwirkende Macht. Diese Exekutivgesetze werden gemäß dem im Artikel angegebenen Prüfungsverfahren ausgestellt 93 Absatz 2.

Aus Gründen der ordnungsgemäß gerechtfertigten Dringlichkeit, Die Kommission gibt direkte Angestellte von Anmeldungen in Übereinstimmung mit dem Verfahren aus, auf das sich der Artikel bezieht 93 Absatz 3.

6. Die Kommission leitete Konsultationen mit dem Drittland oder einer internationalen Organisation, um die Situation zu beheben, die das Ergebnis der Entscheidung nach Absatz ist 5.

7. Die Entscheidung nach Absatz 5 Dieser Artikel gilt nicht die personenbezogenen Daten im Drittland betreffen, auf dem Hoheitsgebiet oder in einem oder mehreren bestimmten Sektoren in dem Drittland oder der internationalen Organisation gemäß den Artikeln 46 bis 49.

8. Die Kommission wird im Amtsblatt der Europäischen Union und auf ihrer Website eine Liste der Drittländer veröffentlichen, Gebiete und bestimmte Bereiche in einem Drittland, sowie internationale Organisationen, für die sie entschieden hat, dass ein angemessenes Schutzniveau nicht mehr gewährleistet ist oder ist.

Das Komitee, nach Beurteilung der Angemessenheit des Schutzniveaus, entscheiden kann, durch einen Exekutivakt, das

L 119/62 Amtsblatt der Europäischen Union 4.5.2016

DAS

9. Die Entscheidungen der Kommission auf der Grundlage des Artikels 25 Absatz 6 der Richtlinie 95/46/EG bleiben bis zur Änderung in Kraft, durch eine gemäß Absatz erlassene Entscheidung der Kommission ersetzt oder abgeschafft werden 3 oder 5 dieser Artikel.

Artikel 46

Übertragungen vorbehaltlich angemessener Garantien

1. In Ermangelung einer Entscheidung nach dem Artikel 45 Absatz 3, Der für die Verarbeitung Verantwortliche oder der für die Verarbeitung Verantwortliche darf personenbezogene Daten nur dann an ein Drittland oder eine internationale Organisation übertragen, wenn der für die Verarbeitung Verantwortliche oder der für die Verarbeitung Verantwortliche angemessene Garantien gegeben hat und für die Subjekte durchsetzbare Rechte und wirksame Rechtsmittel bestehen. Daten.

2. Die entsprechenden Garantien gemäß Absatz 1 kann vorgesehen sein, ohne die Notwendigkeit einer speziellen Aufsichtsgenehmigung, über:

1. ein) ein rechtsverbindliches und durchsetzbares Instrument zwischen Behörden oder Stellen,
2. b) verbindliche Unternehmensregeln gemäß Artikel 47,
3. c) Standard-Datenschutzklauseln, die von der Kommission gemäß dem in Artikel 6 vorgesehenen Prüfungsverfahren erlassen wurden 93 Absatz 2,
4. d) von Standarddatenschutzklauseln, die von einer Aufsichtsbehörde ausgestellt und von der Kommission gemäß dem Prüfverfahren gemäß Artikel genehmigt wurden 93 Absatz 2,
5. e) genehmigter Verhaltenskodex, Nach dem Artikel 40, zusammen mit verbindlichen und durchsetzbaren Verpflichtungen des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters im Drittland, geeignete Garantien zu implementieren, auch in Bezug auf die Rechte der betroffenen Personen, oder

f) zugelassener Zertifizierungsmechanismus, Nach dem Artikel 42, zusammen mit verbindlichen und durchsetzbaren Verpflichtungen des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters im Drittland, geeignete Garantien zu implementieren, auch in Bezug auf die Rechte der betroffenen Personen.

3. Vorbehaltlich der Erlaubnis der zuständigen Aufsichtsbehörde, die entsprechenden Garantien des Absatzes 1 kann insbesondere auch bereitgestellt werden durch:

ein)

b)

Vertragsbedingungen zwischen dem Controller oder dem Prozessor und der Steuerung, des Verarbeiters oder Empfängers der personenbezogenen Daten im Drittland oder bei der internationalen Organisation bzw

Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder Stellen aufzunehmen sind, die durchsetzbare und materielle Rechte der betroffenen Personen beinhalten.

4.
im Absatz erwähnt 3 dieser Artikel.

Die Aufsichtsbehörde wendet den in Artikel genannten Kohärenzmechanismus an 63 in den Fällen wo

5. Die Lizenzen eines Mitgliedstaats oder einer Aufsichtsbehörde gemäß dem Artikel 26 Absatz 2 der Richtlinie 95/46/EG bleiben bis zur Änderung in Kraft, ersetzt oder abgeschafft werden, Falls erforderlich, durch diese Aufsichtsbehörde. Die Entscheidungen der Kommission auf der Grundlage des Artikels 26 Absatz 4 der Richtlinie 95/46/EG bleiben bis zur Änderung in Kraft, ersetzt oder abgeschafft werden, Falls erforderlich, durch einen Beschluss der Kommission gemäß Absatz 2 dieser Artikel.

Artikel 47

Verbindliche Unternehmensregeln

1. Die zuständige Aufsichtsbehörde genehmigt verbindliche unternehmensinterne Vorschriften gemäß dem Kohärenzverfahren gemäß Artikel 63, unter der Bedingung, dass:

ein) sie sind rechtsverbindlich und gelten für jedes relevante Mitglied und werden von jedem relevanten Mitglied der Unternehmensgruppe durchgesetzt, oder der Unternehmensgruppe, die eine gemeinsame wirtschaftliche Tätigkeit ausübt, einschließlich ihrer Mitarbeiter,

4.5.2016 Amtsblatt der Europäischen Union L 119/63

DAS

2. b) betroffenen Personen ausdrücklich einklagbare Rechte in Bezug auf die Verarbeitung sie betreffender personenbezogener Daten einräumen und
3. c) Erfüllen Sie die Anforderungen in Absatz 2.

2. Die verbindlichen Unternehmensregeln, auf die in Absatz genannt wird 1 zumindest klären:

1. ein) die Struktur und die Kontaktdaten der Gruppe, oder eine Gruppe von Unternehmen, die in gemeinsamen wirtschaftlichen Aktivität und jedes Mitglied,
2. b) Die Datenübertragungen oder der Satz von Datenübertragungen, Einbeziehung personenbezogener Datenkategorien, die Art der Verarbeitung und ihre Zwecke, die Art der betroffenen Personen beeinträchtigt und die Einstellung des betreffenden Drittlandes oder Drittländern,
3. c) die Rechtsverbindlichkeit der, sowohl intern als auch extern,
4. d) die Anwendung der allgemeinen Grundsätze des Datenschutzes, insbesondere die Zweckbindung, Minimierung der Daten, die begrenzte Lagerzeit, Datenqualität, Datenschutz durch Design und standardmäßig, die Rechtsgrundlage für die Verarbeitung, Verarbeitung besonderer Kategorien personenbezogener Daten, die Datensicherheitsmaßnahmen, Neben der Anwendung der Anforderungen an weitere Übertragungen an Körper, die nicht an verbindliche Unternehmensregeln gebunden sind,
5. e) Die Rechte der betroffenen Personen in Bezug auf Verarbeitung und Mittel zur Ausübung solcher Rechte, Einschließlich des Rechts auf Nichtuntersuchung zu Entscheidungen, die ausschließlich auf der Grundlage der selbstverarbeiteten Automobile getroffen wurden, Einbeziehung von Profiltraining gemäß dem Artikel 22, von dem Recht, eine Beschwerde vor der zuständigen Aufsichtsbehörde und vor den zuständigen Gerichten der Mitgliedstaaten gemäß dem Artikel einzureichen 79, sowie Reparatur und sichern, bei Bedarf, Entschädigung für die Verstoß gegen verbindliche Unternehmensregeln,

f) die Akzeptanz der Verantwortung durch den Controller oder die Ausführung der Verarbeitung, die auf dem Gebiet eines Mitgliedstaats wegen Verstößen gegen die verbindlichen Unternehmensregeln eines bekannten Mitglieds festgelegt ist, das nicht in der Gewerkschaft festgelegt ist;, ganz oder teilweise, Nur zu beweisen, dass das betreffende Mitglied nicht für die Generationsakte des Schadens verantwortlich ist,

6. g) Informationen zur Bindung verbindlicher Unternehmensregeln an betroffene Personen, insbesondere die Bestimmungen unter Punkt d), e) und St.) Von diesem Absatz, Zusätzlich zu Artikeln 13 und 14,
7. die) Die Aufgaben eines jeden Datenschutzbeauftragten, der in Übereinstimmung mit dem Artikel angegeben ist 37 oder eine Person oder eine Organisation, die mit der Überwachung der Einhaltung verbindlicher Unternehmensregeln innerhalb der Geschäftsgruppe beauftragt ist, oder der Unternehmensgruppe, die eine gemeinsame wirtschaftliche Tätigkeit ausübt, sowie mit dem Bass des Trainings und der Handhabung von Beschwerden,
8. ich) die Verfahren der Beschwerde,
9. ich) die Mechanismen innerhalb der Geschäftsgruppe, oder eine Gruppe von Unternehmen in gemeinsamer wirtschaftlicher Tätigkeit ausübende für die Einhaltung der verbindlichen unternehmensinternen Regeln überprüft. Diese Mechanismen umfassen Datenschutzkontrollen und Methoden zur Sicherstellung von Korrekturmaßnahmen zum Schutz der Rechte der betroffenen Person.. Die Ergebnisse dieses Schecks müssen an die im Artikel oder im Artikel genannte Person oder Entität bekannt gegeben werden) und an den Verwaltungsrat der Kontrollfirma des Unternehmens, während auch auf Anfrage an die zuständige Aufsichtsbehörde zur Verfügung gestellt werden muss,

226. Ia) Die Referenz- und Registrierungsmechanismen auf die Regeln und die Referenz dieser Änderungen an der Aufsichtsbehörde,
227. Ib) Der Kooperationsmechanismus mit der Aufsichtsbehörde, Um die Einhaltung jedes Mitglieds der Business Group zu gewährleisten, oder der Unternehmensgruppe, die eine gemeinsame wirtschaftliche Tätigkeit ausübt, Insbesondere indem die Aufsichtsbehörde den Ergebnissen der Überprüfungen der in Punkt I genannten Maßnahmen zur Verfügung stellt),
228. M) Die Referenzmechanismen auf die zuständige Aufsichtsbehörde eines Rechtsanspruchs, bei dem ein Mitglied der Business Group, oder die Gruppe von Unternehmen, die eine gemeinsame wirtschaftliche Aktivität ausüben
229. n) angemessene Datenschutzschulungen für Personal, das ständigen oder regelmäßigen Zugang zu personenbezogenen Daten hat.

L 119/64 Amtsblatt der Europäischen Union 4.5.2016

DAS

3. Die Kommission kann das Format und die Verfahren für den Informationsaustausch zwischen Redakteuren bestimmen, Prozessoren und Aufsichtsbehörden für verbindliche unternehmensinterne Vorschriften im Sinne dieses Artikels. Diese Exekutivgesetze werden gemäß dem im Artikel angegebenen Prüfungsverfahren ausgestellt 93 Absatz 2.

Artikel 48

Mitteilungen oder Benachrichtigungen, die nicht erlaubt sind durch das Unionsrecht

Jede gerichtliche Entscheidung und jede Entscheidung einer Verwaltungsbehörde eines Drittlandes, nach der ein für die Verarbeitung Verantwortlicher oder Verarbeiter personenbezogene Daten übermitteln oder offenlegen muss, kann anerkannt oder vollstreckbar sein’ eine Art nur, wenn sie auf internationalem Abkommen beruht, wie ein Vertrag der gegenseitigen gerichtlichen Unterstützung, in Kraft zwischen dem Drittlandbewerber und dem Union oder dem Mitgliedstaat, Vorbehaltlich anderer Übertragungsgründe gemäß diesem Kapitel.

Artikel 49

Ausfälle für besondere Situationen

1. In Ermangelung einer Entscheidung der Angemessenheit im Rahmen des Artikels 45 Absatz 3 oder entsprechende Garantien im Rahmen des Artikels 46, einschließlich Unternehmensbindungsregeln, Die Übermittlung oder alle Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation erfolgt nur, wenn eine der folgenden Bedingungen erfüllt ist::

1. ein) Die betroffene Person wurde ausdrücklich in die vorgeschlagene Übertragung konsumiert, Nachdem Sie über die potenziellen Risiken informiert wurden, die solche Übertragungen an die betroffene Person aufweisen,
2. b) Übertragung ist für einen Vertrag zwischen der betroffenen und dem Verarbeitungsmanager oder zur Anwendung von Maßnahmen vor dem Vertragsabschluss erforderlich,
3. c) die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich im Interesse der betroffenen Person zwischen dem Controller und anderen natürlichen oder juristischen Person abgeschlossen,
4. d) Übertragung ist aus wichtigen Gründen für das öffentliche Interesse erforderlich,
5. e) Übertragung ist für die Stiftung erforderlich, ausüben oder Rechtsansprüche unterstützen,

f) Übertragung ist erforderlich, um die wichtigen Interessen des Themas von Daten oder anderen Personen zu schützen, wenn die betroffene Person nicht über die physische oder rechtliche Fähigkeit verfügt, ihre Zustimmung zu erteilen,

g) Die Übermittlung erfolgt durch ein Register, das nach dem Recht der Union oder eines Mitgliedstaats zur Information der Öffentlichkeit bestimmt ist und das der Öffentlichkeit oder einer Person, die ein berechtigtes Interesse hat, zugänglich ist, Aber nur, wenn die im Gesetz der Union oder das Gesetz des Mitgliedstaates vorgesehenen Bedingungen in jedem Fall erfüllt werden..

