(1)

Den inre marknaden är en av unionens mest påtagliga framgångar. Den fria rörligheten för människor, varor, tjänster och kapital ger privatpersoner och företag nya möjligheter. Denna förordning är en viktig del av strategin för den inre marknaden, som inrättades genom kommissionens meddelande av den 28 oktober 2015 med titeln Att förbättra den inre marknaden – bättre möjligheter för individer och företag. Strategin syftar till att frigöra hela potentialen i den inre marknaden genom att göra det enklare för privatpersoner och företag att flytta inom unionen, bedriva handel, etablera sig och utöka sin verksamhet över landsgränserna.

(2)

I kommissionens meddelande av den 6 maj 2015 med titeln En strategi för en inre digital marknad i Europa konstaterades att internet och digital teknik förändrar våra liv och hur privatpersoner och företag får tillgång till information, skaffar sig kunskap, köper varor och tjänster, deltar och arbetar på marknaden, vilket öppnar möjligheter till innovation, tillväxt och jobb. Vidare konstaterades i det meddelandet och i flera resolutioner antagna av Europaparlamentet att privatpersoners och företags behov både i sina egna och andra länder skulle kunna tillgodoses bättre om befintliga portaler, webbplatser, nätverk, tjänster och system på europeisk nivå byggdes ut, integrerades med varandra och kopplades till olika nationella lösningar, vilket skulle skapa en gemensam digital ingång som skulle fungera som en gemensam europeisk kontaktpunkt (nedan kallad ingången). Kommissionens meddelande av den 19 april 2016 med titeln EU:s handlingsplan för e-förvaltning för 2016–2020 – Snabbare digital omvandling av förvaltningar angav ingången som en av unionens åtgärder 2017. I kommissionens rapport av den 24 januari 2017 med titeln Stärka medborgarnas rättigheter i en union av demokratisk förändring – Rapport om EU-medborgarskapet 2017 ansågs ingången som en prioritet för unionsmedborgarnas rättigheter.

(3)

Europaparlamentet och rådet har upprepade gånger efterlyst ett mer omfattande och användarvänligt informations- och hjälppaket för att göra det lättare för privatpersoner och företag att hitta rätt på den inre marknaden och för att förstärka och effektivisera verktygen på den inre marknaden så att behoven hos privatpersoner och företag som utför ärenden eller bedriver verksamhet över gränserna bättre kan tillgodoses.

(4)

Denna förordning utgör ett svar på dessa önskemål, eftersom den kommer att ge privatpersoner och företag enkel tillgång till den information, de förfaranden samt de hjälp- och problemlösningstjänster som de behöver för att kunna utöva sina rättigheter på den inre marknaden. Ingången skulle kunna bidra till ökad insyn i regler och föreskrifter som rör olika händelser i företags- och privatlivet på områden som till exempel resor, pension, utbildning, sysselsättning, hälso- och sjukvård, konsumenträttigheter och familjerättigheter. Den skulle dessutom kunna bidra till att öka konsumenternas förtroende, åtgärda de bristande kunskaperna om konsumentskydd och reglerna för den inre marknaden och minska företagens kostnader för att följa reglerna. Genom denna förordning inrättas en användarvänlig och interaktiv ingång, som på grundval av användarnas behov bör vägleda dem till de lämpligaste tjänsterna. I detta sammanhang bör kommissionen och medlemsstaterna spela en viktig roll för att målen ska uppnås.

(5)

Ingången bör underlätta kommunikationen mellan privatpersoner och företag, å ena sidan, och behöriga myndigheter, å andra sidan, genom att ge tillgång till onlinelösningar som underlättar den dagliga verksamheten för privatpersoner och företag samt minimerar hinder som uppstår på den inre marknaden. En gemensam digital ingång som ger tillgång online till korrekt och aktuell information, till förfaranden och till hjälp- och problemlösningstjänster skulle kunna öka användarnas medvetenhet om de olika onlinetjänster som finns och göra att de sparar tid och pengar.

(6)

Denna förordning har tre syften, nämligen att minska ytterligare administrativa bördor för privatpersoner och företag som i full överensstämmelse med nationella regler och förfaranden utövar eller vill utöva sina rättigheter på den inre marknaden, bland annat den fria rörligheten för personer, att eliminera diskriminering samt att säkerställa att den inre marknaden fungerar i fråga om att tillhandahålla information, förfaranden samt hjälp- och problemlösningstjänster. Eftersom denna förordning täcker fri rörlighet för personer, vilket inte kan anses vara av rent underordnad betydelse, bör den baseras på artiklarna 21.2 och 114.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget).

(7)

För att privatpersoner och företag i unionen ska kunna utöva sin rätt till fri rörlighet på den inre marknaden bör unionen anta specifika, icke-diskriminerande åtgärder som ger dem enkel tillgång till tillräckligt utförlig och tillförlitlig information om de rättigheter som unionsrätten ger dem och till information om tillämpliga nationella regler och förfaranden som de måste följa när de flyttar till, bor i, studerar i eller etablerar eller bedriver verksamhet i en annan medlemsstat än sin egen. Information bör anses vara tillräckligt utförlig om den inbegriper all den information som användarna behöver för att förstå sina rättigheter och skyldigheter och beskriver de regler som gäller för den verksamhet de vill bedriva som användare i ett annat land. Informationen bör uttryckas på ett tydligt, koncist och begripligt sätt och vara funktionell och väl anpassad till målgruppen. Informationen om förfaranden bör omfatta alla förutsebara led i förfarandet som är relevanta för användaren. Det är viktigt för privatpersoner och företag som möter komplicerade regelverk, till exempel de som är verksamma inom e-handeln och delningsekonomin, att de på ett enkelt sätt kan ta reda på vilka regler som gäller och hur de tillämpas på deras verksamhet. Enkel och användarvänlig tillgång till information innebär att det blir lätt för användarna att hitta information, att avgöra vilka delar av informationen som är relevanta för deras specifika situation och att förstå den relevanta informationen. Den information som ska tillhandahållas på nationell nivå bör inte bara avse nationella regler som genomför unionsrätten, utan även eventuella andra nationella regler som gäller för både inhemska användare och användare i gränsöverskridande situationer.

(8)

Regler om tillhandahållande av information i denna förordning bör inte tillämpas på nationella rättssystem, eftersom information på det området som är relevant för användare i andra länder redan ingår i e-juridikportalen. I vissa situationer som omfattas av denna förordning bör domstolar anses vara behöriga myndigheter, till exempel när domstolar förvaltar företagsregister. Dessutom bör principen om icke-diskriminering även gälla för onlineförfaranden som ger tillgång till domstolsförfaranden.

(9)

Det är tydligt att privatpersoner och företag från andra medlemsstater kan missgynnas på grund av att de inte känner till nationella regler och administrativa system, de språk som används samt att de befinner sig geografiskt långt från de behöriga myndigheterna i andra medlemsstater än den egna. Det effektivaste sättet att minska de hinder på den inre marknaden som detta är förknippat med är att ge användare i gränsöverskridande situationer och inhemska användare tillgång till information online, på ett språk som de kan förstå, så att de förfaranden som krävs enligt nationella regler kan utföras helt online. Användarna bör även erbjudas hjälp om reglerna och förfarandena inte är tillräckligt tydliga eller om de stöter på hinder när de utövar sina rättigheter.

(10)

Många unionsakter har syftat till att tillhandahålla lösningar genom att inrätta en enda sektorsspecifik kontaktpunkt, bland annat de gemensamma kontaktpunkter som inrättats genom Europaparlamentets och rådets direktiv 2006/123/EG (3) som via internet erbjuder information, hjälptjänster och tillgång till förfaranden som är relevanta för tillhandahållande av tjänster, kontaktpunkter för produkter som inrättats genom Europaparlamentets och rådets förordning (EG) nr 764/2008 (4) och kontaktpunkter för byggprodukter som inrättats genom Europaparlamentets och rådets förordning (EU) nr 305/2011 (5) som ger tillgång till produktspecifika tekniska regler samt nationella rådgivningscentrum för yrkeskvalifikationer som inrättats genom Europaparlamentets och rådets direktiv 2005/36/EG (6) som hjälper yrkesutövare som flyttar över landsgränserna. Dessutom har det upprättats nätverk, t.ex. europeiska konsumentcentrum, vilkas syfte är att öka förståelsen om europeiska konsumenters rättigheter och hjälpa till att lösa klagomål som rör inköp i andra medlemsstater i nätverket som har gjorts under resor eller på nätet. Vidare finns nätverket Solvit, som det hänvisas till i kommissionens rekommendation 2013/461/EU (7), vilket syftar till att ge privatpersoner och företag snabba, effektiva och informella lösningar på problem som de möter när myndigheterna inte respekterar deras rättigheter på den inre marknaden. Slutligen har flera informationsportaler inrättats för att upplysa användare om unionsregler och nationella regler, exempelvis Ditt Europa för den inre marknaden och den europeiska e-juridikportalen som rör rättsliga frågor.

(11)

På grund av sektorsuppdelningen i dessa unionsrättsakter är information, hjälp- och problemlösningstjänster samt förfaranden online för privatpersoner och företag fortfarande högst fragmenterade. Tillgängligheten till information och förfaranden online varierar, det finns kvalitetsbrister när det gäller tjänsterna och det saknas medvetenhet om informationen och hjälp- och problemlösningstjänsterna i fråga. Användare i gränsöverskridande situationer har även problem att hitta och använda tjänsterna.

(12)

Denna förordning bör skapa en gemensam digital ingång som kontaktpunkt genom vilken privatpersoner och företag kan få information om vilka regler och krav som gäller för dem enligt unionsrätt eller nationell rätt. Ingången bör förenkla och effektivisera privatpersonernas och företagens kontakt med hjälp- och problemlösningstjänsterna på unionsnivå eller nationell nivå. Ingången bör också göra det enklare att få tillgång till och utföra onlineförfaranden. Denna förordning bör inte på något sätt påverka befintliga rättigheter och skyldigheter enligt unionsrätt eller nationell rätt inom de politikområdena. För de förfaranden som förtecknas i bilaga II till denna förordning och de förfaranden som föreskrivs i Europaparlamentets och rådets direktiv 2005/36/EG och 2006/123/EG, samt i 2014/24/EU (8) och 2014/25/EU (9), bör denna förordning stödja användningen av engångsprincipen, och fullt ut respektera den grundläggande rätten till skydd av personuppgifter, för utbyte av bevis mellan behöriga myndigheter i olika medlemsstater.

(13)

Ingången och dess innehåll bör vara användarcentrerade och användarvänliga. Ingången bör sträva efter att undvika överlappningar och bör tillhandahålla länkar till befintliga tjänster. Den bör göra det möjligt för privatpersoner och företag att kommunicera med offentliga organ på nationell nivå och unionsnivå genom att ge dem möjlighet att lämna synpunkter både på de tjänster som erbjuds genom ingången och på hur de upplever att den inre marknaden fungerar. Med hjälp av verktyget för återkoppling bör användarna, på ett sätt som gör det möjligt för dem att förbli anonyma, kunna påpeka upplevda problem, brister och behov, så att tjänsternas kvalitet hela tiden kan förbättras.

(14)

Hur framgångsrik ingången blir beror på kommissionens och medlemsstaternas gemensamma insats. Ingången bör ha ett gemensamt användargränssnitt som integreras i den befintliga portalen Ditt Europa som kommer att förvaltas av kommissionen. Det gemensamma användargränssnittet bör ha länkar till information, förfaranden samt hjälp- och problemlösningstjänster som finns på portaler som förvaltas av medlemsstaternas behöriga myndigheter och av kommissionen. För att ingången ska bli mer användarvänlig bör det gemensamma gränssnittet finnas på unionsinstitutionernas samtliga officiella språk (nedan kallade officiella unionsspråk). Den befintliga portalen Ditt Europa och dess ingångssida, som bör anpassas till de krav som ställs av ingången, bör ha som praxis att information tillhandahålls på flera språk. Ingångens funktion bör stödjas av tekniska verktyg som kommissionen utvecklar i nära samarbete med medlemsstaterna.

(15)

I stadgan för elektroniska gemensamma kontaktpunkter enligt direktiv 2006/123/EG, som antogs av rådet 2013, åtog sig medlemsstaterna frivilligt att inta en användarcentrerad hållning i tillhandahållandet av information genom de gemensamma kontaktpunkterna, i syfte att täcka områden som är särskilt viktiga för företag, som moms, inkomstskatt samt socialförsäkrings- och arbetsrättsliga krav. Med utgångspunkt i stadgan och mot bakgrund av erfarenheten av portalen Ditt Europa bör informationen dessutom inbegripa en beskrivning av hjälp- och problemlösningstjänsterna. Privatpersoner och företag bör kunna använda dessa tjänster när de har problem med att förstå informationen och hur den ska tillämpas på deras situation, eller när de har problem med att utföra ett förfarande.

(16)

Denna förordning bör förteckna de informationsområden som är relevanta för privatpersoner och företag som utövar sina rättigheter och fullgör sina skyldigheter på den inre marknaden. För dessa områden bör tillräckligt utförlig information tillhandahållas på nationell nivå, inbegripet på regional och lokal nivå, och på unionsnivå med förklaringar av gällande regler och skyldigheter samt de förfaranden som privatpersoner och företag behöver utföra för att efterleva dessa regler och skyldigheter. I syfte att säkerställa kvaliteten på de tjänster som erbjuds bör den information som tillhandahålls genom ingången vara tydlig, korrekt och aktuell. Användningen av komplex terminologi bör minimeras, och användningen av akronymer bör begränsas till förenklade och lättbegripliga begrepp som inte kräver förkunskaper om frågan eller lagområdet. Informationen bör tillhandahållas på ett sådant sätt att användarna lätt kan förstå de grundläggande regler och krav som gäller för deras situation i fråga om sådana områden. Användarna bör också informeras om att det i vissa medlemsstater inte finns några nationella regler inom de informationsområden som förtecknas i bilaga I till denna förordning, särskilt om dessa områden omfattas av nationella regler i andra medlemsstater. Sådan information om frånvaron av nationella regler skulle kunna införas i portalen Ditt Europa.

(17)

När så är möjligt bör information som redan samlats in av kommissionen från medlemsstaterna enligt befintlig unionsrätt eller befintliga frivilliga arrangemang, såsom information som insamlats för Euresportalen, som inrättades genom Europaparlamentets och rådets förordning (EU) 2016/589 (10), e-juridikportalen, som inrättades genom rådets beslut 2001/470/EG (11), eller databasen över reglerade yrken, som inrättades genom direktiv 2005/36/EG, användas i fråga om en del av den information som ska göras tillgänglig för privatpersoner och företag på unionsnivå och nationell nivå i enlighet med den här förordningen. Medlemsstaterna bör på sina nationella webbplatser inte vara skyldiga att tillhandahålla information som redan finns tillgänglig i relevanta databaser som förvaltas av kommissionen. Om medlemsstaterna redan är skyldiga att tillhandahålla onlineinformation enligt andra unionsakter, såsom Europaparlamentets och rådets direktiv 2014/67/EU (12), bör det vara tillräckligt att medlemsstaterna tillhandahåller länkar till befintlig onlineinformation. På politikområden som redan har harmoniserats fullt ut genom unionsrätten, exempelvis konsumenträttigheter, bör informationen på unionsnivå i allmänhet vara tillräcklig för att användarna ska kunna förstå sina relevanta rättigheter och skyldigheter. I dessa fall bör medlemsstaterna endast behöva tillhandahålla ytterligare information om sina nationella administrativa förfaranden och hjälptjänster eller andra nationella administrativa regler om det är av relevans för användarna. Information om exempelvis konsumenträttigheter bör inte påverka avtalsrätten, utan bör snarare endast informera användarna om deras rättigheter enligt unionsrätt och nationell rätt i samband med affärstransaktioner.

