Mere
Navigation
KAPITEL I Generelle bestemmelser (1-4)
Artikel 1. Genstand og formålArtikel 2. Materielt anvendelsesområdeArtikel 3. Territorialt anvendelsesområdeArtikel 4. Definitioner
KAPITEL II Principper (5-11)
Artikel 5. Principper for behandling af personoplysningerArtikel 6. Lovlig behandlingArtikel 7. Betingelser for samtykkeArtikel 8. Betingelser for et barns samtykke i forbindelse med informationssamfundstjenesterArtikel 9. Behandling af særlige kategorier af personoplysningerArtikel 10. Behandling af personoplysninger vedrørende straffedomme og lovovertrædelserArtikel 11. Behandling, der ikke kræver identifikation
KAPITEL III Den registreredes rettigheder (12-23)
Artikel 12. Gennemsigtig oplysning, meddelelser og nærmere regler for udøvelsen af den registreredes rettighederArtikel 13. Oplysningspligt ved indsamling af personoplysninger hos den registreredeArtikel 14. Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registreredeArtikel 15. Den registreredes indsigtsretArtikel 16. Ret til berigtigelseArtikel 17. Ret til sletning (»retten til at blive glemt«)Artikel 18. Ret til begrænsning af behandlingArtikel 19. Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandlingArtikel 20. Ret til dataportabilitetArtikel 21. Ret til indsigelseArtikel 22. Automatiske individuelle afgørelser, herunder profileringArtikel 23. Begrænsninger
KAPITEL IV Dataansvarlig og databehandler (24-43)
Artikel 24. Genstand og formålArtikel 25. Databeskyttelse gennem design og databeskyttelse gennem standardindstillingerArtikel 26. Fælles dataansvarligeArtikel 27. Repræsentanter for dataansvarlige og databehandlere, der ikke er etableret i UnionenArtikel 28. DatabehandlerArtikel 29. Behandling, der udføres for den dataansvarlige eller databehandlerenArtikel 30. Fortegnelser over behandlingsaktiviteterArtikel 31. Samarbejde med tilsynsmyndighedenArtikel 32. BehandlingssikkerhedArtikel 33. Anmeldelse af brud på persondatasikkerheden til tilsynsmyndighedenArtikel 34. Underretning om brud på persondatasikkerheden til den registreredeArtikel 35. Konsekvensanalyse vedrørende databeskyttelse
Artikel 36. Forudgående høring
Artikel 37. Udpegelse af en databeskyttelsesrådgiverArtikel 38. Databeskyttelsesrådgiverens stillingArtikel 39. Databeskyttelsesrådgiverens opgaverArtikel 40. AdfærdskodekserArtikel 41. Kontrol af godkendte adfærdskodekserArtikel 42. CertificeringArtikel 43. Certificeringsorganer
KAPITEL V Overførsler af personoplysninger til tredjelande eller internationale organisationer (44-50)
Artikel 44. Generelt princip for overførslerArtikel 45. Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauetArtikel 46. Overførsler omfattet af fornødne garantierArtikel 47. Bindende virksomhedsreglerArtikel 48. Overførsel eller videregivelse uden hjemmel i EU-rettenArtikel 49. Undtagelser i særlige situationerArtikel 50. Internationalt samarbejde om beskyttelse af personoplysninger
KAPITEL VI Uafhængige tilsynsmyndigheder (51-59)
Artikel 51. TilsynsmyndighedArtikel 52. UafhængighedArtikel 53. Generelle betingelser for medlemmer af en tilsynsmyndighedArtikel 54. Regler om oprettelse af en tilsynsmyndighedArtikel 55. KompetenceArtikel 56. Den ledende tilsynsmyndigheds kompetenceArtikel 57. OpgaverArtikel 58. BeføjelserArtikel 59. Aktivitetsrapport
KAPITEL VII Samarbejde og sammenhæng (60-70)
Artikel 60. Samarbejde mellem den ledende tilsynsmyndighed og de andre berørte tilsynsmyndighederArtikel 61. Gensidig bistandArtikel 62. Tilsynsmyndigheders fælles aktiviteterArtikel 63. SammenhængsmekanismeArtikel 64. Udtalelse fra DatabeskyttelsesrådetArtikel 65. Tvistbilæggelse ved DatabeskyttelsesrådetArtikel 66. HasteprocedureArtikel 67. Udveksling af oplysningerArtikel 68. Det Europæiske DatabeskyttelsesrådArtikel 69. UafhængighedArtikel 70. Databeskyttelsesrådets opgaverArtikel 71. RapporterArtikel 72. ProcedureArtikel 73. FormandArtikel 74. Formandens opgaverArtikel 75. SekretariatArtikel 76. Fortrolighed
KAPITEL VIII Retsmidler, ansvar og sanktioner (77-84)
Artikel 77. Ret til at indgive klage til en tilsynsmyndighedArtikel 78. Adgang til effektive retsmidler over for en tilsynsmyndighedArtikel 79. Adgang til effektive retsmidler over for en dataansvarlig eller databehandlerArtikel 80. Repræsentation af registreredeArtikel 81. Udsættelse af en sagArtikel 82. Ret til erstatning og erstatningsansvarArtikel 83. Generelle betingelser for pålæggelse af administrative bøderArtikel 84. Sanktioner
KAPITEL IX Bestemmelser vedrørende specifikke behandlingssituationer (85-91)
Artikel 85. Behandling og ytrings- og informationsfrihedenArtikel 86. Behandling og aktindsigt i officielle dokumenterArtikel 87. Behandling af nationalt identifikationsnummerArtikel 88. Behandling i forbindelse med ansættelsesforholdArtikel 89. Garantier og undtagelser i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formålArtikel 90. TavshedspligtArtikel 91. Kirkers og religiøse sammenslutningers eksisterende databeskyttelsesregler
KAPITEL X Delegerede retsakter og gennemførelsesforanstaltninger (92-93)
Artikel 92. Udøvelse af de delegerede beføjelserArtikel 93. Udvalgsprocedure
KAPITEL XI Afsluttende bestemmelser (94-95)
Artikel 94. Ophævelse af direktiv 95/46/EFArtikel 95. Forhold til direktiv 2002/58/EFArtikel 96. Forhold til tidligere indgåede aftalerArtikel 97. KommissionsrapporterArtikel 98. Gennemgang af andre EU-retsakter om databeskyttelseArtikel 99. Ikrafttræden og anvendelse
GDPR > Artikel 36. Forudgående høring
Download PDF