Wenn die Übertragung nicht auf dem Artikellayout basieren kann 45 oder 46, Einschließlich der Bestimmungen zu verbindlichen Unternehmensregeln, und keine der Ausfälle für eine besondere Situation, auf die im ersten Unterabsatz dieses Absatzes Bezug genommen wird, Die Übertragung auf ein Drittland oder eine internationale Organisation kann nur durchgeführt werden, wenn die Übertragung nicht wiederholt wird, Es betrifft nur eine begrenzte Anzahl von betroffenen Personen, Es ist für die Zwecke dringender rechtlicher Interessen erforderlich, Basierend auf dieser Schätzung, ordnungsgemäße Garantie zum Schutz der personenbezogenen Daten. Der Controller informiert die Aufsichtsbehörde für die Übertragung. Der Prozessor, Neben der Bereitstellung von Informationen, die in den Artikeln aufgeführt sind 13 und 14, informiert das Thema Daten zur Übertragung und über die dringenden legitimen Interessen verfolgt.

2. Übertragung unter Absatz durchgeführt 1 Erster Absatz z) umfasst nicht alle im Register enthaltenen personenbezogenen Daten oder ganze Kategorien personenbezogener Daten. Wenn das Register nach Informationen von Personen suchen soll, die ein legitimes Interesse haben, Die Übermittlung erfolgt nur auf Antrag dieser Personen oder nur dann, wenn sie Empfänger sein sollen.

4.5.2016 Amtsblatt der Europäischen Union L 119/65

DAS

3. Absatz 1 Elemente des ersten Absatzes a), b) und c) und Absatz 1 Der zweite Unterabsatz gilt nicht für Aktivitäten, die von Behörden bei der Ausübung ihrer öffentlichen Befugnisse durchgeführt werden.

4. Das öffentliche Interesse im Sinne von Absatz 1 Absatz, Punkt d) im Unionsrecht oder das nationale Recht des Mitgliedstaates, in dem anerkannt die Steuerung unterliegt.

5. Absence Angemessenheitsentscheidung, Unionsrechts oder Mitgliedstaat kann, aus schwerwiegenden Gründen des öffentlichen Interesses, explizit sieht Beschränkungen für die Übertragung von besonderen Arten personenbezogener Daten in ein Drittland oder eine internationale Organisation. Die Mitgliedstaaten informieren die relevanten Bestimmungen der Kommission.

6. Der Controller oder der Henker der Verarbeitung registrierte die Schätzung, sowie angemessene Garantien im zweiten Unterabsatz des Absatzes 1 dieser Artikel, In den in dem Artikel aufgeführten Dateien 30.

Artikel 50

Die internationale Zusammenarbeit auf dem Schutz personenbezogener Daten

In Bezug auf Drittstaaten und internationale Organisationen, Die Kommission und die Aufsichtsbehörden treffen geeignete Maßnahmen ergreifen, um:

1. ein) Die Entwicklung von Mechanismen der internationalen Zusammenarbeit, um die wirksame Durchsetzung der Gesetzgebung zum Schutz personenbezogener Daten zu erleichtern,
2. b) Bereitstellung einer internationalen gegenseitigen Unterstützung bei der Durchsetzung von Gesetzgebung für personenbezogene Datenschutzgesetze, Unter anderem durch Kündigung, Übertragung von Beschwerden, Abonnement für Untersuchungen und Informationsaustausch, Vorbehaltlich entsprechender Garantien zum Schutz personenbezogener Daten und anderer Grundrechte und Freiheiten,
3. c) Die Beteiligung der betroffenen interessierten Parteien an Diskussionen und Aktivitäten, die darauf abzielen, die internationale Zusammenarbeit zur Durchsetzung der Gesetzgebung des Rechtsschutzes zu fördern,
4. d) fördert den Austausch und die Dokumentation der Gesetzgebung und Praxis auf dem Schutz personenbezogener Daten, auch in Zuständigkeitskonflikten mit Drittländern.

   KAPITEL VI

   Unabhängige Aufsichtsbehörden

   Abschnitt 1

   Unabhängiges Regime

   Artikel 51

   Aufsichtsbehörde

1. Jeder Mitgliedstaat sorgt dafür, Mit dem Ziel, Grundrechte und Freiheiten natürlicher Personen vor der Verarbeitung zu schützen und die freie Verbreitung personenbezogener Daten in der Gewerkschaft zu erleichtern („Aufsichtsbehörde“).

2. Jede Aufsichtsbehörde trägt zur einheitlichen Anwendung dieser Verordnung in der gesamten Union bei. Für diesen Zweck, Die Aufsichtsbehörden arbeiten mit der Kommission gemäß Kapitel VII zusammen mit der Kommission zusammen.

3. Wenn in einem Mitgliedstaat mehr als ein Aufsichtsgrundsätze eingerichtet sind, dieser Mitgliedstaat die Aufsichtsbehörde, die diese Behörden in der Datenschutzbehörde legt den Mechanismus, um die Einhaltung der anderen Grundsätze mit Regeln für die Kohärenzverfahren gemäß Artikel darstellen 63.

4. Jeder Mitgliedstaat teilt die Kommission über die Bestimmungen, in seinem Recht unter diesem Kapitel festgelegten, zu 25 Mai 2018 und, unverzüglich, eine spätere Änderung.

L 119/66 Amtsblatt der Europäischen Union 4.5.2016

DAS

Artikel 52

Unabhängigkeit

1. Jede Aufsichtsbehörde die Aufgaben erfüllen und die Befugnisse im Rahmen dieser Verordnung in voller Unabhängigkeit ausüben.

2. Das oder die Mitglieder jeder Aufsichtsbehörde ihre Aufgaben und ihre Befugnisse nach Ausübung dieser Verordnung ohne äußere Einflüsse, entweder direkt oder indirekt, und sie werden nicht Weisungen einholen oder entgegen von irgend.

3. Das oder die Mitglieder jeder Aufsichtsbehörde mit ihren Aufgaben jeder Handlung zu unterlassen und unvereinbar, während ihrer Amtszeit, Halten Sie keine inkompatiblen Besetzung, rentabel oder nicht.

4. Jeder Mitgliedstaat stellt sicher, dass jeder Vorgesetzte die notwendigen menschlichen hat, technisch und finanzielle Mittel und die notwendigen Einrichtungen und Infrastruktur für die effektive Wahrnehmung der Aufgaben und Ausübung ihrer Befugnisse, einschließlich derjenigen, die im Rahmen der Rechtshilfe ausgeübt werden, Zusammenarbeit und Mitarbeit im Datenschutzrat.

5. Jeder Mitgliedstaat stellt sicher, dass jeder Betreuer wählt und hat seine eigene Mitarbeiter, die ausschließlich durch den oder die Mitglieder der Aufsichtsbehörde verwaltet werden betroffen.

6. Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde einer Finanzkontrolle unterliegt, die ihre Unabhängigkeit nicht beeinträchtigt, und hat eine separate, öffentliche Jahreshaushalte, die Teil des gesamten Staats- oder Staatshaushalts sein können.

Artikel 53

Allgemeine Bedingungen für Mitglieder der Aufsichtsbehörde

1. Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden in einem transparenten Verfahren von ernannt wird: – ihr Parlament,
– ihre Regierung,
— ihr Staatsoberhaupt oder

- unabhängige Stelle beauftragt, nach dem Recht des Mitgliedstaates, Termin.

2. Jedes Mitglied hat, insbesondere im Bereich des Datenschutzes, Qualifikationen, die Erfahrungen und Fähigkeiten erforderlich, um die Aufgaben und zur Ausübung der Befugnisse des auszuführen.

3. Mit Ablauf der Amtszeit enden die Aufgaben eines Mitglieds, Rücktritt oder Zwangspensionierung, nach dem Recht des betreffenden Mitgliedstaats.

4. Die Abberufung eines Mitglieds ist nur bei schwerwiegender Verfehlung oder bei Wegfall der für die Ausübung seines Amtes erforderlichen Voraussetzungen möglich.

Artikel 54

Regeln zur Einrichtung der Aufsichtsbehörde

1. Jeder Mitgliedstaat sieht gesetzlich alle folgenden Angaben vor: ein) Die Einrichtung einer Aufsichtsbehörde,

4.5.2016

Amtsblatt der Europäischen Union L 119/67

DAS

b) c) d)

e) f)

die Qualifikationen und Zulassungsvoraussetzungen, die für die Ernennung eines Mitglieds jeder Aufsichtsbehörde erforderlich sind,

Regeln und Verfahren für die Ernennung des Mitglieds oder Mitglieder einer Aufsichtsbehörde,

die Amtszeit des Mitglieds oder Mitglieder einer Aufsichtsbehörde, Das ist nicht weniger als vier Jahre, mit Ausnahme des ersten Termin nach 24 Mai 2016, Ein Teil davon kann eine kürzere Zeit betreffen, wenn es notwendig ist, die Unabhängigkeit der Aufsichtsbehörde durch einen Prozess von Teilernen zu schützen,

Ob und für wie viele Bedingungen des Mitglieds oder der Mitglieder jeder Aufsichtsbehörde haben Anspruch auf Re -establishment,

die Bedingungen, die die Pflichten des Mitglieds oder der Mitglieder und Mitarbeiter jeder Aufsichtsbehörde regeln, das Verbot von Handlungen, berufliche Tätigkeiten und Leistungen, die mit diesen Pflichten nicht vereinbar sind, Sowohl während als auch nach der Amtszeit, sowie die Regelungen zur Beendigung des Arbeitsverhältnisses.

2.
Mitgliedsstaat, vom Berufsgeheimnis während und nach der Amtszeit, in Bezug auf vertrauliche Informationen, die ihnen im Rahmen der Wahrnehmung ihrer Aufgaben oder Befugnisse bekannt geworden sind. Während ihrer Amtszeit, diese Verpflichtung zur Wahrung des Berufsgeheimnisses gilt insbesondere für die Meldung von Verstößen gegen diese Verordnung durch natürliche Personen.

Abschnitt 2

Kompetenz, Pflichten und Befugnisse

Artikel 55

Kompetenz

1. Jede Aufsichtsbehörde ist für die Erfüllung der ihr gemäß dieser Verordnung übertragenen Aufgaben und Befugnisse im Hoheitsgebiet ihres Mitgliedstaats zuständig.

2. Wenn die Verarbeitung durch Behörden oder private Stellen erfolgt, die auf der Grundlage von Art 6 Absatz 1 Element c) oder e), Zuständig ist die Aufsichtsbehörde des jeweiligen Mitgliedsstaates. In diesen Fällen findet der Artikel keine Anwendung 56.

3. Aufsichtsbehörden sind nicht befugt, Verarbeitungsvorgänge zu kontrollieren, die von Gerichten in ihrem Zuständigkeitsbereich durchgeführt werden.

Artikel 56

Zuständigkeit der federführenden Aufsichtsbehörde

1. Ungeachtet des Artikels 55, die Aufsichtsbehörde der Haupt- oder einzigen Niederlassung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters ist zuständig, als federführende Aufsichtsbehörde für die grenzüberschreitenden Verarbeitungsvorgänge des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 2 zu fungieren 60.

2. Durch Ausnahme des Absatzes 1, Jede Aufsichtsbehörde ist dafür zuständig, eine eingereichte Beschwerde zu prüfen oder einen möglichen Verstoß gegen diese Verordnung zu behandeln, Wenn das Objekt nur die Installation im betreffenden Mitgliedstaat betriff.

3. Im Fall von Absatz 2 dieser Artikel, Die Aufsichtsbehörde informiert unverzüglich über diese Aufsichtsbehörde zur Aufsichtsbehörde. Innerhalb von drei Wochen nach dem Update, Der Leiter der Aufsichtsbehörde entscheidet, ob er im Prozess des Artikels mit dem Fall umgehen soll 60, Angesichts der Tatsache, ob es eine Installation des Editor -In -Tiefs oder des Henkers vorliegt oder nicht, der im Mitgliedstaat der Aufsichtsbehörde verarbeitet wird, die es informiert haben.

Mitglieder oder Mitglieder und Mitarbeiter einer Aufsichtsbehörde werden begangen, gemäß dem Gesetz der Union oder

L 119/68 Amtsblatt der Europäischen Union 4.5.2016

DAS

4. Für den Fall, dass der Leiter der Aufsichtsbehörde beschließt, sich mit dem Fall zu befassen, Das im Artikel vorgesehene Verfahren wird angewendet 60. Die Aufsichtsbehörde, die den Leiter der Aufsichtsbehörde informiert hat. Die Hauptaufsichtsbehörde berücksichtigt diesen Plan bei der Ausarbeitung des in Artikel 1 genannten Entscheidungsentwurfs besonders 60 Absatz 3.

5. Sollte der Chef Supervisor entscheidet, den Fall nicht hören, Die Aufsichtsbehörde, die die Aufsichtsbehörde informiert hat, behandelt die Angelegenheit gemäß den Artikeln 61 und 62.

