|
|
Regulation (EC) No 45/2001 of the European Parliament and of the Council
|
Europaparlamentets och rådets förordning (EG) nr 45/2001
|
|
of 18 December 2000
|
av den 18 december 2000
|
|
on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data
|
om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter
|
|
|
|
|
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,
|
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING
|
|
Having regard to the Treaty establishing the European Community, and in particular Article 286 thereof,
|
med beaktande av Fördraget om upprättandet av Europeiska gemenskapen, särskilt artikel 286 i detta,
|
|
Having regard to the proposal from the Commission(1),
|
med beaktande av kommissionens förslag(1),
|
|
Having regard to the opinion of the Economic and Social Committee(2),
|
med beaktande av Ekonomiska och sociala kommitténs yttrande(2),
|
|
Acting in accordance with the procedure laid down in Article 251 of the Treaty(3),
|
i enlighet med förfarandet i artikel 251 i fördraget(3), och
|
|
Whereas:
|
av följande skäl:
|
|
(1) Article 286 of the Treaty requires the application to the Community institutions and bodies of the Community acts on the protection of individuals with regard to the processing of personal data and the free movement of such data.
|
(1) Enligt artikel 286 i fördraget skall gemenskapsrättsakter om skydd för enskilda när det gäller behandling av och fri rörlighet för personuppgifter vara tillämpliga på gemenskapsinstitutionerna och gemenskapsorganen.
|
|
(2) A fully-fledged system of protection of personal data not only requires the establishment of rights for data subjects and obligations for those who process personal data, but also appropriate sanctions for offenders and monitoring by an independent supervisory body.
|
(2) Ett fullt utvecklat system för skydd av personuppgifter förutsätter inte bara att det fastställs rättigheter för de registrerade och skyldigheter för dem som behandlar sådana uppgifter utan också lämpliga påföljder för dem som bryter mot bestämmelserna samt att bestämmelserna övervakas av en oberoende tillsynsmyndighet.
|
|
(3) Article 286(2) of the Treaty requires the establishment of an independent supervisory body responsible for monitoring the application of such Community acts to Community institutions and bodies.
|
(3) Enligt artikel 286.2 i fördraget skall ett oberoende övervakningsorgan inrättas med ansvar för att övervaka att sådana gemenskapsrättsakter tillämpas på gemenskapsinstitutionerna och gemenskapsorganen.
|
|
(4) Article 286(2) of the Treaty requires the adoption of any other relevant provisions as appropriate.
|
(4) Enligt artikel 286.2 i fördraget skall andra relevanta bestämmelser antas vid behov.
|
|
(5) A Regulation is necessary to provide the individual with legally enforceable rights, to specify the data processing obligations of the controllers within the Community institutions and bodies, and to create an independent supervisory authority responsible for monitoring the processing of personal data by the Community institutions and bodies.
|
(5) En förordning krävs för att ge enskilda lagstadgade rättigheter och för att ange de skyldigheter i fråga om behandling av personuppgifter som åligger de registeransvariga inom gemenskapsinstitutionerna och gemenskapsorganen samt för att inrätta en oberoende tillsynsmyndighet med ansvar för att övervaka behandlingen av personuppgifter inom gemenskapsinstitutionerna och gemenskapsorganen.
|
|
(6) The Working Party on the Protection of Individuals with regard to the Processing of Personal Data set up under Article 29 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data(4) has been consulted.
|
(6) Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, vilken inrättades genom artikel 29 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter(4), har hörts.
|
|
(7) The persons to be protected are those whose personal data are processed by Community institutions or bodies in any context whatsoever, for example because they are employed by those institutions or bodies.
|
(7) De som kan bli föremål för skydd är personer vars personuppgifter behandlas av gemenskapsinstitutionerna och gemenskapsorganen, oavsett i vilket sammanhang, till exempel därför att dessa personer är anställda av dessa institutioner och organ.
|
|
(8) The principles of data protection should apply to any information concerning an identified or identifiable person. To determine whether a person is identifiable, account should be taken of all the means likely to be reasonably used either by the controller or by any other person to identify the said person. The principles of protection should not apply to data rendered anonymous in such a way that the data subject is no longer identifiable.
|
(8) Principerna för uppgiftsskyddet bör gälla all information som rör en identifierad eller identifierbar person. För att avgöra om en person är identifierbar bör härvid alla hjälpmedel beaktas som i syfte att identifiera vederbörande rimligen kan komma att användas antingen av registeransvarig eller av någon annan person. Skyddsprinciperna bör inte gälla för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är identifierbar.
|
|
(9) Directive 95/46/EC requires Member States to protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data, in order to ensure the free flow of personal data in the Community.
|
(9) I direktiv 95/46/EG krävs det av medlemsstaterna att de säkerställer att fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, skyddas vid behandlingen av personuppgifter, för att garantera den fria rörligheten (tidigare: "det fria flödet") av personuppgifter inom gemenskapen.
|
|
(10) Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector(5) specifies and adds to Directive 95/46/EC with respect to the processing of personal data in the telecommunications sector.
|
(10) Europaparlamentets och rådets direktiv 97/66/EG av den 15 december 1997 om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet(5) innehåller preciseringar och kompletteringar till direktiv 95/46/EG i fråga om behandling av personuppgifter inom telekommunikationsområdet.
|
|
(11) Various other Community measures, including measures on mutual assistance between national authorities and the Commission, are also designed to specify and add to Directive 95/46/EC in the sectors to which they relate.
|
(11) Även andra gemenskapsåtgärder, bland annat på området ömsesidig hjälp mellan medlemsstaternas myndigheter och kommissionen, syftar till att precisera och komplettera direktiv 95/46/EG inom de sektorer som de avser.
|
|
(12) Consistent and homogeneous application of the rules for the protection of individuals' fundamental rights and freedoms with regard to the processing of personal data should be ensured throughout the Community.
|
(12) En konsekvent och enhetlig tillämpning av bestämmelserna för skydd av enskildas grundläggande fri- och rättigheter vid behandling av personuppgifter bör garanteras i hela gemenskapen.
|
|
(13) The aim is to ensure both effective compliance with the rules governing the protection of individuals' fundamental rights and freedoms and the free flow of personal data between Member States and the Community institutions and bodies or between the Community institutions and bodies for purposes connected with the exercise of their respective competences.
|
(13) Syftet är att garantera såväl verklig respekt för bestämmelserna om skydd av enskildas grundläggande fri- och rättigheter som den fria rörligheten av personuppgifter mellan medlemsstaterna och gemenskapsinstitutionerna och gemenskapsorganen eller mellan gemenskapsinstitutionerna och gemenskapsorganen, då de utövar sina respektive befogenheter.
|
|
(14) To this end measures should be adopted which are binding on the Community institutions and bodies. These measures should apply to all processing of personal data by all Community institutions and bodies insofar as such processing is carried out in the exercise of activities all or part of which fall within the scope of Community law.
|
(14) Det bör därför antas bestämmelser som är bindande för gemenskapsinstitutionerna och gemenskapsorganen. Dessa bestämmelser bör vara tillämpliga på all den behandling av personuppgifter som utförs av alla gemenskapsinstitutioner och gemenskapsorgan, om denna behandling genomförs för att utföra uppgifter som helt eller delvis omfattas av gemenskapsrätten.
|
|
(15) Where such processing is carried out by Community institutions or bodies in the exercise of activities falling outside the scope of this Regulation, in particular those laid down in Titles V and VI of the Treaty on European Union, the protection of individuals' fundamental rights and freedoms shall be ensured with due regard to Article 6 of the Treaty on European Union. Access to documents, including conditions for access to documents containing personal data, is governed by the rules adopted on the basis of Article 255 of the EC Treaty the scope of which includes Titles V and VI of the Treaty on European Union.
|
(15) När denna behandling utförs av gemenskapsinstitutionerna och gemenskapsorganen för att utföra uppgifter som inte omfattas av denna förordnings tillämpningsområde, särskilt sådana uppgifter som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, säkerställs skyddet av enskildas grundläggande fri- och rättigheter i enlighet med artikel 6 i Fördraget om Europeiska unionen. Tillgången till handlingar, inbegripet villkoren för tillgång till handlingar som innehåller personuppgifter, omfattas av de bestämmelser som antagits på grundval av artikel 255 i EG-fördraget vars tilllämpningsområde utvidgats till avdelningarna V och VI i Fördraget om Europeiska Unionen.
|
|
(16) The measures should not apply to bodies established outside the Community framework, nor should the European Data Protection Supervisor be competent to monitor the processing of personal data by such bodies.
|
(16) Dessa bestämmelser bör inte tillämpas på organ som har inrättats utanför gemenskapens ram, och inte heller bör den europeiska datatillsynsmannen ha behörighet att övervaka sådana organs behandling av personuppgifter.
|
|
(17) The effectiveness of the protection of individuals with regard to the processing of personal data in the Union presupposes the consistency of the relevant rules and procedures applicable to activities pertaining to different legal contexts. The development of fundamental principles on the protection of personal data in the fields of judicial cooperation in criminal affairs and police and customs cooperation, and the setting-up of a secretariat for the joint supervisory authorities established by the Europol Convention, the Convention on the Use of Information Technology for Customs Purposes and the Schengen Convention represent a first step in this regard.
|
(17) En förutsättning för att skyddet av personer skall bli effektivt vid behandling av personuppgifter i unionen är att de regler och förfaranden som på detta område skall tillämpas på den verksamhet som omfattas av de olika rättsliga ramarna är enhetliga. Att grundläggande principer utarbetas för skyddet av personuppgifter inom det straffrättsliga samarbetet samt samarbetet på det rättsliga området och tullområdet och att ett sekretariat inrättas för de gemensamma tillsynsmyndigheter som inrättas enligt Europolkonventionen, konventionen om användning av informationsteknologi för tulländamål och Schengenkonventionen, är i detta sammanhang ett första steg.
|
|
(18) This Regulation should not affect the rights and obligations of Member States under Directives 95/46/EC and 97/66/EC. It is not intended to change existing procedures and practices lawfully implemented by the Member States in the field of national security, prevention of disorder or prevention, detection, investigation and prosecution of criminal offences in compliance with the Protocol on Privileges and Immunities of the European Communities and with international law.
|
(18) Denna förordning bör inte påverka medlemsstaternas rättigheter och skyldigheter enligt direktiv 95/46/EG och 97/66/EG. Syftet med den är inte att ändra förfaranden och praxis som lagligen har genomförts i alla medlemsstater i frågor som rör nationell säkerhet, förebyggande av oordning samt förebyggande, avslöjande, utredning och beivrande av brott, med iakttagande av bestämmelserna i protokollet om Europeiska gemenskapernas immunitet och privilegier och av internationell rätt.
|
|
(19) The Community institutions and bodies should inform the competent authorities in the Member States when they consider that communications on their telecommunications networks should be intercepted, in keeping with the national provisions applicable.
|
(19) Gemenskapsinstitutionerna och gemenskapsorganen bör vända sig till de behöriga myndigheterna i medlemsstaterna om de anser att telekommunikationer måste avlyssnas på deras telenät, i enlighet med tillämpliga nationella bestämmelser.
|
|
(20) The provisions applicable to the Community institutions and bodies should correspond to those provisions laid down in connection with the harmonisation of national laws or the implementation of other Community policies, notably in the mutual assistance sphere. It may be necessary, however, to specify and add to those provisions when it comes to ensuring protection in the case of the processing of personal data by the Community institutions and bodies.
|
(20) De bestämmelser som skall tillämpas på gemenskapsinstitutionerna och gemenskapsorganen bör motsvara dem som antas i samband med att lagstiftningen i medlemsstaterna harmoniseras eller annan gemenskapspolitik genomförs, i synnerhet på området ömsesidig hjälp. Det kan dock bli nödvändigt med preciseringar och kompletterande bestämmelser för att genomföra skyddet vid den behandling av personuppgifter som utförs av gemenskapsinstitutionerna och gemenskapsorganen.
|
|
(21) This holds true for the rights of the individuals whose data are being processed, for the obligations of the Community institutions and bodies doing the processing, and for the powers to be vested in the independent supervisory authority responsible for ensuring that this Regulation is properly applied.
|
(21) Detta gäller såväl rättigheterna för de personer vars uppgifter behandlas som skyldigheterna för dem av gemenskapsinstitutionerna och gemenskapsorganen som svarar för behandlingen, liksom de befogenheter som den oberoende tillsynsmyndigheten måste förfoga över för att kunna övervaka att denna förordning tillämpas korrekt.
|
|
(22) The rights accorded the data subject and the exercise thereof should not affect the obligations placed on the controller.
|
(22) De rättigheter som den registrerade har och utövandet av dessa rättigheter bör inte påverka de skyldigheter som åvilar den ansvarige för behandlingen.
|
|
(23) The independent supervisory authority should exercise its supervisory functions in accordance with the Treaty and in compliance with human rights and fundamental freedoms. It should conduct its enquiries in compliance with the Protocol on Privileges and Immunities and with the Staff Regulations of Officials of the European Communities and the conditions of employment applicable to Other Servants of the Communities.
|
(23) Den oberoende tillsynsmyndigheten bör utföra sina övervakningsuppdrag i enlighet med fördraget och med iakttagande av de mänskliga rättigheterna och de grundläggande friheterna. De måste genomföra sina utredningar utan att åsidosätta bestämmelserna i protokollet om immunitet och privilegier och i tjänsteföreskrifterna för tjänstemännen vid Europeiska gemenskaperna samt de anställningsvillkor som tillämpas på övriga anställda vid dessa gemenskaper.
|
|
(24) The necessary technical measures should be adopted to allow access to the registers of processing operations carried out by Data Protection Officers through the independent supervisory authority.
|
(24) Man bör vidta de tekniska åtgärder som är nödvändiga för att möjliggöra tillgång till de register över behandlingar som förs av uppgiftsskyddsombuden via den oberoende tillsynsmyndigheten.
|
|
(25) The decisions of the independent supervisory authority regarding exemptions, guarantees, authorisations and conditions relating to data processing operations, as defined in this Regulation, should be published in the activities report. Independently of the publication of an annual activities report, the independent supervisory authority may publish reports on specific subjects.
|
(25) Den oberoende tillsynsmyndighetens beslut om undantag, skyddsåtgärder, tillstånd och villkor när det gäller behandling av uppgifter, såsom de fastställs i denna förordning, bör offentliggöras i verksamhetsrapporten. Förutom det årliga offentliggörandet av verksamhetsrapporten kan den oberoende tillsynsmyndigheten offentliggöra rapporter om särskilda ämnen.
|
|
(26) Certain processing operations likely to present specific risks with respect to the rights and freedoms of data subjects are subject to prior checking by the independent supervisory authority. The opinion given in the context of such prior checking, including the opinion resulting from failure to reply within the set period, should be without prejudice to the subsequent exercise by the independent supervisory authority of its powers with regard to the processing operation in question.
|
(26) Viss behandling av personuppgifter som kan medföra särskilda risker för de registrerades rättigheter och friheter bör kontrolleras i förväg av den oberoende tillsynsmyndigheten. Det yttrande som lämnas i samband med denna kontroll, inbegripet det förhållande som följer av att svar inte lämnas inom fastställd tid, bör inte hindra att tillsynsmyndigheten senare utövar sina befogenheter beträffande ifrågavarande behandling.
|
|
(27) Processing of personal data for the performance of tasks carried out in the public interest by the Community institutions and bodies includes the processing of personal data necessary for the management and functioning of those institutions and bodies.