Artikel 36 GDPR. Forudgående høring

Article 36 GDPR. Prior consultation

1. Den dataansvarlige hører tilsynsmyndigheden inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse foretaget i henhold til artikel 35 viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.

1. The controller shall consult the supervisory authority prior to processing where a data protection impact assessment under Article 35 indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk.

Sammenkædede tekster
Sammenkædede tekster

2. Hvis tilsynsmyndigheden finder, at den planlagte behandling omhandlet i stk. 1 overtræder denne forordning, navnlig hvis den dataansvarlige ikke tilstrækkeligt har identificeret eller begrænset risikoen, skal tilsynsmyndigheden inden for en periode på op til otte uger efter modtagelse af anmodningen om høring give den dataansvarlige og, hvor det er relevant, databehandleren skriftlig rådgivning og kan i den forbindelse anvende enhver af sine beføjelser, jf. artikel 58. Denne periode kan forlænges med seks uger under hensyntagen til den påtænkte behandlings kompleksitet. Tilsynsmyndigheden underretter den dataansvarlige og, hvor det er relevant, databehandleren om enhver sådan forlængelse senest en måned efter modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen. Disse perioder kan suspenderes, indtil tilsynsmyndigheden har modtaget oplysninger, som den har anmodet om med henblik på høringen.

2. Where the supervisory authority is of the opinion that the intended processing referred to in paragraph 1 would infringe this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, the supervisory authority shall, within period of up to eight weeks of receipt of the request for consultation, provide written advice to the controller and, where applicable to the processor, and may use any of its powers referred to in Article 58. That period may be extended by six weeks, taking into account the complexity of the intended processing. The supervisory authority shall inform the controller and, where applicable, the processor, of any such extension within one month of receipt of the request for consultation together with the reasons for the delay. Those periods may be suspended until the supervisory authority has obtained information it has requested for the purposes of the consultation.

Sammenkædede tekster
Sammenkædede tekster

3. Når tilsynsmyndigheden skal høres i henhold til stk. 1, indgiver den dataansvarlige følgende til tilsynsmyndigheden:

3. When consulting the supervisory authority pursuant to paragraph 1, the controller shall provide the supervisory authority with:

a) hvor det er relevant, ansvarsområderne for henholdsvis den dataansvarlige, fælles dataansvarlige og databehandleren, der er involveret i behandlingen, navnlig med hensyn til behandling inden for en koncern

(a) where applicable, the respective responsibilities of the controller, joint controllers and processors involved in the processing, in particular for processing within a group of undertakings;

b) den planlagte behandlings formål og hjælpemidler

(b) the purposes and means of the intended processing;

c) foranstaltninger og garantier til beskyttelse af de registreredes rettigheder og frihedsrettigheder i henhold til denne forordning

(c) the measures and safeguards provided to protect the rights and freedoms of data subjects pursuant to this Regulation;

d) hvor det er relevant, databeskyttelsesrådgiverens kontaktoplysninger

(d) where applicable, the contact details of the data protection officer;

e) konsekvensanalysen vedrørende databeskyttelse i henhold til artikel 35, og

(e) the data protection impact assessment provided for in Article 35; and

Sammenkædede tekster
Sammenkædede tekster

f) andre oplysninger, som tilsynsmyndigheden anmoder om.

