-
Notifications
You must be signed in to change notification settings - Fork 1
/
index.html
2900 lines (2893 loc) · 266 KB
/
index.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
994
995
996
997
998
999
1000
<!DOCTYPE html>
<head>
<meta charset="UTF-8">
<title>GDPR på Norsk</title>
<link href="https://fonts.googleapis.com/css?family=Merriweather:300" rel="stylesheet">
<style>
body {
font-family: 'Merriweather', serif;
font-weight: 300;
}
p, h1, h2, h3 {
line-height: 1.5em;
}
ul {
list-style-type: none;
}
.document {
width: 45rem;
margin: auto;
}
h2.title {
font-size: 1.2em;
margin-bottom: -.5em;
margin-top: 3em;
font-weight: 300;
}
h2 + p {
margin-left: 2.5rem;
}
</style>
</head>
<body>
<div class="document">
<p>Norsk oversettelse av GDPR hentet fra <a href="https://www.regjeringen.no/no/dokumenter/prop.-56-ls-20172018/id2594627/sec37">Proposisjon 56 LS (2017–2018)</a></p>
<p> Kildekode finnes her <a href="https://github.com/BobbyTable/NorskGDPR">https://github.com/BobbyTable/NorskGDPR</a></p>
<h2 class="title">Tittel</h2>
<h2>Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning)</h2>
<h2 class="title">Kapittel I </h2>
<h2 class="subtitle">Alminnelige bestemmelser </h2>
<h2 class="title">Artikkel 1 </h2>
<h2 class="subtitle">Formål og mål </h2>
<ul class="list">
<li>
<p>1. Denne forordning fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger samt regler om fri utveksling av personopplysninger. </p>
</li>
<li>
<p>2. Denne forordning sikrer vern av fysiske personers grunnleggende rettigheter og friheter, særlig deres rett til vern av personopplysninger. </p>
</li>
<li>
<p>3. Fri utveksling av personopplysninger i Unionen skal verken begrenses eller forbys av årsaker knyttet til vern av fysiske personer i forbindelse med behandling av personopplysninger. </p>
</li>
</ul>
<h2 class="title">Artikkel 2 </h2>
<h2 class="subtitle">Saklig virkeområde </h2>
<ul class="list">
<li>
<p>1. Denne forordning får anvendelse på helt eller delvis automatisert behandling av personopplysninger og på ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register. </p>
</li>
<li>
<p>2. Denne forordning får ikke anvendelse på behandling av personopplysninger som utføres </p>
<ul class="list">
<li>
<p>a) i forbindelse med utøvelse av en aktivitet som ikke omfattes av unionsretten, </p>
</li>
<li>
<p>b) av medlemsstatene når de utøver aktiviteter som omfattes av avdeling V kapittel 2 i TEU, </p>
</li>
<li>
<p>c) av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter, </p>
</li>
<li>
<p>d) av vedkommende myndigheter med henblikk på å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet. </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P10">3. Forordning (EF) nr. 45/2001 får anvendelse på behandling av personopplysninger som utføres av Unionens institusjoner, organer, kontorer og byråer. Forordning (EF) nr. 45/2001 og andre av Unionens rettsakter som får anvendelse på slik behandling av personopplysninger, skal tilpasses prinsippene og reglene i denne forordning i samsvar med artikkel 98. </p>
</li>
<li>
<p id="VED1-P11">4. Denne forordning berører ikke anvendelsen av direktiv 2000/31/EF, særlig reglene for tjenesteytende mellommenns ansvar i artikkel 12–15 i nevnte direktiv. </p>
</li>
</ul>
<h2 class="title">Artikkel 3 </h2>
<h2 class="subtitle">Geografisk virkeområde </h2>
<ul class="list">
<li>
<p>1. Denne forordning får anvendelse på behandling av personopplysninger som utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller en databehandler i Unionen, uavhengig av om behandlingen finner sted i Unionen eller ikke. </p>
</li>
<li>
<p>2. Denne forordning får anvendelse på behandling av personopplysninger om registrerte som befinner seg i Unionen, og som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i Unionen, dersom behandlingen er knyttet til </p>
<ul class="list">
<li>
<p>a) tilbud av varer eller tjenester til slike registrerte i Unionen, uavhengig av om det kreves betaling fra den registrerte eller ikke, eller </p>
</li>
<li>
<p>b) monitorering av deres atferd, i den grad deres atferd finner sted i Unionen. </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P12">3. Denne forordning får anvendelse på behandling av personopplysninger som utføres av en behandlingsansvarlig som ikke er etablert i Unionen, men på et sted der en medlemsstats nasjonale rett får anvendelse i henhold til folkeretten. </p>
</li>
</ul>
<h2 class="title">Artikkel 4 </h2>
<h2 class="subtitle">Definisjoner </h2>
<p id="VED1-P13">I denne forordning menes med </p>
<ul class="list">
<li>
<p>1) «personopplysninger» enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet, </p>
</li>
<li>
<p>2) «behandling» enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, </p>
</li>
<li>
<p>3) «begrensning av behandling» merking av lagrede personopplysninger med det som mål å begrense behandlingen av disse i framtiden, </p>
</li>
<li>
<p>4) «profilering» enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser, </p>
</li>
<li>
<p>5) «pseudonymisering» behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres atskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person, </p>
</li>
<li>
<p>6) «register» enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag, </p>
</li>
<li>
<p>7) «behandlingsansvarlig» en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett, </p>
</li>
<li>
<p>8) «databehandler» en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige, </p>
</li>
<li>
<p>9) «mottaker» en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som personopplysninger utleveres til, enten det dreier seg om en tredjepart eller ikke. Offentlige myndigheter som kan motta personopplysninger innenfor rammen av en særskilt undersøkelse i samsvar med unionsretten eller medlemsstatenes nasjonale rett, skal imidlertid ikke anses som mottakere; nevnte offentlige myndigheters behandling av slike opplysninger skal være i samsvar med gjeldende regler om vern av personopplysninger i henhold til formålet med behandlingen, </p>
</li>
<li>
<p>10) «tredjepart» enhver annen fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ enn den registrerte, den behandlingsansvarlige, databehandleren og de personer som under den behandlingsansvarlige eller databehandlerens direkte myndighet har fullmakt til å behandle personopplysninger, </p>
</li>
<li>
<p>11) «samtykke» fra den registrerte enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende, </p>
</li>
<li>
<p>12) «brudd på personopplysningssikkerheten» et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet, </p>
</li>
<li>
<p>13) «genetiske opplysninger» personopplysninger om en fysisk persons nedarvede eller ervervede genetiske egenskaper som gir unik informasjon om den aktuelle fysiske personens fysiologi eller helse, og som særlig er framkommet etter analysering av en biologisk prøve fra den aktuelle fysiske personen, </p>
</li>
<li>
<p>14) «biometriske opplysninger» personopplysninger som stammer fra en særskilt teknisk behandling knyttet til en fysisk persons fysiske, fysiologiske eller atferdsmessige egenskaper, og som muliggjør eller bekrefter en entydig identifikasjon av nevnte fysiske person, f.eks. ansiktsbilder eller fingeravtrykksopplysninger, </p>
</li>
<li>
<p>15) «helseopplysninger» personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand, </p>
</li>
<li>
<p>16) «hovedvirksomhet»: </p>
<ul class="list">
<li>
<p>a) når det gjelder en behandlingsansvarlig med virksomheter i mer enn én medlemsstat, stedet for dennes hovedadministrasjon i Unionen, med mindre avgjørelser om formål og midler i forbindelse med behandlingen av personopplysninger treffes i en annen av den behandlingsansvarliges virksomheter i Unionen, og sistnevnte virksomhet har myndighet til å få gjennomført nevnte avgjørelser, i dette tilfellet skal virksomheten som har truffet slike avgjørelser, anses for å være hovedvirksomheten, </p>
</li>
<li>