|
(27) Behandling av personuppgifter för utförandet av de arbetsuppgifter av allmänt intresse som gemenskapsinstitutionerna och gemenskapsorganen utför inbegriper sådan behandling av personuppgifter som är nödvändig för förvaltningen av dessa institutioner och organ för att de skall fungera.
|
|
(28) In certain cases the processing of data should be authorised by Community provisions or by acts transposing Community provisions. Nevertheless, in the transitional period during which such provisions do not exist, pending their adoption, the European Data Protection Supervisor may authorise processing of such data provided that adequate safeguards are adopted. In so doing, he should take account in particular of the provisions adopted by the Member States to deal with similar cases.
|
(28) I ett visst antal fall föreskriver denna förordning att behandlingen av personuppgifter måste vara tillåten med stöd av gemenskapsbestämmelser eller rättsakter för överföring av gemenskapsbestämmelser. Om sådana bestämmelser saknas får dock den europeiska datatillsynsmannen i avvaktan på deras antagande under en övergångstid ge tillstånd till behandling av sådana uppgifter, om tillräckliga skyddsåtgärder vidtas. I detta avseende bör han i synnerhet ta hänsyn till de bestämmelser som antagits av medlemsstaterna för att reglera liknande fall.
|
|
(29) These cases concern the processing of data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs or trade-union membership and the processing of data concerning health or sex life which are necessary for the purposes of complying with the specific rights and obligations of the controller in the field of employment law or for reasons of substantial public interest. They also concern the processing of data relating to offences, criminal convictions or security measures and authorisation to apply a decision to the data subject which produces legal effects concerning him or her or significantly affects him or her and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to him or her.
|
(29) De fall som avses rör behandling av uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse och medlemskap i fackförening samt behandling av uppgifter om hälsa eller sexualliv, vilken krävs med hänsyn till de registeransvarigas särskilda skyldigheter och rättigheter på arbetsrättsområdet eller av hänsyn till ett viktigt allmänt intresse. Det rör sig också om behandling av uppgifter om brott, brottmålsdomar eller säkerhetsåtgärder eller tillstånd att underställa den registrerade ett beslut som har rättsliga följder för eller väsentligt berör honom och som enbart grundas på en automatisk behandling av uppgifter för att bedöma vissa av hans personliga egenskaper.
|
|
(30) It may be necessary to monitor the computer networks operated under the control of the Community institutions and bodies for the purposes of prevention of unauthorised use. The European Data Protection Supervisor should determine whether and under what conditions that is possible.
|
(30) För att förhindra obehörig användning kan det krävas övervakning av de datornät för vilkas drift gemenskapsinstitutionerna och gemenskapsorganen ansvarar. Den europeiska datatillsynsmannen bör fastställa om och på vilka villkor detta kan ske.
|
|
(31) Liability arising from any breach of this Regulation is governed by the second paragraph of Article 288 of the Treaty.
|
(31) Ansvaret vid en eventuell överträdelse av föreliggande förordning regleras av artikel 288 andra stycket i fördraget.
|
|
(32) In each Community institution or body one or more Data Protection Officers should ensure that the provisions of this Regulation are applied and should advise controllers on fulfilling their obligations.
|
(32) Ett eller flera uppgiftsskyddsombud bör inom varje gemenskapsinstitution eller gemenskapsorgan övervaka tillämpningen av bestämmelserna i denna förordning och ge råd åt de registeransvariga då de fullgör sina åligganden.
|
|
(33) Under Article 21 of Council Regulation (EC) No 322/97 of 17 February 1997 on Community statistics(6), that Regulation is to apply without prejudice to Directive 95/46/EC.
|
(33) Enligt artikel 21 i rådets förordning (EG) nr 322/97 av den 17 februari 1997 om gemenskapsstatistik(6) skall den förordningen gälla utan att det påverkar tillämpningen av direktiv 95/46/EG.
|
|
(34) Under Article 8(8) of Council Regulation (EC) No 2533/98 of 23 November 1998 concerning the collection of statistical information by the European Central Bank(7), that Regulation is to apply without prejudice to Directive 95/46/EC.
|
(34) Enligt artikel 8.8 i rådets förordning (EG) nr 2533/98 av den 23 november 1998 om Europeiska centralbankens insamling av statistiska uppgifter(7) skall den förordningen gälla utan att det påverkar tillämpningen av direktiv 95/46/EG.
|
|
(35) Under Article 1(2) of Council Regulation (Euratom, EEC) No 1588/90 of 11 June 1990 on the transmission of data subject to statistical confidentiality to the Statistical Office of the European Communities(8), that Regulation does not derogate from the special Community or national provisions concerning the safeguarding of confidentiality other than statistical confidentiality.
|
(35) Enligt artikel 1.2 i rådets förordning (Euratom, EEG) nr 1588/90 av den 11 juni 1990 om utlämnande av insynsskyddade statistiska uppgifter till Europeiska gemenskapernas statistikkontor(8) berör den förordningen inte nationella eller gemenskapsrättsliga specialregler om annat insynsskydd än insynsskyddet för statistiska uppgifter.
|
|
(36) This Regulation does not aim to limit Member States' room for manoeuvre in drawing up their national laws on data protection under Article 32 of Directive 95/46/EC, in accordance with Article 249 of the Treaty,
|
(36) Syftet med denna förordning är inte att begränsa medlemsstaternas handlingsfrihet när de utarbetar sina nationella bestämmelser om skydd av personuppgifter enligt artikel 32 i direktiv 95/46/EG, i enlighet med artikel 249 i fördraget.
|
|
HAVE ADOPTED THIS REGULATION:
|
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
|
|
|
|
|
CHAPTER I
|
KAPITEL I
|
|
GENERAL PROVISIONS
|
ALLMÄNNA BESTÄMMELSER
|
|
Article 1
|
Artikel 1
|
|
Object of the Regulation
|
Förordningens syfte
|
|
1. In accordance with this Regulation, the institutions and bodies set up by, or on the basis of, the Treaties establishing the European Communities, hereinafter referred to as "Community institutions or bodies", shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data and shall neither restrict nor prohibit the free flow of personal data between themselves or to recipients subject to the national law of the Member States implementing Directive 95/46/EC.
|
1. De institutioner och organ som inrättas genom eller på grundval av fördragen om upprättandet av Europeiska gemenskaperna, nedan kallade gemenskapsinstitutionerna och gemenskapsorganen, skall i enlighet med denna förordning skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till privatliv, i samband med behandling av personuppgifter, och de får varken begränsa eller förbjuda den fria rörligheten av personuppgifter sinsemellan eller till mottagare som omfattas av den nationella lagstiftningen som antagits i medlemsstaterna med tillämpning av direktiv 95/46/EG.
|
|
2. The independent supervisory authority established by this Regulation, hereinafter referred to as the European Data Protection Supervisor, shall monitor the application of the provisions of this Regulation to all processing operations carried out by a Community institution or body.
|
2. Den oberoende tillsynsmyndighet som inrättas genom denna förordning, nedan kallad "den europeiska datatillsynsmannen", skall övervaka att bestämmelserna i denna förordning tillämpas vid all behandling som utförs av en gemenskapsinstitution eller ett gemenskapsorgan.
|
|
|
|
|
Article 2
|
Artikel 2
|
|
Definitions
|
Definitioner
|
|
For the purposes of this Regulation:
|
I denna förordning används följande beteckningar med de betydelser som här anges:
|
|
(a) "personal data" shall mean any information relating to an identified or identifiable natural person hereinafter referred to as "data subject"; an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his or her physical, physiological, mental, economic, cultural or social identity;
|
a) personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för personens fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.
|
|
(b) "processing of personal data" hereinafter referred to as "processing" shall mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organisation, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;
|
b) behandling av personuppgifter (behandling): varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.
|
|
(c) "personal data filing system" hereinafter referred to as "filing system" shall mean any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;
|
c) register med personuppgifter (register): varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.
|
|
(d) "controller" shall mean the Community institution or body, the Directorate-General, the unit or any other organisational entity which alone or jointly with others determines the purposes and means of the processing of personal data; where the purposes and means of processing are determined by a specific Community act, the controller or the specific criteria for its nomination may be designated by such Community act;
|
d) registeransvarig: den gemenskapsinstitution eller det gemenskapsorgan, det generaldirektorat, den avdelning eller varje annan organisatorisk enhet som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. När ändamålen med och medlen för behandlingen bestäms av en särskild gemenskapsrättsakt, kan den registeransvarige eller de särskilda kriterierna för att utse vederbörande anges genom en sådan gemenskapsrättsakt.
|
|
(e) "processor" shall mean a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller;
|
e) registerförare: den fysiska eller juridiska person, den myndighet, den avdelning eller varje annat organ som behandlar personuppgifter för den registeransvariges räkning.
|
|
(f) "third party" shall mean a natural or legal person, public authority, agency or body other than the data subject, the controller, the processor and the persons who, under the direct authority of the controller or the processor, are authorised to process the data;
|
f) tredje man: den fysiska eller juridiska person, myndighet, avdelning eller det organ förutom den registrerade, den registeransvarige, registerföraren och de personer som under den registeransvariges eller registerförares direkta ansvar har befogenhet att behandla uppgifterna.
|
|
(g) "recipient" shall mean a natural or legal person, public authority, agency or any other body to whom data are disclosed, whether a third party or not; however, authorities which may receive data in the framework of a particular inquiry shall not be regarded as recipients;
|
g) mottagare: den fysiska eller juridiska person, den myndighet, den avdelning eller varje annat organ till vilket uppgifterna utlämnas, vare sig det är en tredje man eller inte. De myndigheter som kan komma att motta uppgifter inom ramen för en särskild undersökning skall dock inte betraktas som mottagare.
|
|
(h) "the data subject's consent" shall mean any freely given specific and informed indication of his or her wishes by which the data subject signifies his or her agreement to personal data relating to him or her being processed.
|
h) den registrerades samtycke: varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne.
|
|
|
|
|
Article 3
|
Artikel 3
|
|
Scope
|
Tillämpningsområde
|
|
1. This Regulation shall apply to the processing of personal data by all Community institutions and bodies insofar as such processing is carried out in the exercise of activities all or part of which fall within the scope of Community law.
|
1. Denna förordning skall vara tillämplig på alla gemenskapsinstitutioners och gemenskapsorgans behandling av personuppgifter, om denna behandling genomförs för att utföra uppgifter som helt eller delvis omfattas av gemenskapsrätten.
|
|
2. This Regulation shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means of personal data which form part of a filing system or are intended to form part of a filing system.
|
2. Denna förordning skall vara tillämplig på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av sådana personuppgifter som ingår i eller kommer att ingå i ett register.
|
|
|
|
|
CHAPTER II
|
KAPITEL II
|
|
GENERAL RULES ON THE LAWFULNESS OF THE PROCESSING OF PERSONAL DATA
|
ALLMÄNNA BESTÄMMELSER OM NÄR PERSONUPPGIFTER FÅR BEHANDLAS
|
|
SECTION 1
|
AVSNITT 1
|
|
PRINCIPLES RELATING TO DATA QUALITY
|
PRINCIPER FÖR UPPGIFTERNAS KVALITET
|
|
Article 4
|
Artikel 4
|
|
Data quality
|
Uppgifternas kvalitet
|
|
1. Personal data must be:
|
1. Personuppgifter
|
|
(a) processed fairly and lawfully;
|
a) skall behandlas på ett korrekt och lagligt sätt,
|
|
(b) collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes. Further processing of personal data for historical, statistical or scientific purposes shall not be considered incompatible provided that the controller provides appropriate safeguards, in particular to ensure that the data are not processed for any other purposes or used in support of measures or decisions regarding any particular individual;
|
b) skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål; senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål; senare behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål skall inte anses vara oförenligt förutsatt att den registeransvarige vidtar lämpliga skyddsåtgärder, särskilt för att säkerställa att personuppgifterna inte behandlas för några andra ändamål och att personuppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild person,
|
|
(c) adequate, relevant and not excessive in relation to the purposes for which they are collected and/or further processed;
|
c) skall vara adekvata och relevanta och får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de samlas in och för vilka de senare behandlas,
|
|
(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that data which are inaccurate or incomplete, having regard to the purposes for which they were collected or for which they are further processed, are erased or rectified;
|
d) skall vara riktiga och om nödvändigt hållas aktuella; alla rimliga åtgärder skall vidtas för att säkerställa att sådana personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlades in eller för vilka de senare behandlas, utplånas eller rättas,
|
|
(e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the data were collected or for which they are further processed. The Community institution or body shall lay down that personal data which are to be stored for longer periods for historical, statistical or scientific use should be kept either in anonymous form only or, if that is not possible, only with the identity of the data subjects encrypted. In any event, the data shall not be used for any purpose other than for historical, statistical or scientific purposes.
|
e) skall lagras på ett sätt som förhindrar att de registrerade kan identifieras under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlas. Gemenskapsinstitutionerna och gemenskapsorganen skall se till att sådana personuppgifter som skall fortsätta att lagras för historiska, statistiska eller vetenskapliga ändamål endast lagras antingen i avidentifierad form eller, om detta inte är möjligt, med krypterad identitet för de registrerade. Sådana personuppgifter får under inga omständigheter användas för andra ändamål än historiska, statistiska eller vetenskapliga.
|
|
2. It shall be for the controller to ensure that paragraph 1 is complied with.
|
2. Det åligger den registeransvarige att se till att punkt 1 efterlevs.
|
|
|
|
|
SECTION 2
|
AVSNITT 2
|
|
CRITERIA FOR MAKING DATA PROCESSING LEGITIMATE
|
KRITERIER FÖR ATT UPPGIFTSBEHANDLING SKALL TILLÅTAS
|
|
Article 5
|
Artikel 5
|
|
Lawfulness of processing
|
När personuppgifter får behandlas
|
|
Personal data may be processed only if:
|
Personuppgifter får endast behandlas om
|
|
(a) processing is necessary for the performance of a task carried out in the public interest on the basis of the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof or in the legitimate exercise of official authority vested in the Community institution or body or in a third party to whom the data are disclosed, or
|
a) behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse på grundval av fördragen om upprättandet av Europeiska gemenskaperna eller andra rättsakter som antagits på grundval av dessa fördrag eller som ett led i en rättsligt grundad myndighetsutövning som utförs av gemenskapsinstitutionen eller gemenskapsorganet eller av en tredje man till vilken uppgifterna lämnas ut, eller
|
|
(b) processing is necessary for compliance with a legal obligation to which the controller is subject, or
|
b) behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, eller
|
|
(c) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract, or
|
c) behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås, eller
|
|
(d) the data subject has unambiguously given his or her consent, or
|
d) den registrerade otvetydigt har lämnat sitt samtycke, eller
|
|
(e) processing is necessary in order to protect the vital interests of the data subject.
|
e) behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade.
|
|
|
|
|
Article 6
|
Artikel 6
|
|
Change of purpose
|
Nytt ändamål
|
|
Without prejudice to Articles 4, 5 and 10:
|
Utan att det påverkar tillämpningen av artiklarna 4, 5 och 10 skall följande gälla:
|
|
1. Personal data shall only be processed for purposes other than those for which they have been collected if the change of purpose is expressly permitted by the internal rules of the Community institution or body.