6. Der Leiter der Aufsichtsbehörde ist der einzige Gesprächspartner des Herausgebers oder der Exekutive.

Artikel 57

Aufgaben

1. Vorbehaltlich anderer Aufgaben in dieser Verordnung, Jede Aufsichtsbehörde in ihrem Territorium:

1. ein) überwacht und verhängt die Anwendung dieser Verordnung auf,
2. b) fördert das öffentliche Bewusstsein und das Verständnis für Risiken, der Regeln, Bearbeitungsgarantien und Rechte. Besonderes Augenmerk wird auf Aktivitäten zurückgeführt, die speziell an Kinder gerichtet sind,
3. c) berät, nach dem Recht des Mitgliedstaates, Das Nationale Parlament, Die Regierung und andere Stellen und Organisationen für gesetzgeberische und administrative Maßnahmen im Zusammenhang mit dem Schutz der Rechte und Freiheiten der natürlichen Personen gegen die Verarbeitung,
4. d) Es fördert das Bewusstsein der Verarbeitungsmanager und der Führungskräfte für die Verarbeitung ihrer Verpflichtungen nach dieser Verordnung,
5. e) auf Wunsch, Informationen für betroffene Personen über die Ausübung ihrer Rechte aus dieser Verordnung bereitstellen und, möglicherweise, kooperiert zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten,

f) bearbeitet Beschwerden, die von der betroffenen Person oder von einer Einrichtung oder Organisation oder Vereinigung gemäß Artikel eingereicht wurden 80 und untersucht, soweit angemessen, Gegenstand der Beschwerde und informiert den Beschwerdeführer über den Fortschritt und das Ergebnis der Untersuchung innerhalb einer angemessenen Zeit, insbesondere, wenn die weitere Forschung oder Koordination mit anderer Aufsichtsbehörde,

6. g) wirkt zusammen, unter anderem durch den Austausch von Informationen, mit anderen Aufsichtsbehörden und unterstützt andere Aufsichtsbehörden gegenseitig, um die Kohärenz der Anwendung und Durchsetzung dieser Verordnung zu gewährleisten,
7. die) führt Umfragen zur Anwendung dieser Verordnung durch, Unter anderem basierend auf Informationen, die von einer anderen Aufsichtsbehörde oder einer anderen öffentlichen Behörde erhalten wurden,
8. ich) überwacht die relevanten Entwicklungen, In dem Maße, in dem sie sich auf den Schutz personenbezogener Daten auswirken, Insbesondere die Entwicklungen von Technologien für Informations- und Kommunikation sowie kommerzielle Praktiken,
9. ich) legt Standard -konventionelle Klauseln des Artikels fest 28 Absatz 8 und Artikel 46 Absatz 2 Element d),

226. Ia) Erstellt und behält ein Verzeichnis in Bezug auf die Anforderung für die Folgenabschätzung des Datenschutzes im Rahmen des Artikels auf 35 Absatz 4,
227. Ib) Bietet Tipps zu Artikelverarbeitungsvorgängen 36 Absatz 2,
228. M) Ermutigt Ethik -Codes Codes gemäß dem Artikel 40 Absatz 1 und drückt eine Meinung aus und genehmigt solche Ethikkodizes, die ausreichende Garantien liefern, Nach dem Artikel 40 Absatz 5,
229. n) Ermutigt die Einrichtung von Datenschutzzertifizierungsmechanismen sowie Datenschutzstempeln und -marken gemäß Artikel 42 Absatz 1 und genehmigt Zertifizierungskriterien gemäß dem Artikel 42 Absatz 5,
230. ICH) gegebenenfalls, führt eine regelmäßige Überprüfung der in Übereinstimmung mit dem Artikel ausgestellten Zertifizierungen durch 42 Absatz 7,

4.5.2016 Amtsblatt der Europäischen Union L 119/69

DAS

Ps) Entwürfe und veröffentlicht die Carrier -Akkreditierungskriterien für die Überwachung der Ethik -Codes gemäß dem Artikel 41 und Zertifizierungsbehörde nach dem Artikel 43,

231. Q) führt eine Akkreditierung der Fluggesellschaften durch, um Ethik -Codes gemäß dem Artikel zu überwachen 41 und Zertifizierungsbehörde nach dem Artikel 43,
232. ICH H) Ermöglicht konventionelle Klauseln und Bestimmungen des Artikels 46 Absatz 3,
233. Pho) genehmigt verbindliche Unternehmensregeln im Rahmen des Artikels 47,

k) trägt zu den Aktivitäten des Datenschutzrates bei,

251. Und) Bewahren Sie interne Dateien der Verstöße dieser Verordnung und die gemäß dem Artikel ergriffenen Maßnahmen auf 58 Absatz 2, und
252. KB) ekplironeikatheallokathikonschetikometinprostasiadedomenonprosopikoucharaktira.

2. Jeder Supervisor erleichtern die Einreichung von Beschwerden im Sinne des Absatzes 1 f) durch Maßnahmen wie das Beschwerdeformular, das auch elektronisch abgeschlossen werden kann, ohne andere Kommunikationsmittel auszuschließen.

3. Jede Aufsichtsbehörde erfüllt ihre Pflichten, ohne die betroffene Person zu belasten und, gegebenenfalls, Für den Datenschutzbeauftragten.

4. Wenn die Anfragen offensichtlich unbegründet oder übermäßig sind, vor allem wegen ihres wiederholten Charakters, Die Aufsichtsbehörde kann eine angemessene Gebühr für Verwaltungskosten oder zu verweigern, zu reagieren auf die Anforderung verhängen. Die Aufsichtsbehörde trägt die Beweislast des offensichtlichen unbegründeten oder übermäßigen Charakters der Anfrage.

Artikel 58

Kräfte

1. Jede Kontrollbehörde hat alle folgenden Forschungsbefugnisse:

1. ein) Bestellen Sie den Controller und die Ausführung der Verarbeitung und, wo es einen Fall gibt, an den Vertreter des Prozessors oder der Exekutive, um die Verarbeitung von Informationen zur Verfügung zu stellen,
2. b) Führen Sie Umfragen in Form von Kontrollen durch, um Daten zu schützen,
3. c) Überprüfen Sie die in Übereinstimmung mit dem Artikel ausgestellten Zertifizierungen 42 Absatz 7,
4. d) benachrichtigen Sie den Controller oder den Prozessor für angebliche Verstöße gegen diese Verordnung,
5. e) zu erwerben, durch den Controller und die durchgeführte Verarbeitung, Zugang zu allen personenbezogenen Daten und alle Informationen, die zur Erfüllung seiner Aufgaben,

f) haben Zugriff auf den Controller-Einrichtungen und einem Prozessor, einschließlich aller Geräte und Datenverarbeitungsmittel, nach dem Verfahrensrecht der Union oder einem Mitgliedstaat.

2. Jede Behörde hat alle folgende Korrekturstärken:

1. ein) Ausgabe Warnungen an den Controller oder dem Prozessor, der beabsichtigten Verarbeitungsvorgänge geeignet sind, die Bestimmungen dieser Verordnung verstoßen,
2. b) zum Thema Abmahnungen an die Steuerung oder den Prozessor, wenn haben Verarbeitungen Bestimmungen dieser Verordnung verstoßen,
3. c) den Controller oder den Prozessor anweisen, mit den Wünschen der betroffenen Person zur Ausübung seiner Rechte im Rahmen dieser Verordnung nachzukommen,,

L 119/70 d)

e)

f) g)

die)

ich)

ich) 3. ein)

b)

c)

d) e) f) g)

die) ich) ich)

Amtsblatt der Europäischen Union 4.5.2016

den Controller oder den Prozessor anweisen, die Verarbeitungsoperationen mit den Bestimmungen dieser Verordnung entsprechen zu machen, notfalls, eine gewisse Art und Weise und innerhalb einer bestimmten Frist,

anweisen, den Controller die Verletzung personenbezogener Daten an die betroffene Person zu benachrichtigen,

eine vorübergehende oder dauerhafte Einschränkung auferlegen, einschließlich das Verbot der Verarbeitung,

eine Berichtigung oder Löschung von personenbezogenen Daten oder der Beschränkung der Behandlung gemäß den Artikeln zu befehlen 16, 17 und 18 und Befehls Meldung solcher Maßnahmen an die Empfänger, denen die personenbezogenen Daten gemäß Artikel mitgeteilt 17 Absatz 2 und Artikel 19,

das Zertifikat zurücktreten oder die Zertifizierungsstelle bestellen ein Zertifikat ausgestellt gemäß den Artikeln zurückzutreten 42 und 43 oder Auftrag kann die Zertifizierungsstelle nicht Zertifizierung ausstellen, vorausgesetzt, dass die Zertifizierungsanforderungen nicht erfüllt sind oder nicht mehr erfüllt sind,

ein Bußgeld gemäß Artikel verhängen 83, Neben oder anstelle der genannten Maßnahmen in diesem Absatz, je nach den Umständen des Einzelfalls,

anweisen, Datenverkehr an den Empfänger in einem Drittland oder einer internationalen Organisation aussetzen. Jede Aufsichtsbehörde haben alle folgende Lizenz- und Beratungsbefugnisse:

beraten die Steuerung nach der vorherigen Konsultation gemäß Artikel 36,

Ausgabe, auf eigene Initiative oder auf Anfrage, Meinungen zum nationalen Parlament, die Landesregierung oder, nach dem Recht des Mitgliedstaates, In den anderen Organen und Einrichtungen, sowie für die Öffentlichkeit, in allen Fragen zum Schutz personenbezogener Daten,

erlauben die Verarbeitung gemäß Artikel 36 Absatz 5, wenn der betreffende Mitgliedstaat verlangt Recht, dass eine vorherige Genehmigung,

zur Abgabe von Stellungnahmen zu Entwürfen von Verhaltenskodizes und genehmigen diese Projekte nach Artikel 40 Absatz 5,

bieten Akkreditierung Zertifizierungsstellen gemäß Artikel 43,

zur Erteilung von Bescheinigungen und Zulassungskriterien gemäß Artikel genehmigen 42 Absatz 5,

Genehmigung von Standarddatenschutzklauseln des Artikels 28 Absatz 8 und Artikel 46 Absatz 2 Element d),

konventionelle Klauseln des Artikels zuzulassen 46 Absatz 3 Punkt a),
Verwaltungsvereinbarungen, die im Artikel aufgeführt sind 46 Absatz 3 b), genehmigen verbindliche unternehmensinterne Regeln gemäß Artikel 47.

DAS

4.
einen effektiven gerichtlichen Rechtsschutz einschließlich und die Einhaltung des rechtlichen Gehörs, wie nach dem Unionsrecht und das Recht der Mitgliedstaaten im Einklang mit der Charta vorgesehene.

Die Ausübung der Aufsichtsbehörde ihrer Befugnisse gemäß diesem Artikel wird vorbehaltlich angemessene Garantien sein,

5. Jeder Mitgliedstaat sieht gesetzlich vor, gegebenenfalls, zu initiieren oder daran teilnehmen’ sonst in Gerichtsverfahren, die Bestimmungen dieser Verordnung durchzusetzen.

6. Jeder Mitgliedstaat sieht gesetzlich vor 1, 2 und 3. Die Ausübung dieser Befugnisse wirkt sich nicht auf den wirksamen Betrieb von Kapitel VII aus.

Artikel 59

Aktivitätsberichte

Jede Aufsichtsbehörde erstellt einen Jahresbericht über ihre Aktivitäten, die eine Liste der Arten von gemeldeten Unregelmäßigkeiten und die Art der Maßnahmen nach Artikel umfassen kann 58 Absatz 2. Diese Berichte werden dem Nationalen Parlament vorgelegt, die Regierung und andere Behörden, Wie durch das Gesetz des Mitgliedstaats definiert. Wird der Öffentlichkeit zur Verfügung stehen, die Kommission und der Datenschutzrat.

4.5.2016

Amtsblatt der Europäischen Union

L 119/71

DAS

KAPITEL VII

Zusammenarbeit und Konsistenz

Abschnitt 1

Zusammenarbeit

Artikel 60

Zusammenarbeit zwischen dem Leiter der Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden

1.
Zweck, Konsens zu erzielen. Der Leiter der Überwachungsbehörde und die Aufsichtsbehörden tauschen jede relevante Informationen miteinander aus.

2. Der Leiter der Aufsichtsbehörde kann jederzeit andere interessierte Aufsichtsbehörden auffordern, gegenseitige Unterstützung im Rahmen des Artikels zu leisten 61 und kann führen gemeinsame Operationen gemäß Artikel 62, insbesondere auf Anfragen oder zur Überwachung der Umsetzung einer Maßnahme in Bezug auf Daten-Controller oder Prozessor durchführen wird, in einem anderen Mitgliedstaat.

3. Die Hauptaufsicht zuständige Behörde unverzüglich die entsprechenden Informationen zu diesem Thema in anderen Aufsichtsbehörden kommunizieren. Gibt anderen interessierten Vorgesetzten einen Entscheidungsentwurf vor, um die Meinung zu formulieren und ihre Ansichten ordnungsgemäß zu beziehen.

4. Wenn eine der anderen Aufsichtsbehörden, innerhalb von vier Wochen nach Befassung, gemäß Absatz 3 dieser Artikel, zeigt relevante und Einwände gegen den Entwurf einer Entscheidung mit Gründen versehenen, der Chef Supervisor, wenn nicht gefolgt relevant und begründete Einwand oder die Auffassung, dass der Einwand nicht relevant ist oder gerechtfertigt, Verweisen Sie die Angelegenheit auf den in Artikel genannten Kohärenzmechanismus 63.

5. Wenn die Aufsichtsbehörde beabsichtigt, dem relevanten und begründeten Einwand zu folgen, Die anderen Aufsichtsbehörden haben einen Entscheidungsplan überarbeitet, um ihre Meinung zu äußern. Dieser überarbeitete Entscheidungsentwurf unterliegt dem in Absatz 1 genannten Verfahren 4, innerhalb von zwei Wochen.

6. Hat keine der anderen betroffenen Aufsichtsbehörden Einwände gegen den Entscheidungsentwurf der obersten Aufsichtsbehörde innerhalb der in den Absätzen genannten Frist erhoben? 4 und 5, Es wird davon ausgegangen, dass die oberste Aufsichtsbehörde und die betreffenden Aufsichtsbehörden mit und einverstanden sind.

