Når beskyttelse av personvern og personopplysninger blir en sak for unionen europeisk
GDPR-forordningen tillater dermed en balansering av retten til respekt for privatlivet og retten til å behandle visse personopplysninger av årsaker knyttet til bevaring av miljøet samt effektiv økonomisk forvaltning av havnen.
Denne rettferdige balansen vil gjøre det mulig å forene alles interesser samtidig som man respekterer: havnens økonomiske og miljømessige interesser og beskyttelse av alles privatliv.
Dette svarer meget riktig til paragraf 2 i artikkel 8 i Den europeiske menneskerettighetskonvensjon – en konvensjon, la oss huske, som Den europeiske union er part i – hvor det er mulig å innføre forholdsmessige begrensninger på retten til respekt for privatliv når legitime interesser står på spill.
Me Zakine, Advokat, Doctor of Law tilbyr deg en tekst om virkningen av GDPR på personvern.
Les portrettet hans her
Artikkel 8 i den europeiske menneskerettighetskonvensjonen sier:
Artikkel 8 – Rett til respekt for privatliv og familieliv
1 Alle har rett til respekt av hans privatliv og familieliv, hans hjem og hans korrespondanse.
2 Det kan bare gjøres inngrep fra en offentlig myndighet i utøvelsen av denne rettigheten i den utstrekning dette inngrepet er hjemlet ved lov og at det utgjør et tiltak som i et demokratisk samfunn, er nødvendig for nasjonal sikkerhet, offentlig sikkerhet, landets økonomiske velvære, forsvar av orden og forebygging av straffbare handlinger, beskyttelse av helse eller moral eller andres rettigheter og friheter.
Dette resulterer i en vesentlig anvendelse av Europaparlamentets og rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av enkeltpersoner med hensyn til behandling av personopplysninger og fri flyt av slike data. og opphevelse av direktiv 95/46/EF (generell databeskyttelsesforordning), direkte anvendelsesforskrift
Artikkel 8 i den europeiske menneskerettighetskonvensjonen sier:
Artikkel 8 – Rett til respekt for privatliv og familieliv
1 Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.
2 Det kan bare gjøres inngrep fra en offentlig myndighet i utøvelsen av denne rettigheten i den utstrekning dette inngrepet er hjemlet ved lov og at det utgjør et tiltak som i et demokratisk samfunn, er nødvendig for nasjonal sikkerhet, offentlig sikkerhet, landets økonomiske velvære, forsvar av orden og forebygging av straffbare handlinger, beskyttelse av helse eller moral eller andres rettigheter og friheter.
Dette resulterer i en vesentlig anvendelse av Europaparlamentets og rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av enkeltpersoner med hensyn til behandling av personopplysninger og fri flyt av slike data. og opphevelse av direktiv 95/46/EF (generell databeskyttelsesforordning), direkte anvendelsesforskrift
det virker viktig å referere til det i sammenheng med teknologien du har tenkt å utvikle og tilby.
Som sådan angir punkt nr. 4 i forskriften av 27. april 2016:
Behandlingen av personopplysninger bør utformes for å tjene menneskeheten. Retten til beskyttelse av personopplysninger er ikke en absolutt rettighet; den må vurderes i forhold til dens funksjon i samfunnet og veies opp mot andre grunnleggende rettigheter, i samsvar med proporsjonalitetsprinsippet. Denne forordningen respekterer alle grunnleggende rettigheter og overholder frihetene og prinsippene som er anerkjent av charteret, nedfelt i traktatene, særlig respekt for privatliv og familieliv, hjem og kommunikasjon, beskyttelse av personopplysninger, tanke-, samvittighets- og religionsfrihet, ytrings- og informasjonsfrihet, næringsfrihet, rett til et effektivt rettsmiddel og tilgang til en upartisk domstol, og mangfold, religiøst og språklig.