|
1. Personuppgifter får behandlas för andra ändamål än de för vilka de har samlats in endast om ändringen av ändamålet uttryckligen tillåts enligt gemenskapsinstitutionens eller gemenskapsorganets interna bestämmelser.
|
|
2. Personal data collected exclusively for ensuring the security or the control of the processing systems or operations shall not be used for any other purpose, with the exception of the prevention, investigation, detection and prosecution of serious criminal offences.
|
2. Personuppgifter som uteslutande samlas in för att säkerställa säkerheten eller kontrollen av behandlingssystem eller behandlingar får inte användas för något annat ändamål, med undantag för om det gäller att förebygga, utreda, avslöja och beivra grova brott.
|
|
|
|
|
Article 7
|
Artikel 7
|
|
Transfer of personal data within or between Community institutions or bodies
|
Överföring av personuppgifter inom eller mellan gemenskapens institutioner och organ
|
|
Without prejudice to Articles 4, 5, 6 and 10:
|
Utan att det påverkar tillämpningen av artiklarna 4, 5, 6 och 10 skall följande gälla:
|
|
1. Personal data shall only be transferred within or to other Community institutions or bodies if the data are necessary for the legitimate performance of tasks covered by the competence of the recipient.
|
1. Personuppgifter får endast överföras inom eller till andra gemenskapsinstitutioner och gemenskapsorgan om uppgifterna är nödvändiga för att lagenligt utföra uppgifter för vilka mottagaren har behörighet.
|
|
2. Where the data are transferred following a request from the recipient, both the controller and the recipient shall bear the responsibility for the legitimacy of this transfer.
|
2. Både den registeransvarige och mottagaren är ansvarig för att denna överföring sker lagenligt, om uppgifterna överförs på begäran av mottagaren.
|
|
The controller shall be required to verify the competence of the recipient and to make a provisional evaluation of the necessity for the transfer of the data. If doubts arise as to this necessity, the controller shall seek further information from the recipient.
|
Den registeransvarige är skyldig att kontrollera mottagarens behörighet och preliminärt bedöma om överföringen av uppgifterna är nödvändig. Om det uppstår tveksamhet om nödvändigheten skall den registeransvarige begära ytterligare förklaringar från mottagaren.
|
|
The recipient shall ensure that the necessity for the transfer of the data can be subsequently verified.
|
Mottagaren skall se till att man senare kan kontrollera att överföringen av uppgifterna var nödvändig.
|
|
3. The recipient shall process the personal data only for the purposes for which they were transmitted.
|
3. Mottagaren får endast behandla personuppgifterna för de ändamål för vilka de överfördes.
|
|
|
|
|
Article 8
|
Artikel 8
|
|
Transfer of personal data to recipients, other than Community institutions and bodies, subject to Directive 95/46/EC
|
Överföring av personuppgifter till andra mottagare än gemenskapsinstitutionerna och gemenskapsorganen vilka omfattas av direktiv 95/46/EG
|
|
Without prejudice to Articles 4, 5, 6 and 10, personal data shall only be transferred to recipients subject to the national law adopted for the implementation of Directive 95/46/EC,
|
Utan att det påverkar tillämpningen av artiklarna 4, 5, 6 och 10 får personuppgifter endast överföras till mottagare som omfattas av den nationella lagstiftning som har antagits för tillämpningen av direktiv 95/46/EG,
|
|
(a) if the recipient establishes that the data are necessary for the performance of a task carried out in the public interest or subject to the exercise of public authority, or
|
a) om mottagaren visar att personuppgifterna är nödvändiga för att utföra ett uppdrag som är av allmänt intresse eller är förenat med myndighetsutövning, eller
|
|
(b) if the recipient establishes the necessity of having the data transferred and if there is no reason to assume that the data subject's legitimate interests might be prejudiced.
|
b) om mottagaren visar att det är nödvändigt att personuppgifterna överförs och det saknas skäl att anta att den registrerades legitima intressen skulle kunna skadas.
|
|
|
|
|
Article 9
|
Artikel 9
|
|
Transfer of personal data to recipients, other than Community institutions and bodies, which are not subject to Directive 95/46/EC
|
Överföring av personuppgifter till andra mottagare än gemenskapsinstitutionerna och gemenskapsorganen vilka inte omfattas av direktiv 95/46/EG
|
|
1. Personal data shall only be transferred to recipients, other than Community institutions and bodies, which are not subject to national law adopted pursuant to Directive 95/46/EC, if an adequate level of protection is ensured in the country of the recipient or within the recipient international organisation and the data are transferred solely to allow tasks covered by the competence of the controller to be carried out.
|
1. Personuppgifter får endast överföras till andra mottagare än gemenskapsinstitutionerna och gemenskapsorganen vilka inte omfattas av den nationella lagstiftning som har antagits med stöd av direktiv 95/46/EG, om en adekvat skyddsnivå har säkerställts i mottagarens land eller inom den mottagande internationella organisationen och om uppgifterna överförs uteslutande för att göra det möjligt för den registeransvarige att utföra de uppgifter för vilka han har behörighet.
|
|
2. The adequacy of the level of protection afforded by the third country or international organisation in question shall be assessed in the light of all the circumstances surrounding a data transfer operation or set of data transfer operations; particular consideration shall be given to the nature of the data, the purpose and duration of the proposed processing operation or operations, the recipient third country or recipient international organisation, the rules of law, both general and sectoral, in force in the third country or international organisation in question and the professional rules and security measures which are complied with in that third country or international organisation.
|
2. Bedömningen av om skyddsnivån i ifrågavarande tredje land eller internationella organisation är adekvat skall ske på grundval av alla de förhållanden som har samband med en eller flera överföringar av personuppgifter. Särskild hänsyn skall tas till uppgifternas art, den föreslagna behandlingens eller behandlingarnas ändamål och varaktighet, det tredje land eller den internationella organisation som utgör slutdestination, den lagstiftning, både allmän och sektoriell, som gäller i ifrågavarande tredje land eller för ifrågavarande internationella organisation samt de yrkesregler och säkerhetsbestämmelser som skall följas i detta tredje land eller denna internationella organisation.
|
|
3. The Community institutions and bodies shall inform the Commission and the European Data Protection Supervisor of cases where they consider the third country or international organisation in question does not ensure an adequate level of protection within the meaning of paragraph 2.
|
3. Gemenskapsinstitutionerna och gemenskapsorganen skall informera kommissionen och den europeiska datatillsynsmannen då de anser att ifrågavarande tredje land eller internationella organisation inte säkerställer en adekvat skyddsnivå enligt punkt 2.
|
|
4. The Commission shall inform the Member States of any cases as referred to in paragraph 3.
|
4. Kommissionen skall informera medlemsstaterna om de fall som avses i punkt 3.
|
|
5. The Community institutions and bodies shall take the necessary measures to comply with decisions taken by the Commission when it establishes, pursuant to Article 25(4) and (6) of Directive 95/46/EC, that a third country or an international organisation ensures or does not ensure an adequate level of protection.
|
5. Gemenskapsinstitutionerna och gemenskapsorganen skall vidta de åtgärder som är nödvändiga för att följa de beslut kommissionen fattat med tillämpning av artikel 25.4 och 25.6 i direktiv 95/46/EG, i vilka den konstaterat att ett tredje land eller en internationell organisation säkerställer eller underlåter att säkerställa en lämplig skyddsnivå.
|
|
6. By way of derogation from paragraphs 1 and 2, the Community institution or body may transfer personal data if:
|
6. Utan hinder av punkterna 1 och 2 får gemenskapsinstitutionen eller gemenskapsorganet överföra personuppgifter, om
|
|
(a) the data subject has given his or her consent unambiguously to the proposed transfer; or
|
a) den registrerade har gett sitt otvetydiga samtycke till den planerade överföringen, eller
|
|
(b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre-contractual measures taken in response to the data subject's request; or
|
b) överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den registeransvarige eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran, eller
|
|
(c) the transfer is necessary for the conclusion or performance of a contract entered into in the interest of the data subject between the controller and a third party; or
|
c) överföringen är nödvändig för att ingå ett avtal eller fullgöra ett redan ingånget avtal i den registrerades intresse mellan den registeransvarige och tredje man, eller
|
|
(d) the transfer is necessary or legally required on important public interest grounds, or for the establishment, exercise or defence of legal claims; or
|
d) överföringen är nödvändig eller följer av lag på grund av viktiga allmänna intressen, eller för att kunna fastställa, göra gällande eller försvara rättsliga anspråk, eller
|
|
(e) the transfer is necessary in order to protect the vital interests of the data subject; or
|
e) överföringen är nödvändig för att skydda intressen som är av avgörande betydelse för den registrerade, eller
|
|
(f) the transfer is made from a register which, according to Community law, is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate a legitimate interest, to the extent that the conditions laid down in Community law for consultation are fulfilled in the particular case.
|
f) överföringen görs från ett register som enligt gemenskapslagstiftningen är avsett att ge information till allmänheten och som är tillgängligt antingen för allmänheten eller för varje person som kan påvisa ett legitimt intresse, i den utsträckning som villkoren i gemenskapslagstiftningen om inhämtande är uppfyllda i det särskilda fallet.
|
|
7. Without prejudice to paragraph 6, the European Data Protection Supervisor may authorise a transfer or a set of transfers of personal data to a third country or international organisation which does not ensure an adequate level of protection within the meaning of paragraphs 1 and 2, where the controller adduces adequate safeguards with respect to the protection of the privacy and fundamental rights and freedoms of individuals and as regards the exercise of the corresponding rights; such safeguards may in particular result from appropriate contractual clauses.
|
7. Utan att det påverkar tillämpningen av punkt 6 kan den europeiska datatillsynsmannen ge tillstånd till en överföring eller en rad överföringar av personuppgifter till ett tredje land eller en internationell organisation som inte säkerställer en adekvat skyddsnivå enligt punkterna 1 och 2, om den registeransvarige vidtar tillräckliga skyddsåtgärder för att enskilda personers privatliv och grundläggande fri- och rättigheter skyddas och för utövandet av motsvarande rättigheter; dessa skyddsåtgärder kan bland annat följa av lämpliga bestämmelser i avtal.
|
|
8. The Community institutions and bodies shall inform the European Data Protection Supervisor of categories of cases where they have applied paragraphs 6 and 7.
|
8. Gemenskapens institutioner och organ skall informera den europeiska datatillsynsmannen om kategorier av fall där de har tillämpat punkterna 6 och 7.
|
|
|
|
|
SECTION 3
|
AVSNITT 3
|
|
SPECIAL CATEGORIES OF PROCESSING
|
SÄRSKILDA KATEGORIER AV BEHANDLING
|
|
Article 10
|
Artikel 10
|
|
The processing of special categories of data
|
Behandlingen av särskilda kategorier av uppgifter
|
|
1. The processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, and of data concerning health or sex life, are prohibited.
|
1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt av uppgifter som rör hälsa och sexualliv är förbjuden.
|
|
2. Paragraph 1 shall not apply where:
|
2. Punkt 1 skall inte gälla om
|
|
(a) the data subject has given his or her express consent to the processing of those data, except where the internal rules of the Community institution or body provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject's giving his or her consent, or
|
a) den registrerade har lämnat sitt uttryckliga samtycke till en sådan behandling, utom då gemenskapsinstitutionens eller gemenskapsorganets interna bestämmelser föreskriver att förbudet i punkt 1 inte kan upphävas genom den registrerades samtycke, eller
|
|
(b) processing is necessary for the purposes of complying with the specific rights and obligations of the controller in the field of employment law insofar as it is authorised by the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof, or, if necessary, insofar as it is agreed upon by the European Data Protection Supervisor, subject to adequate safeguards, or
|
b) behandlingen är nödvändig för att fullgöra de skyldigheter och särskilda rättigheter som åligger den registeransvarige inom arbetsrätten i den omfattning detta är tillåtet enligt fördragen om upprättandet av Europeiska gemenskaperna och andra rättsakter som antagits på grundval av dessa fördrag eller, om det visar sig nödvändigt, i den utsträckning som den godtas av den europeiska datatillsynsmannen, på villkor att lämpliga skyddsåtgärder vidtas, eller
|
|
(c) processing is necessary to protect the vital interests of the data subject or of another person where the data subject is physically or legally incapable of giving his or her consent, or
|
c) behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen, när den registrerade är fysiskt eller juridiskt förhindrad att ge sitt samtycke, eller
|
|
(d) processing relates to data which are manifestly made public by the data subject or is necessary for the establishment, exercise or defence of legal claims, or
|
d) behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade eller är nödvändiga för att kunna fastställa, göra gällande eller försvara rättsliga anspråk, eller
|
|
(e) processing is carried out in the course of its legitimate activities with appropriate safeguards by a non-profit-seeking body which constitutes an entity integrated in a Community institution or body, not subject to national data protection law by virtue of Article 4 of Directive 95/46/EC, and with a political, philosophical, religious or trade-union aim and on condition that the processing relates solely to the members of this body or to persons who have regular contact with it in connection with its purposes and that the data are not disclosed to a third party without the consent of the data subjects.
|
e) behandlingen utförs av ett icke vinstdrivande organ som är integrerat i en gemenskapsinstitution eller ett gemenskapsorgan och enligt artikel 4 i direktiv 95/46/EG inte omfattas av nationell uppgiftsskyddslagstiftning, när denna behandling är ett led i dess berättigade verksamhet och sker med lämpliga garantier och har ett politiskt, filosofiskt, religiöst eller fackligt ändamål, på villkor att behandlingen enbart rör antingen medlemmar av detta organ eller personer som på grund av organets ändamål har regelbunden kontakt med detta och på villkor att uppgifterna inte lämnas ut till tredje man utan den registrerades samtycke.
|
|
3. Paragraph 1 shall not apply where processing of the data is required for the purposes of preventive medicine, medical diagnosis, the provision of care or treatment or the management of health-care services, and where those data are processed by a health professional subject to the obligation of professional secrecy or by another person also subject to an equivalent obligation of secrecy.
|
3. Punkt 1 skall inte gälla när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård och när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som i sitt yrke är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt.
|
|
4. Subject to the provision of appropriate safeguards, and for reasons of substantial public interest, exemptions in addition to those laid down in paragraph 2 may be laid down by the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof or, if necessary, by decision of the European Data Protection Supervisor.
|
4. Under förutsättning att lämpliga skyddsåtgärder vidtas och av hänsyn till ett viktigt allmänt intresse kan andra undantag än de som nämns i punkt 2 föreskrivas genom fördragen om upprättandet av Europeiska gemenskaperna eller andra rättsakter som grundar sig på dessa fördrag eller, om det visar sig nödvändigt, genom beslut av den europeiska datatillsynsmannen.
|
|
5. Processing of data relating to offences, criminal convictions or security measures may be carried out only if authorised by the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof or, if necessary, by the European Data Protection Supervisor, subject to appropriate specific safeguards.
|
5. Behandling av uppgifter om brott, brottmålsdomar eller säkerhetsåtgärder får utföras endast om detta är tillåtet enligt fördragen om upprättandet av Europeiska gemenskaperna eller andra rättsakter som antagits på grundval av dessa fördrag eller, om det visar sig nödvändigt, genom den europeiska datatillsynsmannen, under förutsättning att särskilda och lämpliga skyddsåtgärder vidtas.
|
|
6. The European Data Protection Supervisor shall determine the conditions under which a personal number or other identifier of general application may be processed by a Community institution or body.