7. Die oberste Aufsichtsbehörde erlässt die Entscheidung und teilt sie dem Auftraggeber mit oder, in Anbetracht, Die einzige Installation des Verarbeitungsmanagers oder der Verarbeitung der Verarbeitung und informiert die anderen Aufsichtsbehörden und des Data Protection Council für diese Entscheidung, Bereitstellung von Zusammenfassung der Tatsachen und rechtlichen Ansprüche. Die Aufsichtsbehörde, der die Beschwerde eingereicht wurde, informiert den Beschwerdeführer über die Entscheidung.

8. Durch Ausnahme des Absatzes 7, Wenn eine Beschwerde als inakzeptabel oder abgelehnt angesehen wurde, die Aufsichtsbehörde, auf die die Beschwerde eingereicht wurde trifft eine Entscheidung,, die Antragsteller benachrichtigen und die Datencontroller informieren.

9. Wenn der Chef Supervisor und die Aufsichtsbehörden zustimmen zu halten unannehmbar oder ablehnen Teile einer Beschwerde und wirken auf andere Teile der gleichen Beschwerde, Für jeden dieser Abschnitte wird eine separate Entscheidung getroffen. Der Leiter der Überwachungsbehörde gibt die Entscheidung über die Abteilung über Maßnahmen des Herausgebers -in -Schiefes aus, Es benachrichtigt es der Haupt- oder einzige Installation des Verarbeitungsmanagers oder der Führungskraft auf das Gebiet des betreffenden Mitgliedstaats und informiert den Beschwerdeführer darüber, Während die Überwachungsbehörde des Beschwerdeführers die Entscheidung in der Abteilung über die inakzeptable oder Ablehnung dieser Beschwerde ausgibt und diesem Beschwerdeführer den Controller oder den Henker der Verarbeitung informiert.

10. Nach der Benachrichtigung der Entscheidung des Leiters der Aufsichtsbehörde gemäß den Absätzen 7 und 9, Der Controller oder der Henker unternehmen die erforderlichen Schritte, um die Einhaltung der Entscheidung über die Verarbeitung von Aktivitäten in allen seinen Einrichtungen in der Gewerkschaft sicherzustellen. Die Steuerung oder der Prozessor wird die Maßnahmen in Verbindung mit dem Urteil Chef Vorgesetzten nicht befolgt, die unterrichtet die anderen Aufsichtsbehörden informieren.

Der Leiter der Aufsichtsbehörde mit anderen Aufsichtsbehörden in Übereinstimmung mit diesem Artikel zusammenarbeiten

L 119/72 Amtsblatt der Europäischen Union 4.5.2016

DAS

11. ob, In Notfällen, eine Aufsichtsbehörde hat Grund zu der Annahme, dass es dringend notwendig, Maßnahmen ist es, die Interessen der betroffenen Personen zu schützen, Wenden Sie das Dringlichkeitsverfahren gemäß Artikel 66.

12. Der Leiter der Aufsichtsbehörde und die anderen Aufsichtsbehörden geben den nach diesem Artikel erforderlichen Informationen einer anderen Behörde mit elektronischen Mitteln die Informationen zur Verfügung, Verwenden eines Standardformats.

Artikel 61

Gegenseitige Unterstützung

1. Die Aufsichtsbehörden stellen sich gegenseitig relevante Informationen und gegenseitige Abonnements zur Verfügung, diese Verordnung in einer kohärenten Weise umzusetzen und umzusetzen, und setzen Maßnahmen für ihre wirksame Zusammenarbeit. Gegenseitige Abonnementabdeckungen, insbesondere, Anfragen nach Informations- und Kontrollmaßnahmen, Zum Beispiel Anfragen nach früheren Konsultationen und Genehmigungen, Überprüfungen und Umfragen.

2. Jede Aufsichtsbehörde ergreift alle geeigneten Maßnahmen, die erforderlich sind, um auf einen Antrag auf eine andere Aufsichtsbehörde und schließlich einen Monat nach Eingang des Antrags zu beantworten. Diese Maßnahmen können umfassen, insbesondere, Die Übertragung relevanter Informationen zur Untersuchung.

3. Abonnementanfragen enthalten alle erforderlichen Informationen, unter ihnen den Zweck und die Gründe für die Einreichung der Anfrage. Die ausgetauschten Informationen werden nur für den Zweck verwendet, für den sie angefordert wurden.

4. Aufsichtsbehörde, in der der Antrag nicht geweigert wurde, die Anfrage zu erfüllen, Nur wenn:

ein) ist nicht verantwortlich für das Objekt der Anfrage oder für die Durchführung von Maßnahmen oder

b) Die Einhaltung des Antrags würde gegen diese Regulierung, das Gesetz oder das Gesetz des Mitgliedstaates verstoßen, für das die Aufsichtsbehörde dem Antrag auf Anfrage unterliegt.

5. Die Aufsichtsbehörde, der der Antrag gestellt wurde, angemessen, Für den Fortschritt der Maßnahmen, die ergriffen wurden, um auf die Anfrage zu reagieren. Die Aufsichtsbehörde zu dem der Antrag der Gründe für die Verweigerung zu erklären, ein Ersuchen nach Absatz nachzukommen 4.

6. Die Aufsichtsbehörden einen Antrag Bereitstellung, in der Regel, die Informationen, die von anderen Aufsichtsbehörden auf elektronischen Weg aufgefordert, Verwenden eines Standardformats.

7. Aufsichtsbehörden, die eingereicht wurden. Die Aufsichtsbehörden können Regeln im Zusammenhang mit der Entschädigung für bestimmte Ausgaben zustimmen, die sich aus der Bereitstellung eines gegenseitigen Abonnements auf hervorragende Umstände ergeben.

8. Wenn eine Aufsichtsbehörde die genannten Absätze nicht bereitstellt 5 Von diesem Artikel Informationen innerhalb eines Monats nach Erhalt der Anfrage nach einer anderen Aufsichtsbehörde, Die von dem Antrag vorgelegte Überwachungsbehörde kann eine vorübergehende Maßnahme im Gebiet des Mitgliedstaats festlegen, zu dem sie dem Artikel angehört 55 Absatz 1. In diesem Fall, Es besteht ein dringender Handlungsbedarf gemäß Artikel 66 Absatz 1 und eine dringende verbindliche Entscheidung des Datenschutzrates ist erforderlich, Nach dem Artikel 66 Absatz 2.

9. Die Kommission kann, durch Exekutivakte, Bestimmen Sie die Formatierung und Verfahren für das in diesem Artikel aufgeführte gegenseitige Abonnement und die Vereinbarungen für den Informationsaustausch durch elektronische Medien zwischen Prüfungsbehörden und zwischen Prüfungsbehörden und dem Datenrat, Insbesondere das im Absatz erwähnte Standardformat 6 dieser Artikel. Diese Exekutivgesetze werden gemäß dem Artikelprüfungsverfahren ausgestellt 93 Absatz 2.

Artikel 62

Gemeinsame Kontrollbehörden

1. Aufsichtsbehörden führen aus, bei Bedarf, Joint Ventures, Unter anderem gemeinsame Umfragen und gemeinsame Auferlegung von Maßnahmen, Einbeziehung von Mitgliedern oder Mitarbeitern durch Aufsichtsbehörden anderer Mitgliedstaaten.

4.5.2016 Amtsblatt der Europäischen Union L 119/73

DAS

2. Wenn der Controller oder der Henker in vielen Mitgliedstaaten festgelegt wird oder in Fällen, in denen eine erhebliche Anzahl von betroffenen Personen in mehr als einem Mitgliedstaaten durch Verarbeitungsgesetze erheblich beeinflusst werden kann, Eine Aufsichtsbehörde aus jedem dieser Mitgliedstaaten ist berechtigt, an den Joint Ventures teilzunehmen. Die nach Artikel zuständige Aufsichtsbehörde 56 Absatz 1 oder 4, Aufrufe der Aufsichtsbehörden jeder dieser Mitgliedstaaten, an Joint Ventures teilzunehmen, und auf die Anfrage nach einer Aufsichtsbehörde zur Teilnahme antworten.

3. Aufsichtsbehörde Mai, In Übereinstimmung mit dem Gesetz des Mitgliedstaats und der Genehmigung der Secondment Authority, Befugnisse zu vergeben, Einschließlich Forschungsmächte, an die an gemeinsamen Unternehmen beteiligten Mitglieder oder Mitarbeiter der Postaufsichtsbehörde oder, wenn das Recht des Mitgliedstaats der Aufnahmeaufsichtsbehörde dies zulässt, Erlauben Sie Mitgliedern oder Beamten der Postaufsichtsbehörde, ihre Ermittlungsbefugnisse gemäß dem Recht des Mitgliedstaats der Postaufsichtsbehörde auszuüben. Diese Ermittlungsbefugnisse dürfen nur unter Anleitung und Anwesenheit von Mitgliedern oder Beamten der aufnehmenden Aufsichtsbehörde ausgeübt werden.. Mitglieder oder Mitarbeiter der Aufsichtsbehörde Entsendung unterliegt das Recht des Mitgliedstaates des Host-Supervisor.

4. wenn, gemäß Absatz 1, Das Personal der Postaufsichtsbehörde ist in einem anderen Mitgliedstaat tätig, Der Mitgliedstaat der Aufnahmeaufsichtsbehörde übernimmt die Verantwortung für ihre Handlungen, einschließlich, dass über jeden während der Aktivitäten verursachten Schadens dort, nach dem Mitgliedstaat, in dessen Gebiet die Handlung.

5. Der Mitgliedstaat in dem Gebiet, in dem der Schaden unter den Bedingungen für den von seinen Mitarbeitern verursachten Schaden wiederhergestellt wird. Der Mitgliedstaat der Aufsichtsbehörde veröffentlichen, deren Mitarbeiter haben Schäden an Personen im Gebiet eines anderen Mitgliedstaat zurückkehrt verursacht diesen anderen Mitgliedstaat alle an den Begünstigten gezahlten Beträge.

6. Unbeschadet der Ausübung seiner Rechte gegenüber Dritten und in’ Abweichend von Absatz 5, jeder Mitgliedstaat verzichten, im Falle des Absatzes 1, die Fähigkeit, einen anderen Mitgliedstaat Schadenersatz zu verlangen, gemäß Absatz zu 4.

7. Wenn das Joint Venture durchgeführt werden soll, und eine Aufsichtsbehörde entspricht nicht innerhalb eines Monats mit der Verpflichtung, im zweiten Satz des Absatzes festgelegten 2 dieser Artikel, andere Aufsichtsbehörden eine vorläufige Maßnahme auf dem Gebiet des Mitgliedstaats, die gemäß Artikel fallen adoptieren 55. In diesem Fall, Es besteht ein dringender Handlungsbedarf gemäß Artikel 66 Absatz 1 und erforderliche dringende Stellungnahme oder eine verbindliche Entscheidung des Datenschutzrates gemäß Artikel 66 Absatz 2.

Abschnitt 2

Hartnäckigkeit

Artikel 63

Konsistenz Mechanismus

Um einen Beitrag zur kohärenten Anwendung dieser Verordnung in der gesamten Union, Aufsichtsbehörden zusammenarbeiten und, notfalls, die Kommission, durch die Kohärenzverfahren wie in diesem Abschnitt zur Verfügung gestellt.

Artikel 64

Stellungnahme des Rates

1. Der Rat gibt eine Stellungnahme aus, wenn eine zuständige Aufsichtsbehörde beabsichtigt, eine der folgenden Maßnahmen zu ermitteln. Zu diesem Zweck, Die zuständige Aufsichtsbehörde kündigt dem Rat den Entscheidungsplan an, wann:

1. ein) zielt darauf ab, eine Liste von Verarbeitungsvorgängen zu genehmigen, für die eine Folgenabschätzung zum Datenschutz gemäß Artikel erforderlich ist 35 Absatz 4,
2. b) betrifft ein Problem gemäß Artikel 40 Absatz 7 ob ein Entwurf eines Verhaltenskodex oder eine Änderung oder Erweiterung eines Verhaltenskodex dieser Verordnung entspricht,

L 119/74 c)

d)

e) f)

Amtsblatt der Europäischen Union 4.5.2016

Es sucht die Zustimmung der Einheit Zulassungskriterien gemäß Artikel 41 Absatz 3 oder Zertifizierungsstelle gemäß Artikel 43 Absatz 3,

Es zielt darauf ab, die im Artikel aufgeführten Standarddatenschutzklauseln zu bestimmen 46 Absatz 2 Element d) und im Artikel 28 Absatz 8,

zielte darauf ab, die konventionelle Rhetorik des Artikels zu genehmigen 46 Absatz 3 Punkt a) oder soll verbindliche Unternehmensregeln im Sinne des Artikels erlassen 47.

DAS

2.
von einer allgemeinen Anwendung oder Themen Themen, die Ergebnisse in mehr als einem Mitgliedstaaten aus dem Data Protection Council erzeugen, zum Zweck der Ausgabe einer Stellungnahme, Insbesondere wenn die zuständige Aufsichtsbehörde nicht auf die Verpflichtungen der gegenseitigen Unterstützung gemäß dem Artikel beschränkt ist 61 oder über Joint Ventures gemäß dem Artikel 62.