Behandlingen av personopplysninger må være i samsvar med målsetningen fastsatt av den europeiske lovgiveren og som følger veldig klart av punkt 6 og 7 i forordningen:
(6) Rask teknologisk utvikling og globalisering har skapt nye utfordringer for beskyttelse av personopplysninger. Omfanget av innsamling og deling av personopplysninger har økt betydelig. Teknologier gjør det mulig for både private selskaper og offentlige myndigheter å bruke personopplysninger i sin virksomhet som aldri før. I økende grad gjør enkeltpersoner informasjon om seg selv offentlig og globalt tilgjengelig. Teknologier har transformert både økonomien og sosiale relasjoner, og de forventes å fortsette legge til rette for fri flyt av personopplysninger innen Unionen og overføring av dem til tredjeland og internasjonale organisasjoner, samtidig som det sikres et høyt beskyttelsesnivå for personopplysninger.
(7)Denne utviklingen krever et robust og mer sammenhengende rammeverk for databeskyttelse i EU, ledsaget av streng anvendelse av reglene, fordi det er viktig å skape den tilliten som gjør at den digitale økonomien kan utvikle seg gjennom hele det indre markedet. Fysiske personer bør ha kontroll over personopplysninger om dem. Både juridisk og praktisk sikkerhet bør styrkes for enkeltpersoner, økonomiske aktører og offentlige myndigheter.
(10) « For å sikre et konsistent og høyt beskyttelsesnivå for fysiske personer og fjerne hindringer for flyten av personopplysninger i Unionen, bør beskyttelsesnivået for fysiske personers rettigheter og friheter med hensyn til behandlingen av disse opplysningene være tilsvarende i alle medlemsstater.
Betraktning nr. 10 foreslår at ved å vedta et svært strengt system fra starten, i Frankrike, og ta hensyn til kravet om å ha effektiv og lignende beskyttelse i hver av EUs medlemsstater.
Om forskriftens pkt. 15, heter det:
«For å unngå å skape en alvorlig risiko for omgåelse, bør beskyttelsen av enkeltpersoner være teknologisk nøytral og ikke være avhengig av teknikkene som brukes. Det bør gjelde for behandling av personopplysninger ved bruk av automatiserte prosesser samt for manuell behandling, dersom personopplysningene er inneholdt eller ment å være i en fil. Filer eller sett med filer, så vel som deres omslag, som ikke er strukturert i henhold til spesifikke kriterier, bør ikke falle innenfor denne forskriftens virkeområde."
Som et resultat, uansett metode for behandling av personopplysninger, vil forordningen GDPR må gjelde hver gang personopplysninger samles inn.
Også, for eksempel om det er et videoovervåkingskamera som vil gjøre det mulig å oppdage et skilt eller en teknologi, GDPR er umiddelbart gjeldende.
Dette kravet er en del av lovgivers ønske om å tilby maksimal beskyttelse av personopplysninger og personvern.
-
Analyse av henvisningene til GDPR-forordningen som gir et globalt syn på målene som forfølges av EU
Betraktning 18:
"Denne forskriften gjelder ikke for behandling av personopplysninger utført av en fysisk person under strengt personlige eller innenlandske aktiviteter, og derfor ikke relatert til en profesjonell eller kommersiell aktivitet. Personlige aktiviteter eller husholdningsaktiviteter kan omfatte utveksling av korrespondanse og vedlikehold av en adressebok, eller bruk av sosiale nettverk og nettaktiviteter som finner sted i forbindelse med disse aktivitetene. Denne forordningen gjelder imidlertid for behandlingsansvarlige eller databehandlere som gir midler til å behandle personopplysninger for slike personlige aktiviteter eller husholdningsaktiviteter. »
Forskriftens omfang gir deg dermed mulighet til å anvende teknologien din dersom vi undersøker regelverket med tanke på databehandlingsaktiviteten din selv om det innebærer fotografering av en båt som kun har en personlig aktivitet.
Betraktning 32:
" Samtykke bør gis ved en klar positiv handling der den registrerte fritt, spesifikt, informert og utvetydig viser samtykke til behandlingen av personopplysninger om ham eller henne, for eksempel ved hjelp av en skriftlig erklæring, inkludert elektronisk, eller ved en muntlig erklæring. Dette kan særlig gjøres ved å merke av i en boks når du konsulterer et nettsted, ved å velge visse tekniske parametere for informasjonssamfunnstjenester eller ved hjelp av en annen erklæring eller annen adferd som tydelig angir i denne sammenhengen at den registrerte aksepterer den foreslåtte behandlingen av hans eller hennes personlige data. Det kan derfor ikke foreligge samtykke ved stillhet, bokser avkrysset som standard eller inaktivitet. Samtykket som gis bør gjelde for alle behandlingsaktiviteter som har samme formål(er). Når behandlingen har flere formål, bør det gis samtykke til alle. Dersom samtykke fra den registrerte gis etter en elektronisk forespørsel, må denne forespørselen være klar og kortfattet og må ikke unødvendig forstyrre bruken av tjenesten den er innvilget for.