|
6. Den europeiska datatillsynsmannen skall bestämma på vilka villkor ett personnummer eller något annat vedertaget sätt för identifiering får behandlas av en gemenskapsinstitution eller ett gemenskapsorgan.
|
|
|
|
|
SECTION 4
|
AVSNITT 4
|
|
INFORMATION TO BE GIVEN TO THE DATA SUBJECT
|
INFORMATIONSPLIKT GENTEMOT DEN REGISTRERADE
|
|
Article 11
|
Artikel 11
|
|
Information to be supplied where the data have been obtained from the data subject
|
Information som skall ges när uppgifterna insamlas från den registrerade
|
|
1. The controller shall provide a data subject from whom data relating to himself/herself are collected with at least the following information, except where he or she already has it:
|
1. Registeransvarig skall till en registrerad person från vilken uppgifter om honom själv samlas in ge åtminstone följande information, utom i de fall då den registrerade personen redan känner till informationen:
|
|
(a) the identity of the controller;
|
a) Den registeransvariges identitet.
|
|
(b) the purposes of the processing operation for which the data are intended;
|
b) Ändamålen med den behandling för vilken uppgifterna är avsedda.
|
|
(c) the recipients or categories of recipients of the data;
|
c) Mottagare eller kategorier av mottagare av uppgifterna.
|
|
(d) whether replies to the questions are obligatory or voluntary, as well as the possible consequences of failure to reply;
|
d) Huruvida det är obligatoriskt eller frivilligt att besvara frågorna samt eventuella följder av att inte svara.
|
|
(e) the existence of the right of access to, and the right to rectify, the data concerning him or her;
|
e) Att han har rätt att få tillgång till uppgifter om honom och rätt att få dessa korrigerade.
|
|
(f) any further information such as:
|
f) Ytterligare information, t.ex.
|
|
(i) the legal basis of the processing operation for which the data are intended,
|
i) den rättsliga grunden för den behandling för vilken uppgifterna är avsedda,
|
|
(ii) the time-limits for storing the data,
|
ii) hur länge uppgifterna kommer att lagras,
|
|
(iii) the right to have recourse at any time to the European Data Protection Supervisor,
|
iii) rättigheten att när som helst kunna vända sig till den europeiska datatillsynsmannen,
|
|
insofar as such further information is necessary, having regard to the specific circumstances in which the data are collected, to guarantee fair processing in respect of the data subject.
|
i den utsträckning som denna ytterligare information - med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in - är nödvändig för att tillförsäkra den registrerade en korrekt behandling av uppgifterna.
|
|
2. By way of derogation from paragraph 1, the provision of information or part of it, except for the information referred to in paragraph 1(a), (b) and (d), may be deferred as long as this is necessary for statistical purposes. The information must be provided as soon as the reason for which the information is withheld ceases to exist.
|
2. Som ett undantag från punkt 1 kan informationsplikten, med undantag av sådan information som avses i punkt 1 a, b och d, helt eller delvis skjutas upp så lång tid som det behövs för statistiska ändamål. Informationen skall lämnas så snart som det inte längre finns någon grund för att hålla inne informationen.
|
|
|
|
|
Article 12
|
Artikel 12
|
|
Information to be supplied where the data have not been obtained from the data subject
|
Information som skall ges när uppgifterna inte har insamlats från den registrerade
|
|
1. Where the data have not been obtained from the data subject, the controller shall at the time of undertaking the recording of personal data or, if a disclosure to a third party is envisaged, no later than the time when the data are first disclosed, provide the data subject with at least the following information, except where he or she already has it:
|
1. Om uppgifterna inte har samlats in från den registrerade, skall den registeransvarige vid registreringen av personuppgifter eller, om utlämnande av uppgifterna till tredje man kan förutses, senast vid den tidpunkt då uppgifterna först lämnas ut, ge den registrerade åtminstone följande information, utom i de fall då han redan känner till informationen:
|
|
(a) the identity of the controller;
|
a) Den registeransvariges identitet.
|
|
(b) the purposes of the processing operation;
|
b) Ändamålen med behandlingen.
|
|
(c) the categories of data concerned;
|
c) De kategorier av uppgifter som behandlingen gäller.
|
|
(d) the recipients or categories of recipients;
|
d) Mottagare eller kategorier av mottagare.
|
|
(e) the existence of the right of access to, and the right to rectify, the data concerning him or her;
|
e) Att han har rätt att få tillgång till uppgifter om honom och rätt att få dessa korrigerade.
|
|
(f) any further information such as:
|
f) Ytterligare information, t.ex.
|
|
(i) the legal basis of the processing operation for which the data are intended,
|
i) den rättsliga grunden för den behandling för vilken uppgifterna är avsedda,
|
|
(ii) the time-limits for storing the data,
|
ii) hur länge uppgifterna kommer att lagras,
|
|
(iii) the right to have recourse at any time to the European Data Protection Supervisor,
|
iii) rättigheten att när som helst kunna vända sig till den europeiska tillsynsmannen för uppgiftsskydd,
|
|
(iv) the origin of the data, except where the controller cannot disclose this information for reasons of professional secrecy,
|
iv) uppgifternas ursprung, utom då den registeransvarige på grund av tystnadsplikt inte kan lämna ut denna information,
|
|
insofar as such further information is necessary, having regard to the specific circumstances in which the data are processed, to guarantee fair processing in respect of the data subject.
|
i den utsträckning som denna ytterligare information - med hänsyn till de särskilda omständigheter under vilka uppgifterna behandlas - är nödvändig för att tillförsäkra den registrerade en korrekt behandling av uppgifterna.
|
|
2. Paragraph 1 shall not apply where, in particular for processing for statistical purposes or for the purposes of historical or scientific research, the provision of such information proves impossible or would involve a disproportionate effort or if recording or disclosure is expressly laid down by Community law. In these cases the Community institution or body shall provide for appropriate safeguards after consulting the European Data Protection Supervisor.
|
2. Bestämmelserna i punkt 1 skall inte gälla när det - särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskapliga forskningsändamål - visar sig omöjligt eller innebär en oproportionerligt stor ansträngning att informera den registrerade eller om registrering eller utlämnande uttryckligen föreskrivs i gemenskapslagstiftningen. I sådana fall skall gemenskapsinstitutionen eller gemenskapsorganet vidta lämpliga skyddsåtgärder efter samråd med den europeiska datatillsynsmannen.
|
|
|
|
|
SECTION 5
|
AVSNITT 5
|
|
RIGHTS OF THE DATA SUBJECT
|
DEN REGISTRERADES RÄTTIGHETER
|
|
Article 13
|
Artikel 13
|
|
Right of access
|
Rätt till tillgång
|
|
The data subject shall have the right to obtain, without constraint, at any time within three months from the receipt of the request and free of charge from the controller:
|
Varje registrerad skall ha rätt att när som helst utan restriktioner, inom tre månader från det att ansökan mottogs, kostnadsfritt från den registeransvarige
|
|
(a) confirmation as to whether or not data related to him or her are being processed;
|
a) få bekräftelse på om uppgifter som rör honom behandlas eller inte,
|
|
(b) information at least as to the purposes of the processing operation, the categories of data concerned, and the recipients or categories of recipients to whom the data are disclosed;
|
b) få information åtminstone om ändamålen med behandlingen, de berörda uppgiftskategorierna, mottagarna eller de kategorier av mottagare till vilka uppgifterna lämnas ut,
|
|
(c) communication in an intelligible form of the data undergoing processing and of any available information as to their source;
|
c) få klar information om vilka personuppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer,
|
|
(d) knowledge of the logic involved in any automated decision process concerning him or her.
|
d) få kännedom om det logiska system som används vid alla automatiserade beslutsprocesser som rör honom.
|
|
|
|
|
Article 14
|
Artikel 14
|
|
Rectification
|
Rättelse
|
|
The data subject shall have the right to obtain from the controller the rectification without delay of inaccurate or incomplete personal data.
|
Den registrerade skall ha rätt att från den registeransvarige utan dröjsmål få rättelse av felaktiga eller ofullständiga personuppgifter.
|
|
|
|
|
Article 15
|
Artikel 15
|
|
Blocking
|
Blockering
|
|
1. The data subject shall have the right to obtain from the controller the blocking of data where:
|
1. Den registrerade skall ha rätt att få uppgifter blockerade av den registeransvarige om
|
|
(a) their accuracy is contested by the data subject, for a period enabling the controller to verify the accuracy, including the completeness, of the data, or;
|
a) den registrerade bestrider deras korrekthet, under en tid som ger den registeransvarige möjlighet att verifiera om personuppgifterna är korrekta, bland annat om de är fullständiga, eller
|
|
(b) the controller no longer needs them for the accomplishment of its tasks but they have to be maintained for purposes of proof, or;
|
b) den registeransvarige inte längre behöver dem för att fullgöra sina uppgifter men de måste bevaras för bevisändamål, eller
|
|
(c) the processing is unlawful and the data subject opposes their erasure and demands their blocking instead.
|
c) behandlingen är olaglig och den registrerade motsätter sig att de utplånas och i stället begär att de blockeras.
|
|
2. In automated filing systems blocking shall in principle be ensured by technical means. The fact that the personal data are blocked shall be indicated in the system in such a way that it becomes clear that the personal data may not be used.
|
2. I automatiserade register skall blockering i princip säkerställas med tekniska medel. Att personuppgifter är blockerade skall anges i systemet på ett sådant sätt att det är tydligt att personuppgifterna inte får användas.
|
|
3. Personal data blocked pursuant to this Article shall, with the exception of their storage, only be processed for purposes of proof, or with the data subject's consent, or for the protection of the rights of a third party.
|
3. Personuppgifter som är blockerade med tillämpning av denna artikel skall, med undantag för lagring, endast behandlas för bevisändamål eller med den registrerades samtycke eller för skydd av tredje mans rättigheter.
|
|
4. The data subject who requested and obtained the blocking of his or her data shall be informed by the controller before the data are unblocked.
|
4. Den registrerade som har begärt och fått sina uppgifter blockerade skall informeras av den registeransvarige innan blockeringen av uppgifterna hävs.
|
|
|
|
|
Article 16
|
Artikel 16
|
|
Erasure
|
Utplåning
|
|
The data subject shall have the right to obtain from the controller the erasure of data if their processing is unlawful, particularly where the provisions of Sections 1, 2 and 3 of Chapter II have been infringed.
|
Den registrerade skall ha rätt att få sina uppgifter utplånade av den registeransvarige om behandlingen av uppgifterna var olaglig, särskilt om bestämmelserna i kapitel II avsnitt 1, 2 och 3 har åsidosatts.
|
|
|
|
|
Article 17
|
Artikel 17
|
|
Notification to third parties
|
Meddelande till tredje man
|
|
The data subject shall have the right to obtain from the controller the notification to third parties to whom the data have been disclosed of any rectification, erasure or blocking pursuant to Articles 13 to 16 unless this proves impossible or involves a disproportionate effort.
|
Den registrerade skall ha rätt att kräva att den registeransvarige underrättar tredje man till vilken personuppgifterna har lämnats om varje rättelse, utplåning eller blockering i enlighet med artiklarna 13-16, om detta inte visar sig omöjligt eller innebär en oproportionerligt stor ansträngning.
|
|
|
|
|
Article 18
|
Artikel 18
|
|
The data subject's right to object
|
Den registrerades rätt att göra invändningar
|
|
The data subject shall have the right:
|
Den registrerade skall ha rätt
|
|
(a) to object at any time, on compelling legitimate grounds relating to his or her particular situation, to the processing of data relating to him or her, except in the cases covered by Article 5(b), (c) and (d). Where there is a justified objection, the processing in question may no longer involve those data;
|
a) att när som helst av avgörande och berättigade skäl som rör hans personliga situation invända mot behandling av uppgifter som rör honom, utom i de fall som omfattas av artikel 5 b, c och d; om invändningen är berättigad får den ifrågavarande behandlingen inte längre avse dessa uppgifter,
|
|
(b) to be informed before personal data are disclosed for the first time to third parties or before they are used on their behalf for the purposes of direct marketing, and to be expressly offered the right to object free of charge to such disclosure or use.
|
b) att bli informerad innan personuppgifterna för första gången lämnas ut till tredje man eller används för tredje mans räkning för direkt marknadsföring och att uttryckligen få erbjudande om att kostnadsfritt invända mot ett sådant utlämnande eller sådan användning.
|
|
|
|
|
Article 19
|
Artikel 19
|
|
Automated individual decisions
|
Databehandlade beslut
|
|
The data subject shall have the right not to be subject to a decision which produces legal effects concerning him or her or significantly affects him or her and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to him or her, such as his or her performance at work, reliability or conduct, unless the decision is expressly authorised pursuant to national or Community legislation or, if necessary, by the European Data Protection Supervisor. In either case, measures to safeguard the data subject's legitimate interests, such as arrangements allowing him or her to put his or her point of view, must be taken.
|
Den registrerade skall ha rätt att inte bli föremål för ett beslut som har rättsliga följder för honom eller som väsentligt berör honom och som enbart grundas på en automatisk behandling av uppgifter som är avsedd att bedöma vissa av hans personliga egenskaper, exempelvis hans arbetsprestationer, pålitlighet eller uppförande, om inte beslutet uttryckligen tillåts enligt nationell lagstiftning eller gemenskapslagstiftning eller, om det visar sig nödvändigt, av den europeiska datatillsynsmannen. I båda fallen skall åtgärder för skydd av den registrerades legitima intressen vidtas, exempelvis åtgärder som möjliggör för honom att framföra sin åsikt.
|
|
|
|
|
SECTION 6
|
AVSNITT 6
|
|
EXEMPTIONS AND RESTRICTIONS
|
UNDANTAG OCH BEGRÄNSNINGAR
|
|
Article 20
|
Artikel 20
|
|
Exemptions and restrictions
|
Undantag och begränsningar
|
|
1. The Community institutions and bodies may restrict the application of Article 4(1), Article 11, Article 12(1), Articles 13 to 17 and Article 37(1) where such restriction constitutes a necessary measure to safeguard:
|
1. Gemenskapsinstitutionerna och gemenskapsorganen får begränsa tillämpningen av artikel 4.1, artikel 11, artikel 12.1, artiklarna 13-17 och artikel 37.1 i den mån som en sådan begränsning är en nödvändig åtgärd för att
|
|
(a) the prevention, investigation, detection and prosecution of criminal offences;
|
a) förebygga, utreda, avslöja eller beivra brott,
|
|
(b) an important economic or financial interest of a Member State or of the European Communities, including monetary, budgetary and taxation matters;
|
b) skydda ett viktigt ekonomiskt eller finansiellt intresse för en medlemsstat eller Europeiska gemenskaperna, inklusive monetära frågor och budget- och skattefrågor,
|
|
(c) the protection of the data subject or of the rights and freedoms of others;
|
c) säkerställa skydd av den registrerade eller andras fri- och rättigheter,
|
|
(d) the national security, public security or defence of the Member States;
|
d) säkerställa den nationella säkerheten, den allmänna säkerheten och försvaret i medlemsstaterna,
|
|
(e) a monitoring, inspection or regulatory task connected, even occasionally, with the exercise of official authority in the cases referred to in (a) and (b).
|
e) säkerställa en övervakande, inspekterande eller reglerande uppgift, som - även tillfälligt - är förenad med myndighetsutövning, i fall som avses i a och b.