(18)

Denna förordning bör förbättra inremarknadsdimensionen i onlineförfaranden, och därigenom bidra till digitaliseringen av den inre marknaden, genom att den allmänna principen om icke-diskriminering upprätthålls bland annat när det gäller privatpersoners eller företags tillgång till sådana onlineförfaranden som redan inrättats på nationell nivå utifrån nationell rätt eller unionsrätt och förfaranden som ska göras helt tillgängliga online i enlighet med denna förordning. Om en användare i en situation som är exklusivt begränsad till en enda medlemsstat kan få tillgång till och utföra ett förfarande online i den medlemsstaten på ett område som omfattas av denna förordning, bör en användare i gränsöverskridande situationer också kunna ha tillgång till och kunna utföra förfarandet online, genom att använda antingen samma tekniska lösning eller en alternativ, tekniskt separat lösning som får samma resultat, utan några diskriminerande hinder. Sådana hinder kan utgöras av nationellt utformade lösningar, såsom blanketter som bara godtar nationella telefonnummer, nationella prefix för telefonnummer eller nationella postnummer, att avgifter bara kan betalas via system som inte tillåter gränsöverskridande betalningar, avsaknaden av detaljerade förklaringar på ett språk som förstås av användare i gränsöverskridande situationer, att det inte går att skicka in elektroniska bevis från myndigheter i andra medlemsstater eller att medel för elektronisk identifiering som utfärdats i andra medlemsstater inte godtas. Medlemsstaterna bör tillhandahålla lösningar för sådana hinder.

(19)

När användare utför onlineförfaranden över landsgränser bör de kunna få alla relevanta förklaringar på ett officiellt unionsspråk som i huvudsak förstås av största möjliga antal användare i andra länder. Detta innebär inte att medlemsstaterna måste översätta sina administrativa formulär som hör till förfarandet eller resultatet av förfarandet till det språket. Medlemsstaterna uppmuntras emellertid att använda tekniska lösningar som skulle göra det möjligt för användarna att i så många fall som möjligt utföra förfarandena på det språket, samtidigt som medlemsstaternas regler för språkanvändning respekteras.

(20)

Nationella onlineförfaranden som är relevanta för att användare i andra länder ska kunna utöva sina rättigheter på den inre marknaden beror på huruvida de är bosatta eller etablerade i den berörda medlemsstaten eller vill ha tillgång till förfarandena i den medlemsstaten trots att de är bosatta eller etablerade i en annan medlemsstat. Denna förordning bör inte hindra att medlemsstater kräver att användare från andra länder som är bosatta eller etablerade på deras territorium erhåller ett nationellt identifieringsnummer i syfte att få tillgång till de nationella förfarandena online, förutsatt att detta inte medför en omotiverad ytterligare börda eller kostnad för dessa användare. För användare i andra länder som inte är bosatta eller etablerade i den berörda medlemsstaten behöver nationella onlineförfaranden som inte är relevanta för utövandet av deras rättigheter på den inre marknaden, exempelvis registrering för att få tillgång till lokala tjänster såsom sophämtning och parkeringstillstånd, inte göras helt tillgängliga online.

(21)

Denna förordning bör bygga på Europaparlamentets och rådets förordning (EU) nr 910/2014 (13), som fastställer på vilka villkor medlemsstaterna erkänner vissa medel för elektronisk identifiering för fysiska och juridiska personer som omfattas av en annan medlemsstats anmälda system för elektronisk identifiering. Förordning (EU) nr 910/2014 fastställer de villkor enligt vilka användare har rätt att använda sina medel för elektronisk identifiering och autentisering för att få tillgång till offentliga tjänster online i gränsöverskridande situationer. Unionens institutioner, organ och byråer uppmuntras att godta medel för elektronisk identifiering och autentisering för de förfaranden som de ansvarar för.

(22)

Ett antal sektorsspecifika unionsakter, t.ex. direktiven 2005/36/EG, 2006/123/EG, 2014/24/EU och 2014/25/EU, innehåller krav på att förfaranden ska vara helt tillgängliga online. Denna förordning bör kräva att ett antal andra förfaranden som är centrala för de flesta privatpersoner och företag som utövar sina rättigheter och fullgör sina skyldigheter över gränserna också görs helt tillgängliga online.

(23)

För att privatpersoner och företag direkt ska kunna dra nytta av den inre marknaden utan att drabbas av onödiga ytterligare administrativa bördor, bör denna förordning innehålla krav på en fullständig digitalisering av användargränssnittet för vissa viktiga förfaranden för användare i andra länder. Dessa förfaranden förtecknas i bilaga II till denna förordning. Denna förordning bör också fastställa kriterier för hur ett förfarande ska bedöms som helt online. Skyldigheten att göra sådana förfaranden helt tillgängliga online bör gälla endast om förfarandena har inrättats i den berörda medlemsstaten. Inledande registrering av en affärsverksamhet, de förfaranden som leder till bildande av bolag som juridiska personer eller senare anmälan av sådana bolag bör emellertid inte omfattas av denna förordning, eftersom sådana förfaranden kräver en heltäckande strategi med syfte att främja digitala lösningar under ett företags hela livscykel. När företag etablerar sig i en annan medlemsstat måste de registrera sig i ett socialförsäkringssystem och ett försäkringssystem, så att de kan anmäla sina anställda till dessa och betala avgifter till båda systemen. De kan behöva anmäla sin affärsverksamhet, skaffa tillstånd eller registrera ändring av affärsverksamhet. Dessa förfaranden måste utföras av företag som bedriver verksamhet i många sektorer av ekonomin, och det är därför lämpligt att kräva att förfarandena görs tillgängliga online.

(24)

Denna förordning bör förtydliga vad det innebär att erbjuda ett förfarande helt online. Ett förfarande bör anses vara helt online om användaren kan gå igenom alla leden i ett förfarande, från tillgång till slutförande, kommunikationen med den behöriga myndigheten (nedan kallad front office) elektroniskt, på distans och via en onlinetjänst. Denna onlinetjänst bör vägleda användaren genom en förteckning över de krav som ska uppfyllas och de bevis som ska tillhandahållas. Tjänsten bör göra det möjligt för användaren att tillhandahålla information och bevis på överensstämmelse enligt kraven och bör förse användaren med ett automatiskt mottagningsbevis, såvida inte resultatet av förfarandet tillhandahålls omedelbart. Detta bör inte hindra de behöriga myndigheterna från att vid behov kontakta användarna direkt för att få ytterligare klargöranden som är nödvändiga för förfarandet. Resultatet av förfarandet, såsom det fastställs i denna förordning, bör även tillhandahållas användaren av de behöriga myndigheterna på elektronisk väg där detta är möjligt enligt tillämplig unionsrätt eller nationell rätt.

(25)

Denna förordning bör inte påverka innehållet i de förfaranden som förtecknas i bilaga II och som fastställs på nationell, regional eller lokal nivå, och den fastställer inga materiella regler eller procedurregler inom de områden som omfattas av bilaga II, inbegripet skattefrågor. Syftet med denna förordning är att fastställa de tekniska kraven för att säkerställa att sådana förfaranden, i de fall sådana har inrättats i den berörda medlemsstaten, görs tillgängliga helt online.

(26)

Denna förordning bör inte påverka de nationella myndigheternas befogenheter i ett förfarande, däribland kontroll av korrekthet och giltighet hos den information eller de bevis som skickats in och kontroll av äktheten om bevis skickas in på annat sätt än via det tekniska system som bygger på engångsprincipen. Denna förordning bör heller inte påverka arbetsflöden inom och mellan behöriga myndigheter (nedan kallat back office), oberoende av om de är digitaliserade eller inte. Som en del av förfarandena för att registrera ändring av affärsverksamhet bör medlemsstaterna när det är nödvändigt kunna fortsätta att begära att notarier eller jurister deltar, vilka kan vilja använda kontrollmetoder som videokonferenser eller andra onlineverktyg som medger audiovisuell förbindelse i realtid. Detta deltagande bör emellertid inte hindra att förfaranden för att registrera sådana ändringar utförs helt online.

(27)

I vissa fall kan användarna behöva lämna in bevis på fakta som inte kan fastställas online. Sådana bevis kan till exempel vara läkarintyg, levnadsbevis och trafiksäkerhetsintyg för motorfordon eller bekräftelse av chassinummer. Så länge sådana bevis kan lämnas in i elektroniskt format bör detta inte utgöra ett undantag från principen att ett förfarande bör erbjudas helt online. I andra fall kan det fortfarande vara nödvändigt att användare inställer sig personligen hos en behörig myndighet som ett led i ett onlineförfarande. Alla undantag, utom de som följer av unionsrätten, bör begränsas till situationer där det är motiverat av tvingande hänsyn till allmänintresset på områdena allmän säkerhet, folkhälsa eller bedrägeribekämpning. För att säkerställa insyn bör medlemsstaterna upplysa kommissionen och de övriga medlemsstaterna om sådana undantag och om de grunder och omständigheter som ger möjlighet att tillämpa dem. Medlemsstaterna bör inte vara skyldiga att rapportera om varje enskilt fall då det i undantagsfall krävts fysisk närvaro, utan snarare upplysa om de nationella bestämmelser där detta föreskrivs. I detta sammanhang bör bästa praxis på nationell nivå och teknisk utveckling som möjliggör vidare digitalisering diskuteras regelbundet i en samordningsgrupp för ingången.

(28)

I gränsöverskridande situationer kan förfarandet för att registrera en adressändring bestå av två separata förfaranden – ett i ursprungsmedlemsstaten för att begära avregistrering från den gamla adressen, och ett annat i destinationsmedlemsstaten för att begära registrering på den nya adressen. Båda förfarandena bör omfattas av denna förordning.

(29)

Eftersom digitaliseringen av krav, förfaranden och formaliteter när det gäller erkännande av yrkeskvalifikationer redan omfattas av direktiv 2005/36/EG, bör denna förordning endast omfatta digitaliseringen av förfarandet för att begära akademiskt erkännande av examensbevis, utbildningsbevis eller andra bevis på fullgjorda kurser i fråga om en person som vill börja eller fortsätta studera eller använda en akademisk titel, utöver de formaliteter som gäller för erkännande av yrkeskvalifikationer.

(30)

Denna förordning bör inte påverka de regler om samordning av social trygghet som anges i Europaparlamentets och rådets förordningar (EG) nr 883/2004 (14) och (EG) nr 987/2009 (15), som innehåller definitioner av rättigheter och skyldigheter för försäkrade personer och socialförsäkringsinstitutioner, liksom av de förfaranden som är tillämpliga på området för samordning av social trygghet.

(31)

Flera nätverk och tjänster har inrättats både på unionsnivå och på nationell nivå för att hjälpa privatpersoner och företag med gränsöverskridande ärenden och verksamhet. Det är viktigt att dessa tjänster, som inbegriper befintliga hjälp- och problemlösningstjänster som inrättats på unionsnivå, såsom de europeiska konsumentcentrumen, rådgivningstjänsten Ditt Europa, Solvit, helpdesken för immateriella rättigheter, Europa direkt och Enterprise Europe Network, ingår i ingången för att säkerställa att alla potentiella användare kan hitta dem. De tjänster som förtecknas i bilaga III har inrättats genom bindande unionsakter, medan andra tjänster fungerar på frivillig grund. Tjänster som inrättats genom bindande unionsakter bör vara bundna av de kvalitetskrav som anges i denna förordning. De tjänster som tillhandahålls på frivillig grund bör uppfylla kvalitetskraven om avsikten är att göra tjänsterna tillgängliga via ingången. Tjänsternas omfattning och karaktär, styrformer, befintliga tidsfrister och hur de fungerar – frivilligt, enligt avtal eller på annan basis – bör inte påverkas av denna förordning. Om exempelvis den hjälp som tillhandahålls är av informell karaktär bör denna förordning inte få till följd att den blir till juridisk rådgivning av bindande karaktär.

(32)

Vidare bör medlemsstaterna och kommissionen kunna besluta att till ingången lägga andra nationella hjälp- och problemlösningstjänster som tillhandahålls av behöriga myndigheter eller av privata eller halvprivata enheter, eller offentliga organ, såsom handelskammare eller icke-statliga hjälptjänster för privatpersoner, på de villkor som fastställs i denna förordning. Behöriga myndigheter bör i princip ha ansvaret för att hjälpa privatpersoner och företag med deras eventuella frågor om tillämpliga regler och förfaranden som inte kan utföras helt med hjälp av onlinetjänster. På mycket specialiserade områden, och om de tjänster som tillhandahålls av privata eller halvprivata organ uppfyller användarnas behov, får medlemsstaterna emellertid föreslå kommissionen att den inkluderar dessa tjänster i ingången, förutsatt att tjänsterna uppfyller samtliga villkor i denna förordning och inte är identiska med hjälp- och problemlösningstjänster som redan finns i ingången.

(33)

För att användarna ska få hjälp att hitta rätt tjänst bör förordningen omfatta en hjälptjänstsökare som automatiskt vägleder dem till den.

(34)

För att ingången ska bli framgångsrik är det viktigt att en minimiförteckning med kvalitetskrav respekteras så att det säkerställs att tillhandahållandet av information och tjänster är tillförlitligt, eftersom hela ingångens trovärdighet annars skulle urholkas. Det övergripande målet med att uppfylla kraven är att säkerställa att informationen eller tjänsten presenteras på ett tydligt och användarvänligt sätt. Det är medlemsstaternas ansvar att fastställa hur informationen presenteras under hela förfarandet så att detta mål uppnås. Även om det till exempel är viktigt att användarna, innan de inleder ett förfarande, får reda på vilka rättsmedel som i allmänhet står till buds vid ett negativt resultat av ett förfarande, är det mycket mer användarvänligt att ge sådan specifik information om hur man i så fall kan gå tillväga i slutet av förfarandet.