Det vil være hensiktsmessig å gi et system der båteiere gir sitt frie, uttrykkelige og utvetydige samtykke.
Betraktning 39:
«Enhver behandling av personopplysninger bør være lovlig og rettferdig. Det faktum at personopplysninger knyttet til fysiske personer samles inn, brukes, får tilgang til eller på annen måte behandles og i hvilken grad slike data blir eller vil bli behandlet, bør være åpent for de berørte fysiske personer. Prinsippet om åpenhet krever at all informasjon og kommunikasjon knyttet til behandlingen av disse personopplysningene skal være lett tilgjengelig, lett å forstå og formulert i klare og enkle termer. Dette prinsippet gjelder spesielt for informasjonen som formidles til de berørte personene om identiteten til den behandlingsansvarlige og formålet med behandlingen, samt for annen informasjon som tar sikte på å sikre en rettferdig og transparent behandling med hensyn til de berørte fysiske personer og deres rett til å få bekreftelse og kommunikasjon av personopplysninger om dem som er gjenstand for behandling. Fysiske personer bør informeres om risikoene, reglene, garantiene og rettighetene knyttet til behandlingen av personopplysninger og om hvordan de utøver rettighetene sine med hensyn til denne behandlingen. Spesielt bør de spesifikke formålene med å behandle personopplysninger være eksplisitte og legitime, og fastsettes når personopplysningene samles inn.. Personopplysninger bør være tilstrekkelige, relevante og begrenset til det som er nødvendig for formålene de behandles for. Dette krever spesielt at man sikrer at varigheten av dataoppbevaring er begrenset til et strengt minimum. Personopplysninger skal kun behandles dersom formålet med behandlingen ikke med rimelighet kan oppnås på andre måter. For å sikre at data ikke oppbevares lenger enn nødvendig, bør det settes frister av behandlingsansvarlig for sletting eller for periodisk gjennomgang. Alle rimelige skritt bør tas for å sikre at personopplysninger som er unøyaktige blir rettet eller slettet.. Personopplysninger bør behandles på en slik måte at det sikres hensiktsmessig sikkerhet og konfidensialitet, inkludert for å forhindre uautorisert tilgang til disse dataene og til utstyret som brukes til behandlingen av dem, samt uautorisert bruk av disse dataene og dette utstyret.
-
Nøyaktig analyse av reguleringsbestemmelser
- Artikkel 2 Materielt omfang
«1. Denne forskriften gjelder for behandling av personopplysninger, automatisert helt eller delvis, samt ikke-automatisert behandling av personopplysninger som er inneholdt eller ment å vises i en fil.
- Nøyaktig analyse av definisjoner
Artikkel 4 Definisjoner I denne forskriften mener vi:
- "personopplysninger" betyr all informasjon knyttet til en identifisert eller identifiserbar fysisk person (heretter referert til som "registrert"); anses å være en "identifiserbar fysisk person" en fysisk person som kan identifiseres, direkte eller indirekte, spesielt ved referanse til en identifikator, for eksempel et navn, et identifikasjonsnummer, plasseringsdata, en online identifikator, eller ett eller flere spesifikke elementer som er spesifikke for deres fysiske, fysiologiske, genetiske, psykologiske, økonomiske, kulturelle eller sosiale identitet;
EN personlig informasjon er all informasjon knyttet til en identifisert eller identifiserbar fysisk person.
En fysisk person kan identifiseres:
direkte (eksempel: for- og etternavn);
indirekte (eksempel: ved et telefonnummer eller nummerskiltet, en identifikator som nummeret på trygd, en postadresse eller e-postadresse, men også stemme eller bilde).