<p>b) når det gjelder en databehandler med virksomheter i mer enn én medlemsstat, stedet for dennes hovedadministrasjon i Unionen eller, dersom databehandleren ikke har noen hovedadministrasjon i Unionen, databehandlerens virksomhet i Unionen der hoveddelen av behandlingsaktivitetene i forbindelse med aktivitetene ved en databehandlers virksomhet finner sted, i den grad databehandleren er underlagt særlige forpliktelser i henhold til denne forordning, </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P14">17) «representant» en fysisk eller juridisk person som er etablert i Unionen, som den behandlingsansvarlige eller databehandleren har utpekt skriftlig i henhold til artikkel 27, og som representerer den behandlingsansvarlige eller databehandleren med hensyn til de forpliktelser de har i henhold til denne forordning, </p>
</li>
<li>
<p id="VED1-P15">18) «foretak» en fysisk eller juridisk person som utøver økonomisk virksomhet, uavhengig av foretakets rettslige form, herunder partnerskap eller sammenslutninger som regelmessig utøver økonomisk virksomhet, </p>
</li>
<li>
<p id="VED1-P16">19) «konsern» et foretak som utøver kontroll, og dets kontrollerte foretak, </p>
</li>
<li>
<p id="VED1-P17">20) «bindende virksomhetsregler» retningslinjer for vern av personopplysninger som en behandlingsansvarlig eller databehandler som er etablert på en medlemsstats territorium, følger i forbindelse med en overføring eller en rekke overføringer av personopplysninger til en behandlingsansvarlig eller databehandler i én eller flere tredjestater internt i et konsern eller gruppe av foretak som utøver en felles økonomisk virksomhet, </p>
</li>
<li>
<p id="VED1-P18">21) «tilsynsmyndighet» en uavhengig offentlig myndighet som er opprettet av en medlemsstat i henhold til artikkel 51, </p>
</li>
<li>
<p id="VED1-P19">22) «berørt tilsynsmyndighet» en tilsynsmyndighet som er berørt av en behandling av personopplysninger, fordi </p>
<ul class="list">
<li>
<p>a) den behandlingsansvarlige eller databehandleren er etablert på territoriet til nevnte tilsynsmyndighets medlemsstat, </p>
</li>
<li>
<p>b) registrerte som er bosatt i nevnte tilsynsmyndighets medlemsstat, i vesentlig grad påvirkes eller sannsynligvis vil bli påvirket av behandlingen, eller </p>
</li>
<li>
<p>c) det er klaget til nevnte tilsynsmyndighet, </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P20">23) «grenseoverskridende behandling» </p>
<ul class="list">
<li>
<p>a) behandling av personopplysninger som finner sted i forbindelse med aktiviteter i en behandlingsansvarligs eller databehandlers virksomheter i mer enn én medlemsstat, dersom den behandlingsansvarlige eller databehandleren er etablert i mer enn én medlemsstat, eller </p>
</li>
<li>
<p>b) behandling av personopplysninger som finner sted i forbindelse med aktiviteter i en behandlingsansvarligs eller databehandlers eneste virksomhet i Unionen, men som i betydelig grad påvirker eller sannsynligvis vil påvirke registrerte i mer enn én medlemsstat. </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P21">24) «relevant og begrunnet innsigelse» en innsigelse mot et utkast til avgjørelse om hvorvidt det foreligger en overtredelse av denne forordning eller om hvorvidt et planlagt tiltak som gjelder den behandlingsansvarlige eller databehandleren, er i samsvar med denne forordning, og som tydelig viser betydningen av risikoene som utkastet til avgjørelse utgjør med hensyn til de registrertes grunnleggende rettigheter og friheter og, dersom det er relevant, den frie flyten av personopplysninger i Unionen, </p>
</li>
<li>
<p id="VED1-P22">25) «informasjonssamfunnstjeneste» en tjeneste som definert i artikkel 1 nr. 1 bokstav b) i europaparlaments- og rådsdirektiv (EU) 2015/1535<span class="K-NOTE-FOTNOTE krnl_footnote"><a id="fn19_doc" href="#fn19" aria-haspopup="true" data-footnote="true">19</a></span>, </p>
</li>
<li>
<p id="VED1-P23">26) «internasjonal organisasjon» en organisasjon og dens underordnede organer som er underlagt folkeretten, eller ethvert annet organ opprettet ved eller på grunnlag av en avtale mellom to eller flere stater. </p>
</li>
</ul>
<h2 class="title">Kapittel II </h2>
<h2 class="subtitle">Prinsipper </h2>
<h2 class="title">Artikkel 5 </h2>
<h2 class="subtitle">Prinsipper for behandling av personopplysninger </h2>
<ul class="list">
<li>
<p>1. Personopplysninger skal </p>
<ul class="list">
<li>
<p>a) behandles på en lovlig, rettferdig og åpen måte med hensyn til den registrerte («lovlighet, rettferdighet og åpenhet»), </p>
</li>
<li>
<p>b) samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene; viderebehandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal, i samsvar med artikkel 89 nr. 1, ikke anses som uforenlig med de opprinnelige formålene («formålsbegrensning»), </p>
</li>
<li>
<p>c) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»), </p>
</li>
<li>
<p>d) være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller rettes («riktighet»), </p>
</li>
<li>
<p>e) lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for; personopplysninger kan lagres i lengre perioder dersom de utelukkende vil bli behandlet for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1, forutsatt at det gjennomføres egnede tekniske og organisatoriske tiltak som kreves i henhold til denne forordning for å sikre de registrertes rettigheter og friheter («lagringsbegrensning»), </p>
</li>
<li>
<p>f) behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak («integritet og konfidensialitet»). </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P24">2. Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at nr. 1 overholdes («ansvar»). </p>
</li>
</ul>
<h2 class="title">Artikkel 6 </h2>
<h2 class="subtitle">Behandlingens lovlighet </h2>
<ul class="list">
<li>
<p>1. Behandlingen er bare lovlig dersom og i den grad minst ett av følgende vilkår er oppfylt: </p>
<ul class="list">
<li>
<p>a) den registrerte har samtykket til behandling av sine personopplysninger for ett eller flere spesifikke formål, </p>
</li>
<li>
<p>b) behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse, </p>
</li>
<li>
<p>c) behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige, </p>
</li>
<li>
<p>d) behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser, </p>
</li>
<li>
<p>e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, </p>
</li>
<li>
<p>f) behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn. </p>
<p>Nr. 1 bokstav f) får ikke anvendelse på behandling som utføres av offentlige myndigheter som ledd i utførelsen av deres oppgaver. </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P25">2. Medlemsstatene kan opprettholde eller innføre mer spesifikke bestemmelser for å tilpasse anvendelsen av reglene for behandling i denne forordning med henblikk på å sikre samsvar med nr. 1 bokstav c) og e) ved nærmere å fastsette mer spesifikke krav til behandlingen samt andre tiltak som har som mål å sikre en lovlig og rettferdig behandling, herunder i forbindelse med andre særlige behandlingssituasjoner som nevnt i kapittel IX. </p>
</li>
<li>
<p id="VED1-P26">3. Grunnlaget for behandlingen nevnt i nr. 1 bokstav c) og e) skal fastsettes i </p>
<ul class="list">
<li>
<p>a) unionsretten eller </p>
</li>
<li>
<p>b) medlemsstatens nasjonale rett som den behandlingsansvarlige er underlagt. </p>
</li>
</ul>
<p id="VED1-P27">Formålet med behandlingen skal være fastsatt i nevnte rettslige grunnlag eller, når det gjelder behandlingen nevnt i nr. 1 bokstav e), være nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Nevnte rettslige grunnlag kan inneholde særlige bestemmelser for å tilpasse anvendelsen av reglene i denne forordning, blant annet de generelle vilkårene som skal gjelde for lovligheten av den behandlingsansvarliges behandling, hvilken type opplysninger som skal behandles, berørte registrerte, enhetene som personopplysningene kan utleveres til, og formålene med dette, formålsbegrensning, lagringsperioder samt behandlingsaktiviteter og framgangsmåter for behandling, herunder tiltak for å sikre lovlig og rettferdig behandling, slik som dem fastsatt med henblikk på andre særlige behandlingssituasjoner som nevnt i kapittel IX. Unionsretten eller medlemsstatenes nasjonale rett skal oppfylle et mål i allmennhetens interesse og stå i et rimelig forhold til det berettigede målet som søkes oppnådd. </p>
</li>
<li>