|
|
2. Articles 13 to 16 shall not apply when data are processed solely for purposes of scientific research or are kept in personal form for a period which does not exceed the period necessary for the sole purpose of compiling statistics, provided that there is clearly no risk of breaching the privacy of the data subject and that the controller provides adequate legal safeguards, in particular to ensure that the data are not used for taking measures or decisions regarding particular individuals.
|
2. Artiklarna 13-16 skall inte gälla när uppgifterna endast behandlas för ändamål som avser vetenskaplig forskning eller när uppgifterna lagras i form av personuppgifter under en tid som inte överstiger den tid som är nödvändig för att enbart framställa statistik, under förutsättning att det uppenbarligen inte föreligger någon risk att den registrerades privatliv kränks och att den registeransvarige vidtar lämpliga rättsliga skyddsåtgärder, särskilt för att se till att uppgifterna inte används för åtgärder eller beslut som avser bestämda personer.
|
|
3. If a restriction provided for by paragraph 1 is imposed, the data subject shall be informed, in accordance with Community law, of the principal reasons on which the application of the restriction is based and of his or her right to have recourse to the European Data Protection Supervisor.
|
3. Om en begränsning i ett av de fall som avses i punkt 1 införs, skall den registrerade i enlighet med gemenskapsrätten informeras om de huvudsakliga skälen till begränsningen och om att han har rätt att vända sig till den europeiska datatillsynsmannen.
|
|
4. If a restriction provided for by paragraph 1 is relied upon to deny access to the data subject, the European Data Protection Supervisor shall, when investigating the complaint, only inform him or her of whether the data have been processed correctly and, if not, whether any necessary corrections have been made.
|
4. Om en begränsning enligt punkt 1 åberopas för att vägra den registrerade tillgång, skall den europeiska datatillsynsmannen vid utredning av klagomålet endast informera honom om huruvida uppgifterna har behandlats korrekt och, om så inte är fallet, huruvida alla nödvändiga korrigeringar har gjorts.
|
|
5. Provision of the information referred to under paragraphs 3 and 4 may be deferred for as long as such information would deprive the restriction imposed by paragraph 1 of its effect.
|
5. Meddelandet av den information som avses i punkterna 3 och 4 kan skjutas upp så länge att den gör den begränsning som införts på grundval av punkt 1 verkningslös.
|
|
|
|
|
SECTION 7
|
AVSNITT 7
|
|
CONFIDENTIALITY AND SECURITY OF PROCESSING
|
SEKRETESS OCH SÄKERHET VID BEHANDLING
|
|
Article 21
|
Artikel 21
|
|
Confidentiality of processing
|
Sekretess vid behandling
|
|
A person employed with a Community institution or body and any Community institution or body itself acting as processor, with access to personal data, shall not process them except on instructions from the controller, unless required to do so by national or Community law.
|
Var och en som är anställd vid en gemenskapsinstitution eller ett gemenskapsorgan, och gemenskapsinstitutioner eller gemenskapsorgan när de själva handlar som registerförare, och som har tillgång till personuppgifter, får behandla dessa uppgifter endast enligt instruktion från den registeransvarige, om de inte är skyldiga att göra det enligt nationell lagstiftning eller gemenskapslagstiftning.
|
|
|
|
|
Article 22
|
Artikel 22
|
|
Security of processing
|
Säkerhet vid behandling
|
|
1. Having regard to the state of the art and the cost of their implementation, the controller shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risks represented by the processing and the nature of the personal data to be protected.
|
1. Den registeransvarige skall vidta lämpliga tekniska och organisatoriska åtgärder, med beaktande av nuvarande teknisk nivå och de kostnader som är förenade med åtgärdernas genomförande, för att säkerställa en lämplig säkerhetsnivå i förhållande till de risker som är förknippade med behandlingen och arten av de personuppgifter som skall skyddas.
|
|
Such measures shall be taken in particular to prevent any unauthorised disclosure or access, accidental or unlawful destruction or accidental loss, or alteration, and to prevent all other unlawful forms of processing.
|
Sådana åtgärder skall vidtas särskilt för att förhindra otillåtet utlämnande eller otillåten åtkomst, olaglig eller oavsiktlig förstörelse, oavsiktlig förlust, ändringar och all annan olaglig form av behandling.
|
|
2. Where personal data are processed by automated means, measures shall be taken as appropriate in view of the risks in particular with the aim of:
|
2. Om personuppgifter behandlas på automatisk väg skall åtgärder vidtas om det är nödvändigt med tanke på riskerna, särskilt i syfte att
|
|
(a) preventing any unauthorised person from gaining access to computer systems processing personal data;
|
a) hindra obehöriga personer från att få tillgång till datasystem som behandlar personuppgifter,
|
|
(b) preventing any unauthorised reading, copying, alteration or removal of storage media;
|
b) förhindra att obehöriga läser, återger, ändrar eller tar bort personuppgifter i media som används för lagring,
|
|
(c) preventing any unauthorised memory inputs as well as any unauthorised disclosure, alteration or erasure of stored personal data;
|
c) förhindra obehörig inmatning i minnet samt obehörig utlämning, ändring eller utplåning av lagrade personuppgifter,
|
|
(d) preventing unauthorised persons from using data-processing systems by means of data transmission facilities;
|
d) hindra att obehöriga personer använder system för behandling av uppgifter via utrustning för dataöverföring,
|
|
(e) ensuring that authorised users of a data-processing system can access no personal data other than those to which their access right refers;
|
e) se till att behöriga användare av ett system som behandlar personuppgifter inte kan komma åt andra personuppgifter än de som deras åtkomsträtt avser,
|
|
(f) recording which personal data have been communicated, at what times and to whom;
|
f) registrera vilka personuppgifter som har lämnats ut, vid vilken tidpunkt och till vem,
|
|
(g) ensuring that it will subsequently be possible to check which personal data have been processed, at what times and by whom;
|
g) se till att man i efterhand kan kontrollera vilka personuppgifter som har behandlats, vid vilken tidpunkt och av vem,
|
|
(h) ensuring that personal data being processed on behalf of third parties can be processed only in the manner prescribed by the contracting institution or body;
|
h) se till att personuppgifter som behandlas på tredje mans vägnar endast kan behandlas på det sätt som föreskrivs av avtalsslutande institution eller organ,
|
|
(i) ensuring that, during communication of personal data and during transport of storage media, the data cannot be read, copied or erased without authorisation;
|
i) se till att uppgifterna inte kan läsas, kopieras eller raderas utan bemyndigande, vid utlämning av personuppgifter och under transport av media som används för lagring,
|
|
(j) designing the organisational structure within an institution or body in such a way that it will meet the special requirements of data protection.
|
j) utforma organisationsstrukturen inom en institution eller ett organ på ett sådant sätt att den uppfyller de särskilda kraven för uppgiftsskydd.
|
|
|
|
|
Article 23
|
Artikel 23
|
|
Processing of personal data on behalf of controllers
|
Behandling av personuppgifter för den registeransvariges räkning
|
|
1. Where a processing operation is carried out on its behalf, the controller shall choose a processor providing sufficient guarantees in respect of the technical and organisational security measures required by Article 22 and ensure compliance with those measures.
|
1. Om behandlingen utförs för den registeransvariges räkning, skall vederbörande välja en registerförare som kan ge tillräckliga garantier vad gäller de tekniska och organisatoriska säkerhetsåtgärder som krävs enligt artikel 22 och tillse att dessa åtgärder genomförs.
|
|
2. The carrying out of a processing operation by way of a processor shall be governed by a contract or legal act binding the processor to the controller and stipulating in particular that:
|
2. När uppgifter behandlas av en registerförare skall hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling upprättad mellan registerföraren och den registeransvarige och i handlingen skall särskilt föreskrivas att
|
|
(a) the processor shall act only on instructions from the controller;
|
a) registerföraren endast får handla på instruktioner från den registeransvarige,
|
|
(b) the obligations set out in Articles 21 and 22 shall also be incumbent on the processor unless, by virtue of Article 16 or Article 17(3), second indent, of Directive 95/46/EC, the processor is already subject to obligations with regard to confidentiality and security laid down in the national law of one of the Member States.
|
b) de skyldigheter som anges i artiklarna 21 och 22 även skall åvila registerföraren, om denne inte redan enligt artikel 16 eller artikel 17.3 andra strecksatsen i direktiv 95/46/EG omfattas av skyldigheter med avseende på sekretess och säkerhet enligt den nationella lagstiftningen i en av medlemsstaterna.
|
|
3. For the purposes of keeping proof, the parts of the contract or the legal act relating to data protection and the requirements relating to the measures referred to in Article 22 shall be in writing or in another equivalent form.
|
3. För att säkra bevisning skall de delar av avtalet eller den rättsligt bindande handlingen som rör skydd av uppgifter och de krav som rör åtgärder enligt artikel 22 föreligga i skriftlig eller därmed likvärdig form.
|
|
|
|
|
SECTION 8
|
AVSNITT 8
|
|
DATA PROTECTION OFFICER
|
UPPGIFTSSKYDDSOMBUD
|
|
Article 24
|
Artikel 24
|
|
Appointment and tasks of the Data Protection Officer
|
Utseende av ett uppgiftsskyddsombud och dennes ansvarsområde
|
|
1. Each Community institution and Community body shall appoint at least one person as data protection officer. That person shall have the task of:
|
1. Varje gemenskapsinstitution och gemenskapsorgan skall utse minst en person till uppgiftsskyddsombud. Denne skall ansvara för
|
|
(a) ensuring that controllers and data subjects are informed of their rights and obligations pursuant to this Regulation;
|
a) att registeransvariga och registrerade informeras om sina rättigheter och skyldigheter i enlighet med denna förordning,
|
|
(b) responding to requests from the European Data Protection Supervisor and, within the sphere of his or her competence, cooperating with the European Data Protection Supervisor at the latter's request or on his or her own initiative;
|
b) att besvara framställningar från den europeiska datatillsynsmannen och att inom ramen för sin behörighet samarbeta med denne på hans begäran eller på eget initiativ,
|
|
(c) ensuring in an independent manner the internal application of the provisions of this Regulation;
|
c) att på ett oberoende sätt se till att bestämmelserna i denna förordning tillämpas internt,
|
|
(d) keeping a register of the processing operations carried out by the controller, containing the items of information referred to in Article 25(2);
|
d) att hålla ett register över de behandlingar som utförs av den registeransvarige och att detta register innehåller den information som anges i artikel 25.2,
|
|
(e) notifying the European Data Protection Supervisor of the processing operations likely to present specific risks within the meaning of Article 27.
|
e) att till den europeiska datatillsynsmannen anmäla sådana behandlingar som kan innebära särskilda risker enligt vad som anges i artikel 27.
|
|
That person shall thus ensure that the rights and freedoms of the data subjects are unlikely to be adversely affected by the processing operations.
|
Detta uppgiftsskyddsombud skall därigenom se till att de registrerades fri- och rättigheter inte riskerar att kränkas som en följd av behandlingen.
|
|
2. The Data Protection Officer shall be selected on the basis of his or her personal and professional qualities and, in particular, his or her expert knowledge of data protection.
|
2. Uppgiftsskyddsombudet skall utses på grundval av dennes personliga och yrkesmässiga kvalifikationer och i synnerhet dennes expertkunskaper om uppgiftsskydd.
|
|
3. The selection of the Data Protection Officer shall not be liable to result in a conflict of interests between his or her duty as Data Protection Officer and any other official duties, in particular in relation to the application of the provisions of this Regulation.
|
3. Valet av uppgiftsskyddsombudet skall inte kunna leda till en intressekonflikt mellan hans uppdrag som ombud och andra offentliga uppdrag, särskilt vad avser tillämpningen av bestämmelserna i denna förordning.
|
|
4. The Data Protection Officer shall be appointed for a term of between two and five years. He or she shall be eligible for reappointment up to a maximum total term of ten years. He or she may be dismissed from the post of Data Protection Officer by the Community institution or body which appointed him or her only with the consent of the European Data Protection Supervisor, if he or she no longer fulfils the conditions required for the performance of his or her duties.
|
4. Uppgiftsskyddsombudet skall utses för en period av mellan två och fem år. Han kan återväljas för en period omfattande högst tio år. Han får endast entledigas från sitt uppdrag som uppgiftsskyddsombud av den gemenskapsinstitution eller det gemenskapsorgan som utsett honom efter medgivande av den europeiska datatillsynsmannen, om han inte längre uppfyller de krav som ställs för att han skall kunna utföra sina uppgifter.
|
|
5. After his or her appointment the Data Protection Officer shall be registered with the European Data Protection Supervisor by the institution or body which appointed him or her.
|
5. Efter utnämningen skall uppgiftsskyddsombudet registreras hos den europeiska datatillsynsmannen av den institution eller det organ som har utsett honom.
|
|
6. The Community institution or body which appointed the Data Protection Officer shall provide him or her with the staff and resources necessary to carry out his or her duties.
|
6. Uppgiftsskyddsombudet skall av den gemenskapsinstitution eller det gemenskapsorgan som utsett honom tilldelas den personal och de medel som han behöver för att kunna utföra sina uppgifter.
|
|
7. With respect to the performance of his or her duties, the Data Protection Officer may not receive any instructions.
|
7. Vid utförandet av sina uppgifter får uppgiftsskyddsombudet inte ta emot några instruktioner.
|
|
8. Further implementing rules concerning the Data Protection Officer shall be adopted by each Community institution or body in accordance with the provisions in the Annex. The implementing rules shall in particular concern the tasks, duties and powers of the Data Protection Officer.
|
8. Ytterligare genomförandebestämmelser vad avser uppgiftsskyddsombudet skall antas av varje gemenskapsinstitution eller gemenskapsorgan enligt bestämmelserna i bilagan. Genomförandebestämmelserna skall i synnerhet avse uppgiftsskyddsombudets arbetsuppgifter, åligganden och befogenheter.
|
|
|
|
|
Article 25
|
Artikel 25
|
|
Notification to the Data Protection Officer
|
Anmälan till uppgiftsskyddsombudet
|
|
1. The controller shall give prior notice to the Data Protection Officer of any processing operation or set of such operations intended to serve a single purpose or several related purposes.
|
1. Den registeransvarige skall underrätta uppgiftsskyddsombudet innan en behandling eller en serie behandlingar med samma eller närbesläktade ändamål företas.
|
|
2. The information to be given shall include:
|
2. Den information som skall lämnas skall omfatta följande:
|
|
(a) the name and address of the controller and an indication of the organisational parts of an institution or body entrusted with the processing of personal data for a particular purpose;
|
a) Den registeransvariges namn och adress och angivande av de organisatoriska delar av en institution eller ett organ som ansvarar för behandlingen av personuppgifter för ett särskilt syfte.
|
|
(b) the purpose or purposes of the processing;
|
b) Ändamålet eller ändamålen med behandlingen.
|
|
(c) a description of the category or categories of data subjects and of the data or categories of data relating to them;
|
c) En beskrivning av den eller de kategorier av registrerade som berörs och av de uppgifter eller kategorier av uppgifter som hänför sig till dem.
|
|
(d) the legal basis of the processing operation for which the data are intended;
|
d) Den rättsliga grunden för den behandling för vilken uppgifterna är avsedda.
|
|
(e) the recipients or categories of recipient to whom the data might be disclosed;
|
e) Mottagare eller de kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut.
|
|
(f) a general indication of the time limits for blocking and erasure of the different categories of data;
|
f) En allmän anvisning om tidsfristerna för blockering och utplåning av de olika kategorierna av uppgifter.