(35)

Användarnas tillgång till information över gränserna kan förbättras avsevärt genom att informationen görs tillgänglig på ett officiellt unionsspråk som i huvudsak förstås av största möjliga antal användare i andra länder. Språket bör i de flesta fall vara det språk som studeras som främmande språk av flest användare i unionen. I vissa specifika fall, särskilt när det gäller information som ska tillhandahållas på lokal nivå av små kommuner i närheten av en medlemsstats gräns, kan det lämpligaste språket emellertid vara det språk som talas som förstaspråk av användarna i den angränsande medlemsstaten. Översättningen från det eller de officiella språken i den berörda medlemsstaten till detta andra officiella unionsspråk bör korrekt återge innehållet i informationen på det ursprungliga språket eller de ursprungliga språken. Översättningen kan begränsas till den information som användarna behöver för att förstå de grundläggande regler och krav som gäller för deras situation. Även om medlemsstaterna bör uppmuntras att översätta så mycket information som möjligt till ett officiellt unionsspråk som i huvudsak förstås av största möjliga antal användare i andra länder, kommer den mängd information som ska översättas enligt denna förordning att vara beroende av de finansiella medel som finns tillgängliga för detta ändamål, särskilt från unionens budget. Kommissionen bör vidta lämpliga åtgärder för att säkerställa att översättningar på ett effektivt sätt tillhandahålls medlemsstaterna på deras begäran. Samordningsgruppen för ingången bör diskutera och ge vägledning om det eller de officiella unionsspråk som denna information bör översättas till.

(36)

I enlighet med Europaparlamentets och rådets direktiv (EU) 2016/2102 (16) ska medlemsstaterna säkerställa att deras offentliga organs webbplatser är tillgängliga i enlighet med principerna om möjlighet att uppfatta, hanterbarhet, begriplighet och robust karaktär och att de uppfyller kraven i det direktivet. Kommissionen och medlemsstaterna bör säkerställa efterlevnad av Förenta nationernas konvention om rättigheter för personer med funktionsnedsättning, särskilt artiklarna 9 och 21 i den konventionen, och för att främja tillgång till information för personer med intellektuell funktionsnedsättning bör alternativ på ett lättläst språk tillhandahållas i största möjliga utsträckning och i enlighet med proportionalitetsprincipen. Genom att ratificera respektive ingå (17) den konventionen har medlemsstaterna respektive unionen åtagit sig att vidta ändamålsenliga åtgärder för att säkerställa tillgänglighet till ny teknik och nya system på informations- och kommunikationsområdet, inbegripet internet, för personer med funktionsnedsättning, på samma villkor som för andra, genom att främja tillgänglighet till information för personer med intellektuell funktionsnedsättning och tillhandahålla alternativ på ett lättläst språk i största möjliga utsträckning och proportionellt.

(37)

Direktiv (EU) 2016/2102 gäller inte webbplatser och mobila applikationer tillhörande unionens institutioner, organ och byråer, men kommissionen bör säkerställa att det gemensamma användargränssnittet och de webbsidor som den ansvarar för och som ska inkluderas i ingången är tillgängliga för personer med funktionsnedsättning, så att de är möjliga att uppfatta, hanterbara, begripliga och av robust karaktär. Möjlighet att uppfatta innebär att information och komponenter i ett gemensamt användargränssnitt måste presenteras för användare på sätt som de kan uppfatta. Hanterbara innebär att komponenter i ett gemensamt användargränssnitt och navigering måste vara hanterbara. Begripliga innebär att information och hantering av det gemensamma användargränssnittet måste vara begripliga. Robust karaktär innebär att innehållet måste vara robust nog för att kunna tolkas på ett tillförlitligt sätt av ett brett spektrum av användarprogram, inklusive tekniska hjälpmedel. Vad gäller kraven på möjlighet att uppfatta, hanterbarhet, begriplighet och robust karaktär uppmuntras kommissionen att agera i överensstämmelse med relevanta harmoniserade standarder.

(38)

I syfte att underlätta betalning av avgifter som krävs som en del av onlineförfaranden eller för tillhandahållande av hjälp- eller problemlösningstjänster bör användare i andra länder kunna använda betalningar eller autogireringar i enlighet med Europaparlamentets och rådets förordning (EU) nr 260/2012 (18) eller andra allmänt förekommande medel för gränsöverskridande betalning, inbegripet bankkort eller kreditkort.

(39)

Det är värdefullt för användarna att informeras om vilken tid ett förfarande kan förväntas ta. Därför bör användarna informeras om tillämpliga tidsfrister eller arrangemang för tyst godkännande eller administrativa arrangemang för avsaknad av beslut eller, om sådana inte är tillämpliga, åtminstone om den genomsnittliga, beräknade eller preliminära tid som vanligen krävs för det aktuella förfarandet. Sådana beräkningar eller indikationer bör endast hjälpa användarna att planera sin verksamhet eller eventuella följande administrativa åtgärder och bör inte ha rättslig verkan.

(40)

Denna förordning bör också göra det möjligt att kontrollera bevis som användarna tillhandahållit i elektroniskt format, om bevisen skickats utan elektroniskt sigill eller intyg från den utfärdande behöriga myndigheten, eller om det tekniska verktyg som fastställts i denna förordning eller något annat system för direkt utbyte eller kontroll av bevis mellan behöriga myndigheter i olika medlemsstater ännu inte är tillgängligt. För sådana situationer bör förordningen föreskriva en effektiv mekanism för administrativt samarbete mellan medlemsstaternas behöriga myndigheter, baserat på informationssystemet för den inre marknaden (IMI), som inrättades genom Europaparlamentets och rådets förordning (EU) nr 1024/2012 (19). I dessa fall bör en behörig myndighets beslut att använda IMI vara frivilligt, men så snart myndigheten har lämnat in en begäran om information eller samarbete via IMI bör den behöriga myndighet som begäran riktar sig till vara tvungen att samarbeta och ge ett svar. Begäran kan skickas via IMI antingen till den behöriga myndighet som utfärdar bevisen eller till den centrala myndighet som utses av medlemsstaterna i enlighet med deras egna administrativa regler. För att undvika onödigt dubbelarbete och eftersom Europaparlamentets och rådets förordning (EU) 2016/1191 (20) omfattar en del av de bevis som är relevanta för de förfaranden som omfattas av den här förordningen kan de tillvägagångssätt för samarbete för IMI som fastställs i förordning (EU) 2016/1191 även användas för andra bevis som krävs i de förfaranden som omfattas av den här förordningen. För att unionens organ och byråer ska kunna bli aktörer inom IMI bör förordning (EU) nr 1024/2012 ändras.

(41)

Onlinetjänster som tillhandahålls av behöriga myndigheter är mycket viktiga för att höja kvaliteten på och säkerheten avseende de tjänster som erbjuds privatpersoner och företag. Medlemsstaternas offentliga förvaltningar strävar i allt högre utsträckning efter att återanvända data, vilket innebär att privatpersoner och företag inte längre behöver lämna samma information flera gånger. Denna återanvändning av data bör erbjudas även för användare i andra medlemsstater för att minska ytterligare administrativa bördor.

(42)

I syfte att möjliggöra lagligt gränsöverskridande utbyte av bevis och information genom unionsomfattande tillämpning av engångsprincipen, bör denna förordning och engångsprincipen tillämpas i enlighet med alla tillämpliga regler för dataskydd, inbegripet principerna om uppgiftsminimering, korrekthet, lagringsminimering, integritet och konfidentialitet, nödvändighet, proportionalitet och ändamålsbegränsning. Genomförandet bör också ske i full överensstämmelse med principerna om inbyggd säkerhet och inbyggt integritetsskydd, samt med respekt för enskilda personers grundläggande rättigheter, inbegripet de som avser rättvisa och öppenhet.

(43)

Medlemsstaterna bör säkerställa att användarna av förfarandena ges tydlig information om hur personuppgifter som rör dem kommer att behandlas i enlighet med artiklarna 13 och 14 i Europaparlamentets och rådets förordning (EU) 2016/679 (21) och artiklarna 15 och 16 i förordning (EU) 2018/1725 (22).

(44)

För att underlätta användningen av onlineförfaranden ytterligare bör denna förordning, i linje med engångsprincipen, ligga till grund för skapandet och användandet av ett fullt fungerande, tryggt och säkert tekniskt system för det automatiskt gränsöverskridande utbytet av bevis mellan de aktörer som medverkar i förfarandet, på uttrycklig förfrågan från privatpersoner och företag. Om utbytet av bevis inbegriper personuppgifter bör förfrågan anses vara uttrycklig om den innehåller en frivillig, specifik, informerad och otvetydig viljeyttring från den enskilda personen om utbyte av de relevanta personuppgifterna, antingen genom ett uttalande eller genom en bekräftande handling. Om användaren inte är den person som berörs av personuppgifterna bör onlineförfarandet inte påverka den personens rättigheter enligt förordning (EU) 2016/679. Gränsöverskridande tillämpning av engångsprincipen bör resultera i att privatpersoner och företag inte behöver lämna samma data till myndigheter mer än en gång och att det även bör vara möjligt att använda dessa data på begäran av användaren i syfte att utföra gränsöverskridande onlineförfaranden som omfattar användare i andra länder. För den utfärdande behöriga myndigheten bör skyldigheten att använda det tekniska systemet för automatiskt utbyte av bevis mellan olika medlemsstater vara tillämplig endast i fall där myndigheter i sin egen medlemsstat utfärdar bevis i elektroniskt format som möjliggör sådant automatiskt utbyte.

(45)

Allt gränsöverskridande utbyte av bevis bör ske med stöd av en lämplig rättslig grund, såsom i direktiv 2005/36/EG, 2006/123/EG, 2014/24/EU eller 2014/25/EU eller, för de förfaranden som förtecknas i bilaga II, i annan tillämplig unionsrätt eller nationell rätt.

(46)

Det är lämpligt att denna förordning, som allmän regel, föreskriver att gränsöverskridande automatiskt utbyte av bevis sker på uttrycklig förfrågan av användaren. Detta krav bör dock inte tillämpas om relevant unionsrätt eller nationell rätt medger gränsöverskridande automatiskt utbyte av data utan en uttrycklig förfrågan från en användare.

(47)

Användningen av det tekniska system som inrättas genom denna förordning bör även fortsättningsvis vara frivillig, och det bör stå användaren fritt att skicka in bevis på annat sätt än genom det tekniska systemet. Användaren bör ha möjlighet att förhandsgranska beviset och rätt att välja att inte fortsätta med utbytet av bevis i fall där användaren, efter att ha förhandsgranskat det bevis som ska utbytas, upptäcker att informationen är felaktig, inaktuell eller omfattar mer än vad som är nödvändigt för det aktuella förfarandet. De data som ingår i förhandsgranskningen bör inte lagras under en längre tid än vad som är nödvändigt i tekniskt hänseende.

(48)

Det säkra tekniska system som bör inrättas för att möjliggöra utbyte av bevis enligt denna förordning bör också ge behöriga myndigheter som begärt bevis visshet om att det har tillhandahållits av rätt utfärdande myndighet. Den behöriga myndigheten bör, innan den godkänner information som en användare tillhandahåller i samband med ett förfarande, kunna kontrollera informationen om det uppstår tvivel och kunna fastställa att den är korrekt.

(49)

Ett antal byggstenar tillhandahåller grundläggande kapacitet som kan användas för att inrätta det tekniska systemet, såsom Fonden för ett sammanlänkat Europa, inrättad genom Europaparlamentets och rådets förordning (EU) nr 1316/2013 (23), och byggstenarna e-tillhandahållande (eDelivery) och elektroniskt id-kort (eID). Byggstenarna utgörs av tekniska specifikationer, provprogramvara och stödtjänster, och syftar till att säkerställa kompatibilitet mellan befintliga system för informations- och kommunikationsteknik (IKT) i medlemsstaterna så att privatpersoner, företag och förvaltningar, oavsett var i unionen de befinner sig kan utnyttja sömlösa digitala offentliga tjänster.

(50)

Det tekniska system som inrättas genom denna förordning bör finnas tillgängligt utöver andra system som omfattar mekanismer för samarbete mellan myndigheter, t.ex. IMI, och bör inte påverka andra system, som det system som föreskrivs i förordning (EG) nr 987/2009, det europeiska enhetliga upphandlingsdokumentet enligt direktiv 2014/24/EU, det elektroniska utbytet av socialförsäkringsuppgifter enligt förordning (EG) nr 987/2009, det europeiska yrkeskortet enligt direktiv 2005/36/EG, sammankopplingen av nationella register och sammankopplingen av centrala register, handelsregister och företagsregister enligt Europaparlamentets och rådets direktiv (EU) 2017/1132 (24) och sammankopplingen av insolvensregister enligt Europaparlamentets och rådets förordning (EU) 2015/848 (25).

(51)

För att säkerställa enhetliga villkor för genomförandet av ett tekniskt system som möjliggör automatiskt utbyte av bevis bör kommissionen tilldelas genomförandebefogenheter att ange specifika tekniska och operativa specifikationer för ett system för behandling av en användares begäran om utbyte av bevis, samt för överföring av sådant bevis och nödvändiga regler för att säkerställa överföringens integritet och konfidentialitet. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (26).

(52)

I syfte att säkerställa att det tekniska systemet tillhandahåller en hög säkerhetsnivå för den gränsöverskridande tillämpningen av engångsprincipen bör kommissionen, när den antar genomförandeakter om specifikationer för ett sådant tekniskt system, ta vederbörlig hänsyn till de standarder och tekniska specifikationer som utarbetats av europeiska och internationella standardiseringsorganisationer och -organ, i synnerhet Europeiska standardiseringskommittén (CEN), Europeiska institutet för telekommunikationsstandarder (Etsi), Internationella standardiseringsorganisationen (ISO) och Internationella teleunionen (ITU), samt till de säkerhetsnormer som avses i artikel 32 i förordning (EU) 2016/679 och artikel 22 i förordning (EU) 2018/1725.

(53)

Om det är nödvändigt för att säkerställa utveckling, tillgänglighet, underhåll, tillsyn, övervakning och säkerhetshantering av de delar av det tekniska systemet som kommissionen ansvarar för, bör kommissionen begära råd från Europeiska datatillsynsmannen.

(54)

De behöriga myndigheterna och kommissionen bör säkerställa att kvalitetskriterierna efterlevs när det gäller den information och de förfaranden och tjänster som de är ansvariga för. De nationella samordnarna som utses genom denna förordning och kommissionen bör regelbundet övervaka att kvalitets- och säkerhetskriterierna efterlevs på nationell nivå respektive unionsnivå, och ta itu med eventuella problem som uppstår. De nationella samordnarna bör dessutom bistå kommissionen i arbetet med att övervaka funktionen hos det tekniska system som möjliggör ett gränsöverskridande utbyte av bevis. Denna förordning bör ge kommissionen flera olika medel för att ta itu med eventuella försämringar av kvaliteten på de tjänster som erbjuds genom ingången, beroende på hur allvarliga och bestående försämringarna är, vilket inbegriper att om nödvändigt involvera samordningsgruppen för ingången. Detta bör inte föregripa kommissionens övergripande ansvar vad gäller övervakningen av att denna förordning efterlevs.