<p id="VED1-P28">4. Dersom behandlingen for et annet formål enn det som personopplysningene er blitt samlet inn for, ikke bygger på den registrertes samtykke eller på unionsretten eller medlemsstatenes nasjonale rett som utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene nevnt i artikkel 23 nr. 1, skal den behandlingsansvarlige for å avgjøre om behandlingen for et annet formål er forenlig med formålet som personopplysningene opprinnelig ble samlet inn for, blant annet ta hensyn til følgende: </p>
<ul class="list">
<li>
<p>a) enhver forbindelse mellom formålene som personopplysningene er blitt samlet inn for, og formålene med den tiltenkte viderebehandlingen, </p>
</li>
<li>
<p>b) i hvilken sammenheng personopplysningene er blitt samlet inn, særlig med hensyn til forholdet mellom de registrerte og den behandlingsansvarlige, </p>
</li>
<li>
<p>c) personopplysningenes art, især om særlige kategorier av personopplysninger behandles, i henhold til artikkel 9, eller om personopplysninger om straffedommer og lovovertredelser behandles, i henhold til artikkel 10, </p>
</li>
<li>
<p>d) de mulige konsekvensene av den tiltenkte viderebehandlingen for de registrerte, </p>
</li>
<li>
<p>e) om det foreligger nødvendige garantier, som kan omfatte kryptering eller pseudonymisering. </p>
</li>
</ul>
</li>
</ul>
<h2 class="title">Artikkel 7 </h2>
<h2 class="subtitle">Vilkår for samtykke </h2>
<ul class="list">
<li>
<p>1. Dersom behandlingen bygger på samtykke, skal den behandlingsansvarlige kunne påvise at den registrerte har samtykket til behandling av personopplysninger om vedkommende. </p>
</li>
<li>
<p>2. Dersom den registrertes samtykke gis i forbindelse med en skriftlig erklæring som også gjelder andre forhold, skal anmodningen om samtykke framlegges på en måte som gjør at den tydelig kan skilles fra nevnte andre forhold, i en forståelig og lett tilgjengelig form og på et klart og enkelt språk. Deler av en slik erklæring som er i strid med denne forordning, skal ikke være bindende. </p>
</li>
<li>
<p>3. Den registrerte skal ha rett til å trekke tilbake sitt samtykke til enhver tid. Dersom samtykket trekkes tilbake, skal det ikke påvirke lovligheten av behandlingen som bygger på samtykket før det trekkes tilbake. Før det gis samtykke, skal den registrerte opplyses om dette. Det skal være like enkelt å trekke tilbake som å gi samtykke. </p>
</li>
<li>
<p>4. Ved vurdering av om et samtykke er gitt frivillig skal det tas størst mulig hensyn til blant annet om oppfyllelse av en avtale, herunder om yting av en tjeneste, er gjort betinget av samtykke til behandling av personopplysninger som ikke er nødvendig for å oppfylle nevnte avtale. </p>
</li>
</ul>
<h2 class="title">Artikkel 8 </h2>
<h2 class="subtitle">Vilkår for barns samtykke i forbindelse med informasjonssamfunnstjenester </h2>
<ul class="list">
<li>
<p>1. Dersom artikkel 6 nr. 1 bokstav a) får anvendelse i forbindelse med tilbud om informasjonssamfunnstjenester direkte til et barn, er behandling av et barns personopplysninger lovlig dersom barnet er minst 16 år. Dersom barnet er under 16 år, er slik behandling lovlig bare dersom og i den grad samtykke er gitt eller godkjent av den som har foreldreansvar for barnet. </p>
<p>For disse formål kan medlemsstatene ved lov fastsette en lavere aldersgrense, forutsatt at den ikke er lavere enn 13 år. </p>
</li>
<li>
<p>2. I slike tilfeller skal den behandlingsansvarlige treffe rimelige tiltak for å kontrollere at samtykke er gitt eller godkjent av den som har foreldreansvar for barnet, idet det tas hensyn til tilgjengelig teknologi. </p>
</li>
<li>
<p>3. Nr. 1 skal ikke påvirke medlemsstatenes alminnelige avtalerett, f.eks. reglene for gyldigheten, utformingen eller virkningen av en avtale som gjelder et barn. </p>
</li>
</ul>
<h2 class="title">Artikkel 9 </h2>
<h2 class="subtitle">Behandling av særlige kategorier av personopplysninger </h2>
<ul class="list">
<li>
<p>1. Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er forbudt. </p>
</li>
<li>
<p>2. Nr. 1 får ikke anvendelse dersom et av følgende vilkår er oppfylt: </p>
<ul class="list">
<li>
<p>a) Den registrerte har gitt uttrykkelig samtykke til behandling av slike personopplysninger for ett eller flere spesifikke formål, unntatt dersom det i unionsretten eller medlemsstatenes nasjonale rett er fastsatt at den registrerte ikke kan oppheve forbudet nevnt i nr. 1. </p>
</li>
<li>
<p>b) Behandlingen er nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett, trygderett og sosialrett i den grad dette er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett, eller en tariffavtale i henhold til medlemsstatenes nasjonale rett som gir nødvendige garantier for den registrertes grunnleggende rettigheter og interesser. </p>
</li>
<li>
<p>c) Behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser dersom den registrerte fysisk eller juridisk ikke er i stand til å gi samtykke. </p>
</li>
<li>
<p>d) Behandlingen utføres av en stiftelse, sammenslutning eller et annet ideelt organ hvis mål er av politisk, religiøs eller fagforeningsmessig art, som ledd i organets berettigede aktiviteter og med nødvendige garantier, forutsatt at behandlingen bare gjelder organets medlemmer eller tidligere medlemmer eller personer som på grunn av organets mål har regelmessig kontakt med det, og at personopplysningene ikke utleveres til andre enn nevnte organ uten de registrertes samtykke. </p>
</li>
<li>
<p>e) Behandlingen gjelder personopplysninger som det er åpenbart at den registrerte har offentliggjort. </p>
</li>
<li>
<p>f) Behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav eller når domstolene handler innenfor rammen av sin domsmyndighet. </p>
</li>
<li>
<p>g) Behandlingen er nødvendig av hensyn til viktige allmenne interesser, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser. </p>
</li>
<li>
<p>h) Behandlingen er nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin for å vurdere en arbeidstakers arbeidskapasitet, i forbindelse med medisinsk diagnostikk, yting av helse- eller sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og -systemer på grunnlag av unionsretten eller medlemsstatenes nasjonale rett eller i henhold til en avtale med helsepersonell og med forbehold for vilkårene og garantiene nevnt i nr. 3. </p>
</li>
<li>
<p>i) Behandlingen er nødvendig av allmenne folkehelsehensyn, f.eks. vern mot alvorlige grenseoverskridende helsetrusler eller for å sikre høye kvalitets- og sikkerhetsstandarder for helsetjenester og legemidler eller medisinsk utstyr, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett der det fastsettes egnede og særlige tiltak for å verne den registrertes rettigheter og friheter, særlig taushetsplikt. </p>
</li>
<li>
<p>j) Behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser. </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P29">3. Personopplysningene nevnt i nr. 1 kan behandles for formålene nevnt i nr. 2 bokstav h) dersom opplysningene behandles av en fagperson som har taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett eller regler fastsatt av nasjonale vedkommende organer, eller under en slik persons ansvar, eller av en annen person som også har taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett eller regler fastsatt av nasjonale vedkommende organer. </p>
</li>
<li>
<p id="VED1-P30">4. Medlemsstatene kan opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger. </p>
</li>
</ul>
<h2 class="title">Artikkel 10 </h2>
<h2 class="subtitle">Behandling av personopplysninger om straffedommer og lovovertredelser </h2>
<p id="VED1-P31">Behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak på grunnlag av artikkel 6 nr. 1 skal bare utføres under en offentlig myndighets kontroll eller dersom behandlingen er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som sikrer nødvendige garantier for de registrertes rettigheter og friheter. Alle omfattende registre over straffedommer må bare føres under en offentlig myndighets kontroll. </p>
<h2 class="title">Artikkel 11 </h2>
<h2 class="subtitle">Behandling som ikke krever identifikasjon </h2>
<ul class="list">
<li>