|
|
(g) proposed transfers of data to third countries or international organisations;
|
g) Planerade överföringar av uppgifter till tredje land eller internationella organisationer.
|
|
(h) a general description allowing a preliminary assessment to be made of the appropriateness of the measures taken pursuant to Article 22 to ensure security of processing.
|
h) En allmän beskrivning, som gör det möjligt att preliminärt bedöma om de åtgärder är lämpliga som i enlighet med artikel 22 vidtagits för att trygga säkerheten vid behandlingen.
|
|
3. Any change affecting information referred to in paragraph 2 shall be notified promptly to the Data Protection Officer.
|
3. Eventuella ändringar som rör den information som avses i punkt 2 skall omedelbart meddelas uppgiftsskyddsombudet.
|
|
|
|
|
Article 26
|
Artikel 26
|
|
Register
|
Register
|
|
A register of processing operations notified in accordance with Article 25 shall be kept by each Data Protection Officer.
|
Varje uppgiftsskyddsombud skall föra ett register över sådana behandlingar som har anmälts enligt artikel 25.
|
|
The registers shall contain at least the information referred to in Article 25(2)(a) to (g). The registers may be inspected by any person directly or indirectly through the European Data Processing Supervisor.
|
Registren skall innehålla minst den information som avses i artikel 25.2 a-g. Registren skall vara allmänt tillgängliga, direkt eller indirekt, genom förmedling av den europeiska datatillsynsmannen.
|
|
|
|
|
SECTION 9
|
AVSNITT 9
|
|
PRIOR CHECKING BY THE EUROPEAN DATA PROTECTION SUPERVISOR AND OBLIGATION TO COOPERATE
|
FÖRHANDSKONTROLL AV DEN EUROPEISKA DATATILLSYNSMANNEN OCH SAMARBETSSKYLDIGHET
|
|
Article 27
|
Artikel 27
|
|
Prior checking
|
Förhandskontroll
|
|
1. Processing operations likely to present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope or their purposes shall be subject to prior checking by the European Data Protection Supervisor.
|
1. Sådana behandlingar som kan innebära särskilda risker för de registrerades fri- och rättigheter på grund av sin beskaffenhet, sin räckvidd eller sina ändamål skall förhandskontrolleras av den europeiska datatillsynsmannen.
|
|
2. The following processing operations are likely to present such risks:
|
2. Följande former av behandling kan innebära sådana risker:
|
|
(a) processing of data relating to health and to suspected offences, offences, criminal convictions or security measures;
|
a) Behandling av uppgifter som rör hälsa samt behandlingar av uppgifter som rör misstankar om brott, brott, brottmålsdomar eller säkerhetsåtgärder.
|
|
(b) processing operations intended to evaluate personal aspects relating to the data subject, including his or her ability, efficiency and conduct;
|
b) Behandling där syftet är att bedöma den registrerades personlighet, t.ex. hans kompetens, prestationsförmåga eller uppträdande.
|
|
(c) processing operations allowing linkages not provided for pursuant to national or Community legislation between data processed for different purposes;
|
c) Behandling som möjliggör samkörning som inte anges i nationell lagstiftning eller gemenskapslagstiftning mellan uppgifter som behandlats för olika ändamål.
|
|
(d) processing operations for the purpose of excluding individuals from a right, benefit or contract.
|
d) Behandling som syftar till att enskilda personer skall utestängas från att komma i åtnjutande av en rättighet, en förmån eller ett avtal.
|
|
3. The prior checks shall be carried out by the European Data Protection Supervisor following receipt of a notification from the Data Protection Officer who, in case of doubt as to the need for prior checking, shall consult the European Data Protection Supervisor.
|
3. Förhandskontrollerna skall utföras av den europeiska datatillsynsmannen efter meddelande från uppgiftsskyddsombudet, som skall samråda med den europeiska datatillsynsmannen, när behovet av förhandskontroll är tveksamt.
|
|
4. The European Data Protection Supervisor shall deliver his or her opinion within two months following receipt of the notification. This period may be suspended until the European Data Protection Supervisor has obtained any further information that he or she may have requested. When the complexity of the matter so requires, this period may also be extended for a further two months, by decision of the European Data Protection Supervisor. This decision shall be notified to the controller prior to expiry of the initial two-month period.
|
4. Den europeiska datatillsynsmannen skall avge sitt yttrande inom två månader efter det att meddelandet mottagits. Denna tidsfrist kan tillfälligt upphöra att löpa i avvaktan på att den europeiska datatillsynsmannen erhåller den ytterligare information som han begärt. Om ärendets komplexitet gör det nödvändigt, kan denna tidsfrist även förlängas ytterligare två månader efter beslut av den europeiska datatillsynsmannen. Den registeransvarige skall underrättas om detta beslut innan den första tvåmånadersperioden löper ut.
|
|
If the opinion has not been delivered by the end of the two-month period, or any extension thereof, it shall be deemed to be favourable.
|
Om yttrandet inte har avgetts inom tvåmånadersfristen, som eventuellt förlängts, anses det vara positivt.
|
|
If the opinion of the European Data Protection Supervisor is that the notified processing may involve a breach of any provision of this Regulation, he or she shall where appropriate make proposals to avoid such breach. Where the controller does not modify the processing operation accordingly, the European Data Protection Supervisor may exercise the powers granted to him or her under Article 47(1).
|
Om den europeiska datatillsynsmannen anser att den anmälda behandlingen skulle kunna leda till att någon bestämmelse i denna förordning åsidosätts, skall han i förekommande fall lämna förslag till hur detta kan undvikas. Om den registeransvarige inte ändrar behandlingen i enlighet med detta, kan den europeiska datatillsynsmannen utöva de befogenheter han tilldelats enligt artikel 47.1.
|
|
5. The European Data Protection Supervisor shall keep a register of all processing operations that have been notified to him or her pursuant to paragraph 2. The register shall contain the information referred to in Article 25 and shall be open to public inspection.
|
5. Den europeiska datatillsynsmannen skall föra ett register över alla de behandlingar som har anmälts till honom enligt punkt 2. Registret skall innehålla de upplysningar som anges i artikel 25 och vara tillgängligt för allmänheten.
|
|
|
|
|
Article 28
|
Artikel 28
|
|
Consultation
|
Samråd
|
|
1. The Community institutions and bodies shall inform the European Data Protection Supervisor when drawing up administrative measures relating to the processing of personal data involving a Community institution or body alone or jointly with others.
|
1. Gemenskapsinstitutionerna och gemenskapsorganen skall underrätta den europeiska datatillsynsmannen då de utarbetar administrativa åtgärder som rör behandling av personuppgifter där en gemenskapsinstitution eller ett gemenskapsorgan deltar, ensamt eller gemensamt med andra.
|
|
2. When it adopts a legislative proposal relating to the protection of individuals' rights and freedoms with regard to the processing of personal data, the Commission shall consult the European Data Protection Supervisor.
|
2. När kommissionen antar ett lagförslag som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, skall den samråda med den europeiska datatillsynsmannen.
|
|
|
|
|
Article 29
|
Artikel 29
|
|
Obligation to provide information
|
Skyldighet att informera
|
|
The Community institutions and bodies shall inform the European Data Protection Supervisor of the measures taken further to his or her decisions or authorisations as referred to in Article 46(h).
|
Gemenskapsinstitutionerna och gemenskapsorganen skall informera den europeiska datatillsynsmannen om de åtgärder som har vidtagits till följd av de beslut eller tillstånd som denne fattat eller lämnat i enlighet med artikel 46 h.
|
|
|
|
|
Article 30
|
Artikel 30
|
|
Obligation to cooperate
|
Skyldighet att samarbeta
|
|
At his or her request, controllers shall assist the European Data Protection Supervisor in the performance of his or her duties, in particular by providing the information referred to in Article 47(2)(a) and by granting access as provided in Article 47(2)(b).
|
Registeransvariga skall på begäran av den europeiska datatillsynsmannen bistå honom i hans tjänsteutövning, särskilt genom att tillhandahålla den information som avses i artikel 47.2 a och genom att ge tillträde enligt artikel 47.2 b.
|
|
|
|
|
Article 31
|
Artikel 31
|
|
Obligation to react to allegations
|
Skyldighet att reagera på anmärkningar
|
|
In response to the European Data Protection Supervisor's exercise of his or her powers under Article 47(1)(b), the controller concerned shall inform the Supervisor of its views within a reasonable period to be specified by the Supervisor. The reply shall also include a description of the measures taken, if any, in response to the remarks of the European Data Protection Supervisor.
|
När den europeiska datatillsynsmannen utövar de befogenheter han tilldelats enligt artikel 47.1 b skall den registeransvarige informera denne om sina synpunkter inom en rimlig period, fastställd av den europeiska datatillsynsmannen. Dessa synpunkter skall i förekommande fall också innehålla en beskrivning av de åtgärder som har vidtagits med anledning av eventuella anmärkningar från den europeiska datatillsynsmannen.
|
|
|
|
|
CHAPTER III
|
KAPITEL III
|
|
REMEDIES
|
RÄTTSLIG PRÖVNING
|
|
Article 32
|
Artikel 32
|
|
Remedies
|
Rättslig prövning
|
|
1. The Court of Justice of the European Communities shall have jurisdiction to hear all disputes which relate to the provisions of this Regulation, including claims for damages.
|
1. Europeiska gemenskapernas domstol skall vara behörig att pröva tvister som hänför sig till denna förordnings bestämmelser, inklusive skadeståndsanspråk.
|
|
2. Without prejudice to any judicial remedy, every data subject may lodge a complaint with the European Data Protection Supervisor if he or she considers that his or her rights under Article 286 of the Treaty have been infringed as a result of the processing of his or her personal data by a Community institution or body.
|
2. Utan att det påverkar möjligheten att föra talan inför domstol får varje registrerad framföra klagomål till den europeiska datatillsynsmannen om han anser att de rättigheter som tillerkänns honom enligt artikel 286 i fördraget har blivit kränkta till följd av att en gemenskapsinstitution eller ett gemenskapsorgan behandlat hans personuppgifter.
|
|
In the absence of a response by the European Data Protection Supervisor within six months, the complaint shall be deemed to have been rejected.
|
Om något svar från den europeiska datatillsynsmannen inte erhållits inom sex månader innebär detta att klagomålet avslås.
|
|
3. Actions against decisions of the European Data Protection Supervisor shall be brought before the Court of Justice of the European Communities.
|
3. Beslut av den europeiska datatillsynsmannen kan överklagas hos Europeiska gemenskapernas domstol.
|
|
4. Any person who has suffered damage because of an unlawful processing operation or any action incompatible with this Regulation shall have the right to have the damage made good in accordance with Article 288 of the Treaty.
|
4. En person som åsamkats skada på grund av olaglig behandling av uppgifter eller på grund av en handling som är oförenlig med denna förordning skall ha rätt till ersättning för det förfång han lidit i enlighet med artikel 288 i fördraget.
|
|
|
|
|
Article 33
|
Artikel 33
|
|
Complaints by Community staff
|
Klagomål från gemenskapens personal
|
|
Any person employed with a Community institution or body may lodge a complaint with the European Data Protection Supervisor regarding an alleged breach of the provisions of this Regulation governing the processing of personal data, without acting through official channels. No-one shall suffer prejudice on account of a complaint lodged with the European Data Protection Supervisor alleging a breach of the provisions governing the processing of personal data.
|
Varje person som är anställd vid en gemenskapsinstitution eller ett gemenskapsorgan kan framföra klagomål om en påstådd överträdelse av bestämmelserna i denna förordning om behandling av personuppgifter till den europeiska datatillsynsmannen utan att gå den officiella vägen. Ingen skall lida förfång på grund av att han klagar till den europeiska datatillsynsmannen beträffande en påstådd överträdelse av bestämmelserna om behandling av personuppgifter.
|
|
|
|
|
CHAPTER IV
|
KAPITEL IV
|
|
PROTECTION OF PERSONAL DATA AND PRIVACY IN THE CONTEXT OF INTERNAL TELECOMMUNICATIONS NETWORKS
|
SKYDD AV PERSONUPPGIFTER OCH PRIVATLIV VAD GÄLLER INTERNA TELENÄT
|
|
Article 34
|
Artikel 34
|
|
Scope
|
Tillämpningsområde
|
|
Without prejudice to the other provisions of this Regulation, this Chapter shall apply to the processing of personal data in connection with the use of telecommunications networks or terminal equipment operated under the control of a Community institution or body.
|
Utan att det påverkar tillämpningen av övriga bestämmelser i denna förordning skall detta kapitel tillämpas på behandling av personuppgifter i samband med användning av telenät eller terminalutrustning vilkas drift kontrolleras av en gemenskapsinstitution eller ett gemenskapsorgan.
|
|
For the purposes of this Chapter, "user" shall mean any natural person using a telecommunications network or terminal equipment operated under the control of a Community institution or body.
|
Med "användare" avses i detta kapitel varje fysisk person som använder ett telenät eller terminalutrustning vars drift kontrolleras av en gemenskapsinstitution eller ett gemenskapsorgan.
|
|
|
|
|
Article 35
|
Artikel 35
|
|
Security
|
Säkerhet
|
|
1. The Community institutions and bodies shall take appropriate technical and organisational measures to safeguard the secure use of the telecommunications networks and terminal equipment, if necessary in conjunction with the providers of publicly available telecommunications services or the providers of public telecommunications networks. Having regard to the state of the art and the cost of their implementation, these measures shall ensure a level of security appropriate to the risk presented.
|
1. Gemenskapsinstitutionerna och gemenskapsorganen skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda en säker användning av telenäten och terminalutrustningen, om nödvändigt i samverkan med dem som tillhandahåller allmänt tillgängliga teletjänster eller dem som tillhandahåller allmänt tillgängliga telenät. Dessa åtgärder skall säkerställa en säkerhetsnivå som är anpassad till den risk som föreligger, med beaktande av nuvarande tekniska nivå och kostnaderna för att genomföra åtgärderna.
|
|
2. In the event of any particular risk of a breach of the security of the network and terminal equipment, the Community institution or body concerned shall inform users of the existence of that risk and of any possible remedies and alternative means of communication.
|
2. Om det föreligger särskilda risker för brott mot säkerheten vad gäller nätet och terminalutrustningen skall gemenskapsinstitutionen eller gemenskapsorganet i fråga informera användarna om sådana risker och om hur de eventuellt kan avhjälpas samt om andra kommunikationssätt som kan användas.
|
|
|
|
|
Article 36
|
Artikel 36
|
|
Confidentiality of communications
|
Telehemlighet vid kommunikation
|
|
Community institutions and bodies shall ensure the confidentiality of communications by means of telecommunications networks and terminal equipment, in accordance with the general principles of Community law.
|
Gemenskapsinstitutionerna och gemenskapsorganen skall säkerställa telehemligheten vid kommunikation via telenät och terminalutrustning, med iakttagande av de allmänna principerna i gemenskapsrätten.
|
|
|
|
|
Article 37
|
Artikel 37
|
|
Traffic and billing data
|
Trafik- och faktureringsdata
|
|
1. Without prejudice to the provisions of paragraphs 2, 3 and 4, traffic data relating to users which are processed and stored to establish calls and other connections over the telecommunications network shall be erased or made anonymous upon termination of the call or other connection.
|
1. Utan att det påverkar tillämpningen av bestämmelserna i punkterna 2, 3 och 4 skall trafikdata om användare, vilka behandlas och lagras för att koppla upp samtal och för andra förbindelser via telenätet, utplånas eller avidentifieras vid samtalets eller förbindelsens slut.