(55)

Denna förordning bör specificera huvudfunktionerna i de tekniska verktyg som ska stödja ingångens funktion, i synnerhet det gemensamma användargränssnittet, centrallagret för länkar och den gemensamma hjälptjänstsökaren. Det gemensamma användargränssnittet bör säkerställa att användarna lätt kan hitta information, förfaranden samt hjälp- och problemlösningstjänster på webbplatser på nationell nivå och unionsnivå. Medlemsstaterna och kommissionen bör sträva efter att tillhandahålla länkar till en gemensam informationskälla för den information som krävs för ingången i syfte att undvika osäkerhet bland användarna på grund av olika, helt eller delvis överlappande källor till samma information. Detta bör inte utesluta möjligheten att tillhandahålla länkar till samma information som tillhandahålls av lokala eller regionala behöriga myndigheter för olika geografiska områden. Det bör inte heller förhindra viss överlappning av information där detta är oundvikligt eller önskvärt, till exempel när vissa unionsrättigheter, -skyldigheter och -regler upprepas eller beskrivs på nationella webbsidor för att förbättra användarvänligheten. För att minimera den mänskliga inblandningen vid uppdateringen av de länkar som ska användas i det gemensamma användargränssnittet bör en direktkoppling mellan medlemsstaternas relevanta tekniska system och centrallagret för länkar upprättas där detta är tekniskt möjligt. De gemensamma IKT-supportverktygen kan använda Core Public Services Vocabulary (CPSV) för att underlätta kompatibilitet med nationella tjänstekataloger och nationell semantik. Medlemsstaterna bör uppmuntras att använda CPSV men har rätt att besluta att använda nationella lösningar. Informationen i centrallagret bör göras tillgänglig för allmänheten i ett öppet och allmänt använt maskinläsbart format, exempelvis genom applikationsprogrammeringsgränssnitt (API:er), så att den kan återanvändas.

(56)

Sökfunktionen i det gemensamma användargränssnittet bör leda användarna till den information som de behöver oberoende av var den finns på webbsidor på unionsnivå eller nationell nivå. Som ett alternativt sätt att vägleda användarna till användbar information kommer det därutöver att vara en hjälp även framöver om det skapas länkar mellan befintliga och kompletterande webbplatser eller webbsidor – med en rationalisering och gruppering av dem i så hög grad som möjligt – samt länkar mellan webbsidor och webbplatser för att ge tillgång till onlinetjänster och information på unionsnivå och nationell nivå.

(57)

Denna förordning bör också specificera kvalitetskrav för det gemensamma användargränssnittet. Kommissionen bör säkerställa att det gemensamma användargränssnittet uppfyller dessa krav, och det bör i synnerhet vara tillgängligt och åtkomligt online via olika kanaler och vara lätt att använda.

(58)

För att säkerställa enhetliga villkor för genomförandet av de tekniska lösningarna till stöd för ingången bör kommissionen tilldelas genomförandebefogenheter att, där så krävs, fastställa tillämpliga standarder och kompatibilitetskrav för att göra det lättare att hitta informationen om regler och skyldigheter, om förfaranden och om hjälp- och problemlösningstjänster som medlemsstaterna och kommissionen ansvarar för. Dessa befogenheter bör utövas i enlighet med förordning (EU) nr 182/2011.

(59)

Denna förordning bör också innehålla en tydlig fördelning mellan kommissionen och medlemsstaterna av ansvaret för utveckling, tillgänglighet, underhåll och säkerhet för IKT-programmen som stöder ingången. Som ett led i underhållsuppgifterna bör kommissionen och medlemsstaterna regelbundet kontrollera om dessa IKT-program fungerar som de ska.

(60)

För att fullt ut utveckla potentialen i de olika informationsområden, förfaranden samt hjälp- och problemlösningstjänster som bör inkluderas i ingången behöver målgruppernas medvetenhet om att de finns och hur de fungerar förbättras betydligt. Det faktum att de inkluderas i ingången bör göra det mycket lättare för användare att hitta den information, de förfaranden samt de hjälp- och problemlösningstjänster som de behöver, även när de inte känner till dem. Dessutom behövs gemensamma marknadsföringsinsatser för att säkerställa att privatpersoner och företag i hela unionen blir medvetna om ingångens existens och fördelar. Sådana marknadsföringsaktiviteter bör innefatta sökmotoroptimering och andra informationsåtgärder online, eftersom de är mest kostnadseffektiva och har potential att nå största möjliga målgrupp. För att marknadsföringsåtgärderna ska bli så effektiva som möjligt bör de samordnas inom ramen för ingångssamordningsgruppen, och medlemsstaterna bör justera sina marknadsföringsinsatser så att det finns en gemensam referens till ingången i alla relevanta sammanhang, med möjlighet till gemensam marknadsföring av ingången och nationella initiativ.

(61)

Alla andra av unionens institutioner, organ och byråer bör uppmuntras att främja ingången genom att på alla relevanta webbsidor inom respektive ansvarsområde inkludera dess logotyp och länkar till den på alla relevanta webbsidor för vilka de är ansvariga.

(62)

Det namn som ingången ska bli känd under och marknadsföras med för allmänheten bör vara Your Europe. Det gemensamma användargränssnittet bör kunna hittas på ett väl synligt och enkelt sätt, i synnerhet via relevanta webbsidor på unionsnivå och nationell nivå. Logotypen för ingången bör vara synlig på relevanta webbplatser på unionsnivå och nationell nivå.

(63)

För att samla in tillräcklig information för att mäta och förbättra resultatet av ingången bör denna förordning kräva att de behöriga myndigheterna och kommissionen samlar in och analyserar data om användningen av olika informationsområden, förfaranden och tjänster som erbjuds genom ingången. Insamlingen av andvändarstatistik, såsom data avseende antalet besök på specifika webbsidor, antalet användare inom en medlemsstat jämfört med antalet användare från andra medlemsstater, vilka sökord som används, de mest besökta webbsidorna, hänvisningswebbplatser eller antalet, ursprunget och ärendet vad gäller begäranden om hjälp, bör förbättra ingångens funktion genom att bidra till att identifiera målgruppen, utarbeta marknadsföringsaktiviteter och förbättra kvaliteten på de tjänster som erbjuds. Vid insamlingen av sådan data bör man beakta kommissionens årliga jämförande utvärdering av e-förvaltning för att undvika dubbelarbete.

(64)

För att säkerställa enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter att fastställa enhetliga regler för metoden för insamling och utbyte av användarstatistik. Dessa befogenheter bör utövas i enlighet med förordning (EU) nr 182/2011.

(65)

Ingångens kvalitet beror på kvaliteten på de unionstjänster och nationella tjänster som tillhandahålls via ingången. Därför bör kvaliteten på den information, de förfaranden samt de hjälp- och problemlösningstjänster som finns att tillgå genom ingången också övervakas regelbundet, med hjälp av ett återkopplingsverktyg för användare, genom vilket användarna uppmanas att bedöma och ge återkoppling om omfattning och kvalitet på den information, de förfaranden eller de hjälp- och problemlösningstjänster som de har använt. Deras synpunkter bör samlas i ett gemensamt verktyg som kommissionen, behöriga myndigheter och nationella samordnare bör ha tillgång till. För att säkerställa enhetliga villkor för genomförandet av denna förordning vad gäller användaråterkopplingsverktygens gemensamma funktionalitet och närmare bestämmelser om insamling och utbyte av användarnas återkoppling bör kommissionen tilldelas genomförandebefogenheter. Dessa befogenheter bör utövas i enlighet med förordning (EU) nr 182/2011. Kommissionen bör offentliggöra en anonymiserad sammanfattande onlineöversikt av de problem som framkommer av den information, den huvudsakliga användarstatistik och den huvudsakliga användaråterkoppling som samlas in i enlighet med denna förordning.

(66)

Dessutom bör ingången innefatta ett återkopplingsverktyg som gör det möjligt för användare att, frivilligt och anonymt, signalera eventuella problem och svårigheter som de har haft under utövandet av sina rättigheter på den inre marknaden. Detta verktyg bör endast betraktas som ett komplement till mekanismerna för hantering av klagomål, eftersom det inte kan ge användarna någon personlig respons. Mottagna synpunkter bör kombineras med sammanställd information från hjälp- och problemlösningstjänster om ärenden som de har hanterat, för att skapa en översikt över den inre marknaden utifrån hur användarna upplever den och för att identifiera problemområden för eventuella framtida insatser avsedda att förbättra den inre marknadens funktion. Denna översikt bör länkas till befintliga rapporteringsverktyg såsom resultattavlan för den inre marknaden.

(67)

Medlemsstaternas rätt att besluta vem som ska inneha uppgiften som nationell samordnare bör inte påverkas av denna förordning. Medlemsstaterna bör kunna anpassa funktioner och ansvarsområden för sina nationella samordnare i fråga om ingången till sina interna förvaltningsstrukturer. Medlemsstaterna bör kunna utse ytterligare nationella samordnare för att utföra uppgifterna enligt denna förordning, ensamma eller tillsammans med andra, med ansvar för en avdelning inom förvaltningen eller en geografisk region eller i enlighet med andra kriterier. Medlemsstaterna bör underrätta kommissionen om vem den enda nationella samordnare som de har utsett för kontakter med kommissionen är.

(68)

Det bör inrättas en samordningsgrupp för ingången bestående av nationella samordnare och en ordförande från kommissionen i syfte att underlätta tillämpningen av denna förordning, i synnerhet genom utbyte av bästa praxis och samarbete för att i enlighet med denna förordning göra presentationen av information mer enhetlig. Samordningsgruppen för ingången bör i sitt arbete beakta de mål som anges i det årliga arbetsprogrammet, som kommissionen bör lämna in till den för övervägande. Det årliga arbetsprogrammet bör utformas som riktlinjer eller rekommendationer som är icke-bindande för medlemsstaterna. Kommissionen kan på Europaparlamentets begäran besluta att skicka experter att närvara vid sammanträden med samordningsgruppen för ingången.

(69)

I denna förordning bör det förtydligas vilka delar av ingången som ska finansieras via unionsbudgeten och vilka delar som ska vara medlemsstaternas ansvar. Kommissionen bör hjälpa medlemsstaterna att identifiera återanvändbara IKT-byggstenar och finansiering som är tillgänglig genom olika fonder och program på unionsnivå som kan bidra till att täcka kostnaderna för den IKT-anpassning och IKT-utveckling som behövs på nationell nivå för att efterleva denna förordning. Den budget som krävs för genomförandet av denna förordning bör vara förenlig med den gällande fleråriga budgetramen.

(70)

Medlemsstaterna uppmuntras att utöka samordningen, samarbetet och utbytet med varandra för att få större strategisk och operativ kapacitet samt forsknings- och utvecklingskapacitet på it-säkerhetsområdet, särskilt genom genomförandet av den säkerhet i nätverks- och informationssystem som avses i Europaparlamentets och rådets direktiv (EU) 2016/1148 (27), för att stärka säkerheten och motståndskraften inom sin offentliga förvaltning och sina offentliga tjänster. Medlemsstaterna uppmuntras också att öka säkerheten i samband med transaktioner och säkerställa en tillräcklig nivå av förtroende för elektroniska medel genom användandet av eIDAS-ramarna som fastställts i förordning (EU) nr 910/2014, särskilt tillräckliga tillitsnivåer. Medlemsstaterna får vidta åtgärder i enlighet med unionsrätten för att garantera it-säkerheten och förhindra identitetsbedrägeri eller andra former av bedrägeri.

(71)

I de fall tillämpningen av denna förordning inbegriper behandling av personuppgifter bör de utföras i enlighet med unionsrätten om skydd av personuppgifter, i synnerhet förordning (EU) 2016/679 och förordning (EU) 2018/1725. Europaparlamentets och rådets direktiv (EU) 2016/680 (28) är också tillämpligt i samband med den här förordningen. I enlighet med förordning (EU) 2016/679 kan medlemsstaterna behålla eller införa ytterligare villkor, däribland begränsningar, med avseende på behandlingen av personuppgifter som rör hälsa, och de får föreskriva mer detaljerade regler för behandlingen av anställdas personuppgifter i samband med anställning.

(72)

Denna förordning bör främja och underlätta en harmonisering av styrformerna för de tjänster som ingången omfattar. Kommissionen bör i detta syfte, i nära samarbete med medlemsstaterna, se över de befintliga styrformerna och vid behov anpassa dem så att dubbelarbete och ineffektivitet kan undvikas.

(73)

Målet för denna förordning är att säkerställa att användare som verkar i andra medlemsstater har tillgång online till utförlig, tillförlitlig, tillgänglig och begriplig unionsomfattande och nationell information om rättigheter, regler och skyldigheter, till onlineförfaranden som kan utföras helt från ett annat land samt till hjälp- och problemlösningstjänster. Eftersom detta mål inte i tillräcklig utsträckning kan uppnås av medlemsstaterna, utan snarare, med tanke på denna förordnings omfattning och verkningar, bättre kan uppnås på unionsnivå, får unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå det målet.

(74)

För att medlemsstaterna och kommissionen ska kunna utveckla och börja använda de verktyg som krävs för att genomföra denna förordning bör vissa av bestämmelserna i den börja tillämpas två år efter det att den har trätt i kraft. De lokala myndigheterna bör ha fyra år på sig, räknat från ikraftträdandet av denna förordning, att genomföra kraven att kunna tillhandahålla information om reglerna, förfaranden samt hjälp- och problemlösningstjänster som de ansvarar för. Bestämmelserna i denna förordning om förfaranden som ska erbjudas helt online, den gränsöverskridande tillgången till onlineförfaranden och det tekniska systemet för gränsöverskridande automatiskt utbyte av bevis i enlighet med engångsprincipen bör vara genomförda senast fem år efter det att denna förordning har trätt i kraft.

(75)

Denna förordning är förenlig med de grundläggande rättigheter och de principer som erkänns i synnerhet i Europeiska unionens stadga om de grundläggande rättigheterna, och bör genomföras i enlighet med dessa rättigheter och principer.

(76)

Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i Europaparlamentets och rådets förordning (EG) nr 45/2001 (29) och avgav ett yttrande den 1 augusti 2017 (30).

(1)

Skyddet för fysiska personer med avseende på behandling av personuppgifter är en grundläggande rättighet. I artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) föreskrivs att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Denna rättighet garanteras även i artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

(2)

Europaparlamentets och rådets förordning (EG) nr 45/2001 (3) föreskriver verkställbara rättigheter för fysiska personer, anger de skyldigheter avseende behandling av personuppgifter som åligger personuppgiftsansvariga inom gemenskapsinstitutionerna och gemenskapsorganen, och inrättar en oberoende tillsynsmyndighet, Europeiska datatillsynsmannen, vars uppgift är att övervaka behandlingen av personuppgifter vid unionens institutioner och unionsorgan. Den är emellertid inte tillämplig på behandling av personuppgifter som utgör ett led i sådan verksamhet vid unionsinstitutioner eller unionsorgan vilken inte omfattas av unionsrätten.

(3)

Europaparlamentets och rådets förordning (EU) 2016/679 (4) och Europaparlamentets och rådets direktiv (EU) 2016/680 (5) antogs den 27 april 2016. Medan förordningen fastställer allmänna regler som syftar till att skydda fysiska personer med avseende på behandling av personuppgifter och att säkerställa det fria flödet av personuppgifter inom unionen, fastställs i direktivet särskilda regler som syftar till att skydda fysiska personer med avseende på behandlingen av personuppgifter och att säkerställa det fria flödet av personuppgifter inom unionen på området för straffrättsligt samarbete och polissamarbete.