<p>1. Dersom formålene med den behandlingsansvarliges behandling av personopplysninger ikke krever eller ikke lenger krever at den behandlingsansvarlige kan identifisere en registrert, skal den behandlingsansvarlige ikke ha plikt til å bevare, innhente eller behandle ytterligere opplysninger for å identifisere den registrerte utelukkende med det formål å oppfylle kravene i denne forordning. </p>
</li>
<li>
<p>2. Dersom den behandlingsansvarlige i tilfeller nevnt i nr. 1 i denne artikkel kan påvise at vedkommende ikke er i stand til å identifisere den registrerte, skal den behandlingsansvarlige, dersom det er mulig, informere den registrerte om dette. I slike tilfeller får artikkel 15–20 ikke anvendelse, bortsett fra når den registrerte for å utøve sine rettigheter i henhold til nevnte artikler gir ytterligere opplysninger som gjør det mulig å identifisere vedkommende. </p>
</li>
</ul>
<h2 class="title">Kapittel III </h2>
<h2 class="subtitle">Den registrertes rettigheter </h2>
<h2 class="title">Avsnitt 1 </h2>
<h2 class="subtitle">Åpenhet og vilkår </h2>
<h2 class="title">Artikkel 12 </h2>
<h2 class="subtitle">Klar og tydelig informasjon, kommunikasjon og nærmere regler om utøvelse av den registrertes rettigheter </h2>
<ul class="list">
<li>
<p>1. Den behandlingsansvarlige skal treffe egnede tiltak for å framlegge for den registrerte informasjonen nevnt i artikkel 13 og 14 og all kommunikasjon i henhold til artikkel 15–22 og 34 om behandlingen på en kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk, især når det gjelder informasjon som spesifikt er rettet mot et barn. Informasjonen skal gis skriftlig eller på en annen måte, herunder elektronisk dersom det er hensiktsmessig. På anmodning fra den registrerte kan informasjonen gis muntlig, forutsatt at den registrertes identitet bevises på andre måter. </p>
</li>
<li>
<p>2. Den behandlingsansvarlige skal legge til rette for at den registrerte kan utøve sine rettigheter i henhold til artikkel 15–22. I tilfellene nevnt i artikkel 11 nr. 2 skal den behandlingsansvarlige ikke nekte å etterkomme den registrertes anmodning om å utøve sine rettigheter i henhold til artikkel 15–22, med mindre den behandlingsansvarlige påviser at vedkommende ikke er i stand til å identifisere den registrerte. </p>
</li>
<li>
<p>3. Den behandlingsansvarlige skal informere den registrerte om tiltak som er truffet på grunnlag av en anmodning i henhold til artikkel 15–22, uten ugrunnet opphold og senest én måned etter mottak av anmodningen. Denne fristen kan ved behov forlenges med ytterligere to måneder, idet det tas hensyn til antall anmodninger og anmodningenes kompleksitet. Den behandlingsansvarlige skal informere den registrerte om enhver slik forlengelse senest én måned etter mottak av anmodningen sammen med en begrunnelse for forsinkelsen. Dersom den registrerte inngir anmodningen elektronisk, skal informasjonen om mulig gis elektronisk, med mindre den registrerte anmoder om noe annet. </p>
</li>
<li>
<p>4. Dersom den behandlingsansvarlige ikke treffer tiltak på anmodning fra den registrerte, skal den behandlingsansvarlige informere den registrerte uten opphold og senest én måned etter mottak av anmodningen om årsakene til dette og om muligheten for å inngi klage til en tilsynsmyndighet og for rettslig prøving. </p>
</li>
<li>
<p>5. Informasjon som gis i henhold til artikkel 13 og 14, og enhver kommunikasjon og ethvert tiltak som treffes i henhold til artikkel 15–22 og 34, skal være gratis. Dersom anmodninger fra en registrert er åpenbart grunnløse eller overdrevne, særlig dersom de gjentas, kan den behandlingsansvarlige enten </p>
<ul class="list">
<li>
<p>a) kreve et rimelig gebyr, idet det tas hensyn til administrasjonskostnadene for å gi informasjonen eller treffe de tiltak det anmodes om, eller </p>
</li>
<li>
<p>b) nekte å etterkomme anmodningen. </p>
</li>
</ul>
<p id="VED1-P32">Den behandlingsansvarlige skal bære bevisbyrden for at en anmodning er åpenbart grunnløs eller overdreven. </p>
</li>
<li>
<p id="VED1-P33">6. Uten at det berører artikkel 11, kan den behandlingsansvarlige, dersom det hersker rimelig tvil om identiteten til den fysiske personen som inngir anmodningen nevnt i artikkel 15–21, anmode om ytterligere opplysninger som er nødvendige for å kunne bekrefte den registrertes identitet. </p>
</li>
<li>
<p id="VED1-P34">7. Informasjonen som skal gis de registrerte i henhold til artikkel 13 og 14, kan gis sammen med standardiserte ikoner for å gi en lett synlig, forståelig, lettlest og meningsfull oversikt over den tiltenkte behandlingen. Dersom ikonene presenteres elektronisk, skal de være maskinlesbare. </p>
</li>
<li>
<p id="VED1-P35">8. Kommisjonen skal gis myndighet til å vedta delegerte rettsakter i samsvar med artikkel 92 for å fastsette hvilken informasjon som skal gis ved hjelp av ikoner, og framgangsmåtene for å tilveiebringe standardiserte ikoner. </p>
</li>
</ul>
<h2 class="title">Avsnitt 2 </h2>
<h2 class="subtitle">Informasjon og innsyn i personopplysninger </h2>
<h2 class="title">Artikkel 13 </h2>
<h2 class="subtitle">Informasjon som skal gis ved innsamling av personopplysninger fra den registrerte </h2>
<ul class="list">
<li>
<p>1. Når personopplysninger om en registrert samles inn fra den registrerte, skal den behandlingsansvarlige på tidspunktet for innsamlingen av personopplysningene gi den registrerte følgende informasjon: </p>
<ul class="list">
<li>
<p>a) identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den behandlingsansvarliges representant, </p>
</li>
<li>
<p>b) kontaktopplysningene til personvernombudet, dersom dette er relevant, </p>
</li>
<li>
<p>c) formålene med den tiltenkte behandlingen av personopplysningene samt det rettslige grunnlaget for behandlingen, </p>
</li>
<li>
<p>d) dersom behandlingen er basert på artikkel 6 nr. 1 bokstav f), de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, </p>
</li>
<li>
<p>e) eventuelle mottakere eller kategorier av mottakere av personopplysningene, </p>
</li>
<li>
<p>f) dersom det er relevant, det faktum at den behandlingsansvarlige akter å overføre personopplysninger til en tredjestat eller en internasjonal organisasjon og om hvorvidt Kommisjonen har truffet en beslutning om tilstrekkelig beskyttelsesnivå eller ikke, eller når det gjelder overføringene nevnt i artikkel 46 eller 47 eller artikkel 49 nr. 1 annet ledd, en henvisning til nødvendige eller passende garantier, hvordan man får tak i et eksemplar av dem, eller hvor de er gjort tilgjengelig. </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P36">2. I tillegg til informasjonen nevnt i nr. 1 skal den behandlingsansvarlige på tidspunktet for innsamling av personopplysninger gi den registrerte følgende ytterligere informasjon som er nødvendig for å sikre en rettferdig og åpen behandling: </p>
<ul class="list">
<li>
<p>a) det tidsrom personopplysningene vil bli lagret, eller dersom dette ikke er mulig, kriteriene som brukes for å fastsette dette tidsrommet, </p>
</li>
<li>
<p>b) retten til å anmode den behandlingsansvarlige om innsyn i og retting eller sletting av personopplysninger eller begrensning av behandlingen som gjelder den registrerte, eller til å protestere mot behandlingen samt retten til dataportabilitet, </p>
</li>
<li>
<p>c) dersom behandlingen er basert på artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), retten til når som helst å trekke tilbake et samtykke uten at det påvirker lovligheten av en behandling basert på et samtykke før samtykket trekkes tilbake, </p>
</li>
<li>
<p>d) retten til å klage til en tilsynsmyndighet, </p>
</li>
<li>
<p>e) om det foreligger et lovfestet eller avtalefestet krav om å gi personopplysninger eller et krav som er nødvendig for å inngå en avtale, samt om den registrerte har plikt til å gi personopplysningene og om mulige konsekvenser dersom vedkommende ikke gjør det, </p>
</li>
<li>
<p>f) forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte. </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P37">3. Dersom den behandlingsansvarlige har til hensikt å viderebehandle personopplysningene for et annet formål enn det opplysningene ble samlet inn for, skal den behandlingsansvarlige før nevnte viderebehandling gi den registrerte informasjon om nevnte andre formål og annen nødvendig informasjon som nevnt i nr. 2. </p>