|
|
2. If necessary, traffic data as indicated in a list agreed by the European Data Protection Supervisor may be processed for the purpose of telecommunications budget and traffic management, including the verification of authorised use of the telecommunications systems. These data shall be erased or made anonymous as soon as possible and no later than six months after collection, unless they need to be kept for a longer period to establish, exercise or defend a right in a legal claim pending before a court.
|
2. Om så behövs för förvaltningen av telekommunikationsbudgeten och trafikstyrningen, inklusive verifieringen av behörig användning av telekommunikationssystemet, får behandling ske av de trafikdata som anges i en förteckning som godkänts av den europeiska datatillsynsmannen. Dessa data skall utplånas eller avidentifieras snarast möjligt och senast sex månader efter insamlingen, om det inte är nödvändigt att lagra dem ytterligare för att kunna fastställa, göra gällande eller försvara ett rättsligt anspråk i ett mål som redan är anhängiggjort vid en domstol.
|
|
3. Processing of traffic and billing data shall only be carried out by persons handling billing, traffic or budget management.
|
3. Behandling av trafik- och faktureringsdata får endast utföras av de personer som har hand om fakturering, trafikstyrning och budgetförvaltning.
|
|
4. Users of the telecommunication networks shall have the right to receive non-itemised bills or other records of calls made.
|
4. Användare av telenät skall ha rätt att få ospecificerade räkningar eller andra sammanställningar över samtal.
|
|
|
|
|
Article 38
|
Artikel 38
|
|
Directories of users
|
Kataloger över användare
|
|
1. Personal data contained in printed or electronic directories of users and access to such directories shall be limited to what is strictly necessary for the specific purposes of the directory.
|
1. Personuppgifter i tryckta eller elektroniska kataloger och tillgång till sådana kataloger skall begränsas till vad som krävs för de specifika ändamålen med katalogen.
|
|
2. The Community institutions and bodies shall take all the necessary measures to prevent personal data contained in those directories, regardless of whether they are accessible to the public or not, from being used for direct marketing purposes.
|
2. Gemenskapsinstitutionerna och gemenskapsorganen skall vidta alla nödvändiga åtgärder för att förhindra att personuppgifter i dessa kataloger, oavsett om de är tillgängliga för allmänheten eller inte, används för direkt marknadsföring.
|
|
|
|
|
Article 39
|
Artikel 39
|
|
Presentation and restriction of calling and connected line identification
|
Presentation och skydd när det gäller identifiering av det anropande och det uppkopplade numret
|
|
1. Where presentation of calling-line identification is offered, the calling user shall have the possibility via a simple means, free of charge, to eliminate the presentation of the calling-line identification.
|
1. Om nummerpresentation erbjuds skall den uppringande användaren ha möjlighet att enkelt och kostnadsfritt förhindra nummerpresentation.
|
|
2. Where presentation of calling-line identification is offered, the called user shall have the possibility via a simple means, free of charge, to prevent the presentation of the calling-line identification of incoming calls.
|
2. Om nummerpresentation erbjuds skall den uppringde användaren ha möjlighet att enkelt och kostnadsfritt förhindra nummerpresentation vid inkommande samtal.
|
|
3. Where presentation of connected-line identification is offered, the called user shall have the possibility via a simple means, free of charge, to eliminate the presentation of the connected-line identification to the calling user.
|
3. Om presentation av det uppkopplade numret erbjuds skall den uppringde användaren ha möjlighet att enkelt och kostnadsfritt stänga av presentationen av det uppkopplade numret för den uppringande användaren.
|
|
4. Where presentation of calling or connected-line identification is offered, the Community institutions and bodies shall inform the users thereof and of the possibilities set out in paragraphs 1, 2 and 3.
|
4. Om nummerpresentation eller presentation av det uppkopplade numret erbjuds, skall gemenskapsinstitutionerna och gemenskapsorganen informera användarna om detta och om de möjligheter som anges i punkterna 1, 2 och 3.
|
|
|
|
|
Article 40
|
Artikel 40
|
|
Derogations
|
Undantag
|
|
Community institutions and bodies shall ensure that there are transparent procedures governing the way in which they may override the elimination of the presentation of calling-line identification:
|
Gemenskapsinstitutionerna och gemenskapsorganen skall se till att det finns klara och tydliga förfaranden som reglerar på vilka villkor de kan göra undantag från möjligheten att förhindra nummerpresentation
|
|
(a) on a temporary basis, upon application of a user requesting the tracing of malicious or nuisance calls;
|
a) temporärt, om en användare begär spårning av illvilliga eller störande samtal,
|
|
(b) on a per-line basis for organisational entities dealing with emergency calls, for the purpose of answering such calls.
|
b) avseende vissa nummer, för organisatoriska enheter som handhar nödsamtal, för att kunna besvara sådana samtal.
|
|
|
|
|
CHAPTER V
|
KAPITEL V
|
|
INDEPENDENT SUPERVISORY AUTHORITY: THE EUROPEAN DATA PROTECTION SUPERVISOR
|
OBEROENDE TILLSYNSMYNDIGHET: EUROPEISKA DATATILLSYNSMANNEN
|
|
Article 41
|
Artikel 41
|
|
European Data Protection Supervisor
|
Europeiska datatillsynsmannen
|
|
1. An independent supervisory authority is hereby established referred to as the European Data Protection Supervisor.
|
1. Härmed inrättas en oberoende tillsynsmyndighet med namnet Europeiska datatillsynsmannen.
|
|
2. With respect to the processing of personal data, the European Data Protection Supervisor shall be responsible for ensuring that the fundamental rights and freedoms of natural persons, and in particular their right to privacy, are respected by the Community institutions and bodies.
|
2. Vad gäller behandling av personuppgifter skall den europeiska datatillsynsmannen ha i uppdrag att säkerställa att fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till privatliv, respekteras av personuppgifter av gemenskapsinstitutionerna och gemenskapsorganen.
|
|
The European Data Protection Supervisor shall be responsible for monitoring and ensuring the application of the provisions of this Regulation and any other Community act relating to the protection of the fundamental rights and freedoms of natural persons with regard to the processing of personal data by a Community institution or body, and for advising Community institutions and bodies and data subjects on all matters concerning the processing of personal data. To these ends he or she shall fulfil the duties provided for in Article 46 and exercise the powers granted in Article 47.
|
Den europeiska datatillsynsmannen skall ha i uppdrag att övervaka och garantera tillämpningen av bestämmelserna i denna förordning och andra gemenskapsrättsakter om skyddet för fysiska personers grundläggande fri- och rättigheter då en gemenskapsinstitution eller ett gemenskapsorgan behandlar personuppgifter och för att ge råd till gemenskapsinstitutionerna och gemenskapsorganen och de registrerade i alla frågor som rör behandling av personuppgifter. För detta ändamål skall den europeiska datatillsynsmannen fullgöra de uppgifter som avses i artikel 46 och utöva de befogenheter han tilldelats enligt artikel 47.
|
|
|
|
|
Article 42
|
Artikel 42
|
|
Appointment
|
Utnämning
|
|
1. The European Parliament and the Council shall appoint by common accord the European Data Protection Supervisor for a term of five years, on the basis of a list drawn up by the Commission following a public call for candidates.
|
1. Europaparlamentet och rådet skall i samförstånd utnämna den europeiska datatillsynsmannen för en period av fem år, på grundval av en förteckning som kommissionen upprättat efter en offentlig infordran av intresseanmälningar.
|
|
An Assistant Supervisor shall be appointed in accordance with the same procedure and for the same term, who shall assist the Supervisor in all the latter's duties and act as a replacement when the Supervisor is absent or prevented from attending to them.
|
En biträdande datatillsynsman skall utnämnas enligt samma förfarande och för samma period. Han skall biträda datatillsynsmannen i alla dennes uppgifter och ersätta denne vid frånvaro eller förhinder.
|
|
2. The European Data Protection Supervisor shall be chosen from persons whose independence is beyond doubt and who are acknowledged as having the experience and skills required to perform the duties of European Data Protection Supervisor, for example because they belong or have belonged to the supervisory authorities referred to in Article 28 of Directive 95/46/EC.
|
2. Den europeiska datatillsynsmannen skall utses bland personer vars oberoende är ställt utom varje tvivel och som har erkänd erfarenhet och sakkunskap för att utföra uppgifterna som europeisk datatillsynsman, t.ex. på grund av att han för närvarande tillhör eller tidigare har tillhört en av de tillsynsmyndigheter som avses i artikel 28 i direktiv 95/46/EG.
|
|
3. The European Data Protection Supervisor shall be eligible for reappointment.
|
3. Den europeiska datatillsynsmannen kan omväljas.
|
|
4. Apart from normal replacement or death, the duties of the European Data Protection Supervisor shall end in the event of resignation or compulsory retirement in accordance with paragraph 5.
|
4. Med undantag av normal nytillsättning eller dödsfall skall de uppgifter som åligger den europeiska datatillsynsmannen upphöra då han avgår eller avsätts från sin tjänst enligt punkt 5.
|
|
5. The European Data Protection Supervisor may be dismissed or deprived of his or her right to a pension or other benefits in its stead by the Court of Justice at the request of the European Parliament, the Council or the Commission, if he or she no longer fulfils the conditions required for the performance of his or her duties or if he or she is guilty of serious misconduct.
|
5. Den europeiska datatillsynsmannen kan på begäran av Europaparlamentet, rådet eller kommissionen avsättas eller fråntas sina pensionsrättigheter eller andra förmåner av Europeiska gemenskapernas domstol, om han inte längre uppfyller de krav som ställs för att han skall kunna utföra sina uppgifter eller om han gjort sig skyldig till allvarlig försummelse.
|
|
6. In the event of normal replacement or voluntary resignation, the European Data Protection Supervisor shall nevertheless remain in office until he or she has been replaced.
|
6. Vid normal nytillsättning och begäran om entledigande skall den europeiska datatillsynsmannen emellertid kvarstå i tjänst tills han har fått en ersättare.
|
|
7. Articles 12 to 15 and 18 of the Protocol on the Privileges and Immunities of the European Communities shall also apply to the European Data Protection Supervisor.
|
7. Artiklarna 12-15 och 18 i protokollet om Europeiska gemenskapernas immunitet och privilegier skall också vara tillämpliga på den europeiska datatillsynsmannen.
|
|
8. Paragraphs 2 to 7 shall apply to the Assistant Supervisor.
|
8. Punkterna 2-7 skall vara tillämpliga på den biträdande datatillsynsmannen.
|
|
|
|
|
Article 43
|
Artikel 43
|
|
Regulations and general conditions governing the performance of the European Data Protection Supervisor's duties, staff and financial resources
|
Föreskrifter och allmänna villkor för hur den europeiska datatillsynsmannen skall utöva sitt ämbete samt om personal och finansiella medel
|
|
1. The European Parliament, the Council and the Commission shall by common accord determine the regulations and general conditions governing the performance of the European Data Protection Supervisor's duties and in particular his or her salary, allowances and any other benefits in lieu of remuneration.
|
1. Europaparlamentet, rådet och kommissionen skall i samförstånd fastställa föreskrifter och allmänna villkor för hur den europeiska datatillsynsmannen skall utöva sitt ämbete och i synnerhet hans lön, tillägg och andra anställningsförmåner.
|
|
2. The budget authority shall ensure that the European Data Protection Supervisor is provided with the human and financial resources necessary for the performance of his or her tasks.
|
2. Budgetmyndigheten skall se till att den europeiska datatillsynsmannen erhåller den personal och de finansiella medel som behövs för att han skall kunna fullgöra sina uppgifter.
|
|
3. The European Data Protection Supervisor's budget shall be shown in a separate budget heading in Section VIII of the general budget of the European Union.
|
3. Budgeten för den europeiska datatillsynsmannen skall finnas under en särskild budgetpost i avsnitt VIII i Europeiska unionens allmänna budget.
|
|
4. The European Data Protection Supervisor shall be assisted by a Secretariat. The officials and the other staff members of the Secretariat shall be appointed by the European Data Protection Supervisor; their superior shall be the European Data Protection Supervisor and they shall be subject exclusively to his or her direction. Their numbers shall be decided each year as part of the budgetary procedure.
|
4. Den europeiska datatillsynsmannen skall biträdas av ett sekretariat. Tjänstemännen och övriga anställda vid sekretariatet skall utses av den europeiska datatillsynsmannen, som skall vara deras överordnade, och de skall endast stå under hans ledning. Deras antal skall fastställas varje år inom ramen för budgetförfarandet.
|
|
5. The officials and the other staff members of the European Data Protection Supervisor's Secretariat shall be subject to the rules and regulations applicable to officials and other servants of the European Communities.
|
5. Tjänstemän och övriga anställda vid den europeiska datatillsynsmannens sekretariat skall omfattas av de förordningar och regler som tillämpas på tjänstemän och övriga anställda i Europeiska gemenskaperna.
|
|
6. In matters concerning the Secretariat staff, the European Data Protection Supervisor shall have the same status as the institutions within the meaning of Article 1 of the Staff Regulations of Officials of the European Communities.
|
6. I personalfrågor skall den europeiska datatillsynsmannen ha samma ställning som institutionerna enligt artikel 1 i tjänsteföreskrifterna för tjänstemän i Europeiska gemenskaperna.
|
|
|
|
|
Article 44
|
Artikel 44
|
|
Independence
|
Oberoende
|
|
1. The European Data Protection Supervisor shall act in complete independence in the performance of his or her duties.
|
1. Den europeiska datatillsynsmannen skall vara fullständigt oberoende i sin tjänsteutövning.
|
|
2. The European Data Protection Supervisor shall, in the performance of his or her duties, neither seek nor take instructions from anybody.
|
2. Den europeiska datatillsynsmannen skall i sin tjänsteutövning varken begära eller ta emot instruktioner av någon.
|
|
3. The European Data Protection Supervisor shall refrain from any action incompatible with his or her duties and shall not, during his or her term of office, engage in any other occupation, whether gainful or not.
|
3. Den europeiska datatillsynsmannen skall avstå från alla handlingar som står i strid med hans tjänsteutövning och under sin ämbetstid avstå från all annan avlönad eller oavlönad yrkesverksamhet.
|
|
4. The European Data Protection Supervisor shall, after his or her term of office, behave with integrity and discretion as regards the acceptance of appointments and benefits.
|
4. Efter sin ämbetstid skall den europeiska datatillsynsmannen visa integritet och omdöme i fråga om att acceptera utnämningar och ta emot förmåner.
|
|
|
|
|
Article 45
|
Artikel 45
|
|
Professional secrecy
|
Tystnadsplikt
|
|
The European Data Protection Supervisor and his or her staff shall, both during and after their term of office, be subject to a duty of professional secrecy with regard to any confidential information which has come to their knowledge in the course of the performance of their official duties.
|
Både under och efter sin ämbetstid skall den europeiska datatillsynsmannen och hans personal omfattas av tystnadsplikt vad avser konfidentiell information som har kommit till deras kännedom under tjänsteutövningen.