(4)

I förordning (EU) 2016/679 föreskrivs anpassningar av förordning (EG) nr 45/2001 för att säkerställa en stark och sammanhängande ram för dataskyddet inom unionen och för att göra det möjligt att tillämpa den parallellt med förordning (EU) 2016/679.

(5)

För att främja en konsekvent strategi för skyddet av personuppgifter i hela unionen och för det fria flödet av personuppgifter inom unionen är det viktigt att så långt som möjligt anpassa de regler om skydd av personuppgifter som gäller för unionens institutioner, organ och byråer till de regler om skydd för personuppgifter som har antagits för den offentliga sektorn i medlemsstaterna. När en bestämmelse i denna förordning följer samma principer som en bestämmelse i förordning (EU) 2016/679 bör dessa båda bestämmelser, enligt rättspraxis från Europeiska unionens domstol (nedan kallad domstolen), tolkas enhetligt, särskilt eftersom den systematik som denna förordning bygger på bör uppfattas som en motsvarighet till systematiken bakom förordning (EU) 2016/679.

(6)

Personer vars personuppgifter behandlas av unionsinstitutioner och unionsorgan bör skyddas, oavsett i vilket sammanhang behandlingen sker, till exempel därför att dessa personer är anställda av dessa institutioner och organ. Denna förordning bör inte vara tillämplig på behandling av personuppgifter som rör avlidna personer. Denna förordning omfattar inte behandling av personuppgifter rörande juridiska personer, särskilt företag som bildats som juridiska personer, exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter.

(7)

För att förhindra att det uppstår en allvarlig risk för att reglerna kringgås bör skyddet för fysiska personer vara teknikneutralt och inte vara beroende av den teknik som används.

(8)

Denna förordning bör vara tillämplig på behandling av personuppgifter som utförs av alla unionens institutioner, organ och byråer. Den bör vara tillämplig på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av sådana personuppgifter som ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt särskilda kriterier, bör inte omfattas av denna förordning.

(9)

I förklaring nr 21 om skydd av personuppgifter på området för straffrättsligt samarbete och polissamarbete, fogad till slutakten från den regeringskonferens som antog Lissabonfördraget, bekräftade konferensen att det med hänsyn till detta områdes särart kan komma att bli nödvändigt att anta särskilda regler om skydd av personuppgifter och om det fria flödet av personuppgifter på området för straffrättsligt samarbete och polissamarbete med stöd av artikel 16 i EUF-fördraget. Ett särskilt kapitel med allmänna regler i denna förordning bör därför vara tillämpligt på behandlingen av operativa personuppgifter, t.ex. sådana personuppgifter som unionens organ eller byråer behandlar i samband med brottsutredningar när de utövar verksamhet på området för straffrättsligt samarbete och polissamarbete.

(10)

I direktiv (EU) 2016/680 fastställs harmoniserade regler om skydd och fri rörlighet för personuppgifter som behandlas i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. I syfte att säkerställa en enhetlig skyddsnivå för skyddet av fysiska personer genom rättsligt verkställbara rättigheter i hela unionen och undvika avvikelser som hämmar utbytet av personuppgifter mellan unionens organ eller byråer som utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget och behöriga myndigheter, bör reglerna om skyddet av och den fria rörligheten för operativa personuppgifter som behandlas av sådana unionsorgan eller unionsbyråer vara förenliga med direktiv (EU) 2016/680.

(11)

De allmänna reglerna i kapitlet om behandling av operativa personuppgifter i denna förordning bör inte påverka tillämpningen av de särskilda regler som är tillämpliga på behandlingen av operativa personuppgifter som utförs av unionens organ och byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget. Sådana särskilda regler bör betraktas som lex specialis till bestämmelserna i kapitlet i denna förordning om behandling av operativa personuppgifter (lex specialis derogat generali, dvs. en speciallag äger företräde framför en allmän lag). För att minska den rättsliga fragmenteringen bör de särskilda regler om skydd för personuppgifter som är tillämpliga på behandlingen av operativa personuppgifter som utförs av unionens organ eller byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget vara förenliga med de principer som ligger till grund för kapitlet om behandling av operativa personuppgifter i denna förordning och med de bestämmelser i denna förordning som rör oberoende tillsyn, rättsmedel, ansvar och sanktioner.

(12)

Kapitlet om behandling av operativa personuppgifter i denna förordning bör tillämpas på unionens organ och byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget, oavsett om de utövar denna verksamhet som sin huvuduppgift eller tilläggsuppgift i syfte att förebygga, förhindra, avslöja, utreda eller lagföra brott. Kapitlet bör emellertid inte tillämpas på Europol eller på Europeiska åklagarmyndigheten förrän rättsakterna om inrättande av Europol och Europeiska åklagarmyndigheten har ändrats så att kapitlet om behandling av operativa personuppgifter i denna förordning, i dess anpassade lydelse, är tillämpligt på dem.

(13)

Kommissionen bör se över denna förordning, särskilt kapitlet om behandling av operativa personuppgifter i denna förordning. Kommissionen bör också se över andra rättsakter som har antagits på grundval av fördragen och som reglerar den behandling av operativa personuppgifter som utförs av unionens organ eller byråer när de utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget. Efter en sådan översyn bör kommissionen ha möjlighet att lägga fram lämpliga lagstiftningsförslag, bland annat nödvändiga anpassningar av kapitlet om behandling av operativa personuppgifter i denna förordning för att säkerställa ett enhetligt och konsekvent skydd för fysiska personer med avseende på behandlingen av personuppgifter och i syfte att tillämpa det på Europol och Europeiska åklagarmyndigheten. Anpassningarna bör bland annat ta hänsyn till bestämmelserna om oberoende tillsyn, rättsmedel, ansvar och sanktioner.

(14)

Behandlingen av administrativa personuppgifter, t.ex. personaluppgifter, som utförs av unionens organ eller byråer som utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget bör omfattas av denna förordning.

(15)

Denna förordning bör vara tillämplig på behandling av personuppgifter som utförs av unionens institutioner, organ eller byråer som utövar verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen (EU-fördraget). Denna förordning bör inte tillämpas på sådan behandling av personuppgifter som utförs av de uppdrag som avses i artiklarna 42.1, 43 och 44 i EU-fördraget och som genomför den gemensamma säkerhets- och försvarspolitiken. Vid behov bör relevanta förslag läggas fram för att ytterligare reglera behandlingen av personuppgifter inom den gemensamma säkerhets- och försvarspolitiken.

(16)

Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person. För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Principerna för dataskyddet bör därför inte gälla för anonym information, dvs. information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Denna förordning berör därför inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller forskningsändamål.

(17)

Tillämpningen av pseudonymisering av personuppgifter kan minska riskerna för de registrerade som berörs och hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett uttryckligt införande av pseudonymisering i denna förordning är inte avsett att utesluta andra åtgärder för dataskydd.

(18)

Fysiska personer kan knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser, kakor eller andra identifierare, som radiofrekvensetiketter. Detta kan efterlämna spår som, särskilt i kombination med unika identifierare och andra uppgifter som tas emot av servrarna, kan användas för att skapa profiler för fysiska personer och identifiera dem.

(19)

Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denna godkänner behandling av personuppgifter rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan t.ex. ske genom att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om behandlingen sker för flera olika ändamål, bör samtycke ges för samtliga ändamål. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna begäran vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser. Samtidigt bör den registrerade ha rätt att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandling som grundar sig på samtycket innan detta återkallades. För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i särskilda fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att lämna sitt samtycke endast till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.

(20)

Varje behandling av personuppgifter måste vara laglig och rättvis. Det bör vara klart och tydligt för fysiska personer hur personuppgifter som rör dem samlas in, används, konsulteras eller på annat sätt behandlas samt i vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. Öppenhetsprincipen kräver att all information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse på och meddelande om vilka personuppgifter rörande dem som behandlas. Fysiska personer bör göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Detta kräver i synnerhet att det säkerställs att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Alla rimliga åtgärder bör vidtas för att säkerställa att felaktiga uppgifter rättas eller raderas. Personuppgifter bör behandlas på ett sätt som säkerställer lämplig säkerhet och konfidentialitet för personuppgifterna samt förhindrar obehörigt tillträde till, eller obehörig användning av, personuppgifter och den utrustning som används för behandlingen samt för att förhindra obehörigt utlämnande i samband med överföring.

(21)

I enlighet med principen om ansvarsskyldighet bör unionsinstitutioner och unionsorgan, i samband med att de överför personuppgifter inom samma unionsinstitution eller unionsorgan, och mottagaren inte är en del av den personuppgiftsansvarige, eller till andra av unionsinstitutioner eller unionsorgan, kontrollera om sådana personuppgifter är nödvändiga för det legitima utförandet av uppgifter som omfattas av mottagarens behörighet. Efter en mottagares begäran om överföring av uppgifter bör den personuppgiftsansvarige kontrollera att det föreligger en relevant grund för laglig behandling av personuppgifter och att mottagaren är behörig. Den personuppgiftsansvarige bör också göra en preliminär bedömning av om överföringen av uppgifterna är nödvändig. Om det uppstår tveksamhet om nödvändigheten bör den personuppgiftsansvarige begära ytterligare förklaringar från mottagaren. Mottagaren bör se till att det senare kan kontrolleras att överföringen av uppgifterna var nödvändig.

(22)

För att behandling ska vara laglig bör personuppgifterna behandlas med hänsyn till nödvändigheten av att unionsinstitutioner och unionsorgan utför en uppgift av allmänt intresse eller som ett led i sin myndighetsutövning, nödvändigheten av att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller någon annan legitim grund i denna förordning, inbegripet samtycke från den registrerade, en nödvändighet som hänför sig till fullgörandet av ett avtal i vilket den registrerade är part eller vidtagandet av åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Behandling av personuppgifter för utförandet av de uppgifter av allmänt intresse som unionsinstitutionerna och unionsorganen utför inbegriper sådan behandling av personuppgifter som är nödvändig för förvaltningen av dessa institutioner och organ för att de ska fungera. Behandling av personuppgifter bör även anses laglig när den är nödvändig för att skydda ett intresse som är av avgörande betydelse för den registrerades eller en annan fysisk persons liv. Behandling av personuppgifter på grundval av en annan fysisk persons grundläggande intressen bör i princip äga rum endast om behandlingen inte uppenbart kan ha en annan rättslig grund. Vissa typer av behandling kan tjäna både viktiga allmänintressen och intressen som är av grundläggande betydelse för den registrerade, till exempel när behandlingen är nödvändig av humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer, särskilt vid naturkatastrofer eller katastrofer orsakade av människan.

(23)

Den unionsrätt som avses i denna förordning bör vara tydlig och precis, och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med kraven i stadgan och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

(24)

De interna regler som det hänvisas till i denna förordning bör vara tydliga och precisa akter med allmän giltighet som är avsedda att ha rättsverkan gentemot registrerade. De bör antas på unionsinstitutionernas och unionsorganens högsta administrativa nivå inom ramen för deras behörighet när det gäller frågor rörande deras funktion. De bör offentliggöras i Europeiska unionens officiella tidning. Tillämpningen av dessa regler bör vara förutsägbar för personer som omfattas av dem, i enlighet med kraven i stadgan och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Interna regler kan vara utformade som beslut, särskilt om de har antagits av unionsinstitutioner.

(25)

Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in bör vara tillåten endast när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av uppgifter. Den rättsliga grund för behandling av personuppgifter som återfinns i unionsrätten kan också utgöra en rättslig grund för ytterligare behandling. För att fastställa om ett ändamål med den ytterligare behandlingen är förenligt med det ändamål för vilket personuppgifterna ursprungligen samlades in bör den personuppgiftsansvarige, efter att ha uppfyllt alla krav vad beträffar den ursprungliga behandlingens laglighet, bland annat beakta alla kopplingar mellan dessa ändamål och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna samlats in, särskilt de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige när det gäller den fortsatta behandlingen, personuppgifternas art, konsekvenserna för de registrerade av den planerade fortsatta behandlingen samt förekomsten av lämpliga skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen.

(26)

När behandling sker efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa att de registrerade har lämnat sitt samtycke till behandlingen. I synnerhet vid skriftliga förklaringar som rör andra frågor bör det finnas skyddsåtgärder som säkerställer att de registrerade är medvetna om att samtycke ges och om hur långt samtycket sträcker sig. I enlighet med rådets direktiv 93/13/EEG (6) bör en förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat tillhandahållas i en begriplig och lättillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

(27)

Barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt skydd bör i synnerhet vara tillämpligt på skapande av personlighetsprofiler samt på insamlingen av personuppgifter med avseende på barn i samband med tjänster som erbjuds direkt till barn på webbplatser som tillhör unionsinstitutioner och unionsorgan, såsom interpersonella kommunikationstjänster eller internetförsäljning av biljetter, och behandlingen av personuppgifter grundar sig på samtycke.

(28)

När mottagare som är etablerade i unionen och som inte är unionsinstitutioner och unionsorgan vill få personuppgifter överförda till sig av unionsinstitutioner och unionsorgan, bör dessa mottagare visa att överföringen är nödvändig för att de ska kunna utföra en uppgift som antingen är av allmänt intresse eller är ett led i deras myndighetsutövning. Alternativt bör dessa mottagare visa att överföringen är nödvändig för ett specifikt ändamål av allmänt intresse, och den personuppgiftsansvarige bör fastställa om det finns skäl att anta att den registrerades legitima intressen skulle kunna skadas. Om så är fallet bör den personuppgiftsansvarige på ett påvisbart sätt väga de olika konkurrerande intressena mot varandra för att bedöma om den begärda överföringen av personuppgifter är proportionell. Det specifika ändamålet av allmänt intresse kan vara kopplat till öppenheten inom unionsinstitutioner och unionsorgan. Unionens institutioner och organ bör dessutom visa att det föreligger en sådan nödvändighet när de själva initierar en överföring, i överensstämmelse med principen om öppenhet och god förvaltningssed. De krav som fastställs i denna förordning för överföring till mottagare som är etablerade i unionen och som inte är unionsinstitutioner och unionsorgan bör uppfattas som kompletterande till villkoren för laglig behandling.

(29)

Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Sådana personuppgifter bör inte behandlas om inte villkoren i denna förordning är uppfyllda. Dessa personuppgifter bör även inbegripa personuppgifter som avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i denna förordning inte innebär att unionen godtar teorier som söker fastställa förekomsten av skilda människoraser. Behandling av foton bör inte systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton definieras som biometriska uppgifter endast när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Utöver de särskilda kraven för behandling av känsliga uppgifter, bör de allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för laglig behandling. Undantag från det allmänna förbudet att behandla sådana särskilda kategorier av personuppgifter bör uttryckligen fastställas, bland annat om den registrerade lämnar sitt uttryckliga samtycke eller för att tillgodose specifika behov, i synnerhet när behandlingen utförs inom ramen för legitima verksamheter som bedrivs av vissa sammanslutningar eller stiftelser i syfte att göra det möjligt att utöva grundläggande friheter.