(f) any other information requested by the supervisory authority.

4. Medlemsstaterne hører tilsynsmyndigheden som led i udarbejdelse af et forslag til lovgivningsmæssige foranstaltninger, som skal vedtages af et nationalt parlament, eller af en regulerende foranstaltning, der har hjemmel i en sådan lovgivningsmæssig foranstaltning, som vedrører behandling.

4. Member States shall consult the supervisory authority during the preparation of a proposal for a legislative measure to be adopted by a national parliament, or of a regulatory measure based on such a legislative measure, which relates to processing.

5. Uanset stk. 1 kan det i medlemsstaternes nationale ret kræves, at dataansvarlige hører og opnår forudgående tilladelse fra tilsynsmyndigheden i forbindelse med en dataansvarligs behandling under udførelsen af en opgave i samfundets interesse, herunder behandling i forbindelse med social sikring og folkesundhed.

5. Notwithstanding paragraph 1, Member State law may require controllers to consult with, and obtain prior authorisation from, the supervisory authority in relation to processing by a controller for the performance of a task carried out by the controller in the public interest, including processing in relation to social protection and public health.

Generel forordning om databeskyttelse (GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Betragtning Efterlad en kommentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.2.

Here is the relevant paragraph to article 36 GDPR:

5.2.2 Understanding the needs and expectations of interested parties

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]


to read the full text

Betragtning

(94) Såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at en behandling uden garantier, sikkerhedsforanstaltninger og mekanismer til at begrænse risikoen vil føre til en høj risiko for fysiske personers rettigheder og frihedsrettigheder, og den dataansvarlige mener, at risikoen ikke kan begrænses gennem rimelige midler for så vidt angår tilgængelig teknologi og gennemførelsesomkostninger, bør tilsynsmyndigheden høres inden indledning af behandlingsaktiviteterne. En sådan høj risiko vil sandsynligvis være en følge af visse typer behandling og omfanget og hyppigheden af behandlingen, der også kan føre til skade for eller indgreb i fysiske personers rettigheder og frihedsrettigheder. Tilsynsmyndigheden bør reagere på en høringsanmodning inden for et fastsat tidsrum. Tilsynsmyndighedens manglende reaktion inden for dette tidsrum bør dog ikke berøre tilsynsmyndighedens mulighed for at gribe ind i overensstemmelse med dens opgaver og beføjelser i henhold til denne forordning, herunder beføjelsen til at forbyde behandlingsaktiviteter. Som led i denne høringsproces kan resultatet af en konsekvensanalyse vedrørende databeskyttelse, der foretages for den pågældende behandling, forelægges tilsynsmyndigheden, navnlig de foranstaltninger, der påtænkes for at begrænse risikoen for fysiske personers rettigheder og frihedsrettigheder.

(94) Where a data protection impact assessment indicates that the processing would, in the absence of safeguards, security measures and mechanisms to mitigate the risk, result in a high risk to the rights and freedoms of natural persons and the controller is of the opinion that the risk cannot be mitigated by reasonable means in terms of available technologies and costs of implementation, the supervisory authority should be consulted prior to the start of processing activities. Such high risk is likely to result from certain types of processing and the extent and frequency of processing, which may result also in a realisation of damage or interference with the rights and freedoms of the natural person. The supervisory authority should respond to the request for consultation within a specified period. However, the absence of a reaction of the supervisory authority within that period should be without prejudice to any intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation, including the power to prohibit processing operations. As part of that consultation process, the outcome of a data protection impact assessment carried out with regard to the processing at issue may be submitted to the supervisory authority, in particular the measures envisaged to mitigate the risk to the rights and freedoms of natural persons.

(95) Databehandleren bør bistå den dataansvarlige, når det er nødvendigt og efter anmodning, med at sikre overholdelse af de forpligtelser, der udspringer af foretagelse af konsekvensanalyser vedrørende databeskyttelse og forudgående høring af tilsynsmyndigheden.

(95) The processor should assist the controller, where necessary and upon request, in ensuring compliance with the obligations deriving from the carrying out of data protection impact assessments and from prior consultation of the supervisory authority.

(96) Tilsynsmyndigheden bør ligeledes høres som led i udarbejdelsen af lovgivning eller regulerende foranstaltninger, som omhandler behandling af personoplysninger, med henblik på at sikre, at den planlagte behandling overholder denne forordning, og navnlig for at begrænse risiciene for den registrerede.

(96) A consultation of the supervisory authority should also take place in the course of the preparation of a legislative or regulatory measure which provides for the processing of personal data, in order to ensure compliance of the intended processing with this Regulation and in particular to mitigate the risk involved for the data subject.

Efterlad en kommentar
[js-disqus]