(2) «behandling» betyr enhver operasjon eller et sett med operasjoner, enten utført på automatiserte måter og brukt på personopplysninger eller sett med data, slik som innsamling, registrering, organisering, strukturering, bevaring, tilpasning eller modifikasjon, utvinning, konsultasjon, bruk, kommunikasjon ved overføring, spredning eller annen form for tilgjengeliggjøring, forsoning eller sammenkobling, begrensning, sletting eller ødeleggelse;
3) "begrensning av behandling" betyr merking av lagrede personopplysninger med sikte på å begrense deres fremtidige behandling;
(4) «profilering» betyr enhver form for automatisert behandling av personopplysninger som består av bruk av slike personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi forhold som angår ytelse på jobb, situasjon økonomisk, helse , personlige preferanser, interesser, pålitelighet, oppførsel, plassering eller bevegelser til den fysiske personen;
(5) «pseudonymisering» betyr behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan tilskrives en bestemt registrert person uten bruk av tilleggsopplysninger, forutsatt at slike tilleggsopplysninger oppbevares separat og gjenstand for vurdering. tekniske og organisatoriske tiltak for å sikre at personopplysninger ikke tilskrives en identifisert eller identifiserbar fysisk person;
6) «fil» betyr ethvert strukturert sett med personopplysninger som er tilgjengelig i henhold til bestemte kriterier, enten dette settet er sentralisert, desentralisert eller distribuert funksjonelt eller geografisk;
7) «behandlingsansvarlig»: den fysiske eller juridiske personen, offentlig myndighet, tjeneste eller annet organ som alene eller sammen med andre bestemmer formålet med og midlene for behandlingen; der formålene og midlene for slik behandling er bestemt av unionsretten eller lovgivningen i en medlemsstat, kan den behandlingsansvarlige utpekes eller de spesifikke kriteriene som gjelder for utpekingen av den, kan fastsettes av loven til behandlingsparten. lov i en medlemsstat;
9) "mottaker" betyr den fysiske eller juridiske personen, offentlig myndighet, tjeneste eller annet organ som personopplysninger formidles til, enten det er en tredjepart eller ikke. Imidlertid offentlige myndigheter som sannsynligvis vil motta kommunikasjon av personopplysninger personale i sammenheng med et bestemt faktaoppdrag i samsvar med unionsretten eller lovgivningen i en medlemsstat anses ikke mottakere; behandlingen av disse opplysningene av de aktuelle offentlige myndighetene er i samsvar med gjeldende databeskyttelsesregler avhengig av formålet med behandlingen;
10) «tredjepart» betyr en fysisk eller juridisk person, offentlig myndighet, tjeneste eller organ annet enn den registrerte, den behandlingsansvarlige, databehandleren og personer som, plassert under direkte myndighet av den behandlingsansvarlige, behandlingen eller underleverandøren, har fullmakt til å behandle personopplysninger;
11) «samtykke» fra den registrerte betyr ethvert fritt, spesifikt, informert og entydig uttrykk for vilje som den registrerte aksepterer, ved en erklæring eller ved en klar positiv handling, at personopplysninger om ham eller henne behandles. behandling;
Et system med informert samtykke og klar og rettferdig informasjon må implementeres som en del av driften av din teknologi.
-
Dette fører til at vi ser på åpenhet og lojalitet i informasjonen tidligere gitt før innsamling og behandling av personopplysninger
KAPITTEL III Den registrertes rettigheter
Seksjon 1 Åpenhet og modaliteter
Artikkel 12 Åpenhet i informasjon og kommunikasjon og metoder for å utøve den registrertes rettigheter
1.Den behandlingsansvarlige skal treffe passende tiltak for å gi all informasjon nevnt i artikkel 13 og 14, samt foreta enhver kommunikasjon i henhold til artikkel 15 til 22 og artikkel 34 med hensyn til behandling til den registrerte av en kortfattet, gjennomsiktig, forståelig og enkel tilgjengelig måte, i klare og enkle ordelag, spesielt for all informasjon som er ment spesielt for et barn.
Informasjon gis skriftlig eller på andre måter, inkludert, der det er hensiktsmessig, elektronisk. Når den registrerte ber om det, kan informasjonen gis muntlig, forutsatt at identiteten til den registrerte kan påvises på andre måter.