3. In Fällen, die in Absätzen genannt werden 1 und 2, Der Data Protection Council gibt eine Stellungnahme zu dem ihm vorgelegten Thema aus, Wenn er noch keine Stellungnahme zum selben Thema abgegeben hat. Diese Stellungnahme wird innerhalb von achtwöchiger Frist mit einer einfachen Mehrheit der Mitglieder des Datenschutzrates veröffentlicht. Diese Frist kann um sechs weitere Wochen verlängert werden, Angesichts der Komplexität des Subjekts. Wie für den in Absatz genannten Entscheidungsplan 1 und wird den Mitgliedern des Verwaltungsrates gemäß dem Absatz mitgeteilt 5, Ein Mitglied, das nicht innerhalb einer vom Vorsitzenden festgelegten angemessenen Frist Einwände erhoben hat, stimmt dem Entscheidungsentwurf zu.

4. Die Aufsichtsbehörden und die Kommission, ohne ungerechtfertigte Verzögerung, Sie kündigen elektronisch an, Verwenden eines Standardformats, Im Data Protection Council alle relevanten Informationen, einschließlich, angemessen, der Synopse der Tatsachen, des Entscheidungsplans, die Gründe, warum die Anwendung dieser Maßnahme erforderlich ist, und die Ansichten anderer betroffener Aufsichtsbehörden.

5. ein)

b)

Der Präsident des Data Protection Council meldet elektronische Weise:

Mitglieder des Data Protection Council und der Kommission für relevante Informationen, die ihm bekannt gegeben wurden, Verwenden eines Standardformats. Das Sekretariat des Data Protection Council liefert Übersetzungen relevanter Informationen, notfalls, und

Die Aufsichtsbehörde bezog sich auf, angemessen, In den Absätzen 1 und 2, sowie der Ausschuss in Bezug auf die Meinung, und sie macht sie öffentlich zu ihr.

Jede Aufsichtsbehörde, Der Vorsitzende des Data Protection Council oder der Kommission kann die Prüfung beantragen

6.
bezieht sich auf den Absatz 3.

Die zuständige Aufsichtsbehörde genehmigt den in Absatz genannten Entscheidungsplan nicht 1 innerhalb der Frist

7. Die Aufsichtsbehörde, auf die in Absatz erwähnt wird 1 Nimmt insbesondere die Meinung des Data Protection Council und ein, Innerhalb von zwei Wochen nach Erhalt der Meinung, Kündigt dem Präsidenten des Data Council mit elektronischen Mitteln bekannt, Wenn es einen Fall von gibt, der geänderte Entscheidungsplan, Verwenden eines Standardformats.

8. Wenn die betroffene Aufsichtsbehörde den Präsidenten des Data Protection Council informiert, Innerhalb der in Absatz genannten Frist 7 dieser Artikel, dass er nicht beabsichtigt, der Meinung des Datenschutzrates zu folgen, in seiner Gesamtheit oder teilweise, Durch Bereitstellung der relevanten Argumentation, Der Artikel wird angewendet 65 Absatz 1.

Artikel 65

Streitbeilegung durch den Datenschutzrat

1. Um die korrekte und kohärente Anwendung dieser Verordnung im Einzelfall zu gewährleisten, Der Data Protection Council tritt in den folgenden Fällen eine verbindliche Entscheidung aus:

ein) wann, Im Fall des in dem Artikel genannten Artikel 60 Absatz 4, die Aufsichtsbehörde eine relevante und begründete Einwand gegen den Entwurf eines Beschluss des Hauptprinzips oder Chef Behörde hat besorgt hat diese Rüge als irrelevant oder mit Gründen versehenen. Die verbindliche Entscheidung über alle Angelegenheiten, die Gegenstand der mit Gründen versehenen Einwände sind, vor allem, wenn es ein Verstoß gegen diese Verordnung,

4.5.2016 b)

c)

Amtsblatt der Europäischen Union L 119/75

wenn es widersprüchliche Ansichten darüber gibt, welche der betroffenen Aufsichtsbehörden für die Hauptniederlassung verantwortlich ist,

Wenn eine kompetente Aufsichtsbehörde die Stellungnahme des Datenschutzrates in Fällen, die im Artikel genannt wurden, nicht beantragt 64 Absatz 1 oder folgt nicht der Stellungnahme des Datenschutzrates, der im Rahmen des Artikels herausgegeben wurde 64. In diesem Fall, jede betroffene Aufsichtsbehörde oder die Kommission kann die Angelegenheit an die Datenschutzbehörde kommunizieren.

DAS

2.
zwei Drittel der Datenschutzbehörde. Diese Frist kann um einen weiteren Monat verlängert werden, Aufgrund der Komplexität des Objekts. Der in Absatz genannte 1 Die Entscheidung ist gerechtfertigt und an den Leiter der Aufsichtsbehörde und alle betroffenen Aufsichtsbehörden gerichtet und ist für sie verbindlich.

3. Wenn der Datenschutzrat innerhalb der in Absatz genannten Frist keine Entscheidung treffen kann 2, Erlass seiner Entscheidung innerhalb von zwei Wochen nach Ende des zweiten Absatzes gemäß Absatz 2 mit einfacher Mehrheit der Mitglieder des Datenschutzrates. Wenn die Mitglieder des Datenschutzrates nicht einverstanden sind, Diese Entscheidung wird durch die Abstimmung ihres Präsidenten ausgestellt.

4. Interessierte Vorgesetzte treffen keine Entscheidung über die dem Data Protection Council gemäß Absatz vorgelegte Angelegenheit 1 Während der in Absätzen genannten Fristen 2 und 3.

5. Der Vorsitzende des Data Protection Council kommuniziert, ohne ungerechtfertigte Verzögerung, Die in Absatz genannte Entscheidung 1 an die betroffenen Aufsichtsbehörden. Informiert den Ausschuss relevant. Die Entscheidung wird unverzüglich auf der Website des Datenrates veröffentlicht, Nachdem die Aufsichtsbehörde die endgültige Entscheidung in Absatz mitgeteilt hatte 6.

6. Der Leiter der Aufsichtsbehörde oder, angemessen, Die Aufsichtsbehörde, auf die die Beschwerde eingereicht wurde 1 dieser Artikel, Ohne ungerechtfertigte Verzögerung und schließlich einen Monat nach dem Datenschutzrat hat seine Entscheidung informiert. Der Leiter der Aufsichtsbehörde oder, angemessen, Die Aufsichtsbehörde, der die Beschwerde eingereicht wurde. Die endgültige Entscheidung der betreffenden Aufsichtsbehörden wird gemäß den Bedingungen des Artikels getroffen 60 Absätze 7, 8 und 9. Die endgültige Entscheidung bezieht sich auf die in Absatz genannte Entscheidung 1 von diesem Artikel und stellt klar, dass die in diesem Absatz genannte Entscheidung auf der Website des Data Protection Council gemäß dem Absatz veröffentlicht wird 5 dieser Artikel. Die endgültige Entscheidung ist der in Absatz genannten Entscheidung beigefügt 1 dieser Artikel.

Artikel 66

Dringlichkeit

1. In Ausnahmefällen, Wenn eine interessierte Aufsichtsbehörde berücksichtigt, dass es dringend Maßnahmen ergreifen muss, um die Rechte und Freiheiten der betroffenen Personen zu schützen, dürfen, durch Ausfälle aus dem Kohärenzmechanismus der Artikel 63, 64 und 65 oder das Verfahren des Artikels 60, Sofort vorübergehende Maßnahmen einzuführen, um rechtliche Auswirkungen innerhalb seines Territoriums zu erzielen, mit einer bestimmten Leistungsdauer, die drei Monate nicht überschreitet. Die Aufsichtsbehörde kündigt die fraglichen Maßnahmen an, sowie Rechtfertigung, sie zu etablieren, zu den anderen interessierten sich für aufsichtssicheren prinzipien, an den Data Protection Council und die Kommission.

2. Wenn die Aufsichtsbehörde gemäß Absatz Maßnahmen ergriffen hat 1 und berücksichtigt dringend erforderliche endgültige Maßnahmen, kann beim Datenschutzrat eine dringende Stellungnahme oder eine dringende verbindliche Entscheidung anfordern, Begründung des entsprechenden Antrags auf Stellungnahme oder Entscheidung.

3. Jede Aufsichtsbehörde kann eine dringende Meinung oder eine verbindliche Entscheidung beantragen, angemessen, durch den Datenschutzrat, wenn die entsprechenden Maßnahmen durch eine zuständige Aufsichtsbehörde in dem Fall, dass dringend Maßnahmen erforderlich, um die Rechte und Freiheiten der betroffenen Personen zu schützen, werden nicht getroffen, Begründung des entsprechenden Antrags auf Stellungnahme oder Entscheidung, Unter anderem die dringende Notwendigkeit, Maßnahmen zu ergreifen.

4. Durch Ausfälle aus dem Artikel 64 Absatz 3 und Artikel 65 Absatz 2, Notfallmeinung oder dringende verbindliche Entscheidung in den Absätzen 2 und 3 Von diesem Artikel wird innerhalb von zwei Wochen von einer einfachen Mehrheit der Mitglieder des Data Protection Council ausgegeben.

Die in Absatz genannte Entscheidung 1 Innerhalb eines Monats nach dem Themenreferenz von einer Mehrheit ausgegeben

L 119/76 Amtsblatt der Europäischen Union 4.5.2016

DAS

Artikel 67

Informationen austauschen

Die Kommission kann allgemeine Exekutivgesetze ausstellen, um die Informationsaustauschvereinbarungen mit elektronischen Mitteln zwischen den Aufsichtsbehörden und zwischen den Aufsichtsbehörden und dem Datenrat zu bestimmen, Insbesondere das im Artikel erwähnte Standardformat 64.

Diese Exekutivgesetze werden gemäß dem Artikelprüfungsverfahren ausgestellt 93 Absatz 2. Abschnitt 3

Europäischer Datenschutzrat

Artikel 68

Europäischer Datenschutzrat

1. Der europäische Datenschutzrat ("Data Protection Board") Empfohlen als Gewerkschaftsinstrument und hat eine juristische Persönlichkeit.

2. Der Datenschutzrat wird durch seinen Präsidenten vertreten.
3. Der Datenschutzrat setzt sich aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und zusammen

durch den europäischen Datenschutzaufseher oder deren jeweilige Vertreter.

4. Wenn es in einem Mitgliedstaat mehr Aufsichtsgrundsätze gibt, die mit der Überwachung der Anwendung der Bestimmungen nach dieser Verordnung beauftragt sind, Ein gemeinsamer Vertreter wird nach dem Recht dieses Mitgliedstaats ernannt.

5. Die Kommission ist berechtigt, ohne das Wahlrecht an den Aktivitäten und Sitzungen des Datenrates teilzunehmen. Der Ausschuss ernennt seinen Vertreter. Der Vorsitzende des Data Protection Council kündigt der Kommission die Aktivitäten des Datenrates an.

6. In Fällen, die im Artikel genannt werden 65, Der europäische Datenschutzaufsichtsorte hat das Recht, nur in Entscheidungen zu den Grundsätzen und Regeln in den Institutionen der Union zu wählen, zu den Körper, an Dienstleistungen und Organisationen, die entsprechen’ Substanz zu denen dieser Regelung.

Artikel 69

Unabhängigkeit

1. Der Data Protection Council handelt unabhängig voneinander, wenn er seine Pflichten oder die Ausübung seiner Befugnisse im Rahmen der Artikel erfüllt 70 und 71.

2. Vorbehaltlich der Anfragen der Kommission gemäß dem Artikel 70 Absatz 1 b) und Artikel 70 Absatz 2, Der Data Protection Council beantragt oder erhält keine Anweisungen von jemandem bei der Erfüllung seiner Aufgaben oder der Ausübung seiner Befugnisse.

Artikel 70

Aufgaben des europäischen Datenschutzrates

1. Der Data Protection Council stellt die kohärente Anwendung dieser Verordnung sicher. Zu diesem Zweck, der Datenschutzrat, auf eigene Initiative oder, gegebenenfalls, Antrag der Kommission, insbesondere:

ein) die ordnungsgemäße Durchführung dieser Verordnung in den Fällen, die in den Artikeln überwachen und sicherzustellen, 64 und 65, unbeschadet der Aufgaben der nationalen Aufsichtsbehörden,

4.5.2016 Amtsblatt der Europäischen Union L 119/77

DAS

2. b) die Kommission bei jedem auf den Schutz personenbezogener Daten in der Union über Materie, einschließlich einer vorgeschlagenen Änderung dieser Verordnung,
3. c) berät die Kommission für Formatierung und Verfahren zum Austausch von Informationen zwischen den Redakteuren, Ausführung von Verarbeitungs- und Aufsichtsbehörden für verbindliche Unternehmensregeln,
4. d) Gibt Richtlinien aus, Empfehlungen und optimale Praktiken zu Verfahren zum Löschen von Links, Kopien oder Fortpflanzungsdaten personenbezogener Daten aus Kommunikationsdiensten, die der Öffentlichkeit zur Verfügung stehen, Wie im Artikel angegeben 17 Absatz 2,
5. e) überlegt, auf eigene Initiative, auf Antrag eines seiner Mitglieder oder auf Antrag der Kommission, alle mit der Durchführung dieser Verordnung und die Behörde Leitlinien in Bezug, Empfehlungen und Best Practices, Um die zusammenhängende Anwendung dieser Verordnung zu fördern,

f) Gibt Richtlinien aus, Empfehlungen und optimale Praktiken nach Punkt E.) von diesem Absatz, um die Kriterien und die Bedingungen für die Entscheidungsfindung auf der Grundlage des Profiltrainings im Rahmen des Artikels weiter zu bestimmen 22 Absatz 2,