</li>
<li>
<p id="VED1-P38">4. Nr. 1, 2 og 3 får ikke anvendelse dersom og i den grad den registrerte allerede har informasjonen. </p>
</li>
</ul>
<h2 class="title">Artikkel 14 </h2>
<h2 class="subtitle">Informasjon som skal gis dersom personopplysninger ikke er blitt samlet inn fra den registrerte </h2>
<ul class="list">
<li>
<p>1. Dersom personopplysninger ikke er blitt samlet inn fra den registrerte, skal den behandlingsansvarlige gi den registrerte følgende informasjon: </p>
<ul class="list">
<li>
<p>a) identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den behandlingsansvarliges representant, </p>
</li>
<li>
<p>b) kontaktopplysningene til personvernombudet, dersom dette er relevant, </p>
</li>
<li>
<p>c) formålene med den tiltenkte behandlingen av personopplysningene samt det rettslige grunnlaget for behandlingen, </p>
</li>
<li>
<p>d) de berørte kategoriene av personopplysninger, </p>
</li>
<li>
<p>e) eventuelle mottakere eller kategorier av mottakere av personopplysningene, </p>
</li>
<li>
<p>f) dersom det er relevant, at den behandlingsansvarlige har til hensikt å overføre personopplysninger til en mottaker i en tredjestat eller en internasjonal organisasjon og om hvorvidt Kommisjonen har truffet en beslutning om tilstrekkelig beskyttelsesnivå eller ikke, eller, når det gjelder overføringene nevnt i artikkel 46 eller 47 eller artikkel 49 nr. 1 annet ledd, en henvisning til nødvendige eller passende garantier, hvordan man får tak i et eksemplar av dem eller hvor de er gjort tilgjengelig. </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P39">2. I tillegg til informasjonen nevnt i nr. 1 skal den behandlingsansvarlige gi den registrerte følgende informasjon som er nødvendig for å sikre den registrerte en rettferdig og åpen behandling: </p>
<ul class="list">
<li>
<p>a) det tidsrom personopplysningene vil bli lagret, eller dersom dette ikke er mulig, kriteriene som brukes for å fastsette dette tidsrommet, </p>
</li>
<li>
<p>b) dersom behandlingen er basert på artikkel 6 nr. 1 bokstav f), de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, </p>
</li>
<li>
<p>c) retten til å anmode den behandlingsansvarlige om innsyn i og retting eller sletting av personopplysninger eller begrensning av behandlingen som gjelder den registrerte, og til å protestere mot behandlingen samt retten til dataportabilitet, </p>
</li>
<li>
<p>d) dersom behandlingen er basert på artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), retten til når som helst å trekke tilbake et samtykke uten at det påvirker lovligheten av en behandling basert på et samtykke før samtykket trekkes tilbake, </p>
</li>
<li>
<p>e) retten til å klage til en tilsynsmyndighet, </p>
</li>
<li>
<p>f) fra hvilken kilde personopplysningene stammer fra, og, dersom det er relevant, om de stammer fra offentlig tilgjengelige kilder, </p>
</li>
<li>
<p>g) forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte. </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P40">3. Den behandlingsansvarlige skal gi informasjonen nevnt i nr. 1 og 2 </p>
<ul class="list">
<li>
<p>a) innen en rimelig frist etter at personopplysningene er samlet inn, men senest innen én måned, idet det tas hensyn til de særlige forholdene som personopplysningene er behandlet under, </p>
</li>
<li>
<p>b) dersom personopplysningene skal brukes til å kommunisere med den registrerte, senest på tidspunktet for den første kommunikasjonen med vedkommende, eller </p>
</li>
<li>
<p>c) dersom det er planlagt at personopplysningene skal utleveres til en annen mottaker, senest når personopplysningene første gang utleveres. </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P41">4. Dersom den behandlingsansvarlige har til hensikt å viderebehandle personopplysningene for et annet formål enn det opplysningene ble samlet inn for, skal den behandlingsansvarlige før nevnte viderebehandling gi den registrerte informasjon om nevnte andre formål og annen relevant informasjon som nevnt i nr. 2. </p>
</li>
<li>
<p id="VED1-P42">5. Nr. 1–4 får ikke anvendelse dersom og i den grad </p>
<ul class="list">
<li>
<p>a) den registrerte allerede har informasjonen, </p>
</li>
<li>
<p>b) det viser seg umulig å gi nevnte informasjon eller det vil innebære en uforholdsmessig stor innsats, særlig i forbindelse med behandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i henhold til vilkårene og garantiene nevnt i artikkel 89 nr. 1, eller i den grad forpliktelsen nevnt i nr. 1 i denne artikkel sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med nevnte behandling nås. I slike tilfeller skal den behandlingsansvarlige treffe egnede tiltak for å verne den registrertes rettigheter og friheter og berettigede interesser, herunder gjøre informasjonen offentlig tilgjengelig, </p>
</li>
<li>
<p>c) innsamling eller utlevering er uttrykkelig fastsatt i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, og som inneholder egnede tiltak for å verne den registrertes berettigede interesser, eller </p>
</li>
<li>
<p>d) dersom personopplysningene må holdes konfidensielle som følge av taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett, herunder en lovfestet taushetsplikt. </p>
</li>
</ul>
</li>
</ul>
<h2 class="title">Artikkel 15 </h2>
<h2 class="subtitle">Den registrertes rett til innsyn </h2>
<ul class="list">
<li>
<p>1. Den registrerte skal ha rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene og følgende informasjon: </p>
<ul class="list">
<li>
<p>a) formålene med behandlingen, </p>
</li>
<li>
<p>b) de berørte kategoriene av personopplysninger, </p>
</li>
<li>
<p>c) mottakerne eller kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, særlig mottakere i tredjestater eller internasjonale organisasjoner, </p>
</li>
<li>
<p>d) dersom det er mulig, hvor lenge det forventes at personopplysningene vil bli lagret, eller, dersom dette ikke er mulig, kriteriene som brukes for å fastsette denne perioden, </p>
</li>
<li>
<p>e) retten til å anmode den behandlingsansvarlige om retting eller sletting av personopplysninger eller begrensning av behandlingen av personopplysninger som gjelder den registrerte, eller til å protestere mot nevnte behandling, </p>
</li>
<li>
<p>f) retten til å klage til en tilsynsmyndighet, </p>
</li>
<li>
<p>g) dersom personopplysningene ikke er samlet inn fra den registrerte, all tilgjengelig informasjon om hvor personopplysningene stammer fra, </p>
</li>
<li>
<p>h) forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte. </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P43">2. Dersom personopplysningene overføres til en tredjestat eller til en internasjonal organisasjon, skal den registrerte ha rett til å bli underrettet om de nødvendige garantiene i henhold til artikkel 46 i forbindelse med overføringen. </p>
</li>
<li>
<p id="VED1-P44">3. Den behandlingsansvarlige skal gjøre tilgjengelig en kopi av personopplysningene som behandles. Dersom den registrerte anmoder om flere kopier, kan den behandlingsansvarlige kreve et rimelig gebyr basert på administrasjonskostnadene. Dersom den registrerte inngir anmodningen elektronisk, og med mindre den registrerte anmoder om noe annet, skal informasjonen gis i en vanlig elektronisk form. </p>
</li>
<li>
<p id="VED1-P45">4. Retten til å motta en kopi nevnt i nr. 3 skal ikke ha negativ innvirkning på andres rettigheter og friheter. </p>
</li>
</ul>
<h2 class="title">Avsnitt 3 </h2>
<h2 class="subtitle">Retting og sletting </h2>
<h2 class="title">Artikkel 16 </h2>
<h2 class="subtitle">Rett til retting </h2>
<p id="VED1-P46">Den registrerte skal ha rett til å få uriktige personopplysninger om seg selv rettet av den behandlingsansvarlige uten ugrunnet opphold. Idet det tas hensyn til formålene med behandlingen skal den registrerte ha rett til å få ufullstendige personopplysninger komplettert, herunder ved å framlegge en supplerende erklæring. </p>
<h2 class="title">Artikkel 17 </h2>
<h2 class="subtitle">Rett til sletting («rett til å bli glemt») </h2>
<ul class="list">
<li>
<p>1. Den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold, og den behandlingsansvarlige skal ha plikt til å slette personopplysninger uten ugrunnet opphold dersom et av de følgende forhold gjør seg gjeldende: </p>