2. Den behandlingsansvarlige skal lette utøvelsen av rettighetene som er gitt den registrerte i henhold til artikkel 15 til 22. I tilfellene nevnt i artikkel 11 nr. å utøve rettighetene som er gitt ham i artikkel 15 til 22, med mindre den behandlingsansvarlige viser at han ikke er i stand til å identifisere den registrerte.
3. Den behandlingsansvarlige skal gi den registrerte informasjon om tiltakene som er iverksatt etter en anmodning i henhold til artikkel 15 til 22, så snart som mulig og i alle fall innen én måned fra mottak av forespørselen. Om nødvendig kan denne fristen forlenges med to måneder, tatt i betraktning kompleksiteten og antallet forespørsler. Den behandlingsansvarlige skal informere den registrerte om denne forlengelsen og årsakene til utsettelsen innen en måned etter mottak av anmodningen. Der den registrerte sender inn forespørselen i elektronisk form, vil informasjonen bli gitt elektronisk der det er mulig, med mindre den registrerte ber om noe annet.
4.Hvis den behandlingsansvarlige ikke svarer på forespørselen fra den registrerte, skal han informere den registrerte uten opphold og senest innen en måned etter mottak av forespørselen om årsakene til forespørselen hans manglende handling og muligheten for inngi en klage til en tilsynsmyndighet og søke rettslig klage.
5.Ingen betaling kreves for å gi informasjon i henhold til artikkel 13 og 14 og for å foreta kommunikasjon og iverksette tiltak i henhold til artikkel 15 til 22 og artikkel 34. Når en persons forespørsler er åpenbart grunnløse eller overdrevne, særlig på grunn av deres gjentakelse. , kan den behandlingsansvarlige:
- (a) kreve betaling av et rimelig gebyr som tar hensyn til de administrative kostnadene som påløper ved å gi informasjonen, foreta kommunikasjonen eller utføre den forespurte handlingen;
eller (b) nekte å etterkomme slike forespørsler. Det er den behandlingsansvarliges ansvar å vise at forespørselen er åpenbart grunnløs eller overdreven.
6. Uten at det berører artikkel 11, kan den behandlingsansvarlige, dersom den behandlingsansvarlige har rimelig tvil med hensyn til identiteten til den fysiske personen som sender inn forespørselen nevnt i artikkel 15 til 21, be om at han får ytterligere opplysninger som er nødvendige for å bekrefte identiteten til person det gjelder.
7.Informasjonen som skal formidles til registrerte i henhold til artikkel 13 og 14 kan gis sammen med standardiserte ikoner for å gi en god oversikt, lett synlig, forståelig og lett lesbar, over den planlagte behandlingen. Når ikoner presenteres elektronisk, er de maskinlesbare. 8.Kommisjonen har fullmakt til å vedta delegerte rettsakter i samsvar med artikkel 92, med det formål å fastsette informasjonen som skal presenteres i form av ikoner og prosedyrene for levering av standardiserte ikoner.
§ 2 Informasjon og tilgang til personopplysninger
Artikkel 13 Informasjon som skal gis når personopplysninger samles inn fra den registrerte
1. Når personopplysninger knyttet til en registrert person samles inn fra denne personen, skal den behandlingsansvarlige gi den registrerte, på det tidspunktet de aktuelle dataene innhentes, all følgende informasjon:
- a) identiteten og kontaktopplysningene til behandlingsansvarlig og, der det er aktuelt, representanten for behandlingsansvarlig
- b) der det er aktuelt, kontaktopplysningene til personvernombudet;
- c) formålene med behandlingen som personopplysningene er ment for, samt det rettslige grunnlaget for behandlingen;
- (d) der behandlingen er basert på artikkel 6(1)(f), de legitime interessene som forfølges av den behandlingsansvarlige eller av en tredjepart;
- (e) mottakerne eller kategoriene av mottakere av personopplysningene, hvis de finnes;
og (f) der det er aktuelt, om den behandlingsansvarlige har til hensikt å overføre personopplysninger til et tredjeland eller til en internasjonal organisasjon, og eksistensen eller fraværet av en beslutning om tilstrekkelighet utstedt av Kommisjonen eller, i tilfelle overføringer nevnt i artikkel 46 eller 47, eller i annet ledd i artikkel 49 nr. 1, henvisningen til passende eller tilpassede garantier og midler for å skaffe dem en kopi eller stedet hvor de ble gjort tilgjengelig;
2. I tillegg til informasjonen nevnt i nr. 1, skal den behandlingsansvarlige gi den registrerte, på det tidspunktet personopplysningene innhentes, følgende tilleggsinformasjon som er nødvendig for å sikre rettferdig og transparent behandling:
- a) varigheten av oppbevaring av personopplysninger eller, der dette ikke er mulig, kriteriene som brukes for å bestemme varigheten;
(b) eksistensen av retten til å be behandlingsansvarlig om tilgang til personopplysninger, retting eller sletting av disse, eller begrensning av behandling knyttet til den registrerte, eller retten til å protestere mot behandlingen og retten til dataportabilitet;
- (c) der behandlingen er basert på artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a)), eksistensen av retten til å trekke tilbake samtykket når som helst, uten å påvirke lovligheten av behandlingen basert på samtykke utført før tilbaketrekkingen;
- (d) retten til å sende inn en klage til en tilsynsmyndighet;
- (e) informasjon om hvorvidt kravet om å gi personopplysninger er av regulatorisk eller kontraktsmessig karakter eller om det betinger inngåelsen av en kontrakt og om den registrerte er forpliktet til å gi personopplysningene, samt de mulige konsekvensene av ikke- levering av disse dataene;
- (f) eksistensen av automatisert beslutningstaking, inkludert profilering, nevnt i artikkel 22(1) og (4), og, i det minste i slike tilfeller, nyttig informasjon om den underliggende logikken, samt betydningen og forventede konsekvenser av slik behandling for den registrerte.
3. Ved hensikt å foreta videre behandling av personopplysninger for et annet formål enn det personopplysningene ble samlet inn for, skal den behandlingsansvarlige først gi den registrerte informasjon om dette andre formålet og all annen relevant informasjon nevnt i nr. 2 .
4.Punkt 1, 2 og 3 gjelder ikke når og i den grad den registrerte allerede har disse opplysningene. Artikkel 14 Informasjon som skal gis når personopplysninger ikke er samlet inn fra den registrerte 1. Der personopplysninger ikke er samlet inn fra den registrerte, skal den behandlingsansvarlige gi den registrerte all følgende informasjon: (a) identiteten og kontaktinformasjon for behandlingsansvarlig og, der det er aktuelt, representant for behandlingsansvarlig;
- (b) der det er aktuelt, kontaktopplysningene til personvernombudet;
- (c) formålene med behandlingen som personopplysningene er ment for og det rettslige grunnlaget for behandlingen;
- (d) kategoriene av personopplysninger det gjelder;
- (e) der det er aktuelt, mottakerne eller kategoriene av mottakere av personopplysningene;
- (f) der det er aktuelt, det faktum at den behandlingsansvarlige har til hensikt å overføre personopplysninger til en mottaker i et tredjeland eller en internasjonal organisasjon, og eksistensen eller fraværet av en tilstrekkelighetsbeslutning truffet av Kommisjonen eller, i tilfelle overføringer referert til i artikkel 46 eller 47, eller i annet ledd i artikkel 49 nr. 1, referansen til passende eller tilpassede garantier og midlene for å gjennomføre dem få en kopi eller hvor den ble gjort tilgjengelig;
2. I tillegg til informasjonen nevnt i nr. 1, skal den behandlingsansvarlige gi den registrerte følgende informasjon som er nødvendig for å sikre rettferdig og transparent behandling av den registrerte:
- (a) perioden som personopplysningene vil bli oppbevart i eller, der dette ikke er mulig, kriteriene som brukes for å bestemme denne perioden;
- b) der behandlingen er basert på artikkel 6(1)(f), de legitime interessene som forfølges av den behandlingsansvarlige eller av en tredjepart;
(c) eksistensen av retten til å be behandlingsansvarlig om tilgang til personopplysninger, retting eller sletting av disse, eller begrensning av behandling knyttet til den registrerte, samt retten til å protestere mot behandling og retten til dataportabilitet;
- (d) der behandlingen er basert på artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a), eksistensen av retten til å trekke tilbake samtykke til enhver tid, uten at det påvirker lovligheten av behandling basert på utført samtykke før den trekkes tilbake;
- e) retten til å sende inn en klage til en tilsynsmyndighet;
- f) kilden som personopplysningene kommer fra og, der det er aktuelt, en erklæring som angir om de kommer fra offentlig tilgjengelige kilder eller ikke;
- (g) eksistensen av automatisert beslutningstaking, inkludert profilering, nevnt i artikkel 22(1) og (4), og, i det minste i slike tilfeller, nyttig informasjon om den underliggende logikken, samt betydningen og forventede konsekvenser av slik behandling for den registrerte.