(30)

Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör behandlas endast i hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort, särskilt inom ramen för förvaltningen av tjänster för hälso- och sjukvård eller social omsorg och deras system. Denna förordning bör därför innehålla harmoniserade villkor för behandling av särskilda kategorier av personuppgifter som rör hälsa, vad gäller särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag är underkastade tystnadsplikt. Unionsrätten bör föreskriva särskilda och lämpliga åtgärder som skyddar fysiska personers grundläggande rättigheter och personuppgifter.

(31)

På folkhälsoområdet kan det bli nödvändigt att med hänsyn till ett allmänt intresse behandla särskilda kategorier av personuppgifter utan att den registrerades samtycke inhämtas. Sådan behandling bör förutsätta lämpliga och särskilda åtgärder för att skydda fysiska personers rättigheter och friheter. I detta sammanhang bör folkhälsa tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008 (7), nämligen alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. Sådan behandling av uppgifter om hälsa av allmänt intresse bör inte innebära att personuppgifter behandlas för andra ändamål.

(32)

Om de personuppgifter som behandlas av en personuppgiftsansvarig inte gör det möjligt för denna att identifiera en fysisk person, bör den personuppgiftsansvarige inte vara tvungen att skaffa ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Den personuppgiftsansvarige bör dock inte vägra att ta emot kompletterande uppgifter som den registrerade lämnat till stöd för utövandet av sina rättigheter. Identifiering bör omfatta digital identifiering av en registrerad, till exempel genom en autentiseringsmekanism, exempelvis samma identifieringsinformation som används av den registrerade för att logga in på den nättjänst som tillhandahålls av den personuppgiftsansvarige.

(33)

Behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt denna förordning. Skyddsåtgärderna bör säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Ytterligare behandling av personuppgifter för arkivändamål av allmänintresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör genomföras när den personuppgiftsansvarige har bedömt möjligheten att uppnå dessa ändamål genom behandling av personuppgifter som inte medger eller inte längre medger identifiering av de registrerade, förutsatt att det finns lämpliga skyddsåtgärder (t.ex. pseudonymisering av personuppgifter). Unionsinstitutioner och unionsorgan bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i unionsrätten, vilket kan inbegripa interna regler som har antagits av unionsinstitutioner och unionsorgan när det gäller frågor rörande deras funktion.

(34)

Förfaranden bör fastställas som gör det lättare för registrerade att utöva sina rättigheter enligt denna förordning, inklusive mekanismer för att begära och i förekommande fall kostnadsfritt få tillgång till och erhålla rättelse eller radering av personuppgifter samt för att utöva rätten att göra invändningar. Den personuppgiftsansvarige bör också tillhandahålla hjälpmedel för ingivande av elektroniska framställningar, särskilt i fall då personuppgifter behandlas elektroniskt. Den personuppgiftsansvarige bör utan onödigt dröjsmål och senast inom en månad vara skyldig att besvara registrerades önskemål och lämna en motivering, om den inte avser att uppfylla sådana önskemål.

(35)

Principerna om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och syftet med den. Den personuppgiftsansvarige bör till den registrerade lämna all ytterligare information som krävs för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika omständigheter och sammanhang. Dessutom bör den registrerade informeras om förekomsten av profilering samt om konsekvenserna av sådan profilering. Om personuppgifterna samlas in från den registrerade, bör den registrerade även informeras om huruvida han eller hon är skyldig att tillhandahålla personuppgifterna och om konsekvenserna om han eller hon inte lämnar dem. Denna information får tillhandahållas tillsammans med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen. Om sådana symboler visas elektroniskt bör de vara maskinläsbara.

(36)

Information om behandling av personuppgifter som rör den registrerade bör lämnas till honom eller henne vid den tidpunkt då personuppgifterna samlas in från den registrerade eller, om personuppgifterna erhålls direkt från en annan källa, inom en rimlig period, beroende på omständigheterna i fallet. Om personuppgifter legitimt kan lämnas ut till en annan mottagare, bör de registrerade informeras första gången personuppgifterna lämnas ut till denna mottagare. Om den personuppgiftsansvarige avser att behandla personuppgifter för ett annat ändamål än det för vilket uppgifterna samlades in, bör denna före denna ytterligare behandling informera den registrerade om detta andra syfte och lämna annan nödvändig information. Om personuppgifternas ursprung inte kan meddelas den registrerade på grund av att olika källor har använts, bör allmän information ges.

(37)

Den registrerade bör ha rätt att få tillgång till personuppgifter som samlats in om honom eller henne samt på enkelt sätt och med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna kontrollera att den är laglig. Detta innefattar rätten för registrerade att få tillgång till uppgifter om sin hälsa, exempelvis uppgifter i läkarjournaler med t.ex. diagnoser, undersökningsresultat, bedömningar av behandlande läkare och eventuella vårdbehandlingar eller interventioner. Alla registrerade bör därför ha rätt att få kännedom och underrättelse om framför allt för vilka ändamål personuppgifterna behandlas, om möjligt vilken tidsperiod behandlingen pågår, vilka som mottar personuppgifterna, bakomliggande logik i samband med automatisk behandling av personuppgifter och, åtminstone när behandlingen bygger på profilering, konsekvenserna av sådan behandling. Denna rätt bör inte inverka menligt på andras rättigheter eller friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt som skyddar programvaran. Resultatet av dessa överväganden bör dock inte bli att den registrerade förvägras all information. Om den personuppgiftsansvarige behandlar en stor mängd uppgifter om den registrerade, bör den personuppgiftsansvarige kunna begära att den registrerade lämnar uppgift om vilken information eller vilken behandling en begäran avser, innan informationen lämnas ut.

(38)

Den registrerade bör ha rätt att få sina personuppgifter rättade och ha en rätt att bli bortglömd, om lagringen av uppgifterna strider mot denna förordning eller unionsrätt som den personuppgiftsansvarige omfattas av. En registrerad bör ha rätt att få sina personuppgifter raderade och kunna begära att dessa personuppgifter inte behandlas, om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om en registrerad har återkallat sitt samtycke till behandling eller invänder mot behandling av personuppgifter som rör honom eller henne, eller om behandlingen av hans eller hennes personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna utöva denna rätt även när han eller hon inte längre är ett barn. Ytterligare lagring av personuppgifterna bör dock vara laglig, om detta krävs för att utöva yttrandefrihet och informationsfrihet, för att uppfylla en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som anförtrotts den personuppgiftsansvarige, med anledning av ett allmänt intresse inom folkhälsoområdet, för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för fastställande, utövande eller försvar av rättsliga anspråk.

(39)

För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering utvidgas genom att en personuppgiftsansvarig som offentliggjort personuppgifter är förpliktigad att informera de personuppgiftsansvariga som behandlar dessa personuppgifter om att den registrerade har begärt radering av alla länkar till och kopior eller reproduktioner av dessa personuppgifter. I samband med detta bör den personuppgiftsansvarige vidta rimliga åtgärder, med beaktande av tillgänglig teknik och de hjälpmedel som står den personuppgiftsansvarige till buds, däribland tekniska åtgärder, för att informera de personuppgiftsansvariga som behandlar personuppgifterna om den registrerades begäran.

(40)

Sätten att begränsa behandlingen av personuppgifter kan bland annat inbegripa att man tillfälligt flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör klart anges inom systemet.

(41)

För att ytterligare förbättra kontrollen över sina egna uppgifter bör den registrerade, om personuppgifterna behandlas automatiskt, också tillåtas att motta de personuppgifter som rör honom eller henne, som han eller hon har tillhandahållit den personuppgiftsansvarige, i ett strukturerat, allmänt använt, maskinläsbart och kompatibelt format och överföra dessa till en annan personuppgiftsansvarig. Personuppgiftsansvariga bör uppmuntras att utveckla kompatibla format som möjliggör dataportabilitet. Denna rättighet bör vara tillämplig om den registrerade har tillhandahållit uppgifterna efter att ha lämnat sitt samtycke eller om behandlingen är nödvändig för att ett avtal ska kunna genomföras. Därför bör den inte vara tillämplig när behandlingen av personuppgifterna är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. Den registrerades rätt att överföra eller motta personuppgifter som rör honom eller henne innebär inte någon skyldighet för de personuppgiftsansvariga att införa eller upprätthålla behandlingssystem som är tekniskt kompatibla. Om mer än en registrerad berörs inom en viss uppsättning personuppgifter, bör rätten att motta personuppgifterna inte inverka på andra registrerades rättigheter och friheter i enlighet med denna förordning. Denna rättighet bör inte heller påverka den registrerades rätt att få till stånd radering av personuppgifter och de inskränkningar av denna rättighet vilka anges i denna förordning och bör i synnerhet inte medföra radering av personuppgifter om den registrerade som denne har lämnat för genomförande av ett avtal, i den utsträckning och så länge som personuppgifterna krävs för genomförande av avtalet. Om det är tekniskt möjligt, bör den registrerade ha rätt till direkt överföring av personuppgifterna från en personuppgiftsansvarig till en annan.

(42)

När personuppgifter lagligen får behandlas, eftersom behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning som utförs av den personuppgiftsansvarige, bör alla registrerade ändå ha rätt att göra invändningar mot behandling av personuppgifter som rör de registrerades särskilda situation. Det bör ankomma på den personuppgiftsansvarige att visa att dennes tvingande berättigade intressen väger tyngre än den registrerades intressen eller grundläggande rättigheter och friheter.

(43)

Den registrerade bör ha rätt att inte bli föremål för ett beslut, vilket kan inbegripa en åtgärd, med bedömning av personliga aspekter rörande honom eller henne, vilket enbart grundas på automatiserad behandling och medför rättsverkan för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, såsom e-rekrytering utan personlig kontakt. Sådan behandling omfattar profilering i form av automatisk behandling av personuppgifter med bedömning av personliga aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar, i den mån dessa har rättsverkan rörande honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne.

Beslutsfattande grundat på sådan behandling, inbegripet profilering, bör dock tillåtas när det uttryckligen är tillåtet enligt unionsrätten. Denna form av uppgiftsbehandling bör under alla omständigheter omgärdas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till personlig kontakt, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet. Sådana åtgärder bör inte gälla barn. I syfte att sörja för rättvis och öppen behandling med avseende på den registrerade, med beaktande av de specifika omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar potentiella risker för den registrerades intressen och rättigheter samt förhindra bland annat diskriminerande effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller behandling som leder till åtgärder som får sådana effekter. Automatiserat beslutsfattande och profilering baserat på särskilda kategorier av personuppgifter bör tillåtas endast på särskilda villkor.

(44)

Rättsakter som antagits på grundval av fördragen eller interna regler som antagits av unionsinstitutioner och unionsorgan när det gäller frågor rörande deras funktion får föreskriva begränsningar med avseende på specifika principer och med avseende på rätt till information, tillgång till och rättelse eller radering av personuppgifter, rätt till dataportabilitet, konfidentiell behandling av uppgifter från elektronisk kommunikation, underrättelse om en personuppgiftsincident till den registrerade och vissa därmed sammanhängande skyldigheter för personuppgiftsansvariga, i den utsträckning åtgärden är nödvändig och proportionell i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten och för att förebygga, förhindra, utreda och lagföra brott eller verkställa straffrättsliga sanktioner. Detta inbegriper skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten, skydd av människoliv, särskilt vid naturkatastrofer eller katastrofer orsakade av människan, inre säkerhet för unionsinstitutioner och unionsorgan, andra viktiga mål av allmänt intresse för hela unionen eller en medlemsstat, i synnerhet målen för unionens gemensamma utrikes- och säkerhetspolitik eller ett viktigt ekonomiskt eller finansiellt intresse för unionen eller en medlemsstat samt förande av offentliga register av hänsyn till ett allmänt intresse eller skydd av den registrerade eller andras rättigheter och friheter, inklusive socialt skydd, folkhälsa och humanitära skäl.

(45)

Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska personers rättigheter och friheter.

(46)

Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering, eller annan betydande ekonomisk eller social nackdel, om registrerade kan berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter, om personuppgifter behandlas som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fällande domar i brottmål samt lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder behandlas, om personliga aspekter bedöms, framför allt analyser eller förutsägelser beträffande sådant som rör arbetsprestationer, ekonomisk ställning, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar, i syfte att skapa eller använda personliga profiler, om det sker behandling av personuppgifter rörande sårbara fysiska personer, framför allt barn, eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal registrerade.

(47)

Hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är bör fastställas utifrån behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.

(48)

Skyddet av fysiska personers rättigheter och friheter med avseende på behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas, så att kraven i denna förordning uppfylls. För att kunna visa att denna förordning följs bör den personuppgiftsansvarige anta interna strategier och vidta åtgärder, särskilt för att uppfylla principerna om inbyggt dataskydd och dataskydd som standard. Sådana åtgärder kan bland annat bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras, att öppenhet om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbehandlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar. Principerna om inbyggt dataskydd och dataskydd som standard bör också beaktas vid offentliga upphandlingar.

(49)

I förordning (EU) 2016/679 föreskrivs att personuppgiftsansvariga får styrka efterlevnad genom anslutning till godkända certifieringsmekanismer. På liknande sätt bör unionsinstitutioner och unionsorgan kunna styrka efterlevnad av denna förordning genom att certifieras i enlighet med artikel 42 i förordning (EU) 2016/679.

(50)

Skyddet av de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och personuppgiftsbiträdenas ansvar kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när personuppgiftsansvariga gemensamt fastställer ändamål och medel för en behandling tillsammans med andra personuppgiftsansvariga eller när en behandling utförs på en personuppgiftsansvarigs vägnar.

(51)

För att säkerställa att kraven i denna förordning uppfylls vad gäller behandling som av ett personuppgiftsbiträde ska utföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige, när denne anförtror behandling åt ett personuppgiftsbiträde, endast använda personuppgiftsbiträden som ger tillräckliga garantier, i synnerhet i fråga om sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i denna förordning, bl.a. vad gäller säkerhet i samband med behandlingen av uppgifter. Anslutning av andra personuppgiftsbiträden än unionsinstitutioner och unionsorgan till en godkänd uppförandekod eller en godkänd certifieringsmekanism kan användas som ett sätt att påvisa att den personuppgiftsansvarige fullgör sina skyldigheter. När uppgifter behandlas av andra personuppgiftsbiträden än unionsinstitutioner och unionsorgan bör hanteringen regleras genom ett avtal eller, om unionsinstitutioner och unionsorgan är personuppgiftsbiträden, genom ett avtal eller en annan rättsakt enligt unionsrätten mellan personuppgiftsbiträdet och den personuppgiftsansvarige, där föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade anges, med beaktande av personuppgiftsbiträdets specifika arbets- och ansvarsuppgifter inom ramen för den behandling som ska utföras och risken med avseende på den registrerades rättigheter och friheter. Den personuppgiftsansvarige och personuppgiftsbiträdet bör kunna välja att använda sig av ett enskilt avtal eller standardavtalsklausuler som antingen antas direkt av kommissionen eller av Europeiska datatillsynsmannen och därefter av kommissionen. Efter det att behandlingen på den personuppgiftsansvariges vägnar har avslutats, bör personuppgiftsbiträdet återlämna eller radera personuppgifterna, beroende på vad den personuppgiftsansvarige väljer, såvida inte lagring av personuppgifterna krävs enligt den unionsrätt eller medlemsstaternas nationella rätt som personuppgiftsbiträdet omfattas av.