<ul class="list">
<li>
<p>a) personopplysningene er ikke lenger nødvendige for formålet som de ble samlet inn eller behandlet for, </p>
</li>
<li>
<p>b) den registrerte trekker tilbake samtykket som ligger til grunn for behandlingen, i henhold til artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), og det ikke finnes noe annet rettslig grunnlag for behandlingen, </p>
</li>
<li>
<p>c) den registrerte protesterer mot behandlingen i henhold til artikkel 21 nr. 1, og det ikke finnes mer tungtveiende berettigede grunner til behandlingen, eller den registrerte protesterer mot behandlingen i henhold til artikkel 21 nr. 2, </p>
</li>
<li>
<p>d) personopplysningene er blitt behandlet ulovlig, </p>
</li>
<li>
<p>e) personopplysningene må slettes for å oppfylle en rettslig forpliktelse i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, </p>
</li>
<li>
<p>f) personopplysningene er blitt samlet inn i forbindelse med tilbud om informasjonssamfunnstjenester som nevnt i artikkel 8 nr. 1. </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P47">2. Dersom den behandlingsansvarlige har offentliggjort personopplysningene og i henhold til nr. 1 har plikt til å slette personopplysningene, skal vedkommende, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnadene, treffe rimelige tiltak, herunder tekniske tiltak, for å underrette behandlingsansvarlige som behandler personopplysningene, om at den registrerte har anmodet om at nevnte behandlingsansvarlige skal slette alle lenker til, kopier eller reproduksjoner av nevnte personopplysninger. </p>
</li>
<li>
<p id="VED1-P48">3. Nr. 1 og 2 får ikke anvendelse dersom nevnte behandling er nødvendig </p>
<ul class="list">
<li>
<p>a) for å utøve retten til ytrings- og informasjonsfrihet, </p>
</li>
<li>
<p>b) for å oppfylle en rettslig forpliktelse som krever behandling i henhold til unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, eller for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, </p>
</li>
<li>
<p>c) av hensyn til allmennhetens interesse på området folkehelse i samsvar med artikkel 9 nr. 2 bokstav h) og i) og artikkel 9 nr. 3, </p>
</li>
<li>
<p>d) for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 i den grad rettigheten nevnt i nr. 1 sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med nevnte behandling nås, eller </p>
</li>
<li>
<p>e) for å fastsette, gjøre gjeldende eller forsvare rettskrav. </p>
</li>
</ul>
</li>
</ul>
<h2 class="title">Artikkel 18 </h2>
<h2 class="subtitle">Rett til begrensning av behandling </h2>
<ul class="list">
<li>
<p>1. Den registrerte skal ha rett til å kreve av den behandlingsansvarlige at behandlingen begrenses dersom et av de følgende forhold gjør seg gjeldende: </p>
<ul class="list">
<li>
<p>a) den registrerte bestrider riktigheten av personopplysningene, i en periode som gjør det mulig for den behandlingsansvarlige å kontrollere riktigheten av personopplysningene, </p>
</li>
<li>
<p>b) behandlingen er ulovlig og den registrerte motsetter seg sletting av personopplysningene og isteden anmoder om at bruken av personopplysningene begrenses, </p>
</li>
<li>
<p>c) den behandlingsansvarlige ikke lenger trenger personopplysningene til formålet med behandlingen, men den registrerte har behov for disse for å fastsette, gjøre gjeldende eller forsvare rettskrav, </p>
</li>
<li>
<p>d) den registrerte har protestert mot behandling i henhold til artikkel 21 nr. 1 i påvente av kontrollen av om hvorvidt den behandlingsansvarliges berettigede grunner går foran den registrertes. </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P49">2. Dersom behandlingen er blitt begrenset i henhold til nr. 1, skal slike personopplysninger, bortsett fra lagring, bare behandles med den registrertes samtykke eller for å fastsette, gjøre gjeldende eller forsvare rettskrav eller for å verne en annen fysisk eller juridisk persons rettigheter eller av hensyn til viktige allmenne interesser i Unionen eller en medlemsstat. </p>
</li>
<li>
<p id="VED1-P50">3. En registrert som har oppnådd begrensning av behandlingen i henhold til nr. 1, skal underrettes av den behandlingsansvarlige før nevnte begrensning av behandlingen oppheves. </p>
</li>
</ul>
<h2 class="title">Artikkel 19 </h2>
<h2 class="subtitle">Underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling </h2>
<p id="VED1-P51">Den behandlingsansvarlige skal underrette enhver mottaker som har fått utlevert personopplysninger, om enhver retting eller sletting av personopplysninger eller begrensning av behandlingen utført i samsvar med artikkel 16, artikkel 17 nr. 1 og artikkel 18, med mindre dette viser seg å være umulig eller innebærer en uforholdsmessig stor innsats. Den behandlingsansvarlige skal underrette den registrerte om nevnte mottakere dersom den registrerte anmoder om det. </p>
<h2 class="title">Artikkel 20 </h2>
<h2 class="subtitle">Rett til dataportabilitet </h2>
<ul class="list">
<li>
<p>1. Den registrerte skal ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en behandlingsansvarlig, i et strukturert, alminnelig anvendt og maskinlesbart format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig uten at den behandlingsansvarlige som personopplysningene er gitt til, hindrer dette, dersom </p>
<ul class="list">
<li>
<p>a) behandlingen er basert på samtykke i henhold til artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a) eller en avtale i henhold til artikkel 6 nr. 1 bokstav b), og </p>
</li>
<li>
<p>b) behandlingen utføres automatisk. </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P52">2. Når den registrerte utøver sin rett til dataportabilitet i henhold til nr. 1, skal vedkommende, når det er teknisk mulig, ha rett til å få overført personopplysningene direkte fra en behandlingsansvarlig til en annen. </p>
</li>
<li>
<p id="VED1-P53">3. Utøvelse av rettigheten nevnt i nr. 1 i denne artikkel berører ikke artikkel 17. Nevnte rettighet får ikke anvendelse på behandling som er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. </p>
</li>
<li>
<p id="VED1-P54">4. Rettigheten nevnt i nr. 1 skal ikke ha negativ innvirkning på andres rettigheter og friheter. </p>
</li>
</ul>
<h2 class="title">Avsnitt 4 </h2>
<h2 class="subtitle">Rett til å protestere og automatiserte individuelle avgjørelser </h2>
<h2 class="title">Artikkel 21 </h2>
<h2 class="subtitle">Rett til å protestere </h2>
<ul class="list">
<li>
<p>1. Den registrerte skal til enhver tid, av grunner knyttet til vedkommendes særlige situasjon, ha rett til å protestere mot behandling av personopplysninger om vedkommende, og som har grunnlag i artikkel 6 nr. 1 bokstav e) eller f), herunder profilering med grunnlag i nevnte bestemmelser. Den behandlingsansvarlige skal ikke lenger behandle personopplysningene, med mindre vedkommende kan påvise at det foreligger tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, eller for å fastsette, gjøre gjeldende eller forsvare rettskrav. </p>
</li>
<li>
<p>2. Dersom personopplysninger behandles med henblikk på direkte markedsføring, skal den registrerte til enhver tid ha rett til å protestere mot behandling av personopplysninger som angår vedkommende, til slik markedsføring, herunder profilering i den grad dette er knyttet til direkte markedsføring. </p>
</li>
<li>
<p>3. Dersom den registrerte protesterer mot behandling med henblikk på direkte markedsføring, skal personopplysningene ikke lenger behandles for slike formål. </p>
</li>
<li>
<p>4. Senest på tidspunktet for den første kommunikasjonen med den registrerte skal vedkommende uttrykkelig gjøres oppmerksom på rettigheten nevnt i nr. 1 og 2, og informasjon om nevnte rettighet skal framlegges på en klar måte og atskilt fra annen informasjon. </p>
</li>
<li>
<p>5. I forbindelse med bruk av informasjonssamfunnstjenester og uten hensyn til direktiv 2002/58/EF kan den registrerte utøve sin rett til å protestere ved hjelp av automatiserte midler ved bruk av tekniske spesifikasjoner. </p>
</li>
<li>