3. Den behandlingsansvarlige skal gi opplysningene nevnt i nr. 1 og 2:
- (a) innen rimelig tid etter innhenting av personopplysningene, men ikke over en måned, tatt i betraktning de spesielle omstendighetene der personopplysningene behandles;
- (b) hvis personopplysningene skal brukes til kommunikasjon med den registrerte, senest på tidspunktet for første kommunikasjon til denne personen;
eller (c) hvis det er ment å formidle informasjonen til en annen mottaker, senest når personopplysningene kommuniseres for første gang. 4. Ved hensikt å foreta videre behandling av personopplysninger for et annet formål enn det personopplysningene ble innhentet for, skal den behandlingsansvarlige først gi den registrerte informasjon om dette andre formålet og all annen relevant informasjon nevnt i nr. 2 5.Avsnitt 1 til 4 gjelder ikke når og i den grad:
- (a) den registrerte allerede har denne informasjonen;
- b) levering av slik informasjon viser seg umulig eller vil kreve uforholdsmessig innsats, særlig for behandling for arkivformål i allmennhetens interesse, for vitenskapelige eller historiske forskningsformål eller for statistiske formål, underlagt vilkårene og garantiene nevnt i artikkel 89. 1), eller i den utstrekning forpliktelsen nevnt i nr. 1 i denne artikkelen sannsynligvis vil umuliggjøre eller alvorlig kompromittere oppnåelsen av målene for behandlingen. I slike tilfeller skal den behandlingsansvarlige treffe passende tiltak for å beskytte rettighetene og frihetene og legitime interesser til den registrerte, inkludert ved å gjøre informasjonen offentlig tilgjengelig;
- (c) innhenting eller formidling av informasjonen er uttrykkelig foreskrevet av unions- eller medlemsstatslovgivningen som den behandlingsansvarlige er underlagt, og som sørger for passende tiltak for å beskytte den berørte registrertes legitime interesser; Eller
- (d) personopplysningene må holdes konfidensielle i henhold til en taushetsplikt regulert av unions- eller medlemsstatslovgivning, inkludert en juridisk taushetsplikt.
Artikkel 15 Rett til innsyn for den registrerte
1. Den registrerte har rett til å få bekreftelse fra behandlingsansvarlig på om personopplysninger om vedkommende blir behandlet eller ikke, og hvor de er, tilgang til slike personopplysninger samt følgende informasjon:
- a) formålene med behandlingen;
- (b) kategoriene av personopplysninger det gjelder;
- (c) mottakerne eller kategoriene av mottakere som personopplysningene har blitt eller vil bli formidlet til, særlig mottakere som er etablert i tredjeland eller internasjonale organisasjoner;
- (d) der det er mulig, den planlagte perioden for oppbevaring av personopplysningene eller, der dette ikke er mulig, kriteriene som er brukt for å fastsette denne perioden; e) eksistensen av retten til å be behandlingsansvarlig retting eller sletting av personopplysninger, eller begrensning av behandling av personopplysninger knyttet til den registrerte, eller retten til å motsette seg slik behandling;
- (f) retten til å sende inn en klage til en tilsynsmyndighet;
- (g) der personopplysninger ikke samles inn fra den registrerte, all tilgjengelig informasjon om deres kilde;
- (h) eksistensen av automatisert beslutningstaking, inkludert profilering, nevnt i artikkel 22(1) og (4), og, i det minste i slike tilfeller, nyttig informasjon om den underliggende logikken, samt betydningen og forventede konsekvenser av slik behandling for den registrerte.
2.Når personopplysninger overføres til et tredjeland eller til en internasjonal organisasjon, har den registrerte rett til å bli informert om passende sikkerhetstiltak, i henhold til artikkel 46, i forhold til denne overføringen.