6. g) Gibt Richtlinien aus, Empfehlungen und optimale Praktiken nach Punkt E.) Von diesem Absatz hinsichtlich der Feststellung von Verstößen gegen personenbezogene Daten und der Bestimmung der im Artikel genannten rechtswidrigen Handeln 33 Absätze 1 und 2 und unter den spezifischen Bedingungen, unter denen der Controller oder der Henker verpflichtet ist, die Verletzung personenbezogener Daten zu informieren,
7. die) Gibt Richtlinien aus, Empfehlungen und optimale Praktiken nach Punkt E.) von diesem Absatz in Bedingungen, unter denen Verstöße gegen personenbezogene Daten zu einem hohen Risiko für die Rechte und Freiheiten der im Artikel genannten Personen führen können 34 Absatz 1,
8. ich) Gibt Richtlinien aus, Empfehlungen und optimale Praktiken nach Punkt E.) Von diesem Absatz für die weitere Bestimmung der Kriterien und die Anforderungen für die Übertragungen personenbezogener Daten, die auf verbindlichen Unternehmensregeln beruhen, die von den Verarbeitungsleitern und verbindlichen Unternehmensregeln eingehalten werden, die von den Prozessoren und den weiteren notwendigen Anforderungen eingehalten werden, Um den Schutz der personenbezogenen Daten der im Artikel aufgeführten relevanten betroffenen betroffenen betroffenen Personen sicherzustellen 47,

226. Ia) Gibt Richtlinien aus, Empfehlungen und optimale Praktiken nach Punkt E.) dieses Absatzes zum Zwecke der weiteren Definition der Kriterien und Anforderungen für die Übermittlung personenbezogener Daten gemäß Artikel 49 Absatz 1,
227. Ib) Ausarbeitung von Leitlinien für die Aufsichtsbehörden zur Durchführung der in Artikel 1 genannten Maßnahmen 58 Absätze 1, 2 und 3 und die Verhängung von Geldbußen nach Artikel 83,
228. M) untersucht die praktische Anwendung der Richtlinien, die Empfehlungen und bewährten Verfahren gemäß Punkt e) und St.),
229. n) Gibt Richtlinien aus, Empfehlungen und optimale Praktiken nach Punkt E.) Von diesem Absatz für die Erstellung gemeinsamer Verfahren für den Bericht nach natürlichen Verstößen gegen diese Verordnung auf der Grundlage des Artikels 54 Absatz 2,
230. ICH) Fördert die Entwicklung von Verhaltenskodizes und die Einrichtung von Datenschutzzertifizierungsmechanismen sowie Datenschutzsiegeln und -marken gemäß den Artikeln 40 und 42,

Ps) führt die Akkreditierung von Zertifizierungsstellen und regelmäßige Überprüfung nach Artikel 43 und halten ein öffentliches Register der akkreditierten Stellen gemäß Artikel 43 Absatz 6 und akkreditierte Kontrolleure oder Verarbeiter, die gemäß Artikel in Drittländern niedergelassen sind 42 Absatz 7,

231. Q) Identifiziert die im Artikel aufgeführten Anforderungen 43 Absatz 3 Um Zertifizierungsstellen gemäß dem Artikel zu akkreditieren 42,
232. ICH H) Er eröffnet in der Kommission zu den im Artikel aufgeführten Zertifizierungsanforderungen 43 Absatz 8,
233. Pho) Stellungnahme an die Kommission zu den im Artikel genannten Ikonen 12 Absatz 7,

k) stellt die Stellungnahme der Kommission vor, um die Angemessenheit des Schutzniveaus in einer Drittland oder einer internationalen Organisation zu bewerten, einschließlich der Wertschätzung, ob ein Drittland, Ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder eine internationale Organisation gewährleisten kein angemessenes Schutzniveau mehr. Zu diesem Zweck, Die Kommission gibt dem Datenschutzrat alle erforderlichen Unterlagen zur Verfügung, einschließlich der Post mit der Regierung der Dritten Land, in Bezug auf dieses Drittland, das Gebiet oder den spezifischen Sektor oder die internationale Organisation,

L 119/78 Und)

KB)

κγ)

κδ)

κε)

κστ)

Amtsblatt der Europäischen Union 4.5.2016

Stellungnahmen zu Entscheidungsentwürfen der Aufsichtsbehörden im Rahmen des in Artikel 1 genannten Kohärenzmechanismus abzugeben 64 Absatz 1 und für Fragen, die gemäß Artikel eingereicht wurden 64 Absatz 2 und erlässt verbindliche Entscheidungen nach Artikel 65, auch in den in Artikel genannten Fällen 66,

fördert die Zusammenarbeit und einen effizienten bi- und multilateralen Austausch von Informationen und bewährten Verfahren zwischen den Aufsichtsbehörden,

Förderung gemeinsame Ausbildungsprogramme und erleichtern den Austausch von Personal zwischen den Aufsichtsbehörden und, gegebenenfalls, mit den Aufsichtsbehörden von Drittländern oder internationalen Organisationen,

Es fördert den Austausch von Wissen und Dokumentation zu Rechtsvorschriften und Praxis im Bereich des Datenschutzes mit Aufsichtsdatenschutzbehörden auf der ganzen Welt,

Er eröffnet die ethischen Codes, die nach dem Artikel auf der Ebene der Gewerkschaft erstellt wurden 40 Absatz 9 und

unterhält in der Konsistenz Mechanismus ein öffentlich zugängliches elektronisches Register der von den Aufsichtsbehörden und Gerichten zu Fragen getroffenen Entscheidungen diskutiert.

DAS

2.
unter Berücksichtigung der Dringlichkeit der Angelegenheit.

Wenn die Kommission sucht den Rat des Datenschutzrates, kann melden indikative Frist,

3. Die Datenschutzbehörde übermittelt seine Stellungnahmen übermittelt, Richtlinien, Empfehlungen und am besten von der Kommission erteilten Praktiken und zum Artikel 93 und publicize.

4. Gegebenenfalls falls~~POS=HEADCOMP, der Datenschutzrat konsultiert die Interessengruppen und gibt ihnen die Gelegenheit zur Stellungnahme innerhalb einer angemessenen Frist. Die Datenschutzbehörde, unbeschadet des Artikels 76, kommunizieren die Ergebnisse der Konsultation.

Artikel 71

Ausstellungen

1. Die Datenschutzbehörde erstellt jährlich einen Bericht über den Schutz von Personen bei der Verarbeitung Union vorzubereiten und, gegebenenfalls, in Drittländern und internationalen Organisationen. Der Bericht wird veröffentlicht und das Europäische Parlament, der Rat und die Kommission.

2. Der Jahresbericht wird Berücksichtigung der praktischen Anwendung der Leitlinien umfassen, Empfehlungen und Best Practices gemäß Artikel 70 Absatz 1 Punkt L), und verbindliche Entscheidungen im Sinne des Artikels 65.

Artikel 72

Prozess

1. Der Datenschutzausschuss beschließt mit einfacher Mehrheit seiner Mitglieder beschließen, sofern nicht anders in dieser Verordnung festgelegte.

2. Die Datenschutzbehörde legt seine Geschäftsordnung mit einer Mehrheit von zwei Dritteln seiner Mitglieder und organisiert die geltenden Betriebsvorschriften erlassen.

Artikel 73

Präsident

1. Der Datenschutzausschuss besteht aus einem Vorsitzenden und zwei Stellvertreter aus den Reihen seiner Mitglieder mit einfacher Mehrheit wählen.

2. Die Amtszeit des Präsidenten und Vizepräsidenten beträgt fünf Jahre und kann verlängert werden, wenn.

4.5.2016

Amtsblatt der Europäischen Union L 119/79

DAS

1. ein) b)

c)

Artikel 74

Aufgaben des Präsidenten

Die Aufgaben des Präsidenten sind die folgenden:
Einberufung einer Sitzung des Schutzrat Daten und bereitet die Tagesordnung,

benachrichtigen die von der Datenschutzbehörde gemäß Artikel ausgegeben Entscheidungen 65 der Hauptverantwortliche und die Aufsichtsbehörden,

Gewährleistet die zeitnahe Leistung der Aufgaben des Datenschutzrates, insbesondere in Bezug auf den Mechanismus der Kohärenz des Artikels 63.

2.
Präsidenten und stellvertretende Präsidenten.

Der Datenschutz Rat legt die Regeln für die Zuteilung der Aufgaben zwischen der Bestimmung

Artikel 75

Sekretariat

1. Die Datenschutzbehörde wird von einem Sekretariat unterstützt, die vom europäischen Datenschutzaufsichtsbehörden bereitgestellt wird.

2. Das Sekretariat erfüllt seine Pflichten ausschließlich auf der Grundlage der Befehle des Präsidenten des Datenrates.

3. Die Mitarbeiter des europäischen Datenschutzvorgesetzten, der an der Ausübung der dem Data Protection Council gemäß dieser Verordnung zugewiesenen Aufgaben teilnimmt.

4. Gegebenenfalls, Der Datenschutzrat und der europäische Datenschutzaufsichtsbehörde erstellen und veröffentlichen ein Kooperations -Memorandum für die Anwendung dieses Artikels, Dies definiert ihre Kooperationsbedingungen und die auf die Mitarbeiter des europäischen Datenschutzvorgesetzten angewendet wird, der an der Übung beteiligt ist

von

5.

6. ein) b) c) d) e) f) g)

Die dem Data Protection Council gemäß dieser Verordnung zugewiesenen Pflichten.

Das Sekretariat bietet detailliert, administrative und logistische Unterstützung für die Data Protection Board.

Das Sekretariat ist insbesondere zuständig für die folgenden:

die täglichen Aufgaben des Datenschutzrates,

Kommunikation zwischen dem Datenschutzausschuss, und der Präsident der Kommission,

Kommunikation mit anderen Institutionen und der Öffentlichkeit,

unter Verwendung elektronischer Mittel für die interne und externe Kommunikation,

die Übersetzung von relevanten Informationen,

Die Vorbereitung und Kontinuität, die den Sitzungen des Datenschutzrates erhoben werden,

die Vorbereitung, Zusammenstellung und Veröffentlichung von Meinungen, Entscheidungen über die Lösung von Streitigkeiten zwischen den Aufsichtsgrundsätzen und anderen vom Data Protection Council herausgegebenen Texten.

Artikel 76

Vertraulichkeit

1.
Daten halten es für notwendig, Wie in seiner internen Regulierung vorgesehen.

Die Arbeit des Datenschutzrates muss vertraulich sein, solange der Rat zum Schutz

L 119/80 Amtsblatt der Europäischen Union 4.5.2016

DAS

2. Zugang zu Dokumenten, die den Mitgliedern des Data Protection Council eingereicht haben, Experten und Vertreter Dritter werden von der Regulierung bestimmt (EG) keine. 1049/2001 Europäisches Parlament und Rat (1).

Kapitel VIII

Appellieren, Verantwortung und Sanktionen

Artikel 77

Recht, eine Beschwerde an eine Aufsichtsbehörde vorzulegen

1. Vorbehaltlich anderer administrative oder gerichtliche Berufungen, Jede betroffene Person hat das Recht, eine Beschwerde bei einer Aufsichtsbehörde zu übermitteln, insbesondere in dem Mitgliedstaat, in dem er seinen gewöhnlichen Wohnsitz oder Arbeitsort hat, oder am Ort der mutmaßlichen Zuwiderhandlung, Wenn die betroffene Person der Ansicht ist, dass die Verarbeitung personenbezogener Daten in Bezug auf diese Verordnung verstößt.

2. Die Aufsichtsbehörde, der die Beschwerde eingereicht wurde, informiert den Beschwerdeführer über den Fortschritt und das Ergebnis der Beschwerde, sowie die Möglichkeit rechtlicher Schritte gemäß Artikel 78.

Artikel 78

Recht auf einen wirksamen Rechtsbehelf gegen eine Prüfungsbehörde

1. Unbeschadet sonstiger administrativer oder nicht administrativer Maßnahmen, Jede natürliche oder juristische Person hat das Recht auf tatsächliche Rechtsprechung gegen eine rechtsverbindliche Entscheidung einer Aufsichtsbehörde, die sich in Bezug auf die Aufsichtsbehörde befasst.

2. Unbeschadet sonstiger administrativer oder nicht administrativer Maßnahmen, Jede betroffene Person hat das Recht auf tatsächliche Rechtsprechung, Solange die unter den Artikel verantwortliche Aufsichtsbehörde verantwortlich ist 55 und 56 Untersucht die Beschwerde nicht innerhalb von drei Monaten nach dem Fortschritt oder Ergebnis der im Artikel eingereichten Beschwerde die betroffene Person oder nicht. 77.

3. Überwachungsverfahren bewegt sich vor den Gerichten des Mitgliedstaates, an dem die Aufsichtsbehörde festgelegt wird.

4. Wenn Verfahren gegen eine Entscheidung der Aufsichtsbehörde verschoben werden, Vorangegangen einer Stellungnahme oder Entscheidung des Datenschutzrates im Kontext des Konsistenzmechanismus, Die Aufsichtsbehörde überträgt diese Stellungnahme oder Entscheidung vor Gericht.

Artikel 79

Recht auf tatsächliche gerichtliche Berufung gegen eine Verarbeitung oder Ausführung der Verarbeitung

1. Unbeschadet etwaiger administrativer oder außergerichtlicher Maßnahmen, einschließlich des Rechts, eine Beschwerde bei einer Aufsichtsbehörde gemäß Artikel einzureichen 77, Jede betroffene Person hat Anspruch auf einen wirksamen Rechtsbehelf, wenn sie der Ansicht ist, dass ihre Rechte aus dieser Verordnung infolge der Verarbeitung ihrer personenbezogenen Daten, die sie betreffen, unter Verstoß gegen diese Verordnung verletzt wurden..