<p>6. Dersom personopplysninger behandles for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i henhold til artikkel 89 nr. 1, har den registrerte, av grunner knyttet til vedkommendes særlige situasjon, rett til å protestere mot behandling av personopplysninger om vedkommende, med mindre behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse. </p>
</li>
</ul>
<h2 class="title">Artikkel 22 </h2>
<h2 class="subtitle">Automatiserte individuelle avgjørelser, herunder profilering </h2>
<ul class="list">
<li>
<p>1. Den registrerte skal ha rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende. </p>
</li>
<li>
<p>2. Nr. 1 får ikke anvendelse dersom avgjørelsen </p>
<ul class="list">
<li>
<p>a) er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte og en behandlingsansvarlig, </p>
</li>
<li>
<p>b) er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, og der det også er fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser, eller </p>
</li>
<li>
<p>c) er basert på den registrertes uttrykkelige samtykke. </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P55">3. I tilfellene nevnt i nr. 2 bokstav a) og c) skal den behandlingsansvarlige gjennomføre egnede tiltak for å verne den registrertes rettigheter og friheter og berettigede interesser, i det minste retten til menneskelig inngripen fra den behandlingsansvarlige, til å uttrykke sine synspunkter og til å bestride avgjørelsen. </p>
</li>
<li>
<p id="VED1-P56">4. Avgjørelsene nevnt i nr. 2 skal ikke bygge på særlige kategorier av personopplysninger nevnt i artikkel 9 nr. 1, med mindre artikkel 9 nr. 2 bokstav a) eller g) får anvendelse og det er innført egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. </p>
</li>
</ul>
<h2 class="title">Avsnitt 5 </h2>
<h2 class="subtitle">Begrensninger </h2>
<h2 class="title">Artikkel 23 </h2>
<h2 class="subtitle">Begrensninger </h2>
<ul class="list">
<li>
<p>1. Unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige eller databehandleren er underlagt, kan ved lovgivningsmessige tiltak begrense rekkevidden av forpliktelsene og rettighetene fastsatt i artikkel 12–22 og artikkel 34 samt i artikkel 5 i den grad dens bestemmelser svarer til rettighetene og pliktene fastsatt i artikkel 12–22, når en slik begrensning overholder det vesentligste innholdet i de grunnleggende rettighetene og frihetene og er et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre </p>
<ul class="list">
<li>
<p>a) den nasjonale sikkerhet, </p>
</li>
<li>
<p>b) forsvaret, </p>
</li>
<li>
<p>c) den offentlige sikkerhet, </p>
</li>
<li>
<p>d) forebygging, etterforskning, avsløring eller straffeforfølging av straffbare forhold eller iverksettelse av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet, </p>
</li>
<li>
<p>e) andre viktige mål av generell allmenn interesse for Unionen eller en medlemsstat, særlig Unionens eller en medlemsstats viktige økonomiske eller finansielle interesser, herunder valuta-, budsjett- og skattesaker, folkehelse og trygdespørsmål, </p>
</li>
<li>
<p>f) beskyttelse av rettsvesenets uavhengighet samt retterganger, </p>
</li>
<li>
<p>g) forebygging, etterforskning, avsløring og straffeforfølging av brudd på yrkesetiske regler i lovregulerte yrker, </p>
</li>
<li>
<p>h) en kontroll-, tilsyns- eller reguleringsfunksjon som, også midlertidig, er knyttet til utøvelse av offentlig myndighet i tilfellene nevnt i bokstav a)–e) og g), </p>
</li>
<li>
<p>i) vern av den registrertes interesser eller andres rettigheter og friheter, </p>
</li>
<li>
<p>j) håndheving av sivilrettslige krav. </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P57">2. Alle lovgivningsmessige tiltak nevnt i nr. 1 skal, når det er relevant, minst inneholde særlige bestemmelser om </p>
<ul class="list">
<li>
<p>a) formålene med behandlingen eller kategorier av behandling, </p>
</li>
<li>
<p>b) kategoriene av personopplysninger, </p>
</li>
<li>
<p>c) omfanget av begrensningene som er innført, </p>
</li>
<li>
<p>d) garantiene for å unngå misbruk eller ulovlig tilgang eller overføring, </p>
</li>
<li>
<p>e) spesifisering av den behandlingsansvarlige eller kategoriene av behandlingsansvarlige, </p>
</li>
<li>
<p>f) lagringsperioder og gjeldende garantier, idet det tas hensyn til arten, omfanget av og formålene med behandlingen eller kategoriene av behandling, </p>
</li>
<li>
<p>g) risikoene for de registrertes rettigheter og friheter og </p>
</li>
<li>
<p>h) de registrertes rett til å bli underrettet om begrensningen, med mindre dette kan skade formålet med begrensningen. </p>
</li>
</ul>
</li>
</ul>
<h2 class="title">Kapittel IV </h2>
<h2 class="subtitle">Behandlingsansvarlig og databehandler </h2>
<h2 class="title">Avsnitt 1 </h2>
<h2 class="subtitle">Generelle forpliktelser </h2>
<h2 class="title">Artikkel 24 </h2>
<h2 class="subtitle">Den behandlingsansvarliges ansvar </h2>
<ul class="list">
<li>
<p>1. Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov. </p>
</li>
<li>
<p>2. Dersom det står i et rimelig forhold til behandlingsaktivitetene, skal tiltakene nevnt i nr. 1 omfatte den behandlingsansvarliges iverksetting av egnede retningslinjer for vern av personopplysninger. </p>
</li>
<li>
<p>3. Overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 eller godkjente sertifiseringsmekanismer som nevnt i artikkel 42 kan brukes som en faktor for å påvise at den behandlingsansvarliges forpliktelser overholdes. </p>
</li>
</ul>
<h2 class="title">Artikkel 25 </h2>
<h2 class="subtitle">Innebygd personvern og personvern som standardinnstilling </h2>
<ul class="list">
<li>
<p>1. Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene, behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter som behandlingen medfører, skal den behandlingsansvarlige, både på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen, og på tidspunktet for selve behandlingen, gjennomføre egnede tekniske og organisatoriske tiltak, f.eks. pseudonymisering, utformet med sikte på en effektiv gjennomføring av prinsippene for vern av personopplysninger, f.eks. dataminimering, og for å integrere de nødvendige garantier i behandlingen for å oppfylle kravene i denne forordning og verne de registrertes rettigheter. </p>
</li>
<li>
<p>2. Den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare er personopplysninger som er nødvendige for hvert spesifikke formål med behandlingen, som behandles. Nevnte forpliktelse får anvendelse på den mengden personopplysninger som samles inn, omfanget av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet. Nevnte tiltak skal særlig sikre at personopplysninger som standard ikke gjøres tilgjengelige for et ubegrenset antall fysiske personer uten den berørte personens medvirkning. </p>
</li>
<li>
<p>3. En godkjent sertifiseringsmekanisme i henhold til artikkel 42 kan brukes som en faktor for å påvise at kravene fastsatt i nr. 1 og 2 i denne artikkel overholdes. </p>
</li>
</ul>
<h2 class="title">Artikkel 26 </h2>
<h2 class="subtitle">Felles behandlingsansvarlige </h2>
<ul class="list">
<li>
<p>1. Dersom to eller flere behandlingsansvarlige i fellesskap fastsetter formålene med og midlene for behandlingen, skal de være felles behandlingsansvarlige. De skal på en åpen måte fastsette sitt respektive ansvar for å overholde forpliktelsene i denne forordning, særlig med hensyn til utøvelse av den registrertes rettigheter og den plikt de har til å framlegge informasjonen nevnt i artikkel 13 og 14, ved hjelp av en ordning seg imellom, med mindre og i den grad de behandlingsansvarliges respektive ansvar er fastsatt i unionsretten eller medlemsstatenes nasjonale rett som de behandlingsansvarlige er underlagt. I ordningen kan det utpekes et kontaktpunkt for registrerte. </p>
</li>
<li>
<p>2. Ordningen nevnt i nr. 1 skal på behørig måte gjenspeile de felles behandlingsansvarliges respektive roller og forhold til de registrerte. Det vesentligste innholdet i ordningen skal gjøres tilgjengelig for den registrerte. </p>
</li>
<li>
<p>3. Uavhengig av vilkårene for ordningen nevnt i nr. 1 kan den registrerte utøve sine rettigheter i henhold til denne forordning med hensyn til og overfor hver av de behandlingsansvarlige. </p>
</li>
</ul>
<h2 class="title">Artikkel 27 </h2>
<h2 class="subtitle">Representanter for behandlingsansvarlige eller databehandlere som ikke er etablert i Unionen </h2>
<ul class="list">
