Kapitel 1 (Artikel 1-4)Generelle bestemmelser
Artikel 1 – Genstand og formål
Artikel 2 – Materielt anvendelsesområde
Artikel 3 – Territorialt anvendelsesområde
Artikel 4 – Definitioner
Kapitel 2 (Artikel 5 –11)Principper
Artikel 5 – Principper for behandling af personoplysninger
Artikel 6 – Lovlig behandling
Artikel 7 – Betingelser for samtykke
Artikel 8 – Betingelser for et barns samtykke i forbindelse med informationssamfundstjenester
Artikel 9 – Behandling af særlige kategorier af personoplysninger
Artikel 10 – Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser
Artikel 11 – Behandling, der ikke kræver identifikation
Kapitel 3 (Artikel 12 – 23)Den registreredes rettigheder
Artikel 12 – Gennemsigtig oplysning, meddelelser og nærmere regler for udøvelsen af den registreredes rettigheder
Artikel 13 – Oplysningspligt ved indsamling af personoplysninger hos den registrerede
Artikel 14 – Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede
Artikel 15 – Den registreredes indsigtsret
Artikel 16 – Ret til berigtigelse
Artikel 17 – Ret til sletning (»retten til at blive glemt«)
Artikel 18 – Ret til begrænsning af behandling
Artikel 19 – Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
Artikel 20 – Ret til dataportabilitet
Artikel 21 – Ret til indsigelse
Artikel 22 – Automatiske individuelle afgørelser, herunder profilering
Artikel 23 – Begrænsninger
Kapitel 4 (Artikel 24 – 43)Dataansvarlig og databehandler
Artikel 24 – Den dataansvarliges ansvar
Artikel 25 – Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger
Artikel 26 – Fælles dataansvarlige
Artikel 27 – Repræsentanter for dataansvarlige og databehandlere, der ikke er etableret i Unionen
Artikel 28 – Databehandler
Artikel 29 – Behandling, der udføres for den dataansvarlige eller databehandleren
Artikel 30 – Fortegnelser over behandlingsaktiviteter
Artikel 31 – Samarbejde med tilsynsmyndigheden
Artikel 32 – Behandlingssikkerhed
Artikel 33 – Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
Artikel 34 – Underretning om brud på persondatasikkerheden til den registrerede
Artikel 35 – Konsekvensanalyse vedrørende databeskyttelse
Artikel 36 – Forudgående høring
Artikel 37 – Udpegelse af en databeskyttelsesrådgiver
Artikel 38 – Databeskyttelsesrådgiverens stilling
Artikel 39 – Databeskyttelsesrådgiverens opgaver
Artikel 40 – Adfærdskodekser
Artikel 41 – Kontrol af godkendte adfærdskodekser
Artikel 42 – Certificering
Artikel 43 – Certificeringsorganer
Kapitel 5 – (Artikel 44 – 50)Overførsler af personoplysninger til tredjelande eller internationale organisationer
Artikel 44 – Generelt princip for overførsler
Artikel 45 – Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet
Artikel 46 – Overførsler omfattet af fornødne garantier
Artikel 47 – Bindende virksomhedsregler
Artikel 48 – Overførsel eller videregivelse uden hjemmel i EU-retten
Artikel 49 – Undtagelser i særlige situationer
Artikel 50 – Internationalt samarbejde om beskyttelse af personoplysninger
Kapitel 6 (Artikel 51 – 59)Uafhængige tilsynsmyndigheder
Artikel 51 – Tilsynsmyndighed
Artikel 52 – Uafhængighed
Artikel 53 – Generelle betingelser for medlemmer af en tilsynsmyndighed
Artikel 54 – Regler om oprettelse af en tilsynsmyndighed
Artikel 55 – Kompetence
Artikel 56 – Den ledende tilsynsmyndigheds kompetence
Artikel 57 – Opgaver
Artikel 58 – Beføjelser
Artikel 59 – Aktivitetsrapport
Kapitel 7 (Artikel 60 – 76)Samarbejde og sammenhæng
Artikel 60 – Samarbejde mellem den ledende tilsynsmyndighed og de andre berørte tilsynsmyndigheder
Artikel 61 – Gensidig bistand
Artikel 62 – Tilsynsmyndigheders fælles aktiviteter
Artikel 63 – Sammenhængsmekanisme
Artikel 64 – Udtalelse fra Databeskyttelsesrådet