2. Die Prozesssteuerung oder Prozessor bewegt sich vor den Gerichten des Mitgliedstaats, in dem der Controller oder der Prozessor installiert sind. Alternativ, Dieses Verfahren kann sich vor den Gerichten des Mitgliedstaats bewegen, in dem die betroffene Person den üblichen Aufenthalt der, Es sei denn.

(1) Regulierung (EG) keine. 1049/2001 Europäisches Parlament und Rat, vom 30. Mai 2001, Zugang zur Öffentlichkeit zu den Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl L 145 von 31.5.2001, p. 43).

4.5.2016 Amtsblatt der Europäischen Union L 119/81

DAS

Artikel 80

Darstellung der betroffenen Personen

1. Die betroffene Person hat das Recht, einer gemeinnützigen Organisation zuzuweisen, eine Organisation oder Vereinigung, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet wurde, hat gesetzliche Zwecke, die von allgemeinem Interesse sind und im Bereich des Schutzes der Rechte und Freiheiten der betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig sind, um die Beschwerde in ihrem Namen einzureichen und die in den Artikeln genannten Rechte auszuüben 77, 78 und 79 in seinem Namen und zur Ausübung des in Artikel genannten Anspruchs auf Entschädigung 82 in seinem Namen, im Recht des Mitgliedstaats vorgesehen.

2. Die Mitgliedstaaten können vorsehen, dass jede Stelle, Organisation oder Verein gemäß Absatz 1 dieses Artikels hat das Recht, unabhängig von einer Belegung der betroffenen Person, Um sich dieser Beschwerde der Mitgliedstaaten bei der im Rahmen des Artikels kompetenten Aufsichtsbehörde zu unterwerfen 77 und die in den Artikeln genannten Rechte ausüben 78 und 79, wenn sie die Auffassung, dass die Rechte der betroffenen Personen im Rahmen dieser Verordnung als Folge der Verarbeitung verletzt.

Artikel 81

Aussetzung von Verfahren

1. Wenn ein zuständiges Gericht eines Mitgliedstaates Hinweise, dass es Prozesse auf dem gleiche Thema auf derselben durch einen Controller oder Prozessor verarbeitet in einem anderen Mitgliedstaat Gericht anhängig, Kommuniziert mit dem zuständigen Gericht dieses anderen Mitgliedstaates, um das Bestehen solcher Verfahren zu bestätigen.

2. Wenn bei einem Gericht eines anderen Mitgliedstaats ein Verfahren in Bezug auf denselben Gegenstand in Bezug auf die Verarbeitung durch denselben für die Verarbeitung Verantwortlichen oder den Verarbeiter anhängig ist, Jedes andere zuständige Gericht als das zuerst beschlagnahmte kann das Verfahren aussetzen.

3. Wenn ein solches Verfahren in erster Instanz anhängig ist, Jedes andere Gericht als das zuerst beschlagnahmte kann dies ebenfalls, auf Antrag einer der Parteien, sich für inkompetent erklären, Wenn der erste Gericht für diese Berufungen verantwortlich ist und seine Messe ihnen zusammengebracht werden kann.

Artikel 82

Recht auf Entschädigung und Haftung

1. Jede Person, die aufgrund einer Verletzung dieser Verordnung materielle oder nicht materielle Schäden erlitten hat.

2. Jeder, der an der Verarbeitung beteiligt ist, ist für die durch die Verarbeitung verursachten Schäden verantwortlich. Die Verarbeitung ist nur für den durch die Verarbeitung verursachten Schaden verantwortlich.

3. Der Controller oder der Henker ist von der Verantwortung befreit, die sie unter Absatz haben 2, wenn das beweist für die Veranstaltung, die zu dem Schaden nicht verantwortlich.

4. Wenn mehrere Steuerungen oder Prozessoren oder beide der Controller und der Prozessor im gleichen Prozess beteiligt und, Wenn unter Absätzen 2 und 3 sind verantwortlich für Schäden durch Verarbeitung, Jeder Controller oder Performer Die Verarbeitung ist für den Gesamtschaden verantwortlich, eine wirksame Kompensation der betroffenen Person, um sicherzustellen,.

5. Wenn der Controller oder der Prozessor hat sich ausgezahlt, gemäß Absatz 4, volle Entschädigung für den verursachten Schaden, Dieser Manager oder der Manager ist berechtigt, andere Prozessoren anzufordern oder die Verarbeitung auszuführen, die an derselben Verarbeitung der Rückgewinnung eines Teils der Entschädigung entspricht, die ihrem Teil ihrer Haftung aufgrund der gemäß den Bedingungen des Absatzes des Absatzes verursachten Schäden entspricht. 2.

L 119/82 Amtsblatt der Europäischen Union 4.5.2016

DAS

6. Gerichtsverfahren für das Recht auf Entschädigung vor den zuständigen Gerichten nach dem Recht des Mitgliedstaates gebracht Ausübung gemäß Artikeln 79 Absatz 2.

Artikel 83

Allgemeine Bedingungen von Verwaltungsstrafen

1. Jede Aufsichtsbehörde sorgt dafür 4, 5 und 6 für jeden einzelnen Fall wirksam sein, proportional und abschreckend.

2. Die Verwaltungsstrafen, je nach den Umständen des Einzelfalls, werden zusätzlich oder anstelle der im Artikel genannten Maßnahmen durchgesetzt 58 Absatz 2 Beweise ein) bis der) und im Artikel 58 Absatz 2 Artikel i). Bei der Entscheidung über die Auferlegung einer Geldstrafe, sowie die Menge der administrativen Geldstrafe für jeden einzelnen Fall, unter Berücksichtigung der folgenden:

1. ein) die Natur, die Schwere und Dauer des Verstoßes, unter Berücksichtigung der Natur, Rahmen oder Zweck der betreffenden Verarbeitungs, und die Anzahl der betroffenen Personen erhöht durch die Tat und der Grad der Schädigung erlitten,
2. b) der Fehler oder Fahrlässigkeit die Verletzung,
3. c) alle Aktionen durch die Steuerung oder den Prozessor getroffen, um die Verluste durch die betroffenen Personen erlitten zu mildern,
4. d) Der Grad der Verantwortung des verantwortlichen Prozessors oder der Exekutive der Verarbeitung, Unter Berücksichtigung der technischen und organisatorischen Maßnahmen, die im Rahmen der Artikel gelten 25 und 32,
5. e) Alle relevanten früheren Verstöße gegen die verantwortliche oder Darsteller der Verarbeitung,

f) Der Grad der Zusammenarbeit mit der Prüfungsbehörde zur Reparatur des Verstoßes und zur Begrenzung der potenziellen nachteiligen Auswirkungen,

6. g) Personenkategorien für personenbezogene Daten, die durch Verletzung betroffen sind,
7. die) die Art und Weise, in der die Aufsichtsbehörde über die Zuwiderhandlung informiert wurde, Insbesondere wenn und inwieweit der Controller oder der Henker die Verstoß verarbeitet,
8. ich) Im Falle von zuvor geordneten Maßnahmen, auf die im Artikel Bezug genommen wird 58 Absatz 2 Gegen den Verarbeitungsmanager oder den Darsteller der Verarbeitung über dasselbe Objekt, Einhaltung solcher Maßnahmen,
9. ich) Einhaltung der zugelassenen ethischen Kodizes gemäß dem Artikel 40 oder genehmigte Zertifizierungsmechanismen gemäß dem Artikel 42 und

Ia) jeder andere erschwerende oder mildernde Faktor, der sich aus den Umständen des Einzelfalls ergibt, wie die erzielten finanziellen Vorteile oder die vermiedenen Verluste, direkt oder indirekt, durch die Straftat.

3. Falls der Controller oder der Henker der Verarbeitung, Für die gleichen oder zugehörigen Verarbeitungsakte, verstößt gegen mehrere Bestimmungen dieser Verordnung, Der Gesamtbetrag der administrativen Geldbuße überschreitet den für den schwereren Verstoß angegebenen Betrag nicht.

4. Verstöße gegen die folgenden Bestimmungen sind, gemäß Absatz 2, Verwaltungsstrafen auf 10 000 000 Eur oder, Im Geschäft, Zu 2 % des gesamten weltweiten jährlichen Umsatzes des vergangenen Geschäftsjahres, Je nachdem, welcher höher ist:

ein) Verpflichtungen des Editors -In- und Performers, die nach Artikeln verarbeitet werden sollen 8, 11, 25 bis 39 und 42 und 43,

b) Die Verpflichtungen der Zertifizierungsstelle gemäß den Artikeln 42 und 43,
c) Verpflichtungen der Verfolgung nach dem Artikel 41 Absatz 4.

4.5.2016 Amtsblatt der Europäischen Union L 119/83

DAS

5. Verstöße gegen die folgenden Bestimmungen sind, gemäß Absatz 2, Verwaltungsstrafen auf 20 000 000 Eur oder, Im Geschäft, Zu 4 % des gesamten weltweiten jährlichen Umsatzes des vergangenen Geschäftsjahres, Je nachdem, welcher höher ist:

1. ein) Die Grundprinzipien für die Verarbeitung, einschließlich der Zustimmungsbedingungen für die Genehmigung, Nach den Artikeln 5, 6, 7 und 9,
2. b) die Rechte der betroffenen Personen nach Artikeln 12 bis 22,
3. c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß Artikel 44 bis 49,
4. d) alle Verpflichtungen nach dem Recht des Mitgliedstaates erlassen Kapitel IX gemäß §,
5. e) Nichteinhaltung der Bestellung oder einer vorübergehenden oder endgültigen Beschränkung der Verarbeitung oder Aussetzung des Datenverkehrs, das von der Aufsichtsbehörde im Rahmen des Artikels auferlegt wurde 58 Absatz 2 oder nicht zu dem Artikel in Verstoß gegen den Artikel von 58 Absatz 1.

6. Nichteinhaltung der Reihenfolge der Aufsichtsbehörde, wie im Artikel angegeben 58 Absatz 2 Berührungen, gemäß Absatz 2 dieser Artikel, Verwaltungsstrafen auf 20 000 000 Eur oder, Im Geschäft, Zu 4 % des gesamten weltweiten jährlichen Umsatzes des vergangenen Geschäftsjahres, Je nachdem, welcher höher ist.

7. Vorbehaltlich der Korrekturbefugnisse der Aufsichtsbehörden gemäß dem Artikel 58 Absatz 2, Jeder Mitgliedstaat kann die Regeln dafür ermitteln, ob und in welchem ​​Umfang Verwaltungsstrafen für die Behörden und Körperschaften in diesem Mitgliedstaat auferlegt werden können.

8. Die Ausübung einer Aufsichtsbehörde der Befugnisse im Rahmen dieses Artikels unterliegt entsprechende Verfahrensgarantien gemäß dem Gewerkschaftsrecht und dem Rechtsrecht der Mitgliedstaaten., einen effektiven gerichtlichen Rechtsschutz einschließlich und die Einhaltung des rechtlichen Gehörs.

9. Wenn das Rechtssystem des Mitgliedstaates nicht vorgesehen Bußgeld, Dieser Artikel kann in einer Weise gelten, dass das Durchsetzungsverfahren von der zuständigen Aufsichtsbehörde bewegt und von den zuständigen nationalen Gerichten verhängt wird, Gleichzeitig wird sichergestellt, dass diese Abhilfemaßnahmen wirksam sind und den von den Aufsichtsbehörden verhängten Verwaltungsstrafen gleichwertig sind. In jedem Fall, Die verhängten Geldbußen sind wirksam, proportional und abschreckend. Diese Mitgliedstaaten teilen der Kommission die Bestimmungen ihrer Gesetze mit, die sie gemäß diesem Absatz erlassen, zu 25 Mai 2018 und, unverzüglich, jedes nachfolgende Änderungsgesetz oder eine Änderung.

Artikel 84

Sanktionen

1. Die Mitgliedstaaten erlassen Regeln für andere Sanktionen, die wegen Verstößen gegen diese Verordnung auferlegt wurden, Insbesondere für Verstöße, die nicht Verwaltungsstrafen im Rahmen des Artikels unterliegen 83, und ergreifen Sie alle erforderlichen Maßnahmen, um sicherzustellen, dass sie angewendet werden. Diese Sanktionen sind wirksam, verhältnismäßig und abschreckend.

2. Jeder Mitgliedstaat teilt der Kommission die Bestimmungen mit, die er gemäß diesem Absatz erlässt 1, zu 25 Mai 2018 und, unverzüglich, jede nachfolgende Änderung.

KAPITEL IX

Bestimmungen zu besonderen Bearbeitungsfällen

Artikel 85

Verarbeitung und Meinungs- und Informationsfreiheit

1. Die Mitgliedstaaten kompromittieren das Recht, personenbezogene Daten gemäß dieser Verordnung mit dem Recht auf Meinungsfreiheit und Informationsfreiheit zu schützen, einschließlich der Verarbeitung für journalistische Zwecke und Universitätszwecke, künstlerischer oder literarischer Ausdruck.

L 119/84 Amtsblatt der Europäischen Union 4.5.2016

DAS

2. Zur Verarbeitung für journalistische Zwecke oder für akademische Zwecke, künstlerischer oder literarischer Ausdruck, Die Mitgliedstaaten bieten Ausnahmen oder Abweichungen aus Kapitel II (Prinzipien), Kapitel III (Betroffene Rechte), Kapitel IV (Prozessor und Bearbeitung bearbeiten), Kapitel v (Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen), Kapitel VI (unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Sonderfälle der Datenverarbeitung), wenn sie notwendig sind, um das Recht auf Schutz personenbezogener Daten mit der Meinungs- und Informationsfreiheit in Einklang zu bringen.

3. Jeder Mitgliedstaat teilt der Kommission die Bestimmungen mit, die er gemäß diesem Absatz erlässt 2 und, unverzüglich, jedes nachfolgende Änderungsgesetz oder eine Änderung.