<li>
<p>1. Dersom artikkel 3 nr. 2 får anvendelse, skal den behandlingsansvarlige eller databehandleren skriftlig utpeke en representant i Unionen. </p>
</li>
<li>
<p>2. Forpliktelsen fastsatt i nr. 1 i denne artikkel får ikke anvendelse på </p>
<ul class="list">
<li>
<p>a) behandling som skjer leilighetsvis, som ikke omfatter behandling i stor skala av særlige kategorier av opplysninger som nevnt i artikkel 9 nr. 1, eller behandling av personopplysninger om straffedommer eller lovovertredelser som nevnt i artikkel 10, og som sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, eller </p>
</li>
<li>
<p>b) en offentlig myndighet eller et offentlig organ. </p>
</li>
</ul>
</li>
<li>
<p id="VED1-P58">3. Representanten skal være etablert i en av medlemsstatene der de registrerte hvis personopplysninger behandles i forbindelse med tilbud av varer eller tjenester til dem eller hvis atferd monitoreres, befinner seg. </p>
</li>
<li>
<p id="VED1-P59">4. Den behandlingsansvarlige eller databehandleren skal gi representanten fullmakt til å være den, i tillegg til eller istedenfor den behandlingsansvarlige eller databehandleren, som især tilsynsmyndigheter og registrerte kan henvende seg til ved spørsmål om behandlingen, med henblikk på å sikre overholdelse av denne forordning. </p>
</li>
<li>
<p id="VED1-P60">5. Den behandlingsansvarliges eller databehandlerens utpeking av en representant skal ikke berøre eventuelle rettslige skritt mot den behandlingsansvarlige eller databehandleren selv. </p>
</li>
</ul>
<h2 class="title">Artikkel 28 </h2>
<h2 class="subtitle">Databehandler </h2>
<ul class="list">
<li>
<p>1. Dersom en behandling skal utføres på vegne av en behandlingsansvarlig, skal den behandlingsansvarlige bare bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning og vern av den registrertes rettigheter. </p>
</li>
<li>
<p>2. Databehandleren skal ikke engasjere en annen databehandler uten at det på forhånd er innhentet særlig eller generell skriftlig tillatelse til dette fra den behandlingsansvarlige. Dersom det er innhentet en generell skriftlig tillatelse, skal databehandleren underrette den behandlingsansvarlige om eventuelle planer om å benytte andre databehandlere eller skifte ut databehandlere, og dermed gi den behandlingsansvarlige muligheten til å motsette seg slike endringer. </p>
</li>
<li>
<p>3. Behandling utført av en databehandler skal være underlagt en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett som er bindende for databehandleren med hensyn til den behandlingsansvarlige, og der gjenstanden for og varigheten av behandlingen, behandlingens art og formål, typen personopplysninger og kategorier av registrerte samt den behandlingsansvarliges rettigheter og plikter er fastsatt. I nevnte avtale eller nevnte andre rettslige dokument skal det særlig angis at databehandleren </p>
<ul class="list">
<li>
<p>a) behandler personopplysningene bare på dokumenterte instrukser fra den behandlingsansvarlige, herunder med hensyn til overføring av personopplysninger til en tredjestat eller en internasjonal organisasjon, med mindre det kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt; i så fall skal databehandleren underrette den behandlingsansvarlige om nevnte rettslige krav før behandlingen, men mindre denne rett av hensyn til viktige allmenne interesser forbyr en slik underretning, </p>
</li>
<li>
<p>b) sikrer at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene konfidensielt eller er underlagt en egnet lovfestet taushetsplikt, </p>
</li>
<li>
<p>c) treffer alle tiltak som er nødvendig i henhold til artikkel 32, </p>
</li>
<li>
<p>d) overholder vilkårene nevnt i nr. 2 og 4 når det gjelder å engasjere en annen databehandler, </p>
</li>
<li>
<p>e) idet det tas hensyn til behandlingens art og i den grad det er mulig, bistår, ved hjelp av egnede tekniske og organisatoriske tiltak, den behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i kapittel III, </p>
</li>
<li>
<p>f) bistår den behandlingsansvarlige med å sikre overholdelse av forpliktelsene i henhold til artikkel 32–36, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren, </p>
</li>
<li>
<p>g) etter den behandlingsansvarliges valg, sletter eller tilbakeleverer alle personopplysninger til den behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende kopier, med mindre unionsretten eller medlemsstatenes nasjonale rett krever at personopplysningene lagres, </p>
</li>
<li>
<p>h) gjør tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i denne artikkel er oppfylt, samt muliggjør og bidrar til revisjoner, herunder inspeksjoner, som gjennomføres av den behandlingsansvarlige eller en annen inspektør på fullmakt fra den behandlingsansvarlige. </p>
</li>
</ul>
<p id="VED1-P61">Når det gjelder første ledd bokstav h) skal databehandleren omgående underrette den behandlingsansvarlige dersom vedkommende mener at en instruks er i strid med denne forordning eller andre bestemmelser om vern av personopplysninger i unionsretten eller medlemsstatenes nasjonale rett. </p>
</li>
<li>
<p id="VED1-P62">4. Dersom en databehandler engasjerer en annen databehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal nevnte andre databehandler pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i avtalen eller i et annet rettslig dokument mellom den behandlingsansvarlige og databehandleren som nevnt i nr. 3, ved hjelp av en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett, der det særlig gis tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning. Dersom nevnte andre databehandler ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger, skal den opprinnelige databehandleren overfor den behandlingsansvarlige ha fullt ansvar for at nevnte andre databehandler oppfyller sine forpliktelser. </p>
</li>
<li>
<p id="VED1-P63">5. En databehandlers overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 eller en godkjent sertifiseringsmekanisme som nevnt i artikkel 42 kan brukes som en faktor for å påvise at det foreligger tilstrekkelige garantier som nevnt i nr. 1 og 4 i denne artikkel. </p>
</li>
<li>
<p id="VED1-P64">6. Uten at det berører en individuell avtale mellom den behandlingsansvarlige og databehandleren, kan avtalen eller det andre rettslige dokumentet nevnt i nr. 3 og 4 i denne artikkel helt eller delvis bygge på standardavtalevilkårene nevnt i nr. 7 og 8 i denne artikkel, herunder når de inngår i en sertifisering som er gitt den behandlingsansvarlige eller databehandleren i henhold til artikkel 42 og 43. </p>
</li>
<li>
<p id="VED1-P65">7. Kommisjonen kan fastsette standardavtalevilkår for tilfellene nevnt i nr. 3 og 4 i denne artikkel og i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2. </p>
</li>
<li>
<p id="VED1-P66">8. En tilsynsmyndighet kan vedta standardavtalevilkår for tilfellene nevnt i nr. 3 og 4 i denne artikkel og i samsvar med konsistensmekanismen nevnt i artikkel 63. </p>
</li>
<li>
<p id="VED1-P67">9. Avtalen eller det andre rettslige dokumentet nevnt i nr. 3 og 4 skal være skriftlig, herunder elektronisk. </p>
</li>
<li>
<p id="VED1-P68">10. Dersom en databehandler overtrer bestemmelsene i denne forordning ved å fastsette formålene med og midlene for behandlingen, skal databehandleren anses for å være en behandlingsansvarlig med hensyn til nevnte behandling, uten at det berører artikkel 82, 83 og 84. </p>
</li>
</ul>
<h2 class="title">Artikkel 29 </h2>
<h2 class="subtitle">Behandling som utføres for den behandlingsansvarlige eller databehandleren </h2>
<p id="VED1-P69">Databehandleren og enhver person som handler for den behandlingsansvarlige eller databehandleren, og som har tilgang til personopplysninger, skal behandle nevnte opplysninger bare etter instruks fra den behandlingsansvarlige, med mindre det kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett. </p>
<h2 class="title">Artikkel 30 </h2>
<h2 class="subtitle">Protokoller over behandlingsaktiviteter </h2>
<ul class="list">
<li>
<p>1. Hver behandlingsansvarlig og, dersom det er relevant, den behandlingsansvarliges representant skal føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar. Nevnte protokoll skal inneholde følgende informasjon: </p>