|
|
|
|
|
Article 46
|
Artikel 46
|
|
Duties
|
Uppgifter
|
|
The European Data Protection Supervisor shall:
|
Den europeiska datatillsynsmannen skall
|
|
(a) hear and investigate complaints, and inform the data subject of the outcome within a reasonable period;
|
a) höra och utreda klagomål och informera berörd person om resultatet inom rimlig tid,
|
|
(b) conduct inquiries either on his or her own initiative or on the basis of a complaint, and inform the data subjects of the outcome within a reasonable period;
|
b) leda utredningar, antingen på eget initiativ eller på grundval av ett klagomål, och informera berörda personer om resultatet inom rimlig tid,
|
|
(c) monitor and ensure the application of the provisions of this Regulation and any other Community act relating to the protection of natural persons with regard to the processing of personal data by a Community institution or body with the exception of the Court of Justice of the European Communities acting in its judicial capacity;
|
c) övervaka och säkerställa tillämpningen av denna förordning och alla andra gemenskapsrättsakter som rör skydd av fysiska personer i samband med en gemenskapsinstitutions eller ett gemenskapsorgans behandling av personuppgifter, med undantag av Europeiska gemenskapernas domstol i dess rättskipande funktion,
|
|
(d) advise all Community institutions and bodies, either on his or her own initiative or in response to a consultation, on all matters concerning the processing of personal data, in particular before they draw up internal rules relating to the protection of fundamental rights and freedoms with regard to the processing of personal data;
|
d) ge råd åt alla gemenskapsinstitutioner och gemenskapsorgan, antingen på eget initiativ eller som svar på en begäran om rådfrågning, i alla frågor som rör behandling av personuppgifter, särskilt innan de utarbetar interna bestämmelser om skydd av enskildas grundläggande fri- och rättigheter i samband med behandlingen av personuppgifter,
|
|
(e) monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies;
|
e) övervaka relevant utveckling i den mån den påverkar skyddet av personuppgifter, särskilt inom informations- och kommunikationsteknik,
|
|
(f) (i) cooperate with the national supervisory authorities referred to in Article 28 of Directive 95/46/EC in the countries to which that Directive applies to the extent necessary for the performance of their respective duties, in particular by exchanging all useful information, requesting such authority or body to exercise its powers or responding to a request from such authority or body;
|
f) i) samarbeta med de nationella tillsynsmyndigheter som avses i artikel 28 i direktiv 95/46/EG i de länder i vilka det direktivet gäller, i den omfattning som behövs för att de skall kunna fullgöra sina respektive uppgifter, särskilt genom utbyte av all användbar information, genom att begära att en sådan myndighet eller ett sådant organ utövar sina befogenheter eller genom att besvara en anmodan från en sådan myndighet eller ett sådant organ,
|
|
(ii) also cooperate with the supervisory data protection bodies established under Title VI of the Treaty on European Union particularly with a view to improving consistency in applying the rules and procedures with which they are respectively responsible for ensuring compliance;
|
ii) även samarbeta med de tillsynsmyndigheter för dataskydd som upprättas i enlighet med avdelning VI i Fördraget om Europeiska unionen för att bland annat förbättra enhetligheten i tillämpningen av de regler och förfaranden vars efterlevnad de har ansvaret för att säkerställa,
|
|
(g) participate in the activities of the Working Party on the Protection of Individuals with regard to the Processing of Personal Data set up by Article 29 of Directive 95/46/EC;
|
g) delta i arbetet inom den arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättades genom artikel 29 i direktiv 95/46/EG,
|
|
(h) determine, give reasons for and make public the exemptions, safeguards, authorisations and conditions mentioned in Article 10(2)(b),(4), (5) and (6), in Article 12(2), in Article 19 and in Article 37(2);
|
h) fastställa, motivera och offentliggöra de undantag, skyddsåtgärder, tillstånd och villkor som anges i artiklarna 10.2 b, 10.4, 10.5, 10.6, 12.2, 19 samt i artikel 37.2,
|
|
(i) keep a register of processing operations notified to him or her by virtue of Article 27(2) and registered in accordance with Article 27(5), and provide means of access to the registers kept by the Data Protection Officers under Article 26;
|
i) föra ett register över de behandlingar som meddelats honom enligt artikel 27.2 och registrerats i enlighet med artikel 27.5 och tillhandahålla medel för att göra de register som förs av uppgiftsskyddsombuden tillgängliga i enlighet med artikel 26,
|
|
(j) carry out a prior check of processing notified to him or her;
|
j) utföra en förhandskontroll av sådana behandlingar som meddelas honom,
|
|
(k) establish his or her Rules of Procedure.
|
k) anta sin arbetsordning.
|
|
|
|
|
Article 47
|
Artikel 47
|
|
Powers
|
Befogenheter
|
|
1. The European Data Protection Supervisor may:
|
1. Den europeiska datatillsynsmannen får
|
|
(a) give advice to data subjects in the exercise of their rights;
|
a) ge registrerade råd när de utövar sina rättigheter,
|
|
(b) refer the matter to the controller in the event of an alleged breach of the provisions governing the processing of personal data, and, where appropriate, make proposals for remedying that breach and for improving the protection of the data subjects;
|
b) hänskjuta ärendet till den registeransvarige vid en påstådd kränkning av bestämmelserna om behandling av personuppgifter och vid behov lämna förslag om hur kränkningen kan rättas till och hur skyddet för de registrerade kan förbättras,
|
|
(c) order that requests to exercise certain rights in relation to data be complied with where such requests have been refused in breach of Articles 13 to 19;
|
c) beordra att en begäran om att utöva vissa rättigheter när det gäller uppgifter skall uppfyllas när en sådan begäran har vägrats i strid med artiklarna 13-19,
|
|
(d) warn or admonish the controller;
|
d) ge den registeransvarige en varning eller en tillrättavisning,
|
|
(e) order the rectification, blocking, erasure or destruction of all data when they have been processed in breach of the provisions governing the processing of personal data and the notification of such actions to third parties to whom the data have been disclosed;
|
e) beordra rättelse, blockering, utplåning eller förstöring av alla uppgifter, när de har behandlats på ett sätt som står i strid med bestämmelserna för behandling av personuppgifter, samt underrättelse om sådana åtgärder till tredje man till vilken uppgifterna har lämnats ut,
|
|
(f) impose a temporary or definitive ban on processing;
|
f) tillfälligt eller definitivt förbjuda behandling,
|
|
(g) refer the matter to the Community institution or body concerned and, if necessary, to the European Parliament, the Council and the Commission;
|
g) rapportera ärendet till de gemenskapsinstitutioner eller de gemenskapsorgan som berörs och vid behov till Europaparlamentet, rådet och kommissionen,
|
|
(h) refer the matter to the Court of Justice of the European Communities under the conditions provided for in the Treaty;
|
h) väcka talan i Europeiska gemenskapernas domstol på de villkor som anges i fördraget,
|
|
(i) intervene in actions brought before the Court of Justice of the European Communities.
|
i) intervenera i ärenden vid Europeiska gemenskapernas domstol.
|
|
2. The European Data Protection Supervisor shall have the power:
|
2. Den europeiska datatillsynsmannen skall ha befogenhet att
|
|
(a) to obtain from a controller or Community institution or body access to all personal data and to all information necessary for his or her enquiries;
|
a) av en registeransvarig eller en gemenskapsinstitution eller ett gemenskapsorgan få tillgång till alla personuppgifter och all information som behövs för hans utredningar,
|
|
(b) to obtain access to any premises in which a controller or Community institution or body carries on its activities when there are reasonable grounds for presuming that an activity covered by this Regulation is being carried out there.
|
b) få tillgång till alla lokaler där en registeransvarig eller en gemenskapsinstitution eller ett gemenskapsorgan bedriver sin verksamhet, om det finns rimliga skäl att anta att där bedrivs en verksamhet som avses i denna förordning.
|
|
|
|
|
Article 48
|
Artikel 48
|
|
Activities report
|
Verksamhetsrapport
|
|
1. The European Data Protection Supervisor shall submit an annual report on his or her activities to the European Parliament, the Council and the Commission and at the same time make it public.
|
1. Den europeiska datatillsynsmannen skall lämna en årlig rapport om sin verksamhet till Europaparlamentet, rådet och kommissionen och samtidigt offentliggöra rapporten.
|
|
2. The European Data Protection Supervisor shall forward the activities report to the other Community institutions and bodies, which may submit comments with a view to possible examination of the report in the European Parliament, in particular in relation to the description of the measures taken in response to the remarks made by the European Data Protection Supervisor under Article 31.
|
2. Den europeiska datatillsynsmannen skall vidarebefordra verksamhetsrapporten till övriga gemenskapsinstitutioner och gemenskapsorgan, som får lämna kommentarer inför en eventuell granskning av rapporten av Europaparlamentet, särskilt när det gäller beskrivningen av de åtgärder som vidtagits som svar på anmärkningar från den europeiska datatillsynsmannen enligt artikel 31.
|
|
|
|
|
CHAPTER VI
|
KAPITEL VI
|
|
FINAL PROVISIONS
|
SLUTBESTÄMMELSER
|
|
Article 49
|
Artikel 49
|
|
Sanctions
|
Påföljder
|
|
Any failure to comply with the obligations pursuant to this Regulation, whether intentionally or through negligence on his or her part, shall make an official or other servant of the European Communities liable to disciplinary action, in accordance with the rules and procedures laid down in the Staff Regulations of Officials of the European Communities or in the conditions of employment applicable to other servants.
|
Om en tjänsteman eller annan anställd vid Europeiska gemenskaperna inte uppfyller de förpliktelser som åligger dem enligt denna förordning, avsiktligt eller på grund av försumlighet, skall denne bli föremål för disciplinära åtgärder enligt de regler och förfaranden som föreskrivs i tjänsteföreskrifterna för tjänstemännen vid Europeiska gemenskaperna eller i de anställningsvillkor som tillämpas på övriga anställda.
|
|
|
|
|
Article 50
|
Artikel 50
|
|
Transitional period
|
Övergångsperiod
|
|
Community institutions and bodies shall ensure that processing operations already under way on the date this Regulation enters into force are brought into conformity with this Regulation within one year of that date.
|
Gemenskapsinstitutionerna och gemenskapsorganen skall säkerställa att behandling som redan pågår det datum när denna förordning träder i kraft uppfyller kraven i denna förordning inom ett år efter detta datum.
|
|
|
|
|
Article 51
|
Artikel 51
|
|
Entry into force
|
Ikraftträdande
|
|
This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Communities.
|
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska gemenskapernas officiella tidning.
|
|
|
|
|
This Regulation shall be binding in its entirety and directly applicable in all Member States.
|
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
|
|
Done at Brussels, 18 December 2000.
|
Utfärdad i Bryssel den 18 december 2000.
|
|
|
|
|
For the European Parliament
|
På Europaparlaments vägnar
|
|
The President
|
N. Fontaine
|
|
N. Fontaine
|
Ordförande
|
|
|
|
|
For the Council
|
På rådets vägnar
|
|
The President
|
D. Voynet
|
|
D. Voynet
|
Ordförande
|
|
|
|
|
(1) OJ C 376E, 28.12.1999, p. 24.
|
(1) EGT C 376 E, 28.12.1999, s. 24.
|
|
(2) OJ C 51, 23.2.2000, p. 48.
|
(2) EGT C 51, 23.2.2000, s. 48.
|
|
(3) Opinion of the European Parliament of 14 November 2000 and Council Decision of 30 November 2000.
|
(3) Europaparlamentets yttrande av den 14 november 2000 och rådets beslut av den 30 november 2000.
|
|
(4) OJ L 281, 23.11.1995, p. 31.
|
(4) EGT L 281, 23.11.1995, s. 31.
|
|
(5) OJ L 24, 30.1.1998, p. 1.
|
(5) EGT L 24, 30.1.1998, s. 1.
|
|
(6) OJ L 52, 22.2.1997, p. 1.
|
(6) EGT L 52, 22.2.1997, s. 1.
|
|
(7) OJ L 318, 27.11.1998, p. 8.
|
(7) EGT L 318, 27.11.1998, s. 8.
|
|
(8) OJ L 151, 15. 6.1990, p. 1. Regulation as amended by Regulation (EC) No 322/97 (OJ L 52, 22.2.1997, p. 1).
|
(8) EGT L 151, 15.6.1990, s. 1. Förordningen ändrad genom förordning (EG) nr 322/97 (EGT L 52, 22.2.1997, s. 1).
|
|
|
|
|
|
|
|
|
|
|
ANNEX
|
BILAGA
|
|
|
|
|
1. The Data Protection Officer may make recommendations for the practical improvement of data protection to the Community institution or body which appointed him or her and advise it and the controller concerned on matters concerning the application of data protection provisions. Furthermore he or she may, on his or her own initiative or at the request of the Community institution or body which appointed him or her, the controller, the Staff Committee concerned or any individual, investigate matters and occurrences directly relating to his or her tasks and which come to his or her notice, and report back to the person who commissioned the investigation or to the controller.
|
1. Uppgiftsskyddsombudet kan ge rekommendationer för den praktiska förbättringen av uppgiftsskyddet till den gemenskapsinstitution eller det gemenskapsorgan som utsåg honom och ge råd till dessa och till berörd registeransvarig i frågor som avser tillämpningen av bestämmelser om skydd av uppgifter. Dessutom får han, på eget initiativ eller på begäran av den gemenskapsinstitution eller det gemenskapsorgan som utsåg honom, registeransvarig, den berörda personalkommittén eller varje enskild person, utreda frågor och händelser som har direkt samband med hans uppgifter och som kommer till hans kännedom och rapportera tillbaka till den person som beställde undersökningen eller till registeransvarig.
|
|
2. The Data Protection Officer may be consulted by the Community institution or body which appointed him or her, by the controller concerned, by the Staff Committee concerned and by any individual, without going through the official channels, on any matter concerning the interpretation or application of this Regulation.
|
2. Uppgiftsskyddsombudet kan i alla frågor som rör tolkningen eller tillämpningen av denna förordning rådfrågas av den gemenskapsinstitution eller det gemenskapsorgan som utsåg honom, berörd registeransvarig, den berörda personalkommittén och varje enskild person, utan att dessa behöver gå den officiella vägen.
|
|
3. No one shall suffer prejudice on account of a matter brought to the attention of the competent Data Protection Officer alleging that a breach of the provisions of this Regulation has taken place.
|
3. Ingen skall lida förfång på grund av att han gör det behöriga uppgiftsskyddsombudet uppmärksam på en händelse som påstås utgöra en överträdelse av bestämmelserna i denna förordning har ägt rum.
|
|
4. Every controller concerned shall be required to assist the Data Protection Officer in performing his or her duties and to give information in reply to questions. In performing his or her duties, the Data Protection Officer shall have access at all times to the data forming the subject-matter of processing operations and to all offices, data-processing installations and data carriers.
|
4. Det åligger varje berörd registeransvarig att hjälpa uppgiftsskyddsombudet att fullgöra dennes uppgifter och att ge den information som ombudet begär. I sitt arbete skall uppgiftsskyddsombudet alltid ha tillgång till de uppgifter som behandlas och beredas tillträde till alla kontor, installationer för behandling av uppgifter och databärare.
|
|
5. To the extent required, the Data Protection Officer shall be relieved of other activities. The Data Protection Officer and his or her staff, to whom Article 287 of the Treaty shall apply, shall be required not to divulge information or documents which they obtain in the course of their duties.
|
5. Uppgiftsskyddsombudet skall i den utsträckning som krävs befrias från andra uppgifter. Det åligger uppgiftsskyddsombudet och dennes personal, som omfattas av artikel 287 i fördraget, att inte sprida den information eller de dokument som de kommer i kontakt med då de fullgör sina uppgifter.
|