Artikel 65 – Tvistbilæggelse ved Databeskyttelsesrådet
Artikel 66 – Hasteprocedure
Artikel 67 – Udveksling af oplysninger
Artikel 68 – Det Europæiske Databeskyttelsesråd
Artikel 69 – Uafhængighed
Artikel 70 – Databeskyttelsesrådets opgaver
Artikel 71 – Rapporter
Artikel 72 – Procedure
Artikel 73 – Formand
Artikel 74 – Formandens opgaver
Artikel 75 – Sekretariat
Artikel 76 – Fortrolighed
Kapitel 8 (Artikel 77 – 84)Retsmidler, ansvar og sanktioner
Artikel 77 – Ret til at indgive klage til en tilsynsmyndighed
Artikel 78 – Adgang til effektive retsmidler over for en tilsynsmyndighed
Artikel 79 – Adgang til effektive retsmidler over for en dataansvarlig eller databehandler
Artikel 80 – Repræsentation af registrerede
Artikel 81 – Udsættelse af en sag
Artikel 82 – Ret til erstatning og erstatningsansvar
Artikel 83 – Generelle betingelser for pålæggelse af administrative bøder
Artikel 84 – Sanktioner
Kapitel 9 (Artikel 85 – 91)Bestemmelser vedrørende specifikke behandlingssituationer
Artikel 85 – Behandling og ytrings- og informationsfriheden
Artikel 86 – Behandling og aktindsigt i officielle dokumenter
Artikel 87 – Behandling af nationalt identifikationsnummer
Artikel 88 – Behandling i forbindelse med ansættelsesforhold
Artikel 89 – Garantier og undtagelser i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål
Artikel 90 – Tavshedspligt
Artikel 91 – Kirkers og religiøse sammenslutningers eksisterende databeskyttelsesregler
Kapitel 10 (Artikel 92 – 93)Delegerede retsakter og gennemførelsesforanstaltninger
Artikel 92 – Udøvelse af de delegerede beføjelser
Artikel 93 – Udvalgsprocedure
Kapitel 11 (Artikel 94 – 99)Afsluttende bestemmelser
Artikel 94 – Ophævelse af direktiv 95/46/EF
Artikel 95 – Forhold til direktiv 2002/58/EF
Artikel 96 – Forhold til tidligere indgåede aftaler
Artikel 97 – Kommissionsrapporter
Artikel 98 – Gennemgang af andre EU-retsakter om databeskyttelse
Artikel 99 – Ikrafttræden og anvendelse


Artikel 40
Adfærdskodekser




  1. Medlemsstaterne, tilsynsmyndighederne, Databeskyttelsesrådet og Kommissionen tilskynder til udarbejdelse af adfærdskodekser, der under hensyntagen til de særlige forhold i de forskellige behandlingssektorer og mikrovirksomheders og små og mellemstore virksomheders specifikke behov bidrager til korrekt anvendelse af denne forordning.
  2. Sammenslutninger eller andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, kan udarbejde adfærdskodekser eller ændre eller udvide sådanne kodekser med henblik på at specificere anvendelsen af denne forordning, såsom med hensyn til:
    1. rimelig og gennemsigtig behandling
    2. de legitime interesser, som forfølges af den dataansvarlige i specifikke sammenhænge
    3. indsamlingen af personoplysninger
    4. pseudonymiseringen af personoplysninger
    5. informationen, der gives til offentligheden og til registrerede
    6. udøvelsen af registreredes rettigheder
    7. informationen, der gives til børn, og beskyttelsen af børn og den måde, hvorpå samtykket fra indehavere af forældremyndighed over børn skal indhentes
    8. foranstaltningerne og procedurerne omhandlet i artikel 24 og 25 og foranstaltningerne til at sikre behandlingssikkerhed som omhandlet i artikel 32
    9. anmeldelsen af brud på persondatasikkerheden til tilsynsmyndighederne og underretningen af de registrerede om sådanne brud på persondatasikkerheden
    10. overførslen af personoplysninger til tredjelande eller internationale organisationer, eller
    11. udenretslige procedurer og andre procedurer for bilæggelse af tvister mellem dataansvarlige og registrerede vedrørende behandling, uden at det berører registreredes rettigheder i henhold til artikel 77 og 79.