(52)

För att påvisa att denna förordning följs bör personuppgiftsansvariga föra register över sådan uppgiftsbehandling som de ansvarar för, och personuppgiftsbiträden bör föra register över kategorier av uppgiftsbehandling som de ansvarar för. Unionsinstitutioner och unionsorgan bör vara skyldiga att samarbeta med Europeiska datatillsynsmannen och göra sina register tillgängliga på begäran, så att de kan tjäna som grund för övervakningen av behandlingen. Såvida det inte är olämpligt, med hänsyn tagen till en unionsinstitutions eller ett unionsorgans storlek, bör unionens institutioner och organ ha möjlighet att inrätta ett centralt register över sin uppgiftsbehandling. Av öppenhetsskäl bör de också kunna göra ett sådant register offentligt.

(53)

För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgiftsansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas. Vid bedömningen av datasäkerhetsrisken bör man även beakta de risker som personuppgiftsbehandling medför, såsom oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt utlämnande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats, framför allt när denna kan medföra fysisk, materiell eller immateriell skada.

(54)

Unionens institutioner och unionsorgan bör säkerställa konfidentiell behandling av elektronisk kommunikation, som anges i artikel 7 i stadgan. I synnerhet bör unionsinstitutioner och unionsorgan säkerställa säkerheten i sina elektroniska kommunikationsnät. De bör skydda information som rör användares terminalutrustning som används för att få tillgång till unionsinstitutionernas och unionsorganens allmänt tillgängliga webbplatser och mobila applikationer i enlighet med Europaparlamentets och rådets direktiv 2002/58/EG (8). De bör även skydda personuppgifter som förvaras i kataloger över användare.

(55)

Ett personuppgiftsincident kan, om den inte snabbt åtgärdas på lämpligt sätt, leda till fysisk, materiell eller immateriell skada för fysiska personer. Så snart en personuppgiftsansvarig blir medveten om att en personuppgiftsincident har inträffat, bör den personuppgiftsansvarige därför anmäla personuppgiftsincidenten till Europeiska datatillsynsmannen utan onödigt dröjsmål och, om så är möjligt, inom 72 timmar efter att ha blivit medveten om denna, om inte den personuppgiftsansvarige, i enlighet med principen om ansvarsskyldighet, kan påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för fysiska personers rättigheter och friheter. Om en sådan anmälan inte kan ske inom 72 timmar, bör den åtföljas av skälen till fördröjningen, och information kan lämnas i omgångar utan otillbörligt vidare dröjsmål. Om en sådan fördröjning är motiverad, av mindre känslig natur eller mindre specifik bör information om incidenten lämnas så tidigt som möjligt, i stället för att man väntar med att lämna information till dess att den underliggande incidenten har avhjälpts fullt ut.

(56)

Den personuppgiftsansvarige bör utan onödigt dröjsmål underrätta den registrerade om en personuppgiftsincident, om personuppgiftsincidenten sannolikt kommer att medföra en hög risk för den fysiska personens rättigheter och friheter, så att denne kan vidta nödvändiga försiktighetsåtgärder. Denna underrättelse bör beskriva personuppgiftsincidentens art samt innehålla rekommendationer för den berörda fysiska personen om hur de potentiella negativa effekterna kan mildras. De registrerade bör underrättas så snart detta rimligtvis är möjligt, i nära samarbete med Europeiska datatillsynsmannen och i enlighet med den vägledning som lämnats av den eller av andra relevanta myndigheter, exempelvis brottsbekämpande myndigheter.

(57)

I förordning (EG) nr 45/2001 föreskrivs en allmän skyldighet för en personuppgiftsansvarig att anmäla behandling av personuppgifter till dataskyddsombudet. Såvida det inte är olämpligt, med hänsyn tagen till unionsinstitutionens eller unionsorganets storlek, bör dataskyddsombudet föra ett register över sådana anmälda behandlingar. Utöver denna allmänna skyldighet bör effektiva förfaranden och mekanismer inrättas för att övervaka behandlingar som sannolikt innebär en hög risk för fysiska personers rättigheter och friheter, i kraft av deras art, omfattning, sammanhang och ändamål. Dessa förfaranden bör, i synnerhet, också finnas på plats när behandlingstyper inbegriper användning av ny teknik eller är av en ny typ, för vilken konsekvensbedömning avseende uppgiftsskydd inte tidigare har genomförts av den personuppgiftsansvarige, eller om de blir nödvändiga på grund av den tid som har förflutit sedan den ursprungliga behandlingen. I sådana fall bör den personuppgiftsansvarige före behandlingen, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt upphovet till risken, göra en konsekvensbedömning avseende dataskydd i syfte att bedöma den höga riskens specifika sannolikhetsgrad och allvar. Konsekvensbedömningen bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska minska denna risk, säkerställa personuppgiftskyddet och visa att denna förordning efterlevs.

(58)

Om det av en konsekvensbedömning avseende dataskydd framgår att behandlingen utan skyddsåtgärder, säkerhetsåtgärder och mekanismer för att minska risken kommer att innebära en hög risk för fysiska personers rättigheter och friheter, och den personuppgiftsansvarige anser att risken inte kan begränsas genom åtgärder som är rimliga med avseende på tillgänglig teknik och genomförandekostnader, bör samråd hållas med Europeiska datatillsynsmannen innan behandlingen inleds. En sådan hög risk kommer sannolikt att orsakas av vissa typer av behandling samt av en viss omfattning och frekvens för behandlingen, vilket även kan leda till skador för eller kränkningar av fysiska personers rättigheter och friheter. Europeiska datatillsynsmannen bör inom en fastställd tid svara på en begäran om samråd. Ett uteblivet svar från Europeiska datatillsynsmannen inom denna tid bör dock inte hindra ett eventuellt ingripande från Europeiska datatillsynsmannens sida i enlighet med dess uppgifter och befogenheter enligt denna förordning, inbegripet befogenheten att förbjuda behandling. Som en del av denna samrådsprocess bör det vara möjligt att överlämna resultatet av en konsekvensbedömning avseende dataskydd som utförs med avseende på behandlingen i fråga till Europeiska datatillsynsmannen, framför allt de åtgärder som planeras för att minska risken för fysiska personers rättigheter och friheter.

(59)

Europeiska datatillsynsmannen bör informeras om administrativa åtgärder och höras om interna bestämmelser som antas av unionsinstitutioner och unionsorgan när det gäller frågor avseende deras funktion som rör deras behandling av personuppgifter, föreskriver villkor för begränsning av de registrerades rättigheter eller inför lämpligt skydd för de registrerades rättigheter, i syfte att säkerställa att den avsedda behandlingen överensstämmer med denna förordning, framför allt när det gäller att minska riskerna för den registrerade.

(60)

Genom förordning (EU) 2016/679 inrättades Europeiska dataskyddsstyrelsen som ett oberoende unionsorgan med ställning som juridisk person. Styrelsen bör bidra till en enhetlig tillämpning av förordning (EU) 2016/679 och direktiv (EU) 2016/680 i hela unionen, bl.a. genom att lämna råd till kommissionen. Samtidigt bör Europeiska datatillsynsmannen fortsätta att utöva sina övervakande och rådgivande funktioner med avseende på alla unionsinstitutioner och unionsorgan, på eget initiativ eller på begäran. I syfte att säkerställa överensstämmelse mellan regler om skydd av personuppgifter inom hela unionen bör kommissionen vid utarbetande av förslag eller rekommendationer sträva efter att samråda med Europeiska datatillsynsmannen. Samråd med kommissionen bör vara obligatoriskt efter antagandet av lagstiftningsakter eller vid utarbetandet av delegerade akter och genomförandeakter som anges i artiklarna 289, 290 och 291 i EUF-fördraget och efter antagandet av rekommendationer och förslag som rör avtal med tredjeländer och internationella organisationer som anges i artikel 218 i EUF-fördraget vilka har en inverkan på rätten till skydd av personuppgifter. I sådana fall bör kommissionen vara skyldig att samråda med Europeiska datatillsynsmannen, utom i de fall då det i förordning (EU) 2016/679 föreskrivs obligatoriskt samråd med Europeiska dataskyddsstyrelsen, exempelvis vad gäller beslut om adekvat skyddsnivå eller delegerade akter om standardiserade symboler och krav för certifieringsmekanismer. Om akten i fråga är av särskild vikt för skyddet av fysiska personers rättigheter och friheter med avseende på behandlingen av personuppgifter, bör kommissionen dessutom ha möjlighet att samråda med Europeiska dataskyddsstyrelsen. I sådana fall bör Europeiska datatillsynsmannen, i egenskap av medlem i Europeiska dataskyddsstyrelsen, samordna sitt arbete med den senare i syfte att utfärda ett gemensamt yttrande. Europeiska datatillsynsmannen och, i tillämpliga fall, Europeiska dataskyddsstyrelsen, bör lämna sina skriftliga råd inom åtta veckor. Denna tidsfrist bör förkortas i brådskande fall eller när det annars är lämpligt, t.ex. när kommissionen utarbetar delegerade akter och genomförandeakter.

(61)

I enlighet med artikel 75 i förordning (EU) 2016/679 bör Europeiska datatillsynsmannen tillhandahålla ett sekretariat för Europeiska dataskyddsstyrelsen.

(62)

Inom varje unionsinstitution eller unionsorgan bör ett dataskyddsombud säkerställa att bestämmelserna i denna förordning tillämpas och ge råd åt personuppgiftsansvariga och personuppgiftsbiträden då de fullgör sina åligganden. Dataskyddsombudet bör vara en person med expertkunskap om lagstiftning och praxis på området för uppgiftsskydd, vilket bör bedömas med särskild hänsyn till den uppgiftsbehandling som utförs av den personuppgiftsansvarige eller det personuppgiftsbiträdet och det skydd som krävs för de inblandade personuppgifterna. Denna typ av dataskyddsombud bör kunna fullgöra sina uppdrag och utföra sina uppgifter på ett oberoende sätt.

(63)

Den skyddsnivå som säkerställs för fysiska personer inom unionen genom denna förordning bör garanteras när personuppgifter överförs från unionsinstitutioner och unionsorgan till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare i tredjeland eller till internationella organisationer. Samma garantier bör tillämpas när personuppgifter vidarebefordras från tredjelandet eller den internationella organisationen till personuppgiftsansvariga, personuppgiftsbiträden i samma eller ett annat tredjeland eller en annan internationell organisation. Överföringar till tredjeländer och internationella organisationer får under alla omständigheter endast utföras i full överensstämmelse med denna förordning och med respekt för de grundläggande rättigheter och friheter som föreskrivs i stadgan. En överföring kan ske endast om de villkor som fastställs i bestämmelserna i denna förordning om överföring av personuppgifter till tredjeländer eller internationella organisationer har uppfyllts av den personuppgiftsansvarige eller personuppgiftsbiträdet, med förbehåll för de övriga bestämmelserna i denna förordning.

(64)

Kommissionen får, enligt artikel 45 i förordning (EU) 2016/679 eller artikel 36 i direktiv (EU) 2016/680, besluta att ett tredjeland, ett territorium eller en viss specificerad sektor i ett tredjeland, eller en internationell organisation, erbjuder en adekvat dataskyddsnivå. I dessa fall får överföringar av personuppgifter till det tredjelandet eller den internationella organisationen av en unionsinstitution eller ett unionsorgan ske utan ytterligare tillstånd.

(65)

Saknas beslut om adekvat skyddsnivå bör den personuppgiftsansvarige eller personuppgiftsbiträdet vidta åtgärder för att kompensera för det bristande dataskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av standardbestämmelser om dataskydd som antagits av kommissionen, standardbestämmelser om dataskydd som antagits av Europeiska datatillsynsmannen eller avtalsbestämmelser som godkänts av Europeiska datatillsynsmannen. Om personuppgiftsbiträdet inte är en unionsinstitution eller ett unionsorgan kan dessa lämpliga skyddsåtgärder också bestå av bindande företagsregler, uppförandekoder och certifieringsmekanismer som används för internationella överföringar enligt förordning (EU) 2016/679. Dessa skyddsåtgärder bör säkerställa iakttagande av de krav i fråga om dataskydd och registrerades rättigheter som är lämpliga för behandling inom unionen, inbegripet huruvida bindande rättigheter för de registrerade och effektiva rättsmedel är tillgängliga, inbegripet en faktisk rätt att föra talan på administrativ väg eller inför domstol och att kräva kompensation i unionen eller i ett tredjeland. De bör särskilt gälla överensstämmelse med allmänna principer för behandling av personuppgifter samt principerna om inbyggt dataskydd och dataskydd som standard. Uppgifter kan också överföras av unionsinstitutioner och unionsorgan till offentliga myndigheter eller organ i tredjeländer eller internationella organisationer med motsvarande skyldigheter eller uppgifter, inbegripet på grundval av bestämmelser som ska införas i administrativa överenskommelser, t.ex. samförståndsavtal, som föreskriver verkställbara och faktiska rättigheter för de registrerade. Tillstånd från Europeiska datatillsynsmannen bör erhållas när skyddsåtgärder föreskrivs i icke rättsligt bindande administrativa arrangemang.

(66)

Personuppgiftsansvarigas eller personuppgiftsbiträdens möjlighet att använda standardiserade dataskyddsbestämmelser som antagits av kommissionen eller av Europeiska datatillsynsmannen bör inte hindra att de infogar standardiserade dataskyddsbestämmelser i ett vidare avtal, såsom ett avtal mellan personuppgiftsbiträdet och ett annat personuppgiftsbiträde, eller lägger till andra bestämmelser eller ytterligare skyddsåtgärder, under förutsättning att de inte direkt eller indirekt står i strid med standardavtalsklausuler som antagits av kommissionen eller av Europeiska datatillsynsmannen eller påverkar de registrerades grundläggande rättigheter eller friheter. Personuppgiftsansvariga och personuppgiftsbiträden bör uppmuntras att tillhandahålla ytterligare skyddsåtgärder via avtalsmässiga åtaganden som kompletterar de standardiserade dataskyddsbestämmelserna.