Artikel 86

Bearbeiten und greifen Sie auf die Öffentlichkeit auf offizielle Dokumente zu und greifen Sie auf

Die personenbezogenen Daten zu offiziellen Dokumenten, die von einer Behörde oder einem öffentlichen oder privaten Einrichtung für die Wahrnehmung einer Aufgabe im öffentlichen Interesse ausgeführt werden können von dieser Behörde oder Stelle nach dem Unionsrecht oder jeden Mitgliedstaat regiert serviert Behörde oder Stelle, an kompatible den Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten im Rahmen dieser Verordnung.

Artikel 87

Bearbeiten der nationalen Identitätsnummer

Die Mitgliedstaaten können die spezifischen Bedingungen für die Verarbeitung einer nationalen Identitätsnummer oder anderer ID -ID der allgemeinen Anwendungs ​​-ID weiter bestimmen. In diesem Fall, Die nationale Identitätsnummer oder eine andere allgemeine Anwendungs ​​-ID wird nur mit geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person nach dieser Verordnung verwendet.

Artikel 88

Bildung im Kontext der Beschäftigung

1. Die Mitgliedstaaten, durch Gesetzgebung oder durch Kollektivvereinbarungen, Sie können spezifische Regeln festlegen, um den Schutz von Rechten und Freiheiten gegen die Verarbeitung personenbezogener Daten der Mitarbeiter im Kontext der Beschäftigung zu gewährleisten, insbesondere zum Zweck der Rekrutierung, Erfüllung des Arbeitsvertrags, einschließlich der Erfüllung der Verpflichtungen aus dem Gesetz oder aus Tarifverträgen, Management, Planung und Organisation, Gleichheit und Vielfalt am Arbeitsplatz, Gesundheit und Sicherheit bei der Arbeit, Schutz des Eigentums von Arbeitgebern und Kunden sowie zum Zwecke der Ausübung und des Genusses, individuell oder kollektiv, Rechte und Leistungen in Bezug auf Beschäftigung und Zwecke der Beendigung des Arbeitsverhältnisses.

2. Diese Regeln umfassen angemessene und spezifische Maßnahmen zur Erhaltung der Menschenwürde, der rechtlichen Interessen und Grundrechte der Person, auf die die Daten erwähnt werden, mit einer besonderen Betonung der Transparenz der Verarbeitung, die Übertragung personenbezogener Daten innerhalb einer Gruppe von Unternehmen, oder Gruppe von Unternehmen, die gemeinsame Wirtschaftstätigkeit und Überwachungssysteme am Arbeitsplatz praktizieren.

3. Jeder Mitgliedstaat teilt der Kommission die Bestimmungen mit, die er gemäß diesem Absatz erlässt 1, zu 25 Mai 2018 und, unverzüglich, jede nachfolgende Änderung.

Artikel 89

Sicherstellen und Ausfälle für die Verarbeitung für Archivierungszwecke im öffentlichen Interesse oder die Zwecke der wissenschaftlichen oder historischen Forschung oder statistischen Zwecke

1. Verarbeitung für Archivierungszwecke für das öffentliche Interesse oder für die Zwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke hat unterworfene garantierte Garantien, Nach dieser Verordnung, über die Rechte und Freiheiten der betroffenen Person, Nach dieser Verordnung. Diese Garantien stellen sicher, dass technische und organisatorische Maßnahmen eingeführt wurden, insbesondere um die Einhaltung des Prinzips der Minimierung von sicherzustellen

4.5.2016 Amtsblatt der Europäischen Union L 119/85

DAS

Daten. Diese Maßnahmen können die Verwendung von Spitznamen umfassen, vorausgesetzt, dass diese Zwecke erfüllt werden können’ Hier entlang. Da diese Ziele durch weitere Verarbeitung erfüllt werden können, die nicht mehr zulässt oder es ermöglicht, betroffene Personen zu identifizieren, Diese Zwecke sind erfüllt Katze’ Hier entlang.

2. Wenn personenbezogene Daten für wissenschaftliche oder historische Forschungszwecke oder zu statistischen Zwecken verarbeitet werden, Unionsrecht oder Mitgliedstaat kann von den Rechten abweichen, gemäß den Artikeln 15, 16, 18 und 21, Vorbehaltlich der Bedingungen und Garantien in Absatz 1 dieser Artikel, Wenn diese Rechte wahrscheinlich unmöglich machen oder die Erreichung spezifischer Zwecke beeinträchtigen und wenn diese Ausfälle erforderlich sind, um diese Ziele zu erfüllen.

3. Wenn personenbezogene Daten für Archivzwecke für das öffentliche Interesse verarbeitet werden, Unionsrecht oder Mitgliedstaat kann von den Rechten abweichen, gemäß den Artikeln 15, 16, 18, 19, 20 und 21, Vorbehaltlich der Bedingungen und Garantien in Absatz 1 dieser Artikel, Wenn diese Rechte wahrscheinlich unmöglich machen oder die Erreichung spezifischer Zwecke beeinträchtigen und wenn diese Ausfälle erforderlich sind, um diese Ziele zu erfüllen.

4. Wenn die Verarbeitung in Absätzen genannt wird 2 und 3 dient gleichzeitig und einem anderen Zweck, Devies werden nur auf die Verarbeitung für die in diesen Absätzen vorgesehenen Zwecke angewendet.

Artikel 90

Compliance -Verpflichtungen

1. Die Mitgliedstaaten können spezifische Regeln festlegen, um die Befugnisse der Prüfungsbehörden zu bestimmen, die im Artikel bereitgestellt werden 58 Absatz 1 Elemente e) und St.), in Bezug auf Verarbeitungsmanager oder die Ausführung der Verarbeitung, die sich unterziehen, durch das Recht der Union oder der Mitgliedstaaten oder Regeln, die von den zuständigen nationalen Stellen festgelegt, Geheimhaltungspflicht oder andere gleichwertige Verpflichtungen der Vertraulichkeit, falls erforderlich und verhältnismäßig, um das Recht auf Schutz personenbezogener Daten mit der Verpflichtung zur Geheimhaltung in Einklang zu bringen. Diese Regeln gelten nur für personenbezogene Daten, die der für die Verarbeitung Verantwortliche oder Verarbeiter im Rahmen einer von dieser Vertraulichkeitspflicht erfassten Tätigkeit erhalten oder erhalten hat..

2. Jeder Mitgliedstaat benachrichtigt der Kommission die im Absatz festgelegten Regeln 1, zu 25 Mai 2018 und, unverzüglich, jede nachfolgende Änderung.

Artikel 91

Bestehende Regeln zum Schutz der Kirchen- und Religionsverbände

1. Wenn in Mitgliedstaatenkirchen und religiösen Vereinigungen oder Gemeinden gelten, Bei Eingang dieser Verordnung in Kraft, Abgeschlossene Regeln für den Schutz natürlicher Personen vor Verarbeitung, Die fraglichen Regeln können weiterhin gelten, Wenn sie mit den Bestimmungen dieser Verordnung harmonisiert sind.

2. Kirchen und religiöse Verbände, die integrierte Regeln gemäß Absatz anwenden 1 dieses Artikels unterliegt der Kontrolle einer unabhängigen Aufsichtsbehörde, die spezifisch sein können, sofern sie die Anforderungen des Kapitels VI dieser Regelung.

Kapitel x

In’ delegierte Rechtsakte und Exekutivakte

Artikel 92

Ausübung der Ermächtigung

1. Die ausstellende Behörde Kat.-Nr.’ Die Genehmigung der Gesetze wird dem Ausschuss gemäß den in diesem Artikel festgelegten Bedingungen zugewiesen.

L 119/86 Amtsblatt der Europäischen Union 4.5.2016

DAS

2. Die im Artikel genannte Genehmigung 12 Absatz 8 und im Artikel 43 Absatz 8 der OP -Kommission zugewiesen’ unbestimmt durch die 24 Mai 2016.

3. Die im Artikel genannte Genehmigung 12 Absatz 8 und im Artikel 43 Absatz 8 kann jederzeit vom Europäischen Parlament oder Rat widerrufen werden. Die Rezeptionentscheidung beendet die in dieser Entscheidung festgelegte Genehmigung. Geben Sie treten am Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem späteren Zeitpunkt festgelegt darin. Es berührt nicht die Gültigkeit der bereits bestehenden in’ delegierte Rechtsakte.

4. Sobald es annimmt’ delegierten Rechtsakt, die Kommission sie gleichzeitig dem Europäischen Parlament und dem Rat.

5. In’ delegierten Rechtsakt, der gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 Es tritt nur dann in Kraft, Bevor diese Frist abläuft, Das Europäische Parlament und der Rat informieren beide die Kommission, dass sie keine Einwände erheben werden. Diese Frist wird um drei Monate auf die Initiative des Europäischen Parlaments oder des europäischen Parlaments verlängert.

Artikel 93

Verfahren

1. Der Ausschuss wird von einem Ausschuss unterstützt. Der fragliche Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) keine. 182/2011.

2. Wann immer in diesem Absatz Bezug genommen wird, Der Artikel wird angewendet 5 der Verordnung (EU) keine. 182/2011.
3. Wann immer in diesem Absatz Bezug genommen wird, Der Artikel wird angewendet 8 der Verordnung (EU) keine. 182/2011, In

Kombination mit dem Artikel 5.

Kapitel XI

Endgültige Bestimmungen

Artikel 94

Richtlinie 95/46/EC entfernen

1. Die Richtlinie 95/46/EC wird entfernt von 25 Mai 2018.
2. Verweise auf die abgeschafte Anweisungen werden als Verweise auf diese Verordnung betrachtet. Die Verweise auf die Gruppe

Schutz der personenbezogenen Datenverarbeitung, mit dem Artikel einrichten 29 Richtlinie 95/46 / EG, werden an den durch diese Verordnung eingerichteten Europäischen Datenschutzrat verwiesen.

Artikel 95

Verhältnis zur Richtlinie 2002/58 / EG

Diese Verordnung setzt keine zusätzlichen Verpflichtungen gegenüber natürlichen oder rechtlichen Personen in Bezug auf die Verarbeitung elektronischer Kommunikationsdienste auf, die öffentliche Kommunikationsnetzwerke in der Gewerkschaft in Bezug auf Themen zur Verfügung stehen, die den spezifischen Verpflichtungen mit demselben in Directive 2002/58/EC definierten Ziele unterliegen..

4.5.2016 Amtsblatt der Europäischen Union L 119/87

DAS

Artikel 96

Beziehung zu Vereinbarungen, die zuvor abgeschlossen wurden

Internationale Vereinbarungen, einschließlich der Übertragung personenbezogener Daten in Drittländer oder internationale Organisationen, die zuvor von den Mitgliedstaaten abgeschlossen wurden 24 Mai 2016, und die mit geltendem vor diesem Datum des EU -Rechts kompatibel sind, Bewerben Sie sich noch, bis sie geändert werden, ersetzt oder zurückgerufen.

Artikel 97

Provisionsberichte

1. Zu 25 Mai 2020 und dann alle vier Jahre, Die Kommission erstattet dem Europäischen Parlament und dem Rat Bericht über die Bewertung und Überarbeitung dieser Verordnung. Die Berichte werden veröffentlicht.

2. Im Rahmen der in Absatz 1 genannten Bewertungen und Überprüfungen 1, Die Kommission prüft, besondere, Anwendung und Betrieb:

ein) Kapitel V über die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, unter gebührender Berücksichtigung der gemäß Artikel getroffenen Entscheidungen 45 Absatz 3 dieser Verordnung und Entscheidungen gemäß Artikel 25 Absatz 6 Richtlinie 95/46 / EG,

b) Kapitel VII über Zusammenarbeit und Kohärenz.

3. Im Sinne des Absatzes 1, Die Kommission kann Informationen von Mitgliedstaaten und Aufsichtsbehörden anfordern.
4. Bei der Durchführung der Bewertungen und Revisionen in Absätzen 1 und 2, Der Ausschuss

berücksichtigt die Positionen und Schlussfolgerungen des Europäischen Parlaments und des Rates, sowie andere kompetente Körper oder Quellen.

5. Der Ausschuss gibt ein, notfalls, geeignete Vorschläge zur Änderung dieser Verordnung, insbesondere unter Berücksichtigung Entwicklungen in der Informationstechnologie und im Lichte der Fortschritte in der Informationsgesellschaft.

Artikel 98

Andere Rechtsinstrumente der EU zum Datenschutz

Das Komitee, falls, legt Gesetzgebungsvorschläge ein, um andere Rechtshandlungen der Gewerkschaft zum Schutz personenbezogener Daten zu ändern, Um eine einheitliche und konsequente Schutz natürlicher Personen bei der Verarbeitung zu gewährleisten. Dies betrifft insbesondere die Regeln des auf den Schutz natürlicher Personen bei der Verarbeitung von den Organen, Einrichtungen, Ämtern und Agenturen der Union und den freien Verkehr dieser Daten über.

Artikel 99

Eintritt in Kraft und Anwendung

1. Diese Verordnung beginnt sich am zwanzig Tag seiner Veröffentlichung im offiziellen Journal der Europäischen Union zu bewerben.

2. Wird von der Anwendung eingesetzt 25 Mai 2018.

L 119/88

Amtsblatt der Europäischen Union

4.5.2016

DAS

Diese Verordnung ist für alle Teile von IT bindend und ist in jedem Mitgliedstaat sofort gültig.

Brüssel, 27 April 2016.

Für das Europäische Parlament der Präsident
M. Schulz

Für den Rat
Der Präsident
J.A.. HENNIS-PLASSCHAERT