  3. Adfærdskodekser, der er godkendt i henhold til denne artikels stk. 5 og er generelt gyldige i henhold til denne artikels stk. 9, kan — ud over overholdelse af de dataansvarlige eller databehandlere, der er omfattet af denne forordning — også overholdes af dataansvarlige eller databehandlere, der i henhold til artikel 3 ikke er omfattet af denne forordning, med henblik på at sikre fornødne garantier inden for rammerne af overførsel af personoplysninger til tredjelande eller internationale organisationer, jf. artikel 46, stk. 2, litra e). Sådanne dataansvarlige eller databehandlere skal, gennem kontrakter eller andre retligt bindende instrumenter, afgive bindende tilsagn, som kan håndhæves, om at anvende disse fornødne garantier, herunder for så vidt angår registreredes rettigheder.
  4. En adfærdskodeks omhandlet i denne artikels stk. 2 skal indeholde mekanismer, der sætter organet omhandlet i artikel 41, stk. 1, i stand til at foretage obligatorisk kontrol for at sikre, at den dataansvarlige eller databehandler, der påtager sig at anvende adfærdskodeksen, overholder dens bestemmelser, uden at dette berører opgaverne og beføjelserne for de tilsynsmyndigheder, der er kompetente i henhold til artikel 55 eller 56.
  5. Sammenslutninger og andre organer omhandlet i denne artikels stk. 2, der har til hensigt at udarbejde en adfærdskodeks eller at ændre eller udvide en eksisterende adfærdskodeks, forelægger et udkast til kodeks, ændring eller udvidelse for den tilsynsmyndighed, der er kompetent i henhold til artikel 55. Tilsynsmyndigheden afgiver udtalelse om, hvorvidt udkastet til adfærdskodeks, ændring eller udvidelse overholder denne forordning, og godkender dette udkast til kodeks, ændring eller udvidelse, hvis den finder, at kodeksen sikrer tilstrækkelige fornødne garantier.
  6. Hvis udkastet til kodeks eller ændring eller udvidelse godkendes i overensstemmelse med stk. 5, og hvis den pågældende adfærdskodeks ikke vedrører behandlingsaktiviteter i flere medlemsstater, registrerer og offentliggør tilsynsmyndigheden kodeksen.
  7. Hvis et udkast til adfærdskodeks vedrører behandlingsaktiviteter i flere medlemsstater, forelægger den tilsynsmyndighed, der er kompetent i henhold til artikel 55, inden godkendelsen af udkastet til kodeks, ændring eller udvidelse, efter proceduren i artikel 63 udkastet for Databeskyttelsesrådet, der afgiver en udtalelse om, hvorvidt udkastet til kodeks, ændring eller udvidelse overholder denne forordning eller sikrer fornødne garantier i den situation, der er omhandlet i denne artikels stk. 3.
  8. Hvis den i stk. 7 omhandlede udtalelse bekræfter, at udkastet til kodeks, ændring eller udvidelse overholder denne forordning eller sikrer fornødne garantier i den situation, der er omhandlet i stk. 3, indsender Databeskyttelsesrådet sin udtalelse til Kommissionen.
  9. Kommissionen kan ved hjælp af gennemførelsesretsakter afgøre, at den godkendte adfærdskodeks, ændring eller udvidelse, som den har modtaget i henhold til denne artikels stk. 8, generelt er gyldige i Unionen. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 93, stk. 2.
  10. Kommissionen tilser, at de godkendte kodekser, som i henhold til Kommissionen har generel gyldighed, jf. stk. 9, offentliggøres på passende vis.
  11. Databeskyttelsesrådet samler alle godkendte adfærdskodekser, ændringer og udvidelser i et register og gør dem offentligt tilgængelige på passende vis.