(67)

Vissa tredjeländer antar lagar och andra författningar som syftar till att direkt reglera behandling som utförs av unionsinstitutioner och unionsorgan. Detta kan inkludera rättsliga avgöranden eller beslut av administrativa myndigheter i tredjeländer där det krävs att personuppgiftsansvariga eller personuppgiftsbiträden överför eller lämnar ut personuppgifter, utan grund i ett gällande internationellt avtal mellan det begärande tredjelandet och unionen. Extraterritoriell tillämpning av dessa lagar och andra författningar kan strida mot internationell rätt och inverka menligt på det skydd av fysiska personer som säkerställs inom unionen genom denna förordning. Överföringar bör tillåtas endast om villkoren i denna förordning för en överföring till tredjeländer är uppfyllda. Detta kan vara fallet bl.a. när utlämnande är nödvändigt på grund av ett viktigt allmänintresse som erkänns i unionsrätten.

(68)

Det bör införas bestämmelser som i särskilda situationer ger möjlighet att under vissa omständigheter göra överföringar, om den registrerade har lämnat sitt uttryckliga samtycke, när överföringen är tillfällig och nödvändig med hänsyn till ett avtal eller ett rättsligt anspråk, oavsett om detta sker inom ett rättsligt förfarande eller i ett administrativt eller utomrättsligt förfarande, inbegripet förfaranden inför tillsynsorgan. Det bör också införas bestämmelser som ger möjlighet till överföringar om viktiga allmänintressen fastställda genom unionsrätten så kräver eller när överföringen görs från ett register som inrättats genom lag och är avsett att konsulteras av allmänheten eller av personer med ett berättigat intresse. I sistnämnda fall bör en sådan överföring inte omfatta alla personuppgifter eller hela kategorier av uppgifter i registret, om detta inte tillåts i unionsrätten, och överföringen bör göras endast när registret är avsett att vara tillgängligt för personer med ett berättigat intresse, på begäran av dessa personer eller, om de själva är mottagarna, med full hänsyn till de registrerades intressen och grundläggande rättigheter.

(69)

Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga med hänsyn till viktiga allmänintressen, exempelvis vid internationella utbyten av uppgifter mellan unionsinstitutioner och unionsorgan och konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, socialförsäkringsmyndigheter eller hälsovårdsmyndigheter, till exempel vid kontaktspårning för smittsamma sjukdomar eller för att minska och/eller undanröja dopning inom idrott. En överföring av personuppgifter bör också betraktas som laglig, om den är nödvändig för att skydda ett intresse som är väsentligt för den registrerades eller en annan persons vitala intressen, inklusive dennes fysiska integritet och liv, om den registrerade är oförmögen att ge sitt samtycke. Saknas beslut om adekvat skyddsnivå, får unionsrätten med hänsyn till viktiga allmänintressen uttryckligen fastställa gränser för överföringen av specifika kategorier av uppgifter till ett tredjeland eller en internationell organisation. Varje överföring till en internationell humanitär organisation av personuppgifter rörande en registrerad som är fysiskt eller rättsligt förhindrad att ge sitt samtycke, i syfte att utföra en uppgift inom ramen för Genèvekonventionerna eller för att följa internationell humanitär rätt som är tillämplig vid väpnade konflikter, kan ses som nödvändig av skäl som rör ett betydande allmänintresse eller för att den är av grundläggande intresse för den registrerade.

(70)

Om kommissionen inte har fattat beslut om adekvat dataskyddsnivå i ett tredjeland, bör den personuppgiftsansvarige eller personuppgiftsbiträdet under alla omständigheter använda sig av lösningar som ger de registrerade verkställbara och faktiska rättigheter vad gäller behandlingen av deras personuppgifter inom unionen när dessa uppgifter väl har överförts, så att de fortsatt kan utöva sina grundläggande rättigheter och att skyddsåtgärder fortsatt gäller i förhållande till dem.

(71)

När personuppgifter förs över gränser utanför unionen kan detta öka risken för att fysiska personer inte kan utöva sina dataskyddsrättigheter, i synnerhet för att skydda sig från otillåten användning eller otillåtet utlämnande av denna information. Samtidigt kan nationella tillsynsmyndigheter och Europeiska datatillsynsmannen, vara ur stånd att handlägga klagomål eller göra utredningar som gäller verksamheter utanför deras jurisdiktion. Deras strävan att arbeta tillsammans över gränserna kan också hindras av otillräckliga preventiva eller korrigerande befogenheter, inkonsekventa rättsliga regelverk och praktiska hinder, som exempelvis bristande resurser. Därför bör ett närmare samarbete mellan Europeiska datatillsynsmannen och nationella tillsynsmyndigheter främjas för att bidra till informationsutbytet med deras internationella motparter.

(72)

Inrättandet av Europeiska datatillsynsmannen i förordning (EG) nr 45/2001, som är bemyndigad att utföra sina uppgifter och utöva sina befogenheter under fullständigt oberoende, är ett väsentligt inslag i skyddet av fysiska personer med avseende på behandlingen av personuppgifter. Denna förordning bör ytterligare stärka och klargöra dess roll och oberoende. Europeiska datatillsynsmannen bör vara en person vars oberoende är ställt utom varje tvivel och som har den erfarenhet och sakkunskap som krävs för att utöva uppdraget som Europeisk datatillsynsman, exempelvis genom att personen har tillhört någon av de tillsynsmyndigheter som har inrättats i enlighet med artikel 51 i förordning (EU) 2016/679.

(73)

För att säkerställa en enhetlig tillsyn över och ett enhetligt upprätthållande av regler om skydd av personuppgifter i hela unionen bör Europeiska datatillsynsmannen ha samma uppgifter och faktiska befogenheter som de nationella tillsynsmyndigheterna, inbegripet undersökningsbefogenheter, korrigerande befogenheter och befogenheter att påföra sanktioner samt befogenheter att utfärda tillstånd och ge råd, särskilt vid klagomål från fysiska personer, befogenheter att uppmärksamma domstolen på överträdelser av denna förordning och delta i rättsliga förfaranden i enlighet med primärrätten. Dessa befogenheter bör även omfatta en befogenhet att införa en tillfällig eller definitiv begränsning av, inklusive förbud mot, behandling. För att undvika onödiga kostnader och alltför stora nackdelar för de berörda personer som kan komma att påverkas negativt, bör var och en av de åtgärder som Europeiska datatillsynsmannen vidtar vara lämplig, nödvändig och proportionell för att säkerställa efterlevnad av denna förordning och ta hänsyn till omständigheterna i varje enskilt fall samt respektera varje persons rätt att bli hörd innan någon enskild åtgärd vidtas. Varje rättsligt bindande åtgärd som vidtas av Europeiska datatillsynsmannen bör vara skriftlig, klar och entydig, innehålla uppgift om datum för utfärdandet, vara undertecknad av Europeiska datatillsynsmannen samt innehålla en motivering till åtgärden och en hänvisning till rätten till ett effektivt rättsmedel.

(74)

Europeiska datatillsynsmannens tillsynsbehörighet bör inte omfatta domstolens behandling av personuppgifter när detta sker inom ramen för domstolens dömande verksamhet, i syfte att säkerställa domstolens oberoende när den utför sin rättsskipande verksamhet, inbegripet när den fattar beslut. För sådan behandling bör domstolen inrätta en oberoende tillsyn, i enlighet med artikel 8.3 i stadgan, exempelvis genom en intern mekanism.

(75)

Europeiska datatillsynsmannens beslut om undantag, garantier, tillstånd och villkor när det gäller behandling av uppgifter, såsom de fastställs i denna förordning, bör offentliggöras i verksamhetsrapporten. Förutom det årliga offentliggörandet av verksamhetsrapporten kan Europeiska datatillsynsmannen offentliggöra rapporter om särskilda ämnen.

(76)

Europeiska datatillsynsmannen bör följa Europaparlamentets och rådets förordning (EG) nr 1049/2001 (9).

(77)

De nationella tillsynsmyndigheterna övervakar tillämpningen av förordning (EU) 2016/679 och bidrar till att den tillämpas enhetligt över hela unionen, för att skydda fysiska personer vid behandling av deras personuppgifter och för att underlätta det fria flödet av personuppgifter inom den inre marknaden. För att skapa större enhetlighet vid tillämpningen av regler om skydd av personuppgifter som är tillämpliga i medlemsstaterna och av regler om skydd av personuppgifter som är tillämpliga för unionsinstitutioner och unionsorgan bör Europeiska datatillsynsmannen samarbeta effektivt med de nationella tillsynsmyndigheterna.

(78)

I vissa fall föreskriver unionsrätten en modell för samordnad tillsyn som delas mellan Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna. Europeiska datatillsynsmannen är även tillsynsmyndighet för Europol, och av den anledningen har en särskild modell för samarbete med de nationella tillsynsmyndigheterna inrättats genom en samarbetsnämnd med en rådgivande funktion. I syfte att förbättra tillsynen och upprätthållandet av materiella regler om uppgiftsskydd i praktiken bör en gemensam, enhetlig modell för samordnad tillsyn införas i unionen. Kommissionen bör därför lägga fram lagstiftningsförslag när så är lämpligt, i syfte att ändra unionsrättsakter som föreskriver en modell för samordnad tillsyn, för att anpassa dessa till den samordnade tillsynsmodellen i denna förordning. Europeiska dataskyddsstyrelsen bör fungera som ett gemensamt forum för att säkerställa en effektiv samordnad tillsyn på alla områden.

(79)

Alla registrerade bör ha rätt att lämna in ett klagomål till Europeiska datatillsynsmannen och ha rätt till ett effektivt rättsmedel inför domstolen i enlighet med fördragen, om den registrerade anser att hans eller hennes rättigheter enligt denna förordning har kränkts eller om Europeiska datatillsynsmannen inte reagerar på ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så är nödvändigt för att skydda den registrerades rättigheter. Utredningen av ett klagomål bör, med förbehåll för eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Europeiska datatillsynsmannen bör i rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om ärendet fordrar ytterligare samordning med en nationell tillsynsmyndighet, bör den registrerade underrättas även om detta. För att förenkla inlämningen av klagomål bör Europeiska datatillsynsmannen vidta åtgärder, såsom att tillhandahålla ett formulär för inlämnande av klagomål som även kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts.

(80)

Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning bör ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan, med förbehåll för de villkor som föreskrivs i fördragen.

(81)

För att stärka Europeiska datatillsynsmannens tillsynsroll och främja ett effektivt upprätthållande av denna förordning bör Europeiska datatillsynsmannen ha befogenhet att påföra administrativa sanktionsavgifter, som en sanktion att använda i sista hand. Sanktionsavgifterna bör syfta till att bestraffa unionsinstitutioner eller unionsorgan – snarare än fysiska personer – för bristande efterlevnad av denna förordning, för att avskräcka från framtida överträdelser av denna förordning och för att främja en kultur av skydd för personuppgifter inom unionsinstitutioner och unionsorgan. Denna förordning bör ange överträdelser som är föremål för administrativa sanktionsavgifter och de övre gränserna och kriterierna för fastställande av sådana sanktionsavgifter. Europeiska datatillsynsmannen bör fastställa avgiftsbeloppen i varje enskilt fall, med beaktande av alla relevanta omständigheter i det särskilda fallet, med vederbörlig hänsyn till överträdelsens karaktär, svårhetsgrad och varaktighet, dess följder och de åtgärder som vidtas för att sörja för fullgörandet av skyldigheterna enligt denna förordning och för att förebygga eller lindra konsekvenserna av överträdelsen. Vid påförande av en administrativ sanktionsavgift till en unionsinstitution eller ett unionsorgan bör Europeiska datatillsynsmannen bedöma huruvida sanktionsavgiftsbeloppet är proportionellt. Det administrativa förfarandet för att påföra sanktionsavgifter för unionsinstitutioner och unionsorgan bör följa de allmänna unionsrättsliga principerna, såsom dessa har tolkats av domstolen.

(82)

Om en registrerad anser att hans eller hennes rättigheter enligt denna förordning har kränkts, bör han eller hon ha rätt att ge mandat till ett organ, en organisation eller en sammanslutning som drivs utan vinstsyfte och som har inrättats i enlighet med unionsrätten eller en medlemsstats rätt, som har stadgeenliga mål av allmänt intresse och utövar verksamhet på området skydd av personuppgifter, att på hans eller hennes vägnar lämna in ett klagomål till Europeiska datatillsynsmannen. Detta organ, denna organisation eller denna sammanslutning bör också kunna utöva rätten till ett rättsmedel på registrerades vägnar eller utöva rätten att ta emot ersättning för registrerades räkning.

(83)

Tjänstemän eller övriga anställda i unionen som inte följer de skyldigheter som anges i denna förordning bör bli föremål för disciplinära eller andra åtgärder, i enlighet med de regler och förfaranden som föreskrivs i tjänsteföreskrifterna för tjänstemän i Europeiska unionen och anställningsvillkoren för övriga anställda i unionen som fastställs i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (10) (nedan kallade tjänsteföreskrifterna).

(84)

För att säkerställa enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (11). Granskningsförfarandet bör användas för att anta standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden och mellan personuppgiftsbiträden, för att anta en förteckning över sådan behandling som kräver förhandssamråd med Europeiska datatillsynsmannen av personuppgiftsansvariga som behandlar personuppgifter för att utföra en uppgift av allmänt intresse, och för att anta standardavtalsklausuler om lämpliga skyddsåtgärder vid internationella överföringar.

(85)

De konfidentiella uppgifter som unionens myndigheter och nationella statistikansvariga myndigheter samlar in för att framställa officiell europeisk och officiell nationell statistik bör skyddas. Europeisk statistik bör utvecklas, framställas och spridas i enlighet med de statistiska principerna enligt artikel 338.2 i EUF-fördraget. Europaparlamentets och rådets förordning (EG) nr 223/2009 (12) innehåller ytterligare preciseringar om statistisk konfidentialitet för europeisk statistik.

(86)

Förordning (EG) nr 45/2001 och Europaparlamentets, rådets och kommissionens beslut nr 1247/2002/EG (13) bör upphöra att gälla. Hänvisningar till den upphävda förordningen och det upphävda beslutet bör anses som hänvisningar till den här förordningen.

(87)

För att garantera fullständigt oberoende för ledamöterna av den oberoende tillsynsmyndigheten, bör mandattiden för den nuvarande Europeiska datatillsynsmannen och den nuvarande biträdande datatillsynsmannen inte påverkas av denna förordning. Den nuvarande biträdande datatillsynsmannen bör förbli på sin post fram till slutet av sin mandattid, såvida inte något av villkoren för ett förtida avslutande av Europeiska datatillsynsmannens mandattid enligt denna förordning är uppfyllt. De relevanta bestämmelserna i denna förordning bör tillämpas på den biträdande datatillsynsmannen fram till slutet av hans eller hennes mandattid.

(88)

I enlighet med proportionalitetsprincipen är det nödvändigt och lämpligt, för att förverkliga det grundläggande målet att säkerställa en likvärdig nivå för skyddet av fysiska personer med avseende på behandling av personuppgifter och det fria flödet av personuppgifter över hela unionen, att fastställa bestämmelser om behandling av personuppgifter i unionsinstitutioner och unionsorgan. Denna förordning går inte utöver vad som är nödvändigt för att uppnå de eftersträvade målen i enlighet med artikel 5.4 i EU-fördraget.

(89)

Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i förordning (EG) nr 45/2001 och avgav ett yttrande den 15 mars 2017 (14).