3. Den behandlingsansvarlige gir en kopi av personopplysningene som behandles. Den behandlingsansvarlige kan kreve betaling av et rimelig gebyr basert på administrative kostnader for eventuelle ekstra kopier som den registrerte ber om. Der den registrerte sender inn forespørselen elektronisk, skal opplysningene gis i vanlig elektronisk form, med mindre den registrerte ber om noe annet.
4. Retten til å få en kopi nevnt i nr. 3 påvirker ikke andres rettigheter og friheter.
Forskriftens artikkel 12 og 13 GDPR gjør det klart at et veldig presist og strengt juridisk rammeverk må implementeres for å unngå eventuelle vanskeligheter og for at selskaper skal overholde respekt for personvern og beskyttelse av personopplysninger. i samsvar med målsettingen som forfølges av den europeiske lovgiveren.
§ 3 Retting og sletting
Artikkel 16 Rett til retting
Den registrerte har rett til å få fra behandlingsansvarlig så snart som mulig retting av unøyaktige personopplysninger om ham eller henne.
Under hensyntagen til formålene med behandlingen har den registrerte rett til å få fullført ufullstendige personopplysninger, inkludert ved å gi en tilleggserklæring.
Artikkel 17 Rett til sletting ("retten til å bli glemt")
1. Den registrerte har rett til å få fra behandlingsansvarlig sletting, uten ugrunnet opphold, av personopplysninger om vedkommende, og behandlingsansvarlig har plikt til å slette disse personopplysningene så snart som mulig, så snart som mulig, når en av følgende årsaker gjelder:
- a) personopplysningene er ikke lenger nødvendige i forhold til formålene de ble samlet inn eller på annen måte behandlet for;
- (b) den registrerte trekker tilbake samtykket som behandlingen er basert på, i samsvar med artikkel 6(1)(a) eller artikkel 9(2)(a), og det er ikke noe annet rettslig grunnlag for behandlingen;
- (c) den registrerte protesterer mot behandlingen i henhold til artikkel 21(1) og det er ingen overordnet legitime grunner for behandlingen, eller den registrerte motsetter seg behandlingen i henhold til artikkel 21(1) 21, nr. 2;
- d) personopplysningene har vært gjenstand for ulovlig behandling;
- e) personopplysningene må slettes for å overholde en juridisk forpliktelse som er fastsatt i unionsretten eller loven i medlemsstaten som den behandlingsansvarlige er underlagt;
- (f) personopplysningene ble samlet inn i forbindelse med levering av informasjonssamfunnstjenester nevnt i artikkel 8 nr. 1.
2. Der han har offentliggjort personopplysninger og er forpliktet til å slette dem i henhold til nr. 1, skal den behandlingsansvarlige, under hensyntagen til tilgjengelig teknologi og implementeringskostnader, treffe rimelige tiltak, inkludert av teknisk art, for å informere behandlingsansvarlige som behandler slike personopplysninger at den registrerte har bedt om sletting av slike kontrollører av eventuelle lenker til eller kopier av disse personopplysningene, reproduksjon av disse.
3.Punkt 1 og 2 gjelder ikke i den grad slik behandling er nødvendig: a) for å utøve retten til ytrings- og informasjonsfrihet;
- (b) å overholde en rettslig forpliktelse som krever behandling fastsatt i unionsretten eller av loven i medlemsstaten som den behandlingsansvarlige er underlagt, eller å utføre en oppgave i allmennhetens interesse eller omfattet av utøvelse av offentlig myndighet tillagt kontrolløren;
- (c) av hensyn til offentlig interesse på folkehelseområdet, i samsvar med artikkel 9 nr. 2 bokstav h) og i) og artikkel 9 nr. 3;
- (d) for arkivformål i allmennhetens interesse, for vitenskapelige eller historiske forskningsformål eller for statistiske formål i samsvar med artikkel 89 nr. 1, i den utstrekning retten nevnt i nr. 1 er egnet til å gjøre det umulig eller alvorlig kompromittere oppnåelse av målene for behandlingen; Eller
- e) etablering, utøvelse eller forsvar av juridiske rettigheter.